EU AI Act17. Apr. 20265 min Lesezeit

EU AI Act Hochrisiko-Klassifizierung: Die Checkliste für Ihr KI-Inventar

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 011. Die beiden Wege zu "Hochrisiko"
  2. 022. Die Ausnahme nach Art. 6 Abs. 3
  3. 033. Konkreter Entscheidungsbaum
  4. 044. Praktische Beispiele
  5. 055. Die 10-Punkte-Checkliste zur Klassifizierung
  6. 066. Konsequenzen einer Hochrisiko-Einstufung
  7. 07Fazit

Die KI-Verordnung steht und fällt mit der richtigen Einstufung Ihrer KI-Systeme. Einmal als Hochrisiko-KI eingeordnet, entstehen Pflichten mit erheblichen Kosten: Qualitätsmanagementsystem, technische Dokumentation nach Anhang IV, Konformitätsbewertung, CE-Kennzeichnung, Eintrag in die EU-Datenbank. Falsche Klassifizierung in beide Richtungen ist riskant — zu niedrig bedeutet Bußgelder, zu hoch bedeutet teure Überregulierung.

Dieser Artikel gibt Ihnen eine strukturierte Checkliste zur Klassifizierung, den Entscheidungsbaum nach Art. 6 und die wichtigsten Ausnahmen aus Art. 6 Abs. 3.

1. Die beiden Wege zu "Hochrisiko"

Nach Art. 6 EU AI Act kann ein System auf zwei Wegen als Hochrisiko-KI gelten:

Weg A: Sicherheitskomponente in regulierten Produkten (Art. 6 Abs. 1)

Wenn die KI Teil eines Produkts ist, das unter die EU-Produktsicherheitsgesetzgebung in Anhang I fällt und eine Konformitätsbewertung durch Dritte erfordert:

  • Medizinprodukte (MDR, IVDR)
  • Maschinen (Maschinenrichtlinie)
  • Spielzeug
  • Aufzüge
  • Schiffsausrüstung
  • Luftfahrt

Beispiel: Ein KI-Algorithmus zur MRT-Bildanalyse in einem Medizingerät = Hochrisiko, weil er Teil eines Medizinprodukts mit Notified-Body-Pflicht ist.

Weg B: Anwendungsbereich in Annex III (Art. 6 Abs. 2)

Anhang III listet konkrete Einsatzbereiche als Hochrisiko. Wenn Ihr KI-System in einen der folgenden Bereiche fällt:

  1. Biometrische Identifizierung und Kategorisierung natürlicher Personen
  2. Kritische Infrastrukturen — Management und Betrieb von Verkehr, Wasser, Gas, Strom
  3. Allgemeine und berufliche Bildung — Zugangsentscheidungen, Bewertung, Prüfung
  4. Beschäftigung und Personalmanagement — Recruiting, Entscheidungen zu Beförderung/Kündigung, Aufgabenzuweisung, Leistungsbewertung
  5. Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen — Kreditwürdigkeit, Kreditscoring, Risikobewertung für Lebens- und Krankenversicherungen, Sozialleistungen, Notfalldienste
  6. Strafverfolgung — Risikobewertung, Polygraph, Beweiswürdigung
  7. Migration, Asyl, Grenzkontrolle — Risikobewertung, Visaprüfung, Antragsprüfung
  8. Rechtspflege und demokratische Prozesse — Entscheidungsfindung in Rechtssachen, Wahlbeeinflussung

2. Die Ausnahme nach Art. 6 Abs. 3

Fällt Ihr KI-Einsatz in den Geltungsbereich des EU AI Act?

Ihre AI-Act-Readiness prüfen

Hier wird es interessant: Auch wenn ein System in Annex III fällt, kann es von der Hochrisiko-Einstufung ausgenommen sein, wenn es eine der folgenden Bedingungen erfüllt:

  • Das System führt nur eng gefasste prozedurale Aufgaben aus
  • Es verbessert nur das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit
  • Es erkennt Muster zu Entscheidungsfindung ohne die menschliche Bewertung ohne weitere Überprüfung zu ersetzen
  • Es führt eine vorbereitende Aufgabe für eine Bewertung durch, die in Anhang III genannt ist

Wichtig: Der Anbieter muss die Nicht-Einstufung dokumentieren und auf Anfrage nachweisen. Eine Falscheinstufung als "nicht Hochrisiko" trotz Anhang-III-Anwendung führt zu Bußgeldern.

3. Konkreter Entscheidungsbaum

1. Wird mein KI-System in einem regulierten Produkt (Annex I) eingesetzt,
   das eine Dritt-Konformitätsbewertung braucht?
   → JA: Hochrisiko (Weg A)
   → NEIN: weiter zu 2

2. Fällt der Einsatzbereich unter einen der acht Anhang-III-Punkte?
   → NEIN: Prüfe, ob Transparenzpflichten (Art. 50) greifen
     → Chatbot, Deepfake, Emotionserkennung: ja, Transparenzpflichten
     → sonst: minimales Risiko (keine spezifischen Pflichten außer KI-Kompetenz Art. 4)
   → JA: weiter zu 3

3. Greift eine Ausnahme nach Art. 6 Abs. 3?
   → JA: Nicht-Hochrisiko, aber Dokumentation nach Art. 6 Abs. 4 erforderlich
   → NEIN: Hochrisiko (Weg B)

4. Praktische Beispiele

System Klassifizierung Begründung
ChatGPT für E-Mail-Entwürfe Minimal + Transparenz Chatbot-Einsatz, keine Annex-III-Anwendung
HR-Tool mit CV-Screening Hochrisiko Annex III Nr. 4 (Beschäftigung), keine Art-6-Abs-3-Ausnahme
HR-Tool, das nur Terminbestätigungen schreibt Nicht-Hochrisiko Annex III Nr. 4, aber Art. 6 Abs. 3 — "eng gefasste prozedurale Aufgabe"
Kredit-Scoring-Modell Hochrisiko Annex III Nr. 5
KI-gestützte Rechtschreibprüfung Minimal Keine Annex-III-Anwendung
Emotionserkennung am Arbeitsplatz Verboten Art. 5 (f)
Medizingerät mit KI-Bildanalyse Hochrisiko Weg A — MDR-Produkt mit Notified Body
Chatbot im Kundensupport Transparenz Art. 50 — Offenlegung Chatbot
KI-basiertes Recommender-System im E-Commerce Minimal Keine Annex-III-Anwendung
Grenzkontroll-KI zur Antragsprüfung Hochrisiko Annex III Nr. 7

5. Die 10-Punkte-Checkliste zur Klassifizierung

Für jedes KI-System in Ihrem Unternehmen prüfen:

  1. Wie heißt das System und wer ist der Anbieter?
  2. Welchen Use-Case deckt es ab? (eine Satzlänge)
  3. Werden personenbezogene Daten verarbeitet? (DSGVO-Relevanz)
  4. Ist das System Teil eines regulierten Produkts (Annex I)?
  5. Fällt der Einsatzbereich unter Anhang III? (prüfen mit obiger Tabelle)
  6. Wenn Annex III: greift eine Ausnahme nach Art. 6 Abs. 3?
  7. Wer ist die verantwortliche Person (Business Owner)?
  8. Wie ist die menschliche Aufsicht organisiert?
  9. Welche Transparenzpflichten (Art. 50) greifen?
  10. Dokumentation: Klassifizierung, Begründung, Reviewer, Reviewdatum

Eine dedizierte EU-AI-Act-Plattform wie Matproof automatisiert diese Checkliste — KI-Inventar aus OpenAI/Azure/Anthropic-Integrationen, vordefinierte Klassifizierungs-Workflows, Annex-III-Mapping und Dokumentations-Templates.

6. Konsequenzen einer Hochrisiko-Einstufung

Wenn ein System als Hochrisiko klassifiziert ist, entstehen für Anbieter:

  • Risikomanagementsystem nach Art. 9
  • Daten-Governance nach Art. 10
  • Technische Dokumentation nach Art. 11 und Anhang IV
  • Aufzeichnungspflichten nach Art. 12
  • Transparenz gegenüber Betreibern (Art. 13)
  • Menschliche Aufsicht nach Art. 14
  • Robustheit und Cybersicherheit nach Art. 15
  • Qualitätsmanagementsystem nach Art. 17
  • CE-Kennzeichnung und Eintrag in EU-Datenbank

Für Betreiber (also die meisten Unternehmen, die KI einsetzen) gelten die Pflichten aus Art. 26:

  • Nutzung gemäß Gebrauchsanweisung
  • Menschliche Aufsicht sicherstellen
  • Input-Daten dem beabsichtigten Zweck anpassen
  • Überwachung und Incident-Meldung
  • Aufbewahrung automatisch generierter Logs
  • Information von Betroffenen (falls zutreffend)

Fazit

Die richtige Klassifizierung ist die wichtigste Einzelentscheidung im EU-AI-Act-Programm. Sie entscheidet über Aufwand, Budget und Time-to-Market der KI-Nutzung. Gerade im Grenzbereich von Annex III und Art. 6 Abs. 3 lohnt es sich, die Klassifizierung strukturiert, nachvollziehbar und juristisch begründet zu dokumentieren.

Weiterführend:

Hochrisiko KIEU AI Act HochrisikoAI Act Annex IIIKI KlassifizierungKI RisikoklasseHochrisiko KI Unternehmen

EU AI Act-Readiness-Assessment

Prüfen Sie Ihre KI-Compliance vor August 2026

Kostenloses Assessment starten

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern