use_caseArticlemaschinenlesbar

Predictive Maintenance an Industrieanlagen: Risikoklasse und Pflichten im EU-KI-Recht

MenschMarkdown öffnen

Predictive Maintenance (vorausschauende Wartung) an Industrieanlagen ist in der Regel KI mit BEGRENZTEM RISIKO nach dem AI Act — wenn sie nur Wartungsempfehlungen gibt und keine Sicherheitsfunktion übernimmt. Wird sie zur Sicherheitskomponente kritischer Infrastruktur oder in Maschinen mit Sicherheitsfunktion, ist sie HOCHRISKANT (Anhang III Nr. 2 bzw. Anhang I). Bei begrenztem Risiko: keine Konformitätsbewertung, ggf. Transparenz (Art. 50). Überlagert: Arbeitsschutz (Betriebssicherheitsverordnung), Produkthaftung, DSGVO (bei personenbezogenen Daten), NIS2 bei kritischer Infrastruktur. Die Einordnung „Wartungsempfehlung vs. Sicherheitsfunktion" ist entscheidend; bei kritischen Anlagen ist konservativ vom Hochrisiko auszugehen.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
einordnung

Einordnung: begrenzt oder hochriskant

Predictive Maintenance (PdM) ist meist begrenzt riskant: sie gibt Wartungsempfehlungen (z. B. „Lager in 2 Wochen austauschen"), ohne selbst Sicherheitsfunktionen zu übernehmen. Die AI-Act-Pflichten sind dann minimal (Transparenz ggf. nach Art. 50). Hochriskant wird PdM in zwei Fällen: (1) als Sicherheitsbestandteil kritischer digitaler Infrastruktur (Anhang III Nr. 2 — Überwachung kritischer Anlagen); (2) als KI-Komponente in Maschinen mit Sicherheitsfunktion (Anhang I — z. B. Not-Aus-Vorhersage an Pressen). Die Einordnung „reine Empfehlung vs. Sicherheitsentscheidung" entscheidet. Bei kritischen Anlagen (Stromnetz, Chemie, Gesundheit) ist konservativ vom Hochrisiko auszugehen.

hochrisiko pflichten

Pflichten bei Hochrisiko

Bei Hochrisiko-Einstufung: vollständiges Pflichtenbündel aus Art. 8–15 spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) — Risikomanagement (Art. 9), Daten-Governance/Bias (Art. 10), technische Dokumentation (Art. 11), Aufzeichnung (Art. 12), menschliche Aufsicht (Art. 14), Genauigkeit/Robustheit/Cybersecurity (Art. 15 — besonders wichtig bei industriellen Anlagen, die angriffsexponiert sind), QMS (Art. 17), Konformitätsbewertung, CE-Kennzeichnung, Registrierung. Bei Maschinen-Anbindung: Maschinenverordnung 2023/1230 kumulativ, eine CE deckt beide ab (Art. 47 Abs. 2–4). Überlagert: NIS2 (Risikomanagement Art. 21, Meldepflichten) bei kritischer Infrastruktur.

praxis

Praxis: OT/IT-Sicherheit und Arbeitsschutz

Praktisch hat PdM eine besondere OT/IT-Sicherheitsdimension: industrielle Anlagen sind oft legacy-Infrastruktur mit schwacher Cybersecurity, und Anomalie-Erkennung kann selbst Angriffsvektor sein. Art. 15 (Cybersecurity) ist bei PdM in kritischen Anlagen essenziell. Überlagert: Betriebssicherheitsverordnung (BetrSichV), Arbeitsschutzgesetz (ArbSchG), Produkthaftung (Schäden durch Wartungsfehler), DSGVO (sofern personenbezogene Daten im Spiel, z. B. Fahrer-/Schichtleiter-Daten). Praktisch erforderlich: klare Abgrenzung Wartungsempfehlung vs. Sicherheitsentscheidung, OT-Cybersecurity-Prüfungen, Fallback-Mechanismen (konventionelle Wartungsintervalle), und Dokumentation der Prognosequalität. Für Industrie-4.0-Anbieter ist die PdM-Klassifizierung ein häufiger Compliance-Ankerpunkt.

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.

European Data Protection Board (EDPB)

EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.

Datenschutzkonferenz (DSK)

DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.

Der Bundesbeauftragte für Datenschutz (BfDI)

BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.

Rat für Künstliche Intelligenz (Österreich)

Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.

FAQ

Häufige Fragen

Welche Risikostufe hat Predictive Maintenance?

Meist begrenzt (Wartungsempfehlung ohne Sicherheitsfunktion). Hochriskant als Sicherheitskomponente kritischer Infrastruktur (Anhang III Nr. 2) oder in Maschinen mit Sicherheitsfunktion (Anhang I).

Was gilt bei kritischen Industrieanlagen?

Hochrisiko-Pflichten (Art. 8–15) plus NIS2 (Risikomanagement, Meldepflichten) plus Maschinenverordnung. Eine CE deckt beide Regime ab. Konservativ vom Hochrisiko ausgehen.

Welche OT/IT-Risiken bestehen?

Industrielle Anlagen sind oft legacy und angriffsexponiert. Anomalie-Erkennung kann selbst Angriffsvektor sein. Art. 15 (Cybersecurity) essenziell, plus OT-Cybersecurity-Prüfungen und Fallback-Mechanismen.

Compliance für deinen Fall

Rechtskonforme Umsetzung für Predictive Maintenance an Industrieanlagen?

Wenn du Predictive Maintenance an Industrieanlagen rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.

Jetzt beraten lassen
Related