EU KI-Verordnung: Dokumentationspflichten für Hochrisiko-KI-Systeme
What you need to know: EU KI-Verordnung: Dokumentationspflichten für Hochrisiko-KI-Systeme
Hochrisiko-KI-Systeme nach der EU KI-Verordnung benötigen ab August 2026 vollständige technische Dokumentation. Dieser Leitfaden erläutert alle neun Pflichtabschnitte gemäß Anhang IV.
Wenn Ihre Organisation ein Hochrisiko-KI-System im Sinne der EU KI-Verordnung bereitstellt oder betreibt, gilt eine verbindliche Frist: 2. August 2026. Bis zu diesem Datum muss jedes unter Anhang III fallende Hochrisiko-KI-System über eine vollständige technische Dokumentation verfügen, eine abgeschlossene Konformitätsbewertung vorliegen und das System in der von der Europäischen Kommission verwalteten EU-Datenbank registriert sein.
Für viele Organisationen ist die Dokumentationspflicht der zeitaufwendigste Teil des Compliance-Prozesses — nicht weil die Anforderungen unklar wären, sondern weil die Zusammenstellung dieser Dokumentation Beiträge aus den Bereichen Technik, Recht, Risikomanagement und Daten erfordert. Vielen Organisationen fehlen zudem die internen Nachweise, die Anhang IV verlangt.
Dieser Leitfaden erläutert, welche Systeme als hochriskant eingestuft werden, was jeder der neun Pflichtabschnitte der technischen Dokumentation gemäß Anhang IV enthalten muss und wie die technische Akte zu strukturieren ist.
Welche Systeme als hochriskant gelten
Anhang III der EU KI-Verordnung benennt acht Bereiche, in denen KI-Systeme als hochriskant eingestuft werden, sofern sie Entscheidungen über natürliche Personen treffen oder maßgeblich beeinflussen:
- Biometrische Identifizierung und Kategorisierung natürlicher Personen
- Verwaltung und Betrieb kritischer Infrastruktur (Energie, Wasser, Verkehr)
- Allgemeine und berufliche Bildung (Zulassungsentscheidungen, Beurteilung, Bewertung, Überwachung)
- Beschäftigung und Personalmanagement (Einstellung, Auswahl, Beförderung, Kündigung, Leistungsüberwachung)
- Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen (Kredit-Scoring, Versicherungszeichnung, Sozialleistungen)
- Strafverfolgung (Risikobewertungen, Lügendetektoren, Beweisauswertung, Kriminalitätsprognose)
- Migration, Asyl und Grenzkontrolle
- Rechtspflege und demokratische Prozesse
Für die meisten gewerblichen Organisationen sind die Bereiche Beschäftigung (z. B. Lebenslauf-Screening-Tools, Leistungsüberwachungssoftware) und wesentliche Dienstleistungen (z. B. Kreditrisikomodelle, Versicherungspreismodelle) am relevantesten. Beeinflusst Ihr KI-System Entscheidungen in diesen Bereichen wesentlich, ist es hochriskant.
Artikel 6 der EU KI-Verordnung enthält eine horizontale Regelung: KI-Systeme, die Sicherheitskomponenten von Produkten darstellen, die unter die in Anhang I genannte EU-Harmonisierungsgesetzgebung fallen (Medizinprodukte, Maschinen, Funkanlagen, Fahrzeuge), gelten ebenfalls als hochriskant.
Die technische Dokumentation nach Anhang IV: 9 Pflichtabschnitte
Anhang IV gliedert die technische Dokumentation in neun verbindliche Abschnitte. Zuständige Behörden können diese Dokumentation jederzeit anfordern; sie muss daher während der gesamten Betriebsdauer des Systems aktuell und zugänglich sein.
Abschnitt 1: Allgemeine Beschreibung des KI-Systems
Dieser Abschnitt erfasst Identität und Verwendungszweck des Systems. Zu dokumentieren sind: Name, Version und Art des KI-Systems; sein Verwendungszweck und die konkreten Aufgaben, die es ausführt; die vorgesehenen Betreiberkategorien; die Art der Interaktion mit Hardware oder Software sowie die Softwareversion oder Firmware-Version, auf die das System aufbaut. Dies ist der Einstiegspunkt für jede prüfende Behörde — die Darstellung muss klar und vollständig sein, ohne technischen Jargon, der die eigentliche Funktion verschleiert.
Abschnitt 2: Detaillierte Beschreibung der Komponenten und der Entwicklung
Dies ist der technisch anspruchsvollste Abschnitt. Zu dokumentieren sind: die verwendeten Methoden und Entwicklungsschritte; die Entwurfsspezifikationen einschließlich der allgemeinen Logik und der wesentlichen Entwurfsentscheidungen; die wichtigsten Entwurfsparameter und deren Begründung; die Systemarchitektur einschließlich der eingesetzten Rechenressourcen sowie die maßgeblichen Entwicklungsentscheidungen einschließlich Zielkonflikten und deren Rechtfertigung. Bei KI-Systemen mit maschinellem Lernen umfasst dies eine Beschreibung des Trainingsansatzes, der Modellarchitektur und der Modellvalidierung.
Abschnitt 3: Beschreibung der Überwachung, Funktionsweise und Kontrolle des Systems
Zu dokumentieren ist, wie das System in seiner Betriebsumgebung funktioniert. Dies umfasst: Eingaben und Ausgaben des Systems; die Interpretation der Ausgaben; die Leistung unter bestimmten Bedingungen; die Umstände, unter denen das System fehlerhafte Ausgaben erzeugen kann; sowie technische Einschränkungen und bekannte Fehlermodi.
Abschnitt 4: Beschreibung der Angemessenheit der Leistungsmetriken
Nach Artikel 15 müssen Hochrisiko-KI-Systeme angemessene Genauigkeits-, Robustheits- und Cybersicherheitsniveaus erreichen. Zu dokumentieren sind die für das System gewählten Leistungsmetriken und deren Eignung für den Verwendungszweck. Die gewählten Schwellenwerte sind zu begründen und deren Ermittlung zu erläutern. Soweit für die Erkennung von Verzerrungen relevant, ist die Leistung über verschiedene demografische Gruppen hinweg einzubeziehen.
Abschnitt 5: Beschreibung der Maßnahmen zur menschlichen Aufsicht
Artikel 14 verlangt, dass Hochrisiko-KI-Systeme so gestaltet sind, dass eine wirksame menschliche Aufsicht möglich ist. Zu dokumentieren sind die in Gestaltung und Betrieb integrierten Maßnahmen: die Möglichkeit zur Interpretation von Ausgaben, der Mechanismus zur Übersteuerung oder Abschaltung des Systems, die Art der Unterrichtung der Nutzerinnen und Nutzer über Automatisierungsverzerrungsrisiken sowie die für menschliche Operatoren vorgesehene Schulung. Zu beschreiben sind die Aufsichtsschnittstelle und der Eskalationsweg, wenn das System eine Ausgabe erzeugt, die menschliche Überprüfung erfordert.
Abschnitt 6: Beschreibung des Risikomanagementsystems
Artikel 9 fordert ein dokumentiertes Risikomanagementverfahren über den gesamten Lebenszyklus des Systems. Die technische Akte muss dieses System zusammenfassen: die Methodik zur Erkennung und Schätzung von Risiken, die Kriterien zur Risikobewertung, die umgesetzten Minderungsmaßnahmen und die akzeptierten Restrisiken. Das Risikomanagementsystem ist kein einmaliges Dokument — es muss bei der Weiterentwicklung des Systems und bei der Erkennung neuer Risiken nach dem Inverkehrbringen aktualisiert werden.
Abschnitt 7: Beschreibung der Daten und der Datenverwaltung
Artikel 10 verlangt, dass Trainings-, Validierungs- und Testdatensätze Datenqualitätskriterien erfüllen. Zu dokumentieren sind: die Merkmale der Datensätze einschließlich Herkunft, Umfang und Format; die angewandten Datenverwaltungsverfahren einschließlich der Maßnahmen zur Sicherung der Datenqualität; die Schritte zur Erkennung und Behebung von Verzerrungen in den Daten sowie die Kriterien für die Auswahl der Trainings-, Validierungs- und Testdatensätze. Bei Systemen, die vortrainierte Modelle verwenden, ist die Herkunft des vortrainierten Modells sowie das Bekannte über die verwendeten Trainingsdaten zu dokumentieren.
Abschnitt 8: Gebrauchsanweisung
Artikel 13 verpflichtet Anbieter, Betreibern eine Gebrauchsanweisung bereitzustellen. Die technische Akte muss eine Kopie dieses Dokuments enthalten oder darauf verweisen. Die Anweisung muss umfassen: Identität und Version des Systems; seinen Verwendungszweck und die konkreten Aufgaben, für die es ausgelegt ist; seine Fähigkeiten und Einschränkungen; das Genauigkeits- und Leistungsniveau einschließlich der erwarteten Leistung in verschiedenen Gruppen; bekannte Verzerrungen; die erwartete Betriebsdauer; erforderliche Wartung sowie die vom Betreiber erwarteten Maßnahmen zur menschlichen Aufsicht.
Abschnitt 9: EU-Konformitätserklärung
Der abschließende Abschnitt der technischen Akte ist die EU-Konformitätserklärung, die gemäß Artikel 47 erstellt wird. Dieses Dokument erklärt, dass das System die Anforderungen der KI-Verordnung und aller sonstigen anwendbaren EU-Rechtsvorschriften erfüllt, benennt das angewandte Konformitätsbewertungsverfahren und wird von einem bevollmächtigten Vertreter des Anbieters unterzeichnet. Sofern eine notifizierte Stelle beteiligt war, werden das entsprechende Zertifikat und die Kennnummer der notifizierten Stelle beigefügt.
Struktur der technischen Akte
Anhang IV schreibt kein bestimmtes Dateiformat vor, jedoch muss die Dokumentation in einer Form vorliegen, die es zuständigen Behörden ermöglicht, die Konformität mit der KI-Verordnung zu prüfen. Als bewährte Praxis empfiehlt sich die Pflege der technischen Akte in einem versionierten Dokumentenarchiv mit einer klaren Abschnittsnummerierung entsprechend Anhang IV. Jeder Abschnitt sollte auf die zugrunde liegenden Nachweise verweisen — Trainingsberichte, Testergebnisse, Risikoregister, Architekturdiagramme — sodass die Akte sowohl als Index zu den Belegen als auch als eigenständiges Dokument dient.
Registrierung in der EU-KI-Datenbank (Artikel 71)
Bevor ein Hochrisiko-KI-System in der EU in Verkehr gebracht oder in Betrieb genommen wird, müssen Anbieter das System in der von der Europäischen Kommission verwalteten EU-KI-Datenbank registrieren. Die Registrierung erfordert: Name und Kontaktdaten des Anbieters; Name, Version und Verwendungszweck des Systems; die Anhang-III-Kategorie, unter der das System eingestuft ist; die geplanten Einsatzländer; die Referenz der Konformitätserklärung sowie Kontaktdaten für die Marktüberwachung nach dem Inverkehrbringen. Die Datenbank ist für die in Anhang VIII genannten Kategorien öffentlich zugänglich.
Konformitätsbewertungsverfahren
Für die meisten eigenständigen Software-KI-Systeme nach Anhang III ist die Konformitätsbewertung im Wege der Eigenbewertung gemäß Anhang VI vorgesehen. Für KI-Systeme, die in Produkte nach Anhang I integriert sind (Medizinprodukte, Maschinen), ist eine Bewertung durch eine notifizierte Stelle gemäß Anhang VII erforderlich.
Die Eigenbewertung umfasst die Überprüfung des Systems gegen alle Anforderungen durch den Anbieter, die Durchführung des internen Kontrollverfahrens, die Ausfertigung der Konformitätserklärung und die Registrierung in der Datenbank. Die Bewertung sollte dokumentiert werden — Aufsichtsbehörden können Nachweise verlangen, dass die Bewertung sorgfältig durchgeführt wurde, und nicht lediglich, dass eine Konformitätserklärung vorliegt.
Bewertungen durch notifizierte Stellen werden von durch nationale Behörden akkreditierten und von der Europäischen Kommission benannten Stellen durchgeführt. Die Kapazitäten notifizierter Stellen füllen sich vor der Frist August 2026 — Organisationen, die eine Drittpartei-Bewertung benötigen, sollten spätestens Anfang 2026 eine notifizierte Stelle identifizieren und das Gespräch suchen.
Die Frist August 2026 in der Praxis
Der 2. August 2026 ist das Datum, bis zu dem Hochrisiko-KI-Systeme nach Anhang III vollständig konform sein müssen — nicht der Beginn der Compliance-Vorbereitung. Ein realistischer Zeitplan für die Erstellung einer vollständigen technischen Akte von Grund auf beläuft sich auf vier bis acht Monate, sofern die Systemarchitektur gut dokumentiert und Testdaten verfügbar sind.
Organisationen, die noch nicht mit der Dokumentationsvorbereitung begonnen haben, sollten dies als dringend behandeln. Das Risikomanagementsystem, die Leistungsprüfung und die Datenverwaltungsdokumentation erfordern insbesondere Zeit für eine ordnungsgemäße Erstellung — sie können nicht in einem Dokumentations-Sprint in den Wochen vor der Frist produziert werden.
Zuletzt aktualisiert: Mai 2026.
Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.
Häufig gestellte Fragen
Können wir unsere bestehende Produktdokumentation als Grundlage für die technische Akte nach Anhang IV verwenden?
In den meisten Fällen deckt vorhandene technische Dokumentation einige, aber nicht alle Anforderungen des Anhangs IV ab. Technische Dokumentation umfasst typischerweise Systemarchitektur, Modellspezifikationen und Leistungsmetriken. Was häufig fehlt, sind die Dokumentation des Risikomanagementsystems, der Abschnitt zu Maßnahmen der menschlichen Aufsicht, der Datenverwaltungsnachweis und die Gebrauchsanweisung in der von Artikel 13 geforderten spezifischen Form. Eine Lückenanalyse gegenüber allen neun Anhang-IV-Abschnitten — ein Abgleich des Vorhandenen mit dem Erforderlichen — ist der effizienteste Ausgangspunkt, anstatt pauschal anzunehmen, dass vorhandene Dokumentation unzureichend oder ausreichend ist.
Was ist der Unterschied zwischen der technischen Dokumentationspflicht und der Konformitätsbewertung?
Die technische Dokumentation (Anhang IV) ist das Gesamtgefüge von Belegen, das nachweist, dass das System die Anforderungen der Artikel 9 bis 15 erfüllt. Die Konformitätsbewertung ist der Prozess der Überprüfung dieser Dokumentation und des Systems an den Anforderungen der KI-Verordnung, der zu dem Schluss führt, dass Konformität besteht, und der in der Ausfertigung der EU-Konformitätserklärung mündet. Die Dokumentation muss vorliegen, bevor die Konformitätsbewertung abgeschlossen werden kann — sie ist der Input der Bewertung, nicht deren Ergebnis. Nach der Bewertung wird die Konformitätserklärung Abschnitt 9 der technischen Akte, und die vollständige Akte wird gemäß Artikel 18 zehn Jahre lang aufbewahrt.
Wie lange muss die technische Dokumentation nach der EU KI-Verordnung aufbewahrt werden?
Artikel 18 verlangt, dass die technische Dokumentation für einen Zeitraum von zehn Jahren nach dem Inverkehrbringen oder der Inbetriebnahme des Hochrisiko-KI-Systems aufbewahrt wird. Diese Aufbewahrungsfrist beginnt mit dem Datum der Inbetriebnahme des Systems, nicht mit dem Datum der Fertigstellung der Dokumentation. Wird ein System aktualisiert oder eine neue Version eingesetzt, muss die Dokumentation jeder Version zehn Jahre ab dem Einsatzdatum der jeweiligen Version aufbewahrt werden. Zuständige Behörden können die Dokumentation jederzeit während dieser Aufbewahrungsfrist anfordern, und das Nichtvorlegen auf Anforderung stellt selbst einen Compliance-Verstoß dar.
Quellen
- EUR-Lex, Verordnung (EU) 2024/1689 (EU KI-Verordnung), Anhang IV und Artikel 9–18, 47, 71: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
- Europäische Kommission, Umsetzung der EU KI-Verordnung und Leitlinien zu Hochrisiko-KI: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- ENISA, Methodik zur KI-Risikobewertung für Hochrisiko-KI-Systeme: https://www.enisa.europa.eu/topics/artificial-intelligence
- Europäisches KI-Büro, Leitlinien zu Konformitätsbewertungsverfahren: https://digital-strategy.ec.europa.eu/en/policies/european-ai-office
Key takeaways: EU KI-Verordnung: Dokumentationspflichten für Hochrisiko-KI-Systeme
This article covers: Welche Systeme als hochriskant gelten, Die technische Dokumentation nach Anhang IV: 9 Pflichtabschnitte, Struktur der technischen Akte.
- Welche Systeme als hochriskant gelten
- Die technische Dokumentation nach Anhang IV: 9 Pflichtabschnitte
- Struktur der technischen Akte
- Registrierung in der EU-KI-Datenbank (Artikel 71)
- Konformitätsbewertungsverfahren
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.