Zurück zu Richtlinienvorlagen
Richtlinie 05 von 15

KI-Richtlinie zur regulatorischen Compliance

Ordnet regulatorische und normative Verpflichtungen internen Kontrollen zu, weist Verantwortliche zu und stellt auditfähige Nachweise für alle anwendbaren KI-Frameworks sicher.

1. Zweck

Diese Richtlinie legt fest, wie [Name der Organisation] die Einhaltung KI-bezogener Vorschriften, Standards und vertraglicher Verpflichtungen identifiziert, verfolgt und nachweist. Sie schafft den Compliance-Management-Prozess, definiert das Anforderungsregister und bestätigt, dass Nachweise geführt werden, um Regulierungsbehörden, Prüfer, Zertifizierungsstellen und Kunden zufriedenzustellen.

2. Geltungsbereich

Diese Richtlinie umfasst:

  • Alle KI-Systeme, die externer Regulierung unterliegen (EU AI Act, DSGVO, branchenspezifische Vorschriften).
  • Alle KI-Systeme im Geltungsbereich freiwilliger Standards (ISO/IEC 42001, NIST AI RMF).
  • Alle KI-Systeme, die vertraglichen Compliance-Verpflichtungen unterliegen (Kundenaudits, Partnervereinbarungen).
  • Alle Rechtsordnungen, in denen die Organisation KI-Systeme entwickelt, bereitstellt oder anbietet.

3. Framework-Überblick und Priorisierung

Die drei primären KI-Governance-Frameworks adressieren überlappende, aber unterschiedliche Anliegen. Organisationen sollten deren Beziehung zueinander verstehen:

Empfohlener Ansatz: Beginnen Sie mit dem Framework, das für Ihre regulatorischen Verpflichtungen am relevantesten ist (EU AI Act für EU-Aktivitäten, NIST AI RMF für US-orientierte Organisationen). Ergänzen Sie ISO/IEC 42001 für systematisches Management und Zertifizierung. Nutzen Sie Crosswalk-Zuordnungen, um doppelten Aufwand zu vermeiden, wo sich Frameworks überschneiden.

  • EU AI Act: Rechtliche Verpflichtungen. Verpflichtend für KI-Systeme, die in der EU vermarktet oder eingesetzt werden. Bei Nichteinhaltung drohen Bußgelder bis zu 35 Millionen EUR oder 7 % des weltweiten Umsatzes.
  • ISO/IEC 42001: Managementsystem-Standard. Freiwillig, aber zunehmend von Unternehmenskunden und Partnern erwartet. Zertifizierbar durch akkreditierte Stellen.
  • NIST AI RMF: Risikomanagement-Prozess. Freiwillig, weit verbreitet in den USA. Bietet eine strukturierte Methodik zur Identifizierung, Bewertung und Steuerung von KI-Risiken.

4. Framework-übergreifende Zuordnung

Die folgende Tabelle ordnet zentrale Governance-Themen ihren jeweiligen Stellen in den einzelnen Frameworks zu und ermöglicht es Teams, mit einer einzigen Kontrolle mehrere Verpflichtungen zu erfüllen.

Governance-ThemaEU AI ActISO/IEC 42001NIST AI RMF
RisikobewertungArt. 9Abschnitt 6.1, Anhang BMAP, MEASURE
Governance-StrukturArt. 4a, 9, 26Abschnitt 5.1, 5.3GOVERN (GV-1, GV-2)
Technische DokumentationArt. 11, Anhang IVAbschnitt 7.5MAP (MP-5)
Daten-GovernanceArt. 10Anhang B (B.7)MAP (MP-3), MANAGE (MG-3)
TransparenzArt. 13, 50Abschnitt 4.2GOVERN (GV-4)
Menschliche AufsichtArt. 14Anhang C (C.2)GOVERN (GV-5), MANAGE (MG-4)
Genauigkeit und RobustheitArt. 15Abschnitt 8.4MEASURE (MS-2)
Bias und FairnessArt. 10 (Daten), Erwägungsgrund 47Anhang B (B.3)MEASURE (MS-2), MAP (MP-3)
Post-Market-MonitoringArt. 72Abschnitt 9.1MANAGE (MG-1, MG-2)
VorfallmeldungArt. 73Abschnitt 10.2MANAGE (MG-4)
Drittanbieter-ManagementArt. 25 (Wertschöpfungskette)Abschnitt 8.5GOVERN (GV-6)
Schulung und KompetenzArt. 4a (KI-Kompetenz)Abschnitt 7.2GOVERN (GV-3)

5. EU-AI-Act-Verpflichtungen

Wesentliche Verpflichtungen für Anbieter und Betreiber von Hochrisiko-KI-Systemen:

  • Risikoklassifizierung (Art. 6, Anhang III): Alle KI-Systeme klassifizieren. Hochrisiko löst verpflichtende Anforderungen aus.
  • Konformitätsbewertung (Art. 43): Interne oder externe Bewertung vor Markteinführung.
  • Technische Dokumentation (Art. 11, Anhang IV): Technische Akte mit Beschreibung von System, Daten, Tests und Leistung.
  • Transparenz (Art. 13, 50): Information an Betreiber/Nutzer über Fähigkeiten und Einschränkungen. Nutzer informieren, wenn sie mit KI interagieren.
  • Menschliche Aufsicht (Art. 14): Gestaltung für wirksame menschliche Aufsicht über den Betrieb.
  • Grundrechte-Folgenabschätzung (Art. 27): Betreiber bewerten die Auswirkungen vor dem Einsatz.
  • Post-Market-Monitoring (Art. 72): Überwachungsplan für bereitgestellte Hochrisiko-Systeme.
  • Vorfallmeldung (Art. 73): Schwerwiegende Vorfälle unverzüglich an die Marktüberwachungsbehörde melden.
  • Registrierung (Art. 49): Registrierung in der EU-Datenbank vor Markteinführung.
  • KI-Kompetenz (Art. 4a): Sicherstellen, dass das Personal über ausreichende KI-Kompetenz für seine Rolle verfügt.

6. ISO/IEC-42001-Anforderungen

Wesentliche Abschnitte für das KI-Managementsystem:

Zertifizierung: Die ISO/IEC-42001-Zertifizierung erfordert ein akkreditiertes Drittanbieter-Audit. Der KI-Governance-Verantwortliche koordiniert das Zertifizierungsprogramm, einschließlich Stufe 1 (Dokumentenprüfung) und Stufe 2 (Implementierungsaudit) sowie jährlicher Überwachungsaudits.

  • Abschnitt 4: Kontext (interessierte Parteien, Geltungsbereich, KI-Systeminventar).
  • Abschnitt 5: Führung (Verpflichtung, Richtlinie, Rollen).
  • Abschnitt 6: Planung (Risikobewertung, Ziele, KI-Folgenabschätzung).
  • Abschnitt 7: Unterstützung (Ressourcen, Kompetenz, Bewusstsein, Dokumentation).
  • Abschnitt 8: Betrieb (Lebenszyklus, Dritte, Datenmanagement).
  • Abschnitt 9: Leistungsbewertung (Überwachung, internes Audit, Managementbewertung).
  • Abschnitt 10: Verbesserung (Nichtkonformität, Korrekturmaßnahmen, kontinuierliche Verbesserung).

7. Compliance-Management-Prozess

Platzhaltertext. Füllen Sie mit der Sprache Ihrer Organisation für 7. Compliance-Management-Prozess aus.

7.1 Anforderungsregister

Der KI-Governance-Verantwortliche pflegt ein Anforderungsregister, das jede Verpflichtung zuordnet zu:

  • Der spezifischen Klausel oder Artikelnummer.
  • Der internen Kontrolle, die sie adressiert.
  • Dem für die Umsetzung verantwortlichen Kontrollverantwortlichen.
  • Den erforderlichen Nachweisen zur Compliance-Demonstration.
  • Dem aktuellen Status (konform, teilweise konform, Lücke, nicht anwendbar).
  • Behebungsplänen und Fristen für Lücken.

7.2 Nachweisbibliothek

Alle Compliance-Nachweise werden zentral gespeichert mit Versionskontrolle, Aufbewahrungsmarkierungen, Zugriffskontrollen und Zeitstempeln. Nachweistypen umfassen:

  • Richtlinien und Verfahren (dieses Dokument, zugehörige Richtlinien).
  • Risikobewertungen und Behandlungspläne.
  • Modellkarten, Datenblätter und technische Dokumentation.
  • Testberichte (Bias, Fairness, Sicherheit, Leistung).
  • Schulungsnachweise und Kompetenzbeurteilungen.
  • Sitzungsprotokolle und Entscheidungsprotokolle.
  • Vorfallberichte und Post-Vorfall-Reviews.
  • Audit-Berichte und Behebungsnachweise.

7.3 Gap-Analyse

Eine Gap-Analyse wird durchgeführt, wenn eine neue Verordnung in Kraft tritt, wenn ein neues KI-System in den Geltungsbereich kommt, jährlich als Teil des Überprüfungszyklus und wenn Audit-Feststellungen Kontrollschwächen identifizieren. Lücken werden Behebungsverantwortlichen und Fristen zugewiesen und bis zum Abschluss verfolgt.

7.4 Überwachung regulatorischer Änderungen

Recht und Compliance überwachen regulatorische Entwicklungen. Wenn eine wesentliche Änderung identifiziert wird, wird das Anforderungsregister aktualisiert, betroffene Kontrollverantwortliche werden benachrichtigt, eine Gap-Analyse wird ausgelöst und der KI-Governance-Ausschuss wird informiert.

8. Vorfallmeldepflichten

FrameworkMeldepflichtFrist
EU AI Act (Art. 73)Schwerwiegende Vorfälle an Marktüberwachungsbehörde meldenUnverzüglich, spätestens 15 Tage nach Kenntnisnahme
DSGVO (Art. 33)Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörde meldenInnerhalb von 72 Stunden nach Kenntnisnahme
ISO/IEC 42001 (Abschnitt 10.2)Nichtkonformitäten erfassen und Korrekturmaßnahmen einleitenIm Rahmen des kontinuierlichen Verbesserungsprozesses
NIST AI RMF (MG-4)Risikomanagement-Entscheidungen dokumentieren und kommunizierenGemäß Organisationsprozess

9. Rollen und Verantwortlichkeiten

RolleCompliance-Verantwortlichkeiten
KI-Governance-VerantwortlicherPflegt das Register, koordiniert Audits, verfolgt Behebungen, erstellt Berichte, verwaltet das Zertifizierungsprogramm.
KontrollverantwortlicheSetzen Kontrollen um, erstellen und aktualisieren Nachweise, beheben Feststellungen.
Recht und ComplianceÜberwachen Vorschriften, beraten zu Verpflichtungen, koordinieren Regulierungsbehördenkontakte.
ModellverantwortlicheStellen sicher, dass Systeme die Anforderungen erfüllen, pflegen technische Dokumentation, unterstützen Audits.
KI-Governance-AusschussGenehmigt Strategie, überprüft Compliance-Lage, löst Eskalationen.

10. Berichtsturnus

  • Monatlich: KI-Governance-Verantwortlicher überprüft Registerstatus und Aktualität der Nachweise.
  • Vierteljährlich: Compliance-Zusammenfassung wird dem KI-Governance-Ausschuss vorgelegt.
  • Jährlich: Vollständiger Compliance-Bericht an die Geschäftsführung mit Framework-Abdeckung, Lückentrends, Audit-Ergebnissen und regulatorischem Ausblick.

11. Ausnahmen

Die vorübergehende Aussetzung einer Compliance-Kontrolle erfordert eine schriftliche Begründung, kompensierende Maßnahmen, eine Behebungsfrist und die Genehmigung des KI-Governance-Verantwortlichen (oder des Ausschusses bei Hochrisiko-Kontrollen).

12. Überprüfung

Diese Richtlinie wird jährlich oder früher überprüft, wenn dies durch das Inkrafttreten neuer Vorschriften, wesentliche Audit-Feststellungen oder Änderungen des KI-Geltungsbereichs der Organisation ausgelöst wird.

Dokumentenlenkung

FeldWert
Richtlinienverantwortlicher[KI-Governance-Verantwortlicher]
Genehmigt durch[KI-Governance-Ausschuss]
Inkrafttreten[Datum]
Nächste Überprüfung[Datum + 12 Monate]
Version1.0
KlassifizierungIntern

Bereit, diese Richtlinie umzusetzen?

Nutzen Sie VerifyWise, um diese Richtlinienvorlage anzupassen, bereitzustellen und die Compliance zu verfolgen.

Kostenlos startenAlle Vorlagen durchsuchen
KI-Richtlinie zur regulatorischen Compliance | VerifyWise KI-Governance-Vorlagen