Technische Dokumentation nach AI Act – Anforderungen und Vorlage
AI Act Compliance: Technische Dokumentation ist Pflicht. Art. 11 Anforderungen, Bußgelder bis 30.000€, praktische Vorlage für Hochrisiko-KI.
Bis zu 30.000 Euro Bußgeld – und das nicht wegen einer fehlerhaften KI, sondern wegen fehlender Papiere. Die technische Dokumentation ist eine der zentralen Pflichten des AI Act für Hochrisiko-KI-Systeme, und sie ist gleichzeitig eine der am meisten unterschätzten.
Viele Unternehmen denken bei Compliance an Risikoanalysen und ethische Leitlinien. Doch Art. 11 AI Act verlangt etwas sehr Konkretes: ein strukturiertes, vollständiges Dossier über jedes Hochrisiko-KI-System – bevor es auf den Markt kommt oder in Betrieb genommen wird. Was genau hineingehört, wie umfangreich das wirklich ist, und wie Sie pragmatisch starten können, erklärt dieser Artikel.
Was ist die technische Dokumentation nach AI Act?
Die technische Dokumentation ist das zentrale Nachweisdokument für Hochrisiko-KI-Systeme. Sie belegt gegenüber Behörden, Marktüberwachung und – in bestimmten Fällen – gegenüber Nutzern, dass ein KI-System die Anforderungen des AI Act erfüllt.
Stellen Sie sich vor, eine nationale Aufsichtsbehörde klopft bei Ihnen an und fragt: „Warum setzt Ihr System Bewerbungen von Frauen niedriger? Welche Daten wurden verwendet? Wie haben Sie die Genauigkeit getestet?” Die technische Dokumentation ist Ihre Antwort – und ohne sie haben Sie keine.
Die Pflicht ergibt sich direkt aus Art. 11 AI Act in Verbindung mit Anhang IV der Verordnung. Anhang IV listet neun inhaltliche Blöcke auf, die die Dokumentation abdecken muss. Diese Anforderungen sind nicht optional und nicht verhandelbar.
Wen betrifft die Pflicht – und ab wann?
Primär verantwortlich sind Anbieter (Provider) von Hochrisiko-KI-Systemen: also Unternehmen, die ein KI-System entwickeln oder als ihr eigenes in Verkehr bringen. Das kann ein Softwarehaus sein, das ein HR-Tool baut, eine Versicherung, die einen Scoring-Algorithmus entwickelt, oder ein Medizintechnikunternehmen mit KI-gestützter Diagnostik.
Wichtig: Auch wer ein bestehendes Drittanbieter-System wesentlich modifiziert und dann auf den Markt bringt, übernimmt damit die Anbieterpflichten – inklusive der Dokumentationspflicht.
Verwender (Deployer) haben hingegen eine abgeleitete Pflicht: Sie müssen sicherstellen, dass die technische Dokumentation des Anbieters vorliegt und zugänglich ist.
Fristen im Überblick
Die Pflicht zur technischen Dokumentation knüpft an die Hochrisiko-Einordnung an. Für die meisten Hochrisiko-Anwendungen nach Anhang III AI Act gilt:
- Ab Dezember 2027: Vollständige Pflichten für neue Hochrisiko-KI-Systeme (verschoben durch Digital Omnibus) in Kraft
- Bereits in Verkehr gebrachte Systeme: Bestandsschutz bis 2027 (unter bestimmten Bedingungen)
Wer heute ein neues System entwickelt, das ab 2026 als Hochrisiko gilt, sollte die Dokumentation bereits im Entwicklungsprozess aufbauen – nicht nachträglich. Den vollständigen AI Act Zeitplan finden Sie in unserem Übersichtsartikel.
Die neun Pflichtblöcke nach Anhang IV – im Detail
Anhang IV des AI Act gliedert die technische Dokumentation in neun Bereiche. Hier ist, was konkret erwartet wird:
1. Allgemeine Systembeschreibung
Der erste Block klingt simpel, ist aber grundlegend: Was macht das System? Welche KI-Technik steckt dahinter? Welchen Zweck verfolgt es?
Konkret verlangt der AI Act hier: Name und Version des Systems, den vorgesehenen Verwendungszweck, die Interaktion mit Hardware/Software, eine Beschreibung der eingesetzten Techniken und Ansätze sowie – wenn zutreffend – Angaben zu Drittkomponenten.
Praxis-Tipp: Schreiben Sie diesen Abschnitt so, dass ihn ein Behördenangestellter ohne ML-Hintergrund versteht. Technische Tiefe kommt in späteren Abschnitten.
2. Beschreibung der Elemente und des Entwicklungsprozesses
Hier wird es technisch: Der gesamte Entwicklungsprozess muss dokumentiert werden. Dazu zählen:
- Trainingsdaten: Woher stammen die Daten? Welche Vorverarbeitung fand statt? Wie wurde auf Repräsentativität geprüft?
- Architektur des Modells: Welche Designentscheidungen wurden getroffen und warum?
- Trainingsverfahren: Hyperparameter, Optimierungsansatz, Abbruchkriterien
- Validierungsprozess: Wie wurde das Modell vor dem Deployment getestet?
Ein Beispiel: Ein Unternehmen baut ein KI-System zur Kreditwürdigkeitsprüfung. Die Trainingsdaten stammen aus internen historischen Kreditdaten von 2015–2023. In der Dokumentation muss stehen: Wie viele Datenpunkte? Welche Merkmale? Wurden geschützte Attribute (Geschlecht, Herkunft) explizit ausgeschlossen oder kontrolliert?
3. Informationen über Überwachung, Betrieb und Steuerung
Der AI Act verlangt nicht nur, dass Sie ein gutes System bauen – er verlangt, dass Sie wissen, wie es sich verhält, wenn es läuft. Dieser Abschnitt dokumentiert:
- Die Human-Oversight-Maßnahmen (wer überwacht, wie, mit welchen Werkzeugen)
- Die Logging-Mechanismen: Welche Ereignisse werden protokolliert? Wie lange werden Logs aufbewahrt?
- Eingabe-Spezifikationen: Welche Daten werden erwartet? Welche Eingaben sind außerhalb des Geltungsbereichs?
Dieser Bereich hängt direkt mit dem Qualitätsmanagementsystem nach Art. 17 AI Act zusammen.
4. Beschreibung der Fähigkeiten und Grenzen
Dieser Abschnitt ist entscheidend für Haftungsfragen: Das System muss ehrlich dokumentiert werden. Wo funktioniert es gut? Wo nicht?
Konkret: Leistungsmetriken (Genauigkeit, Precision, Recall, F1 – je nach Anwendungsfall), Bedingungen, unter denen das System zuverlässig ist, bekannte Schwächen und Randfälle, Populationen oder Szenarien, für die das System nicht validiert wurde.
Ein Personalauswahlsystem, das nur auf Daten aus dem DACH-Raum trainiert wurde, sollte dokumentieren: „Das System ist nicht für Bewerber mit Bildungsabschlüssen aus außereuropäischen Ländern validiert und sollte dort nicht eigenständig eingesetzt werden.”
5. Angaben zur Risikobewertung
Die technische Dokumentation muss das Risikomanagementsystem (Art. 9 AI Act) widerspiegeln. Welche Risiken wurden identifiziert? Welche Maßnahmen wurden ergriffen? Wie wurde die Restrisikobewertung vorgenommen?
Das ist kein einmaliges Dokument – die Risikobewertung muss während des gesamten Lebenszyklus aktuell gehalten werden.
6. Änderungen im Lebenszyklus
Wenn das System nach dem Deployment verändert wird – neue Modellversion, neue Trainingsdaten, neue Anwendungsfälle – muss das dokumentiert werden. Welche Änderungen führen dazu, dass das System neu bewertet werden muss?
Wichtig: Eine wesentliche Änderung kann dazu führen, dass das System als neues Hochrisiko-System gilt und den gesamten Konformitätsprozess durchlaufen muss.
7. Verwendete Standards
Welche harmonisierten Normen oder technischen Spezifikationen wurden angewendet? Für viele Bereiche gibt es noch keine harmonisierten Standards – in diesem Fall muss dokumentiert werden, welche alternativen Maßnahmen ergriffen wurden, um den Anforderungen des AI Act zu entsprechen.
8. EU-Konformitätserklärung
Die technische Dokumentation enthält eine Kopie der EU-Konformitätserklärung (Art. 47 AI Act). Das ist das formelle Dokument, mit dem der Anbieter erklärt, dass das System die Anforderungen des AI Act erfüllt.
9. Nachkonformitätsbewertungsplan (falls zutreffend)
Bei bestimmten Systemen, die einer Konformitätsbewertung durch eine Benannte Stelle bedürfen, muss auch der Plan für die laufende Überwachung nach der Markteinführung dokumentiert werden.
Praktisches Vorgehen: Wie Sie jetzt starten
Schritt 1: KI-Inventar erstellen
Bevor Sie dokumentieren können, müssen Sie wissen, was Sie dokumentieren. Erstellen Sie ein KI-Inventar aller eingesetzten und geplanten KI-Systeme. Welche davon fallen unter Anhang III? Diese brauchen technische Dokumentation.
Schritt 2: Verantwortlichkeiten klären
Wer ist in Ihrem Unternehmen für die Pflege der technischen Dokumentation zuständig? Das sollte nicht der Compliance-Officer allein sein – Sie brauchen Input vom Entwicklungsteam, von Data Scientists, vom Datenschutzbeauftragten (besonders für den DSFA-Teil) und von der Rechtsabteilung.
Zu den Überschneidungen mit dem Datenschutz empfiehlt sich ein Blick auf unseren Artikel zur DSFA für KI-Systeme.
Schritt 3: Vorlage aufsetzen
Eine strukturierte Vorlage schafft Konsistenz. Wir empfehlen folgende Grundstruktur für ein technisches Dokumentations-Dossier:
| Abschnitt | Inhalt | Verantwortlich |
|---|---|---|
| 1. Systemidentifikation | Name, Version, Zweck, Geltungsbereich | Produktmanagement |
| 2. Technische Architektur | Modelltyp, Komponenten, Schnittstellen | Entwicklung |
| 3. Daten & Training | Datenquellen, Vorverarbeitung, Split, Bias-Analyse | Data Science |
| 4. Validierung & Testing | Metriken, Testsets, Benchmark-Ergebnisse | QA / Data Science |
| 5. Risikobewertung | Identifizierte Risiken, Maßnahmen, Restrisiko | Compliance / Legal |
| 6. Human Oversight | Aufsichtsmechanismen, Rollen, Logging | Betrieb / Compliance |
| 7. Änderungsprotokoll | Versionierung, Änderungshistorie, Re-Assessment-Trigger | Produktmanagement |
| 8. Standards & Normen | Angewandte Normen oder Begründung Alternativen | Compliance |
| 9. Konformitätserklärung | EU-Konformitätserklärung | Geschäftsführung / Legal |
Schritt 4: Dokumentation in den Entwicklungsprozess integrieren
Der größte Fehler: Dokumentation als Nacharbeit behandeln. Wer erst nach Fertigstellung des Systems dokumentiert, muss viele Entscheidungen rekonstruieren – und das ist fehleranfällig.
Besser: Dokumentationsanforderungen in die Definition of Done integrieren. Jedes Sprint-Ende enthält einen Check: Wurden neue Designentscheidungen dokumentiert? Wurden Datensätze neu aufgenommen?
Häufige Fehler und wie Sie sie vermeiden
Fehler 1: Zu vage beim Verwendungszweck „Das System unterstützt HR-Entscheidungen” ist zu wenig. Was genau? Shortlisting von Bewerbungen? Bewertung von Mitarbeitergesprächen? Der Umfang der Dokumentation hängt vom spezifischen Verwendungszweck ab.
Fehler 2: Daten-Dokumentation fehlt oder ist unvollständig Die häufigste Schwachstelle in der Praxis. Viele Unternehmen können nicht mehr nachvollziehen, welche Daten wann für das Training verwendet wurden. Führen Sie ein Data Lineage-Protokoll von Anfang an.
Fehler 3: Leistungsmetriken ohne Kontext „96% Genauigkeit” klingt gut – aber auf welchem Testset? Unter welchen Bedingungen? Für welche Subgruppen der Nutzer? Ohne Kontext ist eine Metrik keine Information.
Fehler 4: Statisches Dokument Die technische Dokumentation ist kein Einmaldokument. Sie muss bei jeder relevanten Systemänderung, bei neuen Erkenntnissen über das Systemverhalten und mindestens jährlich geprüft und aktualisiert werden.
Fehler 5: Bußgeldrisikoschätzung unterschätzen Wer als Anbieter eines Hochrisiko-KI-Systems keine technische Dokumentation führt, riskiert gemäß Art. 99 AI Act Bußgelder von bis zu 15 Millionen Euro oder 3% des weltweiten Jahresumsatzes. Zum Kontext: Das betrifft auch KMUs, die ein Hochrisiko-System intern entwickelt haben. Mehr zu den AI Act Bußgeldern und ihrer Berechnung finden Sie in unserem Detailartikel.
Sonderfall: Drittanbieter-Systeme
Wenn Sie ein Hochrisiko-KI-System eines Drittanbieters einsetzen – beispielsweise eine KI-gestützte Recruiting-Software als SaaS –, sind Sie als Verwender (Deployer) nicht für die vollständige technische Dokumentation verantwortlich. Aber Sie müssen:
- Sicherstellen, dass der Anbieter eine technische Dokumentation führt
- Die Gebrauchsanweisung und die vom Anbieter bereitgestellten Informationen aufbewahren
- Nachweisen können, dass Sie das System nur im vorgesehenen Zweck einsetzen
Kaufen Sie KI-Systeme ein? Fragen Sie Ihren Lieferanten schriftlich nach der technischen Dokumentation und dem Konformitätsstatus. Das schützt Sie im Streitfall.
Fazit
Die technische Dokumentation ist kein bürokratisches Anhängsel des AI Act – sie ist das Rückgrat einer nachweisbaren KI-Compliance. Für Unternehmen, die Hochrisiko-KI-Systeme entwickeln oder betreiben, ist sie nicht verhandelbar.
Die gute Nachricht: Wer die technische Dokumentation konsequent aufbaut, gewinnt dabei auch intern – bessere Übersicht über das eigene KI-Portfolio, klarere Verantwortlichkeiten und eine solide Grundlage für die KI-Risikoklassifizierung und das Qualitätsmanagement.
Die schlechte Nachricht: Der Aufwand ist real. Ein vollständiges Dossier für ein Hochrisiko-System kann 30–80 Seiten umfassen, erfordert Input aus mehreren Abteilungen und muss laufend gepflegt werden.
Wissen Sie, welche Ihrer KI-Systeme dokumentationspflichtig sind?
Der eu-konform.ai Risiko-Check analysiert Ihr KI-Portfolio in 15 Minuten: Welche Systeme sind Hochrisiko? Was fehlt in Ihrer Dokumentation? Wo besteht akuter Handlungsbedarf?
Jetzt kostenlos starten – und mit einer klaren Prioritätenliste in die Umsetzung gehen.
Ist Ihr KI-Einsatz konform?
Kostenloser Risiko-Check in 5 Minuten – ohne Registrierung.
Jetzt prüfen