EU-KI-Gesetz Artikel 17: Qualitätsmanagementsystem (QMS)
Artikel 17 verlangt von den Anbietern von hochrisikigen KI-Systemen, ein Qualitätsmanagementsystem einzurichten und es in schriftlichen Richtlinien, Verfahren und Anweisungen zu dokumentieren. Es ist die organisatorische Grundlage, die alle anderen hochrisikigen Verpflichtungen zusammenfasst. Diese Seite listet die QMS-Elemente auf, die dokumentiert werden müssen, und weist auf den harmonisierten Standard hin, der noch entwickelt wird, um ihn zu unterstützen.
EU-KI-Gesetz Artikel 17: Qualitätsmanagementsystem (QMS)
Artikel 17 verlangt von den Anbietern von hochrisikigen KI-Systemen, ein Qualitätsmanagementsystem einzurichten und es in schriftlichen Richtlinien, Verfahren und Anweisungen zu dokumentieren. Es ist die organisatorische Grundlage, die alle anderen hochrisikigen Verpflichtungen zusammenfasst. Diese Seite listet die QMS-Elemente auf, die dokumentiert werden müssen, und weist auf den harmonisierten Standard hin, der noch entwickelt wird, um ihn zu unterstützen.
Zuletzt aktualisiert: 4. Juli 2026
Was die QMS-Anforderung ist
Anbieter von hochrisikigen KI-Systemen müssen ein Qualitätsmanagementsystem einrichten, das die Einhaltung des KI-Gesetzes sicherstellt, und es in einer systematischen und geordneten Weise als schriftliche Richtlinien, Verfahren und Anweisungen dokumentieren.
Das QMS ist proportional zur Größe der Organisation des Anbieters, und für Anbieter, die bereits unter sektoralen Qualitätsmanagementspflichten nach anderen Unionsrecht stehen, können die Anforderungen des KI-Gesetzes in das bestehende System integriert werden, anstatt es zu duplizieren. Der Punkt ist nicht die Bürokratie um ihrer selbst willen: Das QMS ist die Art und Weise, wie ein Anbieter nachweist, dass die Einhaltung ein wiederholbarer, reglementierter Prozess und kein einmaliger Versuch ist.
Elemente, die das QMS dokumentieren muss
Artikel 17(1) zählt die Aspekte auf, die das Qualitätsmanagementsystem mindestens abdecken muss:
- Rechtskonformitätsstrategie — einschließlich für die Konformitätsbewertung und für die Verwaltung von Änderungen an hochrisikigen Systemen
- Design- und Entwicklungsverfahren — Techniken, Verfahren und systematische Maßnahmen für Design, Designkontrolle und Designverifizierung
- Entwicklung und Qualitätskontrolle — Verfahren für Entwicklung, Qualitätskontrolle und Qualitätssicherung des Systems
- Prüfung, Test und Validierung — Verfahren, die vor, während und nach der Entwicklung durchgeführt werden, und wie häufig sie durchgeführt werden
- Technische Spezifikationen und Normen — die angewendeten Normen und die Mittel, die verwendet werden, um die Anforderungen zu erfüllen, wenn harmonisierte Normen nicht vollständig angewendet werden
- Datemanagement — Systeme und Verfahren für Datenerfassung, -sammlung, -analyse, -kennzeichnung, -speicherung, -filterung, -mining, -aggregation und -aufbewahrung
- Risikomanagement — das Risikomanagementsystem nach Artikel 9
- Post-Market-Überwachung — Einrichtung, Umsetzung und Aufrechterhaltung eines Post-Market-Überwachungssystems nach Artikel 72
- Vorfallmeldung — Verfahren für die Meldung schwerwiegender Vorfälle nach Artikel 73
- Kommunikation und Rechenschaftspflicht — Umgang mit der Kommunikation mit Behörden und anderen Parteien, Aufzeichnung, Ressourcenmanagement und ein Rechenschaftspflichtenrahmen, der die Verantwortlichkeiten der Führungskräfte und des Personals definiert
Der harmonisierte Standard ist noch im Entstehen
Um Artikel 17 zu unterstützen, wird ein dedizierter harmonisierter Standard für das KI-Qualitätsmanagementsystem unter dem Standardisierungsantrag der Kommission an CEN-CENELEC entwickelt.
Diese Arbeit wird unter der Referenz prEN 18286 (ein KI-Qualitätsmanagementsystem-Standard) durchgeführt. Es ist noch ein Entwurf: Das 'pr'-Präfix markiert einen Entwurf eines europäischen Standards, der noch nicht veröffentlicht oder im Amtsblatt zitiert wurde, sodass er noch keine Vermutung der Konformität begründet. Anbieter sollten ihr QMS nach dem Artikel-17-Text entwerfen und den Standard verfolgen, während er sich entwickelt — das Aufbauen auf den Entwurf kann den Nachbearbeitungsaufwand reduzieren, es ist jedoch kein Ersatz für die rechtliche Anforderung und sollte nicht wie bereits in Kraft getreten verlassen werden.
Standardreferenzen und Veröffentlichungsstatus ändern sich im Laufe der Zeit; immer den aktuellen Status von prEN 18286 und allen damit verbundenen harmonisierten Standards gegen das Amtsblatt überprüfen, bevor Sie sich darauf verlassen.
Wie AIAgentree hilft
Ein Qualitätsmanagementsystem muss Beweise dafür aufbewahren, dass seine Verfahren tatsächlich befolgt wurden. AIAgentree liefert die nachvollziehbare Entscheidungs- und Aufsichtsaufzeichnung, die die Datemanagement-, Aufzeichnungs- und Rechenschaftspflichtenelemente eines QMS aufbewahren müssen:
- Tamper-evidente Entscheidungsaufzeichnungen geben dem Aufzeichnungs- und Rechenschaftspflichtenrahmen eine verteidigungsfähige Wahrheitsquelle dafür, wie Entscheidungen getroffen und wer dafür verantwortlich war
- Menschliche Aufsichts- und Genehmigungsworkflows dokumentieren die Prüf-, Überprüfungs- und Genehmigungsschritte, die die QMS-Verfahren erfordern, mit automatisch erfassten Informationen darüber, wer was genehmigt hat
- Prüffähige Aufbewahrung, Präzedenzsuche und Exporte über REST, MCP, A2A und OpenTelemetry (mit Python- und TypeScript-SDKs und EU-Datenresidenz in Deutschland) ermöglichen es dem QMS, Aufzeichnungen auf Anfrage zu produzieren — Sie können es auf der 25-Spur-Free-Tier testen
Häufig gestellte Fragen
Wer muss ein Qualitätsmanagementsystem nach Artikel 17 aufrechterhalten?
Anbieter von Hochrisiko-KI-Systemen. Das QMS ist eine Verpflichtung des Anbieters und muss vorhanden sein, um die Konformitätsbewertung und die laufende Einhaltung des Systems während seines gesamten Lebenszyklus zu unterstützen.
Muss das QMS ein separates System sein?
Nein. Wenn ein Anbieter bereits unter Qualitätsmanagement-Verpflichtungen nach anderen Unionsvorschriften (z. B. in regulierten Sektoren) unterliegt, können die Artikel-17-Elemente in das bestehende Qualitätsmanagementsystem integriert werden, anstatt parallel dazu zu laufen.
Ist prEN 18286 verpflichtend?
Nein. prEN 18286 ist ein Entwurf einer europäischen Norm für KI-Qualitätsmanagementsysteme, die zur Unterstützung von Artikel 17 entwickelt wird. Als Entwurf ist sie noch nicht veröffentlicht oder im Amtsblatt zitiert und verleiht keine Vermutung der Konformität. Die verbindliche Anforderung ist der Artikel-17-Text selbst.
Wie unterscheidet sich das QMS von der technischen Dokumentation?
Die Anhang-IV-technische Dokumentation beschreibt ein bestimmtes Hochrisiko-System und seine Konformität; das QMS ist der organisationsweite Satz von Richtlinien und Verfahren, der regelt, wie der Anbieter Systeme entwirft, testet, überwacht und meldet. Das QMS produziert und unterhält die Dokumentation.
Ist das QMS auf die Unternehmensgröße skaliert?
Ja. Artikel 17 besagt, dass das Qualitätsmanagementsystem dem Umfang der Organisation des Anbieters angemessen sein muss, so dass kleinere Anbieter es auf eine Weise umsetzen können, die ihrer Größe entspricht, während sie gleichzeitig alle erforderlichen Elemente abdecken.
Fahren Sie mit der Erkundung des EU-KI-Gesetzes-Leitfadens fort
EU-KI-Gesetzes-Konformitäts-Leitfaden
Der vollständige Leitfaden zur Konformität mit dem EU-KI-Gesetz für KI-Agenten — starten Sie hier.
Artikel 12 — Aufzeichnung und Protokollierung
Was jedes Hochrisiko-KI-System protokollieren muss und wie man es erfassen kann.
Artikel 14 — Menschliche Aufsicht
Entwicklung effektiver menschlicher Kontrollen für KI-Entscheidungen.
Anhang III — Hochrisiko-KI-Systeme
Welche KI-Anwendungsfälle das Gesetz als hochrisikig einstuft.
EU-KI-Gesetzes-Konformitäts-Checkliste
Eine schrittweise Checkliste, um die Konformität zu erreichen und zu dokumentieren.
Konformitätskostenrechner
Schätzen Sie Ihre Konformitätsbemühungen und -kosten für das EU-KI-Gesetz.
Fristen und Zeitplan
Wichtige Durchsetzungsdaten, einschließlich der Frist vom 2. August 2026.
Geldstrafen und Bußgelder
Bußgeldstufen bis zu 35 Mio. € oder 7 % des globalen Jahresumsatzes.
Transparenzpflichten (Art. 13 und 50)
Offenlegungspflichten für KI-Systeme und ihre Ausgaben.
Risikomanagement und Konformitätsbewertung
Aufbau eines Risikomanagementsystems und Bewertung der Konformität.
GPAI-Pflichten
Regeln für Anbieter von allgemeinen KI-Modellen.
EU-KI-Gesetz für US-Unternehmen
Außerräumiger Anwendungsbereich und was US-Anbieter tun müssen.
Omnibus-Update
Die neuesten Änderungen an der EU-KI-Gesetz-Zeitachse und -Regeln.
Bußgeldrechner
Schätzen Sie Ihr maximales Bußgeld unter den Artikel 99-Stufen.
Artikel 11 + Anhang IV
Welche technische Dokumentation das EU-AI-Gesetz erfordert.
Artikel 26: Verpflichtungen des Deployers
Was Deployer von High-Risk-KI tun müssen, einschließlich Log-Aufbewahrung.
Artikel 10: Datenverwaltung
Datenqualität, Bias-Mitigation und Governance-Pflichten.
Artikel 4: KI-Literacy
Die KI-Literacy-Pflicht des Personals, die seit Februar 2025 in Kraft ist.
Deployer vs. Anbieter
Wer welche Verpflichtung trägt — und wann ein Deployer zu einem Anbieter wird.
FRIA (Artikel 27)
Wer eine Grundrechte-Auswirkungsabschätzung durchführen muss und wie.
Wer ist betroffen?
Anwendungsbereich, Betreiber und extraterritoriale Reichweite des EU-AI-Gesetzes.
Nachmarküberwachung
Artikel 72–73: laufende Überwachung und Meldung von Vorfällen.
ISO 42001 vs. EU-AI-Gesetz
Wie der freiwillige Standard und das bindende Gesetz zusammenpassen.
NIST AI RMF vs. EU-AI-Gesetz
Ein praktischer Vergleich zwischen dem Framework und dem Gesetz.
EU-AI-Gesetz für den Gesundheitssektor
High-Risk-Medizin-KI, MDR/IVDR-Interaktion und klinische Überwachung.
EU-AI-Gesetz für Finanzdienstleistungen
Kreditwürdigkeit, Versicherungspreise und bestehende Finanzregulierung.
EU-AI-Gesetz für Personalwesen und Beschäftigung
Einstellung von KI als High-Risk, plus NYC LL144 und EEOC-Überschneidung.