AI Regulatory Intelligence — by YRproject

sachliche Einordnung · nachvollziehbar bis zur Primärquelle

Compliance-Plattform Zusammenarbeiten LinkedIn NL·EN·DE
Wegweiser

Vorbereitung auf ein KI-Aufsichtsaudit: welche Unterlagen Sie bereithalten müssen

Verabschiedet 2026-06-22 · ≈ 2 Min. Lesezeit · Dirk Baaijen

Bei einem Audit fordert eine Aufsichtsbehörde zuerst Ihre Unterlagen an. Wer technische Dokumentation, Risikomanagement, Protokollierung, Konformitätserklärung und Governance im Griff hat, besteht die Prüfung. Dieser Wegweiser fasst zusammen, was Sie bereithalten müssen.

Kurze Antwort: Bei einem Aufsichtsaudit wird weniger Ihr System getestet als vielmehr Ihre Akte. Die Aufsichtsbehörde fordert zuerst Ihre technische Dokumentation, Ihr Risikomanagement, Ihre Protokolldateien, Ihre Konformitätserklärung und Ihre Governance an. Wer diese Unterlagen bereit und aktuell hat, besteht die Prüfung; wer sie nachträglich rekonstruieren muss, scheitert. Bereiten Sie die Akte daher vor dem Audit vor, nicht danach.

Was eine Aufsichtsbehörde zuerst anfordert

Für Hochrisiko-Systeme schreibt die KI-Verordnung genau vor, welche Dokumentation verfügbar sein muss. In der Praxis fragt eine Aufsichtsbehörde in der Regel nach:

  • Technischer Dokumentation (Anhang IV): Zweck, Konzeption, Datenspezifikationen, getestetes Verhalten und bekannte Beschränkungen des Systems.
  • Risikomanagementsystem: wie Sie Risiken über den gesamten Lebenszyklus identifizieren, bewerten und mindern.
  • Daten-Governance: Herkunft, Qualität und Repräsentativität der Trainings- und Testdaten.
  • Protokolldateien: automatische Aufzeichnung von Ereignissen zur Gewährleistung der Rückverfolgbarkeit.
  • EU-Konformitätserklärung und CE-Kennzeichnung, soweit zutreffend.
  • Menschliche Aufsicht und Betriebsanleitungen für den Betreiber.

Dokumentation ist ein fortlaufender Prozess

Der Fehler, den Organisationen machen, ist, Dokumentation als einmaliges Projekt zu betrachten. Die KI-Verordnung verlangt, dass die Dokumentation aktuell bleibt: bei jeder wesentlichen Änderung des Systems muss die Akte mitgeführt werden. Ein Audit kann Jahre nach Inbetriebnahme stattfinden, daher sind Versionsverwaltung und eine nachweisbare Aktualisierungsroutine entscheidend. Eine Akte, die nicht mit dem System in der Produktion übereinstimmt, ist ein Warnsignal.

Verteilen Sie die Rollen Anbieter und Betreiber

Nicht alle Unterlagen liegen bei derselben Partei. Der Anbieter erstellt die technische Dokumentation und die Konformitätserklärung; der Betreiber muss nachweisen können, dass er das System gemäß den Betriebsanleitungen einsetzt, menschliche Aufsicht regelt und bei Bedarf Protokolle aufbewahrt. Bei einem Audit wird diese Unterscheidung scharf; legen Sie vertraglich fest, wer welche Unterlage liefert. Die Verankerung gehört in Ihr Governance-Rahmenwerk.

Üben Sie das Audit selbst

Die beste Vorbereitung ist ein internes Probeaudit: lassen Sie jemanden, der das System nicht gebaut hat, die Akte anfordern, als wäre er die Aufsichtsbehörde. Fehlende Unterlagen, veraltete Versionen und nicht nachvollziehbare Entscheidungen kommen so ans Licht, bevor es ernst wird. Was das Durchsetzungsverfahren genau beinhaltet, lesen Sie gesondert.

Was zu tun ist

  • Erstellen Sie einen Aktenindex mit allen verpflichtenden Unterlagen und dem Verantwortlichen je Unterlage.
  • Sichern Sie die Versionsverwaltung: die Dokumentation folgt jeder Systemänderung.
  • Prüfen Sie Ihre Protokollierung: zeichnen Sie genug auf, um Entscheidungen nachvollziehen zu können?
  • Legen Sie Rollen mit Lieferanten fest: wer liefert welche Unterlage?
  • Führen Sie ein Probeaudit durch, bevor die Aufsichtsbehörde anruft — siehe auch nationale Aufsichtsbehörden.

Quellen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordnung (EU) 2024/1689 (KI-Verordnung); Art. 11, 12, 17-19 und Anhang IV zu technischer Dokumentation, Protokollierung und Qualitätsmanagement.
  2. https://digital-strategy.ec.europa.eu/en/policies/ai-office
    Europäische Kommission; das KI-Büro und nationale Aufsichtsbehörden können Unterlagen direkt anfordern.

Share on LinkedIn

Lesen Sie auch

W

Die KI-Verordnung für den Entwickler: Anbieterpflichten und Dokumentation

Wer KI baut oder feinabstimmt, ist unter der KI-Verordnung oft Anbieter — die Rolle mit den schwersten Pflichten. Diese Übersicht zeigt, was ein Entwickler und Produktteam konkret regeln müssen: technische Dokumentation, Datenqualität, Protokollierung und menschliche Aufsicht by Design.

W

Die EU-Konformitätserklärung nach der KI-Verordnung (Artikel 47)

Die EU-Konformitätserklärung ist die schriftliche Erklärung, mit der der Anbieter selbst bestätigt, dass ein Hochrisiko-KI-System der KI-Verordnung entspricht. Artikel 47 schreibt Inhalt, Sprache und Aufbewahrung vor; der Anbieter trägt dafür die volle Verantwortung.

U

KI in der Industrie: Zusammentreffen mit der Maschinenverordnung

KI in Produktion und Maschinen berührt zwei Regime. Ein KI-System, das die Sicherheit einer Maschine bestimmt, ist nach der KI-Verordnung Hochrisiko (Anhang I) und muss zugleich der neuen Maschinenverordnung genügen. Ein Produkt, zwei Konformitätsstränge, die abzustimmen sind.

Dirk Baaijen

Über diese Wissensdatenbank

Zusammengestellt und gepflegt von YRproject — Programm- und Projektsteuerung an der Schnittstelle von digitaler Transformation, KI und Regulierung. Jede sachliche Aussage ist bis zur Primärquelle nachvollziehbar. Hinter YRproject steht Dirk Baaijen Über & Methode →

Ein Projekt oder Programm? Mit YRproject arbeiten →

Das monatliche Briefing

KI-Regulierung in fünf Minuten: was sich geändert hat, was kommt und was es bedeutet. Kein Spam, jederzeit abbestellbar.

Ihre Adresse wird nur hierfür verwendet und auf eigenen Servern gespeichert.