Konformitätsbewertung
Hochrisiko-KI-Systeme dürfen erst nach erfolgreicher Konformitätsbewertung in Verkehr gebracht oder in Betrieb genommen werden. Die Bewertung ist Pflicht des Anbieters und folgt einem Modulsystem, wie es aus dem EU-Produktsicherheitsrecht bekannt ist. Wer harmonisierte Normen anwendet, profitiert von einer Konformitätsvermutung. Ohne harmonisierte Normen muss tiefer dokumentiert werden.
Welches Modul greift
Anhang VI: Selbstbewertung auf Basis interner Kontrollen, Standard für die meisten Hochrisiko-Systeme nach Anhang III. Anhang VII: Bewertung mit notifizierter Stelle, Pflicht für biometrische Identifizierungssysteme und einige Sicherheitskomponenten. Die Wahl des Moduls richtet sich nach dem konkreten System und nach der Anhangliste.
Was die Bewertung umfasst
Risikomanagementsystem (Art. 9). Daten und Daten-Governance (Art. 10). Technische Dokumentation (Art. 11, mit detaillierten Anforderungen aus Anhang IV). Aufzeichnungspflichten (Art. 12). Transparenz und Information für Betreiber (Art. 13). Menschliche Aufsicht (Art. 14). Genauigkeit, Robustheit, Cybersicherheit (Art. 15).
Harmonisierte Normen
CEN-CENELEC arbeitet an Normen, die die Anforderungen der EU-KI-Verordnung technisch konkretisieren. ISO/IEC 42001 ist der wahrscheinlichste Anker für die Anforderungen an Managementsysteme. ISO/IEC 5469 (KI-Funktionssicherheit) und ISO/IEC TR 24028 (Vertrauenswürdigkeit) ergänzen das Bild. Veröffentlichungen werden für 2026/2027 erwartet.
Technische Dokumentation
Anhang IV listet zehn Themenfelder, die zu dokumentieren sind: Allgemeine Beschreibung, Beschreibung der Bestandteile und Schnittstellen, detaillierte Modellinformationen, Datenverarbeitung, menschliche Aufsicht, Performance-Messung, Risikomanagement, Änderungsmanagement, harmonisierte Normen, EU-Konformitätserklärung. Die Detailtiefe ist Aufsichtspflicht, nicht Marketingmaterial.
EU-Konformitätserklärung und CE-Kennzeichnung
Vor dem Inverkehrbringen ist eine schriftliche EU-Konformitätserklärung des Anbieters erforderlich. CE-Kennzeichnung am System oder in der Begleitdokumentation. Bei Bewertung mit notifizierter Stelle ist deren Kennnummer zu ergänzen. Aufbewahrungsfrist: 10 Jahre nach Inverkehrbringen.
Registrierung und laufende Pflichten
Hochrisiko-Systeme nach Anhang III sind in der EU-Datenbank zu registrieren (Art. 71). Schwerwiegende Vorfälle sind innerhalb der gesetzlichen Frist an die Marktüberwachungsbehörde zu melden (Art. 73). Wesentliche Änderungen am System lösen eine erneute Konformitätsbewertung aus. Risikobehandlung erfolgt laufend über den gesamten Lebenszyklus.
Diese deutsche Fassung wird laufend ausgebaut. Für ein konkretes Projekt nutzen Sie bitte das Beratungsgespräch oder schreiben an info@ainora.lt.