Zum Inhalt springen
EU AI Act 2024/1689 · Art. 72-74 (Post-Market) · Art. 49/71 (EU-DB) · DSGVO

EU AI Act prüffähig erfüllen – bevor die Hochrisiko-Pflichten am 02.08.2026 greifen

Avalon AI Governance bildet die Verordnung (EU) 2024/1689 durchgängig ab: KI-Registry mit Prozessverknüpfung, dreistufige Risikoklassifizierung, ein 42-Punkte-Pflichtenkatalog mit Sign-Off-Gate, Attestierungszyklen und ein Vorfalls-Register nach Art. 73. Die KI schlägt vor – Klassifizierung und Freigabe bleiben verbindlich beim Menschen, jede Entscheidung nachvollziehbar im Audit-Trail.

Demo vereinbarenAlle Module ansehen
Im Kern

Drei Gründe für Avalon AI Governance

01

Dreistufige Klassifizierung nach Art. 5, Annex III und gewichtetem Scoring über acht Dimensionen – nachvollziehbar, versioniert, prüfbar.

02

42-Punkte-Pflichtenkatalog mit Sign-Off-Gate: Freigabe erst, wenn jede aktivierte Pflicht erfüllt oder begründet als nicht anwendbar markiert ist.

03

Der echte Nachweis: EU-AI-Act-Compliance-Report, Attestierungsstatus und Obligations-Sign-Off – kein erfundenes Pseudo-Siegel.

Klassifizierungs-Kaskade

Eine Klasse bestimmt, welche Pflichten gelten

Wählen Sie einen Beispiel-Use-Case: Die dreistufige Kaskade leitet genau eine Risikoklasse ab – und aktiviert daraus den zutreffenden Ausschnitt aus dem 42-Punkte-Pflichtenkatalog.

Beispiel-Use-Case wählen
Dreistufige Kaskade
Art. 5 — Verbotsprüfung
Annex III — HochrisikoHochrisiko
Scoring — Standard 50
Abgeleitete KlasseHochrisiko
42-Punkte-Pflichtenkatalog26 / 42 Pflichten aktiv
Sign-Off-Gate · Nachweis kann erbracht werden

Beispieldaten · Illustration

Belegt: EU AI Act 2024/1689 — Art. 5 (3), Provider Art. 8 ff. (14), Deployer Art. 26 (8), Transparenz Art. 50 (7), minimal (6), übergreifend (4) = 42 Pflichten. Avalon unterstützt die Erfüllung; die Konformitätsverantwortung verbleibt beim Kunden.

Funktionsumfang

Was das AI-Governance-Modul im Detail leistet

  • KI-Registry mit Prozessverknüpfung

    Erfassen Sie jedes KI-System (Systemtyp, AI-Act-Rolle als Provider/Deployer/Distributor/Importer, Deployment, Lebenszyklus) und jeden Use Case zentral. Jeder Use Case wird mit einem oder mehreren Prozessen aus dem Prozessinventar verknüpft – daraus werden Schutzbedarf, Business Impact, betroffene Abteilungen, Asset-Abhängigkeiten und Prozesseigner als Bewertungskontext abgeleitet und als Vorschlag angeboten. Sie modellieren einmal statt in jedem Modul erneut.

  • Dreistufige Kaskaden-Klassifizierung

    Stufe 1: acht Ja/Nein-Fragen zu den verbotenen Praktiken nach Art. 5 – ein Treffer sperrt den Use Case als unannehmbares Risiko. Stufe 2: die acht Annex-III-Hochrisikobereiche. Stufe 3: gewichtetes Scoring über acht Dimensionen, Schwelle standardmäßig 50, pro Mandant konfigurierbar. Jedes Ergebnis ist versioniert und an die Methodik gebunden.

  • 42-Punkte-Pflichtenkatalog mit Sign-Off-Gate

    Die Klassifizierung aktiviert automatisch die zutreffenden Pflichten aus einem produktiv vorbefüllten Katalog von 42 (3 unannehmbar nach Art. 5, 14 Provider nach Art. 8–22, 8 Deployer nach Art. 26, 7 Transparenz nach Art. 50, 6 minimal, 4 übergreifend). Jede Pflicht trägt Status, Verantwortlichen, Fälligkeit, Nachweis und Kommentar; das Sign-Off-Gate gibt erst frei, wenn jede aktivierte Pflicht erfüllt oder begründet als nicht anwendbar markiert ist.

  • Konfigurierbarer Genehmigungs-Workflow

    Ein mehrstufiger Freigabeprozess (Entwurf → Assessment → Review → genehmigt/bedingt/abgelehnt) mit einem Best-Practice-Standardvorschlag: IT-Security-Review, Datenschutz-Review, Compliance-Review und Management-Freigabe. Stufen lassen sich pro Mandant hinzufügen, umbenennen, risikostufenabhängig aktivieren und mit Eskalationsfristen versehen. Zu jeder Entscheidung wird ein Snapshot des Use-Case-Zustands gespeichert; eine bedingte Genehmigung erzeugt automatisch Auflagen als Obligations.

  • Attestierungszyklen für kontinuierliche Überwachung

    Statt nur reaktiver Re-Assessments durchläuft jeder genehmigte Use Case periodische Attestierungszyklen (standardmäßig 6 bzw. 12 Monate), angelehnt an Art. 72 Post-Market-Monitoring und ISO 42001. Der Use-Case-Owner bestätigt oder aktualisiert je Zyklus sieben Themenbereiche: Zweck/Scope, Daten, Performance/Abweichungen, Vorfälle, Maßnahmen, Regulatorik und menschliche Aufsicht. Ergebnis „Änderung erkannt“ löst automatisch ein Re-Assessment aus, „Eskalation“ kann den Use Case suspendieren.

  • Vorfalls-Register nach Art. 73

    Ein eigenständiges AI-Vorfalls-Register erfasst KI-spezifische Vorfälle (Fehlentscheidungen, Bias, Sicherheitsvorfälle, Performance-Einbrüche) mit Schweregrad (Low/Medium/High/Critical), Meldepflicht-Tracking nach Art. 73 (Serious Incident Reporting), Verknüpfung zum betroffenen Use Case, Root-Cause-Analyse, Maßnahmentracking und Timeline-Ansicht. Die gemeldeten Vorfälle fließen als KPI in die Attestierung ein.

  • Garantiert: KI ohne Entscheidungsgewalt

    Verbindlich gesetzt: Die KI darf Risikoklasse, Freigabe und Workflow-Status nie selbst setzen. Die Einstufung eines Art.-5-Verstoßes, der Wechsel in den Status „verboten“ und jede Freigabe sind ausschließlich expliziten Nutzerentscheidungen vorbehalten. So bleibt die KI Co-Pilot, nicht Autopilot.

  • Eigenständiges Rollenmodell mit Seat-Limits

    AI Governance ist eigenständig lizenzierbar und bringt ein autarkes Sechs-Rollen-Modell mit, strikt von den ISMS-Rollen getrennt: AI Governance Administrator, AI Compliance Officer, AI Use Case Owner, AI Reviewer, AI DPO und AI Viewer – jeweils mit definierten Seat-Limits und einer granularen Berechtigungsmatrix. Owner sehen nur ihre eigenen Use Cases; die DPO-Rolle prüft DSGVO-Konformität und DSFA-Bedarf separat.

  • Konformitätsnachweis und Register-Export

    Der belegbare Nachweis besteht aus dem EU-AI-Act-Compliance-Report, dem Attestierungsstatus und dem Obligations-Sign-Off – ergänzt um den AI-Register-Export (CSV/JSON, vorgesehen für die EU-Datenbankregistrierung nach Art. 49/71) und ein Management-Summary für Vorstand und Aufsicht. Jede Änderung wird im Audit-Log protokolliert. Der vollständige PDF-Export des Compliance-Reports ist in Vorbereitung (Roadmap).

Regulatorik im Detail

Welche Rahmenwerke das AI-Governance-Modul abbildet

  • EU AI Act 2024/1689
  • Art. 72-74 (Post-Market)
  • Art. 49/71 (EU-DB)
  • DSGVO
EU AI Act (Verordnung 2024/1689)
Durchgängige Abbildung der Verordnung: dreistufige Klassifizierung nach Art. 5 (verbotene Praktiken), Annex III (Hochrisikobereiche) und Art. 50 (Transparenz); der 42-Punkte-Pflichtenkatalog deckt Provider-Pflichten (Art. 8–22, u. a. Art. 9 Risikomanagement, Art. 10 Data Governance, Art. 14 menschliche Aufsicht, Art. 15 Robustheit) und Deployer-Pflichten (Art. 26/27) ab. Die Hochrisiko-Pflichten gelten ab 02.08.2026 – Avalon adressiert genau diese Vorlaufphase. Avalon unterstützt die Erfüllung; die Konformitätsverantwortung verbleibt beim Kunden.
EU AI Act Art. 72–74 (Post-Market Monitoring)
Die kontinuierliche Überwachung nach Art. 72 wird über periodische Attestierungszyklen (6/12 Monate) und KPI-Monitoring umgesetzt; das Vorfalls-Register bildet das Serious-Incident-Reporting nach Art. 73 mit Meldepflicht-Tracking ab.
EU AI Act Art. 49/71 (EU-Datenbankregistrierung)
Der AI-Register-Export als CSV/JSON liefert die Datenbasis für die Registrierung von Hochrisiko-Systemen in der EU-Datenbank. Eine direkte EU-Datenbank-Integration ist nicht Bestandteil; der Export erfolgt als Download.
DSGVO
Eine dedizierte AI-DPO-Rolle prüft DSGVO-Konformität und DSFA-Bedarf in einer eigenen Review-Stufe; Transparenz- und Datenschutzpflichten (Art. 13/14, Art. 35 DSFA) sind als Obligations im 42-Punkte-Katalog verankert. KI-Spracheingaben werden lokal verarbeitet und die Audiodatei nach Transkription DSGVO-konform gelöscht.

Avalon unterstützt die Umsetzung dieser Rahmenwerke. Die Konformität bleibt in der Verantwortung Ihrer Organisation.

KI-Plattform

KI mit Kontrolle: vorschlagen ja, entscheiden nie

  • Human-in-the-Loop: Vorschläge werden auf Schritt-Ebene bestätigt, editiert oder verworfen; der Art.-5-Sign-Off bleibt pro Punkt gesetzlich verpflichtend.
  • Garantiert ohne Entscheidungsgewalt: Die KI kann Risikoklasse, Freigabe und Workflow-Status nicht selbst setzen – das bleibt der expliziten Nutzerentscheidung vorbehalten.
  • On-Premise & Audit-Trail: die KI läuft auf lokalen Modellen ohne Datenabfluss, jede Änderung steht im Audit-Log; Methodik-Änderungen lösen eine erneute Überprüfung der betroffenen Einstufungen aus.
Wie KI mit Kontrolle bei Avalon funktioniert

Häufige Fragen zur AI Governance

Wie klassifiziert Avalon KI-Systeme nach EU AI Act?
Über einen strukturierten Fragenkatalog werden Systeme in die Kategorien verboten / hochrisiko / begrenzt / minimal nach Art. 5 und Annex III einsortiert – mit nachvollziehbarer Begründung pro Kriterium.
Welche Pflichten leitet Avalon automatisch ab?
Je nach Risikoklasse werden Pflichten aus dem 42-Punkte-Katalog des EU AI Act zugeordnet – etwa technische Dokumentation, Data Governance, menschliche Aufsicht und Post-Market Monitoring. Den Nachweis liefern EU-AI-Act-Compliance-Report, Attestierungsstatus und das Obligations-Sign-Off-Gate.
Was ist die System-Card?
Eine standardisierte Modellbeschreibung mit Versionsstand, Datenhandling, Limitationen, KPIs und Self-Assessment – Pflichtdokumentation und interne Transparenzgrundlage zugleich.
Lässt sich Avalon auch für Nicht-EU-Regulierungen einsetzen?
Ja. Die Klassifizierungs- und Pflichtenlogik ist erweiterbar – etwa für ISO/IEC 42001 oder organisationseigene KI-Richtlinien.
Module

Welches Modul passt zu Ihrem nächsten Schritt?

Wir zeigen Ihnen Avalon entlang Ihrer aktuellen Fragestellung – konkret, in Ihrem Kontext, ohne Standard-Sales-Demo.

  • On-Premise
  • Human-in-the-Loop
  • EU-AI-Act-konform by Design
Kostenlosen Demo-Termin vereinbarenAngebot anfragen

On-Premise · Ihre Daten verlassen das Haus nicht