EU AI Act Compliance-Anforderungen

Anbieter von Hochrisiko-KI-Systemen tragen die Hauptverantwortung nach dem EU AI Act. Vor dem Inverkehrbringen müssen sie ein Risikomanagementsystem nach Art.

9 einrichten, Datenqualität nach Art.

10 sicherstellen, technische Dokumentation nach Art.

11 und Anhang IV erstellen, automatische Protokollierung nach Art.

12 implementieren, Transparenzanforderungen nach Art.

13 erfüllen, menschliche Aufsicht nach Art.

14 ermöglichen und Genauigkeit, Robustheit und Cybersicherheit nach Art.

15 gewährleisten. Zusätzlich müssen Anbieter eine Konformitätsbewertung durchführen, die CE-Kennzeichnung anbringen, eine EU-Konformitätserklärung ausstellen und das System in der EU-Datenbank nach Art.

71 registrieren. Bei Nichterfüllung drohen Bußgelder von bis zu

15 Mio. EUR oder

3 % des weltweiten Jahresumsatzes.

Betreiber (Deployer) haben nach Art.

26 EU AI Act eigenständige Pflichten. Sie müssen Hochrisiko-KI-Systeme gemäß der mitgelieferten Gebrauchsanweisung einsetzen, die Eingabedaten sorgfältig auswählen und auf Relevanz prüfen, den Betrieb des Systems überwachen und Protokolle mindestens sechs Monate aufbewahren. Bei Auffälligkeiten oder schwerwiegenden Vorfällen besteht eine Meldepflicht gegenüber dem Anbieter und der zuständigen Behörde. Betreiber müssen vor dem Einsatz eine Datenschutz-Folgenabschätzung und bei bestimmten Systemen eine Grundrechte-Folgenabschätzung nach Art.

27 durchführen. Wichtig: Wer ein Hochrisiko-KI-System wesentlich verändert oder unter eigenem Namen in Verkehr bringt, wird selbst zum Anbieter und übernimmt dessen gesamte Pflichten.

Die Konformitätsbewertung nach Art.

43 EU AI Act ist für alle Hochrisiko-KI-Systeme vor dem Inverkehrbringen verpflichtend. Für die meisten Systeme nach Anhang III reicht eine interne Konformitätsbewertung durch den Anbieter selbst aus, bei der die Einhaltung aller Anforderungen aus Art. 9–15 systematisch dokumentiert wird. Für bestimmte biometrische Systeme und kritische Infrastruktur-KI ist eine Bewertung durch eine benannte Stelle (Notified Body) erforderlich. Nach erfolgreicher Bewertung stellt der Anbieter eine EU-Konformitätserklärung nach Art.

47 aus, bringt die CE-Kennzeichnung nach Art.

48 an und registriert das System in der EU-Datenbank nach Art. 71. Die Konformitätsbewertung muss bei wesentlichen Änderungen am System wiederholt werden.

Art.

9 verlangt ein fortlaufendes Risikomanagementsystem, das den gesamten Lebenszyklus des Hochrisiko-KI-Systems abdeckt. Es muss bekannte und vorhersehbare Risiken identifizieren und analysieren, die bei bestimmungsgemäßer Verwendung und bei vernünftigerweise vorhersehbarer Fehlanwendung auftreten können. Auf Basis dieser Analyse sind geeignete Risikominderungsmaßnahmen zu entwickeln und umzusetzen. Das System muss regelmäßig überprüft und aktualisiert werden. Besonders wichtig: Die Risikobewertung muss auch Auswirkungen auf Grundrechte berücksichtigen. Testergebnisse müssen dokumentiert und aufbewahrt werden. Ein gut implementiertes Risikomanagementsystem bildet die Grundlage für alle weiteren Anforderungen der Art. 10–15.

Die CE-Kennzeichnung ist nach Art.

48 EU AI Act für alle Hochrisiko-KI-Systeme vor dem Inverkehrbringen in der EU verpflichtend. Sie bestätigt, dass das System alle Anforderungen des EU AI Act erfüllt. Der Weg zur CE-Kennzeichnung umfasst: Einhaltung aller Anforderungen aus Art. 9–15, Durchführung der Konformitätsbewertung nach Art. 43, Erstellung der technischen Dokumentation nach Art.

11 und Anhang IV, Ausstellung der EU-Konformitätserklärung nach Art.

47 und Registrierung in der EU-Datenbank. Die CE-Kennzeichnung muss sichtbar, leserlich und dauerhaft am KI-System oder, wenn nicht möglich, auf der Verpackung oder in den Begleitunterlagen angebracht werden. Bei Software-KI ist die Kennzeichnung in der digitalen Benutzeroberfläche zulässig.

Der EU AI Act sieht ein dreistufiges Sanktionssystem vor. Verstöße gegen verbotene KI-Praktiken werden mit bis zu

35 Mio. EUR oder

7 % des weltweiten Jahresumsatzes geahndet. Verstöße gegen die Anforderungen für Hochrisiko-KI-Systeme aus Art. 9–15 sowie gegen Anbieter- und Betreiberpflichten werden mit bis zu

15 Mio. EUR oder

3 % bestraft. Falsche, unvollständige oder irreführende Angaben gegenüber Behörden können zu Bußgeldern von bis zu 7,

5 Mio. EUR oder

1 % führen. Für KMU und Start-ups gelten niedrigere Obergrenzen. Die Durchsetzung erfolgt durch nationale Marktüberwachungsbehörden. Zusätzlich können Betroffene zivilrechtliche Schadensersatzansprüche geltend machen.

Der EU AI Act differenziert klar zwischen den Risikoklassen. Hochrisiko-KI-Systeme nach Anhang III (z. B. biometrische Identifikation, kritische Infrastruktur, Kreditwürdigkeitsprüfung, Personalauswahl) müssen alle Anforderungen aus Art. 9–15 vollständig erfüllen, eine Konformitätsbewertung durchführen und CE-gekennzeichnet werden. KI-Systeme mit begrenztem Risiko (z. B. Chatbots, Deepfake-Generatoren) unterliegen nach Art.

50 nur Transparenzpflichten: Nutzer müssen darüber informiert werden, dass sie mit einer KI interagieren oder KI-generierte Inhalte sehen. KI-Systeme mit minimalem Risiko sind von regulatorischen Pflichten befreit, wobei freiwillige Verhaltenskodizes empfohlen werden.