Ihre Pflichten bei Hochrisiko-KI

Das System nur gemäß der Gebrauchsanweisung des Anbieters einsetzen. Eine zweckwidrige Nutzung kann Sie selbst zum Anbieter machen – mit allen daraus folgenden Pflichten.

Personen mit der nötigen Kompetenz, Schulung und Befugnis zur Aufsicht zuweisen. Die Aufsicht muss real wirksam sein – nicht nur auf dem Papier.

Sicherstellen, dass die in das System eingespeisten Daten relevant und für den vorgesehenen Zweck geeignet sind.

Das System im laufenden Betrieb beobachten. Bei Auffälligkeiten oder Risiken: Einsatz aussetzen und den Anbieter informieren.

Die automatisch erzeugten Protokolle des Systems mindestens sechs Monate aufbewahren – sofern keine längeren gesetzlichen Fristen gelten.

Wenn personenbezogene Daten verarbeitet werden, ist eine DSFA durchzuführen. Die Pflichten aus DSGVO und AI Act greifen ineinander – nutzen Sie die Synergie.

Personen, die einer Hochrisiko-KI-Entscheidung unterliegen (z. B. Bewerber, Kreditantragsteller), müssen darüber informiert werden – inklusive Recht auf Erklärung.

Vor dem Einsatz von Hochrisiko-KI am Arbeitsplatz müssen Beschäftigte und ihre Vertretungen (z. B. Betriebsrat) informiert werden.

Ein dokumentiertes System zur fortlaufenden Identifikation, Bewertung und Minderung von Risiken über den gesamten Lebenszyklus des KI-Systems.

• Risiken identifizieren und systematisch analysieren
• Schutzmaßnahmen festlegen und dokumentieren
• Tests vor dem Inverkehrbringen durchführen
• Regelmäßige Aktualisierung über die gesamte Nutzungsdauer

Trainings-, Validierungs- und Testdaten müssen geeignet, repräsentativ und so weit wie möglich fehlerfrei sein.

• Datenqualität und -herkunft dokumentieren
• Bias-Prüfung durchführen und nachweisen
• Datenlücken und Verzerrungen erkennen und gegensteuern
• Repräsentativität für den Einsatzzweck sicherstellen

Vollständige Dokumentation des Systems, die vor Inverkehrbringen vorliegen und auf Verlangen von Behörden vorgelegt werden muss.

• Beschreibung von Design, Funktionsweise und vorgesehener Verwendung
• Leistungskennzahlen, Genauigkeit, Robustheit
• Bekannte Einschränkungen und Risiken
• Angaben zu Trainingsdaten und -methoden

Das System muss Eingaben, Ausgaben und Entscheidungen automatisch aufzeichnen, um die Nachvollziehbarkeit zu gewährleisten.

• Automatische Logs während des Betriebs
• Mindestaufbewahrung der Protokolle: 6 Monate
• Sicherstellung der Integrität und Schutz vor Manipulation

Klare, verständliche Gebrauchsanweisung für die Betreiber des Systems – damit diese ihrerseits ihre Pflichten erfüllen können.

• Verständliche Bedienungsanleitung
• Hinweise auf Grenzen, Fehlerquoten und vorgesehene Verwendung
• Anleitung zur menschlichen Aufsicht

Das System muss so gestaltet sein, dass Menschen es wirksam überwachen, eingreifen und im Notfall stoppen können.

• Erkennbare Anzeichen für Fehlfunktionen
• Möglichkeit, Entscheidungen zu überprüfen und zu korrigieren
• Stopp-Funktion (Override / Kill-Switch)

Das System muss ein angemessenes Maß an Genauigkeit, Robustheit gegen Fehler und Schutz gegen Cyberangriffe gewährleisten.

• Schutz vor Manipulation der Trainingsdaten (Data Poisoning)
• Schutz vor adversariellen Angriffen
• Resilienz bei Ausfällen oder Inkonsistenzen

Vor Inverkehrbringen muss eine Konformitätsbewertung durchgeführt und das System mit CE gekennzeichnet werden – je nach Anwendungsfall durch Selbstbewertung oder durch eine benannte Stelle.

• Konformitätsbewertungsverfahren durchführen
• EU-Konformitätserklärung ausstellen
• CE-Kennzeichnung anbringen
• Registrierung in der EU-Datenbank

Auch nach dem Marktstart muss das System aktiv überwacht werden – inklusive Meldepflicht bei schwerwiegenden Vorfällen.

• Post-Market-Monitoring-System aufsetzen
• Schwerwiegende Vorfälle innerhalb gesetzlicher Fristen melden
• Korrekturmaßnahmen dokumentieren