Zum Inhalt springen
· 4 Min. Lesezeit

EU AI Act: Hochrisiko-KI erkennen und klassifizieren - ein praktischer Leitfaden

Wie Sie Ihre KI-Systeme nach EU AI Act klassifizieren, welche Pflichten bei Hochrisiko-KI gelten und was Sie vor August 2026 umsetzen müssen.

Simon Schilling
Simon Schilling
Gründer & Managing Consultant · LinkedIn

Ab August 2026 gelten die Hochrisiko-Pflichten des EU AI Act. Für Unternehmen, die KI-Systeme einsetzen oder entwickeln, wird eine Frage plötzlich dringend: Ist mein System Hochrisiko - oder nicht? Die Antwort entscheidet über den Compliance-Aufwand der nächsten Monate. In diesem Leitfaden zeige ich Ihnen, wie Sie die Klassifizierung systematisch durchführen und welche Pflichten sich daraus ergeben.

Das Klassifizierungssystem des EU AI Act

Der EU AI Act teilt KI-Systeme in vier Risikokategorien ein. Diese Einteilung bestimmt, welche Anforderungen für Ihr System gelten.

Verbotene Praktiken (unakzeptables Risiko)

Bestimmte KI-Anwendungen sind grundsätzlich verboten: Social Scoring durch Behörden, Echtzeit-Biometrie im öffentlichen Raum (mit engen Ausnahmen), Manipulation vulnerabler Gruppen. Diese Verbote gelten bereits seit Februar 2025.

Hochrisiko-Systeme

Hier liegt der größte Handlungsbedarf. Hochrisiko-KI umfasst zwei Gruppen:

Anhang I - Produktsicherheits-KI: KI-Systeme, die als Sicherheitskomponente in bereits regulierte Produkte eingebettet sind. Medizinprodukte, Maschinen, Fahrzeuge, Aufzüge. Wenn Ihr KI-System Teil eines CE-kennzeichnungspflichtigen Produkts ist, ist es fast immer Hochrisiko.

Anhang III - Eigenständige Hochrisiko-KI: Acht Anwendungsbereiche, in denen KI-Systeme als inhärent hochriskant gelten:

  1. Biometrie: Fernidentifikation, Emotionserkennung am Arbeitsplatz
  2. Kritische Infrastruktur: Steuerung von Wasser, Gas, Strom, Verkehr
  3. Bildung: Prüfungsbewertung, Zugangssteuerung zu Bildungseinrichtungen
  4. Beschäftigung: Bewerberauswahl, Leistungsbewertung, Kündigung
  5. Öffentliche Dienstleistungen: Sozialleistungen, Kreditwürdigkeit, Versicherungsprämien
  6. Strafverfolgung: Risikobewertung, Beweismittelbewertung
  7. Migration: Asylverfahren, Grenzkontrollen
  8. Justiz: Rechtsberatung, Urteilsunterstützung

Begrenzte und minimale Risiken

Chatbots, Spam-Filter, Empfehlungssysteme - hier gelten vor allem Transparenzpflichten. Nutzer müssen wissen, dass sie mit KI interagieren. Der Compliance-Aufwand ist überschaubar.

Der Klassifizierungsprozess in fünf Schritten

Schritt 1: KI-Inventar erstellen

Bevor Sie klassifizieren können, müssen Sie wissen, was Sie haben. Listen Sie alle KI-Systeme auf, die Ihr Unternehmen einsetzt, entwickelt oder bereitstellt. Vergessen Sie dabei nicht die KI-Agenten, die Fachabteilungen eigenständig eingeführt haben - die sogenannte Shadow AI.

Für jedes System dokumentieren Sie: Zweck, Eingabedaten, Ausgabedaten, betroffene Personen, Entscheidungsrelevanz. Unternehmen, die bereits ein KI-Governance-Framework haben, können auf bestehende Inventare aufbauen.

Schritt 2: Anwendungsbereich prüfen

Gleichen Sie jedes System gegen die Anhänge I und III ab. Die entscheidende Frage: Trifft das System Entscheidungen, die die Rechte, die Gesundheit oder die Sicherheit natürlicher Personen wesentlich beeinflussen? Wenn ja, ist es mit hoher Wahrscheinlichkeit Hochrisiko.

Schritt 3: Ausnahmen prüfen

Nicht jedes System, das in einen Anhang-III-Bereich fällt, ist automatisch Hochrisiko. Der EU AI Act enthält eine wichtige Ausnahme: Wenn das KI-System eine enge prozedurale Aufgabe erfüllt, ein menschliches Urteil nicht ersetzt und nur vorbereitende Funktion hat, kann es von der Hochrisiko-Klassifizierung ausgenommen sein. Diese Ausnahme ist eng auszulegen - dokumentieren Sie Ihre Begründung sorgfältig.

Schritt 4: Pflichten ableiten

Für Hochrisiko-Systeme gelten ab August 2026 umfassende Pflichten:

  • Risikomanagement: Ein dokumentiertes Risikomanagementsystem für den gesamten Lebenszyklus
  • Daten-Governance: Anforderungen an Trainings-, Validierungs- und Testdaten
  • Technische Dokumentation: Vollständige Beschreibung des Systems, seiner Leistung und seiner Grenzen
  • Aufzeichnungspflichten: Automatische Protokollierung aller relevanten Vorgänge - hier zahlt sich ein solider Audit-Trail aus
  • Transparenz: Gebrauchsanweisungen für Betreiber
  • Menschliche Aufsicht: Das System muss so gestaltet sein, dass Menschen es übersteuern können
  • Genauigkeit und Robustheit: Nachgewiesene Leistungskennzahlen

Schritt 5: Konformitätsbewertung planen

Hochrisiko-Systeme müssen vor dem Inverkehrbringen eine Konformitätsbewertung durchlaufen. In den meisten Fällen genügt eine interne Bewertung nach harmonisierten Normen. Für biometrische Fernidentifikation ist eine Bewertung durch eine benannte Stelle erforderlich.

Häufige Fehler bei der Klassifizierung

KI-Agenten unterschätzen: Ein KI-Agent, der Versicherungsanträge bewertet, fällt unter Anhang III (Kreditwürdigkeit/Versicherungsprämien). Auch wenn der Agent nur „vorsortiert“ - die Entscheidungsrelevanz macht ihn hochriskant. Die Countdown-Checkliste hilft, keine Fristen zu verpassen.

Nur eigene Systeme prüfen: Der EU AI Act adressiert Anbieter UND Betreiber. Wenn Sie ein Hochrisiko-System eines Drittanbieters einsetzen, haben Sie als Betreiber eigene Pflichten - insbesondere bei der menschlichen Aufsicht und der Zweckbindung.

General Purpose AI ignorieren: Große Sprachmodelle (LLMs) fallen als General Purpose AI unter eigene Regeln. Wenn Sie ein LLM in einem Hochrisiko-Kontext einsetzen, addieren sich die Pflichten. Ihr EU-AI-Act-Verständnis muss beide Ebenen abdecken.

Was Sie jetzt tun sollten

Mit weniger als 30 Tagen bis zum Stichtag ist Perfektion nicht das Ziel - Handlungsfähigkeit schon. Drei Sofortmaßnahmen:

  1. KI-Inventar erstellen - auch wenn es noch nicht vollständig ist. Jedes erfasste System ist besser als keines.
  2. Hochrisiko-Kandidaten identifizieren - die offensichtlichen zuerst. Personalwesen, Kreditentscheidungen, KRITIS-Steuerung.
  3. Dokumentation starten - die technische Dokumentation ist die aufwändigste Pflicht. Beginnen Sie mit der Systembeschreibung und den Leistungskennzahlen.

Sie wollen wissen, wo Ihre KI-Systeme stehen? Unser AI Act Quick-Check klassifiziert Ihre Systeme in fünf Arbeitstagen - mit konkretem Maßnahmenplan für die verbleibende Zeit bis August.

Hat Ihnen dieser Artikel geholfen? Auf LinkedIn teilen