Recht & Technik

Wozu ein Sachverständiger für KI?

Der AI Act stellt keine rein juristische Norm dar, sondern formuliert prüfbare Anforderungen an Daten, Modelle, Dokumentation und Leistung von KI-Systemen. Artikel wie Art. 10 (Datenqualität) oder Art. 15 (Robustheit, Genauigkeit) verlangen konkrete technische Nachweise. Die konkrete Ausgestaltung bleibt jedoch offen.

Genau hier setzt meine Arbeit an: Als Sachverständiger bewerte ich technische Vorgaben anhand des aktuellen Stand der Techniks, basierend auf existierenden Normen und Standards. Diese Seite gibt einen Überblick über den aktuellen regulatorischen Stand.

Technische Anforderungen AI Act

  • Leistungsfähigkeit (Art. 15)
  • Robustheit (Art. 15)
  • Datenqualität (Art. 10)
  • Fairness & Bias (Art. 10 & 11)
  • Technische Dokumentation (Art. 11 i.V.m. Anhang IV)
  • Transparenz & Nachvollziehbarkeit (Art. 50)

ISO/IEC-Standards (Stand der Technik)

  • Leistungsfähigkeit (ISO/IEC TS 4213:2022)
  • Robustheit (ISO/IEC 24029-Reihe)
  • Datenqualität (ISO/IEC 5259-Reihe)
  • Fairness & Bias (ISO/IEC TR 24027:2021)
  • Ethical Concerns in AI (ISO/IEC TR 24368:2022)
  • Vertrauenswürde KI (ISO/IEC TR 24028:2020)
Mehr zu meinen Leistungen

Der AI Act im Fokus

Technische Anforderungen im Detail

Nachfolgend erhalten Sie einen detaillierten Überblick über die technischen Anforderungen des AI Acts sowie dem aktuellen Stand der Normung.

Gerne berate und unterstütze ich Sie bei der konkreten Umsetzung der Vorgaben und des aktuellen Stand der Technik in Ihrem Unternehmen. Kontaktieren Sie mich hierzu gerne telefonisch oder per Mail.

Artikel des AI Acts im Detail

Der AI Act fordert, dass die Leistungsfähigkeit eines KI-Systems vor dem Inverkehrbringen bestimmt und dokumentiert wird. Dies umfasst abhängig vom Anwendungsfall bspw. Genauigkeit, Präzision, Recall, F1-Score oder mAP. Zur technischen Umsetzung eignen sich etablierte Leistungsmetriken aus der ISO/IEC TS 4213:2022 („Assessment of the performance of machine learning functions“) sowie branchenspezifische Evaluierungsverfahren. Die Definition und Einordnung der Leistungsfähigkeit ist immer kontextabhängig – die Norm unterstützt bei der Auswahl geeigneter KPIs und Prüfmethoden.

Nach Art. 15 muss ein KI-System gegen Störungen, fehlerhafte Eingaben und potenzielle Angriffe ausreichend robust sein. Die Robustheit umfasst Aspekte der Betriebssicherheit (Safety) und Informationssicherheit (Security). Die ISO/IEC 24029-Reihe liefert hier beispielhafte Bewertungsverfahren, z. B. für adversariale Robustheit, Störquellen-Resilienz oder sicherheitskritische Ausfälle bei Unsicherheiten. Deren Anwendbarkeit und Praktikabilität sind in Abhängigkeit des jeweiligen Anwendungsfalls zu prüfen.

Die Daten, mit denen ein KI-System trainiert, validiert oder getestet wird, müssen laut Art. 10 u. A. relevant, repräsentativ, fehlerfrei und vollständig sein. Die ISO/IEC 5259-Reihe („Data quality for analytics and ML“) konkretisiert diese Anforderungen in Bezug auf Messbarkeit, Strukturierung und Qualitätsmetriken von Datensätzen entlang ihres gesamten Lebenszyklus.

Der AI Act fordert, dass einerseits mögliche Verzerrungen (Bias) in den Trainingsdaten identifiziert werden und andererseits das Modellverhalten selbst auf Diskriminierung überprüft wird. Dies betrifft insbesondere geschützte Merkmale wie Geschlecht, Alter oder Herkunft. Die ISO/IEC TR 24027:2021 gibt Guidelines (z. B. Group Fairness) und Bewertungsverfahren für einschlägige Fairnessmetriken. Ergänzend hilft ISO/IEC TR 24368:2022 bei der Einordnung ethischer Aspekte in der technischen Entwicklung. Dies ist insbesondere für KI-Systeme relevant, die Entscheidungen mit und/oder über Menschen treffen oder in Abhängigkeit des Anwendungsfalls als Hochrisiko KI-System eingestuft werden.

Die technische Dokumentation muss alle Informationen enthalten, die notwendig sind, um die Konformität des KI-Systems mit dem AI Act beurteilen zu können. Dazu gehören u. a. Leistungsnachweise, Risikobewertungen, Trainingsdatenquellen und Testmetriken. Zur strukturierten Umsetzung dieser Anforderungen empfiehlt sich die Anwendung der ISO/IEC 42001:2024 für ein KI-Managementsystem sowie die Dokumentationsanforderungen aus Anhang IV KI-VO.

Art. 50 verlangt, dass Entscheidungen durch KI-Systeme nachvollziehbar, erklärbar und überprüfbar sind, auch durch unabhängige Dritte. Dies gilt insbesondere für Systeme mit Einfluss auf rechtliche oder wirtschaftliche Interessen sowie für Systeme, die mit Menschen interagieren. Die Norm ISO/IEC TR 24028:2020 („Overview of trustworthiness in AI“) bietet hier Ansätze zur Bewertung von Transparenz, Erklärbarkeit und Auditierbarkeit technischer Entscheidungen. Zudem ist eine transparente Kenntlichmachung solcher Systeme als KI-System erforderlich.

Der AI Act verpflichtet Anbieter zu einem kontinuierlichen Risikomanagementprozess, der Gefährdungen erkennt, bewertet, reduziert und überwacht. Das Risikomanagement muss integraler Bestandteil des gesamten Lebenszyklus sein und ist Teil des Qualitätsmanagementsystems nach Art. 17 KI-Verordnung. Die ISO/IEC 23894:2023 („Guidance on risk management in AI“) bietet ein strukturiertes Verfahren zur Umsetzung dieses Prozesses einschließlich Risikoidentifikation, Bewertung, Maßnahmenplanung und Überwachung.

Hersteller hochriskanter KI-Systeme müssen ein QM-System einrichten, das u. a. die Qualität, Konformität, Sicherheit und Nachvollziehbarkeit aller Prozesse sicherstellt. Dieses System muss dokumentiert, gepflegt und aufrechterhalten werden. Die Norm ISO/IEC 42001:2024 ist die erste internationale Norm speziell für Qualitätsmanagement in KI-Systemen und adressiert genau die Anforderungen aus Art. 17 inklusive organisatorischer Maßnahmen und technischer Prüfprozesse. Im Rahmen dieses Standards werden Prozesse, Rollen und Verantwortlichkeiten strukturiert beschrieben und bieten so ein einheitliches Rahmenwerk zur Sicherstellung der Qualität von KI-Systemen von der Konzeption bis zum End-of-Life eines Produkts/Services.

ISO/IEC Standards im Detail

Diese Technische Spezifikation beschreibt Methoden zur Bewertung der Leistungsfähigkeit von Machine Learning Systemen (z. B. Klassifikation oder Regression). Sie gibt Hinweise zur Auswahl geeigneter Metriken und zur Validierung unter realen Bedingungen. Die Norm unterstützt die technische Umsetzung von Art. 15 Abs. 2 KI-VO (Leistungsbewertung) sowie die Anforderungen aus Anhang IV an die Dokumentation der Genauigkeit.

Diese Technischen Berichte behandeln die Bewertung der Robustheit von KI-Systemen, etwa gegenüber Rauschen, fehlerhaften Eingaben oder gezielten Angriffen. Relevanz für Art. 15 Abs. 3–4 (Robustheit und Schutz vor Angriffen) sowie für die Absicherung der Betriebssicherheit in sensiblen Anwendungen.

Die Normenreihe definiert Anforderungen, Guidelines und Metriken zur Datenqualität in KI-Systemen. Diese Standards sind besonders hilfreich für die einheitliche Bewertung von Trainings- und Testdaten. Dies unterstützt die Einhaltung von Art. 10 KI-VO sowie die objektive Prüfung von Bias-Risiken gemäß Art. 10 Abs. 2 lit. f.

Diese Norm bietet Definitionen und Bewertungsverfahren zur Messung und Reduktion von Bias in KI-Systemen. Dies ist relevant für Art. 10 Abs. 2 lit. f (Bias-Vermeidung) und Art. 11 (Technische Dokumentation).

Dieser Bericht beleuchtet ethische Risiken bei der KI-Entwicklung, u. a. Diskriminierung sowie soziale Auswirkungen. Er hilft, frühzeitig soziale Risiken in die technische Konzeption zu integrieren. Dies unterstützt die Risikobewertung nach Art. 9 sowie Anforderungen zur Fairness (Art. 10) und Transparenz (Art. 50).

Diese Norm bietet einen Überblick über technische Aspekte der Vertrauenswürdigkeit in KI-Systemen: Nachvollziehbarkeit, Erklärbarkeit, Transparenz, Sicherheit und Zuverlässigkeit. Relevanz für Art. 50 (Transparenzpflichten) und unterstützend bei der Einhaltung von Dokumentationspflichten nach Art. 11.

Die weltweit erste Managementnorm speziell für KI beschreibt, wie ein Qualitätsmanagementsystem für KI-Systeme organisatorisch und technisch aufgesetzt werden kann. Sie enthält Anforderungen an Policies, Verantwortlichkeiten, Dokumentation und Kontrolle. Direkte Relevanz für Art. 17 (QM-Systeme für Hochrisiko-KI), sowie zur strukturierten Umsetzung von Art. 11 (technische Dokumentation) und Art. 9 (Risikomanagementprozess).

Diese Norm beschreibt ein systematisches Vorgehen zur Risikobewertung und -minderung in allen Phasen des KI-Lebenszyklus einschließlich Risikoidentifikation, Eintrittswahrscheinlichkeit, Schadensausmaß und Kontrollmaßnahmen. Diese Norm ist das Äquivalent zu Art. 9 AI Act (Risikomanagement für Hochrisiko-KI-Systeme).

Diese Norm befasst sich mit Datenmanagementprozessen über den gesamten Lebenszyklus von Datensätzen für die KI-Entwicklung von Erhebung, Annotation und Speicherung bis zur Archivierung und Löschung. Sie hilft bei der Nachvollziehbarkeit und Qualitätssicherung. Dies ist von besonderer Bedeutung hinsichtlich Art. 10 (Daten-Governance) sowie Art. 11 (Technische Dokumentation) des AI Acts.
Mehr zu meinen Leistungen
(c) 2025 Dr. Fabian Küppers. Alle Rechte vorbehalten.

Rechtliches

Impressum

AGB

Datenschutz

Datenschutzbestimmungen

Kontakt & Social Media

info@ki-sachverstaendiger.de

+4920336920726