Anhang IV

Anhang IV des EU AI Act definiert die umfassende technische Dokumentation, die Anbieter von Hochrisiko-KI-Systemen erstellen und pflegen müssen. Diese Dokumentation ist die Nachweisgrundlage für die Konformitätsbewertung und zeigt Aufsichtsbehörden und benannten Stellen, dass ein KI-System alle einschlägigen Anforderungen erfüllt. Anhang IV ist nicht nur eine Checkliste von zu produzierenden Dokumenten; er verlangt Belege dafür, dass konkrete Prozesse, Kontrollen und Leitplanken tatsächlich in Entwicklung und Betrieb umgesetzt wurden.

Die technische Dokumentation muss mehrere Hauptbereiche abdecken. Allgemeine Beschreibung: Zweckbestimmung des KI-Systems, Interaktion mit Hardware und Software, relevante Softwareversionen, Formen des Inverkehrbringens und vorgesehene Nutzer. Detaillierte Entwicklungsinformationen: Systemarchitektur, verwendete Rechenressourcen, Designspezifikationen, Entwicklungsmethoden sowie zentrale Designentscheidungen inklusive Begründung der gewählten Techniken und Lösungen. Risikomanagement-Dokumentation: Nachweise zur Umsetzung des Risikomanagementsystems, einschließlich Identifikation, Analyse, Bewertung und Minderungsmaßnahmen über den Lebenszyklus. Daten-Governance: Detaillierte Angaben zu Trainings-, Validierungs- und Testdaten, inklusive Erhebung, Aufbereitung, Annahmen darüber, was die Daten messen, Bewertung von Verfügbarkeit und Eignung sowie Maßnahmen zur Erkennung und Behandlung von Bias. Tests und Validierung: Metriken für Genauigkeit, Robustheit und Compliance, Testverfahren und -ergebnisse, Cybersecurity-Maßnahmen und umgesetzte Lösungen. Monitoring und Logging: Beschreibung der Logging-Fähigkeiten (Anforderungen aus Artikel 12), Pläne zur Überwachung nach dem Inverkehrbringen sowie Mechanismen zur Erfassung von Systemverhalten und menschlichen Eingriffen.

Die Herausforderung von Anhang IV liegt nicht nur im Umfang, sondern in der Qualität. Auditoren und benannte Stellen suchen nach Belegen, dass Kontrollen existieren und funktionieren, nicht nach bloßen Behauptungen. Das bedeutet: technische Dokumentation muss mit verifizierbaren Artefakten verknüpft sein, etwa realen Testergebnissen, echten Audit-Logs und belastbaren Risikoanalysen, die Designentscheidungen tatsächlich beeinflusst haben. Organisationen, die Anhang IV als reines Dokumentationsprojekt getrennt von Engineering behandeln, werden in der Konformitätsbewertung Schwierigkeiten bekommen, wenn Prüfer die Verbindung zwischen Anspruch und Realität einfordern.

Beginnen Sie mit einer Gap-Analyse zwischen Ihren aktuellen Dokumentationspraktiken und den Anforderungen des Anhangs IV. Viele Organisationen haben bereits technische Dokumentation, aber selten in einer Struktur, die regulatorische Anforderungen erfüllt. Typische Lücken sind: unzureichende Dokumentation der Provenienz von Trainingsdaten und des Preprocessings, begrenzte Nachweise zu Bias-Tests und Mitigation, fehlende Traceability zwischen Risikomanagemententscheidungen und technischer Umsetzung sowie Logging, das nicht die Informationen erfasst, die Auditoren benötigen. Anhang-IV-Dokumentation nachträglich aufzubauen ist extrem schwierig; der bessere Ansatz ist, Evidence Capture von Anfang an in Entwicklungs- und Deployment-Workflows zu integrieren.