Lektion 3 von 6·10 Min Lesezeit

Pflichten für High-Risk AI

Wenn Ihr AI-System als High Risk klassifiziert ist, gelten ab August 2026 umfangreiche Pflichten. Diese Lektion erklärt die wichtigsten Anforderungen — und was Sie konkret umsetzen müssen.

Die 7 Kernpflichten

1. Risikomanagementsystem (Art. 9)

Ein kontinuierlicher Prozess über den gesamten Lebenszyklus:

  • Identifikation und Analyse bekannter und vorhersehbarer Risiken
  • Bewertung der Risiken bei bestimmungsgemäßer Nutzung UND bei vorhersehbarer Fehlanwendung
  • Geeignete Maßnahmen zur Risikominderung
  • Regelmäßige Überprüfung und Aktualisierung

Praxis: Erstellen Sie ein lebendes Dokument, das quartalsweise aktualisiert wird.

2. Daten-Governance (Art. 10)

Trainings-, Validierungs- und Testdaten müssen:

  • Relevant und repräsentativ für den Einsatzzweck sein
  • Frei von Bias sein (oder bekannte Bias dokumentiert)
  • Datenschutzkonform erhoben und verarbeitet werden
  • Dokumentiert sein (Herkunft, Umfang, Vorverarbeitung)

3. Technische Dokumentation (Art. 11)

Umfassende Dokumentation vor Inverkehrbringen:

  • Allgemeine Beschreibung des Systems
  • Detaillierte Beschreibung der Elemente und des Entwicklungsprozesses
  • Informationen über Monitoring, Funktionsweise und Kontrolle
  • Beschreibung der Genauigkeit und Sicherheitsmaßnahmen

4. Logging und Aufzeichnung (Art. 12)

Automatische Protokollierung während des Betriebs:

  • Zeitpunkt und Dauer jeder Nutzung
  • Referenz-Datenbank für Input-Validierung
  • Input-Daten, die zu einer Entscheidung geführt haben
  • Identifikation der beteiligten Personen

Aufbewahrungsfrist: Mindestens 6 Monate (oder länger, wenn gesetzlich vorgeschrieben).

5. Transparenz und Information (Art. 13)

Betreiber müssen verstehen können, wie das System funktioniert:

  • Gebrauchsanweisung in klarer, verständlicher Sprache
  • Beschreibung der Fähigkeiten und Grenzen
  • Angaben zu Genauigkeitsmetriken
  • Risiken für Gesundheit, Sicherheit und Grundrechte

6. Menschliche Aufsicht (Art. 14)

Das System muss so gestaltet sein, dass Menschen:

  • Die Ergebnisse verstehen und interpretieren können
  • Eingreifen oder übersteuern können
  • Das System stoppen können (Not-Aus)
  • Nicht über Automatisierungsbias manipuliert werden

7. Genauigkeit, Robustheit, Cybersicherheit (Art. 15)

Das System muss:

  • Genau arbeiten (definierte und gemessene Metriken)
  • Robust gegen Fehler und Versuche der Manipulation sein
  • Cybersicher sein (gegen adversariale Angriffe geschützt)

Konformitätsbewertung

Vor der Markteinführung ist eine Konformitätsbewertung nötig:

  • In den meisten Fällen: Selbstbewertung (interne Konformitätsbewertung)
  • In sensiblen Bereichen (Biometrie): Bewertung durch eine benannte Stelle

Praxis-Tipp: Starten Sie jetzt mit der Dokumentation. Die meisten Unternehmen unterschätzen den Aufwand — rechnen Sie mit 3–6 Monaten für die erste High-Risk-Konformität.

Vorherige LektionNächste Lektion