Genauigkeit, Robustheit und Cybersecurity: Definition und rechtliche Bedeutung (AI Act / Data Act)
Art. 15 AI Act verpflichtet Anbieter hochriskanter KI-Systeme, diese so zu gestalten, dass sie angemessen genau, robust und widerstandsfähig gegenüber Fehlern, Störungen und böswilligen Angriffen (Cybersecurity) sind. Drei Dimensionen: (1) Genauigkeit — angemessene Leistungsmetriken (Sensitivität/Spezifität, Fehlerquoten), Vorhersagbarkeit und Reproduzierbarkeit; (2) Robustheit — Resilienz gegen Fehler, unvorhergesehene Eingaben (Out-of-Distribution), Datenqualitätsschwankungen; (3) Cybersecurity — Schutz gegen Adversarial Attacks, Data Poisoning, Model Inversion/Stealing. Konkretisierung über harmonisierte Normen (CEN/CENELEC) und Stand der Technik. Anwendbar spätestens 2. Dezember 2027 (Anhang III) bzw. 2. August 2028 (Anhang I) — verschoben durch AI Omnibus 2026.
Steve Baka
Drei Dimensionen (Genauigkeit, Robustheit, Cybersecurity)
Art. 15 verpflichtet Anbieter hochriskanter KI zu drei Dimensionen: (1) Genauigkeit — angemessene Leistungsmetriken, Vorhersagbarkeit und Reproduzierbarkeit der Outputs, dokumentiert in der technischen Dokumentation. (2) Robustheit — Resilienz gegen Fehler, Störungen, unvorhergesehene Eingaben (Out-of-Distribution), Datenqualitätsschwankungen, Umweltänderungen. (3) Cybersecurity — Schutz gegen böswillige Angriffe: Adversarial Attacks (gezielte Eingaben zur Fehlausgabe), Data Poisoning (Verunreinigung der Trainingsdaten), Model Inversion/Stealing, Missbrauch.
Konkretisierung und technische Dokumentation
Die Pflicht wird über harmonisierte Normen (CEN/CENELEC JTC 21) und den Stand der Technik konkretisiert. Die technische Dokumentation muss Leistungsmetriken, Robustheits-/Cybersecurity-Tests dokumentieren. Updates müssen die Konformität erhalten (Art. 12 Aufzeichnungspflicht). Bei kritischen Anwendungen (Medizin, Verkehr, kritische Infrastruktur) ist die Pflicht besonders streng — der Ausfall oder die Kompromittierung kann Menschenleben, Versorgung und Gesellschaft gefährden.
Praxis: Red-Teaming und Penetrationstests
In der Praxis bedeutet Art. 15: Red-Teaming (gezielte Suche nach Schwachstellen), Penetrationstests, kontinuierliches Monitoring, Fallback-Mechanismen. Bei KI als Sicherheitskomponente kritischer Infrastruktur (Anhang III Nr. 2) ist die Cybersecurity existentiell — vernetzte Systeme sind ein Hauptziel für staatliche und kriminelle Akteure (Ransomware, Model Poisoning). Eine konservative Cybersecurity-Architektur mit Defense-in-Depth, Schwachstellen-Management und Vorfallsreaktion ist unverzichtbar.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Was verlangt Art. 15 AI Act?
Angemessene Genauigkeit, Robustheit und Cybersecurity für hochriskante KI. Drei Dimensionen, konkretisiert über harmonisierte Normen (CEN/CENELEC JTC 21).
Wann gilt Art. 15?
Spätestens 2. Dezember 2027 (Anhang III) bzw. 2. August 2028 (Anhang I) — verschoben durch AI Omnibus 2026.
Welche Praxis-Maßnahmen sind nötig?
Red-Teaming, Penetrationstests, kontinuierliches Monitoring, Fallback-Mechanismen, Defense-in-Depth. Dokumentation in der technischen Dokumentation (Leistungsmetriken, Test-Ergebnisse).
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.