1. Anbieter von AI-Systemen mit hohem Risiko müssen ein Qualitätsmanagementsystem einrichten, das die Einhaltung dieser Verordnung gewährleistet. Dieses System ist systematisch und ordnungsgemäß in Form von schriftlichen Strategien, Verfahren und Anweisungen zu dokumentieren und muss mindestens die folgenden Aspekte umfassen:
(a) eine Strategie für die Einhaltung der Vorschriften, einschließlich der Einhaltung der Konformitätsbewertungsverfahren und der Verfahren für das Management von Änderungen am AI-System mit hohem Risiko;
(b) Techniken, Verfahren und systematische Maßnahmen, die für den Entwurf, die Entwurfskontrolle und die Entwurfsprüfung des risikoreichen KI-Systems anzuwenden sind;
(c) Techniken, Verfahren und systematische Maßnahmen, die für die Entwicklung, Qualitätskontrolle und Qualitätssicherung des AI-Systems für Hochrisikoprodukte anzuwenden sind;
(d) Untersuchungs-, Test- und Validierungsverfahren, die vor, während und nach der Entwicklung des AI-Systems mit hohem Risiko durchzuführen sind, sowie die Häufigkeit, mit der sie durchgeführt werden müssen;
(e) die anzuwendenden technischen Spezifikationen, einschließlich der Normen, und - falls die einschlägigen harmonisierten Normen nicht vollständig angewandt werden oder nicht alle in Abschnitt 2 genannten einschlägigen Anforderungen abdecken - die Mittel, mit denen sichergestellt werden soll, dass das AI-System für hohe Risiken diese Anforderungen erfüllt;
(f) Systeme und Verfahren für die Datenverwaltung, einschließlich Datenerfassung, Datenerhebung, Datenanalyse, Datenkennzeichnung, Datenspeicherung, Datenfilterung, Data Mining, Datenaggregation, Datenspeicherung und sonstiger Datenverarbeitungsvorgänge, die vor und zum Zweck des Inverkehrbringens oder der Inbetriebnahme von KI-Hochrisikosystemen durchgeführt werden;
(g) das in Artikel 9 genannte Risikomanagementsystem;
(h) die Einrichtung, Durchführung und Aufrechterhaltung eines Systems zur Überwachung nach dem Inverkehrbringen gemäß Artikel 72;
(i) Verfahren im Zusammenhang mit der Meldung eines schwerwiegenden Vorfalls gemäß Artikel 73;
(j) die Abwicklung der Kommunikation mit den zuständigen nationalen Behörden, anderen einschlägigen Behörden, einschließlich derjenigen, die den Zugang zu Daten gewähren oder unterstützen, benannten Stellen, anderen Betreibern, Kunden oder anderen interessierten Parteien;
(k) Systeme und Verfahren für die Aufzeichnung aller relevanten Unterlagen und Informationen;
(l) Ressourcenmanagement, einschließlich Maßnahmen zur Versorgungssicherheit;
(m) einen Rahmen für die Rechenschaftspflicht, in dem die Zuständigkeiten der Geschäftsleitung und des sonstigen Personals in Bezug auf alle in diesem Absatz genannten Aspekte festgelegt sind.
2. Die Umsetzung der in Absatz 1 genannten Aspekte muss in einem angemessenen Verhältnis zur Größe der Organisation des Anbieters stehen. Die Anbieter müssen in jedem Fall das Maß an Strenge und das Schutzniveau einhalten, das erforderlich ist, um die Übereinstimmung ihrer AI-Systeme für hohe Risiken mit dieser Verordnung zu gewährleisten.
3. (3) Anbieter von AI-Systemen mit hohem Risiko, die nach dem einschlägigen sektoralen Unionsrecht Verpflichtungen in Bezug auf Qualitätsmanagementsysteme oder eine gleichwertige Funktion unterliegen, können die in Absatz 1 aufgeführten Aspekte als Teil der Qualitätsmanagementsysteme gemäß dem genannten Recht einbeziehen.
4. (4) Bei Anbietern, die Finanzinstitute sind, die Anforderungen an ihre interne Governance, Regelungen oder Verfahren nach dem Finanzdienstleistungsrecht der Union unterliegen, gilt die Verpflichtung zur Einrichtung eines Qualitätsmanagementsystems mit Ausnahme von Absatz 1 Buchstaben g, h und i dieses Artikels als erfüllt, wenn sie die Vorschriften über interne Governance-Regelungen oder -Verfahren gemäß dem einschlägigen Finanzdienstleistungsrecht der Union einhalten. Zu diesem Zweck werden alle in Artikel 40 genannten harmonisierten Standards berücksichtigt.