en_US
- Hochrisiko-KI-Systeme unterliegen den umfassenden Pflichten nach Art. 6 ff. KI-VO. Aktueller Stichtag für Anhang-III-Systeme: 2. August 2026.
- Der Digital Omnibus schlägt eine Verschiebung auf den 2. Dezember 2027 vor, ist aber noch nicht rechtskräftig.
- Die KI-VO schreibt Ziele vor, nicht Methoden: Genauigkeit, Fairness und Robustheit richten sich nach dem Stand der Technik.
- ISO/IEC 42001, ISO/IEC 24029 und ISO/IEC 5259 bieten objektiv überprüfbare Grundlagen für den Konformitätsnachweis.
- Anbieter tragen die Hauptverantwortung: Pflichten greifen bereits vor Inbetriebnahme.
In diesem Artikel
- Was gilt als Hochrisiko-KI nach der KI-Verordnung?
- Welche technischen Anforderungen stellt die KI-VO an Hochrisiko-Systeme?
- Welche internationalen Standards helfen bei der Umsetzung der KI-VO?
- Wie sieht die technische Umsetzung der KI-VO in der Praxis aus?
- Whitepaper: Hochrisiko-KI-Systeme im Spannungsfeld von Recht und Technik
- FAQ Häufige Fragen zu technischen Anforderungen bei Hochrisiko-KI
Was gilt als Hochrisiko-KI nach der KI-Verordnung?
Mit dem Inkrafttreten der KI-Verordnung im August 2024 schuf die EU erstmals einen umfassenden Rechtsrahmen für Künstliche Intelligenz. Nach aktuellem Stand der KI-VO gelten ab dem 2. August 2026 strenge Anforderungen für Hochrisiko-KI-Systeme nach Anhang III. Der Digital Omnibus schlägt eine Verschiebung auf den 2. Dezember 2027 vor, ist aber noch nicht rechtskräftig. Unternehmen müssen also prüfen, ob ihre KI-Anwendungen betroffen sind, in welche Risikoklasse sie fallen und welche Rolle sie in der KI-Wertschöpfungskette einnehmen.
Ein KI-System wird als Hochrisiko eingestuft, wenn es etwa in physische Produkte integriert ist oder eigenständig in sensiblen Bereichen wie der biometrischen Identifikation, der Kreditwürdigkeitsprüfung oder bei Personalentscheidungen eingesetzt wird.
Anbieter und Betreiber solcher Systeme unterliegen dabei weitreichenden Pflichten und tragen die Verantwortung für deren sichere Gestaltung sowie den rechtskonformen Betrieb.
Hinweis: Alle regulatorischen Pflichten der KI-VO je Risikoklasse finden Sie in unserer Übersicht der Pflichten der KI-VO. Wie ein strukturierter Klassifizierungsprozess aussieht, zeigt unser Artikel zum Prozess zur KI-Risikoklassifizierung.
Welche technischen Anforderungen stellt die KI-VO an Hochrisiko-Systeme?
Die KI-Verordnung legt insbesondere für Hochrisiko-KI-Systeme umfangreiche technische Anforderungen fest. Sie definiert dabei zwar, welche Ziele erreicht werden müssen, etwa in Bezug auf Genauigkeit, Fairness und Robustheit (Art. 15 KI-VO) oder die Qualität von Trainingsdaten (Art. 10 KI-VO), bleibt jedoch bewusst technologieoffen, wie diese Vorgaben konkret umzusetzen sind.
Für Unternehmen wirft das wichtige Fragen auf:
- Was bedeutet „ausreichende Genauigkeit“ im jeweiligen Anwendungsfall?
- Wie kann Fairness technisch überprüft und dokumentiert werden?
- Welche Standards gelten für Robustheit und Bias-Analysen
Hier kommt der sog. „Stand der Technik“ ins Spiel. Dieser besteht aus aktuellen wissenschaftlichen Erkenntnissen, bewährten Best Practices aus der Industrie und internationalen Normen, die als objektiv überprüfbare Basis für regulatorische Konformität gelten.
Gut zu wissen
Die drei zentralen Artikel im Überblick: Art. 10 KI-VO fordert Analyse und Bewertung von Trainings- und Testdaten auf potenzielle Verzerrungen sowie die Ermittlung von Datenlücken. Art. 15 KI-VO verpflichtet zur technischen Bewertung von Genauigkeit, Robustheit und Cybersicherheit. Art. 11 KI-VO schreibt eine vollständige technische Dokumentation vor, die bereits vor Inverkehrbringen vorliegen muss und alle Bewertungen aus Art. 10 und 15 einschließt.
Welche internationalen Standards helfen bei der Umsetzung der KI-VO?
Ein zentraler Hebel für die Sicherstellung der Hochrisiko-KI-Compliance sind internationale Standards, die als objektiv überprüfbare Referenz dienen und gleichzeitig Sicherheit im Entwicklungs- und Auditprozess schaffen.
Die ISO/IEC 42001 unterstützt beim Aufbau eines strukturierten KI-Managementsystems. Sie definiert Anforderungen an Verantwortlichkeiten und Prozesse, die sicherstellen, dass KI-Anwendungen durchgängig kontrolliert, dokumentiert und qualitätsgesichert betrieben werden.
Die ISO/IEC 24029-Reihe bietet Methoden, um die Robustheit von neuronalen Netzen zu bewerten. So können Unternehmen die Widerstandsfähigkeit ihrer Systeme gegenüber Fehlern, Störungen oder Manipulationen nachweisen.
Darüber hinaus legt die ISO/IEC 5259-Reihe klare Anforderungen an die Qualität von Trainings- und Testdaten fest. Sie hilft, Verzerrungen zu identifizieren, Datenlücken zu schließen und so die Fairness sowie Leistungsfähigkeit von KI-Systemen regulatorisch abzusichern.
Diese Standards schaffen Orientierung und bilden die Basis, um Hochrisiko-KI-Systeme nicht nur rechtskonform, sondern auch technisch vertrauenswürdig zu gestalten.
Einen strukturierten Überblick zur ISO/IEC 42001 bietet unser Artikel zur ISO 42001.
Die folgende Tabelle zeigt die vollständige Zuordnung der KI-VO-Pflichten zu bestehenden internationalen Normen:
| KI-VO-Anforderung | Artikel | Norm |
| Qualitätsmanagement-System | Art. 17 | ISO/IEC 42001:2024 |
| Risikomanagement | Art. 9 | ISO/IEC 23894:2023 |
| Data Lifecycle Management | Art. 10 | ISO/IEC 8183:2023 ISO/IEC 5338:2023 |
| Datenqualität | Art. 10 | ISO/IEC 5259-Reihe |
| Bias-Bewertung | Art. 10 | ISO/IEC TR 24027:2021 ISO/IEC/TS 12791:2024 |
| Robustheit | Art. 15 | ISO/IEC 24029-Reihe |
| Leistungsfähigkeit | Art. 15 | ISO/IEC TS 4213:2022 ISO/IEC 25059:2023 |
| Cybersicherheit | Art. 15 | OWASP GenAI Security Project ISO/IEC DIS 27090 |
| Vertrauensvolle Technikgestaltung | Art. 15 | ISO/IEC TR 24028:2020 ISO/IEC TR 5469:2024 |
Wie sieht die technische Umsetzung der KI-VO in der Praxis aus?
Wie sich die Anforderungen aus Art. 10 und Art. 15 der KI-Verordnung in der Praxis umsetzen lassen, zeigen wir in unserem Whitepaper am Beispiel einer KI-gestützten Kreditwürdigkeitsprüfung. Der Anwendungsfall macht deutlich, welche technischen und organisatorischen Pflichten Unternehmen konkret zu erwarten haben - von der Analyse der Datenqualität über den Umgang mit möglichen Verzerrungen bis hin zur Sicherstellung von Fairness und Robustheit.
Gerade bei sensiblen Anwendungsbereichen wie der Kreditvergabe sollten KI-Verantwortliche die regulatorischen Anforderungen nicht nur in der Theorie kennen, sondern sie auch technisch fundiert umsetzen können. Unser Whitepaper bietet hierzu praxisnahe Einblicke und zeigt, wie sich Hochrisiko-KI-Systeme technisch auf Rechtskonformität prüfen und absichern lassen.
Wie wird die Datenqualität nach Art. 10 KI-VO bewertet?
Im Beispieldatensatz, auf den sich unser kuratiertes Whitepaper bezieht, ist die Einkommensgruppe über 50.000 USD mit nur 24,6 % deutlich unterrepräsentiert. Männliche Personen machen 66,9 % der Samples aus. Beide Imbalancen erzeugen nachweisbare Bias-Effekte und wirken sich direkt auf die Gesamtbewertung der Datenqualität nach Art. 10 KI-VO aus.
Wie lässt sich Fairness und Bias technisch nachweisen?
Grundlage ist das Konzept der Group Fairness, das statistische Unabhängigkeit des Systems von geschützten Merkmalen wie Geschlecht oder Herkunft verlangt. Im Beispiel beträgt die Sensitivität des Systems bei männlichen Personen 0,93, bei weiblichen dagegen nur 0,46. Das System verletzt damit die Fairness-Anforderungen nach Art. 10 KI-VO und muss im Entwicklungsprozess nachgebessert werden.
Wie werden Leistungsfähigkeit und Robustheit nach Art. 15 KI-VO gemessen?
Leistungsfähigkeit wird über Genauigkeit (Accuracy), Sensitivität und Spezifität bewertet. Die Robustheit umfasst zusätzlich die Zuverlässigkeit der Unsicherheitsschätzung: Liegt die tatsächliche Fehlerrate systematisch über der angegebenen Konfidenz, spricht man von einer Fehlkalibrierung. Im Beispielsystem beträgt die durchschnittliche Abweichung rund 3,6 %, was auf eine zuverlässige Kalibrierung hindeutet. Alle Erkenntnisse müssen in der technischen Dokumentation nach Art. 11 KI-VO vermerkt werden.
Whitepaper: Hochrisiko-KI-Systeme im Spannungsfeld von Recht und Technik
In unserem Whitepaper erfahren Sie im Detail, welche rechtlichen und technischen Anforderungen Anbieter und Betreiber von Hochrisiko-KI-Systemen erfüllen müssen. Außerdem zeigen wir Ihnen, welche internationalen Normen dabei unterstützen, den „Stand der Technik“ einzuhalten, und welche technischen Maßnahmen erforderlich sind, um den Vorgaben der KI-Verordnung gerecht zu werden.
Neben einem praxisnahen Beispiel aus der Kreditwürdigkeitsprüfung erhalten Sie auch Einblicke, wie Unternehmen ihre Systemlandschaft strukturiert aufstellen können, um die Anforderungen der KI-VO zuverlässig umzusetzen.
Laden Sie jetzt das Whitepaper herunter und verschaffen Sie sich einen fundierten Überblick.
