Der EU AI Act und die Architektur von KI-Systemen.
Mit Verordnung (EU) 2024/1689 reguliert die EU erstmals umfassend, wie KI-Systeme entworfen, dokumentiert und betrieben werden müssen.
Was juristisch klingt, ist in der konkreten Umsetzung zu großen Teilen eine technische Aufgabe. Risikomanagement-Prozesse, manipulationssichere Logs, auditierbare MLOps-Pipelines, Bias-Tests auf demografische Parität — die meisten Anforderungen verlangen Eingriffe tief in die Software-Architektur. Genau hier verlaufen die Linien unserer Arbeit.
Der AI Act ordnet KI-Systeme nach ihrem Risiko ein: vom verbotenen Einsatz wie Social Scoring über Hochrisiko-Anwendungen in Personalwesen, Bildung, kritischer Infrastruktur, Finanzwesen und Strafverfolgung bis zu Systemen mit reinen Transparenzpflichten und solchen ohne regulatorische Auflagen. Die Pflichtenlast skaliert direkt mit dem Risiko.
Für Hochrisiko-Systeme nach Anhang III fordert die Verordnung mehr als organisatorische Zusagen: lückenlose Datenherkunft (Data Provenance), Bias-Tests auf repräsentativen Trainingsdaten, manipulationssicheres Logging, Mechanismen für menschliche Aufsicht (Human Oversight), kontinuierliches Post-Market-Monitoring und eine technische Dokumentation nach Anhang IV in acht definierten Kategorien. Diese Artefakte müssen vor dem Inverkehrbringen vorliegen und über zehn Jahre versioniert aufbewahrt werden.
Was klassische Rechtsberatung nicht leisten kann, ist die Übersetzung dieser Anforderungen in Code, Pipelines und Architektur. Bias-Tests gehören in die CI/CD-Pipeline. Data Provenance braucht versionierte Datenpipelines. Human Oversight braucht funktionierende Override-Mechanismen im Produkt. Wir bauen solche Systeme entlang internationaler Normen wie ISO/IEC 42001 (Artificial Intelligence Management System) und DIN SPEC 92001 (KI-Qualitätsmetamodell) — als technische Schnittstelle zwischen juristischer Anforderung und auditierbarer Software.
Verbote für KI-Systeme mit unannehmbarem Risiko sind seit Februar 2025 in Kraft. Vorschriften für General-Purpose AI gelten seit August 2025. Die volle Wirksamkeit für Hochrisiko-Systeme nach Anhang III wurde mit dem Omnibus VII-Paket auf den 2. Dezember 2027 verschoben — ein Zeitfenster, das genau für die methodische technische Vorbereitung gedacht ist.
Hinweis: Wir verstehen uns als technische Compliance- und Architekturberater, nicht als juristische Rechtsberater. Die rechtliche Verantwortung für Konformitätsbewertung, CE-Kennzeichnung und Inverkehrbringen verbleibt im Sinne der Verordnung beim Anbieter.