Der KI-Lebenszyklus beschreibt die systematische Abfolge aller Phasen eines KI-Systems von der Konzeption über Datenerhebung, Entwicklung, Validierung, Deployment und Monitoring bis zur Stilllegung. Für ISO/IEC 42001 und den EU AI Act ist er zentral, weil Risiken, Kontrollen und Verantwortlichkeiten über den gesamten Lebenszyklus gesteuert werden müssen.
Definition
KI-Lebenszyklus Definition heißt: Ein KI-System wird nicht nur gebaut und ausgerollt, sondern in mehreren aufeinander bezogenen Phasen geplant, entwickelt, geprüft, betrieben, überwacht, geändert und geordnet beendet. Je nach Framework werden sechs bis acht Phasen unterschieden; seit Dezember 2023 ordnet ISO/IEC 42001 diese Schritte in ein Managementsystem ein, und Art. 9 EU-VO 2024/1689 verlangt für Hochrisiko-KI ein Risikomanagement über den gesamten Lebenszyklus.
Anders als beim klassischen Software-Lebenszyklus stehen bei KI zusätzlich Trainingsdaten, Modellverhalten, Bias, Drift und Nachvalidierung im Vordergrund. Deshalb ist der Begriff eng mit Daten-Governance, KI-Risikobewertung und Post-Market-Monitoring verbunden.
Relevanz für ISO 42001 und den EU AI Act
Für ISO 42001 ist der KI-Lebenszyklus wesentlich, weil die Norm kein Einzelprojekt, sondern ein dauerhaftes KI-Managementsystem regelt. Klausel 6.1 verlangt Maßnahmen zum Umgang mit Risiken und Chancen. Klausel 8 fordert die operative Planung und Steuerung der KI-Prozesse. Annex A konkretisiert dazu Kontrollen zu Daten, Dokumentation, Überwachung und Änderungsmanagement.
Für den EU AI Act ist der Lebenszyklus vor allem über Art. 9 relevant. Dort ist festgelegt, dass Anbieter von Hochrisiko-KI-Systemen Risiken während des gesamten Lebenszyklus identifizieren, bewerten und mindern müssen. Hinzu kommen Art. 10 zur Daten- und Daten-Governance, Art. 14 zur menschlichen Aufsicht, Art. 15 zu Genauigkeit, Robustheit und Cybersicherheit sowie Art. 72 zum laufenden Monitoring nach dem Inverkehrbringen.
Phasen im Überblick
| Phase | Beschreibung | ISO-42001-Anforderung | Verantwortliche |
|---|---|---|---|
| Planung | Ziel, Zweck, Grenzen und Risiken definieren | Klausel 6.1, Klausel 8 | Management, Fachbereich, Compliance |
| Daten & Entwicklung | Daten erheben, Modell bauen, Anforderungen dokumentieren | Klausel 8, Annex A zu Daten und Entwicklung | Data Science, IT, Fachbereich |
| Validierung | Leistung, Fairness, Robustheit und Grenzen prüfen | Klausel 8, Leistungsbewertung | Fachbereich, QA, Compliance |
| Deployment | Freigeben, integrieren, Rollback und Verantwortungen festlegen | Operative Steuerung, Änderungsmanagement | IT, Produktverantwortliche |
| Betrieb & Monitoring | Leistung, Drift, Vorfälle und Nutzerfeedback überwachen | Klausel 9, Annex A Monitoring | Betrieb, Risk, Compliance |
| Stilllegung | System ersetzen, archivieren oder kontrolliert abschalten | Dokumentation, Rest-Risiken, Nachweise | Management, IT, Compliance |
Praxisbeispiel aus dem KMU-Alltag
Ein Handelsunternehmen mit 120 Beschäftigten führt ein KI-System zur Bedarfsprognose ein. In der Planungsphase wird festgelegt, dass das Modell Bestellmengen empfiehlt, aber keine automatische Lieferantenauswahl trifft. In der Entwicklungsphase fallen unvollständige Filialdaten auf. In der Validierung zeigen sich Fehlprognosen bei saisonalen Ausreißern. Nach dem Deployment reagiert das Modell empfindlich auf Sonderaktionen.
Genau hier wird der KI-Lebenszyklus praktisch relevant. Ohne klare Phasen würden Datenmängel und Betriebsprobleme isoliert behandelt. Mit einem lebenszyklusorientierten Vorgehen dokumentiert das Unternehmen, wer Änderungen freigibt, wann manuell eingegriffen wird und wie Leistungsabfälle eskaliert werden. Wer diese Struktur aufbauen will, findet dafür einen Einstieg im ISO-42001-Leitfaden und in der EU AI Act Schulung.
Verwandte Begriffe und Abgrenzung
Der KI-Lebenszyklus ist breiter als MLOps oder Software-Engineering. MLOps konzentriert sich auf technische Bereitstellung und Automatisierung, während der KI-Lebenszyklus zusätzlich Governance, Nachweise und rechtliche Anforderungen umfasst. Er endet nicht beim Go-live, sondern schließt Änderungen, Vorfälle, Re-Training und Stilllegung ein.
Für Unternehmen ist deshalb sinnvoll, jeden KI-Anwendungsfall entlang des Lebenszyklus zu inventarisieren: Wozu dient das System, welche Daten nutzt es, wer validiert Ergebnisse, welche Schwellen lösen Eingriffe aus und wann wird das System ersetzt oder abgeschaltet? Erst dann wird aus einem Modell ein steuerbares KI-System.