EU AI Act Konformitätsbewertung: Schritt-für-Schritt-Anleitung 2026
Die Konformitätsbewertung nach Art. 43 EU AI Act erfolgt vor dem Inverkehrbringen eines Hochrisiko-KI-Systems. Standardweg ist Modul A (Internal Control) — Self-Assessment des Anbieters. Bei Annex-III Nr. 1 (Biometrie) ist Modul H (Notified-Body) zwingend. Ergebnis: EU-Konformitätserklärung + CE-Kennzeichnung + EU-DB-Eintrag.
Bevor ein Hochrisiko-KI-System auf den EU-Markt gebracht oder in Betrieb genommen werden darf, muss es eine Konformitätsbewertung durchlaufen. Art. 43 EU AI Act regelt das Verfahren detailliert.
Wann ist eine Konformitätsbewertung nötig?
Vor jedem dieser Ereignisse:
- Erstes Inverkehrbringen auf dem EU-Markt
- Inbetriebnahme im EU-Markt (auch interne Nutzung durch ein Unternehmen)
- Wesentliche Änderung des bestehenden Systems (Art. 43 Abs. 4)
- Substanzielle Modifikation der Zweckbestimmung (Art. 25 Abs. 1)
Welche Module gibt es?
Der EU AI Act lehnt sich am New Legislative Framework an. Es gibt zwei Module:
Modul A: Interne Kontrolle (Self-Assessment)
Wer: Anbieter selbst Wann: Standardfall für die meisten Hochrisiko-KI-Systeme aus Annex III Was: Anbieter prüft selbst alle Anforderungen (Art. 8–15) und erstellt die technische Dokumentation. Keine externe Stelle involviert.
Modul H: Vollständige Qualitätssicherung (Notified-Body)
Wer: Akkreditierte Konformitätsbewertungsstelle (Notified Body) Wann: Zwingend bei Annex-III Nr. 1 (Biometrie), wenn keine harmonisierte Norm angewendet wurde — sowie bei Annex-I-Produkten gemäss sektoralem Recht (z.B. Medizinprodukte unter MDR/IVDR) Was: Das gesamte Qualitätsmanagementsystem des Anbieters wird zertifiziert.
Der Schritt-für-Schritt-Prozess (Modul A)
Schritt 1: Risikomanagementsystem etablieren (Art. 9) Iterativer, kontinuierlicher Prozess während des gesamten Lebenszyklus.
Schritt 2: Daten-Governance (Art. 10) Trainingsdaten, Validierungsdaten, Testdaten — alle drei Sets müssen Qualitätskriterien erfüllen.
Schritt 3: Technische Dokumentation (Art. 11, Annex IV) Vollständige Beschreibung des Systems: Zweck, Architektur, Trainingsdaten, Performance-Metriken, Logging-Mechanismen, Cybersicherheits-Massnahmen.
Schritt 4: Logging (Art. 12) Automatische Aufzeichnung von Ereignissen über die gesamte Betriebsdauer.
Schritt 5: Transparenz gegenüber Deployern (Art. 13) Bedienungsanleitung, klare Beschreibung von Performance, Limitationen und Anforderungen.
Schritt 6: Menschliche Aufsicht (Art. 14) Mechanismen, die es einer natürlichen Person ermöglichen, das System zu überwachen, einzugreifen oder abzuschalten.
Schritt 7: Genauigkeit, Robustheit, Cybersicherheit (Art. 15) Performance-Tests, Robustheits-Tests gegen Adversarial Inputs, Cybersicherheits-Audit.
Schritt 8: EU-Konformitätserklärung erstellen (Art. 47) Schriftliche Erklärung des Anbieters, dass das System alle Anforderungen erfüllt. 10 Jahre aufzubewahren.
Schritt 9: CE-Kennzeichnung anbringen (Art. 48) Sichtbar, lesbar, dauerhaft am System oder in dessen Dokumentation.
Schritt 10: EU-Datenbank-Eintrag (Art. 49) Vor Inverkehrbringen muss das System in der EU-Datenbank registriert werden.
Wer trägt die Verantwortung?
Anbieter (Provider): Volle Verantwortung für die Konformitätsbewertung. Er erstellt Dokumentation, erklärt die Konformität, bringt CE-Kennzeichnung an und registriert in der EU-DB.
Deployer: Hat nicht die Pflicht zur Konformitätsbewertung — aber er muss prüfen, ob das eingesetzte System konform ist (Art. 26). Bei eigenen wesentlichen Modifikationen wird er selbst zum Anbieter (Art. 25).
Was kostet das?
Modul A (Self-Assessment): Internal-only — Aufwand intern abhängig von Komplexität. Schätzung: 80–200 Personenstunden für Erstdurchlauf.
Modul H (Notified-Body): Externe Audit-Kosten — typisch CHF/EUR 25'000 bis 80'000 je nach Komplexität, plus jährliche Überwachungs-Audits.
Wesentliche Änderung — wann muss man neu bewerten?
Art. 43 Abs. 4 verlangt eine erneute Konformitätsbewertung bei wesentlichen Änderungen — z.B. bei Änderung der Zweckbestimmung, signifikanter Performance-Änderung oder Erweiterung der Trainingsdaten auf neue Personengruppen. Reine Bug-Fixes oder Minor-Updates lösen i.d.R. keine neue Bewertung aus.
Häufige Fehler
1. Konformitätsbewertung erst kurz vor Marktstart starten — viel zu spät. Plan: 6–12 Monate vorher. 2. Lückenhafte technische Dokumentation — Annex IV ist sehr detailliert, jede Lücke ist ein Compliance-Risiko. 3. Kein Logging implementiert — Art. 12 ist nicht optional. 4. EU-DB-Eintrag vergessen — Art. 49 ist verpflichtend, nicht freiwillig.
Praxistipp
Starte mit ai-risk-check.com mit der Risikoklassifikation. Wir liefern dir die Annex-IV-Dokumentationsstruktur als Vorlage und prüfen alle 9 Pflichten im Wizard.
Häufig gestellte Fragen
Welche Konformitätsbewertungs-Module gibt es im EU AI Act?+
Zwei: Modul A (Internal Control / Self-Assessment durch den Anbieter) und Modul H (Vollständige Qualitätssicherung durch Notified-Body). Modul A ist Standardfall für Annex-III-Anwendungen. Modul H ist zwingend bei Biometrie (Annex III Nr. 1) ohne harmonisierte Norm und bei Annex-I-Produkten gemäss sektoralem Recht.
Was kostet eine Konformitätsbewertung nach Art. 43?+
Modul A intern — Schätzung 80 bis 200 Personenstunden im Erstdurchlauf, also etwa 15’000 bis 40’000 EUR/CHF interner Aufwand. Modul H mit Notified-Body kostet typisch 25’000 bis 80’000 EUR plus laufende jährliche Audit-Gebühren.
Wann muss bei einer Software-Änderung neu bewertet werden?+
Art. 43 Abs. 4 verlangt eine erneute Konformitätsbewertung bei wesentlichen Änderungen — z.B. neue Zweckbestimmung, signifikante Performance-Verschiebung oder neue Personengruppen in Trainingsdaten. Reine Bug-Fixes, Refactoring oder UI-Änderungen ohne Modellanpassung lösen typischerweise keine neue Bewertung aus.
Was ist die EU-Konformitätserklärung nach Art. 47?+
Eine schriftliche Erklärung des Anbieters, dass das KI-System alle Anforderungen der Art. 8–15 erfüllt. Sie enthält Anbieterdetails, eindeutige Kennung des Systems, angewandte harmonisierte Normen und das Datum. Sie ist 10 Jahre nach dem Inverkehrbringen aufzubewahren.
Brauche ich als Schweizer Unternehmen eine CE-Kennzeichnung?+
Ja, sobald du das KI-System auf dem EU-Markt anbietest oder einen autorisierten Vertreter in der EU benennst. Die CE-Kennzeichnung ist marktort-getrieben — nicht standort-getrieben. Reine CH-only-Produkte ohne EU-Markt sind aktuell nicht CE-pflichtig nach EU AI Act.
Direkt prüfen — kostenlos
Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.
Kostenloser EU AI Act Check →Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.
Zuletzt aktualisiert: Mai 2026