Volljurist und Compliance-Experte
November 18, 2025
6 Minuten
.svg)
Eine neue Konformitätsbewertung ist nur erforderlich, wenn ein KI-Update den Zweck oder das Risikoprofil des Systems wesentlich verändert.
Routinemäßige Verbesserungen wie Re-Training oder Bugfixes gelten nicht als wesentliche Änderungen und bleiben ohne erneute Zertifizierung zulässig.
Ein klarer interner Prozess zur Bewertung jedes Updates schützt Unternehmen vor Compliance-Verstößen und unnötigen Neuzertifizierungen.
Eine sorgfältige Dokumentation aller Änderungen ist entscheidend, um die Anforderungen des EU AI Acts jederzeit nachvollziehbar zu erfüllen.
Ihr Team hat gerade ein brillantes Update für Ihr KI-Modell veröffentlicht. Die Leistung ist gestiegen, die Genauigkeit ist besser und die Effizienz hat sich verdoppelt. Doch inmitten des Erfolgs meldet sich eine leise, aber drängende Frage: Müssen wir jetzt den gesamten, aufwendigen Zertifizierungsprozess nach dem EU AI Act von vorne beginnen?
Diese Unsicherheit ist eine der größten Herausforderungen für innovative Unternehmen im Zeitalter der KI. KI-Systeme sind keine statischen Produkte; sie leben von kontinuierlicher Verbesserung. Doch wie passt dieser dynamische Lebenszyklus zu den strengen, punktuellen Anforderungen der Compliance?
Die gute Nachricht ist: Nicht jedes Update wirft Sie zurück an den Start. Die schlechte Nachricht: Die Regeln zu ignorieren, kann zu empfindlichen Strafen und dem Entzug der Marktzulassung führen. Dieser Leitfaden bringt Klarheit und hilft Ihnen zu entscheiden, wann eine neue Konformitätsbewertung wirklich notwendig ist.
Bevor wir über Updates sprechen, lassen Sie uns kurz das Fundament klären. Die Konformitätsbewertung ist ein zentrales Element des EU AI Acts. Stellen Sie es sich wie ein TÜV-Siegel speziell für Hochrisiko-KI-Systeme vor. Es ist ein formaler Prozess, bei dem der Anbieter eines KI-Systems nachweist, dass seine Technologie alle rechtlichen Anforderungen der EU erfüllt – insbesondere in Bezug auf Robustheit, Transparenz, Datensicherheit und Nichtdiskriminierung.
Dieses Verfahren muss erfolgreich durchlaufen werden, bevor ein Hochrisiko-KI-System auf den europäischen Markt gebracht oder in Betrieb genommen werden darf. Es schafft Vertrauen und stellt sicher, dass die Technologie sicher und im Einklang mit den europäischen Werten ist.
Traditionelle Produkte werden einmal zertifiziert und bleiben dann oft über Jahre unverändert. KI-Modelle hingegen sind dynamisch. Sie werden ständig weiterentwickelt, um ihre Leistung zu verbessern, auf neue Daten zu reagieren oder Sicherheitslücken zu schließen. Dieser Prozess, oft als MLOps (Machine Learning Operations) bezeichnet, steht im direkten Spannungsfeld zur einmaligen Zertifizierung.
Hier liegt die Herausforderung: Ein Update kann unbeabsichtigt neue Risiken einführen oder die ursprüngliche Funktionsweise des Modells so verändern, dass die ursprüngliche Konformitätsbewertung ihre Gültigkeit verliert. Die EU-Gesetzgeber haben dies erkannt und eine klare Regel aufgestellt: Eine „wesentliche Änderung“ (substantial modification) eines bereits zertifizierten KI-Systems erfordert eine komplett neue Konformitätsbewertung.
Der Begriff „wesentliche Änderung“ ist der Dreh- und Angelpunkt der gesamten Debatte. Laut Artikel 43 des AI Acts liegt eine solche Änderung vor, wenn sie:
Das klingt zunächst abstrakt. Doch in der Praxis lässt sich dies in einen klaren Entscheidungsbaum übersetzen, der Teams hilft, ihre Updates zu bewerten.
Dieser Entscheidungsbaum hilft dabei zu verstehen, wann KI-Modell-Updates eine erneute Konformitätsbewertung nach dem EU AI Act erfordern, indem er wesentliche Änderungskriterien klar strukturiert.
Um das Ganze greifbarer zu machen, hier einige typische Szenarien aus der Praxis:
Beispiele für wesentliche Änderungen (neue Bewertung wahrscheinlich erforderlich):
Beispiele für nicht wesentliche Änderungen (neue Bewertung wahrscheinlich nicht erforderlich):
Kontinuierliche Compliance ist kein Zufall, sondern das Ergebnis eines strategischen Prozesses. Anstatt bei jedem Update in Panik zu verfallen, sollten Unternehmen ein System etablieren, das Änderungen proaktiv bewertet.
Die Fähigkeit, Compliance-Anforderungen effizient zu managen, ist heute ein entscheidender Wettbewerbsvorteil. Unternehmen wie SECJUR haben sich darauf spezialisiert, komplexe regulatorische Rahmenwerke durch intelligente Automatisierung zugänglich zu machen.
Diese Tabelle verankert das Verständnis, welche Arten von KI-Modell-Updates eine erneute Konformitätsbewertung erfordern und welche nicht – ein wichtiger Merkanker.
Die Dynamik von KI-Updates und die Strenge des EU AI Acts müssen kein Widerspruch sein. Der Schlüssel liegt in einem proaktiven und systematischen Ansatz zur Compliance. Anstatt Änderungen als bürokratische Hürde zu sehen, sollten sie als integraler Bestandteil des KI-Lebenszyklus verstanden und gemanagt werden.
Ein robustes Compliance-Framework ist kein Innovationshemmnis, sondern ein Leitplanke, die sichere und erfolgreiche Innovation erst ermöglicht. Es schafft Vertrauen bei Kunden und stellt sicher, dass Ihre Technologie nicht nur leistungsstark, sondern auch verantwortungsvoll ist. Bei SECJUR verstehen wir, dass die Vereinfachung dieser komplexen Prozesse Unternehmen befähigt, sich auf das zu konzentrieren, was sie am besten können: zukunftsweisende Technologien zu entwickeln.
Der EU AI Act stuft KI-Systeme nach ihrem potenziellen Risiko ein. Hochrisiko-Systeme sind solche, die in kritischen Bereichen wie der medizinischen Diagnostik, der kritischen Infrastruktur, der Strafverfolgung oder im Personalwesen eingesetzt werden und ein hohes Risiko für die Grundrechte oder die Sicherheit von Personen darstellen.
Nein. Das ist ein häufiges Missverständnis. Nur „wesentliche Änderungen“, die das Risikoprofil oder den Verwendungszweck des Systems grundlegend verändern, erfordern eine neue Konformitätsbewertung.
Der Anbieter des KI-Systems ist primär für die Durchführung und Dokumentation der Konformitätsbewertung verantwortlich. Je nach Risikoklasse kann die Einbeziehung einer unabhängigen „benannten Stelle“ erforderlich sein.
Die Folgen können schwerwiegend sein. Sie reichen von hohen Geldstrafen (bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes) über die Anordnung, das System vom Markt zu nehmen, bis hin zu Reputationsschäden.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
Viele Unternehmen kennen die NIS2-Meldepflicht, doch die technische Umsetzung bleibt oft unklar. Dieser Leitfaden zeigt praxisnah, wie Sie Sicherheitsvorfälle strukturiert, sicher und konform übermitteln – von Datenformaten wie JSON und STIX/TAXII bis zu API-Schnittstellen und verschlüsselten Übertragungswegen. Erfahren Sie, wie Sie Ihre NIS2-Compliance technisch absichern und Meldeprozesse effizient, automatisiert und revisionssicher gestalten.
Die Evidenzsammlung für Ihr ISO 27001 Audit muss kein zeitfressender Kraftakt mehr sein. Erfahren Sie, wie KI-gestützte Compliance-Plattformen Screenshots, Logs und Nachweise vollautomatisch erfassen, Fehlerquellen eliminieren und Ihre Audit-Vorbereitung drastisch beschleunigen. Dieser Leitfaden zeigt praxisnah, wie Sie manuelle Prozesse hinter sich lassen, kontinuierliche Compliance etablieren und Ihr ISMS strategisch stärken – für Audits, die Sie nicht nur bestehen, sondern souverän meistern.
Am 1. Februar war internationaler Change-Your-Password-Day, ein Tag, der den Schutz der eigenen Daten durch sichere Passwörter wieder in die Köpfe der Internetnutzer rufen soll. Wie lange ist es her, dass Sie Ihre Passwörter das letzte Mal geändert haben? Wenn Sie sich nicht mehr daran erinnern können, dann haben wir hier alle wichtigen Informationen zur sicheren Vergabe von Passwörtern für Sie zusammengetragen.
.svg)
.svg)
.svg){kind=small}