# AI Act (EU Regulation 2024/1689) Obligations # EU Artificial Intelligence Act regulation: ai_act name: "AI Act (EU KI-Verordnung)" description: "EU-Verordnung zur Festlegung harmonisierter Vorschriften fuer kuenstliche Intelligenz" obligations: # Prohibited AI Practices (Art. 5) - applies to all - id: "AIACT-OBL-001" title: "Verbotene KI-Praktiken vermeiden" description: | Sicherstellung, dass keine verbotenen KI-Praktiken eingesetzt werden: - Social Scoring durch oeffentliche Stellen - Ausnutzung von Schwaechen (Alter, Behinderung) - Unterschwellige Manipulation - Biometrische Echtzeit-Fernidentifizierung (mit Ausnahmen) - Emotionserkennung am Arbeitsplatz/in Bildung - Biometrische Kategorisierung nach sensitiven Merkmalen applies_when: "uses_ai" legal_basis: - norm: "Art. 5 AI Act" article: "Verbotene Praktiken im KI-Bereich" category: "Compliance" responsible: "Geschaeftsfuehrung" deadline: type: "absolute" date: "2025-02-02" sanctions: max_fine: "35 Mio. EUR oder 7% Jahresumsatz" criminal_liability: false evidence: - "KI-Inventar mit Risikobewertung" - "Dokumentierte Pruefung auf verbotene Praktiken" priority: "kritisch" # High-Risk AI System Requirements (Art. 6-15) - id: "AIACT-OBL-002" title: "Risikomanagementsystem fuer Hochrisiko-KI" description: | Einrichtung eines Risikomanagementsystems fuer Hochrisiko-KI-Systeme: - Ermittlung und Analyse bekannter und vorhersehbarer Risiken - Schaetzung und Bewertung der Risiken - Risikominderungsmassnahmen - Kontinuierliche Ueberwachung und Aktualisierung applies_when: "high_risk" legal_basis: - norm: "Art. 9 AI Act" article: "Risikomanagementsystem" category: "Governance" responsible: "KI-Verantwortlicher" sanctions: max_fine: "15 Mio. EUR oder 3% Jahresumsatz" personal_liability: false evidence: - "Risikomanagement-Dokumentation" - "Risikobewertungen pro KI-System" - "Massnahmenplan" priority: "kritisch" iso27001_mapping: ["A.5.1.1", "A.8.2"] - id: "AIACT-OBL-003" title: "Daten-Governance fuer Hochrisiko-KI" description: | Anforderungen an Trainings-, Validierungs- und Testdaten: - Relevante Design-Entscheidungen - Datenerhebung und Datenherkunft - Vorverarbeitung (Annotation, Labelling, Bereinigung) - Erkennung und Behebung von Verzerrungen (Bias) - Identifizierung von Datenluecken applies_when: "high_risk_provider" legal_basis: - norm: "Art. 10 AI Act" article: "Daten und Daten-Governance" category: "Technisch" responsible: "KI-Verantwortlicher" sanctions: max_fine: "15 Mio. EUR oder 3% Jahresumsatz" evidence: - "Datensatzdokumentation" - "Bias-Analyse-Berichte" - "Datenqualitaetsnachweise" priority: "hoch" - id: "AIACT-OBL-004" title: "Technische Dokumentation erstellen" description: | Erstellung umfassender technischer Dokumentation vor Inverkehrbringen: - Allgemeine Beschreibung des KI-Systems - Design-Spezifikationen - Entwicklungsprozess - Leistungsmetriken - Risikomanagement-Dokumentation applies_when: "high_risk_provider" legal_basis: - norm: "Art. 11 AI Act" article: "Technische Dokumentation" category: "Governance" responsible: "KI-Verantwortlicher" sanctions: max_fine: "15 Mio. EUR oder 3% Jahresumsatz" evidence: - "Technische Dokumentation nach Anhang IV" - "Systemarchitektur-Dokumentation" - "Algorithmus-Beschreibung" priority: "hoch" - id: "AIACT-OBL-005" title: "Protokollierungsfunktion implementieren" description: | Hochrisiko-KI-Systeme muessen automatische Protokolle (Logs) erstellen: - Nutzungszeitraum - Referenzdatenbank - Eingabedaten - Identitaet der verifizierenden Personen applies_when: "high_risk" legal_basis: - norm: "Art. 12 AI Act" article: "Aufzeichnungspflichten" category: "Technisch" responsible: "IT-Leitung" deadline: type: "relative" duration: "Aufbewahrung mindestens 6 Monate" sanctions: max_fine: "15 Mio. EUR oder 3% Jahresumsatz" evidence: - "Log-System-Dokumentation" - "Beispiel-Logs" - "Aufbewahrungsrichtlinie" priority: "hoch" iso27001_mapping: ["A.12.4"] - id: "AIACT-OBL-006" title: "Transparenz und Nutzerinformation" description: | Bereitstellung klarer Informationen fuer Betreiber (Deployer): - Gebrauchsanweisungen - Eigenschaften und Grenzen des Systems - Leistungsniveau und Genauigkeit - Vorhersehbare Fehlnutzungen applies_when: "high_risk_provider" legal_basis: - norm: "Art. 13 AI Act" article: "Transparenz und Information" category: "Organisatorisch" responsible: "KI-Verantwortlicher" sanctions: max_fine: "15 Mio. EUR oder 3% Jahresumsatz" evidence: - "Gebrauchsanweisung" - "Leistungsdokumentation" - "Warnhinweise" priority: "hoch" - id: "AIACT-OBL-007" title: "Menschliche Aufsicht sicherstellen" description: | Hochrisiko-KI muss menschliche Aufsicht ermoeglichen: - Faehigkeiten und Grenzen verstehen - Ueberwachung des Betriebs - Interpretation der Ausgaben - Eingreifen oder Abbrechen koennen applies_when: "high_risk" legal_basis: - norm: "Art. 14 AI Act" article: "Menschliche Aufsicht" category: "Organisatorisch" responsible: "KI-Verantwortlicher" sanctions: max_fine: "15 Mio. EUR oder 3% Jahresumsatz" evidence: - "Aufsichtskonzept" - "Schulungsnachweise fuer Bediener" - "Notfall-Abschaltprozedur" priority: "kritisch" - id: "AIACT-OBL-008" title: "Genauigkeit, Robustheit und Cybersicherheit" description: | Hochrisiko-KI muss waehrend des gesamten Lebenszyklus: - Angemessene Genauigkeit aufweisen - Robust gegen Fehler und Inkonsistenzen sein - Cyberangriffe verhindern koennen (Adversarial Attacks) applies_when: "high_risk" legal_basis: - norm: "Art. 15 AI Act" article: "Genauigkeit, Robustheit und Cybersicherheit" category: "Technisch" responsible: "IT-Leitung" sanctions: max_fine: "15 Mio. EUR oder 3% Jahresumsatz" evidence: - "Genauigkeits-Metriken und Tests" - "Robustheitstests" - "Security-Assessment" priority: "hoch" iso27001_mapping: ["A.14.2", "A.18.2"] # Deployer Obligations (Art. 26) - id: "AIACT-OBL-009" title: "Betreiberpflichten fuer Hochrisiko-KI" description: | Betreiber (Deployer) von Hochrisiko-KI muessen: - Geeignete technische und organisatorische Massnahmen treffen - Eingabedaten auf Relevanz pruefen - Betrieb ueberwachen - Protokolle aufbewahren - Betroffene Personen informieren applies_when: "high_risk_deployer" legal_basis: - norm: "Art. 26 AI Act" article: "Pflichten der Betreiber" category: "Organisatorisch" responsible: "KI-Verantwortlicher" sanctions: max_fine: "15 Mio. EUR oder 3% Jahresumsatz" evidence: - "Betriebskonzept" - "Eingabedaten-Pruefung" - "Monitoring-Dokumentation" priority: "hoch" - id: "AIACT-OBL-010" title: "Grundrechte-Folgenabschaetzung" description: | Betreiber von Hochrisiko-KI in sensiblen Bereichen muessen vor Einsatz eine Grundrechte-Folgenabschaetzung durchfuehren (FRIA - Fundamental Rights Impact Assessment). Dies gilt fuer oeffentliche Stellen und private Betreiber in kritischen Bereichen. applies_when: "high_risk_deployer_fria" legal_basis: - norm: "Art. 27 AI Act" article: "Grundrechte-Folgenabschaetzung" category: "Governance" responsible: "KI-Verantwortlicher" sanctions: max_fine: "15 Mio. EUR oder 3% Jahresumsatz" evidence: - "FRIA-Dokumentation" - "Risikobewertung Grundrechte" - "Abhilfemassnahmen" priority: "kritisch" # Transparency Obligations for Limited Risk AI (Art. 50) - id: "AIACT-OBL-011" title: "Transparenzpflichten fuer KI-Interaktionen" description: | Bei KI-Systemen, die mit natuerlichen Personen interagieren: - Kennzeichnung der KI-Interaktion - Information, dass Inhalte KI-generiert sind - Kennzeichnung von Deep Fakes applies_when: "limited_risk" legal_basis: - norm: "Art. 50 AI Act" article: "Transparenzpflichten" category: "Organisatorisch" responsible: "KI-Verantwortlicher" deadline: type: "absolute" date: "2026-08-02" sanctions: max_fine: "15 Mio. EUR oder 3% Jahresumsatz" evidence: - "Kennzeichnungskonzept" - "Nutzerhinweise" - "Deep-Fake-Kennzeichnung" priority: "hoch" # GPAI Obligations (Art. 53) - id: "AIACT-OBL-012" title: "GPAI-Modell Dokumentation" description: | Anbieter von GPAI-Modellen (General Purpose AI) muessen: - Technische Dokumentation erstellen und aktualisieren - Informationen fuer nachgelagerte Anbieter bereitstellen - Urheberrechtsrichtlinie einhalten - Trainingsdaten-Zusammenfassung veroeffentlichen applies_when: "gpai_provider" legal_basis: - norm: "Art. 53 AI Act" article: "Pflichten der Anbieter von GPAI-Modellen" category: "Governance" responsible: "KI-Verantwortlicher" deadline: type: "absolute" date: "2025-08-02" sanctions: max_fine: "15 Mio. EUR oder 3% Jahresumsatz" evidence: - "GPAI-Dokumentation" - "Trainingsdaten-Summary" - "Urheberrechts-Policy" priority: "hoch" - id: "AIACT-OBL-013" title: "GPAI mit systemischem Risiko" description: | GPAI-Modelle mit systemischem Risiko (>10^25 FLOP Training) haben zusaetzliche Pflichten: - Modellbewertung nach Protokollen - Bewertung und Minderung systemischer Risiken - Dokumentation von Vorfaellen - Angemessene Cybersicherheit applies_when: "gpai_systemic_risk" legal_basis: - norm: "Art. 55 AI Act" article: "Pflichten bei systemischem Risiko" category: "Technisch" responsible: "KI-Verantwortlicher" deadline: type: "absolute" date: "2025-08-02" sanctions: max_fine: "35 Mio. EUR oder 7% Jahresumsatz" evidence: - "Systemische Risikobewertung" - "Red-Teaming-Berichte" - "Incident-Dokumentation" priority: "kritisch" # Registration (Art. 49, 60) - id: "AIACT-OBL-014" title: "EU-Datenbank-Registrierung" description: | Registrierung in der EU-Datenbank fuer Hochrisiko-KI-Systeme: - Anbieter: Vor Inverkehrbringen - Betreiber: Vor Inbetriebnahme (bei bestimmten Kategorien) applies_when: "high_risk" legal_basis: - norm: "Art. 49 AI Act" article: "Registrierung" category: "Meldepflicht" responsible: "KI-Verantwortlicher" deadline: type: "relative" duration: "Vor Inverkehrbringen/Inbetriebnahme" sanctions: max_fine: "15 Mio. EUR oder 3% Jahresumsatz" evidence: - "Registrierungsbestaetigung" - "EU-Datenbank-Eintrag" priority: "hoch" # AI Literacy (Art. 4) - id: "AIACT-OBL-015" title: "KI-Kompetenz sicherstellen" description: | Anbieter und Betreiber muessen sicherstellen, dass Personal mit ausreichender KI-Kompetenz ausgestattet ist. Dies umfasst Schulungen und Sensibilisierung fuer Risiken und ethische Aspekte. applies_when: "uses_ai" legal_basis: - norm: "Art. 4 AI Act" article: "KI-Kompetenz" category: "Schulung" responsible: "Geschaeftsfuehrung" deadline: type: "absolute" date: "2025-02-02" sanctions: max_fine: "7,5 Mio. EUR oder 1% Jahresumsatz" evidence: - "Schulungsnachweise" - "Kompetenzmatrix" - "Awareness-Programm" priority: "mittel" controls: - id: "AIACT-CTRL-001" name: "KI-Inventar" description: "Fuehrung eines vollstaendigen Inventars aller KI-Systeme" category: "Governance" what_to_do: "Erfassung aller KI-Systeme mit Risikoeinstufung, Zweck, Anbieter, Betreiber" iso27001_mapping: ["A.8.1"] priority: "kritisch" - id: "AIACT-CTRL-002" name: "KI-Governance-Struktur" description: "Etablierung einer KI-Governance mit klaren Verantwortlichkeiten" category: "Governance" what_to_do: "Benennung eines KI-Verantwortlichen, Einrichtung eines KI-Boards" priority: "hoch" - id: "AIACT-CTRL-003" name: "Bias-Testing und Fairness" description: "Regelmaessige Pruefung auf Verzerrungen und Diskriminierung" category: "Technisch" what_to_do: "Implementierung von Bias-Detection, Fairness-Metriken, Datensatz-Audits" priority: "hoch" - id: "AIACT-CTRL-004" name: "Model Monitoring" description: "Kontinuierliche Ueberwachung der KI-Modellleistung" category: "Technisch" what_to_do: "Drift-Detection, Performance-Monitoring, Anomalie-Erkennung" priority: "hoch" - id: "AIACT-CTRL-005" name: "KI-Risikobewertungs-Prozess" description: "Etablierung eines strukturierten Prozesses zur Risikobewertung" category: "Governance" what_to_do: "Pre-Deployment Assessment, regelmaessige Re-Evaluation, Eskalationsprozess" priority: "kritisch" - id: "AIACT-CTRL-006" name: "Explainability-Framework" description: "Implementierung von Erklaerbarkeit fuer KI-Entscheidungen" category: "Technisch" what_to_do: "SHAP/LIME Integration, Entscheidungsprotokollierung, Nutzererklaerungen" priority: "mittel" incident_deadlines: - phase: "Schwerwiegender Vorfall melden" deadline: "unverzueglich" content: | Meldung schwerwiegender Vorfaelle bei Hochrisiko-KI-Systemen: - Tod oder schwere Gesundheitsschaeden - Schwerwiegende Grundrechtsverletzungen - Schwere Schaeden an Eigentum oder Umwelt recipient: "Zustaendige Marktaufsichtsbehoerde" legal_basis: - norm: "Art. 73 AI Act" - phase: "Fehlfunktion melden (Anbieter)" deadline: "15 Tage" content: | Anbieter von Hochrisiko-KI melden Fehlfunktionen, die einen schwerwiegenden Vorfall darstellen koennten. recipient: "Marktaufsichtsbehoerde des Herkunftslandes" legal_basis: - norm: "Art. 73 Abs. 1 AI Act"