Risikomanagementsystem für Hochrisiko-KI (Art. 9)

Artikel 9 des EU AI Act schreibt vor, dass das Risikomanagementsystem nicht nur bei der Entwicklung, sondern über den gesamten Lebenszyklus des KI-Systems aufrechterhalten werden muss. Es ist kein einmaliger Schritt, sondern ein kontinuierlicher Prozess.

Der Lebenszyklus umfasst Konzeption, Entwicklung, Validierung, Markteinführung, aktiven Betrieb und schließlich die Außerbetriebnahme. In jeder Phase können neue Risiken entstehen oder bekannte Risiken sich verändern.

1. Identifikation: Alle bekannten und vernünftigerweise vorhersehbaren Risiken für Gesundheit, Sicherheit und Grundrechte werden identifiziert – sowohl durch bestimmungsgemäßen als auch durch vernünftigerweise vorhersehbaren Missbrauch.
2. Schätzung und Bewertung: Die identifizierten Risiken werden hinsichtlich Wahrscheinlichkeit und Schwere des potenziellen Schadens eingeschätzt. Dabei müssen auch kumulative Effekte über die Zeit und spezifische Vulnerabilitäten bestimmter Personengruppen berücksichtigt werden.
3. Minderung: Geeignete Maßnahmen zur Risikominimierung werden entwickelt und implementiert. Dabei gilt der Grundsatz: Elimination vor Minimierung vor Information.
4. Überwachung und Überprüfung: Die Wirksamkeit der Maßnahmen wird kontinuierlich überwacht. Bei neuen Erkenntnissen, Vorfällen oder Systemänderungen wird der gesamte Prozess wiederholt.