Harbinger ExplorerHarbinger Explorer

EU AI Act — Klassifikations-Statement

Warum Harbinger Explorer kein Hochrisiko-KI-System nach Anhang III ist und welche Transparenzpflichten wir erfüllen.

Version 1.0Wirksam ab 2026-04-17Trust-Hub

Position. Der Dienst ist ein allgemeines Datenanalyse-Werkzeug mit optionaler generativer KI-Unterstützung. Er erfüllt keine der in Anhang III der Verordnung (EU) 2024/1689 (der "EU AI Act") aufgelisteten Anwendungsfälle und ist daher nicht als Hochrisiko-KI eingestuft. Er unterliegt jedoch den Transparenzpflichten aus Titel IV. Im Folgenden die Begründung, geschrieben so, dass das Compliance-Team eines Kunden die Analyse nachvollziehen kann.

1. Was der Dienst tut

Der Dienst ermöglicht das Hochladen von Datendateien (CSV, XLSX, JSON, PDFs, Sheets), das Browsen im Workspace, das natürlichsprachliche Befragen eines KI-Agenten und den Export der entstehenden Analysen. Der Agent generiert SQL, Charts und narrative Erklärungen gegen die hochgeladenen Daten.

Er tut nicht:

  • natürliche Personen bewerten oder ranken (kein Scoring von Individuen anhand sozialer, finanzieller, beruflicher oder verhaltensbezogener Metriken zur Entscheidungsfindung über sie);
  • Zugang zu öffentlichen Diensten, Gesundheit, Justiz, Krediten, Beschäftigung, Bildung, Migration, Asyl oder Strafverfolgung bestimmen;
  • biometrische Identifikation, Kategorisierung oder Emotionsableitung durchführen;
  • Deepfake-Medien erzeugen, die zur Täuschung über die Identität einer natürlichen Person dienen.

2. Anhang-III-Walkthrough (Art. 6 Abs. 2)

Wir gehen Anhang III Zeile für Zeile durch. Jeder Eintrag dokumentiert Schlussfolgerung + strukturellen Grund.

Anhang-III-BereichTrifft zu?Begründung
1 — BiometrieNeinWir erfassen, ableiten oder verarbeiten keine biometrischen Daten.
2 — Kritische InfrastrukturNeinWir sind ein SaaS-Datentool; wir sind kein Sicherheitsbestandteil von Straßen-, Schienen-, Luft-, Wasser-, Gas-, Strom- oder Internet-Netzwerken.
3 — Bildung und berufliche BildungNeinWir bestimmen weder Zulassungen noch evaluieren wir Studierende oder erkennen Prüfungs-Cheating. Kunden dürfen den Dienst pädagogisch nutzen; das ändert die Klassifikation nicht.
4 — Beschäftigung, Arbeitnehmer-Management, Selbständigen-ZugangNeinWir sind ein allgemeines Werkzeug. Kunden dürfen HR-Daten analysieren, aber der Dienst rankt oder filtert keine Bewerber autonom, überwacht keine Arbeitnehmer und bewertet keine Performance. Der Agent trifft keine Entscheidung; er liefert strukturierte Information für den menschlichen Entscheider.
5 — Zugang zu wesentlichen DienstleistungenNeinWir sind nicht eingebettet in Eligibilitätssysteme für öffentliche Leistungen, Kredit-Scoring, Lebens-/Krankenversicherungs-Pricing oder Notruf-Dispatch.
6 — StrafverfolgungNeinWir liefern keine Profiling-, Rückfall-Vorhersage-, Beweis-Zuverlässigkeits- oder Polygraph-Funktionen an Strafverfolgungsbehörden.
7 — Migration, Asyl und GrenzkontrolleNeinNicht in solchen Workflows eingesetzt.
8 — Justiz und demokratische ProzesseNeinNicht in solchen Workflows eingesetzt. Wir unterstützen keine Richter, scoren keine Rechtsdokumente auf Outcomes und generieren keine wahlrelevanten Medien.

Schlussfolgerung. Keine Zeile trifft zu. Der Dienst erfüllt damit das Anhang-III-Hochrisiko-Kriterium nach Art. 6 Abs. 2 nicht.

3. Art. 5 — Verbotene Praktiken

Wir bestätigen, dass keines der Verbote aus Art. 5 zutrifft. Insbesondere:

  • keine subliminalen oder manipulativen Techniken, die Verhalten wesentlich verzerren;
  • keine Ausnutzung von Vulnerabilitäten (Alter, Behinderung, sozio-ökonomische Lage);
  • kein Social-Scoring natürlicher Personen;
  • keine Echtzeit-Remote-Biometrie-Identifikation in öffentlich zugänglichen Räumen;
  • kein ungezieltes Scraping von Gesichtsbildern.

4. Transparenzpflichten, die wir erfüllen (Art. 50)

Auch wenn wir nicht hochrisikoklassifiziert sind, erfüllen wir die Transparenzpflichten aus Art. 50:

  • KI-Interaktions-Offenlegung. Die Agent-UI kennzeichnet jede vom Assistenten verfasste Nachricht als maschinell erzeugt. Workspace-Banner, Reply-Chrome des Agenten und die Dokumentations-Seite identifizieren den Assistenten als KI-Agenten.
  • Markierung synthetischer Inhalte. Wenn der Dienst maschinengenerierten Text, Charts oder narrative Erklärungen als Datei exportiert, enthält der Export Provenance-Metadaten (generated_by: harbinger-explorer-agent, Agent-Version, Modell-Kennung).
  • Deepfake-Disclosure. Der Dienst erzeugt keine Audio-, Video- oder fotorealistischen Bildinhalte natürlicher Personen.

5. Foundation-Model-Nutzung (Art. 28a)

Wir konsumieren Foundation-Modelle Dritter (Google Vertex AI, optional Anthropic / OpenAI unter BYOK). Wir trainieren, feintunen oder adaptieren keine Foundation-Modelle auf Kundendaten.

6. Risikobasierte Kontrollen

Auch außerhalb des Hochrisiko-Regimes setzen wir äquivalente Maßnahmen um:

  • dokumentierte Daten-Governance-Praktiken (/trust/security §1, §3, §7),
  • Menschliche Aufsicht als Default (der Agent wendet Governance-Änderungen nie automatisch an — jede Transformation erfordert explizite Nutzer-Bestätigung),
  • technische Robustheit (lib/server/circuit-breaker.ts, persistentes Rate-Limiting, Error-Capture-Aggregation),
  • Aufzeichnungen (admin_audit hash-verkettetes Log).

7. Compliance-Roadmap

  • Jetzt. Dieses Statement veröffentlicht; Transparenz-Labels in Produktion; Art. 30 Records auto-generiert.
  • Q3 2026. Externer Pen-Test vor Launch.
  • Laufend. Anhang-III-Walkthrough quartalsweise wiederholen, insbesondere vor jeder neuen Agent-Fähigkeit, die einen Anhang-III-Bereich berühren könnte.

8. Kontakt

Fragen zu dieser Klassifikation oder kunden-spezifische Risikobewertungen gehen an dpa@harbingerexplorer.com.

Dokumentversion: 1.0 — Wirksam ab: 2026-04-17