Zur App

EU AI Act und autistische KI-Werkzeuge

Brüssel präzisiert in diesen Wochen, welche KI-Systeme als hochriskant gelten. Für Gesundheits- und Bildungs-KI ist die Frage entscheidend. Autistic Mirror liegt bewusst nicht in dieser Kategorie. Was das in der Praxis bedeutet.

Worum es geht, in zwei Sätzen

Der EU AI Act ist die erste Verordnung, die KI-Systeme nach Risiko einstuft. Wo es um Diagnosen, Schulplätze, Reha-Zugänge oder Personalentscheidungen geht, gelten die strengsten Auflagen. Genau dort entscheidet sich, welche KI-Werkzeuge autistische Menschen sicher nutzen können und welche rechtlich und ethisch nicht tragfähig sind.

Was der EU AI Act regelt

Die KI-Verordnung (Verordnung EU 2024/1689)[1] ist seit August 2024 in Kraft und wird gestaffelt anwendbar. Verbote bestimmter Praktiken und die KI-Kompetenzpflicht (Artikel 4) gelten seit 2. Februar 2025. Die Pflichten für Allzweck-KI-Modelle gelten seit 2. August 2025. Der entscheidende Stichtag für die meisten Anbieter ist der 2. August 2026: Ab diesem Datum greifen die Vollanforderungen für Hochrisiko-KI-Systeme nach Anhang III.[1]

Die Verordnung kennt vier Risikostufen: verbotene Praktiken, hochriskante Systeme, Systeme mit begrenztem Risiko und Systeme mit minimalem Risiko. Die Stufe entscheidet über den Pflichtenkatalog.

Wo die Grenze für Gesundheits- und Bildungs-KI liegt

Anhang III nennt die Bereiche, in denen KI-Systeme automatisch als hochriskant gelten.[1] Drei davon betreffen den Diskurs in DACH-HR-Kreisen besonders: Bildung und Berufsbildung, Beschäftigung und Personalmanagement, Zugang zu wesentlichen Diensten einschließlich Gesundheits- und Sozialleistungen. Wer in diesen Bereichen Entscheidungen vorbereitet oder trifft, fällt in den Hochrisiko-Korridor.

Anhang I koppelt zusätzlich an das Medizinprodukterecht. Sobald eine KI als Sicherheitskomponente eines Medizinprodukts oder als In-vitro-Diagnostikum läuft, gilt sie unabhängig vom Anwendungsfall als hochriskant.[3][5]

Artikel 6 Absatz 3 bietet eine eng gefasste Ausnahme: Wenn ein System nur eine vorbereitende oder rein technische Aufgabe übernimmt und kein wesentliches Risiko für Grundrechte schafft, kann es trotz Anhang-III-Bereich aus der Hochrisiko-Kategorie herausfallen. Sobald jedoch Profiling stattfindet, also automatisierte Bewertung persönlicher Aspekte, greift die Ausnahme nicht mehr.

Warum Autistic Mirror keine Hochrisiko-KI ist

Autistic Mirror ist ausdrücklich kein Medizinprodukt. Diese Position steht in der Datenschutzerklärung Abschnitt 2.4 und in den Nutzungsbedingungen. Es gibt keine Diagnose, keine Therapie, keine Triage, keine Empfehlung medizinischer Maßnahmen. Die Aufgabe ist eng definiert: neurologische Mechanismen autistischen Erlebens erklären und Selbstreflexion unterstützen.

Vier Punkte tragen die Einordnung außerhalb des Hochrisiko-Korridors:

  1. Kein Medizinprodukt nach MDR/IVDR.[3][5] Damit greift Anhang I nicht.
  2. Keine entscheidungsvorbereitende Funktion in Bildung, Beschäftigung oder Zugang zu wesentlichen Diensten. Die App bewertet keine Personen, sortiert keine Bewerbungen, vergibt keine Schul- oder Reha-Plätze. Damit greifen die drei kritischen Säulen aus Anhang III nicht.
  3. Kein Profiling im Sinne von Artikel 4 Nr. 4 DSGVO. Onboarding-Angaben (Rolle, Begleitdiagnosen, Altersgruppe) konfigurieren ausschließlich das System-Prompt-Setting. Es findet keine automatisierte Bewertung persönlicher Aspekte statt, keine Vorhersage über Verhalten, Leistung oder Gesundheit. Damit bleibt die Artikel-6-Absatz-3-Ausnahme anwendbar.
  4. Keine automatisierte Entscheidung im Sinne von Artikel 22 DSGVO.[2][7] Es entstehen keine rechtlichen Wirkungen oder ähnlich erhebliche Beeinträchtigungen aus der Nutzung. Antworten sind erklärend, nicht entscheidend.

Die App liefert keine Beratung im klinischen Sinn. Wenn Nutzer*innen explizit nach einem Diagnose- oder Behandlungsweg fragen, greift ein Output-Filter, der die Anfrage zurückweist und auf Fachpersonen verweist. Das ist keine Selbstbeschneidung, sondern die saubere Linie zwischen Erklärung und Empfehlung.

Keine Emotionserkennung, keine biometrische Kategorisierung

Artikel 5 Absatz 1 Buchstabe f des EU AI Act verbietet Emotionserkennungs-Systeme am Arbeitsplatz und in Bildungseinrichtungen.[1][4] Autistic Mirror führt keine Emotionserkennung durch. Es gibt keine Audio-Verarbeitung, keine Kamera-Auswertung, keine Stimm- oder Gesichtsanalyse, keine biometrische Kategorisierung. Eingaben sind freier Text. Die App schließt damit auch eine Praxis aus, die für autistische Menschen besonders riskant wäre, weil ihr emotionaler Ausdruck systematisch fehlinterpretiert wird.

Transparenzpflichten nach Artikel 50

Auch außerhalb des Hochrisiko-Korridors gelten ab dem 2. August 2026 die Transparenzpflichten aus Artikel 50. Nutzer*innen müssen erkennen können, dass sie mit einem KI-System interagieren. Autistic Mirror erfüllt das durchgehend: Produktname, Onboarding, Datenschutzerklärung und jede Antwort sind als KI-generiert ausgewiesen. Es gibt keine Imitation menschlicher Beratung, keine vorgetäuschte therapeutische Beziehung.

Anbieter, Betreiber und GPAI-Einordnung

Autistic Mirror ist Anbieter (Provider) im Sinne des EU AI Act. Organisationen, die die App im Rahmen einer B2B-Lizenz an ihre Mitarbeitenden ausgeben, sind Betreiber (Deployer) und tragen die Pflichten aus Artikel 26, soweit anwendbar. Da Autistic Mirror nicht hochriskant ist, beschränken sich diese Pflichten im Wesentlichen auf interne Nutzungsregeln und Information der Beschäftigten. Das zugrundeliegende Sprachmodell ist ein Allzweck-KI-Modell (GPAI) eines Drittanbieters; die GPAI-Pflichten aus Kapitel V trägt der Modell-Anbieter, nicht Autistic Mirror.

Warum das für autistische Menschen zählt

Wenn eine generische KI im Beratungs-, Schul- oder Arbeitskontext eine Verhaltensempfehlung ausspricht, etwa „üben Sie Augenkontakt" oder „reduzieren Sie Stimming", dann greift sie tief in autistisches Erleben ein. Ohne Fachperson dazwischen. Ohne Mechanismus-Erklärung. Solche Empfehlungen folgen oft einer Logik, die autistische Reaktionen unterdrücken statt verstehen will.

Der EU AI Act adressiert genau dieses Risiko. Er zwingt Anbieter, sich zu deklarieren: Stelle ich Diagnosen oder Empfehlungen mit Wirkung auf Bildung, Beruf oder Gesundheit, oder bleibe ich bei Erklärung. Die Trennlinie schützt nicht nur Anbieter vor Audits, sie schützt autistische Menschen vor Werkzeugen, die ihre Neurologie korrigieren wollen, statt sie zu erklären.

Was Hochrisiko-Pflichten konkret kosten würden

Wer im Hochrisiko-Korridor liegt, muss ein vollständiges Konformitätsregime aufbauen: dokumentiertes Risikomanagement, Data Governance mit Trainingsdaten-Nachweis, technische Dokumentation, Logging-Pflichten, menschliche Aufsicht, Genauigkeits- und Robustheitsmessungen, Konformitätsbewertung. Bei Anhang-I-Fällen kommt eine benannte Stelle dazu.

Eine vielzitierte Studie des Centre for European Policy Studies schätzt den initialen Konformitätsaufwand für ein einzelnes Hochrisiko-KI-System auf rund 29.277 Euro, ergänzt um jährliche Kosten von rund 71.400 Euro für ein zertifiziertes Qualitätsmanagementsystem, jeweils ohne interne Personalkosten und ohne Folgeaudits.[6] Für ein kleines Team ist das nur tragbar, wenn der Anwendungsfall tatsächlich Hochrisiko ist. Die Antwort darauf ist nicht, die Pflichten zu umgehen, sondern den Anwendungsfall sauber zu schneiden.

Was wir trotzdem freiwillig erfüllen

Auch außerhalb des Hochrisiko-Korridors gelten DSGVO, ePrivacy und nationale Vorgaben. Autistic Mirror erfüllt fünf Compliance-Familien parallel: ISO/IEC 27001 Annex A für Informationssicherheit, OWASP Top 10 für Anwendungssicherheit, DSGVO Artikel 5, 9, 22, 25, 32, 35, EN ISO 9241 Teile 110 bis 210 für Software-Ergonomie und WCAG 2.1 Level A und AA für Barrierefreiheit. Dazu eine 5-Schicht-Sicherheitsarchitektur mit Anti-ABA-Filter, Krisen-Erkennung, Output-Safety-Filter, Injection-Detection und Buffer-then-Send.

Die Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO ist dokumentiert, das Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 ebenfalls, die technisch-organisatorischen Maßnahmen nach Artikel 32 sind ausgearbeitet. Es findet kein Tracking statt, kein Verkauf von Daten, kein Training von Modellen mit Nutzerinhalten.

Wie sich das von generischer KI unterscheidet

Ein generischer Chatbot ohne Spezialisierung kann jederzeit ungewollt in Diagnose-Sprache rutschen, Therapieempfehlungen geben oder ABA-nahe Strategien vorschlagen. Damit bewegt er sich in einem juristisch unklaren Raum, sobald er für Gesundheits- oder Bildungsfragen genutzt wird, und in einem ethisch kritischen Raum, sobald er auf autistische Menschen trifft.

Autistic Mirror hat einen festen Mechanismus-zuerst-Prompt und einen Output-Filter, der Diagnose-Empfehlungen und ABA-Inhalte blockt. Damit bleibt das Werkzeug im erlaubten Bereich, ohne den Nutzer*innen die fachliche Tiefe wegzunehmen. Erklärung statt Empfehlung. Mechanismus statt Diagnose.

Generische KI
Offener Themenraum. Keine Diagnose-Sperre. Keine ABA-Filter. Keine Krisen-Erkennung. Antworten optimiert auf Plausibilität, nicht auf neurologische Treue.
Autistic Mirror
Enger Anwendungsfall: Mechanismus erklären. Output-Filter gegen Diagnose- und Behandlungsempfehlungen. Anti-ABA-Filter. Redundante Krisen-Erkennung in Frontend und Backend. Buffer-then-Send, damit jede Antwort vor der Anzeige geprüft ist.

Ein Lichtblick

Regulierung wird oft als Hindernis erlebt. Im Fall des EU AI Act ist sie ein Klarheitsangebot: Sie zwingt Anbieter, sich zu entscheiden, ob sie diagnostische Verantwortung übernehmen wollen oder nicht. Werkzeuge, die Mechanismen erklären statt Diagnosen stellen, können seriös skalieren, ohne in den Hochrisiko-Korridor zu rutschen. Das ist gleichzeitig der rechtlich saubere und der ethisch belastbare Weg. Für autistische Menschen heißt das: das Werkzeug bleibt nutzbar, ohne dass jemand zwischen ihnen und ihrer eigenen Neurologie steht.

Autistic Mirror erklärt autistische Neurologie individuell, auf deine Situation bezogen. Ob für dich selbst, als Elternteil oder als Fachperson.

Quellen
  1. Europäisches Parlament und Rat: Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung), 13. Juni 2024. eur-lex.europa.eu/eli/reg/2024/1689/oj
  2. Europäisches Parlament und Rat: Verordnung (EU) 2016/679 (DSGVO), 27. April 2016. eur-lex.europa.eu/eli/reg/2016/679/oj
  3. Europäisches Parlament und Rat: Verordnung (EU) 2017/745 über Medizinprodukte (MDR), 5. April 2017. eur-lex.europa.eu/eli/reg/2017/745/oj
  4. Europäische Kommission: Leitlinien zu verbotenen Praktiken nach der KI-Verordnung (C(2025) 884 final), Februar 2025. digital-strategy.ec.europa.eu
  5. Medical Device Coordination Group: MDCG 2019-11 Rev.1, Qualification and Classification of Software in Regulation (EU) 2017/745 and Regulation (EU) 2017/746, 2024. health.ec.europa.eu
  6. Renda, A. et al., Centre for European Policy Studies: Clarifying the costs for the EU's AI Act, 2021. ceps.eu
  7. Europäischer Datenschutzausschuss (EDPB): Leitlinien und Stellungnahmen zu Artikel 22 DSGVO. edpb.europa.eu
  8. Europäische Kommission, AI Office: Anwendung und Stichtage der KI-Verordnung. digital-strategy.ec.europa.eu/en/policies/ai-office

Weiterlesen

Compliance by Design

Konzern-Anforderungen als Nebenprodukt

KI-Risiken für autistische Menschen

Wenn generische KI gefährlich wird

Journal Review

Wissenschaftliche Prüfung der App
Aaron Wahl
Aaron Wahl

Autist, Gründer von Autistic Mirror

Wie du funktionierst, hat Gründe.
Die sind erklärbar.

Kostenlos registrieren