CE-Kennzeichnung und EU-Datenbank-Registrierung für KI-Systeme: Der vollständige Leitfaden
TL;DR
- Die CE-Kennzeichnung ist das Tor zum EU-Markt. Kein Hochrisiko-KI-System kann nach dem 2. August 2026 auf dem EU-Markt in Verkehr gebracht oder in Betrieb genommen werden ohne ein gültiges CE-Zeichen. Das gilt für eigenständige KI-Systeme, die unter Anhang III klassifiziert sind, und für KI-Systeme, die in Produkte eingebettet sind, die bereits den in Anhang I aufgeführten EU-Harmonisierungsrechtsvorschriften unterliegen.
- Artikel 48 regelt, wie die CE-Kennzeichnung auf KI-Systemen angebracht wird, einschließlich rein digitaler Produkte, bei denen ein physisches Etikett unmöglich ist. Das Zeichen muss sichtbar, lesbar und unauslöschlich sein oder das System digital begleiten.
- Artikel 47 verlangt von jedem Anbieter, vor dem Anbringen des CE-Zeichens eine EU-Konformitätserklärung auszustellen. Die Erklärung muss so lange auf dem aktuellen Stand gehalten werden, wie das System auf dem Markt bleibt.
- Artikel 49 und Artikel 71 richten eine verpflichtende EU-Datenbank für Hochrisiko-KI-Systeme ein. Sowohl Anbieter als auch bestimmte Betreiber müssen sich registrieren, bevor das System in Verkehr gebracht oder in Betrieb genommen wird.
- Anhang VIII listet die detaillierten Informationen auf, die an die EU-Datenbank übermittelt werden müssen, von der Identität des Anbieters und der Systembeschreibung bis zu den Ergebnissen der Konformitätsbewertung und dem Bereitstellungsstatus.
- Der Weg der Konformitätsbewertung (Selbstbewertung oder benannte Stelle) bestimmt, welche Dokumentation in den Prozess der CE-Kennzeichnung und Registrierung einfließt. Zur Wegwahl siehe den Leitfaden zur Konformitätsbewertung.
- Eine fehlende CE-Kennzeichnung, eine fehlende Registrierung oder die Angabe unrichtiger Registrierungsdaten können Bußgelder von bis zu 15 Millionen EUR oder 3 % des weltweiten Jahresumsatzes auslösen, je nachdem, welcher Betrag höher ist.
Was CE-Kennzeichnung für KI-Systeme bedeutet
Die CE-Kennzeichnung ist nichts Neues. Seit Jahrzehnten ist sie der verpflichtende Konformitätsindikator für Produkte, die im Europäischen Wirtschaftsraum verkauft werden, von Medizinprodukten und Maschinen bis zu Spielzeug und Funkanlagen. Die beiden Buchstaben stehen für Conformité Européenne und signalisieren, dass ein Produkt alle geltenden EU-Anforderungen an Gesundheit, Sicherheit und Umweltschutz erfüllt.
Was neu ist: Der EU AI Act (Verordnung (EU) 2024/1689) dehnt die CE-Kennzeichnung erstmals auf KI-Systeme aus. Nach Artikel 48 müssen Hochrisiko-KI-Systeme ein CE-Zeichen tragen, bevor sie auf dem EU-Markt in Verkehr gebracht oder in Betrieb genommen werden können. Das schließt reine Softwareprodukte ein, eine bedeutende Abkehr von den physischen Produktursprüngen der CE-Kennzeichnung.
Wie der AI Act mit bestehenden CE-Kennzeichnungsregimen zusammenwirkt
Der AI Act steht nicht für sich allein. Viele KI-Systeme sind in Produkte eingebettet, die bereits ein CE-Zeichen nach bestehenden EU-Harmonisierungsrechtsvorschriften tragen, dem sogenannten "New Legislative Framework" (NLF). Die Verordnung adressiert diese Überschneidung ausdrücklich:
- Anhang I, Abschnitt A listet die Harmonisierungsrechtsvorschriften der Union auf, die neben dem AI Act gelten: die Maschinenverordnung, die Spielzeugsicherheitsrichtlinie, die Medizinprodukteverordnung (MDR), die In-vitro-Diagnostika-Verordnung (IVDR), die Funkanlagenrichtlinie und andere.
- Anhang I, Abschnitt B listet weitere Rechtsvorschriften auf, bei denen die Anforderungen an die CE-Kennzeichnung mit dem AI Act zusammenwirken, bei denen die Integration der Konformitätsbewertung aber einem anderen Weg folgt.
Wenn ein KI-System eine Sicherheitskomponente eines Produkts ist, das unter die Rechtsvorschriften nach Anhang I, Abschnitt A fällt, werden die Anforderungen des AI Act im Rahmen der bestehenden Konformitätsbewertung für dieses Produkt bewertet. Der Hersteller bringt kein separates CE-Zeichen für die KI-Komponente an, ein einziges CE-Zeichen deckt die Konformität mit allen geltenden Rechtsvorschriften ab, einschließlich des AI Act.
Für eigenständige Hochrisiko-KI-Systeme, die nicht in ein physisches Produkt eingebettet sind (z. B. SaaS-basiertes Recruiting-Screening oder Kredit-Scoring), ist die CE-Kennzeichnung nach dem AI Act die primäre und oft einzige CE-Kennzeichnungspflicht.
Die Frist zum August 2026
Die Hochrisiko-Bestimmungen in Kapitel III des AI Act, einschließlich der Artikel 47, 48 und 49, gelten ab dem 2. August 2026. Nach diesem Datum:
- Kein neues Hochrisiko-KI-System kann ohne CE-Kennzeichnung auf den EU-Markt gelangen.
- Kein Hochrisiko-KI-System kann ohne vorherige EU-Datenbank-Registrierung in Betrieb genommen werden.
- Systeme, die bereits vor dem 2. August 2026 auf dem Markt sind, müssen die Anforderungen erfüllen, wenn sie eine wesentliche Veränderung im Sinne von Artikel 3(23) erfahren.
Organisationen sollten jetzt auf Compliance hinarbeiten. Die Prozesse der Konformitätsbewertung, Dokumentation und Registrierung dauern Monate, nicht Tage. Eine vollständige Zeitleiste der wichtigen Daten finden Sie im Leitfaden zur EU-AI-Act-Zeitleiste.
Ist Ihr KI-System hochriskant?
Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.
Jetzt prüfenWann braucht ein KI-System eine CE-Kennzeichnung?
Nicht jedes KI-System braucht eine CE-Kennzeichnung. Die Pflicht wird durch die Risikoklassifizierung des Systems und sein Verhältnis zu bestehender EU-Produktregulierung ausgelöst. So stellen Sie fest, ob Ihr System sie braucht.
Eigenständige Hochrisiko-KI-Systeme (Anhang III)
Wenn Ihr KI-System in eine der in Anhang III aufgezählten Hochrisiko-Kategorien fällt und nicht in ein Produkt eingebettet ist, das anderen EU-Harmonisierungsrechtsvorschriften unterliegt, braucht es eine CE-Kennzeichnung allein nach dem AI Act.
Anhang III umfasst unter anderem folgende Bereiche:
- Biometrische Identifizierung und Kategorisierung
- Verwaltung und Betrieb kritischer Infrastruktur
- Bildung und berufliche Aus- und Weiterbildung (Zugang, Bewertung, Überwachung)
- Beschäftigung, Personalmanagement und Recruiting
- Zugang zu wesentlichen privaten und öffentlichen Diensten (Kredit-Scoring, Versicherungstarifierung, Notrufdisposition)
- Strafverfolgung, Migration, Asyl und Grenzkontrolle
- Rechtspflege und demokratische Prozesse
Beispiel: Ein Fintech-Unternehmen baut ein KI-basiertes Kredit-Scoring-Modell, das als SaaS-Plattform angeboten wird. Das ist ein eigenständiges Hochrisiko-KI-System nach Anhang III, Nummer 5(a). Es braucht eine CE-Kennzeichnung nach dem AI Act. Es ist keine separate Produktrichtlinie beteiligt, weil das System rein digital ist.
Wenn Sie unsicher sind, ob Ihr System als Hochrisiko einzustufen ist, nutzen Sie den Klassifizierungsleitfaden oder das Legalithm-AI-Act-Bewertungstool, um Ihre Pflicht zu bestimmen.
KI, die in Produkte nach Anhang-I-Harmonisierungsrecht eingebettet ist
Wenn ein KI-System als Sicherheitskomponente eines Produkts dient, das bereits den in Anhang I, Abschnitt A aufgeführten EU-Harmonisierungsrechtsvorschriften unterliegt, muss die CE-Kennzeichnung für das Produkt auch die AI-Act-Konformität abdecken. Der Hersteller durchläuft eine einzige, integrierte Konformitätsbewertung, die sowohl die Produktrichtlinie als auch den AI Act adressiert.
Beispiel: Ein Hersteller produziert einen KI-gestützten Chirurgieroboter. Der Roboter ist ein Medizinprodukt nach der Medizinprodukteverordnung (EU) 2017/745. Das KI-Modul, das die Bewegung des Operationsarms steuert, ist eine Sicherheitskomponente. Die Konformitätsbewertung des Herstellers nach der MDR muss nun auch die Konformität mit den Artikeln 8-15 des AI Act verifizieren. Ein einziges CE-Zeichen deckt beides ab.
Produkte mit AI Act + Sektorregulierung
Bei Produkten, die unter mehreren Rahmenwerken reguliert sind, ist das Zusammenspiel differenziert. Unten finden Sie eine Entscheidungstabelle, die Ihnen hilft zu erkennen, welche CE-Kennzeichnungsregeln gelten.
Die zentrale Erkenntnis: Die CE-Kennzeichnung wird durch die Hochrisiko-Klassifizierung ausgelöst. Wenn Ihr KI-System nicht Hochrisiko ist, ist eine CE-Kennzeichnung nach dem AI Act nicht erforderlich, auch wenn Transparenz- und andere Pflichten dennoch gelten können.
Artikel 48, CE-Kennzeichnung der Konformität
Artikel 48 ist die spezifische Bestimmung, die die CE-Kennzeichnung für Hochrisiko-KI-Systeme vorschreibt. Er ist kurz, aber präzise, und seine Anforderungen greifen in den breiteren CE-Kennzeichnungsrahmen ein, der durch die Verordnung (EG) Nr. 765/2008 geschaffen wurde.
Was die CE-Kennzeichnung anzeigt
Wenn ein Anbieter ein CE-Zeichen an einem Hochrisiko-KI-System anbringt, erklärt er förmlich, dass:
- Das System die in Kapitel III, Abschnitt 2 des AI Act festgelegten Anforderungen (Artikel 8-15) erfüllt.
- Eine Konformitätsbewertung nach Artikel 43 erfolgreich abgeschlossen wurde, entweder durch Selbstbewertung (Anhang VI) oder durch Bewertung durch eine benannte Stelle (Anhang VII).
- Eine EU-Konformitätserklärung gemäß Artikel 47 ausgestellt wurde.
- Das System gemäß Artikel 49 in der EU-Datenbank registriert wurde.
Die CE-Kennzeichnung ist nicht bloß ein Etikett, sie ist eine rechtliche Zusicherung. Sie anzubringen, ohne die zugrunde liegenden Pflichten erfüllt zu haben, ist ein Verstoß, der zu erheblichen Bußgeldern und einer erzwungenen Marktrücknahme führen kann.
Anforderungen an Sichtbarkeit und Anbringung
Artikel 48 legt folgende Regeln dafür fest, wie die CE-Kennzeichnung angebracht wird:
- Physische Produkte: Das CE-Zeichen muss sichtbar, lesbar und unauslöschlich am Hochrisiko-KI-System oder auf seinem Datenschild angebracht werden. Wenn die physische Beschaffenheit des Systems das nicht zulässt, muss das Zeichen auf der Verpackung oder den Begleitunterlagen angebracht werden.
- Digitale/reine Softwaresysteme: Wenn das KI-System nur digital bereitgestellt wird (was bei den meisten SaaS-KI-Plattformen der Fall ist), muss die CE-Kennzeichnung in die digitale Dokumentation aufgenommen werden, die das System begleitet. Dazu gehören die Nutzungsbedingungen, die Benutzeroberfläche oder andere digitale Mittel, die vor dem Kauf oder der Bereitstellung leicht zugänglich sind.
- Bestehende Produktrichtlinien: Wenn das KI-System Teil eines Produkts ist, das bereits eine CE-Kennzeichnung nach den Rechtsvorschriften des Anhangs I verlangt, wird ein einziges CE-Zeichen verwendet, um die Konformität mit allen geltenden Rechtsvorschriften anzuzeigen, dem AI Act plus der Produktrichtlinie. Es ist kein separates, zusätzliches CE-Zeichen für die KI-Komponente erforderlich.
Verhältnis zur EU-Konformitätserklärung
Die CE-Kennzeichnung und die EU-Konformitätserklärung sind zwei Seiten derselben Medaille. Die Erklärung (Artikel 47) ist das Rechtsdokument, das dem Zeichen zugrunde liegt. Das Zeichen (Artikel 48) ist der sichtbare Indikator der Konformität. Das eine gibt es nicht ohne das andere.
Ein Anbieter, der ein CE-Zeichen ohne gültige Erklärung anbringt oder eine Erklärung ausstellt, die nicht dem tatsächlichen Compliance-Zustand des Systems entspricht, verstößt gegen den AI Act. Marktüberwachungsbehörden können und werden bei Inspektionen, Beschwerdeuntersuchungen oder Stichprobenkontrollen die Vorlage der Erklärung verlangen.
EU-Konformitätserklärung (Artikel 47)
Die EU-Konformitätserklärung ist eine förmliche, schriftliche Aussage des Anbieters, dass das Hochrisiko-KI-System alle geltenden Anforderungen des AI Act erfüllt. Sie ist eine Voraussetzung für die CE-Kennzeichnung und ein zentrales Compliance-Artefakt, das Marktüberwachungsbehörden prüfen werden.
Erforderliche Inhalte
Nach Artikel 47 muss die Erklärung mindestens enthalten:
- Identifizierung des Anbieters, Name, eingetragener Handelsname oder eingetragene Marke und die Anschrift, unter der der Anbieter kontaktiert werden kann.
- Bestätigung der alleinigen Verantwortung, eine Aussage, dass die Erklärung unter der alleinigen Verantwortung des Anbieters ausgestellt wird.
- Identifizierung des Systems, Name, Typ und jede weitere eindeutige Referenz des KI-Systems, die eine Identifizierung ermöglicht (einschließlich Software- und Hardwareversion, sofern zutreffend).
- Konformitätsaussage, eine Erklärung, dass das Hochrisiko-KI-System mit Kapitel III, Abschnitt 2 des AI Act und, sofern relevant, mit anderen Harmonisierungsrechtsvorschriften der Union in Konformität steht.
- Verweise auf harmonisierte Normen oder gemeinsame Spezifikationen, Angabe der harmonisierten Normen (Artikel 40) oder gemeinsamen Spezifikationen (Artikel 41), die bei der Konformitätsbewertung angewandt wurden.
- Angaben zur benannten Stelle (sofern zutreffend), Name, Kennnummer und Angaben zur von der benannten Stelle ausgestellten Bescheinigung, sofern eine benannte Stelle an der Konformitätsbewertung beteiligt war (Weg nach Anhang VII).
- Ort und Datum der Ausstellung, der Ort, an dem die Erklärung ausgestellt wurde, und das Datum.
- Unterzeichner, Name, Funktion und Unterschrift der Person, die im Namen des Anbieters zeichnungsberechtigt ist.
Aufbau der Vorlage
Der AI Act schreibt zwar keine starre Vorlage vor, aber eine gut strukturierte Erklärung folgt typischerweise diesem Format:
EU-KONFORMITÄTSERKLÄRUNG
Eine detaillierte Anleitung zur Erstellung der technischen Dokumentation, die dieser Erklärung zugrunde liegt, finden Sie in der Vorlage für die technische Dokumentation nach Anhang IV.
Sprachanforderungen
Die Erklärung muss in die Sprache(n) übersetzt werden, die von dem/den Mitgliedstaat(en) verlangt werden, in dem/denen das KI-System in Verkehr gebracht oder in Betrieb genommen wird. Für ein EU-weit vermarktetes System kann das Übersetzungen in alle 24 EU-Amtssprachen bedeuten, in der Praxis beginnen die meisten Anbieter jedoch mit Englisch und den Sprachen ihrer wichtigsten Zielmärkte.
Wenn das KI-System Teil eines Produkts ist, das zusätzlichen EU-Produktrechtsvorschriften unterliegt, gelten auch die Sprachanforderungen dieser Rechtsvorschriften.
Pflicht zur laufenden Aktualisierung
Die EU-Konformitätserklärung ist kein einmaliges Dokument. Artikel 47(3) schreibt vor, dass der Anbieter die Erklärung immer dann aktualisieren muss, wenn dies erforderlich ist, um den aktuellen Zustand des KI-Systems widerzuspiegeln. Dazu gehören:
- Aktualisierungen nach einer wesentlichen Veränderung des KI-Systems.
- Änderungen der referenzierten harmonisierten Normen oder gemeinsamen Spezifikationen.
- Änderungen des Status der Bescheinigung durch eine benannte Stelle.
- Ausweitung der Bereitstellung auf neue Mitgliedstaaten mit zusätzlichen Sprachanforderungen.
Die Erklärung muss 10 Jahre lang aufbewahrt werden, nachdem das KI-System in Verkehr gebracht oder in Betrieb genommen wurde, je nachdem, was später eintritt.
EU-Datenbank-Registrierung für Hochrisiko-KI-Systeme
Über die CE-Kennzeichnung und die Konformitätserklärung hinaus schafft der AI Act eine zentrale EU-Datenbank für Hochrisiko-KI-Systeme. Diese Datenbank dient zwei Zwecken: Sie ermöglicht es Marktüberwachungsbehörden, die in der EU verfügbaren KI-Systeme zu beobachten, und sie sorgt für ein gewisses Maß an öffentlicher Transparenz darüber, welche Hochrisiko-Systeme in Betrieb sind.
Artikel 71, die EU-Datenbank erklärt
Artikel 71 schafft die Rechtsgrundlage für die EU-Datenbank für Hochrisiko-KI-Systeme. Die Datenbank wird von der Europäischen Kommission in Zusammenarbeit mit den Mitgliedstaaten entwickelt und gepflegt und ist öffentlich zugänglich, wobei bestimmte Informationen (z. B. Registrierungsdaten von Betreibern für Strafverfolgungssysteme) auf die zuständigen nationalen Behörden beschränkt sein können.
Zentrale Merkmale der Datenbank:
- Öffentlich zugänglich, die nicht beschränkten Teile sind für jedermann durchsuchbar, einschließlich Unternehmen, Verbraucher, zivilgesellschaftlicher Organisationen und Forschender.
- Maschinenlesbar, die Daten werden in einem Format bereitgestellt, das eine automatisierte Verarbeitung erlaubt und Integrationen mit Compliance-Management-Tools und Marktüberwachungs-Workflows ermöglicht.
- Mit nationalen Behörden verknüpft, nationale Marktüberwachungsbehörden haben Zugang zum vollständigen Datensatz, einschließlich beschränkter Einträge, um Durchsetzungsaktivitäten zu unterstützen.
Die Datenbank ist der primäre Mechanismus, mit dem die EU ein Register der in ganzem Binnenmarkt eingesetzten Hochrisiko-KI schaffen will. Das ist ein bedeutender Schritt hin zu der Art von Transparenz, die Interessenträger in Bezug auf KI-Systeme gefordert haben, die Grundrechte berühren.
Wer sich registrieren muss
Die Registrierungspflichten treffen zwei Kategorien von Akteuren:
1. Anbieter von Hochrisiko-KI-Systemen
Jeder Anbieter eines Hochrisiko-KI-Systems muss das System in der EU-Datenbank registrieren, bevor er es in Verkehr bringt oder in Betrieb nimmt. Das gilt unabhängig davon, ob der Anbieter in der EU oder in einem Drittland niedergelassen ist (Drittland-Anbieter registrieren sich typischerweise über ihren Bevollmächtigten).
2. Betreiber, die öffentliche Stellen sind oder im Auftrag öffentlicher Stellen handeln
Nach Artikel 49(3) müssen sich auch Betreiber von Hochrisiko-KI-Systemen, die selbst Behörden, Organe, Einrichtungen oder sonstige Stellen der Union sind oder im Auftrag solcher Einrichtungen handeln, in der EU-Datenbank registrieren. Das ist eine Pflicht auf Betreiberseite, die über die anfängliche Registrierung des Anbieters hinausgeht.
Beispiel, Betreiber im öffentlichen Sektor: Eine nationale Arbeitsagentur, die ein KI-System zur Bewertung der Leistungsberechtigung (Anhang III, Nummer 5(b)) einsetzt, muss sich als Betreiber in der EU-Datenbank registrieren, selbst wenn der Anbieter des KI-Systems das System bereits registriert hat. Die Betreiberregistrierung erfasst, wie und wo das System in der Praxis eingesetzt wird.
Betreiber im Privatsektor sind in der Regel nicht zur Registrierung in der EU-Datenbank verpflichtet, können aber anderen Aufbewahrungspflichten nach Artikel 26 unterliegen.
Wann zu registrieren ist
Der Zeitpunkt ist entscheidend und streng gestaffelt:
- Anbieter müssen registrieren, bevor sie das KI-System in Verkehr bringen oder in Betrieb nehmen, gemäß Artikel 49(1).
- Betreiber im öffentlichen Sektor müssen registrieren, bevor sie das System in Betrieb nehmen, gemäß Artikel 49(3).
- Die Registrierung muss aktualisiert werden, wann immer sich die registrierten Informationen ändern, einschließlich Statusänderungen (z. B. System zurückgerufen, vom Markt genommen oder nicht mehr auf dem Markt).
Ein System ohne vorherige Registrierung in Verkehr zu bringen, ist ein Compliance-Verstoß und kann Durchsetzungsmaßnahmen von Marktüberwachungsbehörden auslösen, unabhängig von Sanktionen für eine fehlende CE-Kennzeichnung.
Anhang VIII, erforderliche Registrierungsinformationen
Anhang VIII enthält die erschöpfende Liste der Informationen, die Anbieter bei der Registrierung eines Hochrisiko-KI-Systems übermitteln müssen. Die Anforderungen sind detailliert und umfassen operative, technische und rechtliche Bereiche.
Angaben zu Anbieter und Bevollmächtigtem
Identifizierung und Beschreibung des Systems
Angaben zur Konformitätsbewertung
Angaben zu Bereitstellung und Geografie
Die Registrierungsinformationen müssen richtig, vollständig und aktuell sein. Anbieter sind dafür verantwortlich, die Datenbank zu aktualisieren, wenn sich registrierte Informationen ändern, einschließlich Systemänderungen, Statusänderungen oder geografischer Ausweitung. Wissentlich unrichtige Daten an die EU-Datenbank zu übermitteln, ist selbst ein Verstoß gegen den AI Act und mit Geldbußen bewehrt.
Der Weg der Konformitätsbewertung zur CE-Kennzeichnung
Die CE-Kennzeichnung ist der Endpunkt des Konformitätsbewertungsprozesses, nicht der Ausgangspunkt. Bevor ein Anbieter das Zeichen anbringen kann, muss das System eine Konformitätsbewertung durchlaufen, die die Erfüllung aller Anforderungen von Kapitel III, Abschnitt 2 verifiziert. Der AI Act sieht zwei Hauptwege der Bewertung vor, plus einen integrierten Weg für Produkte mit bestehenden EU-Rechtsvorschriften.
Selbstbewertung (die meisten Anhang-III-Systeme)
Der Weg der Selbstbewertung (auch interne Kontrolle genannt, definiert in Anhang VI) ist der Standard für die meisten Hochrisiko-KI-Systeme, die unter Anhang III klassifiziert sind. Auf diesem Weg führt der Anbieter die Konformitätsbewertung intern durch:
- Das eigene Compliance-Team des Anbieters überprüft das Qualitätsmanagementsystem, prüft die technische Dokumentation und verifiziert, dass die Design- und Entwicklungsprozesse dem entsprechen, was dokumentiert ist.
- Es ist kein externer Auditor oder keine Zertifizierungsstelle erforderlich.
- Der Anbieter stellt die EU-Konformitätserklärung aus und bringt das CE-Zeichen in eigener Verantwortung an.
Wann die Selbstbewertung verfügbar ist: Für alle Hochrisiko-KI-Systeme nach Anhang III außer denen, die unter Nummer 1 fallen (biometrische Identifizierungssysteme, die zur biometrischen Fernidentifizierung durch Strafverfolgungsbehörden oder in anderen durch Artikel 43(1) benannten Kategorien genutzt werden), ist die Selbstbewertung zulässig.
Vorteile: Schneller (typischerweise 2-8 Wochen für einen gut vorbereiteten Anbieter), geringere direkte Kosten (5.000-30.000 EUR interner Aufwand) und der Anbieter behält die volle Kontrolle über den Zeitplan.
Risiken: Keine externe Validierung. Wenn Marktüberwachungsbehörden später feststellen, dass die Bewertung unzureichend war, trägt der Anbieter die volle Haftung. Für einen tieferen Vergleich siehe den Leitfaden Selbstbewertung vs. benannte Stelle.
Bewertung durch eine benannte Stelle (Biometrie, kritische Infrastruktur)
Der Weg über eine benannte Stelle (Anhang VII) ist verpflichtend für:
- Systeme zur biometrischen Fernidentifizierung, die unter Anhang III, Nummer 1 klassifiziert sind, insbesondere solche, die für die Nutzung in der Strafverfolgung oder in ähnlichen Kontexten der öffentlichen Sicherheit bestimmt sind.
- KI-Systeme, die Sicherheitskomponenten von Produkten sind, die bereits eine Konformitätsbewertung durch Dritte nach den Harmonisierungsrechtsvorschriften des Anhangs I, Abschnitt A verlangen, sofern die bestehende Produktrichtlinie die Einbindung einer benannten Stelle vorschreibt.
Auf diesem Weg:
- Eine benannte benannte Stelle (eine unabhängige Bewertungsorganisation, die von einem Mitgliedstaat nach Artikel 28 akkreditiert wurde) überprüft das Qualitätsmanagementsystem und die technische Dokumentation des Anbieters.
- Die benannte Stelle kann Tests durchführen, den Entwicklungsprozess auditieren und laufende Compliance-Mechanismen verifizieren.
- Erfüllt das System die Anforderungen, stellt die benannte Stelle eine Bescheinigung aus, die bis zu fünf Jahre gültig ist und nach erneuter Bewertung verlängert werden kann.
- Die Bescheinigungsreferenz und die Kennnummer der benannten Stelle erscheinen in der EU-Datenbank-Registrierung und in der EU-Konformitätserklärung.
Zeiträume und Kosten: Bewertungen durch benannte Stellen dauern typischerweise 6-24 Monate und kosten 15.000-100.000+ EUR, je nach Komplexität des Systems und Kapazität der benannten Stelle.
Freiwillige Einbindung: Auch wenn die Selbstbewertung zulässig ist, kann ein Anbieter freiwillig eine benannte Stelle einbinden. Das ist strategisch nützlich für Systeme, die in sensiblen Kontexten eingesetzt werden (z. B. Gesundheitswesen, Finanzdienstleistungen), wo externe Validierung das Vertrauen von Kunden, Regulierungsbehörden und der Öffentlichkeit stärkt.
Produkte mit bestehenden EU-Produktrechtsvorschriften
Für KI-Systeme, die in Produkte eingebettet sind, die den Rechtsvorschriften nach Anhang I, Abschnitt A unterliegen, integriert die Konformitätsbewertung die Anforderungen des AI Act in das bestehende Produktbewertungsverfahren.
Wie das in der Praxis funktioniert:
- Der Hersteller folgt dem Konformitätsbewertungsverfahren, das in der jeweiligen Produktrichtlinie festgelegt ist (z. B. dem Weg der klinischen Bewertung der MDR für Medizinprodukte oder dem Weg der Risikobewertung der Maschinenverordnung für Industriemaschinen).
- Innerhalb dieser Bewertung verifiziert der Hersteller zusätzlich, dass die KI-Komponente die Artikel 8-15 des AI Act erfüllt.
- Verlangt die Produktrichtlinie eine benannte Stelle, bewertet dieselbe benannte Stelle auch die AI-Act-Konformität.
- Das resultierende CE-Zeichen deckt die Konformität mit allen geltenden Rechtsvorschriften ab.
Schritt-für-Schritt-Prozess: von der Entwicklung zum CE-Zeichen
Der Weg von der Entwicklung des KI-Systems zu einem gültigen CE-Zeichen und einer EU-Datenbank-Registrierung folgt einer strukturierten Abfolge. Schritte zu überspringen oder falsch zu ordnen, schafft Compliance-Lücken, die Marktüberwachungsbehörden erkennen werden.
Schritt 1, Klassifizieren Sie Ihr KI-System
Bevor Sie irgendetwas anderes tun, stellen Sie fest, ob Ihr KI-System nach dem AI Act Hochrisiko ist. Das erfordert die Bewertung:
- Fällt das System in einen der in Anhang III aufgeführten Bereiche?
- Ist das System eine Sicherheitskomponente eines Produkts, das unter die Harmonisierungsrechtsvorschriften des Anhangs I fällt?
- Greift eine Ausnahme nach Artikel 6(3)? (Systeme, die enge Verfahrensaufgaben erfüllen, Systeme, die menschliche Entscheidungen unterstützen, aber nicht ersetzen, oder Systeme, die für rein vorbereitende Funktionen genutzt werden, können ausgenommen sein.)
Tool: Nutzen Sie die Legalithm-AI-Act-Klassifizierungsbewertung, um die Risikostufe Ihres Systems in Minuten zu bestimmen.
Wenn das System nicht Hochrisiko ist, ist eine CE-Kennzeichnung nach dem AI Act nicht erforderlich, aber Transparenzpflichten (Artikel 50), Regeln für KI mit allgemeinem Verwendungszweck (Kapitel V) oder Regeln zu verbotenen Praktiken (Artikel 5) können dennoch gelten. Eine vollständige Übersicht der Pflichten finden Sie in der EU-AI-Act-Compliance-Checkliste.
Schritt 2, Erfüllen Sie die Anforderungen von Kapitel III
Sobald ein System als Hochrisiko klassifiziert ist, muss der Anbieter die materiellen Anforderungen von Kapitel III, Abschnitt 2 umsetzen, diese erfordern technische, operative und Governance-Änderungen:
- Risikomanagement (Artikel 9): Kontinuierliches, iteratives Risikomanagement über den Lebenszyklus des KI-Systems.
- Daten-Governance (Artikel 10): Trainings-, Validierungs- und Testdatensätze, die Qualitätskriterien erfüllen. Siehe den Leitfaden zur Daten-Governance.
- Technische Dokumentation (Artikel 11, Anhang IV): Umfassende Dokumentation gemäß der Anhang-IV-Vorlage.
- Protokollierung (Artikel 12): Automatische Protokollierung, die Rückverfolgbarkeit ermöglicht.
- Transparenz (Artikel 13): Klare Anweisungen für Betreiber zu Fähigkeiten und Grenzen.
- Menschliche Aufsicht (Artikel 14): Ein Design, das wirksame menschliche Überwachung und Eingriffe ermöglicht. Siehe den Leitfaden zur menschlichen Aufsicht.
- Genauigkeit, Robustheit, Cybersicherheit (Artikel 15): Angemessene Niveaus von jedem, dokumentiert und getestet.
Der Anbieter muss außerdem ein Qualitätsmanagementsystem (Artikel 17) und eine Marktbeobachtung (Artikel 72) einrichten, bevor die Konformitätsbewertung beginnt.
Schritt 3, Bereiten Sie die technische Dokumentation vor
Die technische Dokumentation nach Anhang IV ist das nachweisliche Rückgrat des Compliance-Prozesses. Sie muss vor Beginn der Konformitätsbewertung vorbereitet werden und umfasst: allgemeine Systembeschreibung und Verwendungszweck; Angaben zum Entwicklungsprozess (Trainingsmethoden, Daten, Designentscheidungen, Architektur); Angaben zu Überwachung, Funktionsweise und Kontrolle einschließlich Genauigkeitsniveaus; Risikomanagementmaßnahmen; die Historie der Lebenszyklusänderungen; die angewandten harmonisierten Normen; eine Kopie der EU-Konformitätserklärung; und die Beschreibung des Systems zur Marktbeobachtung.
Die Dokumentation muss 10 Jahre lang aufbewahrt und den zuständigen Behörden auf Anfrage bereitgestellt werden. Eine detaillierte Anleitung finden Sie im Leitfaden zur Anhang-IV-Dokumentationsvorlage.
Schritt 4, Führen Sie die Konformitätsbewertung durch
Mit erreichter Compliance und vorbereiteter Dokumentation führen Sie die Konformitätsbewertung nach Artikel 43 durch:
- Selbstbewertung (Anhang VI): Überprüfen Sie intern das QMS, verifizieren Sie die Dokumentation gegen jede Anforderung und bestätigen Sie, dass die Prozesse der Dokumentation entsprechen. Gründlich und dokumentiert, aber kein externer Auditor erforderlich.
- Benannte Stelle (Anhang VII): Binden Sie eine akkreditierte Stelle ein, die das QMS überprüft, die Dokumentation bewertet, Tests durchführen kann und eine Bescheinigung ausstellt. Planen Sie weit im Voraus, die Kapazitäten könnten kurz vor der Frist im August 2026 knapp sein.
Die Bewertung muss vollständig abgeschlossen sein, bevor Sie fortfahren. Eine teilweise Bewertung genügt nicht für die Konformitätserklärung.
Schritt 5, Stellen Sie die EU-Konformitätserklärung aus
Nach erfolgreicher Konformitätsbewertung stellen Sie die EU-Konformitätserklärung nach Artikel 47 in der/den erforderlichen Sprache(n) aus, mit allen oben genannten Pflichtangaben, unterzeichnet von einer zeichnungsberechtigten Person und 10 Jahre lang aufbewahrt. Die URL der Erklärung wird als Teil der EU-Datenbank-Registrierung übermittelt.
Schritt 6, Bringen Sie das CE-Zeichen an
Mit vorliegender Erklärung bringt der Anbieter das CE-Zeichen nach Artikel 48 an:
- Physische Produkte: Bringen Sie das CE-Zeichen sichtbar und unauslöschlich am Produkt, auf seinem Datenschild oder auf der Verpackung an.
- Digitale/reine Softwaresysteme: Nehmen Sie die CE-Kennzeichnung in die digitale Dokumentation, die Benutzeroberfläche des Systems, die Nutzungsbedingungen oder einen anderen zugänglichen digitalen Ort auf.
- Integrierte Produkte: Verwenden Sie ein einziges CE-Zeichen, das sowohl die Produktrichtlinie als auch den AI Act abdeckt.
Das CE-Zeichen muss dem in Verordnung (EG) Nr. 765/2008, Artikel 30 vorgeschriebenen visuellen Design folgen: die Buchstaben "CE" im festgelegten proportionalen Format, mit einer Mindesthöhe von 5 mm (bei physischer Anbringung). Es darf nicht mit anderen Zeichen verwechselt oder unleserlich gemacht werden.
Schritt 7, Registrieren Sie in der EU-Datenbank
Der letzte Schritt, und einer, der vor dem Inverkehrbringen des Systems abgeschlossen sein muss, ist die Registrierung in der EU-Datenbank nach Artikel 49.
Der Anbieter übermittelt alle Informationen nach Anhang VIII an die EU-Datenbank:
- Identifizierung von Anbieter und Bevollmächtigtem.
- Name, Version, Typ und Verwendungszweck des KI-Systems.
- Referenz der Risikoklassifizierung (Kategorie nach Anhang III).
- Angaben zur Konformitätsbewertung und Bescheinigung der benannten Stelle (sofern zutreffend).
- Mitgliedstaaten, in denen das System bereitgestellt wird.
- Systemstatus.
- Link zur EU-Konformitätserklärung und zur Betriebsanleitung.
Wichtig: Die Registrierung muss vor dem Inverkehrbringen oder der Inbetriebnahme des Systems abgeschlossen sein. Das ist eine harte Abfolgeanforderung, keine "wenn-Sie-mal-dazu-kommen"-Pflicht.
Nach der Registrierung erhält der Anbieter eine eindeutige EU-Datenbank-Registrierungsnummer, die in der Dokumentation des Systems referenziert und den Betreibern zur Verfügung gestellt werden sollte.
Häufige Stolperfallen und Compliance-Fehler
Auf Basis der sich abzeichnenden Compliance-Muster und der Leitlinien nationaler Behörden sind die folgenden die häufigsten Fehler, die Organisationen bei CE-Kennzeichnung und EU-Datenbank-Registrierung machen:
1. Die CE-Kennzeichnung als Formalität statt als rechtliche Verpflichtung behandeln. Die CE-Kennzeichnung ist eine rechtliche Erklärung, dass alle geltenden Anforderungen erfüllt wurden. Sie vorzeitig anzubringen, vor Abschluss der Konformitätsbewertung, vor Ausstellung der Erklärung oder vor Übermittlung der EU-Datenbank-Registrierung, ist ein schwerer Verstoß, kein Verwaltungsversehen.
2. Die EU-Datenbank nach Systemänderungen nicht aktualisieren. Die Registrierungspflicht ist nicht einmalig. Wenn das System eine wesentliche Veränderung erfährt (Artikel 3(23)), wenn sich sein Status ändert (z. B. zurückgerufen, vom Markt genommen) oder wenn es in neuen Mitgliedstaaten eingesetzt wird, muss der Datenbankeintrag aktualisiert werden. Veraltete oder unrichtige Daten sind selbst ein Compliance-Verstoß.
3. Den Weg der Konformitätsbewertung falsch bestimmen. Anbieter, die den Weg über eine benannte Stelle nutzen sollten (z. B. für biometrische Identifizierungssysteme), stattdessen aber eine Selbstbewertung durchführen, werden feststellen, dass ihre CE-Kennzeichnung ungültig ist. Umgekehrt können Anbieter, die unnötig eine benannte Stelle einbinden, vermeidbare Kosten und Verzögerungen verursachen. Die richtige Wegbestimmung ist entscheidend, siehe den Leitfaden zur Konformitätsbewertung.
4. Die Sprachanforderungen der Konformitätserklärung vernachlässigen. Eine Erklärung, die nur auf Englisch existiert, aber ein in Frankreich, Deutschland und Italien eingesetztes System begleitet, erfüllt möglicherweise nicht die Sprachanforderungen der Mitgliedstaaten. Anbieter müssen ihre Zielmärkte vorwegnehmen und Übersetzungen vorbereiten.
5. Nicht vor dem Inverkehrbringen registrieren. Die EU-Datenbank-Registrierung muss vor dem Markteintritt des Systems erfolgen, nicht gleichzeitig, nicht kurz danach. Marktüberwachungsbehörden können den Zeitstempel überprüfen, und eine verspätete Registrierung ist ein eigenständiges Compliance-Versagen.
6. Registrierungspflichten von Betreibern für öffentliche Stellen übersehen. Betreiber im öffentlichen Sektor gehen oft davon aus, dass die Registrierung des Anbieters genügt. Das tut sie nicht. Artikel 49(3) schafft eine separate Registrierungspflicht für Betreiber, die Behörden sind oder im Auftrag von Behörden handeln.
7. Die CE-Kennzeichnung nach dem AI Act mit der CE-Kennzeichnung nach Produktrichtlinien verwechseln. Für KI-Systeme, die in Produkte eingebettet sind, deckt ein einziges CE-Zeichen alle geltenden Rechtsvorschriften ab. Mehrere CE-Zeichen anzubringen, eines für den AI Act und ein weiteres für die Produktrichtlinie, ist falsch und nicht konform mit der Verordnung (EG) Nr. 765/2008.
8. Die Dokumentation nicht für die vorgeschriebenen 10 Jahre aufbewahren. Sowohl die EU-Konformitätserklärung als auch die technische Dokumentation müssen 10 Jahre lang ab dem Inverkehrbringen oder der Inbetriebnahme des Systems aufbewahrt werden. Organisationen, die Dokumentationssysteme wechseln, Cloud-Anbieter wechseln oder umstrukturieren, ohne diese Aufzeichnungen zu erhalten, schaffen latente Compliance-Risiken.
Einen umfassenden Überblick über alle Sanktionen bei Nichteinhaltung finden Sie im Leitfaden zu EU-AI-Act-Sanktionen und Bußgeldern.
Häufig gestellte Fragen
Gilt die CE-Kennzeichnung für KI-Systeme, die nur innerhalb eines EU-Mitgliedstaats eingesetzt werden?
Ja. Die CE-Kennzeichnung ist erforderlich für das Inverkehrbringen eines Hochrisiko-KI-Systems oder dessen Inbetriebnahme innerhalb jedes EU-Mitgliedstaats. Es gibt keine Ausnahme für die Bereitstellung in nur einem Land. Das CE-Zeichen zeigt die Konformität mit EU-weiten Anforderungen an, unabhängig vom geografischen Umfang innerhalb der Union.
Kann ich ein bestehendes CE-Zeichen auf meinem Produkt nutzen, um die AI-Act-Konformität abzudecken?
Nur wenn die Konformitätsbewertung, die das bestehende CE-Zeichen hervorgebracht hat, auch die Anforderungen des AI Act bewertet hat. Wenn Sie ein CE-Zeichen nach der Medizinprodukteverordnung haben, die KI-Komponente aber nicht gegen die Artikel 8-15 des AI Act bewertet haben, deckt das bestehende Zeichen die AI-Act-Konformität nicht ab. Nach dem 2. August 2026 muss die Konformitätsbewertung aktualisiert werden, um die Anforderungen des AI Act zu integrieren, und das CE-Zeichen deckt dann beides ab.
Was passiert, wenn ich ein Hochrisiko-KI-System ohne CE-Kennzeichnung in Verkehr bringe?
Marktüberwachungsbehörden können die Marktrücknahme oder den Rückruf des Systems anordnen. Der Anbieter kann Geldbußen von bis zu 15 Millionen EUR oder 3 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) nach Artikel 99(3) auferlegt bekommen. Zudem setzen nicht-konforme Systeme, die Schaden verursachen, den Anbieter zivilrechtlichen Haftungsansprüchen aus.
Ist die EU-Datenbank-Registrierung öffentlich sichtbar?
Teilweise. Die Öffentlichkeit kann auf die meisten Registrierungsdaten zugreifen, einschließlich der Identität des Anbieters, des Verwendungszwecks des Systems, seiner Risikoklassifizierung und seines Konformitätsbewertungsstatus. Bestimmte Registrierungen jedoch, insbesondere solche, die KI-Systeme für Strafverfolgung und Grenzkontrolle betreffen, sind auf die zuständigen nationalen Behörden beschränkt, und der nicht-öffentliche Teil der Datenbank ist ausschließlich für Marktüberwachungsbehörden zugänglich.
Wie oft muss die EU-Datenbank-Registrierung aktualisiert werden?
Es gibt keinen festen Zeitplan. Die Pflicht ist ereignisgesteuert: Der Anbieter muss die Registrierung immer dann aktualisieren, wenn sich die registrierten Informationen ändern. Dazu gehören Systemänderungen, Statusänderungen (z. B. von "auf dem Markt" zu "zurückgerufen"), Änderungen der Konformitätsbewertung (z. B. Verlängerung der Bescheinigung) und die Ausweitung auf neue Mitgliedstaaten. Anbieter sollten interne Prozesse einrichten, die Datenbankaktualisierungen auslösen, wenn eine relevante Änderung eintritt.
Müssen Drittland-Anbieter (nicht EU) das CE-Zeichen anbringen und registrieren?
Ja. Der AI Act gilt für Anbieter, die Hochrisiko-KI-Systeme auf dem EU-Markt in Verkehr bringen, unabhängig davon, wo der Anbieter niedergelassen ist. Ein in den USA, China oder Großbritannien ansässiger Anbieter, der in die EU verkauft, muss die CE-Kennzeichnung (Artikel 48) und die EU-Datenbank-Registrierung (Artikel 49) vollständig erfüllen. Drittland-Anbieter müssen einen in der EU niedergelassenen Bevollmächtigten nach Artikel 22 benennen, der für bestimmte Compliance-Aufgaben einschließlich der Datenbank-Registrierung verantwortlich ist.
Nächste Schritte
Die CE-Kennzeichnung und die EU-Datenbank-Registrierung sind der Höhepunkt eines umfassenden Compliance-Aufwands, keine eigenständigen Aufgaben. Sie hängen von einer korrekten Risikoklassifizierung, der materiellen Einhaltung der technischen Anforderungen, einer gründlichen Dokumentation und einer sauber durchgeführten Konformitätsbewertung ab.
Wenn Sie sich auf die Frist im August 2026 vorbereiten, beginnen Sie damit zu verstehen, wo Ihre KI-Systeme im Klassifizierungsrahmen liegen. Nutzen Sie das Legalithm-AI-Act-Bewertungstool, um Ihre Pflichten zu erkennen, und arbeiten Sie die Compliance-Anforderungen dann systematisch ab.
Verwandte Leitfäden:
- Ist mein KI-System Hochrisiko? Klassifizierungsleitfaden
- Konformitätsbewertung: Selbstbewertung vs. benannte Stelle
- Vorlage für die technische Dokumentation nach Anhang IV
- EU-AI-Act-Compliance-Checkliste 2026
- EU-AI-Act-Sanktionen und Bußgelder erklärt
- AI Act: Compliance im Gesundheitswesen und bei Medizinprodukten


