Schwerer Zwischenfall: Definition und rechtliche Bedeutung (AI Act / Data Act)
„Schwerer Zwischenfall" nach Art. 3 Nr. 49 AI Act ist ein Vorfall oder eine Fehlfunktion eines KI-Systems, die zu einem Verlust des Lebens, einer Verletzung der körperlichen Unversehrtheit, einem wesentlichen Schaden der Gesundheit oder der Grundrechte einer Person oder einer ernsthaften und irreversiblen Störung der kritischen Infrastruktur führt oder führen könnte, die mit dem Betrieb des Systems zusammenhängen. Schwere Vorfälle lösen die Vorfallsmeldung nach Art. 73 aus: Initial-Meldung an die Marktüberwachungsbehörde unverzüglich nach Bekanntwerden; eingehende Meldung schwerer Vorfälle spätestens 15 Tage nach der Initialmeldung; vollständiger Bericht spätestens 60 Tage nach der Initialmeldung. Bei Hochrisiko-KI gilt die Pflicht ab dem 2. August 2026, bei GPAI mit systemischem Risiko ab dem 2. August 2025 (Art. 55 Abs. 1 lit. c).
Steve Baka
Definition (Art. 3 Nr. 49)
Art. 3 Nr. 49 definiert „schwerer Vorfall" als ein Vorfall oder eine Fehlfunktion eines KI-Systems, die führt oder führen könnte zu: (1) Verlust des Lebens (Tod); (2) Verletzung der körperlichen Unversehrtheit (Körperverletzung); (3) wesentlichem Schaden der Gesundheit einer Person (physisch/psychisch); (4) wesentlichem Schaden der Grundrechte einer Person; (5) einer ernsthaften und irreversiblen Störung der kritischen Infrastruktur (KRITIS). Voraussetzung: Zusammenhang mit dem Betrieb des Systems. Die Definition ist weit — sie erfasst sowohl eingetretene als auch drohende Schäden. Wesentlich: der Schaden muss nicht eingetreten sein, ein konkretes Risiko reicht („führen könnte"). Die Definition orientiert sich an Sicherheits-/Produkthaftungsrecht und erweitert es um Grundrechts-/KRITIS-Dimensionen.
Meldepflicht (Art. 73) und Fristen
Art. 73 verpflichtet Anbieter und (prozessorientiert) Betreiber, schwere Vorfälle zu melden. Fristen: Initial-Meldung an die nationale Marktüberwachungsbehörde unverzüglich nach Bekanntwerden/Anerkennung; eingehende Meldung schwerer Vorfälle spätestens 15 Tage nach der Initialmeldung (Beschreibung, Art, Schweregrad, Maßnahmen); vollständiger Bericht spätestens 60 Tage nach der Initialmeldung; Zwischenberichte bei andauernden Vorfällen. Bei GPAI mit systemischem Risiko greift Art. 55 Abs. 1 lit. c mit Meldung ans AI Office. Die Pflicht gilt bei Hochrisiko-KI ab dem 2. August 2026, bei GPAI-systemischem Risiko ab dem 2. August 2025. Überlagert: DSGVO (Art. 33 Datenschutzverletzung 72 h), NIS2 (Art. 23 erhebliche Vorfälle 24 h), Medizinprodukte-Vigilanz, KRITIS-Spezifische Meldungen — kumulativ, nicht alternativ.
Praxis: Vorfall-Pipeline und Kumulation
Praktisch erforderlich: eine Vorfall-Pipeline, die schwere Vorfälle erkennt, klassifiziert, eskaliert und fristgerecht meldet. Komponenten: kontinuierliches Monitoring (Art. 72), Schweregrad-Klassifikation nach Art. 3 Nr. 49 (Leben/Körper/Gesundheit/Grundrechte/KRITIS), interne Eskalation, Meldung an zuständige Behörde(n) mit korrekter Form/Kommission-Vorgabe, Korrekturmaßnahmen (Art. 18), Customer-/Öffentlichkeits-Communication. Kumulation mit anderen Regimes: eine Datenschutzverletzung durch Hochrisiko-KI kann DSGVO Art. 33 (72 h) PLUS AI Act Art. 73 PLUS NIS2 Art. 23 PLUS ggf. GDPR/branchenrechtliche Meldungen auslösen — drei/vier Behörden. Eine konsolidierte Vorfall-Matrix, die alle Regime abdeckt, ist unverzichtbar. Herausforderung: Fristen unterscheiden sich (72 h vs. 15 Tage vs. 24 h); eine frühzeitige, konservative Meldung schützt. Versicherung (Cyber, Tech, D&O) und Incident-Response-Retainer sind etablierte Praxis.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Was ist ein „schwerer Vorfall" nach dem AI Act?
Art. 3 Nr. 49: Verlust des Lebens, Körperverletzung, wesentlicher Gesundheits-/Grundrechtsschaden, ernsthafte/irreversible KRITIS-Störung. Auch drohende Schäden erfasst („führen könnte"). Zusammenhang mit dem Betrieb.
Welche Meldefristen gelten?
Initial-Meldung unverzüglich; eingehende Meldung spätestens 15 Tage; vollständiger Bericht spätestens 60 Tage. Plus Zwischenberichte. Hochrisiko ab 2. Aug. 2026, GPAI-systemisch ab 2. Aug. 2025.
Wie kumulieren die Melderegime?
DSGVO (Art. 33, 72 h) + AI Act (Art. 73, 15 Tage) + NIS2 (Art. 23, 24 h) + branchenspezifische (Medizinprodukt-Vigilanz, KRITIS). Drei/vier Behörden. Konsolidierte Vorfall-Matrix unverzichtbar.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.