Zurück zu Richtlinienvorlagen
Richtlinie 12 von 15

Richtlinie für Modellgenehmigung und -freigabe

Definiert die Genehmigungen, Nachweise und Bedingungen, die erforderlich sind, bevor ein KI-Modell in die Produktion überführt wird.

1. Zweck

Diese Richtlinie legt den Gate-Keeping-Prozess für KI-Modell-Releases bei [Name der Organisation] fest. Kein KI-Modell darf ohne das Bestehen der erforderlichen Prüfungen, die Erstellung der erforderlichen Nachweise und die Einholung der erforderlichen Genehmigungen in die Produktion überführt werden. Dies verhindert, dass ungetestete, undokumentierte oder nicht genehmigte Modelle Nutzer erreichen oder Entscheidungen beeinflussen.

2. Geltungsbereich

Diese Richtlinie gilt für:

Ausgenommen: Experimente in Sandbox-Umgebungen, die keine realen Daten verarbeiten oder reale Nutzer beeinflussen.

  • Alle neuen KI-Modellbereitstellungen in Produktionsumgebungen.
  • Alle Modellaktualisierungen, Retrainings oder Feinabstimmungen, die in die Produktion überführt werden.
  • Alle Drittanbieter-KI-Modelle, die für den Produktiveinsatz aktiviert werden.
  • Alle Änderungen an Modellkonfiguration, Parametern oder Datenpipelines, die das Produktionsverhalten beeinflussen.

3. Release-Stufen

Die Tiefe des Genehmigungsprozesses hängt von der Risikoklassifizierung und der Art der Änderung ab:

Release-TypBeschreibungErforderliche Genehmigung
Neues Modell (Hochrisiko)Erstbereitstellung eines als Hochrisiko klassifizierten ModellsKI-Governance-Ausschuss
Neues Modell (mittleres Risiko)Erstbereitstellung eines als mittleres Risiko klassifizierten ModellsKI-Governance-Verantwortlicher + Modellverantwortlicher
Neues Modell (niedriges Risiko)Erstbereitstellung eines als niedriges Risiko klassifizierten ModellsModellverantwortlicher
Wesentliche AktualisierungArchitekturänderung, neue Trainingsdatenquelle oder Änderung der RisikoklassifizierungWie bei neuem Modell für die jeweilige Risikostufe
Geringfügige AktualisierungRetraining mit gleicher Datenpipeline, Hyperparameter-Tuning, FehlerbehebungModellverantwortlicher (Peer-Review bei Hochrisiko)
KonfigurationsänderungSchwellenwertanpassung, Prompt-Update, Feature-Flag-UmschaltungModellverantwortlicher
Aktivierung von DrittanbietermodellNeuer KI-Anbieterdienst geht liveKI-Governance-Verantwortlicher + Sicherheit + Recht

4. Checkliste vor Freigabe

Vor der Beantragung der Genehmigung muss der Modellverantwortliche Folgendes bestätigen und dokumentieren:

4.1 Dokumentation

  • Modellkarte vervollständigt (Zweck, Architektur, Trainingsdaten, Einschränkungen, beabsichtigte Nutzung, bekannte Verzerrungen).
  • Datenblatt für Trainings- und Evaluierungsdatensätze.
  • Risikobewertung abgeschlossen und im Risikoregister eingetragen.
  • Änderungsprotokoll mit Dokumentation der Änderungen gegenüber der Vorgängerversion (bei Aktualisierungen).

4.2 Test-Nachweise

  • Validierungstestbericht mit Pass/Fail-Ergebnissen gegen vordefinierte Schwellenwerte (gemäß Modellvalidierungs- und -testrichtlinie).
  • Bias- und Fairness-Testergebnisse (Hoch- und Mittelrisiko-Systeme).
  • Sicherheitstestergebnisse einschließlich adversarialer Tests und Prompt-Injection-Tests (wo anwendbar).
  • Unabhängiger Validierungsbericht (nur Hochrisiko-Systeme).

4.3 Compliance

  • Regulatorische Zuordnung abgeschlossen: welche Verpflichtungen gelten und wie sie erfüllt werden.
  • GFFA abgeschlossen (Hochrisiko-Systeme, die in der EU bereitgestellt werden).
  • Datenschutz-Folgenabschätzung abgeschlossen (wo gemäß DSGVO Artikel 35 erforderlich).
  • Transparenz- und Nutzerbenachrichtigungsanforderungen dokumentiert.

4.4 Betriebsbereitschaft

  • Monitoring konfiguriert: Leistungskennzahlen, Drift-Erkennung, Warnschwellen.
  • Vorfallreaktionsplan dokumentiert und überprüft.
  • Rollback-Verfahren getestet und als funktionsfähig bestätigt.
  • Bereitschafts- oder Supportverantwortung zugewiesen.
  • Kapazitätsplanung abgeschlossen (erwartete Last, Skalierungsansatz).

5. Genehmigungsprozess

Platzhaltertext. Füllen Sie mit der Sprache Ihrer Organisation für 5. Genehmigungsprozess aus.

Schritt 1: Antrag

Der Modellverantwortliche reicht einen Freigabeantrag über das Governance-Portal mit der ausgefüllten Checkliste und allen beigefügten Nachweisen ein.

Schritt 2: Prüfung

Die Genehmiger prüfen die Nachweise. Bei Hochrisiko-Freigaben prüft der KI-Governance-Ausschuss den Antrag in seiner nächsten Sitzung (oder in einer Ad-hoc-Sitzung bei dringenden Fällen). Prüfer können zusätzliche Tests oder Dokumentation vor der Genehmigung anfordern.

Schritt 3: Entscheidung

  • Genehmigt: Freigabe kann erfolgen. Genehmigung wird mit Name des Genehmigenden, Datum und etwaigen Auflagen protokolliert.
  • Genehmigt mit Auflagen: Freigabe kann erfolgen, aber bestimmte Bedingungen müssen innerhalb eines definierten Zeitraums erfüllt werden (z. B. "bereitstellen, aber Fairness-Audit innerhalb von 30 Tagen abschließen").
  • Abgelehnt: Freigabe wird blockiert. Ablehnungsgrund dokumentiert. Modellverantwortlicher muss die Probleme beheben und erneut einreichen.

Schritt 4: Bereitstellung

Nach der Genehmigung erfolgt die Bereitstellung gemäß dem Change-Management-Prozess der Organisation. Bereitstellungsdatum und Durchführender werden erfasst.

Schritt 5: Bestätigung nach Bereitstellung

Innerhalb von 48 Stunden nach der Bereitstellung bestätigt der Modellverantwortliche:

  • Das Modell arbeitet innerhalb der erwarteten Parameter.
  • Monitoring ist aktiv und erzeugt Daten.
  • Keine unmittelbaren Probleme erkannt.

6. Notfall-Releases

In Fällen, in denen eine dringende Behebung erforderlich ist (Sicherheitsproblem, Sicherheitslücke, regulatorische Frist):

  • Der Modellverantwortliche darf mit mündlicher Genehmigung des KI-Governance-Verantwortlichen bereitstellen.
  • Schriftliche Genehmigung und vollständige Dokumentation müssen innerhalb von 5 Werktagen nachgereicht werden.
  • Notfall-Releases werden protokolliert und bei der nächsten Ausschusssitzung überprüft.
  • Notfall-Releases dürfen nicht verwendet werden, um die reguläre Governance aus Bequemlichkeit zu umgehen.

7. Rollback und Aussetzung

  • Jedes genehmigte Modell kann vom KI-Governance-Verantwortlichen ausgesetzt werden, wenn Nachweise nach der Bereitstellung auf ein inakzeptables Risiko hinweisen.
  • Ein Rollback auf die vorherige Version muss innerhalb des in der Betriebsbereitschafts-Checkliste definierten Zeitrahmens durchführbar sein.
  • Aussetzungs- und Rollback-Entscheidungen werden mit Begründung protokolliert und vom Ausschuss überprüft.

8. Audit-Trail

Für jede Freigabe werden folgende Aufzeichnungen geführt:

Aufzeichnungen werden gemäß der Aufbewahrungsrichtlinie der Organisation aufbewahrt und für interne und externe Audits zur Verfügung gestellt.

  • Freigabeantrag mit Checkliste.
  • Alle Nachweisdokumente (Testberichte, Risikobewertung, GFFA, DSFA).
  • Genehmigungsentscheidung mit Identität des Genehmigenden, Datum und etwaigen Auflagen.
  • Bereitstellungsprotokoll (Datum, Durchführender, Umgebung).
  • Bestätigung nach Bereitstellung.
  • Etwaige Rollback- oder Aussetzungsaufzeichnungen.

9. Rollen und Verantwortlichkeiten

RolleRelease-Verantwortlichkeiten
ModellverantwortlicherErstellt Freigabeantrag, vervollständigt Checkliste, koordiniert Tests, führt Bereitstellung durch, bestätigt nach Bereitstellung.
KI-Governance-VerantwortlicherPrüft Anträge mit mittlerem Risiko, koordiniert Ausschussprüfungen, genehmigt Notfall-Releases, löst Rollbacks aus.
KI-Governance-AusschussGenehmigt Hochrisiko-Freigaben, überprüft Notfall-Releases retrospektiv.
SicherheitPrüft Sicherheitstestnachweise, beteiligt sich an Drittanbieter-Aktivierungsgenehmigungen.
RechtPrüft Compliance-Nachweise, beteiligt sich an Drittanbieter-Aktivierungsgenehmigungen.

10. Regulatorische Ausrichtung

  • EU AI Act: Artikel 9 (Risikomanagementsystem), Artikel 16 (Anbieterpflichten), Artikel 43 (Konformitätsbewertung vor Markteinführung).
  • ISO/IEC 42001: Abschnitt 8.2 (Realisierung von KI-Systemen), Abschnitt 8.4 (Verifizierung und Validierung).
  • NIST AI RMF: MANAGE-Funktion (MG-2: Bereitstellungsentscheidungen, MG-3: Monitoring nach Bereitstellung).

11. Überprüfung

Diese Richtlinie wird jährlich oder bei Änderungen des Release-Prozesses, der Bereitstellungstools oder bei Mustern bei Release-Fehlern überprüft.

Dokumentenlenkung

FeldWert
Richtlinienverantwortlicher[KI-Governance-Verantwortlicher]
Genehmigt durch[KI-Governance-Ausschuss]
Inkrafttreten[Datum]
Nächste Überprüfung[Datum + 12 Monate]
Version1.0
KlassifizierungIntern

Bereit, diese Richtlinie umzusetzen?

Nutzen Sie VerifyWise, um diese Richtlinienvorlage anzupassen, bereitzustellen und die Compliance zu verfolgen.

Kostenlos startenAlle Vorlagen durchsuchen
Richtlinie für Modellgenehmigung und -freigabe | VerifyWise KI-Governance-Vorlagen