EuroComply
Sign up
Back to blog
EU KI-Verordnung 8 min read

KI-Verordnung Konformitätsbewertung: Eine praktische Checkliste

What you need to know: KI-Verordnung Konformitätsbewertung: Eine praktische Checkliste

Hochrisiko-KI-Systeme müssen vor der Inbetriebnahme eine Konformitätsbewertung bestehen. Die Frist im August 2026 rückt näher. Diese Checkliste führt Sie durch alle Anforderungen, damit Sie wissen, was vorzubereiten ist.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Wenn Sie Anbieter eines Hochrisiko-KI-Systems sind, dürfen Sie dieses nicht in Betrieb nehmen, bevor es eine Konformitätsbewertung bestanden hat. Dabei handelt es sich nicht um eine Prüfung nach der Inbetriebnahme — sie ist eine Voraussetzung dafür, das System auf dem Markt bereitzustellen. Die Frist für in Anhang III aufgeführte Hochrisiko-KI-Systeme lautet 2. August 2026.

Dieser Leitfaden erläutert, wer eine Konformitätsbewertung durchführen muss, was diese beinhaltet und was vorzubereiten ist.

Wer eine Konformitätsbewertung benötigt

Die Pflicht trifft Anbieter — Unternehmen, die Hochrisiko-KI-Systeme entwickeln und auf dem EU-Markt bereitstellen oder in Betrieb nehmen. Dazu zählen:

  • Unternehmen, die Hochrisiko-KI-Systeme für den eigenen Einsatz entwickeln
  • Unternehmen, die Hochrisiko-KI-Systeme an andere Organisationen verkaufen oder lizenzieren
  • Importeure und Händler, die ein Hochrisiko-KI-System eines Nicht-EU-Anbieters auf dem EU-Markt bereitstellen

Betreiber — Organisationen, die ein von einem anderen Unternehmen entwickeltes Hochrisiko-KI-System nutzen — führen in der Regel keine Konformitätsbewertungen durch. Ihre Pflichten sind anders gelagert: Registrierung des Systems, Durchführung von Grundrechte-Folgenabschätzungen und Implementierung menschlicher Überwachung. Wenn Sie jedoch ein Hochrisiko-KI-System von einem Anbieter erwerben, sollten Sie vor der Inbetriebnahme sicherstellen, dass der Anbieter eine Konformitätsbewertung abgeschlossen hat.

Ein System gilt als hochriskant, wenn es in Anhang III der KI-Verordnung aufgeführt ist. Die acht betroffenen Sektoren sind: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Zugang zu wesentlichen Dienstleistungen, Strafverfolgung, Migration und Grenzverwaltung sowie Justiz und demokratische Prozesse.

Eigenbewertung gegenüber Drittpartei-Bewertung

Das Verfahren richtet sich nach der Produktkategorie :

Eigenbewertung (interne Konformitätsprüfung) — für die meisten Hochrisiko-KI-Systeme nach Anhang III verfügbar. Der Anbieter führt die Bewertung intern anhand der Anforderungen durch und stellt eine EU-Konformitätserklärung aus.

Drittpartei-Bewertung durch eine Benannte Stelle — erforderlich für KI-Systeme, die in Produkte eingebettet sind oder Sicherheitsbauteile von Produkten darstellen, die bereits unter in Anhang I aufgeführte EU-Harmonisierungsvorschriften fallen — darunter Medizinprodukte, Maschinen, Funkanlagen, Zivilluftfahrt und Kraftfahrzeuge. Diese Produkte erfordern eine Bewertung durch eine akkreditierte Benannte Stelle.

Wenn Ihr KI-System eine eigenständige Softwareanwendung ist (z. B. ein HR-Screening-Tool, ein Betrugserkennungsmodell oder eine Kreditbewertungsmaschine), ist die Eigenbewertung wahrscheinlich der richtige Weg. Wenn es in regulierte Hardware eingebettet ist, prüfen Sie, ob eine Benannte Stelle erforderlich ist.

Die 8 Anforderungen (Artikel 9–15)

Eine Konformitätsbewertung prüft, ob das System alle folgenden Anforderungen erfüllt :

1. Risikomanagementsystem (Artikel 9) — Ein dokumentierter Risikomanagementprozess, der während des gesamten Lebenszyklus des Systems läuft : Identifizierung bekannter und vorhersehbarer Risiken, Risikoabschätzung und -bewertung sowie Risikominderung. Der Prozess muss iterativ sein und bei Weiterentwicklung des Systems aktualisiert werden.

2. Daten und Daten-Governance (Artikel 10) — Trainings-, Validierungs- und Testdatensätze müssen Daten-Governance-Praktiken unterliegen : Relevanz, Repräsentativität, Fehlerfreiheit, Vollständigkeit. Verzerrungen (Biases) müssen identifiziert und behoben werden. Die für das Training verwendeten Daten müssen dokumentiert sein.

3. Technische Dokumentation (Artikel 11 und Anhang IV) — Umfassende Dokumentation, die es zuständigen Behörden ermöglicht, die Konformität zu beurteilen. Siehe die detaillierte Checkliste unten.

4. Aufzeichnung und automatische Protokollierung (Artikel 12) — Das System muss während seines Betriebs im technisch möglichen Umfang automatisch Ereignisse protokollieren. Die Protokolle müssen die Marktüberwachung nach der Inbetriebnahme und die Untersuchung von Vorfällen ermöglichen.

5. Transparenz und Information für Betreiber (Artikel 13) — Anbieter müssen Betreibern eine Gebrauchsanweisung bereitstellen, die Folgendes abdeckt : Identität und Zweck des Systems; Genauigkeits- und Leistungsgrad; Einschränkungen; Arten von Eingabedaten; bekannte Verzerrungen; erwartete Lebensdauer und Wartungsbedarf sowie Maßnahmen zur menschlichen Überwachung.

6. Menschliche Überwachung (Artikel 14) — Das System muss so konzipiert sein, dass Menschen es überwachen, verstehen und eingreifen können. Dazu gehören : die Fähigkeit, Ergebnisse zu interpretieren; die Möglichkeit, das System zu übersteuern oder anzuhalten; Bewusstsein für das Risiko von Automatisierungsverzerrungen sowie geeignete Maßnahmen zur menschlichen Überwachung, die in das Systemdesign integriert sind.

7. Genauigkeit, Robustheit und Cybersicherheit (Artikel 15) — Das System muss so konzipiert und entwickelt sein, dass es angemessene Genauigkeitsniveaus erreicht und konsistent verhält. Robustheit gegenüber Fehlern, Störungen und feindseligen Angriffen muss getestet und dokumentiert werden. Cybersicherheitsmaßnahmen müssen dem Risiko angemessen sein.

Checkliste für technische Dokumentation (Anhang IV)

Anhang IV listet 14 Elemente auf, die die technische Dokumentation abdecken muss. Gehen Sie diese vor Ihrer Bewertung durch :

| # | Element | |---|---------| | 1 | Allgemeine Beschreibung : vorgesehener Zweck, Interaktionen mit Hardware/Software, Versionen | | 2 | Detaillierte Beschreibung der Komponenten : Algorithmen, Logik, wesentliche Designentscheidungen, Einschränkungen | | 3 | Beschreibung der Überwachungs-, Funktions- und Steuerungsmechanismen des Systems | | 4 | Beschreibung der Maßnahmen zur menschlichen Überwachung | | 5 | Technische Spezifikationen : Rechenleistung, wesentliche Leistungskennzahlen | | 6 | Trainingsmethodik : Ansätze, Techniken, Werkzeuge, verwendete Daten | | 7 | Validierungs- und Testverfahren : Protokolle, Methoden, Ergebnisse | | 8 | Cybersicherheitsmaßnahmen | | 9 | Beschreibung relevanter Änderungen während des Lebenszyklus | | 10 | Liste der angewandten harmonisierten Normen; sofern nicht angewandt, Beschreibung der Lösungen | | 11 | Kopie der EU-Konformitätserklärung | | 12 | Plan zur Marktüberwachung nach Inbetriebnahme | | 13 | Zusammenfassung des Risikomanagementsystems | | 14 | Maßnahmen zur menschlichen Überwachung und deren technische Umsetzung |

EU-Konformitätserklärung (Artikel 47)

Nach Abschluss der Konformitätsbewertung muss der Anbieter eine EU-Konformitätserklärung ausstellen. Dieses Dokument muss Folgendes enthalten :

  • Name und Anschrift des Anbieters
  • Identifizierung des KI-Systems (Name, Typ, Versionsnummer)
  • Bestätigung, dass das KI-System dieser Verordnung und allen anderen anwendbaren EU-Rechtsvorschriften entspricht
  • Das angewandte Konformitätsbewertungsverfahren (Anhang VI für die Eigenbewertung oder Anhang VII für die Benannte Stelle)
  • Name, Kennnummer und Zertifikatnummer der Benannten Stelle (sofern zutreffend)
  • Ort und Datum der Ausstellung, Name und Unterschrift der bevollmächtigten Person

Die Konformitätserklärung muss 10 Jahre nach dem Inverkehrbringen oder der Inbetriebnahme des Systems aufbewahrt werden.

CE-Kennzeichnung

Bei KI-Systemen, die Sicherheitsbauteile von Anhang-I-Produkten sind (Medizinprodukte, Maschinen usw.), muss die CE-Kennzeichnung nach einer erfolgreichen Konformitätsbewertung angebracht werden. Die CE-Kennzeichnung signalisiert die Konformität mit dem anwendbaren EU-Recht. Bei eigenständigen Software-KI-Systemen, die nicht in Anhang-I-Produkte eingebettet sind, ist eine CE-Kennzeichnung nicht erforderlich.

Registrierung (Artikel 49)

Bevor Anbieter ein Hochrisiko-KI-System in Betrieb nehmen, müssen sie es in der EU-Datenbank für Hochrisiko-KI-Systeme registrieren, die von der Europäischen Kommission verwaltet wird. Die Registrierung ist vor dem Inverkehrbringen oder der Inbetriebnahme erforderlich. Die Datenbank ist öffentlich zugänglich.

Für die Registrierung sind folgende Angaben erforderlich : Identität des Anbieters, Name und Version des Systems, vorgesehener Zweck, Länder der Inbetriebnahme, Status (auf dem Markt / zurückgezogen / zurückgerufen), Referenz der Konformitätserklärung, Gebrauchsanweisung, Ansprechpartner für die Marktüberwachung.

Zeitplan und praktische Vorbereitung

Die Frist für die Einhaltung der Hochrisiko-KI-Anforderungen ist der 2. August 2026. Die Bewertung muss vor der Inbetriebnahme abgeschlossen sein, nicht bis zur Frist — die Frist ist der Zeitpunkt, an dem Systeme bereits konform sein müssen.

10-Punkte-Vorbereitungscheckliste (6 Monate vor der Frist beginnen)

  1. Bestätigen Sie, dass Ihr System unter Anhang III fällt, und identifizieren Sie den spezifischen Sektor und Anwendungsfall.
  2. Bestimmen Sie, ob eine Eigenbewertung oder eine Benannte Stelle erforderlich ist.
  3. Bestellen Sie eine für den Bewertungsprozess verantwortliche Compliance-Verantwortliche Person.
  4. Führen Sie eine Lückenanalyse gegenüber den Artikeln 9–15 durch — dokumentieren Sie den aktuellen Stand für jede Anforderung.
  5. Bauen Sie das Risikomanagementsystem auf oder aktualisieren Sie es und dokumentieren Sie den Prozess.
  6. Prüfen Sie Trainings- und Validierungsdaten auf Repräsentativität, Verzerrungen und Vollständigkeit.
  7. Bereiten Sie alle 14 Elemente der technischen Dokumentation nach Anhang IV vor.
  8. Implementieren und testen Sie Maßnahmen zur menschlichen Überwachung im Systemdesign.
  9. Führen Sie Tests zur Genauigkeit, Robustheit und gegenüber feindseligen Angriffen durch und dokumentieren Sie die Ergebnisse.
  10. Stellen Sie die EU-Konformitätserklärung aus und registrieren Sie das System in der EU-Datenbank.

Zuletzt aktualisiert: April 2026.

Häufig gestellte Fragen

Welche Hochrisiko-KI-Systeme erfordern eine Konformitätsbewertung durch eine Drittpartei?

Eine Drittpartei-Bewertung durch eine akkreditierte Benannte Stelle ist erforderlich, wenn ein Hochrisiko-KI-System in ein Produkt eingebettet ist oder ein Sicherheitsbauteil eines Produkts darstellt, das bereits unter EU-Harmonisierungsvorschriften gemäß Anhang I der KI-Verordnung fällt. Dazu gehören Medizinprodukte nach der Verordnung 2017/745, Maschinen nach der Richtlinie 2006/42/EG, Funkanlagen nach der Richtlinie 2014/53/EU und Kraftfahrzeuge nach der Verordnung 2018/858. Eigenständige KI-Softwareanwendungen — z. B. HR-Screening-Tools, Kreditbewertungsmaschinen oder Betrugserkennungsmodelle — können in der Regel das Eigenbewertungsverfahren nach Anhang VI in Anspruch nehmen, sofern sie alle Anforderungen der Artikel 9–15 erfüllen.

Was muss eine technische Dokumentation nach Anhang IV enthalten?

Anhang IV der KI-Verordnung verlangt 14 Elemente der technischen Dokumentation. Dazu gehören eine allgemeine Beschreibung des Systems und seines vorgesehenen Zwecks; eine detaillierte Beschreibung der Komponenten, Algorithmen und wesentlichen Designentscheidungen; Beschreibungen der Überwachungs- und Steuerungsmechanismen; Maßnahmen zur menschlichen Überwachung; technische Spezifikationen einschließlich Anforderungen an die Rechenleistung; Trainingsmethodik und verwendete Datensätze; Validierungs- und Testverfahren mit Ergebnissen; Cybersicherheitsmaßnahmen; eine Liste der angewandten harmonisierten Normen; eine Kopie der EU-Konformitätserklärung; einen Plan zur Marktüberwachung nach der Inbetriebnahme sowie eine Zusammenfassung des Risikomanagementsystems. Zuständige Behörden können diese Dokumentation jederzeit anfordern, weshalb sie während der gesamten Betriebsdauer des Systems aktuell gehalten werden muss.

Wie lange dauert eine Konformitätsbewertung nach der KI-Verordnung?

Der Zeitrahmen hängt vom Verfahren ab. Die Eigenbewertung — die für die meisten eigenständigen Anhang-III-KI-Systeme verfügbar ist — dauert bei einem Neustart in der Regel drei bis sechs Monate, unter Berücksichtigung von Lückenanalyse, Dokumentationsvorbereitung, Implementierung des Risikomanagementsystems, Tests und Ausstellung der Konformitätserklärung. Bewertungen durch Benannte Stellen können länger dauern, da sich die Pipeline der Benannten Stellen vor der Frist im August 2026 füllt. Organisationen, die bis Ende 2025 nicht begonnen haben, laufen realistischerweise Gefahr, die Frist zu verpassen. Eine frühzeitige Kontaktaufnahme mit einer Benannten Stelle wird — sofern eine solche erforderlich ist — dringend empfohlen.

Quellen

  • EUR-Lex, Verordnung (EU) 2024/1689 (KI-Verordnung), Artikel 43–49 und Anhang IV: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
  • Europäische Kommission, Leitlinien zur Umsetzung des KI-Gesetzes und Register der Benannten Stellen: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
  • ENISA, Ressourcen zur Cybersicherheitsbewertung von KI: https://www.enisa.europa.eu/topics/artificial-intelligence

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Key takeaways: KI-Verordnung Konformitätsbewertung: Eine praktische Checkliste

This article covers: Wer eine Konformitätsbewertung benötigt, Eigenbewertung gegenüber Drittpartei-Bewertung, Die 8 Anforderungen (Artikel 9–15).

  • Wer eine Konformitätsbewertung benötigt
  • Eigenbewertung gegenüber Drittpartei-Bewertung
  • Die 8 Anforderungen (Artikel 9–15)
  • Checkliste für technische Dokumentation (Anhang IV)
  • EU-Konformitätserklärung (Artikel 47)
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.