- Published on
Art. 73 EU AI Act: Schwerwiegende Vorfälle melden
- Authors

- Name
- Tails Azimuth
Ein Hochrisiko-KI-System bleibt auch nach der Konformitätsbewertung ein bewegliches Ziel. Modelle driften, Eingabedaten verschieben sich, und aus einem im Labor validierten System kann im Feldbetrieb ein Schaden entstehen, den niemand vorhergesehen hat. Für genau diesen Fall kennt der EU AI Act keine stille Nachbesserung, sondern eine harte Pflicht: Artikel 73 der Verordnung (EU) 2024/1689 verlangt, dass Provider schwerwiegende Vorfälle den Behörden melden — schnell, dokumentiert und nachvollziehbar. Dieser Beitrag ordnet die Vorschrift nüchtern ein: Was als Vorfall gilt, welche Fristen laufen und warum die eigentliche Herausforderung nicht das Melden ist, sondern der Nachweis, dass man rechtzeitig gemeldet hat.
Was als schwerwiegender Vorfall gilt
Der Begriff ist nicht dem Bauchgefühl überlassen, sondern in Artikel 3 Nr. 49 der Verordnung definiert. Ein schwerwiegender Vorfall ist ein Vorkommnis oder eine Fehlfunktion eines KI-Systems, das direkt oder indirekt zu einer von vier Folgen führt: erstens zum Tod eines Menschen oder einer schweren Schädigung seiner Gesundheit; zweitens zu einer schwerwiegenden und unumkehrbaren Störung der Verwaltung oder des Betriebs kritischer Infrastruktur; drittens zu einem Verstoß gegen Verpflichtungen aus dem Unionsrecht, die dem Schutz der Grundrechte dienen; viertens zu einer schweren Schädigung von Sachwerten oder der Umwelt.
Zwei Punkte sind dabei entscheidend. Zum einen genügt bereits die indirekte Kausalität — der Vorfall muss nicht monokausal auf das KI-System zurückgehen. Zum anderen reicht die Kategorie der Grundrechtsverletzung weit über den klassischen Personenschaden hinaus: Ein diskriminierendes Scoring-Ergebnis oder eine fehlerhafte automatisierte Entscheidung kann meldepflichtig sein, auch wenn niemand körperlich zu Schaden kommt. Damit verschiebt Art. 73 die Aufmerksamkeit weg von spektakulären Unfällen hin zu den systematischen, oft leisen Fehlwirkungen, die Hochrisiko-KI im Alltag erzeugen kann.
Wen die Meldepflicht trifft
Adressat der Pflicht ist in erster Linie der Provider — die Organisation, die das Hochrisiko-KI-System entwickelt und in Verkehr gebracht oder in Betrieb genommen hat. Sobald der Provider einen Zusammenhang zwischen seinem System und einem schwerwiegenden Vorfall feststellt oder vernünftigerweise für wahrscheinlich hält, wird die Meldepflicht ausgelöst.
Der Betreiber (Deployer) ist damit nicht aus der Verantwortung. In der Praxis bemerkt oft er den Vorfall zuerst, weil er das System auf reale Menschen anwendet. Art. 26 verpflichtet Betreiber, den Provider zu informieren, wenn sie einen schwerwiegenden Vorfall feststellen — und in bestimmten Konstellationen, in denen der Provider nicht erreichbar ist, trifft die Meldepflicht auch den Betreiber unmittelbar. Für Unternehmen, die zugekaufte Hochrisiko-Systeme einsetzen, bedeutet das: Die Meldekette muss vertraglich und organisatorisch vor dem ersten Vorfall stehen, nicht danach. Gemeldet wird an die Marktüberwachungsbehörde des Mitgliedstaats, in dem der Vorfall eingetreten ist — für Betreiber im Rechtsraum DE perspektivisch die Bundesnetzagentur, im EU27-Rest die jeweils benannte nationale Behörde.
Die Fristen — gestaffelt nach Schwere
Der Kern von Art. 73 ist ein abgestuftes Fristenregime. Die Meldung hat unverzüglich zu erfolgen, nachdem der Provider den Kausalzusammenhang festgestellt oder für hinreichend wahrscheinlich gehalten hat — in jedem Fall aber innerhalb klar benannter Höchstfristen:
- 15 Tage nach Kenntnisnahme als allgemeine Höchstfrist für schwerwiegende Vorfälle.
- 10 Tage im Fall des Todes einer Person.
- 2 Tage bei einer weitverbreiteten Verletzung (widespread infringement) oder bei einer schwerwiegenden und unumkehrbaren Störung des Betriebs kritischer Infrastruktur.
Diese Fristen sind Höchstgrenzen, keine Zielwerte — der Verordnungstext verlangt ausdrücklich das unverzügliche Handeln. Weil vollständige Aufklärung in wenigen Tagen selten gelingt, erlaubt Art. 73 die Abgabe eines zunächst unvollständigen Erstberichts, dem ein vollständiger Bericht folgt. Das ist keine Nachlässigkeitsklausel, sondern eine bewusste Konstruktion: Die Behörde soll früh informiert sein, auch wenn die Ursachenanalyse noch läuft. Nach Eingang der Meldung ergreift die Behörde die erforderlichen Maßnahmen; die Untersuchung des Vorfalls bleibt eng an die Zusammenarbeit mit dem Provider gekoppelt.
Warum das eine Frage der Nachweisbarkeit ist
Die Meldepflicht klingt nach einem Formular — und ist doch vor allem eine Anforderung an die eigene Aufzeichnungsfähigkeit. Wer innerhalb von zwei, zehn oder fünfzehn Tagen melden muss, braucht drei Dinge, die sich nicht in der Krise improvisieren lassen: die Fähigkeit, einen Vorfall überhaupt zu erkennen; die Fähigkeit, den Zeitpunkt der Kenntnisnahme belastbar zu dokumentieren; und die Fähigkeit, den Kausalzusammenhang zwischen Systemverhalten und Schaden aus den eigenen Aufzeichnungen zu rekonstruieren.
Genau hier greift Art. 73 in andere Pflichten der Verordnung. Die in Artikel 12 geforderte automatische Protokollierung (Logging) über die gesamte Lebensdauer eines Hochrisiko-Systems liefert die Datenbasis, aus der sich ein Vorfall überhaupt nachzeichnen lässt. Die Post-Market-Monitoring-Pflicht aus Artikel 72 verlangt die kontinuierliche Beobachtung des Systems im Feld — sie ist das Frühwarnsystem, das einen meldepflichtigen Vorfall erst sichtbar macht. Art. 73 ist damit der Ernstfall eines Governance-Systems, das im Normalbetrieb bereits laufen muss. Wer erst nach dem Schaden anfängt, Logs zu sammeln und Verantwortlichkeiten zu klären, hat die Frist praktisch schon verloren.
Für die Praxis heißt das: Die entscheidende Vorbereitung auf Art. 73 ist kein Meldeprozess auf dem Papier, sondern eine belastbare Evidenzkette. Erkennung, Zeitstempel und Kausalitätsnachweis müssen als nachprüfbare Spur vorliegen, bevor der erste Vorfall eintritt. Das ist der Unterschied zwischen einer Organisation, die eine Meldung fristgerecht mit Belegen untermauern kann, und einer, die unter Zeitdruck rekonstruiert, was sie längst hätte aufzeichnen müssen. Wie eng die Meldepflicht mit dem Enforcement-Instrumentarium verzahnt ist — von der Marktüberwachung bis zu den Sanktionen —, lässt sich vertiefend auf ki-bussgeld.de nachlesen.
Einordnung: ab wann und mit welchem Zeithorizont
Die Meldepflicht des Art. 73 ist Teil des Pflichtenkatalogs für Hochrisiko-Systeme und greift mit deren gestaffeltem Geltungsbeginn. Der maßgebliche Fixpunkt für die scharfe Durchsetzung des EU AI Act bleibt der 2. Dezember 2027 (Digital Omnibus). Bis dahin muss nicht nur die Behördenlandschaft arbeitsfähig sein — auch Provider und Betreiber müssen ihre Melde- und Aufzeichnungsprozesse so eingerichtet haben, dass eine fristgerechte, belegbare Meldung im Ernstfall funktioniert. Die Europäische Kommission hat zur Konkretisierung der Meldepflichten Leitlinien im Entwurf vorgelegt; Organisationen tun gut daran, deren finale Fassung zu verfolgen, statt sich allein auf den Verordnungswortlaut zu verlassen.
Der nüchterne Kern von Art. 73 lautet: Nicht die Existenz eines Meldeformulars entscheidet über Konformität, sondern die nachweisbare Fähigkeit, einen Vorfall rechtzeitig zu erkennen, zu dokumentieren und einzuordnen. Trust entsteht nicht im Moment der Meldung, sondern in der Evidenz, die ihr vorausgeht.
Mehr zur AEGIRA Trust-Platform und wie sich Melde- und Audit-Fähigkeit als durchgängige Evidenzkette abbilden lassen: aegira.ai.