Zum Inhalt springen
Künstliche Intelligenz

EU-Sicherheitszertifizierung für KI-Systeme: Wer prüft, bevor ein Modell auf den Markt darf?

AI-Sicherheitszertifizierung, Konformitätsbewertung, EU-Notified-Bodies – Prüflabor für AI-Sicherheitszertifizierung mit biometrischer Testhardware und Konformitätsdokumenten
Konformitätsbewertung in der Praxis: Prüfstellen testen Hochrisiko-KI-Systeme wie biometrische Erkennung vor dem EU-Marktstart. (Symbolbild)

Ein Hochrisiko-KI-System darf in der EU nicht einfach auf den Markt – irgendjemand muss vorher pruefen, ob es die Anforderungen erfuellt. Nur: Wer genau prueft, mit welcher Befugnis und nach welchem Standard, bleibt für viele Unternehmen diffus. Die Antwort entscheidet, ob ein Produkt rechtzeitig launcht oder in einer Warteschlange aus Papierkram und knappen Pruefkapazitaeten haengen bleibt.

Der EU AI Act ist seit August 2024 in Kraft, die Pflichten fuer Hochrisiko-Systeme greifen aber erst gestaffelt – voll wirksam ab August 2026. Bis dahin bleibt viel Zeit fuer Debatten, aber wenig Zeit fuer echte Vorbereitung. Denn die eigentliche Marktzugangsfrage ist keine juristische Fussnote, sondern eine knallharte operative Huerde: Ohne bestandene Konformitätsbewertung kein CE-Zeichen, ohne CE-Zeichen kein Verkauf. Wer das unterschaetzt, riskiert nicht Bussgelder – der riskiert, gar nicht erst starten zu duerfen.

Der Marktzugang als Nadeloehr

Bislang wurde ueber den AI Act vor allem als Regulierungswerk gesprochen: Risikoklassen, Transparenzpflichten, Bussgeldrahmen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Das ist die Drohkulisse. Die eigentliche Steuerungsmacht liegt aber woanders: bei denen, die vor dem Marktstart pruefen. Genau das ist der Unterschied zwischen einer Vorschrift und einer echten Gatekeeper-Infrastruktur.

Ich halte diesen Punkt fuer unterschaetzt. Waehrend sich politische Debatten um Definitionsfragen drehen, entsteht parallel ein Pruefapparat, der ueber Zeitplaene, Kosten und letztlich Wettbewerbsfaehigkeit europaeischer KI-Anbieter entscheidet. Eine AI-Sicherheitszertifizierung ist kein Bonus-Siegel fuer das Marketing, sie ist bei bestimmten Systemen die Eintrittskarte selbst.

Wer als Unternehmen ein biometrisches Erkennungssystem, eine KI-gestuetzte medizinische Diagnosesoftware oder eine sicherheitsrelevante Industriesteuerung auf den EU-Markt bringen will, kommt an diesem Nadeloehr nicht vorbei. Die Frage ist nur: durch wen.

Selbstbewertung oder externe Pruefung – wer entscheidet, welcher Weg gilt

Der AI Act unterscheidet zwei Pfade der Konformitätsbewertung. Im ersten Fall bewertet der Anbieter sein System selbst – die interne Konformitätsbewertung. Das gilt, wenn ausschliesslich die KI-Act-spezifischen Vorschriften greifen und kein sektorales EU-Recht zusaetzlich einschlaegig ist. Im zweiten Fall braucht es eine externe Pruefung durch eine unabhaengige Stelle, wenn das KI-System Teil eines Produkts ist, das bereits unter bestehende EU-Richtlinien faellt – etwa Medizinprodukte oder Maschinen.

Diese Unterscheidung wirkt technisch, hat aber enorme praktische Konsequenzen. Ein Startup, das ein reines Software-Tool zur Textgenerierung anbietet, bewegt sich in aller Regel in der ersten Kategorie. Ein Hersteller, der KI in ein Beatmungsgeraet oder eine autonome Produktionsanlage integriert, landet in der zweiten – und braucht damit zwingend eine externe Konformitätsbewertung durch eine EU-Notified-Bodies genannte Pruefstelle.

Der Anbieter muss sein System zunaechst selbst in eine Risikokategorie einordnen. Erst im Streitfall greifen nationale Marktueberwachungsbehoerden korrigierend ein. Das bedeutet: Die erste Einschaetzung liegt faktisch beim Unternehmen selbst, mit allen Anreizen, sich lieber kleiner zu rechnen, als man tatsaechlich ist. Genau hier wird spaeter Enforcement ansetzen.

EU-Notified-Bodies – wer prueft die Pruefer

Notified Bodies sind keine EU-Behoerden im klassischen Sinn. Es handelt sich um unabhaengige Pruefstellen, die von nationalen Akkreditierungsstellen zugelassen und anschliessend gegenueber der EU notifiziert werden. Die Akkreditierung selbst folgt der Verordnung (EG) Nr. 765/2008, und die nationalen Akkreditierungsstellen wiederum unterliegen einer europaeischen Peer-Review-Aufsicht durch das Netzwerk European co-operation for Accreditation.

Das ist ein mehrstufiges System – und genau darin liegt seine Staerke wie seine Schwaeche. Staerke, weil es Konsistenz ueber Mitgliedstaaten hinweg herstellen soll: Eine in Deutschland akkreditierte Stelle soll denselben Massstab anlegen wie eine in Frankreich oder Polen notifizierte. Schwaeche, weil jede zusaetzliche Ebene Zeit kostet. Bevor ueberhaupt ein Produkt geprueft wird, muss die Pruefstelle selbst durch mehrere Instanzen.

Aus meiner Sicht ist das der eigentliche Lackmustest fuer den AI Act als Ganzes: Nicht die Paragrafen entscheiden ueber Wirksamkeit, sondern ob genug kompetente, akkreditierte EU-Notified-Bodies rechtzeitig verfuegbar sind. Ein Gesetz ohne Pruefinfrastruktur ist eine Absichtserklaerung. Mit Infrastruktur wird es zur echten Marktordnung.

Ein konkretes Beispiel: DEKRA und biometrische KI

Wie das in der Praxis aussehen kann, zeigt ein Beispiel aus dem Jahr 2025: DEKRA wurde als erste akkreditierte Zertifizierungsstelle fuer biometrische KI-Systeme im Kontext des AI Act ausgewiesen. Der Pruffokus liegt auf Systemen wie Gesichtserkennung, Fingerabdruck- und Iris-Scannern in Hochrisiko-Kontexten – also genau den Anwendungen, die in der oeffentlichen Debatte am meisten Sorge ausloesen.

Was heisst das konkret? DEKRA tritt hier als potenzielle Benannte Stelle beziehungsweise als akkreditierte Zertifizierungsstelle fuer einen klar umrissenen Hochrisiko-Anwendungsbereich auf. Das ist kein flaechendeckendes KI-Pruefsiegel, sondern eine spezialisierte Kompetenz fuer ein einzelnes Anwendungsfeld. Genau dieses Muster wird sich vermutlich fortsetzen: Statt einer generalistischen KI-Pruefstelle entstehen Nischenkompetenzen – biometrische Systeme hier, medizinische KI dort, Industrieautomation woanders.

Fuer Unternehmen bedeutet das: Es reicht nicht, irgendeine Pruefstelle zu finden. Es muss die richtige sein, mit Akkreditierung fuer genau den Anwendungsbereich, in dem das eigene Produkt operiert. Wer das falsch einschaetzt, verliert Monate.

Ein Gedankenspiel: Zwei Unternehmen, zwei Zeitplaene

Um die Tragweite dieser Struktur greifbarer zu machen, hilft ein einfaches Gedankenspiel – ohne konkrete Namen, aber mit realistischen Mechanismen. Nehmen wir an, zwei Unternehmen entwickeln vergleichbare KI-Systeme fuer den Einsatz in der Zugangskontrolle, also im biometrischen Hochrisiko-Bereich. Unternehmen A beginnt fruehzeitig, noch vor Abschluss der Produktentwicklung, mit der Kontaktaufnahme zu einer spezialisierten Pruefstelle. Es liefert erste technische Dokumentation, auch wenn diese noch unvollstaendig ist, und laesst parallel zur Weiterentwicklung erste Pruefschritte anlaufen.

Unternehmen B geht den entgegengesetzten Weg: Es konzentriert sich vollstaendig auf die Produktreife und plant die Konformitätsbewertung erst kurz vor dem gewuenschten Markteintritt ein. In einem Umfeld mit ausreichenden Pruefkapazitaeten waere dieser Unterschied vermutlich zu verschmerzen. In einem Umfeld mit spezialisierten, aber zahlenmaessig begrenzten Notified Bodies kann daraus ein handfester Wettbewerbsnachteil werden: Waehrend Unternehmen A seinen Pruefslot laengst gesichert hat, steht Unternehmen B womoeglich vor einer Warteliste – und verliert damit genau die Zeit, die im Wettbewerb mit internationalen Anbietern entscheidend sein kann.

Dieses Szenario ist bewusst vereinfacht, es blendet Sonderfaelle, Uebergangsregelungen und individuelle Verhandlungsspielraeume aus. Es zeigt aber ein Grundmuster, das sich aus der aktuellen Struktur der Konformitätsbewertung ableiten laesst: Fruehes, proaktives Handeln wird durch das System selbst belohnt, spaetes Reagieren wird strukturell benachteiligt. Das ist keine Kleinigkeit fuer die strategische Planung von Produktlaunches.

Cybersicherheit und KI-Konformität – zwei Systeme, eine Schnittstelle

Parallel zum AI Act existiert der EU-Rahmen fuer Cybersicherheitszertifizierung nach der Cybersecurity Act-Verordnung. Er ermoeglicht sektorspezifische EU-Zertifizierungssysteme, etwa fuer Cloud-Dienste. Die Europaeische Kommission beschreibt diesen Cybersecurity Certification Framework als eigenstaendige Saeule neben der KI-spezifischen Konformitätsbewertung.

Wichtig fuer die Praxis: Beide Systeme lassen sich kombinieren, sind rechtlich aber getrennte Verfahren. Ein KI-System, das eine Cybersicherheitszertifizierung durchlaufen hat, ist damit nicht automatisch AI-Act-konform – und umgekehrt. Wer glaubt, mit einem Zertifikat beide Pflichten abzudecken, irrt. Das ist einer der haeufigsten Denkfehler, die ich in Unternehmensgespraechen zu diesem Thema hoere.

Der TUEV-Verband bewertet den risikobasierten Ansatz des AI Act grundsaetzlich positiv und betont, dass verpflichtende Pruefungen durch unabhaengige Stellen fuer Hochrisiko-Systeme notwendig seien, um Sicherheit und Vertrauenswuerdigkeit tatsaechlich herzustellen. Diese Einschaetzung teile ich – mit einem Vorbehalt: Notwendig ist die richtige Kategorie, ausreichend ist sie noch nicht, solange die Pruefkapazitaeten hinterherhinken.

Gegenargumente: Bremst die Zertifizierungspflicht Innovation?

Es waere unehrlich, an dieser Stelle nur die Sicherheitsperspektive zu betonen und die Kritik der betroffenen Branchen zu ignorieren. Aus Unternehmenssicht wird immer wieder eingewandt, dass verpflichtende externe Konformitätsbewertungen Entwicklungszyklen verlangsamen, zusaetzliche Kosten verursachen und gerade kleinere Anbieter benachteiligen, die sich keine umfangreiche Compliance-Abteilung leisten koennen. Ein grosser Konzern kann Pruefkosten und Wartezeiten leichter abfedern als ein Startup mit begrenztem Kapital. Diese Sorge ist nachvollziehbar und sollte nicht kleingeredet werden.

Gleichzeitig laesst sich argumentieren, dass genau diese Huerde ihren Zweck erfuellt, wenn es um Systeme mit unmittelbarer Auswirkung auf Gesundheit, Sicherheit oder Grundrechte geht. Eine Zugangskontrolle per Gesichtserkennung oder eine KI-gestuetzte Diagnosesoftware trifft Entscheidungen, die sich nicht einfach zuruecknehmen lassen, wenn sie falsch laufen. Eine unabhaengige Pruefung vor Markteintritt ist dann kein Selbstzweck der Buerokratie, sondern eine Massnahme, die Schaden verhindern soll, bevor er entsteht. Die Herausforderung besteht darin, diesen Schutzgedanken mit praktikablen, planbaren Verfahren zu verbinden – und genau daran, an der Praktikabilitaet, hakt es aktuell noch.

Ein moeglicher Mittelweg, der in Fachkreisen diskutiert wird, waere ein abgestuftes System aus vereinfachten Verfahren fuer kleinere Anbieter mit nachweislich begrenztem Risikoprofil, kombiniert mit strengeren Anforderungen fuer Systeme mit besonders weitreichenden Folgen. Ob und in welcher Form ein solcher Mittelweg tatsaechlich kommt, ist offen. Fuer Unternehmen, die heute planen, zaehlt vor allem die aktuelle Rechtslage – nicht die Hoffnung auf kuenftige Erleichterungen.

Akkreditierungsdokument für EU-Notified-Bodies wird von Behördenmitarbeiterin unterschrieben
Bevor eine Prüfstelle Hochrisiko-KI zertifizieren darf, muss sie selbst akkreditiert und als Notified Body notifiziert werden. (Symbolbild)

Die Luecke bei grossen Sprachmodellen

Waehrend fuer Hochrisiko-Systeme mit physischem Produktbezug ein Pruefpfad existiert, sieht es bei allgemeinen KI-Modellen – GPAI, einschliesslich grosser Sprachmodelle – anders aus. Seit August 2025 muessen Anbieter solcher Modelle bestimmte Transparenzanforderungen erfuellen. Modelle mit systemischem Risiko unterliegen zusaetzlichen Pflichten: Adversarial Testing, Meldung von Vorfaellen, Cybersicherheitsmassnahmen und Berichtspflichten zum Energieverbrauch.

Ein eigenstaendiges, verpflichtendes EU-Zertifizierungsschema speziell fuer GPAI-Modelle – vergleichbar mit einer CE-Kennzeichnung samt Notified-Body-Audit nur fuer das Modell selbst – existiert bislang nicht. Es wird politisch diskutiert, ist aber nicht beschlossen. Genau hier widerspricht die Realitaet oft der oeffentlichen Wahrnehmung: Viele gehen faelschlich davon aus, es gebe bereits ein einheitliches EU-Siegel fuer KI-Modelle. Das ist Stand heute nicht der Fall.

Meine persoenliche Einschaetzung: Diese Luecke ist die eigentliche Schwachstelle der aktuellen Architektur. Waehrend ein biometrisches Kamerasystem eine klare externe Konformitätsbewertung durchlaufen muss, kann ein grosses Sprachmodell mit potenziell weit groesserer gesellschaftlicher Reichweite formal mit Selbstauskuenften und Transparenzberichten durchkommen. Das ist keine Kleinigkeit – es ist eine strukturelle Asymmetrie, die man politisch schwer erklaeren kann, wenn man Nutzer:innen die Sicherheit des AI Act verspricht.

Fristen und Realitaetscheck

Ein Missverstaendnis haelt sich hartnaeckig: Der AI Act gelte angeblich erst ab 2027 vollstaendig. Das ist verkuerzt. Verbotene Praktiken – etwa Social Scoring durch Behoerden – sind bereits seit Februar 2025 untersagt. GPAI-Transparenzpflichten laufen seit August 2025. Zentrale Anforderungen fuer Hochrisiko-Systeme werden ab August 2026 voll wirksam. Wer nur eine Jahreszahl im Kopf hat, verpasst die eigentliche Dynamik: Der Rechtsrahmen laeuft in Wellen an, nicht als Stichtag.

Fuer Unternehmen heisst das: Wer erst 2026 mit der Vorbereitung beginnt, startet zu spaet. Konformitätsbewertung braucht Vorlaufzeit – technische Dokumentation, Risikomanagementsysteme, Datenhistorie fuer Trainings- und Testdaten lassen sich nicht in wenigen Wochen nachtraeglich erzeugen.

Wer haftet, wenn die Pruefstelle irrt?

Eine Frage, die in Debatten ueber die AI-Sicherheitszertifizierung bislang zu selten gestellt wird: Was passiert, wenn ein zertifiziertes System spaeter doch versagt, obwohl eine Notified Body es zuvor freigegeben hat? Die Konformitätsbewertung ist keine Garantie fuer absolute Fehlerfreiheit, sondern eine Bestaetigung, dass zum Pruefzeitpunkt bestimmte Anforderungen nachweislich erfuellt waren. Verantwortung verteilt sich in einem solchen Fall auf mehrere Ebenen: den Anbieter, der das System entwickelt und in Verkehr gebracht hat, die Pruefstelle, die die Bewertung vorgenommen hat, und die nationalen Marktueberwachungsbehoerden, die im Nachhinein eingreifen koennen.

Diese Mehrschichtigkeit ist kein Zufall, sondern Teil des Systemdesigns: Sie soll verhindern, dass eine einzelne Instanz allein ueber Sicherheit entscheidet, ohne Kontrolle. Gleichzeitig macht sie Verfahren komplexer, wenn es tatsaechlich zu einem Vorfall kommt. Wer haftet in welchem Umfang, haengt stark vom Einzelfall ab – von der Qualitaet der eingereichten Dokumentation, von moeglichen Aenderungen am System nach der Zertifizierung und von der Frage, ob die Pruefstelle im Rahmen ihrer Sorgfaltspflichten gehandelt hat. Fuer Unternehmen bedeutet das in der Praxis: Eine bestandene Konformitätsbewertung entlastet nicht vollstaendig von eigener Verantwortung, sie verschiebt sie lediglich in ein geregeltes Verfahren mit mehreren Beteiligten. Wer das verinnerlicht, plant Risikomanagement nicht als einmaligen Pruefschritt, sondern als fortlaufende Aufgabe auch nach dem erfolgreichen Marktstart.

Der Engpass, der niemandem gehoert

Die unbequemste Beobachtung zum Schluss dieses Themenkomplexes: Es gibt schlicht zu wenige spezialisierte EU-Notified-Bodies fuer KI-Themen, waehrend die Zahl betroffener Systeme rapide waechst. Beratungshaeuser warnen bereits vor genau diesem Engpass. Das Problem ist strukturell – Akkreditierung, Peer-Review und Notifizierung brauchen Zeit, KI-Produktentwicklung dagegen laeuft in Monatszyklen.

Was folgt daraus fuer die Marktrealitaet? Wahrscheinlich eine Warteschlangen-Oekonomie: Unternehmen, die fruehzeitig Kontakt zu geeigneten Pruefstellen aufnehmen, sichern sich Slots. Wer spaeter kommt, findet moeglicherweise ausgebuchte Kapazitaeten vor – mit direkten Folgen fuer Produktlaunches und Wettbewerbsfaehigkeit gegenueber Anbietern aus den USA oder Asien, die solchen Vorlauf nicht kennen. Ist das gewollt? Kaum. Ist es absehbar? Definitiv.

Was Unternehmen jetzt konkret tun sollten

Wer ein KI-System mit moeglichem Hochrisiko-Bezug entwickelt, sollte nicht auf finale Leitlinien warten. Sinnvolle Schritte:

  • Fruehzeitige Selbstklassifizierung: In welche Risikokategorie faellt das System, und aendert sich das durch geplante Weiterentwicklungen?
  • Klaeren, ob interne Konformitätsbewertung reicht oder eine externe Pruefung durch eine Notified Body notwendig wird – abhaengig davon, ob sektorales EU-Recht zusaetzlich greift.
  • Kontakt zu spezialisierten Pruefstellen aufnehmen, bevor Kapazitaeten knapp werden. Nischenkompetenz wie im Fall biometrischer Systeme zaehlt mehr als ein allgemeines Guetesiegel.
  • Technische Dokumentation, Datenherkunft und Risikomanagement parallel zur Produktentwicklung aufbauen, nicht nachtraeglich.
  • Freiwillige Audits erwaegen, auch wenn das eigene System aktuell nicht als Hochrisiko gilt – Standards wie Managementsysteme fuer KI koennen spaetere Nachweise erleichtern.
  • Interne Verantwortlichkeiten klar zuordnen: Wer im Unternehmen entscheidet ueber Klassifizierung, Dokumentation und Kontakt zu Pruefstellen, und wer uebernimmt diese Aufgabe, wenn Zustaendigkeiten wechseln?

Das ist kein juristisches Beiwerk, sondern Projektplanung. Wer die Konformitätsbewertung als letzten Schritt vor dem Launch einplant, hat sie faktisch zu spaet eingeplant.

Was bleibt

Die Frage, wer vor dem Marktstart prueft, ist keine Randnotiz des AI Act – sie ist seine praktische Bewaehrungsprobe. Ein Regelwerk mit klaren Pflichten, aber ohne ausreichende Pruefinfrastruktur bleibt Theorie. Die naechsten zwei Jahre entscheiden, ob EU-Notified-Bodies tatsaechlich als verlaessliche Gatekeeper funktionieren oder ob europaeische KI-Anbieter an einem selbst geschaffenen Flaschenhals scheitern. Wer wird zuerst merken, ob das System haelt: die Unternehmen, die pruefen lassen muessen, oder die Nutzer:innen, die sich auf eine Sicherheitszertifizierung verlassen sollen, die es fuer ihr konkretes Produkt vielleicht noch gar nicht gibt?

Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.