AI-ACT-Konformität umsetzen: Controls & Nachweise
Von der Rechtspflicht zum prüffähigen Nachweis
Ein Gesetzestext ist keine Arbeitsanweisung. Zwischen „Art. 9 verlangt ein Risikomanagementsystem“ und einem Verfahren, das im Unternehmen tatsächlich gelebt wird, liegt die eigentliche Compliance-Arbeit: Pflichten identifizieren, in Maßnahmen übersetzen, Dokumente zuordnen, Status verfolgen, Wirksamkeit belegen. Genau diese Übersetzungsleistung erbringt ein Control-Register.
14 Controls entlang der Artikel
Jede Anbieterpflicht der Verordnung erhält ein eigenes Control – von der KI-Kompetenz (Art. 4) über Klassifizierung und Screening verbotener Praktiken (Art. 5, 6), Risikomanagement (Art. 9), Daten-Governance (Art. 10), technische Dokumentation (Art. 11, Anhang IV), Protokollierung (Art. 12, 19), Transparenz (Art. 13), menschliche Aufsicht (Art. 14), Genauigkeit und Cybersicherheit (Art. 15) und das Qualitätsmanagementsystem (Art. 17) bis zu Konformitätsbewertung, CE-Kennzeichnung und Registrierung (Art. 43, 47–49), den Transparenzpflichten des Art. 50 und der Nachmarktüberwachung mit Vorfallmeldung (Art. 72, 73). Jedes Control benennt die einschlägigen Artikel, die Kernmaßnahme, das umsetzende Dokument und den Umsetzungsstatus – von „Geplant“ bis „Wirksamkeit bestätigt“. Welche Controls greifen, hängt von der Risikoklasse ab: Hochrisiko-Pflichten gelten nur, soweit ein System als hochriskant eingestuft ist.
Bewusst getrennt: Gesetz und Norm
Ein methodischer Grundsatz macht den Unterschied: Das AI-Act-Control-Register wird getrennt von der Anwendbarkeitserklärung der ISO/IEC 42001 geführt. Managementsystem und Rechtskonformität bleiben klar unterscheidbar – im Audit, im Behördenkontakt und in der internen Steuerung. Wo ein AI-Act-Control auf einem AIMS-Dokument aufbaut, wird die Schnittstelle explizit verwiesen, ohne die Anforderungen zu vermischen. So entsteht doppelte Nachweisfähigkeit ohne doppelte Pflege.
Arbeitshilfen für die Praxis
Zwei Leitfäden ergänzen das Register: einer für die KI-System-Klassifizierung mit dokumentiertem Prüfpfad und durchgängigem Beispiel, einer für die Konformitätsbewertung bis zur CE-Kennzeichnung. Zusammen mit einem Mapping zwischen AI Act und ISO/IEC 42001 entsteht ein geschlossenes System: Jede Rechtspflicht ist einem Control zugeordnet, jedes Control einem Dokument, jedes Dokument einem Nachweis – lückenlos nachvollziehbar in beide Richtungen.
Die Grundlagen des Rechtsrahmens erläutert die Seite „EU AI Act: Risikoklassen, Klassifizierung, Fristen“; das zugrunde liegende Managementsystem die Seite „ISO/IEC 42001: Das AI Management System“.
