Hochrisiko-KI-Systeme unterliegen den strengsten Anforderungen des EU AI Act. Diese Systeme müssen ein umfassendes Paket an Compliance-Maßnahmen erfüllen, bevor sie in der EU in Verkehr gebracht oder in Betrieb genommen werden dürfen.
Compliance-Deadline: 2. August 2026
Ab diesem Datum müssen alle Hochrisiko-KI-Systeme die vollständigen Anforderungen der Artikel 9-15 erfüllen. Anbieter sollten mindestens 12-18 Monate für die Implementierung einplanen.
Überblick: 7 Kernpflichten für Hochrisiko-KI
Risikomanagementsystem
Kontinuierlicher Prozess zur Identifizierung, Analyse und Minderung von Risiken
Daten und Data Governance
Qualitätskriterien für Trainings-, Validierungs- und Testdatensätze
Technische Dokumentation
Vollständige Dokumentation gemäß Annex IV vor dem Inverkehrbringen
Aufzeichnungspflichten (Logging)
Automatische Protokollierung von Ereignissen während des Betriebs
Transparenz und Information
Klare Gebrauchsanweisungen für Betreiber
Menschliche Aufsicht
Wirksame Aufsicht durch natürliche Personen während des Betriebs
Genauigkeit, Robustheit, Cybersicherheit
Technische Standards für Zuverlässigkeit und Sicherheit
Detaillierte Anforderungen (Art. 9-15)
Risikomanagementsystem
Kontinuierlicher Prozess zur Identifizierung, Analyse und Minderung von Risiken
Wesentliche Elemente:
- Identifizierung bekannter und vorhersehbarer Risiken
- Schätzung und Bewertung der Risiken bei bestimmungsgemäßem Gebrauch
- Bewertung von Risiken bei vernünftigerweise vorhersehbarem Missbrauch
- Geeignete Risikomanagementmaßnahmen
- Testen zur Ermittlung geeigneter Maßnahmen
Daten und Data Governance
Qualitätskriterien für Trainings-, Validierungs- und Testdatensätze
Wesentliche Elemente:
- Angemessene Data-Governance- und Datenmanagement-Praktiken
- Relevante Designentscheidungen für Datensätze
- Vorverarbeitung, Kennzeichnung und Bereinigung der Daten
- Prüfung auf Verzerrungen (Bias)
- Ermittlung von Datenlücken und Mängeln
Technische Dokumentation
Vollständige Dokumentation gemäß Annex IV vor dem Inverkehrbringen
Wesentliche Elemente:
- Allgemeine Beschreibung des KI-Systems
- Detaillierte Beschreibung der Systemelemente
- Beschreibung des Entwicklungsprozesses
- Informationen zu Überwachung und Funktionsweise
- Detaillierte Beschreibung des Risikomanagementsystems
Aufzeichnungspflichten (Logging)
Automatische Protokollierung von Ereignissen während des Betriebs
Wesentliche Elemente:
- Automatische Aufzeichnung von Ereignissen (Logs)
- Rückverfolgbarkeit der Funktionsweise
- Überwachung des Betriebs durch Betreiber
- Aufbewahrung für angemessenen Zeitraum
- Ermöglichung der Konformitätsbewertung nach dem Inverkehrbringen
Transparenz und Information
Klare Gebrauchsanweisungen für Betreiber
Wesentliche Elemente:
- Name und Kontaktdaten des Anbieters
- Merkmale, Fähigkeiten und Leistungsgrenzen
- Bestimmungsgemäße Verwendung
- Bekannte oder vorhersehbare Umstände von Missbrauch
- Spezifikationen für Eingabedaten
Menschliche Aufsicht
Wirksame Aufsicht durch natürliche Personen während des Betriebs
Wesentliche Elemente:
- Ermöglichung der Beaufsichtigung durch natürliche Personen
- Verständnis der Fähigkeiten und Grenzen des Systems
- Überwachung des Betriebs auf Anomalien
- Möglichkeit zum Eingreifen oder Anhalten des Systems
- Keine übermäßige Abhängigkeit von Systemausgaben (Automation Bias)
Genauigkeit, Robustheit, Cybersicherheit
Technische Standards für Zuverlässigkeit und Sicherheit
Wesentliche Elemente:
- Angemessene Genauigkeit während des gesamten Lebenszyklus
- Robustheit gegenüber Fehlern und Inkonsistenzen
- Widerstandsfähigkeit gegen Manipulationsversuche
- Schutz vor unbefugtem Zugriff
- Schutz vor Angriffen auf KI-spezifische Schwachstellen
Technische Dokumentation (Annex IV)
Die technische Dokumentation ist das Herzstück der Hochrisiko-KI-Compliance. Sie muss vor dem Inverkehrbringen erstellt werden und alle folgenden Abschnitte enthalten:
Struktur der technischen Dokumentation
Allgemeine Beschreibung
Name, Version, Anbieter, Bestimmungszweck, Interaktion mit Hardware/Software
Systembeschreibung
Elemente, Entwicklungsprozess, Designentscheidungen, Systemarchitektur
Überwachung
Überwachungsfunktion, technische Lösungen, Logging-Fähigkeiten
Risikomanagement
Beschreibung des Risikomanagementsystems nach Art. 9
Änderungen
Vorgenommene Änderungen während des Lebenszyklus
Harmonisierte Normen
Liste angewandter harmonisierter Normen
EU-Konformitätserklärung
Kopie der Konformitätserklärung
Leistungsbewertung
Bewertung der Leistung nach dem Inverkehrbringen
Konformitätsbewertung und CE-Kennzeichnung
Nach Erfüllung aller Anforderungen muss eine Konformitätsbewertung durchgeführt werden, bevor das System die CE-Kennzeichnung erhält.
Interne Konformitätsbewertung (Annex VI)
Für die meisten Hochrisiko-Systeme
- • Selbstbewertung durch den Anbieter
- • Überprüfung des Qualitätsmanagementsystems
- • Prüfung der technischen Dokumentation
- • Ausstellung der EU-Konformitätserklärung
- • Anbringen der CE-Kennzeichnung
Bewertung durch benannte Stelle (Annex VII)
Nur für biometrische Systeme (Annex III, Nr. 1)
- • Externe Prüfung durch akkreditierte Stelle
- • Vollständige Dokumentationsprüfung
- • Ggf. Systemtests vor Ort
- • Zertifikatsausstellung
- • Regelmäßige Überwachungsaudits
Registrierung in der EU-Datenbank (Art. 71)
Vor dem Inverkehrbringen oder der Inbetriebnahme müssen Hochrisiko-KI-Systeme in der öffentlichen EU-Datenbank registriert werden:
Anbieter registriert
- • Name und Kontaktdaten
- • Systembeschreibung
- • Konformitätsstatus
Betreiber registriert
- • Name und Kontaktdaten
- • Verwendungszweck
- • Einsatzbereich
Öffentlich einsehbar
- • Systemübersicht
- • Gebrauchsanweisung
- • Konformitätserklärung
Implementierungs-Checkliste
Phase 1: Vorbereitung (6-12 Monate vor Deadline)
- KI-Inventar erstellen und klassifizieren
- Gap-Analyse durchführen
- Risikomanagementsystem aufbauen
- Data Governance etablieren
Phase 2: Implementierung (3-6 Monate vor Deadline)
- Technische Dokumentation erstellen
- Logging-Systeme implementieren
- Menschliche Aufsicht sicherstellen
- Konformitätsbewertung durchführen
Ist Ihr KI-System Hochrisiko?
Nutzen Sie unseren kostenlosen Risiko-Rechner, um in 3 Minuten zu prüfen, ob Ihr KI-System unter die Hochrisiko-Kategorie fällt.
Jetzt Risiko-Check startenHäufig gestellte Fragen
Wann muss ich die Anforderungen für Hochrisiko-KI erfüllen?
Die Anforderungen für Hochrisiko-KI-Systeme gelten ab dem 2. August 2026. Anbieter sollten jedoch bereits jetzt mit der Vorbereitung beginnen, da die Implementierung eines vollständigen Risikomanagementsystems und die Erstellung der technischen Dokumentation erheblichen Aufwand erfordert.
Brauche ich eine Konformitätsbewertung durch eine benannte Stelle?
Nur für bestimmte biometrische Systeme (Annex III, Nr. 1) ist eine Bewertung durch eine benannte Stelle erforderlich. Für die meisten anderen Hochrisiko-Systeme reicht eine interne Konformitätsbewertung basierend auf Annex VI aus.
Wie detailliert muss die technische Dokumentation sein?
Die Dokumentation muss ausreichend detailliert sein, um die Konformität des Systems nachzuweisen. Sie sollte alle in Annex IV gelisteten Elemente enthalten und den Marktüberwachungsbehörden eine vollständige Bewertung ermöglichen.
Was bedeutet 'menschliche Aufsicht' konkret?
Menschliche Aufsicht bedeutet, dass natürliche Personen in der Lage sein müssen, die Ausgaben des Systems zu verstehen, zu überwachen und bei Bedarf einzugreifen. Dies kann durch Echtzeitüberwachung, Benachrichtigungssysteme oder manuelle Überprüfungsprozesse erreicht werden.
Müssen alle Trainingsdaten dokumentiert werden?
Ja, die Data Governance nach Art. 10 erfordert eine vollständige Dokumentation der verwendeten Datensätze, einschließlich Herkunft, Vorverarbeitung, Kennzeichnung und durchgeführter Bias-Prüfungen. Die Daten selbst müssen für die technische Dokumentation aufbewahrt werden.