Zum Hauptinhalt springen
Alle Beiträge
KI & Daten10 Min. Lesezeit

EU AI Act Konformitätsbewertung: Praxisleitfaden

Schritt-für-Schritt-Leitfaden zur Konformitätsbewertung für Hochrisiko-KI nach EU AI Act — CE-Kennzeichnung, benannte Stellen, Verfahren.

Veröffentlicht Aktualisiert: 31. Mai 2026

Die Konformitätsbewertung nach dem EU AI Act ist der Moment, in dem abstrakte Compliance zur Freigabehürde wird. Ab dem 2. August 2026 darf ein Hochrisiko-KI-System nur dann in der EU in Verkehr gebracht oder in Betrieb genommen werden, wenn es die Konformitätsbewertung durchlaufen hat, die CE-Kennzeichnung trägt und in der EU-Datenbank registriert ist. Es handelt sich um ein Produktkonformitätsregime aus der Welt von Maschinen und Medizinprodukten — und die meisten KI-Teams haben ein solches Verfahren noch nie durchlaufen. Dieser Leitfaden führt durch das gesamte Verfahren, so wie wir es in Kundenprojekten umsetzen.

TL;DR / Kernaussagen

  • Die Konformitätsbewertung für Hochrisiko-KI (Anhang III) ist ab dem 2. August 2026 verpflichtend; schließen Sie sie Monate früher ab, denn Anhang-IV-Dokumentation und Tests sind langwierig.
  • Für die meisten Anhang-III-Systeme gilt das Verfahren der internen Kontrolle (Selbstbewertung), sofern harmonisierte Normen angewendet werden; eine benannte Stelle ist vor allem bei bestimmten biometrischen Systemen und bei Sicherheitskomponenten regulierter Produkte erforderlich.
  • Die Kette der Nachweispflichten ist fest: Anforderungen → technische Dokumentation → Bewertung → EU-Konformitätserklärung → CE-Kennzeichnung → EU-Registrierung → Beobachtung nach dem Inverkehrbringen.
  • Verantwortlich ist der Anbieter, nicht der Betreiber. Klären Sie die Rollenzuordnung zuerst — besonders entlang der Lieferkette.
  • Nichtkonformität birgt Bußgelder bis zu 15 Mio. EUR oder 3% des weltweiten Umsatzes; verbotene Praktiken bis zu 35 Mio. EUR oder 7%.

Warum dies ein Produktkonformitätsproblem ist, kein Policy-Memo

Der AI Act bildet Hochrisiko-KI bewusst nach dem New Legislative Framework der EU ab — demselben Mechanismus, der CE-gekennzeichnete Produkte wie Medizinprodukte und Aufzüge regelt. Das hat eine konkrete Folge: Konformität wird mit Nachweisen belegt und unter eigener rechtlicher Haftung erklärt, nicht in einer Richtlinie behauptet. Die CE-Kennzeichnung, die Sie am Ende anbringen, bedeutet Konformität mit dem gesamten anwendbaren Unionsrecht. Ein in ein reguliertes Produkt eingebettetes KI-System muss daher den AI Act mit seiner sektoralen Richtlinie in Einklang bringen.

Bevor all dies relevant wird, müssen Sie sicher sein, dass das System in den Anwendungsbereich fällt. Falls die Einstufung noch offen ist, beginnen Sie mit unserem Leitfaden zur Hochrisiko-Einstufung nach Anhang III — das Bewertungsverfahren gilt nur für Hochrisiko-Systeme, und eine falsche Einstufung in beide Richtungen ist teuer.

Schritt 1 — Die Rollen klären, bevor Sie irgendetwas anderes tun

Der häufigste Fehler, den wir sehen: Teams führen eine Bewertung für ein System durch, bei dem sie gar nicht der Anbieter sind. Der Act weist die Pflichten nach Rolle zu:

Loading diagram...
RolleWer das istPflicht zur Konformitätsbewertung
AnbieterEntwickelt das System oder lässt es entwickeln und bringt es unter eigenem Namen in VerkehrTrägt und führt die Konformitätsbewertung durch, unterzeichnet die Erklärung, bringt die CE-Kennzeichnung an
BetreiberNutzt das System unter eigener Verantwortung im beruflichen KontextKeine Konformitätsbewertung; hat operative Pflichten (menschliche Aufsicht, Beobachtung, Protokolle)
EinführerBringt das System eines Drittlandanbieters in der EU in VerkehrPrüft, ob der Anbieter die Bewertung abgeschlossen hat; darf kein nicht konformes System in Verkehr bringen
HändlerStellt das System bereit, ohne Anbieter/Einführer zu seinPrüft, ob CE-Kennzeichnung und Dokumentation vorliegen

Ein Betreiber kann zum Anbieter werden — etwa wenn Sie ein Drittanbietermodell feinabstimmen oder wesentlich verändern und unter Ihrem Namen anbieten oder es für eine Hochrisiko-Nutzung umwidmen. Bilden Sie das entlang Ihrer Lieferkette ehrlich ab, denn die Pflicht folgt der Rolle, nicht dem Organigramm.

Schritt 2 — Die Anforderungen aus Abschnitt 2 umsetzen (die Substanz)

Es ist sinnlos, Konformität zu bewerten, bevor das System tatsächlich konform ist. Die Anforderungen aus Kapitel III, Abschnitt 2 sind der Maßstab, an dem Sie gemessen werden:

  1. Risikomanagementsystem — ein kontinuierlicher, dokumentierter Prozess über den Lebenszyklus, kein einmaliger Workshop.
  2. Daten und Daten-Governance — Qualität, Repräsentativität und Verzerrungsprüfung von Trainings-, Validierungs- und Testdaten.
  3. Technische Dokumentation — das Anhang-IV-Dossier (Schritt 3).
  4. Aufzeichnungs- und Protokollierungspflichten — automatische Ereignisprotokollierung zur Nachvollziehbarkeit.
  5. Transparenz und Information der Betreiber — klare Betriebsanleitungen.
  6. Menschliche Aufsicht — Maßnahmen, die einen sinnvollen menschlichen Eingriff ermöglichen.
  7. Genauigkeit, Robustheit und Cybersicherheit — deklarierte Leistungskennzahlen und Widerstandsfähigkeit.

Fassen Sie all dies in ein Qualitätsmanagementsystem. Hier zahlt sich auch ISO/IEC 42001 aus, die Norm für KI-Managementsysteme: Sie liefert das Governance-Gerüst — Risikomanagementmaßnahmen, Dokumentenlenkung, Beobachtung —, das nahezu eins zu eins auf diese Anforderungen abbildet, sodass Sie den Apparat nicht doppelt aufbauen.

Schritt 3 — Die technische Dokumentation nach Anhang IV erstellen

Die technische Dokumentation ist das Rückgrat der Bewertung; ohne sie kann das System schlicht nicht rechtmäßig in Verkehr gebracht werden. Sie ist vor dem Inverkehrbringen zu erstellen und zehn Jahre aktuell zu halten. Sie umfasst mindestens die Systembeschreibung und Zweckbestimmung, den Entwicklungsprozess und die Designentscheidungen, die verwendeten Daten, Leistungs- und Genauigkeitskennzahlen, die Ergebnisse des Risikomanagements sowie den Plan zur Beobachtung nach dem Inverkehrbringen.

Dies ist mit Abstand der am meisten unterschätzte Arbeitsschritt. Wir haben Anhang-IV-Dossiers für Kunden erstellt, bei denen die Technik solide war, die Nachweise aber über Notebooks, Wikis und Köpfe verstreut lagen — das Zusammenstellen und Strukturieren dauerte länger als der Aufbau der Kontrollen. Beginnen Sie damit nicht erst im Juli 2026. Unsere Vorlage für die technische Dokumentation gibt Ihnen eine Struktur, die Sie beim Bauen befüllen, statt sie nachträglich zu rekonstruieren.

Schritt 4 — Das Konformitätsverfahren wählen und durchführen

Nun die eigentliche Bewertung. Es gibt zwei Wege, und die richtige Wahl ist eine Compliance-Entscheidung, keine Bequemlichkeitsfrage:

VerfahrenWann es giltWas es erfordert
Interne Kontrolle (Anhang VI)Die meisten Anhang-III-Hochrisikosysteme, wenn harmonisierte Normen oder gemeinsame Spezifikationen angewendet werdenAnbieter bewertet sich selbst gegen die Anforderungen; keine dritte Partei beteiligt
Benannte Stelle (Anhang VII)Bestimmte biometrische Systeme; wenn keine harmonisierten Normen angewendet werden; Sicherheitskomponenten regulierter Produkte, deren Sektorrecht eine Drittbewertung vorschreibtUnabhängige benannte Stelle prüft QMS und/oder technische Dokumentation und stellt eine Bescheinigung aus

Der entscheidende Hebel sind hier die harmonisierten Normen. Wo sie existieren und Sie sie anwenden, erhalten Sie eine Konformitätsvermutung und können sich in der Regel selbst bewerten. Wo sie noch fehlen oder Sie abweichen, steigen Risiko und Aufwand — und für einige Kategorien wird eine benannte Stelle ohnehin zwingend. Klären Sie die Frage der Kapazität benannter Stellen früh; für KI benannte Stellen sind weiterhin eine knappe Ressource.

Schritt 5 — Konformität erklären und CE-Kennzeichnung anbringen

Bei erfolgreicher Bewertung führt der Anbieter Folgendes durch:

  1. Erstellt die schriftliche EU-Konformitätserklärung und übernimmt die rechtliche Verantwortung für die Konformität.
  2. Bringt die CE-Kennzeichnung am System, seiner Dokumentation oder Verpackung an — sichtbar und lesbar.
  3. Stimmt die CE-Kennzeichnung mit weiterem anwendbarem Unionsrecht ab, sodass eine einzige Kennzeichnung alle einschlägigen Regime abdeckt.

Die Erklärung ist keine Formalie — sie ist das Rechtsinstrument, mit dem Ihre Organisation die Haftung übernimmt. Unterzeichnen Sie sie mit derselben Ernsthaftigkeit wie eine finanzielle Bestätigung.

Schritt 6 — Registrieren, dann lebenslang überwachen

Registrieren Sie das System vor dem Inverkehrbringen in der EU-Datenbank für Hochrisiko-KI. Nach der Auslieferung bestehen die Pflichten fort:

  • Beobachtung nach dem Inverkehrbringen — ein dokumentierter Plan zur Erhebung und Auswertung der realen Leistung.
  • Meldung schwerwiegender Vorfälle an die Behörden innerhalb der vorgeschriebenen Fristen.
  • Kontrolle wesentlicher Änderungen — eine wesentliche Änderung der Zweckbestimmung oder der Konformität löst eine erneute Konformitätsbewertung aus. Selbstlernendes Verhalten, das in der technischen Dokumentation vorab festgelegt wurde, tut dies nicht — genau deshalb ist diszipliniertes Versionieren entscheidend.

Hier scheitern viele Programme leise: Sie behandeln die CE-Kennzeichnung als Ziellinie statt als Kontrollpunkt. Konformität ist ein Zustand, den Sie aufrechterhalten, kein Ereignis, das Sie abschließen.

Ein realistischer Zeitplan

Rückwärts vom 2. August 2026 gerechnet, dominieren Dokumentation und Tests den kritischen Pfad:

PhaseRichtwert Aufwand
Einstufung und RollenzuordnungWochen
Umsetzung der Anforderungen aus Abschnitt 2 + QMSMonate
Erstellung der Anhang-IV-DokumentationMonate (parallel)
Durchführung der Bewertung (+ Vorlaufzeit benannte Stelle, falls relevant)Wochen bis Monate
Erklärung, CE-Kennzeichnung, RegistrierungWochen

Ist eine benannte Stelle einzubeziehen, kommt deren Wartezeit obendrauf — weshalb Rollen- und Verfahrensentscheidungen ganz an den Anfang gehören. Für die vollständige bereichsübergreifende Sicht kombinieren Sie dies mit unserer Readiness-Checkliste zum August 2026.

Wo Teams scheitern

  • Beginn bei der Dokumentation statt bei den Anforderungen. Konformität lässt sich nicht herbeidokumentieren.
  • Selbstbewertung als Standard annehmen. Klären Sie, ob Ihre Kategorie eine benannte Stelle erzwingt, bevor Sie planen.
  • Die Grenze Anbieter/Betreiber vergessen. Feinabstimmung oder Umbenennung eines Modells kann Sie unbemerkt zum Anbieter machen.
  • Die CE-Kennzeichnung als Ende betrachten. Beobachtung und Regeln zu wesentlichen Änderungen laufen über die gesamte Lebensdauer.

Die Konformitätsbewertung belohnt Organisationen, die KI als regulierte Produktentwicklungsdisziplin behandeln. Wer Risikomanagement, Protokollierung und Dokumentation von Anfang an in die Lieferung eingebaut hat, bewertet in Wochen; wer Nachweise im Nachhinein rekonstruiert, hält den Termin nicht.

FAQ

Was ist eine Konformitätsbewertung nach dem EU AI Act? Es ist das formale Verfahren, mit dem ein Anbieter nachweist, dass ein Hochrisiko-KI-System die Anforderungen aus Kapitel III, Abschnitt 2 des EU AI Act erfüllt, bevor es in Verkehr gebracht wird. Das Verfahren endet mit einer EU-Konformitätserklärung, der CE-Kennzeichnung und der Registrierung in der EU-Datenbank. Für die meisten Anhang-III-Systeme ist es eine Selbstbewertung über interne Kontrolle; einzelne Kategorien erfordern eine benannte Stelle.

Bis wann muss die Konformitätsbewertung für Hochrisiko-KI abgeschlossen sein? Die Pflichten für Hochrisiko-Systeme nach Anhang III gelten ab dem 2. August 2026. Ab diesem Datum muss ein Hochrisiko-KI-System, das in der EU in Verkehr gebracht oder in Betrieb genommen wird, die Konformitätsbewertung abgeschlossen haben, die CE-Kennzeichnung tragen und in der EU-Datenbank registriert sein. Planen Sie den Abschluss deutlich früher ein, da technische Dokumentation und Tests Monate beanspruchen.

Brauchen wir eine benannte Stelle oder genügt eine Selbstbewertung? Die meisten Anhang-III-Hochrisikosysteme nutzen das Verfahren der internen Kontrolle (Selbstbewertung), sofern harmonisierte Normen oder gemeinsame Spezifikationen angewendet werden. Eine benannte Stelle ist vor allem bei bestimmten biometrischen Systemen erforderlich sowie dann, wenn das System eine Sicherheitskomponente ist und das sektorale Produktrecht ohnehin eine Drittbewertung vorschreibt. Verantwortlich ist der Anbieter, nicht der Betreiber.

Was bedeutet die CE-Kennzeichnung eines KI-Systems konkret? Nach erfolgreicher Konformitätsbewertung erstellt der Anbieter eine schriftliche EU-Konformitätserklärung, bringt die CE-Kennzeichnung am System oder seiner Dokumentation und Verpackung an und registriert das System in der EU-Datenbank für Hochrisiko-KI. Die CE-Kennzeichnung signalisiert Konformität mit dem gesamten anwendbaren Unionsrecht, nicht nur dem AI Act, sodass bestehende Produktrichtlinien abgestimmt werden müssen.

Welche Sanktionen drohen beim Inverkehrbringen eines nicht konformen Hochrisiko-KI-Systems? Verstöße gegen die Hochrisiko-Anforderungen können mit Bußgeldern bis zu 15 Mio. EUR oder 3% des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Verbotene KI-Praktiken werden mit bis zu 35 Mio. EUR oder 7% des Umsatzes deutlich strenger sanktioniert. Für falsche Angaben gegenüber Behörden oder benannten Stellen gilt eine eigene Sanktionsstufe.

Wie verhält sich ISO/IEC 42001 zur Konformitätsbewertung? ISO/IEC 42001 ist die Norm für KI-Managementsysteme. Sie ersetzt die Konformitätsbewertung nicht, doch ein zertifiziertes KI-Managementsystem liefert das Governance-Gerüst — Risikomanagementmaßnahmen, Dokumentenlenkung, Beobachtung nach dem Inverkehrbringen, menschliche Aufsicht —, das die Anforderungen des AI Act verlangen. In der Praxis erleichtert es das Zusammenstellen und Pflegen der Konformitätsnachweise erheblich.

Was passiert bei einer wesentlichen Änderung eines Hochrisiko-KI-Systems nach der CE-Kennzeichnung? Eine wesentliche Änderung, die die Zweckbestimmung verändert oder die Einhaltung der Anforderungen berührt, löst eine erneute Konformitätsbewertung für das geänderte System aus. Selbstlernende Systeme, deren Verhalten in der technischen Dokumentation vorab festgelegt wurde, gelten nicht automatisch als wesentlich geändert. Versionskontrolle und ein klarer Änderungsmanagementprozess sind dafür unverzichtbar.

Ein Hochrisiko-KI-System vor August 2026 durch die Konformitätsbewertung zu führen, ist ein bereichsübergreifendes Engineering-Programm, kein Häkchen. Wenn Sie erfahrene Architekten suchen, die Anhang-IV-Dossiers erstellt und diese Verfahren durchgängig begleitet haben, sehen Sie sich unsere Services für KI- und Datenplattform-Engineering an.

Themen

EU AI Act KonformitätsbewertungCE-Kennzeichnung KIbenannte Stelle KIKonformitätsverfahren KIHochrisiko-KI ComplianceAnhang III KI-SystemEU AI Act August 2026

Häufig gestellte Fragen

Es ist das formale Verfahren, mit dem ein Anbieter nachweist, dass ein Hochrisiko-KI-System die Anforderungen aus Kapitel III, Abschnitt 2 des EU AI Act erfüllt, bevor es in Verkehr gebracht wird. Das Verfahren endet mit einer EU-Konformitätserklärung, der CE-Kennzeichnung und der Registrierung in der EU-Datenbank. Für die meisten Anhang-III-Systeme ist es eine Selbstbewertung über interne Kontrolle; einzelne Kategorien erfordern eine benannte Stelle.

Expert engagement

Brauchen Sie Expertenberatung?

Unser Team ist spezialisiert auf Cloud-Architektur, Security, KI-Plattformen und DevSecOps. Lassen Sie uns besprechen, wie wir Ihrem Unternehmen helfen können.

Kontakt aufnehmenNo commitment · No sales pressure

Verwandte Artikel

Alle Beiträge
KI & Daten

A2A-Protokoll: Muster für Multi-Agent-Systeme

Wie das Agent-to-Agent-Protokoll (A2A) interoperable Multi-Agent-Systeme auf Azure ermöglicht — Muster, Governance und Praxis für den Produktivbetrieb 2026.

10 Min. LesezeitKI & Daten

Kostengovernance für KI-Agenten: Token-Ausgaben steuern

KI-Agentenkosten produktiv steuern — Token-Budgets, Guardrails, Observability, Modell-Routing und FinOps für Azure OpenAI und das Microsoft Agent Framework.

10 Min. LesezeitKI & Daten

KI-Agenten testen: Eine Evaluations-Harness bauen

So bauen Sie eine Evaluations- und Test-Harness für KI-Agenten — LLM-Evals, Regressionstests, Golden Datasets, Tracing und CI-Gates für den Weg vom Pilot in die Produktion.

10 Min. Lesezeit