KI-Konformitätsbewertung

Die KI-Konformitätsbewertung ist ein formaler Prozess zur Überprüfung, ob ein KI-System die gesetzlichen Vorgaben der EU-KI-Verordnung (AI Act) erfüllt. Dabei wird analysiert, ob das System sicher, transparent und technisch robust ist, bevor es im Unternehmen eingesetzt oder am Markt angeboten wird. Je nach Risikoklasse des Systems variiert der Prüfaufwand erheblich. Es geht dabei nicht nur um die technische Funktionsweise des Codes, sondern um den gesamten Lebenszyklus inklusive der Dokumentation, der Qualität der verwendeten Trainingsdaten und eines begleitenden Risikomanagements.

Für den deutschen Mittelstand ist dieses Verfahren entscheidend, um Rechtssicherheit zu erlangen und kostspielige Sanktionen durch Aufsichtsbehörden zu vermeiden. Da der EU AI Act eine ähnliche Strahlkraft wie die DSGVO besitzt, müssen IT-Entscheider Compliance-Fragen bereits in der Konzeptionsphase mitdenken. Eine erfolgreich durchlaufene Konformitätsbewertung dient zudem als wettbewerbsrelevantes Qualitätssiegel, da sie Kunden und Geschäftspartnern signalisiert, dass die eingesetzte Technologie ethische und technische Mindeststandards einhält. Ohne diese Prüfung drohen bei Hochrisiko-Systemen empfindliche Bußgelder und im schlimmsten Fall ein Marktausschluss.

Ein praktisches Beispiel ist ein deutsches Softwarehaus, das ein KI-gestütztes System zur automatisierten Vorsortierung von Bewerbern für Großunternehmen entwickelt. Da diese Anwendung direkten Einfluss auf die Erwerbsbiografien von Menschen hat, wird sie als Hochrisiko-KI eingestuft. Im Rahmen der Konformitätsbewertung muss das Unternehmen nachweisen, dass die Trainingsdaten keine diskriminierenden Muster enthalten, eine detaillierte technische Dokumentation vorliegt und eine menschliche Aufsicht während des Betriebs jederzeit gewährleistet ist. Erst nach dieser Verifizierung darf die Software rechtskonform innerhalb der EU betrieben werden.

Aktuell konkretisieren europäische Standardisierungsorganisationen wie CEN und CENELEC die technischen Details für diese Prüfverfahren. IT-Leiter sollten frühzeitig klären, ob sie rechtlich als Anbieter einer KI-Lösung auftreten oder lediglich als Betreiber, da die Verantwortlichkeiten stark variieren. Da für bestimmte Risikoklassen externe Prüfstellen, sogenannte Notified Bodies, hinzugezogen werden müssen, ist es ratsam, entsprechende Zertifizierungszeiträume und Budgets bereits jetzt in die Roadmap aufzunehmen, um spätere Engpässe bei der Marktzulassung zu vermeiden.