Hochrisiko-KI Checkliste nach EU AI Act
Betreiben Sie ein Hochrisiko-KI-System nach EU AI Act? Diese Checkliste fasst alle Pflichten aus den Artikeln 8 bis 15 zusammen – von Risikomanagement bis CE-Kennzeichnung.
Risikomanagementsystem
- Schriftliches Risikomanagementsystem eingerichtet
- Risiken identifiziert, analysiert und bewertet
- Maßnahmen zur Risikominimierung definiert
- Kontinuierliches Monitoring über gesamten Lebenszyklus
- Residualrisiken nach Maßnahmen bewertet
- Risikoakzeptanzkriterien festgelegt
Daten und Daten-Governance
- Trainingsdaten auf Eignung geprüft
- Datenqualität und -relevanz sichergestellt
- Datensätze auf Verzerrungen (Bias) untersucht
- Verfahren zur Datenverwaltung dokumentiert
- Datenschutzkonformität (DSGVO) nachgewiesen
- Datenquellen und Datenherkunft dokumentiert
Technische Dokumentation
- Allgemeine Systembeschreibung erstellt
- Zweck und beabsichtigte Verwendung dokumentiert
- Leistungsmetriken und Genauigkeit beschrieben
- Technische Spezifikationen gemäß Anhang IV erfüllt
- Beschreibung der Trainingsprozesse vorhanden
- Dokumentation vor Inbetriebnahme fertiggestellt
- Dokumentation aktuell gehalten (bei wesentlichen Änderungen)
Protokollierung (Logging)
- Automatische Protokollierung relevanter Ereignisse implementiert
- Protokollierung über die gesamte Betriebsdauer
- Protokolle sicher gespeichert und vor Manipulation geschützt
- Aufbewahrungsfristen für Protokolldaten definiert
Transparenz und Nutzerinformation
- Betriebsanleitung für Betreiber erstellt
- Fähigkeiten und Grenzen des Systems kommuniziert
- Auswirkung auf Grundrechte kommuniziert
- Informationen zur menschlichen Aufsicht bereitgestellt
Menschliche Aufsicht
- Maßnahmen für menschliche Aufsicht implementiert
- Stopp-Funktionen (Human Override) vorhanden
- Aufsichtspersonen ausreichend qualifiziert
- Prozesse zur Intervention und Korrektur definiert
Genauigkeit, Robustheit und Cybersicherheit
- Angemessenes Genauigkeitsniveau erreicht und dokumentiert
- Robustheit gegenüber Fehlern und unerwarteten Eingaben getestet
- Widerstandsfähigkeit gegen Adversarial Attacks bewertet
- Cybersicherheitsmaßnahmen implementiert
- Fallback-Prozesse für Systemversagen definiert
Konformitätsbewertung & Registrierung
- Konformitätsbewertungsverfahren durchgeführt
- EU-Konformitätserklärung ausgestellt
- CE-Kennzeichnung angebracht (falls zutreffend)
- System in EU-Datenbank registriert (EUID)
- Kontaktstelle für Behörden benannt
Häufige Fragen
Gilt diese Checkliste für alle Hochrisiko-KI-Systeme?
Ja, alle in Anhang III gelisteten KI-Systeme sowie KI als Sicherheitskomponente in Produkten nach EU-Richtlinien unterliegen diesen Pflichten.
Wer muss die Checkliste erfüllen – Anbieter oder Betreiber?
Die meisten Pflichten (Art. 8–15) liegen beim Anbieter (Provider). Als Betreiber (Operator) haben Sie zusätzliche Pflichten nach Art. 26, insb. Monitoring und Meldepflichten.
Was passiert bei fehlender Dokumentation?
Behörden können Marktzugang verwehren oder das System aus dem Betrieb nehmen. Bußgelder bis zu 15 Mio. € oder 3 % des Jahresumsatzes sind möglich.
Alle Punkte mit SimpleAct abarbeiten
SimpleAct digitalisiert diese Checkliste: strukturierte Dokumentation, automatische Prüfung und export-fähige Audit-Berichte für Behörden und Zertifizierungsstellen.
Compliance starten