Risikomanagement-Dokumentation: Art. 9 EU AI Act in der Praxis

Art. 9 EU AI Act fordert ein kontinuierliches, iteratives Risikomanagementsystem, das folgende Schritte umfasst: Identifikation und Analyse bekannter und vorhersehbarer Risiken, Schätzung und Bewertung der Risiken bei bestimmungsgemäßem und vernünftigerweise vorhersehbarem Missbrauch, Bewertung von Risiken auf Basis der Post-Market-Surveillance-Daten, Erprobung geeigneter Risikomanagementmaßnahmen. Das System muss dokumentiert sein und muss kontinuierlich aktualisiert werden.

Folgende Risikokategorien müssen systematisch erfasst werden: Technische Risiken (Fehlfunktionen, Ausfälle, Adversarial Attacks), Datenbezogene Risiken (Bias, fehlende Repräsentativität, Datenvergiftung), Nutzungsrisiken (bestimmungswidriger Einsatz, fehlende Fachkenntnis der Nutzer), Kontextuelle Risiken (unvorhergesehene Einsatzsituationen, Umgebungsvariablen), Gesellschaftliche Risiken (Diskriminierung, Grundrechtsverletzungen). Führen Sie für jedes identifizierte Risiko einen eigenen Eintrag mit Beschreibung, Eintrittswahrscheinlichkeit und Schadensausmaß.

Für jedes identifizierte Risiko ist eine Bewertung vorzunehmen: Eintrittswahrscheinlichkeit (niedrig/mittel/hoch/sehr hoch), Schadensausmaß für betroffene Personen (gering/erheblich/schwerwiegend/irreversibel), Risikopriorität (Eintrittswahrscheinlichkeit × Schadensausmaß), Identifikation besonders schutzbedürftiger Gruppen (Kinder, vulnerable Personen). Verwenden Sie eine konsistente Bewertungsmethodik, z.B. eine 4×4-Risikomatrix. Dokumentieren Sie die Bewertungskriterien und -methoden explizit.

Für jedes identifizierte Risiko sind Maßnahmen zu definieren und zu dokumentieren: Technische Maßnahmen (z.B. Input-Validierung, Anomalie-Erkennung, Fallback-Systeme), Prozedurale Maßnahmen (z.B. menschliche Überprüfung bei kritischen Entscheidungen), Organisatorische Maßnahmen (z.B. Schulungen, Zugriffskontrollen), Informatorische Maßnahmen (z.B. Warnhinweise, Nutzungseinschränkungen). Dokumentieren Sie für jede Maßnahme: Beschreibung, Verantwortlicher, Umsetzungsdatum, erwartete Risikoreduktion.

Nach Implementierung aller Maßnahmen verbleiben Restrisiken. Diese müssen: explizit dokumentiert sein, als akzeptabel eingestuft worden sein, in der Gebrauchsanweisung für Betreiber kommuniziert werden. Art. 9 Abs. 4 erlaubt Hochrisiko-Systeme nur, wenn das Gesamtrisiko nach Abwägung mit dem Nutzen als akzeptabel einzustufen ist. Diese Abwägungsentscheidung muss dokumentiert und begründet sein – sie ist eine der kritischsten Stellen der Risikomanagement-Dokumentation.