KI-Konformitätsbewertung: Pflichten und Verfahren nach EU AI Act

Kernaussage: Eine KI-Konformitätsbewertung ist der formelle Nachweis, dass ein Hochrisiko-KI-System die Anforderungen des EU AI Acts erfüllt — vergleichbar mit der CE-Kennzeichnung für physische Produkte.

Was ist eine KI-Konformitätsbewertung?

Die KI-Konformitätsbewertung (engl. Conformity Assessment) ist das Verfahren, durch das Anbieter von Hochrisiko-KI-Systemen nachweisen, dass ihr System die technischen und organisatorischen Anforderungen des EU AI Acts erfüllt.

Nach Artikel 43 des EU AI Acts sind Anbieter von Hochrisiko-KI-Systemen (gemäß Anhang III) verpflichtet, eine solche Bewertung durchzuführen, bevor ihr System auf dem EU-Markt in Verkehr gebracht oder in Betrieb genommen wird.

Die Bewertung umfasst die Prüfung des gesamten Entwicklungs- und Betriebsprozesses: Datenqualität, technische Robustheit, Transparenz, menschliche Aufsicht, Sicherheit und Genauigkeit. Das Ergebnis ist entweder eine Selbstbewertung (für die meisten Hochrisikosysteme) oder eine Drittpartei-Bewertung (für besonders sensible Bereiche wie biometrische Identifizierung).

Verfahrensarten

Interne Kontrolle (Selbstbewertung)

Für die Mehrheit der Hochrisiko-KI-Systeme nach Anhang III ist eine interne Konformitätsbewertung ausreichend. Der Anbieter führt die Prüfung selbst durch, dokumentiert die Ergebnisse und stellt eine EU-Konformitätserklärung aus.

Drittpartei-Bewertung

Für bestimmte sensible Bereiche — insbesondere biometrische Kategorisierung und Fernidentifizierung — ist eine Bewertung durch eine akkreditierte Konformitätsbewertungsstelle (Notified Body) erforderlich.

Hauptprüfbereiche

  • Datensätze und Datenqualität (Artikel 10): Trainingsdaten müssen relevant, repräsentativ und möglichst fehlerfrei sein.
  • Technische Dokumentation (Artikel 11 und Anhang IV): Vollständige Beschreibung des Systems, seiner Fähigkeiten und Grenzen.
  • Protokollierung (Artikel 12): Automatische Aufzeichnung von Ereignissen über die gesamte Lebensdauer.
  • Transparenz (Artikel 13): Verständliche Informationen für Deployer über Zweck, Einschränkungen und Leistung.
  • Menschliche Aufsicht (Artikel 14): Technische Maßnahmen zur effektiven Überwachung durch Menschen.
  • Robustheit und Sicherheit (Artikel 15): Angemessene Genauigkeit, Robustheit und Cybersicherheit.

Praxisbeispiel im DACH-Kontext

HR-Software-Anbieter aus Österreich: Ein Unternehmen, das eine KI-gestützte Recruiting-Plattform vertreibt, führt vor dem EU-Markteintritt eine interne Konformitätsbewertung durch. Diese umfasst: Bias-Tests der Ranking-Algorithmen, Dokumentation der Trainingsdatensätze, Nachweis der menschlichen Aufsicht bei Shortlist-Entscheidungen und Ausstellung einer EU-Konformitätserklärung.

Wie Knowlee die Konformitätsbewertung unterstützt

Knowlee-Kunden erhalten mit der Plattform standardmäßig die Dokumentation, die für eine Konformitätsbewertung ihrer KI-gestützten Prozesse benötigt wird: Audit-Trails, Modell-Metadaten und konfigurierbare Human-in-the-Loop-Checkpoints. Diese Infrastruktur reduziert den Aufwand einer eigenen Konformitätsbewertung erheblich.

FAQ

Wer ist für die Konformitätsbewertung verantwortlich — Anbieter oder Nutzer? Primär der Anbieter (Provider) des Hochrisiko-KI-Systems. Deployer (Unternehmen, die das System einsetzen) haben ergänzende Pflichten, z. B. Sicherstellung angemessener menschlicher Aufsicht und Meldung von Vorfällen.

Muss die Konformitätsbewertung wiederholt werden? Bei wesentlichen Änderungen am System — z. B. Umtraining mit neuen Daten, geänderter Zweck oder neue Deploymentumgebung — ist eine erneute oder aktualisierte Bewertung erforderlich.

Was ist der Unterschied zwischen Konformitätsbewertung und CE-Kennzeichnung? Hochrisiko-KI-Systeme nach EU AI Act müssen nach bestandener Konformitätsbewertung eine CE-Kennzeichnung erhalten und in der EU-Datenbank registriert werden — analog zu physischen Produkten.