KI-Dokumentation
Pflicht-Dokumentation für KI-Systeme: Was wird genutzt, wie funktioniert es, welche Risiken gibt es – Basis für AI-Act-Compliance
Was ist KI-Dokumentation?
KI-Dokumentation ist die Pflicht, alle genutzten KI-Systeme strukturiert zu dokumentieren. Der AI Act fordert, dass ihr nachweisen könnt:
- Welche KI-Systeme ihr nutzt
- Wofür ihr sie einsetzt
- Welche Risiken sie haben
- Wie ihr Compliance sicherstellt
Warum ist Dokumentation wichtig?
Die KI-Dokumentation ist eure Versicherung bei Prüfungen. Wenn die Aufsichtsbehörde fragt: "Welche KI nutzen Sie?", müsst ihr eine Antwort haben.
Ohne Dokumentation:
- Kein Nachweis der Compliance
- Höheres Risiko bei Prüfungen
- Potenzielle Bußgelder
Mit Dokumentation:
- Klarer Nachweis der Compliance
- Vertrauen bei Kunden und Partnern
- Geringeres Risiko bei Prüfungen
Was muss dokumentiert werden?
Die Dokumentation muss für jedes KI-System folgende Informationen enthalten:
1. Grundinformationen
- Name des Systems: z.B. ChatGPT, DeepL, HubSpot
- Anbieter: z.B. OpenAI, DeepL GmbH
- Version: z.B. GPT-4, DeepL Pro
2. Einsatzbereich
- Zweck: Wofür wird die KI genutzt? (z.B. Texterstellung, Übersetzungen)
- Nutzer: Wer nutzt die KI? (z.B. Marketing-Team, 3 Personen)
- Daten: Welche Daten werden verarbeitet? (z.B. Kundentexte, interne Dokumente)
3. Risikobewertung
- Risikoklasse: Minimal, begrenzt, hoch oder inakzeptabel (siehe Risikobewertung)
- Begründung: Warum wurde diese Klasse gewählt?
4. Compliance-Status
- Schulung: Wurden Mitarbeiter geschult? (siehe KI-Kompetenz)
- Transparenz: Ist die Transparenzpflicht erfüllt?
- Maßnahmen: Welche Compliance-Maßnahmen wurden umgesetzt?
Wie erstelle ich eine KI-Dokumentation?
Folgt diesen 4 Schritten:
Schritt 1: KI-Inventar erstellen
Liste alle KI-Systeme auf, die ihr nutzt (siehe KI-Inventar).
Schritt 2: Risikobewertung durchführen
Ordnet jedem System eine Risikoklasse zu (siehe Risikobewertung).
Schritt 3: Compliance-Maßnahmen dokumentieren
Haltet fest, welche Maßnahmen ihr umgesetzt habt (Schulung, Transparenzhinweise, etc.).
Schritt 4: Dokumentation regelmäßig aktualisieren
Die Dokumentation muss aktuell sein. Wenn ihr ein neues KI-System nutzt oder ein altes ändert, muss das dokumentiert werden.
Beispiel: Müller GmbH
Die Müller GmbH erstellt folgende KI-Dokumentation:
| System | Zweck | Risiko | Compliance |
|---|---|---|---|
| ChatGPT (GPT-4) | Marketing-Texte, E-Mails | Minimal | Schulung ✓ |
| DeepL Pro | Übersetzungen | Minimal | Schulung ✓ |
| GitHub Copilot | Code-Completion | Minimal | Schulung ✓ |
| Crisp Chatbot | Kundenservice-Chat | Begrenzt | Schulung ✓, Transparenzhinweis ✓ |
Ergebnis: Vollständige KI-Dokumentation in 1 Stunde erstellt.
Wie umfangreich muss die Dokumentation sein?
Das hängt von der Risikoklasse ab:
- Minimal-Risiko: Einfache Tabelle reicht (Name, Zweck, Schulung)
- Begrenzt-Risiko: + Transparenzmaßnahmen dokumentieren
- Hochrisiko: Umfassende technische Dokumentation erforderlich (Risikomanagement, Datenqualität, Tests, etc.)
Wie lange muss ich die Dokumentation aufbewahren?
Die Dokumentation muss mindestens 10 Jahre aufbewahrt werden (bei Hochrisiko-KI). Bei Minimal-Risiko-KI gibt es keine klare Regelung, aber wir empfehlen:
- Solange das System genutzt wird
- + 3 Jahre nach Abschaltung
Was ist das Compliance-Paket?
Das Compliance-Paket ist die Summe aller Compliance-Dokumente:
- KI-Inventar
- Risikobewertung
- Schulungsnachweise
- Transparenzhinweise
Mit easy AI wird das Compliance-Paket automatisch generiert. Ihr beantwortet Fragen, das System erstellt die Dokumentation.
Häufige Fehler bei der Dokumentation
Fehler 1: Unvollständige Dokumentation
Nicht alle KI-Systeme werden erfasst. Denkt auch an interne Tools, Browser-Extensions, etc.
Fehler 2: Veraltete Dokumentation
Die Dokumentation wird nicht aktualisiert. Ein neues KI-System wird genutzt, aber nicht dokumentiert.
Fehler 3: Keine Struktur
Die Dokumentation ist chaotisch. Eine strukturierte Tabelle oder ein Tool wie easy AI hilft.