KI-Tool-Auswahl unter dem EU AI Act: Die Compliance-Checkliste

Art. 23 und 26 EU AI Act verpflichten Betreiber zu sorgfältiger Due Diligence bei der Auswahl von KI-Systemen. Als Betreiber sind Sie mitverantwortlich, wenn ein eingesetztes KI-Tool Compliance-Anforderungen verletzt. Besonders wichtig: Sie können Verantwortung nicht einfach auf den Anbieter abwälzen. Der Betreiber bleibt für den konkreten Einsatz verantwortlich. Die Risikoklassifizierung des Tools im konkreten Einsatzkontext – nicht nur in der allgemeinen Beschreibung des Anbieters – ist entscheidend.

Fordern Sie vor dem Einsatz eines KI-Tools folgende Unterlagen an: Technische Dokumentation gemäß Art. 11 EU AI Act (bei Hochrisiko-Systemen Pflicht), EU-Konformitätserklärung (bei Hochrisiko-Systemen), Registrierungsnummer in der EU-KI-Datenbank (bei Hochrisiko-Systemen), Datenschutz-Folgenabschätzung und DPA-Angebot, Transparenzinformationen nach Art. 50, Beschreibung der Trainingsdaten und Modellarchitektur (bei GPAI), Incident-Response-Verfahren und Kontaktdaten. Anbieter, die diese Unterlagen nicht bereitstellen können, sollten kritisch bewertet werden.

Führen Sie für jedes neue KI-Tool eine Risikoklassifikation durch, bevor Sie es einführen: Schritt 1: Fällt das Tool in den Geltungsbereich des EU AI Act? Schritt 2: Prüfen Sie die Verbotsliste (Art. 5) – fällt der geplante Einsatz darunter? Schritt 3: Prüfen Sie Anhang III – ist der Einsatzbereich hochrisikoreich? Schritt 4: Prüfen Sie Transparenzpflichten (Art. 50) – interagieren Nutzer unwissentlich mit KI? Schritt 5: Dokumentieren Sie Ihre Klassifizierungsentscheidung mit Begründung. Diese Klassifikation sollte von einer Person mit KI-Rechtskenntnissen abgezeichnet werden.

Neben der technischen Prüfung ist die vertragliche Absicherung entscheidend. Relevante Vertragsklauseln: Zusicherung der EU AI Act-Konformität durch den Anbieter, Verpflichtung zur Bereitstellung der erforderlichen Dokumentation, Informationspflicht bei wesentlichen Modell-Updates, Haftungsregelungen für Compliance-Verstöße des Anbieters, Datenschutz-Verarbeitungsvertrag (DPA) nach Art. 28 DSGVO, Exportkontrolle bei US-amerikanischen Anbietern. Lassen Sie KI-Tool-Verträge von einem auf IT-Recht spezialisierten Anwalt prüfen.

Erstellen Sie eine Bewertungsmatrix mit diesen Kriterien: EU AI Act-Konformitätsdokumentation vorhanden (0–3 Punkte), DSGVO/DSG-Konformität mit DPA (0–3 Punkte), Datenhaltung in der EU/Schweiz (0–2 Punkte), Transparenz zu Training und Modell (0–2 Punkte), Sicherheitszertifizierungen (ISO 27001, SOC 2) (0–2 Punkte), Support und Incident-Response (0–2 Punkte), Referenzen aus Ihrer Branche (0–2 Punkte). Ein Tool mit unter 8 Punkten sollte vor dem Einsatz kritisch geprüft werden. Dokumentieren Sie die Bewertung für jedes Tool.