Vorlage für technische Dokumentation nach Anhang IV

Artikel 11 der EU-KI-Verordnung verpflichtet Anbieter hochriskanter KI-Systeme, vor dem Inverkehrbringen oder der Inbetriebnahme eine technische Dokumentation zu erstellen. Die Dokumentation ist auf dem aktuellen Stand zu halten und den zuständigen Behörden auf Anfrage zur Verfügung zu stellen.

Anhang IV legt genau fest, was enthalten sein muss. Nachfolgend die vollständige Vorlage mit allen 9 erforderlichen Abschnitten und einer Anleitung, was jeder enthalten sollte.

Abschnitt 1: Allgemeine Beschreibung des KI-Systems

Dieser Abschnitt legt Identität und Umfang des Systems fest. Geben Sie an:

• Zweckbestimmung — Was das System tut, für wen es bestimmt ist und der spezifische Verwendungskontext
• Anbieteridentifikation — Name, Adresse und Kontaktdaten
• Systemversion — Aktuelle Version und Bezug zu Vorgängerversionen
• Hardware- und Software-Interaktionen — Wie das System mit anderer Hardware, Software oder KI-Systemen interagiert, die nicht Teil des Systems selbst sind
• Software- und Firmware-Versionen — Alle relevanten Versionsnummern und Aktualisierungsanforderungen
• Vertriebsformen — Wie das System bereitgestellt wird (Softwarepaket, eingebettet in Hardware, API, Download usw.)
• Hardwareanforderungen — Die Hardware, auf der das System laufen soll
• Benutzeroberfläche — Grundlegende Beschreibung der dem Betreiber bereitgestellten Schnittstelle
• Gebrauchsanweisung — Verweis auf die Gebrauchsanweisung, die den Betreibern zur Verfügung gestellt wird

Abschnitt 2: Detaillierte Beschreibung der Systemelemente & Entwicklungsprozess

Der umfangreichste Abschnitt. Dokumentieren Sie:

• Entwicklungsmethoden — Durchgeführte Schritte, einschließlich Nutzung vortrainierter Systeme oder Drittanbieter-Tools und wie sie integriert oder modifiziert wurden
• Designspezifikationen — Allgemeine Logik, wichtige Designentscheidungen mit Begründung, getroffene Annahmen, Klassifizierungsentscheidungen, Optimierungsziele und erwartete Ausgabequalität
• Systemarchitektur — Wie Softwarekomponenten aufeinander aufbauen, Integration in die Gesamtverarbeitung und genutzte Rechenressourcen
• Datenanforderungen — Trainingsmethoden, Datensatzbeschreibungen, Herkunft, Umfang, Eigenschaften, Erfassungsmethoden, Etikettierungsverfahren und Datenbereinigungsmethoden
• Bewertung der menschlichen Aufsicht — Erforderliche Maßnahmen gemäß Artikel 14 und technische Maßnahmen zur Interpretation der Ausgabe
• Vorab festgelegte Änderungen — Falls zutreffend, beschreiben Sie geplante Änderungen am System und wie die fortlaufende Konformität gewahrt wird
• Validierung und Tests — Verwendete Verfahren, Daten und Hauptmerkmale, Metriken, Bewertung diskriminierender Auswirkungen und unterzeichnete Testberichte
• Cybersicherheitsmaßnahmen — Eingeführte technische Schutzmaßnahmen

Abschnitt 3: Überwachung, Funktionsweise & Kontrolle

Geben Sie die Betriebseigenschaften des Systems an:

• Leistungsfähigkeit und -grenzen
• Genauigkeitsgrade für bestimmte Personen oder Gruppen, an die sich das System richtet, und insgesamt erwartete Genauigkeit
• Vorhersehbare unbeabsichtigte Folgen und Risikoquellen für Gesundheit, Sicherheit, Grundrechte und Diskriminierung
• Maßnahmen zur menschlichen Aufsicht gemäß Artikel 14
• Technische Maßnahmen, die Betreibern die Interpretation der Ausgabe ermöglichen
• Spezifikationen der Eingabedaten, sofern relevant

Abschnitt 4: Angemessenheit der Leistungsmetriken

Beschreiben Sie, warum die gewählten Leistungsmetriken für das spezifische KI-System angemessen sind. Erläutern Sie die Begründung für die Wahl bestimmter Metriken gegenüber Alternativen und wie sie die Leistung des Systems im vorgesehenen Kontext aussagekräftig erfassen.

Abschnitt 5: Risikomanagementsystem

Geben Sie eine detaillierte Beschreibung des nach Artikel 9 eingerichteten Risikomanagementsystems. Dies ist ein kontinuierlicher, iterativer Prozess über den gesamten Lebenszyklus und muss umfassen:

• Identifikation und Analyse bekannter und vernünftigerweise vorhersehbarer Risiken
• Abschätzung und Bewertung von Risiken aus bestimmungsgemäßer Verwendung und vernünftigerweise vorhersehbarem Missbrauch
• Bewertung von Risiken aus der Analyse der Daten, die durch Post-Market-Monitoring gesammelt werden
• Annahme geeigneter Risikomanagementmaßnahmen

Abschnitt 6: Änderungen über den Lebenszyklus

Dokumentieren Sie alle relevanten Änderungen, die der Anbieter über den Lebenszyklus am System vornimmt. Daraus entsteht eine Änderungshistorie, die Prüfer und Behörden einsehen können.

Abschnitt 7: Normen & technische Spezifikationen

Listen Sie alle ganz oder teilweise angewandten harmonisierten Normen mit Verweisen auf ihre Veröffentlichung im Amtsblatt der EU auf. Wenn keine harmonisierten Normen angewandt wurden:

• Geben Sie eine detaillierte Beschreibung der Lösungen, die zur Erfüllung der Anforderungen aus Kapitel III, Abschnitt 2 angewandt wurden
• Listen Sie alle anderen relevanten angewandten Normen und technischen Spezifikationen auf

Abschnitt 8: EU-Konformitätserklärung

Fügen Sie eine Kopie der gemäß Artikel 47 erstellten EU-Konformitätserklärung bei. Diese ist aktuell zu halten und den zuständigen Behörden für 10 Jahre nach dem Inverkehrbringen des Systems zur Verfügung zu stellen.

Abschnitt 9: Post-Market-Leistungsbewertung

Beschreiben Sie das System zur Bewertung der Leistung des KI-Systems in der Post-Market-Phase gemäß Artikel 72. Es muss umfassen:

• Einen Post-Market-Monitoring-Plan, der der Art des KI-Systems und den von ihm ausgehenden Risiken angemessen ist
• Verfahren zum Sammeln, Analysieren und Handeln auf Basis von Daten zur Leistung des Systems nach der Bereitstellung