Qualitätsmanagementsystem: Definition und rechtliche Bedeutung (AI Act / Data Act)
Art. 17 AI Act verpflichtet Anbieter hochriskanter KI, ein Qualitätsmanagementsystem (QMS) einzurichten, zu implementieren, zu dokumentieren und aufrechtzuerhalten. Das QMS stellt sicher, dass die Entwicklung, das Inverkehrbringen und der nachmarktliche Service den AI-Act-Anforderungen in einer systematischen, geordneten Weise entsprechen. Mindestinhalte (Anhang IX): Strategie zur Einhaltung, Verfahren für Design/Entwicklung/Qualitätsprüfung, Verfahren für Daten-Governance und Risikomanagement, technische Spezifikationen, Untersuchungs-/Prüf-/Validierungsverfahren, Ressourcen- und Kompetenzmanagement, Zulieferkette, Meldung schwerer Vorfälle, Post-Market-Monitoring. Es ist zu dokumentieren und zehn Jahre aufzubewahren (Art. 18). Kleine Anbieter haben Erleichterungen (Art. 17 Abs. 3).
Steve Baka
Pflicht und Verhältnis zu ISO
Art. 17 verpflichtet Anbieter, ein QMS einzurichten, das die AI-Act-Konformität systematisch sichert. Das QMS ist organisationsbezogen (im Gegensatz zur produktbezogenen technischen Dokumentation nach Art. 11). In der Praxis orientiert es sich an ISO-Normen (ISO 9001, ISO/IEC 42001 KI-Managementsysteme, ISO/IEC 23894 KI-Risikomanagement). Eine Zertifizierung ist nicht zwingend, aber ein anerkannter Konformitätsindikator. Das QMS ist in geeigneter Weise zu dokumentieren, zehn Jahre aufzubewahren (Art. 18) und der Aufsicht auf Verlangen vorzulegen. Die Pflicht gilt ab dem 2. August 2026.
Mindestinhalte nach Anhang IX
Anhang IX nennt die QMS-Mindestinhalte: (a) Strategie für die Einhaltung der Anforderungen, (b) Verfahren für Design, Entwicklung, Daten-Governance und Qualitätsprüfung, (c) Untersuchungs-, Prüf- und Validierungsverfahren, (d) technische Spezifikationen, Standards, Verfahren zur Berücksichtigung von Konformitätskriterien, (e) Ressourcen- und Kompetenzmanagement, (f) Vertragsbeziehungen mit Zulieferern (Supply-Chain), (g) Verfahren für die Einhaltung des Risikomanagements, (h) Aufbau eines Meldungssystems schwerer Vorfälle, (i) Verfahren für Datenmanagement einschließlich Datenqualität/Bias, (j) Post-Market-Monitoring. Diese systematische Abdeckung sichert Konformität über den gesamten Lebenszyklus.
Praxis und KMU-Erleichterungen
Praktisch ist das QMS das „Betriebssystem" der Compliance: es verbindet Risikomanagement, Daten-Governance, Dokumentation, Post-Market-Monitoring und Vorfallsmeldung zu einem gelebten System. Kleine und mittlere Anbieter (KMU) können sich an leichteren Formaten orientieren (Art. 17 Abs. 3); auch für sie bleibt die inhaltliche Pflicht bestehen, nur die Form wird erleichtert. Ein gut implementiertes QMS ist Sanktions- und Haftungsschutz: es dokumentiert die Compliance-Mühe und die systematische Risikominderung. Neue Anbieter sollten früh — nicht erst kurz vor Inverkehrbringen — ein QMS aufbauen und bei Bedarf externe Beratung (notifizierte Stelle, Auditoren) einbinden.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Was ist ein QMS nach Art. 17?
Ein organisationsweites Managementsystem, das AI-Act-Konformität systematisch sichert. Orientierung an ISO 9001 / ISO/IEC 42001; Zertifizierung nicht zwingend, aber Indikator.
Was muss das QMS abdecken?
Anhang IX: Strategie, Design-/Entwicklungs-/Daten-Verfahren, Prüfverfahren, Ressourcen, Supply-Chain, Risikomanagement, Vorfallsmeldung, Post-Market-Monitoring — über den gesamten Lebenszyklus.
Gibt es Erleichterungen für KMU?
Ja, leichtere Formate (Art. 17 Abs. 3). Die inhaltliche Pflicht bleibt bestehen, nur die Form wird erleichtert. QMS ist Sanktions- und Haftungsschutz.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.