Hochrisiko-KI-Systeme nach der EU-KI-Verordnung: Vollständiger Leitfaden
Alles Wesentliche zur Hochrisiko-Einstufung nach der EU-KI-Verordnung. Beide Einstufungswege, alle acht Anhang-III-Kategorien, die Ausnahme nach Artikel 6 Abs. 3 sowie sämtliche Pflichten.
Aktualisiert am 25. Mai 2026 nach der Digital-Omnibus-Einigung der EU (7. Mai 2026): Die Compliance-Frist für Anhang-III-Hochrisikosysteme verschiebt sich vom 2. August 2026 auf den 2. Dezember 2027 (Anhang I auf den 2. August 2028). Die Transparenzpflichten nach Artikel 50(2) gelten weiterhin ab 2. August 2026. Siehe unser Omnibus-Update für die vollständige Zeitachse.
Warum die Hochrisiko-Einstufung entscheidend ist
Die Pflichten der EU-KI-Verordnung konzentrieren sich nahezu vollständig auf Hochrisiko-KI-Systeme. Systeme mit minimalem Risiko unterliegen keinen verbindlichen Anforderungen. Systeme mit begrenztem Risiko sind allein zur Transparenz verpflichtet. Hochrisiko-Systeme dagegen müssen ein umfangreiches Bündel an Anforderungen erfüllen — Dokumentation, Risikomanagement, Daten-Governance, menschliche Aufsicht, Genauigkeit, Cybersicherheit, Konformitätsbewertung, Registrierung und laufendes Monitoring.
Die korrekte Klassifizierung ist daher der folgenreichste Schritt im gesamten Compliance-Programm. Wer ein Hochrisiko-System fälschlich als „begrenztes Risiko" einstuft, setzt sich Bußgeldern bis zu 15 Millionen € oder 3 % des weltweiten Jahresumsatzes aus. Wer ein begrenzt-riskantes System fälschlich als hochriskant einstuft, verschwendet Ressourcen für unnötige Compliance-Arbeit. Wer den Schritt direkt machen möchte, erhält über die Risikoeinstufung in drei Minuten genau den Entscheidungsbaum aus Art. 5, Anhang III und Art. 6 Abs. 3, den dieser Leitfaden im Detail aufschlüsselt — ohne Registrierung.
Zwei Wege zur Hochrisiko-Einstufung
Die KI-Verordnung kennt zwei voneinander unabhängige Wege. Es genügt, dass einer von beiden zutrifft.
Weg 1: Sicherheitsbauteil (Art. 6 Abs. 1)
Ein KI-System ist hochriskant, wenn beide Voraussetzungen vorliegen:
- Das KI-System wird als Sicherheitsbauteil eines Produkts eingesetzt — oder ist selbst ein Produkt —, das unter EU-Harmonisierungsrechtsvorschriften nach Anhang I der KI-Verordnung fällt
- Dieses Produkt unterliegt einer Konformitätsbewertung durch Dritte nach den jeweiligen Harmonisierungsrechtsvorschriften
Anhang I umfasst bestehende Produktsicherheitsvorschriften, darunter:
- Maschinenverordnung (EU) 2023/1230
- Medizinprodukteverordnung (EU) 2017/745
- In-vitro-Diagnostika-Verordnung (EU) 2017/746
- Funkanlagenrichtlinie 2014/53/EU
- Verordnung über die zivile Luftfahrt (EU) 2018/1139
- Typgenehmigungsverordnungen für Kraftfahrzeuge
- Richtlinie über Schiffsausrüstung 2014/90/EU
- Richtlinie über die Eisenbahninteroperabilität (EU) 2016/797
- Und weitere
Beispiele: Ein KI-System, das Bremsentscheidungen in einem autonomen Fahrzeug steuert. Ein KI-gestütztes Diagnose-Tool, das als Medizinprodukt eingestuft ist. Eine KI-Komponente, die sicherheitskritische Funktionen einer Industriemaschine übernimmt.
Geltungsbeginn: 2. August 2027 (ein Jahr später als Weg 2).
Weg 2: Anhang-III-Liste (Art. 6 Abs. 2)
Ein KI-System ist hochriskant, wenn es in eine der Anwendungsfallkategorien des Anhangs III der KI-Verordnung fällt. Dieser Weg betrifft die meisten geschäftlich eingesetzten KI-Systeme.
Geltungsbeginn: 2. August 2026.
Die acht Kategorien des Anhangs III
Kategorie 1: Biometrie
| Unterpunkt | Beschreibung | Beispiele |
|---|---|---|
| 1(a) | Biometrische Fernidentifizierung | Nachträgliche Gesichtserkennung, Identifizierung in nicht öffentlich zugänglichen Räumen |
| 1(b) | Biometrische Kategorisierung nach sensiblen Merkmalen | Kategorisierung von Personen nach ethnischer Herkunft, Geschlecht oder anderen geschützten Merkmalen aus biometrischen Daten |
| 1(c) | Emotionserkennung | Schluss auf Emotionen aus Mimik, Stimmmustern oder Körpersprache (außerhalb des Verbots in Beschäftigung/Bildung nach Art. 5) |
Hinweis: Echtzeit-Biometrie zur Strafverfolgung in öffentlich zugänglichen Räumen ist nicht hochriskant — sie ist nach Art. 5 Abs. 1 lit. h verboten, mit drei eng gefassten Ausnahmen, die einer richterlichen Anordnung bedürfen. Emotionserkennung in Beschäftigung und Bildung ist ebenfalls verboten (Art. 5 Abs. 1 lit. f), außer zu medizinischen oder Sicherheitszwecken.
Kategorie 2: Kritische Infrastruktur
| Unterpunkt | Beschreibung | Beispiele |
|---|---|---|
| 2(a) | Sicherheitsbauteile in Verwaltung und Betrieb kritischer digitaler Infrastruktur, im Straßenverkehr sowie in der Wasser-, Gas-, Wärme- und Stromversorgung | KI-Systeme zur Lastregelung im Stromnetz, KI-Steuerung von Lichtsignalanlagen, KI-Überwachung der Wasseraufbereitung |
Das System muss Sicherheitsbauteil sein — nicht jede Software in einem Versorgungsunternehmen fällt darunter. Ein KI-gestütztes Abrechnungssystem eines Energieversorgers ist nicht hochriskant. Ein KI-System, das über die Stromverteilung entscheidet, schon.
Kategorie 3: Bildung und berufliche Bildung
| Unterpunkt | Beschreibung | Beispiele |
|---|---|---|
| 3(a) | Entscheidung über Zugang, Aufnahme oder Zuweisung zu Bildungseinrichtungen | KI-gestützte Hochschulzulassung, automatisierte Schulplatzvergabe |
| 3(b) | Bewertung von Lernergebnissen einschließlich Steuerung des Lernprozesses | KI-Benotungssysteme, adaptive Lernplattformen, die das Curriculum steuern |
| 3(c) | Beurteilung des angemessenen Bildungsniveaus und Einfluss auf den Bildungszugang | KI, die über das Bildungsniveau einer Person entscheidet |
| 3(d) | Überwachung und Erkennung verbotener Verhaltensweisen während Prüfungen | KI-gestützte Prüfungsaufsicht, Systeme zur Täuschungserkennung |
Kategorie 4: Beschäftigung, Personalmanagement, Zugang zur Selbstständigkeit
| Unterpunkt | Beschreibung | Beispiele |
|---|---|---|
| 4(a) | Einstellung und Auswahl: zielgerichtete Stellenanzeigen, Vorauswahl/Filterung von Bewerbungen, Bewertung von Bewerbenden | KI-gestütztes CV-Screening, automatisierte Interview-Bewertung, KI-Targeting bei Stellenanzeigen |
| 4(b) | Entscheidungen im Arbeitsverhältnis: Beförderung, Kündigung, Aufgabenzuweisung anhand von Verhalten/Eigenschaften; Überwachung und Bewertung der Leistung | KI-gestützte Leistungsbeurteilung, automatisierte Aufgabenzuweisung anhand von Profilen, KI-gestütztes Workforce-Management |
Diese Kategorie ist für KMU besonders relevant. Jedes KI-Tool, das in der Personalauswahl oder Mitarbeiterbewertung eingesetzt wird, fällt hierunter — auch SaaS-Drittanbieter-Tools. Wer ein KI-gestütztes Bewerbermanagementsystem einsetzt, ist Betreiber eines Hochrisiko-KI-Systems.
Kategorie 5: Zugang zu wesentlichen Diensten
| Unterpunkt | Beschreibung | Beispiele |
|---|---|---|
| 5(a) | Bewertung der Anspruchsberechtigung auf öffentliche Hilfen, Leistungen oder Dienste | KI zur Entscheidung über Sozialleistungen, KI-gestützte Entscheidungen über Gesundheitsleistungen |
| 5(b) | Bewertung der Kreditwürdigkeit oder Erstellung von Kredit-Scores | KI-Kredit-Scoring, automatisierte Kreditentscheidungen. Ausnahme: Betrugserkennung ist ausdrücklich nicht hochriskant |
| 5(c) | Risikobewertung und Preisbildung in Lebens- und Krankenversicherung | KI zur Prämienkalkulation für natürliche Personen |
| 5(d) | Bewertung und Einstufung von Notrufen, Triagierung von Notfallpatienten | KI-gestützte 112-Disposition, Triage in der Notaufnahme |
Die Betrugserkennungs-Ausnahme bei 5(b) ist wichtig. Banken, die KI ausschließlich zur Betrugserkennung einsetzen, lösen für dieses System keine Hochrisiko-Einstufung aus — Kredit-Scoring und automatisierte Kreditentscheidungen dagegen schon.
Kategorie 6: Strafverfolgung
| Unterpunkt | Beschreibung | Beispiele |
|---|---|---|
| 6(a) | Bewertung des Risikos, Opfer einer Straftat zu werden | Tools zur Bewertung des Opferrisikos |
| 6(b) | Polygraphen und Lügendetektoren | KI-gestützte Täuschungserkennung |
| 6(c) | Bewertung der Verlässlichkeit von Beweismitteln | KI-Analyse von Beweismitteln in Ermittlungsverfahren |
| 6(d) | Bewertung des Risikos der Begehung oder Wiederbegehung von Straftaten | Rückfallprognosen (müssen menschliche Beurteilung ergänzen, nicht ersetzen) |
| 6(e) | Profilerstellung in Aufdeckung, Ermittlung oder Strafverfolgung | Profiling-KI in Strafverfahren |
Kategorie 7: Migration, Asyl und Grenzkontrolle
| Unterpunkt | Beschreibung | Beispiele |
|---|---|---|
| 7(a) | Polygraphen und Lügendetektoren im Migrationskontext | KI-Täuschungserkennung an Grenzen |
| 7(b) | Bewertung des Risikos irregulärer Migration oder eines Gesundheitsrisikos | Risikobewertung von Personen, die in die EU einreisen wollen |
| 7(c) | Prüfung von Asyl-, Visa- oder Aufenthaltsanträgen | KI-gestützte Bearbeitung von Einwanderungsanträgen |
| 7(d) | Erkennung, Wiedererkennung oder Identifizierung von Personen im Migrationskontext | Ausnahme: Überprüfung von Reisedokumenten |
Kategorie 8: Justizverwaltung und demokratische Prozesse
| Unterpunkt | Beschreibung | Beispiele |
|---|---|---|
| 8(a) | Unterstützung von Justizbehörden bei Auslegung und Anwendung des Rechts | Von Gerichten genutzte KI-Recherchewerkzeuge, KI in alternativer Streitbeilegung |
| 8(b) | Beeinflussung von Wahlausgängen oder Wahlverhalten | Ausnahme: KI für die Organisation politischer Kampagnen ohne direkte Interaktion mit Wählenden |
Die Ausnahme nach Art. 6 Abs. 3: Wann eine Herabstufung möglich ist
Nicht jedes Anhang-III-System ist automatisch hochriskant. Artikel 6 Abs. 3 sieht eine Ausnahme vor, mit der ein System, das technisch unter eine Anhang-III-Kategorie fällt, herabgestuft werden kann.
Die Ausnahme greift, wenn beide Voraussetzungen erfüllt sind:
Voraussetzung 1: Eingegrenzte Funktion
Das System erfüllt nur eine der folgenden Funktionen:
- (a) eine eng umgrenzte Verfahrensaufgabe (z. B. Datenformatkonvertierung, Dokumentensortierung)
- (b) Verbesserung des Ergebnisses einer zuvor abgeschlossenen menschlichen Tätigkeit (z. B. Rechtschreibprüfung einer von Menschen verfassten Bewertung)
- (c) Erkennung von Mustern zur menschlichen Prüfung, ohne die menschliche Beurteilung zu ersetzen oder zu beeinflussen (z. B. Anomalie-Hinweise)
- (d) eine vorbereitende Aufgabe für eine menschliche Beurteilung (z. B. Datensammlung vor der eigentlichen Entscheidung)
Voraussetzung 2: Kein Profiling
Das System nimmt kein Profiling natürlicher Personen vor. Es gilt die Definition aus Art. 4 Nr. 4 DSGVO: automatisierte Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte wie Arbeitsleistung, wirtschaftliche Lage, Gesundheit, Vorlieben, Verlässlichkeit, Verhalten, Aufenthaltsort oder Bewegungen.
Wenn Profiling stattfindet, ist das System immer hochriskant — die Ausnahme nach Art. 6 Abs. 3 greift dann nicht, unabhängig von der Funktion.
Pflichten trotz Ausnahme
Auch wenn die Ausnahme greift und das System herabgestuft wird, muss der Anbieter:
- die Bewertung dokumentieren und die Anwendung der Ausnahme begründen
- das System nach Art. 49 Abs. 2 mit dieser Begründung in der EU-Datenbank registrieren
- die zuständige Marktüberwachungsbehörde informieren
Das ist kein Freibrief, sondern eine dokumentierte Ausnahme mit eigenen Pflichten.
Anbieter-Pflichten bei Hochrisiko-Systemen
Anbieter — also wer ein Hochrisiko-KI-System entwickelt oder unter eigenem Namen in Verkehr bringt — tragen 19 voneinander abgrenzbare Pflichten:
| # | Artikel | Pflicht |
|---|---|---|
| 1 | Art. 9 | Kontinuierliches Risikomanagementsystem einrichten und unterhalten |
| 2 | Art. 10 | Daten-Governance für Trainings-, Validierungs- und Testdaten |
| 3 | Art. 11 | Anhang-IV-Dokumentation erstellen und pflegen |
| 4 | Art. 12 | Automatische Logging-Funktionen konstruktiv vorsehen |
| 5 | Art. 13 | Transparenzangaben und Gebrauchsanweisungen bereitstellen |
| 6 | Art. 14 | Maßnahmen zur menschlichen Aufsicht konstruktiv vorsehen |
| 7 | Art. 15 | Genauigkeit, Robustheit und Cybersicherheit sicherstellen |
| 8 | Art. 17 | Qualitätsmanagementsystem implementieren |
| 9 | Art. 18 | Dokumentation 10 Jahre aufbewahren |
| 10 | Art. 19 | Automatisch erzeugte Logs mindestens 6 Monate aufbewahren |
| 11 | Art. 20 | Korrekturmaßnahmen bei nicht konformen Systemen ergreifen |
| 12 | Art. 21 | Mit Behörden auf Anforderung kooperieren |
| 13 | Art. 22 | EU-Bevollmächtigten benennen (bei Anbietern aus Drittstaaten) |
| 14 | Art. 43 | Konformitätsbewertung vor dem Inverkehrbringen abschließen |
| 15 | Art. 47 | EU-Konformitätserklärung ausstellen |
| 16 | Art. 48 | CE-Kennzeichnung anbringen |
| 17 | Art. 49 | In der EU-Datenbank registrieren |
| 18 | Art. 72 | System zur Beobachtung nach dem Inverkehrbringen einrichten |
| 19 | Art. 73 | Schwerwiegende Vorfälle innerhalb von 15 Tagen melden |
Für Betreiber im Anwendungsbereich von Artikel 27 deckt die FRIA-Vorlage nach Artikel 27 die geforderten Bestandteile ab. Die vollständige Compliance-Checkliste zur EU-KI-Verordnung arbeitet diese Anbieterpflichten Schritt für Schritt mit Artikelbezügen ab.
Konformitätsbewertung: intern oder durch Dritte?
Für die meisten Hochrisiko-Systeme genügt die interne Konformitätsbewertung nach Anhang VI. Der Anbieter prüft selbst, stellt eine Konformitätserklärung aus und bringt das CE-Kennzeichen an.
Eine Drittbewertung durch eine notifizierte Stelle nach Anhang VII kann bei biometrischen Systemen nach Anhang III Nr. 1 — biometrische Fernidentifizierung, biometrische Kategorisierung und Emotionserkennung — erforderlich sein, soweit harmonisierte Normen oder gemeinsame Spezifikationen die geltenden Anforderungen nicht vollständig abdecken. Andere Anhang-III-Systeme nutzen in aller Regel die interne Kontrolle nach Anhang VI.
Betreiber-Pflichten bei Hochrisiko-Systemen
Betreiber — wer Hochrisiko-KI-Systeme in eigener Verantwortung einsetzt — tragen einen leichteren, aber dennoch substanziellen Pflichtenkatalog:
| # | Artikel | Pflicht |
|---|---|---|
| 1 | Art. 26 Abs. 1 | System gemäß den Anweisungen des Anbieters verwenden |
| 2 | Art. 26 Abs. 2 | Kompetente, geschulte Personen für die menschliche Aufsicht einsetzen |
| 3 | Art. 26 Abs. 4 | Dafür sorgen, dass Eingabedaten relevant und repräsentativ sind |
| 4 | Art. 26 Abs. 5 | Betrieb überwachen, bei Risiken aussetzen, Vorfälle melden |
| 5 | Art. 26 Abs. 6 | Automatisch erzeugte Logs mindestens 6 Monate aufbewahren |
| 6 | Art. 27 | FRIA durchführen (nur bei: Behörden, Erbringern öffentlicher Dienste, Betreibern bei Kreditscoring, Betreibern bei Lebens-/Krankenversicherung) |
| 7 | Art. 26 Abs. 11 | Personen, die KI-gestützten Entscheidungen unterworfen sind, informieren |
| 8 | Art. 26 Abs. 7 | Beschäftigte und ihre Vertretungen informieren, wenn KI im Arbeitsumfeld eingesetzt wird |
| 9 | Art. 50 Abs. 3 | Personen, die einer Emotionserkennung oder biometrischen Kategorisierung ausgesetzt sind, informieren |
Achtung: Rollenwechsel
Artikel 25 stellt klar, dass ein Betreiber zum Anbieter wird — und damit alle 19 Anbieterpflichten erbt —, wenn er:
- ein Hochrisiko-KI-System mit eigenem Namen oder eigener Marke versieht
- eine wesentliche Änderung am System vornimmt
- die Zweckbestimmung eines KI-Systems so ändert, dass es dadurch hochriskant wird
Das ist ein zentraler Punkt für Unternehmen, die Drittanbieter-KI-Tools anpassen oder umlabeln. Was die Übernahme der vollen Anbieterpflichten konkret kostet, zeigt eine ehrliche Kostenkalkulation — die ist vor jedem Rollenwechsel hilfreich.
Zeitplan: Wann gelten die Hochrisiko-Pflichten?
| Weg | Geltungsbeginn | Anwendungsbereich |
|---|---|---|
| Anhang III (Weg 2) | 2. August 2026 | Alle acht oben gelisteten Kategorien |
| In Produkte eingebettete Systeme (Weg 1) | 2. August 2027 | Sicherheitsbauteile regulierter Produkte |
Eine Übergangsregelung gilt: Hochrisiko-KI-Systeme, die vor dem 2. August 2026 bereits in Verkehr sind, müssen erst nach einer wesentlichen Designänderung nach diesem Stichtag den Anforderungen entsprechen. Systeme, die für die Nutzung durch Behörden bestimmt sind, fallen nicht unter eine zeitlich offene Bestandsregelung: Anbieter und Betreiber müssen die erforderlichen Schritte spätestens bis zum 2. August 2030 abschließen.
Erste Schritte
Die Klassifizierung ist die Grundlage. Wer unsicher ist, ob das eigene KI-System hochriskant ist, kommt mit dem Witness-Klassifizierer in etwa drei Minuten durch den Entscheidungsbaum — inklusive Prüfung der Verbote nach Art. 5, der Anhang-III-Zuordnung und der Bewertung nach Art. 6 Abs. 3. Am Ende stehen Risikostufe, Rolle und der konkrete Pflichtenkatalog.
Prüfen Sie, ob die EU-KI-Verordnung für Sie gilt
Kostenlose Klassifizierung in 3 Minuten. Keine Anmeldung erforderlich.
Jetzt starten