Verhaltenskodizes, harmonisierte Normen und ISO-Standards

Verhaltenskodizes, harmonisierte Normen und ISO-Standards

Zweck

Dieser Skill unterstützt die Compliance-Strategie für KI-Systeme, Hochrisiko-KI und GPAI-Modelle. Er trennt sauber:

• harmonisierte Normen nach Art. 40 KI-VO
• gemeinsame Spezifikationen nach Art. 41 KI-VO
• GPAI Code of Practice nach Art. 56 KI-VO
• internationale ISO/IEC-Standards als Orientierung

Wichtig: Nicht jede ISO-Norm ist automatisch eine harmonisierte Norm im Sinne der KI-VO. Eine Vermutungswirkung entsteht nur, soweit eine harmonisierte europäische Norm im Amtsblatt der EU referenziert ist und die einschlägigen Anforderungen abdeckt.

Art. 40 KI-VO — harmonisierte Normen

Harmonisierte Normen konkretisieren KI-VO-Anforderungen technisch. Bei vollständiger Konformität mit einschlägigen, im EU-Amtsblatt veröffentlichten harmonisierten Normen wird die Konformität mit den abgedeckten Anforderungen vermutet.

Prüffragen:

• Gibt es für die konkrete KI-VO-Anforderung bereits eine harmonisierte Norm mit Amtsblatt-Fundstelle?
• Welche Anforderungen deckt sie ab: Risikomanagement, Datenqualität, technische Dokumentation, Logging, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit, Cybersicherheit, Qualitätsmanagement?
• Wurde die Norm vollständig umgesetzt oder nur als Orientierung genutzt?
• Gibt es Lücken, weil die Norm nicht alle Anforderungen abdeckt?

Dokumentationsregel:

• Nie pauschal schreiben "ISO-konform = KI-VO-konform".
• Immer benennen, welche Norm welche Anforderung abdeckt und ob eine EU-Vermutungswirkung besteht.

Art. 41 KI-VO — gemeinsame Spezifikationen

Wenn harmonisierte Normen fehlen oder unzureichend sind, kann die Kommission gemeinsame Spezifikationen erlassen. Auch diese können für die praktische Compliance maßgeblich sein.

Prüffragen:

• Gibt es eine einschlägige gemeinsame Spezifikation?
• Ist sie verpflichtend oder gibt es eine begründete alternative technische Lösung?
• Wie wird Abweichung dokumentiert?

Art. 56 KI-VO — GPAI Code of Practice

Für Anbieter von GPAI-Modellen ist der GPAI Code of Practice besonders relevant. Er kann als Brücke dienen, bis harmonisierte Normen und weitere sekundäre Rechtsakte die Pflichten konkretisieren.

Prüffragen:

• Ist der Mandant Anbieter eines GPAI-Modells?
• Hat er den Code of Practice gezeichnet oder befolgt?
• Deckt der Code technische Dokumentation, Copyright-Policy, Trainingsdaten-Zusammenfassung, Safety, Evaluierung und systemisches Risiko ab?
• Welche Lücken bleiben trotz Code?

Standards-Landkarte

Diese Standards können als Arbeitsrahmen dienen, ohne automatisch KI-VO-Konformität zu beweisen:

Standards in die Sachprüfung einbauen

Art. 3 KI-System-Check

Nutze ISO/IEC 22989 und 23053 nur als technische Begriffshilfe. Die rechtliche Definition bleibt Art. 3 Nr. 1 KI-VO. Dokumentiere besonders:

• maschinenbasiertes System
• Autonomiegrad
• Inferenz
• Output
• Umgebungseinfluss

Art. 6 Abs. 2 / Anhang III

Standards helfen bei Risikomanagement und Kontrollen, entscheiden aber nicht allein über Hochrisiko. Die Hochrisiko-Klassifikation folgt Zweckbestimmung und Anhang III.

Hochrisiko-Pflichten

Zuordnen:

• Art. 9 Risikomanagement: ISO/IEC 23894 plus KI-VO-Grundrechte
• Art. 10 Daten/Data Governance: Datenqualitäts- und Bias-Prozesse ergänzen
• Art. 11/Anhang IV Dokumentation: ISO/IEC 23053 als technische Strukturhilfe
• Art. 12 Logging: Sicherheits- und Audit-Standards ergänzend
• Art. 14 menschliche Aufsicht: Governance- und Human-oversight-Konzept gesondert
• Art. 15 Genauigkeit/Robustheit/Cybersicherheit: 27001/Threat-Modeling/Testkonzept ergänzend
• Art. 17 Qualitätsmanagement: ISO/IEC 42001 als Rahmen, KI-VO-spezifische Lücken schließen

Output-Template — Normen- und Standardsplan

NORMEN- UND STANDARDSPLAN KI-VO
Datum: [DATUM]
System / Modell: [NAME]
Risikoklasse: [Hochrisiko / begrenzt / GPAI / unklar]

1. Harmonisierte Normen Art. 40
[vorhanden / nicht vorhanden / Amtsblatt-Fundstelle offen]
[abgedeckte KI-VO-Anforderungen]

2. Gemeinsame Spezifikationen Art. 41
[vorhanden / nicht vorhanden / prüfen]

3. GPAI Code of Practice Art. 56
[einschlägig ja/nein; Umsetzung]

4. ISO/IEC-Arbeitsrahmen
- ISO/IEC 42001: [Governance-Maßnahmen]
- ISO/IEC 23894: [Risikomanagement-Maßnahmen]
- ISO/IEC 22989/23053: [Begriffe/Architektur]
- Sicherheits-/Datenschutzstandards: [27001/27701/weitere]

5. KI-VO-Lücken trotz Standards
[Grundrechte, Zweckbestimmung, Art. 6, Art. 10, Art. 14, Art. 26/27, Dokumentation]

6. Konformitätsaussage
[Welche Norm begründet Vermutungswirkung? Welche Standards sind nur Orientierung?]

Quellen- und Aktualitätshinweis

Stand: 05/2026. Maßgeblich sind Art. 40, 41, 56 und 95 KI-VO sowie die jeweils aktuell im Amtsblatt der EU referenzierten harmonisierten Normen. Vor jeder finalen Aussage ist der Normenstand zu aktualisieren. Keine Rechtsberatung.