Es ist ein Meilenstein bei der Regulierung von Künstlicher Intelligenz: Die KI-Verordnung ist die erste umfassende Gesetzgebung der Europäischen Union, die speziell auf KI-Systeme ausgerichtet ist. Anbieter stehen nun vor der Aufgabe, ihre Systeme nicht nur sicher, sondern auch transparent und nachvollziehbar zu gestalten. Dabei ist die Technische Dokumentation ein unverzichtbares Werkzeug. Doch welche konkreten Anforderungen an die Dokumentation müssen erfüllt werden?

Die häufigsten Fragen haben wir gesammelt, sortiert und im folgenden Beitrag für Sie beantwortet.

Die KI-Verordnung im Überblick

Was ist die KI-Verordnung?

Die KI-Verordnung, auch bekannt als AI Act, ist die erste umfassende Regulierung der Europäischen Union speziell für Künstliche Intelligenz. Ihr Ziel ist es, harmonisierte Regeln für die Entwicklung, das Inverkehrbringen und den Einsatz von KI-Systemen zu schaffen. Dadurch soll gewährleistet werden, dass KI-Systeme menschenzentriert gestaltet sind und die demokratischen Werte der EU – wie der Schutz der Menschenwürde, die Gleichheit und der Datenschutz – respektiert werden. Gleichzeitig sollen durch die harmonisierten Vorschriften Innovationen und der grenzüberschreitende Handel mit KI-gestützten Produkten gefördert werden.

Ab wann gilt die KI-Verordnung?

Die Verordnung ist am 1. August 2024 in Kraft getreten. Offiziell angewendet werden müssen die meisten Vorschriften ab dem 1. August 2026, wobei gestaffelte Übergangsfristen gelten:

• Ab 1. Februar 2025: Verbot von KI-Systemen mit unannehmbarem Risiko
• Ab 1. August 2025: Anwendung der Vorschriften für Systeme mit allgemeinem Verwendungszweck, z. B. ChatGPT
• Ab 1. August 2026: Anwendung aller übrigen Vorschriften
• Ab 1. August 2027: Anwendung der Vorschriften für Hochrisiko-KI-Systeme, die bereits anderen EU-Vorschriften unterliegen

Wen betrifft die Verordnung?

Die KI-Verordnung richtet sich an alle Beteiligten, die in die Entwicklung, Vermarktung und Nutzung von KI-Systemen in der Europäischen Union involviert sind. Das betrifft insbesondere Akteure wie Anbieter, Betreiber, Importeure und Händler von KI-Systemen. Auch Unternehmen außerhalb der EU fallen unter die Regelungen, wenn sie KI-Systeme in der EU anbieten oder verwenden.

Ausnahmen: Die Regelungen der KI-Verordnung gelten nicht für KI-Systeme, die ausschließlich für militärische Zwecke entwickelt oder verwendet werden. Eine weitere Ausnahme sind Privatpersonen, die Künstliche Intelligenz im nicht-gewerblichen Kontext einsetzen.

Was ist ein KI-System nach KI-Verordnung?

Um festzulegen, was genau ein KI-System im Sinne der Verordnung ist, orientiert sich die EU an der offiziellen OECD-Definition. Konkret definiert die Verordnung ein KI-System wie folgt:

„ … ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.“

Diese Definition ist so weit gefasst, dass alle gängigen KI-Systeme und generativen KI-Anwendungen wie ChatGPT und Co. unter die Verordnung fallen.

Welche Risikoklassen für KI-Systeme gibt es?

Die KI-Verordnung verfolgt einen risikobasierten Ansatz zur Regulierung von KI-Systemen. Dazu werden KI-Systeme in Risikoklassen unterteilt, basierend auf ihrem potenziellen Schaden für die Rechte und Freiheiten von Einzelpersonen sowie für die Gesellschaft. Je höher das Risiko eines KI-Systems, desto strenger sind die gesetzlichen Anforderungen und Auflagen.

Die KI-Verordnung unterscheidet vier Hauptkategorien von Risikoklassen:

• Unannehmbares Risiko: KI-Systeme, die als unannehmbares Risiko eingestuft werden, sind vollständig verboten. Das gilt unter anderem für KI-Systeme, die folgende Mechanismen einsetzen: Social Scoring, unterschwellige Verhaltensmanipulation, biometrische Echtzeit-Identifizierung in öffentlichen Räumen …
• Hochrisiko-Systeme: KI-Systeme mit hohem Risiko sind von den meisten Bestimmungen der KI-Verordnung betroffen und unterliegen daher strengen regulatorischen Anforderungen. Typische Anwendungsbereiche von Hochrisiko-KI-Systemen sind: kritische Infrastruktur, Gesundheits- und Bankwesen, Strafverfolgung und Justizverwaltung, Migration, Asyl und Grenzkontrolle.
• Begrenztes Risiko: Diese KI-Systeme interagieren meist direkt mit Menschen – wie z. B. Chatbots oder personalisierte Empfehlungssysteme. Sie unterliegen weniger strengen Anforderungen, müssen aber bestimmte Transparenz- und Informationspflichten erfüllen, die sowohl Anbieter als auch Betreiber des KI-Systems betreffen können. KI-basierte Chatbots müssen etwa so konzipiert sein, dass für die User jederzeit ersichtlich ist, dass sie mit einem KI-System interagieren.
• Minimales Risiko: Für KI-Systeme dieser Kategorie (z. B. Suchfunktionen, Spamfilter oder Computerspiele) sind derzeit keine speziellen rechtlichen Anforderungen vorgesehen, solange sie keine Gefahr für die Rechte und Freiheiten von Menschen darstellen. Um allerdings als Anwendung mit niedrigem Risiko eingestuft zu werden, muss der KI-Anbieter eine entsprechende Risikobewertung seines Systems durchführen.

GPAI-Modelle als Sonderfall

Sogenannte General-Purpose-AI-Modelle (GPAIs) bilden in der EU-KI-Verordnung eine eigene Risikoklasse, die besondere Anforderungen erfüllen muss. GPAIs sind KI-Modelle, die ein breites Aufgabenspektrum erfüllen können und oft in unterschiedliche Anwendungen integriert werden – wie z. B. ChatGPT oder Claude. Zu den Anforderungen gehören unter anderem die Erstellung einer Technischen Dokumentation, die Durchführung von Risikobewertungen und die Sicherstellung der Cybersicherheit.

Die Technische Dokumentation von KI-Systemen

Welche Rolle spielt die Technische Dokumentation?

Der Begriff der Technischen Dokumentation zieht sich wie ein roter Faden durch die KI-Verordnung. Sie nimmt insbesondere bei Hochrisiko-KI-Systemen und GPAIs eine Schlüsselrolle ein. Grundsätzlich dient die Dokumentation dazu, alle wesentlichen Informationen zu Entwicklung, Betrieb und Sicherheit des KI-Systems bereitzustellen. Konkret hilft eine vollständige und präzise Dokumentation dabei:

• Regulatorische Anforderungen zu erfüllen, indem sie den Behörden alle notwendigen Informationen für die Überprüfung bereitstellt.
• Sicherheitsrisiken zu minimieren, indem sie potenzielle Schwachstellen identifiziert und Lösungen dokumentiert.
• Vertrauen zu schaffen, indem sie die Nutzung und den Zweck der KI-Systeme für die Betreiber nachvollziehbar macht.

Für wen ist die Technische Dokumentation gedacht?

Im Kern gibt es für die Dokumentation zwei Adressatenkreise: zum einen Behörden mit dem Fokus auf der regulatorischen Kontrolle und zum anderen Betreiber sowie nachgelagerte Anbieter, die auf die sichere Nutzung der Systeme angewiesen sind.

Welche Anforderungen muss die Technische Dokumentation für Behörden erfüllen (Hochrisiko-KI)?

Wesentliche Anforderungen an die Technische Dokumentation einer Hochrisiko-KI sind in Artikel 11 der KI-Verordnung definiert:

• Die Technische Dokumentation eines Hochrisiko-KI-Systems muss vor dem Inverkehrbringen oder der Inbetriebnahme erstellt und regelmäßig aktualisiert werden.
• Sie muss klar, verständlich und vollständig sein und mindestens die in Anhang IV der Verordnung genannten Angaben enthalten.
• Bei Kombination mit einem Produkt, das unter andere EU-Harmonisierungsrechtsvorschriften fällt (z. B. Maschinenrichtlinie), genügt eine gemeinsame Technische Dokumentation für das Produkt und das KI-System.

Die Anforderungen im Anhang IV

Im Anhang IV der KI-Verordnung werden die konkreten Inhalte definiert, die eine Technische Dokumentation von Hochrisiko-KI-Systemen enthalten muss. Diese lassen sich grob in die drei folgenden Hauptabschnitte unterteilen. Für eine detaillierte Analyse sollten die einzelnen Abschnitte der Verordnung herangezogen werden.

• Allgemeine Beschreibung des Systems: Zweck, Anbietername, Version, Interaktion mit anderen Systemen, Bereitstellung (z. B. Softwarepaket, API), Hardware-Anforderungen und Benutzeroberfläche
• Technische Details und Entwicklung: Entwicklungsprozess, Systemarchitektur, verwendete Daten (Herkunft, Bereinigung, Validierung), Sicherheits- und Testmaßnahmen (Genauigkeit, Robustheit, Cybersicherheit)
• Überwachung und Risikomanagement: Leistungsgrenzen, Risiken (z. B. Diskriminierung), Risikomanagementsystem und Änderungen während des Lebenszyklus

Welche Anforderungen muss die Technische Dokumentation für den Betreiber erfüllen (Hochrisiko-KI)?

Die Dokumentation, die für den Betreiber des KI-Systems vorgesehen ist, wird in Artikel 13 präzisiert. Sie muss präzise, vollständig und klar verständlich sein und zudem sicherstellen, dass der Betreiber das System sicher und effektiv nutzen kann.

Wichtige Inhalte der Anleitung für Betreiber sind:

• Systemanbieter: Name und Kontaktdaten des Anbieters oder seines Bevollmächtigten
• Technische Merkmale: Zweck, Genauigkeit, Robustheit, Risiken, Nutzungshinweise und Anforderungen an Eingabedaten
• Systemaktualisierungen: Beschreibung möglicher Änderungen und deren Auswirkungen auf die Systemleistung
• Menschliche Überwachung: Maßnahmen zur Interpretation und Kontrolle der Systemausgaben
• Technik und Wartung: Anforderungen an Hardware, erwartete Lebensdauer, Wartungs- und Aktualisierungsmaßnahmen
• Protokollierung: Falls zutreffend, Angaben zu Mechanismen für Nachvollziehbarkeit und Datenspeicherung

Welche Anforderungen muss die Technische Dokumentation für GPAIs erfüllen?

Bei KI-Systemen mit allgemeinem Verwendungszweck unterscheidet die KI-Verordnung zwischen Anforderungen für Behörden und Anforderungen für nachgelagerte Anbieter, die das System in ihre Produkte integrieren.

Grundsätzlich gilt:

• Dokumentation für Behörden: Die Anforderungen konzentrieren sich auf Informationen zu Modellzweck, Architektur, Datenverwendung, Sicherheitsmaßnahmen und Prüfstrategien.
• Dokumentation für nachgelagerte Anbieter: Hier liegt der Fokus auf Informationen zu Anwendungszweck, Nutzungseinschränkungen und technischen Details der Integration in das übergeordnete System.

Wie muss die Dokumentation zur Verfügung gestellt werden?

In puncto Publikation gilt nach Artikel 13 der Verordnung: Die digitale Bereitstellung der Betriebsanleitung ist grundsätzlich erlaubt. Gerade im Softwarebereich dürfte das die sinnvollste Lösung sein, um den Nutzern einen flexiblen und einfachen Zugang zu ermöglichen. Ob neben dem klassischen PDF auch anderen Arten der Informationsbereitstellung infrage kommen, ist aber noch nicht bekannt. Hier gilt es, die weiteren Entwicklungen und Veröffentlichungen der EU-Kommission im Blick zu behalten.

Gibt es nähere Informationen zur konkreten Umsetzung der Dokumentation?

Konkrete Informationen zur sprachlichen und gestalterischen Umsetzung der Technischen Dokumentation lassen sich aus der Verordnung leider nicht ableiten. Ob ein offizieller Leitfaden von EU-Seite dieses Thema später spezifiziert, ist derzeit noch offen. In der Zwischenzeit können KI-Anbieter auf bewährte Standards wie z. B. die Norm DIN EN 82079-1 zurückgreifen. Diese Norm definiert allgemeine Anforderungen für die Erstellung klarer, strukturierter und verständlicher Nutzerinformationen und bietet auch eine gute Grundlage für die Dokumentation von KI-Systemen.

Vereinfachtes Vorgehen für KMU und Start-ups geplant

Für KMU und Start-up-Unternehmen ist es zulässig, die Technische Dokumentation eines Hochrisiko-KI-Systems in vereinfachter Form bereitzustellen. Das geschieht über ein spezielles Formular, das von der EU-Kommission zur Verfügung gestellt und von notifizierten Stellen zum Zwecke der Konformitätsbewertung akzeptiert wird. Zur genauen Ausgestaltung des Formulars sowie zur Veröffentlichung existieren allerdings noch keine weiteren Informationen.

Wie wird die Einhaltung der Vorschriften kontrolliert?

Die Überwachung erfolgt durch das sogenannte AI Office der Europäischen Unionsowie durch nationale Aufsichtsbehörden in den jeweiligen Mitgliedsländern. In Deutschland wird vermutlich die Bundesnetzagentur (BNetzA) die Rolle der nationalen KI-Aufsichtsbehörde übernehmen.