Technische Dokumentation AI Act: Der vollständige Leitfaden zu Artikel 11 und Anhang IV

Wie lange dauert es, technische Unterlagen zu erstellen, die dem AI Act entsprechen? Schätzungen liegen zwischen 40 und 80 Stunden für ein komplexes KI-System — vorausgesetzt, das Team hat seine Designentscheidungen von Anfang an dokumentiert. Artikel 11 der Verordnung (EU) 2024/1689 verpflichtet jeden Anbieter eines Hochrisiko-KI-Systems, eine vollständige technische Dokumentation vor dem Inverkehrbringen zu erstellen. Der Mindestinhalt wird durch Anhang IV definiert, der 9 Abschnitte auflistet, die den gesamten Lebenszyklus des Systems abdecken.

Was Artikel 11 vorschreibt

Artikel 11 legt drei grundlegende Prinzipien für die technische Dokumentation von Hochrisiko-KI-Systemen fest.

Eine Pflichtdokumentation vor dem Inverkehrbringen

Die technische Dokumentation muss erstellt werden, bevor das KI-System in Verkehr gebracht oder in Betrieb genommen wird, und aktuell gehalten werden über den gesamten Lebenszyklus. Es handelt sich nicht um ein rückblickendes Dokument: Es begleitet die Systementwicklung von der Konzeption an.

Ein doppelter Zweck: Nachweis und Bewertungsgrundlage

Die technischen Unterlagen erfüllen zwei Funktionen. Sie müssen zunächst nachweisen, dass das System die Anforderungen erfüllt der Artikel 8 bis 15 (Risikomanagement, Datenqualität, Aufzeichnungspflichten, Transparenz, menschliche Aufsicht, Genauigkeit und Cybersicherheit). Daneben müssen sie den zuständigen nationalen Behörden und benannten Stellen die notwendigen Informationen in klarer und verständlicher Form zur Verfügung stellen, um die Konformität zu bewerten.

„Die technische Dokumentation wird so erstellt, dass sie nachweist, dass das Hochrisiko-KI-System die Anforderungen erfüllt [...] und den zuständigen nationalen Behörden und den benannten Stellen die erforderlichen Informationen in klarer und verständlicher Form zur Bewertung der Konformität bereitstellt." — Artikel 11 Absatz 1, Verordnung (EU) 2024/1689

Ein vereinfachtes Formular für KMU

Artikel 11 sieht vor, dass KMU und Startups die Elemente des Anhangs IV in vereinfachter Form bereitstellen können. Die Kommission soll ein an die Bedürfnisse kleiner und Kleinstunternehmen angepasstes Formular erstellen. Benannte Stellen sind verpflichtet, dieses Formular bei der Konformitätsbewertung zu akzeptieren — eine erhebliche Erleichterung für kleinere Akteure.

Einheitliche Unterlagen für regulierte Produkte

Wenn ein Hochrisiko-KI-System mit einem Produkt verbunden ist, das unter die Harmonisierungsrechtsvorschriften der Union fällt (Anhang I, Abschnitt A — Medizinprodukte, Spielzeug, Fahrzeuge), wird ein einziger Satz technischer Unterlagen erstellt, der die Anforderungen des AI Act und der sektoralen Rechtsvorschriften enthält. Diese Regelung vermeidet Doppelarbeit für Produkte, die bereits einem Regime technischer Dokumentation unterliegen.

Die 9 Abschnitte des Anhangs IV

Anhang IV definiert den Mindestinhalt der technischen Dokumentation. Jeder Abschnitt entspricht einem Aspekt des Systems, den der Anbieter umfassend dokumentieren muss. Hier finden Sie die Details zu jedem einzelnen Abschnitt mit den wichtigsten Hinweisen für die Erstellung.

Abschnitt 1 — Allgemeine Beschreibung des KI-Systems

Dieser Abschnitt gibt einen Gesamtüberblick über das System. Er muss enthalten:

• Zweckbestimmung — Die Bestimmung des Systems, der Name des Anbieters, die Version und ihr Bezug zu früheren Versionen
• Interaktionen — Wie das System mit Hardware, Software oder anderen KI-Systemen interagiert, die nicht Teil des Systems selbst sind
• Softwareversionen — Die Versionen der relevanten Software und die Anforderungen an Aktualisierungen
• Formen des Inverkehrbringens — Die verschiedenen Konfigurationen, in denen das System vermarktet wird (SaaS, eingebettet, API)
• Hardware — Die Hardware, auf der das System betrieben werden soll
• Betriebsanleitung — Die Anweisungen für Betreiber gemäß Artikel 13

Das Ziel ist, dass ein externer Prüfer verstehen kann, was das System tut, in welchem Kontext es arbeitet und wie es vertrieben wird — ohne tiefgehendes technisches Fachwissen zu benötigen.

Abschnitt 2 — Systementwicklung und Designprozess

Dies ist der umfangreichste Abschnitt. Er deckt den gesamten Entwicklungsprozess ab:

• Entwurfsspezifikationen — Die allgemeine Logik des Systems und der verwendeten Algorithmen
• Zentrale Designentscheidungen — Strukturelle Entscheidungen und ihre Begründung, einschließlich der Annahmen bezüglich der Personen oder Personengruppen, für die das System bestimmt ist
• Klassifizierungsentscheidungen — Die wichtigsten Kategorisierungsentscheidungen, wofür das System optimiert werden soll und die Relevanz der verschiedenen Parameter
• Erwartete Ergebnisse — Beschreibung der erwarteten Ausgabe und der angestrebten Qualität
• Technische Abwägungen — Die zwischen verschiedenen technischen Lösungen getroffenen Kompromisse zur Erfüllung der Anforderungen aus Kapitel III, Abschnitt 2
• Systemarchitektur — Funktionsweise der verschiedenen Komponenten und die verwendeten Rechenressourcen
• Daten — Trainings-, Validierungs- und Testdatensätze: Herkunft, Merkmale, Erhebungsprozess, Aufbereitung, Kennzeichnung, Bereinigung und Governance-Maßnahmen (Artikel 10)
• Menschliche Aufsicht — Maßnahmen gemäß Artikel 14, einschließlich technischer Mittel zur Erleichterung der Interpretation der Ergebnisse durch die Betreiber
• Vorab festgelegte Änderungen — Gegebenenfalls geplante Änderungen am System und seiner Leistung sowie die technischen Lösungen zur Sicherstellung der fortlaufenden Konformität

Ein entscheidender Punkt: Die Verordnung verlangt die Dokumentation des Warum hinter Entscheidungen, nicht nur des Was. Abwägungen, Annahmen und Kompromisse müssen ausdrücklich dargelegt und begründet werden.

Abschnitt 3 — Überwachung, Funktionsweise und Kontrolle

Dieser Abschnitt beschreibt die in das System integrierten Überwachungs- und Kontrollmechanismen. Er umfasst die Rückverfolgbarkeit, die Ereignisprotokollierung (Artikel 12), die Möglichkeiten der menschlichen Aufsicht und die Warnmechanismen. Der Anbieter muss nachweisen, dass das System ausreichende Informationen liefert, damit die Betreiber eine wirksame Aufsicht ausüben können.

Abschnitt 4 — Leistungskennzahlen

Der Anbieter muss die Angemessenheit der gewählten Leistungskennzahlen für sein spezifisches KI-System beschreiben. Es genügt nicht, Bewertungen zu berichten: Es muss begründet werden, warum die gewählten Metriken (Precision, Recall, F1, AUC, Fehlerrate) für die Zweckbestimmung und den Nutzungskontext des Systems relevant sind.

Dieser Abschnitt umfasst die Testergebnisse und Bewertungen, die zur Überprüfung der Einhaltung der Anforderungen an Genauigkeit, Robustheit und Cybersicherheit (Artikel 15) durchgeführt wurden, einschließlich Bias-Tests und Leistungsbewertungen über verschiedene Bevölkerungsgruppen hinweg.

Abschnitt 5 — Risikomanagementsystem

Eine detaillierte Beschreibung des Risikomanagementsystems gemäß Artikel 9. Dazu gehören:

• Risikoidentifikation — Bekannte und vernünftigerweise vorhersehbare Risiken für Gesundheit, Sicherheit und Grundrechte
• Analyse und Bewertung — Einschätzung der Wahrscheinlichkeit und des Schweregrads jedes identifizierten Risikos
• Risikominderungsmaßnahmen — Maßnahmen zur Beseitigung oder Verringerung jedes Risikos, einschließlich akzeptierter Restrisiken
• Tests und Validierung — Testverfahren zur Bewertung der Wirksamkeit der Risikominderungsmaßnahmen

Das Risikomanagementsystem muss iterativ und kontinuierlich sein und den gesamten Lebenszyklus des KI-Systems abdecken — nicht nur die Entwicklungsphase.

Abschnitt 6 — Änderungen im Lebenszyklus

Eine Beschreibung der relevanten Änderungen, die der Anbieter im Laufe des Lebenszyklus am System vorgenommen hat. Jede signifikante Änderung muss dokumentiert werden: Algorithmus-Updates, erneutes Training, Architekturänderungen, Änderungen der Trainingsdaten. Die Rückverfolgbarkeit der Versionen ist unerlässlich.

Abschnitt 7 — Anwendbare harmonisierte Normen

Eine Liste der ganz oder teilweise angewandten harmonisierten Normen, deren Fundstellen im Amtsblatt der Europäischen Union veröffentlicht wurden. Da harmonisierte Normen noch nicht vorliegen (Stand Februar 2026 — CEN und CENELEC planen die Veröffentlichung für Ende 2026), muss der Anbieter eine detaillierte Beschreibung der gewählten Lösungen zur Erfüllung der Anforderungen aus Kapitel III, Abschnitt 2 liefern, einschließlich einer Liste sonstiger angewandter Normen und technischer Spezifikationen.

Abschnitt 8 — EU-Konformitätserklärung

Eine Kopie der EU-Konformitätserklärung gemäß Artikel 47. Dieses formelle Dokument verpflichtet den Anbieter zur Einhaltung aller geltenden Anforderungen. Es ist untrennbar mit der CE-Kennzeichnung verbunden.

Abschnitt 9 — Überwachung nach dem Inverkehrbringen

Eine detaillierte Beschreibung des Systems zur Leistungsbewertung in der Phase nach dem Inverkehrbringen gemäß Artikel 72. Dieser Abschnitt umfasst den Plan für die Überwachung nach dem Inverkehrbringen, der festlegt, wie der Anbieter das System weiterhin überwachen, Rückmeldungen der Betreiber sammeln, Leistungsabweichungen erkennen und schwerwiegende Vorfälle melden wird.

Häufige Fehler vermeiden

Die Erstellung der technischen Dokumentation ist die am meisten unterschätzte Pflicht des AI Act. Hier sind die häufigsten Fallstricke.

Nachträgliche Dokumentation

Die technischen Unterlagen nach der Entwicklung zusammenzustellen, ist äußerst schwierig. Designentscheidungen, Annahmen über Trainingsdaten und technische Abwägungen bleiben oft undokumentiert, wenn der Prozess nicht von Anfang an integriert wird. Der beste Ansatz besteht darin, Konformitätsnachweise direkt in die Entwicklungsabläufe einzubetten und projektbegleitend zu erfassen.

Beschreibung und Nachweis verwechseln

Anhang IV verlangt nicht nur, das System zu beschreiben. Er fordert den Nachweis, dass Prozesse, Kontrollen und Schutzmaßnahmen tatsächlich umgesetzt wurden. Ein Prüfer sucht nach überprüfbaren Belegen: tatsächliche Testergebnisse, Audit-Protokolle, Risikoanalysen, die die Designentscheidungen nachweislich beeinflusst haben.

Daten-Rückverfolgbarkeit vernachlässigen

Der Abschnitt über Trainingsdaten (Teil von Abschnitt 2) wird besonders genau geprüft. Typische Lücken umfassen eine unzureichend dokumentierte Herkunft der Datensätze, wenige Belege für Bias-Tests und eine fehlende Rückverfolgbarkeit zwischen Data-Governance-Entscheidungen und technischer Umsetzung.

Ein statisches Dokument erstellen

Die technische Dokumentation ist ein lebendes Dokument. Sie muss bei jeder wesentlichen Systemänderung, jedem erneuten Training, jeder neu entdeckten Schwachstelle oder jeder Änderung des Nutzungskontextes aktualisiert werden. Unterlagen, die zum Zeitpunkt des Inverkehrbringens erstellt und nie aktualisiert wurden, erfüllen die Anforderung der Aktualisierungspflicht nicht.

Zusammenhang mit anderen Anbieterpflichten

Die technische Dokumentation steht nicht isoliert. Sie ist mit dem gesamten Pflichtenkatalog des Anbieters nach den Artikeln 8 bis 21 verbunden.

Qualitätsmanagementsystem (Artikel 17)

Artikel 17 verpflichtet den Anbieter, ein dokumentiertes Qualitätsmanagementsystem zu führen, das die Konformitätsstrategie, Designtechniken, Prüfverfahren, Datenmanagement und Pflege der technischen Dokumentation umfasst. QMS und Anhang-IV-Dokumentation stärken sich gegenseitig: Das QMS definiert die Prozesse, die technische Dokumentation liefert die Nachweise.

Aufbewahrung der Dokumentation (Artikel 18)

Der Anbieter muss die technische Dokumentation 10 Jahre nach dem Inverkehrbringen des KI-Systems aufbewahren. Die Behörden können jederzeit während dieses Zeitraums Zugang verlangen. Diese Aufbewahrungspflicht gilt auch für automatisch erstellte Protokolle (Artikel 19), die mindestens 6 Monate aufbewahrt werden müssen.

Konformitätsbewertung (Artikel 43)

Die technische Dokumentation ist die Grundlage der Konformitätsbewertung. Je nach Fall erfolgt diese als interne Kontrolle (Anhang VI) oder als Bewertung durch eine benannte Stelle (Anhang VII). In beiden Fällen stützt sich der Prüfer auf die Anhang-IV-Unterlagen, um die Einhaltung der Anforderungen zu überprüfen.

Registrierung in der EU-Datenbank (Artikel 49)

Vor der Bereitstellung müssen Hochrisiko-KI-Systeme des Anhangs III in der europäischen Datenbank registriert werden (Artikel 71). Die für die Registrierung erforderlichen Informationen (Anhang VIII) überschneiden sich teilweise mit denen der technischen Dokumentation.

Ihre Dokumentation in 7 Schritten strukturieren

Hier ist ein pragmatischer Ansatz zur Erstellung konformer technischer Unterlagen — auch ohne bereits verfügbare harmonisierte Normen.

1. System klassifizieren — Bestätigen Sie, dass Ihr System gemäß Artikel 6 als hochriskant eingestuft ist. Die Klassifizierung bestimmt, ob Anhang IV gilt
2. Gap-Analyse durchführen — Vergleichen Sie Ihre bestehende Dokumentation (Spezifikationen, READMEs, Model Cards, Testberichte) mit den 9 Abschnitten des Anhangs IV. Identifizieren Sie die Lücken
3. Unterlagen strukturieren — Erstellen Sie eine Vorlage, die an den 9 Abschnitten ausgerichtet ist. Jeder Abschnitt entspricht einem eigenständigen Ergebnis mit identifizierten Verantwortlichen im Team
4. Erfassung in Workflows integrieren — Verknüpfen Sie die Dokumentation mit bestehenden Tools (MLflow, Weights & Biases, Versionierungssysteme). Nachweise sollten automatisch während der Entwicklung generiert werden, nicht nachträglich rekonstruiert
5. Entscheidungen und Abwägungen dokumentieren — Zeichnen Sie für jede wesentliche Designentscheidung den Kontext, die in Betracht gezogenen Optionen, die getroffene Wahl und ihre Begründung auf. Darauf achten Prüfer zuerst
6. Durch internes Audit validieren — Simulieren Sie vor der formellen Konformitätsbewertung ein Audit, indem Sie prüfen, ob jeder Abschnitt die Fragen beantwortet, die eine benannte Stelle stellen würde
7. Kontinuierliche Aktualisierung planen — Definieren Sie Auslöser für Aktualisierungen (erneutes Training, Datenänderungen, Vorfälle, Software-Updates) und die zugehörigen Verantwortlichkeiten

Die Erstellung dieser Dokumentation stellt einen erheblichen Aufwand dar, insbesondere für Teams, die ihre KI-Entwicklungsprozesse nicht von Anfang an dokumentiert haben. Plattformen wie AiActo helfen, diesen Prozess durch geführte Formulare für jeden Abschnitt des Anhangs IV zu strukturieren und zu beschleunigen — mit KI-gestützter Generierung Abschnitt für Abschnitt und einem Review-Editor zur Anpassung jedes Satzes vor dem PDF-Export.

Zeitplan und regulatorischer Kontext

Die Pflicht zur technischen Dokumentation tritt gemäß dem Zeitplan des AI Act in Kraft:

• 2. August 2026 — Frist für Hochrisiko-KI-Systeme nach Anhang III (Biometrie, Beschäftigung, Bildung, grundlegende Dienstleistungen usw.)
• 2. August 2027 — Frist für in regulierte Produkte integrierte Systeme (Anhang I — Medizinprodukte, Spielzeug, Fahrzeuge)

Der Digital Omnibus, den die Kommission im November 2025 vorgeschlagen hat, sieht eine maximale Verlängerung von 16 Monaten für Anhang-III-Systeme vor (Enddatum 2. Dezember 2027), unter der Bedingung, dass harmonisierte Normen verfügbar sind. Der Text wird im Parlament und im Rat diskutiert, und seine Verabschiedung vor August 2026 ist nicht garantiert.

Solange harmonisierte Normen fehlen (CEN/CENELEC streben eine Veröffentlichung Ende 2026 an), müssen sich Anbieter auf den Verordnungstext selbst und auf gemeinsame Spezifikationen stützen, die die Kommission erlassen kann. Diese Situation macht es umso wichtiger, unverzüglich mit der technischen Dokumentation zu beginnen.

Sanktionen bei Nichteinhaltung

Einem Anbieter, der ein Hochrisiko-KI-System ohne konforme technische Dokumentation in Verkehr bringt, drohen Geldbußen von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes (Artikel 99). Für KMU und Startups sind die Beträge auf den niedrigeren der beiden Schwellenwerte begrenzt, bleiben aber erheblich.

Häufig gestellte Fragen

Ab wann ist die technische Dokumentation nach dem AI Act Pflicht?

Die technische Dokumentation gemäß Anhang IV ist ab dem Zeitpunkt des Inverkehrbringens oder der Inbetriebnahme eines Hochrisiko-KI-Systems verpflichtend. Für Anhang-III-Systeme ist die Frist der 2. August 2026. Für in regulierte Produkte integrierte Systeme (Anhang I) der 2. August 2027. Der Digital Omnibus sieht eine maximale Verlängerung bis zum 2. Dezember 2027 für Anhang III vor.

Wie viele Abschnitte umfasst die technische Dokumentation nach Anhang IV?

Anhang IV umfasst 9 Pflichtabschnitte: allgemeine Beschreibung, Entwicklung und Design, Überwachung und Kontrolle, Leistungskennzahlen, Risikomanagement, Änderungen im Lebenszyklus, angewandte Normen, EU-Konformitätserklärung und Plan für die Überwachung nach dem Inverkehrbringen.

Profitieren KMU von einem vereinfachten Regime für die technische Dokumentation?

Ja. Artikel 11 sieht vor, dass KMU und Startups die Elemente des Anhangs IV in vereinfachter Form bereitstellen können, unter Verwendung eines von der Kommission zu erstellenden Formulars. Benannte Stellen sind verpflichtet, dieses Formular bei der Konformitätsbewertung zu akzeptieren. Die geforderten Inhalte bleiben gleich, aber Format und Detaillierungsgrad werden angepasst.

Wie lange muss die technische Dokumentation aufbewahrt werden?

Artikel 18 schreibt eine Aufbewahrung von 10 Jahren ab dem Inverkehrbringen des Hochrisiko-KI-Systems vor. Die zuständigen nationalen Behörden können jederzeit während dieses Zeitraums Zugang zur Dokumentation verlangen.

Was ist der Unterschied zwischen Anhang IV und Anhang XI für die technische Dokumentation?

Anhang IV gilt für Anbieter von Hochrisiko-KI-Systemen (Artikel 11). Anhang XI gilt für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) (Artikel 53). Die Inhalte unterscheiden sich: Anhang IV konzentriert sich auf das Gesamtsystem und seinen Nutzungskontext, während Anhang XI das zugrunde liegende Modell, seine Trainingsdaten und seinen Energieverbrauch abdeckt.

Was tun, wenn harmonisierte Normen noch nicht verfügbar sind?

Ohne harmonisierte Normen verlangt Abschnitt 7 des Anhangs IV eine detaillierte Beschreibung der zur Erfüllung der Anforderungen aus Kapitel III, Abschnitt 2 gewählten Lösungen. Der Anbieter muss alternative Normen und technische Spezifikationen auflisten (ISO 42001, ISO/IEC 23894, branchenspezifische Normen) und erläutern, wie diese die Anforderungen der Verordnung abdecken.

Die technische Dokumentation ist die zentrale Säule der AI-Act-Konformität für Anbieter von Hochrisiko-Systemen. Sie übersetzt das gesamte Regelwerk in überprüfbare Unterlagen. Organisationen, die diesen Dokumentationsprozess von den frühesten Entwicklungsphasen an integrieren, gewinnen einen entscheidenden Vorteil — nicht nur bei der Konformität, sondern auch bei Qualität und Rückverfolgbarkeit ihrer KI-Systeme.