Tech-Doku Anhang IV, Oversight-Konzept Art. 14, Logging-Pipeline Art. 12, Konformitätserklärung Art. 47, CE-Marke Art. 48 — VESTIGIA strukturiert das Pflicht-Bündel für Anbieter und Betreiber, mit Quelle, Frist und Sanktionsrahmen.
VESTIGIA ist das Werkzeug für die Tiefe — wenn KURT festgestellt hat, dass es Hochrisiko ist, schreibt VESTIGIA die Doku. Ausgabe ist immer strukturiert, zitierbar gegenüber Marktüberwachungsbehörden, mit Bezug auf konkrete Artikel und Anhänge.
Neun Pflicht-Sektionen: Allgemeine Beschreibung, Entwicklungsprozess, Überwachung & Kontrolle, Eignung Art. 15, RMS Art. 9, Lifecycle-Änderungen, harmonisierte Normen, EU-Konformitätserklärung, Post-Market-Surveillance-Plan. VESTIGIA führt durch jede Sektion mit Pflicht-Inhalts-Liste.
„Generiere Tech-Doku-Skelett für unser Bewerber-Filter-System"Fünf Mindest-Befugnisse der Aufsichtsperson, Schulungs-Pflicht (Art. 4), Schufa-Linie (substanzielle Aufsicht statt Klick-Schleife), Vier-Augen-Prinzip bei biometrischer Fern-Identifikation. Pre-Deployment-Checkliste inkl. jährlicher Schulungs-Nachweise.
„Oversight-Konzept für Kreditscoring — was muss die Person können?"Welche Events müssen geloggt werden? Mindestaufbewahrung 6 Monate (Betreiber Art. 26 Abs. 6), Logging-Schema, Kopplung zur Post-Market-Surveillance. Mapping zu eurer bestehenden Observability-Pipeline (OpenTelemetry, ELK).
„Welche Logs verlangt der AI-Act für unser System?"EU-Konformitätserklärung mit allen acht Pflicht-Inhalten (Anhang V), Wahl des Konformitätsbewertungsverfahrens (Anhang VI vs. Anhang VII), CE-Kennzeichnung Art. 48, ggf. Identifikationsnummer der notifizierten Stelle. 10 Jahre Aufbewahrung.
„Brauchen wir eine notifizierte Stelle für unseren Use Case?"Der AI Act sortiert KI-Systeme in eine Risiko-Pyramide. Die Klasse entscheidet, welche Pflichten greifen — und ob das System überhaupt zulässig ist. VESTIGIA prüft entlang der Klassifizierungs-Schritte und dokumentiert die Begründung.
Manipulation, Ausnutzen Schutzbedürftigkeit, Social Scoring durch Behörden, Predictive Policing nur auf Profiling-Basis, Untargeted Scraping für Gesichtserkennung, Emotionserkennung am Arbeitsplatz, biometrische Kategorisierung sensibler Merkmale.
In Kraft seit 02.02.2025 · Bußgeld bis 35 Mio € / 7 %Acht Bereiche: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung & HR, wesentliche Dienste, Strafverfolgung, Migration, Justiz/demokratische Prozesse. Plus: Sicherheitsbauteil eines EU-Produkts (Art. 6 Abs. 1).
Vollständiger Pflichtenkatalog Art. 8-15 · Tech-Doku · CEChatbots als KI kennzeichnen. Synthetische Inhalte / Deepfakes als solche kenntlich machen. Emotion- oder biometrische Auswertung gegenüber den betroffenen Personen offenlegen.
Kennzeichnungs-Pflicht · keine ex-ante-KonformitätsbewertungSpam-Filter, Empfehlungs-Systeme, generische Produktivitäts-KI. Frei nutzbar. VESTIGIA empfiehlt freiwillige Codes of Conduct, insbesondere bei Bezug zu personenbezogenen Daten (DSGVO bleibt unabhängig).
Codes of Conduct empfohlen · DSGVO greift parallelVESTIGIA wendet zusätzlich den Filter Art. 6 Abs. 3 an: Selbst wenn ein System in Anhang III fällt, kann es als „nicht hochrisikohaft" eingestuft werden, wenn die KI nur Hilfsschritt ist (eng begrenzte Aufgabe, menschliche Hauptentscheidung). Die Nicht-Klassifikation muss dokumentiert werden — VESTIGIA liefert das Template.
Der AI Act greift gestaffelt. VESTIGIA prüft pro Use Case, ab welchem Stichtag welche Pflicht greift — und welche Audit-Artefakte ab dem jeweiligen Datum vollständig sein müssen.
| Datum | Was greift | Audit-Artefakt-Pflicht |
|---|---|---|
| 02.02.2025 | Verbote (Art. 5) + KI-Kompetenz (Art. 4) | Verbots-Check + jährliche Schulungs-Nachweise für Personal mit KI-Bezug |
| 02.08.2025 | GPAI (Kap. V), Sanktionen (Art. 99), Governance | Modell-Dokumentation für GPAI-Anbieter · nationale Aufsichtsbehörden |
| 02.08.2026 | Hochrisiko Anhang III (Mehrzahl) + Art. 50 | Tech-Doku Anhang IV · Oversight Art. 14 · Logging Art. 12 · Transparenz |
| 02.08.2027 | Hochrisiko nach Art. 6 Abs. 1 (Sicherheitsbauteil) | Integration in sektorale Konformitätsbewertung (MDR, MaschinenVO, …) |
Pro Trigger ein striktes JSON-Schema, das die Akte aufbaut — vom Klassifizierungs- Audit über die Anhang-IV-Tech-Doku bis zum Logging-Schema. Bei freier Anfrage Markdown mit Artikel-Zitaten.
| Trigger | Output |
|---|---|
| AUDIT_REQUEST | Klassifizierungs-Audit: Risiko-Klasse, Rolle (Provider/Deployer/GPAI), required_artifacts mit based_on, Crosswalk-Savings, Deadlines, Warnings |
| TECHDOC_ANNEX_IV | 9-Abschnitte-Skelett für Anbieter-Tech-Doku — pro Abschnitt min-Inhalt + Status (leer/Entwurf/final) + geschätzte Deckungs-Quote |
| OVERSIGHT_PLAN | Art-14-Plan in Schufa-Tiefe (C-634/21): Rubber-Stamping-Risiko, Aufsichtspersonen-Befugnisse, Anti-Rubber-Stamping-Maßnahmen, Audit-Log-Felder je Oversight-Event |
| LOG_SCHEMA | Art-12-Logging-Pipeline: Retention-Tage, Tamper-Evidence-Option (WORM / Hash-Chain / S3-Object-Lock), Felder pro Event, Privacy-by-Design-Maßnahmen |
| QUIZ / FLASHCARD / CASE | Lern-Modi mit Artikel- und Anhang-Verweis |
TECHDOC_ANNEX_IV ist VESTIGIAs Tiefen-Spezialität für Anbieter: statt einer 50-Seiten-Word-Vorlage, die niemand findet, ein strukturierter JSON-Skelett-Output mit Deckungs-Quote, der iterativ wächst. Pro Audit-Pass steigt die Quote, bis die notifizierte Stelle die Mappe akzeptiert. Komplementär zu Rasmus (One-Shot-Klassifizierung) — Rasmus liefert den Einstieg, VESTIGIA hält die Akte über die Lebensdauer des Systems.
Anbieter (Art. 3 Nr. 3) trägt die volle Pflicht. Betreiber (Art. 3 Nr. 4) hat einen eigenen, schmaleren Katalog. Modifikation = neuer Anbieter: wer ein generisches LLM auf Bewerber-Filterung finetuned, übernimmt Anbieter-Pflichten.
Volle Tech-Doku, Risikomanagement-System, Oversight-Konzept, Logging-Pipeline, Konformitätsbewertung, CE-Marke, Eintrag in EU-Datenbank Art. 49.
Anbieter-Anweisungen befolgen, Oversight-Personen benennen + schulen, Eingabedaten kontrollieren, Logs ≥ 6 Monate aufbewahren, ggf. FRIA Art. 27.
Wer ein bereits in Verkehr gebrachtes Hochrisiko-System wesentlich modifiziert oder seinen Zweck ändert, wird zum Anbieter — mit allen Pflichten. KMU mit eigenem Finetuning sind hier oft.
Was du VESTIGIA über euren KI-Stack, eure Training-Pipeline oder eure Architektur erzählst, verlässt unser Rechenzentrum in Schleswig-Holstein nicht. Inferenz auf eigener GPU im Bunker — kein OpenAI, kein Microsoft im Pfad strategischer Engineering-Daten.
Bei einer eigenen Instanz: deine Audit-Mappe, deine Tech-Doku-Drafts, deine internen Risiko-Bewertungen landen in deiner LXC, nicht in einem Multi-Tenant-Pool. AVV nach DSGVO Art. 28 inklusive.
Drei verwandte Direkt-Tools für das Drumherum eines AI-Act-Audits — DSGVO-Brücke, Triage und allgemeine Compliance-Sortierung.
VESTIGIA lässt sich mit eurem AI-System-Inventar, euren bestehenden Tech-Doku-Fragmenten und euren Logging-Pipelines beladen — Audit dann auf konkretem Stand, nicht generisch. Setup in 14 Tagen oder als €29-Schnupper-Paket.