EU-KI-Verordnung Artikel 43: Konformitätsbewertungsverfahren für Hochrisiko-KI

Artikel 43 der EU-KI-Verordnung legt die Konformitätsbewertungsverfahren für Hochrisiko-KI-Systeme fest. Für die meisten Hochrisiko-SaaS-Anwendungen ist eine interne Konformitätsbewertung (Eigenbewertung) ausreichend. In bestimmten Fällen – vor allem bei biometrischer KI – muss eine notifizierte Stelle hinzugezogen werden. Es ist entscheidend zu verstehen, welches Verfahren anzuwenden ist, insbesondere angesichts der begrenzten Kapazitäten notifizierter Stellen.

Die zwei Konformitätsbewertungsverfahren

Artikel 43(1) sieht für Hochrisiko-KI zwei Verfahren vor: (a) interne Kontrolle gemäß Anhang VI, bei der der Anbieter die Konformität anhand der Normen selbst bewertet, oder (b) Konformitätsbewertung gemäß Anhang VII unter Einbeziehung einer notifizierten Stelle. Anhang VI ist für die meisten Kategorien des Anhangs III anwendbar. Anhang VII ist für Hochrisikosysteme gemäß Anhang III Nummer 1 (biometrische Identifizierung und Kategorisierung) vorgeschrieben, wenn harmonisierte Normen noch nicht existieren oder nicht vollständig angewendet wurden.

Interne Konformitätsbewertung gemäß Anhang VI

Verfahren gemäß Anhang VI: Der Anbieter bewertet seine eigene Konformität anhand der einschlägigen harmonisierten Normen, gemeinsamer Spezifikationen oder sonstiger technischer Spezifikationen. Erforderliche Dokumentation: technische Dokumentation gemäß Artikel 11, Nachweise des Risikomanagementsystems gemäß Artikel 9, Nachweise des Qualitätsmanagementsystems gemäß Artikel 17, Nachweise der Überwachung nach dem Inverkehrbringen gemäß Artikel 72. Der Anbieter stellt eine EU-Konformitätserklärung gemäß Artikel 47 aus und bringt die CE-Kennzeichnung gemäß Artikel 48 an. Eine externe Stelle ist nicht erforderlich.

Bewertung durch eine notifizierte Stelle gemäß Anhang VII

Das Verfahren gemäß Anhang VII erfordert, dass eine notifizierte Stelle (benannt gemäß Artikel 31) das Qualitätsmanagementsystem und die technische Dokumentation bewertet. Die notifizierte Stelle stellt ein Zertifikat aus. Für SaaS-Anwendungen ist dieses Verfahren derzeit hauptsächlich für biometrische Hochrisikosysteme vorgeschrieben, für die harmonisierte Normen noch entwickelt werden. Die Wartezeiten bei notifizierten Stellen betragen aufgrund von Kapazitätsengpässen im Jahr 2026 zwischen 9 und 18 Monaten; planen Sie entsprechend.

Welches Verfahren gilt für welche Kategorie des Anhangs III

Anhang III Nummer 1 (Biometrie): Notifizierte Stelle gemäß Anhang VII erforderlich, sofern harmonisierte Normen noch nicht verfügbar sind. Die meisten anderen Nummern: Eigenbewertung gemäß Anhang VI ist zulässig. Da harmonisierte Normen (derzeit unter Entwicklung durch CEN-CENELEC JTC 21) noch nicht vollständig vorliegen, können die meisten nicht-biometrischen Hochrisiko-SaaS-Anwendungen das Eigenbewertungsverfahren nutzen. Die Europäische Kommission kann dies im Wege delegierter Rechtsakte ändern, sobald die Normen ausgereift sind.

Praktischer Ansatz für die Compliance

Für die Eigenbewertung gemäß Anhang VI sollten Sie das technische Dokumentationspaket frühzeitig zusammenstellen. Erforderliche Bestandteile: Systembeschreibung, Designspezifikationen, Risikomanagementiodokumentation, Dokumentation der Trainingsdaten, Ergebnisse von Genauigkeits- und Robustheitstests, Spezifikationen zur menschlichen Aufsicht, Plan zur Überwachung nach dem Inverkehrbringen. Holen Sie sich Unterstützung durch einen Compliance-Berater (wie Disclos), um sicherzustellen, dass Ihre Dokumentation die Anforderungen des Anhangs VI erfüllt, bevor die EU-Konformitätserklärung unterzeichnet wird. Für das Verfahren gemäß Anhang VII sollten Sie die notifizierte Stelle 9 bis 18 Monate vor jeder Markteinführung in der EU einbinden.

Frequently asked questions

Wann tritt Artikel 43 in Kraft?

Am 2. August 2026 für die meisten Hochrisikosysteme gemäß Anhang III. Für KI-Systeme als Sicherheitskomponenten gemäß Anhang II gelten die Fristen der jeweiligen harmonisierten Gesetzgebung.

Kann ich immer eine Eigenbewertung durchführen?

Nein – für biometrische Hochrisikosysteme gemäß Anhang III Nummer 1 kann eine notifizierte Stelle gemäß Anhang VII erforderlich sein. Für andere Kategorien des Anhangs III ist die Eigenbewertung gemäß Anhang VI grundsätzlich zulässig.

Wie lange dauern Bewertungen durch notifizierte Stellen?

Derzeit 9 bis 18 Monate aufgrund von Kapazitätsengpässen. Beginnen Sie frühzeitig mit der Einbindung.

Was ist die CE-Kennzeichnung?

Eine nach Artikel 48 vorgeschriebene Kennzeichnung für Hochrisiko-KI nach abgeschlossener Konformitätsbewertung. Sie zeigt an, dass das System die Anforderungen der EU-KI-Verordnung erfüllt.

Kann ein einziges Audit mehrere Hochrisikosysteme abdecken?

Ja, wenn sie eine wesentliche gemeinsame Design- und Qualitätsmanagementinfrastruktur teilen. Jedes System benötigt eine eigene technische Dokumentation, das Qualitätsmanagementsystem (QMS) und die Prozesse können jedoch gemeinsam genutzt werden.

Sources

Last updated: 2026-05-28