EU KI-Gesetz: Checkliste für die Einhaltung und Risikomanagement

EU AI Act Prüfungscheckliste

Die folgende Checkliste dient der Identifizierung und Verwaltung von Risiken im Zusammenhang mit Künstlicher Intelligenz (KI) gemäß dem EU AI Act. Sie umfasst verschiedene Kategorien, von der Risikobewertung bis zur regulatorischen Einhaltung.

1. Risikobewertung und -klassifizierung

• Bestimmen, ob die KI unter die Kategorien unvertretbares, hohes, begrenztes oder minimales Risiko fällt.
• Überprüfen, ob es sich um Allzweck-KI (GPAI) oder ein agentisches System mit Autonomie handelt.
• Kartierung des geografischen Anwendungsbereichs (EU AI Act, DSGVO, nationale Gesetze, globale Märkte).

2. Governance und Verantwortlichkeit

• Zuweisung eines klaren verantwortlichen Eigentümers für die KI-Compliance.
• Einrichtung eines Governance-Rahmenwerks für KI (Richtlinien, Ausschüsse, Eskalationswege).
• Definition der Rollen für Anbieter, Bereitsteller, Verteiler, Importeur gemäß dem EU AI Act.

3. Datenmanagement und -qualität

• Stellen Sie sicher, dass Datensätze repräsentativ, relevant und dokumentiert sind.
• Durchführen von Bias- und Fairness-Audits während der Datenvorbereitung.
• Anwendung von Datenverarbeitung durch Design (Minimierung, Anonymisierung, rechtliche Grundlage).

4. Design und Entwicklung

• Durchführen von Risikoanalysen in jeder Entwicklungsphase.
• Dokumentation von Modelldesign, Training und Einschränkungen.
• Implementierung von Sicherheit durch Design (robuste gegen Angriffe, Penetrationstests).

5. Transparenz und Dokumentation

• Führen Sie technische Dokumentationen (Modellkarten, Datensätze, beabsichtigte Verwendung).
• Bereitstellen von Gebrauchsanweisungen für nachgelagerte Bereitsteller.
• Klarstellung von Fähigkeiten, Einschränkungen und Fehlerquoten für Benutzer.
• Protokollierung von Trainingsdatenquellen, Modelländerungen und Entscheidungsflüssen.

6. Menschliche Aufsicht und Kontrolle

• Sicherstellen, dass Human-in-the-Loop (HITL) oder Human-on-the-Loop (HOTL) Mechanismen vorhanden sind.
• Bereitstellen von Mitteln, um das System sicher zu übersteuern oder abzuschalten.
• Schulung der Benutzer in effektiver Aufsicht und Entscheidungsprüfung.

7. Testen und Validierung

• Durchführen von Vorbereitungs-Tests auf Genauigkeit, Robustheit und Sicherheit.
• Simulieren von Angriffs- und Missbrauchsszenarien.
• Validierung gegen Compliance- und ethische Standards.

8. Bereitstellung und Überwachung

• Fortlaufende Überwachung der Leistung, Drift und Anomalien.
• Protokollierung bedeutender Ereignisse für Nachverfolgbarkeit und Verantwortung.
• Systematische Sammlung von Benutzerfeedback und Vorfallberichten.
• Einrichtung eines Decommissioning-Prozesses für stillgelegte Systeme.

9. Auswirkungen und Rechtebewertung

• Durchführen einer Fundamental Rights Impact Assessment (FRIA), wenn das Risiko nicht trivial ist.
• Kartierung von Risiken in Bezug auf Privatsphäre, Gleichheit, Sicherheit, Meinungsfreiheit, Beschäftigung.
• Dokumentation von Minderungsstrategien für identifizierte Schäden.

10. Regulatorische Compliance

• Überprüfen der Verpflichtungen gemäß dem EU AI Act (risikobasierte Einteilung).
• Sicherstellen der Einhaltung von DSGVO, Cybersicherheitsgesetzen, Verbraucherschutzgesetzen.
• Für hochriskante Systeme vorbereiten von Konformitätsbewertungsunterlagen.
• Verfolgung von Fristen für schrittweise Compliance-Verpflichtungen.

11. Sicherheit und Cyber-Resilienz

• Absichern des Modells gegen Datenvergiftung, angreifbare Eingaben, Modellauszüge.
• Schutz der Infrastruktur vor Cyberangriffen.
• Überwachung von Missbrauch und böswilliger Umnutzung der Ausgaben.

12. Kultur und Schulung

• Anbieten von verantwortungsbewusster KI-Schulung für Entwickler, Manager und Bereitsteller.
• Aufbau einer Kultur der Verantwortung, des Hinterfragens und der Eskalation.
• Förderung der Meldung von ethischen oder Compliance-Bedenken.