EU AI Act Anhang IV: Was die technische Dokumentation fordert
Praxisleitfaden zu Anhang IV des EU AI Act — welche technische Dokumentation Hochrisiko-KI braucht, mit nutzbarer Struktur und Aufbewahrungsplan.
Der EU AI Act wird in dem Moment konkret, in dem jemand Ihr Anhang-IV-Dossier verlangt. Ab dem 2. August 2026 tragen Hochrisiko-KI-Systeme nach Anhang III verbindliche Pflichten — Konformitätsbewertung, Registrierung in der EU-Datenbank, Beobachtung nach dem Inverkehrbringen, menschliche Aufsicht — und die technische Dokumentation ist das Rückgrat, das all das zusammenhält. Ohne sie können Sie keine Konformität nachweisen, und "wir haben sorgfältig entwickelt" ist gegenüber einer Marktüberwachungsbehörde keine zulässige Antwort.
Dies ist ein Praxisleitfaden dazu, was die Anhang-IV-Anforderungen tatsächlich bedeuten: was die Dokumentation enthalten muss, wie Sie sie so strukturieren, dass Prüfer sie lesen können, und wie Sie sie über einen Aufbewahrungshorizont von zehn Jahren am Leben halten. Er ergänzt unsere Readiness-Checkliste für August 2026 und setzt voraus, dass Sie bereits festgestellt haben, dass Ihr System in den Anwendungsbereich fällt — falls nicht, beginnen Sie mit der Hochrisiko-Einstufung nach Anhang III.
TL;DR / Die wichtigsten Punkte
- Anhang IV ist eine Inhaltsspezifikation, kein Formular. Er legt fest, was Ihre technische Dokumentation nachweisen muss; die Struktur bauen Sie selbst — idealerweise ein Abschnitt pro Anforderung.
- Sie muss vor dem Inverkehrbringen vorliegen. Die Dokumentation ist die Nachweisgrundlage der Konformitätsbewertung und damit ein Input, kein Output.
- Die Aufbewahrungsfrist beträgt zehn Jahre. Anbieter halten technische Dokumentation und Protokolle zehn Jahre nach dem Inverkehrbringen für Behörden bereit.
- Der Anbieter trägt die Verantwortung. Wer ein fremdes oder GPAI-basiertes System wesentlich verändert, kann selbst zum Anbieter werden und die Pflicht übernehmen.
- Behandeln Sie sie als lebendes Artefakt. Versionieren Sie unter Änderungskontrolle; jede wesentliche Änderung aktualisiert das Dossier und kann eine erneute Bewertung auslösen.
Was Anhang IV tatsächlich fordert
Artikel 11 des AI Act verpflichtet Anbieter von Hochrisiko-Systemen, die technische Dokumentation vor dem Inverkehrbringen zu erstellen und aktuell zu halten. Anhang IV zählt dann die Mindestinhalte auf. Wörtlich gelesen ist das eine Checkliste — der Wert liegt jedoch darin, wie Sie die Nachweise hinter jedem Punkt organisieren.
Die geforderten Elemente lassen sich wie folgt gliedern:
| Anhang-IV-Bereich | Was nachzuweisen ist | Wo der Nachweis meist liegt |
|---|---|---|
| Allgemeine Beschreibung | Zweckbestimmung, Anbieter, Versionen, Zusammenspiel mit Hard-/Software, Bereitstellungsformen | Produktspezifikation, Architekturdoku |
| Entwicklungsprozess | Designentscheidungen und Abwägungen, Systemarchitektur, Datenanforderungen, vortrainierte Komponenten, Validierung | ADRs, Designdokumente, Repos |
| Überwachung & Kontrolle | Maßnahmen zur menschlichen Aufsicht, Kontrollschnittstellen, erwartetes Verhalten und Grenzen | Betriebshandbücher, UX-Spezifikationen |
| Leistung | Genauigkeit, Robustheit, Cybersicherheitskennzahlen, vorhersehbare unbeabsichtigte Ergebnisse, Testresultate | MLOps-Pipelines, Evaluationsberichte |
| Risikomanagement | Das Risikomanagementsystem nach Artikel 9 und Entscheidungen zum Restrisiko | Risikoregister, DSFA/Grundrechte-Folgenabschätzung |
| Lebenszyklus-Änderungen | Über den Lebenszyklus vorgenommene Änderungen | Änderungsprotokoll, Release Notes |
| Normen & Erklärung | Angewandte harmonisierte Normen, EU-Konformitätserklärung, Plan zur Beobachtung nach Inverkehrbringen | Compliance-Akte |
Zwei Punkte bringen Teams ins Straucheln. Erstens müssen Leistungsnachweise quantitativ und reproduzierbar sein — "das Modell funktioniert gut" ist keine Dokumentation; die Kennzahlen, Testdatensätze und Bedingungen sind es. Zweitens ist der Abschnitt zum Risikomanagement keine einmalige Folgenabschätzung; Artikel 9 verlangt einen kontinuierlichen, iterativen Prozess, und Ihre Dokumentation muss zeigen, dass er über den gesamten Lebenszyklus läuft.
Eine praxistaugliche Anhang-IV-Dokumentationsvorlage
Eine einzige vorgeschriebene KI-Dokumentationsvorlage finden Sie in der Verordnung nicht — die Kommission kann ein vereinfachtes Formular für KMU herausgeben, bindend sind aber die Inhalte. Der pragmatische Schritt ist ein Dossier, dessen Inhaltsverzeichnis eins zu eins auf Anhang IV abbildet, sodass ein Prüfer nie suchen muss. Die Struktur, die wir bei Mandanten einsetzen, sieht so aus:
- Abschnitt 1 — Systemidentifikation. Bezeichnung, Versionen, Anbieter und Bevollmächtigter, Zweckbestimmung, vernünftigerweise vorhersehbare Fehlanwendung, Hard-/Softwareumgebung und Bereitstellungsform (API, eingebettet, On-Device).
- Abschnitt 2 — Entwicklung und Design. Methoden und Schritte, Designbegründung und Abwägungen, Architekturdiagramm, Rechenressourcen und die Rolle etwaiger Dritt- oder GPAI-Komponenten.
- Abschnitt 3 — Daten und Daten-Governance. Trainings-, Validierungs- und Testdatensätze; Herkunft, Annotation und Bereinigung; Repräsentativität und Verzerrungsbewertung; Daten-Governance-Maßnahmen nach Artikel 10.
- Abschnitt 4 — Leistung und Validierung. Genauigkeits-, Robustheits- und Cybersicherheitskennzahlen mit Testmethodik, Datensätzen und Akzeptanzschwellen; bekannte Grenzen und vorhersehbare Fehlerfälle.
- Abschnitt 5 — Menschliche Aufsicht und Kontrolle. Aufsichtsmaßnahmen, Schnittstellen, Stopp-/Override-Mechanismen und die erforderlichen Kompetenzen der aufsichtsführenden Personen.
- Abschnitt 6 — Risikomanagement. Der Prozess nach Artikel 9, identifizierte Risiken, Risikomanagementmaßnahmen, Restrisiko und die Verbindung zu einer etwaigen Grundrechte-Folgenabschätzung.
- Abschnitt 7 — Beobachtung nach Inverkehrbringen und Änderungen. Beobachtungsplan, Protokollierungskonzept, Verfahren zur Meldung schwerwiegender Vorfälle und das Lebenszyklus-Änderungsprotokoll.
- Abschnitt 8 — Compliance-Akte. Angewandte harmonisierte Normen, Nachweise der Konformitätsbewertung und die unterzeichnete EU-Konformitätserklärung.
Jeder Abschnitt sollte auf die Quelle des zugrunde liegenden Nachweises verweisen, statt ihn zu duplizieren, damit das Dossier wartbar bleibt. Als wir dies für einen Mandanten aus dem Finanzdienstleistungssektor mit einem Kreditentscheidungsmodell umgesetzt haben, lag der Durchbruch darin, die Dokumentation als schlanken, autoritativen Index über bereits vom Entwicklungsteam erzeugte Artefakte zu verstehen — und nicht als parallelen Dokumentensatz, der schon eine Woche nach der Unterschrift veraltet.
AI Act Aufzeichnungspflichten: Protokolle und zehnjährige Aufbewahrung
Die Dokumentation ist nur die halbe Pflicht. Die Aufzeichnungspflichten des AI Act umfassen auch automatisch erzeugte Protokolle. Hochrisiko-Systeme müssen Ereignisse protokollieren, die für die Risikoerkennung und die Beobachtung nach dem Inverkehrbringen relevant sind (Artikel 12), und das Protokollierungskonzept gehört in Ihre technische Dokumentation.
Die Aufbewahrungsregeln sind konkret:
- Technische Dokumentation und Protokolle sind den zuständigen nationalen Behörden zehn Jahre nach dem Inverkehrbringen oder der Inbetriebnahme zur Verfügung zu halten.
- Protokolle in der Kontrolle des Anbieters werden über einen dem Zweck angemessenen Zeitraum aufbewahrt, mindestens sechs Monate, sofern nicht anderes Unions- oder nationales Recht eine längere Frist verlangt.
Die architektonische Konsequenz: Bauen Sie Aufbewahrung, Integrität und Zugriffskontrollen von Tag eins an in das System ein. Konforme Protokollierung nachträglich in ein bereits produktives System einzuziehen, ist teuer und bei manchen Designs praktisch undurchführbar.
Wie die Dokumentation in die Konformitätsbewertung einfließt
Die technische Dokumentation ist kein Selbstzweck — sie ist der Input der Konformitätsbewertung. Ob Ihr System dem Weg der internen Kontrolle folgt oder eine benannte Stelle erfordert, hängt von seiner Kategorie und den angewandten Normen ab. In jedem Fall liest die Bewertung Ihr Anhang-IV-Dossier als Nachweis dafür, dass die Anforderungen erfüllt sind. Lücken in der Dokumentation sind Lücken in der Konformität. Zu den Bewertungswegen und ihrer Auswahl siehe unseren Leitfaden zur Konformitätsbewertung.
Hier verdient sich auch ISO/IEC 42001 seinen Platz. Die Norm liefert Ihnen ein KI-Managementsystem — definierte Rollen, Risikoprozesse und Lebenszyklus-Kontrollen —, das die Erstellung und Pflege der Anhang-IV-Dokumentation wiederholbar macht. Wir behandeln 42001 als Betriebsmodell und das Anhang-IV-Dossier als das systembezogene Artefakt, das dieses Modell zuverlässig hervorbringt.
Typische Fehlerquellen bei der Dokumentation
Aus Prüfungsbereitschafts-Reviews wiederholen sich dieselben Lücken:
- Im Nachhinein geschriebene Dokumentation. Eine rekonstruierte Designbegründung liest sich plausibel, hält aber einer prüfenden Nachfrage nicht stand. Halten Sie Entscheidungen fest, wenn Sie sie treffen.
- Keine quantitativen Leistungsnachweise. Qualitative Aussagen zu Genauigkeit und Robustheit fallen durch. Sie brauchen Kennzahlen, Testdatensätze und Schwellenwerte.
- Risikomanagement als Einzeldokument. Artikel 9 ist iterativ. Eine einmalige Bewertung ohne Nachweis fortlaufender Überprüfung ist eine Beanstandung.
- Protokollierung nur als Betriebsthema. Sind Protokolle nicht auf die geforderte Aufbewahrung und den Behördenzugriff ausgelegt, haben Sie eine strukturelle Lücke.
- Keine Änderungskontrolle. Eine wesentliche Änderung, die die Dokumentation nicht aktualisiert — und gegebenenfalls keine erneute Bewertung auslöst —, durchbricht die Konformitätskette.
FAQ
Was ist Anhang IV des EU AI Act?
Anhang IV des EU AI Act ist die verbindliche Inhaltsliste, die die technische Dokumentation eines Hochrisiko-KI-Systems enthalten muss. Sie umfasst die Systembeschreibung, den Entwicklungsprozess, Überwachung und Kontrolle, Leistungskennzahlen, das Risikomanagement und Änderungen über den Lebenszyklus. Die Dokumentation muss vor dem Inverkehrbringen erstellt und über die gesamte Nutzungsdauer aktuell gehalten werden.
Wann muss die technische Dokumentation nach Anhang IV bereitstehen?
Für Hochrisiko-Systeme nach Anhang III gelten die Pflichten — technische Dokumentation, Konformitätsbewertung, Registrierung in der EU-Datenbank und Beobachtung nach dem Inverkehrbringen — ab dem 2. August 2026. Die Dokumentation muss vor dem Inverkehrbringen vorliegen, da sie die Nachweisgrundlage für die Konformitätsbewertung bildet.
Gibt es eine offizielle Vorlage für die technische Dokumentation nach Anhang IV?
Der AI Act definiert die geforderten Inhalte, schreibt aber keine einheitliche offizielle Vorlage vor; die Kommission kann ein vereinfachtes Formular für KMU einführen. In der Praxis erstellen Sie ein eigenes strukturiertes Dossier, das eins zu eins den Überschriften von Anhang IV folgt, gestützt auf harmonisierte Normen und ISO/IEC 42001 für die Managementsystem-Ebene.
Wie lange müssen die Nachweise nach dem AI Act aufbewahrt werden?
Anbieter von Hochrisiko-KI-Systemen müssen die technische Dokumentation und die automatisch erzeugten Protokolle den nationalen Behörden zehn Jahre lang nach dem Inverkehrbringen oder der Inbetriebnahme zur Verfügung halten. Protokolle sind über einen dem Zweck angemessenen Zeitraum aufzubewahren, mindestens jedoch sechs Monate, sofern keine anderen Rechtsvorschriften eine längere Frist verlangen.
Wer ist für die technische Dokumentation verantwortlich?
Rechtlich verantwortlich für Erstellung und Pflege der Anhang-IV-Dokumentation ist der Anbieter — die Stelle, die das System entwickelt und unter eigenem Namen in Verkehr bringt. Betreiber und Einführer haben eigene Pflichten, doch die Dokumentationspflicht liegt beim Anbieter. Wenn Sie ein fremdes System wesentlich verändern, können Sie selbst zum Anbieter werden und die Pflicht übernehmen.
Gilt Anhang IV auch für KI-Modelle mit allgemeinem Verwendungszweck?
Nein. KI-Modelle mit allgemeinem Verwendungszweck (GPAI) folgen einem eigenen Dokumentationsregime nach Anhang XI und Anhang XII, mit Pflichten, die seit dem 2. August 2025 gelten. Anhang IV betrifft speziell Hochrisiko-KI-Systeme. Ein Hochrisiko-System, das auf einem GPAI-Modell aufbaut, benötigt dennoch eine vollständige eigene Anhang-IV-Dokumentation.
In welchem Verhältnis steht ISO/IEC 42001 zu Anhang IV?
ISO/IEC 42001 ist die Norm für KI-Managementsysteme. Sie ersetzt Anhang IV nicht, liefert aber das Governance-Gerüst — Rollen, Risikoprozesse, Lebenszyklus-Kontrollen —, das die Erstellung und Pflege der Anhang-IV-Dokumentation wiederholbar und prüfbar macht. Wir behandeln 42001 als Betriebsmodell und das Anhang-IV-Dossier als das systembezogene Ergebnis, das dieses Modell erzeugt.
Auf Konformität vorbereiten
Anhang IV belohnt Teams, die während der Entwicklung dokumentieren, und bestraft jene, die im Nachhinein rekonstruieren. Wenn Sie vor der Frist im August 2026 einen zweiten Blick auf ein Hochrisiko-System werfen lassen möchten — oder ein Dokumentations-Betriebsmodell brauchen, das die nächste Change-Anfrage übersteht — hat unser Bereich KI- und Datenplattform-Engineering regulierte Systeme durchgängig durch diesen Prozess geführt. Wir schauen uns gern an, wo Sie stehen.
Themen