EU AI Act2026-04-175 min Lesezeit

EU AI Act Hochrisiko-Klassifizierung: Die Checkliste für Ihr KI-Inventar

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 011. Die beiden Wege zu "Hochrisiko"
  2. 022. Die Ausnahme nach Art. 6 Abs. 3
  3. 033. Konkreter Entscheidungsbaum
  4. 044. Praktische Beispiele
  5. 055. Die 10-Punkte-Checkliste zur Klassifizierung
  6. 066. Konsequenzen einer Hochrisiko-Einstufung
  7. 07Fazit

EU AI Act Hochrisiko-Klassifizierung: Die Checkliste für Ihr KI-Inventar

Die KI-Verordnung steht und fällt mit der richtigen Einstufung Ihrer KI-Systeme. Einmal als Hochrisiko-KI eingeordnet, entstehen Pflichten mit erheblichen Kosten: Qualitätsmanagementsystem, technische Dokumentation nach Anhang IV, Konformitätsbewertung, CE-Kennzeichnung, Eintrag in die EU-Datenbank. Falsche Klassifizierung in beide Richtungen ist riskant — zu niedrig bedeutet Bußgelder, zu hoch bedeutet teure Überregulierung.

Dieser Artikel gibt Ihnen eine strukturierte Checkliste zur Klassifizierung, den Entscheidungsbaum nach Art. 6 und die wichtigsten Ausnahmen aus Art. 6 Abs. 3.

1. Die beiden Wege zu "Hochrisiko"

Nach Art. 6 EU AI Act kann ein System auf zwei Wegen als Hochrisiko-KI gelten:

Weg A: Sicherheitskomponente in regulierten Produkten (Art. 6 Abs. 1)

Wenn die KI Teil eines Produkts ist, das unter die EU-Produktsicherheitsgesetzgebung in Anhang I fällt und eine Konformitätsbewertung durch Dritte erfordert:

  • Medizinprodukte (MDR, IVDR)
  • Maschinen (Maschinenrichtlinie)
  • Spielzeug
  • Aufzüge
  • Schiffsausrüstung
  • Luftfahrt

Beispiel: Ein KI-Algorithmus zur MRT-Bildanalyse in einem Medizingerät = Hochrisiko, weil er Teil eines Medizinprodukts mit Notified-Body-Pflicht ist.

Weg B: Anwendungsbereich in Annex III (Art. 6 Abs. 2)

Anhang III listet konkrete Einsatzbereiche als Hochrisiko. Wenn Ihr KI-System in einen der folgenden Bereiche fällt:

  1. Biometrische Identifizierung und Kategorisierung natürlicher Personen
  2. Kritische Infrastrukturen — Management und Betrieb von Verkehr, Wasser, Gas, Strom
  3. Allgemeine und berufliche Bildung — Zugangsentscheidungen, Bewertung, Prüfung
  4. Beschäftigung und Personalmanagement — Recruiting, Entscheidungen zu Beförderung/Kündigung, Aufgabenzuweisung, Leistungsbewertung
  5. Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen — Kreditwürdigkeit, Kreditscoring, Risikobewertung für Lebens- und Krankenversicherungen, Sozialleistungen, Notfalldienste
  6. Strafverfolgung — Risikobewertung, Polygraph, Beweiswürdigung
  7. Migration, Asyl, Grenzkontrolle — Risikobewertung, Visaprüfung, Antragsprüfung
  8. Rechtspflege und demokratische Prozesse — Entscheidungsfindung in Rechtssachen, Wahlbeeinflussung

2. Die Ausnahme nach Art. 6 Abs. 3

Hier wird es interessant: Auch wenn ein System in Annex III fällt, kann es von der Hochrisiko-Einstufung ausgenommen sein, wenn es eine der folgenden Bedingungen erfüllt:

  • Das System führt nur eng gefasste prozedurale Aufgaben aus
  • Es verbessert nur das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit
  • Es erkennt Muster zu Entscheidungsfindung ohne die menschliche Bewertung ohne weitere Überprüfung zu ersetzen
  • Es führt eine vorbereitende Aufgabe für eine Bewertung durch, die in Anhang III genannt ist

Wichtig: Der Anbieter muss die Nicht-Einstufung dokumentieren und auf Anfrage nachweisen. Eine Falscheinstufung als "nicht Hochrisiko" trotz Anhang-III-Anwendung führt zu Bußgeldern.

3. Konkreter Entscheidungsbaum

1. Wird mein KI-System in einem regulierten Produkt (Annex I) eingesetzt,
   das eine Dritt-Konformitätsbewertung braucht?
   → JA: Hochrisiko (Weg A)
   → NEIN: weiter zu 2

2. Fällt der Einsatzbereich unter einen der acht Anhang-III-Punkte?
   → NEIN: Prüfe, ob Transparenzpflichten (Art. 50) greifen
     → Chatbot, Deepfake, Emotionserkennung: ja, Transparenzpflichten
     → sonst: minimales Risiko (keine spezifischen Pflichten außer KI-Kompetenz Art. 4)
   → JA: weiter zu 3

3. Greift eine Ausnahme nach Art. 6 Abs. 3?
   → JA: Nicht-Hochrisiko, aber Dokumentation nach Art. 6 Abs. 4 erforderlich
   → NEIN: Hochrisiko (Weg B)

4. Praktische Beispiele

System Klassifizierung Begründung
ChatGPT für E-Mail-Entwürfe Minimal + Transparenz Chatbot-Einsatz, keine Annex-III-Anwendung
HR-Tool mit CV-Screening Hochrisiko Annex III Nr. 4 (Beschäftigung), keine Art-6-Abs-3-Ausnahme
HR-Tool, das nur Terminbestätigungen schreibt Nicht-Hochrisiko Annex III Nr. 4, aber Art. 6 Abs. 3 — "eng gefasste prozedurale Aufgabe"
Kredit-Scoring-Modell Hochrisiko Annex III Nr. 5
KI-gestützte Rechtschreibprüfung Minimal Keine Annex-III-Anwendung
Emotionserkennung am Arbeitsplatz Verboten Art. 5 (f)
Medizingerät mit KI-Bildanalyse Hochrisiko Weg A — MDR-Produkt mit Notified Body
Chatbot im Kundensupport Transparenz Art. 50 — Offenlegung Chatbot
KI-basiertes Recommender-System im E-Commerce Minimal Keine Annex-III-Anwendung
Grenzkontroll-KI zur Antragsprüfung Hochrisiko Annex III Nr. 7

5. Die 10-Punkte-Checkliste zur Klassifizierung

Für jedes KI-System in Ihrem Unternehmen prüfen:

  1. Wie heißt das System und wer ist der Anbieter?
  2. Welchen Use-Case deckt es ab? (eine Satzlänge)
  3. Werden personenbezogene Daten verarbeitet? (DSGVO-Relevanz)
  4. Ist das System Teil eines regulierten Produkts (Annex I)?
  5. Fällt der Einsatzbereich unter Anhang III? (prüfen mit obiger Tabelle)
  6. Wenn Annex III: greift eine Ausnahme nach Art. 6 Abs. 3?
  7. Wer ist die verantwortliche Person (Business Owner)?
  8. Wie ist die menschliche Aufsicht organisiert?
  9. Welche Transparenzpflichten (Art. 50) greifen?
  10. Dokumentation: Klassifizierung, Begründung, Reviewer, Reviewdatum

Eine dedizierte EU-AI-Act-Plattform wie Matproof automatisiert diese Checkliste — KI-Inventar aus OpenAI/Azure/Anthropic-Integrationen, vordefinierte Klassifizierungs-Workflows, Annex-III-Mapping und Dokumentations-Templates.

6. Konsequenzen einer Hochrisiko-Einstufung

Wenn ein System als Hochrisiko klassifiziert ist, entstehen für Anbieter:

  • Risikomanagementsystem nach Art. 9
  • Daten-Governance nach Art. 10
  • Technische Dokumentation nach Art. 11 und Anhang IV
  • Aufzeichnungspflichten nach Art. 12
  • Transparenz gegenüber Betreibern (Art. 13)
  • Menschliche Aufsicht nach Art. 14
  • Robustheit und Cybersicherheit nach Art. 15
  • Qualitätsmanagementsystem nach Art. 17
  • CE-Kennzeichnung und Eintrag in EU-Datenbank

Für Betreiber (also die meisten Unternehmen, die KI einsetzen) gelten die Pflichten aus Art. 26:

  • Nutzung gemäß Gebrauchsanweisung
  • Menschliche Aufsicht sicherstellen
  • Input-Daten dem beabsichtigten Zweck anpassen
  • Überwachung und Incident-Meldung
  • Aufbewahrung automatisch generierter Logs
  • Information von Betroffenen (falls zutreffend)

Fazit

Die richtige Klassifizierung ist die wichtigste Einzelentscheidung im EU-AI-Act-Programm. Sie entscheidet über Aufwand, Budget und Time-to-Market der KI-Nutzung. Gerade im Grenzbereich von Annex III und Art. 6 Abs. 3 lohnt es sich, die Klassifizierung strukturiert, nachvollziehbar und juristisch begründet zu dokumentieren.

Weiterführend:

Hochrisiko KIEU AI Act HochrisikoAI Act Annex IIIKI KlassifizierungKI RisikoklasseHochrisiko KI Unternehmen

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern