Post-Market-Monitoring nach Art. 72: KI nach dem Launch überwachen
Art. 72 verpflichtet Provider von Hochrisiko-KI zu einem dokumentierten Beobachtungssystem nach dem Inverkehrbringen. Es sammelt und analysiert systematisch Daten über die Leistung des Systems im realen Einsatz über die gesamte Lebensdauer. Erkenntnisse fließen zurück ins Risikomanagement (Art. 9). Eng verbunden ist die Pflicht zur Meldung schwerwiegender Vorfälle nach Art. 73. Post-Market-Monitoring schließt die Compliance-Schleife.
Compliance endet nicht beim Launch
Ein verbreiteter Irrtum: Mit Konformitätsbewertung und CE-Kennzeichnung sei die Arbeit getan. Tatsächlich beginnt mit dem Inverkehrbringen eine eigene Pflichtphase. Art. 72 verlangt, dass Provider ihre Hochrisiko-KI über die gesamte Lebensdauer aktiv beobachten — denn reale Einsatzbedingungen offenbaren Risiken, die im Labor unsichtbar bleiben.
Was Art. 72 verlangt
Provider müssen ein Beobachtungssystem nach dem Inverkehrbringen (Post-Market Monitoring System) einrichten und dokumentieren, das der Art und den Risiken des Systems angemessen ist. Es sammelt, dokumentiert und analysiert systematisch relevante Daten über die Leistung des Hochrisiko-Systems im realen Betrieb. Diese Daten können von Deployern stammen oder aus anderen Quellen.
Das System muss es erlauben, die fortlaufende Konformität des Systems mit den Anforderungen zu bewerten — und Trends oder Probleme früh zu erkennen.
Die Rückkopplung ins Risikomanagement
Post-Market-Monitoring ist kein isolierter Prozess. Die gewonnenen Erkenntnisse fließen direkt in das Risikomanagementsystem nach Art. 9 zurück: Neue oder veränderte Risiken werden aufgenommen, Maßnahmen angepasst, ggf. wird das System aktualisiert. Damit schließt sich die Compliance-Schleife, die mit Art. 9 begonnen hat.
Die Verbindung zur Vorfallmeldung (Art. 73)
Eng verzahnt ist die Pflicht aus Art. 73: Provider müssen schwerwiegende Vorfälle den zuständigen Marktüberwachungsbehörden melden — innerhalb definierter, kurzer Fristen nach Kenntnis. Ein schwerwiegender Vorfall ist etwa der Tod oder eine schwere Gesundheitsschädigung, eine erhebliche Störung kritischer Infrastruktur oder ein schwerer Grundrechtsverstoß. Das Post-Market-Monitoring ist häufig die Quelle, aus der solche Vorfälle überhaupt erkannt werden.
Schritt für Schritt
1. Monitoring-Plan erstellen: Welche Leistungs- und Risikoindikatoren werden wie erhoben? 2. Datenkanäle einrichten: Feedback von Deployern, Logdaten, Beschwerden, Performance-Metriken. 3. Systematisch auswerten: Regelmäßige Analyse statt Ad-hoc-Blick; Trends und Anomalien erkennen. 4. Rückkoppeln: Erkenntnisse in Art.-9-Risikomanagement und ggf. Updates überführen. 5. Vorfälle melden: Prozess für die fristgerechte Art.-73-Meldung schwerwiegender Vorfälle etablieren.
Praktischer Nutzen über die Pflicht hinaus
Ein gutes Post-Market-Monitoring ist nicht nur Pflichterfüllung, sondern Produktverbesserung: Es zeigt, wo das Modell driftet, wo Deployer es zweckwidrig einsetzen und wo die Qualität nachlässt. Wer diese Signale strukturiert nutzt, baut ein robusteres Produkt — und kann im Prüfungsfall belegen, dass er Risiken aktiv steuert.
Fazit
Art. 72 macht aus Compliance einen Dauerlauf statt eines Sprints. Das Beobachtungssystem schließt die Schleife zum Risikomanagement und speist die Vorfallmeldung. Wer es als reine Pflicht abhakt, verschenkt seinen größten Nutzen: frühes Erkennen realer Probleme, bevor sie zu Schäden — und Bußgeldern — werden.
Häufig gestellte Fragen
Endet die Compliance mit der CE-Kennzeichnung?+
Nein. Mit dem Inverkehrbringen beginnt die Post-Market-Phase. Art. 72 verlangt ein dokumentiertes Beobachtungssystem, das die Leistung der Hochrisiko-KI über die gesamte Lebensdauer systematisch erfasst und auswertet.
Was muss ich nach dem Launch überwachen?+
Relevante Daten über die Leistung des Systems im realen Betrieb — von Deployer-Feedback über Logdaten und Beschwerden bis zu Performance-Metriken. Ziel ist, die fortlaufende Konformität zu bewerten und Trends oder Probleme früh zu erkennen.
Wann muss ich einen Vorfall melden?+
Schwerwiegende Vorfälle (Art. 73) — etwa Tod, schwere Gesundheitsschädigung, erhebliche Störung kritischer Infrastruktur oder schwerer Grundrechtsverstoß — sind den Marktüberwachungsbehörden innerhalb definierter kurzer Fristen nach Kenntnis zu melden.
Wie hängt Post-Market-Monitoring mit Art. 9 zusammen?+
Die Erkenntnisse aus der Beobachtung fließen direkt in das Risikomanagementsystem nach Art. 9 zurück. Neue oder veränderte Risiken werden aufgenommen und Maßnahmen angepasst. So schließt sich die Compliance-Schleife über den Lebenszyklus.
Direkt prüfen — kostenlos
Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.
Kostenloser EU AI Act Check →Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.
Zuletzt aktualisiert: Juni 2026