Artikel 18 — Aufbewahrung von Unterlagen (EU-KI-Verordnung)

Artikel 18 der Verordnung (EU) 2024/1689 — Aufbewahrung von Unterlagen. Offizieller Text, praktische Auslegung, wesentliche Pflichten und Auswirkungen auf die Compliance.

Zusammenfassung des offiziellen Textes

Artikel 18 der Verordnung (EU) 2024/1689 legt für Anbieter von Hochrisiko-KI-Systemen, die gemäß Anhang III eingestuft oder gemäß den Bestimmungen von Titel III, Kapitel 2 entwickelt wurden, verbindliche Pflichten zur Aufbewahrung von Unterlagen fest. Der Artikel verpflichtet Anbieter, für einen Zeitraum von zehn Jahren nach dem Datum, an dem das Hochrisiko-KI-System in Verkehr gebracht oder in Betrieb genommen wird, einen spezifischen Satz von Dokumenten und Aufzeichnungen aufzubewahren, die die Einhaltung der Verordnung belegen.

Die aufzubewahrenden Unterlagen umfassen: die gemäß Artikel 11 und Anhang IV erstellte technische Dokumentation; die gemäß Artikel 17 erforderliche Dokumentation des Qualitätsmanagementsystems; die gemäß Artikel 47 ausgestellte EU-Konformitätserklärung; gegebenenfalls die von benannten Stellen nach Konformitätsbewertungen gemäß Artikel 43 ausgestellten Unterlagen und Zertifikate; und die gemäß Artikel 72 erforderlichen Pläne zur Überwachung nach dem Inverkehrbringen sowie die dabei erhobenen Daten.

Ist ein Anbieter außerhalb der Europäischen Union ansässig, obliegt die Pflicht zur Aufrechterhaltung zugänglicher Unterlagen gemeinsam dem Anbieter und dem in der EU ansässigen Bevollmächtigten, der gemäß Artikel 22 benannt wurde. Der Artikel stellt ferner klar, dass dann, wenn sektorspezifisches Unionsrecht — wie die Medizinprodukteverordnung (EU) 2017/745 oder die Maschinenverordnung (EU) 2023/1230 — eine längere Aufbewahrungsfrist für gleichwertige technische Unterlagen vorschreibt, die strengere sektorale Anforderung gilt, um die Kohärenz zwischen den Regulierungsrahmen sicherzustellen.

Was dies in der Praxis bedeutet

Für Compliance-Teams und Produktverantwortliche übersetzt sich Artikel 18 in ein konkretes Programm zur Verwaltung von Aufzeichnungen, das vor dem Markteintritt eines Hochrisiko-KI-Systems konzipiert werden muss, nicht nachträglich angepasst.

Wer betroffen ist. Jede juristische Person, die als „Anbieter" im Sinne von Artikel 3 Abs. 3 gilt — in der Regel die Organisation, die ein Hochrisiko-KI-System entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder Warenzeichen in Verkehr bringt — trägt die primäre Pflicht. Drittanbieter-Händler und Importeure unterliegen Artikel 18 nicht unmittelbar, können aber gleichwertige Pflichten auslösen, wenn sie ein System gemäß Artikel 25 wesentlich verändern.

Was aufzubewahren ist. Die Pflicht umfasst den gesamten dokumentarischen Lebenszyklus: technische Dokumentation aus der Entwurfsphase (Architektur, Trainingsdatensätze, Risikobewertung), die Aufzeichnungen des Qualitätsmanagementsystems einschließlich interner Prüfpfade, die unterzeichnete Konformitätserklärung, etwaige Zertifikate benannter Stellen und das laufend aktualisierte Überwachungsprotokoll nach dem Inverkehrbringen. Eine Versionskontrolle ist implizit erforderlich, da Aktualisierungen, die eine wesentliche Änderung darstellen, die Konformitätspflichten und damit den Dokumentationszyklus neu starten.

Praktische Beispiele. Ein Fintech-Unternehmen, das ein als hochriskant eingestuftes Kreditscoring-Modell einsetzt, muss die Modellkarte, Berichte zur Voreingenommenheitsprüfung, die Konformitätserklärung und alle Vorfallsprotokolle nach der Bereitstellung zehn Jahre lang archivieren. Ein Medizinproduktehersteller, der ein KI-gestütztes Diagnosewerkzeug integriert, das bereits unter die MDR fällt, muss prüfen, ob die 15-jährige Aufbewahrungspflicht der MDR gilt; in diesem Fall ist die längere Frist maßgebend.

Betriebliche Empfehlung. Anbieter sollten ein Dokumentenmanagementsystem (DMS) mit rollenbasiertem Zugriff, automatisierten Aufbewahrungsplänen, die an Markteinführungsdaten geknüpft sind, und einem Prüfpfad darüber, wer auf Aufzeichnungen zugegriffen oder sie geändert hat, einführen — all dies unterstützt auch die Bereitschaft für Marktüberwachungsinspektionen gemäß Artikel 74.

Wesentliche Pflichten

Aufbewahrung der gemäß Artikel 11 und Anhang IV zusammengestellten technischen Dokumentation für mindestens 10 Jahre ab dem Datum der Markteinführung oder Inbetriebnahme des Hochrisiko-KI-Systems.
Aufbewahrung der gemäß Artikel 17 erforderlichen Dokumentation des Qualitätsmanagementsystems, einschließlich Aufzeichnungen über interne Kontrollen, Testergebnisse und Korrekturmaßnahmen, für denselben 10-Jahres-Zeitraum.
Aufbewahrung der gemäß Artikel 47 ausgestellten EU-Konformitätserklärung und, sofern eine Konformitätsbewertung durch eine benannte Stelle gemäß Artikel 43 durchgeführt wurde, aller von dieser Stelle ausgestellten Zertifikate und zugehörigen Korrespondenz.
Pflege der Aufzeichnungen zur Überwachung nach dem Inverkehrbringen, die gemäß dem nach Artikel 72 erforderlichen Plan erhoben wurden, einschließlich Vorfallsberichten und etwaiger gemäß Artikel 73 gemeldeter schwerwiegender Vorkommnisse.
Sicherstellung, dass Unterlagen so aufbewahrt werden, dass sie den nationalen Marktüberwachungsbehörden auf Anfrage während der gesamten Aufbewahrungsfrist unverzüglich vorgelegt werden können.
Ist ein Bevollmächtigter gemäß Artikel 22 benannt, muss dieser Bevollmächtigte eine Kopie der Unterlagen besitzen und befugt sein, diese den zuständigen Behörden im Namen des Anbieters vorzulegen.

Verhältnis zu anderen Artikeln

Artikel 18 fungiert als archivalisches Rückgrat des Compliance-Rahmens für Hochrisiko-KI und kann nicht isoliert betrachtet werden.

Er ist nachgelagert gegenüber Artikel 11 (technische Dokumentation) und Anhang IV, die festlegen, was erstellt werden muss; Artikel 18 regelt dann, wie lange es aufbewahrt werden muss. Er hängt von Artikel 17 (Qualitätsmanagementsystem) ab, da die von ihm vorgeschriebenen QMS-Aufzeichnungen aufbewahrt werden müssen. Er verweist auf Artikel 47 (EU-Konformitätserklärung) und Artikel 43 (Konformitätsbewertung), deren Ergebnisse Teil der aufbewahrten Akte sind.

Pflichten nach dem Inverkehrbringen gemäß Artikel 72 (Plan zur Überwachung nach dem Inverkehrbringen) und Artikel 73 (Meldung schwerwiegender Vorkommnisse) fließen kontinuierlich während der gesamten Betriebslebensdauer des Systems in das Dokumentenarchiv ein. Artikel 74 (Marktüberwachung) und Artikel 75 (Zugang zu Daten und Unterlagen) sind die vollzugsseitigen Gegenstücke: Inspektoren, die in deren Rahmen Befugnisse ausüben, werden Zugang zu genau den Aufzeichnungen verlangen, deren Aufbewahrung Artikel 18 vorschreibt.

Für Anbieter außerhalb der EU muss Artikel 22 über Bevollmächtigte zusammen mit Artikel 18 gelesen werden, um festzustellen, welche Einheit die physischen oder elektronischen Aufzeichnungen innerhalb der Union vorhält.

Zeitplan für die Compliance

Die EU-KI-Verordnung ist am 1. August 2024 in Kraft getreten, womit der phasenweise Anwendungszeitplan begann.

Artikel 18 fällt unter Titel III, Kapitel 3, das die Pflichten für Anbieter und Betreiber von Hochrisiko-KI-Systemen regelt, die in Anhang III aufgeführt sind. Diese Bestimmungen gelten ab 2. August 2026 — dem allgemeinen Anwendungsdatum für Hochrisiko-KI, 24 Monate nach Inkrafttreten.

Für Hochrisiko-KI-Systeme, die von der in Anhang I aufgeführten Sektorgesetzgebung erfasst werden (z. B. Maschinen, Medizinprodukte, Zivilluftfahrt), verlängert sich die Frist auf den 2. August 2027, 36 Monate nach Inkrafttreten, in Anerkennung der Notwendigkeit, sich an bestehenden sektoralen Konformitätsrahmen auszurichten.

Anbieter sollten beachten, dass die 10-jährige Aufbewahrungsfrist ab dem Zeitpunkt zu laufen beginnt, an dem ein System in Verkehr gebracht oder in Betrieb genommen wird — was am oder kurz nach dem maßgeblichen Anwendungsdatum erfolgen kann. Die Dokumentationspflichten beginnen daher faktisch zu demselben Zeitpunkt, an dem die Hochrisikopflichten insgesamt durchsetzbar werden. Organisationen, die beabsichtigen, Systeme zu oder in der Nähe des Datums im August 2026 in Verkehr zu bringen, sollten ihre Infrastruktur zur Verwaltung von Aufzeichnungen rechtzeitig im Voraus betriebsbereit haben, da die technische Dokumentation gemäß Artikel 11 vor Abschluss der Konformitätsbewertung vorliegen muss.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Welche Unterlagen müssen Anbieter von Hochrisiko-KI-Systemen gemäß Artikel 18 aufbewahren?

Anbieter müssen die gemäß Artikel 11 erstellte technische Dokumentation, die EU-Konformitätserklärung, die gemäß Artikel 17 erforderliche Dokumentation des Qualitätsmanagementsystems, alle von benannten Stellen ausgestellten Entscheidungen und Dokumente sowie Berichte zur Überwachung nach dem Inverkehrbringen aufbewahren. Diese Unterlagen müssen für einen Zeitraum von 10 Jahren aufbewahrt werden, nachdem das Hochrisiko-KI-System in Verkehr gebracht oder in Betrieb genommen wurde.

Gilt Artikel 18 für Betreiber von Hochrisiko-KI-Systemen?

Artikel 18 legt Aufbewahrungspflichten für Unterlagen in erster Linie den Anbietern auf. Betreiber haben jedoch gesonderte Pflichten gemäß Artikel 26, einschließlich der Aufbewahrung von Protokollen, die automatisch von Hochrisiko-KI-Systemen erzeugt werden, soweit diese Protokolle ihrer Kontrolle unterliegen. Beide Pflichten ergänzen einander und sollten gemeinsam gelesen werden.

Wie lange müssen Unterlagen gemäß Artikel 18 aufbewahrt werden?

Die allgemeine Aufbewahrungsfrist beträgt 10 Jahre ab dem Datum, an dem das Hochrisiko-KI-System in Verkehr gebracht oder in Betrieb genommen wird. Schreibt sektorspezifisches Unionsrecht eine längere Aufbewahrungsfrist vor, gilt die strengere sektorale Anforderung.

Wo müssen die gemäß Artikel 18 erforderlichen Unterlagen aufbewahrt werden?

Die Unterlagen müssen so aufbewahrt werden, dass sie den nationalen zuständigen Behörden auf Anfrage während der gesamten Aufbewahrungsfrist zur Verfügung gestellt werden können. Es gibt keine ausdrückliche Anforderung, dass Unterlagen in einem bestimmten Land aufbewahrt werden müssen, aber Anbieter müssen in der Lage sein, sie der Marktüberwachungsbehörde jedes Mitgliedstaats, in dem das System eingesetzt wird, unverzüglich vorzulegen.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.