Vorbereitung auf die Anwendungsprüfung

Schlüsselpunkte:
Stellen Sie sicher, dass Ihr KI-System den Anforderungen des EU KI-Gesetzes entspricht, sammeln Sie alle erforderlichen Dokumente, wählen Sie gegebenenfalls eine benannte Stelle und reichen Sie eine vollständige Bewerbung ein.

Überblick

Als Unternehmen in der zweiten höchsten Risikoklasse (hochriskant) nach dem EU KI-Gesetz müssen Sie eine Konformitätsbewertung durchführen, bevor Ihr System auf den Markt gebracht oder in Betrieb genommen wird. Da Sie bereits die Normen erfüllen, die Nutzung von KI transparent aufzeigen und die Dokumentationsanforderungen erfüllen, sind Sie gut auf dem Weg. Die Anwendungsprüfung bezieht sich wahrscheinlich auf die Überprüfung Ihrer Bewerbung für die Konformitätsbewertung durch eine benannte Stelle, falls erforderlich.

Schritte zur Vorbereitung

Klassifizierung bestätigen: Vergewissern Sie sich, dass Ihr KI-System korrekt als hochriskant klassifiziert ist, gemäß Artikel 6 und Anhang III des EU KI-Gesetzes.
Konformitätsbewertung verstehen: Entscheiden Sie, ob eine interne Bewertung oder eine Bewertung durch eine benannte Stelle erforderlich ist. Dies hängt von Ihrem System und den angewandten harmonisierten Standards ab.
Dokumentation vorbereiten: Stellen Sie sicher, dass Sie alle erforderlichen Dokumente haben, einschließlich Risikomanagementsystems, Datenführung, technischer Dokumentation, Transparenzmaßnahmen, menschlicher Überwachung, Genauigkeit, Robustheit, Cybersicherheit und einem Qualitätsmanagementsystem.
Benannte Stelle wählen (falls zutreffend): Wenn eine Drittpartei-Bewertung erforderlich ist, wählen Sie eine benannte Stelle und verstehen Sie deren spezifische Anforderungen.
Bewerbung einreichen: Reichen Sie eine vollständige und genaue Bewerbung für die Konformitätsbewertung ein und seien Sie bereit, auf Rückmeldungen zu reagieren.
System registrieren: Nach erfolgreicher Bewertung registrieren Sie Ihr System in der EU-Datenbank gemäß Artikel 49, bevor es auf den Markt gebracht oder in Betrieb genommen wird.

Interessanter Fakt

Es ist überraschend, dass für einige hochriskante KI-Systeme eine Drittpartei-Bewertung verpflichtend ist, insbesondere bei biometrischen Systemen, was zusätzliche Kosten und Komplexität mit sich bringen kann.

Detaillierter Bericht zur Vorbereitung auf die Anwendungsprüfung

Dieser Bericht bietet eine umfassende Analyse der Vorbereitung auf die Anwendungsprüfung für ein Unternehmen, das unter dem EU KI-Gesetz (Regulation (EU) 2024/1689) in der zweiten höchsten Risikoklasse (hochriskant) arbeitet. Angesichts der Aussage, dass die Normen erfüllt, die Nutzung von KI transparent aufzeigen und die Dokumentationsanforderungen erfüllt sind, wird der Fokus auf den nächsten Schritten zur Vorbereitung der Anwendungsprüfung gelegt. Die Analyse basiert auf den Bestimmungen des EU KI-Gesetzes und unterstützenden Ressourcen.

Hintergrund und Kontext

Das EU KI-Gesetz, veröffentlicht am 12. Juli 2024 und in Kraft getreten am 1. August 2024, ist das weltweit erste umfassende rechtliche Rahmenwerk für KI. Es klassifiziert KI-Systeme in vier Risikostufen: minimal, begrenzt, hochriskant und unakzeptabel. Hochriskante Systeme, die in Anhang III aufgeführt sind, unterliegen strengen Anforderungen, einschließlich einer Konformitätsbewertung vor Markteinführung oder Inbetriebnahme. Die zweite höchste Risikoklasse entspricht hochriskanten Systemen, die signifikante Risiken für Gesundheit, Sicherheit oder grundlegende Rechte darstellen können.

Die Konformitätsbewertung stellt sicher, dass das KI-System den Anforderungen des Gesetzes entspricht, wie in Titel III, Kapitel 2 festgelegt, einschließlich Risikomanagement, Datenführung und Transparenz. Die Anwendungsprüfung bezieht sich vermutlich auf die Überprüfung der Bewerbung für diese Bewertung, insbesondere wenn eine benannte Stelle (notified body) beteiligt ist.

Klassifizierung und Risikostufen

Die Risikostufen des EU KI-Gesetzes sind wie folgt definiert:

Unakzeptabel: Verboten, z. B. soziale Bewertungssysteme durch Regierungen.
Hochriskant: Unterliegt strengen Anforderungen, z. B. KI in kritischer Infrastruktur oder Strafverfolgung.
Begrenzt: Transparenzpflichten, z. B. Chatbots.
Minimal: Keine wesentlichen Verpflichtungen, z. B. Spiele oder Spam-Filter.

Da Ihr System hochriskant ist, müssen Sie die Anforderungen von Anhang III erfüllen, einschließlich potenzieller Drittpartei-Bewertungen für bestimmte Systeme, wie biometrische Identifikation.

Konformitätsbewertung: Prozess und Anforderungen

Gemäß Artikel 43 des EU KI-Gesetzes ist eine Konformitätsbewertung vor Markteinführung oder Inbetriebnahme erforderlich. Diese kann intern durchgeführt werden (Anhang VI) oder durch eine benannte Stelle, abhängig von:

Ob harmonisierte Standards gemäß Artikel 40 angewendet wurden.
Ob das System bestimmte Kategorien erfüllt, z. B. biometrische Systeme, die eine Drittpartei-Bewertung erfordern.

Die Bewertung überprüft die Einhaltung folgender Anforderungen:

Risikomanagementsystem (Artikel 9): Identifizierung, Bewertung und Minderung von Risiken.
Daten und Datenführung (Artikel 10): Hohe Datenqualität und Datenschutzkonformität.
Technische Dokumentation (Artikel 11): Detaillierte Beschreibung von Design, Entwicklung und Betrieb.
Transparenz und Information (Artikel 13): Klare Kommunikation mit Nutzern über Fähigkeiten und Grenzen.
Menschliche Überwachung (Artikel 14): Mechanismen für menschliche Kontrolle und Eingriff.
Genauigkeit, Robustheit und Cybersicherheit (Artikel 15): Sicherstellung von Zuverlässigkeit und Sicherheit.
Qualitätsmanagementsystem (Artikel 17): Lebenszyklus-übergreifende Qualitätssicherung.

Für interne Bewertungen müssen Sie selbst nachweisen, dass diese Anforderungen erfüllt sind, während bei Drittpartei-Bewertungen eine benannte Stelle die Einhaltung überprüft.

Registrierung und Anwendungsprüfung

Nach erfolgreicher Konformitätsbewertung müssen Sie Ihr System gemäß Artikel 49 in der EU-Datenbank registrieren, bevor es auf den Markt gebracht oder in Betrieb genommen wird. Die Registrierung erfordert Informationen gemäß Anhang VIII, einschließlich:

Kontaktdaten des Anbieters.
Name und Version des KI-Systems.
Beschreibung des vorgesehenen Zwecks.
Beschreibung der verwendeten Daten.
Status des Systems (z. B. auf dem Markt, zurückgerufen).
Identifikationsnummer der benannten Stelle, falls zutreffend.

Die Anwendungsprüfung bezieht sich vermutlich auf die Überprüfung Ihrer Bewerbung für die Konformitätsbewertung durch eine benannte Stelle, falls eine Drittpartei-Bewertung erforderlich ist. Dies umfasst die Einreichung aller Dokumente und die Bereitschaft, auf Rückfragen zu reagieren.

Vorbereitungsschritte

Angesichts Ihrer Aussage, dass Sie die Normen erfüllen, die Nutzung von KI transparent aufzeigen und die Dokumentationsanforderungen erfüllen, sollten Sie Folgendes tun:

Klassifizierung bestätigen: Überprüfen Sie, ob Ihr System korrekt als hochriskant klassifiziert ist, basierend auf Anhang III.
Bewertungsart festlegen: Entscheiden Sie, ob eine interne oder Drittpartei-Bewertung erforderlich ist. Für biometrische Systeme ist eine Drittpartei-Bewertung verpflichtend, was zusätzliche Kosten und Komplexität mit sich bringen kann.
Dokumentation vervollständigen: Stellen Sie sicher, dass alle oben genannten Anforderungen dokumentiert sind, einschließlich Risikomanagement, Datenführung und technischer Dokumentation.
Benannte Stelle wählen: Falls eine Drittpartei-Bewertung erforderlich ist, wählen Sie eine benannte Stelle und verstehen Sie deren spezifische Anforderungen, z. B. durch deren Richtlinien.
Bewerbung vorbereiten: Kompilieren Sie alle erforderlichen Dokumente und stellen Sie sicher, dass die Bewerbung vollständig und genau ist. Führen Sie gegebenenfalls eine interne Prüfung durch, um Lücken zu identifizieren.
Bewerbung einreichen: Reichen Sie die Bewerbung bei der benannten Stelle ein oder führen Sie die interne Bewertung durch, je nach Wahl.
Rückmeldungen bearbeiten: Seien Sie bereit, auf Rückfragen oder Anforderungen während des Bewertungsprozesses zu reagieren und Anpassungen vorzunehmen.
Registrierung planen: Nach erfolgreicher Bewertung registrieren Sie Ihr System in der EU-Datenbank, wobei Sie die in Anhang VIII aufgeführten Informationen bereitstellen.

Praktische Überlegungen

Es ist ratsam, interne Tests oder Pilotprojekte durchzuführen, um die Leistungsfähigkeit und Konformität Ihres Systems zu verifizieren. Zudem sollten Sie sich über spezifische Richtlinien von benannten Stellen informieren, da diese variieren können. Da das EU KI-Gesetz neu ist, könnten harmonisierte Standards noch nicht vollständig entwickelt sein, was die Bewertung erschweren könnte. In solchen Fällen können Sie auf vorhandene Leitfäden, wie die von der Universität Oxford entwickelte capAI-Methode, zurückgreifen (capAI).

Tabelle: Überblick über Konformitätsanforderungen

Anforderung	Artikel	Beschreibung
Risikomanagementsystem	9	Identifizierung, Bewertung und Minderung von Risiken.
Daten und Datenführung	10	Hohe Datenqualität, Datenschutzkonformität.
Technische Dokumentation	11	Detaillierte Beschreibung von Design, Entwicklung und Betrieb.
Transparenz und Information	13	Klare Kommunikation mit Nutzern über Fähigkeiten und Grenzen.
Menschliche Überwachung	14	Mechanismen für menschliche Kontrolle und Eingriff.
Genauigkeit, Robustheit, Cybersicherheit	15	Sicherstellung von Zuverlässigkeit und Sicherheit.
Qualitätsmanagementsystem	17	Lebenszyklus-übergreifende Qualitätssicherung.

Zusätzliche Überlegungen

Für bestimmte hochriskante Systeme, wie die in Anhang III aufgelisteten, kann ein Test unter realen Bedingungen gemäß Artikel 60 erforderlich sein. Dies erfordert die Einreichung eines Testplans bei der zuständigen Behörde des EU-Mitgliedstaats, in dem der Test durchgeführt wird. Dies könnte zusätzliche Vorbereitung erfordern, insbesondere in Bezug auf informierte Zustimmung und Datenschutz.

Fazit

Ihre bestehende Einhaltung der Normen und Dokumentationsanforderungen ist ein starker Ausgangspunkt. Durch die oben genannten Schritte können Sie sicherstellen, dass Sie für die Anwendungsprüfung gut vorbereitet sind und die regulatorischen Anforderungen des EU KI-Gesetzes erfüllen. Es ist ratsam, sich regelmäßig über Entwicklungen und Leitfäden zu informieren, insbesondere da harmonisierte Standards noch entwickelt werden.