glossaryDefinedTermmaschinenlesbar

Qualitätsmanagementsystem: Definition und rechtliche Bedeutung (AI Act / Data Act)

MenschMarkdown öffnen

Art. 17 AI Act verpflichtet Anbieter hochriskanter KI, ein Qualitätsmanagementsystem (QMS) einzurichten, zu implementieren, zu dokumentieren und aufrechtzuerhalten. Das QMS stellt sicher, dass die Entwicklung, das Inverkehrbringen und der nachmarktliche Service den AI-Act-Anforderungen in einer systematischen, geordneten Weise entsprechen. Mindestinhalte (Anhang IX): Strategie zur Einhaltung, Verfahren für Design/Entwicklung/Qualitätsprüfung, Verfahren für Daten-Governance und Risikomanagement, technische Spezifikationen, Untersuchungs-/Prüf-/Validierungsverfahren, Ressourcen- und Kompetenzmanagement, Zulieferkette, Meldung schwerer Vorfälle, Post-Market-Monitoring. Es ist zu dokumentieren und zehn Jahre aufzubewahren (Art. 18). Kleine Anbieter haben Erleichterungen (Art. 17 Abs. 3).

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
pflicht

Pflicht und Verhältnis zu ISO

Art. 17 verpflichtet Anbieter, ein QMS einzurichten, das die AI-Act-Konformität systematisch sichert. Das QMS ist organisationsbezogen (im Gegensatz zur produktbezogenen technischen Dokumentation nach Art. 11). In der Praxis orientiert es sich an ISO-Normen (ISO 9001, ISO/IEC 42001 KI-Managementsysteme, ISO/IEC 23894 KI-Risikomanagement). Eine Zertifizierung ist nicht zwingend, aber ein anerkannter Konformitätsindikator. Das QMS ist in geeigneter Weise zu dokumentieren, zehn Jahre aufzubewahren (Art. 18) und der Aufsicht auf Verlangen vorzulegen. Die Pflicht gilt ab dem 2. August 2026.

inhalte

Mindestinhalte nach Anhang IX

Anhang IX nennt die QMS-Mindestinhalte: (a) Strategie für die Einhaltung der Anforderungen, (b) Verfahren für Design, Entwicklung, Daten-Governance und Qualitätsprüfung, (c) Untersuchungs-, Prüf- und Validierungsverfahren, (d) technische Spezifikationen, Standards, Verfahren zur Berücksichtigung von Konformitätskriterien, (e) Ressourcen- und Kompetenzmanagement, (f) Vertragsbeziehungen mit Zulieferern (Supply-Chain), (g) Verfahren für die Einhaltung des Risikomanagements, (h) Aufbau eines Meldungssystems schwerer Vorfälle, (i) Verfahren für Datenmanagement einschließlich Datenqualität/Bias, (j) Post-Market-Monitoring. Diese systematische Abdeckung sichert Konformität über den gesamten Lebenszyklus.

praxis kmu

Praxis und KMU-Erleichterungen

Praktisch ist das QMS das „Betriebssystem" der Compliance: es verbindet Risikomanagement, Daten-Governance, Dokumentation, Post-Market-Monitoring und Vorfallsmeldung zu einem gelebten System. Kleine und mittlere Anbieter (KMU) können sich an leichteren Formaten orientieren (Art. 17 Abs. 3); auch für sie bleibt die inhaltliche Pflicht bestehen, nur die Form wird erleichtert. Ein gut implementiertes QMS ist Sanktions- und Haftungsschutz: es dokumentiert die Compliance-Mühe und die systematische Risikominderung. Neue Anbieter sollten früh — nicht erst kurz vor Inverkehrbringen — ein QMS aufbauen und bei Bedarf externe Beratung (notifizierte Stelle, Auditoren) einbinden.

Sources

Quellen

FAQ

Häufige Fragen

Was ist ein QMS nach Art. 17?

Ein organisationsweites Managementsystem, das AI-Act-Konformität systematisch sichert. Orientierung an ISO 9001 / ISO/IEC 42001; Zertifizierung nicht zwingend, aber Indikator.

Was muss das QMS abdecken?

Anhang IX: Strategie, Design-/Entwicklungs-/Daten-Verfahren, Prüfverfahren, Ressourcen, Supply-Chain, Risikomanagement, Vorfallsmeldung, Post-Market-Monitoring — über den gesamten Lebenszyklus.

Gibt es Erleichterungen für KMU?

Ja, leichtere Formate (Art. 17 Abs. 3). Die inhaltliche Pflicht bleibt bestehen, nur die Form wird erleichtert. QMS ist Sanktions- und Haftungsschutz.

KI-Compliance umsetzen

Du willst EU AI Act und Data Act praktisch umsetzen?

Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.

Jetzt beraten lassen
Related