Am 22. Januar 2024 wurde der endgültige Text des Gesetzes der Europäischen Union über künstliche Intelligenz (der „AIA“) an die Öffentlichkeit durchgesickert. Es führt zahlreiche neue Verpflichtungen für das gesamte KI-Ökosystem ein, und angesichts der hohen Strafen bei Nichteinhaltung ist es an der Zeit, dass Organisationen aktiv werden.

Dieser Blog führt Sie durch einige der wichtigsten Punkte, die Sie berücksichtigen müssen, um sicherzustellen, dass Ihre Organisation die Vorschriften einhält.

Die Verpflichtungen

Artikel 16 legt die zentralen Verpflichtungen für Anbieter von KI-Systemen mit hohem Risiko fest. Der Kern dieser Compliance-Verpflichtungen für Organisationen liegt in der Einrichtung eines Qualitätsmanagementsystems, eines Risikomanagementsystems, der Erstellung und Pflege detaillierter technischer Dokumentation sowie der Durchführung von Konformitätsbewertungen. Im Folgenden erläutern wir diese Anforderungen Schritt für Schritt und geben praxisnahe Hinweise, die Organisationen dabei unterstützen können, schnell die erforderliche Umsetzungsreife zu erreichen.

Obwohl die rechtliche Verpflichtung zur Einhaltung der in diesem Blog dargestellten Anforderungen in erster Linie für jene KI-Systeme gilt, die der EU-Definition von Hochrisiko entsprechen, bedeutet dies nicht, dass KI-Systeme, die nicht unter diese Spezifikationen fallen, nicht dennoch ein erhebliches Risiko für Ihr Unternehmen darstellen könnten (oder dass sie später nicht aufgrund ihrer Weiterentwicklung unter die Definition fallen). Der AIA ermutigt Organisationen, die Anwendung bestimmter Anforderungen des Rechtsrahmens freiwillig zu übernehmen, und aus unserer Sicht ist dies sinnvoll, um sicherzustellen, dass alle Formen von Risiko erfolgreich gesteuert werden.

Was ist ein Qualitätsmanagementsystem nach dem EU AI Act?

Einer der ersten Schritte auf Ihrem Weg zur Compliance ist die Einrichtung Ihres KI-Qualitätsmanagementsystems („QMS“). Zweck des QMS ist es, sicherzustellen, dass Ihre Organisation gut darauf vorbereitet ist, die von KI ausgehenden Risiken zu steuern. Es ist übergreifend angelegt und sollte in Form von Richtlinien, Verfahren und Anweisungen ausgestaltet sein, die die Regeln dafür festlegen, wie Ihre Organisation mit KI interagiert.

Das QMS muss unter anderem Folgendes umfassen:

1. eine Strategie für die Einhaltung regulatorischer Anforderungen (und entscheidend dabei auch Pläne und Verfahren für den Umgang mit Änderungen am KI-System und/oder an den Vorschriften);

2. Anforderungen an Risikomanagementsysteme (siehe unten);

3. detaillierte technische Dokumentation (ebenfalls siehe unten);

4. Techniken für Design, Designkontrolle und Designverifikation;

5. Verfahren zur Qualitätskontrolle und Qualitätssicherung;

6. Systeme und Verfahren für das Datenmanagement; und

7. die Einrichtung, Implementierung und Aufrechterhaltung eines Post-Market-Überwachungssystems, um sicherzustellen, dass das KI-System während seines gesamten Lebenszyklus mit dem AIA konform bleibt.

Als ersten Schritt sollten Sie eine KI-Richtlinie erstellen, die die oben aufgeführten Punkte abdeckt. Wir haben einen kostenlosen und umfassenden Leitfaden dazu erstellt, wie Sie diese KI-Richtlinien entwerfen können; er ist hier abrufbar.

‍

‍

Was ist ein Risikomanagementsystem nach dem EU AI Act?

Die QMS-Anforderungen verlangen, dass Organisationen in Bezug auf ihre KI ein Risikomanagementsystem („RMS“) einführen.

Hier besteht ein wesentlicher, aber feiner Unterschied zwischen dem QMS und dem RMS – ein QMS beschreibt, wie Sie Risiko managen und Vorschriften unternehmensweit einhalten, während ein RMS beschreibt, wie Sie Risiko managen und Vorschriften in Bezug auf ein einzelnes KI-System einhalten.

Das RMS ist ein kontinuierlicher, iterativer Prozess, der den gesamten Lebenszyklus eines KI-Systems mit hohem Risiko begleitet und eine systematische Überprüfung und Aktualisierung erfordert. Es umfasst die folgenden Schritte:

1. Identifizierung und Analyse der vernünftigerweise vorhersehbaren Risiken, die das KI-System bei bestimmungsgemäßer Verwendung für Gesundheit, Sicherheit oder Grundrechte darstellen kann;

2. eine Einschätzung und Bewertung der Risiken, die bei Verwendung des KI-Systems unter Bedingungen vernünftigerweise vorhersehbaren Fehlgebrauchs entstehen können;

3. Bewertung von Risiken auf Grundlage der Analyse von Daten, die aus dem Post-Market-Überwachungssystem erhoben wurden; und

4. Ergreifung geeigneter und zielgerichteter Risikomanagementmaßnahmen, die darauf ausgelegt sind, alle gemäß den obigen Anforderungen identifizierten Risiken zu adressieren.

Letztlich müssen die durch das RMS identifizierten Risiken so beschaffen sein, dass jedes relevante Restrisiko, das mit einer einzelnen Gefährdung verbunden ist, sowie die gesamten Restrisiken des KI-Systems mit hohem Risiko als akzeptabel bewertet werden. Falls angemessen, sollten geeignete Minderungs- und Kontrollmaßnahmen ergriffen werden, wenn Risiken nicht beseitigt werden können. Darüber hinaus bestehen zusätzliche Anforderungen an Tests sowie weitere Überlegungen hinsichtlich der Auswirkungen des Systems auf Personen unter 18 Jahren.

Was sind die neuen Dokumentationspflichten?

Die QMS-Anforderungen sehen zudem vor, dass Organisationen vor dem Inverkehrbringen eines KI-Systems mit hohem Risiko technische Dokumentation zu erstellen haben. Anhang IV des Gesetzes legt die konkreten Inhalte fest, die diese Dokumentation abdecken sollte. Letztlich muss die Dokumentation ausreichend sein, um den zuständigen Behörden und benannten Stellen die notwendigen Informationen zur Verfügung zu stellen, damit sie sich ein klares und umfassendes Bild von der Konformität des KI-Systems mit den Anforderungen des AIA machen können.  Dies umfasst sämtliche Dokumentation zum QMS und RMS sowie die technische Dokumentation zu Ihrem System.

Wussten Sie, dass einige dieser Dokumentationsanforderungen mithilfe unserer KI-Governance-Lösung automatisiert werden können? Erfahren Sie mehr darüber, wie unsere Funktion „Controls“ dies für Sie automatisieren kann hier und nehmen Sie Kontakt auf, um mehr zu erfahren.

‍

Die Rolle von Standards

Standards werden bei der AIA-Compliance eine zentrale Rolle spielen, und bei Enzai sehen wir bereits, wie sich der Markt um bestimmte Rahmenwerke herum konsolidiert. Das National Institute for Standards in Technology (NIST) hat sein AI Risk Management Framework veröffentlicht, und wir haben mit einer Reihe von Organisationen zusammengearbeitet, um Rahmenwerke zu entwickeln, die diesen Anforderungen entsprechen. Ende 2023 haben die International Standards Organisation (ISO) und die International Electronics Commission (IEC) ihren Standard 42001 eingeführt, und wir arbeiten ebenfalls mit Organisationen an dessen Implementierung. Bitte beachten Sie, dass diese Standards bislang nicht von der EU übernommen wurden und allein daher keine Konformität gewährleisten. Der AIA legt fest, dass eine Organisation sicherstellen muss, dass ihr QMS sämtliche technischen gesetzgeberischen Spezifikationen umfasst, wenn die Anforderungen des AIA nicht vollständig angewendet werden oder nicht alle im AIA festgelegten einschlägigen Anforderungen abdecken.

Es wird einen Mechanismus geben, mit dem bestimmte Standards von der EU genehmigt werden können; und wenn eine Organisation nachweisen kann, dass sie diese Standards erfüllt, gilt eine Vermutung der Konformität mit dem AIA. CEN-CENELEC (das Europäische Komitee für Elektrotechnische Normung) hat das Gemeinsame Technische Komitee 21 „Künstliche Intelligenz“ eingerichtet, um eine Reihe harmonisierter Standards zu erarbeiten. Auch wenn zum Zeitpunkt der Erstellung dieses Textes im Januar 2024 noch kein konkretes Veröffentlichungsdatum für diese Standards festgelegt ist (ebenso wenig wie für ihre Genehmigung durch die EU), erwarten wir angesichts der wichtigen Rolle, die diese Standards für die AIA-Compliance spielen werden, eine Veröffentlichung im zweiten Halbjahr.

Was ist eine Konformitätsbewertung?

Eine Konformitätsbewertung tut genau das, was der Name sagt – sie dient dazu festzustellen, ob ein KI-System mit dem AIA konform ist oder nicht. Das Verfahren zur Konformitätsbewertung hängt von mehreren Variablen ab. Wie oben erwähnt, besteht eine Vermutung der Konformität, wenn ein KI-System die Einhaltung eines Satzes harmonisierter Standards nachweisen kann. Bei bestimmten Systemtypen kann die Konformitätsbewertung auf internen Kontrollen beruhen, bei anderen ist eine Prüfung durch eine externe benannte Stelle erforderlich.

Außerdem wird ein Zertifizierungsverfahren eingerichtet, und genehmigte Systeme dürfen die CE-Kennzeichnung auf ihren Produkten anbringen. Darüber hinaus müssen die meisten Arten von KI-Systemen mit hohem Risiko vor ihrer Inbetriebnahme in einer zentralen EU-Datenbank registriert werden.

Einige dieser operativen Mechanismen benötigen auf Seiten der EU noch etwas Zeit, um eingerichtet zu werden. Sie werden jedoch kommen, und mit der Einrichtung Ihres QMS stellen Sie sicher, dass Sie bereit sind.

… Keine Sorge, wir unterstützen Sie

All diese neuen Anforderungen mögen zunächst etwas überwältigend erscheinen, doch wir sind da, um Sie zu unterstützen. Unsere Lösung für KI-Governance und Risikomanagement wurde von Grund auf so konzipiert, dass sie alle diese Verpflichtungen sofort erfüllt. Unsere Softwareplattform ist genau das Qualitätsmanagementsystem, das nach dem AIA erforderlich ist, und unser Funktionsumfang stellt sicher, dass Sie ein Risikomanagementsystem für sämtliche Ihrer KI-Systeme schnell und effizient einführen können, ohne dass etwas übersehen wird. Wir haben das System so entwickelt, dass selbst dann, wenn Sie mit Standards arbeiten, die Sie möglicherweise nicht vollständig konform machen, Ihr QMS auf Enzai leicht zu übernehmen ist und alle Anforderungen abdeckt.

Wenn Sie mehr darüber erfahren möchten, wie wir Sie unterstützen können, nehmen Sie bitte hier Kontakt mit uns auf.

‍

Enzai ist die führende Plattform für Enterprise-KI-Governance, die speziell dafür entwickelt wurde, Unternehmen den Übergang von abstrakter Policy zu operativer Aufsicht zu erleichtern. Unsere KI-Risikomanagementplattform bietet die spezialisierte Infrastruktur, die erforderlich ist, um agentische KI-Governance zu steuern, ein umfassendes KI-Inventar zu pflegen und die Einhaltung des EU AI Act sicherzustellen. Durch die Automatisierung komplexer Workflows befähigt Enzai Unternehmen dazu, die Einführung von KI mit Zuversicht zu skalieren und dabei die Ausrichtung an globalen Standards wie ISO 42001 und NIST zu wahren.