Risikokategorien
Der EU AI Act unterscheidet vier Stufen: verbotene KI-Praktiken (z. B. Social Scoring), Hochrisiko-KI-Systeme (z. B. in Personalauswahl oder kritischer Infrastruktur), KI mit beschränktem Risiko (z. B. Chatbots mit Transparenzpflicht) und KI mit minimalem Risiko (keine besonderen Pflichten).
Die Einstufung hängt vom Einsatzzweck ab. Ein internes Wissensmanagementsystem für technische Dokumentation fällt in der Regel unter geringes Risiko. Wird dasselbe System jedoch in der Personalauswahl, Leistungsbewertung oder arbeitsbezogenen Entscheidungen eingesetzt (Annex III Nr. 4), gilt es als Hochrisiko-System — mit entsprechend erweiterten Pflichten.
Was auf Unternehmen zukommt
Hochrisiko-KI-Systeme unterliegen umfassenden Pflichten: Risikomanagementsystem (Artikel 9), Daten-Governance und Datenqualität (Artikel 10), technische Dokumentation (Artikel 11), Protokollierung (Artikel 12), Transparenz gegenüber Betreibern (Artikel 13), menschliche Aufsicht (Artikel 14) sowie Genauigkeit, Robustheit und Cybersicherheit (Artikel 15). Anbieter benötigen zusätzlich ein Qualitätsmanagementsystem (Artikel 17). Betreiber („Deployer”) haben eigene Pflichten — auch Unternehmen, die KI nur einsetzen und nicht selbst entwickeln, sind betroffen.
Warum On-Premise hilft
Lokale KI-Systeme vereinfachen die Compliance erheblich. On-Premise-Infrastruktur ermöglicht vollständige Kontrolle über Protokollierung und Audit-Trails, vermeidet Datenabfluss an Drittanbieter und eliminiert Drittlandtransfers. Die Nachweispflichten des EU AI Act lassen sich mit lokaler Infrastruktur deutlich einfacher erfüllen als mit Cloud-Diensten.