Volljurist und Compliance-Experte
December 3, 2025
5 Minuten
.svg)
Hochrisiko-KI benötigt eine verpflichtende Konformitätsbewertung für den EU-Marktzugang.
Notifizierte Stellen sind für die meisten KI-Zertifizierungen zwingend erforderlich.
Ohne lückenlose technische Dokumentation ist keine AI-Act-Konformität möglich.
Post-Market-Surveillance macht KI-Compliance zu einem dauerhaften Prozess.
Stellen Sie sich vor, Sie haben eine bahnbrechende KI für die medizinische Diagnostik entwickelt. Die Technologie ist brillant, die potenziellen Vorteile für Patienten enorm. Doch bevor Ihr System auch nur einen einzigen Arzt unterstützen darf, steht eine entscheidende Hürde im Weg: der EU AI Act. Wie beweisen Sie, dass Ihre KI nicht nur innovativ, sondern auch sicher, fair und gesetzeskonform ist?
Herzlich willkommen in der Welt der Konformitätsbewertungsverfahren. Was zunächst wie ein bürokratischer Marathon klingt, ist im Grunde eine Art „TÜV-Prüfung“ für Ihre KI. Es ist der vorgeschriebene Weg, um das Vertrauen von Regulierungsbehörden, Kunden und der Öffentlichkeit zu gewinnen – und die zwingende Voraussetzung für den Marktzugang in der gesamten Europäischen Union. Dieser Prozess stellt sicher, dass Ihr Hochrisiko-KI-System die strengen Anforderungen des Gesetzes erfüllt. Aber keine Sorge, wir führen Sie Schritt für Schritt durch diesen Dschungel aus Modulen, Prüfungen und Dokumenten.
Im Kern ist die Konformitätsbewertung ein strukturierter Prozess, mit dem Sie als Hersteller nachweisen, dass Ihr KI-System alle rechtlichen Anforderungen des EU AI Acts erfüllt. Es ist Ihr offizieller Beleg dafür, dass Sie die Risiken im Griff haben und Ihre Technologie verantwortungsvoll entwickelt wurde.
Denken Sie an die CE-Kennzeichnung, die Sie auf fast jedem Produkt von der Kaffeemaschine bis zum Kinderspielzeug finden. Sie signalisiert, dass das Produkt den EU-Sicherheits-, Gesundheits- und Umweltschutzanforderungen entspricht. Die Konformitätsbewertung im Rahmen des AI Acts führt zu einem ähnlichen Ergebnis: Sie dürfen Ihr KI-System mit dem CE-Zeichen versehen und es legal in der EU in Verkehr bringen.
Dieser Prozess ist nicht für jede KI verpflichtend. Er zielt speziell auf Systeme ab, bei denen Fehlfunktionen erhebliche Risiken für die Gesundheit, Sicherheit oder die Grundrechte von Menschen darstellen könnten. Es ist also entscheidend, genau zu verstehen, welche Risikoklassen der EU AI Act definiert und ob Ihre Anwendung als Hochrisiko-System eingestuft wird.
Der AI Act erkennt an, dass nicht alle Hochrisiko-KI-Systeme gleich sind. Statt eines starren, einheitlichen Verfahrens bietet das Gesetz einen modularen Ansatz – quasi einen Baukasten, aus dem Sie den passenden Weg für Ihr System auswählen. Die Wahl des richtigen Moduls hängt von der Art Ihres Systems und davon ab, ob Sie bereits harmonisierte EU-Normen anwenden.
Dieser Weg steht Ihnen offen, wenn Ihr Hochrisiko-KI-System vollständig den Anforderungen sogenannter harmonisierter Normen entspricht. Diese Normen werden auf EU-Ebene entwickelt, um die abstrakten gesetzlichen Anforderungen des AI Acts in konkrete technische Spezifikationen zu übersetzen.
In diesem Fall können Sie die Konformität selbst bewerten. Das bedeutet jedoch nicht, dass Sie einfach ein Formular ausfüllen. Sie müssen ein umfassendes Qualitätsmanagementsystem (QMS) implementieren und eine lückenlose technische Dokumentation führen, die alle Aspekte des AI Acts abdeckt. Die Verantwortung liegt hierbei vollständig bei Ihnen als Hersteller.
Für die meisten Hochrisiko-KI-Systeme, insbesondere wenn keine passenden harmonisierten Normen existieren oder diese nicht vollständig angewendet werden, ist die Einbeziehung einer externen, unabhängigen Prüfinstanz zwingend erforderlich. Hier kommen die sogenannten „Notifizierten Stellen“ ins Spiel.
Diese benannten Stellen sind von nationalen Behörden zugelassene und von der EU-Kommission gelistete Organisationen (wie z. B. der TÜV oder die DEKRA), die die Kompetenz besitzen, die Konformität von Produkten zu bewerten. Innerhalb dieses Weges gibt es wiederum zwei Hauptvarianten:
Unabhängig vom gewählten Modul folgt der Weg zur Konformität einer klaren Struktur. Ein gut geplanter Prozess spart nicht nur Zeit und Geld, sondern minimiert auch das Risiko von Rückschlägen.
Dies ist die wichtigste und arbeitsintensivste Phase. Hier schaffen Sie die Grundlage für eine erfolgreiche Zertifizierung.
Sobald Ihre Vorbereitungen abgeschlossen sind, wählen Sie eine passende Notifizierte Stelle aus, die für die Prüfung von KI-Systemen in Ihrem Sektor akkreditiert ist. Reichen Sie dort Ihren Antrag zusammen mit der vollständigen technischen Dokumentation ein.
Die Experten der Notifizierten Stelle beginnen nun mit der detaillierten Prüfung Ihrer Unterlagen. Sie werden wahrscheinlich Rückfragen stellen oder Nachbesserungen anfordern. Seien Sie auf einen iterativen Prozess vorbereitet. Wenn Sie den Weg über die QMS-Bewertung gewählt haben, wird zusätzlich ein Audit Ihrer Unternehmensprozesse (remote oder vor Ort) stattfinden.
Nach erfolgreicher Prüfung stellt die Notifizierte Stelle das entsprechende Zertifikat aus (z. B. eine EU-Baumusterprüfbescheinigung). Auf dieser Grundlage erstellen Sie als Hersteller die finale EU-Konformitätserklärung. Nun dürfen Sie das CE-Zeichen an Ihrem Produkt anbringen.
Compliance ist kein einmaliges Projekt. Der AI Act verpflichtet Sie zur kontinuierlichen Überwachung Ihres KI-Systems im Markt (Post-Market Surveillance). Sie müssen Vorfälle melden, das System auf dem neuesten Stand halten und Ihre technische Dokumentation regelmäßig aktualisieren. Dieser Zyklus der ständigen Verbesserung erinnert an den Ablauf einer Zertifizierung nach ISO 9001 und stellt sicher, dass die Konformität dauerhaft gewährleistet ist.
Der Weg zur Konformität nach dem EU AI Act mag komplex erscheinen, lässt sich aber mit einer strategischen Herangehensweise meistern. Die entscheidenden Faktoren sind eine frühzeitige und gründliche Vorbereitung, eine lückenlose Dokumentation und ein tiefes Verständnis der Anforderungen.
Die Kosten variieren stark und hängen von der Komplexität Ihres KI-Systems, dem gewählten Bewertungsmodul und den Gebühren der jeweiligen Notifizierten Stelle ab. Rechnen Sie mit einem Betrag, der von einigen Tausend bis zu mehreren Zehntausend Euro reichen kann.
Planen Sie realistisch. Von der ersten Vorbereitung bis zum Erhalt des Zertifikats können mehrere Monate bis über ein Jahr vergehen. Die Dauer hängt maßgeblich von der Qualität Ihrer Vorbereitung und der Auslastung der Notifizierten Stelle ab.
Nein, die Konformitätsbewertung mit Einbeziehung einer Notifizierten Stelle ist ausschließlich für Hochrisiko-KI-Systeme vorgesehen. Systeme mit minimalem Risiko haben nur sehr geringe Transparenzpflichten, während verbotene KI-Praktiken gänzlich untersagt sind.
Das ist kein Beinbruch. Die Notifizierte Stelle wird Ihnen einen detaillierten Bericht mit den festgestellten Abweichungen (Nichtkonformitäten) zur Verfügung stellen. Sie haben dann die Möglichkeit, diese Mängel zu beheben und die Dokumentation oder das System erneut zur Prüfung einzureichen.
Ja, ein Wechsel ist grundsätzlich möglich. Er kann jedoch administrativ aufwendig sein, da Zertifikate und Prüfdokumentationen formell übertragen werden müssen.
Der Weg zur AI-Act-Konformität ist eine Investition in die Zukunft und das Vertrauen in Ihre Technologie. Ein proaktiver und strukturierter Ansatz verwandelt diese regulatorische Anforderung von einer Belastung in einen echten Wettbewerbsvorteil. Intelligente Plattformen wie das Digital Compliance Office von SECJUR können Sie dabei unterstützen, die notwendigen Strukturen wie ein QMS aufzubauen und Ihre technische Dokumentation effizient zu verwalten. So wird der Weg zur Zertifizierung überschaubar und beherrschbar.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
Gerade die Überwachung von Mitarbeitern ist immer wieder Gegenstand gerichtlicher Streitigkeiten. Dabei stehen Unternehmen mittlerweile die verschiedensten Möglichkeiten zur Verfügung - von der Überwachung des E-Mail-Verkehrs bis hin zum Anbringen von Videokameras am Arbeitsplatz. Ob die umfassende GPS-Überwachung von Mitarbeitern datenschutzrechtlich zulässig ist, hatte das Verwaltungsgericht Lüneburg zu entscheiden. Wie ging es aus?
Die NIS2-Richtlinie macht klar: Schwache Passwörter und unkontrollierte Zugriffe sind kein technisches Detail mehr, sondern ein unternehmerisches Risiko. Dieser Leitfaden zeigt, wie Sie mit einer risikobasierten MFA-Strategie, klaren Zugriffsrichtlinien und moderner Identitätsarchitektur Ihre Sicherheitslücken schließen. Erfahren Sie praxisnah, wie Sie Angriffe verhindern, privilegierte Konten absichern und Ihr Unternehmen mit einem durchdachten Zugriffsmanagement langfristig resilient aufstellen.
Ein Ausfall in der Cloud kann schnell zur NIS2-Herausforderung werden. Erfahren Sie, wie Sie mit automatisierter Notfallwiederherstellung, klar definierten RTO- und RPO-Zielen und dem Einsatz von Infrastructure as Code Ihre Systeme schnell, sicher und compliant wiederherstellen. Dieser Leitfaden zeigt, wie Sie aus regulatorischer Pflicht echte digitale Resilienz schaffen – effizient, prüfsicher und zukunftsfähig.
.svg)
.svg)
.svg){kind=small}