Alle Artikel
Konformitätsbewertung nach dem AI Act: Selbstbewertung vs. benannte Stelle
AI Act

Konformitätsbewertung nach dem AI Act: Selbstbewertung vs. benannte Stelle

Vollständiger Leitfaden zur Konformitätsbewertung nach dem EU AI Act. Vergleich von Selbstbewertung (Anhang VI) und benannter Stelle (Anhang VII), Kosten, Zeitpläne und CE-Kennzeichnung.

Legalithm Team19 Min. Lesezeit
Teilen
Lesezeit19 Min.
ThemaAI Act
AktualisiertDez. 2025
Inhaltsverzeichnis

Konformitätsbewertung nach dem AI Act: Selbstbewertung oder benannte Stelle, welcher Weg gilt?

Medizinprodukte folgen ihrem eigenen Weg über die benannte Stelle, integriert nach Artikel 43(3), siehe benannte Stellen und KI-Medizinprodukte.

TL;DR

  • Die Konformitätsbewertung ist verpflichtend, bevor ein Hochrisiko-KI-System nach dem 2. August 2026 auf dem EU-Markt in Verkehr gebracht oder in Betrieb genommen werden kann.
  • Weg 1, Selbstbewertung (Anhang VI): Verfügbar für die meisten Hochrisiko-Systeme nach Anhang III. Der Anbieter (Provider) überprüft die Konformität intern, stellt die EU-Konformitätserklärung aus und bringt die CE-Kennzeichnung an. Kein externer Prüfer erforderlich.
  • Weg 2, benannte Stelle (Anhang VII): Verpflichtend für Systeme zur biometrischen Fernidentifizierung (Anhang III, Nummer 1) und für KI-Systeme, die Sicherheitsbauteile von Produkten sind, die nach den Harmonisierungsrechtsvorschriften der EU (Anhang I, Abschnitt A) bereits eine Bewertung durch Dritte erfordern.
  • Die Selbstbewertung ist schneller (Wochen) und günstiger (5.000 bis 30.000 EUR interne Kosten), birgt aber Glaubwürdigkeits- und Haftungsrisiken.
  • Die Bewertung durch eine benannte Stelle dauert 6 bis 24 Monate und kostet 15.000 bis über 100.000 EUR, bietet aber eine externe Validierung und ein Zertifikat mit einer Gültigkeit von bis zu fünf Jahren.
  • Wesentliche Änderungen an einem System nach der ersten Bewertung lösen nach Artikel 43(4) eine erneute Bewertung aus.
  • Selbst wenn die Selbstbewertung zulässig ist, können Anbieter für Systeme mit höheren Einsätzen freiwillig eine benannte Stelle beauftragen.
  • Nach der Bewertung bestehen laufende Pflichten fort: Qualitätsmanagement, Marktbeobachtung, Meldung von Vorfällen und Aktualisierung der Dokumentation.

Was ist die Konformitätsbewertung und warum steuert sie den Marktzugang?

Die Konformitätsbewertung ist das förmliche Verfahren, mit dem ein Anbieter nachweist, dass ein Hochrisiko-KI-System jede Anforderung erfüllt, die in Kapitel III, Abschnitt 2 des EU AI Act festgelegt ist. Ohne abgeschlossene Konformitätsbewertung kann ein Anbieter keine EU-Konformitätserklärung rechtmäßig ausstellen, keine CE-Kennzeichnung anbringen und das System nicht auf dem EU-Markt in Verkehr bringen.

Die Anforderungen, die überprüft werden müssen, erstrecken sich über den gesamten KI-Lebenszyklus:

Nach erfolgreicher Bewertung stellt der Anbieter eine EU-Konformitätserklärung aus (Artikel 47), bringt die CE-Kennzeichnung an (Artikel 48) und registriert das System in der EU-Datenbank (Artikel 49).

Die Folge, wenn man die Konformitätsbewertung überspringt oder nicht besteht, ist eindeutig: Das System darf nicht rechtmäßig auf den EU-Markt gelangen. Marktüberwachungsbehörden können die Rücknahme oder den Rückruf anordnen, und Bußgelder bei Nichteinhaltung der Hochrisiko-Pflichten reichen bis zu 15 Millionen EUR oder 3 % des weltweiten Jahresumsatzes. Die vollständige Übersicht finden Sie im Leitfaden zu den Sanktionen.

Ist Ihr KI-System hochriskant?

Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.

Jetzt prüfen

Weg 1: Selbstbewertung (interne Konformitätsbewertung, Anhang VI)

Wer sie nutzen kann

Der Weg der Selbstbewertung steht für die meisten Hochrisiko-KI-Systeme offen, die in Anhang III aufgeführt sind. Dies ist der Standardweg für eigenständige Hochrisiko-Systeme, die nicht bestehenden EU-Produktsicherheitsvorschriften unterliegen, die eine Bewertung durch Dritte verlangen, und die keine Systeme zur biometrischen Fernidentifizierung sind.

Praxisbeispiel, HR-Screening-Tool: Ein SaaS-Unternehmen, das ein KI-gestütztes System zur Bewerberauswahl anbietet (Anhang III, Nummer 4(a), Einstellung und Auswahl), kann die Selbstbewertung nutzen. Es besteht kein Erfordernis einer benannten Stelle, da das System weder eine biometrische Identifizierung ist noch ein Sicherheitsbauteil eines regulierten Produkts.

Praxisbeispiel, Kredit-Scoring-Modell: Ein Fintech, das einen eigenen Algorithmus zur Kreditwürdigkeitsbewertung entwickelt (Anhang III, Nummer 5(a), Bewertung der Kreditwürdigkeit), qualifiziert sich für die Selbstbewertung. Der Anbieter dokumentiert die Konformität intern und stellt die Konformitätserklärung aus.

Der fünfstufige Selbstbewertungsprozess (Anhang VI)

Nach Anhang VI führt der Anbieter die folgenden Schritte durch:

  1. Das Qualitätsmanagementsystem überprüfen. Bestätigen Sie, dass das nach Artikel 17 dokumentierte QMS konform ist und die Regulierungsstrategie, Entwurfskontrollen, Testverfahren, das Datenmanagement, die Marktbeobachtung, die Meldung von Vorfällen, das Ressourcenmanagement und die Rechenschaftspflicht abdeckt. Das QMS muss vor Beginn der Bewertung betriebsbereit sein; es ist eine Voraussetzung, kein Ergebnis.

  2. Die technische Dokumentation prüfen. Prüfen Sie die Dokumentation nach Anhang IV systematisch gegen jede Anforderung der Artikel 8 bis 15. Identifizieren Sie für jeden Artikel den konkreten Nachweis in der Dokumentation, der die Konformität belegt. Wo Lücken bestehen, beheben Sie diese, bevor Sie fortfahren.

  3. Die Konsistenz von Entwurf, Entwicklung und Überwachung überprüfen. Bestätigen Sie, dass der tatsächliche Entwurfs- und Entwicklungsprozess, nicht nur die Dokumentation, mit den dokumentierten Verfahren übereinstimmt. Überprüfen Sie ebenso, dass die in der Dokumentation beschriebenen Prozesse der Marktbeobachtung tatsächlich umgesetzt und betriebsbereit sind.

  4. Die EU-Konformitätserklärung ausstellen. Erstellen Sie die förmliche Erklärung nach Artikel 47 (Inhalt weiter unten beschrieben).

  5. Die CE-Kennzeichnung anbringen. Bringen Sie die CE-Kennzeichnung nach Artikel 48 an (Regeln für reine Softwaresysteme weiter unten beschrieben).

Der Anbieter führt alle diese Schritte intern durch, kein externer Prüfer und keine Zertifizierungsstelle ist beteiligt. Die Bewertung muss jedoch gründlich dokumentiert werden. Marktüberwachungsbehörden können die Dokumentation jederzeit anfordern und prüfen, und die Beweislast dafür, dass die Bewertung ordnungsgemäß durchgeführt wurde, liegt vollständig beim Anbieter.

Vorteile der Selbstbewertung

  • Schneller. Keine Terminabstimmung, Koordination oder Wartezeit mit einer externen Stelle. Ein gut vorbereiteter Anbieter kann die Bewertung in 2 bis 4 Wochen abschließen.
  • Geringere direkte Kosten. Keine Gebühren für eine Bewertung durch Dritte. Die internen Kosten liegen typischerweise zwischen 5.000 und 30.000 EUR, je nach Systemkomplexität und Stundensätzen des Teams, und decken die Arbeitszeit von Technik, Compliance und Recht ab.
  • Volle Kontrolle. Der Anbieter steuert den Zeitplan der Bewertung, was entscheidend ist, wenn man auf die Frist zum 2. August 2026 zusteuert.

Risiken der Selbstbewertung

  • Keine externe Validierung. Fehler, blinde Flecken oder großzügige Auslegungen in der Bewertung liegen in der Verantwortung des Anbieters. Es gibt kein zweites Paar Augen.
  • Volle Haftungsexposition. Stellt eine Marktüberwachungsbehörde später Mängel fest, kann sich der Anbieter nicht auf die Freigabe durch eine benannte Stelle berufen. Die gesamte Compliance-Last fällt auf den Anbieter.
  • Glaubwürdigkeitslücke. Unternehmenskunden, Beschaffungsstellen, öffentliche Auftraggeber und Investoren behandeln ein selbstbewertetes System womöglich mit weniger Vertrauen als ein von einer benannten Stelle zertifiziertes, besonders bei Anwendungsfällen mit hohen Einsätzen.
  • Schwankende Bewertungsqualität. Ohne Erfahrung in der Konformitätsbewertung riskieren Anbieter eine oberflächliche Prüfung, die zwar der Form, nicht aber dem Inhalt der Anforderungen genügt.

Weg 2: Bewertung durch eine benannte Stelle (Anhang VII)

Wer sie nutzen muss

Eine Bewertung durch Dritte durch eine benannte Stelle ist in zwei Situationen verpflichtend:

1. Systeme zur biometrischen Fernidentifizierung (Anhang III, Nummer 1)

Wenn Ihr Hochrisiko-KI-System eine biometrische Fernidentifizierung durchführt, also natürliche Personen aus der Distanz identifiziert, indem es biometrische Daten mit einer Referenzdatenbank abgleicht, müssen Sie eine benannte Stelle beauftragen. Das umfasst Gesichtserkennungssysteme zur Identitätsprüfung im öffentlichen Raum, für Ermittlungen der Strafverfolgung (nachträgliche Identifizierung) und für Zugangskontrolle im großen Maßstab.

Praxisbeispiel, Identitätsprüfungsdienst: Ein Unternehmen, das Gesichtserkennung für die Grenzkontrolle am Flughafen anbietet (nachträgliche, nicht Echtzeit-Identifizierung), muss eine benannte Stelle nutzen. Die Selbstbewertung ist nicht zulässig, unabhängig davon, wie ausgereift das interne Compliance-Programm des Anbieters ist.

2. Sicherheitsbauteile von Produkten nach Anhang I, Abschnitt A

Wenn Ihr KI-System ein Sicherheitsbauteil eines Produkts ist, das durch bestehende EU-Harmonisierungsrechtsvorschriften geregelt wird, Medizinprodukte (MDR), Maschinen (Maschinenverordnung), Spielzeug, Kraftfahrzeuge, Luftfahrt, Schiffsausrüstung, und diese Rechtsvorschrift bereits eine Konformitätsbewertung durch Dritte verlangt, dann folgt die AI-Act-Bewertung demselben Weg. Die bereits nach dieser Produktvorschrift benannte Stelle führt die AI-Act-Bewertung als Teil des bestehenden Prozesses durch.

Praxisbeispiel, KI-gestütztes Medizinprodukt: Ein Unternehmen, das ein KI-System entwickelt, das radiologische Bilder analysiert, um Tumore zu erkennen, ist ein Medizinprodukt nach der MDR. Da Medizinprodukte oberhalb der Klasse I nach der MDR bereits eine Bewertung durch eine benannte Stelle erfordern, muss auch die AI-Act-Konformitätsbewertung über eine benannte Stelle laufen.

Der Bewertungsprozess der benannten Stelle (Anhang VII)

Nach Anhang VII tut die benannte Stelle Folgendes:

  1. Prüft das Qualitätsmanagementsystem. Die benannte Stelle bewertet, ob das QMS des Anbieters nach Artikel 17 angemessen und ordnungsgemäß umgesetzt ist. Dies umfasst typischerweise eine Dokumentenprüfung, Gespräche mit Schlüsselpersonal und Audits vor Ort oder aus der Ferne.

  2. Prüft die technische Dokumentation. Die benannte Stelle prüft die Dokumentation nach Anhang IV, um zu überprüfen, dass das System die Anforderungen der Artikel 8 bis 15 erfüllt. Dies ist eine inhaltliche Prüfung, keine Häkchen-Übung, die benannte Stelle kann zusätzliche Nachweise, Testergebnisse oder Klarstellungen anfordern.

  3. Erstellt Feststellungen und, falls einschlägig, Berichte über Nichtkonformität. Wenn die benannte Stelle Lücken feststellt, erstellt sie Feststellungen, die der Anbieter vor der Zertifizierung beheben muss. Mehrere Runden der Nachbesserung sind üblich.

  4. Stellt ein Zertifikat aus. Ist die Bewertung erfolgreich, stellt die benannte Stelle ein Zertifikat aus, das für höchstens fünf Jahre gültig ist, vorbehaltlich regelmäßiger Überwachungsaudits (typischerweise jährlich).

  5. Der Anbieter stellt die EU-Konformitätserklärung aus und bringt die CE-Kennzeichnung an, unter Angabe der Zertifikatsnummer und der Kennnummer der benannten Stelle.

Eine benannte Stelle finden

Die Mitgliedstaaten benennen benannte Stellen über ihre notifizierenden Behörden (Artikel 28). Benannte Stellen müssen akkreditiert und unabhängig sein und die Anforderungen an die technische Kompetenz erfüllen, die in den Artikeln 31 bis 39 festgelegt sind. Die Europäische Kommission veröffentlicht benannte Stellen in der NANDO-Datenbank.

Mit Stand April 2026 ist der Benennungsprozess in den meisten Mitgliedstaaten noch im Gange. Die Zahl der speziell für den AI Act akkreditierten benannten Stellen bleibt begrenzt. Das schafft einen Kapazitätsengpass: Anbieter, die eine Bewertung durch eine benannte Stelle benötigen, geraten in einen Nachteil, wenn sie warten.

Praktische Schritte, um eine benannte Stelle zu finden:

  1. Prüfen Sie die NANDO-Datenbank auf Stellen, die für den AI Act benannt sind.
  2. Kontaktieren Sie nationale Akkreditierungsstellen (z. B. UKAS in Großbritannien, DAkkS in Deutschland, COFRAC in Frankreich) für den aktuellen Benennungsstand.
  3. Wenn Ihr KI-System ein Sicherheitsbauteil nach bestehenden Rechtsvorschriften ist, kontaktieren Sie Ihre bestehende benannte Stelle, sie könnte ihren Geltungsbereich auf den AI Act ausweiten.
  4. Beauftragen Sie früh. Benannte Stellen haben begrenzte Bewertungskapazitäten, und die Nachfrage wird steigen, je näher der August 2026 rückt.

Vorteile der Bewertung durch eine benannte Stelle

  • Externe Validierung erhöht die Glaubwürdigkeit gegenüber Regulierern, Unternehmenskunden, öffentlichen Auftraggebern und Investoren.
  • Erkennung von Lücken, die benannte Stelle kann Compliance-Lücken aufdecken, die der Anbieter übersehen hat, und so das Durchsetzungsrisiko senken.
  • Zertifikat als geschäftlicher Wert. Ein fünfjähriges Zertifikat liefert einen konkreten Beleg für Beschaffungsprozesse, Due Diligence und Partnerschaftsverhandlungen.
  • Geringeres Durchsetzungsrisiko. Marktüberwachungsbehörden stellen ein von einer benannten Stelle zertifiziertes System seltener infrage als ein selbstbewertetes.

Risiken der Bewertung durch eine benannte Stelle

  • Zeitplan. Rechnen Sie mit 6 bis 24 Monaten, je nach Systemkomplexität, Bereitschaft des Anbieters und Auslastung der benannten Stelle. Für Anbieter, die den 2. August 2026 anvisieren, kann dies bereits zu spät sein.
  • Kosten. Die Gebühren reichen von 15.000 EUR für unkomplizierte Bewertungen bis über 100.000 EUR für komplexe Systeme. Jährliche Überwachungsgebühren kommen mit 5.000 bis 20.000 EUR hinzu.
  • Kapazitätsengpässe. Die begrenzte Verfügbarkeit benannter Stellen bedeutet längere Warteschlangen. Wer früh dran ist, bekommt Termine; wer spät dran ist, erlebt Verzögerungen.
  • Nachbesserungszyklen. Feststellungen zur Nichtkonformität erfordern Nachbesserung und erneute Prüfung, was über die ursprünglichen Schätzungen hinaus Zeit und Kosten verursacht.

Anhang VI vs. Anhang VII: der direkte Vergleich

DimensionSelbstbewertung (Anhang VI)Benannte Stelle (Anhang VII)
Wer sie durchführtAnbieter (intern)Akkreditierte benannte Stelle (extern)
Wann verpflichtendStandard für die meisten Anhang-III-SystemeBiometrische ID (Anhang III, Nr. 1); Sicherheitsbauteile nach Anhang I, Abschnitt A
QMS-PrüfungAnbieter überprüft selbstBenannte Stelle auditiert
Prüfung der technischen DokumentationAnbieter prüft selbstBenannte Stelle prüft
Zertifikat ausgestelltNein (Anbieter stellt nur Erklärung aus)Ja (gültig bis zu 5 Jahre)
Regelmäßige ÜberwachungKeine (aber Marktüberwachung gilt)Jährliche Überwachungsaudits
Geschätzte direkte Kosten5.000 bis 30.000 EUR (interne Arbeitszeit)15.000 bis über 100.000 EUR (externe Gebühren)
Typische Dauer2 bis 4 Wochen (Bewertungsphase)6 bis 24 Monate (durchgängig)
Geschäftliche GlaubwürdigkeitGeringer (selbst erklärt)Höher (durch Dritte zertifiziert)
DurchsetzungsrisikoHöher (keine externe Validierung)Geringer (Freigabe durch benannte Stelle)
Anbieter behält volle HaftungJaJa (Zertifikat überträgt die Haftung nicht)

Entscheidungsdiagramm: Welcher Weg gilt für Ihr System?

Folgen Sie diesen Schritten der Reihe nach:

  1. Ist Ihr KI-System als Hochrisiko eingestuft? Wenn nein, gilt die Konformitätsbewertung nicht. Siehe den Leitfaden zur Klassifizierung.

  2. Ist das System ein Sicherheitsbauteil eines in Anhang I, Abschnitt A aufgeführten Produkts, das nach bestehenden EU-Harmonisierungsrechtsvorschriften bereits eine Konformitätsbewertung durch Dritte erfordert? Wenn ja → benannte Stelle erforderlich (Weg 2).

  3. Wird das System zur biometrischen Fernidentifizierung genutzt (Anhang III, Nummer 1)? Wenn ja → benannte Stelle erforderlich (Weg 2).

  4. Fällt das System unter einen anderen Hochrisiko-Bereich des Anhangs III (Nummern 2 bis 8)? Wenn ja → Selbstbewertung zulässig (Weg 1).

  5. Freiwillige Wahl: Selbst wenn die Selbstbewertung zulässig ist, können Sie freiwillig eine benannte Stelle beauftragen. Erwägen Sie das für Systeme mit hoher geschäftlicher Sensibilität, für den Einsatz im öffentlichen Sektor, bei schutzbedürftigen Personen als Endnutzer oder wenn B2B-Kunden eine Zertifizierung durch Dritte verlangen.

Kostenschätzungen: Budgetierung der Konformitätsbewertung

KostenpostenSelbstbewertung (Anhang VI)Benannte Stelle (Anhang VII)
Interne Arbeitszeit (Technik, Compliance, Recht)5.000 bis 30.000 EUR10.000 bis 40.000 EUR (plus Vorbereitung auf Audits)
Externe Rechtsberatung2.000 bis 10.000 EUR (optional, aber empfohlen)5.000 bis 15.000 EUR (oft unerlässlich)
Gebühren der benannten Stelleentfällt15.000 bis über 100.000 EUR
Jährliche Überwachungentfällt5.000 bis 20.000 EUR/Jahr
Nachbesserungskosten (Behebung von bei der Bewertung gefundenen Lücken)0 bis 20.000 EUR5.000 bis 50.000 EUR
Geschätzte Gesamtkosten im ersten Jahr7.000 bis 60.000 EUR35.000 bis über 225.000 EUR

Diese Spannen beziehen sich auf ein einzelnes System mittlerer Komplexität. Organisationen mit mehreren Hochrisiko-Systemen sollten pro System budgetieren, wobei Skaleneffekte greifen, das QMS und viele Verfahrenselemente sind über Systeme hinweg wiederverwendbar.

Zeitplanung

AktivitätSelbstbewertung (Weg 1)Benannte Stelle (Weg 2)
Erstellung der technischen Dokumentation2 bis 4 Monate2 bis 4 Monate
Aufbau des Qualitätsmanagementsystems1 bis 3 Monate (überschneidet sich mit der Dokumentation)1 bis 3 Monate (überschneidet sich mit der Dokumentation)
Auswahl und Beauftragung der benannten Stelleentfällt1 bis 3 Monate (sofort beginnen)
Bewertungsphase2 bis 4 Wochen6 bis 24 Monate
Nachbesserung von Feststellungen1 bis 2 Wochen (falls vorhanden)1 bis 6 Monate (oft mehrere Runden)
Konformitätserklärung + CE-Kennzeichnung1 bis 2 Wochen1 bis 2 Wochen
Registrierung in der EU-Datenbank1 bis 2 Wochen1 bis 2 Wochen
Realistischer Gesamtzeitrahmen3 bis 6 Monate12 bis 30 Monate

Für die Selbstbewertung: Beginnen Sie jetzt mit der Dokumentation, falls noch nicht geschehen. Ein gut vorbereitetes Team kann innerhalb von 3 bis 6 Monaten ab Beginn der Dokumentation die CE-Kennzeichnung erreichen.

Für die Bewertung durch eine benannte Stelle: Wenn Sie bis April 2026 keine benannte Stelle beauftragt haben, ist es für neue Systeme wahrscheinlich nicht mehr machbar, die Frist zum 2. August 2026 einzuhalten. Priorisieren Sie bereits im Markt befindliche Systeme, die eine rückwirkende Bewertung benötigen.

EU-Konformitätserklärung: erforderliche Inhalte (Artikel 47)

Die EU-Konformitätserklärung nach Artikel 47 muss Folgendes enthalten:

  1. Identifizierung des Anbieters, Name, eingetragene Anschrift und Kontaktdaten.
  2. Identifizierung des KI-Systems, Systemname, Typenbezeichnung und jede weitere eindeutige Referenz (z. B. Versionsnummer, Modellnummer, eindeutige Produktkennung).
  3. Konformitätserklärung, eine ausdrückliche Erklärung, dass das KI-System den Anforderungen von Kapitel III, Abschnitt 2 des AI Act entspricht.
  4. Angewandte harmonisierte Normen oder gemeinsame Spezifikationen, falls welche zum Nachweis der Konformität herangezogen wurden, führen Sie sie mit Referenznummern und Daten auf. Waren keine verfügbar oder wurden keine angewandt, geben Sie an, welche Anforderungen auf anderem Wege erfüllt wurden.
  5. Angaben zur benannten Stelle (falls einschlägig), Name, Kennnummer und Verweis auf das ausgestellte Zertifikat.
  6. Ausstellungsdatum, Unterschrift und Identität der unterzeichnenden Person, die unterzeichnende Person muss befugt sein, den Anbieter zu binden.

Die Erklärung ist 10 Jahre lang aufzubewahren, nachdem das KI-System in Verkehr gebracht oder in Betrieb genommen wurde. Marktüberwachungsbehörden können sie jederzeit anfordern.

Regeln zur CE-Kennzeichnung für reine Software-KI-Systeme

Nach Artikel 48 muss die CE-Kennzeichnung sichtbar, lesbar und dauerhaft am Hochrisiko-KI-System angebracht werden. Bei physischen Produkten bedeutet das typischerweise ein Etikett am Gerät oder auf der Verpackung.

Bei reinen Software-KI-Systemen, wozu die meisten SaaS-Plattformen, APIs und cloudbasierten KI-Dienste gehören, stellt die CE-Kennzeichnung eine praktische Herausforderung dar, da es keine physische Oberfläche gibt. Der AI Act begegnet dem:

  • Die CE-Kennzeichnung muss in der digitalen Dokumentation erscheinen, die dem System beiliegt.
  • Verfügt das System über eine Benutzeroberfläche, nehmen Sie die CE-Kennzeichnung in die Oberfläche oder die zugängliche Dokumentation auf (z. B. in einen Bereich "Über" oder "Compliance").
  • Die CE-Kennzeichnung muss auch auf der Verpackung oder den Begleitunterlagen erscheinen, bei Software bedeutet das die Nutzungsbedingungen, die Produktdokumentation oder den Lizenzvertrag.
  • War eine benannte Stelle beteiligt, muss der CE-Kennzeichnung die Kennnummer der benannten Stelle folgen.

Praxisbeispiel, cloudbasierte Einstellungs-KI: Ein Anbieter eines KI-Einstellungstools, das als SaaS-Produkt bereitgestellt wird, nimmt die CE-Kennzeichnung in die Compliance-Dokumentationsseite der Plattform, in die Nutzungsbedingungen und in die Fußzeile des Admin-Dashboards des Systems auf. Die EU-Konformitätserklärung ist von derselben Dokumentation aus verlinkt.

Was eine erneute Bewertung auslöst: wesentliche Änderungen (Artikel 43(4))

Eine abgeschlossene Konformitätsbewertung ist nicht dauerhaft. Nach Artikel 43(4) löst jede wesentliche Änderung am System eine neue Konformitätsbewertung aus. Eine Änderung ist wesentlich, wenn sie:

  • Den Verwendungszweck des Systems auf eine Weise ändert, die in der ursprünglichen Risikobewertung nicht vorgesehen war.
  • Die Konformität des Systems mit einer der Anforderungen der Artikel 8 bis 15 beeinträchtigt.
  • Änderungen an den Trainingsdaten, der Architektur oder den Betriebsparametern des Systems umfasst, die dessen Leistungseigenschaften in compliancerelevanter Weise verändern könnten.

Beispiele für Änderungen, die wahrscheinlich eine erneute Bewertung auslösen:

  • Erneutes Training des Modells auf einem wesentlich anderen Datensatz.
  • Änderung des Verwendungszwecks des Systems (z. B. von der Bewerberauswahl zur Bewertung der Mitarbeiterleistung).
  • Änderung der Ausgabelogik in einer Weise, die verändert, wie das System Entscheidungen beeinflusst.
  • Ausweitung des Systems auf neue demografische Gruppen oder Regionen, die nicht von der ursprünglichen Risikobewertung abgedeckt waren.
  • Umstellung von einem herkömmlichen ML-Modell auf ein Backbone mit großem Sprachmodell.

Beispiele für Änderungen, die wahrscheinlich keine erneute Bewertung auslösen:

  • Fehlerbehebungen, die die Entscheidungslogik des Systems nicht verändern.
  • Infrastrukturänderungen (z. B. Migration von einem Cloud-Anbieter zu einem anderen), die das Modell oder seine Ausgaben nicht beeinflussen.
  • UI-Änderungen, die die Funktionalität des Systems oder die Transparenzmaßnahmen nicht verändern.

Im Zweifel dokumentieren Sie die Änderung, analysieren sie gegen die Artikel 8 bis 15 und bewahren die Analyse auf. Gibt es ein vernünftiges Argument dafür, dass die Konformität betroffen sein könnte, führen Sie die erneute Bewertung durch.

Nach der Bewertung: laufende Pflichten

Die Konformitätsbewertung ist eine Voraussetzung für den Marktzugang, nicht die Ziellinie. Nach der Bewertung müssen Anbieter Folgendes aufrechterhalten:

  • Qualitätsmanagementsystem (Artikel 17), laufend betriebsbereit, aktualisiert, wenn sich Prozesse weiterentwickeln.
  • Technische Dokumentation (Artikel 11), aktuell gehalten bei jeder Systemänderung. Siehe den Leitfaden zur Dokumentation nach Anhang IV.
  • Marktbeobachtung (Artikel 72), aktive, verhältnismäßige Überwachung über die gesamte Lebensdauer des Systems. Die Daten fließen zurück in das Risikomanagementsystem.
  • Meldung schwerwiegender Vorfälle (Artikel 73), Vorfälle innerhalb von 15 Tagen nach Kenntnisnahme an die Marktüberwachungsbehörden melden.
  • Erneuerung des Zertifikats der benannten Stelle, Zertifikate laufen nach fünf Jahren ab und erfordern eine Erneuerungsbewertung.
  • Aktualisierung der Registrierung in der EU-Datenbank, Registrierungsinformationen aktuell halten, wenn sich Systemdetails ändern.

Freiwillige Bewertung durch Dritte

Selbst wenn die Selbstbewertung rechtlich ausreicht, beauftragen manche Anbieter freiwillig eine benannte Stelle oder einen unabhängigen Prüfer. Gründe sind unter anderem:

  • Kunden aus dem öffentlichen Sektor verlangen womöglich eine Zertifizierung durch Dritte als Beschaffungsvoraussetzung.
  • Anwendungsfälle mit hohen Einsätzen, die schutzbedürftige Personen betreffen (Bildung, Gesundheitswesen, Sozialleistungen), profitieren von externer Validierung.
  • Due Diligence von Investoren, Wagniskapital- und Private-Equity-Investoren fragen zunehmend nach der Reife der KI-Governance.
  • Vorbeugende Risikoreduzierung, eine externe Prüfung deckt blinde Flecken auf, die interne Teams aufgrund von Betriebsblindheit übersehen.

Die freiwillige Bewertung folgt demselben Prozess nach Anhang VII und führt zum selben Zertifikat. Der einzige Unterschied ist, dass der Anbieter sie freiwillig gewählt hat, statt dazu verpflichtet zu sein.

Häufige Fehler bei der Konformitätsbewertung

Fehler 1: Die Bewertung als reine Dokumentationsübung behandeln

Die Konformitätsbewertung erfordert, zu überprüfen, dass das System die Anforderungen tatsächlich erfüllt, nicht nur, dass die Dokumentation dies behauptet. Anbieter, die ausgefeilte Anhang-IV-Dokumente schreiben, ohne zu testen, ob die beschriebenen Risikominderungsmaßnahmen in der Praxis wirklich funktionieren, scheitern am Inhalt der Bewertung.

Fehler 2: Mit der Bewertung beginnen, bevor die Dokumentation vollständig ist

Die Bewertung prüft die Dokumentation. Ist die technische Dokumentation nach Anhang IV unvollständig, kann die Bewertung nicht sinnvoll fortschreiten. Stellen Sie zuerst die Dokumentation fertig, dann bewerten Sie.

Fehler 3: Die QMS-Anforderung ignorieren

Die Konformitätsbewertung prüft das Qualitätsmanagementsystem neben der technischen Dokumentation. Anbieter, die sich ausschließlich auf das System selbst konzentrieren und versäumen, ein dokumentiertes QMS nach Artikel 17 aufzubauen, scheitern an der Bewertung schon im ersten Schritt.

Fehler 4: Annehmen, Selbstbewertung bedeute keine Dokumentation

Selbstbewertung bedeutet nicht informell oder undokumentiert. Der Anbieter muss den Bewertungsprozess, die Feststellungen und die Schlussfolgerungen ebenso gründlich dokumentieren, wie es eine benannte Stelle täte. Marktüberwachungsbehörden werden diese Dokumentation anfordern, und "wir haben es intern bewertet" ohne belegende Unterlagen ist nicht haltbar.

Fehler 5: Auslöser für eine erneute Bewertung vergessen

Anbieter, die die erste Bewertung abschließen und dann wesentliche Änderungen vornehmen, ohne eine erneute Bewertung durchzuführen, geraten aus der Konformität. Bauen Sie die Nachverfolgung von Änderungen in Ihren Änderungsmanagementprozess ein.

Häufig gestellte Fragen

Kann ich die Konformitätsbewertung vor August 2026 für ein bereits im Markt befindliches System beginnen?

Ja. Anbieter von Hochrisiko-KI-Systemen, die bereits im Markt sind, sollten anstreben, die Konformitätsbewertung vor dem 2. August 2026 abzuschließen. Die Verordnung verlangt nicht, das System während der laufenden Bewertung zurückzuziehen, aber das System muss bis zur Frist konform sein. Ein früher Start gibt Ihnen Zeit, während der Bewertung gefundene Lücken zu beheben.

Was, wenn für meinen Typ von KI-System noch keine benannte Stelle benannt wurde?

Das ist Anfang 2026 eine reale Einschränkung. Wenn Ihr System eine Bewertung durch eine benannte Stelle erfordert und keine geeignete Stelle verfügbar ist, können Sie die Bewertung nicht abschließen. Kontaktieren Sie Ihre zuständige nationale Behörde, um den Benennungszeitplan zu verstehen. Schließen Sie in der Zwischenzeit alle übrigen Vorbereitungsschritte ab, Dokumentation, QMS, Risikomanagement, damit Sie bereit sind, sobald eine benannte Stelle verfügbar ist. Die Übergangsbestimmungen in Artikel 99 bieten womöglich etwas Spielraum, verlassen Sie sich aber nicht darauf als Strategie.

Gibt mir eine freiwillige Bewertung durch eine benannte Stelle rechtlichen Schutz?

Ein Zertifikat einer benannten Stelle überträgt die Haftung nicht vom Anbieter weg. Auch mit einem Zertifikat bleibt der Anbieter rechtlich für die Konformität des Systems verantwortlich. Ein Zertifikat belegt jedoch die Sorgfalt, was die Folgen der Durchsetzung mildern kann, wenn später eine Lücke gefunden wird.

Wie wirken sich harmonisierte Normen auf die Konformitätsbewertung aus?

Nach ihrer Veröffentlichung begründen harmonisierte Normen eine Konformitätsvermutung, wenn Sie die Norm erfüllen, wird vermutet, dass Sie die entsprechende AI-Act-Anforderung erfüllen. Mit Stand April 2026 hat CEN/CENELEC noch nicht alle harmonisierten Normen für den AI Act veröffentlicht. Anbieter sollten mit dem Beginn der Bewertung nicht auf diese Normen warten. Verwenden Sie die Anforderungen der Artikel 8 bis 15 direkt und aktualisieren Sie Ihre Bewertung, um auf harmonisierte Normen zu verweisen, sobald sie verfügbar werden.

Kann ich die AI-Act-Konformitätsbewertung mit bestehenden Zertifizierungen (ISO 42001, ISO 27001) kombinieren?

Ja, teilweise. ISO 42001 (KI-Managementsystem) und ISO 27001 (Informationssicherheit) decken einige sich überschneidende Bereiche ab. Nachweise aus diesen Zertifizierungen können Ihre AI-Act-Bewertung unterstützen, zum Beispiel kann das Risikomanagement-Framework von ISO 42001 einige Anforderungen von Artikel 9 erfüllen. Keine der beiden ISO-Normen deckt jedoch alle AI-Act-Anforderungen vollständig ab. Nutzen Sie sie als Bausteine, nicht als Ersatz.

Was passiert, wenn mein System die Bewertung durch die benannte Stelle nicht besteht?

Die benannte Stelle erstellt Feststellungen zur Nichtkonformität, die angeben, welche Anforderungen nicht erfüllt sind. Sie haben die Möglichkeit zur Nachbesserung, die Lücken zu schließen, die Dokumentation zu aktualisieren und erneut einzureichen. Es gibt keine Begrenzung der Nachbesserungsversuche, aber jede Runde kostet Zeit und Geld. Können Sie die Konformität nicht erreichen, darf das System nicht auf dem EU-Markt in Verkehr gebracht werden. Das macht frühe Vorbereitung und Lückenanalyse entscheidend, nutzen Sie die förmliche Bewertung nicht als Ihre erste Compliance-Prüfung.

Führen Sie die kostenlose AI-Act-Bewertung durch, um Ihre Einstufung und Ihren Weg der Konformitätsbewertung zu bestimmen.

Für eine Artikel-für-Artikel-Anleitung siehe den vollständigen AI-Act-Leitfaden.

Legalithm ist ein KI-gestütztes Tool für Compliance-Workflows, keine Rechtsberatung. Endgültige Compliance-Entscheidungen sollten von qualifizierten Rechtsberatern geprüft werden.

AI Act
Konformitätsbewertung
Benannte Stelle
CE-Kennzeichnung
Artikel 43
Selbstbewertung