AI Act Hochrisiko ab August 2026: Konformitätsbewertung Schritt für Schritt

Schritt 1: Klassifizierung nach Anhang III

Acht Bereiche definieren Hochrisiko: biometrische Identifikation und Kategorisierung, kritische Infrastruktur, Bildung und Berufsausbildung, Beschäftigung und Personalmanagement, Zugang zu wesentlichen privaten und öffentlichen Diensten (inkl. Kreditbewertung), Strafverfolgung, Migration und Grenzkontrolle, Justiz und demokratische Prozesse.

Innerhalb dieser Bereiche gibt es eine Liste konkreter Use Cases. Nur wer in dieser Liste steht, ist Hochrisiko.

Ausnahmen: rein vorbereitende Aufgaben, schmale prozedurale Aufgaben, Verbesserung des Ergebnisses einer menschlichen Aktivität, Mustererkennung in vorhandenen Daten ohne Einfluss auf die menschliche Bewertung. Diese Ausnahmen müssen aktiv dokumentiert und begründet werden.

Schritt 2: Anbieter- oder Betreiber-Rolle bestimmen

Anbieter (Provider): entwickelt das System oder lässt es entwickeln und bringt es unter eigenem Namen in Verkehr. Volle Pflicht zur Konformitätsbewertung, technischen Dokumentation, Konformitätserklärung, CE-Kennzeichnung, Registrierung.

Betreiber (Deployer): nutzt ein KI-System im professionellen Kontext. Pflicht zur menschlichen Aufsicht, Datenqualitäts-Prüfung, Monitoring, Information der Betroffenen, FRIA in einigen Fällen.

Wichtig: wer ein bestehendes System wesentlich verändert (Feintuning für eigenen Zweck, eigenes Branding, neue Verwendungszwecke), wird zum neuen Anbieter und übernimmt alle Anbieter-Pflichten.

Schritt 3: Konformitätsbewertung durchführen

Risikomanagement-System über den gesamten Lebenszyklus etablieren (Art. 9).

Datenqualität und Daten-Governance (Art. 10): Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ, fehlerarm und vollständig sein.

Technische Dokumentation (Anhang IV): Zweck, Architektur, Trainingsdaten, Validierung, Performance-Metriken, Risikobewertung, Aufsichtsmaßnahmen.

Aufzeichnungspflichten (Art. 12): Logging während des Betriebs über den gesamten Lebenszyklus.

Transparenz und Information (Art. 13): nutzbare Anleitung für Betreiber.

Menschliche Aufsicht (Art. 14): geeignete Maßnahmen zur effektiven Aufsicht durch Menschen.

Genauigkeit, Robustheit, Cybersicherheit (Art. 15): nachgewiesen und dokumentiert.

Konformitätsbewertungsverfahren (Art. 43): interne Kontrolle (Anhang VI) oder benannte Stelle (Anhang VII) je nach Hochrisiko-Kategorie.

Schritt 4: FRIA (Fundamental Rights Impact Assessment)

Pflicht für bestimmte Betreiber: öffentliche Stellen, private Stellen die öffentliche Dienste erbringen, Betreiber von Hochrisiko-Systemen in Kreditbewertung und Lebensversicherung.

Inhalte: Zweck des Systems, betroffene Personen, spezifische Risiken für Grundrechte, Aufsichtsmaßnahmen, Beschwerdemechanismen.

Das FRIA ist zu wiederholen, wenn sich relevante Parameter ändern. Es ist nicht öffentlich, aber an die zuständige Marktüberwachungsbehörde meldepflichtig.

Schritt 5: Registrierung, CE-Kennzeichnung, Marktbeobachtung

Anbieter registrieren das Hochrisiko-System vor Inverkehrbringen in der EU-Datenbank (Art. 49 und 71).

CE-Kennzeichnung am System oder in der Begleitdokumentation.

Konformitätserklärung (Anhang V) erstellen und 10 Jahre nach Inverkehrbringen vorhalten.

Marktbeobachtung (Post-Market Monitoring) und Meldung schwerwiegender Vorfälle binnen 15 Tagen (Art. 73).

Was DecisionOS dabei tut

Die Konformitätsbewertung ist im Kern eine strukturierte Entscheidung mit vielen Stakeholdern (Engineering, Recht, Datenschutz, Geschäftsleitung). DecisionOS führt diese Entscheidung als auditierbares Memo: Risikobewertung, Datenqualitätsprüfung, FRIA-Ausschnitt, menschliche Aufsicht, Dealbreaker. Ergebnis ist ein Dossier, das die technische Dokumentation nach Anhang IV operativ vorbereitet.