Die meiste EU AI Act Compliance-Arbeit scheitert an einer Stelle: der Lücke zwischen dem Wissen um die Pflichten und deren Umsetzung in wiederholbare interne Regeln.
Teams versuchen "compliant zu sein", dokumentieren aber nie wie. Dieselben Debatten tauchen in jedem Projekt wieder auf. Nachweise landen verstreut in Jira-Tickets, SharePoint-Ordnern und im Posteingang von irgendjemandem. Dann fragt der Einkauf nach einer Richtlinie und jemand schreibt eine um 2 Uhr nachts.
Dieser Beitrag gibt Ihnen ein minimales Deployer-Richtlinienpaket für Hochrisiko-KI-Systeme, direkt verankert an EU AI Act-Artikeln. Wir fügen dann die zusätzlichen Richtlinien hinzu, die in vier gängigen Deployment-Szenarien wiederholt auftauchen: Beschäftigung, Kredit, kritische Infrastruktur und Bildung.
Provider vs. Deployer: Wissen Sie, welche Rolle Sie haben
Der EU AI Act zieht eine klare Linie zwischen zwei Rollen. Dies falsch zu verstehen bedeutet, das falsche Compliance-Programm aufzubauen.
| Rolle | Was es in der Praxis bedeutet | EU AI Act Referenz |
|---|---|---|
| Provider | Baut ein KI-System (oder lässt es bauen) und bringt es unter eigenem Namen oder eigener Marke auf den Markt oder in Betrieb | Artikel 3(3) |
| Deployer | Nutzt ein KI-System unter eigener Verantwortung als Teil einer geschäftlichen oder öffentlichen Funktion | Artikel 3(4) |
Wenn Sie ein Einstellungsmodell von einem Anbieter kaufen und es in der Personalabteilung betreiben, sind Sie der Deployer. Wenn Sie dann dieses Modell white-labeln und unter Ihrer Marke verkaufen, können Sie auch zum Provider werden - abhängig davon, wie Sie es auf den Markt bringen.
Die meisten Unternehmen sind Deployer. Darauf zielt dieses Richtlinienpaket ab.
Wann gilt "Hochrisiko" für Deployer?
Anhang III listet die Hochrisiko-Anwendungsfälle auf, die die meisten Unternehmen betreffen. Wenn Ihr KI-System in eine dieser Kategorien fällt, greifen die Deployer-Pflichten nach Artikel 26.
| Deployment-Typ | Anhang III Referenz | Was es auslöst |
|---|---|---|
| Kritische Infrastruktur | Anhang III(2) | Sicherheitskomponenten im Management und Betrieb kritischer digitaler Infrastruktur, Straßenverkehr, Wasser, Gas, Heizung, Elektrizität |
| Bildung | Anhang III(3) | Zulassungsentscheidungen, Benotung, Steuerung von Lernergebnissen, Prüfungsüberwachung |
| Beschäftigung | Anhang III(4) | Rekrutierung, Filterung von Bewerbungen, Bewertung von Kandidaten, Beförderungen, Kündigungen, Leistungsüberwachung |
| Kredit und Versicherung | Anhang III(5)(b) und (c) | Kreditwürdigkeitsprüfung, Kredit-Scoring, Lebens- und Krankenversicherungs-Risikobewertung und -Preisgestaltung |
Wenn Sie nicht sicher sind, ob Ihr System qualifiziert, beginnen Sie mit einer Klassifizierungsbewertung. Die Risikokategorien des EU AI Act sind keine optionalen Interpretationen - sie sind in der Verordnung definiert.
Das minimale Deployer-Richtlinienpaket
Der EU AI Act schreibt selten vor "Sie müssen eine Richtlinie namens X haben." Was er vorschreibt ist, dass Deployer bestimmte Aktionen konsistent durchführen, mit klarer Verantwortlichkeit und dokumentierten Nachweisen.
Artikel 26 ist das Rückgrat für Deployer von Hochrisiko-Systemen. Hier ist ein schlankes Richtlinien-Set, das die Kernpflichten mit der kleinstmöglichen Oberfläche abdeckt:
| Richtlinie | Was sie kontrolliert | EU AI Act Verankerung |
|---|---|---|
| Hochrisiko-KI-Deployment-Verfahren | Wie Teams einen Anwendungsfall genehmigen, den beabsichtigten Zweck bestätigen und sicherstellen, dass die Nutzung mit den Nutzungsanweisungen des Providers übereinstimmt | Artikel 26(1) |
| Menschliche Aufsicht und Verantwortlichkeitsverfahren | Wer die Befugnis hat, Outputs zu überwachen, wann Menschen eingreifen müssen, Schulungs- und Kompetenzanforderungen | Artikel 26(2) |
| Eingabedaten-Governance-Verfahren | Regeln für Relevanz und Repräsentativität der von Ihnen kontrollierten Eingabedaten, plus Überwachung auf Datendrift | Artikel 26(4) |
| Überwachungs- und Incident-Eskalationsverfahren | Laufende Überwachung, interne Eskalationswege, Aussetzungskriterien und wie Provider und Behörden bei erkannten Risiken oder schwerwiegenden Incidents zu benachrichtigen sind | Artikel 26(5) |
| Log-Aufbewahrungs- und Zugriffsverfahren | Welche Logs Sie aufbewahren, Aufbewahrungsfristen, Zugriffskontrollen und wie Nachweise für Audits oder Incident-Untersuchungen extrahiert werden | Artikel 26(6) |
| Belegschafts-Transparenzverfahren | Wie Sie Mitarbeiter und Arbeitnehmervertreter informieren, wenn Hochrisiko-KI am Arbeitsplatz eingesetzt wird | Artikel 26(7) |
| KI-Kompetenzplan | Rollenbasierte Schulung für Mitarbeiter, die KI-Systeme in Ihrem Auftrag betreiben oder mit ihnen interagieren | Artikel 4 |
Sieben Richtlinien. Das ist das Fundament.
Bedingte Ergänzungen: Wann Sie mehr brauchen
Abhängig von Ihrem Deployment können zwei zusätzliche Richtlinien verpflichtend werden:
| Richtlinie | Wann erforderlich | EU AI Act Verankerung |
|---|---|---|
| Grundrechte-Folgenabschätzung (FRIA) Verfahren | Erforderlich für öffentliche Stellen und bestimmte private Einrichtungen, die öffentliche Dienste erbringen, vor dem Deployment der meisten Hochrisiko-Systeme. Auch erforderlich für Deployer von Kredit-Scoring und bestimmten Versicherungssystemen | Artikel 27 |
| Transparenz- und Nutzeroffenlegungsverfahren | Erforderlich, wenn Ihre KI direkt mit Menschen interagiert, Emotionserkennung oder biometrische Kategorisierung verwendet, Deepfake-artige synthetische Medien generiert oder KI-generierte Texte zu Angelegenheiten von öffentlichem Interesse veröffentlicht | Artikel 50 |
| Erklärungsbearbeitungsverfahren | Erforderlich, wenn Sie Anhang III Hochrisiko-Systeme verwenden, um Entscheidungen mit rechtlichen oder ähnlich bedeutsamen Auswirkungen auf Einzelpersonen zu treffen (außer Anhang III Punkt 2 Systeme) | Artikel 86 |
Deployment-spezifische Richtlinien-Ergänzungen
Das minimale Paket deckt die Basis-Compliance ab. Reale Deployments in regulierten Bereichen benötigen zusätzliche Kontrollen. Unten sind die Ergänzungen, die in Unternehmens-Rollouts wiederholt auftauchen.
Beschäftigungs-Deployments
Beschäftigungsbezogene KI-Systeme fallen unter Anhang III(4). Diese Deployments berühren Einstellungen, Leistungsbeurteilungen, Beförderungen und Kündigungen - Bereiche mit erheblicher rechtlicher Exposition und Belegschaftssensibilität.
| Zusätzliche Richtlinie | Zweck | Basiert auf |
|---|---|---|
| Beschäftigungsentscheidungs-Governance-Verfahren | Definiert, welche HR-Entscheidungen KI-Outputs einbeziehen können, Schwellenwerte für menschliche Überprüfung, Einspruchswege und Bias-Überwachungskadenz | Artikel 26 Aufsichts- und Überwachungspflichten |
| Arbeitnehmerauswirkungs- und Konsultationsverfahren | Operationalisiert Arbeitsplatztransparenzanforderungen speziell für HR-Kontexte | Artikel 26(7) |
| FRIA-Verfahren | Verpflichtend, wenn der Deployer eine öffentliche Stelle oder private Einrichtung ist, die öffentliche Dienste erbringt | Artikel 27(1) |
Kredit-Deployments
Kredit-Scoring und Kreditwürdigkeitsprüfung sind explizit in Anhang III(5)(b) aufgeführt. Artikel 27 verlangt ausdrücklich, dass Deployer dieser Systeme Grundrechte-Folgenabschätzungen durchführen.
| Zusätzliche Richtlinie | Zweck | Basiert auf |
|---|---|---|
| FRIA-Verfahren | Verpflichtend vor der ersten Nutzung, mit Updates erforderlich, wenn sich wichtige Systemelemente ändern | Artikel 27 |
| Verfahren zur Erklärung nachteiliger Entscheidungen | Operationalisiert, wie Sie aussagekräftige Erklärungen liefern, wenn KI-informierte Entscheidungen Einzelpersonen erheblich betreffen | Artikel 86 |
| Überwachungs- und Aussetzungs-Runbook | Macht "aufhören es zu nutzen" zu einer konkreten Option mit definierten Auslösern, Verantwortlichen und Fallback-Verfahren | Artikel 26(5) |
Kritische Infrastruktur-Deployments
Kritische Infrastruktur erscheint in Anhang III(2). Diese Deployments priorisieren Betriebssicherheit und Systemresilienz über alles andere.
| Zusätzliche Richtlinie | Zweck | Basiert auf |
|---|---|---|
| Betriebssicherheits- und Override-Verfahren | Definiert sichere Zustände, manuelle Fallback-Verfahren, wer KI-Outputs überschreiben kann und Reaktionszeitanforderungen | Artikel 26 Aufsichts- und Überwachungspflichten |
| Incident-Response-Integrationsverfahren | Verbindet KI-spezifische Incidents mit bestehenden operativen Incident-Management- und Eskalations-Frameworks | Artikel 26(5) |
| Log-Aufbewahrungs- und forensische Bereitschaftsverfahren | Stellt sicher, dass Logs Post-Incident-Analysen in Umgebungen mit strengen Verfügbarkeits- und Uptime-Anforderungen unterstützen | Artikel 26(6) |
Bildungs-Deployments
Bildung und Berufsausbildung fallen unter Anhang III(3). Diese Systeme betreffen oft Minderjährige oder Studierende in Machtungleichgewichts-Beziehungen, was strengere Dokumentation und Transparenz erfordert.
| Zusätzliche Richtlinie | Zweck | Basiert auf |
|---|---|---|
| Studentenbewertungs-Governance-Verfahren | Regeln für KI-gestützte Benotung, Prüfungsüberwachungs-Outputs, Schwellenwerte für menschliche Überprüfung und Streitbeilegung | Artikel 26 Aufsichts- und Überwachungspflichten |
| Transparenz- und Offenlegungsverfahren | Stellt sicher, dass Einzelpersonen verstehen, wann sie mit KI interagieren, einschließlich Offenlegungen für die Generierung synthetischer Inhalte | Artikel 50 |
| FRIA-Verfahren | Verpflichtend, wenn der Deployer eine öffentliche Stelle oder private Einrichtung ist, die öffentliche Dienste erbringt | Artikel 27(1) |
Von der Richtlinie zur Praxis
Richtlinien ohne Umsetzung sind nur PDFs, die Staub sammeln. Jede Richtlinie braucht:
- Klare Verantwortlichkeit: Wer pflegt sie, wer genehmigt Änderungen
- Nachweisanforderungen: Welche Dokumentation Compliance beweist
- Überprüfungskadenz: Wie oft Sie sie überarbeiten und aktualisieren
- Integrationspunkte: Wie sie sich mit Ihren bestehenden Workflows verbindet
Der EU AI Act gibt Ihnen die rechtlichen Anker. Ihre internen Systeme - GRC-Plattformen, Dokumentenmanagement oder speziell entwickelte KI-Governance-Tools - liefern den Workflow, die Versionierung, Genehmigungen und den Audit-Trail.
Beginnen Sie mit dem Aufbau Ihres Deployer-Compliance-Programms
Wenn Sie Hochrisiko-KI-Systeme in der EU deployen, tickt die Uhr. Das minimale Richtlinienpaket oben gibt Ihnen einen konkreten Startpunkt. Die deployment-spezifischen Ergänzungen helfen Ihnen, die Compliance auf Ihre tatsächlichen Anwendungsfälle zuzuschneiden.
Brauchen Sie Hilfe, diese Richtlinien in operative Workflows umzuwandeln? Starten Sie mit VerifyWise, um Ihr KI-Governance-Programm zu verwalten, oder kontaktieren Sie unser Team, um Ihre spezifischen Deployment-Szenarien zu besprechen.