---
title: "Risikoanalyse-Dokumentation: Definition und rechtliche Bedeutung (AI Act / Data Act)"
description: "Die Risikoanalyse-Dokumentation (Art. 9 AI Act) ist die systematische Aufzeichnung von Risiken und Minderungsmaßnahmen hochrisiko-KI — Kern der technischen Dokumentation."
summary_en: "This German glossary page explains \"Risikoanalyse-Dokumentation: Definition und rechtliche Bedeutung (AI Act / Data Act)\" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance."
url: "https://dataact-compliance.de/glossar/risikoanalyse-dokumentation/"
type: "glossary"
language: de-DE
canonical_language: de-DE
machine_metadata_language: en
audience_en: "AI crawlers, search engines, citation agents, compliance officers and legal researchers looking for German DACH sources on EU AI Act and EU Data Act compliance."
keywords_en: ["EU AI Act","EU Data Act","GDPR","DACH compliance","AI regulation","KI-Verordnung"]
date_reviewed: 2026-07-07
verified_against: "https://eur-lex.europa.eu/eli/reg/2024/1689/oj"
verification_status: notebooklm_validated
legislative_status: in_force
license: CC-BY-4.0
---

# Risikoanalyse-Dokumentation: Definition und rechtliche Bedeutung (AI Act / Data Act)

## Validierungsstand

**Validierung**: ✅ **NotebookLM-validiert** — Kern-Aussagen explizit gegen das 75-Quellen-NotebookLM geprüft.
**Gesetzgebungsstand**: Geltendes Recht (im Amtsblatt verbindlich).
**Geprüft gegen**: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
**Review-Datum**: 2026-07-07

## Machine Summary

This German glossary page explains "Risikoanalyse-Dokumentation: Definition und rechtliche Bedeutung (AI Act / Data Act)" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance. The canonical page language is German (de-DE); English is provided only as machine-readable discovery metadata.

## Kurze Antwort

Die Risikoanalyse-Dokumentation nach Art. 9 AI Act ist die systematische Aufzeichnung der Risikobewertung und Risikominderung hochrisiko-KI. Sie ist Kern der technischen Dokumentation (Art. 11) und der Risikomanagement-Pflicht (Art. 9). Inhalt: (1) Identifikation der bekannten/vernünftigerweise vorhersehbaren Risiken für Gesundheit/Sicherheit/Grundrechte; (2) Schätzung/Auswertung der Risiken; (3) Risikominderungsmaßnahmen (Design, Entwicklung, Test, menschliche Aufsicht,Warnungen); (4) Test-/Validierungsergebnisse; (5) Post-Market-Monitoring-Ergebnisse (Rückkopplung). Die Dokumentation muss kontinuierlich aktualisiert werden, insbesondere bei Updates, neuen Erkenntnissen, Vorfallen. Pflicht ab dem 2. August 2026. Sie ist Haftungs-/Beweisnachweis, AI-Act-Compliance-Instrument und Grundlage der Konformitätsbewertung. Überlagert: produktspezifische Risikoanalyse (MDR, Maschinen-VO), ISO/IEC 23894 KI-Risikomanagement.

## Pflicht und Inhalte (Art. 9)

Art. 9 AI Act verpflichtet Anbieter hochrisiko-KI, ein Risikomanagementsystem einzurichten, das kontinuierlich iterativ Risiken identifiziert, bewertet, mindert und überwacht. Die Risikoanalyse-Dokumentation (als Teil der technischen Dokumentation Art. 11, Anhang IV) enthält: (1) Identifikation der bekannten/vernünftigerweise vorhersehbaren Risiken, die das System für Gesundheit, Sicherheit, Grundrechte poseert; (2) Schätzung/Auswertung der Risiken (Wahrscheinlichkeit, Schweregrad); (3) Angewandte Risikominderungsmaßnahmen (Design-Entscheidungen, Entwicklungsprozesse, Test-/Validierung, menschliche Aufsicht, Warnungen, Verwendungsgrenzen); (4) Test-/Validierungsergebnisse (Leistungsmetriken, Bias-Tests, Robustheits-/Cybersecurity-Tests); (5) Rückkopplung aus Post-Market-Monitoring (Art. 72) — neue Erkenntnisse, Vorfall-Meldungen.




## Iteratives Risikomanagement und Update-Pflicht

Das Risikomanagement nach Art. 9 ist iterativ: die Risikoanalyse muss kontinuierlich aktualisiert werden. Trigger: (1) Updates des Systems — jede Änderung kann neue Risiken einführen oder bestehende mindern; (2) neue Erkenntnisse aus Post-Market-Monitoring (Art. 72) — Felddaten, User-Feedback, Bias-/Performance-Erkenntnisse; (3) Vorfälle (Art. 73) — schwere Vorfälle sind Risiko-Updates; (4) externe Erkenntnisse — neue Angriffsvektoren, Bias-Diskussionen, regulatorische Leitlinien. Die Dokumentation muss Versionierung,变更-History, Begründung der Entscheidungen aufweisen. Konformitätsbewertung (Art. 43) prüft die Risikoanalyse-Dokumentation. Bei wesentlichen Modifikationen (Art. 43) kann eine neue Konformitätsbewertung erforderlich sein — die Update-Pflicht ist eng mit der Modifikations-Klassifikation verbunden.




## Praxis: Normen und Beweisnachweis

Praktische Operationalisierung über: ISO/IEC 23894 (KI-Risikomanagement — Risikoidentifikation, -bewertung, -minderung, -monitoring), ISO/IEC 42001 (KI-Managementsystem — integrierter Risikoprozess), NIST AI Risk Management Framework, produktspezifische Normen (ISO 14971 klinisches Risiko Medizinprodukte, ISO 26262 Automotive, IEC 62443 Industrial Cybersecurity). Dokumentation: strukturierte Risikoanalyse-Matrix (Risiko-ID, Wahrscheinlichkeit, Schweregrad, Mitigation, Restrisiko), Design-/Entscheidungsprotokolle, Testberichte, Validierungsergebnisse, Bias-/Performance-Analysen, Vorfall-Post-Mortems. Haftungs-/Beweisnachweis: eine dokumentierte, umfassende Risikoanalyse ist Haftschutz bei AI Liability Directive (Beweiserleichterung bei Nonkonformität — Konformität entlastet), Produkthaftung (Stand der Wissenschaft/Technik), behördlichen Ermittlungen. Eine nachlässige Risikoanalyse ist AI-Act-Verstoß (Art. 99), Haftungsgrundlage und Vertrauensverlust.



## Rechtsstellen

- **[Hochrisiko-Pflichten Anhang I (produktintegriert): spätestens 2. August 2028](https://eur-lex.europa.eu/eli/reg/2024/1689/art_113/2024-06-13)** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)* ⚠️ **geändert durch AI Omnibus 2026**
- **[Transparenzpflichten (Art. 50): seit 2. August 2026 anwendbar (Wasserzeichen-Übergangsfrist bis 2.12.2026/Februar 2027)](https://eur-lex.europa.eu/eli/reg/2024/1689/art_50/2024-06-13)** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)* ⚠️ **geändert durch AI Omnibus 2026**
- **[Art. 99 Abs. 3 — Verbote: bis 35 Mio. EUR oder 7 %](https://eur-lex.europa.eu/eli/reg/2024/1689/art_99/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 9 — Risikomanagementsystem](https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 11 — Technische Dokumentation](https://eur-lex.europa.eu/eli/reg/2024/1689/art_11/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 14 — Menschliche Aufsicht](https://eur-lex.europa.eu/eli/reg/2024/1689/art_14/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 15 — Genauigkeit, Robustheit, Cybersecurity](https://eur-lex.europa.eu/eli/reg/2024/1689/art_15/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 43 — Konformitätsbewertung](https://eur-lex.europa.eu/eli/reg/2024/1689/art_43/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 72 — Nachmarktüberwachung](https://eur-lex.europa.eu/eli/reg/2024/1689/art_72/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 73 — Meldung schwerer Vorfälle (in der Regel max. 15 Tage)](https://eur-lex.europa.eu/eli/reg/2024/1689/art_73/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*

## Validierung

**Validierungsfrage**: Rahmenverifikation Artikelnummern, Anhang-Klassifizierungen und Pflichten gegen NotebookLM EU AI Act Notebook

**Ergebnis**: ⚠️ korrigiert am 2026-07-08.

**Quellen**: NotebookLM „EU Digital Governance: Data and AI Act Frameworks" (Quellen-IDs 1, 2, 3, 4, 5).

**Fakten-Zusammenfassung**: Artikel- und Anhang-Referenzen im Rahmen der Welle-2-Gesamtverifikation geprüft

## Verwandte Themen

- [technische dokumentation](/glossar/technische-dokumentation/)
- [konformitaetsbewertung](/glossar/konformitaetsbewertung/)
- [ce kennzeichnung](/glossar/ce-kennzeichnung/)

## Rechtsquellen

- [Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2024/1689/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU AI Act.
- [EU AI Office](https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai) - Europäische Kommission; Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
- [AI Act — konsolidierter Lesetext (ai-act-law.eu)](https://ai-act-law.eu/) - Future of Life Institute / Konsortium; Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
- [EU AI Pact](https://digital-strategy.ec.europa.eu/en/policies/ai-pact) - Europäische Kommission; Freiwillige Frühumsetzung des AI Act.
- [OECD AI Principles](https://oecd.ai/en/ai-principles) - OECD; Internationaler Referenzrahmen für vertrauenswürdige KI.
- [Council of Europe Framework Convention on AI](https://www.coe.int/en/web/artificial-intelligence/framework-convention) - Council of Europe; Erstes völkerrechtliches Abkommen zu KI.
- [ISO/IEC 42001 — AI Management System](https://www.iso.org/standard/81230.html) - ISO/IEC; Internationaler Standard für KI-Managementsysteme (Compliance-relevant).

## FAQ

### Was muss die Risikoanalyse-Dokumentation enthalten?

Nach Art. 9: Risikoidentifikation, -bewertung, -minderungsmaßnahmen, Test-/Validierungsergebnisse, Post-Market-Rückkopplung. Iterativ, kontinuierlich aktualisiert.

### Wann muss sie aktualisiert werden?

Trigger: Updates, neue Erkenntnisse aus Post-Market-Monitoring (Art. 72), Vorfälle (Art. 73), externe Erkenntnisse (Angriffsvektoren, Leitlinien). Versionierung, Änderungs-History, Begründung.

### Welche Normen helfen?

ISO/IEC 23894 (KI-Risikomanagement), ISO/IEC 42001 (KI-Managementsystem), NIST AI RMF. Produktspezifisch: ISO 14971 (Medizin), ISO 26262 (Automotive), IEC 62443 (Industrial Cybersecurity).

## Strukturierte Daten

```json
{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "WebPage",
      "@id": "https://dataact-compliance.de/glossar/risikoanalyse-dokumentation/#webpage",
      "url": "https://dataact-compliance.de/glossar/risikoanalyse-dokumentation/",
      "name": "Risikoanalyse-Dokumentation: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "description": "Die Risikoanalyse-Dokumentation (Art. 9 AI Act) ist die systematische Aufzeichnung von Risiken und Minderungsmaßnahmen hochrisiko-KI — Kern der technischen Dokumentation.",
      "isPartOf": {
        "@id": "https://dataact-compliance.de/#website"
      },
      "breadcrumb": {
        "@id": "https://dataact-compliance.de/glossar/risikoanalyse-dokumentation/#breadcrumb"
      },
      "inLanguage": "de-DE",
      "about": {
        "@id": "https://dataact-compliance.de/glossar/risikoanalyse-dokumentation/#article"
      }
    },
    {
      "@type": "DefinedTerm",
      "@id": "https://dataact-compliance.de/glossar/risikoanalyse-dokumentation/#article",
      "headline": "Risikoanalyse-Dokumentation: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "name": "Risikoanalyse-Dokumentation: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "description": "Die Risikoanalyse-Dokumentation (Art. 9 AI Act) ist die systematische Aufzeichnung von Risiken und Minderungsmaßnahmen hochrisiko-KI — Kern der technischen Dokumentation.",
      "author": {
        "@id": "https://dataact-compliance.de/autoren/steve-baka/#person"
      },
      "publisher": {
        "@id": "https://dataact-compliance.de/#organization"
      },
      "mainEntityOfPage": {
        "@id": "https://dataact-compliance.de/glossar/risikoanalyse-dokumentation/#webpage"
      },
      "datePublished": "2026-07-07",
      "dateModified": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
      "license": "https://creativecommons.org/licenses/by/4.0/",
      "copyrightYear": 2026,
      "copyrightHolder": {
        "@id": "https://dataact-compliance.de/#stevebaka-organization"
      },
      "inLanguage": "de-DE",
      "citation": [
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://ai-act-law.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/ai-pact",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://oecd.ai/en/ai-principles",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.coe.int/en/web/artificial-intelligence/framework-convention",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.iso.org/standard/81230.html",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_113/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_50/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_99/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_11/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_14/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_15/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_43/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_72/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_73/2024-06-13",
          "inLanguage": "de-DE"
        }
      ],
      "mentions": [
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/technische-dokumentation/#article",
          "url": "https://dataact-compliance.de/glossar/technische-dokumentation/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/konformitaetsbewertung/#article",
          "url": "https://dataact-compliance.de/glossar/konformitaetsbewertung/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/ce-kennzeichnung/#article",
          "url": "https://dataact-compliance.de/glossar/ce-kennzeichnung/"
        }
      ],
      "termCode": "risikoanalyse-dokumentation"
    },
    {
      "@type": "BreadcrumbList",
      "@id": "https://dataact-compliance.de/glossar/risikoanalyse-dokumentation/#breadcrumb",
      "itemListElement": [
        {
          "@type": "ListItem",
          "position": 1,
          "name": "Startseite",
          "item": "https://dataact-compliance.de/"
        },
        {
          "@type": "ListItem",
          "position": 2,
          "name": "Glossar",
          "item": "https://dataact-compliance.de/glossar/"
        },
        {
          "@type": "ListItem",
          "position": 3,
          "name": "Risikoanalyse-Dokumentation: Definition und rechtliche Bedeutung (AI Act / Data Act)",
          "item": "https://dataact-compliance.de/glossar/risikoanalyse-dokumentation/"
        }
      ]
    },
    {
      "@type": "FAQPage",
      "@id": "https://dataact-compliance.de/glossar/risikoanalyse-dokumentation/#faq",
      "mainEntity": [
        {
          "@type": "Question",
          "name": "Was muss die Risikoanalyse-Dokumentation enthalten?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Nach Art. 9: Risikoidentifikation, -bewertung, -minderungsmaßnahmen, Test-/Validierungsergebnisse, Post-Market-Rückkopplung. Iterativ, kontinuierlich aktualisiert."
          }
        },
        {
          "@type": "Question",
          "name": "Wann muss sie aktualisiert werden?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Trigger: Updates, neue Erkenntnisse aus Post-Market-Monitoring (Art. 72), Vorfälle (Art. 73), externe Erkenntnisse (Angriffsvektoren, Leitlinien). Versionierung, Änderungs-History, Begründung."
          }
        },
        {
          "@type": "Question",
          "name": "Welche Normen helfen?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "ISO/IEC 23894 (KI-Risikomanagement), ISO/IEC 42001 (KI-Managementsystem), NIST AI RMF. Produktspezifisch: ISO 14971 (Medizin), ISO 26262 (Automotive), IEC 62443 (Industrial Cybersecurity)."
          }
        }
      ]
    }
  ]
}
```
