28 Tage bis zum Inkrafttreten des EU-KI-Gesetzes
Mehr erfahren →

EU-KI-Gesetz Artikel 10: Datenverwaltung

Artikel 10 regelt die Daten, die zur Entwicklung von hochrisikigen KI-Systemen verwendet werden. Trainings-, Validierungs- und Testdatensätze müssen Qualitätskriterien erfüllen, auf Voreingenommenheit hin untersucht und unter strengen Bedingungen gehandhabt werden, wenn es um besondere Kategorien personenbezogener Daten geht. Diese Seite erklärt, welche Datenverwaltung das Gesetz erfordert und wo die Verantwortung liegt.

Artikel 10 Deep Dive

EU-KI-Gesetz Artikel 10: Datenverwaltung

Artikel 10 regelt die Daten, die zur Entwicklung von hochrisikigen KI-Systemen verwendet werden. Trainings-, Validierungs- und Testdatensätze müssen Qualitätskriterien erfüllen, auf Voreingenommenheit hin untersucht und unter strengen Bedingungen gehandhabt werden, wenn es um besondere Kategorien personenbezogener Daten geht. Diese Seite erklärt, welche Datenverwaltung das Gesetz erfordert und wo die Verantwortung liegt.

Zuletzt aktualisiert: 4. Juli 2026

Was Artikel 10 erfordert

Hochrisikige KI-Systeme, die mit Daten trainiert werden, müssen auf der Grundlage von Trainings-, Validierungs- und Testdatensätzen entwickelt werden, die die Qualitätskriterien nach Artikel 10 erfüllen, wenn solche Datensätze verwendet werden.

Die Verpflichtung liegt beim Anbieter, und sie gilt für angemessene Datenverwaltungs- und -managementpraktiken über den gesamten Datenlebenszyklus — von Designentscheidungen und Erfassung bis zur Vorbereitung, Untersuchung und Minderung. Datenverwaltung nach Artikel 10 ist eine der Anforderungen, die die Anhang-IV-technische Dokumentation und das Artikel-17-QMS beschreiben und steuern müssen.

Datenqualitätskriterien

Trainings-, Validierungs- und Testdatensätze müssen Datenverwaltungspraktiken unterliegen, die für den beabsichtigten Zweck angemessen sind und insbesondere folgendes berücksichtigen:

  • Relevanz und Repräsentativität — Datensätze müssen relevant, ausreichend repräsentativ und soweit möglich frei von Fehlern und vollständig im Hinblick auf den beabsichtigten Zweck sein
  • Angemessene statistische Eigenschaften — einschließlich, soweit anwendbar, der statistischen Eigenschaften in Bezug auf die Personen oder Personengruppen, auf die das System angewendet werden soll
  • Designentscheidungen und Herkunft — die relevanten Designannahmen und wie die Daten erhoben, ihre Herkunft und, für personenbezogene Daten, der ursprüngliche Erhebungszweck
  • Datenvorbereitung — Annotation, Kennzeichnung, Reinigung, Aktualisierung, Anreicherung und Aggregation von Operationen müssen dokumentiert werden
  • Kontextbezogene Abdeckung — die Daten müssen den geografischen, kontextbezogenen, verhaltensbezogenen oder funktionalen Rahmen berücksichtigen, in dem das hochrisikige System verwendet werden soll

Voreingenommenheitsuntersuchung, -minderung und Datenlücken

Artikel 10 verlangt ausdrücklich, dass Anbieter nach Voreingenommenheit und Datenlücken suchen und diese ansprechen:

  • Untersuchung auf Voreingenommenheit, die wahrscheinlich die Gesundheit und Sicherheit beeinträchtigen, einen negativen Einfluss auf Grundrechte haben oder zu verbotener Diskriminierung führen — insbesondere, wenn Ausgaben Einfluss auf Eingaben für zukünftige Operationen haben (Rückkopplungsschleifen)
  • Angemessene Minderungsmaßnahmen für jede identifizierte Voreingenommenheit anwenden
  • Identifizierung und Ansprechen von Datenlücken und -mängeln, die die Einhaltung verhindern könnten, und Dokumentation, wie sie gehandhabt werden
  • Dokumentation der Begründung, damit Voreingenommenheitsuntersuchung und -minderung überprüfbar sind und nicht nur durchgeführt werden

Besondere Kategorien personenbezogener Daten

Artikel 10 erlaubt die Verarbeitung besonderer Kategorien personenbezogener Daten, aber nur in dem strengen Umfang, der notwendig ist, um Voreingenommenheit zu erkennen und zu korrigieren, und unterliegt Sicherheitsvorkehrungen.

Das bedeutet, dass die Ausnahme nur gilt, wenn die Voreingenommenheitserkennung und -korrektur nicht mit synthetischen, anonymisierten oder anderen nicht besonderen Kategorien von Daten durchgeführt werden kann. Wenn besondere Kategorien personenbezogener Daten verwendet werden, müssen sie den angemessenen Sicherheitsvorkehrungen für die Rechte und Freiheiten der Personen unterliegen — einschließlich technischer Einschränkungen für die Weiterverwendung, staatlicher Sicherheits- und Datenschutzmaßnahmen, strenger Zugriffskontrollen und Dokumentation sowie Löschung, sobald die Voreingenommenheit korrigiert wurde oder die Daten das Ende ihrer Aufbewahrungsfrist erreicht haben.

Die Ausnahme für besondere Kategorien personenbezogener Daten nach Artikel 10 gilt neben der DSGVO, nicht an deren Stelle — die Bedingungen der DSGVO für die Verarbeitung besonderer Kategorien personenbezogener Daten gelten weiterhin.

Wie AIAgentree hilft

AIAgentree ergänzt Datensatz- und MLOps-Tooling, anstatt es zu ersetzen: Es zeichnet die Entscheidungen und Ausnahmen im Zusammenhang mit der Datenverwaltung als überprüfbare Beweise auf, sodass die Urteile, die Artikel 10 erfordert, erfasst und verteidigungsfähig sind:

  • Tamper-evidente Entscheidungsaufzeichnungen bewahren den Grund auf, warum eine Datenquelle akzeptiert, ein Voreingenommenheitsminderungsschritt unternommen oder eine Datenlücke als Restrisiko akzeptiert wurde — die Begründung, die Artikel 10 erwartet, dass Sie zeigen können
  • Menschliche Aufsichts- und Genehmigungsworkflows erfassen die Genehmigung sensibler Datenverwaltungsentscheidungen, einschließlich der Rechtfertigung für besondere Kategorien personenbezogener Daten, mit automatisch erfassten Informationen darüber, wer was entschieden hat
  • Prüffähige Aufbewahrung und Exporte über REST, MCP, A2A und OpenTelemetry (mit Python- und TypeScript-SDKs und EU-Datenresidenz in Deutschland) halten die Governance-Spur für die Prüfung bereit — starten Sie auf der 25-Spur-Free-Tier

Häufig gestellte Fragen

Gilt Artikel 10 für jedes Hochrisiko-KI-System?

Er gilt für Hochrisiko-Systeme, die mit Daten-Trainings-Techniken entwickelt werden. Die Kriterien für die Datenqualität und -verwaltung gelten, wenn Trainings-, Validierungs- und Testdatensätze verwendet werden; Systeme, die nicht mit Daten trainiert werden, werden durch andere Anforderungen des Gesetzes behandelt.

Muss die Datenqualität perfekt fehlerfrei sein?

Nein. Artikel 10 verlangt, dass Datensätze relevant, ausreichend repräsentativ und im besten Fall möglichst frei von Fehlern und vollständig im Hinblick auf den beabsichtigten Zweck sind. Er legt einen Standard für bestmögliche Bemühungen und einen zweckproportionierten Standard fest, anstatt eine absolute Garantie für Perfektion.

Können wir sensible personenbezogene Daten verwenden, um Bias zu überprüfen?

Nur ausnahmsweise. Artikel 10 erlaubt die Verarbeitung besonderer Kategorien personenbezogener Daten streng zur Erkennung und Korrektur von Bias, wenn dies nicht mit anderen Daten möglich ist und nur unter starken Schutzmaßnahmen wie Zugriffskontrollen, Sicherheitsmaßnahmen und Löschung, sobald der Zweck erreicht ist. Die Bedingungen der DSGVO gelten dennoch.

Wer ist für die Einhaltung von Artikel 10 verantwortlich?

Der Anbieter des Hochrisiko-KI-Systems. Deployer, die die Eingabedaten kontrollieren, haben eine damit verbundene Pflicht nach Artikel 26, sicherzustellen, dass die Eingabedaten für den beabsichtigten Zweck relevant und ausreichend repräsentativ sind, aber die Kernverpflichtung zur Datenverwaltung liegt beim Anbieter.

Was muss nach Artikel 10 dokumentiert werden?

Die Datenverwaltungsentscheidungen - Sammlung und Ursprung, Vorbereitungsoperationen wie Markierung und Reinigung, getroffene Annahmen, die Untersuchung von Bias und etwaige Abmilderungsmaßnahmen sowie die Behandlung identifizierter Datenlücken. Diese Dokumentation fließt in die Anhang-IV-technische Dokumentation und das Artikel-17-Qualitätsmanagementsystem ein.

Fahren Sie mit der Erkundung des EU-KI-Gesetzes-Leitfadens fort

EU-KI-Gesetzes-Konformitäts-Leitfaden

Der vollständige Leitfaden zur Konformität mit dem EU-KI-Gesetz für KI-Agenten — starten Sie hier.

Artikel 12 — Aufzeichnung und Protokollierung

Was jedes Hochrisiko-KI-System protokollieren muss und wie man es erfassen kann.

Artikel 14 — Menschliche Aufsicht

Entwicklung effektiver menschlicher Kontrollen für KI-Entscheidungen.

Anhang III — Hochrisiko-KI-Systeme

Welche KI-Anwendungsfälle das Gesetz als hochrisikig einstuft.

EU-KI-Gesetzes-Konformitäts-Checkliste

Eine schrittweise Checkliste, um die Konformität zu erreichen und zu dokumentieren.

Konformitätskostenrechner

Schätzen Sie Ihre Konformitätsbemühungen und -kosten für das EU-KI-Gesetz.

Fristen und Zeitplan

Wichtige Durchsetzungsdaten, einschließlich der Frist vom 2. August 2026.

Geldstrafen und Bußgelder

Bußgeldstufen bis zu 35 Mio. € oder 7 % des globalen Jahresumsatzes.

Transparenzpflichten (Art. 13 und 50)

Offenlegungspflichten für KI-Systeme und ihre Ausgaben.

Risikomanagement und Konformitätsbewertung

Aufbau eines Risikomanagementsystems und Bewertung der Konformität.

GPAI-Pflichten

Regeln für Anbieter von allgemeinen KI-Modellen.

EU-KI-Gesetz für US-Unternehmen

Außerräumiger Anwendungsbereich und was US-Anbieter tun müssen.

Omnibus-Update

Die neuesten Änderungen an der EU-KI-Gesetz-Zeitachse und -Regeln.

Bußgeldrechner

Schätzen Sie Ihr maximales Bußgeld unter den Artikel 99-Stufen.

Artikel 11 + Anhang IV

Welche technische Dokumentation das EU-AI-Gesetz erfordert.

Artikel 26: Verpflichtungen des Deployers

Was Deployer von High-Risk-KI tun müssen, einschließlich Log-Aufbewahrung.

Artikel 17: Qualitätsmanagement

Das QMS, das Anbieter von High-Risk-KI dokumentieren müssen.

Artikel 4: KI-Literacy

Die KI-Literacy-Pflicht des Personals, die seit Februar 2025 in Kraft ist.

Deployer vs. Anbieter

Wer welche Verpflichtung trägt — und wann ein Deployer zu einem Anbieter wird.

FRIA (Artikel 27)

Wer eine Grundrechte-Auswirkungsabschätzung durchführen muss und wie.

Wer ist betroffen?

Anwendungsbereich, Betreiber und extraterritoriale Reichweite des EU-AI-Gesetzes.

Nachmarküberwachung

Artikel 72–73: laufende Überwachung und Meldung von Vorfällen.

ISO 42001 vs. EU-AI-Gesetz

Wie der freiwillige Standard und das bindende Gesetz zusammenpassen.

NIST AI RMF vs. EU-AI-Gesetz

Ein praktischer Vergleich zwischen dem Framework und dem Gesetz.

EU-AI-Gesetz für den Gesundheitssektor

High-Risk-Medizin-KI, MDR/IVDR-Interaktion und klinische Überwachung.

EU-AI-Gesetz für Finanzdienstleistungen

Kreditwürdigkeit, Versicherungspreise und bestehende Finanzregulierung.

EU-AI-Gesetz für Personalwesen und Beschäftigung

Einstellung von KI als High-Risk, plus NYC LL144 und EEOC-Überschneidung.