Digitale Compliance: Leuchtendes Checklisten-Symbol auf Leiterplatte
Zander / stock.adobe.com
05.01.2026 Fachinformation

EU AI Act: Qualitätsmanagement

Anbieter von Hoch-Risiko KI-Systemen müssen gemäß dem EU AI Act ein dokumentiertes Qualitätsmanagementsystem (QMS) einrichten, das die Einhaltung der regulatorischen Verpflichtungen sicherstellt und den gesamten Lebenszyklus des KI-Systems abdeckt. 
Kontakt
AI Projects & Services

Gesetzliche QMS-Anforderungen

Die QMS-Anforderungen sind in erster Linie in Art. 17 festgelegt, mit Querverweisen auf Art. 9 (Risikomanagement), Art. 72 (Beobachtung nach dem Inverkehrbringen) und Art. 73 (Meldung schwerwiegender Vorfälle). Ziel ist es, ein dokumentiertes QMS einzurichten, das die Einhaltung der Verordnung gewährleistet, indem es die Bereiche Design, Entwicklung, Prüfung, Risikomanagement, Datenverwaltung und Beobachtung nach dem Inverkehrbringen abdeckt. Im Kern muss das QMS Folgendes umfassen: 

  • Strategie zur Einhaltung der Vorschriften: Dokumentierter Plan für die Konformitätsbewertung und für das Management von Änderungen am KI-System. 

  • Konstruktions- und Entwicklungskontrollen: Verfahren für die Konstruktion, Konstruktionsüberprüfung und systematische Qualitätssicherung. 

  • Prüfung und Validierung: Prüf- und Validierungsverfahren für alle Entwicklungsphasen. 

  • Datenverwaltung: Systeme und Verfahren müssen die Erfassung, Sammlung und Kennzeichnung von Daten umfassen.  

  • Risikomanagementsystem: Das Risikomanagement-Framework muss sicherstellen, dass Risiken für Gesundheit, Sicherheit und Grundrechte identifiziert und gemindert werden. 

  • Beobachtung nach dem Inverkehrbringen: Es muss ein System zur Beobachtung nach dem Inverkehrbringen eingerichtet und aufrechterhalten werden, das eine kontinuierliche Überwachung der eingesetzten KI-Systeme gewährleistet. 

  • Meldung schwerwiegender Vorfälle: Es müssen Verfahren für die Meldung schwerwiegender Vorfälle im Zusammenhang mit KI-Systemen an die Behörden vorhanden sein. 

  • Kommunikationsverfahren: Die Kommunikation mit Interessengruppen wie nationalen zuständigen Behörden, Benannten Stellen und Kunden muss eingerichtet werden. 

  • Aufbewahrung von Aufzeichnungen: Die Rückverfolgbarkeit von KI-Systemen (durch integrierte Protokollierungsfunktionen) und die Aufbewahrung relevanter Unterlagen müssen gewährleistet sein. 

  • Ressourcenmanagement: Es müssen angemessene personelle und technische Ressourcen bereitgestellt werden. 

  • Rahmen für Verantwortlichkeiten: Die Verantwortlichkeiten des Managements und der Mitarbeiter müssen in allen Aspekten des QMS klar definiert sein. 

Compliance-Rahmen EN 18286 

Anbieter werden dazu angehalten, nach Möglichkeit harmonisierte Standards anzuwenden. Der zu harmonisierende Normenentwurf prEN 18286:2025 setzt die Verpflichtungen des Art. 17 zum Qualitätsmanagement in einen strukturierten, überprüfbaren Rahmen um. Er betont, dass die Umsetzung des QMS mit einer klaren Qualitätspolitik und Compliance-Strategie beginnen muss. Diese Strategie sollte die Verantwortung der obersten Leitung festlegen und die Rollen und Zuständigkeiten innerhalb der gesamten Organisation definieren. Anbieter sind verpflichtet, Risikomanagementprozesse zu verankern, die mit Art. 9 des AI Acts im Einklang stehen und sicherstellen, dass Risiken für Gesundheit, Sicherheit und Grundrechte systematisch identifiziert, bewertet und gemindert werden. Das QMS muss Kontrollen für Design und Entwicklung umfassen, einschließlich Verifizierungs-, Validierungs- und Änderungsmanagementverfahren, insbesondere für kontinuierlich lernende Systeme, bei denen vorab festgelegte Änderungen dokumentiert und kontrolliert werden müssen. Es erfordert die Einrichtung von Daten-Governance-Prozessen für die Erfassung, Kennzeichnung, Speicherung, Analyse und Aufbewahrung, um sicherzustellen, dass die Datensätze zuverlässig und repräsentativ sind und verantwortungsvoll verwaltet werden. Über die Entwicklung hinaus schreibt prEN 18286:2025 Post-Market-Monitoring-Systeme vor, um die System-Leistung zu beobachten und neu auftretende Risiken zu erkennen, sobald KI-Systeme eingesetzt werden, sowie strenge Verfahren zur Meldung schwerwiegender Vorfälle innerhalb festgelegter Fristen. Das QMS muss auch das Lieferanten- und Ressourcenmanagement umfassen, um sicherzustellen, dass Komponenten und Dienstleistungen von Drittanbietern kontrolliert und in Compliance-Prozesse integriert werden. Technische Dokumentationen und Gebrauchsanweisungen müssen gepflegt werden, um die sichere Nutzung von KI-Systemen mit hohem Risiko und die behördliche Aufsicht zu unterstützen. Schließlich verlangt die Norm Mechanismen für den Umgang mit Nichtkonformitäten und die Förderung von kontinuierlichen Verbesserungen, wodurch das QMS als ein lebendiges System gestärkt wird, das sich mit den technologischen und regulatorischen Entwicklungen weiterentwickelt. Das QMS gemäß dieser Norm kann in bestehende Rahmenwerke integriert werden (z. B. ISO 13485 für Medizinprodukte). 

Fazit 

Das QMS bildet die Grundlage für die Konformität von KI-Systemen mit hohem Risiko mit dem EU AI Act. Im Vergleich zu sektoralen Rechtsvorschriften enthält der EU AI Act auch KI-spezifische Anforderungen, die zusätzliche Investitionen seitens des Anbieters erfordern. Die Norm prEN 18286:2025 bietet einen Entwurf für die Operationalisierung der Konformität und integriert regulatorische Anforderungen in überprüfbare Prozesse, auf die sich die Behörden bei der Konformitätsbewertung von KI-Systemen gemäß dem EU AI Act stützen werden. 

Nehmen Sie Kontakt mit uns auf!

Briefumschlaege als Icons, Netzwerkkonzept
thodonal / stock.adobe.com

Wir bieten unsere Dienstleistungen in Beratungsprojekten und internen Workshops an und geben Ihnen gerne weitere Informationen zu unseren Dienstleistungen und beantworten Ihre Fragen.

AI Projects & Services: aips@vde.com

Folgen Sie uns
© 2026 VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.