Die Konformitätsbewertung ist das formale Verfahren, mit dem ein Anbieter nachweist, dass ein Hochrisiko-KI-System alle Anforderungen des EU AI Act erfüllt, bevor es in Verkehr gebracht oder in Betrieb genommen wird. Sie überträgt ein bewährtes Prinzip der EU-Produktsicherheit auf die Welt der KI: Bevor ein riskantes Produkt auf den Markt darf, muss seine Übereinstimmung mit den gesetzlichen Anforderungen belegt sein. Das Verfahren mündet in die CE-Kennzeichnung und die Eintragung in eine EU-Datenbank.
Wann eine Konformitätsbewertung nötig ist
Eine Konformitätsbewertung ist für Hochrisiko-KI-Systeme erforderlich. Systeme mit begrenztem oder minimalem Risiko müssen sie nicht durchlaufen. Der erste Schritt ist daher immer die korrekte Klassifizierung: Nur wenn ein System als hochriskant eingestuft wird, stellt sich die Frage der Konformitätsbewertung. Für Systeme, die unter Annex III fallen, und für KI als Sicherheitskomponente regulierter Produkte gelten dabei teils unterschiedliche Verfahrenswege, die sich aus dem jeweiligen Kontext ergeben.
Die zwei Verfahrenswege
Der AI Act sieht grundsätzlich zwei Wege vor. Der erste ist die Konformitätsbewertung auf der Grundlage einer internen Kontrolle: Der Anbieter prüft selbst, ob sein System die Anforderungen erfüllt, stützt sich dabei auf sein Qualitätsmanagement und die technische Dokumentation und erstellt eine Konformitätserklärung. Dieser Weg steht für viele der in Annex III genannten Hochrisiko-Systeme offen, sofern der Anbieter harmonisierte Normen anwendet. Der zweite Weg bezieht eine benannte Stelle ein — eine unabhängige, von einer Behörde akkreditierte Prüforganisation, die die Konformität von aussen bewertet. Dieser Weg ist insbesondere bei bestimmten biometrischen Systemen und bei KI in regulierten Produkten vorgesehen.
Die Rolle harmonisierter Normen
Harmonisierte Normen spielen im Verfahren eine zentrale Rolle. Sie übersetzen die abstrakten gesetzlichen Anforderungen in konkrete, technisch prüfbare Vorgaben. Wendet ein Anbieter solche Normen an, gilt die Vermutung, dass sein System die entsprechenden Anforderungen des AI Act erfüllt. Das vereinfacht die Konformitätsbewertung erheblich und schafft Rechtssicherheit. Die Normen werden im Auftrag der Kommission von den europäischen Normungsorganisationen entwickelt und nach und nach veröffentlicht. Bis sie vollständig vorliegen, müssen Anbieter die Konformität auf andere Weise nachweisen, was anspruchsvoller ist.
Die technische Dokumentation als Grundlage
Das Fundament jeder Konformitätsbewertung ist die technische Dokumentation nach Annex IV. Sie beschreibt das System umfassend: seinen Zweck, seine Architektur, die verwendeten Daten, die Methoden des Risikomanagements, die Massnahmen für menschliche Aufsicht, die Tests zur Genauigkeit und Robustheit und vieles mehr. Diese Dokumentation muss vor der Konformitätsbewertung vorliegen, fortlaufend aktuell gehalten und über einen langen Zeitraum aufbewahrt werden. Ohne sie ist keine Konformitätsbewertung möglich, weshalb ihr Aufbau einen erheblichen Teil des Compliance-Aufwands ausmacht.
CE-Kennzeichnung und EU-Datenbank
Nach erfolgreicher Konformitätsbewertung stellt der Anbieter eine EU-Konformitätserklärung aus und versieht das System mit der CE-Kennzeichnung. Diese signalisiert, dass das System den EU-Anforderungen entspricht, und ist Voraussetzung für das Inverkehrbringen. Zusätzlich müssen viele Hochrisiko-Systeme in eine von der EU geführte Datenbank eingetragen werden, was Transparenz gegenüber Behörden und Öffentlichkeit schafft. Diese Registrierung macht nachvollziehbar, welche Hochrisiko-KI-Systeme im EU-Markt im Einsatz sind.
Wiederholung bei wesentlichen Änderungen
Eine Konformitätsbewertung ist keine einmalige Hürde, sondern an den Zustand des Systems gebunden. Wird ein Hochrisiko-KI-System nach der Bewertung wesentlich verändert, kann eine erneute Konformitätsbewertung erforderlich werden. Das ist bei KI-Systemen besonders relevant, weil sie sich durch fortlaufendes Lernen oder durch Updates verändern können. Anbieter müssen daher überwachen, ob Änderungen das Ausmass erreichen, das eine neue Bewertung auslöst, und dies dokumentieren. Diese fortlaufende Pflicht unterstreicht, dass Compliance im AI Act ein dauerhafter Zustand und kein abgeschlossenes Projekt ist.
Die Vorbereitung im Unternehmen
Die Parallele zur klassischen Produktsicherheit
Das Konzept der Konformitätsbewertung ist im EU-Recht nicht neu, sondern stammt aus der klassischen Produktsicherheit. Wer ein Spielzeug, eine Maschine oder ein Medizinprodukt in der EU in Verkehr bringt, muss dessen Konformität mit den geltenden Vorschriften nachweisen und es mit der CE-Kennzeichnung versehen. Der AI Act überträgt dieses bewährte Modell auf Hochrisiko-KI-Systeme. Diese Parallele hilft beim Verständnis: Eine Konformitätsbewertung ist kein KI-spezifisches Bürokratiemonster, sondern die Anwendung eines etablierten Mechanismus auf eine neue Produktkategorie. Unternehmen, die bereits Erfahrung mit der CE-Konformität anderer Produkte haben, finden in der KI-Konformitätsbewertung vertraute Strukturen wieder.
Selbstbewertung oder benannte Stelle
Die Wahl des Verfahrenswegs hat erhebliche praktische Folgen. Die interne Kontrolle erlaubt es dem Anbieter, die Konformität selbst zu bewerten, was schneller und kostengünstiger ist, aber volle Verantwortung und sorgfältige Dokumentation verlangt. Die Einbeziehung einer benannten Stelle bringt eine unabhängige externe Prüfung, die mehr Zeit und Kosten verursacht, aber zusätzliche Sicherheit und Glaubwürdigkeit schafft. Welcher Weg vorgeschrieben oder zulässig ist, hängt von der Art des Systems ab. Unternehmen sollten diese Frage früh klären, da sie den Zeitplan und das Budget des Markteintritts wesentlich bestimmt. Eine falsche Annahme über den Verfahrensweg kann den Launch eines Produkts erheblich verzögern.
Konformität als fortlaufende Aufgabe
Die Konformitätsbewertung ist nicht mit dem Markteintritt abgeschlossen. Anbieter müssen ihr Hochrisiko-System nach dem Inverkehrbringen überwachen, Vorfälle dokumentieren und bei wesentlichen Änderungen eine erneute Bewertung durchführen. Da KI-Systeme sich durch Updates oder fortlaufendes Lernen verändern können, ist diese laufende Pflicht besonders anspruchsvoll. Sie verlangt Prozesse, die erkennen, wann eine Änderung das Ausmass erreicht, das eine neue Bewertung auslöst. Dieser fortlaufende Charakter unterstreicht das Grundprinzip des AI Act: Compliance ist ein dauerhafter Zustand, kein einmaliges Ereignis. Innopulse begleitet sowohl die erstmalige Vorbereitung der Konformitätsbewertung als auch den Aufbau der Prozesse, die die Konformität über den Lebenszyklus aufrechterhalten.
Die Konformitätsbewertung ist der formale Abschluss eines längeren Vorbereitungsprozesses. Wer ein Hochrisiko-KI-System anbietet, sollte früh mit dem Aufbau des Qualitätsmanagements, der technischen Dokumentation und der erforderlichen Prozesse beginnen, denn diese Grundlagen lassen sich nicht kurzfristig schaffen. Gerade kleine und mittlere Unternehmen unterschätzen oft den zeitlichen Vorlauf. Innopulse begleitet diesen Prozess im Rahmen der AI-Act-Compliance-Beratung — von der Klassifizierung über den Aufbau der technischen Dokumentation bis zur Vorbereitung der Konformitätsbewertung — und stützt sich dabei auf die Erfahrung aus dem Betrieb des eigenen Klassifizierungswerkzeugs AI Risk Check.
Fazit
Die EU-Konformitätserklärung
Am Ende einer erfolgreichen Konformitätsbewertung steht die EU-Konformitätserklärung, ein formales Dokument, mit dem der Anbieter erklärt, dass das Hochrisiko-KI-System alle Anforderungen des AI Act erfüllt. Diese Erklärung ist vom Anbieter zu unterzeichnen, für einen langen Zeitraum aufzubewahren und auf Verlangen den Behörden vorzulegen. Sie ist das rechtliche Gegenstück zur CE-Kennzeichnung: Während die Kennzeichnung am Produkt sichtbar ist, dokumentiert die Konformitätserklärung im Detail, auf welcher Grundlage die Konformität beansprucht wird. Mit ihr übernimmt der Anbieter die volle rechtliche Verantwortung für die Übereinstimmung des Systems mit der Verordnung.
Die Konformitätsbewertung ist der formale Nachweis, dass ein Hochrisiko-KI-System die Anforderungen des EU AI Act erfüllt, und überträgt das bewährte Modell der EU-Produktsicherheit auf die KI. Die Wahl zwischen interner Kontrolle und benannter Stelle, die technische Dokumentation als Grundlage und die fortlaufende Pflicht zur erneuten Bewertung bei wesentlichen Änderungen sind die zentralen Aspekte. Wer ein Hochrisiko-System plant, sollte den erheblichen zeitlichen Vorlauf einkalkulieren und früh mit der Vorbereitung beginnen.