Complianceconformity-assessmentce-markingnotified-bodies

Konformitätsbewertung unter der EU-KI-Verordnung

Leitfaden zu den Konformitätsbewertungsverfahren für Hochrisiko-KI-Systeme — interne Kontrolle, Drittbewertung, CE-Kennzeichnung und EU-Konformitätserklärung erklärt.

March 20, 20254 min read

Bevor ein Hochrisiko-KI-System auf dem EU-Markt bereitgestellt oder in Betrieb genommen werden kann, muss es eine Konformitätsbewertung durchlaufen. Dies ist der Prozess, durch den der Anbieter nachweist — und eine zuständige Behörde überprüfen kann — dass das KI-System alle geltenden Anforderungen der EU-KI-Verordnung (Verordnung 2024/1689) erfüllt. Ohne eine abgeschlossene Konformitätsbewertung kann ein Anbieter keine EU-Konformitätserklärung ausstellen, keine CE-Kennzeichnung anbringen oder das System nicht legal in der Europäischen Union bereitstellen.

Der rechtliche Rahmen: Artikel 43 und 44

Artikel 43 der EU-KI-Verordnung legt die Konformitätsbewertungsverfahren für Hochrisiko-KI-Systeme fest. Er sieht zwei Wege vor:

  1. Konformitätsbewertung auf der Grundlage interner Kontrolle (Anhang VI): Der Anbieter führt die Bewertung selbst durch, ohne Beteiligung Dritter.
  2. Konformitätsbewertung unter Einbeziehung einer Benannten Stelle (Anhang VII): Eine von einem EU-Mitgliedstaat benannte Drittorganisation prüft das KI-System und stellt ein Zertifikat aus.

Wann ist eine Drittbewertung erforderlich?

Interne Kontrolle (Die meisten Hochrisiko-KI-Systeme) Für die Mehrzahl der in Anhang III aufgeführten Hochrisiko-KI-Systeme kann der Anbieter die Konformitätsbewertung durch interne Kontrolle gemäß Anhang VI durchführen. Keine Benannte Stelle ist erforderlich.

Drittbewertung (Spezifische Fälle) Eine Drittbewertung gemäß Anhang VII ist in zwei Hauptszenarien erforderlich:

  1. KI-Systeme, die unter bestehende EU-Harmonisierungsgesetzgebung gemäß Anhang I, Abschnitt A fallen.
  2. Biometrische Identifizierungs- und Kategorisierungssysteme (Anhang III, Punkt 1).

Auch dort, wo interne Kontrolle erlaubt ist, müssen Anbieter weiterhin harmonisierte Normen oder gemeinsame Spezifikationen anwenden, sofern verfügbar. Die Wahl der internen Kontrolle reduziert nicht die materiellen Compliance-Anforderungen — sie ändert nur, wer die Compliance überprüft.

Das interne Kontrollverfahren (Anhang VI)

Das Verfahren umfasst:

  1. Überprüfung des Qualitätsmanagementsystems gemäß Artikel 17
  2. Überprüfung der technischen Dokumentation gemäß Artikel 11 und Anhang IV
  3. Überprüfung der Compliance mit allen Anforderungen der Artikel 8-15
  4. Ausstellung der EU-Konformitätserklärung gemäß Artikel 47

Interne Kontrolle erfordert eine rigorose Selbstbewertung. „Wir haben unsere eigene Arbeit geprüft" wird Aufsichtsbehörden nicht zufriedenstellen, wenn die Bewertung oberflächlich war. Dokumentieren Sie jeden Überprüfungsschritt und erwägen Sie, externe Expertise einzubinden.

Vorbereitung auf die Konformitätsbewertung?

Ctrl AI hilft Ihnen beim Aufbau des Qualitätsmanagementsystems, der technischen Dokumentation und der Audit-Trails, die für die Konformitätsbewertung erforderlich sind.

Learn About Ctrl AI

Das Drittverfahren (Anhang VII)

Wenn eine Drittbewertung erforderlich ist, prüft eine Benannte Stelle das KI-System und das Qualitätsmanagementsystem des Anbieters. Das Verfahren umfasst eine Bewertung des QMS, eine Prüfung der technischen Dokumentation und die Ausstellung eines Zertifikats.

Das Zertifikat ist maximal fünf Jahre gültig und kann verlängert werden.

Die EU-Konformitätserklärung

Artikel 47 legt die Anforderungen an die EU-Konformitätserklärung fest. Sie muss enthalten: Name und Typ des KI-Systems, Name und Adresse des Anbieters, eine Erklärung der Konformität, Verweise auf angewandte harmonisierte Normen, gegebenenfalls Informationen zur Benannten Stelle, sowie Ort, Datum und Unterschrift.

Die Erklärung muss 10 Jahre lang aufbewahrt werden.

CE-Kennzeichnung

Artikel 48 verlangt, dass die CE-Kennzeichnung auf dem Hochrisiko-KI-System angebracht wird. Sie zeigt an, dass das KI-System die Anforderungen der Verordnung erfüllt. Für digital bereitgestellte KI-Systeme kann eine digitale CE-Kennzeichnung verwendet werden.

Benannte Stellen

Benannte Stellen sind Organisationen, die von EU-Mitgliedstaaten benannt werden, um Konformitätsbewertungen durch Dritte durchzuführen. Sie müssen Unabhängigkeit, technische Kompetenz, angemessene Ressourcen und Vertraulichkeit nachweisen.

Änderungen und Neubewertung

Artikel 43 Absatz 4 behandelt wesentliche Änderungen an einem bereits konformitätsbewerteten System. Eine wesentliche Änderung erfordert eine neue Konformitätsbewertung.

Die Unterscheidung zwischen wesentlichen und nicht-wesentlichen Änderungen ist sachverhaltsspezifisch. Im Zweifelsfall behandeln Sie eine Änderung als wesentlich. Ein nicht-konformes System auf dem Markt zu haben, hat weitaus gravierendere Konsequenzen als eine zusätzliche Bewertung durchzuführen.

Sanktionen

Ein Hochrisiko-KI-System ohne abgeschlossene Konformitätsbewertung auf den EU-Markt zu bringen, ist ein schwerwiegender Verstoß mit Bußgeldern von bis zu 15 Millionen EUR oder 3 % des weltweiten Gesamtjahresumsatzes.

Fazit

Die Konformitätsbewertung ist das Tor zum EU-Markt für Hochrisiko-KI-Systeme. Ob Ihr System den internen Kontrollweg oder eine Drittbewertung durchläuft — die zugrunde liegende Arbeit ist dieselbe: umfassende technische Dokumentation, ein robustes Qualitätsmanagementsystem, gründliches Risikomanagement und rigoroses Testen und Validieren.

Organisationen sollten die Konformitätsbewertung nicht als einmalige Hürde betrachten. Sie ist eine fortlaufende Pflicht — wesentliche Änderungen lösen eine Neubewertung aus, Zertifikate haben begrenzte Gültigkeit, und Marktüberwachungsbehörden können jederzeit Dokumentation und Nachweise der Compliance anfordern.

Make Your AI Auditable and Compliant

Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.

Explore Ctrl AI

Verwandte Artikel

Compliance3 min read

Anforderungen an die technische Dokumentation für KI-Systeme

Welche technische Dokumentation unter der EU-KI-Verordnung erforderlich ist — Anforderungen nach Anhang IV, Risikomanagement-Aufzeichnungen, Datengovernance-Dokumentation und wie Sie die Compliance aufrechterhalten.

Compliance5 min read

Anforderungen an die menschliche Aufsicht unter der EU-KI-Verordnung

Leitfaden zu den Pflichten der menschlichen Aufsicht nach Artikel 14 — was Betreiber implementieren müssen, Prävention von Automatisierungsbias und das Recht, KI-Entscheidungen bei Hochrisikosystemen zu überstimmen.

Compliance6 min read

KI-Kompetenz-Anforderungen: Artikel 4 der EU-KI-Verordnung

Verstehen der KI-Kompetenzpflicht nach Artikel 4 der EU-KI-Verordnung — was sie bedeutet, wer sie einhalten muss und wie Sie KI-Kompetenzprogramme in Ihrer Organisation umsetzen.