Überwachung nach dem Inverkehrbringen

Überwachung nach dem Inverkehrbringen ist der systematische, kontinuierliche Prozess, Daten über Performance, Verhalten und Auswirkungen eines KI-Systems nach Deployment in Produktion zu sammeln, zu analysieren und in Maßnahmen zu überführen. Dieses laufende Monitoring ermöglicht es, Degradation zu erkennen, neue Risiken zu identifizieren, auf Incidents zu reagieren und Compliance über den gesamten operativen Lebenszyklus aufrechtzuerhalten.

Artikel 72 des EU AI Act verpflichtet Anbieter von Hochrisiko-KI, ein System zur Überwachung nach dem Inverkehrbringen einzurichten, das proportional zur KI-Technologie und zum Risikoprofil ist. Das ist keine optionale Post-Deployment-Beobachtung, sondern eine verbindliche Compliance-Pflicht mit Anforderungen an Dokumentation und Handeln. Der Rechtsakt erkennt an, dass KI-Systeme in Produktion anders reagieren als in kontrollierten Tests: reale Datenverteilungen verschieben sich, Nutzerverhalten ändert sich und Edge Cases treten auf. Post-Market-Monitoring liefert die Feedback-Schleife, um diese Veränderungen zu erkennen und zu reagieren, bevor Schaden oder Non-Compliance entsteht. Außerdem ist es eng mit den Meldepflichten für schwerwiegende Vorfälle nach Artikel 73 verknüpft: Wenn Monitoring Incidents oder Fehlfunktionen aufdeckt, die Grundrechtsverletzungen oder erhebliche Risiken für Gesundheit, Sicherheit oder Grundrechte darstellen, müssen Anbieter binnen definierter Fristen an zuständige Behörden melden. Effektives Monitoring ist damit die Grundlage für rechtzeitige Incident-Erkennung und regulatorisches Reporting.

Anbieter müssen ihren Ansatz in einem formalen Plan dokumentieren: Welche Daten werden erhoben? Wie werden sie analysiert? Welche Schwellen lösen Maßnahmen aus? Wer ist verantwortlich für Review und Response? Dieser Plan ist Teil der technischen Dokumentation nach Anhang IV und muss aktualisiert werden, wenn System oder Kontext sich ändern. Zentrale Monitoring-Dimensionen: Performance-Metriken (Accuracy, Verlässlichkeit, Konsistenz), Drift-Erkennung (Änderungen in Inputverteilungen oder Modellverhalten), Bias-Monitoring (Fairness-Metriken über geschützte Gruppen), Incident-Tracking (Fehler, Ausfälle, Beschwerden) und Usage-Monitoring (tatsächliche Nutzung vs. intended use).

Organisationen sollten klare Eskalationsprozesse etablieren, die Monitoring-Funde in Remediation-Aktionen übersetzen. Kleine Performance-Degradation kann Retraining auslösen; erhebliche Bias- oder Sicherheitsprobleme können eine Systempause bis zur Untersuchung erfordern. Monitoring-Evidenz (erhobene Daten, Analysen, getroffene Maßnahmen) muss aufbewahrt und auf Anfrage Behörden vorgelegt werden.