Auf einen Blick: Art. 11 KI-VO verlangt für jede Hochrisiko-KI eine technische Dokumentation nach Anhang IV, die vor dem Inverkehrbringen erstellt und laufend aktuell gehalten wird. KMU und Start-ups dürfen die Anhang-IV-Inhalte in vereinfachter Form bereitstellen. Die EU-Kommission stellt dafür ein vereinfachtes Formular bereit, das notifizierte Stellen akzeptieren müssen. Vereinfacht heißt aber nicht unvollständig: alle Bereiche müssen adressiert sein.
Art. 11 KI-VO ist der Artikel, an dem sich entscheidet, ob eine Hochrisiko-KI überhaupt rechtmäßig auf den Markt darf. Er verlangt vom Anbieter eine technische Dokumentation nach Anhang IV, und zwar bevor das System in Verkehr gebracht oder in Betrieb genommen wird. Die gute Nachricht für den Mittelstand: kleine und mittlere Unternehmen dürfen die Inhalte in vereinfachter Form liefern, und die EU-Kommission stellt ein eigenes Formular dafür bereit. Die schlechte: vereinfacht meint kürzer, nicht lückenhaft. Jeder Anhang-IV-Bereich muss vorkommen.
Was Art. 11 KI-VO konkret verlangt
Der Artikel adressiert den Anbieter einer Hochrisiko-KI. Er muss die technische Dokumentation erstellen, bevor das System in Verkehr gebracht oder in Betrieb genommen wird, und er muss sie laufend auf dem neuesten Stand halten. Die Dokumentation ist kein einmaliges Dokument, das man abheftet und vergisst. Sie wandert mit dem System über dessen gesamten Lebenszyklus.
Der Zweck ist eng definiert. Die Dokumentation soll nachweisen, dass das Hochrisiko-System die Anforderungen aus Abschnitt 2 der KI-Verordnung erfüllt. Also Risikomanagement, Daten-Governance, Genauigkeit, Robustheit, menschliche Aufsicht und die übrigen Pflichten für Hochrisiko-KI. Sie ist außerdem die Grundlage, auf der die Behörden später prüfen, ob alles passt. Wer keine Dokumentation hat, hat im Marktüberwachungsverfahren nichts vorzuweisen.
Mindestens müssen die in Anhang IV genannten Angaben enthalten sein. Mindestens, weil branchenspezifische oder produktrechtliche Anforderungen zusätzlich greifen können. Für die meisten Mittelständler ist Anhang IV aber der Maßstab.
Was im Anhang IV stehen muss
Anhang IV listet die Bereiche auf, die eine technische Dokumentation abdecken muss. Die folgende Übersicht fasst die wichtigsten Punkte zusammen, ohne den juristischen Volltext nachzubeten.
| Bereich | Was dokumentiert werden muss |
|---|---|
| Allgemeine Beschreibung | Was das System ist, Zweckbestimmung, vorgesehene Nutzergruppen, Versionsstand |
| Entwicklungsprozess | Wie das System entwickelt wurde, eingesetzte Methoden, beteiligte Dritte |
| Architektur und Rechenressourcen | Systemaufbau, Logik, eingesetzte Hard- und Software, benötigte Rechenleistung |
| Daten | Trainings-, Validierungs- und Testdaten, Herkunft, Auswahl, Aufbereitung |
| Leistung und Genauigkeit | Leistungskennzahlen, Genauigkeit, getestete Szenarien, bekannte Grenzen |
| Risikomanagement | Das Risikomanagementsystem nach Art. 9 KI-VO und seine Ergebnisse |
| Menschliche Aufsicht | Wie die Aufsicht nach Art. 14 KI-VO eingebaut ist |
| Änderungen | Vorgenommene Änderungen über den Lebenszyklus des Systems |
| Normen | Liste der angewandten harmonisierten Normen und Spezifikationen |
Die Bereiche greifen ineinander. Das Risikomanagementsystem nach Art. 9 KI-VO ist ein eigener Bestandteil der Doku. Die Daten-Governance nach Art. 10 KI-VO taucht im Daten-Bereich auf. Die menschliche Aufsicht nach Art. 14 KI-VO ist eigens zu beschreiben. Anhang IV ist insofern weniger ein neuer Pflichtenkatalog als das Schaufenster, in dem die Erfüllung aller anderen Hochrisiko-Pflichten sichtbar wird.
Wer dokumentieren muss: Anbieter, nicht jeder Betreiber
Adressat von Art. 11 KI-VO ist ausschließlich der Anbieter, in der Verordnung Provider genannt. Also derjenige, der das System entwickelt oder unter eigenem Namen in Verkehr bringt. Die große Mehrheit der KMU setzt fertige KI-Produkte ein und ist damit Betreiber, nicht Anbieter. Betreiber müssen keine technische Dokumentation nach Art. 11 KI-VO erstellen. Sie müssen prüfen, ob das eingekaufte System konform ist und die Dokumentation des Anbieters vorliegt.
Die Falle steckt in Art. 25 KI-VO. Ein KMU kann ungewollt zum Anbieter werden, und damit auch zum Adressaten von Art. 11. Das passiert in drei Konstellationen. Wer ein Hochrisiko-System unter eigenem Namen oder eigener Marke vertreibt, wird selbst Anbieter, auch wenn die Technik von einem Dritten stammt. Wer ein Hochrisiko-System wesentlich verändert, wird Anbieter für die veränderte Variante. Und wer den Zweck eines bestehenden Systems so ändert, dass es neu in den Hochrisiko-Bereich fällt, wird ebenfalls Anbieter.
Das ist kein Randfall. Ein Software-Haus, das eine fremde KI-Engine in das eigene Produkt einbettet und unter eigener Marke verkauft, ist Anbieter. Eine Personalberatung, die ein zugekauftes Scoring-Modell mit eigenen Regeln umbaut und an Kunden weiterreicht, ebenfalls. Wer hier glaubt, er sei nur harmloser Wiederverkäufer, übersieht Art. 25 KI-VO und damit die volle Dokumentationspflicht.
Die KMU-Erleichterung: vereinfachtes Formular
Art. 11 Abs. 1 KI-VO enthält eine ausdrückliche Erleichterung für kleine und mittlere Unternehmen einschließlich Start-ups. Sie dürfen die in Anhang IV genannten Elemente in vereinfachter Weise bereitstellen. Dafür erstellt die EU-Kommission ein vereinfachtes Formular für die technische Dokumentation, das auf die Bedürfnisse kleiner Unternehmen und Kleinstunternehmen zugeschnitten ist. Notifizierte Stellen müssen dieses Formular akzeptieren.
Was bedeutet vereinfacht praktisch? Es heißt, dass die Darstellungstiefe angemessen reduziert werden darf. Ein Drei-Personen-Start-up muss nicht den gleichen 200-seitigen Dokumentationsapparat aufbieten wie ein Konzern. Es heißt nicht, dass Bereiche weggelassen werden dürfen. Alle Anhang-IV-Bereiche müssen adressiert sein, von der Systembeschreibung über die Daten bis zum Risikomanagement. Wer das Daten-Kapitel mit zwei Sätzen abtut, hat nicht vereinfacht, sondern lückenhaft dokumentiert.
Der Unterschied klingt subtil, ist aber entscheidend. Eine vereinfachte Doku darf knapper, fokussierter, schlanker sein. Sie darf nicht inhaltlich unvollständig sein. Wer die Erleichterung als Freibrief versteht, einzelne Pflichtbereiche zu streichen, fällt bei der Konformitätsbewertung durch.
Wie ein KMU die technische Dokumentation pragmatisch aufbaut
Die meisten Mittelständler, die hier landen, sind keine Compliance-Abteilung mit eigenem Stab. Sie brauchen einen Weg, der funktioniert, ohne ein Jahr zu verschlingen. Der folgende Pfad hat sich bewährt.
Schritt eins: Einstufung klären. Bevor irgendwas dokumentiert wird, muss feststehen, ob das System überhaupt Hochrisiko nach Art. 6 KI-VO und Anhang III ist und ob du Anbieter oder Betreiber bist. Wer nur Betreiber ist, dokumentiert nach Art. 11 KI-VO nichts und springt direkt zur Prüfung der Anbieter-Doku.
Schritt zwei: Anhang IV als Gliederung nehmen. Die neun Bereiche aus der Tabelle oben werden zur Inhaltsverzeichnis-Vorlage. Lieber eine leere Überschrift mit dem Hinweis "noch zu erstellen" als ein vergessener Bereich.
Schritt drei: Vorhandenes einsammeln. Vieles existiert schon irgendwo. Lastenhefte, Architekturdiagramme, Testprotokolle, Datenschutz-Folgenabschätzungen, Datenverzeichnisse. Diese Unterlagen werden den Anhang-IV-Bereichen zugeordnet, statt alles neu zu schreiben.
Schritt vier: Das Risikomanagement nach Art. 9 KI-VO einhängen. Es ist ein eigener Pflichtbereich und gehört als geschlossenes Kapitel in die Doku, nicht verstreut über andere Abschnitte.
Schritt fünf: Lücken schließen. Was nach dem Einsammeln fehlt, wird gezielt ergänzt. Erfahrungsgemäß sind das die Daten-Governance, die Bias-Bewertung und die Beschreibung der menschlichen Aufsicht.
Schritt sechs: Versionierung etablieren. Die Doku muss aktuell gehalten werden. Ein simpler Änderungsverlauf mit Datum, Version und Anlass reicht, muss aber von Anfang an mitlaufen.
Schritt sieben: Aufbewahrung sicherstellen. Nach Art. 18 KI-VO ist die Dokumentation zehn Jahre nach Inverkehrbringen oder Inbetriebnahme für die Behörden vorzuhalten. Das gehört in die Ablage-Strategie eingeplant, bevor das System läuft.
Eine Voraussetzung zieht sich durch alle sieben Schritte: das Team muss verstehen, was es da dokumentiert. Wer Datensätze beschreiben, Bias bewerten und Risiken einordnen soll, braucht KI-Kompetenz. Genau das fordert die KI-Kompetenzpflicht nach Art. 4 KI-VO, die seit 02.02.2025 ohne Übergangsfrist gilt. Eine technische Dokumentation, die von Leuten geschrieben wird, die den Inhalt nicht durchdringen, wird beim Audit als das erkannt, was sie ist.
Verhältnis zu Konformitätsbewertung und Aufbewahrung
Die technische Dokumentation steht nicht für sich. Sie ist das Fundament zweier weiterer Schritte. Die Konformitätsbewertung nach Art. 43 KI-VO stützt sich auf sie. Bei der für die meisten Anhang-III-Systeme zulässigen internen Kontrolle prüft der Anbieter anhand der Dokumentation selbst, ob das System konform ist. Anschließend stellt er die EU-Konformitätserklärung nach Art. 47 KI-VO aus und bringt das CE-Zeichen nach Art. 48 KI-VO an. Ohne belastbare technische Dokumentation gibt es keine tragfähige Konformitätserklärung.
Die Aufbewahrungspflicht nach Art. 18 KI-VO bindet die Doku zehn Jahre lang. Das ist eine lange Strecke, über die Personen wechseln, Server umziehen und Tools verschwinden. Wer die Dokumentation in einer flüchtigen Projekt-Cloud ablegt, die in drei Jahren abgeschaltet wird, hat das Problem nur verschoben. Eine geordnete, migrationsfeste Ablage ist Teil der Pflicht, nicht ein nettes Extra.
Praxis: Voltika Systems in Augsburg
Ein konkretes Beispiel. Voltika Systems ist ein Software-Haus mit 28 Mitarbeitern in Augsburg. Das Unternehmen entwickelt eine KI-gestützte Software zur Vorauswahl von Bewerbern, die Lebensläufe analysiert und eine Rangfolge erstellt. Voltika verkauft die Software unter eigenem Namen an mittelständische Personalabteilungen.
Damit ist die Lage klar. Bewerber-Vorauswahl fällt unter Anhang III Nr. 4 KI-VO (Beschäftigung, Personalmanagement). Das System betreibt Profiling natürlicher Personen, also greift die Ausnahme nach Art. 6 Abs. 3 KI-VO nicht. Voltika vertreibt unter eigener Marke und ist nach Art. 25 KI-VO eindeutig Anbieter. Folge: Voltika muss die volle technische Dokumentation nach Art. 11 und Anhang IV KI-VO erstellen.
Die Geschäftsführung will zunächst abwarten, weil die Anhang-III-Pflichten durch das Omnibus-Paket vom 07.05.2026 auf den 02.12.2027 verschoben wurden. Im Beratungsgespräch wird klar, dass Abwarten teuer wird. Die Daten-Governance-Dokumentation für das Trainings-Set ist noch gar nicht angefangen. Die Bias-Bewertung gegen verschiedene Bewerbergruppen fehlt. Das Risikomanagementsystem nach Art. 9 KI-VO existiert nur als Gedanke im Kopf des CTO.
Voltika nutzt die KMU-Erleichterung und baut auf Basis des vereinfachten Kommissions-Formulars eine schlanke, aber vollständige Doku. Die neun Anhang-IV-Bereiche werden zur Gliederung. Vorhandene Lastenhefte und Testprotokolle wandern in die passenden Kapitel. Für Daten-Governance und Bias-Bewertung wird ein externer Sachverständiger für 14 Tage zugekauft, weil intern niemand die nötige Erfahrung hat. Bis Frühjahr 2027 steht das Dossier, mit einem Jahr Puffer vor dem Stichtag und genug Zeit, um eine ehrliche interne Konformitätsbewertung nach Art. 43 KI-VO durchzulaufen.
Hätte Voltika bis Herbst 2027 gewartet, wäre die Bias-Bewertung unter Zeitdruck zur Alibi-Übung verkommen, mit dem Risiko, dass die Konformitätserklärung auf wackligem Fundament steht.
Warum früh dokumentieren günstiger ist
In der Praxis sehen wir bei Anbietern regelmäßig den gleichen Reflex: erst bauen, später dokumentieren. Das ist nachvollziehbar, aber teuer. Wer die Architektur, die Datenherkunft, die Testergebnisse und die Designentscheidungen erst Monate nach der Entwicklung rekonstruiert, kämpft mit Erinnerungslücken, gelöschten Logs und Mitarbeitern, die das Projekt längst verlassen haben. Die nachträgliche Rekonstruktion einer technischen Dokumentation kostet oft ein Vielfaches dessen, was die laufende Dokumentation während der Entwicklung gekostet hätte.
Wer die Anhang-IV-Gliederung schon zu Projektbeginn auf den Tisch legt und parallel zur Entwicklung füllt, hat am Stichtag ein fertiges, belastbares Dossier. Wer nachträglich rekonstruiert, hat eine Sammlung von Vermutungen, die beim ersten kritischen Audit auseinanderfällt. Die technische Dokumentation ist nicht der lästige Papierkram am Ende. Sie ist das Protokoll, das beweist, dass das System sauber gebaut wurde, und das lässt sich nur schreiben, solange man noch weiß, was man getan hat.
Häufige Fragen
Muss ich als Betreiber eine technische Dokumentation erstellen?
Nein. Art. 11 KI-VO verpflichtet ausschließlich den Anbieter einer Hochrisiko-KI. Wer fertige Systeme einkauft und nutzt, ist Betreiber und muss keine eigene technische Dokumentation nach Anhang IV erstellen. Deine Aufgabe als Betreiber ist es, zu prüfen, ob das eingekaufte System konform ist und ob die Anbieter-Dokumentation vorliegt. Vorsicht aber bei Art. 25 KI-VO: wenn du das System unter eigenem Namen vertreibst oder wesentlich veränderst, wirst du selbst zum Anbieter und damit dokumentationspflichtig.
Was ist das vereinfachte KMU-Formular und wo bekomme ich es?
Art. 11 Abs. 1 KI-VO sieht vor, dass die EU-Kommission ein vereinfachtes Formular für die technische Dokumentation erstellt, das auf kleine und mittlere Unternehmen sowie Kleinstunternehmen zugeschnitten ist. Notifizierte Stellen müssen dieses Formular akzeptieren. Es erlaubt eine knappere Darstellung der Anhang-IV-Inhalte, verlangt aber, dass alle Bereiche adressiert werden. Vereinfacht bedeutet schlanker, nicht lückenhaft.
Wie lange muss die technische Dokumentation aufbewahrt werden?
Nach Art. 18 KI-VO muss die technische Dokumentation zehn Jahre nach dem Inverkehrbringen oder der Inbetriebnahme des Systems für die Behörden vorgehalten werden. Diese Frist gilt auch für die vereinfachte KMU-Variante. Parallel können Aufbewahrungspflichten aus DSGVO, Handelsrecht oder branchenspezifischen Regelungen greifen. Im Zweifel orientiert man sich an der längsten anwendbaren Frist und plant eine migrationsfeste Ablage ein.
Ab wann gilt die Pflicht nach Art. 11 KI-VO?
Die Hochrisiko-Pflichten nach Anhang III KI-VO, zu denen auch Art. 11 gehört, wurden durch das Omnibus-Paket nach dem Trilog vom 07.05.2026 auf den 02.12.2027 verschoben. Anhang-I-Pflichten greifen ab 02.08.2028. Wer aber heute schon eine Hochrisiko-KI entwickelt, sollte die Dokumentation jetzt mitlaufen lassen, weil die nachträgliche Rekonstruktion deutlich teurer ist als die laufende Erstellung während der Entwicklung.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
30 Minuten Klarheit kosten nichts. Wenn Du KI im Betrieb einsetzt oder überlegst einzusetzen, kommt es nicht auf das Tool an. Es kommt auf die Frage: wo entstehen Risiken, wo Hebel? In 30 Minuten gehen wir Deine konkrete Lage durch und Du weißt, wo Du anfangen solltest. Termin reservieren oder kostenlosen KI-Schnupperkurs starten.
Zuletzt geprüft am 28. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.