Risikomanagementsystem nach Art. 9 EU AI Act aufbauen

Das Herzstück der Hochrisiko-Compliance

Wenn die technische Dokumentation das Rückgrat ist, dann ist das Risikomanagementsystem nach Art. 9 das Herz der Hochrisiko-Compliance. Es ist die Vorschrift, aus der fast alle anderen Pflichten ihre Substanz beziehen. Entscheidend: Es ist kein einmaliges Dokument, sondern ein kontinuierlicher, iterativer Prozess über den gesamten Lebenszyklus des Systems.

Was Art. 9 verlangt

Das Risikomanagementsystem muss über die gesamte Lebensdauer des Hochrisiko-Systems eingerichtet, angewendet, dokumentiert und aufrechterhalten werden. Es besteht aus wiederkehrenden Schritten:

1. Identifikation und Analyse der bekannten und vernünftigerweise vorhersehbaren Risiken für Gesundheit, Sicherheit und Grundrechte bei bestimmungsgemäßer Nutzung. 2. Abschätzung und Bewertung der Risiken, die bei bestimmungsgemäßer Nutzung und unter Bedingungen vernünftigerweise vorhersehbaren Fehlgebrauchs auftreten können. 3. Bewertung weiterer Risiken auf Basis der Daten aus dem Post-Market-Monitoring (Art. 72). 4. Ergreifen geeigneter und gezielter Risikomanagementmaßnahmen, um die identifizierten Risiken zu beseitigen oder zu mindern.

Der Schlüsselbegriff: vorhersehbarer Fehlgebrauch

Eine der anspruchsvollsten Anforderungen ist die Berücksichtigung des vernünftigerweise vorhersehbaren Fehlgebrauchs. Sie müssen nicht nur bedenken, wie das System gedacht ist, sondern auch, wie es realistisch missbraucht oder zweckentfremdet werden könnte. Ein HR-Screening-Tool etwa muss auch dagegen abgesichert sein, dass Anwender es außerhalb seiner validierten Grenzen einsetzen.

Die Hierarchie der Risikomaßnahmen

Art. 9 gibt eine klare Reihenfolge vor, wie Risiken zu adressieren sind:

1. Risiken durch Design eliminieren oder reduzieren, soweit technisch möglich. 2. Wo eine Eliminierung nicht möglich ist: angemessene Minderungs- und Kontrollmaßnahmen. 3. Information und ggf. Schulung der Deployer über verbleibende Risiken.

Das Restrisiko jedes einzelnen Risikos und das Gesamtrestrisiko müssen als vertretbar beurteilt werden. "Vertretbar" ist dabei im Lichte der Zweckbestimmung und des Stands der Technik zu bestimmen.

Schritt für Schritt zum funktionierenden System

Schritt 1 — Governance festlegen: Wer ist verantwortlich, wie oft wird überprüft, wie wird dokumentiert? Ohne klare Zuständigkeit verläuft der Prozess im Sande.

Schritt 2 — Risiken systematisch erheben: Strukturierte Identifikation entlang Gesundheit, Sicherheit, Grundrechte — bei Nutzung und bei Fehlgebrauch. Beziehen Sie betroffene Personengruppen ein.

Schritt 3 — Bewerten und priorisieren: Eintrittswahrscheinlichkeit und Schwere pro Risiko. Daraus ergibt sich die Priorität der Maßnahmen.

Schritt 4 — Maßnahmen umsetzen: Entlang der Hierarchie Design → Kontrolle → Information. Jede Maßnahme dokumentieren.

Schritt 5 — Testen: Das System ist gegen die definierten Zwecke und Metriken zu testen, auch vor dem Inverkehrbringen. Testergebnisse fließen zurück in die Bewertung.

Schritt 6 — Schleife schließen: Post-Market-Daten (Art. 72), Vorfälle und Änderungen lösen eine erneute Durchlaufrunde aus. Das System lebt.

Verzahnung mit den anderen Pflichten

Das Risikomanagementsystem ist kein Silo. Es speist die technische Dokumentation (Art. 11), bestimmt die menschliche Aufsicht (Art. 14), definiert Genauigkeits- und Robustheitsziele (Art. 15) und wird durch das Post-Market-Monitoring (Art. 72) gespeist. Wer Art. 9 sauber aufsetzt, hat die Klammer, die alle anderen Hochrisiko-Pflichten zusammenhält.

Häufige Fehler

Das System als statisches Dokument zum Launch zu behandeln; den vorhersehbaren Fehlgebrauch zu ignorieren; Maßnahmen ohne Wirksamkeitsnachweis zu behaupten; und das Post-Market-Feedback nicht zurückzuspielen. Art. 9 ist eine Schleife, kein Haken auf einer Liste.

Fazit

Ein funktionierendes Risikomanagementsystem nach Art. 9 ist der beste Beleg dafür, dass ein Provider seine Verantwortung ernst nimmt — gegenüber Betroffenen wie gegenüber Behörden. Es ist anspruchsvoll, aber strukturierbar: Governance, Identifikation, Bewertung, Maßnahmen, Testen, Rückkopplung. Wer diese Schleife etabliert, erfüllt nicht nur eine Pflicht, sondern baut ein vertrauenswürdiges Produkt.