Compliance BAFA-Förderung: bis zu 80% Zuschuss

AI Act Dokumentationspflicht Mittelstand: Annex IV im Klartext

Welche technische Dokumentation der EU AI Act für KI-Systeme im Mittelstand verlangt, was Annex IV im Klartext bedeutet und wie Sie die Pflichten BAFA-gefördert abdecken.

~ 6 Min. Lesezeit

Die EU-KI-Verordnung gilt seit dem ersten August 2024 in Kraft und greift in gestaffelten Fristen, deren erste Schicht am zweiten Februar 2026 wirksam wurde. Für mittelständische Unternehmen entsteht damit eine konkrete Pflicht zur technischen Dokumentation aller KI-Systeme, die unter die Hochrisiko-Kategorie nach Annex III fallen, und zur Sicherstellung einer angemessenen KI-Kompetenz der Mitarbeitenden. Diese Pflichten sind nicht verhandelbar, ihre praktische Umsetzung ist es allerdings durchaus, weil der Detaillierungsgrad sich an Größe und Risikoprofil orientiert.

Warum die Dokumentationspflicht nicht erst auf der Zielgeraden adressiert werden sollte

Die Dokumentation nach Annex IV unterscheidet sich strukturell von klassischer IT-Dokumentation, weil sie die Trainings- und Validierungsdaten, die Daten-Governance, das Risikomanagement-System und die Pflicht zur menschlichen Aufsicht abdecken muss. Diese Inhalte lassen sich nicht zwei Wochen vor einem Audit zusammenschreiben, weil sie zwingend aus der gelebten Praxis kommen müssen und im Audit gegen die tatsächliche Systemausgestaltung geprüft werden. Wer die Dokumentation erst kurz vor Stichtag aufsetzt, riskiert einen Bruch zwischen Papier und Realität, der von der zuständigen Aufsichtsbehörde sofort erkannt wird.

Hinzu kommt, dass die Dokumentation eine Voraussetzung für die Konformitätsbewertung ist und damit für die Inverkehrbringung oder Inbetriebnahme des Systems. Ohne Dokumentation kein Inverkehrbringen, das ist die Logik der Verordnung. Auch wenn die volle Pflicht für die meisten Hochrisiko-Systeme erst zum zweiten August 2027 greift, ist eine frühzeitige Bestandsaufnahme 2026 sinnvoll, weil das eigene Risikobild oft erst sichtbar wird, wenn alle eingesetzten KI-Systeme transparent aufgelistet sind. Bevor Sie eine externe Beratung beauftragen, prüfen Sie kostenlos die Förderfähigkeit Ihres Unternehmens über unseren BAFA-Förderfähigkeits-Check.

Die neun Punkte aus Annex IV in der Übersicht

Die folgende Tabelle fasst die neun Punkte zusammen, die Annex IV der KI-Verordnung als Mindestinhalt der technischen Dokumentation verlangt. Diese Tabelle ersetzt keine vollständige Lektüre der Verordnung, sie dient als Einstiegsraster, das wir in der Beratung pro System mit konkreten Inhalten füllen.

Annex IV PunktAnforderung an die Dokumentation
1. Allgemeine SystembeschreibungSie dokumentieren Zweck, Funktionsweise, Anwender und vorgesehene Einsatzkontexte des Systems.
2. Detaillierte technische BeschreibungSie beschreiben die Architektur, die Anbindungen an andere Systeme, die Hardware-Anforderungen sowie den jeweils aktuellen Versionsstand.
3. Trainings- und ValidierungsdatenSie legen Datenquellen, Datenmengen, Herkunft und Bereinigungsschritte transparent offen.
4. Daten-GovernanceSie benennen Verantwortliche, regeln Zugriffsrechte, dokumentieren Aktualisierungsprozesse und sichern den Datenschutz.
5. Risikomanagement-SystemSie identifizieren systemische Risiken und beschreiben Schutzmaßnahmen mitsamt ihren Wirksamkeitskontrollen.
6. Performance-MetrikenSie weisen Genauigkeit, Robustheit und Validierungsverfahren mit konkreten Messwerten nach.
7. Menschliche AufsichtSie regeln, wie Menschen das System überwachen, kontrollieren und im Bedarfsfall eingreifen können.
8. KonformitätsbewertungSie benennen das gewählte Bewertungsverfahren und legen seine Anwendung lückenlos dar.
9. Nachvollziehbarkeit im BetriebSie sorgen für Logging, Monitoring und die Auditierbarkeit der Systemleistung über den Lebenszyklus hinweg.

In der Beratung schauen wir gemeinsam, welche dieser neun Punkte für Ihr konkretes System ohnehin in anderen Dokumenten abgedeckt sind, etwa im Datenschutz-Verzeichnis nach Artikel dreißig Datenschutz-Grundverordnung oder in einer ISO 27001 Dokumentation. So vermeiden wir Doppelarbeit und konzentrieren die Beratungszeit auf die neuen Inhalte mit echtem Compliance-Risiko.

Wer überhaupt unter die Hochrisiko-Pflicht fällt

Nicht jedes Unternehmen, das KI einsetzt, muss eine Annex-IV-Dokumentation führen. Annex III der KI-Verordnung listet abschließend die Bereiche auf, in denen ein KI-System als Hochrisiko gilt. Die folgenden Bereiche sind für den Mittelstand besonders relevant.

Minimalrisiko, keine Annex-IV-Pflicht ~80% der typischen Mittelstands-KI-Einsätze (Copilot, ChatGPT, branchenspezifische Assistenten)
Hochrisiko, Annex-IV-Pflicht ~20% vor allem Personalauswahl, Kreditprüfung, sicherheitskritische Produktkomponenten

Die Grenze verläuft nicht entlang der eingesetzten Technologie, sondern entlang des Anwendungsbereichs. Ein KI-gestützter Texteditor ist Minimalrisiko, derselbe Texteditor ist Hochrisiko, sobald er Bewerbungsanschreiben nach Eignung sortiert. Genau diese Abgrenzung machen wir in der Beratung explizit und schriftlich für jedes System.

Was die Pflicht zur KI-Kompetenz nach Artikel 4 bedeutet

Unabhängig von der Annex-IV-Pflicht gilt für alle Unternehmen die Pflicht zur angemessenen KI-Kompetenz der Mitarbeitenden nach Artikel vier der Verordnung. Diese Pflicht ist seit dem zweiten Februar 2026 wirksam und wird in der Praxis am häufigsten unterschätzt. Sie verlangt einen schriftlichen Nachweis, dass die mit KI-Systemen arbeitenden Mitarbeitenden eine ihrer Rolle angemessene Einweisung erhalten haben, dokumentiert in der Personalakte oder in einem zentralen Schulungsregister.

In der praktischen Umsetzung bedeutet das nicht eine ganztägige Schulung pro Person, sondern eine modulare Einweisung, die zu Aufgabengebiet und Risikoprofil passt. Eine Buchhalterin, die ChatGPT for Business für Mahntexte einsetzt, braucht eine andere Schulung als ein Personalreferent, der ein KI-System zur Bewerber-Vorauswahl bedient. Wir liefern in der Beratung pragmatische Schulungsbausteine, die in dreißig bis sechzig Minuten pro Rolle absolviert sind und im Audit Bestand haben.

Welche Aufsichtsbehörde in Deutschland zuständig ist

Die nationale Aufsichtsstruktur für den AI Act wird in Deutschland gerade aufgebaut und wird voraussichtlich beim Bundesnetzagentur-Schwerpunkt verankert, mit fachlicher Unterstützung des Bundesamts für Sicherheit in der Informationstechnik. Für die Übergangszeit bleiben die Landesdatenschutzbehörden Ansprechpartner für DSGVO-bezogene Fragen, die KI-Verordnung selbst wird erst mit dem zweiten August 2026 vollständig sanktionierbar.

Diese Zweistufigkeit ist in der Praxis wichtig, weil ein KI-System, das gegen die Datenschutz-Grundverordnung verstößt, schon heute geahndet werden kann, selbst wenn der spezifische AI-Act-Tatbestand erst 2027 sanktionierbar wird. Wer also die AI-Act-Dokumentation jetzt aufsetzt, profitiert nebenher davon, dass die zugrunde liegende DSGVO-Dokumentation ebenfalls schärfer wird.

Übersicht: Was der Hub AI-Act-Beratung zusätzlich abdeckt

Diese Seite ist Teil unseres größeren Hubs zur AI-Act-Beratung, in dem Sie weitere Detailseiten zu Bußgeldern, Risikoklassen, Konformitätsbewertung, Schulungspflicht und General-Purpose-AI-Pflichten finden. Wenn Sie zuerst klären möchten, ob Ihre Beratung BAFA-förderfähig ist, starten Sie mit dem kostenlosen Förderfähigkeits-Check.

Nächster Schritt

Klären Sie zuerst die Förderfähigkeit Ihres Unternehmens über unseren BAFA-Schnelltest, der die KMU-Schwellen automatisch prüft. Wenn die Voraussetzungen passen, vereinbaren Sie über Calendly ein dreißigminütiges Erstgespräch, in dem wir die Bestandsaufnahme Ihrer KI-Systeme und das passende Beratungsthema festlegen. Die gesamte Antragsabwicklung übernehmen wir, Sie kümmern sich nur um die Bereitstellung der Unterlagen wie Handelsregisterauszug, letzten Jahresabschluss und De-minimis-Erklärung.

Erstgespräch zur AI-Act-Dokumentation buchen

Unser Ansatz für AI Act Dokumentationspflicht Mittelstand

  1. 1

    Bestandsaufnahme aller eingesetzten KI-Systeme

    Wir inventarisieren alle KI-Systeme, die im Unternehmen produktiv laufen oder in Pilot sind, getrennt nach Eigenentwicklung, eingebetteten KI-Funktionen in Standardsoftware und reinen Cloud-Diensten wie ChatGPT oder Microsoft Copilot. Diese Bestandsaufnahme ist die Grundlage für jede weitere Risikoklassifizierung.

  2. 2

    Risikoklassifizierung pro System nach AI Act

    Für jedes inventarisierte System klären wir, ob es als verbotene Praktik, als Hochrisiko-System, als General-Purpose-AI oder als Minimalrisiko einzuordnen ist. Diese Einordnung entscheidet darüber, ob und welche Dokumentation nach Annex IV verlangt wird.

  3. 3

    Dokumentationsgerüst nach Annex IV befüllen

    Für jedes Hochrisiko-System bauen wir gemeinsam ein Dokumentationsgerüst auf, das die neun Annex-IV-Punkte vollständig abdeckt, von der Systembeschreibung über die Daten-Governance bis zum Risikomanagement-System. Wir arbeiten mit pragmatischen Vorlagen, die sich an den eigentlichen Inhalten orientieren und nicht an Compliance-Theater.

  4. 4

    Schulung und Übergabe in den Regelbetrieb

    Wir schulen die internen Verantwortlichen so, dass das Dokumentationsgerüst nicht nach der Beratung in einer Schublade verschwindet, sondern bei jeder Änderung am System aktualisiert wird. Die Schulung ist gleichzeitig der Nachweis der KI-Kompetenz, der nach Artikel vier AI Act verlangt wird.

Häufige Fragen

Die volle technische Dokumentation nach Annex IV gilt ausschließlich für Hochrisiko-KI-Systeme, also für Systeme, die in den in Annex III aufgeführten Bereichen eingesetzt werden, zum Beispiel im Personalwesen bei der Vorauswahl von Bewerbern, in der Kreditwürdigkeitsprüfung oder in sicherheitskritischen Komponenten von Produkten, die ohnehin einer Konformitätsbewertung unterliegen. Für reine Produktivitäts-Tools wie Microsoft Copilot, ChatGPT for Business oder branchenspezifische KI-Assistenten gilt diese strikte Dokumentationspflicht in der Regel nicht. Trotzdem gibt es allgemeine Transparenz- und Kompetenz-Pflichten, die für jedes Unternehmen gelten.

Annex IV listet neun Punkte auf, die die technische Dokumentation eines Hochrisiko-KI-Systems abdecken muss. Dazu gehören die allgemeine Beschreibung des Systems, die detaillierte Architektur, die Beschreibung der zugrunde liegenden Trainings-, Validierungs- und Testdaten, die eingesetzten Methoden der Daten-Governance, die Beschreibung des Risikomanagement-Systems, die Validierung der Genauigkeits- und Robustheitsmetriken, die Pflicht zur menschlichen Aufsicht, die Konformitätsbewertung selbst sowie ein System für die Nachvollziehbarkeit der Systemleistung im Betrieb. Diese neun Punkte sind nicht verhandelbar, wohl aber der Detaillierungsgrad, der sich an Größe und Risikoprofil orientiert.

Die Verordnung ist seit dem ersten August 2024 in Kraft, die Pflichten gelten gestaffelt. Seit dem zweiten Februar 2026 sind die verbotenen Praktiken und die allgemeine Pflicht zur KI-Kompetenz wirksam. Ab dem zweiten August 2026 greifen die Pflichten für General-Purpose-AI-Modelle und für die nationalen Aufsichtsbehörden. Die vollen Pflichten für Hochrisiko-Systeme nach Annex III greifen ab dem zweiten August 2027. Für Hochrisiko-Systeme, die unter Produktsicherheitsrecht fallen, greift die Frist sogar erst am zweiten August 2027 oder im Folgezyklus. Die Dokumentation muss aber bei Inbetriebnahme vorliegen, nicht erst zum Stichtag, deshalb ist eine frühzeitige Bestandsaufnahme im Jahr 2026 sinnvoll.

Die Bußgeldhöhen sind in Artikel neunundneunzig der KI-Verordnung gestaffelt. Verstöße gegen Pflichten von Anbietern und Betreibern, dazu zählt auch die Dokumentationspflicht, sind mit bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes bedroht, je nachdem welcher Betrag höher ist. Für Mittelständler ist allerdings Artikel neunundneunzig Absatz sechs einschlägig, wonach bei kleinen und mittleren Unternehmen einschließlich Start-ups die jeweils niedrigere der beiden Größen angesetzt wird. Trotzdem bleibt die Risikoexposition für ein produzierendes Unternehmen mit 50 Millionen Euro Jahresumsatz substanziell.

Aus unserer Erfahrung ist eine Mischlösung sinnvoll, weil die Inhalte zwingend aus dem Unternehmen kommen müssen, aber die Struktur und die Sprache eine spezifische Kenntnis der AI-Act-Terminologie verlangen. In der Beratung bauen wir gemeinsam mit Ihrer IT-Verantwortlichen oder Ihrer Geschäftsführung das Dokumentationsgerüst auf und befüllen es exemplarisch für ein bis zwei Systeme. Die laufende Pflege übernimmt dann eine interne Rolle, häufig die IT-Leitung oder eine Mitarbeiterin aus der Qualitätsmanagement-Abteilung, weil nur intern bekannt ist, wann sich ein System ändert. Eine vollständige Auslagerung der Dokumentation an einen externen Dienstleister ist möglich, aber teuer und reißt im Audit fast immer auf, weil die externe Dokumentation nicht mit der gelebten Praxis übereinstimmt.

Die BAFA-Förderquote für Unternehmensberatung beträgt in den alten Bundesländern 50 Prozent der förderfähigen Beratungskosten, gedeckelt auf einen Maximalzuschuss von 3.500 Euro pro Beratung. Bei einem typischen Beratungshonorar von 3.500 Euro netto reduziert sich Ihr Eigenanteil damit auf 1.750 Euro netto. Hinzu kommt nur die Mehrwertsteuer auf das volle Beratungshonorar, die bei vorsteuerabzugsberechtigten Unternehmen durchlaufend ist. Pro Kalenderjahr sind zwei BAFA-geförderte Beratungen möglich, sodass Sie eine Beratung zur AI-Act-Compliance und eine zweite zur konkreten KI-Strategie sauber trennen können.

Kostenlose Potenzialanalyse anfragen

Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Datenschutzerklärung