Compliance-by-Design: Wie können die Anforderungen der EU-KI-Verordnung erfüllt werden?
Mit der EU-KI-Verordnung (AI Act) schafft die Europäische Union erstmals einen umfassenden Rechtsrahmen für den Einsatz von Künstlicher Intelligenz. Besonders Anbieter von Hochrisiko-KI-Systemen stehen damit vor der Herausforderung, eine Vielzahl an Vorgaben einzuhalten – von Risikomanagement über Daten-Governance bis hin zur CE-Kennzeichnung. Um diese Anforderungen effizient und nachhaltig zu erfüllen, ist ein Compliance-by-Design-Ansatz entscheidend. Das bedeutet, dass regulatorische Vorgaben nicht erst am Ende eines Projekts geprüft werden, sondern von Beginn an systematisch in die Entwicklung integriert sind.
Von Quality-by-Design zu Compliance-by-Design
Während „Quality-by-Design“ darauf abzielt, durchgängig Qualitätsziele wie Genauigkeit, Robustheit oder Fairness sicherzustellen, erweitert „Compliance-by-Design“ diesen Ansatz um regulatorische Vorgaben. In der EU gibt es jedoch keine klassische Zulassung für KI-Systeme und dementsprechend auch keine Zulassungsbehörde für KI-Systeme. Stattdessen erklären Anbieter in Form einer Konformitätserklärung selbst, dass ihr Produkt die gesetzlichen Anforderungen erfüllt. Eine Benannte Stelle überprüft in bestimmten Fällen, ob das der Fall ist und stellt ein Zertifikat aus. Erst dann darf die CE-Kennzeichnung angebracht und das System im Markt vertrieben werden. Die Erfüllung dieser gesetzlichen Rahmenbedingungen führt je nach Art des KI-Systems zu erheblichen Aufwänden auf Seiten der Anbieter und Betreiber von KI-Systemen.
Zentrale Anforderungen für Hochrisiko-KI-Systeme
Die EU-KI-Verordnung schreibt eine Reihe von Maßnahmen vor, die Anbieter zwingend umsetzen müssen. Dazu gehört zunächst ein Risikomanagementsystem (Art. 9), das potenzielle Gefahren systematisch identifiziert und bewertet. Ein weiterer Schwerpunkt liegt auf Daten und Daten-Governance (Art. 10), um sicherzustellen, dass Trainingsdaten von hoher Qualität, repräsentativ und frei von diskriminierenden Verzerrungen sind. Hinzu kommt die Pflicht zur technischen Dokumentation (Art. 11) und zu Aufzeichnungen (Art. 12), die eine vollständige Nachvollziehbarkeit gewährleisten. Auch Transparenzpflichten (Art. 13) und eine angemessene menschliche Aufsicht (Art. 14) sind vorgeschrieben, damit Entscheidungen überprüfbar bleiben. Schließlich stellt die Verordnung Anforderungen an Genauigkeit, Robustheit und Cybersicherheit (Art. 15) und formuliert Kennzeichnungsvorschriften. All diese Punkte fließen in ein umfassendes Qualitätsmanagementsystem ein, das dauerhaft gepflegt werden muss.
Konformitätserklärung und Marktüberwachung
Bevor das KI-System vermarktet werden darf, verlangt die EU-KI-Verordnung eine Konformitätsbewertung (Art. 43), die in der EU-Konformitätserklärung (Art. 47) und dem Anbringen der CE-Kennzeichnung (Art. 48) mündet. Ggf. ist die Einschaltung einer Benannten Stelle durch die Anbieter erforderlich. Anbieter müssen ihre Systeme zudem in ein Register eintragen (Art. 49) und sind verpflichtet, bei auftretenden Problemen Korrekturmaßnahmen einzuleiten sowie Behörden zu informieren (Art. 20). Dafür müssen vorab entsprechende Prozesse aufgebaut werden. Gleichzeitig behalten Marktüberwachungsbehörden die Systeme im Blick (Art. 74), und die Anbieter müssen eine kontinuierliche Überwachung nach dem Inverkehrbringen sicherstellen (Art. 72, 73). Damit wird klar: Compliance endet nicht mit der Produkteinführung, sondern bleibt ein fortlaufender Prozess.
Roadmap: in 10 Schritten zur EU KI-Compliance
Um ein KI-System regelkonform auf den EU-Markt zu bringen, empfiehlt sich eine klare Vorgehensweise, die eine entsprechende Planung voraussetzt. Wir schlagen eine Vorgehensweise in 10 Schritten vor:
1. Roadmap: Wie gehe ich vor?
Erarbeitung eines Ablaufplans für die Entwicklung und Markteinführung fest. Ein strukturierter Projektplan mit klaren Meilensteinen ist die Basis, um regulatorische Anforderungen rechtzeitig einzuarbeiten.
2. Zweck: Was genau soll die KI tun?
Präzise Definition, welche Aufgaben das System erfüllen soll. Nur wenn der Einsatzzweck eindeutig beschrieben ist, lassen sich die passenden regulatorischen Anforderungen bestimmen.
3. Qualifizierung: Handelt es sich um ein KI-System?
Prüfung, ob die Anwendung nach der Definition der EU-KI-Verordnung tatsächlich als KI-System gilt. Das ist entscheidend, um die richtigen Compliance-Pfade einzuschlagen.
4. Risiken: Welche Risikokategorie gilt?
Einordnung des Systems in die passende Risikokategorie. Die EU KI Verordnung verfolgt einen risikobasierten Ansatz. Je geringer die Risiken, desto geringer die regulatorischen Anforderungen und umgekehrt.
5. Gesetze: Welche Gesetze, Richtlinien und Normen gelten?
Davon gibt es viele, nicht nur die EU KI Verordnung. Daher erfolgt hier eine Identifikation aller relevanten rechtlichen Rahmenbedingungen, von den EU Verordnungen über die nationalen Gesetze bis hin zu branchenspezifischen Standards und Guidelines.
6. Akteure: Wer trägt welche Verantwortung?
Klärung, wer welche Rollen als Hersteller, Anbieter, Betreiber oder Zulieferer übernimmt. Verantwortlichkeiten müssen vertraglich und organisatorisch eindeutig geregelt sein. Es ergeben sich unterschiedliche Rechte, Pflichten und (Haftungs-)Risiken.
7. Pflichten: Welche Anforderungen müssen im Detail erfüllt werden?
Erst jetzt kommt das eigentlich Pflichtenheft: Ableitung der konkreten Pflichten und technischen Anforderungen basierend auf der Charakteristik des Produkts, etwa zu Risikomanagement, Daten-Governance, technischer Dokumentation, Transparenzpflichten oder technischen Merkmalen. Hier spielen Normen und andere (technische) Spezifikationen zum Nachweis eine wesentliche Rolle.
8. Konformität: Wie komme ich zur CE-Kennzeichnung?
Durchführung der Konformitätsbewertung, Erstellung der EU-Konformitätserklärung und Anbringen der CE-Kennzeichnung. Dies ist die Voraussetzung für das Inverkehrbringen. Ggf. ist eine Benannte Stelle für eine entsprechende Zertifizierung einzubinden.
9. Überwachung: Was passiert nach dem Inverkehrbringen?
Implementierung eines Monitoring-Systems, das Leistung, Sicherheit und Vorfälle des Produkts überwacht. Anbieter müssen ggf. Korrekturmaßnahmen einleiten und mit Behörden kooperieren.
10. Markt: Welche besonderen Aspekte sind beim Marktzugang zu berücksichtigen?
Beachtung branchenspezifischer oder nationaler Besonderheiten, die über die EU-KI-Verordnung hinausgehen können. Dazu gehören etwa zusätzliche Zertifizierungen oder Anforderungen von Aufsichtsbehörden.
Vorteile und Nutzen der Roadmap
Anbieter von KI Systemen müssen mittlerweile hohe Risiken eingehen, um Innovationen auf den Markt zu bringen. Auflagen und Bürokratie behindern den Marktzugang. Die EU KI Verordnung hat die Situation weiter erschwert. Der Aufwand für eine Vermarktung von KI Systemen wird weiter steigen. Umso wichtiger ist eine detaillierte Planung, was an Aufwand und methodischen Fragen auf einen Anbieter zukommt. Viele Probleme lassen sich frühzeitig umgehen, wenn regulatorische Anforderungen mittels „Compliance-by- Design“ bereits von Beginn an berücksichtigt und Fehlentwicklungen vermieden werden.
An dieser Stelle liefert die Roadmap wesentliche Informationen und hilft, auch die wirtschaftlichen Risiken des Projekts richtig zu bewerten. Möglich wird eine Abschätzung des voraussichtlichen Arbeits- und Kostenaufwands für den gesamten Compliance-Prozess. Auch weitere Kosten, etwa für Lizenzen, Registrierungen, Prüfleistungen oder die Einbindung einer Benannte Stelle, sowie eine Schätzung der Gesamtkosten sind möglich.
Ein weiterer Vorteil ergibt sich für kleinere, junge oder branchenneue Technologieunternehmen. Hier sind die Projekte oft durch externe Geldgeber finanziert. Die Roadmap hilft, richtige Annahmen bei der Darstellung der Finanzierung zu treffen und Vertrauen bei den Geldgebern zu schaffen. Oft wird der Compliance-Aufwand deutlich unterschätzt.
Fazit
Die EU-KI-Verordnung stellt zusätzliche Anforderungen an den Einsatz von KI-Systemen. Unternehmen, die frühzeitig auf einen Compliance-by-Design-Ansatz setzen und planerisch vorgehen, profitieren gleich doppelt: Sie vermeiden nicht nur regulatorische Risiken, sondern schaffen auch Vertrauen bei Kunden, Financiers und Behörden. Wer Compliance von Beginn an in die Entwicklung integriert, spart sich spätere Nachbesserungen, verkürzt die Time-to-Market und positioniert sich als verantwortungsvoller KI-Anbieter.