EU AI Act: Die technischen Anforderungen für Hochrisiko-KI

Stellen Sie sich vor, Sie starten den Motor eines brandneuen, KI-gesteuerten Autos. Sie vertrauen darauf, dass jeder Sensor, jede Codezeile und jeder Datensatz rigoros geprüft wurde. Sie vertrauen darauf, dass es nicht nur intelligent, sondern auch sicher, robust und zuverlässig ist. Genau dieses Vertrauen will der EU AI Act für künstliche Intelligenz schaffen – insbesondere für sogenannte Hochrisiko-KI-Systeme.

‍

Doch für Entwickler, Produktmanager und Compliance-Verantwortliche fühlt sich dieser Weg oft wie eine Fahrt durch dichten Nebel an. Die Anforderungen sind komplex, die Konsequenzen bei Nichteinhaltung gravierend – Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes sind eine deutliche Ansage.

‍

Dieser Leitfaden ist Ihre Navigationshilfe. Wir übersetzen die juristischen Anforderungen in eine klare, technische Sprache und zeigen Ihnen die drei entscheidenden Säulen, auf denen jedes konforme Hochrisiko-KI-System stehen muss: Datenqualität, Cybersicherheit und menschliche Aufsicht. Betrachten Sie dies nicht als Belastung, sondern als Bauplan für erstklassige, vertrauenswürdige und marktführende KI.

‍

Foundation: Bin ich betroffen? Eine 5-Minuten-Analyse für Ihr KI-System

‍

Bevor Sie sich in die technischen Details stürzen, muss die wichtigste Frage geklärt werden: Fällt Ihr KI-System überhaupt in die Kategorie „Hochrisiko“? Der AI Act teilt KI-Systeme in verschiedene Risikostufen ein, von minimal bis inakzeptabel. Die strengsten Regeln gelten für Hochrisiko-Systeme, da diese die Gesundheit, Sicherheit oder Grundrechte von Personen gefährden könnten.

‍

Typische Beispiele sind KI-Anwendungen in der medizinischen Diagnostik, im Recruiting (Sortierung von Bewerbungen), bei der Kreditwürdigkeitsprüfung oder in kritischen Infrastrukturen. Die genaue Risikoklassifizierung von KI-Systemen ist der erste und wichtigste Schritt auf Ihrem Weg zur Compliance.

‍

Um Ihnen diese Analyse zu erleichtern, haben wir einen einfachen Entscheidungsbaum entwickelt.

‍

Dieser Entscheidungsbaum hilft Entwicklern, Compliance-Beauftragten und Führungskräften schnell zu ermitteln, ob ihr KI-System den Hochrisiko-Kategorien des EU AI Acts entspricht – ein essenzieller erster Schritt zur rechtskonformen Implementierung.

‍

Wenn Sie nach dieser Prüfung feststellen, dass Ihr System als Hochrisiko eingestuft wird, sind die folgenden technischen Säulen für Sie von entscheidender Bedeutung.

‍

Building: Die Technischen Säulen der Compliance

‍

Ein konformes Hochrisiko-KI-System ruht auf drei fundamentalen technischen Säulen. Diese sind keine isolierten Checkboxen, sondern greifen ineinander, um ein durchgängig sicheres und zuverlässiges System zu gewährleisten.

‍

Säule 1: Datenqualität & Governance – Mehr als nur saubere Daten

‍

Jedes KI-System ist nur so gut wie die Daten, mit denen es trainiert wird. Der AI Act stellt daher strenge Anforderungen an die Daten-Governance. Im Klartext: Sie müssen genau wissen, woher Ihre Daten stammen, wie sie aufbereitet wurden und welche potenziellen Schwachstellen sie haben.

‍

Was bedeutet das konkret für Ihr Team?

‍

• Relevanz und Repräsentativität: Die Trainings-, Validierungs- und Testdatensätze müssen relevant, repräsentativ, fehlerfrei und vollständig sein. Ein System zur Kreditwürdigkeitsprüfung, das nur mit Daten aus einer bestimmten demografischen Gruppe trainiert wurde, wird zwangsläufig diskriminierende Ergebnisse liefern.
  ‍
• Bias-Erkennung und -Minderung: Sie müssen proaktiv nach Verzerrungen (Bias) in Ihren Daten suchen und diese minimieren. Das betrifft oft sensible Daten wie Geschlecht, Alter oder Herkunft. Dokumentieren Sie Ihre Annahmen und die Schritte, die Sie zur Fairness-Optimierung unternommen haben.
  ‍
• Daten-Herkunft (Data Lineage): Es muss jederzeit nachvollziehbar sein, woher die Daten stammen und wie sie sich über die Zeit verändert haben. Datenversionierung ist hier kein „Nice-to-have“, sondern eine Pflicht.
  ‍
• Einhaltung der DSGVO: Die Anforderungen des AI Acts an Daten gehen Hand in Hand mit der DSGVO. Prinzipien wie Datenminimierung und Zweckbindung müssen auch bei der Entwicklung von KI-Systemen beachtet werden.

‍

Säule 2: Cybersicherheit & Robustheit – Die Festung für Ihre KI

‍

Ein Hochrisiko-KI-System ist ein attraktives Ziel für Angriffe. Es muss daher von Grund auf sicher konzipiert sein („Security by Design“). Robustheit bedeutet in diesem Kontext, dass das System auch unter unerwarteten oder feindlichen Bedingungen zuverlässig funktioniert.

‍

Was bedeutet das konkret für Ihr Team?

‍

• Schutz vor Manipulation: Ihr System muss widerstandsfähig gegen Angriffe sein, die sein Verhalten manipulieren könnten. Dazu gehören Adversarial Attacks (gezielte, minimale Änderungen an den Eingabedaten, um die KI zu täuschen) und Data Poisoning (Manipulation der Trainingsdaten).
  ‍
• Sicherer Entwicklungszyklus (Secure SDLC): Implementieren Sie Sicherheitspraktiken in jedem Schritt des Entwicklungsprozesses, von der Planung über das Coding bis hin zum Deployment und Betrieb.
  ‍
• Zugriffskontrolle und Vertraulichkeit: Stellen Sie sicher, dass nur autorisierte Personen Zugriff auf das System und seine Daten haben. Verschlüsselung von Daten im Ruhezustand und während der Übertragung ist Standard.
  ‍
• Notfallpläne: Was passiert, wenn doch eine Schwachstelle ausgenutzt wird? Sie benötigen klare Pläne zur Reaktion auf Sicherheitsvorfälle, um den Schaden zu minimieren und das System schnell wieder in einen sicheren Zustand zu versetzen.

‍

Dieses Diagramm visualisiert die wichtigsten technischen Schritte für die Sicherstellung von Datenqualität und Cybersicherheit in Hochrisiko-KI-Systemen – eine praxisorientierte Anleitung für Entwickler und Compliance-Teams.

‍

Säule 3: Menschliche Aufsicht (Human Oversight) – Der Mensch bleibt im Loop

‍

Der AI Act stellt klar: Ein Hochrisiko-KI-System darf niemals eine vollständig autonome „Black Box“ sein. Es muss immer eine effektive menschliche Aufsicht möglich sein, um Risiken zu kontrollieren und fehlerhafte Entscheidungen zu korrigieren.

‍

Was bedeutet das konkret für Ihr Team?

‍

• Verständlichkeit und Interpretierbarkeit: Die Person, die das System überwacht, muss dessen Funktionsweise und Grenzen verstehen. Die Ergebnisse der KI müssen nachvollziehbar sein.
  ‍
• Eingriffsmöglichkeiten: Der Mensch muss in der Lage sein, jederzeit einzugreifen, die Entscheidung der KI zu überstimmen oder das System komplett abzuschalten („Stop-Button“).
  ‍
• Klare Verantwortlichkeiten: Es muss definiert sein, wer für die Überwachung zuständig ist und welche Qualifikationen diese Person benötigt.
  ‍
• Implementierungsmodelle: Je nach Anwendungsfall gibt es verschiedene Modelle der Aufsicht:
  • Human-in-the-loop: Jeder Output der KI wird von einem Menschen geprüft und freigegeben (z. B. ein Radiologe bestätigt die KI-gestützte Diagnose).
  • Human-on-the-loop: Der Mensch überwacht das System und greift nur bei Fehlern oder in Ausnahmesituationen ein (z. B. ein Operator in einer Produktionsanlage).

‍

Mastery: Dokumentation & Governance in der Praxis

‍

Eine der größten Herausforderungen des AI Acts ist die Pflicht zur lückenlosen technischen Dokumentation. Sie müssen nicht nur die Regeln befolgen, sondern auch nachweisen können, dass und wie Sie sie befolgen. Diese Dokumentation ist kein einmaliges Projekt, sondern ein lebendes Dokument, das mit dem KI-System weiterentwickelt wird.

‍

Ein zentrales Element ist dabei das Qualitätsmanagementsystem (QMS). Es beschreibt alle Prozesse und Verantwortlichkeiten, die Sie zur Einhaltung der Vorschriften etabliert haben. Wenn Sie sich fragen, welche Schritte für die ISO 9001 Zertifizierung nötig sind, finden Sie dort viele Parallelen zu den Anforderungen des AI Acts an ein robustes QMS.

‍

Die technische Dokumentation muss unter anderem Folgendes enthalten:

‍

• Eine allgemeine Beschreibung des KI-Systems, seiner Ziele und seiner Architektur.
• Detaillierte Informationen über die verwendeten Daten (Herkunft, Aufbereitung, Bias-Analysen).
• Eine Beschreibung der Systeme zur Cybersicherheit und Robustheit.
• Die implementierten Mechanismen zur menschlichen Aufsicht.
• Validierungs- und Testergebnisse, die die Genauigkeit und Leistung des Systems belegen.

‍

Diese Checkliste fasst die wesentlichen Pflichten zur technischen Dokumentation und Governance von Hochrisiko-KI-Systemen übersichtlich zusammen – ein unverzichtbares Merkblatt für Teams zur Einhaltung des EU AI Acts.

‍

Action: Ihr Compliance-Fahrplan

‍

Die Umsetzung dieser Anforderungen ist komplex, aber mit einem strukturierten Vorgehen machbar. Hier sind Ihre nächsten Schritte:

‍

1. Risiko klassifizieren: Nutzen Sie den obigen Entscheidungsbaum, um den Status Ihres KI-Systems verbindlich zu klären.
2. Verantwortlichkeiten festlegen: Benennen Sie einen „AI Compliance Officer“ oder ein Team, das den Prozess steuert.
3. Daten-Audit durchführen: Analysieren Sie Ihre Trainings- und Testdaten auf Qualität, Bias und Herkunft. Dokumentieren Sie alles.
4. Sicherheitsprotokolle überprüfen: Führen Sie eine Risikobewertung für Cybersicherheit durch und gleichen Sie diese mit den Anforderungen des AI Acts ab.
5. Aufsichtskonzept entwickeln: Definieren Sie, wie die menschliche Aufsicht in Ihrem Anwendungsfall konkret aussehen soll.
6. Dokumentation beginnen: Starten Sie frühzeitig mit der Erstellung der technischen Dokumentation. Warten Sie nicht bis zum Ende des Projekts.
7. Technologie nutzen: Compliance muss nicht ausschließlich manuelle Arbeit sein. Eine AI Act Compliance Software kann Prozesse wie die Dokumentationserstellung, das Risikomanagement und die Überwachung automatisieren und so den Aufwand erheblich reduzieren.

‍

Häufig gestellte Fragen (FAQ)

‍

Was genau sind Hochrisiko-KI-Systeme?

‍

‍Hochrisiko-KI-Systeme sind solche, die ein potenziell hohes Risiko für die Gesundheit, Sicherheit oder die Grundrechte von Menschen darstellen. Der AI Act listet in Anhang III spezifische Anwendungsbereiche auf, wie z. B. KI in medizinischen Geräten, in der Personalverwaltung, in der kritischen Infrastruktur oder in der Strafverfolgung.

‍

Wer ist für die Einhaltung verantwortlich? Nur der Entwickler?

‍

‍Ein häufiges Missverständnis. Der AI Act unterscheidet zwischen „Anbietern“ (die das System entwickeln und in Verkehr bringen) und „Betreibern“ oder „Nutzern“ (die das System einsetzen). Beide Parteien haben spezifische Pflichten. Anbieter müssen das System konform gestalten und dokumentieren. Betreiber müssen es gemäß den Anweisungen verwenden, die menschliche Aufsicht sicherstellen und die Eingabedaten kontrollieren.

‍

Reicht es, das KI-System einmal vor dem Launch zu prüfen?

‍

‍Nein. Compliance ist ein kontinuierlicher Prozess. Hochrisiko-KI-Systeme müssen über ihren gesamten Lebenszyklus hinweg überwacht werden (Post-Market Monitoring). Das gilt insbesondere für Systeme, die kontinuierlich lernen und sich verändern. Jede wesentliche Änderung erfordert eine erneute Konformitätsbewertung.

‍

Was gehört alles in die technische Dokumentation?

‍

‍Die Dokumentation ist sehr umfassend. Sie muss unter anderem die Architektur, die verwendeten Daten, die Algorithmen, die Maßnahmen zur Cybersicherheit und menschlichen Aufsicht, die Leistungsmetriken sowie die Risiko- und Qualitätsmanagementprozesse detailliert beschreiben. Sie dient als zentraler Nachweis gegenüber den Behörden.

‍