Was regelt Artikel 9?
Artikel 9 verlangt für Hochrisiko-KI ein Risikomanagementsystem über den gesamten Lebenszyklus des Systems. Die Pflicht wird für Anhang-III-Systeme ab dem 2. August 2026 praktisch relevant und richtet sich primär an Anbieter, beeinflusst aber auch Betreiber und deren Auswahlentscheidungen.
Kurz im Gesetzestext: „A risk management system shall be established ...“ (Art. 9)
Der Artikel denkt nicht in Einmal-Prüfungen, sondern in Schleifen. Risiken müssen identifiziert, bewertet, gemindert und nach Marktbeobachtung erneut überprüft werden. Zu berücksichtigen sind nicht nur erwartbare Risiken bei bestimmungsgemäßer Nutzung, sondern auch vernünftigerweise vorhersehbarer Fehlgebrauch. Außerdem verlangt Art. 9 eine Maßnahmenhierarchie: zuerst Risiken durch Design reduzieren, dann Kontrollen einbauen und zuletzt verbleibende Restrisiken transparent machen.
Was bedeutet das für Ihr Unternehmen?
Wenn Sie Hochrisiko-KI einkaufen oder betreiben, sollten Sie Art. 9 als Beschaffungs- und Governance-Thema verstehen. Fragen Sie Anbieter nicht nur nach Marketingunterlagen, sondern nach belastbaren Informationen zu Tests, Restrisiken, Datenqualität und Monitoring. Ohne diese Basis können Sie Pflichten aus Artikel 14 und Artikel 26 kaum sauber umsetzen.
Praktisch hilft ein Vierklang:
- Risiken für Gesundheit, Sicherheit und Grundrechte benennen.
- Missbrauchsszenarien mitdenken.
- Minderungsmaßnahmen dokumentieren.
- Monitoring nach Inbetriebnahme organisatorisch verankern.
Für Begriffe wie Risikomanagementsystem oder DSFA lohnt ein Blick ins Glossar. Den Gesamtüberblick finden Sie im Wissensbereich und einen kompakten Transfer in den Arbeitsalltag auf der Kursseite.
Je früher dieses System steht, desto leichter lassen sich spätere Nachweise gegenüber Aufsicht, Management und Betroffenen führen.