Konformitätsbewertungsverfahren
Ein Konformitätsbewertungsverfahren ist der formale Nachweis, dass ein Hochrisiko-KI-System alle gesetzlichen Anforderungen der EU-KI-Verordnung erfüllt, bevor es in Verkehr gebracht oder in Betrieb genommen werden darf.
Ausführliche Erklärung
Die EU-KI-Verordnung schreibt für Hochrisiko-KI-Systeme ein strukturiertes Konformitätsbewertungsverfahren vor, das sicherstellt, dass diese Systeme die strengen Anforderungen an Sicherheit, Transparenz, Risikomanagement und Grundrechtsschutz erfüllen. Das Verfahren ist vergleichbar mit der CE-Kennzeichnung bei technischen Produkten und bildet die zwingende Voraussetzung für den Marktzugang in der EU. Nach erfolgreichem Abschluss darf der Anbieter eine EU-Konformitätserklärung ausstellen und das CE-Zeichen anbringen.
Die KI-Verordnung unterscheidet nach Artikel 43 zwischen zwei Hauptverfahren: der internen Kontrolle auf Basis von Anhang VI und der Bewertung durch eine benannte Stelle gemäß Anhang VII. Bei der internen Kontrolle bewertet der Anbieter selbst die Konformität seines Systems, dokumentiert die Einhaltung aller Anforderungen und erstellt die notwendige technische Dokumentation. Dieses Verfahren gilt für die meisten Hochrisiko-Systeme nach Anhang III Punkte 2 bis 8, etwa in den Bereichen kritische Infrastruktur, Bildung, Beschäftigung oder öffentliche Leistungen. Eine externe Prüfstelle ist hier nicht erforderlich, die materiellen Pflichten bleiben jedoch vollumfänglich bestehen.
Bei bestimmten Hochrisiko-Systemen, insbesondere jenen nach Anhang III Nummer 1 oder wenn harmonisierte Normen nicht oder nur teilweise angewendet wurden, muss eine notifizierte Stelle eingebunden werden. Diese externe Prüfstelle bewertet das Qualitätsmanagementsystem und die technische Dokumentation unabhängig. Für KI-Systeme, die bereits unter andere EU-Produktsicherheitsvorschriften fallen, gelten die jeweiligen sektorspezifischen Konformitätsbewertungsverfahren, ergänzt um die KI-spezifischen Anforderungen.
Das Verfahren umfasst die Prüfung des Risikomanagementsystems, der Datenqualität und Datenverwaltung, der technischen Dokumentation, der Protokollierungsfunktionen sowie der menschlichen Aufsicht. Bei wesentlichen Änderungen am System muss eine neue Konformitätsbewertung durchgeführt werden. Die Anforderungen gelten ab 2. August 2026 für die meisten Hochrisiko-Systeme.
Praxisbeispiel
Ein österreichisches Softwareunternehmen mit 45 Mitarbeitenden entwickelt ein KI-System zur automatisierten Vorauswahl von Bewerbungen für einen Personaldienst. Da es sich um ein Hochrisiko-System im Beschäftigungsbereich handelt, muss das Unternehmen vor der Markteinführung ein Konformitätsbewertungsverfahren durchführen. Es wählt die interne Kontrolle nach Anhang VI, prüft systematisch die Einhaltung aller Anforderungen an Risikomanagement, Datenqualität und Transparenz, erstellt die technische Dokumentation und stellt eine EU-Konformitätserklärung aus. Erst danach darf das System mit CE-Kennzeichnung angeboten werden.