AI Act Hochrisiko ab August 2026: Konformitaetsbewertung Schritt fuer Schritt

Schritt 1: Klassifizierung nach Anhang III

Acht Bereiche definieren Hochrisiko: biometrische Identifikation und Kategorisierung, kritische Infrastruktur, Bildung und Berufsausbildung, Beschaeftigung und Personalmanagement, Zugang zu wesentlichen privaten und oeffentlichen Diensten (inkl. Kreditbewertung), Strafverfolgung, Migration und Grenzkontrolle, Justiz und demokratische Prozesse.

Innerhalb dieser Bereiche gibt es eine Liste konkreter Use Cases. Nur wer in dieser Liste steht, ist Hochrisiko.

Ausnahmen: rein vorbereitende Aufgaben, schmale prozedurale Aufgaben, Verbesserung des Ergebnisses einer menschlichen Aktivitaet, Mustererkennung in vorhandenen Daten ohne Einfluss auf die menschliche Bewertung. Diese Ausnahmen muessen aktiv dokumentiert und begruendet werden.

Schritt 2: Anbieter- oder Betreiber-Rolle bestimmen

Anbieter (Provider): entwickelt das System oder laesst es entwickeln und bringt es unter eigenem Namen in Verkehr. Volle Pflicht zur Konformitaetsbewertung, technischen Dokumentation, Konformitaetserklaerung, CE-Kennzeichnung, Registrierung.

Betreiber (Deployer): nutzt ein KI-System im professionellen Kontext. Pflicht zur menschlichen Aufsicht, Datenqualitaets-Pruefung, Monitoring, Information der Betroffenen, FRIA in einigen Faellen.

Wichtig: wer ein bestehendes System wesentlich veraendert (Feintuning fuer eigenen Zweck, eigenes Branding, neue Verwendungszwecke), wird zum neuen Anbieter und uebernimmt alle Anbieter-Pflichten.

Schritt 3: Konformitaetsbewertung durchfuehren

Risikomanagement-System ueber den gesamten Lebenszyklus etablieren (Art. 9).

Datenqualitaet und Daten-Governance (Art. 10): Trainings-, Validierungs- und Testdaten muessen relevant, repraesentativ, fehlerarm und vollstaendig sein.

Technische Dokumentation (Anhang IV): Zweck, Architektur, Trainingsdaten, Validierung, Performance-Metriken, Risikobewertung, Aufsichtsmassnahmen.

Aufzeichnungspflichten (Art. 12): Logging waehrend des Betriebs ueber den gesamten Lebenszyklus.

Transparenz und Information (Art. 13): nutzbare Anleitung fuer Betreiber.

Menschliche Aufsicht (Art. 14): geeignete Massnahmen zur effektiven Aufsicht durch Menschen.

Genauigkeit, Robustheit, Cybersicherheit (Art. 15): nachgewiesen und dokumentiert.

Konformitaetsbewertungsverfahren (Art. 43): interne Kontrolle (Anhang VI) oder benannte Stelle (Anhang VII) je nach Hochrisiko-Kategorie.

Schritt 4: FRIA (Fundamental Rights Impact Assessment)

Pflicht fuer bestimmte Betreiber: oeffentliche Stellen, private Stellen die oeffentliche Dienste erbringen, Betreiber von Hochrisiko-Systemen in Kreditbewertung und Lebensversicherung.

Inhalte: Zweck des Systems, betroffene Personen, spezifische Risiken fuer Grundrechte, Aufsichtsmassnahmen, Beschwerdemechanismen.

Das FRIA ist zu wiederholen, wenn sich relevante Parameter aendern. Es ist nicht oeffentlich, aber an die zustaendige Marktueberwachungsbehoerde meldepflichtig.

Schritt 5: Registrierung, CE-Kennzeichnung, Marktbeobachtung

Anbieter registrieren das Hochrisiko-System vor Inverkehrbringen in der EU-Datenbank (Art. 49 und 71).

CE-Kennzeichnung am System oder in der Begleitdokumentation.

Konformitaetserklaerung (Anhang V) erstellen und 10 Jahre nach Inverkehrbringen vorhalten.

Marktbeobachtung (Post-Market Monitoring) und Meldung schwerwiegender Vorfaelle binnen 15 Tagen (Art. 73).

Was DecisionOS dabei tut

Die Konformitaetsbewertung ist im Kern eine strukturierte Entscheidung mit vielen Stakeholdern (Engineering, Recht, Datenschutz, Geschaeftsleitung). DecisionOS fuehrt diese Entscheidung als auditierbares Memo: Risikobewertung, Datenqualitaetspruefung, FRIA-Ausschnitt, menschliche Aufsicht, Dealbreaker. Ergebnis ist ein Dossier, das die technische Dokumentation nach Anhang IV operativ vorbereitet.