Definition: Konformitätsbewertung
Die Konformitätsbewertung ist das nach der EU-KI-Verordnung vorgeschriebene Verfahren, mit dem ein Anbieter prüft, dokumentiert und nachweist, dass ein Hochrisiko-KI-System die verbindlichen Anforderungen der Verordnung erfüllt, bevor es auf dem EU-Markt bereitgestellt oder in Betrieb genommen wird.
Kernmerkmale von Konformitätsbewertung
Die Bewertung liegt in der rechtlichen Verantwortung des Anbieters, nicht der Kunden oder Betreiber, die das System später einsetzen. Sie muss abgeschlossen und dokumentiert sein, bevor das System auf den Markt kommt oder produktiv geht.
- Bestätigt, dass Risikomanagement, Data Governance, technische Dokumentation, Protokollierung und menschliche Aufsicht tatsächlich erfüllt sind
- Läuft über einen von zwei Wegen: interne Kontrolle nach Anhang VI oder Bewertung durch eine benannte Stelle nach Anhang VII
- Führt zu einer EU-Konformitätserklärung und ist rechtliche Voraussetzung für die CE-Kennzeichnung
- Muss bei jeder wesentlichen Änderung wiederholt werden, die Zweckbestimmung oder Risikoprofil des Systems verändert
Konformitätsbewertung vs. CE-Kennzeichnung
Die Konformitätsbewertung ist der Prozess, die CE-Kennzeichnung ist ihr sichtbares Ergebnis. Ein Anbieter darf das CE-Zeichen erst anbringen, nachdem die Bewertung bestätigt hat, dass alle Anforderungen erfüllt sind, und die EU-Konformitätserklärung unterschrieben ist. Mittelständische Anbieter behandeln das CE-Zeichen manchmal als reine Formalität, dabei kann die Marktaufsichtsbehörde, in Deutschland das BSI, jederzeit die zugrunde liegende technische Dokumentation anfordern. Wer das CE-Zeichen ohne abgeschlossene Bewertung anbringt, verstößt gegen die EU-KI-Verordnung, unabhängig davon, ob das System tatsächlich sicher funktioniert.
Bedeutung von Konformitätsbewertung im Enterprise-KI-Umfeld
Die Konformitätsbewertung entscheidet darüber, ob ein Hochrisiko-KI-System in der EU überhaupt in Produktion gehen darf, und ist damit einer der folgenreichsten Meilensteine der KI-Compliance für Anbieter. Der EU-KI-Verordnung-Readiness-Report 2026 von Vision Compliance zeigt, dass 78 Prozent der Organisationen keine belastbaren Schritte in Richtung dieser Anforderung unternommen hatten und 61 Prozent überhaupt kein Verfahren zur Erstellung der zugrunde liegenden technischen Dokumentation besaßen.
Methoden und Verfahren für Konformitätsbewertung
Zwei strukturierte Wege decken fast alle Hochrisiko-KI-Systeme ab, dazu kommt eine Abkürzung über harmonisierte Normen.
Interne Kontrolle (Anhang VI)
Die meisten Hochrisiko-Systeme aus Anhang III (Punkte 2 bis 8) durchlaufen diesen Selbstbewertungsweg ohne Beteiligung einer benannten Stelle.
- Qualitätsmanagementsystem aufbauen und dokumentieren, das den gesamten Lebenszyklus des KI-Systems abdeckt
- Technische Dokumentation nach Artikel 11 zusammenstellen, inklusive Designentscheidungen, Trainingsdaten und Testergebnissen
- Konformität intern prüfen, EU-Konformitätserklärung unterschreiben und System vor Marktbereitstellung in der EU-Datenbank registrieren
Bewertung durch eine benannte Stelle (Anhang VII)
Systeme zur biometrischen Fernidentifizierung (Anhang III, Punkt 1) und Hochrisiko-KI, die als Sicherheitsbauteil in ein bereits regulierten Produkt eingebettet ist, etwa Maschinen oder Medizinprodukte mit bestehender Drittzertifizierung, brauchen eine unabhängige benannte Stelle. Der Anbieter reicht Qualitätsmanagementsystem und technische Dokumentation bei einer Stelle aus der offiziellen EU-Liste ein; diese prüft die Unterlagen, testet das System bei Bedarf und stellt erst dann ein Zertifikat aus, das die CE-Kennzeichnung erlaubt.
Harmonisierte Normen und Konformitätsvermutung
Artikel 40 gewährt Systemen, die nach europäischen harmonisierten Normen gebaut sind, eine Konformitätsvermutung, doch die meisten Normen befanden sich 2026 noch im Entwurf. Anbieter dokumentieren Konformität deshalb überwiegend direkt gegen den Verordnungstext. Unternehmen, die bereits nach ISO 42001 zertifiziert sind, übernehmen einen Großteil dieses Managementsystems, seiner Aufzeichnungen und Risikobewertungen direkt in die technische Akte und verkürzen die Bewertung damit erheblich.
Wichtige Kennzahlen für Konformitätsbewertung
Der Fortschritt der Bewertung braucht eigene Indikatoren, die über allgemeine Compliance-Kennzahlen hinausgehen.
Dokumentations- und Prozessabdeckung
- KI-Systeminventar: Anteil der vermarkteten Systeme mit abgeschlossener Risikoklassifizierung
- Abdeckung der Konformitätsbewertung: Anteil der Hochrisiko-Systeme nach Anhang III mit unterschriebener Konformitätserklärung
- EU-Datenbankregistrierung: Anteil der bewerteten Systeme, die vor Marktbereitstellung registriert sind
- Vollständigkeit der technischen Akte: Anteil der Akten mit allen Elementen nach Artikel 11
Einbindung benannter Stellen
Für Anbieter, deren Systeme unter Anhang VII fallen, ist die frühzeitige Einbindung benannter Stellen selbst eine strategische Kennzahl. Die Bitkom-KI-Studie 2026 zeigt, dass betroffene deutsche Unternehmen im Schnitt 1,5 Hochrisiko-KI-Systeme betreiben, 29 Prozent aber gar nicht angeben können, wie viele Hochrisiko-Systeme sie tatsächlich einsetzen, was eine vorausschauende Kapazitätsplanung bei benannten Stellen praktisch unmöglich macht.
Bewertungsqualität
Interne Audit-Teams sollten erfassen, wie oft technische Dokumentation bei Selbstbewertung oder Prüfung durch eine benannte Stelle zur Überarbeitung zurückkommt. Eine hohe Nacharbeitsquote zeigt, dass Dokumentation für eine interne Checkliste geschrieben wurde und nicht für die Artikel-11-Anforderungen, gegen die eine Aufsichtsbehörde tatsächlich prüft.
Risikofaktoren und Kontrollen bei Konformitätsbewertung
Falscher Bewertungsweg
Der häufigste Fehler ist, ein System, das eigentlich Sicherheitsbauteil eines Anhang-I-Produkts ist und daher eine benannte Stelle nach Anhang VII braucht, stattdessen über die interne Kontrolle nach Anhang VI laufen zu lassen.
- Prüfen, ob das System ein eigenständiger Anwendungsfall nach Anhang III ist oder in ein reguliertes Produkt eingebettet
- Klassifizierung erneut prüfen, sobald sich das Zertifizierungsmodul des Produkts ändert
- Entscheidung über den Bewertungsweg mit rechtlicher Freigabe dokumentieren, nicht nur als technische Einschätzung
Kapazitätsengpass bei benannten Stellen
Die Benennung von Stellen für Bewertungen nach der KI-Verordnung hinkt der Nachfrage hinterher; bis 2026 waren nur wenige vollständig akkreditiert, was bei den Systemen, die tatsächlich eine Anhang-VII-Bewertung brauchen, zu Warteschlangen führt. Anbieter mit Bedarf an einer Bewertung durch eine benannte Stelle sollten deutlich vor dem eigenen Launch-Termin anfragen, statt bis zu einer Frist zu warten, da die Vorlaufzeiten benannter Stellen außerhalb der eigenen Kontrolle liegen.
Dokumentationslücken bei Zulieferern
Viele mittelständische Anbieter bauen ein zugekauftes Foundation Model oder eine Drittkomponente in ihr eigenes Hochrisiko-System ein. Kann dieser Zulieferer die nach Artikel 11 geforderte Modelldokumentation nicht liefern, erbt der Anbieter die Compliance-Lücke, ganz gleich wie gut der eigene Code dokumentiert ist. Einkaufsverträge für eingebettete KI-Komponenten sollten Konformitätsdokumentation heute als Standardleistung verlangen, mit klar zugewiesener KI-Haftung, falls die Zulieferdokumentation sich als unvollständig erweist.
Praxisbeispiel
Ein 210 Mitarbeiter zählender Sondermaschinenbauer aus Baden-Württemberg integriert ein KI-gestütztes Bildverarbeitungssystem als Sicherheitsbauteil in seine Fertigungsanlagen, die eine automatische Personenerkennung im Gefahrenbereich vornehmen. Weil die Anlage bereits einer Maschinenrichtlinien-Zertifizierung unterliegt, greift für die eingebettete KI-Komponente die Bewertung durch eine benannte Stelle nach Anhang VII statt die interne Kontrolle. Das Projektteam beauftragte frühzeitig eine benannte Stelle, stellte die technische Dokumentation der Erkennungslogik, Trainingsdaten und Testreihen zusammen und richtete ein Qualitätsmanagementsystem für die laufende Überwachung nach Auslieferung ein.
- Qualitätsmanagementsystem für Entwicklung, Test und Update-Prozess der Erkennungskomponente
- Technische Dokumentation zu Trainingsdaten, Erkennungsschwellen und Testergebnissen für die benannte Stelle
- Zertifikat der benannten Stelle als Grundlage für EU-Konformitätserklärung und CE-Kennzeichnung
- Registrierung des Systems in der EU-Datenbank vor Auslieferung an Kunden
Aktuelle Entwicklungen und Auswirkungen
Drei Entwicklungen verändern gerade, wie Anbieter ihre Konformitätsbewertung planen.
Digital Omnibus verschiebt die Anhang-III-Frist auf Dezember 2027
Das im Mai 2026 verabschiedete Digital-Omnibus-Paket der Europäischen Kommission verschob die Compliance-Frist für Hochrisiko-Systeme nach Anhang III vom 2. August 2026 auf Dezember 2027, mit Verweis auf unfertige harmonisierte Normen und unzureichende Kapazität bei benannten Stellen.
- Pflichten für Hochrisiko-Systeme nach Anhang III, einschließlich Konformitätsbewertung, gelten jetzt ab Dezember 2027
- In andere regulierte Produkte integrierte Hochrisiko-Systeme nach Anhang I verschieben sich auf August 2028
- Transparenzpflichten nach Artikel 50 und die KI-Kompetenz-Anforderungen nach Artikel 4 bleiben von der Verschiebung unberührt
Benennung weiterer Stellen kommt in Gang
Die Akkreditierung benannter Stellen für Bewertungen nach Anhang VII beschleunigt sich, bleibt aber auf wenige Organisationen konzentriert. Anbieter von Systemen zur biometrischen Fernidentifizierung sollten mit längeren Vorlaufzeiten rechnen als der Marktdurchschnitt, bis sich die Zahl benannter Stellen deutlich vergrößert.
Deutsche Marktaufsicht durch das BSI
Das BSI hat bestätigt, dass es als nationale Marktaufsichtsbehörde ab August 2026 die Einhaltung von Konformitätsbewertung und CE-Kennzeichnung überwacht, unabhängig von der Fristverschiebung für Anhang III. Anbieter sollten auch während der laufenden Übergangsfrist mit Stichprobenprüfungen ihrer technischen Dokumentation rechnen.
Fazit
Die Konformitätsbewertung übersetzt die abstrakten Anforderungen der EU-KI-Verordnung in ein konkretes, prüfbares Verfahren, das ein Anbieter vor Markteintritt eines Hochrisiko-Systems abschließen muss. Die Verschiebung auf Dezember 2027 durch den Digital Omnibus verschafft Planungszeit, keine Befreiung, denn technische Dokumentation, Qualitätsmanagement und menschliche Aufsicht müssen ohnehin aufgebaut werden. Mittelständische Anbieter, die die interne Kontrolle jetzt beginnen statt auf die Frist zu warten, vermeiden sowohl Hektik am Ende als auch die Warteschlangen, die sich bei benannten Stellen für Systeme mit Anhang-VII-Pflicht bilden. Wer die Bewertung als Konstruktionsdisziplin begreift statt als Papierkram, erhält am Ende ein CE-Zeichen, das einer Prüfung tatsächlich standhält.
Häufig gestellte Fragen
Was löst eine Konformitätsbewertung nach der EU-KI-Verordnung aus?
Eine Konformitätsbewertung wird immer dann ausgelöst, wenn ein Anbieter ein Hochrisiko-KI-System auf den EU-Markt bringt oder in Betrieb nimmt. Das betrifft die acht Anwendungsfälle in Anhang III, etwa Beschäftigung, Kreditwürdigkeitsprüfung und biometrische Identifizierung, sowie KI-Systeme, die als Sicherheitsbauteil in bereits regulierte Produkte wie Maschinen oder Medizinprodukte eingebettet sind.
Brauchen wir eine benannte Stelle, oder können wir selbst bewerten?
Die meisten Anhang-III-Systeme (Punkte 2 bis 8) qualifizieren sich für die interne Kontrolle nach Anhang VI, bei der der Anbieter seine Konformität ohne externe Prüfung selbst bewertet. Nur Systeme zur biometrischen Fernidentifizierung und KI, die in bereits drittzertifizierte regulierte Produkte eingebettet ist, brauchen eine benannte Stelle nach Anhang VII.
Was kostet eine Konformitätsbewertung und wie lange dauert sie für ein mittelständisches Unternehmen?
Die interne Kontrolle kostet vor allem interne Zeit für Dokumentation, Aufbau des Qualitätsmanagementsystems und rechtliche Prüfung, je nach Systemkomplexität typischerweise einige Wochen bis wenige Monate. Bewertungen durch eine benannte Stelle bringen zusätzliche externe Gebühren und Terminplanung mit sich, was den Zeitrahmen angesichts der aktuellen Kapazitätsengpässe auf mehrere Monate verlängern kann. Unternehmen mit bestehender ISO 42001-Zertifizierung schließen die interne Kontrolle in der Regel schneller ab, weil ein Großteil der Dokumentation bereits existiert.
Heißt der Digital Omnibus, dass wir die Konformitätsbewertung bis 2027 ignorieren können?
Nein. Die Frist Dezember 2027 gilt gezielt für Pflichten nach Anhang III; Transparenzpflichten nach Artikel 50 und die KI-Kompetenz-Anforderungen nach Artikel 4 gelten weiterhin nach dem ursprünglichen Zeitplan. Anbieter, die mit der Dokumentation bis zur neuen Frist warten, landen in denselben Warteschlangen bei benannten Stellen und denselben internen Kapazitätsproblemen, die die Verschiebung eigentlich entlasten sollte.
Wie hängt die Konformitätsbewertung mit einer Datenschutz-Folgenabschätzung zusammen?
Eine Datenschutz-Folgenabschätzung bewertet nach DSGVO Artikel 35 die Datenschutzrisiken für betroffene Personen, während die Konformitätsbewertung prüft, ob ein KI-System die Sicherheits-, Dokumentations- und Aufsichtsanforderungen der EU-KI-Verordnung erfüllt. Für Systeme, die personenbezogene Daten verarbeiten und als Hochrisiko gelten, laufen beide Verfahren parallel, und ein Großteil der Risikodokumentation, Datenflüsse und Aufsichtskonzepte lässt sich für beide Prozesse wiederverwenden statt doppelt aufzubauen.
Brauchen wir dafür eigene IT-Ressourcen?
Nein. Die meisten mittelständischen Anbieter kombinieren eigenes Produkt- und Rechtspersonal mit einem externen Partner für technische Dokumentation und Aufbau des Qualitätsmanagementsystems. Unternehmen wie Superkind, die individuelle KI-Agenten mit Anbindung an bestehende Unternehmenssysteme bauen, dokumentieren Datenflüsse, Zugriffsrechte und menschliche Kontrollpunkte bereits im Rahmen des eigentlichen Aufbaus, was der Konformitätsbewertung eine fertige Beweisgrundlage liefert statt eines leeren Blatts. Eine funktionierende KI-Governance-Struktur macht daraus einen wiederholbaren Prozess statt eines Einzelprojekts für jedes neue System.