EU AI Act: Conformity Assessment (Konformitätsbewertung)

EU AI Act: Conformity Assessment (Konformitätsbewertung) ist das formale Prüfverfahren, mit dem nachgewiesen wird, dass ein KI-System die Anforderungen des EU AI Act erfüllt, bevor es in der EU in Verkehr gebracht oder in Betrieb genommen wird. Ziel ist, Risiken zu kontrollieren, Sicherheit und Grundrechte zu schützen und die notwendige Dokumentation für Behörden und Kunden bereitzustellen.

Was bedeutet Konformitätsbewertung im EU AI Act?

„Konformitätsbewertung“ bedeutet: Ein Anbieter (Provider) muss nachweisen, dass sein KI-System die gesetzlichen Pflichten einhält. Das umfasst typischerweise technische, organisatorische und prozessuale Anforderungen – z. B. Risikomanagement, Daten- und Modellqualität, Transparenz, menschliche Aufsicht, Robustheit, Cybersicherheit sowie nachvollziehbare Dokumentation. Je nach Risikoklasse kann die Prüfung intern erfolgen oder eine externe Stelle (Notified Body) einbezogen werden.

Wie funktioniert die Konformitätsbewertung? (typischer Ablauf)

• 1) Einstufung & Scope klären: Handelt es sich um ein Hochrisiko-System? Welche Use Cases, Nutzergruppen und Betriebsumgebungen sind abgedeckt?
• 2) Risikomanagement: Risiken für Gesundheit, Sicherheit und Grundrechte identifizieren, bewerten und mit Maßnahmen reduzieren (z. B. Guardrails, Freigabeprozesse, Monitoring).
• 3) Technische Dokumentation erstellen: Architektur, Trainings-/Testdaten, Modell- und Systemgrenzen, Evaluationsmethoden, Sicherheitsmaßnahmen, Logging, Human Oversight etc. dokumentieren. Hier greifen in der Praxis oft Bausteine aus AI Governance und MLOps.
• 4) Tests & Evaluierung: Nachweise erbringen, dass das System die Anforderungen erfüllt (z. B. Robustheitstests, Bias-Checks, Security-Tests, Qualitätsmetriken, Red-Teaming).
• 5) Konformitätsbewertungsverfahren durchführen: Je nach Kategorie intern (Selbstbewertung) oder mit externer Prüfung. Ergebnis ist ein belastbarer Nachweis der Konformität.
• 6) EU-Konformitätserklärung & Marktzugang: Nach erfolgreicher Bewertung folgen formale Schritte wie Konformitätserklärung und ggf. Kennzeichnungen/Registrierungen.
• 7) Betrieb & laufende Überwachung: Änderungen (z. B. neue Modellversion, neues Fine-Tuning) können eine erneute Bewertung oder Aktualisierung der Nachweise auslösen.

Beispiele aus der LLM- und Automationspraxis

Beispiel 1: Support-Chatbot mit ChatGPT oder einem Large Language Model (LLM): Wenn der Bot in einem sensiblen Kontext eingesetzt wird (z. B. Beratung mit potenziellen Rechts-/Finanzfolgen), muss der Anbieter u. a. dokumentieren, wie Halluzinationen reduziert werden (z. B. via RAG (Retrieval-Augmented Generation), Quellenhinweise, Freigabe-Workflows, Human-in-the-Loop) und wie Nutzer transparent informiert werden.

Beispiel 2: Automatisierte Entscheidungen in Workflows (z. B. mit n8n und Automatisierung (Automation)): Wenn ein KI-Agent Tickets priorisiert oder Anträge vorprüft, ist entscheidend, dass Datenflüsse, Logging, Zugriffskontrollen und Eskalationspfade klar definiert sind. Zudem müssen Tests zeigen, dass das System zuverlässig arbeitet und Fehlentscheidungen begrenzt werden.

Warum ist die Konformitätsbewertung wichtig?

Sie ist der zentrale „Marktzugangsnachweis“ für regulierte KI: Ohne belastbare Konformität drohen Verkaufs- bzw. Einsatzverbote, Haftungsrisiken und Bußgelder. Gleichzeitig schafft sie Vertrauen bei Kunden, weil nachvollziehbar wird, wie das System geprüft, abgesichert und überwacht wird – gerade bei generativer KI, in der Fehlerbilder wie Halluzinationen (Hallucinations) oder Prompt-Angriffe eine Rolle spielen.

Was kostet eine Konformitätsbewertung?

Die Kosten hängen stark von Risikoklasse, Komplexität, Dokumentationsreife und davon ab, ob eine externe Stelle beteiligt ist. Treiber sind typischerweise: Umfang der Tests/Evals, Security- und Datenschutzmaßnahmen (z. B. in Verbindung mit Datenschutz (DSGVO/GDPR) & KI), Aufbau von Monitoring/Logging sowie die Pflege der technischen Dokumentation über mehrere Modellversionen hinweg.