glossaryDefinedTermmaschinenlesbar

Risikomanagementsystem: Definition und rechtliche Bedeutung (AI Act / Data Act)

MenschMarkdown öffnen

Das Risikomanagementsystem (Art. 9 AI Act) ist eine Kardinalpflicht für Anbieter hochriskanter KI. Es ist ein iterativer, über den gesamten Lebenszyklus laufender Prozess mit vier Stufen: (1) Identifikation der bekannten und vorhersehbaren Risiken für Gesundheit, Sicherheit und Grundrechte (Art. 9 Abs. 2 lit. a); (2) Schätzung und Bewertung der Risiken bei beabsichtigter Verwendung und vernünftigerweise vorhersehbarer Fehlanwendung (lit. b); (3) Bewertung weiterer möglicher Risiken durch Daten-Governance und Prüfverfahren (lit. c); (4) Adoption angemessener Risikominderungsmaßnahmen (lit. d). Restrisiken müssen akzeptabel sein (Art. 9 Abs. 5).

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
vier stufen

Die vier Stufen nach Art. 9 Abs. 2

Art. 9 Abs. 2 schreibt einen iterativen Prozess vor: Zuerst sind die bekannten und vernünftigerweise vorhersehbaren Risiken zu identifizieren, die das System für Gesundheit, Sicherheit und Grundrechte — auch der Grundrechte Dritter — verursachen kann. Dann sind diese Risiken bei beabsichtigter Verwendung und bei vernünftigerweise vorhersehbarer Fehlanwendung zu schätzen und zu bewerten. Darauf folgt die Bewertung weiterer möglicher Risiken auf Basis der Daten-Governance (Art. 10) und der Prüfverfahren. Schließlich sind angemessene und zielgerichtete Risikominderungsmaßnahmen zu ergreifen.

minderung

Risikominderung und Restrisiko

Risikominderung erfolgt nach dem Stand der Technik: durch inhärent sichere Gestaltung und Entwicklung, technische und organisatorische Maßnahmen sowie ggf. Informationen und Schulungen. Verbleibende Risiken müssen nach Art. 9 Abs. 5 akzeptabel sein. Wichtig: Beseitigt oder reduziert werden die Risiken aufgrund der Bedeutung für die Grundrechte angemessen; ein Restrisiko-null ist nicht gefordert, aber eine dokumentierte Begründung der Akzeptanz schon.

lebenszyklus

Lebenszyklus und Marktüberwachung

Das Risikomanagementsystem endet nicht mit dem Inverkehrbringen. Es ist über den gesamten Lebenszyklus aufrechtzuerhalten und mit der Marktüberwachung (Art. 72) und der Meldung schwerer Vorfälle (Art. 73) verbunden. Neue Erkenntnisse aus dem Feldeinsatz müssen in das System zurückfließen — das macht es zu einem iterativen Lern- und Dokumentationssystem, nicht zu einem einmaligen Audit.

Sources

Quellen

FAQ

Häufige Fragen

Was verlangt das Risikomanagementsystem nach Art. 9?

Einen iterativen, über den Lebenszyklus laufenden Prozess: Risiken identifizieren, schätzen und bewerten, weitere Risiken über Daten-Governance und Prüfungen erfassen, angemessene Minderungsmaßnahmen treffen, Restrisiken akzeptabel halten.

Müssen alle Risiken eliminiert werden?

Nein. Verbleibende Risiken müssen nach Art. 9 Abs. 5 akzeptabel sein; erforderlich ist eine dokumentierte Begründung der Akzeptanz und angemessene Minderung nach dem Stand der Technik.

Wann endet das Risikomanagement?

Nicht beim Inverkehrbringen. Es ist über den gesamten Lebenszyklus aufrechtzuerhalten und mit Marktüberwachung (Art. 72) und Vorfallsmeldung (Art. 73) verzahnt.

KI-Compliance umsetzen

Du willst EU AI Act und Data Act praktisch umsetzen?

Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.

Jetzt beraten lassen
Related