EU AI Act: Entwurf der Europäischen Kommission zur Meldung von Vorfällen
Einführung
Am 26. September 2025 veröffentlichte die Europäische Kommission einen Entwurf von Richtlinien zu den Anforderungen an die Meldung schwerwiegender Vorfälle für hochriskante KI-Systeme im Rahmen des EU AI Act. Für Organisationen, die KI-Systeme entwickeln oder einsetzen, die unter den Anwendungsbereich des Gesetzes fallen könnten, ist das Verständnis dieser neuen Meldepflichten entscheidend für die Compliance-Planung.
Wichtige Erkenntnisse
- Die Kommission veröffentlichte am 26. September 2025 ein Meldeschema und ein Richtliniendokument.
- Anbieter hochriskanter KI-Systeme sind verpflichtet, schwerwiegende Vorfälle an die nationalen Behörden zu melden.
- Die Fristen für die Meldung variieren je nach Schwere und Art des Vorfalls zwischen zwei (2) und fünfzehn (15) Tagen.
- Die öffentliche Konsultation ist bis zum 7. November 2025 geöffnet.
Verständnis des Meldesystems für Vorfälle
Artikel 73 des EU AI Act etabliert ein gestuftes Meldesystem für schwerwiegende Vorfälle, die hochriskante KI-Systeme betreffen. Obwohl diese Anforderungen erst im August 2026 in Kraft treten, bietet der neu veröffentlichte Entwurf wertvolle Einblicke in die Erwartungen der Kommission.
Das Meldesystem verfolgt mehrere Ziele: die Schaffung eines frühen Warnsystems für schädliche Muster, die Etablierung klarer Verantwortlichkeiten für Anbieter und Nutzer, die Ermöglichung zeitnaher Korrekturmaßnahmen sowie die Förderung von Transparenz, um das Vertrauen der Öffentlichkeit in KI-Technologien zu stärken.
Was als „schwerwiegender Vorfall“ gilt
- dem Tod einer Person oder ernsthaften Schäden an der Gesundheit einer Person führt;
- ernsthaften und irreversiblen Störungen kritischer Infrastrukturen führt;
- Verletzungen der grundlegenden Rechte gemäß EU-Recht führt;
- ernsthaften Schäden an Eigentum oder der Umwelt führt.
Besonders wichtig im Entwurf ist die Betonung der direkten und indirekten Kausalität. Ein KI-System, das eine falsche medizinische Analyse liefert, die zu Schäden bei Patienten durch nachfolgende Entscheidungen von Ärzten führt, würde als indirekter schwerwiegender Vorfall gelten. Das bedeutet, dass Organisationen die nachgelagerten Auswirkungen in ihren Risikomanagementrahmen einbeziehen müssen.
Überlappung mit bestehenden Melderegistern
Für Kunden, die mehrere Compliance-Rahmen verwalten, bietet die Richtlinie willkommene Klarheit über überlappende Meldungspflichten. Hochriskante KI-Systeme, die bereits unter anderen EU-Gesetzen (z. B. NIS2, DORA oder CER) vergleichbaren Meldepflichten unterliegen, müssen im Allgemeinen nur Verletzungen grundlegender Rechte gemäß dem AI Act melden.
Dies spiegelt den Versuch der Kommission wider, die duplizierten Meldelasten zu minimieren, obwohl die praktische Umsetzung weiterhin sorgfältige funktionsübergreifende Koordination zwischen KI-Governance, Recht und Compliance-Teams erfordert.
Praktische Implikationen für Organisationen
Organisationen sollten damit beginnen, ihre KI-Systeme anhand der Kriterien für hochriskante Systeme zu kartieren und interne Prozesse für die Erkennung, Untersuchung und Meldung von Vorfällen vorzubereiten. Wichtige Überlegungen umfassen:
- Die Etablierung klarer Vorfallreaktionsprotokolle;
- Die Implementierung von Überwachungssystemen zur Erkennung potenzieller schwerwiegender Vorfälle;
- Die Entwicklung von Untersuchungsverfahren zur Beweissicherung;
- Die Bildung funktionsübergreifender Teams zur Verwaltung der Meldungspflichten;
- Die Aktualisierung von Risikobewertungen, um Szenarien schwerwiegender Vorfälle zu berücksichtigen.
Nächste Schritte
Es wird empfohlen, an der öffentlichen Konsultation teilzunehmen, die bis zum 7. November 2025 geöffnet ist. Die Kommission sucht insbesondere nach Rückmeldungen und Beispielen zur Wechselwirkung mit anderen Melderegistern.
Organisationen sollten auch ihre Governance-Rahmen für KI überprüfen, um sicherzustellen, dass sie die Meldung dieser Anforderungen effektiv umsetzen können, wenn sie im August 2026 anwendbar werden.
