MISSION KI Qualitätsstandard
für Niedrigrisiko-KI

Das KI-System wird präzise beschrieben: Welchen Zweck erfüllt es? In welchem Kontext wird es eingesetzt? Welche technischen Komponenten gehören dazu, welche nicht? Konkret: Einsatzkontext, Grenzen des Eingabebereichs, Ausgabeformat, Betriebsart (lokal/Cloud).

Diese Beschreibung definiert, worauf sich die gesamte Prüfung bezieht – und stellt sicher, dass die Qualitätsaussage eindeutig an einen definierten Einsatzbereich gebunden ist.

Nicht jedes Qualitätskriterium ist für jedes KI-System gleich wichtig. Die Schutzbedarfsanalyse bewertet: Welche konkreten Schäden könnten entstehen, wenn Anforderungen nicht erfüllt werden? (z.B. Gesundheitsrisiken, Diskriminierung, Datenschutzverletzungen).

Das Ergebnis: Jedes Kriterium wird eingestuft als gering, moderat, hoch – oder als nicht anwendbar. So wird klar: Wo muss besonders gründlich geprüft werden, wo reichen Basisanforderungen?

Welche Qualitätsmaßnahmen hat das Unternehmen tatsächlich umgesetzt? Die Bewertung folgt der VCIO-Systematik, einer vierstufigen Hierarchie von oben (abstrakt) nach unten (konkret messbar):

1. Qualitätsdimensionen (z.B. "Verlässlichkeit", "Transparenz")

2. Kriterien (z.B. "Leistungsfähigkeit und Robustheit")

3. Indikatoren (konkrete Handlungen: Analysen, Maßnahmen, Bewertungen)

4. Observablen (messbare Nachweise mit Bewertung)

Die Einstufung: Für jeden relevanten Indikator wird ermittelt, welche Observablen-Stufe das KI-System erfüllt:

A = best practice
B = fortgeschritten
C = einfach
D = nicht erfüllt.

Dabei gilt: Je höher der Schutzbedarf aus Schritt 2, desto höher die Anforderungen. Die gewählte Einstufung muss durch Nachweise belegt werden – das erfolgt in Schritt 4.

Die gewählten Einstufungen müssen systematisch belegt werden. Je nach Schutzbedarf bestehen unterschiedliche Anforderungen:

• Stufe C (gering): Basisdokumentation + Testergebnisse

• Stufe B (moderat): Ausführliche Dokumentation + Tests mit Metadaten (z.B. Datensatz-Versionen, Konfigurationen)

• Stufe A (hoch): Reproduzierbare Tests + Audit-Trail + vollständige Nachvollziehbarkeit

Mögliche Nachweise: Risikoanalysen, Testprotokolle, Prozessbeschreibungen, bestehende Zertifizierungen (ISO 27001, DSGVO).

Die Einstufungen und Nachweise werden systematisch überprüft. Die Anforderungen an die prüfenden Personen steigen mit dem Schutzbedarf:

• Gering: Selbstvalidierung durch das verantwortliche Team

• Moderat: Prüfung durch unbeteiligte interne Expert:innen

• Hoch: Validierung nach Vier-Augen-Prinzip durch interne, hierarchisch unabhängige Prüfende

Optional: Externe Prüfstellen können eingebunden werden.
Ziel: Sicherstellen, dass die dokumentierten Maßnahmen tatsächlich vorhanden und plausibel sind.

Wurden die Anforderungen erfüllt? Die erreichten Qualitätsstufen werden pro Kriterium zusammengefasst und dem ermittelten Schutzbedarf gegenübergestellt.

Die Regel:

• Hoher Schutzbedarf → mindestens Stufe A erforderlich

• Moderater Schutzbedarf → mindestens Stufe B erforderlich

• Geringer Schutzbedarf → mindestens Stufe C erforderlich

Bestanden? Ja, wenn alle relevanten Kriterien das Mindestniveau erreichen. Übererfüllungen werden dokumentiert.

Der Prüfbericht fasst zusammen:

• Systeminfo: Anwendungskontext, Komponenten, Datennutzung

• Schutzbedarfe: Welche Kriterien waren kritisch, welche nicht anwendbar?

• Qualitätsstufen: Erreichte Stufen vs. geforderte Stufen pro Kriterium

• Maßnahmen & Tests: Welche Qualitätsvorkehrungen wurden getroffen?

• Validierung: Welcher Prüfungsgrad wurde durchgeführt?

• Erklärung: Welche Kriterien erfüllt / nicht erfüllt / übertroffen wurden

Der Bericht folgt einer Standardvorlage und wird von den Verantwortlichen unterzeichnet, mit formaler Richtigkeitserklärung.

Die Prüfung ist zeitpunktbezogen: Die Qualitätsaussage gilt nur für die geprüfte System-Version.

Die Gültigkeit endet bei:

• Änderung des Anwendungszwecks

• Signifikanten technischen Änderungen (Software/Hardware)

• Externen Veränderungen (z.B. Concept Drift, Data Drift: Eingabedaten verändern sich)

Gültigkeit bleibt bei: Organisatorischen Anpassungen (z.B. neue Verantwortlichkeiten), Hardware-Updates ohne funktionale Auswirkung.

Ziel: Durch regelmäßiges Monitoring sicherstellen, dass die Qualitätsaussage aktuell bleibt.

Die Anwendung des Standards ist nicht verpflichtend, sondern wirtschaftlich motiviert. Der EU AI Act reguliert primär Hochrisiko-KI – für die meisten anderen KI-Anwendungen gibt es keine vergleichbaren Qualitätsanforderungen. Doch Kunden, Investoren und Partner erwarten zunehmend belastbare Nachweise zu Qualität, Sicherheit und Fairness. Der Standard ermöglicht es Ihnen, proaktiv Vertrauen aufzubauen und sich durch nachweisbare Qualität zu differenzieren – besonders wertvoll in Ausschreibungen und bei Investoren-Pitches.

Der Standard wurde gezielt für die Anwendung in Unternehmen mit begrenzten Prüfressourcen entwickelt, insbesondere Start-ups und KMU. Die anwendungsfallspezifische Schutzbedarfsanalyse fokussiert den Prüfaufwand auf tatsächlich kritische Bereiche. Das digitale Prüfportal automatisiert Routineschritte und bietet kontextbezogene Hilfestellungen. So entsteht ein strukturierter Qualitätsnachweis mit angemessenem Aufwand. Gleichzeitig basiert der Standard auf etablierten Ansätzen wie VDE SPEC 90012 und dem Fraunhofer IAIS Prüfkatalog.

Der Standard wurde bewusst kompatibel zu zentralen Regularien und Normen entwickelt. Die sechs Qualitätsdimensionen basieren auf den EU-Ethikleitlinien für vertrauenswürdige KI und sind mit den Hochrisiko-Anforderungen des EU AI Act harmonisiert. Prozesse und Dokumentationen, die im Rahmen der Prüfung entstehen – etwa zur Schutzbedarfsanalyse, Datenqualität, Robustheit oder menschlicher Aufsicht – unterstützen Sie bei der Vorbereitung auf regulatorische Anforderungen. Bestehende Nachweise aus ISO 27001, DSGVO-Compliance oder anderen Standards werden anerkannt und können integriert werden.

Ein belastbarer Qualitätsnachweis erfordert objektive Kriterien und nachvollziehbare Verfahren. Der Standard nutzt ein vierstufiges Bewertungssystem, das für jeden Qualitätsaspekt klare Anforderungen definiert – von Mindeststandard bis Best Practice. Technische Tests werden mit reproduzierbaren Parametern dokumentiert, sodass Ergebnisse überprüfbar bleiben. Die Prüftiefe lässt sich skalieren: von der Selbstprüfung über interne Validierung nach dem Vier-Augen-Prinzip bis zur optionalen Einbindung externer Prüfstellen. Der Prüfbericht dokumentiert transparent, welche Qualitätsmaßnahmen in welchem Umfang umgesetzt wurden.

Der Standard schafft Vergleichbarkeit durch einheitliche Bewertungskriterien. Alle Prüfungen folgen derselben Systematik: Sechs Qualitätsdimensionen werden in konkrete Kriterien und messbare Anforderungen übersetzt. Die Schutzbedarfsanalyse sorgt dafür, dass unterschiedliche Einsatzkontexte berücksichtigt werden – dennoch bleibt die Bewertungslogik vergleichbar. Für Beschaffungsstellen, Kunden und Investoren bedeutet das: KI-Angebote lassen sich strukturiert bewerten und gegenüberstellen – unabhängig von Branche, Anbieter oder Systemtyp.

Der Standard wurde bewusst niedrigschwellig konzipiert, um Start-ups und KMU den Einstieg in systematisches KI-Qualitätsmanagement zu erleichtern. Das Prüfportal führt Schritt für Schritt durch den Bewertungsprozess, integrierte Vorlagen reduzieren den Dokumentationsaufwand, und die Prüfmethodensammlung bietet direkt anwendbare Verfahren mit konkreten Anleitungen. Prüfergebnisse werden in verständlicher Form kommuniziert – für interne Governance ebenso wie für Kunden, Partner und Investoren. So wird professionelles Qualitätsmanagement auch ohne dedizierte Compliance-Abteilung möglich.