Klausel 8: Operation
Planung ist gut. Umsetzung ist besser. Klausel 8 fragt: Machst du auch wirklich, was du geplant hast?
Worum es geht
Klausel 8 ist der Übergang von der Theorie zur Praxis. Du hast in Klausel 6 Risiken bewertet, Controls ausgewählt und Maßnahmen definiert. Jetzt musst du zeigen, dass du all das tatsächlich umsetzt und operativ betreibst.
Die Frage ist nicht mehr "Was planen wir?", sondern "Funktioniert es im Alltag?"
8.1 Operational Planning and Control: Prozesse in Betrieb überführen
Was du tun musst
Du musst die in Klausel 6 geplanten Prozesse umsetzen und kontrollieren. Das bedeutet: Die Controls aus deinem SoA müssen aktiv überwacht werden. Die Maßnahmen aus deinem Treatment Plan müssen in die tägliche Arbeit eingeflossen sein.
Geplante und unbeabsichtigte Änderungen
Die Norm betont einen Punkt, der in der Praxis entscheidend ist: Du musst sowohl geplante als auch unbeabsichtigte Änderungen kontrollieren.
Geplante Änderungen sind offensichtlich: Ein neues KI-System wird eingeführt, ein Provider wird gewechselt, der Scope wird erweitert. Dafür haben die meisten Unternehmen Prozesse.
Unbeabsichtigte Änderungen sind tückischer: Model Drift, also das schleichende Verschlechtern eines KI-Modells, weil sich die Eingabedaten verändern. Oder ein Provider, der sein Modell im Hintergrund aktualisiert, ohne dich zu informieren. Oder ein Sensor, dessen Kalibrierung sich verschiebt und damit die Datenqualität für dein Predictive-Maintenance-System beeinträchtigt.
Für diese unbeabsichtigten Änderungen brauchst du Erkennungsmechanismen. Automatisches Monitoring, Plausibilitätschecks, regelmäßige Validierung. Ohne sie merkst du erst, dass etwas schiefgeht, wenn es bereits Konsequenzen hat.
AIMS darf den Betrieb nicht stören
Ein Punkt, der oft übersehen wird: Die Norm erwartet, dass dein AIMS den normalen Geschäftsbetrieb nicht stört. Governance ist kein Selbstzweck. Wenn dein AIMS so viel Overhead produziert, dass die eigentliche Arbeit darunter leidet, stimmt etwas nicht.
8.2 AI Risk Assessment: Durchführung und Ergebnisse
Was du tun musst
In Klausel 6 hast du den Prozess definiert. In Klausel 8 führst du ihn tatsächlich durch. Das bedeutet: Du hast datierte Risk Assessment Ergebnisse für alle KI-Systeme in deinem Scope. Nicht nur ein Template, sondern ausgefüllte, bewertete, datierte Ergebnisse.
Die Durchführung muss regelmäßig erfolgen. Wie oft, hängt von deinem Kontext ab. Aber "einmal gemacht und nie wieder angefasst" ist keine regelmäßige Durchführung.
8.3 AI Risk Treatment: Maßnahmen umsetzen
Was du tun musst
Dein Treatment Plan aus Klausel 6 muss umgesetzt werden. Für jede Maßnahme musst du zeigen können, dass sie implementiert ist und wirkt.
Wenn eine Maßnahme nicht wirkt, musst du sie revalidieren. Das heißt: neu bewerten, anpassen, erneut umsetzen. Ein Treatment Plan mit lauter "in Planung"-Einträgen über Monate hinweg zeigt, dass die Umsetzung stockt.
8.4 AI System Impact Assessment: Durchführung
Genauso wie beim Risk Assessment: In Klausel 6 hast du den Prozess definiert, in Klausel 8 führst du ihn durch. Dein Impact Assessment muss für alle KI-Systeme im Scope vorliegen und die Auswirkungen auf AI Subjects, Kunden, Mitarbeiter und Gesellschaft bewerten.
Die 4 häufigsten Fehler bei Klausel 8
1. Nur Planung, keine Umsetzung. Ein perfekter Treatment Plan, der in der Schublade liegt, ist wertlos. Auditoren fragen nach Evidenz für die tatsächliche Umsetzung.
2. Keine Kontrolle unbeabsichtigter Änderungen. Geplante Änderungen werden kontrolliert, aber Model Drift oder Provider-Updates passieren unbemerkt.
3. Risk Assessment nie wiederholt. Die Erstbewertung wurde gemacht, aber seitdem hat sich die KI-Landschaft verändert, ohne dass das Assessment aktualisiert wurde.
4. Unwirksame Maßnahmen nicht revalidiert. Eine Maßnahme wirkt nicht wie geplant, aber niemand reagiert darauf.
→ Weiter: Klausel 9, Bewertung → Zurück zur Übersicht
Begriffe in diesem Artikel: Operational Planning, Controls, Model Drift, Risk Assessment, Risk Treatment, Impact Assessment, Revalidation, AI Subjects, Change Control, Monitoring