AI PlaybookEU

Hochrisiko-KI-Systeme nach Anhang III EU AI Act

Welche KI-Systeme gelten als Hochrisiko nach dem EU AI Act? Vollständige Übersicht der Anhang-III-Bereiche, Ausnahmen nach Art. 6 Abs. 3 und alle Compliance-Pflichten für Anbieter und Betreiber.

11. Februar 20264 min read
EU AI ActHochrisikoAnhang IIIRisikoklassifizierungComplianceCE-Kennzeichnung

Überblick

Der risikobasierte Ansatz ist das Herzstück des EU AI Act. Während verbotene Praktiken nur einen kleinen, klar abgegrenzten Bereich betreffen, liegt der regulatorische Schwerpunkt auf sogenannten Hochrisiko-KI-Systemen.

Diese Systeme sind nicht verboten – aber sie unterliegen umfangreichen Compliance-Anforderungen. Für viele Unternehmen liegt hier das größte regulatorische Risiko, da Hochrisiko-Einstufungen häufig unerwartet erfolgen.

Dieser Beitrag erklärt:

  • Was Anhang III konkret umfasst
  • Wann ein System trotz Zugehörigkeit nicht hochriskant ist
  • Welche Ausnahmen nach Art. 6 Abs. 3 greifen
  • Welche Pflichten zwingend erfüllt werden müssen

Was bedeutet „Hochrisiko"?

Ein KI-System gilt als Hochrisiko, wenn:

  1. Es in einem der in Anhang III definierten Bereiche eingesetzt wird oder
  2. Es Sicherheitskomponente eines regulierten Produkts ist (z. B. Medizinprodukt)

Wichtig

„Hochrisiko" bedeutet nicht, dass ein System gefährlich ist. Es bedeutet, dass der Gesetzgeber ein erhebliches Potenzial für Grundrechtsbeeinträchtigungen sieht.

Die 8 Bereiche aus Anhang III

1. Biometrische Identifizierung

Beispiele:

  • Gesichtserkennung
  • Stimmerkennung
  • Verhaltensbiometrie

Risiko: Eingriff in Privatsphäre, Missbrauch staatlicher Überwachung.

2. Kritische Infrastruktur

Beispiele:

  • Stromnetzsteuerung
  • Verkehrsleitsteuerung
  • Wasserversorgung

Risiko: Systemausfälle mit erheblichen Folgen für Gesellschaft.

3. Bildung & Berufsbildung

Beispiele:

  • KI-gestützte Prüfungsbewertung
  • Zugangsauswahl für Hochschulen
  • Lernleistungsprognosen

Risiko: Ungleichbehandlung, dauerhafte Nachteile.

4. Beschäftigung & Personalwesen

Beispiele:

  • CV-Screening
  • Video-Interview-Analyse
  • Leistungsbewertung
  • Beförderungsentscheidungen

Risiko: Diskriminierung, fehlende Transparenz.

5. Zugang zu wesentlichen Dienstleistungen

Beispiele:

  • Kreditscoring
  • Versicherungs-Risikobewertung
  • Sozialleistungsbewertung

Risiko: Finanzielle Exklusion, soziale Benachteiligung.

6. Strafverfolgung

Beispiele:

  • Risikoprognose für Straftaten
  • Beweismittelauswertung
  • Täteridentifikation

Risiko: Fehlentscheidungen mit gravierenden Konsequenzen.

7. Migration & Grenzkontrolle

Beispiele:

  • Visa-Entscheidungen
  • Asylprüfung
  • Risikoanalyse bei Einreise

8. Justiz & demokratische Prozesse

Beispiele:

  • Entscheidungsunterstützung für Richter
  • Wahlbeeinflussende KI-Systeme

Wann ist ein System trotz Bereichszugehörigkeit NICHT hochriskant?

Art. 6 Abs. 3 sieht Ausnahmen vor.

Ein System ist nicht hochriskant, wenn es:

  • rein unterstützend ist
  • keine eigenständige Entscheidungslogik enthält
  • keine erhebliche Beeinträchtigung verursacht
  • lediglich vorbereitende Analysen liefert

Fehlannahme vermeiden

„Nur unterstützend" reicht nicht automatisch als Ausnahme. Entscheidend ist, ob das System faktisch Entscheidungsmacht ausübt.

Typische Grenzfälle

SzenarioHochrisiko?Bewertung
CV-Vorsortierung mit automatischer AblehnungJaBeschäftigung (Anhang III)
CV-Analyse mit reinem Score zur HR-UnterstützungMöglicherweisePrüfung Art. 6 Abs. 3
Kredit-Risiko-Indikator ohne automatische AblehnungWahrscheinlichWesentliche Dienstleistung
Interne Produktivitätsanalyse ohne PersonalfolgenEher neinKein Anhang-III-Bereich

Die 7 zentralen Compliance-Anforderungen

Jedes Hochrisiko-System benötigt:

  1. Risikomanagementsystem
  2. Daten-Governance-Konzept
  3. Technische Dokumentation
  4. Automatisches Logging
  5. Transparenzinformationen
  6. Menschliche Aufsicht
  7. Genauigkeit, Robustheit, Cybersicherheit

Zusätzlich:

  • Konformitätsbewertung
  • CE-Kennzeichnung
  • Registrierung in EU-Datenbank

Risikomanagement im Detail

Das Risikomanagementsystem muss:

  • Risiken identifizieren
  • Risiken bewerten
  • Risiken minimieren
  • kontinuierlich überwachen

Es handelt sich um einen lebenden Prozess, nicht um ein einmaliges Dokument.

Technische Dokumentation

Diese muss u. a. enthalten:

  • Systembeschreibung
  • Zweckbestimmung
  • Trainingsdatenbeschreibung
  • Testverfahren
  • Leistungskennzahlen
  • Human-Oversight-Mechanismen
  • Sicherheitsmaßnahmen

Marktzugang gefährdet

Ohne vollständige technische Dokumentation darf ein Hochrisiko-System nicht in Verkehr gebracht werden.

Menschliche Aufsicht

Anbieter müssen sicherstellen, dass:

  • Menschen das System verstehen
  • Eingriffe möglich sind
  • Abschaltung möglich ist
  • Fehlentscheidungen korrigierbar sind

Betreiberpflichten

Nicht nur Anbieter sind betroffen.

Betreiber müssen:

  • Systeme bestimmungsgemäß einsetzen
  • Input-Datenqualität sicherstellen
  • menschliche Aufsicht gewährleisten
  • bei bestimmten Systemen eine Grundrechte-Folgenabschätzung durchführen

Verbindung zur DSGVO

Viele Hochrisiko-Systeme beinhalten personenbezogene Daten.

Das bedeutet parallele Anwendung von:

  • DSGVO (z. B. Art. 22 automatisierte Entscheidungen)
  • Datenschutz-Folgenabschätzung
  • Transparenzpflichten

Praktische Umsetzung

Schritt 1 – Systemabgrenzung

  • Was ist das KI-System?
  • Welche Funktion übernimmt es?
  • Wer ist Anbieter, wer Betreiber?

Schritt 2 – Anhang-III-Prüfung

  • Fällt der Einsatzbereich unter einen der 8 Bereiche?
  • Greift eine Ausnahme nach Art. 6 Abs. 3?

Schritt 3 – Gap-Analyse

  • Dokumentation vorhanden?
  • Risikomanagement etabliert?
  • Logging implementiert?

Schritt 4 – Compliance-Roadmap

  • Budgetplanung
  • Verantwortlichkeiten
  • Zeitachse

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Nächste Schritte

  1. Führen Sie eine strukturierte Risikoklassifizierung durch.
  2. Dokumentieren Sie Zweck und Funktionsweise Ihrer Systeme.
  3. Prüfen Sie Ausnahmen nach Art. 6 Abs. 3 sorgfältig.
  4. Entwickeln Sie ein formales Risikomanagementsystem.
  5. Planen Sie Konformitätsbewertung und CE-Kennzeichnung.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Verwandte Artikel

EU AI Act

Übergangsfristen & Zeitplan des EU AI Act

Detaillierte Übersicht über Inkrafttreten, Übergangsfristen und Anwendungszeitpunkte des EU AI Act – inklusive konkreter Handlungsempfehlungen für Unternehmen.

Lesen

EU AI Act

Pflichten der Anbieter nach Art. 16–25 EU AI Act

Welche rechtlichen und organisatorischen Pflichten treffen Anbieter von KI-Systemen nach dem EU AI Act? Überblick über Qualitätsmanagement, technische Dokumentation, Logging, Transparenz, CE-Kennzeichnung und Post-Market Monitoring.

Lesen

EU AI Act

Konformitätsbewertung nach dem EU AI Act

Wie funktioniert die Konformitätsbewertung für Hochrisiko-KI-Systeme nach dem EU AI Act? Überblick über Selbstbewertung, Drittstellenverfahren, CE-Kennzeichnung und praktische Umsetzungsschritte.

Lesen