EU-KI-Gesetz Artikel 10: Daten-Governance für Hochrisiko-KI-Systeme
Artikel 10 des EU-KI-Gesetzes legt die Daten-Governance-Anforderungen für Hochrisiko-KI-Systeme fest. Es handelt sich um die am häufigsten zitierte Bestimmung bei frühen Durchsetzungsmaßnahmen im Rahmen von Anhang III, da Datenqualität und Repräsentativität durch Dokumentation nachweisbar sind. Artikel 10 gilt ab dem 2. August 2026 und erfordert einen erheblichen Dokumentationsaufwand für jede SaaS-Lösung gemäß Anhang III.
Kernanforderungen des Artikels 10
Artikel 10 Absatz 2 verlangt, dass Trainings-, Validierungs- und Testdatensätze Praktiken zur Daten-Governance und zum Datenmanagement unterliegen. Diese Praktiken müssen folgende Aspekte abdecken: Gestaltungsentscheidungen und Annahmen, Datenerhebungsprozesse, Datenaufbereitungsmaßnahmen (Annotation, Kennzeichnung, Bereinigung, Anreicherung, Aggregation), Bias-Prüfung, Ermittlung von Datenlücken oder -mängeln sowie die Formulierung von Abhilfemaßnahmen. Artikel 10 Absatz 3 verlangt, dass Datensätze relevant, hinreichend repräsentativ, fehlerfrei und im Hinblick auf den bestimmungsgemäßen Zweck vollständig sind.
Das Repräsentativitätserfordernis
Artikel 10 Absatz 3 verlangt, dass Datensätze hinreichend repräsentativ sind. Für SaaS-Produkte, die in der EU vertrieben werden, bedeutet dies in der Regel: demografische Repräsentation der EU-Bevölkerung bei Systemen, die natürliche Personen betreffen (Alter, Geschlecht, geografische Herkunft, Sprache), domänenspezifische Repräsentation für den jeweiligen Anwendungsfall sowie eine ausgewogene Berücksichtigung verschiedener Untergruppen, die wahrscheinlich mit dem System interagieren. Der genaue Maßstab hängt vom Einzelfall ab – bei Anwendungen mit höherem Risiko ist eine höhere Repräsentativität erforderlich.
Bias-Prüfung und Abhilfemaßnahmen
Artikel 10 Absatz 2 Buchstabe f verlangt die Prüfung möglicher Verzerrungen (Bias), die sich voraussichtlich auf die Gesundheit, die Sicherheit oder die Grundrechte natürlicher Personen auswirken, einschließlich Verzerrungen, die künftige Verarbeitungsvorgänge verstärken. Praktische Bias-Tests umfassen: demografische Leistungsaufschlüsselungen (Genauigkeit, False-Positive-Rate, False-Negative-Rate je geschütztem Merkmal), Kausalanalyse identifizierter Verzerrungen sowie dokumentierte Abhilfemaßnahmen. Die Tiefe der Bias-Prüfung richtet sich nach den Risiken des jeweiligen Anwendungsfalls.
Besondere Kategorien personenbezogener Daten
Artikel 10 Absatz 5 gestattet die Verarbeitung besonderer Kategorien personenbezogener Daten (Rasse, ethnische Herkunft, politische Meinungen usw. gemäß Artikel 9 DSGVO) zur Überwachung und Korrektur von Verzerrungen – jedoch nur im unbedingt erforderlichen Umfang. Das bedeutet, dass demografische Daten eigens zum Zweck von Bias-Tests erhoben werden dürfen, ohne dass eine gesonderte Einwilligung nach Artikel 9 DSGVO erforderlich ist, sofern die Erforderlichkeit dokumentiert wird, angemessene Sicherheitsmaßnahmen getroffen werden und die Daten nach Abschluss des Bias-Tests gelöscht werden.
Praktische Compliance für SaaS
Erstellen Sie das Dokumentationspaket gemäß Artikel 10 als Teil der übergreifenden technischen Dokumentation nach Artikel 11. Erforderliche Bestandteile: Datensatzdokumentation (Quelle, Lizenz, Umfang, Zusammensetzung), Datenaufbereitungsverfahren, Bias-Test-Methodik und -Ergebnisse, Repräsentativitätsanalyse sowie Identifizierung von Lücken und entsprechende Abhilfemaßnahmen. Bei Systemen mit kontinuierlichem Lernen ist zusätzlich eine Prozessdokumentation vorzulegen, aus der hervorgeht, wie die Anforderungen des Artikels 10 bei der Weiterentwicklung der Trainingsdaten eingehalten werden. Für Systeme gemäß Anhang III empfiehlt sich die Einbindung eines Compliance-Beraters, da die Bias-Test-Methodik sowohl technisches als auch rechtliches Fachwissen erfordert.
Frequently asked questions
Wann tritt Artikel 10 in Kraft?
Am 2. August 2026 für Hochrisiko-KI-Systeme.
Gilt Artikel 10 auch für Nicht-Hochrisiko-KI?
Nur als empfohlene Praxis – Artikel 10 ist für Hochrisiko-KI gemäß Kapitel III verbindlich. Systeme, die kein hohes Risiko darstellen, profitieren von der Anwendung dieser Grundsätze, sind jedoch rechtlich nicht dazu verpflichtet.
Darf ich demografische Daten für Bias-Tests erheben?
Ja – Artikel 10 Absatz 5 gestattet die Verarbeitung besonderer Kategorien personenbezogener Daten eigens zur Überwachung und Korrektur von Verzerrungen, soweit dies unbedingt erforderlich ist. Die Erforderlichkeit ist zu dokumentieren und es sind angemessene Sicherheitsmaßnahmen zu treffen.
Welche Sanktionen drohen bei Verstößen gegen Artikel 10?
Bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes gemäß Artikel 99 Absatz 4 bei Nichteinhaltung der Vorschriften für Hochrisiko-Systeme.
Schreibt Artikel 10 externe Prüfungen vor?
Nicht unmittelbar. Artikel 10 legt die Anforderungen fest; deren Einhaltung wird im Rahmen der Konformitätsbewertung nach Artikel 43 überprüft (intern für die meisten Kategorien gemäß Anhang III, extern durch eine notifizierte Stelle für biometrische Systeme).
Sources
Last updated: 2026-05-28