Pflichten aus dem EU AI Act für KI in der öffentlichen Verwaltung, der Strafverfolgung, der Grenzkontrolle und im Justizsystem. Behandelt die Annex-III-Kategorien 5–8 sowie die verpflichtende Grundrechte-Folgenabschätzung.
Öffentlicher Sektor und der AI Act — Warum der Staat der risikobehaftetste Betreiber ist
Der EU AI Act (Verordnung (EU) 2024/1689) gilt horizontal sektorenübergreifend, doch die dichteste Konzentration verbindlicher Pflichten trifft öffentliche Stellen. Behörden, Strafverfolgungsbehörden, Justizbehörden und Grenzschutzbehörden sind sowohl die intensivsten Betreiber folgenreicher KI als auch diejenigen, deren KI-Einsatz die größten strukturellen Risiken für die Grundrechte erzeugt. Der EU AI Act trägt dieser Asymmetrie auf zwei strukturelle Weisen Rechnung.
Erstens adressieren vier der acht Hochrisiko-Kategorien aus Annex III direkt den öffentlichen Sektor — Kategorien 5 bis 8 erfassen wesentliche öffentliche Dienstleistungen, Strafverfolgung, Migration und Grenzkontrolle sowie die Justiz. Diese Kategorien sind keine Auffangtatbestände: Sie benennen konkrete KI-Anwendungen, die typischerweise in Behörden eingesetzt werden und per Definition ein einstufungsrelevantes Risiko aufweisen.
Zweitens verpflichtet Art. 27 öffentliche Stellen zu einer verpflichtenden Grundrechte-Folgenabschätzung (FRIA), bevor sie Hochrisiko-KI-Systeme in Betrieb nehmen. Für Betreiber im Privatsektor wird die FRIA nachdrücklich empfohlen; für öffentliche Stellen ist sie eine rechtliche Verpflichtung. Die Abschätzung muss die Auswirkungen des KI-Systems auf die Rechte der betroffenen Personen nach der EU-Grundrechtecharta untersuchen, einschließlich des Rechts auf Würde (Art. 1), des Schutzes personenbezogener Daten (Art. 8), des Rechts auf einen wirksamen Rechtsbehelf (Art. 47) und der Unschuldsvermutung (Art. 48).
Die Compliance-Landschaft für öffentliche Stellen wird dadurch weiter verkompliziert, dass die Pflichten aus dem AI Act auf bestehende sektorspezifische Rechtsrahmen treffen: die Richtlinie zur Strafverfolgung 2016/680, die Verordnung zum Schengener Informationssystem, die Frontex-Verordnung 2019/1896, die Datenschutz-Grundverordnung sowie die verfassungsrechtlichen Anforderungen der Europäischen Menschenrechtskonvention in der Auslegung des Europäischen Gerichtshofs für Menschenrechte. Jeder dieser Rechtsrahmen begründet eigenständige Pflichten, die parallel zu den Anforderungen des EU AI Act erfüllt werden müssen.
Hochrisiko-KI-Systeme — Kategorien 5 bis 8
Annex III, Kategorie 5 — Wesentliche öffentliche Dienstleistungen und Leistungsbewertung
Annex III, Punkt 5(b) stuft als hochriskant jedes KI-System ein, das zur Bewertung der Anspruchsberechtigung natürlicher Personen auf wesentliche öffentliche Leistungen und zur Entscheidungsfindung in diesem Zusammenhang verwendet wird. Diese Kategorie erfasst das gesamte Spektrum von KI im Sozialleistungsbereich:
- Automatisierte Bewertung von Arbeitslosenunterstützungsansprüchen: KI-Systeme, die anhand von Beschäftigungsunterlagen, Stellensuchnachweisen oder Einkommensprüfungen ermitteln, ob ein Antragsteller die Anspruchsvoraussetzungen erfüllt.
- Entscheidungen über Wohnbeihilfe und Behindertenrente: Algorithmische Werkzeuge, die Anträge auf vorrangige Vergabe von Sozialwohnungen, Behindertenrentenberechtigung oder Pflegegeld bewerten.
- KI-gestützte Betrugserkennung im Leistungsbereich: KI-Profiling-Systeme, die Risiko-Scores für mutmaßlichen Leistungsmissbrauch erstellen und damit Überprüfungen oder Zahlungsaussetzungen auslösen können.
Punkt 5(b) erfasst zudem Kreditwürdigkeits- und Versicherungs-KI in Bezug auf natürliche Personen, wobei das primäre Risiko im öffentlichen Sektor bei der Leistungs- und Diensteberechtigungsprüfung liegt. In allen Fällen greift die Einstufung, sobald das KI-System einen wesentlichen Einfluss auf den Zugang zu einer öffentlichen Leistung hat — unabhängig davon, ob die endgültige Entscheidung von einem menschlichen Beamten getroffen wird.
Annex III, Kategorie 6 — Strafverfolgung
Kategorie 6 erfasst KI, die von Strafverfolgungsbehörden in drei Bereichen eingesetzt wird:
Risikobewertung und Profiling: KI-Systeme, die die Wahrscheinlichkeit bewerten, dass eine Person eine Straftat begeht, rückfällig wird oder eine Sicherheitsbedrohung darstellt — einschließlich Rückfallprognose-Tools, die in Untersuchungshaft-Anhörungen, Bewährungsentscheidungen und Strafmaßempfehlungen Verwendung finden. Diese Systeme sind gemäß Annex III, Punkt 6(a) hochriskant.
Erkennung und Analyse im Rahmen von Ermittlungen: KI zur Erkennung von Gemütszuständen, Persönlichkeitsmerkmalen oder Täuschungsverhalten anhand von Gesichtsausdrücken, Stimme oder physiologischen Indikatoren in strafrechtlichen Ermittlungen. Art. 5(1)(f) verbietet separat KI-Systeme, die im Bereich der Strafverfolgung und Grenzkontrolle Emotionen von Personen ableiten, außer für spezifische Sicherheitszwecke, und zieht damit eine klare äußere Grenze für diesen Anwendungsfall.
Erkennung von Deepfakes und Dokumentenfälschungen: KI, die zur Erkennung manipulierter digitaler Inhalte oder zur Beurteilung der Echtheit von Dokumenten in Strafverfahren eingesetzt wird — gemäß Annex III, Punkt 6(c) als hochriskant eingestuft.
Annex III, Kategorie 7 — Migration, Asyl und Grenzkontrolle
Kategorie 7 gilt für KI, die im Bereich Migration und Grenzmanagement eingesetzt wird:
Risikobewertung an Grenzen: KI-Systeme, die das Risiko irregulärer Migration bewerten oder Bedrohungs-Scores für Personen beim Grenzübertritt erstellen — einschließlich SIS-integrierter Profiling-Tools und Frontex-Risikoanalysesystemen, die im Rahmen der Verordnung 2019/1896 betrieben werden.
Dokument- und Identitätsüberprüfung: KI-Systeme, die die Echtheit von Reisedokumenten, Visa, Aufenthaltstiteln oder Ausweisdokumenten für den Grenzübertritt oder Einwanderungszwecke beurteilen.
Bearbeitung von Asylanträgen: KI, die Asylanträge prüft, die Glaubwürdigkeit individueller Aussagen bewertet oder Antragsteller für beschleunigte Verfahren identifiziert.
Alle Systeme der Kategorie 7 müssen nicht nur auf Konformität mit dem AI Act geprüft werden, sondern auch mit der Genfer Flüchtlingskonvention (1951), Art. 18 der EU-Grundrechtecharta (Recht auf Asyl) und dem Non-Refoulement-Prinzip in der Auslegung der EMRK-Rechtsprechung — eine verfassungsrechtliche Schranke, die die FRIA nach Art. 27 ausdrücklich berücksichtigen muss.
Annex III, Kategorie 8 — Justiz und demokratische Prozesse
Kategorie 8 adressiert KI, die innerhalb des Justizsystems selbst eingesetzt wird:
KI zur Unterstützung der Rechtsprechung: Systeme, die bei der Recherche von Rechtsprechung, der Identifizierung einschlägiger Rechtsvorschriften oder der Strukturierung juristischer Argumentation für Richter, Staatsanwälte oder Gerichtsverwalter unterstützen — gemäß Annex III, Punkt 8(a) hochriskant.
Predictive-Justice-Werkzeuge: KI-Systeme, die auf der Grundlage historischer Falldaten den wahrscheinlichen Ausgang von Rechtsstreitigkeiten, Strafmaßkorridore oder richterliche Entscheidungen vorhersagen. Diese Systeme geben Anlass zu ernsten Bedenken hinsichtlich Art. 47 der EU-Grundrechtecharta in Bezug auf das Recht auf einen fairen Prozess, da ihr Einsatz in der richterlichen Entscheidungsfindung Parteien strukturell benachteiligen kann, deren Profil von historischen Normen abweicht.
Kategorie 8 verbietet KI-gestützte Justiztätigkeit nicht; sie unterwirft sie dem Hochrisiko-Compliance-Regime und verlangt von Gerichten und Justizministerien sicherzustellen, dass KI-Ausgaben stets einer substantiellen menschlichen Überprüfung unterliegen — der Richter oder Entscheidungsträger muss in der Lage sein und in der Praxis auch tatsächlich die KI-Ausgabe verwerfen, wenn sie nicht angemessen ist.
Verpflichtende Pflichten für öffentliche Stellen als Betreiber
Öffentliche Stellen, die als Betreiber von Hochrisiko-KI-Systemen im Sinne des AI Act handeln, tragen einen definierten, nicht delegierbaren Pflichtenkatalog gemäß Art. 26 und Art. 27.
Grundrechte-Folgenabschätzung (Art. 27)
Die FRIA ist die charakteristischste Pflicht für öffentliche Betreiber. Sie muss vor der Inbetriebnahme durchgeführt werden und muss folgende Aspekte behandeln: die konkreten grundrechtlichen Zwecke des Systems; die Kategorien von Personen, deren Rechte betroffen sein können; die vorhersehbaren Schadensrisiken sowie deren Eintrittswahrscheinlichkeit und Schwere; wie bestehende rechtliche Schutzmaßnahmen diesen Risiken entgegenwirken; und welche Maßnahmen zur Überwachung des Systems nach der Inbetriebnahme ergriffen werden. Die abgeschlossene FRIA muss der nationalen KI-Aufsichtsbehörde auf Anfrage vorgelegt und aktualisiert werden, wenn das System geändert oder in einem neuen Kontext eingesetzt wird.
Menschliche Aufsicht und benannte Verantwortlichkeit
Art. 26(1) verpflichtet Betreiber, die menschliche Aufsicht über Hochrisiko-KI-Systeme natürlichen Personen mit der erforderlichen Kompetenz, Befugnis und den erforderlichen Ressourcen zu übertragen, die eingreifen können. In der öffentlichen Verwaltung bedeutet dies, dass jeder automatisierte Prozess, der Personen betrifft — ob Leistungsberechtigung, Grenzrisikobewertung oder Ausgaben von Justiz-KI — einen benannten Beamten haben muss, der die Ausgabe des Systems übersteuern kann und der nicht strukturell dazu veranlasst ist, sich ihr zu beugen.
Transparenz gegenüber betroffenen Personen
Art. 13 verpflichtet Betreiber sicherzustellen, dass Personen, die KI-gestützten Entscheidungen unterliegen, klar darüber informiert werden, dass ein KI-System eingesetzt wird. In der öffentlichen Verwaltung erfordert diese Pflicht typischerweise die Aufnahme von Hinweisen zum KI-Einsatz in Bescheide, behördliche Schreiben und Anhörungsverfahren. Art. 86 schützt die Vertraulichkeit von Daten, die Aufsichtsbehörden im Rahmen der Compliance-Überwachung übermittelt werden, und eröffnet so einen Weg, sensible interne Unterlagen offenzulegen, ohne sie öffentlich exponieren zu müssen.
Protokollierung, Aufzeichnungspflichten und Störungsmeldung
Betreiber müssen Betriebsprotokolle der KI-System-Aktivitäten für einen Mindestzeitraum aufbewahren — mindestens sechs Monate für die meisten Hochrisiko-Systeme, mit verlängerter Aufbewahrungsdauer, soweit der für das jeweilige Verwaltungsverfahren geltende Rechtsrahmen dies erfordert. Schwerwiegende Störungen — Vorfälle, die zum Tod, zu ernsthaften Verletzungen, erheblichen Sachschäden oder Grundrechtsverletzungen führen — sind der zuständigen nationalen KI-Aufsichtsbehörde unverzüglich zu melden.
Verbotene Praktiken in der öffentlichen Verwaltung
Bestimmte KI-Praktiken sind nach Art. 5 des EU AI Act absolut verboten. Für Behörden sind drei Verbote von unmittelbarer operativer Relevanz.
Art. 5(1)(c) — Social Scoring durch Behörden: KI-Systeme, die Personen anhand ihres Sozialverhaltens oder ihrer Persönlichkeitsmerkmale bewerten oder einordnen, um einen Score zu erstellen, der zur Bestimmung des Zugangs zu öffentlichen Leistungen, Diensten oder rechtlicher Behandlung verwendet wird, sind verboten. Dieses Verbot richtet sich spezifisch an Behörden und zielt auf sogenannte Sozialkreditmechanismen, unabhängig davon, wie sie bezeichnet oder strukturiert sind.
Art. 5(1)(d) — Biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen: Der Einsatz von KI-gestützten Echtzeit-Fernidentifikationssystemen (Gesichtserkennung, Ganganalyse oder andere biometrische Werkzeuge) in öffentlich zugänglichen Räumen durch Strafverfolgungsbehörden ist verboten, vorbehaltlich drei enger Ausnahmen: gezielte Suche nach vermissten Kindern; Verhütung konkreter, unmittelbar bevorstehender Terrorbedrohungen; und Identifizierung von Verdächtigen bei schweren Straftaten, für die eine vorherige richterliche oder unabhängige behördliche Genehmigung eingeholt wurde. Diese Ausnahmen sind abschließend; kein allgemeines Überwachungsprogramm erfüllt ihre Voraussetzungen.
Art. 5(1)(e) — Unterschwellige und manipulative Techniken: KI-Systeme, die Techniken einsetzen, die unterhalb der Schwelle des bewussten Wahrnehmens wirken, um das Verhalten von Personen zu manipulieren, oder die Schwachstellen bestimmter Gruppen ausnutzen, sind für alle Betreiber einschließlich Behörden verboten.
Durchsetzung — Aufsichtsbehörden und Überwachungsmechanismen
Die Durchsetzungsarchitektur des AI Act im öffentlichen Sektor umfasst mehrere Ebenen zuständiger Behörden.
Nationale KI-Aufsichtsbehörden, die nach Art. 70 benannt werden, sind die primären Durchsetzungsorgane des AI Act in jedem Mitgliedstaat. In den meisten Rechtsordnungen sind sie mit bestehenden Datenschutzbehörden integriert oder eng an diese angelehnt. Sie sind befugt, Prüfungen durchzuführen, technische Dokumentation und FRIA-Ergebnisse anzufordern, Korrekturanordnungen zu erlassen und Bußgelder zu verhängen.
Bußgelder für Behörden unterliegen gemäß Art. 99(6) dem Ermessen der Mitgliedstaaten: Die Mitgliedstaaten können vorsehen, dass Behörden keinen Geldstrafen unterliegen, müssen jedoch sicherstellen, dass alternative Aufsichts- und Korrekturmechanismen — einschließlich verpflichtender Prüfungen, Veröffentlichung von Nichteinhaltungsfeststellungen und Aussetzung des KI-System-Einsatzes — verfügbar sind. Dieses Ermessen erstreckt sich nicht auf die Zulassung von Nicht-Compliance; es betrifft allein den finanziellen Sanktionsmechanismus.
Datenschutzbehörden (DSB) und der EDPB behalten parallele Zuständigkeit für die Dimensionen der Verarbeitung personenbezogener Daten durch KI im öffentlichen Sektor nach der DSGVO und der LED. Verstöße gegen DSGVO- oder LED-Pflichten im Zusammenhang mit dem Betrieb von KI-Systemen unterliegen unabhängig von der KI-Aufsichtsbehörde der Durchsetzung durch die DSB.
Der Europäische Gerichtshof für Menschenrechte bildet eine externe verfassungsrechtliche Schranke: Entscheidungen, die auf algorithmischen Prozessen beruhen — insbesondere in der Strafjustiz und im Einwanderungsbereich — müssen den Konventionsstandards für Art. 6 (faires Verfahren) und Art. 8 (Privatleben) entsprechen, wie sie in der sich weiterentwickelnden EGMR-Rechtsprechung zur automatisierten Entscheidungsfindung ausgelegt werden.
Umsetzungs-Roadmap für Behörden
Phase 1 — KI-System-Inventarisierung und -Klassifizierung (Monate 1–3)
Öffentliche Stellen müssen zunächst ein umfassendes Inventar aller derzeit genutzten oder im Beschaffungsverfahren befindlichen KI-Systeme erstellen. Jedes System ist gegen die Annex-III-Kategorien 5–8 und die Verbotsvorschriften des Art. 5 zu prüfen. Systeme, die eine Verarbeitung personenbezogener Daten beinhalten, sollten gleichzeitig auf DSGVO- und LED-Anforderungen geprüft werden. Das Ergebnis dieser Phase ist ein klassifiziertes Inventar — verboten, hochriskant, begrenzt riskant oder minimal riskant — das das Compliance-Programm steuert.
Phase 2 — Grundrechte-Folgenabschätzungen (Monate 3–6)
Für jedes identifizierte Hochrisiko-System müssen öffentliche Stellen eine FRIA nach Art. 27 beauftragen und abschließen. Dies erfordert juristischen, technischen und fachpolitischen Input: rechtliche Analyse der betroffenen Rechte; technische Dokumentation des System-Betriebs, der Trainingsdaten und bekannter Fehlerquellen; sowie eine fachpolitische Bewertung der verfügbaren Abhilfemaßnahmen. FRIAs müssen dokumentiert und für die Vorlage bei Aufsichtsbehörden bereitgehalten werden.
Phase 3 — Anbieterüberprüfung und Vergabereform (Monate 3–9)
Öffentliche Beschaffungsverfahren müssen aktualisiert werden, um von KI-Anbietern den Nachweis der EU AI Act-Konformität als Vergabebedingung zu verlangen. Betreiber müssen CE-Kennzeichnung, Konformitätserklärung, technische Dokumentation und Zusagen zur Marktüberwachung nach dem Inverkehrbringen vor dem Einsatz verifizieren. Öffentliche Stellen, die als gemeinsame Betreiber oder Mitentwickler mit Technologieunternehmen agieren, müssen die Zuordnung der Verantwortung für Konformitätsbewertungspflichten vertraglich klären.
Phase 4 — Operative Schutzmaßnahmen und Schulung des Personals (Monate 6–12)
Benannte Aufsichtsbeamte müssen für jedes Hochrisiko-KI-System identifiziert, in den Fähigkeiten und Grenzen des Systems geschult und mit Übersteuerprozeduren ausgestattet werden. Transparenzhinweise für betroffene Personen müssen verfasst und in bestehende Verwaltungsverfahren eingebettet werden. Die Protokollierungsinfrastruktur muss überprüft oder eingerichtet werden. Störungsmeldeprotokolle müssen in bestehende administrative und datenschutzrechtliche Vorfallmanagementprozesse integriert werden.
Phase 5 — Kontinuierliches Monitoring und jährliche Überprüfung
Die Compliance von Hochrisiko-KI-Systemen ist keine einmalige Zertifizierungsübung. Die Pflichten zur Marktüberwachung nach dem Inverkehrbringen erfordern von öffentlichen Stellen, die Systemleistung aktiv zu verfolgen, Veränderungen bei Genauigkeit, Verzerrung oder Verhalten zu dokumentieren und FRIAs bei wesentlichen Änderungen zu aktualisieren. Jährliche Berichte an Aufsichtsbehörden, soweit nach nationalem Recht gefordert, müssen durch die im Rahmen des Monitoring-Programms erstellte Dokumentation unterstützt werden.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja. KI-Systeme, die zur Bestimmung der Anspruchsberechtigung für öffentliche Leistungen eingesetzt werden — einschließlich Arbeitslosenunterstützung, Wohnbeihilfe, Behindertenrente und Sozialhilfe — sind ausdrücklich als hochriskant gemäß **Annex III, Punkt 5(b)** des EU AI Act eingestuft. Öffentliche Stellen, die solche Systeme betreiben, müssen den vollständigen Pflichtenkatalog für Hochrisiko-Betreiber nach **Art. 26** erfüllen und vor dem Einsatz eine **verpflichtende Grundrechte-Folgenabschätzung (FRIA)** nach **Art. 27** durchführen. Personen, die von automatisierten Anspruchsentscheidungen betroffen sind, behalten das Recht auf Erläuterung und menschliche Überprüfung.
Öffentliche Stellen, die Hochrisiko-KI-Systeme einsetzen, müssen: sicherstellen, dass das System eine CE-Kennzeichnung trägt und von einer EU-Konformitätserklärung begleitet wird; eine verpflichtende **Grundrechte-Folgenabschätzung (FRIA)** nach **Art. 27** durchführen, die erforderlichenfalls der zuständigen nationalen KI-Aufsichtsbehörde zu übermitteln ist; die Verwendungsanweisungen des Anbieters umsetzen und qualifiziertes Personal für die menschliche Aufsicht gemäß **Art. 26(1)** benennen; Betriebsprotokolle mindestens sechs Monate lang aufbewahren; betroffene Personen darüber informieren, dass im Rahmen von sie betreffenden Entscheidungen ein KI-System eingesetzt wird, wie von **Art. 13** gefordert; und den Betrieb gegebenenfalls gemäß **Art. 49(2)** in der **EU-Datenbank für Hochrisiko-KI (EUAI DB)** registrieren.
Predictive-Policing-KI — Systeme, die auf der Grundlage vergangenen Verhaltens, sozialer Merkmale oder geografischer Daten Risikobewertungen oder Profiling-Scores für Einzelpersonen erstellen — ist als hochriskant gemäß **Annex III, Punkt 6(a)** eingestuft. Die Verwendung ist nicht generell verboten, löst jedoch das vollständige Hochrisiko-Compliance-Regime aus, einschließlich verpflichtender Konformitätsbewertung, FRIA nach **Art. 27**, Pflichten zur menschlichen Aufsicht und technischer Dokumentation. Separat verbietet **Art. 5(1)(c)** KI-gestütztes Social Scoring durch Behörden für allgemeine Zwecke, die nichts mit der Strafverfolgung zu tun haben. Zudem verbietet **Art. 5(1)(d)** die biometrische Echtzeit-Fernidentifikation in öffentlich zugänglichen Räumen für Strafverfolgungszwecke, mit Ausnahme von drei eng definierten Situationen, die einer vorherigen richterlichen oder unabhängigen behördlichen Genehmigung bedürfen.
Nein, aber sie unterliegt strengen Vorschriften. KI-Systeme, die zur Sachverhaltsrecherche, zur Auslegung des anwendbaren Rechts oder zur Vorhersage richterlicher Entscheidungen eingesetzt werden, sind als hochriskant gemäß **Annex III, Punkt 8** eingestuft. Sie dürfen von Gerichten und Justizbehörden nur eingesetzt werden, wenn sie die Konformitätsbewertung bestehen, von vollständiger technischer Dokumentation begleitet werden, robuste Mechanismen zur menschlichen Aufsicht umfassen und einer FRIA nach **Art. 27** unterzogen wurden. KI-Systeme dürfen keine Urteile autonom erlassen; jedes Ausgabeergebnis muss einer substantiellen richterlichen Überprüfung unterliegen. **Art. 47 der EU-Grundrechtecharta** (Recht auf einen fairen Prozess) und die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte begründen zusätzliche verfassungsrechtliche Schranken für algorithmische Justiz.
Die Richtlinie zur Strafverfolgung (LED) 2016/680 regelt die Verarbeitung personenbezogener Daten durch zuständige Behörden zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten. Sie gilt parallel zum EU AI Act und wird durch diesen nicht verdrängt. Wenn Strafverfolgungsbehörden Hochrisiko-KI-Systeme einsetzen, die eine Verarbeitung personenbezogener Daten beinhalten (Profiling, Risikobewertung, biometrische Analyse), finden beide Rechtsrahmen gleichzeitig Anwendung. Die LED verlangt eine Rechtsgrundlage und Zweckbindung für die Datenverarbeitung; der AI Act stellt zusätzliche Anforderungen an das KI-System selbst — Daten-Governance, technische Dokumentation, Marktüberwachung nach dem Inverkehrbringen, Transparenz gegenüber betroffenen Personen. Die Einhaltung der LED erfüllt nicht die Pflichten aus dem AI Act und umgekehrt. Betreiber müssen eine Rechtsanalyse vorhalten, die die doppelte Compliance nachweist.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.