Risikoanalyse-Dokumentation: Definition und rechtliche Bedeutung (AI Act / Data Act)
Die Risikoanalyse-Dokumentation nach Art. 9 AI Act ist die systematische Aufzeichnung der Risikobewertung und Risikominderung hochrisiko-KI. Sie ist Kern der technischen Dokumentation (Art. 11) und der Risikomanagement-Pflicht (Art. 9). Inhalt: (1) Identifikation der bekannten/vernünftigerweise vorhersehbaren Risiken für Gesundheit/Sicherheit/Grundrechte; (2) Schätzung/Auswertung der Risiken; (3) Risikominderungsmaßnahmen (Design, Entwicklung, Test, menschliche Aufsicht,Warnungen); (4) Test-/Validierungsergebnisse; (5) Post-Market-Monitoring-Ergebnisse (Rückkopplung). Die Dokumentation muss kontinuierlich aktualisiert werden, insbesondere bei Updates, neuen Erkenntnissen, Vorfallen. Pflicht ab dem 2. August 2026. Sie ist Haftungs-/Beweisnachweis, AI-Act-Compliance-Instrument und Grundlage der Konformitätsbewertung. Überlagert: produktspezifische Risikoanalyse (MDR, Maschinen-VO), ISO/IEC 23894 KI-Risikomanagement.
Steve Baka
Pflicht und Inhalte (Art. 9)
Art. 9 AI Act verpflichtet Anbieter hochrisiko-KI, ein Risikomanagementsystem einzurichten, das kontinuierlich iterativ Risiken identifiziert, bewertet, mindert und überwacht. Die Risikoanalyse-Dokumentation (als Teil der technischen Dokumentation Art. 11, Anhang IV) enthält: (1) Identifikation der bekannten/vernünftigerweise vorhersehbaren Risiken, die das System für Gesundheit, Sicherheit, Grundrechte poseert; (2) Schätzung/Auswertung der Risiken (Wahrscheinlichkeit, Schweregrad); (3) Angewandte Risikominderungsmaßnahmen (Design-Entscheidungen, Entwicklungsprozesse, Test-/Validierung, menschliche Aufsicht, Warnungen, Verwendungsgrenzen); (4) Test-/Validierungsergebnisse (Leistungsmetriken, Bias-Tests, Robustheits-/Cybersecurity-Tests); (5) Rückkopplung aus Post-Market-Monitoring (Art. 72) — neue Erkenntnisse, Vorfall-Meldungen.
Iteratives Risikomanagement und Update-Pflicht
Das Risikomanagement nach Art. 9 ist iterativ: die Risikoanalyse muss kontinuierlich aktualisiert werden. Trigger: (1) Updates des Systems — jede Änderung kann neue Risiken einführen oder bestehende mindern; (2) neue Erkenntnisse aus Post-Market-Monitoring (Art. 72) — Felddaten, User-Feedback, Bias-/Performance-Erkenntnisse; (3) Vorfälle (Art. 73) — schwere Vorfälle sind Risiko-Updates; (4) externe Erkenntnisse — neue Angriffsvektoren, Bias-Diskussionen, regulatorische Leitlinien. Die Dokumentation muss Versionierung,变更-History, Begründung der Entscheidungen aufweisen. Konformitätsbewertung (Art. 43) prüft die Risikoanalyse-Dokumentation. Bei wesentlichen Modifikationen (Art. 43) kann eine neue Konformitätsbewertung erforderlich sein — die Update-Pflicht ist eng mit der Modifikations-Klassifikation verbunden.
Praxis: Normen und Beweisnachweis
Praktische Operationalisierung über: ISO/IEC 23894 (KI-Risikomanagement — Risikoidentifikation, -bewertung, -minderung, -monitoring), ISO/IEC 42001 (KI-Managementsystem — integrierter Risikoprozess), NIST AI Risk Management Framework, produktspezifische Normen (ISO 14971 klinisches Risiko Medizinprodukte, ISO 26262 Automotive, IEC 62443 Industrial Cybersecurity). Dokumentation: strukturierte Risikoanalyse-Matrix (Risiko-ID, Wahrscheinlichkeit, Schweregrad, Mitigation, Restrisiko), Design-/Entscheidungsprotokolle, Testberichte, Validierungsergebnisse, Bias-/Performance-Analysen, Vorfall-Post-Mortems. Haftungs-/Beweisnachweis: eine dokumentierte, umfassende Risikoanalyse ist Haftschutz bei AI Liability Directive (Beweiserleichterung bei Nonkonformität — Konformität entlastet), Produkthaftung (Stand der Wissenschaft/Technik), behördlichen Ermittlungen. Eine nachlässige Risikoanalyse ist AI-Act-Verstoß (Art. 99), Haftungsgrundlage und Vertrauensverlust.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
OECD AI PrinciplesOECD. Internationaler Referenzrahmen für vertrauenswürdige KI.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
ISO/IEC 42001 — AI Management SystemISO/IEC. Internationaler Standard für KI-Managementsysteme (Compliance-relevant).
Häufige Fragen
Was muss die Risikoanalyse-Dokumentation enthalten?
Nach Art. 9: Risikoidentifikation, -bewertung, -minderungsmaßnahmen, Test-/Validierungsergebnisse, Post-Market-Rückkopplung. Iterativ, kontinuierlich aktualisiert.
Wann muss sie aktualisiert werden?
Trigger: Updates, neue Erkenntnisse aus Post-Market-Monitoring (Art. 72), Vorfälle (Art. 73), externe Erkenntnisse (Angriffsvektoren, Leitlinien). Versionierung, Änderungs-History, Begründung.
Welche Normen helfen?
ISO/IEC 23894 (KI-Risikomanagement), ISO/IEC 42001 (KI-Managementsystem), NIST AI RMF. Produktspezifisch: ISO 14971 (Medizin), ISO 26262 (Automotive), IEC 62443 (Industrial Cybersecurity).
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.