Der EU AI Act beruht auf vier Risikostufen. Ihre Compliance auch.
Wer den EU AI Act umsetzt, muss wissen, welche KI-Systeme in den Anwendungsbereich fallen, welcher Risikostufe jedes System zuzuordnen ist und welche Pflichten daraus folgen. Rizzqo gibt Ihnen diese Antwort – samt der Nachweise dazu –, damit Fragen der Aufsichtsbehörde Sie nie unvorbereitet treffen.
Vier Stufen, von verboten bis frei
Alles beginnt mit der Klassifizierung: Je höher das Risiko, desto strenger die Pflichten. Die meisten KI-Systeme liegen auf den unteren Stufen und lösen wenig oder gar keine Pflichten aus, während die schädlichsten Anwendungen an der Spitze schlicht verboten sind. Wählen Sie eine Stufe und sehen Sie, was sie verlangt – und was Rizzqo dabei für Sie im Blick behält.
Unannehmbares Risiko
Vollständig verboten
Einige wenige KI-Anwendungen gelten als klare Gefahr für Menschen und dürfen gar nicht erst in Verkehr gebracht werden.
- Social Scoring von Menschen durch Behörden
- Manipulative oder täuschende Systeme, die Schwächen ausnutzen
- Ungezieltes Auslesen von Gesichtsbildern zum Aufbau von Erkennungsdatenbanken
- Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum, abgesehen von engen Ausnahmen
Hohes Risiko
Erlaubt, aber streng reguliert
KI in Bereichen wie Personalauswahl, Kreditvergabe, kritischer Infrastruktur, Bildung oder grundlegenden Diensten. Zulässig nur, wenn strenge Pflichten erfüllt sind.
- Risikomanagementsystem über den gesamten Lebenszyklus
- Daten-Governance und Qualitätskontrollen für Trainingsdaten
- Technische Dokumentation und automatische Protokollierung
- Menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit
- Konformitätsbewertung vor dem Inverkehrbringen
Begrenztes Risiko
KI muss sich zu erkennen geben
Systeme, die mit Menschen interagieren oder Inhalte erzeugen, unterliegen Transparenzpflichten, damit niemand getäuscht wird.
- Chatbots und Assistenten müssen offenlegen, dass sie KI sind
- Erzeugte oder veränderte Medien müssen gekennzeichnet werden
- Deepfakes und synthetische Inhalte müssen als solche markiert sein
- Betroffene müssen über den Einsatz von Emotionserkennung informiert werden
Minimales Risiko
Frei nutzbar
Die große Mehrheit der KI-Anwendungen (Spamfilter, Empfehlungssysteme, Spiele-KI) unterliegt nach der Verordnung keinen neuen Pflichten.
- Keine verbindlichen Pflichten aus der Verordnung
- Freiwillige Verhaltenskodizes werden empfohlen
- Bewährte Praxis bleibt für Vertrauen und Qualität wichtig
Sechs Pflichten für jedes Hochrisiko-KI-System
Diese Pflichten machen aus einer Hochrisiko-Einstufung konkrete Aufgaben für Entwicklung und Governance. Rizzqo sorgt dafür, dass jede davon verantwortet, im Blick und mit Nachweisen belegt ist.
Risikomanagementsystem
Ein kontinuierlicher, dokumentierter Prozess zur Erkennung, Bewertung und Minderung von Risiken über den Lebenszyklus.
Daten-Governance
Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ und möglichst fehlerfrei sein.
Menschliche Aufsicht
Menschen müssen das System nachvollziehen, in den Betrieb eingreifen und Entscheidungen übersteuern können.
Dokumentation & Protokollierung
Technische Dokumentation und automatische Ereignisprotokolle, die das System auch nach der Inbetriebnahme nachvollziehbar machen.
Genauigkeit & Robustheit
Angemessene Genauigkeit, Robustheit und Cybersicherheit – über den gesamten Lebenszyklus hinweg.
Konformitätsbewertung
Nachgewiesene Konformität mit Dokumentation und CE-Kennzeichnung, bevor das System in Verkehr gebracht wird.
Die Stichtage, die Ihre Fristen bestimmen
Die Verordnung greift in Wellen: Zuerst kamen die Verbote, die Pflichten für Allzweck- und Hochrisiko-KI folgen gestaffelt.
Die Verordnung tritt in Kraft
Die Verordnung ist verabschiedet – der Countdown für jede einzelne Pflicht läuft.
Die Verbote greifen
Anwendungen mit unannehmbarem Risiko sind untersagt, zugleich gelten die Pflichten zur KI-Kompetenz.
Regeln für Allzweck-KI
Die Pflichten für Allzweck-KI-Modelle greifen, einschließlich Transparenz und Governance.
Die meisten Hochrisiko-Regeln gelten
Der Großteil der Hochrisiko-Pflichten wird für Systeme im Anwendungsbereich durchsetzbar.
Verbleibende Hochrisiko-Regeln
Für Hochrisiko-KI in bereits regulierten Produkten läuft die letzte Übergangsfrist ab.
Klassifizieren, steuern, nachweisen
Rizzqo macht aus dem Gesetzestext etwas, das Sie tatsächlich betreiben können: Sie klassifizieren, was Sie haben, bringen die richtigen Pflichten in die richtigen Hände und lassen die Nachweise nebenbei entstehen.
KI-Systeme klassifizieren
Jedes KI-System in seiner Risikostufe – so wissen Sie genau, welche Pflichten gelten und welche Systeme Sie nicht länger beschäftigen müssen.
- Klare Stufe für jedes System
- Nur die Pflichten, die wirklich gelten
- Risikoarme Systeme fallen aus dem Fokus
Kontrollen und Aufsicht zuweisen
Jede Pflicht bekommt eine verantwortliche Person und einen klaren Platz im Plan – so werden menschliche Aufsicht, Risikomanagement und Daten-Governance vom Paragrafen zur Aufgabe, für die jemand geradesteht.
- Eine benannte verantwortliche Person je Pflicht
- Verantwortung auf einen Blick
- Vor der Frist bleibt nichts unzugewiesen
Konformität nachweisen
Sehen Sie auf einen Blick, wo Sie stehen, und gehen Sie mit fertiger Dokumentation und fertigen Nachweisen in die Konformitätsbewertung – statt sie in letzter Minute zusammenzusuchen.
- Sie sehen genau, wo Sie stehen
- Nachweise, die beim Arbeiten entstehen
- Auditbereit statt in letzter Minute
Teil einer durchgängigen KI-Governance
Der EU AI Act steht selten allein: Dieselben Systeme unterliegen zugleich Datenschutz-, Informationssicherheits- und KI-Management-Pflichten. Rizzqo setzt sie alle auf demselben Asset-Bestand um, sodass eine einmal nachgewiesene Kontrolle überall zählt.
Klären Sie Ihre Risikostufe, bevor die Frist Sie einholt.
Klassifizieren Sie Ihre KI-Systeme, setzen Sie die passenden Pflichten um und gehen Sie mit fertigen Nachweisen in die Konformitätsbewertung.