Der Entwurf des EU-KI-Gesetzes verfolgt einen vorsorglichen und risikobasierten Ansatz für KI, und dazu wurden vier verschiedene Risikokategorien festgelegt, in die KI-Systeme sortiert werden können. Diese Risikokategorien sollen die Gesundheit, Sicherheit und die grundlegenden Menschenrechte von Menschen schützen, die mit KI-Systemen in Kontakt kommen. 

Als Hochrisikosysteme konzipierte Systeme sind nicht von der Verwendung ausgeschlossen, aber sie haben mehr Anforderungen, die sie erfüllen müssen, bevor sie für die Öffentlichkeit eingesetzt werden können, und eine dieser Anforderungen wird einer Konformitäts-Bewertung (oder CA) unterzogen. 

Laden Sie den Leitfaden herunter, der in Zusammenarbeit mit dem Future of Datenschutz Forum entwickelt wurde, hier .

Was ist eine Konformitäts-Bewertung?

Artikel 3 des KI-Gesetzes zum Entwurf definiert Konformitätsbewertungen als den Prozess der Überprüfung und/oder des Nachweises, dass ein Hochrisikosystem bestimmte Anforderungen erfüllt, die im Gesetz festgelegt sind. Diese Anforderungen sind:

1. Risikomanagement-System
   
   
2. Data Governance
   
   
3. Technische Dokumentation
   
   
4. Verzeichnisführung
   
   
5. Die Transparenz und Bereitstellung von Informationen
   
   
6. Menschliche Aufsicht
   
   
7. Genauigkeit, Robustheit und Cybersicherheit 

Anbieter von KI-Systemen mit hohem Risiko müssen diese Anforderungen erfüllen, bevor ihr System in den Verkehr gebracht werden kann, wodurch Einzelpersonen vor den potenziellen Schäden geschützt werden, die ein System mit hohem Risiko darstellt. CAs sind wichtige Tools, wenn es um die Rechenschaftspflicht von Systemen mit hohem Risiko geht. Daher ist es für Ihr KI-Governance-Programm ebenso wichtig zu verstehen, wie und wo sie arbeiten. 

Muss ich eine Konformitäts-Bewertung durchführen?

Ob Sie eine CA durchführen müssen oder nicht, hängt von den Antworten auf mehrere Fragen ab. So können Sie feststellen, ob Sie tatsächlich eine CA durchführen müssen:

Fallen Sie zunächst unter die Gerichtsbarkeit des AI Act? Und wird das System, das Sie nutzen möchten, nach Artikel 3(1) des Gesetzes tatsächlich als KI-System betrachtet? Wenn nicht, sind Sie fertig – Sie müssen keine CA durchführen. Gleiches gilt, wenn Ihr System nicht als Hochrisikosystem gilt; nur Systeme, die nach dem EU AI Act als Hochrisikosystem eingestuft werden, müssen einer Konformitäts-Bewertung unterzogen werden.

Laden Sie die vollständige Infografik herunter: Bewertung EU-AIA-Konformitätsbewertung: Eine Schritt-für-Schritt-Anleitung

Der andere entscheidende Faktor ist Ihre Rolle im System. Wenn Sie der Anbieter des Systems oder ein verantwortlicher Akteur sind, dann sind Sie für die Durchführung der CA zuständig. Normalerweise sind der Anbieter und der verantwortliche Schauspieler dieselbe Partei, aber es gibt bestimmte Ausnahmen, bei denen der verantwortliche Schauspieler jemand anderes ist. 

Zuständige Akteure können ein Vertriebshändler, Importeur, Einsetzer oder eine andere Drittpartei sein, die KI unter ihrem Namen oder ihrer Marke verwendet. Die genauen rechtlichen Anforderungen, ob oder wann jemand anderes als der Anbieter die CA durchführen müsste, sind noch nicht festgelegt. 

Wann sollte ich eine Konformitäts-Bewertung durchführen?

Sobald Sie festgestellt haben, dass eine CA erforderlich ist, geht es darum, wann. Es gibt einen korrekten Zeitplan, wann Konformitätsbewertungen durchgeführt werden sollten: 

• Ex ante (vor dem Ereignis): Die CA muss durchgeführt werden, bevor das KI-System auf den EU-Markt gebracht wird – d. h. bevor es für die öffentliche Nutzung verfügbar gemacht wird.
  
  
• Ex-Post (nach der Veranstaltung): Nachdem ein Hochrisikosystem auf den Markt gebracht wurde, ist eine neue CA erforderlich, wenn/wenn das System wesentlichen Änderungen unterzogen wird. Es ist zu beachten, dass dies nicht bedeutet, dass das System nach der Markteinführung weiterlernt (wie es bei Modellen der Fall ist); vielmehr bezieht es sich auf alle Änderungen, die die Compliance des Systems mit den von der CA gemessenen Anforderungen erheblich beeinträchtigen würden. 

Wer führt tatsächlich Konformitätsbewertungen durch?

Konformitätsbewertungen können auf zwei Arten durchgeführt werden: entweder intern oder durch einen Prozess von Dritten. Wie die Namen vermuten lassen, werden interne CAs vom Anbieter (oder dem verantwortlichen Akteur) durchgeführt, während externe CAs von einer externen „benachrichtigten Stelle“ durchgeführt werden. 

Artikel 43 des KI-Gesetzes legt eine explizitere Anleitung dar, welche Fälle eine interne CA erfordern und welche einen Prozess von Dritten durchlaufen sollten; in dieser Schritt-für-Schritt-Anleitung finden Sie auch detailliertere Schritte für jeden Prozess.

Umsetzung der Konformität mit Anforderungen an Hochrisikosysteme 

Wie bereits erwähnt, zielen CAs darauf ab, zu überprüfen, ob Hochrisikosysteme alle sieben Anforderungen erfüllen – Risikomanagement, Data Governance, technische Dokumentation, Datensatz-Aufbewahrung, Transparenz, menschliche Beaufsichtigung und Genauigkeit, Robustheit und Cybersicherheit – wie im AI Act dargelegt.

Sofern nicht anders angegeben, sollten alle diese Anforderungen erfüllt werden, bevor das KI-System in Betrieb genommen wird oder in den Markt eintritt. Sobald das System verwendet wird, muss der Anbieter auch während des gesamten Lebenszyklus des Systems eine kontinuierliche Compliance gewährleisten. 

Bei der Bewertung dieser Anforderungen muss der beabsichtigte Zweck der Verwendung des Systems berücksichtigt werden, ebenso wie der vernünftigerweise vorhersehbare Missbrauch dieses Systems. 

Verwenden Sie diesen Leitfaden, um tiefer in die verschiedenen Anforderungen einzutauchen und zu sehen, wie sich Compliance und Implementierung für jede von ihnen auswirken.