Audit KI-Systeme - Sidapron

Audit – KI-Anbieter & KI-Betreiber

Bitte beantworten Sie jede Frage mit genau einer Antwortoption.

Angaben für die weitere Kommunikation mit SIDAPRON Ihr Name Persönliche E-Mail-Adresse

Teil A – KI-Anbieter (Hersteller von KI-Systemen)

A1. Liegt eine klare Beschreibung des KI-Systems und seines Zwecks vor?

Nein, Beschreibung fehlt.
Teilweise, nur intern dokumentiert.
Ja, öffentlich und intern dokumentiert.

A2. Ist der Trainingsdatensatz dokumentiert (Quellen, Qualität, Bias-Prüfung)?

Nicht dokumentiert.
Teilweise dokumentiert.
Vollständig dokumentiert inkl. Bias-Prüfung.

A3. Gibt es Richtlinien zur Datenbeschaffung (Rechte, Zustimmung, Lizenz)?

Nein.
Ja, aber nicht verbindlich.
Ja, verbindlich und überprüft.

A4. Werden Qualitätsmetriken für das Modell definiert und überwacht?

Nein.
Teilweise, nur während Entwicklung.
Ja, kontinuierlich über den Lebenszyklus.

A5. Wurde die Risiko-Stufe des KI-Systems gemäß EU-KI-Verordnung festgestellt?

Nein.
In Planung.
Ja, dokumentiert und geprüft.

A6. Ist ein Risikomanagement gemäß EU-KI-Verordnung für ein Hochrisiko-KI-System implementiert?

Nein, weil es sich nicht um ein KI-System mit unannehmbarem oder hohem Risiko handelt.
Die Implementierung eines Risikomanagements ist in Planung.
Ja, eine Risikomanagement ist implementiert und wird regelmäßig geprüft.

A7. Gibt es Prozesse zur Erkennung von Bias oder Diskriminierung?

Keine Prozesse.
Ad-hoc-Prüfungen.
Regelmäßige, dokumentierte Prüfungen.

A8. Sind Sicherheits- und Cyber-Schutzmaßnahmen für das KI-System definiert?

Nein.
Grundschutz vorhanden.
Umfassende, zertifizierte Sicherheitsmaßnahmen.

A9. Wird die Nachvollziehbarkeit/Erklärbarkeit für Nutzer bereitgestellt?

Nein.
Auf Anfrage, ohne Standard.
Ja, standardisierte Erklärungen.

A10. Gibt es einen Prozess zur Modellversionierung und Änderungsdokumentation?

Nein.
Teilweise (z. B. Git ohne Freigabeprozess).
Ja, mit Freigabe- und Audit-Trail.

A11. Werden Kunden über Modell-Updates und Auswirkungen informiert?

Nein.
Nur bei kritischen Änderungen.
Ja, proaktiv mit Release-Notes.

A12. Wie wird mit Vorfällen/Fehlern im KI-System umgegangen?

Keine Regelung.
Informelle Behandlung.
Standardisierter Incident-Response-Prozess.

A13. Existiert ein Ethik-/Compliance-Gremium für KI-Produkte?

Nein.
In Planung.
Ja, aktiv und protokolliert.

A14. Werden Drittanbieter-Komponenten (Modelle/APIs) auf Konformität geprüft?

Nein.
Teilweise, ohne Dokumentation.
Ja, formal freigegeben.

A15. Stellen Sie Kunden technische Dokumentation/API-Guides bereit?

Nein.
Ja, aber nicht aktuell.
Ja, aktuell und versioniert.

A16. Gibt es Service-Level (z. B. Verfügbarkeit, Reaktionszeiten) für das KI-System?

Keine SLAs.
Grundlegende SLAs.
Ausführliche SLAs inkl. KPIs und Reporting.

Teil B – KI-Betreiber (Nutzer von KI-Systemen)

B1. Gibt es eine Inventarliste aller eingesetzten KI-Systeme?

Nein.
Teilweise.
Ja, vollständig und gepflegt.

B2. Wurden Klassifizierungen nach Risikoklassen (EU-KI-Akt) vorgenommen?

Nein.
In Arbeit.
Ja, dokumentiert.

B3. Liegt eine Zweckbindung/Use-Case-Beschreibung je KI-System vor?

Nein.
Teilweise.
Ja, mit Freigabe durch Fachbereich.

B4. Gibt es eine Datenschutz-Folgenabschätzung (DSFA), falls erforderlich?

Nicht durchgeführt.
In Bearbeitung.
Ja, abgeschlossen und aktualisiert.

B5. Sind Verantwortlichkeiten (Prozess-Owner, IT, Compliance) festgelegt?

Nein.
Teilweise.
Ja, dokumentiert.

B6. Werden Eingabe- und Ausgabedaten auf Qualität und Plausibilität geprüft?

Nein.
Stichprobenartig.
Ja, automatisiert und dokumentiert.

B7. Gibt es Kontrollen gegen Modell-Drift oder Leistungsabfall?

Nein.
Manuelle Ad-hoc-Kontrollen.
Automatisierte Überwachung mit Alarmierung.

B8. Ist ein Incident-Management inkl. Eskalationswegen etabliert?

Nein.
Teilweise, ohne 24/7.
Ja, mit definierten SLAs.

B9. Werden Nutzer über den Einsatz und die Grenzen von KI informiert?

Nein.
Teilweise (z. B. Hinweise in FAQs).
Ja, transparente Kommunikation.

B10. Existiert eine Dokumentation zu menschlicher Aufsicht/Human Oversight?

Nein.
Teilweise.
Ja, mit klaren Eingriffsmöglichkeiten.

B11. Werden KI-Outputs protokolliert (Audit-Trail) und archiviert?

Nein.
Nur in kritischen Fällen.
Ja, revisionssicher.

B12. Gibt es Schulungen für Mitarbeitende zu KI-Risiken und -Bedienung?

Nein.
Einmalige Einführung.
Regelmäßige Trainings mit Nachweisen.

B13. Wie wird die Einhaltung vertraglicher Vorgaben der KI-Anbieter überwacht?

Keine Überwachung.
Stichproben.
Regelmäßige Review-Meetings/Audits.

B14. Sind Exit-/Fallback-Strategien definiert (z. B. Wechsel des Anbieters)?

Nein.
Grundidee vorhanden.
Ja, getestete Fallback-Prozesse.

B15. Erfolgt eine regelmäßige Gesamtbewertung der KI-Systeme (Compliance, Ethik, Performance)?

Nein.
Ad-hoc.
Ja, mit Reporting an Management.

Teil C – KI-Betreiber wird zu KI-Anbieter (wechsel der Rollen)

C1. Wurde ein KI-System wesentlich verändert oder unter eigenem Namen oder eigener Marke in Verkehr gebracht oder in Betrieb genommen?

Nein.
Wir sind uns nicht sicher, ob dies auf uns zutrifft.
Ja und wir haben die Audit-Fagen aus dem Teil A beantwortet.

Ihre nächsten Schritte 1. Speichern Sie den Quickcheck als PDF Datei (per Windows oder Browser print).
2. senden Sie mir den PDF Quickcheck per E-Mail zu.
3. Sie erhalten ein kostenloses Beratungsgespräch bei Vorlage eines Beratungs-Gutscheines von mir,
oder Sie erhalten ein auf Ihr Unternehmen abgestimmtes Beratungsangebot.