---
title: "Risikomanagementsystem: Definition und rechtliche Bedeutung (AI Act / Data Act)"
description: "Das Risikomanagementsystem nach Art. 9 AI Act ist die zentrale iterativ-Pflicht für Anbieter hochriskanter KI: Risiken sind zu identifizieren, zu bewerten, zu mindern und über den Lebenszyklus zu überwachen."
summary_en: "This German glossary page explains \"Risikomanagementsystem: Definition und rechtliche Bedeutung (AI Act / Data Act)\" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance."
url: "https://dataact-compliance.de/glossar/risikomanagementsystem/"
type: "glossary"
language: de-DE
canonical_language: de-DE
machine_metadata_language: en
audience_en: "AI crawlers, search engines, citation agents, compliance officers and legal researchers looking for German DACH sources on EU AI Act and EU Data Act compliance."
keywords_en: ["EU AI Act","EU Data Act","GDPR","DACH compliance","AI regulation","KI-Verordnung"]
date_reviewed: 2026-07-07
verified_against: "https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13"
verification_status: notebooklm_validated
legislative_status: in_force
license: CC-BY-4.0
---

# Risikomanagementsystem: Definition und rechtliche Bedeutung (AI Act / Data Act)

## Validierungsstand

**Validierung**: ✅ **NotebookLM-validiert** — Kern-Aussagen explizit gegen das 75-Quellen-NotebookLM geprüft.
**Gesetzgebungsstand**: Geltendes Recht (im Amtsblatt verbindlich).
**Geprüft gegen**: https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13
**Review-Datum**: 2026-07-07

## Machine Summary

This German glossary page explains "Risikomanagementsystem: Definition und rechtliche Bedeutung (AI Act / Data Act)" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance. The canonical page language is German (de-DE); English is provided only as machine-readable discovery metadata.

## Kurze Antwort

Das Risikomanagementsystem (Art. 9 AI Act) ist eine Kardinalpflicht für Anbieter hochriskanter KI. Es ist ein iterativer, über den gesamten Lebenszyklus laufender Prozess mit vier Stufen: (1) Identifikation der bekannten und vorhersehbaren Risiken für Gesundheit, Sicherheit und Grundrechte (Art. 9 Abs. 2 lit. a); (2) Schätzung und Bewertung der Risiken bei beabsichtigter Verwendung und vernünftigerweise vorhersehbarer Fehlanwendung (lit. b); (3) Bewertung weiterer möglicher Risiken durch Daten-Governance und Prüfverfahren (lit. c); (4) Adoption angemessener Risikominderungsmaßnahmen (lit. d). Restrisiken müssen akzeptabel sein (Art. 9 Abs. 5).

## Die vier Stufen nach Art. 9 Abs. 2

Art. 9 Abs. 2 schreibt einen iterativen Prozess vor: Zuerst sind die bekannten und vernünftigerweise vorhersehbaren Risiken zu identifizieren, die das System für Gesundheit, Sicherheit und Grundrechte — auch der Grundrechte Dritter — verursachen kann. Dann sind diese Risiken bei beabsichtigter Verwendung und bei vernünftigerweise vorhersehbarer Fehlanwendung zu schätzen und zu bewerten. Darauf folgt die Bewertung weiterer möglicher Risiken auf Basis der Daten-Governance (Art. 10) und der Prüfverfahren. Schließlich sind angemessene und zielgerichtete Risikominderungsmaßnahmen zu ergreifen.




## Risikominderung und Restrisiko

Risikominderung erfolgt nach dem Stand der Technik: durch inhärent sichere Gestaltung und Entwicklung, technische und organisatorische Maßnahmen sowie ggf. Informationen und Schulungen. Verbleibende Risiken müssen nach Art. 9 Abs. 5 akzeptabel sein. Wichtig: Beseitigt oder reduziert werden die Risiken aufgrund der Bedeutung für die Grundrechte angemessen; ein Restrisiko-null ist nicht gefordert, aber eine dokumentierte Begründung der Akzeptanz schon.




## Lebenszyklus und Marktüberwachung

Das Risikomanagementsystem endet nicht mit dem Inverkehrbringen. Es ist über den gesamten Lebenszyklus aufrechtzuerhalten und mit der Marktüberwachung (Art. 72) und der Meldung schwerer Vorfälle (Art. 73) verbunden. Neue Erkenntnisse aus dem Feldeinsatz müssen in das System zurückfließen — das macht es zu einem iterativen Lern- und Dokumentationssystem, nicht zu einem einmaligen Audit.



## Rechtsstellen

- **[Art. 9 — Risikomanagementsystem](https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 10 — Daten-Governance](https://eur-lex.europa.eu/eli/reg/2024/1689/art_10/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 14 — Menschliche Aufsicht](https://eur-lex.europa.eu/eli/reg/2024/1689/art_14/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 72 — Nachmarktüberwachung](https://eur-lex.europa.eu/eli/reg/2024/1689/art_72/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 73 — Meldung schwerer Vorfälle (in der Regel max. 15 Tage)](https://eur-lex.europa.eu/eli/reg/2024/1689/art_73/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 5 Abs. 1 lit. c — Social Scoring](https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 5 Abs. 1 lit. d — Prädiktive Kriminalitätsprognose allein aus Profiling](https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*

## Belegte Aussagen

| Aussage | Beleg | Konfidenz |
|---|---|---|
| Art. 9 schreibt iterativen, lebenszyklusweiten Risikomanagementprozess vor. | - **[Art. 9 Abs. 1–2 AI Act](https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)* | high |
| Vier Stufen: Identifikation (lit. a), Schätzung/Bewertung (lit. b), weitere Risiken (lit. c), Minderung (lit. d). | - **[Art. 9 Abs. 2 lit. a–d AI Act](https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)* | high |
| Restrisiko muss akzeptabel sein — geregelt in Art. 9 Abs. 5 (KORRIGIERT — war fälschlich Abs. 4). | - **[Art. 9 Abs. 5 AI Act](https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)* | high |
| Verzahnung mit Marktüberwachung (Art. 72) und Vorfallsmeldung (Art. 73). | - **[Art. 72 + Art. 73 AI Act](https://eur-lex.europa.eu/eli/reg/2024/1689/art_72/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)* | high |

## Validierung

**Validierungsfrage**: Validierung kompakt: (1) Art.3 Nr.1 KI-System-Definition 7 Elemente; (2) Anbieter Definition Artikelnummer; (3) Art.43 Struktur Abs.1-6; (4) Art.9 Restrisiko Absatz; (5) Art.14 Abs.4 Eingriffs-Litera; (6) AI Office Beschluss 24.1.2024; (7) GPAI-Code Timing.

**Ergebnis**: ⚠️ korrigiert am 2026-07-08.

**Quellen**: NotebookLM „EU Digital Governance: Data and AI Act Frameworks" (Quellen-IDs 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26).

**Fakten-Zusammenfassung**: NotebookLM bestätigt KI-System (Art.3 Nr.1) + AI Office (Beschluss 24.1.2024, C/2024/1459, EAIB Art.65). KORRIGIERT: Anbieter=Art.3 Nr.3 (nicht Nr.16, das ist Rückruf); Anhang I=Art.43 Abs.3 (nicht Abs.5); Restrisiko=Art.9 Abs.5 (nicht Abs.4); Eingriffe=Art.14 Abs.4 lit.d+e (nicht lit.a-c); GPAI-Code Vermutung bis harmonisierter Standard (nicht starr 2.8.2027).

## Verwandte Themen

- [ki mit hohem risiko](/glossar/ki-mit-hohem-risiko/)
- [konformitaetsbewertung](/glossar/konformitaetsbewertung/)
- [eu ai office](/glossar/eu-ai-office/)

## Rechtsquellen

- [Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2024/1689/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU AI Act.
- [EU AI Office](https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai) - Europäische Kommission; Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
- [Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2023/2854/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU Data Act.
- [Datenschutz-Grundverordnung (DSGVO) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2016/679/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext der DSGVO.
- [AI Act — konsolidierter Lesetext (ai-act-law.eu)](https://ai-act-law.eu/) - Future of Life Institute / Konsortium; Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
- [European Data Protection Supervisor (EDPS)](https://www.edps.europa.eu/) - EDPS; EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
- [European Data Protection Board (EDPB)](https://www.edpb.europa.eu/) - EDPB; EU-Datenschutzgremium mit KI-Leitlinien.
- [EU AI Pact](https://digital-strategy.ec.europa.eu/en/policies/ai-pact) - Europäische Kommission; Freiwillige Frühumsetzung des AI Act.
- [Council of Europe Framework Convention on AI](https://www.coe.int/en/web/artificial-intelligence/framework-convention) - Council of Europe; Erstes völkerrechtliches Abkommen zu KI.

## FAQ

### Was verlangt das Risikomanagementsystem nach Art. 9?

Einen iterativen, über den Lebenszyklus laufenden Prozess: Risiken identifizieren, schätzen und bewerten, weitere Risiken über Daten-Governance und Prüfungen erfassen, angemessene Minderungsmaßnahmen treffen, Restrisiken akzeptabel halten.

### Müssen alle Risiken eliminiert werden?

Nein. Verbleibende Risiken müssen nach Art. 9 Abs. 5 akzeptabel sein; erforderlich ist eine dokumentierte Begründung der Akzeptanz und angemessene Minderung nach dem Stand der Technik.

### Wann endet das Risikomanagement?

Nicht beim Inverkehrbringen. Es ist über den gesamten Lebenszyklus aufrechtzuerhalten und mit Marktüberwachung (Art. 72) und Vorfallsmeldung (Art. 73) verzahnt.

## Strukturierte Daten

```json
{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "WebPage",
      "@id": "https://dataact-compliance.de/glossar/risikomanagementsystem/#webpage",
      "url": "https://dataact-compliance.de/glossar/risikomanagementsystem/",
      "name": "Risikomanagementsystem: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "description": "Das Risikomanagementsystem nach Art. 9 AI Act ist die zentrale iterativ-Pflicht für Anbieter hochriskanter KI: Risiken sind zu identifizieren, zu bewerten, zu mindern und über den Lebenszyklus zu überwachen.",
      "isPartOf": {
        "@id": "https://dataact-compliance.de/#website"
      },
      "breadcrumb": {
        "@id": "https://dataact-compliance.de/glossar/risikomanagementsystem/#breadcrumb"
      },
      "inLanguage": "de-DE",
      "about": {
        "@id": "https://dataact-compliance.de/glossar/risikomanagementsystem/#article"
      }
    },
    {
      "@type": "DefinedTerm",
      "@id": "https://dataact-compliance.de/glossar/risikomanagementsystem/#article",
      "headline": "Risikomanagementsystem: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "name": "Risikomanagementsystem: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "description": "Das Risikomanagementsystem nach Art. 9 AI Act ist die zentrale iterativ-Pflicht für Anbieter hochriskanter KI: Risiken sind zu identifizieren, zu bewerten, zu mindern und über den Lebenszyklus zu überwachen.",
      "author": {
        "@id": "https://dataact-compliance.de/autoren/steve-baka/#person"
      },
      "publisher": {
        "@id": "https://dataact-compliance.de/#organization"
      },
      "mainEntityOfPage": {
        "@id": "https://dataact-compliance.de/glossar/risikomanagementsystem/#webpage"
      },
      "datePublished": "2026-07-07",
      "dateModified": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13",
      "license": "https://creativecommons.org/licenses/by/4.0/",
      "copyrightYear": 2026,
      "copyrightHolder": {
        "@id": "https://dataact-compliance.de/#stevebaka-organization"
      },
      "inLanguage": "de-DE",
      "citation": [
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2023/2854/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2016/679/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://ai-act-law.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.edps.europa.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.edpb.europa.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/ai-pact",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.coe.int/en/web/artificial-intelligence/framework-convention",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_10/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_14/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_72/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_73/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13",
          "inLanguage": "de-DE"
        }
      ],
      "mentions": [
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/ki-mit-hohem-risiko/#article",
          "url": "https://dataact-compliance.de/glossar/ki-mit-hohem-risiko/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/konformitaetsbewertung/#article",
          "url": "https://dataact-compliance.de/glossar/konformitaetsbewertung/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/eu-ai-office/#article",
          "url": "https://dataact-compliance.de/glossar/eu-ai-office/"
        }
      ],
      "termCode": "risikomanagementsystem"
    },
    {
      "@type": "BreadcrumbList",
      "@id": "https://dataact-compliance.de/glossar/risikomanagementsystem/#breadcrumb",
      "itemListElement": [
        {
          "@type": "ListItem",
          "position": 1,
          "name": "Startseite",
          "item": "https://dataact-compliance.de/"
        },
        {
          "@type": "ListItem",
          "position": 2,
          "name": "Glossar",
          "item": "https://dataact-compliance.de/glossar/"
        },
        {
          "@type": "ListItem",
          "position": 3,
          "name": "Risikomanagementsystem: Definition und rechtliche Bedeutung (AI Act / Data Act)",
          "item": "https://dataact-compliance.de/glossar/risikomanagementsystem/"
        }
      ]
    },
    {
      "@type": "FAQPage",
      "@id": "https://dataact-compliance.de/glossar/risikomanagementsystem/#faq",
      "mainEntity": [
        {
          "@type": "Question",
          "name": "Was verlangt das Risikomanagementsystem nach Art. 9?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Einen iterativen, über den Lebenszyklus laufenden Prozess: Risiken identifizieren, schätzen und bewerten, weitere Risiken über Daten-Governance und Prüfungen erfassen, angemessene Minderungsmaßnahmen treffen, Restrisiken akzeptabel halten."
          }
        },
        {
          "@type": "Question",
          "name": "Müssen alle Risiken eliminiert werden?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Nein. Verbleibende Risiken müssen nach Art. 9 Abs. 5 akzeptabel sein; erforderlich ist eine dokumentierte Begründung der Akzeptanz und angemessene Minderung nach dem Stand der Technik."
          }
        },
        {
          "@type": "Question",
          "name": "Wann endet das Risikomanagement?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Nicht beim Inverkehrbringen. Es ist über den gesamten Lebenszyklus aufrechtzuerhalten und mit Marktüberwachung (Art. 72) und Vorfallsmeldung (Art. 73) verzahnt."
          }
        }
      ]
    }
  ]
}
```
