Frageliste für ein Kurzaudit: KI-Audit auf Basis der EU-KI-Verordnung

KI-Audits sind entscheidend, um die Einhaltung der EU-KI-Verordnung und interner Regeln zu gewährleisten, Risiken zu erkennen und das Unternehmen vor Bußgeldern, Strafen und Reputationsverlust zu schützen. KI-Audits stellen sicher, dass KI-Systeme transparent, fair und sicher sind, und fördern das Vertrauen von Kunden, Partnern und Behörden. Zudem bereiten interne Audits effizient auf externe Prüfungen vor und verschaffen Unternehmen Wettbewerbsvorteile durch verantwortungsbewusstes Handeln. Auch Kosteneinsparungen und Optimierungen der KI-Prozesse sind positive Effekte von KI-Audits.

KI-Audits: Ein wichtiges Instrument zur Sicherstellung der Gesetzeskonformität mit der EU-KI-Verordnung

Die EU-KI-Verordnung (Verordnung (EU) 2024/1689), in Kraft seit dem 01.08.2024, reguliert die Entwicklung, den Einsatz und die Nutzung von KI-Systemen in der EU mit dem Ziel, Transparenz, Schutz der Grundrechte und Sicherheit zu gewährleisten.

Risikobasierter Ansatz und vier Risikoklassen

Die Verordnung umfasst 13 Kapitel, 113 Artikel und 13 Anhänge und stützt sich auf einen risikobasierten Ansatz, der KI-Systeme in vier Kategorien einteilt:

• unannehmbares Risiko (verboten)
• hohes Risiko (strenge Anforderungen)
• begrenztes Risiko (Transparenzpflichten)
• minimales Risiko (kaum reguliert)

Wer ist von der EU-KI-Verordnung im betroffen?

Betroffen sind Anbieter, Betreiber, Einführer, Händler und Bevollmächtigte. Es gibt Ausnahmen, beispielsweise für Forschung, Prototypen, militärische Zwecke und private Nutzung. Die Verordnung gilt unmittelbar in allen  Mitgliedstaaten, mit Übergangsfristen von bis zu 36 Monaten für Hochrisiko-Systeme.

ISO/IEC 42001:2023 als erste KI-Norm

Die ISO/IEC 42001:2023 Informationstechnik – Künstliche Intelligenz – Managementsystem ist die erste internationale Norm für KI-Managementsysteme und unterstützt Unternehmen bei der verantwortungsvollen Entwicklung und Nutzung von KI. Sie orientiert sich an Risikomanagement, Prozessorientierung und Transparenz, ähnlich wie die ISO 9001 im Qualitätsmanagement.

Die 42001 wurde einer Revision unterzogen und liegt nun als DIN ISO/IEC 42001:2025-10 – Entwurf vor.

Die Norm ist prozessorientiert und umfasst Kapitel zu

• Kontext,
• Führung,
• Planung,
• Unterstützung,
• Betrieb,
• Leistung und Verbesserung

eines KI-Managementsystems.

Die „ISO/IEC 42005:2025 Informationstechnik – Künstliche Intelligenz – Folgenabschätzung für KI-Systeme“ ergänzt diese Norm durch einen strukturierten Prozess zur Folgenabschätzung von KI-Systemen hinsichtlich Auswirkungen auf Menschen, Gesellschaft und Umwelt.

EU-KI-Verordnung und ISO/IEC 42001

Die Kombination von EU-KI-Verordnung und ISO/IEC 42001 ermöglicht eine effiziente Umsetzung gesetzlicher Anforderungen und fördert Vertrauen und Compliance. Klimaschutz wird in der Verordnung bisher nicht explizit behandelt, ist aber in EU-Strategien präsent und könnte in zukünftigen Revisionen integriert werden.

Die Verordnung sieht hohe Sanktionen bis zu 35 Mio. Euro oder 7 % des weltweiten Umsatzes bei Verstößen vor und fordert die Einrichtung nationaler Aufsichtsbehörden sowie eines europäischen KI-Amts, kurz: KI-Büro,  zur Überwachung.

Auditprozess eines internen KI-Audits

KI-Audits können eigenständig oder in bestehendes Systemaudit integriert durchgeführt werden, um Ressourcen zu schonen und Doppelprüfungen zu vermeiden.

Wichtige Auditinhalte umfassen Datenmanagement (Qualität, Diversität, Bias-Vermeidung), Modellbeschreibung, IT-Sicherheit, rechtliche und ethische Anforderungen, menschliche Kontrolle sowie Dokumentationspflichten.

Die Auditinitiierung obliegt der obersten Leitung, die auch die regelmäßige Durchführung sicherstellt. Die Durchführbarkeit wird geprüft, indem Anforderungen, Personalverfügbarkeit, Kooperationsbereitschaft und Auditorenqualifikationen bewertet werden.

Das Auditteam wird vom Auditleiter zusammengestellt. Auditoren sollten unabhängig, kulturbewusst und kompetent sein.

Nach Kontaktaufnahme zu den auditierenden Bereichen wird das Audit vorbereitet: Informationen über Unternehmen, KI-Systeme, Risikoklassen, technische Dokumentationen und weitere relevante Unterlagen werden gesammelt.

Der Auditplan wird erstellt und abgestimmt, Sicherheitsvorschriften geklärt und Arbeitsdokumente zusammengestellt.

Ablauf eines KI-Audits

Das Audit selbst beginnt mit einer Eröffnungsbesprechung, gefolgt von Befragungen vor Ort, die unterschiedliche Ebenen und Funktionen einbeziehen.

Auditfeststellungen werden klar formuliert und bewertet (konform, eingeschränkt konform, nicht konform), wobei Risikobetrachtungen zentral sind.

Die Abschlussbesprechung fasst Ergebnisse und Risiken zusammen, bespricht Maßnahmen und Fristen. Das Audit endet mit einem schriftlichen Bericht, der der Geschäftsführung und Verantwortlichen übergeben wird; eine Managementzusammenfassung empfiehlt sich.

Die Bewertung erfolgt anhand eines Kriterienkatalogs und kann mittels Dreipunktesystem erfolgen, um die Einhaltung der EU-KI-VO umfassend zu beurteilen.

Durchführung und Bewertung von Folgemaßnahmen aus KI-Audits

Nach Abschluss eines KI-Audits werden gegebenenfalls Korrekturmaßnahmen festgelegt, durchgeführt und verfolgt, wobei diese Tätigkeiten außerhalb des eigentlichen Auditprozesses liegen.

Die Verantwortung für die Maßnahmen liegt meist bei den Verantwortlichen der auditierten Bereiche, während der Auditor unterstützend mitwirken kann.

Wichtig ist die Aktualisierung der Risikoanalyse im Zuge der Maßnahmenplanung. Je nach Schwere der Abweichungen kann der Auditor ein Nachaudit ansetzen oder die Wirksamkeitskontrolle im nächsten regulären Audit durchführen.

Für die Terminüberwachung der Maßnahmen werden Verantwortlichkeiten festgelegt, häufig übernimmt dies der Qualitätsmanager oder KI-Beauftragte, unterstützt durch Abteilungsleiter.

Ein strukturierter Informationsfluss ist essenziell, um Verzögerungen frühzeitig zu erkennen und Ressourcen anzupassen. Zur Kontrolle eignen sich Maßnahmenpläne oder spezielle Software.

Neben der Terminkontrolle muss auch die Wirksamkeit der Maßnahmen geprüft werden, entweder nach definierten Meilensteinen, direkt nach Umsetzung oder durch ein Nachaudit. Die Überprüfung soll zeitnah erfolgen, um negative Auswirkungen zu vermeiden.

Falls die Maßnahmen nicht den gewünschten Erfolg bringen, sind weitere Schritte durch das Maßnahmenteam oder Auditteam einzufordern und erneut zu prüfen.

Wichtige Aspekte eines KI-Audits

Das KI-Audit dient Unternehmen dazu, die Einhaltung die Anforderungen der EU-KI-Verordnung sicherzustellen, um Risiken zu minimieren. Auch Unternehmen, die nicht unbedingt gesetzlich verpflichtet sind, den Anforderungen der EU-KI-Verordnung nachzukommen, können jederzeit von ihren Kunden und Geschäftspartnern, die einer Verpflichtung unterliegen, aufgefordert werden, die benötigten Informationen und Nachweise zu liefern und zur Verfügung zu stellen.

Wichtige Aspekte eines KI-Audits umfassen

• die korrekte Risikoklassifizierung der KI-Systeme
• Transparenzpflichten
• IT-Sicherheit
• vollständige technische Dokumentation
• Bias-freie Datensätze
• Fairness
• Risikomanagement
• Manipulationssicherheit
• QM-Dokumentation für Hochrisiko-KI
• Datenschutz
• Melde- und Kennzeichnungspflichten sowie Schulungen und kontinuierliche Verbesserung

Die Auswahl qualifizierter Auditoren ist entscheidend für den Erfolg eines KI-Audits. Diese sollten fundierte Kenntnisse rechtlicher Vorgaben (EU-KI-VO, DSGVO), Erfahrung in der Branche, technisches Know-how (maschinelles Lernen, Software-, Sicherheitstechnik), Verständnis regulatorischer Anforderungen, Risikoanalyse-Erfahrung, Unabhängigkeit sowie Schulungen in KI-Compliance mitbringen.

Zudem ist auch für ein KI-Audit ein klar definierter Auditauftrag erforderlich, der Umfang, Prüfbereiche und Ziele festlegt. Zur Auditdurchführung empfiehlt sich eine Auditfrageliste, die alle relevanten Aspekte abdeckt und eine umfassende Bewertung ermöglicht.

Wir stellen Ihnen eine kostenlose KI-Auditfrageliste zur Durchführung eines Kurzaudits hier für Sie zum Download bereit. Sie kann Ihnen auch als Basis für die Erstellung einer KI-Audit-Checkliste dienen.