Warum fehlende KI-Dokumentation zum Risiko wird

/in /von

Die KI-Verordnung, auch AI Act genannt, gilt vielen noch immer vor allem als technisches Regelwerk für KI-Entwickler. In der Praxis kreist die erste Frage oft um einen Punkt: Ist das eingesetzte System ein Hochrisiko-KI-System oder nicht? Das greift zu kurz.

Der AI Act schafft ein umfassendes Compliance- und Nachweisregime für den Einsatz künstlicher Intelligenz. Unternehmen müssen künftig nicht nur sicherstellen, dass KI-Systeme rechtmäßig und kontrolliert eingesetzt werden. Sie müssen dies auch gegenüber Aufsichtsbehörden nachvollziehbar belegen können. Genau hier gewinnen Pflichten zu Dokumentation, Governance und Monitoring erhebliches Gewicht.

Wann gilt ein KI-System als Hochrisiko?

Der AI Act reguliert KI-Systeme nach ihrem Risikopotenzial. Die Kategorien reichen von verbotenen KI-Praktiken über Hochrisiko-KI-Systeme und Systeme mit Transparenzpflichten bis hin zu KI mit minimalem Risiko.

Die Einstufung als Hochrisiko erfolgt grundsätzlich über zwei Wege.

(1) KI-Systeme, die als Sicherheitskomponenten in Produkten eingesetzt werden oder selbst ein Produkt sind, das unter bestimmte europäische Harmonisierungsrechtsvorschriften fällt. Dazu gehören etwa bestimmte Anwendungen in Medizinprodukten, Maschinen, Fahrzeugen oder der Luftfahrt.

(2) Eigenständige KI-Systeme in den sensiblen Bereichen des Anhangs III des AI Act. Dazu zählen unter anderem biometrische Systeme, kritische Infrastruktur, Bildung, Beschäftigung und Personalmanagement, der Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen, Strafverfolgung, Migration, Rechtspflege und demokratische Prozesse.

Entscheidend ist dabei nicht allein die verwendete Technologie, sondern vor allem der konkrete Einsatzzweck. Ein KI-System zur Vorauswahl von Bewerbungen kann ebenso in den Hochrisiko-Bereich fallen wie ein System zur Kreditwürdigkeitsprüfung oder zur risikobasierten Bewertung im Versicherungsumfeld.

Besondere Aufmerksamkeit verdient zudem die Ausnahmeprüfung bei Anhang-III-Systemen. Gelangt ein Anbieter ausnahmsweise zu dem Ergebnis, dass ein dort genanntes System im konkreten Fall nicht als hochriskant einzustufen ist, muss diese Bewertung dokumentiert werden. Auch daran knüpfen weitere regulatorische Anforderungen an.

Weniger Zeit als gedacht

Die zeitliche Staffelung des AI Act wird in vielen Unternehmen noch unterschätzt. Das Verbot bestimmter KI-Praktiken und die Pflicht zur Sicherstellung von KI-Kompetenz gelten bereits seit dem 2. Februar 2025. Die Vorschriften zu General-Purpose-AI-Modellen werden seit 2025 schrittweise anwendbar.

Für Hochrisiko-KI-Systeme gelten die Pflichten gestuft. Maßgebliche Anforderungen greifen, je nach Kategorie, ab dem 2. August 2026, während der regulatorische Rollout insgesamt bis 2027 reicht. Angesichts des erforderlichen organisatorischen Vorlaufs ist dieser Zeitrahmen für viele Unternehmen enger, als es auf den ersten Blick erscheint.

Dokumentation ist mehr als Formalität

Zu den zentralen Anforderungen für Hochrisiko-KI-Systeme gehören insbesondere ein Risikomanagementsystem, technische Dokumentation, Vorgaben zur Daten- und Daten-Governance, Protokollierungs- und Loggingpflichten, menschliche Aufsicht sowie Post-Market-Monitoring.

Diese Anforderungen dienen nicht nur der technischen Qualitätssicherung. Sie haben vor allem eine Nachweisfunktion. Der AI Act verlangt nicht bloß Compliance auf dem Papier, sondern nachvollziehbar dokumentierte Compliance.

Gerade darin liegt seine praktische Schärfe: Wer Prozesse nicht dokumentiert, Bewertungen nicht festhält und Kontrollen nicht nachweisen kann, gerät im Ernstfall schnell in eine schwache Position gegenüber Behörden, aber auch in zivilrechtlichen Auseinandersetzungen.

Dokumentation wird haftungsrechtlich relevant

Die Tragweite zeigt sich besonders im Zusammenspiel mit der neuen EU-Produkthaftungsrichtlinie.

Zwei Punkte sind dabei besonders wichtig. Zum einen, als Richtlinie muss sie noch in nationales Recht umgesetzt werden. Zum anderen ist ihr Schutzbereich ist nicht grenzenlos, insbesondere ist sie keine allgemeine B2B-Haftungsregelung für jede fehlerhafte KI-Leistung.

Ihre praktische Bedeutung für KI ist dennoch nicht unerheblich. Software wird im Produkthaftungsrecht nun ausdrücklich erfasst. Damit rücken auch KI-Funktionen deutlich stärker in den Fokus produkthaftungsrechtlicher Bewertung. Wo Schäden an geschützten Rechtsgütern im Raum stehen, können Dokumentation, Versionierung, Teststände, Änderungsverläufe und Nachweise menschlicher Aufsicht zu zentralem Beweismaterial werden.

Der entscheidende Punkt ist also nicht, dass der AI Act selbst ein Haftungsgesetz wäre. Vielmehr erhöht er die Bedeutung belastbarer Dokumentation, weil dieselben Unterlagen, die regulatorisch gefordert sind, im Streitfall auch haftungsrechtlich erheblich werden können.

Was die Rücknahme der AILD bedeutet

Die ursprünglich geplante KI-Haftungsrichtlinie (auch AI Liability Directive genannt), nicht zu verwechseln mit der eben genannten EU-Produkthaftungsrichtlinie, sollte Beweiserleichterungen für Geschädigte bei außervertraglichen KI-bezogenen Schäden schaffen. Dieser europäische Sonderrahmen ist jedoch nicht weiterverfolgt worden. Der Entwurf wurde zurückgezogen.

Damit fehlt derzeit ein harmonisierter unionsweiter Haftungsrahmen speziell für außervertragliche KI-Schäden jenseits der allgemeinen Produkthaftung. In der Praxis bedeutet das, dass neben dem Produkthaftungsrecht nationale deliktsrechtliche und vertragliche Haftungsregime maßgeblich bleiben.

Für Unternehmen folgt daraus vor allem eines: Die hinreichende Dokumentation des gesamten KI-Lebenszyklus ist nicht nur eine Compliance-Pflicht, sondern zugleich ein wesentlicher Baustein zur Verteidigung gegen spätere Ansprüche, und zwar unabhängig davon, auf welche Anspruchsgrundlage sich diese stützen.

Wer KI einsetzt, trägt eigene Verantwortung

In der Beratungspraxis begegnen uns Aussagen wie: „Wir nutzen doch nur Tools von Drittanbietern.“ oder „Der KI-Verordnung betrifft vor allem die großen Technologieunternehmen.“

Beides ist verkürzt, denn der AI Act definiert den Begriff des Deployers bewusst weit. Deployer ist grundsätzlich jede natürliche oder juristische Person, die ein KI-System unter ihrer Verantwortung verwendet, mit Ausnahme rein persönlicher, nicht beruflicher Nutzung.

Gerade für Deployers von Hochrisiko-KI-Systemen enthält der AI Act eigenständige Pflichten. Dazu gehören insbesondere die Nutzung entsprechend der Gebrauchsanweisung, die Sicherstellung menschlicher Aufsicht durch kompetente Personen, die Überwachung des laufenden Betriebs, die Aufbewahrung automatisch erzeugter Logs für den vorgesehenen Zeitraum sowie die Meldung schwerwiegender Vorfälle an Anbieter und zuständige Stellen.

Diese Pflichten lassen sich nicht einfach durch Vertrag auf den Anbieter verlagern. Wer ein Hochrisiko-KI-System einsetzt, trägt eigene regulatorische Verantwortung. Umso wichtiger ist es, bereits bei Beschaffung und Vertragsgestaltung sicherzustellen, dass der Anbieter die erforderlichen Informationen, Dokumentationen und technischen Zugriffsmöglichkeiten tatsächlich bereitstellt.

Gerade in HR-Prozessen, bei Scoring-Systemen, bei automatisierten Entscheidungsabläufen oder bei Bewertungssystemen kann sich eine Hochrisiko-Konstellation schneller ergeben, als intern angenommen wird.

Was Unternehmen jetzt tun sollten

Die Anforderungen zu kennen, ist gut. Sie müssen aber in Prozesse übersetzt werden. Die eigentliche Schwierigkeit liegt meist im organisationsübergreifenden Zusammenspiel. Wer ist zuständig, wenn die IT ein KI-Tool beschafft, der Fachbereich es einsetzt und die Rechtsabteilung erst im Nachgang eingebunden wird? Sinnvoll ist ein Vorgehen in drei Schritten.

1. Bestandsaufnahme und Risikoklassifizierung

Zunächst sollte geklärt werden, welche KI-Systeme im Unternehmen tatsächlich eingesetzt werden. Dazu zählen auch KI-Funktionen, die in eingekaufter Software lediglich eingebettet sind. Für jedes System sollte geprüft und dokumentiert werden, ob eine Einstufung als Hochrisiko-KI-System in Betracht kommt. Auch die begründete Verneinung dieser Einstufung sollte nachvollziehbar festgehalten werden.

2. Aufbau tragfähiger Governance-Strukturen

Verantwortlichkeiten für KI-Compliance müssen verbindlich zugewiesen werden, mit definierten Schnittstellen zwischen IT, Fachbereichen, Recht, Compliance und Datenschutz. Ebenso ist zu klären, wer die menschliche Aufsicht über relevante Systeme ausübt, welche Kompetenzen diese Personen benötigen und welche Eingriffsbefugnisse tatsächlich bestehen. Parallel dazu sollte die Pflicht zur Sicherstellung ausreichender KI-Kompetenz unternehmensweit umgesetzt werden.

3. Laufende Dokumentation und Monitoring

Entscheidend ist, dass Dokumentation nicht nur einmalig erstellt, sondern fortlaufend gepflegt wird. Dazu gehören insbesondere Nachweise über Risikobewertungen, Nutzungsvorgaben, Betriebsüberwachung, Protokollierung, Vorfallmanagement und die tatsächlich ausgeübte menschliche Aufsicht. Nur so entsteht eine Dokumentation, die im Ernstfall auch regulatorisch und haftungsrechtlich belastbar ist.

Wer DSGVO-Strukturen hat, startet nicht bei null

Unternehmen mit funktionierenden DSGVO-Prozessen haben einen erkennbaren Vorsprung. Viele Grundprinzipien, wie etwa Rechenschaftspflicht, Dokumentation, Governance und risikobasierte Bewertung, sind strukturell vergleichbar.

Gleichzeitig dürfen die Unterschiede nicht unterschätzt werden. Zwischen Ki-Verordnung und DSGVO können Spannungen entstehen, etwa bei Log-Aufbewahrung, Speicherbegrenzung, Datenminimierung oder beim Einsatz automatisierter Entscheidungen. Diese Fragen lassen sich meist nicht isoliert beantworten. Erforderlich ist vielmehr eine integrierte Compliance-Strategie, die beide Regelwerke zusammendenkt und technisch wie organisatorisch sauber verzahnt.

Fazit

Der EU AI Act ist weit mehr als ein Regelwerk für Anbieter von KI-Technologie. Auch Unternehmen, die KI-Systeme lediglich einsetzen, ohne sie selbst zu entwickeln, können eigenständige und zum Teil erhebliche Pflichten treffen. Im Zusammenspiel mit Produkthaftung, nationalem Haftungsrecht und behördlicher Durchsetzung gewinnt die Qualität der KI-Dokumentation deshalb massiv an Bedeutung.

KI-Dokumentation ist damit nicht nur Compliance-Instrument, sondern zunehmend auch Risikosteuerung: Wer Einsatz, Kontrolle, Bewertung und Überwachung von KI nicht belastbar dokumentieren kann, produziert vermeidbare regulatorische wie haftungsrechtliche Schwächen.

Für Unternehmen, die diesen Prozess strukturiert angehen möchten, unterstützen wir bei der Risikoklassifizierung, beim Aufbau tragfähiger Governance-Strukturen und bei der Entwicklung einer Dokumentationsstrategie, die regulatorischen Anforderungen ebenso standhält wie haftungsrechtlichen Realitäten. Sprechen Sie uns an.

Das könnte Dich auch interessieren
Roboter am Flughafen EASA NPA 2025-07: Wer jetzt nicht mitredet, wird später reguliert
Futuristischer Roboter für künstliche Intelligenz vor Computer mit Dateiinformationen. Der EU AI Act ist da – Was sich für Unternehmen ändert
Labyrinth DSGVO-Interessenabwägung: Neue Arbeitshilfe für die Praxis