Hochrisiko-KI: Pflichten und Anforderungen
Lerne die konkreten Pflichten fuer Hochrisiko-KI-Systeme: Risikomanagement, Dokumentation, menschliche Aufsicht und Konformitaetsbewertung.
Premium-Kursinhalt
Diese Lektion gehört zu einem Premium-Kurs. Upgrade auf Pro, um alle Premium-Kurse und Inhalte freizuschalten.
- Zugang zu allen Premium-Kursen
- 1000+ KI-Skill-Vorlagen inklusive
- Jede Woche neue Inhalte
🔄 Kurzer Rueckblick: In der letzten Lektion hast du die vier Risikoklassen kennengelernt — von verboten bis minimal. Jetzt zoomen wir in die Kategorie, die die meisten Unternehmen betrifft: Hochrisiko.
Hochrisiko-KI ist der dickste Brocken im EU AI Act. Die Anforderungen sind umfangreich, die Fristen laufen ab August 2026, und die Strafen bei Verstoss gehen bis 15 Millionen Euro. Aber keine Panik — in dieser Lektion zerlegst du die Pflichten in handhabbare Schritte.
Die neun Anforderungen im Ueberblick
Hochrisiko-KI-Systeme muessen neun Anforderungen erfuellen. Hier der Ueberblick, bevor wir in die Details gehen:
| Nr. | Anforderung | Artikel | Wer ist verantwortlich? |
|---|---|---|---|
| 1 | Risikomanagementsystem | Art. 9 | Provider |
| 2 | Daten-Governance | Art. 10 | Provider |
| 3 | Technische Dokumentation | Art. 11 | Provider |
| 4 | Protokollierung (Logging) | Art. 12 | Provider + Deployer |
| 5 | Transparenz und Information | Art. 13 | Provider + Deployer |
| 6 | Menschliche Aufsicht | Art. 14 | Provider + Deployer |
| 7 | Genauigkeit und Robustheit | Art. 15 | Provider |
| 8 | Cybersicherheit | Art. 15 | Provider |
| 9 | Qualitaetsmanagementsystem | Art. 17 | Provider |
Fuer Deployer besonders relevant: Anforderungen 4, 5 und 6. Hier hast du eigene, aktive Pflichten.
Risikomanagement (Art. 9) — Das Fundament
Das Risikomanagementsystem ist die Basis fuer alles. Es muss:
- Vor der Inbetriebnahme starten und ueber den gesamten Lebenszyklus laufen
- Risiken fuer Gesundheit, Sicherheit und Grundrechte identifizieren und bewerten
- Massnahmen zur Risikominderung definieren und umsetzen
- Restrisiken dokumentieren und kommunizieren
- Iterativ sein — neue Erkenntnisse muessen einfliessen
Praxis-Tipp: Wenn du bereits ein Risikomanagementsystem nach ISO 31000 oder ISO 27001 hast, kannst du darauf aufbauen. Der EU AI Act verlangt kein komplett neues System — aber eine KI-spezifische Erweiterung.
Daten-Governance (Art. 10) — Muell rein, Muell raus
Hochrisiko-KI steht und faellt mit den Trainingsdaten. Art. 10 fordert:
- Relevanz: Trainingsdaten muessen dem Einsatzzweck entsprechen
- Repraesentativitaet: Keine systematischen Verzerrungen (Bias)
- Fehlerfreiheit: Soweit moeglich fehlerfrei und vollstaendig
- Statistische Eigenschaften: Angemessen fuer die Zielgruppe und den geografischen Kontext
✅ Quick Check: Setzt dein Unternehmen ein KI-System ein, das Entscheidungen ueber Menschen trifft? Dann frage den Anbieter: Auf welchen Daten wurde das System trainiert? Wie wurde Bias getestet? Diese Fragen musst du als Deployer stellen koennen.
Menschliche Aufsicht (Art. 14) — Der Mensch bleibt in der Schleife
Die menschliche Aufsicht ist das, was den EU AI Act von rein technischen Regulierungen unterscheidet. Das System muss so gebaut sein, dass ein Mensch:
- Die Ergebnisse verstehen und interpretieren kann
- Jederzeit eingreifen oder das System stoppen kann
- Die Entscheidung des Systems ueberstimmen kann
- Automatisierungsbias erkennt — also nicht blind der KI vertraut
Was das fuer Deployer bedeutet: Du brauchst geschultes Personal, das die KI-Outputs prueft. Ein Recruiting-Tool, das automatisch Bewerbungen aussortiert, ohne dass ein Mensch draufschaut? Nicht compliant.
Konformitaetsbewertung — Wie wird geprueft?
Die Konformitaetsbewertung haengt vom System ab:
| Kategorie | Bewertung | Beispiel |
|---|---|---|
| Meiste Hochrisiko-Systeme | Selbstbewertung durch Provider | KI in Recruiting, Kreditvergabe |
| Biometrische Identifizierung | Drittbewertung (notifizierte Stelle) | Gesichtserkennung |
| Sicherheitskomponenten | Nach bestehendem Produktrecht | Medizinprodukte, Maschinen |
Nach erfolgreicher Bewertung: CE-Kennzeichnung, EU-Konformitaetserklaerung, und Registrierung in der EU-Datenbank fuer Hochrisiko-KI.
Die Deployer-Pflichten (Art. 26) — Dein Part
Als Deployer (Betreiber) hast du eigene Pflichten — du kannst dich nicht darauf verlassen, dass der Provider alles erledigt:
- Gemaess Gebrauchsanweisung einsetzen — Das System nur fuer den vorgesehenen Zweck nutzen
- Menschliche Aufsicht sicherstellen — Geschultes Personal, das Ergebnisse prueft
- Eingabedaten pruefen — Relevanz und Qualitaet der Daten, die du einspeist
- Betrieb ueberwachen — Auffaelligkeiten erkennen und melden
- Betroffene informieren — Transparenz gegenueber den Menschen, ueber die entschieden wird
- Protokolle aufbewahren — Mindestens sechs Monate (Art. 26 Abs. 6)
- DSFA durchfuehren — Datenschutzfolgenabschaetzung vor dem Einsatz (Art. 26 Abs. 9)
Sanktionen bei Verstoss: Bis zu 15 Mio. EUR oder 3% des weltweiten Jahresumsatzes.
Zeitplan und Vorbereitung
| Datum | Was passiert |
|---|---|
| Jetzt | KI-Inventar erstellen: Welche Systeme koennten Hochrisiko sein? |
| Bis Aug. 2025 | Anbieter kontaktieren: Konformitaetsplaene anfragen |
| Bis Anfang 2026 | Interne Prozesse aufbauen: Aufsicht, Protokollierung, Schulung |
| Aug. 2026 | Hochrisiko-Pflichten treten in Kraft |
Key Takeaways
- Neun Anforderungen fuer Hochrisiko-KI — von Risikomanagement ueber Datenqualitaet bis menschliche Aufsicht
- Provider tragen die Hauptlast, aber Deployer haben eigene aktive Pflichten (Art. 26)
- Menschliche Aufsicht ist Pflicht: Kein automatisiertes Entscheiden ohne menschliche Kontrolle
- Konformitaetsbewertung meist als Selbstbewertung, bei Biometrie durch Dritte
- Sanktionen: Bis zu 15 Mio. EUR oder 3% Umsatz — nicht trivial
Up Next
In der naechsten Lektion geht es um Transparenzpflichten — was bei Chatbots, Deepfakes und generativer KI gilt. Plus: Die GPAI-Regeln fuer Foundation Models wie GPT-4, Claude und Gemini.
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!