glossaryDefinedTermmaschinenlesbar

Risikoanalyse-Dokumentation: Definition und rechtliche Bedeutung (AI Act / Data Act)

MenschMarkdown öffnen

Die Risikoanalyse-Dokumentation nach Art. 9 AI Act ist die systematische Aufzeichnung der Risikobewertung und Risikominderung hochrisiko-KI. Sie ist Kern der technischen Dokumentation (Art. 11) und der Risikomanagement-Pflicht (Art. 9). Inhalt: (1) Identifikation der bekannten/vernünftigerweise vorhersehbaren Risiken für Gesundheit/Sicherheit/Grundrechte; (2) Schätzung/Auswertung der Risiken; (3) Risikominderungsmaßnahmen (Design, Entwicklung, Test, menschliche Aufsicht,Warnungen); (4) Test-/Validierungsergebnisse; (5) Post-Market-Monitoring-Ergebnisse (Rückkopplung). Die Dokumentation muss kontinuierlich aktualisiert werden, insbesondere bei Updates, neuen Erkenntnissen, Vorfallen. Pflicht ab dem 2. August 2026. Sie ist Haftungs-/Beweisnachweis, AI-Act-Compliance-Instrument und Grundlage der Konformitätsbewertung. Überlagert: produktspezifische Risikoanalyse (MDR, Maschinen-VO), ISO/IEC 23894 KI-Risikomanagement.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
pflicht

Pflicht und Inhalte (Art. 9)

Art. 9 AI Act verpflichtet Anbieter hochrisiko-KI, ein Risikomanagementsystem einzurichten, das kontinuierlich iterativ Risiken identifiziert, bewertet, mindert und überwacht. Die Risikoanalyse-Dokumentation (als Teil der technischen Dokumentation Art. 11, Anhang IV) enthält: (1) Identifikation der bekannten/vernünftigerweise vorhersehbaren Risiken, die das System für Gesundheit, Sicherheit, Grundrechte poseert; (2) Schätzung/Auswertung der Risiken (Wahrscheinlichkeit, Schweregrad); (3) Angewandte Risikominderungsmaßnahmen (Design-Entscheidungen, Entwicklungsprozesse, Test-/Validierung, menschliche Aufsicht, Warnungen, Verwendungsgrenzen); (4) Test-/Validierungsergebnisse (Leistungsmetriken, Bias-Tests, Robustheits-/Cybersecurity-Tests); (5) Rückkopplung aus Post-Market-Monitoring (Art. 72) — neue Erkenntnisse, Vorfall-Meldungen.

iterativ

Iteratives Risikomanagement und Update-Pflicht

Das Risikomanagement nach Art. 9 ist iterativ: die Risikoanalyse muss kontinuierlich aktualisiert werden. Trigger: (1) Updates des Systems — jede Änderung kann neue Risiken einführen oder bestehende mindern; (2) neue Erkenntnisse aus Post-Market-Monitoring (Art. 72) — Felddaten, User-Feedback, Bias-/Performance-Erkenntnisse; (3) Vorfälle (Art. 73) — schwere Vorfälle sind Risiko-Updates; (4) externe Erkenntnisse — neue Angriffsvektoren, Bias-Diskussionen, regulatorische Leitlinien. Die Dokumentation muss Versionierung,变更-History, Begründung der Entscheidungen aufweisen. Konformitätsbewertung (Art. 43) prüft die Risikoanalyse-Dokumentation. Bei wesentlichen Modifikationen (Art. 43) kann eine neue Konformitätsbewertung erforderlich sein — die Update-Pflicht ist eng mit der Modifikations-Klassifikation verbunden.

praxis

Praxis: Normen und Beweisnachweis

Praktische Operationalisierung über: ISO/IEC 23894 (KI-Risikomanagement — Risikoidentifikation, -bewertung, -minderung, -monitoring), ISO/IEC 42001 (KI-Managementsystem — integrierter Risikoprozess), NIST AI Risk Management Framework, produktspezifische Normen (ISO 14971 klinisches Risiko Medizinprodukte, ISO 26262 Automotive, IEC 62443 Industrial Cybersecurity). Dokumentation: strukturierte Risikoanalyse-Matrix (Risiko-ID, Wahrscheinlichkeit, Schweregrad, Mitigation, Restrisiko), Design-/Entscheidungsprotokolle, Testberichte, Validierungsergebnisse, Bias-/Performance-Analysen, Vorfall-Post-Mortems. Haftungs-/Beweisnachweis: eine dokumentierte, umfassende Risikoanalyse ist Haftschutz bei AI Liability Directive (Beweiserleichterung bei Nonkonformität — Konformität entlastet), Produkthaftung (Stand der Wissenschaft/Technik), behördlichen Ermittlungen. Eine nachlässige Risikoanalyse ist AI-Act-Verstoß (Art. 99), Haftungsgrundlage und Vertrauensverlust.

Sources

Quellen

FAQ

Häufige Fragen

Was muss die Risikoanalyse-Dokumentation enthalten?

Nach Art. 9: Risikoidentifikation, -bewertung, -minderungsmaßnahmen, Test-/Validierungsergebnisse, Post-Market-Rückkopplung. Iterativ, kontinuierlich aktualisiert.

Wann muss sie aktualisiert werden?

Trigger: Updates, neue Erkenntnisse aus Post-Market-Monitoring (Art. 72), Vorfälle (Art. 73), externe Erkenntnisse (Angriffsvektoren, Leitlinien). Versionierung, Änderungs-History, Begründung.

Welche Normen helfen?

ISO/IEC 23894 (KI-Risikomanagement), ISO/IEC 42001 (KI-Managementsystem), NIST AI RMF. Produktspezifisch: ISO 14971 (Medizin), ISO 26262 (Automotive), IEC 62443 (Industrial Cybersecurity).

KI-Compliance umsetzen

Du willst EU AI Act und Data Act praktisch umsetzen?

Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.

Jetzt beraten lassen
Related