Artikel 17 EU AI Act: Das Qualitätsmanagementsystem (QMS)

Art. 17 Abs. 1 EU AI Act definiert den verbindlichen Mindestinhalt des QMS: Strategie für regulatorische Konformität (einschließlich Konformitätsbewertungsverfahren), Techniken, Verfahren und systematische Maßnahmen für Design, Entwicklung und Überwachung, Datenverwaltungsverfahren (Beschaffung, Vorverarbeitung, Validierung nach Art. 10), Risikomanagementsystem nach Art. 9, Robustheitsbewertung einschließlich Adversarial Testing, Vorgaben für Post-Market-Monitoring (Art. 72), Verfahren für Ernsthaftigkeitsvorfälle und Meldungen, Verfahren für Rückverfolgbarkeit, Verfahren für Kommunikation mit nationalen Behörden, Verfahren für interne Audits, Verfahren für den Verantwortungsnachweis gegenüber Behörden.

Wenn Ihr Unternehmen bereits ISO 9001 (allgemeines Qualitätsmanagement) oder ISO/IEC 27001 (Informationssicherheit) zertifiziert ist, haben Sie eine gute Grundlage. ISO/IEC 42001 (KI-Managementsystem) ist der spezifisch für KI entwickelte Standard, der weitgehend kompatibel mit den Art. 17-Anforderungen ist. Eine ISO/IEC 42001-Zertifizierung erleichtert den Nachweis des QMS gegenüber Behörden erheblich. Lücken zwischen bestehendem QMS und EU AI Act-Anforderungen: Spezifische KI-Risikomanagement-Prozesse, Adversarial Testing, Post-Market-Monitoring für KI, KI-spezifische Dokumentationsanforderungen.

Das QMS muss klare Verantwortlichkeiten definieren: Geschäftsführung: trägt die Gesamtverantwortung und muss das QMS genehmigen, KI-Compliance-Officer: operativer Verantwortlicher für das QMS (kann intern oder extern sein), Systemverantwortliche: für jedes Hochrisiko-KI-System ein benannter Verantwortlicher, Auditoren: interne oder externe Prüfer des QMS. Für KMU: Diese Rollen müssen nicht von verschiedenen Personen besetzt sein, aber sie müssen klar zugewiesen und dokumentiert sein. Der KI-Compliance-Officer kann auch ein externer Berater sein.

Art. 17 Abs. 1 lit. j schreibt interne Audits vor. Ein KI-QMS-Audit prüft: Vollständigkeit der technischen Dokumentation, Funktionsfähigkeit des Risikomanagementsystems, Einhaltung der Datenverwaltungsverfahren, Wirksamkeit der menschlichen Aufsicht, Status des Post-Market-Monitorings, Schulungsnachweise der Mitarbeitenden, Aktualisierungsstand der Dokumentation. Empfohlen: jährliche interne Audits, anlassbezogene Audits bei wesentlichen Änderungen. Auditberichte sind Teil des QMS und müssen aufbewahrt werden.

Praktischer Fahrplan für die QMS-Einführung: (1) Gap-Analyse: Welche QMS-Elemente nach Art. 17 sind bereits vorhanden? (2) Prüfen, ob ISO/IEC 42001 als Framework geeignet ist, (3) QMS-Handbuch erstellen, (4) Alle erforderlichen Prozesse und Verfahren dokumentieren, (5) Verantwortlichkeiten zuweisen und kommunizieren, (6) Mitarbeitende schulen, (7) Internes Audit-Programm einrichten, (8) QMS in Konformitätsbewertung einbeziehen. Zeitaufwand: Für ein mittelgroßes Unternehmen ohne bestehendes QMS: 3–6 Monate. Mit bestehendem ISO 9001-System: 1–3 Monate Anpassungsaufwand.