Die Europäische Kommission hat Entwürfe für Leitlinien und ein Meldeformular zur Meldung schwerwiegender Vorfälle durch Hochrisiko-KI-Systeme veröffentlicht. Diese Dokumente, die bis zum 7. November 2025 zur öffentlichen Konsultation stehen, geben Unternehmen Hinweise, wie eine der zentralen Compliance-Anforderungen des Gesetzes in der Praxis umzusetzen ist.
Warum das wichtig ist: Die Ziele hinter Artikel 73
Die in Artikel 73 der KI-Verordnung verankerte Pflicht zur Meldung schwerwiegender Vorfälle ist weit mehr als eine bürokratische Übung. Sie bildet das Herzstück des Post-Market-Surveillance-Systems der EU für künstliche Intelligenz. Die Leitlinien der Kommission definieren vier klare Ziele, die mit dieser Verpflichtung verfolgt werden:
- Ein Frühwarnsystem schaffen: Meldungen aus der gesamten EU sollen es den Marktüberwachungsbehörden ermöglichen, systematische Risiken, schädliche Muster oder neu auftretende Gefahren von KI-Systemen frühzeitig zu erkennen und proaktiv zu handeln.
- Rechenschaftspflicht etablieren: Die Meldepflicht schafft eine klare Verantwortung für Anbieter. Sie stellt sicher, dass diejenigen, die KI-Systeme entwickeln und in Verkehr bringen, für deren Sicherheit und ordnungsgemäße Funktion zur Rechenschaft gezogen werden können.
- Schnelle Reaktionen ermöglichen: Durch die strengen Meldefristen können die Behörden zeitnah Korrekturmaßnahmen einleiten, um potenziellen Schaden für Bürger, Infrastrukturen oder die Umwelt zu begrenzen.
- Öffentliches Vertrauen aufbauen: Transparenz ist der Schlüssel zum Vertrauen. Ein robustes Melde- und Überwachungssystem soll das Vertrauen der Öffentlichkeit in KI-Technologien stärken, indem es zeigt, dass ein wirksamer Schutzmechanismus etabliert ist.
Darüber hinaus strebt die EU eine Angleichung an internationale Initiativen wie den AI Incidents Monitor der OECD an, um einen global kohärenten Ansatz zur KI-Sicherheit zu fördern.
Was genau ist ein „schwerwiegender Vorfall“? Die Definitionen im Detail
Bisher war der Begriff „schwerwiegender Vorfall“ im Gesetzestext abstrakt. Die neuen Leitlinien leisten hier entscheidende Interpretationsarbeit und füllen die Definition mit Leben. Ein meldepflichtiger Vorfall liegt vor, wenn eine Fehlfunktion eines KI-Systems direkt oder indirekt zu einem der folgenden vier Ergebnisse führt:
Tod oder schwerer Gesundheitsschaden: Die Leitlinien konkretisieren „schweren Gesundheitsschaden“ als lebensbedrohliche Erkrankungen, dauerhafte oder vorübergehende Beeinträchtigungen von Körperfunktionen, Zustände, die einen Krankenhausaufenthalt erfordern oder verlängern, oder die Notwendigkeit medizinischer Eingriffe zur Abwendung solcher Folgen.
Schwerwiegende und unumkehrbare Störung kritischer Infrastrukturen: Hier liefert die Guidance eine zweistufige Definition. Eine Störung ist „schwerwiegend“, wenn sie eine unmittelbare Gefahr für das Leben oder die physische Sicherheit von Personen darstellt. Sie gilt als „unumkehrbar“, wenn beispielsweise physische Infrastruktur neu aufgebaut werden muss, wesentliche Daten (wie Patientenakten) nicht wiederhergestellt werden können oder spezialisierte Ausrüstung zerstört wird, die nicht kurzfristig ersetzt werden kann.
Verletzung von Grundrechten: Dies ist einer der innovativsten, aber auch anspruchsvollsten Teile der Meldepflicht. Die Leitlinien stellen klar, dass nicht jeder Verstoß meldepflichtig ist. Es muss sich um eine Verletzung handeln, die die in der EU-Grundrechtecharta verankerten Rechte in erheblichem Maße und in großem Umfang beeinträchtigt. Diese hohe Schwelle soll eine Flut von Meldungen verhindern. Als Beispiele werden genannt:
- Ein KI-Einstellungstool, das systematisch Kandidaten aufgrund ihrer ethnischen Herkunft oder ihres Geschlechts diskriminiert.
- Ein KI-System zur Kreditwürdigkeitsprüfung, das Personen aus bestimmten Stadtteilen pauschal ablehnt.
Schwerer Sach- oder Umweltschaden: Die „Schwere“ eines Schadens wird anhand von Faktoren wie den wirtschaftlichen Auswirkungen, der kulturellen Bedeutung des beschädigten Objekts und der Dauerhaftigkeit des Schadens bewertet. Bei Umweltschäden wird auf bestehende EU-Richtlinien verwiesen, die von irreversiblen oder langanhaltenden Schäden an Ökosystemen ausgehen.
Die Uhr tickt: Wer meldet wann und wie?
Die Hauptverantwortung liegt klar bei den Anbietern von Hochrisiko-KI-Systemen. Sobald sie Kenntnis von einem potenziell schwerwiegenden Vorfall erlangen und einen kausalen Zusammenhang mit ihrem KI-System feststellen (oder eine hohe Wahrscheinlichkeit dafür sehen), beginnen strenge Fristen zu laufen:
- Innerhalb von 2 Tagen: Bei einem „weitverbreiteten Verstoß“ oder einer schwerwiegenden und unumkehrbaren Störung kritischer Infrastrukturen.
- Innerhalb von 10 Tagen: Im Falle des Todes einer Person.
- Innerhalb von 15 Tagen: Für alle anderen schwerwiegenden Vorfälle.
Um diese Fristen zu wahren, erlaubt der AI Act ausdrücklich die Einreichung eines unvollständigen Erstberichts, dem später ein vollständiger Bericht folgt.
Nach der Meldung sind Anbieter verpflichtet, unverzüglich eine gründliche Untersuchung einzuleiten, eine Risikobewertung durchzuführen und Korrekturmaßnahmen zu ergreifen. Ein entscheidender Punkt dabei: Das betroffene KI-System darf nicht so verändert werden, dass die spätere Ursachenforschung beeinträchtigt wird, bevor die Behörden informiert wurden.
Aber auch Betreiber (Deployer) stehen in der Pflicht. Stellen sie einen schwerwiegenden Vorfall fest, müssen sie den Anbieter „unverzüglich“ informieren. Die Leitlinien interpretieren dies praxisnah als innerhalb von 24 Stunden.
Einheitlichkeit im Regulierung-Dschungel: Das Zusammenspiel mit anderen Gesetzen
Eine der größten Sorgen für Unternehmen war die Gefahr von doppelten Meldepflichten. Die Leitlinien schaffen hier dringend benötigte Klarheit. Für Hochrisiko-KI-Systeme in Sektoren, die bereits über eigene, gleichwertige Meldepflichten verfügen – wie Finanzdienstleistungen (DORA), kritische Infrastrukturen (NIS2, CER) oder Medizinprodukte (MDR) – gilt ein vereinfachtes Verfahren: Die Meldepflicht nach der KI-Verordnung greift nur bei Verstößen gegen Grundrechte. Alle anderen Vorfälle (z. B. Gesundheitsschäden) sind ausschließlich nach den jeweiligen sektorspezifischen Gesetzen zu melden. Diese Regelung verhindert redundante bürokratische Prozesse und sorgt für Rechtsklarheit.
Ein Blick in die Praxis: das neue Meldeformular
Das standardisierte Meldeformular übersetzt die Anforderungen in eine klare, strukturierte Abfrage. Es gliedert sich in fünf Hauptabschnitte:
- Administrative Informationen: Wer meldet was, wann und an welche Behörde?
- Informationen zum KI-System: Genaue Identifikation des Systems, einschließlich seiner EU-Datenbank-ID.
- Informationen zum Vorfall: Eine detaillierte Beschreibung des Geschehens, der Kausalität und der Betroffenen.
- Analyse des Anbieters: Die Ergebnisse der internen Untersuchung und die ergriffenen Maßnahmen.
- Allgemeine Kommentare: Ein rechtlicher Hinweis, dass der Bericht kein Schuldeingeständnis darstellt.
Dieses Formular soll sicherstellen, dass die Marktüberwachungsbehörden in der gesamten EU konsistente und vergleichbare Daten erhalten.
Nächste Schritte und Ausblick
Mit der Veröffentlichung dieser Entwürfe wird die KI-Verordnung greifbar. Unternehmen, die Hochrisiko-KI-Systeme entwickeln oder einsetzen, haben nun eine solide Grundlage, um ihre internen Prozesse für das Incident-Management und die Meldung vorzubereiten. Die öffentliche Konsultation bietet eine wichtige Gelegenheit für alle Interessengruppen, Feedback zu geben und sicherzustellen, dass die endgültigen Leitlinien praxisnah und wirksam sind. Die Frist für die Einreichung von Stellungnahmen ist der 7. November 2025.
