- Published on
Art. 15 EU AI Act: Genauigkeit, Robustheit, Cybersicherheit
- Authors

- Name
- Tails Azimuth
Von allen Anforderungen an Hochrisiko-KI-Systeme ist Artikel 15 die technischste — und zugleich die, die sich am schwersten mit einem einmaligen Projektabschluss erledigen lässt. Artikel 15 der Verordnung (EU) 2024/1689 verlangt, dass Hochrisiko-KI-Systeme so konzipiert und entwickelt werden, dass sie ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen — und dieses Niveau während ihres gesamten Lebenszyklus beständig halten. Der letzte Halbsatz ist der entscheidende: Es geht nicht um einen Zustand zum Zeitpunkt der Konformitätsbewertung, sondern um eine dauerhafte Eigenschaft, die belegt werden muss, solange das System im Einsatz ist.
Was Artikel 15 tatsächlich fordert
Die Vorschrift bündelt drei Anforderungsdimensionen, die in der Praxis oft getrennt bearbeitet werden — von Data-Science-Teams, von Engineering und von der IT-Security. Der EU AI Act behandelt sie als Einheit.
Genauigkeit meint die Leistungsfähigkeit des Systems gemessen an seiner Zweckbestimmung. Artikel 15 Absatz 3 verlangt, dass die Genauigkeitsniveaus und die relevanten Genauigkeitsmetriken in der Gebrauchsanweisung angegeben werden. Das verbindet Artikel 15 direkt mit den Transparenzpflichten aus Artikel 13: Der Provider muss sich auf messbare Kennzahlen festlegen — und der Betreiber kann ihn später daran messen.
Robustheit bedeutet Widerstandsfähigkeit gegen Fehler, Störungen und Inkonsistenzen, die innerhalb des Systems oder seiner Einsatzumgebung auftreten können. Die Verordnung nennt technische Redundanz ausdrücklich als mögliche Maßnahme, etwa Backup- oder Fail-Safe-Pläne. Für Systeme, die nach dem Inverkehrbringen weiterlernen, verlangt Artikel 15 Absatz 4 zusätzlich, dass Rückkopplungsschleifen — also Konstellationen, in denen verzerrte Ausgaben als Eingaben künftiger Durchläufe dienen und sich Verzerrungen selbst verstärken — durch geeignete Maßnahmen adressiert werden.
Cybersicherheit ist im Kontext von KI mehr als klassische IT-Sicherheit. Artikel 15 Absatz 5 verlangt Widerstandsfähigkeit gegen Versuche unbefugter Dritter, die Nutzung, die Ausgaben oder die Leistung des Systems durch Ausnutzung von Schwachstellen zu verändern. Die Verordnung benennt dabei KI-spezifische Angriffsklassen ausdrücklich: Data Poisoning (Manipulation der Trainingsdaten), Model Poisoning (Manipulation vortrainierter Komponenten), Adversarial Examples bzw. Model Evasion (Eingaben, die das Modell gezielt täuschen) sowie Angriffe auf die Vertraulichkeit des Modells. Wer Artikel 15 mit einer Standard-Firewall-Checkliste beantworten will, hat die Vorschrift nicht verstanden.
Warum „angemessen" nicht „beliebig" heißt
Artikel 15 arbeitet mit dem Maßstab der Angemessenheit — ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit. Das ist kein Freibrief. Angemessen bemisst sich an der Zweckbestimmung des Systems und den Risiken, die im Risikomanagementsystem nach Artikel 9 identifiziert wurden. Ein Kreditwürdigkeits-Scoring, das über Existenzen entscheidet, hat einen anderen Angemessenheitsmaßstab als ein System mit geringerem Schadenspotenzial.
Bemerkenswert ist Absatz 2: Die Kommission soll gemeinsam mit einschlägigen Akteuren die Entwicklung von Benchmarks und Messmethoden fördern. Der Gesetzgeber weiß, dass es für viele KI-Eigenschaften noch keine etablierten Messstandards gibt — und schafft trotzdem eine Pflicht. Für Provider bedeutet das: Wer heute nachvollziehbar dokumentiert, wie er Genauigkeit und Robustheit misst, welche Metriken er gewählt hat und warum, ist in einer erheblich besseren Position als jemand, der auf endgültige harmonisierte Normen wartet. Die Begründung der eigenen Messmethodik ist Teil des Nachweises.
Die Lebenszyklus-Falle
Der praktisch anspruchsvollste Teil von Artikel 15 steht gleich im ersten Absatz: Das geforderte Niveau muss über den gesamten Lebenszyklus beständig gehalten werden. KI-Systeme sind darin anders als klassische Software. Modelle driften, wenn sich die Verteilung der Eingabedaten verschiebt. Ein Recruiting-Modell, das auf dem Arbeitsmarkt von 2024 trainiert wurde, kann 2027 systematisch danebenliegen, ohne dass eine einzige Codezeile geändert wurde.
Daraus folgt: Artikel 15 lässt sich nicht mit einem Validierungsbericht zum Release erfüllen. Er verlangt kontinuierliche Messung im Betrieb — und er greift dabei in andere Vorschriften über: Die Aufzeichnungspflichten aus Artikel 12 liefern die Datenbasis, das Post-Market-Monitoring nach Artikel 72 den organisatorischen Rahmen, und das Qualitätsmanagementsystem nach Artikel 17 die Prozesse, mit denen auf Abweichungen reagiert wird. Wer die Genauigkeit seines Systems im Feld nicht misst, kann nicht wissen, ob er Artikel 15 noch erfüllt — und schon gar nicht belegen, dass er es tut.
Was Provider und Betreiber jetzt konkret tun
Für Provider von Hochrisiko-KI ergibt sich aus Artikel 15 ein klares Arbeitsprogramm: Genauigkeitsmetriken definieren und begründen, Robustheitstests (einschließlich Degradations- und Störszenarien) in die Entwicklungs- und Release-Prozesse einbauen, KI-spezifische Bedrohungsmodellierung durchführen, die Data Poisoning, Model Evasion und Vertraulichkeitsangriffe explizit abdeckt, und die Ergebnisse so aufzeichnen, dass sie im Zeitverlauf nachvollziehbar bleiben. Die deklarierten Metriken gehören in die Gebrauchsanweisung, die Testevidenz in die technische Dokumentation nach Artikel 11.
Betreiber sind formal nicht Adressat von Artikel 15 — aber sie sind seine Nutznießer und sollten es aktiv sein. Wer ein Hochrisiko-System einkauft, sollte die deklarierten Genauigkeitsniveaus kennen, im eigenen Einsatzkontext nachhalten und Abweichungen an den Provider zurückmelden. Spätestens bei einem Vorfall wird die Frage gestellt, ob das System im zugesicherten Leistungsbereich betrieben wurde. Für Unternehmen in DE, im EU27-Rest, im UK und in der Schweiz, deren Systeme auf den EU-Markt wirken, gilt derselbe Maßstab — der Marktortbezug der Verordnung fragt nicht nach dem Firmensitz.
Mit dem Enforcement-Stichtag 02.12.2027 wird aus der Design-Anforderung eine prüfbare Pflicht. Behörden und notifizierte Stellen werden nicht fragen, ob ein System „sicher ist", sondern welche Evidenz diese Aussage trägt: Metriken, Messzeitpunkte, Testprotokolle, Reaktionen auf Drift. Mehr zu den übrigen Pflichten für Hochrisiko-Systeme findet sich auf hochrisiko-ki.com.
Fazit
Artikel 15 ist die Vorschrift, die den EU AI Act am deutlichsten von einer Dokumentationsübung unterscheidet. Genauigkeit, Robustheit und Cybersicherheit sind messbare, im Betrieb veränderliche Eigenschaften — und die Verordnung verlangt, dass sie über den gesamten Lebenszyklus gehalten und belegt werden. Organisationen, die ihre Mess- und Aufzeichnungsfähigkeit jetzt aufbauen, erfüllen damit nicht nur einen Artikel, sondern schaffen die Evidenzbasis, auf der jede weitere AI-Act-Aussage steht.
Wie sich Leistungs- und Sicherheitsnachweise systematisch und audit-ready führen lassen: Mehr zur AEGIRA Trust-Platform auf aegira.ai.