In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
EU AI Act: Die technischen Anforderungen für Hochrisiko-KI

EU AI Act: Die technischen Anforderungen für Hochrisiko-KI

Niklas Hanitsch

Volljurist und Compliance-Experte

November 21, 2025

5 Minuten

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Key Takeaways

Hochrisiko-KI benötigt strenge Datenqualität, Cybersicherheit und klare menschliche Aufsicht, um EU-AI-Act-konform zu sein.

Eine saubere Dokumentation ist unverzichtbar, da sie die technische Funktionsweise, Risiken und Governance des Systems nachweisbar macht.

Bias-Analysen, robuste Sicherheitsmechanismen und nachvollziehbare Modelle sind zentrale Voraussetzungen für vertrauenswürdige KI.

Compliance ist kein einmaliger Check, sondern ein kontinuierlicher Prozess über den gesamten Lebenszyklus der KI hinweg.

Stellen Sie sich vor, Sie starten den Motor eines brandneuen, KI-gesteuerten Autos. Sie vertrauen darauf, dass jeder Sensor, jede Codezeile und jeder Datensatz rigoros geprüft wurde. Sie vertrauen darauf, dass es nicht nur intelligent, sondern auch sicher, robust und zuverlässig ist. Genau dieses Vertrauen will der EU AI Act für künstliche Intelligenz schaffen – insbesondere für sogenannte Hochrisiko-KI-Systeme.

Doch für Entwickler, Produktmanager und Compliance-Verantwortliche fühlt sich dieser Weg oft wie eine Fahrt durch dichten Nebel an. Die Anforderungen sind komplex, die Konsequenzen bei Nichteinhaltung gravierend – Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes sind eine deutliche Ansage.

Dieser Leitfaden ist Ihre Navigationshilfe. Wir übersetzen die juristischen Anforderungen in eine klare, technische Sprache und zeigen Ihnen die drei entscheidenden Säulen, auf denen jedes konforme Hochrisiko-KI-System stehen muss: Datenqualität, Cybersicherheit und menschliche Aufsicht. Betrachten Sie dies nicht als Belastung, sondern als Bauplan für erstklassige, vertrauenswürdige und marktführende KI.

Foundation: Bin ich betroffen? Eine 5-Minuten-Analyse für Ihr KI-System

Bevor Sie sich in die technischen Details stürzen, muss die wichtigste Frage geklärt werden: Fällt Ihr KI-System überhaupt in die Kategorie „Hochrisiko“? Der AI Act teilt KI-Systeme in verschiedene Risikostufen ein, von minimal bis inakzeptabel. Die strengsten Regeln gelten für Hochrisiko-Systeme, da diese die Gesundheit, Sicherheit oder Grundrechte von Personen gefährden könnten.

Typische Beispiele sind KI-Anwendungen in der medizinischen Diagnostik, im Recruiting (Sortierung von Bewerbungen), bei der Kreditwürdigkeitsprüfung oder in kritischen Infrastrukturen. Die genaue Risikoklassifizierung von KI-Systemen ist der erste und wichtigste Schritt auf Ihrem Weg zur Compliance.

Um Ihnen diese Analyse zu erleichtern, haben wir einen einfachen Entscheidungsbaum entwickelt.

Entscheidungsbaum zur Klassifizierung von Hochrisiko-KI-Systemen nach EU AI Act

Dieser Entscheidungsbaum hilft Entwicklern, Compliance-Beauftragten und Führungskräften schnell zu ermitteln, ob ihr KI-System den Hochrisiko-Kategorien des EU AI Acts entspricht – ein essenzieller erster Schritt zur rechtskonformen Implementierung.

Wenn Sie nach dieser Prüfung feststellen, dass Ihr System als Hochrisiko eingestuft wird, sind die folgenden technischen Säulen für Sie von entscheidender Bedeutung.

Building: Die Technischen Säulen der Compliance

Ein konformes Hochrisiko-KI-System ruht auf drei fundamentalen technischen Säulen. Diese sind keine isolierten Checkboxen, sondern greifen ineinander, um ein durchgängig sicheres und zuverlässiges System zu gewährleisten.

Säule 1: Datenqualität & Governance – Mehr als nur saubere Daten

Jedes KI-System ist nur so gut wie die Daten, mit denen es trainiert wird. Der AI Act stellt daher strenge Anforderungen an die Daten-Governance. Im Klartext: Sie müssen genau wissen, woher Ihre Daten stammen, wie sie aufbereitet wurden und welche potenziellen Schwachstellen sie haben.

Was bedeutet das konkret für Ihr Team?

  • Relevanz und Repräsentativität: Die Trainings-, Validierungs- und Testdatensätze müssen relevant, repräsentativ, fehlerfrei und vollständig sein. Ein System zur Kreditwürdigkeitsprüfung, das nur mit Daten aus einer bestimmten demografischen Gruppe trainiert wurde, wird zwangsläufig diskriminierende Ergebnisse liefern.
  • Bias-Erkennung und -Minderung: Sie müssen proaktiv nach Verzerrungen (Bias) in Ihren Daten suchen und diese minimieren. Das betrifft oft sensible Daten wie Geschlecht, Alter oder Herkunft. Dokumentieren Sie Ihre Annahmen und die Schritte, die Sie zur Fairness-Optimierung unternommen haben.
  • Daten-Herkunft (Data Lineage): Es muss jederzeit nachvollziehbar sein, woher die Daten stammen und wie sie sich über die Zeit verändert haben. Datenversionierung ist hier kein „Nice-to-have“, sondern eine Pflicht.
  • Einhaltung der DSGVO: Die Anforderungen des AI Acts an Daten gehen Hand in Hand mit der DSGVO. Prinzipien wie Datenminimierung und Zweckbindung müssen auch bei der Entwicklung von KI-Systemen beachtet werden.

Säule 2: Cybersicherheit & Robustheit – Die Festung für Ihre KI

Ein Hochrisiko-KI-System ist ein attraktives Ziel für Angriffe. Es muss daher von Grund auf sicher konzipiert sein („Security by Design“). Robustheit bedeutet in diesem Kontext, dass das System auch unter unerwarteten oder feindlichen Bedingungen zuverlässig funktioniert.

Was bedeutet das konkret für Ihr Team?

  • Schutz vor Manipulation: Ihr System muss widerstandsfähig gegen Angriffe sein, die sein Verhalten manipulieren könnten. Dazu gehören Adversarial Attacks (gezielte, minimale Änderungen an den Eingabedaten, um die KI zu täuschen) und Data Poisoning (Manipulation der Trainingsdaten).
  • Sicherer Entwicklungszyklus (Secure SDLC): Implementieren Sie Sicherheitspraktiken in jedem Schritt des Entwicklungsprozesses, von der Planung über das Coding bis hin zum Deployment und Betrieb.
  • Zugriffskontrolle und Vertraulichkeit: Stellen Sie sicher, dass nur autorisierte Personen Zugriff auf das System und seine Daten haben. Verschlüsselung von Daten im Ruhezustand und während der Übertragung ist Standard.
  • Notfallpläne: Was passiert, wenn doch eine Schwachstelle ausgenutzt wird? Sie benötigen klare Pläne zur Reaktion auf Sicherheitsvorfälle, um den Schaden zu minimieren und das System schnell wieder in einen sicheren Zustand zu versetzen.

Diagramm zu Datenqualität und Cybersicherheit für Hochrisiko-KI

Dieses Diagramm visualisiert die wichtigsten technischen Schritte für die Sicherstellung von Datenqualität und Cybersicherheit in Hochrisiko-KI-Systemen – eine praxisorientierte Anleitung für Entwickler und Compliance-Teams.

Säule 3: Menschliche Aufsicht (Human Oversight) – Der Mensch bleibt im Loop

Der AI Act stellt klar: Ein Hochrisiko-KI-System darf niemals eine vollständig autonome „Black Box“ sein. Es muss immer eine effektive menschliche Aufsicht möglich sein, um Risiken zu kontrollieren und fehlerhafte Entscheidungen zu korrigieren.

Was bedeutet das konkret für Ihr Team?

  • Verständlichkeit und Interpretierbarkeit: Die Person, die das System überwacht, muss dessen Funktionsweise und Grenzen verstehen. Die Ergebnisse der KI müssen nachvollziehbar sein.
  • Eingriffsmöglichkeiten: Der Mensch muss in der Lage sein, jederzeit einzugreifen, die Entscheidung der KI zu überstimmen oder das System komplett abzuschalten („Stop-Button“).
  • Klare Verantwortlichkeiten: Es muss definiert sein, wer für die Überwachung zuständig ist und welche Qualifikationen diese Person benötigt.
  • Implementierungsmodelle: Je nach Anwendungsfall gibt es verschiedene Modelle der Aufsicht:
    • Human-in-the-loop: Jeder Output der KI wird von einem Menschen geprüft und freigegeben (z. B. ein Radiologe bestätigt die KI-gestützte Diagnose).
    • Human-on-the-loop: Der Mensch überwacht das System und greift nur bei Fehlern oder in Ausnahmesituationen ein (z. B. ein Operator in einer Produktionsanlage).

Mastery: Dokumentation & Governance in der Praxis

Eine der größten Herausforderungen des AI Acts ist die Pflicht zur lückenlosen technischen Dokumentation. Sie müssen nicht nur die Regeln befolgen, sondern auch nachweisen können, dass und wie Sie sie befolgen. Diese Dokumentation ist kein einmaliges Projekt, sondern ein lebendes Dokument, das mit dem KI-System weiterentwickelt wird.

Ein zentrales Element ist dabei das Qualitätsmanagementsystem (QMS). Es beschreibt alle Prozesse und Verantwortlichkeiten, die Sie zur Einhaltung der Vorschriften etabliert haben. Wenn Sie sich fragen, welche Schritte für die ISO 9001 Zertifizierung nötig sind, finden Sie dort viele Parallelen zu den Anforderungen des AI Acts an ein robustes QMS.

Die technische Dokumentation muss unter anderem Folgendes enthalten:

  • Eine allgemeine Beschreibung des KI-Systems, seiner Ziele und seiner Architektur.
  • Detaillierte Informationen über die verwendeten Daten (Herkunft, Aufbereitung, Bias-Analysen).
  • Eine Beschreibung der Systeme zur Cybersicherheit und Robustheit.
  • Die implementierten Mechanismen zur menschlichen Aufsicht.
  • Validierungs- und Testergebnisse, die die Genauigkeit und Leistung des Systems belegen.

Checkliste zur technischen Dokumentation für Hochrisiko-KI

Diese Checkliste fasst die wesentlichen Pflichten zur technischen Dokumentation und Governance von Hochrisiko-KI-Systemen übersichtlich zusammen – ein unverzichtbares Merkblatt für Teams zur Einhaltung des EU AI Acts.

Action: Ihr Compliance-Fahrplan

Die Umsetzung dieser Anforderungen ist komplex, aber mit einem strukturierten Vorgehen machbar. Hier sind Ihre nächsten Schritte:

  1. Risiko klassifizieren: Nutzen Sie den obigen Entscheidungsbaum, um den Status Ihres KI-Systems verbindlich zu klären.
  2. Verantwortlichkeiten festlegen: Benennen Sie einen „AI Compliance Officer“ oder ein Team, das den Prozess steuert.
  3. Daten-Audit durchführen: Analysieren Sie Ihre Trainings- und Testdaten auf Qualität, Bias und Herkunft. Dokumentieren Sie alles.
  4. Sicherheitsprotokolle überprüfen: Führen Sie eine Risikobewertung für Cybersicherheit durch und gleichen Sie diese mit den Anforderungen des AI Acts ab.
  5. Aufsichtskonzept entwickeln: Definieren Sie, wie die menschliche Aufsicht in Ihrem Anwendungsfall konkret aussehen soll.
  6. Dokumentation beginnen: Starten Sie frühzeitig mit der Erstellung der technischen Dokumentation. Warten Sie nicht bis zum Ende des Projekts.
  7. Technologie nutzen: Compliance muss nicht ausschließlich manuelle Arbeit sein. Eine AI Act Compliance Software kann Prozesse wie die Dokumentationserstellung, das Risikomanagement und die Überwachung automatisieren und so den Aufwand erheblich reduzieren.

Häufig gestellte Fragen (FAQ)

Was genau sind Hochrisiko-KI-Systeme?

Hochrisiko-KI-Systeme sind solche, die ein potenziell hohes Risiko für die Gesundheit, Sicherheit oder die Grundrechte von Menschen darstellen. Der AI Act listet in Anhang III spezifische Anwendungsbereiche auf, wie z. B. KI in medizinischen Geräten, in der Personalverwaltung, in der kritischen Infrastruktur oder in der Strafverfolgung.

Wer ist für die Einhaltung verantwortlich? Nur der Entwickler?

Ein häufiges Missverständnis. Der AI Act unterscheidet zwischen „Anbietern“ (die das System entwickeln und in Verkehr bringen) und „Betreibern“ oder „Nutzern“ (die das System einsetzen). Beide Parteien haben spezifische Pflichten. Anbieter müssen das System konform gestalten und dokumentieren. Betreiber müssen es gemäß den Anweisungen verwenden, die menschliche Aufsicht sicherstellen und die Eingabedaten kontrollieren.

Reicht es, das KI-System einmal vor dem Launch zu prüfen?

Nein. Compliance ist ein kontinuierlicher Prozess. Hochrisiko-KI-Systeme müssen über ihren gesamten Lebenszyklus hinweg überwacht werden (Post-Market Monitoring). Das gilt insbesondere für Systeme, die kontinuierlich lernen und sich verändern. Jede wesentliche Änderung erfordert eine erneute Konformitätsbewertung.

Was gehört alles in die technische Dokumentation?

Die Dokumentation ist sehr umfassend. Sie muss unter anderem die Architektur, die verwendeten Daten, die Algorithmen, die Maßnahmen zur Cybersicherheit und menschlichen Aufsicht, die Leistungsmetriken sowie die Risiko- und Qualitätsmanagementprozesse detailliert beschreiben. Sie dient als zentraler Nachweis gegenüber den Behörden.

Mehr erfahren
Niklas Hanitsch

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

November 11, 2025
5 Minuten
NIS2: Resilienzstrategien für OT und ICS im Krisenmanagement

Die Vernetzung von OT- und ICS-Systemen macht Produktionsanlagen zunehmend verwundbar. Damit rückt sie in den Fokus der NIS2-Richtlinie. Dieser Leitfaden zeigt, wie Sie NIS2 nicht als bürokratische Hürde, sondern als Chance für echte Resilienz nutzen, von der sicheren Segmentierung Ihrer Anlagen über praxisnahe Incident-Response-Strukturen bis hin zu robusten Wiederanlaufstrategien. Erfahren Sie, wie Sie Betriebsstabilität, Sicherheit und Compliance vereinen und Ihre Produktionsumgebung nachhaltig widerstandsfähig gegen Angriffe machen.

Lesen
November 15, 2023
7 min
ISO 27001 Zertifizierung: Das Wichtigste zu Vorbereitung, Ablauf und Kosten

Erfahren Sie mehr über die ISO 27001, eine internationale Norm, die Unternehmen dazu verpflichtet, erstklassige Standards im Informationssicherheitsmanagement zu etablieren. Diese Zertifizierung ist nicht nur ein Maßstab für die Kontrolle von Informationen, sondern auch ein entscheidender Vertrauensbeweis für Kunden und Partner. Entdecken Sie, wie die ISO 27001 Transparenz fördert, Vertrauen stärkt und Unternehmen dabei unterstützt, sich effektiv vor Cyberbedrohungen zu schützen.

Lesen
June 7, 2023
12 min
Was ist die DSGVO? Der SECJUR-Guide zur Datenschutz-Grundverordnung

Tauchen Sie ein in die Welt der Datenschutz-Grundverordnung (DSGVO) und erfahren Sie in unserem neuen Blogartikel alles Wichtige rund um dieses bedeutende Thema. Erfahren Sie, was die DSGVO ist und warum sie eine immense Bedeutung hat. Entdecken Sie die vielfältigen Anforderungen und Maßnahmen, die Unternehmen beachten und umsetzen müssen, um im Einklang mit der DSGVO zu agieren. Tauchen Sie ein in konkrete Anwendungsbeispiele aus dem Unternehmensalltag und erhalten Sie wertvolle Tipps, wie Unternehmen die DSGVO einfach einhalten können.

Lesen
Related Resources
Interne und externe Audits nach ISO 9001: Ihr Leitfaden für ein starkes QMS
August 21, 2025
ISO 27001 Beratung
October 15, 2024
5 min
Schutzziele der Informationssicherheit einfach erfüllen
May 25, 2023
8 min
Marketing Tips for Niche Industries
ISO 27001: Risikomanagement richtig umsetzen
November 6, 2025
5 Minuten
EU AI Act: Die technischen Anforderungen für Hochrisiko-KI
November 21, 2025
5 Minuten
ISO 9001: Dokumentierte Informationen effizient erstellen & steuern
October 29, 2025
5 Minuten
TO TOP