AI PlaybookEU

Konformitätsbewertung nach dem EU AI Act

Wie funktioniert die Konformitätsbewertung für Hochrisiko-KI-Systeme nach dem EU AI Act? Überblick über Selbstbewertung, Drittstellenverfahren, CE-Kennzeichnung und praktische Umsetzungsschritte.

11. Februar 20264 min read
EU AI ActKonformitätsbewertungCE-KennzeichnungHochrisiko-KIComplianceNotified Body

Überblick

Die Konformitätsbewertung ist das zentrale Marktzugangsinstrument des EU AI Act für Hochrisiko-KI-Systeme. Ohne erfolgreiche Bewertung darf ein entsprechendes System nicht in der Europäischen Union in Verkehr gebracht oder in Betrieb genommen werden.

Sie ähnelt bekannten Verfahren aus dem Produktsicherheitsrecht (z. B. CE-Kennzeichnung bei Medizinprodukten), ist jedoch speziell auf KI-Systeme zugeschnitten.

Dieser Beitrag erläutert:

  • Wann eine Konformitätsbewertung erforderlich ist
  • Welche Verfahren zur Verfügung stehen
  • Wann eine benannte Stelle (Notified Body) beteiligt werden muss
  • Wie die CE-Kennzeichnung erfolgt
  • Welche typischen Fehler vermieden werden sollten

Wann ist eine Konformitätsbewertung erforderlich?

Eine Konformitätsbewertung ist erforderlich für:

  • Alle Hochrisiko-KI-Systeme nach Anhang III
  • KI-Systeme, die Sicherheitskomponente eines regulierten Produkts sind

Nicht erforderlich ist sie für:

  • Niedrigrisiko-KI
  • Transparenzpflichtige Systeme (z. B. Chatbots ohne Hochrisiko-Bezug)
  • GPAI-Modelle als solche (es sei denn, sie werden Teil eines Hochrisiko-Systems)

Kernregel

Nur Hochrisiko-KI-Systeme unterliegen dem verpflichtenden CE-Konformitätsverfahren.

Die zwei Wege der Konformitätsbewertung

Der EU AI Act sieht zwei mögliche Verfahren vor:

VerfahrenWann anwendbarBeteiligung Dritter
Interne SelbstbewertungWenn harmonisierte Normen vollständig angewendet werdenNein
DrittstellenbewertungWenn Normen nicht vollständig angewendet werden oder besondere Risiken bestehenJa (Notified Body)

Interne Selbstbewertung

Dieses Verfahren ist möglich, wenn:

  • das Unternehmen harmonisierte Normen vollständig einhält
  • keine signifikanten Abweichungen bestehen
  • das System nicht als Sicherheitskomponente eines regulierten Produkts gilt

Voraussetzungen:

  • Vollständige technische Dokumentation
  • Risikomanagementsystem
  • Qualitätsmanagementsystem
  • Interne Prüfprotokolle

Das Unternehmen erklärt eigenverantwortlich die Konformität.

Hohe Verantwortung

Die interne Selbstbewertung bedeutet nicht weniger Haftung. Die Marktüberwachungsbehörden können die Dokumentation jederzeit prüfen.

Konformitätsbewertung durch benannte Stelle

Eine benannte Stelle (Notified Body) ist erforderlich, wenn:

  • harmonisierte Normen nicht vollständig angewendet werden
  • Sicherheitskomponenten betroffen sind
  • besondere technische Risiken bestehen

Die benannte Stelle prüft:

  • Dokumentation
  • Risikomanagement
  • Tests
  • Governance-Struktur
  • Qualitätssicherung

Erst nach positiver Bewertung darf die CE-Kennzeichnung erfolgen.

Ablauf einer Konformitätsbewertung

Schritt 1 – Vorbereitung

  • Risikoklassifizierung abschließen
  • Zweckbestimmung klar definieren
  • Dokumentation strukturieren

Schritt 2 – Technische Dokumentation

Die Dokumentation muss u. a. enthalten:

  1. Systembeschreibung
  2. Architektur & Modellbeschreibung
  3. Trainings- & Testdatenanalyse
  4. Risikomanagementdokumentation
  5. Human-Oversight-Konzept
  6. Logging-Mechanismen
  7. Genauigkeitsmetriken

Schritt 3 – Interne Prüfung oder Einreichung bei Drittstelle

  • Interne Auditierung oder
  • Prüfung durch Notified Body

Schritt 4 – EU-Konformitätserklärung

Nach erfolgreicher Bewertung erstellt der Anbieter:

  • Eine EU-Konformitätserklärung
  • Eine formale CE-Kennzeichnung

Schritt 5 – Registrierung

Hochrisiko-KI-Systeme müssen:

  • in einer EU-weiten Datenbank registriert werden

CE-Kennzeichnung

Die CE-Kennzeichnung signalisiert:

  • Einhaltung aller relevanten AI-Act-Anforderungen
  • Marktzulassung innerhalb der EU

Sie ist keine Qualitätsauszeichnung, sondern eine regulatorische Bestätigung.

Unzulässige CE-Kennzeichnung

Eine unberechtigte CE-Kennzeichnung kann erhebliche Bußgelder nach sich ziehen.

Harmonisierte Normen

Die Anwendung harmonisierter Normen (z. B. ISO/IEC 42001) kann:

  • Konformitätsnachweise erleichtern
  • die interne Bewertung absichern
  • regulatorische Rechtssicherheit erhöhen

Normen sind kein Ersatz für gesetzliche Pflichten, aber ein strukturierendes Instrument.

Typische Fehler in der Praxis

FehlerRisiko
Unklare ZweckbestimmungFalsche Risikoklassifizierung
Unvollständige Trainingsdaten-DokumentationAblehnung durch Drittstelle
Fehlende Human-Oversight-ProzesseMarktverbot
Keine Post-Market-StrategieMeldepflichtverletzung
Verwechslung von Anbieter- und BetreiberrolleHaftungsrisiken

Post-Market Monitoring

Nach Markteinführung endet die Pflicht nicht.

Anbieter müssen:

  • Leistungsüberwachung etablieren
  • Vorfälle dokumentieren
  • Korrekturmaßnahmen implementieren
  • ggf. Behörden informieren

Die Konformitätsbewertung ist somit kein einmaliger Akt, sondern Teil eines kontinuierlichen Compliance-Prozesses.

Verbindung zur DSGVO

Bei personenbezogenen Daten müssen zusätzlich berücksichtigt werden:

  • Datenschutz-Folgenabschätzung
  • Transparenzpflichten
  • Betroffenenrechte
  • Drittlandtransfers

Eine isolierte AI-Act-Konformität genügt nicht.

Strategische Vorbereitung

Früh beginnen

Konformitätsprozesse benötigen häufig:

  • 6–18 Monate Vorlauf
  • Interdisziplinäre Teams (Recht, Technik, Compliance)
  • Budgetplanung

Governance-Struktur aufbauen

  • AI-Compliance-Verantwortliche benennen
  • Dokumentationsstandards etablieren
  • Änderungsmanagement implementieren

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Nächste Schritte

  1. Klassifizieren Sie Ihr KI-System nach Risikostufe.
  2. Prüfen Sie, ob eine Drittstelle erforderlich ist.
  3. Strukturieren Sie Ihre technische Dokumentation.
  4. Implementieren Sie ein formales Qualitätsmanagementsystem.
  5. Planen Sie CE-Kennzeichnung und Registrierung frühzeitig.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Verwandte Artikel

EU AI Act

Hochrisiko-KI-Systeme nach Anhang III EU AI Act

Welche KI-Systeme gelten als Hochrisiko nach dem EU AI Act? Vollständige Übersicht der Anhang-III-Bereiche, Ausnahmen nach Art. 6 Abs. 3 und alle Compliance-Pflichten für Anbieter und Betreiber.

Lesen

EU AI Act

Pflichten der Anbieter nach Art. 16–25 EU AI Act

Welche rechtlichen und organisatorischen Pflichten treffen Anbieter von KI-Systemen nach dem EU AI Act? Überblick über Qualitätsmanagement, technische Dokumentation, Logging, Transparenz, CE-Kennzeichnung und Post-Market Monitoring.

Lesen

EU AI Act

Übergangsfristen & Zeitplan des EU AI Act

Detaillierte Übersicht über Inkrafttreten, Übergangsfristen und Anwendungszeitpunkte des EU AI Act – inklusive konkreter Handlungsempfehlungen für Unternehmen.

Lesen