Qualitätsmanagementsystem nach Art. 17 EU AI Act: Pflichten für Anbieter

Art. 17 Abs. 1 EU AI Act definiert die Mindestanforderungen an das QMS: Strategie für die Einhaltung der gesetzlichen Anforderungen, Verfahren für Entwurf, Entwicklung und Kontrolle des KI-Systems, Verfahren für technische Dokumentation und ihre Aktualisierung, Datenmanagement-Prozesse (Erfassung, Aufbereitung, Speicherung), Risikomanagement-Prozesse, Post-Market-Surveillance-Prozesse, Verwaltung von Änderungen und Versionen, Prüfungs- und Testverfahren, Prozesse für die Bearbeitung von Anbietern und Unterauftragnehmern.

Bestehende QMS-Zertifizierungen können als Grundlage genutzt werden: ISO 9001 (Qualitätsmanagement) deckt viele generische QMS-Anforderungen ab, muss aber um KI-spezifische Prozesse ergänzt werden. ISO/IEC 42001 (KI-Managementsystem) ist spezifisch auf KI zugeschnitten und deckt Art. 17-Anforderungen weitgehend ab. Unternehmen mit bestehender ISO 9001-Zertifizierung können durch ein Gap-Assessment feststellen, welche Ergänzungen für EU AI Act-Konformität nötig sind.

Das QMS muss schriftlich dokumentiert sein. Erforderliche Dokumente: QMS-Handbuch (Überblick über das Gesamtsystem), Prozessbeschreibungen für jeden Pflichtprozess, Arbeitsanweisungen für kritische Aktivitäten, Formulare und Vorlagen für standardisierte Tätigkeiten, Nachweisdokumente (Records) für alle durchgeführten Aktivitäten. Alle Dokumente müssen aktuell gehalten, versioniert und kontrolliert sein. Zugriffsrechte müssen geregelt sein – nicht alle Mitarbeitenden benötigen Zugang zu allen Dokumenten.

Kleine Unternehmen brauchen kein bürokratisches QMS-Monster. Ein schlankes QMS für KMU umfasst: klare Rollenbeschreibungen (wer macht was), einfache Prozessdiagramme statt langer Textblöcke, eine zentrale Dokumentenbibliothek (SharePoint, Notion, Confluence), eine Checkliste für jeden Entwicklungs- und Deployment-Schritt, ein einfaches Änderungsmanagement-Protokoll. Das Ziel ist Nachweisbarkeit, nicht Vollständigkeit um ihrer selbst willen.