Die meisten Compliance-Programme scheitern, weil sie zu lange konzeptionell bleiben. Diese Checkliste überführt die Pflichten aus Artikel 17 in konkrete Umsetzungs-Workstreams, die Produkt-, Engineering- und Compliance-Teams direkt ausführen können. Nutzen Sie sie als Programmbasislinie und passen Sie sie dann nach Branche und Risikoprofil an.
Phase 1: Scoping und Klassifizierung
Bestimmen Sie zunächst genau, welche Systeme und Releases unter die Hochrisiko-Pflichten fallen. Bauen Sie keine Kontrollen für einen undefinierten Anwendungsbereich auf.
Rollenklarheit ist entscheidend. Anbieterpflichten unterscheiden sich von Betreiberpflichten, und Rollenkonfusion ist nach wie vor eine der kostspieligsten Quellen für Nacharbeit.
- KI-Systeme inventarisieren und Hochrisiko-Status anhand des Verwendungszwecks klassifizieren
- Anbieter-/Betreibergrenzen je Produkt und Kundenszenario bestätigen
- Übergangsregelungen für bestehende Marktplatzierungen und Modifikationen nachverfolgen
Phase 2: Anforderungs-Control-Mapping erstellen
Erstellen Sie eine Anforderungsmatrix für Artikel 9–15 sowie die Artikel-17-Control-Familien. Jede Anforderung braucht einen Verantwortlichen, ein Betriebsverfahren und eine Definition des Nachweisartefakts.
Wenn harmonisierte Normen nicht verfügbar sind oder die Anforderungen nicht vollständig abdecken, dokumentieren Sie alternative technische Maßnahmen und deren Begründung explizit.
- Risikomanagement (Artikel 9), integriert in Release- und Change-Controls
- Daten-Governance (Artikel 10) mit Repräsentativitäts- und Bias-Management-Logik
- Technische Dokumentation und Aufzeichnungsbereitschaft (Artikel 11–12)
- Transparenz, menschliche Aufsicht und Qualitätsschwellenwerte (Artikel 13–15)
Phase 3: Lifecycle-Controls operationalisieren
Dokumentierte Verfahren sind notwendig, aber nicht ausreichend. Kontrollen müssen in den Phasen Design, Test, Bereitstellung, Post-Market-Monitoring und Vorfallmanagement aktiv sein.
Ein häufiger Schwachpunkt ist die Change-Governance: Teams verfolgen Versionsänderungen, bewerten aber nicht die Konformitätsauswirkungen gemäß der Logik für wesentliche Änderungen nach Artikel 3 Absatz 23.
- Vor-Inbetriebnahme-Verifizierung mit reproduzierbaren Testnachweisen
- Lieferanten- und Fremdkomponenten-Governance mit risikoproportionalen Kontrollen
- Change-Management-Gates, die bei Bedarf eine Neubewertung auslösen
- Rückverfolgbarkeit zwischen Produktionsversionen, Dokumentation und Nachweisen
Phase 4: Post-Market-Monitoring und Vorfallbereitschaft aufbauen
Post-Market-Monitoring und die Bereitschaft für schwerwiegende Vorfälle sind die Bereiche, in denen theoretische Programme unter realen Bedingungen versagen. Bauen Sie Workflows jetzt auf – nicht erst nach dem Launch.
Operative Teams sollten mindestens vierteljährlich Simulationsübungen durchführen, damit Eskalationswege und Meldepflichten nicht nur auf dem Papier stehen.
- Überwachte Leistungs- und Risikoindikatoren je KI-System definieren
- Schwellenwerte, Zuständigkeiten und Reaktions-SLAs für unerwünschte Ereignisse festlegen
- Vorfall-Triage, regulatorische Meldung und Korrekturmaßnahmen-Schleifen implementieren
- Nachweise in einem Format aufbewahren, das für Audits und Behördenanfragen nutzbar ist
Phase 5: Governance, Schulung und Nachweisqualität
Die Wirksamkeit eines QMS hängt von Kompetenz und Verantwortlichkeit ab, nicht nur von Vorlagen. Stellen Sie sicher, dass zuständige Teams zu rollenspezifischen Pflichten und Entscheidungsbefugnissen geschult sind.
Zur Beschleunigung der Readiness nutzen Sie die Leitlinien zur Annex-IV-Dokumentation und die EU-AI-Act-Anforderungsbasislinie zusammen mit dieser Checkliste.
- Verantwortliche Eigentümer und Eskalations-Governance auf Managementebene definieren
- Rollenbasierte Schulungen für Engineering, Produkt, Recht und Operations durchführen
- Regelmäßige interne Audits mit Korrekturmaßnahmen und Abschlussnachweisen durchführen
- Einen behördentauglichen Nachweisindex aktuell und überprüfbar halten
Häufig gestellte Fragen
Was ist der erste Schritt zur Einhaltung von Artikel 17?
Legen Sie Anwendungsbereich und Rollengrenzen fest. Ohne klaren Hochrisiko-Systemumfang und eindeutige Anbieterverantwortung wird jeder nachgelagerte Kontrollplan instabil.
Müssen alle harmonisierten Normen finalisiert sein, um konform zu sein?
Nein. Sie benötigen eine konforme Umsetzung der gesetzlichen Pflichten. Harmonisierte Normen helfen bei der Konformitätsvermutung, aber die Compliance-Arbeit kann nicht auf die vollständige Veröffentlichung warten.
Welche Nachweise fordern Prüfer zuerst an?
Typischerweise Control-Ownership, Betriebsverfahren, versionsbezogene Nachweisartefakte, Post-Market-Monitoring-Aufzeichnungen, Vorfallbehandlungsprotokolle und den Nachweis, dass Governance-Entscheidungen tatsächlich umgesetzt werden.
Die wichtigsten Erkenntnisse
Die Einhaltung von Artikel 17 ist eine Managementsystem-Disziplin, kein einzelner Projektmeilenstein. Teams, die diese Checkliste als lebendes Betriebsmodell behandeln, sind besser auf die Anwendbarkeit ab August 2026 und die laufende Aufsichtspraxis vorbereitet.