Mit dem 2. August 2026 wird der zentrale Teil des EU AI Acts für Hochrisiko-KI-Systeme bindend, und genau ab diesem Stichtag dürfen Hochrisiko-Systeme nur dann in Verkehr gebracht oder in Betrieb genommen werden, wenn eine abgeschlossene Konformitätsbewertung nach Artikel 43 vorliegt. Viele mittelständische Anbieter und Betreiber haben inzwischen erkannt, dass ein KI-System Hochrisiko-Status hat, wissen aber nicht, was operativ folgt. Diese Seite beschreibt den konkreten Ablauf der Konformitätsbewertung, ohne in die juristische Auslegung jeder Annex-III-Klausel einzusteigen. Unsere Hub-Seite AI-Act-Beratung im Überblick bietet die strategische Einordnung, diese Seite den operativen Fahrplan.
Ab dem 2. August 2026 gilt für Hochrisiko-KI nach Annex III ein de-facto-Verkehrsverbot ohne abgeschlossene Konformitätsbewertung. Bußgelder bei Verstoß bis zu 15 Mio. € oder 3% des weltweiten Jahresumsatzes nach Artikel 99.
Was die Konformitätsbewertung nach Artikel 43 konkret leistet
Die Konformitätsbewertung ist das formelle Verfahren, in dem der Anbieter eines Hochrisiko-KI-Systems nachweist, dass alle Anforderungen aus den Artikeln 9 bis 15 erfüllt sind, also Risikomanagement, Datengovernance, technische Dokumentation, Logging, Transparenz, menschliche Aufsicht und Genauigkeits-Robustheits-Cybersicherheits-Eigenschaften. Erst nach dem positiven Abschluss dieser Bewertung darf der Anbieter die EU-Konformitätserklärung ausstellen, die CE-Kennzeichnung anbringen und das System in der EU-Hochrisiko-Datenbank registrieren.
Die Verordnung sieht zwei Verfahrenswege vor, die in Artikel 43 ausführlich geregelt sind. Welcher Weg gilt, hängt davon ab, ob das KI-System ein eigenständiges Produkt ist oder als Sicherheitsbauteil in ein bereits regulatorisch erfasstes Produkt integriert wird.
Modul A und Modul H im direkten Vergleich
Interne Kontrolle ohne notifizierte Stelle
Der Anbieter prüft selbst gegen die Artikel 9 bis 15, dokumentiert die Bewertung und stellt die Konformitätserklärung aus.
- Typisch für reine Software-KI in Annex III
- HR-Auswahl, Kreditwürdigkeit, Bildungsbewertung
- Dauer ca. 6 bis 12 Wochen
- Keine Audit-Gebühr einer Prüfstelle
QMS-Bewertung durch notifizierte Stelle
Greift, wenn die KI Sicherheitsbauteil eines bereits regulierten Produkts ist. Notifizierte Stelle auditiert das gesamte Qualitätsmanagementsystem.
- KI in Medizinprodukten nach MDR
- KI in Maschinen nach Maschinenverordnung
- Audit-Gebühr 15.000 bis 60.000 €
- Dauer mehrere Monate
Modul A ist das Verfahren der internen Kontrolle und kommt bei den meisten reinen Software-Anwendungen aus Annex III zum Einsatz, etwa bei KI für die Personalauswahl, KI zur Kreditwürdigkeitsprüfung oder KI für Bildungsbewertung. Der Anbieter prüft selbst, ob die sieben Pflichtbausteine erfüllt sind, dokumentiert die Bewertung in einer internen Prüfakte und stellt die Konformitätserklärung aus. Eine notifizierte Stelle ist nicht beteiligt, was die Verfahrenskosten deutlich niedriger hält. Die Verantwortung für die korrekte Selbst-Einschätzung bleibt allerdings vollständig beim Anbieter, weshalb eine strukturierte Vorbereitung und idealerweise eine externe Plausibilitätsprüfung wirtschaftlich sinnvoll sind.
Modul H greift dagegen immer dann, wenn das KI-System Sicherheitsbauteil eines Produkts ist, das ohnehin einer Konformitätsbewertung durch eine notifizierte Stelle unterliegt. Klassische Beispiele sind KI in Medizinprodukten nach Medical Device Regulation, KI in Maschinen nach Maschinenverordnung oder KI in Spielzeug nach Spielzeugrichtlinie. In diesen Fällen wird die KI-Konformitätsbewertung in das bereits laufende Produkt-Audit integriert, was zeitlich und finanziell deutlich aufwendiger ist, aber gleichzeitig die Doppelarbeit eines separaten KI-Audits vermeidet.
Die sieben Pflichtbausteine der Artikel 9 bis 15
Unabhängig vom gewählten Modul müssen sieben Bausteine vollständig dokumentiert vorliegen. Diese Bausteine sind das eigentliche Audit-Material, ohne sie ist keine Konformitätsbewertung möglich.
| Baustein | Artikel | Kerninhalt |
|---|---|---|
| Risikomanagementsystem | Artikel 9 | Identifikation, Bewertung und Minderung von Risiken über den gesamten Lebenszyklus |
| Datengovernance | Artikel 10 | Trainingsdaten-Herkunft, Bias-Prüfung, Repräsentativitäts-Nachweis |
| Technische Dokumentation | Artikel 11 | Architektur, Trainingsmethoden, Performance-Metriken nach Anhang IV |
| Aufzeichnungspflichten | Artikel 12 | Automatisches Logging aller relevanten Ereignisse |
| Transparenz und Information | Artikel 13 | Gebrauchsanweisung für den Betreiber, klare Grenzen und Einsatzkontext |
| Menschliche Aufsicht | Artikel 14 | Konkretes Aufsichtskonzept mit Eingriffs- und Override-Möglichkeiten |
| Genauigkeit, Robustheit, Cybersicherheit | Artikel 15 | Quantitative Performance-Schwellen und Resilienz gegen Angriffe |
Diese sieben Bausteine bauen logisch aufeinander auf. Wer das Risikomanagement nach Artikel 9 sauber aufsetzt, hat einen Großteil der späteren Dokumentation bereits in den Händen, weil die Risikoanalyse die Datengovernance-Anforderungen und die Genauigkeits-Schwellen direkt bestimmt. Diese Reihenfolge ist auch der Grund, warum wir Beratungen typischerweise mit Artikel 9 starten und nicht mit der technischen Dokumentation.
Der Ablauf der Konformitätsbewertung in fünf Stufen
Unabhängig vom gewählten Modul folgt jede Konformitätsbewertung der gleichen Sequenz. Die folgenden fünf Stufen sind das Gerüst, das wir in unseren Mandaten als Beratungs-Fahrplan anwenden.
Risikoklasse final einstufen
Schriftliche Einstufung mit Quellenverweis auf die jeweilige Klausel. Hochrisiko-Auslegungsfragen wie wesentliche Entscheidungsunterstützung sind hier die Hauptquelle für Fehleinstufungen.
Sieben Pflichtbausteine dokumentieren
Risikomanagementsystem, Datengovernance, technische Dokumentation, Logging, Transparenz, menschliche Aufsicht, Genauigkeits-Robustheits-Cybersicherheits-Spezifikation. Die Reihenfolge ist wichtig, weil Artikel 9 die Anforderungen der Artikel 10 bis 15 mitbestimmt.
Modul A oder Modul H wählen
Reine Software-KI fast immer Modul A. KI als Sicherheitsbauteil eines regulierten Produkts immer Modul H mit notifizierter Stelle. Die Wahl entscheidet über Audit-Aufwand und Gebühren.
Konformitätsbewertung durchführen
Bei Modul A interne Prüfung gegen die sieben Bausteine mit dokumentierter Prüfakte. Bei Modul H externe Auditierung durch eine benannte Stelle inklusive QMS-Audit nach Anhang VII.
Registrieren, CE-Kennzeichnen, in Verkehr bringen
EU-Konformitätserklärung nach Artikel 47 ausstellen, Eintrag in die EU-Hochrisiko-Datenbank nach Artikel 49, CE-Kennzeichnung sichtbar anbringen. Erst danach darf das System rechtssicher betrieben werden.
Was harmonisierte Normen für die Konformitätsvermutung leisten
Artikel 40 AI Act sieht vor, dass die Anwendung harmonisierter Normen eine Konformitätsvermutung auslöst. Konkret heißt das: Wenn ein Anbieter sein System nachweislich nach den im Amtsblatt der EU veröffentlichten harmonisierten Normen aufbaut, dann wird vermutet, dass die Anforderungen der Artikel 9 bis 15 erfüllt sind. Die Marktüberwachung kann diese Vermutung zwar widerlegen, die Beweislast verschiebt sich aber zugunsten des Anbieters.
Das europäische Normungs-Gremium CEN-CENELEC arbeitet im Joint Technical Committee 21 an der harmonisierten Normenreihe. Die zentralen Normen sind ISO IEC 42.101 zum KI-Risikomanagement und ISO IEC 23.894 zum KI-Qualitätsmanagement, ergänzt um spezifische Normen zur Datenqualität, Bias-Reduktion und Robustheit. Die Veröffentlichung im EU-Amtsblatt wird für die zweite Jahreshälfte 2026 erwartet. Wer schon jetzt an den Entwurfs-Versionen ausrichtet, hat den Vorteil, dass die spätere offizielle Veröffentlichung nicht zu einer Nacharbeit zwingt.
Wann eine BAFA-geförderte Vorbereitung sinnvoll ist
Die strategische und dokumentarische Vorarbeit für eine Konformitätsbewertung lässt sich als Unternehmensberatung im Sinne der BAFA-Richtlinie förderfähig gestalten, sofern die Beratung vor dem eigentlichen Audit liegt und auf strategische und organisatorische Fragestellungen abzielt. Konkret förderfähig sind die Einstufungs-Prüfung, der Aufbau der Risikomanagementsystem-Struktur, die Tool- und Prozess-Auswahl für die Datengovernance sowie die strategische Vorbereitung der menschlichen Aufsicht. Nicht förderfähig ist die reine Ausstellung der Konformitätserklärung oder die Zertifizierungsgebühr einer notifizierten Stelle.
Bei einem Beratungshonorar von 3.500 Euro netto reduziert sich der Eigenanteil in den alten Bundesländern auf 1.750 Euro netto. Diese Förderung lohnt sich vor allem für mittelständische Anbieter und Betreiber, die das erste Mal mit einer Konformitätsbewertung konfrontiert sind und gleichzeitig die internen Kapazitäten für die strategische Strukturierung nicht haben.
Nächster Schritt
Klären Sie zuerst kostenlos die Förderfähigkeit Ihres Unternehmens über unseren BAFA-Förderfähigkeits-Check, der die KMU-Schwellen automatisch prüft und Ihnen eine kurze schriftliche Einschätzung liefert. Wenn die Voraussetzungen passen, vereinbaren Sie über Calendly ein dreißigminütiges Erstgespräch, in dem wir Ihre konkrete Hochrisiko-Einstufung sichten und den passenden Vorbereitungspfad für Modul A oder Modul H skizzieren.