---

II. Anhänge

Es folgt eine Übersicht der Anlagen („Anhänge“) der AI Act (Verordnung (EU) 2024/1689). Die Anhänge (I–XIII) sind ein zentraler Bestandteil des Gesetzes, weil sie die technischen Details, Listen und Spezifikationen enthalten, auf die sich die Artikel beziehen.

Man unterscheidet:

• Teil I (Haupttext, Kapitel I–XIII): Regelt Prinzipien, Pflichten, Verbote.
• Teil II (Anhänge I–XIII): Enthält die praktisch-technischen Details.

II. Anhänge des AI Acts (Überblick und Beschreibung)

Anhang I – Liste der Harmonisierungsvorschriften der Union

• Enthält die Liste der bestehenden EU-Rechtsakte, in die KI eingebettet ist.

• Beispiele:

  • Maschinenverordnung,
  • Medizinprodukte-Verordnung,
  • Spielzeugrichtlinie,
  • Aufzugsrichtlinie.

• Bedeutung: Wenn ein KI-System Bestandteil eines Produkts ist, das unter diese Gesetze fällt, wird es automatisch als Hochrisiko-KI eingestuft (vgl. Art. 6).

Anhang II – Liste relevanter Straftaten

• Bezieht sich auf Art. 5 (Verbotene KI-Praktiken).

• Listet Straftaten auf, bei deren Bekämpfung bestimmte biometrische Systeme in Ausnahmefällen erlaubt sein können (z. B. Terrorismus, Kinderhandel).

• Beispielhafte Kategorien:

  • Terrorismus,
  • Menschenhandel,
  • Sexualdelikte gegen Kinder,
  • organisierte Kriminalität.

Anhang III – Hochrisiko-KI-Systeme (Art. 6 Abs. 2)

• Zentrale Liste aller Anwendungsfälle, die als hochriskant gelten.

• Bereiche:

  1. Biometrische Identifikation und Kategorisierung.
  2. Kritische Infrastrukturen (Strom, Verkehr, Wasser).
  3. Bildung und Berufsbildung (Zugang zu Prüfungen, Bewertung).
  4. Beschäftigung & Personalmanagement (Recruiting, Leistungsüberwachung).
  5. Zugang zu wesentlichen privaten/öffentlichen Dienstleistungen (z. B. Kreditscoring).
  6. Strafverfolgung (Beweisanalyse, Risikoanalyse).
  7. Migration, Asyl, Grenzkontrolle.
  8. Justiz & demokratische Prozesse (Entscheidungshilfen für Richter).

• Diese Liste ist dynamisch: Die Kommission kann per delegiertem Rechtsakt Änderungen vornehmen (Art. 7).

Anhang IV – Technische Dokumentation (Art. 11)

• Legt fest, was die technische Dokumentation enthalten muss, z. B.:

  • Beschreibung des Systems (Architektur, Algorithmen),
  • Trainings-, Validierungs- und Testdaten,
  • Risikomanagementverfahren,
  • Sicherheitsmaßnahmen,
  • menschliche Aufsicht.

• Diese Unterlagen sind Pflicht für Anbieter und Grundlage der Konformitätsbewertung.

Anhang V – EU-Konformitätserklärung

• Enthält ein Musterformular, das Anbieter ausfüllen müssen, um zu bestätigen, dass ihr Hochrisiko-KI-System den Anforderungen entspricht.

• Muss Angaben enthalten zu:

  • Anbieter,
  • System,
  • angewandte Normen,
  • benannte Stellen,
  • Konformitätsverfahren.

Anhang VI – Verfahren auf Grundlage der internen Kontrolle

• Beschreibt das Verfahren, bei dem ein Anbieter selbst prüfen darf, ob sein System konform ist.

• Gilt für bestimmte Fälle, in denen keine externe Benannte Stelle notwendig ist.

• Enthält Schritte wie:

  • interne Risikoanalyse,
  • Dokumentation,
  • Konformitätserklärung.

Anhang VII – Konformitätsbewertung durch benannte Stellen

• Enthält die detaillierten Verfahren, wenn ein externes Audit durch eine Benannte Stelle notwendig ist.

• Schritte:

  • Prüfung der technischen Dokumentation,
  • ggf. Tests und Inspektionen,
  • Ausstellung einer EU-Konformitätsbescheinigung.

Anhang VIII – Informationen für die Registrierung hochriskanter KI-Systeme (Art. 49, 71)

• Legt fest, welche Daten Anbieter in die EU-Datenbank eintragen müssen, u. a.:

  • Name & Adresse des Anbieters,
  • Name des Systems,
  • vorgesehener Zweck,
  • Konformitätsbewertungsstellen,
  • CE-Kennzeichnung.

Anhang IX – Informationen für Registrierung & Tests unter realen Bedingungen (Art. 60)

• Regelt zusätzliche Anforderungen für Systeme, die im Rahmen von Innovationstests / Sandkästen unter realen Bedingungen laufen.

• Erforderliche Angaben:

  • Testumgebung,
  • Zielsetzung,
  • Dauer,
  • Sicherheitsvorkehrungen.

Anhang X – IT-Großsysteme der Union (Justiz & Inneres)

• Bezieht sich auf Art. 83–84 (spezielle Vorschriften für Polizei, Justiz, Migration).

• Listet die großen europäischen IT-Systeme auf, z. B.:

  • SIS (Schengener Informationssystem),
  • VIS (Visa-Informationssystem),
  • Eurodac (Asyl-Datenbank),
  • EES (Entry/Exit-System).

• Diese Systeme sind hochsensibel und fallen unter besondere Aufsichts- und Transparenzpflichten.

Anhang XI – Technische Dokumentation für GPAI (Art. 53)

• Enthält die spezifischen Anforderungen an die Dokumentation von General Purpose AI (GPAI).

• Angaben zu:

  • Modellarchitektur,
  • Trainingsmethodik,
  • Datensätze (soweit möglich),
  • Evaluierungen & Benchmarks.

Anhang XII – Transparenzinformationen für GPAI (Art. 53)

• Listet auf, welche Informationen Anbieter von GPAI-Modellen veröffentlichen müssen.

• Dazu gehören:

  • Nutzung urheberrechtlich geschützter Werke,
  • Energieverbrauch beim Training,
  • bekannte Einschränkungen & Risiken.

Anhang XIII – Kriterien für die Einstufung systemischer GPAI-Modelle (Art. 51)

• Enthält die technischen Kriterien, nach denen ein GPAI-Modell als „systemisch riskant“ gilt.

• Faktoren:

  • Größe und Trainingsaufwand (z. B. FLOPs-Schwellenwerte),
  • Reichweite und Verbreitung,
  • Fähigkeit zur breiten Anwendung,
  • Missbrauchspotenzial.

• Diese Einstufung entscheidet, ob ein Modell den strengen Pflichten des Art. 55 unterliegt.

Bedeutung der Anhänge

• Die Anhänge sind der praktisch-technische Kern des AI Acts.

• Sie legen fest:

  • Welche Systeme hochriskant sind (Anhang III),
  • Welche Dokumentation nötig ist (Anhänge IV, XI),
  • Wie Konformitätsprüfungen ablaufen (Anhänge VI–VII),
  • Welche Informationen transparent gemacht werden müssen (Anhänge VIII, XII).

• Dadurch wird die Verordnung operationalisierbar und nicht nur ein „Rahmengesetz“.

Kurz-Zusammenfassung

Anhänge I–XIII regeln u. a.:

• Anhang I–II: Verknüpfung mit bestehenden EU-Rechtsakten & Straftatenliste.
• Anhang III: Liste der Hochrisiko-Anwendungen.
• Anhang IV–VII: Dokumentations- und Konformitätsverfahren.
• Anhang VIII–IX: Registrierungspflichten in der EU-Datenbank & Sandkastentests.
• Anhang X: Liste der EU-IT-Großsysteme (Sicherheit/Justiz).
• Anhang XI–XIII: Dokumentation & Transparenzpflichten für GPAI + Kriterien für systemisches Risiko.

Fazit: Die Anhänge sind die „Checklisten“ des AI Acts – sie übersetzen die allgemeinen Regeln der Kapitel in konkrete Anforderungen.

---