Artikel 17 — Qualitätsmanagementsystem (EU-KI-Verordnung)

Artikel 17 der Verordnung (EU) 2024/1689 — Qualitätsmanagementsystem. Offizieller Text, praktische Auslegung, wesentliche Pflichten und Implikationen für die Compliance.

Zusammenfassung des offiziellen Textes

Artikel 17 der Verordnung (EU) 2024/1689 verpflichtet Anbieter von Hochrisiko-KI-Systemen, vor dem Inverkehrbringen oder der Inbetriebnahme solcher Systeme ein Qualitätsmanagementsystem (QMS) einzurichten. Das QMS muss systematisch und geordnet dokumentiert sein und alle Phasen des Lebenszyklus des KI-Systems abdecken.

Die Verordnung legt fest, dass das QMS mindestens folgendes umfassen muss: die Strategie des Anbieters zur Einhaltung regulatorischer Anforderungen einschließlich der Konformitätsbewertungsverfahren; die für Konzeption, Konzeptionskontrolle und Verifizierung des KI-Systems verwendeten Techniken, Verfahren und systematischen Maßnahmen; die Datenverwaltungsverfahren, die Datenerhebung, -sammlung, -analyse, -kennzeichnung, -speicherung, -filterung, -mining, -aggregation und -aufbewahrung abdecken; das Risikomanagementsystem gemäß Artikel 9; die Einrichtung und Umsetzung des Marktüberwachungssystems nach Artikel 72; Verfahren zur Vorfallmeldung gemäß Artikel 73; den Umgang mit der Kommunikation mit zuständigen Behörden, notifizierten Stellen und anderen relevanten Betreibern; Systeme und Verfahren zur Aufzeichnungsführung; Ressourcenmanagement einschließlich lieferkettenbezogener Maßnahmen; sowie einen Verantwortlichkeitsrahmen, der die Zuständigkeiten in der gesamten Organisation dokumentiert.

Soweit Anbieter natürliche Personen oder Kleinstunternehmen im Sinne der Empfehlung 2003/361/EG der Kommission sind, ist die Kommission befugt, Durchführungsrechtsakte zu erlassen, die vereinfachte QMS-Regelungen gestatten, unter Anerkennung des Verhältnismäßigkeitsprinzips, das die gesamte Verordnung durchzieht.

Was dies in der Praxis bedeutet

Für jede Organisation, die ein Hochrisiko-KI-System auf dem EU-Markt entwickelt oder in Verkehr bringt, bedeutet Artikel 17, dass Compliance keine einmalige Übung sein kann, die zum Zeitpunkt der Markteinführung durchgeführt wird. Sie muss in ein lebendiges organisatorisches System eingebettet sein, das den gesamten Produktlebenszyklus steuert — von den anfänglichen Designentscheidungen über die Bereitstellung, Überwachung bis hin zur eventuellen Außerbetriebnahme.

Konkret muss ein Anbieter nachweisen können, dass dokumentierte Verfahren existieren und in jeder Phase befolgt werden. Ein Anbieter von KI im Gesundheitswesen beispielsweise kann nicht einfach ein Modell trainieren und es zur Konformitätsbewertung einreichen. Die Organisation muss nachweisen, dass die Datenbeschaffung dokumentierten Governance-Regeln folgte, dass Designentscheidungen anhand von Risikokriterien überprüft wurden, dass Verantwortlichkeiten für die Aufsicht zugewiesen und aufgezeichnet sind, und dass ein Mechanismus zur Erkennung und Meldung von Vorfällen nach der Bereitstellung existiert.

Die QMS-Anforderung bedeutet, dass Compliance ebenso eine organisatorische und verfahrensbezogene Herausforderung ist wie eine technische. Unternehmen, die bereits nach ISO 9001 oder branchenspezifischen Managementrahmen arbeiten — wie ISO 13485 bei Medizinprodukten — werden erhebliche Überschneidungen finden, müssen aber dennoch ihre bestehenden Systeme explizit gegen die Anforderungen des KI-Gesetzes abbilden, anstatt Äquivalenz vorauszusetzen.

Kleinere Anbieter profitieren von der Verhältnismäßigkeitsregelung: Kleinstunternehmen können für vereinfachte Regelungen im Rahmen von Durchführungsrechtsakten der Kommission in Betracht kommen. Dies befreit sie jedoch nicht von den zugrundeliegenden materiellen Pflichten; es kann lediglich die Form beeinflussen, in der diese Pflichten dokumentiert und verwaltet werden.

In der Praxis sollten Anbieter das QMS als zentrale Basis behandeln, aus der alle anderen Compliance-Artefakte — technische Dokumentation, Risikoregister, Marktüberwachungspläne, Vorfallprotokolle — generiert und gesteuert werden.

Wesentliche Pflichten

Einrichten eines dokumentierten Qualitätsmanagementsystems vor dem Inverkehrbringen oder der Inbetriebnahme eines Hochrisiko-KI-Systems, das alle Lebenszyklusphasen abdeckt.
Integration der gemäß Artikel 9 erforderlichen Risikomanagementverfahren in das QMS, um sicherzustellen, dass Risikoidentifizierung, -bewertung und -minderung systematisch und nachvollziehbar sind.
Dokumentation der Datenverwaltungspraktiken, die Erhebung, Kennzeichnung, Verarbeitung, Speicherung und Aufbewahrung abdecken, im Einklang mit den Datenverwaltungsanforderungen des Artikels 10.
Pflege der in Artikel 11 und Anhang IV spezifizierten technischen Dokumentation als QMS-Ergebnis, wobei sie aktuell und zugänglich für Konformitätsbewertungs- und Marktüberwachungszwecke zu halten ist.
Umsetzung von Verfahren zur Marktüberwachung und Vorfallmeldung im QMS-Rahmen, ausgerichtet an Artikel 72 bzw. 73.
Definition und Dokumentation von Verantwortungsstrukturen, Rollen und Zuständigkeiten in der gesamten Organisation, einschließlich der Lieferkettenaufsicht, wenn Drittkomponenten zum KI-System beitragen.

Verhältnis zu anderen Artikeln

Artikel 17 fungiert als organisatorisches Rückgrat des in Titel III, Kapitel 3 etablierten Compliance-Regimes für Hochrisiko-KI-Systeme. Er schöpft seinen inhaltlichen Gehalt aus mehreren miteinander verflochtenen Pflichten: Das Risikomanagementsystem aus Artikel 9, die Daten- und Datenverwaltungsanforderungen aus Artikel 10 und das technische Dokumentationsregime aus Artikel 11 fließen unmittelbar in das ein, was das QMS abdecken und hervorbringen muss.

Das QMS muss auch die Konformitätsbewertungsverfahren in Artikel 43 und 44 unterstützen, da die von ihm erstellte Dokumentation das primäre Beweismittel darstellt, das von notifizierten Stellen oder Selbstbewertungsprozessen geprüft wird. Die Pflichten nach der Bereitstellung gemäß Artikel 72 (Marktüberwachung) und Artikel 73 (Meldung schwerwiegender Vorfälle) müssen in QMS-Verfahren eingebettet sein, anstatt als separate Ad-hoc-Aktivitäten verwaltet zu werden.

Artikel 26 legt Betreibern Pflichten auf, die von den QMS-Pflichten der Anbieter verschieden, aber komplementär zu ihnen sind. Wo Anbieter und Betreiber überlappen — beispielsweise wenn eine Organisation ein Hochrisiko-KI-System sowohl intern entwickelt als auch betreibt — muss das QMS nach Artikel 17 zusammen mit den Betreiberpflichten nach Artikel 26 gelesen werden, um eine vollständige Abdeckung zu gewährleisten.

Zeitplan für die Compliance

Die EU-KI-Verordnung trat am 1. August 2024 nach Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Die Anwendung ihrer Bestimmungen erfolgt schrittweise:

Februar 2025 — Verbote von KI-Praktiken mit unannehmbarem Risiko (Artikel 5) wurden anwendbar.
August 2025 — Pflichten in Bezug auf KI-Modelle für allgemeine Zwecke (Titel VIII) wurden anwendbar.
2. August 2026 — Artikel 17 wird auf Anbieter von Hochrisiko-KI-Systemen nach Anhang III anwendbar (Systeme in Bereichen wie Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienste, Strafverfolgung, Migration und Strafrechtspflege).
2. August 2027 — Artikel 17 wird auf Anbieter von Hochrisiko-KI-Systemen nach Anhang I anwendbar (KI-Komponenten in Produkten, die bereits dem Harmonisierungsrecht der Union unterliegen, wie Medizinprodukte, Maschinen und Luftfahrtausrüstung).

Anbieter, deren Systeme vor diesen Terminen bereits auf dem Markt sind, profitieren von Übergangsregelungen gemäß Artikel 111, die die vollständigen QMS-Compliance-Pflichten unter Bedingungen im Zusammenhang mit wesentlichen Änderungen und laufenden Konformitätsbewertungszyklen aufschieben können. Organisationen sollten mit dem QMS-Design und Gap-Analysen deutlich vor dem anwendbaren Stichtag beginnen, um interne Validierung, die Einbindung notifizierter Stellen, wo erforderlich, und iterative Verfeinerung vor Eintritt der Verpflichtung zu ermöglichen.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Wer ist gemäß Artikel 17 verpflichtet, ein Qualitätsmanagementsystem einzurichten?

Artikel 17 legt die Pflicht zur Einrichtung eines Qualitätsmanagementsystems ausschließlich Anbietern von Hochrisiko-KI-Systemen auf, die in Artikel 6 und Anhang III der Verordnung (EU) 2024/1689 definiert sind. Betreiber unterliegen dieser spezifischen Pflicht nicht, obwohl sie gesonderte Verpflichtungen gemäß Artikel 26 tragen.

Was muss ein Qualitätsmanagementsystem gemäß Artikel 17 umfassen?

Das QMS muss mindestens abdecken: eine Strategie zur Einhaltung regulatorischer Anforderungen, Design- und Entwicklungsmethoden, Datenverwaltungsverfahren, Risikomanagement gemäß Artikel 9, technische Dokumentation nach Artikel 11, Protokollierung und Aufzeichnungsführung, Marktüberwachung nach Artikel 72, Meldepflichten bei Vorfällen sowie Regelungen zur menschlichen Aufsicht.

Erfordert Artikel 17 ein zertifiziertes Qualitätsmanagementsystem wie ISO 9001?

Artikel 17 schreibt keinen bestimmten Zertifizierungsstandard vor. Die Einhaltung anerkannter Standards wie ISO 9001 oder branchenspezifischer Äquivalente kann jedoch die Konformitätsnachweis unterstützen, insbesondere wenn harmonisierte Normen gemäß Artikel 40 QMS-Anforderungen einbeziehen.

Wie hängt das Qualitätsmanagementsystem mit der technischen Dokumentation zusammen?

QMS und technische Dokumentation sind eng miteinander verbunden. Das QMS muss die gemäß Artikel 11 und Anhang IV erforderliche technische Dokumentation erstellen und pflegen; die Dokumentation selbst dient während der Konformitätsbewertung als Hauptnachweis für das ordnungsgemäße Funktionieren des QMS.

Wann wird Artikel 17 anwendbar?

Artikel 17 gilt für Anbieter von Hochrisiko-KI-Systemen in Anhang III ab dem 2. August 2026 und für Anbieter von Hochrisiko-KI-Systemen nach Anhang I (sektorspezifische Harmonisierungsrechtsvorschriften der Union) ab dem 2. August 2027, vorbehaltlich der Übergangsbestimmungen in Artikel 111.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.