WWitness
Erste SchritteFunktionenAkademieFree ToolsExperten-ChatPreiseBlog
Anmelden
Zurück zum Blog
5. April 2026

Hochrisiko-KI-Systeme nach der EU-KI-Verordnung: Vollständiger Leitfaden

Alles Wesentliche zur Hochrisiko-Einstufung nach der EU-KI-Verordnung. Beide Einstufungswege, alle acht Anhang-III-Kategorien, die Ausnahme nach Artikel 6 Abs. 3 sowie sämtliche Pflichten.

Witness Team·9 Min. Lesezeit·Hochrisiko-KI-System EUAnhang III KI-VerordnungHochrisiko-Klassifizierung KI-VerordnungPflichten Hochrisiko KIArtikel 6 KI-Verordnung

Aktualisiert am 25. Mai 2026 nach der Digital-Omnibus-Einigung der EU (7. Mai 2026): Die Compliance-Frist für Anhang-III-Hochrisikosysteme verschiebt sich vom 2. August 2026 auf den 2. Dezember 2027 (Anhang I auf den 2. August 2028). Die Transparenzpflichten nach Artikel 50(2) gelten weiterhin ab 2. August 2026. Siehe unser Omnibus-Update für die vollständige Zeitachse.

Warum die Hochrisiko-Einstufung entscheidend ist

Die Pflichten der EU-KI-Verordnung konzentrieren sich nahezu vollständig auf Hochrisiko-KI-Systeme. Systeme mit minimalem Risiko unterliegen keinen verbindlichen Anforderungen. Systeme mit begrenztem Risiko sind allein zur Transparenz verpflichtet. Hochrisiko-Systeme dagegen müssen ein umfangreiches Bündel an Anforderungen erfüllen — Dokumentation, Risikomanagement, Daten-Governance, menschliche Aufsicht, Genauigkeit, Cybersicherheit, Konformitätsbewertung, Registrierung und laufendes Monitoring.

Die korrekte Klassifizierung ist daher der folgenreichste Schritt im gesamten Compliance-Programm. Wer ein Hochrisiko-System fälschlich als „begrenztes Risiko" einstuft, setzt sich Bußgeldern bis zu 15 Millionen € oder 3 % des weltweiten Jahresumsatzes aus. Wer ein begrenzt-riskantes System fälschlich als hochriskant einstuft, verschwendet Ressourcen für unnötige Compliance-Arbeit. Wer den Schritt direkt machen möchte, erhält über die Risikoeinstufung in drei Minuten genau den Entscheidungsbaum aus Art. 5, Anhang III und Art. 6 Abs. 3, den dieser Leitfaden im Detail aufschlüsselt — ohne Registrierung.

Zwei Wege zur Hochrisiko-Einstufung

Die KI-Verordnung kennt zwei voneinander unabhängige Wege. Es genügt, dass einer von beiden zutrifft.

Weg 1: Sicherheitsbauteil (Art. 6 Abs. 1)

Ein KI-System ist hochriskant, wenn beide Voraussetzungen vorliegen:

  1. Das KI-System wird als Sicherheitsbauteil eines Produkts eingesetzt — oder ist selbst ein Produkt —, das unter EU-Harmonisierungsrechtsvorschriften nach Anhang I der KI-Verordnung fällt
  2. Dieses Produkt unterliegt einer Konformitätsbewertung durch Dritte nach den jeweiligen Harmonisierungsrechtsvorschriften

Anhang I umfasst bestehende Produktsicherheitsvorschriften, darunter:

  • Maschinenverordnung (EU) 2023/1230
  • Medizinprodukteverordnung (EU) 2017/745
  • In-vitro-Diagnostika-Verordnung (EU) 2017/746
  • Funkanlagenrichtlinie 2014/53/EU
  • Verordnung über die zivile Luftfahrt (EU) 2018/1139
  • Typgenehmigungsverordnungen für Kraftfahrzeuge
  • Richtlinie über Schiffsausrüstung 2014/90/EU
  • Richtlinie über die Eisenbahninteroperabilität (EU) 2016/797
  • Und weitere

Beispiele: Ein KI-System, das Bremsentscheidungen in einem autonomen Fahrzeug steuert. Ein KI-gestütztes Diagnose-Tool, das als Medizinprodukt eingestuft ist. Eine KI-Komponente, die sicherheitskritische Funktionen einer Industriemaschine übernimmt.

Geltungsbeginn: 2. August 2027 (ein Jahr später als Weg 2).

Weg 2: Anhang-III-Liste (Art. 6 Abs. 2)

Ein KI-System ist hochriskant, wenn es in eine der Anwendungsfallkategorien des Anhangs III der KI-Verordnung fällt. Dieser Weg betrifft die meisten geschäftlich eingesetzten KI-Systeme.

Geltungsbeginn: 2. August 2026.

Die acht Kategorien des Anhangs III

Kategorie 1: Biometrie

UnterpunktBeschreibungBeispiele
1(a)Biometrische FernidentifizierungNachträgliche Gesichtserkennung, Identifizierung in nicht öffentlich zugänglichen Räumen
1(b)Biometrische Kategorisierung nach sensiblen MerkmalenKategorisierung von Personen nach ethnischer Herkunft, Geschlecht oder anderen geschützten Merkmalen aus biometrischen Daten
1(c)EmotionserkennungSchluss auf Emotionen aus Mimik, Stimmmustern oder Körpersprache (außerhalb des Verbots in Beschäftigung/Bildung nach Art. 5)

Hinweis: Echtzeit-Biometrie zur Strafverfolgung in öffentlich zugänglichen Räumen ist nicht hochriskant — sie ist nach Art. 5 Abs. 1 lit. h verboten, mit drei eng gefassten Ausnahmen, die einer richterlichen Anordnung bedürfen. Emotionserkennung in Beschäftigung und Bildung ist ebenfalls verboten (Art. 5 Abs. 1 lit. f), außer zu medizinischen oder Sicherheitszwecken.

Kategorie 2: Kritische Infrastruktur

UnterpunktBeschreibungBeispiele
2(a)Sicherheitsbauteile in Verwaltung und Betrieb kritischer digitaler Infrastruktur, im Straßenverkehr sowie in der Wasser-, Gas-, Wärme- und StromversorgungKI-Systeme zur Lastregelung im Stromnetz, KI-Steuerung von Lichtsignalanlagen, KI-Überwachung der Wasseraufbereitung

Das System muss Sicherheitsbauteil sein — nicht jede Software in einem Versorgungsunternehmen fällt darunter. Ein KI-gestütztes Abrechnungssystem eines Energieversorgers ist nicht hochriskant. Ein KI-System, das über die Stromverteilung entscheidet, schon.

Kategorie 3: Bildung und berufliche Bildung

UnterpunktBeschreibungBeispiele
3(a)Entscheidung über Zugang, Aufnahme oder Zuweisung zu BildungseinrichtungenKI-gestützte Hochschulzulassung, automatisierte Schulplatzvergabe
3(b)Bewertung von Lernergebnissen einschließlich Steuerung des LernprozessesKI-Benotungssysteme, adaptive Lernplattformen, die das Curriculum steuern
3(c)Beurteilung des angemessenen Bildungsniveaus und Einfluss auf den BildungszugangKI, die über das Bildungsniveau einer Person entscheidet
3(d)Überwachung und Erkennung verbotener Verhaltensweisen während PrüfungenKI-gestützte Prüfungsaufsicht, Systeme zur Täuschungserkennung

Kategorie 4: Beschäftigung, Personalmanagement, Zugang zur Selbstständigkeit

UnterpunktBeschreibungBeispiele
4(a)Einstellung und Auswahl: zielgerichtete Stellenanzeigen, Vorauswahl/Filterung von Bewerbungen, Bewertung von BewerbendenKI-gestütztes CV-Screening, automatisierte Interview-Bewertung, KI-Targeting bei Stellenanzeigen
4(b)Entscheidungen im Arbeitsverhältnis: Beförderung, Kündigung, Aufgabenzuweisung anhand von Verhalten/Eigenschaften; Überwachung und Bewertung der LeistungKI-gestützte Leistungsbeurteilung, automatisierte Aufgabenzuweisung anhand von Profilen, KI-gestütztes Workforce-Management

Diese Kategorie ist für KMU besonders relevant. Jedes KI-Tool, das in der Personalauswahl oder Mitarbeiterbewertung eingesetzt wird, fällt hierunter — auch SaaS-Drittanbieter-Tools. Wer ein KI-gestütztes Bewerbermanagementsystem einsetzt, ist Betreiber eines Hochrisiko-KI-Systems.

Kategorie 5: Zugang zu wesentlichen Diensten

UnterpunktBeschreibungBeispiele
5(a)Bewertung der Anspruchsberechtigung auf öffentliche Hilfen, Leistungen oder DiensteKI zur Entscheidung über Sozialleistungen, KI-gestützte Entscheidungen über Gesundheitsleistungen
5(b)Bewertung der Kreditwürdigkeit oder Erstellung von Kredit-ScoresKI-Kredit-Scoring, automatisierte Kreditentscheidungen. Ausnahme: Betrugserkennung ist ausdrücklich nicht hochriskant
5(c)Risikobewertung und Preisbildung in Lebens- und KrankenversicherungKI zur Prämienkalkulation für natürliche Personen
5(d)Bewertung und Einstufung von Notrufen, Triagierung von NotfallpatientenKI-gestützte 112-Disposition, Triage in der Notaufnahme

Die Betrugserkennungs-Ausnahme bei 5(b) ist wichtig. Banken, die KI ausschließlich zur Betrugserkennung einsetzen, lösen für dieses System keine Hochrisiko-Einstufung aus — Kredit-Scoring und automatisierte Kreditentscheidungen dagegen schon.

Kategorie 6: Strafverfolgung

UnterpunktBeschreibungBeispiele
6(a)Bewertung des Risikos, Opfer einer Straftat zu werdenTools zur Bewertung des Opferrisikos
6(b)Polygraphen und LügendetektorenKI-gestützte Täuschungserkennung
6(c)Bewertung der Verlässlichkeit von BeweismittelnKI-Analyse von Beweismitteln in Ermittlungsverfahren
6(d)Bewertung des Risikos der Begehung oder Wiederbegehung von StraftatenRückfallprognosen (müssen menschliche Beurteilung ergänzen, nicht ersetzen)
6(e)Profilerstellung in Aufdeckung, Ermittlung oder StrafverfolgungProfiling-KI in Strafverfahren

Kategorie 7: Migration, Asyl und Grenzkontrolle

UnterpunktBeschreibungBeispiele
7(a)Polygraphen und Lügendetektoren im MigrationskontextKI-Täuschungserkennung an Grenzen
7(b)Bewertung des Risikos irregulärer Migration oder eines GesundheitsrisikosRisikobewertung von Personen, die in die EU einreisen wollen
7(c)Prüfung von Asyl-, Visa- oder AufenthaltsanträgenKI-gestützte Bearbeitung von Einwanderungsanträgen
7(d)Erkennung, Wiedererkennung oder Identifizierung von Personen im MigrationskontextAusnahme: Überprüfung von Reisedokumenten

Kategorie 8: Justizverwaltung und demokratische Prozesse

UnterpunktBeschreibungBeispiele
8(a)Unterstützung von Justizbehörden bei Auslegung und Anwendung des RechtsVon Gerichten genutzte KI-Recherchewerkzeuge, KI in alternativer Streitbeilegung
8(b)Beeinflussung von Wahlausgängen oder WahlverhaltenAusnahme: KI für die Organisation politischer Kampagnen ohne direkte Interaktion mit Wählenden

Die Ausnahme nach Art. 6 Abs. 3: Wann eine Herabstufung möglich ist

Nicht jedes Anhang-III-System ist automatisch hochriskant. Artikel 6 Abs. 3 sieht eine Ausnahme vor, mit der ein System, das technisch unter eine Anhang-III-Kategorie fällt, herabgestuft werden kann.

Die Ausnahme greift, wenn beide Voraussetzungen erfüllt sind:

Voraussetzung 1: Eingegrenzte Funktion

Das System erfüllt nur eine der folgenden Funktionen:

  • (a) eine eng umgrenzte Verfahrensaufgabe (z. B. Datenformatkonvertierung, Dokumentensortierung)
  • (b) Verbesserung des Ergebnisses einer zuvor abgeschlossenen menschlichen Tätigkeit (z. B. Rechtschreibprüfung einer von Menschen verfassten Bewertung)
  • (c) Erkennung von Mustern zur menschlichen Prüfung, ohne die menschliche Beurteilung zu ersetzen oder zu beeinflussen (z. B. Anomalie-Hinweise)
  • (d) eine vorbereitende Aufgabe für eine menschliche Beurteilung (z. B. Datensammlung vor der eigentlichen Entscheidung)

Voraussetzung 2: Kein Profiling

Das System nimmt kein Profiling natürlicher Personen vor. Es gilt die Definition aus Art. 4 Nr. 4 DSGVO: automatisierte Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte wie Arbeitsleistung, wirtschaftliche Lage, Gesundheit, Vorlieben, Verlässlichkeit, Verhalten, Aufenthaltsort oder Bewegungen.

Wenn Profiling stattfindet, ist das System immer hochriskant — die Ausnahme nach Art. 6 Abs. 3 greift dann nicht, unabhängig von der Funktion.

Pflichten trotz Ausnahme

Auch wenn die Ausnahme greift und das System herabgestuft wird, muss der Anbieter:

  1. die Bewertung dokumentieren und die Anwendung der Ausnahme begründen
  2. das System nach Art. 49 Abs. 2 mit dieser Begründung in der EU-Datenbank registrieren
  3. die zuständige Marktüberwachungsbehörde informieren

Das ist kein Freibrief, sondern eine dokumentierte Ausnahme mit eigenen Pflichten.

Anbieter-Pflichten bei Hochrisiko-Systemen

Anbieter — also wer ein Hochrisiko-KI-System entwickelt oder unter eigenem Namen in Verkehr bringt — tragen 19 voneinander abgrenzbare Pflichten:

#ArtikelPflicht
1Art. 9Kontinuierliches Risikomanagementsystem einrichten und unterhalten
2Art. 10Daten-Governance für Trainings-, Validierungs- und Testdaten
3Art. 11Anhang-IV-Dokumentation erstellen und pflegen
4Art. 12Automatische Logging-Funktionen konstruktiv vorsehen
5Art. 13Transparenzangaben und Gebrauchsanweisungen bereitstellen
6Art. 14Maßnahmen zur menschlichen Aufsicht konstruktiv vorsehen
7Art. 15Genauigkeit, Robustheit und Cybersicherheit sicherstellen
8Art. 17Qualitätsmanagementsystem implementieren
9Art. 18Dokumentation 10 Jahre aufbewahren
10Art. 19Automatisch erzeugte Logs mindestens 6 Monate aufbewahren
11Art. 20Korrekturmaßnahmen bei nicht konformen Systemen ergreifen
12Art. 21Mit Behörden auf Anforderung kooperieren
13Art. 22EU-Bevollmächtigten benennen (bei Anbietern aus Drittstaaten)
14Art. 43Konformitätsbewertung vor dem Inverkehrbringen abschließen
15Art. 47EU-Konformitätserklärung ausstellen
16Art. 48CE-Kennzeichnung anbringen
17Art. 49In der EU-Datenbank registrieren
18Art. 72System zur Beobachtung nach dem Inverkehrbringen einrichten
19Art. 73Schwerwiegende Vorfälle innerhalb von 15 Tagen melden

Für Betreiber im Anwendungsbereich von Artikel 27 deckt die FRIA-Vorlage nach Artikel 27 die geforderten Bestandteile ab. Die vollständige Compliance-Checkliste zur EU-KI-Verordnung arbeitet diese Anbieterpflichten Schritt für Schritt mit Artikelbezügen ab.

Konformitätsbewertung: intern oder durch Dritte?

Für die meisten Hochrisiko-Systeme genügt die interne Konformitätsbewertung nach Anhang VI. Der Anbieter prüft selbst, stellt eine Konformitätserklärung aus und bringt das CE-Kennzeichen an.

Eine Drittbewertung durch eine notifizierte Stelle nach Anhang VII kann bei biometrischen Systemen nach Anhang III Nr. 1 — biometrische Fernidentifizierung, biometrische Kategorisierung und Emotionserkennung — erforderlich sein, soweit harmonisierte Normen oder gemeinsame Spezifikationen die geltenden Anforderungen nicht vollständig abdecken. Andere Anhang-III-Systeme nutzen in aller Regel die interne Kontrolle nach Anhang VI.

Betreiber-Pflichten bei Hochrisiko-Systemen

Betreiber — wer Hochrisiko-KI-Systeme in eigener Verantwortung einsetzt — tragen einen leichteren, aber dennoch substanziellen Pflichtenkatalog:

#ArtikelPflicht
1Art. 26 Abs. 1System gemäß den Anweisungen des Anbieters verwenden
2Art. 26 Abs. 2Kompetente, geschulte Personen für die menschliche Aufsicht einsetzen
3Art. 26 Abs. 4Dafür sorgen, dass Eingabedaten relevant und repräsentativ sind
4Art. 26 Abs. 5Betrieb überwachen, bei Risiken aussetzen, Vorfälle melden
5Art. 26 Abs. 6Automatisch erzeugte Logs mindestens 6 Monate aufbewahren
6Art. 27FRIA durchführen (nur bei: Behörden, Erbringern öffentlicher Dienste, Betreibern bei Kreditscoring, Betreibern bei Lebens-/Krankenversicherung)
7Art. 26 Abs. 11Personen, die KI-gestützten Entscheidungen unterworfen sind, informieren
8Art. 26 Abs. 7Beschäftigte und ihre Vertretungen informieren, wenn KI im Arbeitsumfeld eingesetzt wird
9Art. 50 Abs. 3Personen, die einer Emotionserkennung oder biometrischen Kategorisierung ausgesetzt sind, informieren

Achtung: Rollenwechsel

Artikel 25 stellt klar, dass ein Betreiber zum Anbieter wird — und damit alle 19 Anbieterpflichten erbt —, wenn er:

  • ein Hochrisiko-KI-System mit eigenem Namen oder eigener Marke versieht
  • eine wesentliche Änderung am System vornimmt
  • die Zweckbestimmung eines KI-Systems so ändert, dass es dadurch hochriskant wird

Das ist ein zentraler Punkt für Unternehmen, die Drittanbieter-KI-Tools anpassen oder umlabeln. Was die Übernahme der vollen Anbieterpflichten konkret kostet, zeigt eine ehrliche Kostenkalkulation — die ist vor jedem Rollenwechsel hilfreich.

Zeitplan: Wann gelten die Hochrisiko-Pflichten?

WegGeltungsbeginnAnwendungsbereich
Anhang III (Weg 2)2. August 2026Alle acht oben gelisteten Kategorien
In Produkte eingebettete Systeme (Weg 1)2. August 2027Sicherheitsbauteile regulierter Produkte

Eine Übergangsregelung gilt: Hochrisiko-KI-Systeme, die vor dem 2. August 2026 bereits in Verkehr sind, müssen erst nach einer wesentlichen Designänderung nach diesem Stichtag den Anforderungen entsprechen. Systeme, die für die Nutzung durch Behörden bestimmt sind, fallen nicht unter eine zeitlich offene Bestandsregelung: Anbieter und Betreiber müssen die erforderlichen Schritte spätestens bis zum 2. August 2030 abschließen.

Erste Schritte

Die Klassifizierung ist die Grundlage. Wer unsicher ist, ob das eigene KI-System hochriskant ist, kommt mit dem Witness-Klassifizierer in etwa drei Minuten durch den Entscheidungsbaum — inklusive Prüfung der Verbote nach Art. 5, der Anhang-III-Zuordnung und der Bewertung nach Art. 6 Abs. 3. Am Ende stehen Risikostufe, Rolle und der konkrete Pflichtenkatalog.

Prüfen Sie, ob die EU-KI-Verordnung für Sie gilt

Kostenlose Klassifizierung in 3 Minuten. Keine Anmeldung erforderlich.

Jetzt starten