Skip to content
Innopulse
Innopulse
Consulting
Navigate
Get in touch
Contact
info@innopulse.io+41 79 508 28 06
Gotthardstrasse 30, 6300 Zug
EU AI Act

EU AI Act Artikel 9: Risikomanagementsystem für High-Risk-KI

Jedes Hochrisiko-KI-System braucht ein Risikomanagementsystem nach Artikel 9. Iterativer Prozess, Dokumentationspflichten, Integration mit ISO/IEC 23894.

Leutrim Miftaraj
Leutrim Miftaraj
Founder & CEO
·5 min read
In this article
  1. Worum es geht: Kontext und Anwendungsbereich
  2. Regulatorischer Rahmen und zeitliche Staffelung
  3. Die konkreten Anforderungen im Detail
  4. Implementierung in der Praxis
  5. Typische Fehler und wie Sie sie vermeiden
  6. Der DACH-Kontext und regionale Unterschiede
  7. Nächste Schritte und konkrete Empfehlungen

Artikel 9 fordert einen dokumentierten, iterativen Risikomanagementprozess für jedes Hochrisiko-KI-System. Er orientiert sich an klassischem Risk-Management (ISO 31000, ISO/IEC 23894), verlangt aber KI-spezifische Ergänzungen: foreseeable misuse, residual risk, testing in realistic conditions.

Dieser Leitfaden erklärt in sieben Abschnitten das regulatorische, technische und operative Bild rund um Risikomanagementsystem nach Artikel 9 EU AI Act: was die Anforderungen konkret sind, wer wann betroffen ist, wie Sie implementieren — und was typische Fehler sind, die DACH-Unternehmen machen.

Wir schreiben aus Implementation-Erfahrung, nicht aus theoretischer Distanz. Innopulse Consulting berät Schweizer und DACH-Unternehmen in EU AI Act und Softwareengineering, und wir betreiben eigene SaaS-Produkte unter denselben Vorgaben, die wir unseren Kunden empfehlen.

Worum es geht: Kontext und Anwendungsbereich

Artikel 9 fordert einen dokumentierten, iterativen Risikomanagementprozess für jedes Hochrisiko-KI-System. Er orientiert sich an klassischem Risk-Management (ISO 31000, ISO/IEC 23894), verlangt aber KI-spezifische Ergänzungen: foreseeable misuse, residual risk, testing in realistic conditions. Die praktische Frage ist: Wen trifft das konkret, und ab wann? Im Bereich Risikomanagementsystem nach Artikel 9 EU AI Act ist die Antwort selten binär — es gibt einen Anwendungsbereich, in dem die vollen Anforderungen greifen, und Grenzfälle, die Einzelfallprüfung brauchen.

Die folgenden Punkte umreissen den harten Kern dessen, was zu wissen ist:

- Risikoidentifikation für bekannte und vernünftig vorhersehbare Risiken
- Risikobewertung in vorgesehener und foreseeable-misuse-Konfiguration
- Testprotokolle vor und während des Marktzugangs
- ISO/IEC 23894:2023 als harmonisierter Standard

Was davon für Ihr Unternehmen kritisch ist, hängt von Grösse, Branche und Kundenstruktur ab. Die folgenden Abschnitte gehen in die Details — wer schnell entscheiden muss, kann zum Abschluss mit den konkreten nächsten Schritten springen.

Regulatorischer Rahmen und zeitliche Staffelung

Der EU AI Act trat am 1. August 2024 in Kraft, aber die Anwendbarkeit ist gestaffelt. Artikel 5 (verbotene Praktiken) gilt seit dem 2. Februar 2025. General-Purpose AI-Regeln greifen seit dem 2. August 2025. Die Hauptregulierung für Hochrisiko-KI-Systeme tritt am 2. August 2026 in Kraft. Für bestehende Hochrisiko-Systeme existiert eine Übergangsfrist bis 2. August 2027.

Die relevanten Artikel müssen bis zum Enforcement-Datum 2026 implementiert sein. Wer heute startet, hat noch knapp ein Jahr — das klingt viel, ist aber bei vollständiger Konformitätsbewertung, Dokumentation und Quality Management System knapp bemessen. Die Aufsichtsbehörden (in Deutschland BNetzA, in der EU das AI Office) beginnen ab 2026 mit aktiver Marktüberwachung. Bussgelder bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes machen das Risiko materiell, nicht symbolisch.

Die konkreten Anforderungen im Detail

Die folgenden Punkte sind der operative Kern von Risikomanagementsystem nach Artikel 9 EU AI Act — das, was tatsächlich in Prozessen, Verträgen und Systemen abgebildet sein muss. Jeder Punkt hat Implementierungskonsequenzen, die über reine Compliance hinausgehen und die Geschäftspraxis formen.

  • Risikoidentifikation für bekannte und vernünftig vorhersehbare Risiken
  • Risikobewertung in vorgesehener und foreseeable-misuse-Konfiguration
  • Testprotokolle vor und während des Marktzugangs
  • ISO/IEC 23894:2023 als harmonisierter Standard
  • Integration mit ISO 31000 Enterprise Risk Management möglich
  • Iterative Updates über gesamten Lebenszyklus

Diese Liste ist nicht abschliessend, aber sie deckt etwa 80% der Fälle ab, die in der Praxis auftauchen. Die restlichen 20% sind Edge-Cases und Branchenspezifika, die Einzelberatung erfordern.

Implementierung in der Praxis

Von der Theorie zur Umsetzung: Risikomanagementsystem nach Artikel 9 EU AI Act erfordert meist mehrere parallele Workstreams. Ein typischer Projektplan sieht drei Phasen:

  1. Inventarisierung (2-4 Wochen): Ist-Zustand erfassen, betroffene Systeme und Prozesse mappen, Stakeholder identifizieren, Gap-Analyse gegen Anforderungen.
  2. Design (4-6 Wochen): Zielzustand definieren, Policies ausformulieren, technische Massnahmen spezifizieren, Rollen und Verantwortlichkeiten zuweisen.
  3. Umsetzung und Betrieb (8-12 Wochen): Implementierung, Testing, Dokumentation, Schulung, Übergang in den Regelbetrieb mit Monitoring und Review-Zyklen.

Die häufigste Falle ist, in Phase 3 zu springen, ohne 1 und 2 sauber abzuschliessen. Die Folge sind inkonsistente Implementierungen, technische Schulden und in der Review sichtbare Compliance-Lücken. Die Investition in die ersten beiden Phasen zahlt sich typischerweise dreifach aus.

Typische Fehler und wie Sie sie vermeiden

Aus Beratungs- und Auditerfahrungen haben sich fünf Fehler als besonders verbreitet herauskristallisiert:

  • Anwendungsbereich unterschätzen — viele glauben fälschlich, der AI Act gelte nur für KI-Anbieter, betrifft aber auch Betreiber (Deployer)
  • Trainingsdaten-Dokumentation vernachlässigen — Artikel 10 verlangt Transparenz über Herkunft und Qualität
  • Human-Oversight-Mechanismen symbolisch umsetzen — Aufsichtsbehörden erwarten echte Interventionsfähigkeit
  • Konformitätsbewertung unterschätzen — bei Modul H1 mit Benannter Stelle dauert das 6+ Monate
  • Verzicht auf ISO/IEC 23894 als Orientierung — der Standard ist harmonisiert und reduziert Dokumentations-Aufwand

Die gute Nachricht: alle fünf sind systematisch vermeidbar. Wer in der Design-Phase diese Punkte explizit adressiert, hat die häufigsten Stolperfallen bereits eliminiert.

Der DACH-Kontext und regionale Unterschiede

In der Schweiz, Deutschland und Österreich gelten teilweise unterschiedliche Regeln und Marktrealitäten. Für Risikomanagementsystem nach Artikel 9 EU AI Act bedeutet das konkret:

  • Schweiz: Ausserhalb EU, aber oft über Artikel 2 oder Marktzugang indirekt betroffen. Schweizer Alleinstellung ist selten sinnvoll — die meisten Compliance-Frameworks laufen parallel zu EU-Regimes.
  • Deutschland: Strengste Umsetzung der EU-Regeln, aktive Aufsichtsbehörden (BfDI, BayLDA, LDI), höchstes Abmahnrisiko für Consumer-Produkte.
  • Österreich: Enger an EU-Standards, Aufsicht ist weniger proaktiv als DE, Datenschutzbehörde Österreich ist pragmatisch aber streng in Enforcement.

Wer in allen drei Märkten aktiv ist, baut sinnvollerweise ein Maximum-Compliance-Regime, das alle Anforderungen gleichzeitig abdeckt. Kleinere Unternehmen können mit Swiss-First oder Germany-First starten und dann regional ausrollen.

Nächste Schritte und konkrete Empfehlungen

Wer mit Risikomanagementsystem nach Artikel 9 EU AI Act beginnen will, hat einen klaren nächsten Schritt: eine strukturierte Gap-Analyse zwischen Ist- und Soll-Zustand. Typischer Aufwand: 2-4 Wochen bei einem Team von 2-3 Personen, inklusive Stakeholder-Interviews und Dokumenten-Review.

Drei konkrete Hebel für die kommenden 30 Tage:

1. Inventar erstellen: Welche Systeme, Prozesse, Datenflüsse sind im Scope? Wer ist verantwortlich? Wo liegen die grössten Unsicherheiten?
2. Policy-Framework skizzieren: Welche Policies existieren schon, welche fehlen? Nicht sofort ausformulieren — erst die Topologie.
3. Kritischen Pfad identifizieren: Welche drei Schritte reduzieren am meisten Risiko und können in den nächsten 60 Tagen umgesetzt werden?

Innopulse Consulting unterstützt DACH-Unternehmen bei genau diesen Themen — von Gap-Analyse über Policy-Entwicklung bis zur technischen Implementierung. Wer eine zweite Meinung oder Implementation-Support braucht, kann uns unter info@innopulse.io erreichen oder direkt einen Termin anfragen. Die ersten 30 Minuten sind kostenlos — danach arbeiten wir auf klaren, messbaren Deliverables.

About the author
Leutrim Miftaraj
Leutrim Miftaraj
Founder & CEO · Innopulse Consulting

Founder and principal engineer of Innopulse Consulting. MSc Innovation Management (FFHS). Author of "Identity Over Discipline".

Topics
eu ai act artikel 9risikomanagement kiiso 23894ai risk management
Keep reading

Related insights.

EU AI Act

High-risk AI systems: Operator and provider obligations

If your AI system is classified as high-risk, these are the concrete Article 9–15 obligations you must meet — with implementation checklists.

Leutrim·8 min
EU AI Act

The EU AI Act in 2026: A complete guide for SMEs

A practical, SME-focused guide to the EU AI Act as it enters full enforcement in August 2026. Risk classification, Article 4, penalties, timelines.

Leutrim·8 min
EU AI Act

EU AI Act Artikel 5: Verbotene KI-Praktiken im Detail

Artikel 5 verbietet acht KI-Praktiken absolut. Unterbewusste Manipulation, Social Scoring, biometrische Echtzeitüberwachung — was jede Praxis konkret ausschliesst.

Leutrim·5 min
Working on something similar?

Let's talk.

If this article maps to a problem you're actively working on, send us a short description — we'll respond with a practical next step.

Get in touch