Ein Leitfaden in Form eines Entscheidungsbaums zur Risikoklassifizierung gemäß EU AI Act – vier Risikostufen, Kategorien nach Anhang III, Grenzfälle und der Klassifizierungsprozess.
•
•
15 Minuten Lesezeit
Themen
Jedes KI-System, das in der Europäischen Union eingesetzt wird oder Auswirkungen auf sie hat, befindet sich heute auf einem vierstufigen Risikospektrum. Diese Einordnung ist keine theoretische Übung. Sie entscheidet darüber, ob eine Organisation überhaupt keiner regulatorischen Belastung ausgesetzt ist, nur einem engen Satz von Transparenzpflichten unterliegt, einem umfassenden Konformitätsregime mit Kosten in Höhe von Hunderttausenden Euro oder einem vollständigen Verbot. Eine falsche Einstufung in die eine oder andere Richtung hat erhebliche Folgen: Wird zu hoch eingestuft, fließen Ressourcen in eine Compliance-Infrastruktur, die nie erforderlich gewesen wäre; wird zu niedrig eingestuft, drohen der Organisation Durchsetzungsmaßnahmen, Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes sowie ein Reputationsschaden, den kein Abhilfemaßnahmenplan kurzfristig beheben kann [1].
Der EU AI Act-Rahmen für die Risikoklassifizierung ist oberflächlich betrachtet unkompliziert. In der Praxis sind die Grenzen zwischen den Stufen jedoch weniger klar, als der Gesetzestext vermuten lässt. Systeme, die scheinbar sauber in eine Kategorie fallen, können bei näherer Betrachtung zwei Kategorien zugleich berühren. Dieser Leitfaden bietet einen strukturierten Weg durch diese Komplexität.
Die vier Risikostufen
Der AI Act legt vier Risikostufen fest, die jeweils mit einem eigenen Bündel an Pflichten verbunden sind. Zu verstehen, was jede Stufe erfordert, ist Voraussetzung für eine korrekte Einstufung.
Unannehmbares Risiko (verboten)
Artikel 5 des AI Act benennt KI-Praktiken, die als so grundlegend bedrohlich für Sicherheit, Lebensgrundlagen und Rechte gelten, dass sie vollständig verboten sind. Dazu gehören Social-Scoring-Systeme, die von oder im Auftrag öffentlicher Stellen betrieben werden, biometrische Fernidentifizierung in Echtzeit an öffentlich zugänglichen Orten für Zwecke der Strafverfolgung (vorbehaltlich enger Ausnahmen), KI-Systeme, die Verwundbarkeiten bestimmter Gruppen aufgrund von Alter, Behinderung oder sozialer Situation ausnutzen, sowie Systeme, die subliminale Techniken jenseits des Bewusstseins einer Person einsetzen, um Verhalten in einer Weise wesentlich zu verfälschen, die Schaden verursacht [2].
Für verbotene Systeme gibt es keinen Compliance-Pfad. Die einzige rechtmäßige Reaktion besteht darin, den Einsatz einzustellen.
Hohes Risiko
Hochrisikosysteme bilden den regulatorischen Schwerpunkt. Sie unterliegen den detailliertesten Pflichten: Risikomanagementsysteme, Anforderungen an die Daten-Governance, technische Dokumentation, Aufzeichnungspflichten, Transparenzvorgaben, Mechanismen der menschlichen Aufsicht sowie Anforderungen an Genauigkeit, Robustheit und Cybersicherheit [3]. Zwei Wege führen zu einer Hochrisiko-Einstufung, die unten im Detail erläutert werden.
Auf diese Stufe konzentriert sich der Großteil der Compliance-Bemühungen im Unternehmen, und hier haben Einstufungsfehler die höchsten Kostenfolgen.
Begrenztes Risiko
Systeme, die als begrenztes Risiko eingestuft sind, unterliegen ausschließlich Transparenzpflichten. Die zentrale Anforderung ist die Offenlegung: Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren. Diese Stufe erfasst Chatbots, Emotionserkennungssysteme, die nicht unter die verbotene Kategorie fallen, Deepfake-Generatoren sowie KI-Systeme, die Text-, Audio- oder Bildinhalte erzeugen oder manipulieren [4].
Begrenztes Risiko ist der Mechanismus des Gesetzes, um Täuschung zu steuern, ohne den vollständigen Konformitätsapparat aufzuerlegen.
Minimales Risiko
Die überwiegende Mehrheit der KI-Systeme fällt hierunter. Spamfilter, KI-gestützte Videospiele, Algorithmen für das Bestandsmanagement - diese unterliegen nach dem AI Act keinen spezifischen Pflichten, auch wenn freiwillige Verhaltenskodizes empfohlen werden [5].
Minimales Risiko ist der Regelfall. Ein System steigt auf dem Spektrum nur dann auf, wenn es definierte Kriterien einer höheren Stufe erfüllt.
Der Entscheidungsbaum: Schritt für Schritt klassifizieren
Die Risikoklassifizierung nach dem EU AI Act erfordert eine sequenzielle Analyse. Der folgende Entscheidungsbaum bildet die Logik der Artikel 5, 6 und 7 ab und bietet denselben wiederholbaren Prozess, den Enzais Klassifizierungs-Workflows für Unternehmen automatisieren, die Dutzende oder Hunderte von Systemen prüfen.
Schritt 1: Fällt das System unter die Verbote des Artikels 5?
Prüfen Sie den Zweck und den Mechanismus des Systems anhand jeder verbotenen Praxis. Wenn das System in öffentlichen Räumen für die Strafverfolgung eine biometrische Identifizierung in Echtzeit vornimmt, Personen mittels subliminaler Techniken mit Schadenfolge manipuliert, spezifische Verwundbarkeiten ausnutzt oder Social Scoring durch öffentliche Stellen ermöglicht, ist es verboten.
Wenn ja: Das System ist Unannehmbares Risiko. Hier endet die Prüfung.
Wenn nein: Fahren Sie mit Schritt 2 fort.
Schritt 2: Ist das System eine Sicherheitskomponente eines Produkts, das unter die in Anhang I aufgeführte EU-Harmonisierungsrechtsvorschriften fällt, oder ist das System selbst ein solches Produkt?
Anhang I führt die bestehenden EU-Richtlinien und -Verordnungen zum Produktsicherheitsrecht auf, darunter jene für Maschinen, Spielzeug, Medizinprodukte, zivile Luftfahrt, Kraftfahrzeuge und Eisenbahnsysteme [6]. Dient das KI-System als Sicherheitskomponente innerhalb eines dieser regulierten Produkte oder ist das System selbst das regulierte Produkt, gilt es nach Artikel 6 Absatz 1 als hochriskant. Entscheidend ist außerdem, dass diese Systeme eine Konformitätsbewertung durch Dritte nach den einschlägigen sektoralen Rechtsvorschriften erfordern.
Wenn ja: Das System ist über Artikel 6(1) Hochrisiko. Fahren Sie mit den Pflichten nach der Einstufung fort.
Wenn nein: Fahren Sie mit Schritt 3 fort.
Schritt 3: Fällt das System in eine der in Anhang III aufgeführten Anwendungsfallkategorien?
Anhang III listet acht Bereiche hochriskanter Anwendungen auf. Wenn der beabsichtigte Zweck des Systems einer dieser Kategorien entspricht, ist es nach Artikel 6(2) vorläufig hochriskant. Hier verlangt die Analyse besondere Präzision, da die Kategorien in Anhang III breit gefasst und stark von den tatsächlichen Umständen abhängig sind.
Wenn ja: Fahren Sie mit Schritt 4 fort.
Wenn nein: Fahren Sie mit Schritt 5 fort.
Schritt 4: Greift die Ausnahme nach Artikel 6(3)?
Artikel 6(3) führte in den finalen Text eine erhebliche Einschränkung ein. Selbst wenn ein System unter Anhang III fällt, gilt es nicht als hochriskant, wenn es kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte darstellt. Konkret ist ein System ausgenommen, wenn es eine eng umrissene verfahrenstechnische Aufgabe erfüllt, das Ergebnis einer bereits abgeschlossenen menschlichen Tätigkeit verbessert, Entscheidungsmuster erkennt, ohne die menschliche Beurteilung zu ersetzen oder zu beeinflussen, oder eine vorbereitende Aufgabe für eine Bewertung erfüllt, die für die Anwendungsfälle des Anhangs III relevant ist [7].
Der Anbieter muss dokumentieren, warum die Ausnahme greift, und die zuständige nationale Behörde benachrichtigen, bevor das System in Verkehr gebracht wird. Wenn die Behörde anderer Auffassung ist, wird das System wieder als hochriskant eingestuft.
Wenn Artikel 6(3) Anwendung findet: Das System ist nicht hochriskant, aber Dokumentations- und Benachrichtigungspflichten bleiben bestehen. Einstufung als begrenztes oder minimales Risiko anhand der Transparenzkriterien.
Wenn Artikel 6(3) nicht Anwendung findet: Das System ist über Artikel 6(2) Hochrisiko. Fahren Sie mit den Pflichten nach der Einstufung fort.
Schritt 5: Erfordert das System Transparenzangaben?
Wenn das System direkt mit natürlichen Personen interagiert (Chatbots), Bild-, Audio- oder Videoinhalte erzeugt oder manipuliert (Deepfakes, generative KI) oder Emotionserkennung oder biometrische Kategorisierung außerhalb verbotener Kontexte durchführt, unterliegt es den Transparenzpflichten für begrenztes Risiko [4].
Wenn ja: Das System ist Begrenztes Risiko.
Wenn nein: Das System ist Minimales Risiko. Es gelten keine spezifischen Pflichten.
Die Klassifizierung ist nur so zuverlässig wie die Strenge, die an jedem Knotenpunkt angewandt wird. Für Teams, die mehrere Systeme bearbeiten, kann das folgende Arbeitsblatt für jedes KI-System im Bestand kopiert und ausgefüllt werden:
Schritt | Frage | Ihre Antwort | Resultierende Stufe | Verantwortlicher |
|---|---|---|---|---|
1 | Fällt das System unter die Verbote des Artikels 5? | Ja / Nein | Wenn ja: Verboten | |
2 | Ist es eine Sicherheitskomponente eines Anhang-I-Produkts? | Ja / Nein | Wenn ja: Hochrisiko (Artikel 6(1)) | |
3 | Fällt es in eine Anwendungsfallkategorie des Anhangs III? | Ja / Nein / Kategorie: ___ | Wenn ja: Vorläufig hochriskant | |
4 | Greift die Ausnahme nach Artikel 6(3)? | Ja / Nein / Begründung: ___ | Wenn ja: Nicht hochriskant | |
5 | Erfordert es Transparenzangaben? | Ja / Nein | Wenn ja: Begrenztes Risiko | |
Ende | Klassifizierungsergebnis | ___ | ___ |
Anhang-III-Kategorien: Konkrete Beispiele aus dem Unternehmensumfeld
Anhang III ist für die meisten KI-Systeme im Unternehmensumfeld das Tor zur Hochrisiko-Einstufung. Jeder der acht Bereiche verdient eine Betrachtung anhand konkreter Beispiele, da die gesetzlichen Formulierungen breit gefasst sind und von praktischer Veranschaulichung profitieren.
1. Biometrische Identifizierung und Kategorisierung
Hierunter fallen Systeme zur biometrischen Fernidentifizierung (nicht in Echtzeit für die Strafverfolgung, was verboten ist) sowie biometrische Kategorisierungssysteme, die natürliche Personen anhand biometrischer Daten Kategorien zuordnen. Ein Unternehmensbeispiel: ein Flughafen, der Gesichtserkennung für die automatisierte Boarding-Verifikation einsetzt, oder ein Einzelhändler, der biometrische Kategorisierung nutzt, um demografische Merkmale von Kunden abzuleiten.
2. Management und Betrieb kritischer Infrastrukturen
KI-Systeme, die als Sicherheitskomponenten beim Management und Betrieb von Straßenverkehr, Wasser-, Gas-, Heiz- und Stromversorgung sowie digitaler Infrastruktur eingesetzt werden. Beispiele sind ein KI-System zur Lastverteilung im Stromnetz, ein prädiktiver Wartungsalgorithmus für Wasseraufbereitungsanlagen oder ein von einer kommunalen Behörde eingesetztes System zur Optimierung von Verkehrssignalen.
3. Bildung und berufliche Ausbildung
Systeme, die den Zugang zu Bildungseinrichtungen oder die Zuordnung innerhalb solcher Einrichtungen bestimmen oder Lernergebnisse bewerten. Eine Universität, die ein KI-gestütztes Scoring-Tool für Zulassungen nutzt, ein automatisiertes System zur Bewertung von Essays oder eine Plattform, die Studierende bestimmten Studienpfaden zuordnet, fallen alle darunter.
4. Beschäftigung, Personalmanagement und Zugang zur selbständigen Erwerbstätigkeit
KI-Systeme, die in Rekrutierung, Auswahl, Einstellungsentscheidungen, Aufgabenverteilung, Leistungsüberwachung oder Kündigungsentscheidungen eingesetzt werden. Dies ist einer der am häufigsten ausgelösten Anwendungsbereiche im Unternehmenskontext. Ein KI-gestütztes CV-Screening-Tool, das Kandidaten rankt oder filtert, ein Belegungs- und Schichtplanungsalgorithmus, der Schichten auf Basis prognostizierter Produktivität zuweist, oder ein Leistungsbewertungssystem, das Mitarbeitende für eine potenzielle Entlassung markiert, fallen allesamt in den Anwendungsbereich.
5. Zugang zu und Inanspruchnahme wesentlicher privater und öffentlicher Dienste
Hierunter fallen KI-Systeme, die zur Bewertung der Berechtigung für Sozialleistungen, zur Bonitätsbewertung, zur Risikobewertung in der Lebens- und Krankenversicherung sowie zur Priorisierung von Notfalldiensten eingesetzt werden. Ein von einer Bank verwendeter Kredit-Scoring-Algorithmus zur Bestimmung der Kreditwürdigkeit, ein KI-System zur Vorauswahl von Anträgen auf Sozialwohnungen oder ein Underwriting-Modell einer Versicherung, das Prämien auf Grundlage individueller Risikoprofile festsetzt, sind in dieser Kategorie allesamt hochriskant.
6. Strafverfolgung
KI-Systeme, die von Strafverfolgungsbehörden für individuelle Risikobewertung, Polygraph-Analyse, Bewertung der Zuverlässigkeit von Beweismitteln, Kriminalitätsprognosen in Bezug auf natürliche Personen und Profiling in strafrechtlichen Ermittlungen eingesetzt werden. Ein Predictive-Policing-Tool, das Personen identifiziert, die wahrscheinlich Straftaten begehen, oder ein KI-System, das die Zuverlässigkeit von Zeugenaussagen bewertet, fällt hierunter.
7. Migration, Asyl und Grenzkontrolle
Systeme, die zur Bewertung von Sicherheitsrisiken durch Personen, die in die EU einreisen, zur Unterstützung bei der Prüfung von Asylanträgen oder zum Erkennen, Wiedererkennen oder Identifizieren von Personen im Migrationskontext eingesetzt werden. Ein bei der Grenzkontrolle verwendetes Risikoscoring-Tool, das Reisende für zusätzliche Prüfungen markiert, oder ein KI-System, das Asylgesuche auf Konsistenz analysiert, fällt darunter.
8. Verwaltung der Justiz und demokratische Prozesse
KI-Systeme, die dazu bestimmt sind, Justizbehörden bei der Recherche und Auslegung von Sachverhalten und Recht zu unterstützen, oder Systeme, die dazu verwendet werden, den Ausgang von Wahlen zu beeinflussen. Ein juristisches Recherche-Tool, das Richtern mögliche Verfahrensausgänge empfiehlt, oder ein System, das für mikrozielgerichtete politische Werbung auf Grundlage von Wählerprofilen eingesetzt wird, fällt in diese Kategorie.
Nicht die zugrunde liegende Technologie, sondern die Spezifität des beabsichtigten Zwecks bestimmt die Einstufung.
Grenzfälle und Grauzonen
Die Grenzen der Risikostufen des AI Act werden in mehreren wiederkehrenden Szenarien besonders scharf auf die Probe gestellt, denen Organisationen, die Plattformen wie Enzai für die KI-Governance einsetzen, regelmäßig begegnen.
Emotionserkennung: Der Kontext entscheidet über alles
Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen löst spezifische Verbote oder eine Hochrisiko-Einstufung aus. Wird Emotionserkennung jedoch im Kundenservice eingesetzt, etwa durch ein KI-Tool, das die Stimmung von Anrufern analysiert, um Support-Tickets zuzuweisen, fällt dies nicht unter das Verbot für den Arbeitsplatz. Es kann dennoch als begrenztes Risiko unter die Transparenzvorschriften fallen und eine Offenlegung gegenüber dem Anrufer erfordern. Der entscheidende Faktor ist nicht die Technologie, sondern der Einsatzkontext und das Machtungleichgewicht zwischen den beteiligten Parteien [8].
KI-Empfehlungen versus KI-Entscheidungen
Ein System, das eine Entscheidung zur menschlichen Überprüfung empfiehlt, befindet sich in einer anderen Position als eines, das diese Entscheidung autonom umsetzt. Ein KI-Tool, das Bewerberinnen und Bewerber rankt und einer Personalverantwortlichen eine Auswahlliste vorlegt, kann dennoch nach Anhang III hochriskant sein (Beschäftigungskategorie), aber die Art der menschlichen Aufsicht beeinflusst die konkret geltenden Pflichten. Umgekehrt muss sich ein System, das Kreditanträge automatisch und ohne sinnvolle menschliche Intervention ablehnt, dem vollen Umfang der Hochrisiko-Anforderungen stellen. Die entscheidende Frage ist, ob der Mensch das KI-Ergebnis realistisch und regelmäßig übersteuern kann oder ob die Empfehlung des Systems faktisch als Entscheidung fungiert [9].
Der Weg der Selbsteinstufung nach Artikel 6(3)
Artikel 6(3) eröffnet einen Weg aus der Hochrisiko-Einstufung, ist jedoch enger gefasst, als viele Organisationen zunächst annehmen. Ein CV-Screening-Tool, das Bewerbungen lediglich in ein standardisiertes Format überführt, könnte unter die Ausnahme fallen, da es eine vorbereitende Aufgabe erfüllt. Dasselbe Tool, wenn es so konfiguriert ist, dass es Kandidaten rankt, tut dies nicht. Organisationen müssen der Versuchung widerstehen, die Funktion ihres Systems im günstigsten Licht darzustellen. Nationale Behörden behalten die Befugnis zur Neueinstufung, und die Beweislast für die Dokumentation liegt beim Anbieter. Enzais Klassifizierungs-Workflows sind darauf ausgelegt, Artikel-6(3)-Behauptungen vor einer verbindlichen Festlegung anhand der Kriterien der Verordnung einem Stresstest zu unterziehen.
Allzweck-KI-Modelle in Hochrisikosystemen
Wenn ein Allzweck-KI-Modell in ein Hochrisikosystem integriert wird, treffen die Pflichten den Betreiber, der das System für den spezifischen Hochrisiko-Anwendungsfall konfiguriert, nicht ausschließlich den Modellanbieter. Eine Organisation, die ein Basismodell für die Bonitätsbewertung feinabstimmt, übernimmt die Hochrisiko-Pflichten, selbst wenn das zugrunde liegende Modell von einem Dritten entwickelt wurde [10].
Die Position eines Systems auf dem Risikospektrum ist selten so offensichtlich, wie es zunächst erscheint.
Der Klassifizierungsprozess: Governance und Dokumentation
Die Risikoklassifizierung nach dem EU AI Act ist keine Aufgabe für eine einzelne Funktion. Sie erfordert strukturierte Beiträge aus mehreren Disziplinen und eine Dokumentationsspur, die einer regulatorischen Prüfung standhält.
Wer beteiligt sein sollte
Mindestens sollten in den Klassifizierungsprozess Rechtsberater mit regulatorischer Expertise, das technische Team, das für die Konzeption und den beabsichtigten Zweck des Systems verantwortlich ist, ein Fachexperte, der den operativen Einsatzkontext versteht, eine Risiko- oder Compliance-Funktion sowie - sofern das System Mitarbeitende betrifft - Arbeitnehmervertretungen oder die Führung der Personalabteilung eingebunden sein.
Ein häufiger Fehler ist es, die Einstufung vollständig an die Rechtsabteilung oder vollständig an die Entwicklung zu delegieren. Rechtsteams fehlt unter Umständen das technische Verständnis, um zu beurteilen, ob ein System tatsächlich autonome Entscheidungen trifft; Entwicklungsteams unterschätzen möglicherweise die regulatorische Bedeutung des operativen Einsatzkontexts eines Systems.
Wie zu dokumentieren ist
Die Begründung der Einstufung muss in einer Form dokumentiert werden, die einer nationalen Aufsichtsbehörde vorgelegt werden kann. Die Dokumentation sollte eine klare Beschreibung des beabsichtigten Zwecks des Systems, die konkret geprüften Artikel und Anhänge, die Begründung für die zugewiesene Stufe, gegebenenfalls eine Analyse von Artikel 6(3), die Identifikation der an der Bewertung beteiligten Personen und Rollen sowie das Datum der Einstufung und etwaige geplante Auslöser für eine Überprüfung enthalten.
Umgang mit Meinungsverschiedenheiten
Wenn interne Stakeholder bei der Einstufung uneinig sind, sollte bis zu weiterer Analyse die vorsichtige Position Vorrang haben. Eine Organisation, die ein System vorläufig als hochriskant einstuft und es später herabstuft, ist einem deutlich geringeren Risiko ausgesetzt als eine Organisation, die es niedrig einstuft und später als nicht konform eingestuft wird. Meinungsverschiedenheiten sollten in der Dokumentation festgehalten werden, da sie die Strenge des Prozesses belegen und die Organisation im Fall einer behördlichen Prüfung schützen.
Klassifizierung ist ein Governance-Akt, keine administrative Formalität.
Was nach der Klassifizierung geschieht
Die einer Software zugewiesene Risikostufe bestimmt die anschließend geltenden Compliance-Pflichten. Die Unterschiede zwischen den Stufen sind erheblich.
Verbotene Systeme
Die Pflicht ist absolut: weder entwickeln, einsetzen noch auf dem EU-Markt bereitstellen. Bestehende Systeme müssen außer Betrieb genommen werden. Für verbotene Praktiken gibt es keine Übergangsfrist [2].
Hochrisikosysteme
Anbieter müssen ein Risikomanagementsystem implementieren, das während des gesamten Lebenszyklus des Systems funktioniert. Daten-Governance-Praktiken müssen sicherstellen, dass Trainings-, Validierungs- und Testdatensätze relevant, repräsentativ und fehlerfrei sind. Vor dem Inverkehrbringen des Systems muss eine umfassende technische Dokumentation erstellt werden. Das System muss so gestaltet sein, dass Ereignisse automatisch protokolliert werden können. Transparenzanforderungen verlangen klare Anweisungen für Betreiber. Maßnahmen der menschlichen Aufsicht müssen es natürlichen Personen ermöglichen, das System zu verstehen, zu überwachen und zu übersteuern. Anforderungen an Genauigkeit, Robustheit und Cybersicherheit müssen erfüllt und aufrechterhalten werden [3].
Betreiber von Hochrisikosystemen haben eigene Pflichten: Durchführung von Folgenabschätzungen für Grundrechte, Sicherstellung, dass die menschliche Aufsicht operativ wirksam ist, Überwachung des Systems gemäß den Anweisungen des Anbieters sowie Meldung schwerwiegender Vorfälle.
Systeme mit begrenztem Risiko
Die primäre Pflicht ist die Transparenz. Nutzer müssen darüber informiert werden, dass sie mit KI interagieren. Von KI erzeugte oder manipulierte Inhalte müssen als solche gekennzeichnet werden. Emotionserkennungssysteme müssen ihre Funktionsweise gegenüber den betroffenen Personen offenlegen [4].
Systeme mit minimalem Risiko
Es gelten keine verbindlichen Pflichten. Organisationen werden ermutigt, freiwillige Verhaltenskodizes zu verabschieden, die unter anderem ökologische Nachhaltigkeit und KI-Kompetenz adressieren [5].
Die Pflichten auf jeder Stufe sind nicht bloß aspirativ. Es handelt sich um durchsetzbare Anforderungen mit klar definierten Sanktionen bei Nichtkonformität.
Von der Klassifizierung zur Compliance
Die Bestimmung der Risikostufe eines Systems ist der erste Schritt in einem längeren Compliance-Programm, aber sie ist der Schritt, von dem alles Weitere abhängt. Eine unzutreffende Einstufung zieht sich durch jede nachfolgende Entscheidung, von den für die Dokumentation zugewiesenen Ressourcen bis hin zum gewählten Konformitätsbewertungsweg.
Organisationen, die Portfolios von KI-Systemen über mehrere Rechtsordnungen und Geschäftsbereiche hinweg steuern, stehen vor dieser Herausforderung in großem Maßstab. Klassifizierungsentscheidungen nachzuverfolgen, regulatorische Aktualisierungen zu überwachen, die die Stufe eines Systems verschieben könnten, und eine prüfbare Dokumentation der Begründung jeder Entscheidung zu pflegen, erfordert eine speziell dafür entwickelte Infrastruktur.
Für Organisationen, die die Risikoklassifizierung nach dem EU AI Act über ihr gesamtes KI-Inventar hinweg operationalisieren möchten, bietet Enzai den Governance-Rahmen, um KI-Systeme anhand sich entwickelnder regulatorischer Anforderungen zu klassifizieren, zu dokumentieren und zu überwachen. Demo anfordern, um zu sehen, wie strukturierte Klassifizierungs-Workflows sowohl das Compliance-Risiko als auch vermeidbaren Aufwand reduzieren.
Enzai ist die führende Plattform für Unternehmens-KI-Governance, die speziell entwickelt wurde, um Organisationen beim Übergang von abstrakter Richtlinie zu operativer Aufsicht zu unterstützen. Unsere Plattform für KI-Risikomanagement bietet die spezialisierte Infrastruktur, die erforderlich ist, um Governance für agentische KI zu steuern, ein umfassendes KI-Inventar zu pflegen und die Einhaltung des EU AI Act sicherzustellen. Durch die Automatisierung komplexer Workflows befähigt Enzai Unternehmen, die Einführung von KI mit Zuversicht zu skalieren und gleichzeitig die Ausrichtung an globalen Standards wie ISO 42001 und NIST zu wahren.
Referenzen
[1] Verordnung (EU) 2024/1689, Artikel 99 - Geldbußen.
[2] Verordnung (EU) 2024/1689, Artikel 5 - Verbotene Praktiken der künstlichen Intelligenz.
[3] Verordnung (EU) 2024/1689, Artikel 8-15 - Anforderungen an Hochrisiko-KI-Systeme.
[4] Verordnung (EU) 2024/1689, Artikel 50 - Transparenzpflichten für KI-Systeme mit begrenztem Risiko.
[5] Verordnung (EU) 2024/1689, Artikel 95 - Verhaltenskodizes für freiwillige Verpflichtungen von Anbietern von KI-Systemen ohne hohes Risiko.
[6] Verordnung (EU) 2024/1689, Anhang I - Harmonisierungsrechtsvorschriften der Union.
[7] Verordnung (EU) 2024/1689, Artikel 6(3) - Einstufungsregeln für Hochrisiko-KI-Systeme.
[8] Verordnung (EU) 2024/1689, Erwägungsgründe 44-46 - Anwendungsbereich der Verbote zur Emotionserkennung.
[9] Verordnung (EU) 2024/1689, Artikel 14 - Menschliche Aufsicht.
[10] Verordnung (EU) 2024/1689, Artikel 51-56 - Pflichten für Anbieter von Allzweck-KI-Modellen.
Ermöglichen Sie Ihrer Organisation die Einführung, Steuerung und Überwachung von KI mit unternehmensgerechtem Vertrauen. Entwickelt für regulierte Organisationen, die im großen Maßstab operieren.