Home · EU AI Act · Insights · Konformitätsbewertung nach EU-KI-Verordnung: Anhang VI vs. Anhang VII
Cluster · Auf Deutsch · EU-KI-Verordnung

Konformitätsbewertung: Anhang VI vs. Anhang VII.

Von Elshan Musayev Veröffentlicht 2026-05-06 9 Min. Lesezeit
Kurzfassung. Entscheidungskriterien für die Konformitätsbewertung nach Verordnung (EU) 2024/1689: wann Anhang VI interne Kontrolle anwendbar ist, wann Anhang VII durch Benannte Stelle erforderlich ist, und was jede Route umfasst.

title: "EU-KI-Verordnung Konformitätsbewertung: Anhang VI vs. Anhang VII" meta_description: "Interne Kontrolle (Anhang VI) oder Benannte Stelle (Anhang VII)? Welche Konformitätsbewertungsroute gilt für Ihr Hochrisiko-KI-System nach Art. 43 EU-KI-VO." slug: /insights/conformity-assessment-annex-vi-vii.html canonical: https://ekmgc.de/insights/conformity-assessment-annex-vi-vii.html lang: de hreflang-en: https://ekmgc.de/insights/conformity-assessment-annex-vi-vii.html schema: FAQPage, Article pillar: /insights/article-9-risikomanagementsystem-leitfaden.html date: 2026-05-06 author: EKM Global Consulting GmbH

Zusammenfassung. Für die meisten in Anhang III der Verordnung (EU) 2024/1689 aufgeführten Hochrisiko-KI-Systeme kann der Anbieter die Konformität durch interne Kontrolle gemäß Anhang VI selbst bescheinigen — vorausgesetzt, die einschlägigen harmonisierten Normen werden vollständig angewendet. Das Verfahren der Benannten Stelle nach Anhang VII ist verpflichtend für Systeme zur biometrischen Fernidentifizierung, soweit keine harmonisierten Normen vorliegen. Für alle übrigen Anhang-III-Kategorien ist Anhang VI die Standardroute, wenn harmonisierte Normen existieren und vollständig angewandt werden.

Inhaltsverzeichnis

  1. Die zentrale Frage für jeden Anbieter
  2. Anhang VI: Interne Kontrolle durch den Anbieter
  3. Anhang VII: Begutachtung durch eine Benannte Stelle
  4. Entscheidungsbaum: Welche Route gilt?
  5. Anhang IV Technische Dokumentation: Pflicht auf beiden Routen
  6. Wesentliche Änderung und Neubewertungsanlässe
  7. DACH-spezifische Besonderheiten
  8. Abschluss: Nächste Schritte für Anbieter
  9. FAQ

Die zentrale Frage für jeden Anbieter

Bevor ein Hochrisiko-KI-System auf dem EU-Markt in Verkehr gebracht oder in Betrieb genommen werden darf, muss der Anbieter eine Konformitätsbewertung (Art. 43, Verordnung (EU) 2024/1689) abschließen. Die Bewertung bildet die Evidenzgrundlage für die EU-Konformitätserklärung (Art. 47) und ist Voraussetzung für die CE-Kennzeichnung (Art. 48) sowie die Registrierung in der EU-Datenbank (Art. 49).

Artikel 43 unterscheidet zwei Verfahrenswege:

Die maßgebliche Route richtet sich in erster Linie nach der Kategorie des Hochrisiko-Systems und in zweiter Linie danach, ob einschlägige harmonisierte Normen vollständig angewendet wurden. Ein System, das nach dem falschen Verfahren in Verkehr gebracht wird, trägt keine regelkonforme CE-Kennzeichnung — unabhängig von der Sorgfalt der internen Arbeit.

Anhang VI: Interne Kontrolle durch den Anbieter

Anwendungsbereich

Anhang VI gilt für alle Hochrisiko-KI-Systeme gemäß Anhang III — mit Ausnahme der biometrischen Fernidentifizierung nach Art. 6(2), soweit keine harmonisierten Normen vorliegen — wenn der Anbieter harmonisierte Normen anwendet, die sämtliche einschlägigen Anforderungen der KI-Verordnung abdecken.

Stand Mitte 2026 hat die Kommission noch keine KI-VO-spezifischen harmonisierten Normen im Amtsblatt veröffentlicht. ISO/IEC 42001:2023 (KI-Managementsystem) und ISO/IEC 23894:2023 (KI-Risikomanagement) sind die in der Praxis genutzten Referenznormen zur Strukturierung der Konformitätsarbeit. Sie entfalten keine rechtliche Konformitätsvermutung, solange sie nicht förmlich harmonisiert sind. Anbieter müssen dokumentieren, welche KI-VO-Anforderungen durch welche Norm abgedeckt werden, und Lücken durch ergänzende Nachweise schließen.

Verfahrensanforderungen

Der Anbieter muss:

  1. Ein QMS gemäß Art. 17 einrichten, umsetzen, dokumentieren und aufrechterhalten, das den gesamten Lebenszyklus vom Entwurf bis zum Post-Market-Monitoring abdeckt.
  2. Die Technische Dokumentation nach Anhang IV vor dem Inverkehrbringen zusammenstellen — vgl. Abschnitt 5 sowie die Risikomanagementsystem-Ebene im Artikel 9 — Risikomanagementsystem Praxisleitfaden.
  3. Die EU-Konformitätserklärung gemäß Art. 47 ausstellen.
  4. Die CE-Kennzeichnung gemäß Art. 48 anbringen.
  5. Das System vor dem Inverkehrbringen in der EU-Datenbank registrieren (Art. 49).

Beweislast

Interne Kontrolle bedeutet kein vereinfachtes Verfahren. Jede Aussage in der Konformitätserklärung muss durch dokumentierte Nachweise belegt sein. Das Risikomanagementsystem nach Art. 9 — ein kontinuierlicher, iterativer Prozess über den gesamten Lebenszyklus des KI-Systems — ist mit versionierten Aufzeichnungen zu dokumentieren. Genauigkeit, Robustheit und Cybersicherheit (Art. 15), Datenverwaltung (Art. 10), Maßnahmen zur menschlichen Aufsicht (Art. 14) und Transparenz (Art. 13) erfordern jeweils zeitgleich erstellte Nachweise — keine nachträgliche Rekonstruktion.

Anhang VII: Begutachtung durch eine Benannte Stelle

Verpflichtender Anwendungsbereich

Art. 43(1) schreibt das Anhang-VII-Verfahren für KI-Systeme zur biometrischen Fernidentifizierung natürlicher Personen (Anhang III, Nr. 1(a)) vor, wenn der Anbieter keine harmonisierten Normen vollständig angewendet hat. Da zum Zeitpunkt der Erstellung dieses Artikels keine harmonisierten Normen für Systeme zur biometrischen Fernidentifizierung unter der KI-Verordnung förmlich veröffentlicht worden waren, müssen Anbieter solcher Systeme eine Benannte Stelle einschalten.

Ein Anbieter kann das Anhang-VII-Verfahren auch freiwillig für andere Anhang-III-Systeme wählen — etwa wenn eine Drittparteibescheinigung die vertragliche Position gegenüber Betreibern stärkt.

Inhalt der Anhang-VII-Bewertung

Die Benannte Stelle führt zwei voneinander unabhängige Bewertungen durch:

  1. QMS-Bewertung. Die Stelle prüft, ob das QMS des Anbieters die Anforderungen des Art. 17 erfüllt — durch Dokumentenprüfung sowie Vor-Ort- oder Fernaudit. Sie erteilt einen Genehmigungsbeschluss und muss die Kommission und die anderen Mitgliedstaaten über jede Aussetzung informieren.
  2. Bewertung der Technischen Dokumentation. Die Stelle prüft die Anhang-IV-Unterlagen für das konkrete KI-System oder die betreffende Systemkategorie und stellt ein Bewertungszertifikat für die Technische Dokumentation aus. Sie kann zusätzliche Nachweise anfordern, Konstruktionsänderungen verlangen oder Auflagen erteilen.

Eine QMS-Genehmigung zertifiziert nicht automatisch ein bestimmtes KI-System. Die Bewertung der Technischen Dokumentation ist für jedes Hochrisiko-System gesondert erforderlich.

Zeitlicher und ressourcenbezogener Planungsrahmen

Anbieter sollten — in Anlehnung an Erfahrungswerte aus vergleichbaren regulierten Bereichen (Medizinprodukte, Industriemaschinen) — ab Einreichung vollständiger Unterlagen mit einer Mindestlaufzeit von drei bis sechs Monaten bis zum Erhalt eines Zertifikats rechnen. Unvollständige Unterlagen oder erstmalige Antragsteller fallen regelmäßig in den oberen Bereich dieses Zeitrahmens. Bei der Budgetplanung ist Konservativität geboten: Die Gebühren der Benannten Stellen nach der KI-Verordnung sind nicht reguliert und spiegeln spezialisierte Auditkapazitäten wider. Die Wechselwirkung zwischen dem Prüfungsumfang nach Anhang VII und dem Risikomanagementsystem nach Art. 9 wird im Artikel 9 — Risikomanagementsystem Praxisleitfaden ausführlich behandelt.

Entscheidungsbaum: Welche Route gilt?

Schritt 1. Handelt es sich um ein Hochrisiko-KI-System nach Anhang III? - Nein — die Konformitätsbewertungspflichten aus Kapitel 5 gelten nicht. - Ja — weiter zu Schritt 2.

Schritt 2. Ist das System zur biometrischen Fernidentifizierung natürlicher Personen bestimmt (Anhang III, Nr. 1(a))? - Ja — weiter zu Schritt 3. - Nein — weiter zu Schritt 5.

Schritt 3. Wurden einschlägige harmonisierte Normen im Amtsblatt veröffentlicht und vollständig angewendet? - Ja — Anhang VI ist zulässig; weiter zu Schritt 4. - Nein oder teilweise — Anhang VII ist verpflichtend. Eine Benannte Stelle ist einzuschalten.

Schritt 4. Wählt der Anbieter trotz vollständiger Anwendung harmonisierter Normen freiwillig eine Drittpartei-Begutachtung? - Ja — Verfahren nach Anhang VII freiwillig. - Nein — Verfahren nach Anhang VI.

Schritt 5. Für Anhang-III-Systeme ohne biometrische Fernidentifizierung: Wurden einschlägige harmonisierte Normen veröffentlicht und vollständig angewendet? - Ja — Anhang VI gilt. - Nein oder teilweise — Anhang VI gilt weiterhin, die Beweislast erhöht sich jedoch. Bei Systemen mit hohem Expositionsgrad kann eine freiwillige Einschaltung nach Anhang VII ratsam sein.

Schritt 6. Ist nach der initialen Konformitätsbewertung eine wesentliche Änderung eingetreten? - Ja — eine Neubewertung ist erforderlich (vgl. Abschnitt 6). - Nein — Aufzeichnungs- und Post-Market-Monitoring-Pflichten aufrechterhalten.

Anhang IV Technische Dokumentation: Pflicht auf beiden Routen

Unabhängig von der gewählten Bewertungsroute muss der Anbieter die Technische Dokumentation gemäß Anhang IV vor dem Inverkehrbringen zusammenstellen und zehn Jahre lang aufbewahren. Die Anhang-IV-Unterlagen müssen enthalten:

  1. Allgemeine Beschreibung — Bestimmungszweck, betroffene Personen und Sektoren, Hardware-Kontext.
  2. Systemarchitektur und Komponenten — Software, Firmware, Algorithmen, Trainingsmethoden.
  3. Datenverwaltungsmaßnahmen nach Art. 10 — Herkunft der Datensätze, Qualitätskriterien, Bias-Minderung.
  4. Risikomanagementsystem nach Art. 9 — der iterative Prozess zur Identifizierung, Schätzung, Bewertung und Minderung von Risiken über den gesamten Lebenszyklus. Eine vollständige Darstellung enthält der Artikel 9 — Risikomanagementsystem Praxisleitfaden.
  5. Genauigkeits-, Robustheits- und Cybersicherheitsmaßnahmen nach Art. 15, einschließlich Validierungsergebnissen.
  6. Maßnahmen zur menschlichen Aufsicht nach Art. 14 — Eingriffsmöglichkeiten und Betreiberkontrollen.
  7. Post-Market-Monitoring-Plan nach Art. 72.
  8. Gebrauchsanweisung für Betreiber (Art. 13) — Bestimmungszweck, vorhersehbarer Fehlgebrauch, Einschränkungen.
  9. Muster der EU-Konformitätserklärung (Art. 47).

Die Unterlagen sind ein lebendes Dokument. Jede wesentliche Aktualisierung des Systems kann eine wesentliche Änderung anzeigen, die eine Neubewertung erforderlich macht.

Wesentliche Änderung und Neubewertungsanlässe

Art. 43(4) schreibt vor, dass nach einer wesentlichen Änderung eines Hochrisiko-KI-Systems nach erfolgter Konformitätsbewertung das vollständige Verfahren erneut durchzuführen ist. Wesentliche Änderung ist in Art. 3(23) definiert als eine Änderung, die die Konformität mit Titel III, Kapitel 2 berührt oder zu einer Änderung des Bestimmungszwecks führt.

Änderungen, die regelmäßig eine Neubewertung auslösen:

Geringfügige Aktualisierungen — Sicherheits-Patches ohne Funktionsänderung, Leistungsverbesserungen innerhalb der dokumentierten Genauigkeitsbandbreite — stellen nicht automatisch wesentliche Änderungen dar. Anbieter müssen für jede Änderung eine Materialitätsprüfung dokumentieren und diese Aufzeichnung aufbewahren.

DACH-spezifische Besonderheiten

BSI und DAkkS-Benennung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) trägt in Deutschland die Marktüberwachungsverantwortung. Benannte Stellen nach der KI-Verordnung werden von der Deutschen Akkreditierungsstelle (DAkkS) akkreditiert und benannt. Ein vorhandenes BSI C5 Typ-II-Testat kann teilweise als Nachweis für die Cybersicherheitsdokumentation gemäß Anhang IV dienen, ersetzt jedoch nicht die Konformitätsbewertung nach der KI-Verordnung.

BaFin MaRisk AT 9 — Kohärenz. Für KI-Systeme, die innerhalb von BaFin-beaufsichtigten Instituten eingesetzt werden, muss die Anhang-IV-Dokumentation des Anbieters sowie das QMS mit den Auslagerungsanforderungen des MaRisk AT 9 kohärent sein. Eine strukturierte Anhang-IV-Dokumentation reduziert den Aufwand für die Beantwortung von Prüfungsanfragen des Betreibers nach MaRisk erheblich.

DSGVO Art. 35 DSFA — Zeitliche Abfolge. Verarbeitet ein Hochrisiko-KI-System personenbezogene Daten, ist vor Beginn der Verarbeitung eine Datenschutz-Folgenabschätzung (DSFA) nach DSGVO Art. 35 durchzuführen — nicht parallel zur CE-Kennzeichnung. Die Ergebnisse der DSFA müssen in den Datenverwaltungs- und Risikomanagementsystem-Abschnitt von Anhang IV einfließen. Ein Abschluss der CE-Kennzeichnung vor Fertigstellung der DSFA erzeugt simultane Aufsichtsrisiken nach KI-Verordnung und DSGVO.

Post-Market-Monitoring — Datenflüsse. Anbieter mit DACH-Hauptsitz, die Post-Market-Monitoring-Daten von Betreibern in Deutschland, Österreich und der Schweiz erheben, sehen sich drei unterschiedlichen Datenschutzrechtsordnungen gegenüber. Die Schweiz ist kein EU-Mitgliedstaat; Übermittlungen stützen sich auf den Angemessenheitsbeschluss der Kommission. Post-Market-Monitoring-Architekturen müssen diese Datenflüsse von Anfang an berücksichtigen.

Abschluss: Nächste Schritte für Anbieter

Die Konformitätsbewertung ist kein einmaliger Projektmeilenstein. Die Nachweisunterlagen müssen während der gesamten Betriebsdauer des Systems und zehn Jahre nach dem Inverkehrbringen aktuell und prüffähig bleiben.

Anbieter, die noch nicht festgestellt haben, welche Route gilt — oder die unsicher sind, ob die vorhandene Dokumentation dem erforderlichen Nachweisstandard entspricht — sollten mit einer strukturierten Lückenanalyse gegenüber Anhang IV und den Anforderungen des Art. 9 Risikomanagementsystems beginnen, bevor sie einen Markteinführungstermin festlegen.

Die EKM Global Consulting GmbH, Baden-Baden, gegründet im Januar 2013, betrieben von Elshan Musayev (LinkedIn), bietet einen strukturierten 10-minütigen Quick Scan unter app.ekmgc.de, der aufzeigt, welche Konformitätsbewertungsroute gilt und welche Dokumentationslücken vorrangig zu schließen sind. Für Beratungsmandate, die den vollständigen Anhang-IV-Aufbau, die QMS-Ausrichtung oder die Vorbereitung auf eine Benannte Stelle umfassen, stehen weitere Informationen unter ekmgc.de/eu-ai-act.html zur Verfügung.

FAQ

F1: Kann jedes Hochrisiko-KI-System nach Anhang III die interne Kontrolle nach Anhang VI nutzen?

Mit einer verpflichtenden Ausnahme: Systeme zur biometrischen Fernidentifizierung nach Anhang III, Nr. 1(a) müssen Anhang VII anwenden, soweit harmonisierte Normen noch nicht veröffentlicht und vollständig angewendet wurden. Für alle übrigen Anhang-III-Kategorien ist Anhang VI die Standardroute. Fehlen harmonisierte Normen, steht Anhang VI weiterhin zur Verfügung, jedoch trägt der Anbieter eine erhöhte Beweislast, die Konformität ohne Normvermutung nachzuweisen.

F2: Was ist eine Benannte Stelle und wie wird sie nach der KI-Verordnung benannt?

Eine Benannte Stelle ist eine Konformitätsbewertungsstelle, die von einer Mitgliedstaatsbehörde benannt und der Kommission gemäß Art. 28 notifiziert wird. Die Benennung setzt Unabhängigkeit, dokumentierte fachliche Kompetenz in den einschlägigen KI-Bereichen und nationale Akkreditierung (in Deutschland durch die DAkkS) voraus. Die Liste der benannten Stellen wird in der NANDO-Datenbank der Kommission veröffentlicht.

F3: Gibt es bereits harmonisierte Normen nach der KI-Verordnung?

Stand Mitte 2026 waren noch keine KI-VO-spezifischen harmonisierten Normen im Amtsblatt veröffentlicht. Die Normungsarbeiten laufen im Rahmen des CEN/CENELEC-Mandats M/612. ISO/IEC 42001:2023 und ISO/IEC 23894:2023 werden in der Praxis als Referenznormen verwendet, entfalten jedoch keine rechtliche Konformitätsvermutung, solange sie nicht förmlich harmonisiert sind.

F4: Wie lange dauert die interne Kontrolle nach Anhang VI im Vergleich zu Anhang VII?

Anhang VI liegt vollständig im Verantwortungsbereich des Anbieters. Für Anbieter, die die Compliance-Infrastruktur von Grund auf aufbauen, ist ein Zeitraum von drei bis fünf Monaten realistisch. Anhang VII fügt einem externen Bewertungszyklus von drei bis sechs Monaten hinzu, der nach der internen Vorbereitung anfällt. Erstantragsteller und komplexe Mehrkomponentensysteme benötigen regelmäßig mehr Zeit.

F5: Was löst eine Neubewertung nach der initialen Konformitätsbewertung aus?

Art. 43(4) schreibt eine Neubewertung nach einer wesentlichen Änderung gemäß Art. 3(23) vor. Anlässe, die dies regelmäßig auslösen: Nachtraining auf materiell abweichenden Daten, Änderungen des Bestimmungszwecks, Architekturänderungen sowie Überarbeitungen des Risikomanagementsystems, die die dokumentierte Risikolage verändern. Anbieter sollten ein Änderungsprotokoll führen, das jede Aktualisierung gegenüber dem Schwellenwert der wesentlichen Änderung bewertet.

F6: Läuft die CE-Kennzeichnung ab?

Die CE-Kennzeichnung hat kein festes Ablaufdatum, ist jedoch an die Richtigkeit der Konformitätserklärung und der zugrundeliegenden Technischen Dokumentation gebunden. Eine wesentliche Änderung hat zur Folge, dass die bestehende Kennzeichnung die Konformität des geänderten Systems nicht mehr bescheinigt; eine Neubewertung ist vor dem erneuten Inverkehrbringen erforderlich.

F7: In welchem Verhältnis steht eine DSFA nach DSGVO zur KI-VO-Konformitätsbewertung?

Die DSFA nach DSGVO Art. 35 ist eine eigenständige Pflicht, die vor Beginn der Verarbeitung abgeschlossen sein muss — vor Abschluss der Konformitätsbewertung. Ihre Ergebnisse müssen in die Datenverwaltungs- und Risikomanagementsystem-Dokumentation von Anhang IV einfließen. Die korrekte zeitliche Abfolge ist eine häufige Lücke in DACH-regulierten Sektoren, in denen sowohl KI-VO- als auch DSGVO-Aufsichtsbehörden Zuständigkeiten besitzen.

F8: Kann der Anbieter für Anhang-III-Systeme ohne biometrische Fernidentifizierung freiwillig eine Benannte Stelle einschalten?

Ja. Art. 43 gestattet Anbietern, für jedes Hochrisiko-System nach Anhang III freiwillig das Anhang-VII-Verfahren zu wählen. Dies kann wirtschaftlich sinnvoll sein, wenn Betreiber — insbesondere im Bank-, Versicherungs- oder Gesundheitsbereich — eine Drittparteibescheinigung vertraglich als Beschaffungsvoraussetzung fordern oder wenn der Anbieter erhöhte Marktüberwachungsaufmerksamkeit erwartet.

Veröffentlicht von der EKM Global Consulting GmbH, Baden-Baden, gegründet im Januar 2013. Dieser Artikel dient ausschließlich der Information und stellt keine Rechtsberatung dar. Die Verordnung (EU) 2024/1689 und ihre Durchführungsrechtsakte sind vollständig zu lesen.

Interne Verlinkung

Linktext Ziel Abschnitt
Artikel 9 — Risikomanagementsystem Praxisleitfaden /insights/article-9-risikomanagementsystem-leitfaden.html Abschnitte 2, 3, 5, 6
Quick Scan https://app.ekmgc.de Abschnitt 8 (CTA)
EU-KI-Verordnung Beratung https://ekmgc.de/eu-ai-act.html Abschnitt 8 (CTA)

Schema.org-Empfehlung

FAQPage-Schema auf den FAQ-Block (F1–F8) anwenden. Article-Schema auf Seitenebene: author EKM Global Consulting GmbH, datePublished 2026-05-06, about "EU-KI-Verordnung Konformitätsbewertung Anhang VI Anhang VII". BreadcrumbList hinzufügen: Startseite → Insights → dieser Artikel. inLanguage: de setzen; hreflang-Annotation für die englische Sprachvariante.

Quellenangaben

Verwandte Beiträge

Read in English →