glossaryDefinedTermmaschinenlesbar

Meldung schwerer Vorfälle: Definition und rechtliche Bedeutung (AI Act / Data Act)

MenschMarkdown öffnen

Art. 73 AI Act verpflichtet Anbieter, sobald sie ernsthafte Vorfälle im Zusammenhang mit einem hochrisiko-KI-System feststellen oder sich davon begründete Hinweise ergeben, diese der Marktüberwachungsbehörde des Mitgliedstaats zu melden, in dem der Vorfall aufgetreten ist. Schwere Vorfälle sind u. a.: Todesfälle oder schwere Verletzungen, schwere Störungen kritischer Infrastruktur, Verstöße gegen Grundrechte. Betreiber haben eine parallele Meldepflicht (Art. 26 Abs. 5). Fristen: ernsthafte Vorfallsmeldungen innerhalb von 15 Tagen, Todesfälle/ernsthafte Sicherheitssorgen unverzüglich. Eine klare Meldelogik ist Teil des Risikomanagementsystems (Art. 9).

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
pflicht

Wer muss was melden?

Art. 73 Abs. 1 verpflichtet Anbieter hochrisiko-KI, ernsthafte Vorfälle der Marktüberwachungsbehörde des betroffenen Mitgliedstaats zu melden. Art. 26 Abs. 5 trifft Betreiber mit einer parallelen Pflicht. „Schwerer Vorfall" umfasst nach Art. 3 Nr. 49 jede Störung oder Fehlfunktion, die zu Todesfällen oder schweren Verletzungen führt, schwere und unvermeidbare Störungen kritischer digitaler/physikalischer Infrastruktur oder wesentliche Verstöße gegen Grundrechte. Für GPAI mit systemischem Risiko gelten zusätzliche Meldungen (Art. 55).

fristen

Fristen und Verfahren

Die Fristen sind gestaffelt: Todesfälle oder ernsthafte Sicherheitssorgen sind unverzüglich, spätestens innerhalb von zwei Tagen zu melden. Eine erste ernsthafte Vorfallsmeldung erfolgt innerhalb von 15 Tagen nach Feststellung. Der Anbieter reicht im Anschluss einen Abschlussbericht mit korrigierenden Maßnahmen ein. Die zuständige Behörde kann Abhilfe verlangen und Maßnahmen bis zur Beschränkung oder dem Rückruf des Systems anordnen (Art. 79). Eine saubere interne Vorfallserkennungs- und Melde-logik verkürzt die Reaktionszeit und mindert Sanktionsrisiken.

schnittstellen

Schnittstellen zu NIS2 und DSGVO

Vorfallsmeldungen überlagern sich häufig: Wer als Betreiber kritischer Dienste auch NIS2-pflichtig ist, meldet erhebliche Vorfälle an die Cybersicherheits-Aufsicht; Datenschutzverletzungen sind nach Art. 33 DSGVO binnen 72 Stunden an die Datenschutz-Aufsicht zu melden. AI Act, NIS2 und DSGVO sind kumulativ — ein Vorfall kann mehrere Meldepflichten auslösen. Eine konsolidierte Vorfall-Matrix, die alle Pflichten und Adressaten erfasst, ist für Betreiber kritischer Dienste unverzichtbar.

Sources

Quellen

FAQ

Häufige Fragen

Was ist ein „schwerer Vorfall" nach AI Act?

Eine Störung/Fehlfunktion, die zu Todesfällen/schweren Verletzungen, Störungen kritischer Infrastruktur oder wesentlichen Grundrechtsverstößen führt (Art. 3 Nr. 49).

Innerhalb welcher Frist muss gemeldet werden?

Todesfälle/sicherheitssorgen unverzüglich, spätestens 2 Tage; ernsthafte Vorfallsmeldungen innerhalb 15 Tagen nach Feststellung; danach Abschlussbericht mit Korrekturmaßnahmen.

Muss ich zusätzlich nach DSGVO/NIS2 melden?

Kumulativ ja. Datenschutzverletzungen nach Art. 33 DSGVO (72 h), erhebliche Vorfälle nach NIS2. Ein Vorfall kann mehrere Pflichten auslösen.

KI-Compliance umsetzen

Du willst EU AI Act und Data Act praktisch umsetzen?

Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.

Jetzt beraten lassen
Related