Hochrisiko-KI-System
Ein KI-System, das aufgrund potenzieller Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte im EU AI Act strengen Anforderungen unterliegt.
Begriffserklärung
Ein Hochrisiko-KI-System ist eine KI-Anwendung, die der EU AI Act als mit erheblichen Risiken für Gesundheit, Sicherheit oder Grundrechte verbunden einstuft und daher umfassenden regulatorischen Anforderungen unterwirft. Diese Einstufung löst umfangreiche Pflichten für Anbieter und Betreiber aus, darunter technische Dokumentation, Konformitätsbewertung, Maßnahmen zur menschlichen Aufsicht und Überwachung nach dem Inverkehrbringen.
Die Hochrisiko-Einstufung ist das zentrale Regulierungsinstrument des EU AI Act und entscheidet, welche Systeme die strengsten Pflichten treffen. Hochrisiko-Systeme müssen Artikeln 8 bis 15 entsprechen: Risikomanagement, Daten-Governance, technische Dokumentation, Record-Keeping, Transparenz, menschliche Aufsicht sowie Genauigkeit, Robustheit und Cybersecurity. Verstöße können Bußgelder bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes nach sich ziehen.
Es gibt zwei Wege zur Hochrisiko-Einstufung. Erstens listet Anhang III acht Kategorien von KI-Anwendungen, die als inhärent hochriskant gelten: biometrische Identifizierung und Kategorisierung, Management kritischer Infrastrukturen, Bildung und berufliche Bildung, Beschäftigung und Arbeitnehmermanagement, Zugang zu wesentlichen Dienstleistungen und Leistungen, Strafverfolgung, Migration und Grenzkontrolle sowie Rechtspflege. Zweitens gelten KI-Systeme als hochriskant, wenn sie Sicherheitskomponenten von Produkten sind, die unter EU-Produktsicherheitsrecht fallen (aufgelistet in Anhang I). Bemerkenswert ist die Ausnahme in Artikel 6(3): Selbst wenn ein System in eine Anhang-III-Kategorie fällt, gilt es ggf. nicht als hochriskant, wenn es nur eine eng begrenzte prozedurale Aufgabe erfüllt, das Ergebnis einer bereits abgeschlossenen menschlichen Tätigkeit verbessert, Entscheidungsmuster erkennt, ohne die menschliche Bewertung zu ersetzen, oder nur vorbereitende Aufgaben für Bewertungen ausführt.
Organisationen müssen zunächst klären, ob ihre Systeme als hochriskant gelten. Dafür ist die Zweckbestimmung entscheidend, nicht nur technische Fähigkeiten. Ein Kreditscoring-Modell, das Kreditentscheidungen beeinflusst, ist klar hochriskant nach Anhang III(5)(b); ein Customer-Service-Chatbot mit allgemeinen Informationen in der Regel nicht, sofern er keinen Zugang zu wesentlichen Dienstleistungen beeinflusst. Nach Hochrisiko-Einstufung folgen erhebliche Compliance-Pflichten. Anbieter müssen Risikomanagementsysteme etablieren, Daten-Governance umsetzen, umfangreiche technische Dokumentation nach Anhang IV erstellen, menschliche Aufsicht designen, Genauigkeit und Robustheit sicherstellen und Konformitätsbewertung vor Markteintritt durchführen. Betreiber haben eigene Pflichten, u. a. menschliche Aufsicht, Betriebsmonitoring und in bestimmten Kontexten FRIA. Der Zeitplan ist kritisch: Anhang-III-Hochrisiko-Systeme müssen bis August 2026 compliant sein, während Anhang-I-Systeme (Produktsicherheitskomponenten) bis August 2027 Zeit haben.
Verwandte Begriffe
Anhang III
Der Anhang des EU AI Act, der Kategorien von Hochrisiko-KI-Systemen auflistet, die strengen Compliance-Anforderungen unterliegen.
Anhang IV
Der Anhang des EU AI Act, der Anforderungen an die technische Dokumentation für Hochrisiko-KI-Systeme festlegt.
Konformitätsbewertung
Der Prozess, mit dem geprüft wird, ob ein KI-System vor dem Inverkehrbringen alle anwendbaren Anforderungen des EU AI Act erfüllt.
Anbieter
Eine Stelle, die ein KI-System entwickelt (oder entwickeln lässt) und es unter eigenem Namen in Verkehr bringt oder in Betrieb nimmt.
Betreiber
Eine Organisation, die ein KI-System unter ihrer Autorität nutzt, ausgenommen rein persönliche, nicht-professionelle Nutzung.