EU AI Act & ,,benannte Stellen'': Auswahl und Zusammenarbeit

Stellen Sie sich vor, Ihr innovatives KI-System ist bereit, den Markt zu erobern. Die Technologie ist brillant, das Potenzial riesig. Doch eine entscheidende Hürde steht noch zwischen Ihrer Innovation und dem EU-Markt: die Konformitätsbewertung. Für KI-Systeme mit hohem Risiko bedeutet das die Zusammenarbeit mit einer sogenannten „benannten Stelle“.

‍

Für viele klingt dieser Begriff nach einem undurchsichtigen, komplexen und kostspieligen Prozess. Die Informationslage ist oft fragmentiert, übermäßig juristisch und erklärt zwar, was diese Stellen sind, aber nicht, wie man in der Praxis mit ihnen arbeitet.

‍

Genau hier setzen wir an. Dieser Leitfaden ist Ihr praxisorientierter Projektplan. Wir übersetzen das Juristendeutsch, räumen mit Mythen auf und geben Ihnen eine klare Schritt-für-Schritt-Anleitung an die Hand – von der ersten internen Vorbereitung bis zur erfolgreichen Zertifizierung. Betrachten Sie uns als den erfahrenen Kollegen, der Ihnen bei einer Tasse Kaffee erklärt, wie Sie diese Herausforderung meistern.

‍

Foundation: Die Grundlagen einfach erklärt

‍

Bevor wir in den Prozess eintauchen, klären wir die Basics. Was genau ist eine benannte Stelle und warum ist sie für Ihr KI-System so wichtig?

‍

Was ist eine benannte Stelle? Der TÜV für Ihre KI

‍

Im Grunde ist eine benannte Stelle eine unabhängige, staatlich autorisierte Organisation, die die Konformität von Produkten mit den EU-Vorschriften überprüft. Man kann sie sich wie den TÜV für Autos oder medizinische Geräte vorstellen – nur eben für Hochrisiko-KI-Systeme.

‍

Diese Stellen agieren als neutrale Dritte. Ihre Aufgabe ist es nicht, Sie zu beraten oder Ihre KI zu entwickeln, sondern objektiv zu bewerten, ob Ihr System die strengen Anforderungen des EU AI Acts erfüllt. Sie sind das entscheidende Bindeglied zwischen Ihrem Unternehmen und dem legalen Marktzugang in der EU.

‍

Dieses Bild veranschaulicht den grundlegenden Begriff der 'benannten Stelle' als verbindendes Element zwischen Unternehmen und der Einhaltung des EU AI Acts. Es zeigt auf einen Blick Rolle und Verantwortung, um Anfängern das Konzept leicht verständlich zu machen.

‍

Wer braucht eine benannte Stelle?

‍

Nicht jedes KI-System muss diesen Prozess durchlaufen. Die Pflicht zur Zusammenarbeit mit einer benannten Stelle gilt nur für Hochrisiko-KI-Systeme, wie sie in Anhang III des AI Acts definiert sind. Dazu gehören beispielsweise KI-Anwendungen in Bereichen wie:

‍

• Kritische Infrastrukturen (z. B. Steuerung von Stromnetzen)
• Medizinprodukte
• Personaleinstellung und -management (HR-Software)
• Kreditwürdigkeitsprüfung
• Justiz und demokratische Prozesse

‍

Der erste und wichtigste Schritt ist also herauszufinden, ob Ihr System in diese Kategorie fällt. Die Frage, welche Risikoklassen der EU AI Act definiert, ist der Ausgangspunkt Ihrer gesamten Compliance-Reise.

‍

Missverständnis-Check: Was benannte Stellen NICHT sind

‍

Um von Anfang an Klarheit zu schaffen, räumen wir mit zwei häufigen Missverständnissen auf:

‍

1. Sie sind keine Berater: Eine benannte Stelle darf Sie nicht bei der Entwicklung Ihres konformen KI-Systems beraten. Ihre Rolle ist die eines unabhängigen Prüfers. Die Verantwortung für die Compliance liegt zu 100 % bei Ihnen.
   ‍
2. Sie sind nicht die Marktüberwachungsbehörde: Die benannte Stelle prüft Ihr System vor dem Markteintritt. Nach der Markteinführung sind nationale Behörden für die Überwachung zuständig.

‍

Progress Checkpoint: Sie wissen jetzt, dass eine benannte Stelle ein unabhängiger Prüfer für Hochrisiko-KI-Systeme ist und dass die korrekte Risikoeinstufung Ihres Systems der erste entscheidende Schritt ist.

‍

Building: Der Auswahl- und Kollaborationsprozess (Das Herzstück)

‍

Hier wird es praktisch. Wir haben den gesamten Prozess in fünf klare, umsetzbare Schritte unterteilt. Dieser Fahrplan führt Sie von der internen Vorbereitung bis zur erfolgreichen Zusammenarbeit.

‍

Dieser Flowchart macht den komplexen Auswahl- und Kooperationsprozess mit benannten Stellen visuell greifbar. Die klare Schrittfolge und Hervorhebung häufiger Fehler erleichtern das Verständnis und die praktische Umsetzung für Unternehmen.

‍

Schritt 1: Interne Vorbereitung – Das Fundament legen

‍

Bevor Sie überhaupt an eine benannte Stelle denken, müssen Sie Ihre Hausaufgaben machen.

‍

• Risikoklassifizierung bestätigen: Stellen Sie zweifelsfrei fest, dass Ihr System als Hochrisiko-KI eingestuft wird. Eine falsche Einschätzung hier kann Monate an Arbeit und erhebliche Kosten verursachen.
  ‍
• Team zusammenstellen: Benennen Sie ein interdisziplinäres Team (Technik, Recht, Produktmanagement), das den Prozess verantwortet.
  ‍
• Qualitätsmanagementsystem (QMS) aufbauen: Der AI Act verlangt ein robustes QMS. Beginnen Sie frühzeitig mit dem Aufbau.
  ‍
• Technische Dokumentation starten: Sammeln Sie alle relevanten Dokumente, die die Konformität Ihres Systems belegen. Die Erstellung dieser Dokumentation ist ein massiver Aufwand, weshalb viele Unternehmen auf spezialisierte EU AI Act Compliance Software zurückgreifen, um diesen Prozess zu strukturieren und zu automatisieren.

‍

Schritt 2: Recherche und Identifizierung – Die Suche beginnt

‍

Benannte Stellen für den AI Act werden von den EU-Mitgliedstaaten benannt und in der NANDO-Datenbank der Europäischen Kommission gelistet. Auch wenn zum jetzigen Zeitpunkt noch wenige Stellen spezifisch für den AI Act benannt sind, werden hier zukünftig alle autorisierten Organisationen zu finden sein.

‍

Pro-Tipp: Schauen Sie sich Stellen an, die bereits Erfahrung mit ähnlichen Regulierungen haben (z. B. Medizintechnik-Verordnung – MDR), da diese wahrscheinlich zu den ersten gehören werden, die auch für den AI Act benannt werden.

‍

Schritt 3: Die Shortlist – Die richtige Wahl treffen

‍

Nicht jede benannte Stelle ist für Ihr Unternehmen geeignet. Erstellen Sie eine Shortlist und bewerten Sie die Kandidaten anhand dieser Kriterien:

‍

• Fachliche Expertise: Hat die Stelle Erfahrung in Ihrer Branche (z. B. Finanzen, Automotive, Gesundheitswesen)? Verstehen die Auditoren Ihre Technologie?
  ‍
• Verfügbarkeit und Zeitplan: Wie schnell kann die Stelle mit dem Konformitätsbewertungsverfahren beginnen? Was sind die geschätzten Durchlaufzeiten?
  ‍
• Kosten: Holen Sie detaillierte Angebote ein. Vergleichen Sie nicht nur den Endpreis, sondern auch, welche Leistungen enthalten sind.
  ‍
• Kommunikation und Kultur: Passt die Arbeitsweise der Stelle zu Ihrer Unternehmenskultur? Ein pragmatischer, lösungsorientierter Partner ist Gold wert.

‍

Achtung: Dieser Fehler kostet Sie 3 Monate Zeit!  Viele Unternehmen wählen die günstigste oder schnellste Option, ohne die fachliche Expertise zu prüfen. Ein Auditor, der Ihre Branche nicht versteht, wird endlose Rückfragen stellen und den Prozess unnötig in die Länge ziehen.

‍

Schritt 4: Der Audit-Prozess – Offene Karten spielen

‍

Sobald Sie sich für eine Stelle entschieden haben, beginnt der eigentliche Prüfungsprozess. Dieser umfasst in der Regel:

‍

1. Antragstellung und Vertragsabschluss: Sie reichen Ihren Antrag formell ein.
   ‍
2. Prüfung der Technischen Dokumentation: Die benannte Stelle prüft Ihre eingereichten Unterlagen auf Vollständigkeit und Korrektheit.
   ‍
3. Audit des Qualitätsmanagementsystems: Auditoren prüfen vor Ort oder remote, ob Ihre Prozesse den Anforderungen des AI Acts entsprechen.

‍

Schritt 5: Die Zusammenarbeit meistern – Kommunikation ist alles

‍

Sehen Sie die benannte Stelle nicht als Gegner, sondern als kritischen Partner.

‍

• Seien Sie proaktiv: Kommunizieren Sie offen über den Entwicklungsstand und mögliche Herausforderungen.
  ‍
• Stellen Sie einen zentralen Ansprechpartner: Eine Person in Ihrem Team sollte die gesamte Kommunikation bündeln.
  ‍
• Planen Sie Feedbackschleifen ein: Reagieren Sie schnell auf Rückfragen und setzen Sie geforderte Änderungen zügig um.

‍

Progress Checkpoint: Sie kennen nun die fünf entscheidenden Schritte, um eine benannte Stelle systematisch auszuwählen und den Audit-Prozess vorzubereiten. Sie wissen, worauf es bei der Auswahl ankommt und wie Sie die Zusammenarbeit gestalten sollten.

‍

Mastery: Fortgeschrittene Einblicke & Best Practices

‍

Sie haben den Prozess verstanden. Lassen Sie uns nun auf die typischen Fallstricke blicken, die viele Unternehmen ins Straucheln bringen – und wie Sie sie elegant vermeiden.

‍

Diese Grafik dient als visuelles Gedächtnisanker für die typischen Stolpersteine bei der Arbeit mit benannten Stellen und hilft Unternehmen, häufige Fehler proaktiv zu erkennen und zu vermeiden.

‍

Die 3 häufigsten Stolpersteine (und wie man sie umgeht)

‍

1. Unvollständige oder inkonsistente technische Dokumentation: Dies ist der häufigste Grund für Verzögerungen. Die Dokumentation ist das Herzstück Ihrer Konformitätsbewertung.
   • Lösung: Beginnen Sie heute mit der Dokumentation. Nutzen Sie Vorlagen und digitale Tools, um Struktur und Konsistenz sicherzustellen. Behandeln Sie die Doku wie ein Produkt, nicht wie eine lästige Pflicht.
     ‍
2. Unrealistische Zeitplanung: Der Prozess von der Auswahl bis zur Zertifizierung kann 6 bis 18 Monate dauern. Viele unterschätzen diesen Zeitaufwand dramatisch.
   • Lösung: Planen Sie großzügige Puffer ein. Sprechen Sie frühzeitig mit potenziellen benannten Stellen, um realistische Zeitpläne zu erhalten, und integrieren Sie diese fest in Ihre Produkt-Roadmap.
     ‍
3. Das "Post-Zertifizierungs-Vakuum": Die Arbeit ist mit dem Zertifikat nicht vorbei. Sie müssen Ihre Konformität kontinuierlich aufrechterhalten und überwachen.
   • Lösung: Implementieren Sie Prozesse zur Überwachung nach dem Inverkehrbringen (Post-Market Surveillance). Jede wesentliche Änderung an Ihrem KI-System kann eine erneute Bewertung erfordern. Compliance ist ein Marathon, kein Sprint.

‍

Was passiert nach der Zertifizierung?

‍

Nach erfolgreicher Prüfung stellt die benannte Stelle eine EU-Konformitätsbescheinigung aus. Damit können Sie die CE-Kennzeichnung an Ihrem Produkt anbringen und es EU-weit vertreiben. Doch die benannte Stelle wird Ihre Konformität auch weiterhin in regelmäßigen Abständen überprüfen.

‍

Ein KI-System, das das Stromnetz einer Stadt steuert, ist ein gutes Beispiel: Hier ist die Compliance für die Energiebranche nicht nur für den Markteintritt, sondern für den gesamten Lebenszyklus des Systems von entscheidender Bedeutung.

‍

Action: Ihre nächsten praktischen Schritte

‍

Die Zusammenarbeit mit einer benannten Stelle mag auf den ersten Blick einschüchternd wirken, aber mit der richtigen Vorbereitung und einem klaren Plan ist sie ein beherrschbarer Prozess. Sie sind jetzt mit dem Wissen ausgestattet, um strategisch vorzugehen.

‍

Ihre Reise beginnt nicht mit der Suche nach einer benannten Stelle, sondern intern.

‍

1. Validieren Sie Ihre Risikoklasse: Dies ist Ihr wichtigster erster Schritt. Nutzen Sie die Kriterien des AI Acts, um eine fundierte Entscheidung zu treffen.
   ‍
2. Bauen Sie Ihr internes Compliance-Team auf: Bestimmen Sie Verantwortlichkeiten und schaffen Sie die nötigen Ressourcen.
   ‍
3. Starten Sie mit der Dokumentation: Warten Sie nicht. Beginnen Sie sofort damit, Ihr Qualitätsmanagementsystem und Ihre technische Dokumentation aufzubauen.

‍

Indem Sie diese Grundlagen schaffen, stellen Sie die Weichen für eine reibungslose und erfolgreiche Konformitätsbewertung. Sie verwandeln eine regulatorische Hürde in einen strategischen Vorteil – und sichern so den nachhaltigen Erfolg Ihrer KI-Innovation auf dem europäischen Markt.

‍

FAQ: Häufig gestellte Fragen

‍

Wir haben die häufigsten Fragen gesammelt, die uns in Gesprächen mit Unternehmen zum Thema benannte Stellen begegnen.

‍

F: Gibt es schon benannte Stellen speziell für den EU AI Act?

‍

‍A: Der Prozess der Benennung läuft noch. Es wird erwartet, dass viele Stellen, die bereits für andere EU-Verordnungen (wie die MDR) benannt sind, ihre Akkreditierung auf den AI Act ausweiten werden. Es ist ratsam, diese Stellen bereits jetzt zu beobachten und erste Kontakte zu knüpfen.

‍

F: Was ist der Unterschied zwischen einer benannten Stelle und einer nationalen Aufsichtsbehörde?

‍

‍A: Die benannte Stelle prüft die Konformität vor dem Inverkehrbringen (ex-ante). Die nationale Aufsichtsbehörde (in Deutschland voraussichtlich eine Behörde wie die BNetzA oder das BSI) überwacht den Markt nach dem Inverkehrbringen (ex-post) und kann bei Verstößen Sanktionen verhängen.

‍

F: Kann ich einfach die Verantwortung für die Compliance an die benannte Stelle abgeben?

‍

‍A: Nein, absolut nicht. Die rechtliche Verantwortung für die Konformität des KI-Systems liegt immer beim Hersteller. Die benannte Stelle ist nur der unabhängige Prüfer dieses Prozesses.

‍

F: Wie verhält sich der AI Act zu anderen Vorschriften wie der DSGVO oder dem Schweizer Datenschutzgesetz?

‍

‍A: Der AI Act ist eine spezifische Regulierung für KI-Systeme, die andere Gesetze ergänzt. Datenverarbeitende KI-Systeme müssen sowohl die Anforderungen des AI Acts als auch die der DSGVO erfüllen. Ähnlich wie beim Schweizer Datenschutzgesetz (Swiss Data Protection Law) gibt es auch beim AI Act spezifische Anforderungen an die Dokumentation, die präzise erfüllt werden müssen.

‍