Meldung schwerer Vorfälle: Definition und rechtliche Bedeutung (AI Act / Data Act)
Art. 73 AI Act verpflichtet Anbieter, sobald sie ernsthafte Vorfälle im Zusammenhang mit einem hochrisiko-KI-System feststellen oder sich davon begründete Hinweise ergeben, diese der Marktüberwachungsbehörde des Mitgliedstaats zu melden, in dem der Vorfall aufgetreten ist. Schwere Vorfälle sind u. a.: Todesfälle oder schwere Verletzungen, schwere Störungen kritischer Infrastruktur, Verstöße gegen Grundrechte. Betreiber haben eine parallele Meldepflicht (Art. 26 Abs. 5). Fristen: ernsthafte Vorfallsmeldungen innerhalb von 15 Tagen, Todesfälle/ernsthafte Sicherheitssorgen unverzüglich. Eine klare Meldelogik ist Teil des Risikomanagementsystems (Art. 9).
Steve Baka
Wer muss was melden?
Art. 73 Abs. 1 verpflichtet Anbieter hochrisiko-KI, ernsthafte Vorfälle der Marktüberwachungsbehörde des betroffenen Mitgliedstaats zu melden. Art. 26 Abs. 5 trifft Betreiber mit einer parallelen Pflicht. „Schwerer Vorfall" umfasst nach Art. 3 Nr. 49 jede Störung oder Fehlfunktion, die zu Todesfällen oder schweren Verletzungen führt, schwere und unvermeidbare Störungen kritischer digitaler/physikalischer Infrastruktur oder wesentliche Verstöße gegen Grundrechte. Für GPAI mit systemischem Risiko gelten zusätzliche Meldungen (Art. 55).
Fristen und Verfahren
Die Fristen sind gestaffelt: Todesfälle oder ernsthafte Sicherheitssorgen sind unverzüglich, spätestens innerhalb von zwei Tagen zu melden. Eine erste ernsthafte Vorfallsmeldung erfolgt innerhalb von 15 Tagen nach Feststellung. Der Anbieter reicht im Anschluss einen Abschlussbericht mit korrigierenden Maßnahmen ein. Die zuständige Behörde kann Abhilfe verlangen und Maßnahmen bis zur Beschränkung oder dem Rückruf des Systems anordnen (Art. 79). Eine saubere interne Vorfallserkennungs- und Melde-logik verkürzt die Reaktionszeit und mindert Sanktionsrisiken.
Schnittstellen zu NIS2 und DSGVO
Vorfallsmeldungen überlagern sich häufig: Wer als Betreiber kritischer Dienste auch NIS2-pflichtig ist, meldet erhebliche Vorfälle an die Cybersicherheits-Aufsicht; Datenschutzverletzungen sind nach Art. 33 DSGVO binnen 72 Stunden an die Datenschutz-Aufsicht zu melden. AI Act, NIS2 und DSGVO sind kumulativ — ein Vorfall kann mehrere Meldepflichten auslösen. Eine konsolidierte Vorfall-Matrix, die alle Pflichten und Adressaten erfasst, ist für Betreiber kritischer Dienste unverzichtbar.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Was ist ein „schwerer Vorfall" nach AI Act?
Eine Störung/Fehlfunktion, die zu Todesfällen/schweren Verletzungen, Störungen kritischer Infrastruktur oder wesentlichen Grundrechtsverstößen führt (Art. 3 Nr. 49).
Innerhalb welcher Frist muss gemeldet werden?
Todesfälle/sicherheitssorgen unverzüglich, spätestens 2 Tage; ernsthafte Vorfallsmeldungen innerhalb 15 Tagen nach Feststellung; danach Abschlussbericht mit Korrekturmaßnahmen.
Muss ich zusätzlich nach DSGVO/NIS2 melden?
Kumulativ ja. Datenschutzverletzungen nach Art. 33 DSGVO (72 h), erhebliche Vorfälle nach NIS2. Ein Vorfall kann mehrere Pflichten auslösen.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.