EU-AI-Act-Konzept (Verordnung 2024/1689)
half-work.com · Compliance-Konzept · Stand April 2026 · Version 0.9 (Draft)
§ 1 Rolle von half-work im AI-Act
half-work tritt im Sinne der EU-Verordnung 2024/1689 in folgenden Rollen auf:
- Anbieter (Provider, Art. 3 Nr. 3): für eigene Bot-Templates und für Co-Bot-Pairings, bei denen half-work die Distribution verantwortet.
- Betreiber (Deployer, Art. 3 Nr. 4): nicht typisch — Buyer setzen die Bots in eigenen Prozessen ein und sind dort meist Deployer.
- Importeur ggf. für Drittanbieter-Modelle (z. B. via Bunker-LiteLLM-Proxy).
§ 2 Risikoklassen-Matrix pro Bot-Typ
Die Verordnung kennt vier Risikoklassen. half-work-Bots werden vor Listing wie folgt klassifiziert:
Klasse 1 — Inakzeptables Risiko (verboten, Art. 5)
Listing ausgeschlossen: Social Scoring, manipulative Verhaltenssteuerung, biometrische Echtzeit-Identifikation (außer Strafverfolgungs-Ausnahmen), Vorhersage strafbaren Verhaltens auf Basis von Persönlichkeitsmerkmalen.
Klasse 2 — Hochrisiko (Anhang III, Art. 6)
Strenge Pflichten — Listing nur mit voller Konformität: Bewerbungs-Selektion (HR), Kreditvergabe-Bewertung, kritische Infrastruktur, Bildung/Prüfungen, Strafverfolgung, Migration/Grenzkontrollen, Justiz-Entscheidungs-Unterstützung, demokratische Prozesse.
Pflichten: Risk-Management-System (Art. 9), Data Governance (Art. 10), Technische Dokumentation (Art. 11), Logging über Lebensdauer (Art. 12), Transparenz für Deployer (Art. 13), Human Oversight (Art. 14), Accuracy/Robustness/Cybersecurity (Art. 15), Conformity Assessment + EU-Datenbank-Eintrag, CE-Kennzeichnung.
Klasse 3 — Begrenztes Risiko (Art. 50)
Transparenz-Pflicht: Endnutzer:in muss erkennen, dass es ein Bot ist; Deepfakes müssen kenntlich gemacht werden; KI-generierter Text als solcher markiert. Trifft auf typische Tools-Lane- und Community-Bots (Meeting-Notes, Customer-Support, Compliance-FAQ) zu, sofern nicht in Anhang-III-Bereich.
Klasse 4 — Minimales Risiko
Keine Pflichten — Spam-Filter, einfache Personalisierung. Selten auf unserer Plattform.
§ 3 Klassifizierung der half-work-Bot-Typen (Vorschau)
| Bot-Typ | Wahrscheinliche Klasse | Anmerkungen |
|---|---|---|
| Job-Bot | Klasse 3 (begrenzt) | Empfehlung an Nutzer:in, keine automatisierte Selektions-Entscheidung; Architektur darauf prüfen, dass nicht ungewollt Klasse 2 erreicht wird |
| Compliance-FAQ-Bot (DSGVO, AVV) | Klasse 3 | Keine bindende Rechts-Entscheidung; nur Auskunft |
| HR-Onboarding-Bot | Klasse 2 möglich | Wenn Bot Bewerbungs-Auswahl trifft → Hochrisiko. Wenn nur FAQ-Auskunft → Klasse 3 |
| Tonalitäts-Bot (Marketing) | Klasse 3 | Generative Inhalte mit Kennzeichnungs-Pflicht |
| Steuer-/Recht-Bot | Klasse 3 mit Vorbehalt | Beratungs-Disclaimer; keine individualisierte Rechts-Beratung iSv RDG/StBerG |
| Meeting-Notes / Slack-Summary | Klasse 3 | Standard Tools-Lane |
§ 4 Architektur-Prinzipien für niedrige Risikoklasse
- Keine automatisierten Endentscheidungen — Bot liefert Empfehlungen, Mensch entscheidet.
- Ein-Klick-Eskalation an Pat:in oder menschliche Stelle bei jeder Bot-Antwort.
- Transparente Kennzeichnung jeder Bot-Antwort als KI-generiert.
- Audit-Log jeder Antwort für 30 Tage (Pseudonymisierung nach 90 Tagen, Löschung nach 12 Monaten).
- Capability-Grenzen hardcoded im Bot-Prompt: Bot bricht ab und eskaliert bei Anfragen außerhalb des Trainings-Scope.
§ 5 Logging und technische Dokumentation
Auch für nicht-Hochrisiko-Bots dokumentiert half-work pro Bot:
- Modell-Wahl + Modell-Version
- System-Prompt-Versionsstand
- Wissensbasis-Datum + Quellen
- Schatten-Run-Ergebnisse
- Trust-Score-History
- Audit-Log (anonymisiert nach 90 Tagen)
Diese Dokumentation ist Bestandteil der Compliance-Reports für Pate-Zertifiziert-Tier und auf Anfrage für Community-Tier.
§ 6 Human Oversight
Pat:innen sitzen im Eskalationspfad jedes nicht-Tools-Bots. Bei Pate-Zertifiziert führen sie wöchentliche Stichproben-Audits durch. Bei Community quartalsweise. Schatten-Run vor Go-Live ist verpflichtend.
§ 7 GPAI / Foundation-Modelle
Wir nutzen General-Purpose-AI-Modelle (z. B. Qwen, Llama-Derivate) über den hauseigenen Bunker-LiteLLM-Proxy. Anbieter dieser GPAI-Modelle (Art. 53 ff.) tragen die Provider-Pflichten primär selbst. half-work erfüllt seine Pflicht zur Bereitstellung der Modell-Information an Deployer und prüft regelmäßig, ob neue Modell-Versionen Lizenz-Beschränkungen oder Use-Case-Restriktionen einführen.
§ 8 Wenn ein Bot doch in Klasse 2 fällt
Sollte ein Bot-Use-Case in Klasse 2 (Hochrisiko) klassifiziert werden, gelten zusätzliche Pflichten:
- Conformity-Assessment nach Anhang VI/VII
- Eintrag in EU-AI-Datenbank vor Marktverbreitung (Art. 49)
- CE-Kennzeichnung
- Sonder-Tier mit höherem Pricing (Compliance-Cost-Wälzung)
half-work wird derartige Bots nur als Sonder-Tier auf Pate-Zertifiziert anbieten, nicht in Tools- oder Community-Lane.
half-work.com · Inh. Finn Malte Hinrichsen · Hamburg · Impressum · Datenschutz · recht@half-work.com