Wann KI Systemklassifizierung gilt und was als Naechstes zu tun ist

KI Systemklassifizierung gilt, wenn ein SaaS Team ein AI System baut, einkauft, einbettet, verkauft oder wesentlich in einem Produkt oder operativen Workflow nutzt und entscheiden muss, welcher Governance Weg, welche regulatorische Analyse, welche Kontrollen und welche Nachweise gelten. Die Antwort ist selten nur, dass AI vorhanden ist. Entscheidend sind Zweck, Nutzer, Daten, Entscheidungswirkung, Geografie und Rolle der Organisation.

Nach dem EU AI Act ist Klassifizierung wichtig, weil das Gesetz risikobasiert funktioniert. Manche Praktiken sind verboten, manche Systeme koennen hochriskant sein, manche loesen Transparenzpflichten aus und viele normale AI Nutzungen bleiben niedrigeres Risiko. Fuer SaaS Teams ist der naechste Schritt, diese Analyse in einen wiederholbaren Workflow mit Ownern, Ausloesern, Entscheidungsakten und Folgekontrollen zu uebersetzen.

Wann Klassifizierung noetig ist

Klassifizierung sollte stattfinden, wenn AI in einen Workflow gelangt, der Kunden, Nutzer, Mitarbeitende, Bewerber, regulierte Entscheidungen, Vertragszusagen oder Produktverhalten beeinflussen kann. Das umfasst neue kundenorientierte AI Features, eingebettete Vendor Modelle, interne AI Tools fuer operative Entscheidungen, Scoring, Ranking, Moderation, Empfehlungen oder Automatisierung.

Sie gilt auch bei Aenderungen. Ein Support Summarizer kann niedriges Risiko haben, wenn Agenten die Ausgabe pruefen. Wird dasselbe Modell mit Eignungsentscheidungen, Performance Reviews, Betrugsausloesern oder Kredit Workflows verbunden, braucht es eine deutlich tiefere Pruefung.

Was zuerst zu tun ist

Beginnen Sie mit einem AI Inventory. Erfassen Sie Produktfeatures, Vendor Tools, interne Workflows, Modellintegrationen, Automatisierungen und Entscheidungshilfen. Dokumentieren Sie Zweck, Owner, Herkunft des Systems, Daten, betroffene Personen, Output Nutzung, menschliche Pruefung, Geografie, sensible Kontexte und betroffene Kunden- oder Sicherheitszusagen.

Nutzen Sie dann ein kurzes Intake Formular. Product beschreibt Use Case, Nutzer, Daten, Modell, Markt, Output und geplanten Launch. Engineering ergaenzt Architektur und Datenfluesse. Legal, Compliance, Privacy und Security pruefen die Route, wenn die Antworten auf regulatorisches oder operatives Risiko hinweisen.

Wann tiefere Pruefung noetig sein kann

Eine tiefere Pruefung ist angebracht, wenn AI Rechte, Chancen, Sicherheit, Zugang oder Vertrauen beeinflussen kann. Nach dem EU AI Act kann Hochrisiko Analyse bei bestimmten regulierten Produkten und bei Bereichen aus Annex III relevant werden, etwa Beschaeftigung, Worker Management, Bildung, wesentliche Dienste, Strafverfolgung, Migration, Justiz, demokratische Prozesse und bestimmte biometrische Anwendungen.

Der Modellname reicht nicht. Ein Sprachmodell fuer interne Release Notes unterscheidet sich von einem Workflow, der Bewerber rankt, Nutzer scored, Finanzrisiken bewertet oder Zugang zu wichtigen Diensten beeinflusst. Auch die Rolle zaehlt: Provider, Deployer oder ein anderer Teil der Wertschopfungskette koennen unterschiedliche Pflichten haben.

Nachweise und Kontrollen

Dokumentieren Sie die Begruendung klar. Ein Label wie "nicht hochriskant" ist schwach. Eine gute Akte erklaert gepruefte Fakten, angenommene Rolle, Quellen, Entscheidung, Reviewer und Ausloeser fuer erneute Pruefung.

Verbinden Sie das Ergebnis mit Aufgaben: Risikomanagement, Daten Governance, Vendor Review, menschliche Aufsicht, Tests, Logging, Transparenzhinweise, Kundendokumentation, Incident Handling, Monitoring und Reassessment. Bewahren Sie Inventory, Intake, Datenflussnotizen, Vendor Unterlagen, Entscheidung, Approval, Kontrollen und naechsten Review Termin auf.

Haeufige Fehler

Der erste Fehler ist Klassifizierung nur aus dem Modellnamen abzuleiten. Der zweite ist Vendor AI zu ignorieren. Der dritte ist zu warten, bis der Launch unmittelbar bevorsteht. Der vierte ist, Entscheidungen nicht neu zu pruefen, wenn Daten, Nutzer, Maerkte, Automatisierung oder Kundeneinsatz sich aendern.

FAQ

Was ist der praktische Zweck der KI Systemklassifizierung?

Sie entscheidet, welcher Governance Weg fuer einen AI Use Case gilt, und schafft Nachweise fuer diese Entscheidung.

Wann gilt sie fuer SaaS Teams?

Wenn ein SaaS Team ein AI System baut, einkauft, einbettet, verkauft oder wesentlich in Produkt oder Betrieb nutzt.

Was sollte zuerst dokumentiert werden?

Zweck, Daten, betroffene Personen, Entscheidungswirkung, menschliche Pruefung, Vendor Beteiligung, Geografie, Owner, Ergebnis, Begruendung und ausgeloste Kontrollen.

Verwandte Ressourcen

• Wie AI Governance die Compliance Erwartungen an SaaS Anbieter veraendert

Quellen

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission guidance on high-risk AI systems.
• NIST Artificial Intelligence Risk Management Framework.