Anleitung zur
Qualitätsprüfung

Was passiert in diesem Schritt:
Sie dokumentieren Zweck, Funktion, Eingaben, Ausgaben, Grenzen und den Nutzungskontext Ihres KI-Systems. Diese Beschreibung ist die Grundlage für alle weiteren Prozessschritte (Schutzbedarfsanalyse, Prüfkriterienkatalog und Prüfbericht).

PeWi-Beispiel:
Im Fall von PeWi wurde zunächst der gesamte Nutzungskontext beschrieben, um klar festzuhalten, wofür das System eingesetzt wird und mit welchen Daten es arbeitet. Dabei wurden unter anderem folgende Aspekte dokumentiert:

• Eingaben: Wettermodelldaten, Geodaten, Messstationen

• Ausgaben: kartenbasierte Temperatur- und Niederschlagsprognosen

• Nutzerrollen: Einsatzleitung bzw. Disposition im Winterdienst

• Systemgrenzen: keine Prognose, wenn erforderliche Datenquellen nicht verfügbar sind

► PeWi-Referenzdokument: Anwendungsfallbeschreibung (PDF)

Praxistipps Schritt 1 :

☑️ Beantworten Sie alle Fragen vollständig und wahrheitsgemäß.
☑️ Sehen Sie das Wörterlimit nicht so streng, wenn Sie eine umfassendere Beschreibung für notwendig halten.
☑️ Stimmen Sie Unsicherheiten und Unklarheiten mit den zuständigen Kollegen ab und lösen diese auf.

Was passiert in diesem Schritt:
Für jedes Kriterium des Qualitätsstandards wird geprüft, ob es auf das KI-System anwendbar ist und welcher Schutzbedarf besteht (z. B. gering, moderat, hoch). Die Schutzbedarfsanalyse legt damit fest, wie tief die Kriterien später geprüft werden müssen und welche Anforderungen an die Validierung gelten.

PeWi-Beispiel:
Im Rahmen der Prüfung von PeWi wurden in der Schutzbedarfsanalyse die Kriterien systematisch durchgegangen und mit Schutzbedarfen versehen. Unter anderem wurden folgende Einstufungen vorgenommen:

• Datenqualität → Schutzbedarf moderat (B)

• Menschliche Aufsicht → Schutzbedarf hoch (A)

• Cybersicherheit → Schutzbedarf hoch (A)

• Fairness → nicht anwendbar (D), da keine personenbezogenen Merkmale verarbeitet werden

Im Praxisbeispiel PeWi wurden die Fragen möglichst vollständig ausgefüllt und kommentiert, um zahlreiche Beispiele zu liefern. Eine entsprechend kleinteilige Arbeitsweise ist nicht immer zwingend notwendig. Beachten Sie dazu auch den Praxistipp für Schritt 2.

Bedeutung der Schutzbedarfsanalyse für den weiteren Prozess
Die Schutzbedarfsanalyse bestimmt, wie streng die Evidenzen später validiert werden müssen. Die Prüftiefe bezieht sich nur auf die Validierung, nicht auf die Erstellung der Inhalte.

D – nicht anwendbar: Kriterium entfällt vollständig
C – geringer Schutzbedarf: Validierung kann durch fachkundige Personen aus dem Projektteam erfolgen
B – moderater Schutzbedarf: Validierung durch interne, unabhängige Personen (nicht an der Entwicklung beteiligt)
A – hoher Schutzbedarf: Validierung im 4-Augen-Prinzip durch zwei organisatorisch unabhängige Personen – mindestens eine mit Audit-Erfahrung und mindestens eine mit KI-/Technikexpertise

► PeWi-Referenzdokument: Schutzbedarfsanalyse (XLSX)

Praxistipps Schritt 2:

☑️ Beantworten Sie die Fragen zu jedem Kriterium in der Reihenfolge Applikationsfragen (1) → Grundfragen (2) → Erweiterungsfragen (3). Ergibt sich bei den Applikationsfragen „nicht zutreffend“, entfällt das Kriterium vollständig.
Wird hingegen eine der Grundfragen mit „3“ beantwortet, ist das Kriterium zwingend anwendbar – eine weitere Detailprüfung über die Erweiterungsfragen ist dann nicht erforderlich und spart Zeit.
☑️ Nutzen Sie bei Bedarf die Kommentarfunktion; sowohl zur späteren Nachvollziehbarkeit für andere Personen als auch zur kritischen Reflexion Ihrer eigenen Angaben in Grenzfällen.

Was passiert in diesem Schritt:
In diesem Schritt werden die im Rahmen der Schutzbedarfsanalyse ermittelten Prüftiefen auf den Prüfkriterienkatalog angewendet. Für jedes anwendbare Kriterium werden:

• die zugehörigen Indikatoren betrachtet,

• die Prüfanforderungen der geforderten Stufe (A–D) gelesen,

• ein Kontrollsatz formuliert, der beschreibt, welche Maßnahmen im KI-System umgesetzt wurden,

• passende Evidenzen zugeordnet, und

• die erreichte Stufe ermittelt.

Der Prüfkriterienkatalog definiert für jede Stufe eindeutig, welche Prüfanforderungen erfüllt sein müssen. Die Einstufung ergibt sich aus dem Abgleich zwischen:

• geforderter Stufe (aus der SBA) und

• nachweislich erfüllter Stufe (basierend auf Maßnahmen & Evidenzen).

Damit ist Schritt 3 das Herzstück der Qualitätsprüfung.

PeWi-Beispiel:
Im Rahmen der Prüfung von PEWI wurden beispielhaft drei Indikatoren vollständig ausgearbeitet und bewertet. Die zugehörigen Kontrollsätze wurden im Referenzdokument in Spalte D „Kontrollsatz (ausgefüllt vom Prüfling)“ dokumentiert. Die Kontrollsätze dokumentieren für jeden Indikator, welche Maßnahmen umgesetzt wurden und wie PeWi die geforderten Prüfanforderungen der jeweiligen Stufe erfüllt:

• VE1.1 – Risikoanalyse Leistungsfähigkeit & Robustheit (Stufe C) 
  Der Kontrollsatz beschreibt jährliche qualitative Risikoanalysen, Priorisierung von Gefährdungen und benannte Verantwortlichkeiten. 

• VE1.2 – Leistungsfähigkeit: Metriken & Tests (Stufe C) 
  Der Kontrollsatz dokumentiert, dass geeignete Metriken und Tests definiert wurden, um zu überprüfen, ob das KI-System die beabsichtigte Funktionsweise realisiert. 

• DA1.1 – Datenqualität, -schutz und -Governance (Stufe B) 
  Der Kontrollsatz beschreibt die vollständige Dokumentation der Merkmale jedes verwendeten Datensatzes sowie der Verarbeitungsschritte (z. B. Feature-Erklärung, Labeling, Bereinigung). Zudem werden für jeden Datensatz systematische Qualitätsprüfungen durchgeführt, u. a. hinsichtlich Vollständigkeit, Konsistenz und Plausibilität. 

► PeWi-Referenzdokument: Beispielhafte Kontrollsätze & Evidenzen (XLSX)

Praxistipps Schritt 3:

☑️ Für jedes Kriterium: Prüftiefe aus der SBA übernommen
☑️ Observable der jeweiligen Stufe vollständig gelesen und im eigenen Kontext verstanden
☑️ Kontrollsatz pro Indikator konkret und systembezogen formuliert
☑️ Evidenzen eindeutig zugeordnet
☑️ Erreichte Stufe (A–D) schlüssig begründet
☑️ Hinweis: Eine Evidenz kann mehrere Indikatoren abdecken. Diese muss dann nicht mehrfach angegeben werden, sondern kann mit einem Verweis referenziert werden.

Was passiert in diesem Schritt:
Alle Nachweise, die belegen, dass die beschriebenen Maßnahmen tatsächlich umgesetzt sind, werden gesammelt und in einer Evidenzenliste dokumentiert (z. B. Dokumente, Reports, Tests, Prozessbeschreibungen).

PeWi-Beispiel:
Im Rahmen der Prüfung von PeWi wurden für die drei beispielhaften Indikatoren (siehe Schritt 3) geeignete Evidenzen bereitgestellt. Diese wurden im Referenzdokument in der Spalte E „Illustrativer Inhaltsauszug aus Evidenz“ dokumentiert.

Für PEWI wurden u. a. folgende Evidenzen hinterlegt:

• VE1.1 – Risikoanalyse Leistungsfähigkeit & Robustheit
  Evidenz: Auszug aus dem Risikoanalyse-Bericht; beinhaltet u.a.

  • identifizierte Risiken

  • benannte Verantwortlichkeiten

  • qualitative Auswirkungen

  • priorisierte Gefährdungen

  • empfohlene Maßnahmen

• VE1.2 – Leistungsfähigkeit: Metriken & Tests
  Evidenz: Auszug aus dem Testplan, beinhaltet u.a.

  • definierte Qualitätsmetriken

  • festgelegte Schwellenwerte

  • fachliche Begründungen

  • regelmäßige Auswertungen

  • ergänzende Nutzerbewertungen

• DA1.1 – Datenqualität
  Evidenz: Auszug aus der Datensatzbeschreibung, beinhaltet u.a.

  • Umfang und Struktur der Datensätze

  • verwendete Datenarten

  • Herkunft und Zweck der Daten

  • Qualitätssicherungsmaßnahmen

  • dokumentierte Verarbeitungsschritte

  ► PeWi-Referenzdokument: Beispielhafte Kontrollsätze & Evidenzen (XLSX)

Praxistipps Schritt 4:

☑️ Erfassen Sie alle in den Kontrollsätzen genannten Nachweise als Evidenzen
☑️ Benennen Sie Evidenzen eindeutig (inkl. Version/Datum) und verlinken Sie idealerweise direkt auf interne Dokumente. Das erleichtert eine spätere Nachprüfung
☑️ Dokumentieren Sie Ihre technischen Tests reproduzierbar (z. B. Datensplits, Seeds, Parameter)
☑️ Kombinieren Sie organisatorische und technische Evidenzen sinnvoll
☑️ Stellen Sie sicher, dass die zentrale Evidenzliste vollständig und aktuell ist

Was passiert in diesem Schritt:
Die gesammelten Evidenzen werden geprüft: Sind sie vollständig, plausibel, aktuell und passen sie zur Einstufung im Prüfkriterienkatalog? Wer diese Validierung durchführen darf, hängt von der in der SBA bestimmten Prüftiefe ab.

PeWi-Beispiel:
Für PeWi wurden die zuständigen Personen für die Validierung direkt aus den Schutzbedarfen und Prüftiefen abgeleitet. Im Prüfbericht ist festgehalten, wie das umgesetzt wurde:

• Für Kriterien mit Prüftiefe A (hoher Schutzbedarf) validieren die CTO (mit Audit-Erfahrung) und der Administrator gemeinsam und bilden so das erforderliche 4-Augen-Prinzip.

• Für Kriterien mit Prüftiefe B (moderater Schutzbedarf) übernimmt die CTO als unabhängige, fachkundige Person die Validierung.

• Für Kriterien mit Prüftiefe C (geringer Schutzbedarf) erfolgt die Validierung durch fachkundige Mitglieder des Projektteams.

► PeWi-Referenzdokument: Validierte Evidenzen (1.2 im Prüfbericht, PNG)

Praxistipps Schritt 5:

☑️ Stellen Sie sicher, dass für jedes Kriterium relevante und aktuelle Evidenzen vorhanden sind
☑️ Achten Sie darauf, dass Evidenzen die in den Observablen geforderten Punkte abdecken und die Einstufung im Prüfkatalog durch diese Evidenzen plausibel untermauert ist.
☑️ Dokumentieren Sie die Ergebnisse der Validierung mit Datum, beteiligten Personen und Ergebnissen.

Was passiert in diesem Schritt:
Alle Einstufungen auf Indikatorebene werden pro Kriterium aggregiert und mit dem Schutzbedarf aus der SBA verglichen. Es gilt das Minimum-Prinzip: die niedrigste erreichte Stufe eines Kriteriums ist maßgeblich. Am Ende steht die Aussage, ob alle anwendbaren Kriterien erfüllt sind.

PeWi-Beispiel:
Im Fall von PeWi wurden für alle anwendbaren Kriterien die Einstufungen zusammengeführt. Das Ergebnis:

• 10 von 10 anwendbaren Kriterien sind erfüllt,

• mehrere Kriterien sind sogar übererfüllt (es wurde eine höhere Stufe erreicht als gefordert).

► PeWi-Referenzdokument: Abschnitt „Bewertung der Qualitätsmaßnahmen und Vorkehrungen zur Absicherung des KI-Systems“ im Prüfbericht (PDF)

Praxistipps Schritt 6:

☑️ Führen Sie die Aggregation der Indikatoren zu einer Stufe je Kriterium korrekt durch
☑️ Stellen Sie Schutzbedarf (Soll) und erreichte Stufe (Ist) für jedes Kriterium gegenüber
☑️ Dokumentieren Sie eindeutig, ob die einzelnen Kriterien erfüllt, übererfüllt oder nicht erfüllt sind
☑️ Markieren Sie etwaige Übererfüllungen als besonders positives Merkmal. Dies können Sie beispielsweise bei der externe Kommunikation nutzen
☑️ Erstellen Sie entsprechende Maßnahmenpläne bei nicht-erfüllten Kriterien.

Was passiert in diesem Schritt:
Alle Ergebnisse der Qualitätsprüfung werden in einem Prüfbericht zusammengeführt. Der Bericht dient intern der Dokumentation und kann extern zur Vertrauensbildung genutzt werden (z. B. gegenüber Kunden, Partnern, Investoren).

PeWi-Beispiel:
Der PeWi-Prüfbericht enthält unter anderem:

• Beschreibung des KI-Systems (Zweck, Version, Komponenten, Datenquellen)

• Zusammenfassung der Schutzbedarfsanalyse

• Darstellung der Einstufungen pro Kriterium

• Überblick über zentrale Evidenzen

• Gesamtbewertung und Fazit zur Erfüllung der Qualitätsanforderungen

• Hinweise zur Gültigkeit und zu notwendigen Re-Prüfungen

• Unterschriften der verantwortlichen Personen

► PeWi-Referenzdokument: Vollständiger Prüfbericht (PDF)

Praxistipps Schritt 7:

☑️ Übertragen Sie die Daten auch den vorhandenen Prüfdokumenten gewissenhaft und stellen Sie sicher, dass alle Pflichtabschnitte des Prüfberichts ausgefüllt sind
☑️ Geben Sie klar und deutlich die geprüfte Systemversion Ihres KI-Systems und begleitende Gültigkeitsbedingungen an
☑️ Achten Sie darauf, dass relevante Evidenzen im Bericht referenziert sind. Auch wenn diese von externen Personen nicht oder nur eingeschränkt eingesehen werden können, sorgt diese Sorgfalt für Transparenz
☑️ Nutzen Sie die Möglichkeit, Übererfüllungen und besondere Stärken hervorzuheben. Der Prüfbericht dient auch als Mittel zur externen Kommunikation
☑️ Holen Sie die Unterschriften der verantwortlichen Personen ein. Nur so erhält Ihr Prüfbericht Gültigkeit

Was passiert in diesem Schritt:
Es wird festgelegt, unter welchen Bedingungen die Gültigkeit der Prüfung endet und wann eine erneute Prüfung notwendig ist (z. B. bei größeren technischen Änderungen, neuen Datenquellen oder erkannten Drifts).

PeWi-Beispiel:
Für PEWI ist im Prüfbericht festgehalten, dass die Prüfaussage an eine konkrete Systemversion und bestimmte Datenquellen (z. B. verwendetes Wettermodell) gebunden ist. Werden Modell, Datenquellen oder Einsatzkontext wesentlich geändert, ist eine erneute Bewertung der betroffenen Kriterien erforderlich.

Checkliste Schritt 8:

☑️ Definieren Sie klare Regeln, wann eine Re-Prüfung erforderlich ist (z. B. Modellwechsel, neue Datenquellen, veränderter Nutzungskontext). Hier können Sie auch auf die Gültigkeitsbedingungen aus dem Prüfbericht zurückgreifen.
☑️ Etablieren Sie ein entsprechendes Monitoring für Ihr KI-System, um Unregelmäßigkeiten möglichst frühzeitig zu erkennen (z. B. Performance-Drift).

► PeWi-Referenzdokument: Abschnitt „Gültigkeit“ im Prüfbericht (PNG)