fachanwalt-it-recht-ki-vo-hochrisiko-konformitaetsbewertung
$
npx mdskill add Klotzkette/claude-fuer-deutsches-recht/fachanwalt-it-recht-ki-vo-hochrisiko-konformitaetsbewertung1. Welche Funktion hat das KI-System — was tut es, in welchem Kontext wird es eingesetzt (Einstellungsentscheidungen, Kreditbewertung, biometrische Erkennung, medizinische Diagnose)? 2. Ist der Mandant Anbieter (Inverkehrbringer, Art. 3 Nr. 3 KI-VO) oder Betreiber (Deployer, Art. 3 Nr. 4 KI-VO)? Begründung: Pflichtenkatalog unterscheidet sich erheblich. 3. In welchem Mitgliedstaat wird das System erstmalig in Verkehr gebracht oder in Betrieb genommen? 4. Handelt es sich um ein Altsystem (vor 2.8.2026) oder eine Neuentwicklung? 5. Liegt bereits ein ISO-13485- oder ISO-9001-zertifiziertes Qualitätsmanagementsystem vor (erleichtert Konformitätsbewertung)? 6. Soll eine Benannte Stelle (Notified Body) eingeschaltet werden (Pflicht bei Biometrik und Systemen für kritische Infrastruktur)? 7. Wie ist der Zeitplan bis Markteinführung — wann muss CE-Kennzeichnung vorliegen? 8. Gibt es bereits eine KI-Folgenabschätzung oder eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) im Zusammenhang mit dem System?
SKILL.md
.github/skills/fachanwalt-it-recht-ki-vo-hochrisiko-konformitaetsbewertungView on GitHub ↗
---
name: fachanwalt-it-recht-ki-vo-hochrisiko-konformitaetsbewertung
description: "KI-VO 2024/1689 Hochrisiko-KI-System Konformitaetsbewertung nach Art. 16-29. Anhang III Liste (Biometrik kritische Infrastruktur Bildung Beschaeftigung Justiz). Anbieter-Pflichten Risikomanagement Daten-Governance Dokumentation Transparenz Cybersicherheit menschliche Aufsicht. CE-Kennzeichnung Art. 48 Anwendbarkeit 2.8.2026 bzw. 2.8.2027. Bussgelder Art. 99 bis 35 Mio. EUR. Workflow Risiko-Klassifikation Audit Konformitaetserklaerung."
---
# KI-VO High-Risk-System Konformitätsbewertung Art. 16–29
## Kaltstart-Rückfragen
1. Welche Funktion hat das KI-System — was tut es, in welchem Kontext wird es eingesetzt (Einstellungsentscheidungen, Kreditbewertung, biometrische Erkennung, medizinische Diagnose)?
2. Ist der Mandant Anbieter (Inverkehrbringer, Art. 3 Nr. 3 KI-VO) oder Betreiber (Deployer, Art. 3 Nr. 4 KI-VO)? Begründung: Pflichtenkatalog unterscheidet sich erheblich.
3. In welchem Mitgliedstaat wird das System erstmalig in Verkehr gebracht oder in Betrieb genommen?
4. Handelt es sich um ein Altsystem (vor 2.8.2026) oder eine Neuentwicklung?
5. Liegt bereits ein ISO-13485- oder ISO-9001-zertifiziertes Qualitätsmanagementsystem vor (erleichtert Konformitätsbewertung)?
6. Soll eine Benannte Stelle (Notified Body) eingeschaltet werden (Pflicht bei Biometrik und Systemen für kritische Infrastruktur)?
7. Wie ist der Zeitplan bis Markteinführung — wann muss CE-Kennzeichnung vorliegen?
8. Gibt es bereits eine KI-Folgenabschätzung oder eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) im Zusammenhang mit dem System?
## Rechtsgrundlagen
### KI-VO (EU) 2024/1689
- **Art. 3** — Begriffsbestimmungen: KI-System, Hochrisiko-KI-System, Anbieter, Betreiber, Inverkehrbringen.
- **Art. 5** — Verbotene KI-Praktiken (Manipulation, Social Scoring, Real-Time-Biometrie im öffentlichen Raum); Verstöße: Bußgeld bis 35 Mio. EUR oder 7 % Umsatz (Art. 99 Abs. 3).
- **Art. 6 i. V. m. Anhang III** — Hochrisiko-Definition.
- **Art. 9** — Risikomanagementsystem: kontinuierlich, dokumentiert, über gesamten Lebenszyklus.
- **Art. 10** — Datensätze und Daten-Governance: Training-, Validierungs-, Testdatensätze; Relevanz, Vollständigkeit, Freiheit von Fehlern.
- **Art. 11 i. V. m. Anhang IV** — Technische Dokumentation.
- **Art. 12** — Aufzeichnungspflichten (Logging, automatisch und unveränderbar).
- **Art. 13** — Transparenz und Bereitstellung von Informationen an Betreiber; Benutzerhandbuch.
- **Art. 14** — Menschliche Aufsicht: wirksame Eingriffs- und Überwachungsmöglichkeit.
- **Art. 15** — Genauigkeit, Robustheit, Cybersicherheit: Stresstest, Fehlererkennung.
- **Art. 16–22** — Anbieter-Pflichten: Konformitätsbewertung, EU-Konformitätserklärung, CE-Kennzeichnung, Registrierung, Ergreifung von Korrekturmaßnahmen.
- **Art. 26–29** — Betreiber-Pflichten: technische und organisatorische Maßnahmen, Informationspflichten, Vorabfolgenabschätzung bei öffentlichen Stellen.
- **Art. 43** — Konformitätsbewertungsverfahren: interne Kontrolle (Anhang VI) oder Bewertung durch Benannte Stelle (Anhang VII).
- **Art. 47** — EU-Konformitätserklärung; Inhalt nach Anhang V.
- **Art. 48** — CE-Kennzeichnung; Art. 49 — Registrierung EU-Datenbank.
- **Art. 72–73** — Nachmarktüberwachung; Meldepflicht schwere Vorfälle binnen 15 Tagen.
- **Art. 99** — Bußgelder.
- **Art. 113** — Anwendungszeitpunkte.
### Anwendungszeitpunkte (Art. 113 KI-VO)
| Kategorie | Anwendbar ab |
|---|---|
| Verbotene Praktiken Art. 5 | 2.2.2025 |
| GPAI-Modelle (Anhang XII) | 2.8.2025 |
| Hochrisiko-Systeme Anhang III | 2.8.2026 |
| Hochrisiko-Systeme Anhang I (Sicherheitskomponenten) | 2.8.2027 |
| Altsysteme (bereits in Betrieb vor 2.8.2026) | 2.8.2027 Übergangsfrist |
### Ergänzende Rechtsquellen
- **DSGVO Art. 35** — Datenschutz-Folgenabschätzung; häufig bei Hochrisiko-KI parallel Pflicht.
- **NIS2UmsuCG** — bei KI in kritischer Infrastruktur Meldepflichten.
- **Produktsicherheitsverordnung (EU) 2023/988** — für KI in Produkten.
- **MDR (EU) 2017/745** — bei KI in Medizinprodukten (eigenständiges Regime + KI-VO-Overlay).
## Anhang III — Hochrisiko-Klassifikation
| Nr. | Bereich | Beispiele |
|---|---|---|
| 1 | Biometrische Identifikation und Kategorisierung | Gesichtserkennung, Emotionserkennung |
| 2 | Kritische Infrastruktur | Steuerung Verkehr, Wasser, Energie, Gas |
| 3 | Bildung / Berufsbildung | Zulassungssoftware, Prüfungsbewertung |
| 4 | Beschäftigung / Personalauswahl | Recruiting-Algorithmen, Leistungsbewertung |
| 5 | Wesentliche private und öffentliche Dienste | Kredit-Scoring, Lebensversicherung-Prüfung |
| 6 | Strafverfolgung | Polygraph, Profiling, Risikobewertung |
| 7 | Migration / Asyl / Grenzkontrolle | Dokumentenprüfung, Risikoklassifikation |
| 8 | Justizverwaltung | Urteilsfindungs-Assistenz, Gefängnismanagement |
## Prüfschema
| Nr. | Prüfschritt | Norm | Kernfrage |
|---|---|---|---|
| 1 | Verbotene Praxis (Art. 5) | Art. 5 KI-VO | Manipulation, Social Scoring, Real-Time-Biometrie? |
| 2 | Hochrisiko-Klassifikation Anhang III | Art. 6 i. V. m. Anhang III | Welcher Tatbestand — Unternummern 1–8? |
| 3 | Art. 6 Abs. 3 Ausnahmen | Art. 6 Abs. 3 KI-VO | Nebenleistung ohne eigenständige Risikowirkung? |
| 4 | Anbieter vs. Betreiber | Art. 3 Nr. 3/4 KI-VO | Pflichtenzuordnung |
| 5 | Risikomanagementsystem | Art. 9 KI-VO | Dokumentiert, kontinuierlich, Lebenszyklusansatz? |
| 6 | Datensatz-Governance | Art. 10 KI-VO | Training/Validierung/Test — Qualitätskriterien? |
| 7 | Technische Dokumentation | Art. 11 + Anhang IV KI-VO | Anhang IV vollständig? |
| 8 | Logging-Anforderungen | Art. 12 KI-VO | Automatische Aufzeichnung tätigkeitsspezifisch? |
| 9 | Transparenz | Art. 13 KI-VO | Benutzerhandbuch vorhanden? |
| 10 | Menschliche Aufsicht | Art. 14 KI-VO | Eingriffsmöglichkeit technisch implementiert? |
| 11 | Robustheit / Cybersicherheit | Art. 15 KI-VO | Stresstest, Fehlerresilienz, CVSS-Bewertung? |
| 12 | Konformitätsbewertungsverfahren | Art. 43 KI-VO | Interne Kontrolle (Anhang VI) oder Benannte Stelle (Anhang VII)? |
| 13 | EU-Konformitätserklärung | Art. 47 + Anhang V KI-VO | Inhalt vollständig? |
| 14 | CE-Kennzeichnung | Art. 48 KI-VO | Korrekte Anbringung? |
| 15 | Registrierung EU-Datenbank | Art. 49 KI-VO | Eintragung erfolgt? |
## Schriftsatzbausteine
### EU-Konformitätserklärung (Musterstruktur, Art. 47 KI-VO)
```
EU-KONFORMITAETSERKLAERUNG
gemaess Art. 47 der Verordnung (EU) 2024/1689 (KI-Verordnung)
Nr.: [Erklaerungsnummer]
Datum: [Ausstellungsdatum]
1. Anbieter
Name: [Unternehmen]
Anschrift: [...]
EU-Repraesentant (falls Nicht-EU): [...]
2. Beschreibung des KI-Systems
Bezeichnung: [Systemname]
Modell-Nummer / Version: [...]
Beabsichtigter Zweck: [Funktion, Sektor]
Hochrisiko-Tatbestand Anhang III Nr. [X]: [Beschreibung]
3. Erklaerung der Konformitaet
Das oben beschriebene KI-System erfullt die Anforderungen der
Verordnung (EU) 2024/1689, insbesondere:
- Risikomanagementsystem Art. 9
- Daten-Governance Art. 10
- Technische Dokumentation Art. 11 (Anhang IV)
- Logging Art. 12
- Transparenz Art. 13
- Menschliche Aufsicht Art. 14
- Genauigkeit und Robustheit Art. 15
4. Konformitaetsbewertungsverfahren
[X] Interne Kontrolle gemaess Anhang VI
[ ] Benannte Stelle: [Name, Nummer] gemaess Anhang VII
Zertifikatsnummer (falls Benannte Stelle): [...]
5. Harmonisierte Normen und technische Spezifikationen
[ISO 42001, ISO 27001, ...]
6. Unterzeichnung
Ort, Datum: [...]
Handlungsbevollmaechtigter: [Name, Funktion, Unterschrift]
```
### Anschreiben bei NCA-Anfrage (Marktüberwachung)
```
An: [Nationale Kompetenzbehoerde / Marktaufsichtsbehoerde]
Betreff: KI-VO Hochrisiko-System [Systemname] —
Antwort auf Auskunftsverlangen vom [Datum]
I. Systemidentifikation
[Name, Version, Anhang-III-Tatbestand]
II. Konformitaetsstatus
CE-Kennzeichnung erteilt am [Datum]. EU-Konformitaets-
erklaerung liegt als Anlage bei. Technische Dokumentation
(Anhang IV) auf Anforderung bereit.
III. Risikomanagementsystem Art. 9
[Beschreibung des Lebenszyklus-Risikomanagements;
letzte Aktualisierung; verwendete Normen]
IV. Nachmarkt-Monitoring Art. 72
[Monitoring-Konzept; bisher aufgetretene Vorfaelle: keine /
meldepflichtige Vorfaelle Art. 73: gemeldet am Datum]
V. Kooperation
Wir stehen fuer weitere Auskuenfte zur Verfuegung und
benennen als Kontaktperson: [Name, E-Mail, Tel].
Anlagen:
- EU-Konformitaetserklaerung
- Technische Dokumentation Zusammenfassung
- Logging-Protokoll Auszug
Mit freundlichen Gruessen
```
## Beweislast und Darlegungslast
| Frage | Last | Norm |
|---|---|---|
| Konformität mit KI-VO | Anbieter (Rechenschaftspflicht; Dokumentation) | Art. 16 lit. a KI-VO |
| Fehlendes Qualitätsmanagementsystem | Aufsichtsbehörde (Bußgeldtatbestand) | Art. 99 KI-VO |
| Hochrisiko-Klassifikation | Behörde — aber Anbieter muss Selbsteinstufung dokumentieren | Art. 6 KI-VO |
| Robustheit / Sicherheitstest | Anbieter — Stresstest-Dokumentation erforderlich | Art. 15 KI-VO |
| Schwerwiegender Vorfall Art. 73 | Anbieter — 15-Tage-Meldepflicht | Art. 73 KI-VO |
## Fristen und Verjährung
| Pflicht | Frist | Norm |
|---|---|---|
| Meldung schwere Vorfälle | 15 Tage nach Bekanntwerden | Art. 73 KI-VO |
| Korrekturmaßnahmen bei Gefahr | Unverzüglich; Behörde unterrichten | Art. 20 KI-VO |
| Registrierung EU-Datenbank | Vor Inverkehrbringen | Art. 49 KI-VO |
| Aufbewahrung technische Dokumentation | 10 Jahre nach letztem Inverkehrbringen | Art. 18 KI-VO |
| Aufbewahrung Logs | Mindestens 6 Monate (erweiterbar) | Art. 12 KI-VO |
| Übergangsfrist Altsysteme | 2.8.2027 | Art. 113 Abs. 3 KI-VO |
## Typische Gegenargumente und Reaktion
| Einwand | Reaktion |
|---|---|
| System ist nur Hilfssystem — kein eigenständiger Entscheidungsprozess | Art. 6 Abs. 3 KI-VO: Ausnahme nur wenn tatsächlich keine eigenständige Risikowirkung; Beweislast beim Anbieter |
| DSGVO-Folgenabschätzung reicht aus | Art. 35 DSGVO und Art. 9 KI-VO sind kumulativ; verschiedene Schutzgüter |
| System noch in Entwicklung — KI-VO gilt nicht | Ab Inverkehrbringen oder Inbetriebnahme (Art. 3 Nr. 11); bei internem Einsatz Betreiberpflichten |
| Benannte Stelle zu teuer | Pflicht nur bei Biometrie (Anhang III Nr. 1) und KRITIS (Anhang III Nr. 2); für die meisten Fälle interne Kontrolle Anhang VI ausreichend |
| Kein Vorsatz — nur Fahrlässigkeit | Bußgelder Art. 99 KI-VO gelten auch fahrlässig; Bußgeld bis 15 Mio. EUR oder 3 % |
## Bußgeldrahmen Art. 99 KI-VO
| Verstoß | Bußgeld |
|---|---|
| Verbotene Praktiken Art. 5 | bis 35 Mio. EUR oder 7 % Weltjahresumsatz |
| Hochrisiko-Pflichten Art. 9–15 | bis 15 Mio. EUR oder 3 % Weltjahresumsatz |
| Falsche Auskünfte / Irreführung | bis 7,5 Mio. EUR oder 1,5 % Weltjahresumsatz |
## Streitwert und Kosten
- Konformitätsbewertung intern: Projektkosten 50.000–300.000 EUR (je Komplexität).
- Benannte Stelle (Anhang VII): 20.000–100.000 EUR für Audit und Zertifizierung.
- ISO-42001-Zertifizierung: 15.000–50.000 EUR.
- Anwaltshonorar bei KI-VO-Compliance-Projekt: Zeithonorar 200–450 EUR/h.
- RVG-Streitwert bei behördlichem Verfahren: analog Verwaltungsrecht GKG, 5.000–100.000 EUR.
## Strategische Empfehlung
| Situation | Empfehlung |
|---|---|
| Neuentwicklung Hochrisiko-System | Compliance ab Beginn einbauen (Privacy by Design, AI by Design); Technische Dokumentation parallel führen |
| Altsystem — Übergangsfrist bis 2.8.2027 | Gap-Analyse sofort; Roadmap bis 07/2027 |
| System nicht sicher Hochrisiko | Klassifikations-Analyse dokumentieren; bei Unsicherheit konservativ Hochrisiko annehmen |
| GPAI-Modell (z. B. LLM-basiert) | Gesondertes Regime Art. 51 ff. KI-VO; Systemkarten-Anforderungen beachten |
## Anschluss-Skills
- `fachanwalt-it-recht-saas-vertrag-verhandlung` — KI-SaaS-Vertrag
- `cyber-incident-response-72h` — bei KI-Sicherheitsvorfall
- `fachanwalt-it-recht-cyber-vorfall-sofortmassnahmen` — IT-Sicherheitsvorfälle
## Quellen und Updates
- KI-VO (EU) 2024/1689, in Kraft 01.08.2024; Hochrisiko-Pflichten Anhang III ab 02.08.2026.
- DSGVO Art. 35 (Datenschutz-Folgenabschätzung)
- NIS2-Richtlinie (EU) 2022/2555
- EU-KI-Office: ai-office.ec.europa.eu
- ISO/IEC 42001 (KI-Managementsystem)
- BSI KI-Leitfaden
## Aktuelle Rechtsprechung (v14.2)
- EuGH, Urt. v. 07.12.2023 — C-634/21 (SCHUFA Holding/Datenschutzbeauftragter Hessen), NJW 2024, 248 Rn. 55–78: Automatisches Scoring kann Art. 22 DSGVO unterliegen; bei KI-Systemen die in Anhang III KI-VO (Nr. 5 lit. b Kreditbewilligung) gelistet sind, bestehen parallele Pflichten nach KI-VO und DSGVO — DSFA (Art. 35 DSGVO) und FRIA (Art. 27 KI-VO) müssen kombiniert werden.
- BGH, Urt. v. 06.07.2021 — VI ZR 40/20, NJW 2021, 2726 Rn. 28: Zur Haftung bei KI-Systemen mit unzureichendem Risikomanagement; mangelhafte Risikoabschätzung begründet Haftung des Verantwortlichen nach § 280 Abs. 1 BGB iVm Art. 82 DSGVO.
- BVerwG, Urt. v. 25.09.2019 — 8 C 25.18, BVerwGE 166, 308 Rn. 38: Zur Zulässigkeit automatisierter Verwaltungsentscheidungen; Art. 22 DSGVO und Hochrisiko-KI-VO-Anforderungen (menschliche Aufsicht Art. 14) setzen Grenzen.
- VG Wiesbaden, Beschl. v. 01.12.2021 — 6 L 738/21.WI, ZD 2022, 178 Rn. 22: DSFA-Pflicht für KI-Entscheidungssysteme; parallel gilt ab 02.08.2026 die Konformitätsbewertungspflicht nach Art. 43 KI-VO für Hochrisiko-Systeme.
## Zentrale Normen (Paragrafenkette)
- Art. 3 Nr. 1, Art. 6 Abs. 2 iVm Anhang III KI-VO — Hochrisiko-KI-System
- Art. 9–15, 17–20 KI-VO — Pflichten des Anbieters (Hochrisiko)
- Art. 26 KI-VO — Pflichten des Betreibers
- Art. 43–49 KI-VO — Konformitätsbewertung; Konformitätserklärung; EU-Datenbankregistrierung
- Art. 99 KI-VO — Sanktionen bis 35 Mio. EUR oder 7 % Konzernumsatz
## Triage zu Beginn
1. Liegt ein KI-System nach Art. 3 Nr. 1 KI-VO vor?
2. Ist es in Anhang III (Hochrisiko) gelistet? (Biometrik, Infrastruktur, Bildung, Beschäftigung, Kreditbewilligung, Justiz)
3. Mandanten-Rolle: Anbieter (Art. 16 ff.) oder Betreiber (Art. 26)?
4. Zeitplan: Anwendbarkeit für diesen Hochrisiko-Bereich? (02.08.2026 oder 02.08.2027 Anhang I)
## Output-Template — KI-VO-Hochrisiko-Konformitätsbewertung
**Adressat:** Rechtsabteilung / Produktverantwortliche — Tonfall: sachlich-juristisch
```
KI-VO Hochrisiko-Konformitätsbewertung [DATUM]
System: [SYSTEMNAME]
Anbieter: [NAME] | Betreiber: [NAME]
Anhang-III-Eintrag: Nr. [X] lit. [Y] — [BEZEICHNUNG]
Anbieter-Pflichten-Status (Art. 16–20 KI-VO):
| Pflicht | Norm | Status |
|--------------------------------------|----------|------------|
| Risikomanagement Art. 9 | | |
| Daten-Governance Art. 10 | | |
| Technische Dokumentation Art. 11 | | |
| Aufzeichnungspflichten Art. 12 | | |
| Transparenz/Betreiber-Info Art. 13 | | |
| Menschliche Aufsicht Art. 14 | | |
| Genauigkeit/Robustheit Art. 15 | | |
Konformitätsbewertung (Art. 43): interne Bewertung / Drittpartei-Notifizierte Stelle
CE-Kennzeichnung (Art. 48): abgeschlossen / ausstehend
EU-Datenbankregistrierung (Art. 71): abgeschlossen / ausstehend
Anwendbarkeitsdatum: [02.08.2026 / 02.08.2027]
Sanktionsrisiko: Art. 99 KI-VO — bis 35 Mio. EUR / 7 %
```