KI mit hohem Risiko: Pflichten des Betreibers

Review and ensure compliance across all seven EU AI Act requirement areas before deploying a high-risk AI system.

What Is KI mit hohem Risiko: Pflichten des Betreibers?

Gehen Sie eine echte Compliance-Überprüfung für ein risikoreiches KI-System durch, das für Mitarbeiterleistungsbeurteilungen eingesetzt wird. Lernen Sie die sieben Anforderungsbereiche kennen, die vor der Bereitstellung erfüllt sein müssen, und üben Sie, kritische Lücken zu identifizieren, die die Einführung blockieren.

What You'll Learn in KI mit hohem Risiko: Pflichten des Betreibers

KI mit hohem Risiko: Pflichten des Betreibers — Training Steps

  1. KI-Anforderungen mit hohem Risiko

    Für Hochrisiko-KI-Systeme gelten die strengsten Pflichten nach dem EU-KI-Gesetz. Vor der Bereitstellung müssen Organisationen Anforderungen in sieben Bereichen erfüllen: Risikomanagement – Risiken während des gesamten Systemlebenszyklus identifizieren und mindern Datenverwaltung – Sicherstellen, dass Trainingsdaten relevant, repräsentativ und frei von Verzerrungen sind Technische Dokumentation – Detaillierte Dokumentation des Designs und der Funktion des Systems pflegen Aufzeichnung – Audit-Trails und automatische Protokollierung ermöglichen Protokollierung Transparenz – Bereitstellung klarer Informationen für Entwickler und betroffene Personen Menschliche Aufsicht – Stellen Sie sicher, dass Menschen das System effektiv überwachen können Genauigkeit, Robustheit und Cybersicherheit – Erfüllen Sie Leistungs- und Sicherheitsstandards Diese Übung führt Sie durch den Prozess der Überprüfung und Sicherstellung der Konformität für eine echte Bereitstellung.

  2. E-Mail vom CISO

    Es kommt eine E-Mail von James Morton, CISO der Pinnacle Group. Der KI-Anbieter hat das System zur Mitarbeiterleistungsbeurteilung bereitgestellt, und Alice muss die Compliance-Überprüfung abschließen, bevor es in Betrieb geht. Die E-Mail verweist direkt auf das AI Systems Registry im Governance-Portal.

  3. KI-Systemregister

    Das AI Systems Registry wird mit drei Einträgen geladen: PerformanceAI (das neue Hochrisikosystem, das zur Überprüfung markiert ist) sowie zwei bereits konforme Systeme (EmailGuard und ChatAssist). Das Register verfolgt die Risikostufe, den Compliance-Status und den Prüfverlauf für jedes KI-System der Pinnacle Group.

  4. Compliance-Bewertung

    Das PerformanceAI-System weist deutliche Lücken in seinem Compliance-Status auf: Die Folgenabschätzung der Grundrechte wurde noch nicht gestartet, es wurde kein menschlicher Prüfer ernannt und die Datenverwaltung steht noch aus. Alice klickt im PerformanceAI-Eintrag auf „Compliance-Bewertung ausführen“, um die detaillierte Checkliste für dieses System zu öffnen.

  5. Markieren Sie die Lücken

    Alice geht jeden Anforderungsabschnitt durch und markiert nur die Elemente, die NICHT erfüllt sind. Bei Data Governance besteht eine ungelöste Lücke: Die Repräsentativität von Schulungsdaten für alle Mitarbeitergruppen wurde noch nie bewertet. Bei Human Oversight gibt es noch eine andere Möglichkeit: Es wurde keinem qualifizierten menschlichen Prüfer eine außer Kraft setzende Autorität zugewiesen. Die restlichen Abschnitte sind in gutem Zustand und müssen nicht markiert werden.

  6. Anforderung der menschlichen Aufsicht

    Während der Überprüfung stößt Alice auf einen Hinweis des Anbieters: „Eine menschliche Aufsicht ist nicht erforderlich, da der Algorithmus eine Genauigkeit von 99,2 % bei der Leistungsbewertung aufweist.“ Diese Behauptung muss anhand der tatsächlichen Anforderungen des EU-KI-Gesetzes bewertet werden.

  7. Kritische Lücken identifiziert

    Die Compliance-Überprüfung hat drei kritische Lücken zutage gefördert, die behoben werden müssen, bevor PerformanceAI in Betrieb genommen werden kann: Keine Folgenabschätzung für Grundrechte – Die FRIA wurde nicht durchgeführt. Dies ist vor jedem KI-Einsatz mit hohem Risiko gemäß Artikel 27 obligatorisch. Kein benannter menschlicher Prüfer – Es wurde keine Person mit der Befugnis und Schulung beauftragt, die Leistungsbewertungen der KI außer Kraft zu setzen. Artikel 14 erfordert eine wirksame menschliche Aufsicht. Datenrepräsentativität nicht bewertet – Schulungsdaten wurden nicht auf ihre Repräsentativität für alle demografischen Mitarbeitergruppen bewertet, was ein potenzielles Verzerrungsrisiko gemäß Artikel 10 darstellt. Jede dieser Lücken stellt einen Verstoß gegen die Einhaltung gesetzlicher Vorschriften dar. Das System kann erst bereitgestellt werden, wenn alle drei Probleme gelöst sind.

  8. E-Mail zur Behebung

    Alice verfasst eine E-Mail an den CISO, in der sie die Compliance-Lücken detailliert beschreibt und empfiehlt, den Start zu verschieben, bis alle Probleme gelöst sind.

  9. Compliance vor der Bereitstellung

    Bei der risikoreichen KI-Bereitstellung geht es nicht nur um „Installieren und Konfigurieren“. Es handelt sich um einen strukturierten Compliance-Prozess mit fortlaufenden Verpflichtungen. Bei den sieben Anforderungsbereichen handelt es sich nicht um überstürzte Checkboxen – sie schützen Menschen, die von KI-Entscheidungen betroffen sind. Wichtige Erkenntnisse: Alle sieben Anforderungsbereiche müssen vor dem Einsatz unabhängig voneinander erfüllt werden: Risikomanagement, Datenverwaltung, technische Dokumentation, Aufzeichnungen, Transparenz, menschliche Aufsicht und Genauigkeit/Robustheit/Cybersicherheit. Eine Grundrechte-Folgenabschätzung ist vor der ersten Verwendung eines Hochrisiko-KI-Systems obligatorisch. Kein FRIA bedeutet keinen Einsatz. Menschliche Aufsicht kann nicht durch Genauigkeit ersetzt werden . Sogar ein System mit einer Genauigkeit von 99,9 % erfordert eine bestimmte Person mit Vorrangbefugnissen. Wenn bei Ihrer Compliance-Überprüfung Lücken festgestellt werden, ist die richtige Reaktion, die Bereitstellung zu verzögern , bis sie behoben sind – und nicht, sie später bereitzustellen und zu beheben.