AI Compliance-by-Design: Ein Leitfaden für CTOs
Der EU AI Act ist nun in Kraft und wird schrittweise umgesetzt; mehrere Verpflichtungen treten vor der vollständigen Anwendung in den Jahren 2026–2027 in Kraft. Die Europäische Kommission wird Anbieter überwachen, mit einem besonderen Fokus auf General Purpose AI (GPAI), und kann Informationen anfordern oder Modelle bewerten.
Erste Schritte: Anbieter oder Anwender?
Das Gesetz unterscheidet zwischen Anbietern (die auf den Markt bringen oder in Betrieb nehmen) und Anwendern (die KI-Systeme nutzen). Wenn Sie GPAI-Modelle bereitstellen oder verfeinern, unterliegen Sie spezifischen Pflichten wie technischer Dokumentation und einer Copyright-Politik.
Inventarisierung: Modelle, Datensätze und RAG-Quellen
Der schnellste Weg zur Nichteinhaltung besteht darin, nicht zu wissen, was Sie betreiben. Wir behandeln die Inventarisierung als Produkt:
- Modellkatalog: Version, Anbieter, Status der Feinabstimmung, Bewertungsnoten und beabsichtigte Nutzung.
- Datenverträge für jede RAG-Quelle: Herkunft, Aktualität, Vollständigkeitsregeln, Aufbewahrung und erlaubte Nutzungen.
- Prompt- und Tool-Registry: Genehmigte Prompts, Umfang von Toolaufrufen und hochriskante Aktionen, die manuelle Überprüfungen erfordern.
- Entscheidungsprotokolle: „Wer-was-wann-warum“ für Änderungen, Ablehnungen und Ausnahmen.
Technische Dokumentation: Einmal erstellen und fortlaufend pflegen
Artikel 53 erwartet von Anbietern von GPAI, dass sie technische Dokumentationen erstellen und bereitstellen. Die GPAI Code of Practice bietet ein Formular für die Moduldokumentation, das Sie sofort übernehmen können.
Urheberrecht und Transparenz der Trainingsdaten
Das Gesetz erwartet eine Copyright-Politik und — für GPAI — eine Zusammenfassung der Trainingsdaten. Klare Herkunft reduziert das Risiko von Takedowns und verringert die Support-Belastung.
Entscheidungen protokollieren: Auditierbarkeit durch Design
Transparenzpflichten erstrecken sich über die Benutzeroffenlegung hinaus: Sie müssen zeigen, dass Menschen Entscheidungen des Systems überwachen und nachverfolgen können.
Zugriff und Risiko kontrollieren
Die Aufsicht über GPAI wird strenger; das AI Office kann Modelle bewerten und Informationen anfordern. Behandeln Sie Toolaufrufe und Datenzugriffe wie finanzielle Transaktionen.
Stage-Gate-Management
Wir führen GenAI-Initiativen mit einem Rhythmus von 15/45/90 Tagen durch, mit klaren Kostenobergrenzen und Qualitätsmaßstäben.
Wann den GPAI Code of Practice verwenden
Wenn Sie GPAI-Anbieter sind und einen weniger komplexen Weg zur Einhaltung der Vorschriften suchen, bietet der GPAI Code of Practice einen freiwilligen Ansatz.
Wichtige Punkte für das Board
- Umfang & Rolle: Welche Nutzungen machen uns zu einem Anbieter (inkl. GPAI) vs. einem Anwender?
- Verpflichtungen & Timing: Welche Artikel 53/55-ähnlichen Pflichten gelten in diesem Quartal?
- Vorhandene Kontrollen: Inventar, Datenverträge, Entscheidungsprotokolle, Copyright-Politik.
- Stage-Gates: 15/45/90 Rhythmus mit Kosten- und Qualitätsmaßstäben.
- Versicherung: Ausrichtung an den NIST AI RMF zur Konsistenz bei globalen Audits.
