Hochriskante KI-Systeme müssen vor der Inverkehrbringung auf dem EU-Markt eine vollständige technische Akte führen. Art. 11 und Anhang IV definieren genau, was einzuschließen ist — von der Systemarchitektur bis hin zur Daten-Governance und Marktüberwachungsplänen.
Was ist die technische Akte?
Die technische Dokumentation — gemeinhin als „technische Akte" bezeichnet — ist das Haupt-Nachweispaket, das belegt, dass ein hochriskantes KI-System alle EU-AI-Act-Anforderungen erfüllt. Sie wird von Art. 11 vorgeschrieben und durch Anhang IV strukturiert und muss vor der Inverkehrbringung erstellt und über den gesamten Lebenszyklus des Systems aktuell gehalten werden.
Die technische Akte wird nicht zentral eingereicht. Der Anbieter hält sie und legt sie auf Anfrage Marktüberwachungsbehörden und benannten Stellen vor. Dies ist ein Pull-Modell: Die Behörden kommen zu Ihnen; Sie müssen bereit sein, ein vollständiges, kohärentes Paket vorzulegen, kein improvisierter Stapel von Dateien, der unter Druck zusammengestellt wird.
Art. 11 legt drei Pflichten für Anbieter fest:
- Erstellen vor der Marktplatzierung oder Inbetriebnahme.
- Aktuell halten — jede wesentliche Änderung des Systems erfordert die Aktualisierung der Akte und eine erneute Konformitätsbewertung.
- Zugang gewähren für zuständige Behörden und benannte Stellen auf Anfrage innerhalb einer definierten Frist (typischerweise 10 Werktage nach nationalen Marktüberwachungsregeln).
Der Standard für „aktuell" ist funktional: Die technische Akte muss das System so widerspiegeln, wie es tatsächlich eingesetzt wird, nicht so, wie es ursprünglich konzipiert wurde. Wenn eine Modellaktualisierung Leistungsmerkmale, Genauigkeitsschwellen oder Trainingsdaten ändert, muss die Akte entsprechend überarbeitet werden.
Wer braucht technische Dokumentation?
Technische Dokumentation nach Art. 11 und Anhang IV ist obligatorisch für Anbieter von:
- In Anhang III aufgeführten hochriskanten KI-Systemen — eigenständige Systeme in Bereichen wie biometrische Kategorisierung, Personalgewinnung, Kreditwürdigkeitsbewertung, Management kritischer Infrastrukturen, Bildung, Strafverfolgung, Migration und Grenzkontrolle sowie Rechtspflege (unterliegt dem erheblichen Risikofilter von Art. 6(3))
- KI-Systemen, die als Sicherheitskomponenten in Anhang-I-regulierten Produkten fungieren — in Medizinprodukte, Maschinen, Fahrzeuge, Luftfahrtausrüstung und ähnliche Produkte eingebettete KI, die durch bestehende EU-Produktsicherheitsgesetzgebung geregelt werden
Technische Dokumentation ist nicht erforderlich für:
- KI-Systeme mit minimalem Risiko (Chatbots, Spam-Filter, Empfehlungsmotoren außerhalb hochriskanter Kategorien)
- KI-Systeme, die nur Transparenzpflichten nach Art. 50 unterliegen (z. B. Deepfake-Offenlegungen, Emotionserkennungs-Offenlegungen, wenn nicht hochriskant)
- Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) — sie haben separate Dokumentationspflichten nach Art. 53, einschließlich technischer Dokumentation für das Modell selbst, aber nicht das für eingesetzte hochriskante Systeme konzipierte Anhang-IV-Format
Wenn Sie ein Betreiber (kein Anbieter) sind, sind Sie nicht verpflichtet, die technische Akte zu erstellen. Betreiber müssen jedoch Protokolle der Systemnutzung aufbewahren (Art. 26(5)), und Anbieter sind berechtigt, diese Protokolle bei der Aktualisierung der technischen Dokumentation oder der Bearbeitung von Vorfallmeldungen zu nutzen.
Die 14 Elemente des Anhangs IV
Anhang IV gibt den Mindestinhalt der technischen Akte vor. Es gibt kein starres Format — Anbieter können die Dokumentation nach eigenem Ermessen organisieren — aber alle 14 Elemente müssen vorhanden und substanziell sein. Tick-Box-Einträge ohne unterstützende Beweise erfüllen Anhang IV nicht.
| # | Anhang-IV-Element | Was es enthalten muss |
|---|---|---|
| 1 | Allgemeine Beschreibung | Systemname, Versionskennung, Verwendungszweck, beabsichtigte Nutzer, geografische Märkte, Anbietername und -adresse, etwaige Bevollmächtigte Vertreter |
| 2 | Systemkomponenten | Hardwareanforderungen, Softwarekomponenten, verwendete Drittanbieter-Modelle oder -Bibliotheken, Trainingsübersicht, algorithmischer Ansatz (z. B. überwachtes Lernen, bestärkendes Lernen, Transformer-Architektur) |
| 3 | Designspezifikationen | Systemarchitektur, Datenflussdiagramme, wichtige Designentscheidungen und ihre Begründung, gemachte Abwägungen (z. B. Genauigkeit vs. Erklärbarkeit), Ausgabeformat und wie Ausgaben nachgelagerte Entscheidungen beeinflussen |
| 4 | Trainings-, Validierungs- und Testdaten | In jeder Phase verwendete Datensätze, Datenquellen, Daten-Governance-Verfahren, statistische Eigenschaften der Datensätze (Größe, Verteilung, Abdeckung), Datenverarbeitungs- und Vorverarbeitungsprotokolle, Maßnahmen zur Erkennung und Behebung von Datensatz-Verzerrungen |
| 5 | Risikomanagement-Dokumentation | Das vollständige Art.-9-Risikomanagementsystem: identifizierte Risiken für Gesundheit, Sicherheit und Grundrechte; Risikoschätzung und -bewertung; angenommene Risikominderungsmaßnahmen; akzeptierte Restrisiken; Grundlage für die Akzeptanz von Restrisiken |
| 6 | Lebenszyklusänderungen | Beschreibung aller wesentlichen Änderungen nach der erstmaligen Inbetriebnahme, ihre Art und ihr Umfang, wie die Konformität nach jeder Änderung neu bewertet wurde, Versionshistorie mit Daten |
| 7 | Menschliche Aufsichtsmaßnahmen | Wie Art.-14-Anforderungen implementiert werden: Override- und Stopp-Mechanismen, Schnittstellen, die menschlichen Operatoren die Überwachung von Ausgaben ermöglichen, Schulungs- oder Qualifikationsanforderungen für Operatoren, dokumentierte Verfahren für menschliche Eingriffe |
| 8 | Validierungs- und Testverfahren | Verwendete Leistungsmetriken (Genauigkeit, Präzision, Recall, F1, AUC, Fairness-Metriken), Testdatensatz-Beschreibungen, Testbedingungen und -umgebung, Bias-Test-Methodik und -Ergebnisse, Robustheit und Stresstests, Leistung bei Verteilungsänderungen |
| 9 | Cybersicherheitsmaßnahmen | Technische Maßnahmen gegen Modell-Diebstahl, Datenvergiftung, Adversarial Attacks, Prompt Injection (für LLM-basierte Systeme), Zugriffskontrollen, Verschlüsselung während der Übertragung und im Ruhezustand, Schwachstellenmanagement-Verfahren |
| 10 | Bias- und Genauigkeits-Monitoring | Laufende Monitoring-Verfahren nach dem Einsatz, Genauigkeitsschwellen, unter denen das System eine Überprüfung auslöst, Leistungs-Benchmarks aufgeteilt nach demografischen Gruppen, wo relevant, Verfahren für das Handeln bei erkanntem Drift oder Bias |
| 11 | Gebrauchsanweisungen | Das Art.-13-Betreiber-orientierte Dokument: Verwendungszweck und Anwendungsfälle, Leistungsmerkmale und Einschränkungen, bekannte Einschränkungen, Wartungs- und Aktualisierungsanforderungen, Protokollierungspflichten für Betreiber, Kontaktstelle für die Meldung von Vorfällen |
| 12 | Marktüberwachungsplan | Das Art.-72-Monitoring-System-Design: von Betreibern gesammelte Daten, Häufigkeit der Monitoring-Zyklen, Schwellenwerte, die eine Überprüfung oder Aktualisierung auslösen, Verfahren für die Meldung schwerwiegender Vorfälle (Art. 73), Verfahren für die Rückspeisung von Monitoring-Daten in das Risikomanagementsystem |
| 13 | Beschreibung der Schnittstellen | APIs und Integrationspunkte, Eingabedatenformate und -einschränkungen, Ausgabeformate und ihre Semantik, Integration mit anderen Systemen oder Komponenten, Versionskompatibilität |
| 14 | Harmonisierte Normen und gemeinsame Spezifikationen | Liste der angewandten harmonisierten Normen (z. B. ISO/IEC 42001:2023, EN-Normen im Rahmen des AI-Act-Normungsprogramms), nach Art. 41 angenommene gemeinsame Spezifikationen, das Ausmaß, in dem jede Norm angewandt wurde, etwaige Abweichungen und ihre Begründung |
Praktischer Hinweis zu Element 4 (Trainingsdaten): Anhang IV erfordert nicht, dass Sie die Datensätze öffentlich oder standardmäßig an Behörden offenlegen. Er erfordert, dass die Dokumentation vorhanden ist und vorgelegt werden kann. Für proprietäre Datensätze wird eine Beschreibung der Daten-Governance-Verfahren, statistische Zusammenfassungen und Bias-Test-Ergebnisse die Anforderung typischerweise erfüllen, ohne kommerziell sensible Daten offenzulegen.
Praktischer Hinweis zu Element 14 (Normen): Ab Mitte 2026 befindet sich das AI-Act-Normungsprogramm noch in Entwicklung. ISO/IEC 42001 (KI-Managementsysteme) ist verfügbar und wird weitgehend referenziert. Anbieter sollten die europäische Normungsarbeit unter CEN/CENELEC JTC 21 verfolgen und diesen Abschnitt aktualisieren, wenn harmonisierte Normen im Amtsblatt veröffentlicht werden.
EU-Konformitätserklärung (Art. 47)
Die EU-Konformitätserklärung (EU KE) ist ein separates obligatorisches Dokument — es ist nicht Teil der technischen Akte, referenziert diese aber. Die EU KE ist die formelle Erklärung des Anbieters, dass das KI-System alle anwendbaren EU-AI-Act-Anforderungen erfüllt.
Eine gültige EU KE muss enthalten:
- Den Namen und die Adresse des Anbieters (und des Bevollmächtigten Vertreters, falls anwendbar)
- Den Namen, die Version, die Serien- oder Chargennummer des KI-Systems, falls anwendbar
- Eine Erklärung, dass das System den EU AI Act einhält
- Das verwendete Konformitätsbewertungsverfahren: Anhang VI (interne Kontrolle / Selbstbewertung) für die meisten Anhang-III-Systeme oder Anhang VII (Drittpartei-Bewertung durch eine benannte Stelle) für biometrische Kategorisierungs-KI und KI in kritischen Infrastrukturen, die eine Drittpartei-Einbeziehung erfordern
- Eine Liste der harmonisierten Normen oder gemeinsamen Spezifikationen, auf die sich gestützt wird
- Die Unterschrift des Bevollmächtigten des Anbieters mit Datum und Ort
Die EU KE muss 10 Jahre nach der Marktplatzierung aufbewahrt und auf Anfrage vorgelegt werden. Sie begleitet die CE-Kennzeichnung (siehe unten).
Für in Anhang-I-Produkten eingebettete KI-Systeme kann die EU KE mit der nach der relevanten Sektorsgesetzgebung erforderlichen Konformitätserklärung zusammengeführt werden, sofern sie alle von beiden Rechtsinstrumenten geforderten Elemente enthält.
CE-Kennzeichnung (Art. 48)
Hochriskante KI-Systeme, die auf dem EU-Markt in Verkehr gebracht werden, müssen die CE-Kennzeichnung tragen, die die Konformität mit dem EU AI Act und aller anderen anwendbaren Harmonisierungsgesetzgebung der Union für dasselbe Produkt signalisiert.
Ausnahmen: KI-Systeme in Anhang-III-Kategorien, die von öffentlichen Behörden für den eigenen internen Gebrauch eingesetzt werden, sind von der CE-Kennzeichnungspflicht befreit. Sie unterliegen weiterhin allen anderen Pflichten — technischer Dokumentation, Risikomanagement, menschlicher Aufsicht, Registrierung — müssen aber keine CE-Kennzeichnung anbringen.
Die CE-Kennzeichnung muss vor der Inverkehrbringung auf dem EU-Markt angebracht werden. Sie muss sichtbar, lesbar und dauerhaft sein. Wenn die physische Natur des Systems das direkte Anbringen der Kennzeichnung nicht erlaubt, kann sie auf der Verpackung oder in den Gebrauchsanweisungen erscheinen.
Wenn ein hochriskantes KI-System eine Komponente eines Anhang-I-Produkts ist, das nach sektorspezifischer Gesetzgebung (z. B. Medizinprodukte, Maschinen) bereits eine CE-Kennzeichnung erfordert, deckt die CE-Kennzeichnung die Konformität mit sowohl der Sektorsgesetzgebung als auch dem AI Act ab. Anbieter sollten klar dokumentieren, welche Konformitätsbewertungsverfahren der CE-Kennzeichnung zugrunde liegen.
Praktische Checkliste: Minimale tragfähige technische Akte
Bevor ein hochriskantes KI-System auf dem EU-Markt in Verkehr gebracht wird, überprüfen Sie, ob diese 10 Punkte vollständig und belegt sind:
- [ ] Systembeschreibung und Versionskontrolle — Name, Version, Verwendungszweck dokumentiert; ein Änderungsprotokoll vorhanden
- [ ] Architekturdiagramm — Datenfluss- und Komponentendiagramm, das alle Hardware-, Software- und Drittanbieter-Elemente zeigt
- [ ] Trainingsdaten-Inventar und Governance-Nachweis — Datensätze katalogisiert mit Quelle, Größe, Aufteilung und dokumentierten Datenqualitätsverfahren
- [ ] Risikobewertung (nach Art. 9) — identifizierte Risiken, Minderungsmaßnahmen und akzeptierte Restrisiken dokumentiert und unterzeichnet
- [ ] Bias-Test-Ergebnisse — Test-Methodik dokumentiert; Ergebnisse nach relevanten demografischen Gruppen aufgeteilt, wo anwendbar
- [ ] Genauigkeitsmetriken auf einem repräsentativen Testdatensatz — Leistungsmetriken mit Testbedingungen dokumentiert; Schwellenwerte definiert
- [ ] Menschliche Aufsichtsverfahren-Dokument — Override-Mechanismen beschrieben; Operatoranforderungen (Schulung, Qualifikation) dokumentiert
- [ ] Cybersicherheitsbewertung — bekannte Angriffsvektoren bewertet; technische Gegenmaßnahmen dokumentiert
- [ ] Gebrauchsanweisungen (Betreiber-orientiert) — Art.-13-Dokument vollständig, einschließlich Einschränkungen, Protokollierungspflichten und Vorfallmeldungs-Kontakt
- [ ] Marktüberwachungsplan — Datenabrufumfang, Monitoring-Häufigkeit, Überprüfungsauslöser und Vorfallmeldevorgang dokumentiert
Diese Checkliste deckt das Minimum ab. Eine gut vorbereitete technische Akte geht weiter — insbesondere bei der Bias-Test-Methodik, Modellkarten für Komponentenmodelle und Belegen des Risikomanagementsystem-Prozesses als iterativ statt einmalig.
Wie dies mit der EU-AI-Act-Akademie zusammenhängt
Die EU-AI-Act-Akademie Pro-Stufe enthält gebrauchsfertige Vorlagen für technische Dokumentation, die alle 14 Anhang-IV-Elemente abdecken, einschließlich:
- Ein strukturiertes XLSX-Arbeitsbuch mit einem Tab pro Anhang-IV-Element, vorausgefüllt mit Eingabeaufforderungen und Beispieleinträgen
- Ein DOCX-Technische-Akte-Skelett, bereit zur Bearbeitung
- Ein Risikobewertungs-Arbeitsblatt nach dem iterativen Art.-9-Prozess
- Eine Daten-Governance-Nachweisvorlage für Trainings-, Validierungs- und Testdatensätze
- Eine Marktüberwachungsplan-Vorlage, die mit Art. 72 abgestimmt ist
Diese Vorlagen sind darauf ausgelegt, an Ihr spezifisches System angepasst zu werden — sie sind Ausgangspunkte mit substanziellem Inhalt, keine leeren Formulare.
Verwandte Seiten:
- Anhang III — Hochriskante KI-Kategorien und Pflichten
- Konformitätsbewertungsverfahren (Anhang VI und VII)
- EU-AI-Act-Akademie — Vorlagen und Schulung
- Tools — Konformitätsbewertungs-Selektor
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Der Anbieter des hochriskanten KI-Systems ist allein verantwortlich für die Erstellung und Pflege der technischen Dokumentation. Betreiber sind nicht verpflichtet, diese zu erstellen, müssen aber Zugriffsprotokolle aufbewahren und diese möglicherweise Anbietern für Berichtszwecke zur Verfügung stellen.
Die technische Dokumentation muss 10 Jahre nach der Inverkehrbringung oder Inbetriebnahme des KI-Systems auf dem EU-Markt aufbewahrt werden (Art. 18). Bei in Produkte eingebetteten KI-Systemen, die Anhang-I-Gesetzgebung unterliegen, gilt die Aufbewahrungsfrist der Produktgesetzgebung, wenn sie länger ist.
Nein — die technische Dokumentation wird nicht zentral eingereicht. Sie muss vom Anbieter aufbewahrt und Marktüberwachungsbehörden und benannten Stellen auf Anfrage zur Verfügung gestellt werden. Die Registrierung in der EU-KI-Datenbank (Art. 71) ist obligatorisch, aber die vollständige technische Akte bleibt beim Anbieter.
Ein formelles Dokument, das vom Anbieter unterzeichnet wird und bestätigt, dass das KI-System den Anforderungen des EU AI Act entspricht. Es muss den Systemnamen, die Version, die Anbieteridentität, eine Liste der erfüllten anwendbaren Anforderungen, das verwendete Konformitätsbewertungsverfahren und einen Verweis auf relevante harmonisierte Normen enthalten. Es begleitet die CE-Kennzeichnung.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.