Wer Hochrisiko-KI auf den Markt bringt, muss sie nicht nur entwickeln. Er muss sie nach dem Launch beobachten, dokumentieren und systematisch lernen, was im Realbetrieb passiert. Genau das regelt Artikel 72 der EU KI-Verordnung. Im Frühjahr 2026 kursiert in vielen Quellen die Behauptung, Artikel 72 sei bereits seit April 2026 für Anbieter verbindlich. Das stimmt so nicht, und der Unterschied ist wichtig, wenn du gerade dein Compliance-Programm planst.
Das Wichtigste in Kürze
- Artikel 72 EU AI Act regelt die Post-Market-Beobachtung von Hochrisiko-KI-Systemen durch ihre Anbieter
- Die Pflicht greift gemeinsam mit den übrigen Hochrisiko-Pflichten, nicht früher
- Mit dem Digital Omnibus 2026 verschiebt sich der Anwendungszeitpunkt voraussichtlich auf 02.12.2027 (Annex III) bzw. 02.08.2028 (Annex I), vorbehaltlich der endgültigen Annahme
- Die Frist 02.02.2026 betraf ausschliesslich die EU-Kommission, die einen Implementing Act mit Template und Pflicht-Elementen für den Monitoring-Plan adoptieren musste, nicht die Anbieter
- Der Plan ist Teil der technischen Dokumentation und muss kontinuierlich Daten zur Performance, zu Vorfällen und zu Korrekturen erfassen
- Eng verknüpft ist Artikel 73 zur Meldung schwerwiegender Vorfälle (15 Tage Standard, 10 Tage bei Tod, 2 Tage bei weitreichenden Auswirkungen)
- Mit dem Omnibus fallen einzelne Systeme aus der Hochrisiko-Definition heraus, was den Anwendungsbereich von Artikel 72 für KMU spürbar entspannt
Was Artikel 72 tatsächlich verlangt
Artikel 72 steht in Kapitel IX der Verordnung, dem Kapitel zu Post-Market Monitoring, Information Sharing und Marktüberwachung. Er richtet sich an Anbieter von Hochrisiko-KI-Systemen, also an die Unternehmen, die solche Systeme entwickeln und unter eigenem Namen auf den Markt bringen.
Der Kern ist eine zweiteilige Pflicht. Erstens muss der Anbieter ein Post-Market Monitoring System einrichten, das proportional zur Art der KI-Technologie und zu den verbundenen Risiken ist. Zweitens muss er einen Post-Market Monitoring Plan dokumentieren, der Teil der technischen Dokumentation nach Annex IV wird.
Das System muss aktiv und systematisch Daten sammeln, dokumentieren und analysieren, die der Anbieter selbst erhebt oder die Betreiber an ihn melden. Diese Daten müssen es ihm erlauben, die Performance des Systems über den gesamten Lebenszyklus zu bewerten und kontinuierlich zu prüfen, ob das System die Anforderungen aus Kapitel III Abschnitt 2 weiterhin erfüllt.
Der Streit um den Stichtag April 2026
In mehreren Compliance-Newslettern und auf Beratungsseiten findet sich aktuell die Aussage, Artikel 72 sei seit Anfang oder April 2026 für Anbieter verbindlich. Diese Verkürzung beruht auf einem Missverständnis.
Der 02.02.2026 ist tatsächlich ein wichtiges Datum im Implementierungs-Fahrplan, aber die Pflicht trifft an diesem Tag die EU-Kommission, nicht die Anbieter. Die Kommission war angehalten, bis zu diesem Stichtag einen Implementing Act zu verabschieden. Dieser Akt soll ein einheitliches Template für den Post-Market Monitoring Plan und eine Liste der Elemente festlegen, die in den Plan aufgenommen werden müssen. Erst wenn dieses Template adoptiert ist, haben Anbieter ein konkretes Format, an dem sie sich orientieren können.
Die Anwendung von Artikel 72 selbst folgt der Anwendung der Hochrisiko-Pflichten. Nach dem ursprünglichen Zeitplan war das der 02.08.2026 für Hochrisiko-Systeme nach Annex III und der 02.08.2027 für Annex-I-Systeme. Mit dem Digital Omnibus, der zum Zeitpunkt dieses Artikels noch im Trilog verhandelt wird, verschieben sich diese Daten voraussichtlich auf 02.12.2027 bzw. 02.08.2028. Vorbehaltlich der endgültigen Annahme heisst das: Anbieter haben mehr Zeit, müssen sich aber an dem Tag, an dem die Hochrisiko-Pflichten greifen, vom ersten Tag an an Artikel 72 halten.
Der praktische Effekt ist klar. Wer 2026 ein Hochrisiko-System entwickelt, baut Monitoring nicht "weil eine Frist abgelaufen ist", sondern damit das System am Tag der Markteinführung mitsamt funktionierendem Monitoring-System startet.
Was in den Monitoring-Plan gehört
Der Plan ist kein PDF-Dokument, das einmal geschrieben und abgelegt wird. Er ist ein lebendes Verfahren, das die folgenden Elemente abdeckt.
Performance-Metriken. Welche Kennzahlen messen, ob das System weiterhin funktioniert wie spezifiziert? Bei einem KI-System für medizinische Bildanalyse können das Sensitivität, Spezifität und falsch-positive Raten sein. Bei einem KI-System für die Bewerber-Vorauswahl die Verteilung der Empfehlungen über demografische Gruppen.
Datenerhebung im Realbetrieb. Wie kommen Logs, Nutzerfeedback und Outputs des Systems zurück an den Anbieter? Welche Daten dürfen aus Datenschutzsicht erhoben werden, welche nicht? Wer ist verantwortlich für die Aggregation?
Drift-Erkennung. KI-Systeme verändern sich nicht selbst, aber die Welt um sie herum schon. Verändert sich die Verteilung der Eingangsdaten, kann die Performance leise einbrechen. Der Plan muss beschreiben, wie solche Drift-Effekte erkannt und behandelt werden.
Korrektur-Strategie. Was passiert, wenn die Daten zeigen, dass das System nicht mehr in Ordnung ist? Patch, Modell-Update, vorübergehende Deaktivierung, Hinweise an Betreiber. Diese Pfade müssen vor dem ersten Markteinsatz geklärt sein, nicht im Krisenfall.
Verantwortlichkeiten. Wer in der Organisation liest die Logs, wer entscheidet über Eskalation, wer kommuniziert mit Behörden und Betreibern.
Der Implementing Act der Kommission soll diese Elemente verbindlich machen und in einem einheitlichen Template abbilden. Bis er in der finalen Fassung vorliegt, orientieren sich die meisten Hersteller an etablierten ISO-Standards (insbesondere ISO 42001 für KI-Management-Systeme), an den Vorgaben aus Annex IV und an dem, was im Trilog bereits öffentlich kommuniziert wurde.
Wie Artikel 72 mit Artikel 73 zusammenhängt
Artikel 72 ist die Grundlage. Artikel 73 ist der Trigger. Sobald das Monitoring-System einen schwerwiegenden Vorfall erkennt, setzt Artikel 73 enge Meldefristen.
Standardfall: 15 Tage nach Kenntnis des Vorfalls. Tod einer Person als Folge des KI-Systems: 10 Tage. Vorfall mit weitreichenden Auswirkungen, etwa parallele Schäden über mehrere Mitgliedstaaten oder Verletzung von Grundrechten in grossem Umfang: 2 Tage.
Diese Fristen sind nur einhaltbar, wenn das Monitoring-System aus Artikel 72 schon vor dem Vorfall steht. Wer im Krisenfall erst beginnt, Logs zusammenzusuchen, verliert die Frist. In der Praxis heisst das: Die Vorbereitung auf Artikel 72 ist gleichzeitig die Vorbereitung auf Artikel 73.
Was Anbieter jetzt schon tun sollten
Auch wenn die Frist erst 2027 oder 2028 zuschlägt, gibt es konkrete Schritte, die heute Sinn ergeben.
Inventar der eingesetzten oder entwickelten KI-Systeme aufstellen. Welche fallen unter Annex III, welche unter Annex I, welche sind General Purpose, welche fallen mit dem Omnibus aus der Hochrisiko-Klassifikation heraus? Wer dieses Mapping nicht hat, weiss nicht, für welche Systeme Artikel 72 überhaupt gilt.
Logging-Infrastruktur aufbauen. Datenbanken, in denen Inputs, Outputs und Modell-Entscheidungen DSGVO-konform abgelegt werden. Ein nachträglich aufgesetztes Logging ist immer schlechter und teurer als eines, das von Anfang an mitgeplant wurde.
Verantwortlichkeiten benennen. Wer in deinem Unternehmen ist Ansprechpartner für Vorfälle? Wer prüft die Performance-Daten? Wer kommuniziert mit der Marktüberwachungsbehörde? Diese Rollen müssen mit Namen und nicht mit Abteilungen besetzt sein.
Incident-Response-Prozess definieren. Was passiert in den ersten 24 Stunden nach einem schwerwiegenden Vorfall? Wer wird informiert, welche Schritte werden in welcher Reihenfolge eingeleitet?
KI-Kompetenz dokumentieren. Artikel 4 der KI-Verordnung gilt seit dem 02.02.2025 und verlangt, dass Mitarbeiter, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen. Dieser Nachweis ist unabhängig von Artikel 72 schon heute Pflicht.
In der Praxis sehen wir, dass Unternehmen diese Vorbereitung gerne aufschieben, weil "die Frist ja noch fern ist". Wer ein Hochrisiko-System Ende 2027 in den Markt bringt, hat dann etwa 18 Monate Zeit, um Logging, Verantwortlichkeiten und Incident-Response sauber aufzustellen. Erfahrungsgemäss ist das wenig, sobald das technische Team auch noch das eigentliche Produkt fertigstellen muss.
Was bei Verstössen droht
Das Bussgeldsystem der KI-Verordnung unterscheidet nach Art des Verstosses. Verstösse gegen die Verbote in Artikel 5 sind mit bis zu 35 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes belegt. Verstösse gegen sonstige Pflichten der Verordnung, zu denen auch Artikel 72 gehört, mit bis zu 15 Mio. EUR oder 3 Prozent des Umsatzes. Falsche Angaben gegenüber Behörden mit bis zu 7,5 Mio. EUR oder 1 Prozent.
Für KMU und Start-ups gilt jeweils der niedrigere der beiden Beträge, was die absolute Belastung deutlich reduziert. Trotzdem sind drei Prozent vom Jahresumsatz ein Volumen, das auch für ein Unternehmen mit 10 Mio. EUR Umsatz spürbar ist.
Sonderfall KMU
Mit dem Digital Omnibus 2026 fällt eine Reihe von Systemen aus der Hochrisiko-Definition heraus. Reine Assistenz-Funktionen, Performance-Optimierungen ohne reale Schadenseinwirkung und einzelne Sicherheitskomponenten werden voraussichtlich neu eingeordnet, vorbehaltlich der finalen Trilog-Fassung. Für viele KMU bedeutet das, dass ihre KI-Anwendungen künftig nicht mehr unter die Hochrisiko-Regeln fallen und damit auch Artikel 72 für diese Systeme nicht greift.
Das ist eine spürbare Entlastung, sollte aber nicht dazu führen, das Thema Monitoring komplett vom Tisch zu nehmen. Auch ohne formale Pflicht ist es im Eigeninteresse eines Anbieters zu wissen, ob sein System im Realbetrieb funktioniert.
Mehr zur Omnibus-Entlastung haben wir in unserem Artikel zur EU AI Act KMU-Entlastung 2026 zusammengefasst. Wer einen Überblick über die geltenden Hochrisiko-Klassen sucht, findet Hintergrund auf der Pillar-Seite zum Digitalisierungsmanager, in der wir die relevanten Themen für die KI-Compliance im Mittelstand bündeln.
FAQ
Ist Artikel 72 wirklich noch nicht in Kraft?
Artikel 72 ist als Norm Teil der KI-Verordnung, die seit dem 01.08.2024 in Kraft ist. Die konkrete Anwendung auf Anbieter folgt aber den Hochrisiko-Pflichten. Mit dem Digital Omnibus heisst das voraussichtlich ab 02.12.2027 für Annex-III-Systeme und ab 02.08.2028 für Annex-I-Systeme.
Was war dann am 02.02.2026 fällig?
Der 02.02.2026 war die Frist, bis zu der die EU-Kommission einen Implementing Act adoptieren musste. Dieser Akt legt das Template und die Pflicht-Elemente für den Post-Market Monitoring Plan fest. Anbieter haben an diesem Tag nichts neues anwenden müssen.
Gilt Artikel 72 auch für Importeure und Händler?
Artikel 72 richtet sich an Anbieter. Importeure und Händler haben eigene Pflichten in den Artikeln 23 und 24, müssen aber keinen Monitoring-Plan im Sinne von Artikel 72 führen. In der Praxis verlangt der Vertrieb in der EU oft, dass auch Importeure dokumentierte Prozesse zur Vorfallmeldung haben.
Reicht es, ISO 42001 umzusetzen?
ISO 42001 ist ein guter Ausgangspunkt, weil sie ein KI-Management-System mit Monitoring-Komponenten beschreibt. Sie deckt Artikel 72 aber nicht eins zu eins ab. Wer beides parallel betreibt, sollte die ISO-Prozesse so dokumentieren, dass sie die Anforderungen aus Artikel 72 nachvollziehbar erfüllen, statt sich auf das Zertifikat allein zu verlassen.
Eigene Praxiseinschätzung
Wir bauen bei SkillSprinters für unsere KI-Weiterbildung gerade einen Compliance-Block auf, der genau diese Themen abdeckt: Was ist ein Hochrisiko-System, wer ist Anbieter, wer Betreiber, wie sieht ein realistisches Monitoring-Setup aus. Was uns in der Beratung immer wieder begegnet, ist die Mischung aus zwei Reaktionen. Die eine: "Ist das nicht erst übermorgen?" Die andere: "Wir machen ja nur Standard-LLM-Anwendungen, das fällt sicher nicht unter Hochrisiko". Beide Reaktionen sind verständlich und beide kosten in der Praxis später Geld. Wer die Klassifikation seines Systems nicht sauber dokumentiert hat, kann im Streitfall mit Behörden oder Kunden nicht belegen, warum er Artikel 72 nicht angewendet hat. Wer auf den finalen Termin wartet, wird im Sommer 2027 in einer Welle von Beratern stecken, die plötzlich für drei Wochen Vorlaufzeit das Doppelte berechnen.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.