Auf einen Blick
- KI-Systemdokumentation ist die Nachweissammlung, die belegt, dass ein KI-System verantwortungsvoll entwickelt, getestet und überwacht wurde. Sie ist nicht dasselbe wie das Erstellen von Dokumentation mithilfe von KI.
- Nach dem AI Act ist die technische Dokumentation für Hochrisiko-KI-Systeme verpflichtend. Artikel 11 verlangt sie vor dem Inverkehrbringen, und sie muss aktuell gehalten werden.
- Anhang IV legt neun Abschnitte fest, die diese Dokumentation enthalten muss, von der allgemeinen Systembeschreibung bis zum Plan zur Beobachtung nach dem Inverkehrbringen.
- Bekannte Artefakte (Model Cards, Datenblätter für Datensätze, Protokolle) erfüllen diese Pflichten unmittelbar, sodass die Hauptarbeit darin besteht, Nachweise zu ordnen, die Sie ohnehin erzeugen sollten.
- Eine gut strukturierte Nachweisbasis erfüllt zugleich den AI Act, die ISO/IEC 42001 und das NIST AI RMF, weshalb Dokumentation in einen Governance-Prozess gehört und nicht in einen Ordner in letzter Minute.

KI-Dokumentation und KI-Systemdokumentation: zwei verschiedene Dinge
Wer nach „artificial intelligence documentation“ sucht, findet vor allem Software: Werkzeuge, die Dokumente lesen (Document AI, intelligente Dokumentenverarbeitung), oder Werkzeuge, die Dokumentation für Sie schreiben. Diese Bedeutung ist real, doch sie ist nicht das, was ein Compliance- oder Risikoteam benötigt. Dieser Leitfaden behandelt die andere Bedeutung: die KI-Systemdokumentation, also den strukturierten Nachweis, der beschreibt, wie ein bestimmtes KI-System funktioniert, mit welchen Daten es trainiert wurde, wie es getestet wurde, welche Risiken es trägt und wie es beaufsichtigt wird. Es ist die schriftliche Spur (zunehmend eine digitale), die es einem Prüfer, einer Aufsichtsbehörde oder Ihrem eigenen Vorstand erlaubt, zu bestätigen, dass das System das leistet, was Sie behaupten, ohne Schaden zu verursachen. Die Unterscheidung ist wichtig, weil die Zielgruppen unterschiedlich sind. Ein technischer Redakteur will schneller ein Handbuch erstellen. Der Anbieter eines Hochrisiko-KI-Systems muss auf Verlangen nachweisen, dass das System gesetzliche Anforderungen erfüllt. Die US-Behörde NTIA formuliert es klar: Dokumentation ist eine entscheidende Grundlage für Transparenz und Bewertung, ob intern oder extern, freiwillig oder vorgeschrieben. Wen betrifft das? Nach dem AI Act tragen Anbieter und Betreiber von Hochrisiko-Systemen die schwersten Pflichten, und Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) haben eigene Dokumentationspflichten. Wer KI in einem regulierten Umfeld entwickelt, verkauft oder einsetzt, ist betroffen, und die AI-Sigil-Plattform ist darauf ausgelegt, genau diese Nachweise zu strukturieren.
Warum KI-Systemdokumentation nun eine gesetzliche Pflicht ist
Jahrelang galt die Dokumentation von KI als gute Praxis. Der AI Act hat daraus eine Pflicht gemacht. Artikel 11 verlangt, dass die technische Dokumentation eines Hochrisiko-Systems erstellt wird, bevor das System in Verkehr gebracht oder in Betrieb genommen wird, und dass sie aktuell gehalten wird. Sie muss den nationalen Behörden und den notifizierten Stellen ausreichende Informationen in klarer und umfassender Form geben, damit sie die Konformität bewerten können. Dieser letzte Punkt verändert die gesamte Logik der Aufgabe. Dokumentation wird nicht für Ihre Nutzer geschrieben, sondern damit ein Dritter die Konformität überprüfen kann. Wenn ein Prüfer Ihren Nachweisen nicht folgen kann, ist das System nicht nachweislich konform, gleich wie gut es entwickelt wurde. Zwei Faktoren machen das Thema dringlich. Erstens der Zeitplan: Die Dokumentationspflichten für die in Anhang III genannten Hochrisiko-Systeme gelten ab dem 2. August 2026, die Nachweise müssen also vor dem Marktstart vorliegen, nicht erst nach einem Vorfall. Zweitens die Rechenschaft: Wie der NTIA-Bericht darlegt, ist eine in die Bewertung eingebettete Aufzeichnung die Grundlage für durchgängige Rechenschaft. Dokumentation verbindet eine Entwurfsentscheidung mit einem Testergebnis und mit einem Verhalten im Betrieb. AI Sigil wurde für diese Nachweisdisziplin gebaut.
Was Anhang IV des AI Act verlangt (die neun Abschnitte)
Anhang IV ist die Referenzliste. Er legt mindestens neun Bereiche fest, die die technische Dokumentation für ein Hochrisiko-System abdecken muss.
- Allgemeine Beschreibung. Zweckbestimmung des Systems, Anbieter, Versionen, Zusammenspiel mit Hardware und Software sowie die Betriebsanleitung.
- Entwicklungsprozess und Elemente. Entwurfsspezifikationen, Systemarchitektur, Datenanforderungen, Trainingsmethodik, Bewertung der menschlichen Aufsicht sowie Validierungs- und Testverfahren.
- Beobachtung, Funktionsweise und Kontrolle. Fähigkeiten und Grenzen des Systems, erwartete Genauigkeit für bestimmte Gruppen, vorhersehbare unbeabsichtigte Ergebnisse und die technischen Maßnahmen der menschlichen Aufsicht.
- Leistungsmetriken. Warum die gewählten Kennzahlen für dieses System geeignet sind.
- Risikomanagementsystem. Der nach Artikel 9 dokumentierte Risikoprozess mit den identifizierten Risiken und Maßnahmen.
- Änderungen im Lebenszyklus. Eine Aufzeichnung der Änderungen, die am System über seine Lebensdauer vorgenommen wurden.
- Angewandte Normen. Die angewandten harmonisierten Normen oder, falls keine bestehen, die gewählten Lösungen zur Erfüllung der Anforderungen.
- EU-Konformitätserklärung. Die formelle Erklärung nach Artikel 47.
- Plan zur Beobachtung nach dem Inverkehrbringen. Das System zur Leistungsüberwachung nach dem Einsatz gemäß Artikel 72.
Kleinere Anbieter erhalten eine Erleichterung. Der AI Act erlaubt KMU und Start-ups, die Elemente des Anhangs IV in vereinfachter Form vorzulegen, und die Kommission soll ein vereinfachtes Formular für Kleinst- und Kleinunternehmen veröffentlichen. Die Erleichterung betrifft die Form, nicht den Inhalt: Dieselben Fragen müssen beantwortet werden, weshalb die Zuordnung jedes Abschnitts zu einer wiederverwendbaren Kontrolle sich auszahlt.
Die Kette der Dokumentationsabhängigkeiten
Anhang IV wirkt wie neun getrennte Ergebnisse. In der Praxis wird jeder Abschnitt von einer anderen Pflicht gespeist, die Sie ohnehin erfüllen müssen. Wer diese Kette erkennt, schreibt die Dokumentation nicht zweimal.
- Daten-Governance (Artikel 10) speist Abschnitt 2. Ihre Datensatzbeschreibungen, Herkunftsnachweise und Qualitätsprüfungen werden zum Datenteil der Entwicklungsakte.
- Risikomanagement (Artikel 9) speist Abschnitt 5. Das Risikoregister und die Nachweise zu Maßnahmen bilden den Abschnitt Risikomanagement, keine separate Notiz.
- Aufzeichnung (Artikel 12) speist Abschnitt 3. Artikel 12 verlangt von Hochrisiko-Systemen, über ihre Lebensdauer automatische Protokolle zu führen; diese Protokolle sind der operative Nachweis von Beobachtung und Kontrolle.
- Transparenz (Artikel 13) speist Abschnitt 1. Artikel 13 verlangt eine klare Betriebsanleitung, und derselbe Inhalt verankert die allgemeine Beschreibung.
- Menschliche Aufsicht (Artikel 14) speist die Abschnitte 2 und 3. Wie eine Person eingreifen, übersteuern oder das System anhalten kann, gehört sowohl in die Entwurfsakte als auch in die Kontrollbeschreibung.
Die Lehre ist einfach: Dokumentation ist ein Nebenprodukt guter Governance. Werden die Artikel 9, 10, 12, 13 und 14 sauber behandelt, ist Anhang IV überwiegend Zusammenstellung statt Neuverfassung.
Die zentralen Dokumentationsartefakte
Sie müssen keine Formate erfinden. Das Feld verfügt bereits über erprobte Artefakte, und jedes davon erfüllt die genannten Pflichten.
- Model Cards. Eingeführt von Mitchell und Kolleginnen 2019, fasst eine Model Card den vorgesehenen Einsatz eines Modells, seine Leistung über Gruppen hinweg, seine Grenzen und ethische Erwägungen zusammen. Sie stützt die Abschnitte 1, 3 und 4 des Anhangs IV.
- Datenblätter für Datensätze (Datasheets). Vorgeschlagen von Gebru und Kolleginnen 2018, dokumentiert ein Datenblatt Motivation, Zusammensetzung, Erhebungsprozess und empfohlene Verwendungen eines Datensatzes. Es stützt Abschnitt 2 und die dahinterliegende Daten-Governance.
- System Cards. Eine Sicht auf Systemebene, die beschreibt, wie Komponenten zusammenwirken, von mehreren großen Anbietern genutzt. Sie stützt die Abschnitte 1 und 3.
- Datenschutz-Folgenabschätzungen. Sind personenbezogene Daten betroffen, verbindet die DSFA die KI-Dokumentation mit bestehenden DSGVO-Pflichten.
- Protokolle und Änderungsnachweise. Automatische Protokolle (Artikel 12) und ein versioniertes Änderungsprotokoll stützen die Abschnitte 3 und 6.
Für KI mit allgemeinem Verwendungszweck sieht der GPAI-Verhaltenskodex des Büros für Künstliche Intelligenz eine Dokumentationsverpflichtung und ein Modelldokumentationsformular vor und bietet GPAI-Anbietern damit eine fertige Vorlage für die Informationen, die nachgelagerte Betreiber verlangen werden. Der NTIA-Bericht fasst diese Werkzeuge zusammen und empfiehlt, dass Model Cards, Datenblätter und System Cards zur gängigen Praxis als Rechenschaftsgrundlagen werden.
Eine Nachweisbasis, drei Rahmenwerke
Dieselben Nachweise beantworten mehr als ein Rahmenwerk. Das ist der nützlichste Gedanke für ein überlastetes Compliance-Team. Die ISO/IEC 42001, die Norm für KI-Managementsysteme, enthält in Klausel 7.5 durchgängige Anforderungen an „dokumentierte Informationen“ sowie eine Reihe von Maßnahmen in Anhang A (Folgenabschätzungen, Richtlinien, Aufzeichnungen). Das NIST AI RMF verlangt dokumentierte Profile, die Kontext, Messung und Überwachung erfassen. Der AI Act verlangt Anhang IV. Nebeneinander gelegt überschneiden sich diese Texte stark. Ein Datenblatt erfüllt zugleich einen Teil von Abschnitt 2 des Anhangs IV, einen Teil der Datenmanagement-Maßnahmen der ISO 42001 und einen Teil der NIST-Funktion „Map“. Erstellen Sie den Nachweis einmal, ordnen Sie ihn jedem Rahmenwerk zu und verwenden Sie ihn wieder. Dokumentation je Rahmenwerk zu duplizieren ist die häufigste und am leichtesten vermeidbare Verschwendung in der KI-Governance; AI Sigil ordnet einen einzigen Kontrollsatz mehreren Rahmenwerken zu, damit der Nachweis nur einmal erfasst wird.
Dokumentation prüfbereit halten
Die Dokumentation einmal zu erstellen ist nicht das Ziel. Sie zutreffend zu halten schon. Anhang IV verlangt, die Akte aktuell zu halten, und Aufbewahrungspflichten laufen noch Jahre nach der Außerbetriebnahme eines Systems. Einige Praktiken unterscheiden prüfbereite Teams von den übrigen.
- Dokumentation als lebenden Nachweis behandeln. Sie aktualisieren, wenn sich Modell, Daten oder Risikoprofil ändern, nicht im Jahresrhythmus.
- Alles versionieren. Ein Prüfer muss sehen, welche Modellversion zu welchem Testergebnis und welchem Einsatz gehört.
- Eine Nachverfolgbarkeitsmatrix führen. Jeden Abschnitt des Anhangs IV (und jede ISO- oder NIST-Maßnahme) dem genauen Artefakt zuordnen, das ihn erfüllt, damit Lücken sichtbar werden, bevor ein Audit sie findet.
- Verantwortung zuweisen. Jedes Artefakt braucht einen benannten Eigentümer, sonst veraltet es.
- Aufbewahrung planen. Aufzeichnungen so lange aufbewahren, wie es das Gesetz verlangt, was die aktive Lebensdauer des Systems deutlich übersteigen kann.
Hier stößt ein Ordner voller PDFs an seine Grenzen, und eine Governance-Plattform findet ihren Platz. Wenn die Dokumentation im selben System lebt, das Kontrollen, Risiken und Nachweise verwaltet, wird das Aktuellhalten zu einem Arbeitsablauf statt zu einem Wettlauf. Sehen Sie, wie die AI-Sigil-Plattform das übernimmt.
Häufige Fragen
Was ist KI-Systemdokumentation? Es ist der strukturierte Nachweis, der beschreibt, wie ein KI-System entworfen, trainiert, getestet und überwacht wurde und welche Risiken es trägt. Nach dem AI Act heißt sie technische Dokumentation und ist für Hochrisiko-Systeme verpflichtend. Ihr Zweck ist es, einer Aufsichtsbehörde oder einem Prüfer die Bestätigung der Konformität zu ermöglichen, was sich von einem Benutzerhandbuch und von KI-Werkzeugen unterscheidet, die Dokumentation schreiben. Ist KI-Dokumentation gesetzlich vorgeschrieben? Für Hochrisiko-KI-Systeme nach dem AI Act ja. Artikel 11 verlangt technische Dokumentation vor dem Inverkehrbringen, aktuell gehalten. Auch Anbieter von KI-Modellen mit allgemeinem Verwendungszweck haben Dokumentationspflichten. Systeme außerhalb der Hochrisiko-Kategorien können leichtere oder freiwillige Dokumentation erfordern, doch die Richtung von Regulierung und Normung geht zu mehr, nicht zu weniger. Was muss die technische Dokumentation des AI Act enthalten? Mindestens die neun Bereiche des Anhangs IV: allgemeine Beschreibung, Entwicklungsprozess und Elemente, Beobachtung und Kontrolle, Begründung der Metriken, Risikomanagementsystem, Änderungen im Lebenszyklus, angewandte Normen, EU-Konformitätserklärung und Plan zur Beobachtung nach dem Inverkehrbringen. Was ist der Unterschied zwischen einer Model Card und technischer Dokumentation? Eine Model Card fasst Zweck, Leistung und Grenzen eines einzelnen Modells zusammen. Die technische Dokumentation des AI Act ist breiter: Sie umfasst das gesamte System, seine Daten, sein Risikomanagement und seine Konformitätsnachweise. Die Model Card ist ein nützlicher Baustein der Dokumentation, kein Ersatz. Wann gelten diese Dokumentationspflichten? Die Dokumentationspflichten für die in Anhang III genannten Hochrisiko-Systeme gelten ab dem 2. August 2026. Da die Dokumentation vor dem Inverkehrbringen vorliegen muss, müssen Teams sie während der Entwicklung aufbauen, nicht nach dem Start. Dürfen kleine Unternehmen einfacher dokumentieren? Ja. Der AI Act erlaubt KMU und Start-ups, die Elemente des Anhangs IV in vereinfachter Form vorzulegen, und die Kommission soll ein vereinfachtes Formular für Kleinst- und Kleinunternehmen herausgeben. Die Vereinfachung betrifft Form und Aufwand, nicht das Auslassen der inhaltlichen Fragen.
Fazit
KI-Systemdokumentation ist keine Schreibaufgabe, die am Ende angehängt wird. Sie ist der Nachweis, der Behauptungen über ein System in etwas verwandelt, das eine Aufsichtsbehörde, ein Prüfer oder ein Vorstand überprüfen kann. Der AI Act macht das durch Artikel 11 und die neun Abschnitte des Anhangs IV ausdrücklich, doch dieselben Aufzeichnungen beantworten auch die ISO/IEC 42001 und das NIST AI RMF. Teams, die Dokumentation als Nebenprodukt guter Governance aufbauen, versioniert, mit Eigentümern versehen und wiederverwendet, sind bereit, wenn eine Bewertung kommt. Teams, die sie als Papierkram behandeln, sind es nicht. Sehen Sie, wie AI Sigil KI-Dokumentation in einen Governance-Ablauf verwandelt.