KI-Konformitätsbewertung

Glauben Sie, dass KI-Systeme einer strengen Konformitätsbewertung unterzogen werden sollten? Das EU-KI-Gesetz macht dies zu einem Eckpfeiler seines Regulierungsrahmens, insbesondere für Anwendungen, die als mit erheblichen Risiken verbunden gelten. Dieser Artikel fasst die wichtigsten Erkenntnisse aus dem Webinar des AI Standards Hub von letzter Woche zusammen – es war eine sehr informative Sitzung!

Was ist Konformitätsbewertung?

Bei der Konformitätsbewertung geht es darum, zu prüfen (und nachzuweisen), dass etwas einem Satz vordefinierter Standards entspricht. Kein neues Konzept, es wird in verschiedenen Branchen weit verbreitet eingesetzt, um Qualität, Sicherheit und Konformität zu gewährleisten. Aber mit dem Aufkommen von KI, insbesondere in Hochrisikoanwendungen wie medizinischen Geräten, ist die Notwendigkeit einer robusten Konformitätsbewertung noch kritischer geworden, und Konformitätsbewertungsstellen spielen jetzt eine Schlüsselrolle in diesem Prozess, da sie sich an die einzigartigen Herausforderungen anpassen müssen, die KI-Systeme mit sich bringen.

Wie wird sie normalerweise durchgeführt?

Die Konformitätsbewertung umfasst eine Reihe von Aktivitäten, die darauf abzielen, zu überprüfen, ob ein Produkt, eine Dienstleistung, ein Prozess, ein System oder eine Organisation festgelegte Anforderungen, Standards oder Vorschriften erfüllt. Hier ist eine Ausarbeitung jeder der gängigen Methoden:

1. Prüfung: Die Prüfung beinhaltet, ein Produkt, System oder eine Komponente bestimmten Verfahren zu unterziehen, um seine Eigenschaften oder Leistung anhand vordefinierter Kriterien zu bestimmen. Bei KI-Systemen könnte die Prüfung Leistungstests, Tests auf Voreingenommenheit und Fairness oder Sicherheits- und Sicherheitstests umfassen. Ziel ist es, objektive Daten über die Attribute und das Verhalten des KI-Systems zu generieren, die beweisen, dass es technische Spezifikationen und funktionale Anforderungen erfüllt.

2. Inspektion: Die Inspektion ist die Untersuchung eines Produkts, Prozesses, einer Dienstleistung oder einer Installation, um deren Konformität mit spezifischen Anforderungen festzustellen. Im Gegensatz zur Prüfung, die oft eine aktive Manipulation oder Eingabe beinhaltet, umfasst die Inspektion oft eine eher visuelle, systematische Überprüfung von Merkmalen, Dokumentationen oder Verfahren. Bei KI-Produkten und -Prozessen kann die Inspektion eine Überprüfung der Dokumentation oder eine Prozess-/Lebenszyklusprüfung umfassen.

3. Zertifizierung: Es handelt sich um eine Bestätigung durch Dritte in Bezug auf Produkte, Prozesse, Systeme oder Personen. Eine unabhängige Zertifizierungsstelle stellt nach Durchführung einer Bewertung (die Prüfung und Inspektion umfassen kann) ein Zertifikat aus, das besagt, dass der Gegenstand der Konformitätsbewertung die festgelegten Anforderungen erfüllt.

4. Konformitätserklärung des Lieferanten (SDoC): Dies ist eine Erstanbieter-Konformitätsbewertung, bei der der Lieferant (Hersteller, Importeur oder verantwortliche Partei) selbst erklärt, dass sein Produkt, Prozess oder seine Dienstleistung den festgelegten Anforderungen entspricht.

5. Managementsystembewertung (wie ISO 42001 für KI-Managementsysteme): Diese Art der Bewertung konzentriert sich auf das Managementsystem einer Organisation und nicht auf ein bestimmtes Produkt. Sie überprüft, ob eine Organisation einen systematischen Ansatz (ein „Managementsystem“) eingeführt hat, um bestimmte Ziele zu erreichen, wie z. B. Qualität, Umweltleistung oder in unserem Fall verantwortungsvolle KI-Entwicklung und -Bereitstellung. Für KI würde dies hauptsächlich die Prüfung gegen ISO/IEC 42001:2023 – Managementsystem für künstliche Intelligenz (AIMS) beinhalten: Ein unabhängiger Prüfer bewertet die Prozesse der Organisation in Bezug auf den Lebenszyklus von KI-Systemen, einschließlich Daten-Governance, Risikomanagement, ethische Überlegungen, Transparenz, menschliche Aufsicht und Rechenschaftspflicht, und prüft auf Mechanismen, die eine kontinuierliche Verbesserung des AIMS gewährleisten.

6. Akkreditierung:

   Die Akkreditierung ist die formelle Anerkennung durch eine unabhängige, maßgebliche Stelle (eine „Akkreditierungsstelle“), dass eine Konformitätsbewertungsstelle (wie ein Prüflabor, eine Inspektionsstelle oder eine Zertifizierungsstelle) kompetent, unparteiisch ist und konsequent nach internationalen Standards (z. B. ISO/IEC 17025 für Prüflabore, ISO/IEC 17020 für Inspektionsstellen, ISO/IEC 17021 für Zertifizierungsstellen) arbeitet. Eine Akkreditierungsstelle (z. B. ENAC in Spanien, UKAS im Vereinigten Königreich) bewertet gründlich die technische Kompetenz, die Managementsysteme, die Unparteilichkeit und den konsistenten Betrieb einer Konformitätsbewertungsstelle. Die Akkreditierung bietet eine zusätzliche Ebene des Vertrauens und der Glaubwürdigkeit für das gesamte Konformitätsbewertungssystem. Wenn ein Produkt von einer akkreditierten Zertifizierungsstelle zertifiziert oder von einem akkreditierten Labor geprüft wird, bedeutet dies, dass die Stelle, die die Bewertung durchführt, selbst streng bewertet und für kompetent befunden wurde.

Warum ist die KI-Konformitätsbewertung wichtig?

Das EU-KI-Gesetz schreibt eine Konformitätsbewertung für Hochrisiko-KI-Systeme vor, bevor sie auf den Markt gebracht oder in Betrieb genommen werden. Dieser Prozess stellt sicher, dass diese Systeme die strengen Anforderungen des Gesetzes erfüllen.

Für die meisten Hochrisiko-KI-Systeme (aufgelistet in Anhang III) können Anbieter im Allgemeinen eine interne Konformitätsbewertung (Selbstbewertung) durchführen, vorausgesetzt, sie wenden relevante harmonisierte Standards an. Für bestimmte kritische Hochrisiko-KI-Systeme (z. B. biometrische Systeme, die in der Strafverfolgung eingesetzt werden, oder wenn keine harmonisierten Standards verwendet werden) ist jedoch eine Konformitätsbewertung durch Dritte durch eine benannte „benannte Stelle“ zwingend erforderlich.

Der Konformitätsbewertungsprozess nach dem KI-Gesetz beinhaltet den Nachweis der Einhaltung von Anforderungen wie:

• Risikomanagementsystem
• Daten-Governance (Datenqualität, Minderung von Voreingenommenheit)
• Technische Dokumentation
• Aufzeichnungen (Protokollierung von Ereignissen)
• Transparenz und Bereitstellung von Informationen für Anwender
• Menschliche Aufsicht
• Genauigkeit, Robustheit und Cybersicherheit

Nach erfolgreichem Abschluss der Konformitätsbewertung stellt der Anbieter eine EU-Konformitätserklärung aus und ist bei Hochrisiko-Systemen verpflichtet, die CE-Kennzeichnung anzubringen.

Natürlich ist die Konformitätsbewertung nicht nur für die Einhaltung gesetzlicher Vorschriften wichtig – sie gewährleistet Sicherheit, mindert Risiken, schafft Vertrauen, fördert eine größere Rechenschaftspflicht, fördert eine Kultur der kontinuierlichen Verbesserung und erleichtert sogar den internationalen Handel durch die Schaffung weltweit anerkannter Standards und Konformitätsbewertungssysteme.

Welche Rolle spielt das WTO-Komitee für technische Handelshemmnisse (TBT)?

Das WTO-Komitee für technische Handelshemmnisse (TBT) ist dafür verantwortlich, den internationalen Handel am Laufen zu halten und gleichzeitig legitime Ziele wie die menschliche Gesundheit oder Sicherheit, das Leben oder die Gesundheit von Tieren oder Pflanzen, die Umwelt und nationale Sicherheitsanforderungen zu schützen. Sie tun dies, indem sie sicherstellen, dass technische Vorschriften, Standards und Konformitätsbewertungsverfahren keine unnötigen Handelshemmnisse schaffen. Zum Beispiel umfassen die Themen, an denen sie arbeiten, regulatorische Folgenabschätzungen, die Regulierung von Medizinprodukten, kritische aufkommende Technologien wie Biokraftstoff, saubere Energieerzeugung und -speicherung, Halbleiter – und natürlich KI. Im Jahr 2024 verabschiedete das TBT-Komitee Leitlinien (G/TBT/54), um Regulierungsbehörden bei der Auswahl und Gestaltung von Konformitätsbewertungsverfahren zu unterstützen, um sicherzustellen, dass Maßnahmen zur Überprüfung der Einhaltung technischer Vorschriften und Standards keine unnötigen Hindernisse für den internationalen Handel schaffen.

Was ist mit den nationalen Regulierungsbehörden?

Nationale Regulierungsbehörden in den WTO-Mitgliedsländern entwickeln und erlassen Vorschriften, entwerfen und implementieren Konformitätsbewertungsverfahren und führen Marktüberwachung durch. In Luxemburg haben wir zum Beispiel das Luxemburgische Institut für Normung, Akkreditierung, Sicherheit und Qualität von Produkten und Dienstleistungen (ILNAS), aber auch die Luxemburgische Agentur für Arzneimittel und Gesundheitsprodukte (ALMPS) (reguliert Medizinprodukte) und die Nationale Kommission für den Datenschutz (CNPD) (KI-Systeme und Einhaltung des KI-Gesetzes). Australien wiederum hat ein Modell der geteilten Verantwortung für die Produktsicherheitsregulierung, an dem Bundes-, Landes- und Territorialregierungen beteiligt sind: Die Australische Wettbewerbs- und Verbraucherkommission (ACCC) überwacht die allgemeine Sicherheit von Verbraucherprodukten, während das Ministerium für Infrastruktur, Verkehr, regionale Entwicklung, Kommunikation und Kunst für die Fahrzeugsicherheit zuständig ist – und die Australische Kommunikations- und Medienbehörde (ACMA). Solche Regulierungsbehörden verwenden die WTO-TBT-Leitlinien, um sicherzustellen, dass ihre Vorschriften und Konformitätsbewertungsverfahren wirksam sind und den Handel erleichtern, während sie öffentliche Interessen schützen.

Was ist die ISO-Konformitätsbewertungs-Toolbox (CASCO)?

Es handelt sich um eine umfassende Sammlung internationaler Standards und Leitfäden, die vom ISO-Komitee für Konformitätsbewertung (CASCO) entwickelt wurden. Sie kann von Bewertungs- und Akkreditierungsstellen sowie von Unternehmen genutzt werden, um zu verstehen, wie Anforderungen erfüllt werden können, kompetente Konformitätsbewertungsanbieter ausgewählt werden können und sogar eigene interne Bewertungsprozesse implementiert werden können.

Was sind Konformitätsbewertungsschemata?

Das ISO-Komitee für Konformitätsbewertung gibt es schon lange – aber jetzt haben sie eine neue Aufgabe: die Entwicklung von Konformitätsbewertungsschemata – Sätze von Anforderungen und Verfahren, die Konformitätsbewertungsstellen helfen, ein System oder ein Produkt nach einem bestimmten Standard zu zertifizieren. Wir sehen solche Schemata jeden Tag in der Praxis: Schauen Sie sich einfach die Verpackung eines Haushaltsgeräts oder eines elektrischen Geräts an, das Sie besitzen – dort wird ein Logo eines Zertifizierungsschemas sein, was bedeutet, dass es einige Tests bestanden hat, um sicherzustellen, dass es sicher ist und wie erwartet funktioniert. Mit anderen Worten, dieses neue Komitee wird solche Zertifizierungsschemata entwickeln, um KI-Produkte und -Systeme zu überprüfen und ihren Anbietern zu ermöglichen, sie als „zertifiziert“ zu kennzeichnen (d. h. sicher und für den beabsichtigten Gebrauch geeignet).

Die Entwicklung solcher Konformitätsbewertungsschemata für KI ist aus mehreren Gründen eine Herausforderung:

• Ein KI-System als Produkt kann verschiedene Komponenten haben, und jede Komponente als Produkt bedeutet einen risikobasierten Ansatz. Sie bestehen aus Daten, Software, Modellen und Infrastruktur – nicht so greifbar und vorhersehbar in ihrem Verhalten wie beispielsweise ein Wasserkocher. Bei KI können Risiken aus Trainingsdaten, dem Design des Algorithmus und sogar der Benutzeroberfläche entstehen. Daher ist eine integriertere und ganzheitlichere Risikobewertung erforderlich, um über die Bewertung auf Komponentenebene hinauszugehen.
• Notwendigkeit einer Echtzeitbewertung. Viele KI-Systeme arbeiten in Echtzeit (z. B. autonome Fahrzeuge, Betrugserkennung). Da sich die Umgebung ständig ändert, reicht eine standardmäßige Momentaufnahmebewertung nicht aus: Wir benötigen eine kontinuierliche Überwachung, eine effiziente Protokollierung und irgendwie adaptive Konformitätsbewertungsmethoden.
• Versionskontrolle und Updates. KI-Modelle werden häufig aktualisiert, neu trainiert, feinabgestimmt, und solche Updates können das Modellverhalten unvorhersehbar ändern. Wir brauchen hier ein robustes Änderungsmanagementsystem!
• Kann eine Konformitätserklärung die Sicherheit des Systems garantieren? Auch hier macht die dynamische Natur der KI eine endgültige Aussage schwierig und erfordert eine fortlaufende Überwachung der Leistung des Systems nach dem Inverkehrbringen, der Datenqualität und der Einhaltung ethischer Grundsätze.

All dies erfordert die Entwicklung neuer, dynamischerer und anpassungsfähigerer Konformitätsbewertungsmethoden und -rahmen. Daran arbeitet die WG derzeit. Ziel ist es, die Schemata im Mai 2027 zu veröffentlichen, sodass Experten genügend Zeit haben, sich an der Ausarbeitung zu beteiligen.

Wird es mehr Unterstützung für Zertifizierungsstellen und Auditoren geben?

Ja! Ein neues Dokument, das derzeit veröffentlicht wird, wird den Zertifizierungsstellen und Auditoren bald mehr Unterstützung bieten – es handelt sich um ISO/IEC 42006 – „IT — KI — Anforderungen an Stellen, die Audits und Zertifizierungen von KI-Managementsystemen durchführen“. Der neue Standard wird sicherstellen, dass Zertifizierungsstellen mit der erforderlichen Kompetenz und Strenge arbeiten, um Organisationen zu bewerten, die KI-Systeme entwickeln, einsetzen oder anbieten. KI-Systeme stellen einzigartige Herausforderungen in Bereichen wie Ethik, Datenqualität, Risiko und Transparenz dar. Um zu zertifizieren, dass eine Organisation diese Herausforderungen verantwortungsvoll handhabt, benötigen Auditoren selbst spezielles Wissen und klare Regeln für die Durchführung von Bewertungen.

Wussten Sie, dass es ein ganzes Ökosystem von ISO-Standards im Zusammenhang mit KI gibt?

• ISO/IEC 38507:2022 gilt für alle Organisationen, die KI-basierte Systeme und Lösungen entwickeln oder verwenden, unabhängig von Branche, Größe oder technischer Fähigkeit. Es prüft, ob die Organisation über geeignete KI-Governance- und KI-Risikomanagementsysteme verfügt, und konzentriert sich dabei speziell auf die Governance-Ebene, um sicherzustellen, dass die KI-bezogene Entscheidungsfindung mit den Zielen der Organisation sowie mit Vorschriften, ethischen Erwartungen und gesellschaftlichen Werten übereinstimmt.
• ISO/IEC 23894:2023 IT-KI – Leitfaden zum Risikomanagement bietet Anleitungen, wie Organisationen, die Produkte, Systeme und Dienstleistungen entwickeln, produzieren, einsetzen oder verwenden, die KI nutzen, Risiken im Zusammenhang mit KI managen können.
• ISO/IEC 42005:2025 – KI-System-Folgenabschätzung – bietet Anleitungen für Organisationen, die KI-System-Folgenabschätzungen durchführen. Es kann von jeder Organisation verwendet werden, die KI-Systeme entwickelt, bereitstellt oder verwendet und die potenziellen Auswirkungen ihrer KI-Systeme auf Menschen und Gesellschaft bewerten und managen möchte.
• ISO/IEC 42001:2023 legt Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Managementsystems für künstliche Intelligenz (AIMS) in Organisationen fest. Es ist für Unternehmen konzipiert, die KI-basierte Produkte oder Dienstleistungen anbieten oder nutzen, und gewährleistet eine verantwortungsvolle Entwicklung und Nutzung von KI-Systemen.

---

Die Konformitätsbewertung ist nicht nur eine bürokratische Hürde, sondern eine grundlegende Säule für die verantwortungsvolle und vertrauenswürdige Entwicklung und den Einsatz von KI, insbesondere für Hochrisikoanwendungen wie KI-fähige medizinische Geräte. Sie bietet die wesentlichen Mechanismen, um zu überprüfen, dass KI-Systeme vordefinierte Standards für Sicherheit, Leistung, Ethik und Einhaltung gesetzlicher Vorschriften erfüllen.

Wie kann man sich an der Entwicklung von KI-bezogenen Standards beteiligen?

Treten Sie Ihrer nationalen Normungsorganisation bei: https://www.iso.org/about/members

---

Bild: Kätzchen und Katzen; ein Buch mit Erzählungen, von Eulalie Osgood Grover; 1911; Boston, Houghton Mifflin. — Quelle.