EU AI Act: Post-Market-Monitoring als Erfolgsfaktor für KI

Stellen Sie sich vor, Sie kaufen ein hochmodernes Auto. Es glänzt, der Motor schnurrt, und der TÜV hat gerade seinen Stempel unter die Zulassung gesetzt. Sie fahren los und fühlen sich sicher. Doch was passiert nach 10.000 Kilometern? Was, wenn die Sensoren bei starkem Regen plötzlich falsch reagieren oder die Bremssoftware ein Update benötigt?

‍

Genau hier setzt der EU AI Act mit einem Konzept an, das viele Unternehmen überrascht: Die Arbeit endet nicht mit der CE-Kennzeichnung. Für Anbieter von Hochrisiko-KI-Systemen beginnt nach dem „Go-Live“ eine der wichtigsten Phasen – die kontinuierliche Überwachung und das sogenannte Post-Market-Monitoring.

‍

In diesem Artikel nehmen wir dieses komplexe Behördendeutsch auseinander und erklären, warum diese Pflichten kein reines Bürokratie-Monster sind, sondern Ihre Lebensversicherung gegen schleichende Fehler und Haftungsrisiken.

‍

Der Mythos vom „fertigen“ KI-Produkt

‍

In der klassischen Softwareentwicklung galt oft das Prinzip: Entwickeln, Testen, Deployen, Warten auf Bug-Reports. Bei Künstlicher Intelligenz funktioniert das nicht. KI-Modelle interagieren dynamisch mit ihrer Umwelt. Ein Modell, das heute präzise Vorhersagen trifft, kann in sechs Monaten durch veränderte Realitäten (sogenannter „Data Drift“) völlig danebenliegen.

‍

Der Gesetzgeber hat dies erkannt. Deshalb verlangt der AI Act, dass Anbieter nicht nur im Labor testen, sondern ein System etablieren, das die KI „in freier Wildbahn“ beobachtet.

‍

‍

Was genau ist Post-Market-Monitoring?

‍

Post-Market-Monitoring ist im Grunde ein Frühwarnsystem. Es verpflichtet Sie als Anbieter, proaktiv Erfahrungen aus der Nutzung Ihrer KI-Systeme zu sammeln und auszuwerten. Ziel ist es, sofort zu erkennen, wenn:

‍

1. Sich neue Risiken ergeben, die bei der Entwicklung nicht vorhersehbar waren.
2. Das System zweckentfremdet wird (Misuse).
3. Die Leistungskurve abfällt.

‍

Es geht also nicht darum, ob Ihre KI heute compliant ist, sondern ob sie es auch morgen noch ist. Dies ist eng verknüpft mit den Anforderungen an technische Anforderungen für Hochrisiko-KI, die sicherstellen sollen, dass Systeme robust und transparent bleiben.

‍

Der Prozess: Vom Datenpunkt zur Korrekturmaßnahme

‍

Viele Unternehmen fragen sich: „Muss ich jetzt jeden einzelnen Output meiner KI manuell prüfen?“ Nein, das wäre unmöglich. Stattdessen fordert der Gesetzgeber einen strukturierten Prozess.

‍

Ein effektives Post-Market-Monitoring-System (PMMS) basiert auf einem Kreislauf. Sie definieren Metriken (z. B. Genauigkeit, Fairness-Scores), sammeln automatisiert Daten und bewerten diese regelmäßig. Wenn Sie hierbei Muster erkennen, die auf ein Risiko hindeuten, müssen Sie handeln.

‍

Noch kritischer wird es bei schwerwiegenden Vorfällen. Wenn Ihre KI beispielsweise die Gesundheit von Menschen gefährdet oder kritische Infrastruktur stört, greifen strenge Meldepflichten – ähnlich wie wir es aus der Cybersicherheit kennen.

‍

‍

Wenn der „Worst Case“ eintritt: Meldepflichten

‍

Der AI Act versteht keinen Spaß, wenn es um Sicherheitsvorfälle geht. Ein schwerwiegender Vorfall muss unverzüglich, spätestens jedoch 15 Tage nach Bekanntwerden, an die Marktüberwachungsbehörden gemeldet werden. Bei Gefahr für Leib und Leben schrumpft diese Frist sogar auf 10 Tage.

‍

Hier sehen wir starke Parallelen zu anderen Regulierungen. Wer sich bereits mit NIS2 Meldepflichten auseinandergesetzt hat, wird die Mechanismen wiedererkennen. Ein integriertes Vorfallsmanagement ist daher keine Kür, sondern Pflicht. Es reicht nicht, den Fehler technisch zu beheben; der gesamte Vorgang muss dokumentiert und kommuniziert werden.

‍

Die Falle der „wesentlichen Änderung“

‍

Ein Aspekt, der beim kontinuierlichen Monitoring oft übersehen wird, ist die Evolution des Produkts. Software lebt von Updates. Doch Vorsicht: Verändern Sie Ihr KI-System so stark, dass sich seine Zweckbestimmung ändert oder neue Risiken entstehen, gilt dies als „wesentliche Änderung“.

‍

Das Ergebnis? Ihr System wird quasi als „neues“ Produkt behandelt. Sie müssen die Konformitätsbewertung erneut durchlaufen. Dies ist besonders relevant, wenn man bedenkt, welche Risikoklassen der EU AI Act definiert. Ein Update könnte theoretisch dazu führen, dass ein System in eine höhere Risikokategorie rutscht oder bestehende Sicherheitsmaßnahmen nicht mehr ausreichen.

‍

Synergien schaffen: Compliance ist Teamsport

‍

Vielleicht raucht Ihnen jetzt der Kopf vor lauter Anforderungen: Monitoring-Pläne, Vorfallsmeldungen, Drift-Erkennung. Die gute Nachricht ist: Sie müssen das Rad nicht neu erfinden.

‍

Die Anforderungen des AI Act an die Überwachung lassen sich hervorragend mit bestehenden Systemen verknüpfen:

‍

1. Datenschutz: Die Überwachung der KI-Outputs überschneidet sich oft mit der Frage, ob eine Anwendung DSGVO und "EU AI Act"-konform ist.
   ‍
2. Security: Ein automatisiertes Monitoring Ihrer IT-Infrastruktur (z.B. für NIS2 oder ISO 27001) kann oft um KI-spezifische Metriken erweitert werden.
   ‍
3. Qualitätsmanagement: Wenn Sie ISO 9001 nutzen, sind Prozesse zur Fehlerkorrektur bereits Teil Ihrer DNA.

‍

Der Schlüssel liegt darin, diese Prozesse nicht isoliert in einer Excel-Tabelle zu pflegen, sondern über eine zentrale Digital Compliance Plattform zu steuern. So vermeiden Sie Datensilos und stellen sicher, dass eine Warnmeldung im Security-Dashboard auch die richtige Reaktion im Compliance-Team auslöst.

‍

Fazit: Vertrauen durch Transparenz

‍

Kontinuierliche Überwachung und Post-Market-Monitoring klingen nach strenger Kontrolle. Doch in Wahrheit sind sie Qualitätsmerkmale. Sie signalisieren Ihren Kunden: „Wir werfen kein Produkt auf den Markt und verschwinden dann. Wir kümmern uns darum, dass es sicher und zuverlässig bleibt.“

‍

In einer Welt, in der das Vertrauen in KI noch fragil ist, wird diese proaktive Haltung zum Wettbewerbsvorteil.

‍

‍

Die nächsten Schritte

‍

Sie haben nun einen Überblick über die Pflichten nach dem Marktstart. Fühlt sich das noch etwas überwältigend an? Das ist normal. Der EU AI Act ist komplex, aber er ist auch bewältigbar.

‍

Beginnen Sie damit, Ihre aktuellen KI-Systeme zu inventarisieren und zu prüfen, ob Sie die notwendigen Datenpunkte für ein Monitoring überhaupt schon erfassen. Compliance ist kein Sprint, sondern ein Marathon – und mit der richtigen Vorbereitung kommen Sie sicher ins Ziel.

‍

Häufige Fragen (FAQ)

‍

Gilt das Post-Market-Monitoring für alle KI-Systeme?

‍

Nein, die strengen, formalisierten Pflichten zum Post-Market-Monitoring treffen primär Anbieter von Hochrisiko-KI-Systemen. Für Systeme mit geringem Risiko (z.B. Spam-Filter) gelten deutlich niedrigere Anforderungen, oft reicht eine freiwillige Selbstverpflichtung. Um sicherzugehen, sollten Sie prüfen, welche Risikoklassen der EU AI Act definiert und wo Ihr System eingeordnet wird.

‍

Was passiert, wenn ich einen Vorfall nicht melde?

‍

Das Verschweigen von schwerwiegenden Vorfällen kann teuer werden. Der EU AI Act sieht empfindliche Bußgelder vor. Zudem droht ein Reputationsschaden, der für junge Tech-Unternehmen oft verheerender ist als die Geldstrafe selbst.

‍

Wie unterscheidet sich ein „Vorfall“ im AI Act von NIS2?

‍

Es gibt Überschneidungen, aber der Fokus ist anders. NIS2 konzentriert sich auf die Cybersicherheit und die Verfügbarkeit von Diensten. Im AI Act geht es auch um Grundrechte, Diskriminierung oder physische Sicherheit. Ein Vorfall kann also unter beide Regelungen fallen, weshalb eine harmonisierte Meldestruktur essenziell ist.

‍

Kann ich das Monitoring automatisieren?

‍

Absolut, und das sollten Sie auch. Manuelle Überwachung ist fehleranfällig und nicht skalierbar. Moderne Compliance-Plattformen ermöglichen ein automatisiertes Monitoring, das Abweichungen in Echtzeit erkennt und die entsprechenden Workflows anstößt.

‍