Zurück zu Richtlinienvorlagen
Richtlinie 04 von 15

KI-Governance-Richtlinie

Rahmenrichtlinie, die den organisatorischen Ansatz zur Steuerung von KI-Systemen über ihren gesamten Lebenszyklus festlegt.

1. Zweck

Diese Richtlinie legt fest, wie [Name der Organisation] die Entwicklung, Beschaffung, Bereitstellung und Stilllegung von Systemen der künstlichen Intelligenz steuert. Sie schafft die Governance-Struktur, definiert Entscheidungsbefugnisse, legt Lifecycle-Gates fest und bestätigt, dass KI-Systeme innerhalb akzeptabler Risikogrenzen betrieben werden und regulatorische Verpflichtungen erfüllen.

2. Geltungsbereich

Diese Richtlinie gilt für:

Ausgenommen: Standardgeschäftssoftware, die keine maschinellen Lern- oder generativen KI-Fähigkeiten nutzt (z. B. regelbasierte Automatisierung, herkömmliche Analyse-Dashboards).

  • Alle intern entwickelten oder von Dritten beschafften KI- und Machine-Learning-Systeme.
  • Alle Mitarbeitenden, Auftragnehmer und Partner, die KI-Systeme entwickeln, bereitstellen, betreiben oder beaufsichtigen.
  • Alle Phasen des KI-Lebenszyklus: Ideenfindung, Entwicklung, Testing, Bereitstellung, Überwachung und Stilllegung.
  • Sowohl allgemeine als auch domänenspezifische KI-Systeme, einschließlich großer Sprachmodelle, Entscheidungsunterstützungstools, Predictive Analytics und automatisierter Verarbeitungssysteme.

3. Definitionen

  • KI-System: Ein System, das maschinelles Lernen, Deep Learning oder generative KI-Techniken nutzt, um Ergebnisse wie Vorhersagen, Empfehlungen, Entscheidungen oder Inhalte zu erzeugen.
  • Hochrisiko-KI-System: Ein KI-System, das Entscheidungen trifft oder wesentlich beeinflusst, die Rechte, Gesundheit, Sicherheit, Beschäftigung, Finanzlage oder Rechtsstatus von Einzelpersonen betreffen. Umfasst auch Systeme, die gemäß EU AI Act Anhang III als hochriskant eingestuft werden.
  • KI-Lebenszyklus: Die Phasen, die ein KI-System durchläuft: Ideenfindung, Datenerhebung, Entwicklung, Validierung, Bereitstellung, Überwachung und Stilllegung.
  • Modellverantwortlicher: Die Person, die für Leistung, Compliance und Risikolage eines KI-Systems während seines gesamten Lebenszyklus verantwortlich ist.
  • KI-Governance-Ausschuss: Das funktionsübergreifende Gremium, das Hochrisiko-KI-Anwendungsfälle prüft, Ausnahmen genehmigt und Governance-Standards festlegt.

4. Governance-Struktur

Platzhaltertext. Füllen Sie mit der Sprache Ihrer Organisation für 4. Governance-Struktur aus.

4.1 KI-Governance-Ausschuss

Die Organisation richtet einen KI-Governance-Ausschuss ein, der sich aus Vertretern folgender Bereiche zusammensetzt:

Der Ausschuss tagt monatlich (oder bei Bedarf für Eskalationen) und ist verantwortlich für:

  • Geschäftsführung (Sponsor)
  • Recht und Compliance
  • Informationssicherheit
  • Datenschutz
  • Engineering / Data Science
  • Geschäftsbetrieb
  • Risikomanagement
  • Genehmigung oder Ablehnung von Hochrisiko-KI-Anwendungsfällen.
  • Festlegung und Aktualisierung von KI-Governance-Standards und -Schwellenwerten.
  • Überprüfung der Gesamt-KI-Risikolage und Vorfalltrends.
  • Beratung zu regulatorischen Änderungen, die den KI-Betrieb betreffen.

4.2 KI-Governance-Verantwortlicher

Ein benannter KI-Governance-Verantwortlicher koordiniert den täglichen Governance-Betrieb, pflegt das KI-Inventar, verfolgt den Compliance-Status und ist die primäre Eskalationsstelle für KI-bezogene Anliegen.

4.3 Modellverantwortliche

Jedes KI-System muss einen zugewiesenen Modellverantwortlichen haben, der verantwortlich ist für:

  • Pflege der Dokumentation (Modellkarte, Datenblatt, Risikobewertung).
  • Sicherstellung, dass das System die erforderliche Validierung vor der Bereitstellung besteht.
  • Überwachung des Systems im Produktivbetrieb und Reaktion auf Vorfälle.
  • Einleitung der Stilllegung, wenn das System seinen Zweck nicht mehr erfüllt.

4.4 Alle Mitarbeitenden

Von jedem Mitarbeitenden wird erwartet:

  • Befolgung dieser Richtlinie und zugehöriger KI-Verfahren.
  • Meldung nicht autorisierter oder nicht geprüfter KI-Tool-Nutzung.
  • Absolvierung der erforderlichen KI-Awareness-Schulung.
  • Eskalation von Bedenken bezüglich des Verhaltens von KI-Systemen über die etablierten Kanäle.

5. KI-Risikoklassifizierung

Alle KI-Systeme müssen vor Beginn der Entwicklung oder Beschaffung klassifiziert werden.

RisikostufeKriterienGovernance-Anforderungen
HochBetrifft Rechte, Gesundheit, Sicherheit, Beschäftigung, Finanzlage oder Rechtsstatus. Wird in einem regulierten Bereich betrieben. Fällt unter EU AI Act Anhang III.Vollständige Ausschussprüfung, GFFA, verpflichtendes Testing, Post-Market-Monitoring, Vorfallreaktionsplan.
MittelBeeinflusst Geschäftsentscheidungen oder Kundenerfahrung, betrifft jedoch nicht direkt individuelle Rechte.Modellverantwortlicher-Prüfung, dokumentierte Risikobewertung, periodische Überwachung.
NiedrigInterne Produktivitätstools, Inhaltsassistenz oder Analytik mit menschlicher Überprüfung.Registrierung im KI-Inventar, Basisdokumentation.

Systeme können umklassifiziert werden, wenn sich ihre Nutzung weiterentwickelt. Jede Änderung der Risikoklassifizierung löst eine neue Überprüfung aus.

6. KI-Lifecycle-Gates

KI-Systeme müssen die folgenden Gates durchlaufen. Jedes Gate erfordert dokumentierte Nachweise, bevor fortgefahren werden kann.

Gate 1: Aufnahme und Klassifizierung

  • Geschäftliche Begründung dokumentiert.
  • Risikoklassifizierung zugewiesen.
  • Datenanforderungen und Datenschutzauswirkungen identifiziert.
  • Modellverantwortlicher zugewiesen.

Gate 2: Entwicklung und Validierung

  • Trainingsdaten beschafft, dokumentiert und auf Verzerrungen überprüft.
  • Modell anhand von Akzeptanzkriterien validiert.
  • Sicherheitsüberprüfung abgeschlossen.
  • Bias- und Fairness-Tests für Hochrisiko-Systeme durchgeführt.

Gate 3: Genehmigung vor Bereitstellung

  • Unabhängige Validierung abgeschlossen (Hochrisiko-Systeme).
  • Risikobewertung finalisiert und im Risikoregister eingetragen.
  • Compliance-Prüfung abgeschlossen (regulatorische Zuordnung).
  • Genehmigung durch den Modellverantwortlichen und, bei Hochrisiko-Systemen, durch den KI-Governance-Ausschuss.

Gate 4: Bereitstellung

  • Monitoring konfiguriert (Leistung, Drift, Sicherheit).
  • Vorfallreaktionsplan dokumentiert.
  • Anforderungen an Nutzerbenachrichtigung und Transparenz erfüllt.
  • Rollback-Verfahren getestet.

Gate 5: Laufende Überwachung

  • Regelmäßige Leistungsüberprüfungen anhand vereinbarter Kennzahlen.
  • Periodische Neubewertung von Bias und Fairness.
  • Bewertung der Auswirkungen regulatorischer Änderungen.
  • Revalidierung bei wesentlichen Änderungen an Modell, Daten oder Betriebskontext.

Gate 6: Stilllegung

  • Stakeholder benachrichtigt.
  • Daten gemäß Aufbewahrungsrichtlinie aufbewahrt oder gelöscht.
  • System außer Betrieb genommen und aus dem Inventar entfernt.
  • Erkenntnisse dokumentiert.

7. Regulatorische Ausrichtung

Diese Richtlinie ist darauf ausgelegt, die Einhaltung folgender Vorschriften zu unterstützen:

FrameworkWesentliche Verpflichtungen
EU AI ActRisikoklassifizierung, Konformitätsbewertung, Transparenzpflichten, Grundrechte-Folgenabschätzung, Post-Market-Monitoring, Registrierung von Hochrisiko-Systemen.
ISO/IEC 42001KI-Managementsystem, Risikobehandlung, Führungsverpflichtung, operative Kontrollen, Leistungsbewertung, kontinuierliche Verbesserung.
NIST AI RMFGovern-, Map-, Measure-, Manage-Funktionen über den gesamten KI-Lebenszyklus.
ISO/IEC 27001Informationssicherheitskontrollen für KI-Daten und -Systeme.

Der KI-Governance-Verantwortliche pflegt eine Zuordnung zwischen den Anforderungen dieser Richtlinie und den geltenden regulatorischen Verpflichtungen, die bei regulatorischen Änderungen aktualisiert wird.

8. Ausnahmen

Jeder Antrag auf Abweichung von dieser Richtlinie muss beim KI-Governance-Verantwortlichen eingereicht werden mit:

Hochrisiko-Ausnahmen erfordern die Genehmigung des KI-Governance-Ausschusses. Alle Ausnahmen werden protokolliert und mindestens vierteljährlich überprüft.

  • Einer Beschreibung der Ausnahme und deren Begründung.
  • Einer Bewertung des zusätzlich eingeführten Risikos.
  • Vorgeschlagenen kompensierenden Maßnahmen.
  • Einem definierten Ablaufdatum (Ausnahmen sind nicht dauerhaft).

9. Durchsetzung

Verstöße gegen diese Richtlinie können zu folgenden Maßnahmen führen:

Die Organisation behält sich das Recht vor, jedes KI-System sofort auszusetzen, das ein inakzeptables Risiko für Einzelpersonen, die Organisation oder die regulatorische Stellung darstellt.

  • Aussetzung des KI-Systems bis zur Überprüfung.
  • Verpflichtende Behebung mit definiertem Zeitrahmen.
  • Eskalation an die Geschäftsführung.
  • Disziplinarmaßnahmen proportional zum eingeführten Risiko.

10. Überprüfung und Aktualisierung

Diese Richtlinie wird mindestens jährlich überprüft oder früher, wenn ausgelöst durch:

Der KI-Governance-Verantwortliche ist für die Einleitung der Überprüfung verantwortlich. Aktualisierungen erfordern die Genehmigung des KI-Governance-Ausschusses.

  • Wesentliche regulatorische Änderungen (z. B. Inkrafttreten neuer EU-AI-Act-Bestimmungen).
  • Wesentliche KI-Vorfälle innerhalb der Organisation.
  • Änderungen der KI-Strategie oder des Risikoappetits der Organisation.
  • Feststellungen aus internen oder externen Audits.

Dokumentenlenkung

FeldWert
Richtlinienverantwortlicher[KI-Governance-Verantwortlicher]
Genehmigt durch[KI-Governance-Ausschuss]
Inkrafttreten[Datum]
Nächste Überprüfung[Datum + 12 Monate]
Version1.0
KlassifizierungIntern

Bereit, diese Richtlinie umzusetzen?

Nutzen Sie VerifyWise, um diese Richtlinienvorlage anzupassen, bereitzustellen und die Compliance zu verfolgen.

Kostenlos startenAlle Vorlagen durchsuchen
KI-Governance-Richtlinie | VerifyWise KI-Governance-Vorlagen