Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
d527fcbdc800554d9f552e63e20fa3b1dd075615
breakpilot-compliance/ai-compliance-sdk/policies/obligations/ai_act_obligations.yaml
Benjamin Boenisch 4435e7ea0a Initial commit: breakpilot-compliance - Compliance SDK Platform 
Services: Admin-Compliance, Backend-Compliance,
AI-Compliance-SDK, Consent-SDK, Developer-Portal,
PCA-Platform, DSMS

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-02-11 23:47:28 +01:00

431 lines
14 KiB
YAML
Raw Blame History

# AI Act (EU Regulation 2024/1689) Obligations
# EU Artificial Intelligence Act
regulation: ai_act
name: "AI Act (EU KI-Verordnung)"
description: "EU-Verordnung zur Festlegung harmonisierter Vorschriften fuer kuenstliche Intelligenz"
obligations:
# Prohibited AI Practices (Art. 5) - applies to all
- id: "AIACT-OBL-001"
title: "Verbotene KI-Praktiken vermeiden"
description: |
Sicherstellung, dass keine verbotenen KI-Praktiken eingesetzt werden:
- Social Scoring durch oeffentliche Stellen
- Ausnutzung von Schwaechen (Alter, Behinderung)
- Unterschwellige Manipulation
- Biometrische Echtzeit-Fernidentifizierung (mit Ausnahmen)
- Emotionserkennung am Arbeitsplatz/in Bildung
- Biometrische Kategorisierung nach sensitiven Merkmalen
applies_when: "uses_ai"
legal_basis:
- norm: "Art. 5 AI Act"
article: "Verbotene Praktiken im KI-Bereich"
category: "Compliance"
responsible: "Geschaeftsfuehrung"
deadline:
type: "absolute"
date: "2025-02-02"
sanctions:
max_fine: "35 Mio. EUR oder 7% Jahresumsatz"
criminal_liability: false
evidence:
- "KI-Inventar mit Risikobewertung"
- "Dokumentierte Pruefung auf verbotene Praktiken"
priority: "kritisch"
# High-Risk AI System Requirements (Art. 6-15)
- id: "AIACT-OBL-002"
title: "Risikomanagementsystem fuer Hochrisiko-KI"
description: |
Einrichtung eines Risikomanagementsystems fuer Hochrisiko-KI-Systeme:
- Ermittlung und Analyse bekannter und vorhersehbarer Risiken
- Schaetzung und Bewertung der Risiken
- Risikominderungsmassnahmen
- Kontinuierliche Ueberwachung und Aktualisierung
applies_when: "high_risk"
legal_basis:
- norm: "Art. 9 AI Act"
article: "Risikomanagementsystem"
category: "Governance"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
personal_liability: false
evidence:
- "Risikomanagement-Dokumentation"
- "Risikobewertungen pro KI-System"
- "Massnahmenplan"
priority: "kritisch"
iso27001_mapping: ["A.5.1.1", "A.8.2"]
- id: "AIACT-OBL-003"
title: "Daten-Governance fuer Hochrisiko-KI"
description: |
Anforderungen an Trainings-, Validierungs- und Testdaten:
- Relevante Design-Entscheidungen
- Datenerhebung und Datenherkunft
- Vorverarbeitung (Annotation, Labelling, Bereinigung)
- Erkennung und Behebung von Verzerrungen (Bias)
- Identifizierung von Datenluecken
applies_when: "high_risk_provider"
legal_basis:
- norm: "Art. 10 AI Act"
article: "Daten und Daten-Governance"
category: "Technisch"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Datensatzdokumentation"
- "Bias-Analyse-Berichte"
- "Datenqualitaetsnachweise"
priority: "hoch"
- id: "AIACT-OBL-004"
title: "Technische Dokumentation erstellen"
description: |
Erstellung umfassender technischer Dokumentation vor Inverkehrbringen:
- Allgemeine Beschreibung des KI-Systems
- Design-Spezifikationen
- Entwicklungsprozess
- Leistungsmetriken
- Risikomanagement-Dokumentation
applies_when: "high_risk_provider"
legal_basis:
- norm: "Art. 11 AI Act"
article: "Technische Dokumentation"
category: "Governance"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Technische Dokumentation nach Anhang IV"
- "Systemarchitektur-Dokumentation"
- "Algorithmus-Beschreibung"
priority: "hoch"
- id: "AIACT-OBL-005"
title: "Protokollierungsfunktion implementieren"
description: |
Hochrisiko-KI-Systeme muessen automatische Protokolle (Logs) erstellen:
- Nutzungszeitraum
- Referenzdatenbank
- Eingabedaten
- Identitaet der verifizierenden Personen
applies_when: "high_risk"
legal_basis:
- norm: "Art. 12 AI Act"
article: "Aufzeichnungspflichten"
category: "Technisch"
responsible: "IT-Leitung"
deadline:
type: "relative"
duration: "Aufbewahrung mindestens 6 Monate"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Log-System-Dokumentation"
- "Beispiel-Logs"
- "Aufbewahrungsrichtlinie"
priority: "hoch"
iso27001_mapping: ["A.12.4"]
- id: "AIACT-OBL-006"
title: "Transparenz und Nutzerinformation"
description: |
Bereitstellung klarer Informationen fuer Betreiber (Deployer):
- Gebrauchsanweisungen
- Eigenschaften und Grenzen des Systems
- Leistungsniveau und Genauigkeit
- Vorhersehbare Fehlnutzungen
applies_when: "high_risk_provider"
legal_basis:
- norm: "Art. 13 AI Act"
article: "Transparenz und Information"
category: "Organisatorisch"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Gebrauchsanweisung"
- "Leistungsdokumentation"
- "Warnhinweise"
priority: "hoch"
- id: "AIACT-OBL-007"
title: "Menschliche Aufsicht sicherstellen"
description: |
Hochrisiko-KI muss menschliche Aufsicht ermoeglichen:
- Faehigkeiten und Grenzen verstehen
- Ueberwachung des Betriebs
- Interpretation der Ausgaben
- Eingreifen oder Abbrechen koennen
applies_when: "high_risk"
legal_basis:
- norm: "Art. 14 AI Act"
article: "Menschliche Aufsicht"
category: "Organisatorisch"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Aufsichtskonzept"
- "Schulungsnachweise fuer Bediener"
- "Notfall-Abschaltprozedur"
priority: "kritisch"
- id: "AIACT-OBL-008"
title: "Genauigkeit, Robustheit und Cybersicherheit"
description: |
Hochrisiko-KI muss waehrend des gesamten Lebenszyklus:
- Angemessene Genauigkeit aufweisen
- Robust gegen Fehler und Inkonsistenzen sein
- Cyberangriffe verhindern koennen (Adversarial Attacks)
applies_when: "high_risk"
legal_basis:
- norm: "Art. 15 AI Act"
article: "Genauigkeit, Robustheit und Cybersicherheit"
category: "Technisch"
responsible: "IT-Leitung"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Genauigkeits-Metriken und Tests"
- "Robustheitstests"
- "Security-Assessment"
priority: "hoch"
iso27001_mapping: ["A.14.2", "A.18.2"]
# Deployer Obligations (Art. 26)
- id: "AIACT-OBL-009"
title: "Betreiberpflichten fuer Hochrisiko-KI"
description: |
Betreiber (Deployer) von Hochrisiko-KI muessen:
- Geeignete technische und organisatorische Massnahmen treffen
- Eingabedaten auf Relevanz pruefen
- Betrieb ueberwachen
- Protokolle aufbewahren
- Betroffene Personen informieren
applies_when: "high_risk_deployer"
legal_basis:
- norm: "Art. 26 AI Act"
article: "Pflichten der Betreiber"
category: "Organisatorisch"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Betriebskonzept"
- "Eingabedaten-Pruefung"
- "Monitoring-Dokumentation"
priority: "hoch"
- id: "AIACT-OBL-010"
title: "Grundrechte-Folgenabschaetzung"
description: |
Betreiber von Hochrisiko-KI in sensiblen Bereichen muessen vor Einsatz eine
Grundrechte-Folgenabschaetzung durchfuehren (FRIA - Fundamental Rights Impact Assessment).
Dies gilt fuer oeffentliche Stellen und private Betreiber in kritischen Bereichen.
applies_when: "high_risk_deployer_fria"
legal_basis:
- norm: "Art. 27 AI Act"
article: "Grundrechte-Folgenabschaetzung"
category: "Governance"
responsible: "KI-Verantwortlicher"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "FRIA-Dokumentation"
- "Risikobewertung Grundrechte"
- "Abhilfemassnahmen"
priority: "kritisch"
# Transparency Obligations for Limited Risk AI (Art. 50)
- id: "AIACT-OBL-011"
title: "Transparenzpflichten fuer KI-Interaktionen"
description: |
Bei KI-Systemen, die mit natuerlichen Personen interagieren:
- Kennzeichnung der KI-Interaktion
- Information, dass Inhalte KI-generiert sind
- Kennzeichnung von Deep Fakes
applies_when: "limited_risk"
legal_basis:
- norm: "Art. 50 AI Act"
article: "Transparenzpflichten"
category: "Organisatorisch"
responsible: "KI-Verantwortlicher"
deadline:
type: "absolute"
date: "2026-08-02"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Kennzeichnungskonzept"
- "Nutzerhinweise"
- "Deep-Fake-Kennzeichnung"
priority: "hoch"
# GPAI Obligations (Art. 53)
- id: "AIACT-OBL-012"
title: "GPAI-Modell Dokumentation"
description: |
Anbieter von GPAI-Modellen (General Purpose AI) muessen:
- Technische Dokumentation erstellen und aktualisieren
- Informationen fuer nachgelagerte Anbieter bereitstellen
- Urheberrechtsrichtlinie einhalten
- Trainingsdaten-Zusammenfassung veroeffentlichen
applies_when: "gpai_provider"
legal_basis:
- norm: "Art. 53 AI Act"
article: "Pflichten der Anbieter von GPAI-Modellen"
category: "Governance"
responsible: "KI-Verantwortlicher"
deadline:
type: "absolute"
date: "2025-08-02"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "GPAI-Dokumentation"
- "Trainingsdaten-Summary"
- "Urheberrechts-Policy"
priority: "hoch"
- id: "AIACT-OBL-013"
title: "GPAI mit systemischem Risiko"
description: |
GPAI-Modelle mit systemischem Risiko (>10^25 FLOP Training) haben zusaetzliche Pflichten:
- Modellbewertung nach Protokollen
- Bewertung und Minderung systemischer Risiken
- Dokumentation von Vorfaellen
- Angemessene Cybersicherheit
applies_when: "gpai_systemic_risk"
legal_basis:
- norm: "Art. 55 AI Act"
article: "Pflichten bei systemischem Risiko"
category: "Technisch"
responsible: "KI-Verantwortlicher"
deadline:
type: "absolute"
date: "2025-08-02"
sanctions:
max_fine: "35 Mio. EUR oder 7% Jahresumsatz"
evidence:
- "Systemische Risikobewertung"
- "Red-Teaming-Berichte"
- "Incident-Dokumentation"
priority: "kritisch"
# Registration (Art. 49, 60)
- id: "AIACT-OBL-014"
title: "EU-Datenbank-Registrierung"
description: |
Registrierung in der EU-Datenbank fuer Hochrisiko-KI-Systeme:
- Anbieter: Vor Inverkehrbringen
- Betreiber: Vor Inbetriebnahme (bei bestimmten Kategorien)
applies_when: "high_risk"
legal_basis:
- norm: "Art. 49 AI Act"
article: "Registrierung"
category: "Meldepflicht"
responsible: "KI-Verantwortlicher"
deadline:
type: "relative"
duration: "Vor Inverkehrbringen/Inbetriebnahme"
sanctions:
max_fine: "15 Mio. EUR oder 3% Jahresumsatz"
evidence:
- "Registrierungsbestaetigung"
- "EU-Datenbank-Eintrag"
priority: "hoch"
# AI Literacy (Art. 4)
- id: "AIACT-OBL-015"
title: "KI-Kompetenz sicherstellen"
description: |
Anbieter und Betreiber muessen sicherstellen, dass Personal mit ausreichender
KI-Kompetenz ausgestattet ist. Dies umfasst Schulungen und Sensibilisierung
fuer Risiken und ethische Aspekte.
applies_when: "uses_ai"
legal_basis:
- norm: "Art. 4 AI Act"
article: "KI-Kompetenz"
category: "Schulung"
responsible: "Geschaeftsfuehrung"
deadline:
type: "absolute"
date: "2025-02-02"
sanctions:
max_fine: "7,5 Mio. EUR oder 1% Jahresumsatz"
evidence:
- "Schulungsnachweise"
- "Kompetenzmatrix"
- "Awareness-Programm"
priority: "mittel"
controls:
- id: "AIACT-CTRL-001"
name: "KI-Inventar"
description: "Fuehrung eines vollstaendigen Inventars aller KI-Systeme"
category: "Governance"
what_to_do: "Erfassung aller KI-Systeme mit Risikoeinstufung, Zweck, Anbieter, Betreiber"
iso27001_mapping: ["A.8.1"]
priority: "kritisch"
- id: "AIACT-CTRL-002"
name: "KI-Governance-Struktur"
description: "Etablierung einer KI-Governance mit klaren Verantwortlichkeiten"
category: "Governance"
what_to_do: "Benennung eines KI-Verantwortlichen, Einrichtung eines KI-Boards"
priority: "hoch"
- id: "AIACT-CTRL-003"
name: "Bias-Testing und Fairness"
description: "Regelmaessige Pruefung auf Verzerrungen und Diskriminierung"
category: "Technisch"
what_to_do: "Implementierung von Bias-Detection, Fairness-Metriken, Datensatz-Audits"
priority: "hoch"
- id: "AIACT-CTRL-004"
name: "Model Monitoring"
description: "Kontinuierliche Ueberwachung der KI-Modellleistung"
category: "Technisch"
what_to_do: "Drift-Detection, Performance-Monitoring, Anomalie-Erkennung"
priority: "hoch"
- id: "AIACT-CTRL-005"
name: "KI-Risikobewertungs-Prozess"
description: "Etablierung eines strukturierten Prozesses zur Risikobewertung"
category: "Governance"
what_to_do: "Pre-Deployment Assessment, regelmaessige Re-Evaluation, Eskalationsprozess"
priority: "kritisch"
- id: "AIACT-CTRL-006"
name: "Explainability-Framework"
description: "Implementierung von Erklaerbarkeit fuer KI-Entscheidungen"
category: "Technisch"
what_to_do: "SHAP/LIME Integration, Entscheidungsprotokollierung, Nutzererklaerungen"
priority: "mittel"
incident_deadlines:
- phase: "Schwerwiegender Vorfall melden"
deadline: "unverzueglich"
content: |
Meldung schwerwiegender Vorfaelle bei Hochrisiko-KI-Systemen:
- Tod oder schwere Gesundheitsschaeden
- Schwerwiegende Grundrechtsverletzungen
- Schwere Schaeden an Eigentum oder Umwelt
recipient: "Zustaendige Marktaufsichtsbehoerde"
legal_basis:
- norm: "Art. 73 AI Act"
- phase: "Fehlfunktion melden (Anbieter)"
deadline: "15 Tage"
content: |
Anbieter von Hochrisiko-KI melden Fehlfunktionen, die einen
schwerwiegenden Vorfall darstellen koennten.
recipient: "Marktaufsichtsbehoerde des Herkunftslandes"
legal_basis:
- norm: "Art. 73 Abs. 1 AI Act"
Reference in New Issue View Git Blame Copy Permalink