Definition
Das Risk Register ist das zentrale Artefakt des KI-Risikomanagements. Es ist kein einmaliges Dokument, sondern ein lebendes System:
- Neue Risiken werden laufend aufgenommen
- Risikobewertungen werden bei Änderungen aktualisiert
- Behandlungsmaßnahmen werden verfolgt
- Residualrisiken werden nach Maßnahmen neu bewertet
Struktur eines Risk Register-Eintrags
risk:
id: "RISK-KI-042"
title: "Diskriminierung bei automatisierter Kreditbewertung"
# Risikobeschreibung
description: |
Das Kreditbewertungsmodell könnte aufgrund von historischen Bias
in den Trainingsdaten bestimmte demographische Gruppen systematisch
benachteiligen.
# Bewertung
likelihood: medium # low / medium / high / critical
impact: high
risk_level: high # low/medium/high/critical (= likelihood × impact)
# Kontext
affected_groups: ["Kreditbewerber mit Migrationshintergrund"]
ai_system: "credit-scoring-v2"
legal_basis: ["EU AI Act Art. 10", "AGG §7"]
# Behandlung
treatment: mitigate # accept / avoid / transfer / mitigate
mitigations:
- measure: "Regelmäßige Fairness-Audits (quartalsweise)"
owner: team-compliance
status: active
due: "2026-06-30"
- measure: "HITL für Grenzfälle (Score 40-60%)"
owner: team-dev
status: implemented
# Residualrisiko
residual_likelihood: low
residual_impact: medium
residual_risk_level: medium
# Governance
owner: "Max Mustermann (Chief Risk Officer)"
review_date: "2026-08-01"
last_updated: "2026-05-19"
status: "active"Risk Level Matrix
| Gering | Mittel | Hoch | Kritisch | |
|---|---|---|---|---|
| Kritisch | Mittel | Hoch | Kritisch | Kritisch |
| Hoch | Mittel | Hoch | Hoch | Kritisch |
| Mittel | Gering | Mittel | Hoch | Hoch |
| Gering | Gering | Gering | Mittel | Mittel |
Zeilen = Wahrscheinlichkeit, Spalten = Auswirkung
Risk Treatment Strategien
| Strategie | Beschreibung | Wann |
|---|---|---|
| Accept | Risiko bewusst akzeptieren | Restrisiko < Behandlungskosten |
| Avoid | KI-System nicht einsetzen | Risiko zu hoch, keine Minderung möglich |
| Transfer | An Dritte übertragen (Versicherung, Lieferant) | Spezifische externe Risiken |
| Mitigate | Maßnahmen zur Risikoreduktion | Häufigste Strategie |
EU AI Act und ISO 42001
| Anforderung | Dokument | Inhalt |
|---|---|---|
| EU AI Act Art. 9 | Risk Register | Alle Risiken des Hochrisiko-KI-Systems |
| ISO 42001 Kap. 6.1 | Risk Register | Organisationsweite KI-Risiken |
| DSGVO Art. 35 | DSFA | Datenschutz-Risiken (separates Dokument) |
In der Praxis wird oft ein kombiniertes Register geführt.
Lebenszyklusintegration
Design → Training → Deployment → Monitoring → Retirement
↑ ↑ ↑ ↑ ↑
Risk Risk Register Risk Register Risk Register Risk Register
Assess. Initial Updated Continuously Final review引用
"AI Risk Register." Open Cognition Commons Foundation. https://opencognitioncommons.org/zh/glossary/risk-register. CC-BY 4.0. 机器可读元数据
{
"@context": "https://schema.org",
"@type": "DefinedTerm",
"name": "AI Risk Register",
"description": "Ein KI-Risk-Register ist ein strukturiertes, lebendes Dokument das alle identifizierten Risiken eines KI-Systems oder einer KI-Governance-Struktur erfasst, bewertet und mit Behandlungsplänen und Verantwortlichkeiten verknüpft.\n",
"url": "https://opencognitioncommons.org/zh/glossary/risk-register",
"license": "https://creativecommons.org/licenses/by/4.0/",
"alternateName": [
"Risk Register",
"Risikoregister",
"Risikolog"
]
}