EU AI Act und autistische KI-Werkzeuge

Brüssel präzisiert in diesen Wochen, welche KI-Systeme als hochriskant gelten. Fuer Gesundheits- und Bildungs-KI ist die Frage entscheidend. Autistic Mirror liegt bewusst nicht in dieser Kategorie. Was das in der Praxis bedeutet.

Was der EU AI Act regelt

Die KI-Verordnung (Verordnung EU 2024/1689) ist seit August 2024 in Kraft und wird gestaffelt anwendbar. Verbote bestimmter Praktiken und die KI-Kompetenzpflicht (Artikel 4) gelten seit 2. Februar 2025. Die Pflichten für Allzweck-KI-Modelle gelten seit 2. August 2025. Der entscheidende Stichtag für die meisten Anbieter ist der 2. August 2026: Ab diesem Datum greifen die Vollanforderungen für Hochrisiko-KI-Systeme nach Anhang III.

Die Verordnung kennt vier Risikostufen: verbotene Praktiken, hochriskante Systeme, Systeme mit begrenztem Risiko und Systeme mit minimalem Risiko. Die Stufe entscheidet über den Pflichtenkatalog.

Wo die Grenze für Gesundheits- und Bildungs-KI liegt

Anhang III nennt die Bereiche, in denen KI-Systeme automatisch als hochriskant gelten. Drei davon betreffen den Diskurs in DACH-HR-Kreisen besonders: Bildung und Berufsbildung, Beschäftigung und Personalmanagement, Zugang zu wesentlichen Diensten einschliesslich Gesundheits- und Sozialleistungen. Wer in diesen Bereichen Entscheidungen vorbereitet oder trifft, faellt in den Hochrisiko-Korridor.

Anhang I koppelt zusaetzlich an das Medizinprodukterecht. Sobald eine KI als Sicherheitskomponente eines Medizinprodukts oder als In-vitro-Diagnostikum laeuft, gilt sie unabhaengig vom Anwendungsfall als hochriskant.

Artikel 6 Absatz 3 bietet eine eng gefasste Ausnahme: Wenn ein System nur eine vorbereitende oder rein technische Aufgabe übernimmt und kein wesentliches Risiko für Grundrechte schafft, kann es trotz Anhang-III-Bereich aus der Hochrisiko-Kategorie herausfallen. Sobald jedoch Profiling stattfindet, also automatisierte Bewertung persoenlicher Aspekte, greift die Ausnahme nicht mehr.

Warum Autistic Mirror keine Hochrisiko-KI ist

Autistic Mirror ist ausdruecklich kein Medizinprodukt. Diese Position steht in der Datenschutzerklärung Abschnitt 2.4 und in den Nutzungsbedingungen. Es gibt keine Diagnose, keine Therapie, keine Triage, keine Empfehlung medizinischer Maßnahmen. Die Aufgabe ist eng definiert: neurologische Mechanismen autistischen Erlebens erklären und Selbstreflexion unterstuetzen.

Es findet kein Profiling im Sinne der DSGVO statt. Onboarding-Angaben werden auf das System-Prompt-Setting angewendet, nicht zur Bewertung von Personen. Es gibt keine automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Artikel 22 DSGVO. Damit greift Anhang III in keiner der drei kritischen Säulen, und die Artikel-6-Absatz-3-Ausnahme bleibt anwendbar.

Die App liefert keine Beratung im klinischen Sinn. Wenn Nutzer*innen explizit nach einem Diagnose- oder Behandlungsweg fragen, greift ein Output-Filter, der die Anfrage zurückweist und auf Fachpersonen verweist. Das ist keine Selbstbeschneidung, sondern die saubere Linie zwischen Erklärung und Empfehlung.

Was Hochrisiko-Pflichten konkret kosten wuerden

Wer im Hochrisiko-Korridor liegt, muss ein vollständiges Konformitätsregime aufbauen: dokumentiertes Risikomanagement, Data Governance mit Trainingsdaten-Nachweis, technische Dokumentation, Logging-Pflichten, menschliche Aufsicht, Genauigkeits- und Robustheitsmessungen, Konformitätsbewertung. Bei Anhang-I-Fällen kommt eine benannte Stelle dazu.

Der Aufwand liegt im sechsstelligen Bereich pro Audit-Zyklus, ohne Personalkosten und Folgeprüfungen. Fuer ein kleines Team ist das nur tragbar, wenn der Anwendungsfall tatsaechlich Hochrisiko ist. Die Antwort darauf ist nicht, die Pflichten zu umgehen, sondern den Anwendungsfall sauber zu schneiden.

Was wir trotzdem freiwillig erfuellen

Auch ausserhalb des Hochrisiko-Korridors gelten DSGVO, ePrivacy und nationale Vorgaben. Autistic Mirror erfuellt fuenf Compliance-Familien parallel: ISO/IEC 27001 Annex A für Informationssicherheit, OWASP Top 10 für Anwendungssicherheit, DSGVO Artikel 5, 9, 22, 25, 32, 35, EN ISO 9241 Teile 110 bis 210 für Software-Ergonomie und WCAG 2.1 Level A und AA für Barrierefreiheit. Dazu eine 5-Schicht-Sicherheitsarchitektur mit Anti-ABA-Filter, Krisen-Erkennung, Output-Safety-Filter, Injection-Detection und Buffer-then-Send.

Die Datenschutz-Folgenabschaetzung nach Artikel 35 DSGVO ist dokumentiert, das Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 ebenfalls, die technisch-organisatorischen Maßnahmen nach Artikel 32 sind ausgearbeitet. Es findet kein Tracking statt, kein Verkauf von Daten, kein Training von Modellen mit Nutzerinhalten.

Wie sich das von generischer KI unterscheidet

Ein generischer Chatbot ohne Spezialisierung kann jederzeit ungewollt in Diagnose-Sprache rutschen, Therapieempfehlungen geben oder ABA-nahe Strategien vorschlagen. Damit bewegt er sich in einem juristisch unklaren Raum, sobald er für Gesundheits- oder Bildungsfragen genutzt wird, und in einem ethisch kritischen Raum, sobald er auf autistische Menschen trifft.

Autistic Mirror hat einen festen Mechanismus-zuerst-Prompt und einen Output-Filter, der Diagnose-Empfehlungen und ABA-Inhalte blockt. Damit bleibt das Werkzeug im erlaubten Bereich, ohne den Nutzer*innen die fachliche Tiefe wegzunehmen. Erklärung statt Empfehlung. Mechanismus statt Diagnose.

Ein Lichtblick

Regulierung wird oft als Hindernis erlebt. Im Fall des EU AI Act ist sie ein Klarheitsangebot: Sie zwingt Anbieter, sich zu entscheiden, ob sie diagnostische Verantwortung übernehmen wollen oder nicht. Werkzeuge, die Mechanismen erklären statt Diagnosen stellen, können seriös skalieren, ohne in den Hochrisiko-Korridor zu rutschen. Das ist gleichzeitig der rechtlich saubere und der ethisch belastbare Weg. Fuer autistische Menschen heisst das: das Werkzeug bleibt nutzbar, ohne dass jemand zwischen ihnen und ihrer eigenen Neurologie steht.

Autistic Mirror erklärt autistische Neurologie individuell, auf deine Situation bezogen. Ob für dich selbst, als Elternteil oder als Fachperson.