Einführung in die Entwurfshinweise zur Meldung schwerwiegender KI-Vorfälle
Am 26. September 2025 veröffentlichte die Europäische Kommission die „Entwurfshinweise Artikel 73 KI-Gesetz – Vorfallmeldung“ (die Entwurfshinweise). Diese Hinweise zielen darauf ab, Anbietern und Nutzern von hochriskanten KI-Systemen (wie im EU-KI-Gesetz definiert) zu helfen, ihren Verpflichtungen zur Marktüberwachung nachzukommen und schwerwiegende Vorfälle sowie weitreichende Verstöße gegen diese Systeme an die nationalen Behörden zu melden.
Definitionen und Meldepflichten
Die Entwurfshinweise bieten Klarstellungen zu den Begriffen und Meldepflichten und geben Erläuterungen dazu, was, wann und wie gemeldet werden muss. Zudem werden praktische Beispiele bereitgestellt.
Unter anderem werden die Komponenten der Schlüsseldefinitionen wie ein schwerwiegender Vorfall aufgeschlüsselt, wobei berücksichtigt wird, in welchen Fällen ein Vorfall oder eine Fehlfunktion des KI-Systems direkt oder indirekt Schaden oder Tod verursacht.
Schwerwiegende Schäden und Verstöße gegen Grundrechte
Die Entwurfshinweise klären, dass die schwerwiegenden Schäden, die Verstöße gegen grundlegende Rechte umfassen, die durch die EU-Charta der Grundrechte geschützt sind. Es wird jedoch betont, dass nur solche Verstöße, die signifikant die durch die EU-Charta geschützten Rechte in großem Umfang beeinträchtigen, meldepflichtig sind. Beispiele hierfür sind:
- Diskriminierende KI bei der Rekrutierung,
- Kreditvergabe, die bestimmte Personengruppen ausschließt, z. B. Personen mit Namen aus bestimmten Regionen,
- Biometrische Identifikation, die häufig Personen aus bestimmten Hintergründen falsch identifiziert.
Meldung unter verschiedenen EU-Vorschriften
Die Entwurfshinweise verdeutlichen, dass dasselbe Ereignis Meldepflichten unter verschiedenen EU-Vorschriften auslösen kann. Sie erläutern, wie im KI-Gesetz Vorkehrungen getroffen werden, um das Risiko von überlappenden Verpflichtungen und Meldeermüdung zu mindern. Beispielsweise müssen gemäß der Richtlinie über die Resilienz kritischer Einrichtungen Unternehmen in wesentlichen Sektoren (einschließlich Energie, Wasser und digitale Infrastruktur) Vorfälle, die wesentliche Dienste stören, innerhalb von 24 Stunden melden. Unter dem KI-Gesetz sind jedoch nur Vorfälle, die Verstöße gegen grundlegende Rechte beinhalten, zusätzlich meldepflichtig.
Ein Beispiel hierfür wäre, wenn ein KI-System, das die Stromversorgung verwaltet, Diskriminierungen gegenüber einkommensschwachen Gebieten vornimmt; dies muss unter dem KI-Gesetz gemeldet werden. Separat müssen gemäß dem Gesetz über digitale operationale Resilienz Finanzinstitute bedeutende ICT-Vorfälle und Cyberbedrohungen mithilfe standardisierter Vorlagen melden. Bei KI-Systemen im Finanzdienstleistungssektor müssen nur Vorfälle, die grundlegende Rechte betreffen, zusätzliche Meldungen gemäß dem KI-Gesetz nach sich ziehen.
Internationaler Standard und Vorlagen
Die Entwurfshinweise betonen die Absicht der EU, die Überwachung von KI-Vorfällen mit internationalen Standards in Einklang zu bringen, einschließlich des AI Incidents Monitor und des Common Reporting Framework der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD).
Die Entwurfshinweise befassen sich nicht mit allgemeinen KI-Modellen, die systemische Risiken und damit verbundene Meldepflichten aufweisen; diese Verpflichtungen fallen unter Artikel 55 des KI-Gesetzes.
Zusätzlich veröffentlichte die Europäische Kommission eine Vorlage für die „Vorfallmeldung bei schwerwiegenden Vorfällen gemäß dem KI-Gesetz (hochriskante KI-Systeme)“ zusammen mit den Entwurfshinweisen.
Die Entwurfshinweise und die Entwurfsvorlage sind hier verfügbar. Das Feedback von Interessengruppen kann bis zum 7. November 2025 hier eingereicht werden.
