EU KI-Gesetz: Hochrisikokategorien erklärt (Update 2026)

EU KI-Gesetz · Hochrisikokategorien

Einleitung: Ein praktischer Leitfaden zur Compliance von Hochrisiko-KI

Das EU KI-Gesetz ist kein Zukunftskonzept mehr; es ist eine gegenwärtige Compliance-Realität. Ein Hochrisiko-KI-System gemäß dem EU KI-Gesetz ist eines, das als Sicherheitskomponente in regulierten Produkten dient oder in sensiblen Bereichen wie der Beschäftigung eingesetzt wird, wodurch strenge Regeln und potenzielle Bußgelder von bis zu 35 Millionen Euro ausgelöst werden. Während Organisationen das Jahr 2026 beginnen, ändern die Fristen des Gesetzes die Art und Weise, wie künstliche Intelligenz entwickelt, eingesetzt und gesteuert wird. Die dringendste Herausforderung für die meisten besteht darin, den risikobasierten Rahmen zu navigieren, um eine entscheidende Frage zu beantworten: Wird unser KI-System als „Hochrisiko“ eingestuft?

Diese Klassifizierung ist nicht nur ein Etikett. Sie löst die härtesten und teuersten Verpflichtungen des Gesetzes aus, einschließlich strenger Tests, Dokumentation und Überwachung nach dem Inverkehrbringen. Ein Fehler bei der Klassifizierung eines Systems kann zu massiven Bußgeldern, Reputationsschäden und dem Verlust des Zugangs zum EU-Markt führen. Die Definitionen können jedoch komplex sein, was Compliance-, Rechts- und Produktteams Schwierigkeiten bereitet, die Details des Gesetzes zu verstehen.

Dieser Leitfaden bietet eine klare, detaillierte Aufschlüsselung der Hochrisiko-Kategorien des KI-Gesetzes. Wir werden die beiden Hauptmethoden zur Klassifizierung von Systemen erläutern, jeden spezifischen Anwendungsfall in Anhang III untersuchen und die Kernanforderungen für Anbieter dieser Systeme darlegen. Dies ist Ihre unverzichtbare Ressource, um Ihre Verpflichtungen in der neuen Ära der KI-Regulierung zu verstehen.

Die zwei Wege

Was definiert ein Hochrisiko-KI-System?

Das EU KI-Gesetz (Artikel 6) etabliert eine Risikopyramide: inakzeptabel, hoch, begrenzt und minimal. Während das Gesetz KI mit inakzeptablem Risiko vollständig verbietet, erlaubt es Hochrisiko-KI-Systeme, solange diese eine vollständige Reihe obligatorischer Anforderungen erfüllen. Ein System wird im Allgemeinen als Hochrisiko eingestuft, wenn es eine von zwei Hauptbedingungen erfüllt.

Weg 01 · Anhang II

Sicherheitskomponente eines regulierten Produkts

Es handelt sich um ein Produkt oder eine Sicherheitskomponente eines Produkts, das unter die in Anhang II aufgeführten bestehenden EU-Sicherheitsvorschriften fällt. Dies umfasst eine breite Palette von Gütern, bei denen Sicherheit entscheidend ist, wie Spielzeug, Medizinprodukte, Aufzüge und Maschinen. Wenn ein KI-System eine Sicherheitskomponente für eines dieser Produkte ist, wird es automatisch als Hochrisiko-KI-System betrachtet.

Weg 02 · Anhang III

Anwendungsfall mit hohem Risiko

Es fällt in einen der spezifischen Anwendungsfälle mit hohem Risiko, die in Anhang III aufgeführt sind. Dieser Anhang bildet den Kern der Hochrisiko-Definition. Er identifiziert Bereiche, in denen KI die Grundrechte, die Sicherheit oder das Wohlergehen von Menschen ernsthaft schädigen könnte.

Ein System aus Anhang III ist nur dann Hochrisiko, wenn es ein erhebliches Schadensrisiko darstellt — aber für die meisten Systeme in diesen Kategorien ist die Ausgangsannahme, dass sie es sind.

Es ist wichtig, einen Schlüsselfilter zu beachten: Ein in Anhang III aufgeführtes KI-System gilt nur dann als Hochrisiko, wenn es ein erhebliches Schadensrisiko für die Gesundheit, Sicherheit oder Grundrechte von Einzelpersonen darstellt. Ein Anbieter kann argumentieren, dass sein System dieses Risikoniveau nicht erreicht, muss seine Bewertung jedoch vollständig dokumentieren. Für die meisten Systeme in diesen Kategorien ist die Ausgangsannahme, dass sie Hochrisiko sind.

Anhang III im Detail

Ein tiefer Einblick in Anhang III: Die acht Hochrisikokategorien

Anhang III ist die zentrale Säule des Hochrisiko-Rahmens. Lassen Sie uns jede Kategorie betrachten, um die spezifischen KI-Anwendungen zu verstehen, die die EU-Gesetzgeber betreffen.

01 · Biometrie

Biometrische Identifikation und Kategorisierung

Diese Kategorie umfasst KI-Systeme für biometrische Zwecke. Es ist entscheidend, „Identifikation“ (Abgleich einer Person mit vielen) von „Verifikation“ (Abgleich einer Person mit einer anderen) zu trennen. Das Hauptanliegen ist die Verwendung von „ferngesteuerten“ biometrischen Identifikationssystemen in öffentlichen Räumen. Während die Echtzeit-Fernbiometrie-ID größtenteils verboten ist, kann die Strafverfolgung sie unter strengen Bedingungen nachträglich verwenden, was sie zu einer Hochrisikoanwendung macht. Diese Kategorie umfasst auch Systeme, die Personen basierend auf sensiblen Daten wie Rasse, politischen Ansichten oder sexueller Orientierung gruppieren.

02 · Infrastruktur

Management und Betrieb kritischer Infrastrukturen

KI-Systeme, die als Sicherheitskomponenten zur Verwaltung kritischer Infrastrukturen eingesetzt werden, gelten als Hochrisiko. Ein Ausfall dieser Systeme könnte das Leben und die Gesundheit vieler Menschen gefährden. Beispiele hierfür sind KI, die zur Verwaltung des Straßenverkehrs, der Wasserversorgung, der Heizung und des Stromnetzes eingesetzt wird. Ziel ist es, wesentliche Dienste sicher und zuverlässig zu halten, während sie zunehmend automatisiert werden.

03 · Bildung

Bildung und berufliche Ausbildung

Diese Kategorie zielt auf KI ab, die den Zugang einer Person zu Bildung und ihre berufliche Zukunft bestimmt. Hochrisikosysteme in diesem Bereich umfassen solche, die verwendet werden für:

  • Zulassungen oder Zugang zu Bildungseinrichtungen.
  • Bewertung von Lernergebnissen, wie die automatisierte Bewertung von Prüfungen.
  • Führung von Studenten zu bestimmten Bildungswegen.
  • Überwachung von Studenten während Tests zur Erkennung von Betrug.

Die Verordnung zielt darauf ab, Voreingenommenheit zu verhindern und Fairness bei diesen wichtigen Lebensentscheidungen zu gewährleisten.

04 · Beschäftigung

Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit

Wie die Bildung hat auch KI am Arbeitsplatz große Macht über die Arbeitsplätze von Menschen. Das Gesetz klassifiziert Folgendes als Hochrisiko-Anwendungen des KI-Gesetzes:

  • KI, die für die Personalbeschaffung verwendet wird, z. B. zum Filtern von Lebensläufen oder zur Bewertung von Kandidaten in Vorstellungsgesprächen.
  • Systeme, die Entscheidungen über Beförderungen oder die Beendigung von Verträgen treffen.
  • KI, die zur Aufgabenverteilung und Überwachung der Mitarbeiterleistung eingesetzt wird.

Diese Regeln bekämpfen diskriminierende Einstellungen und gewährleisten Transparenz im Personalmanagement.

05 · Wesentliche Dienste

Zugang zu wesentlichen privaten und öffentlichen Diensten und Leistungen

Diese breite Kategorie umfasst KI-Systeme, die den Zugang zu grundlegenden Diensten steuern. Wichtige Beispiele dieser Hochrisiko-KI-Systeme sind:

  • KI-Systeme, die von Behörden zur Entscheidung über die Berechtigung für Sozialleistungen verwendet werden.
  • Systeme, die Kredit-Scoring durchführen, das den Zugang zu Krediten und Finanzierungen bestimmt.
  • KI, die zur Risikobewertung und Preisgestaltung in der Kranken- und Lebensversicherung eingesetzt wird.
  • Systeme, die Notdienste wie Krankenwagen oder Feuerwehr entsenden.

Da diese Dienste so kritisch sind, sieht das Gesetz strenge Kontrollen vor, um Fehler und Diskriminierung zu verhindern.

06 · Strafverfolgung

Strafverfolgung

Der Einsatz von KI durch Strafverfolgungsbehörden birgt klare Risiken für Grundrechte. Hochrisiko-Anwendungen in diesem Bereich umfassen:

  • KI, die zur Bewertung des Risikos einer Person, eine Straftat zu begehen (prädiktive Polizeiarbeit), verwendet wird.
  • Polygraphen und ähnliche Werkzeuge zur Erkennung des emotionalen Zustands einer Person.
  • Systeme zur Erkennung von Deepfakes.
  • KI, die zur Bewertung der Zuverlässigkeit von Beweismitteln in Strafsachen verwendet wird.

Diese Anforderungen stellen sicher, dass Behörden KI-Tools verantwortungsbewusst einsetzen und ungerechte Ergebnisse vermeiden.

07 · Migration

Management von Migration, Asyl und Grenzkontrolle

KI-Systeme, die im sensiblen Bereich der Migration und Grenzkontrolle eingesetzt werden, werden ebenfalls als Hochrisiko eingestuft. Dies umfasst Technologien, die verwendet werden für:

  • Bewertung von Sicherheits- oder Gesundheitsrisiken von Personen, die in die EU einreisen.
  • Überprüfung der Echtheit von Reisedokumenten.
  • Unterstützung der Behörden bei der Prüfung von Asyl- und Visumanträgen.

Ziel ist es, die Grundrechte schutzbedürftiger Personen zu schützen, die mit diesen mächtigen Systemen interagieren.

08 · Justiz

Justizverwaltung und demokratische Prozesse

Die letzte Kategorie befasst sich mit den potenziellen Auswirkungen von KI auf Rechtsstaatlichkeit und Demokratie. Hochrisiko-Systeme umfassen:

  • KI, die eine Justizbehörde bei der Recherche und Interpretation von Fakten und Gesetzen unterstützen soll.
  • Systeme, die dazu dienen, das Ergebnis einer Wahl oder eines Referendums zu beeinflussen.

Diese Regeln schützen die richterliche Unabhängigkeit und die Integrität unserer demokratischen Systeme.

Compliance-Verpflichtungen

Was sind die Kernanforderungen des KI-Gesetzes für Hochrisiko-Systeme?

Sobald ein KI-System als Hochrisiko eingestuft ist, muss sein Anbieter eine Reihe strenger Verpflichtungen erfüllen, bevor er es auf dem EU-Markt in Verkehr bringt. Eine Nichteinhaltung kann zu Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist. Diese Anforderungen schaffen Vertrauen und gewährleisten die Sicherheit während der gesamten Lebensdauer des Systems.

Strafenrisiko: bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes

Die Nichteinhaltung der Hochrisikobestimmungen des EU KI-Gesetzes zieht einige der höchsten behördlichen Bußgelder im EU-Recht nach sich – vergleichbar mit den Strafregelungen der DSGVO und CSRD.

Art. 9

Risikomanagementsystem

Anbieter müssen einen kontinuierlichen Prozess zur Identifizierung, Analyse und Reduzierung von Risiken des KI-Systems erstellen, anwenden und aufrechterhalten.

Art. 10

Daten-Governance und -Management

Die zur Schulung, Validierung und Prüfung der KI verwendeten Datensätze müssen von hoher Qualität sein. Sie müssen relevant, repräsentativ, fehlerfrei und vollständig sein, mit robusten Prozessen zur Bewältigung potenzieller Verzerrungen.

Art. 11

Technische Dokumentation

Anbieter müssen eine umfassende technische Dokumentation erstellen und aktualisieren. Sie muss die Fähigkeiten, Grenzen und das Design des Systems erläutern, um dessen Einhaltung des Gesetzes zu demonstrieren.

Art. 12

Aufzeichnungspflicht

Das System muss in der Lage sein, Ereignisse (wie die für eine Entscheidung verwendeten Daten) automatisch zu protokollieren, um die Rückverfolgbarkeit seiner Operationen zu gewährleisten.

Art. 13

Transparenz und Informationen für Benutzer

Das System muss für ausreichende Transparenz ausgelegt sein. Anbieter müssen den Benutzern klare und vollständige Anweisungen geben, um ihnen zu helfen, die Ausgabe des Systems korrekt zu interpretieren.

Art. 14

Menschliche Aufsicht

Menschen müssen in der Lage sein, Hochrisiko-Systeme effektiv zu überwachen. Dies umfasst Maßnahmen, die es einer Person ermöglichen, einzugreifen, Entscheidungen des Systems zu stoppen oder zu überschreiben.

Art. 15

Genauigkeit, Robustheit und Cybersicherheit

Systeme müssen mit hoher Genauigkeit arbeiten. Sie müssen widerstandsfähig gegen Fehler, Ausfälle und Angriffe von Dritten sein, die versuchen, ihre Leistung zu verändern.

Konformität

Konformitätsbewertung

Vor dem Inverkehrbringen muss das System eine Konformitätsbewertung bestehen, um nachzuweisen, dass es alle Anforderungen erfüllt. Für einige Systeme muss eine benannte Drittstelle beteiligt sein.

Von Checklisten zu Intelligence

Von reaktiven Checklisten zu proaktiver Intelligence

Das Verständnis der Hochrisiko-Kategorien des KI-Gesetzes ist ein entscheidender erster Schritt, aber echte Compliance ist keine einmalige Aufgabe. Das EU KI-Gesetz ist ein lebendiges Gesetz; die Europäische Kommission kann die Liste der Hochrisiko-Systeme in Anhang III ändern, um neue Technologien und Risiken widerzuspiegeln. Dies ist auch nur ein Teil eines komplexen globalen Regulierungs-Puzzles. Vom EU Critical Raw Materials Act bis hin zu staatlichen Vorschriften wie Kaliforniens Prop 65 wird das externe Signalumfeld immer komplexer.

Das Verlassen auf manuelle Nachverfolgung oder grundlegende Stichwortwarnungen ist keine praktikable Strategie mehr. Dieser Ansatz schafft blinde Flecken und zwingt Ihre Organisation, auf Veränderungen zu reagieren, anstatt sich darauf vorzubereiten. Moderne Compliance- und Public-Affairs-Teams müssen von der einfachen Überwachung zu strategischer Intelligenz übergehen. Das bedeutet, über statische Checklisten hinauszugehen und automatisierte Systeme zu verwenden, die das gesamte Umfeld analysieren können – von Gesetzesentwürfen und regulatorischen Updates bis hin zu Stakeholder-Ansichten und Marktveränderungen. Dies ist der Unterschied zwischen dem bloßen Besitz eines Policy-Tracking-Systems und der Nutzung einer echten Intelligence-Engine.

Sichern Sie Ihre KI-Compliance mit Policy-Insider.AI

Lassen Sie die Komplexität des EU KI-Gesetzes Ihre Produkte und den Marktzugang nicht gefährden. Ein proaktiver, intelligenter Ansatz zur Compliance ist unerlässlich, um die Zukunft zu navigieren. Policy-Insider.AI ist ein KI-natives externes Signal-Intelligence-System, das unstrukturierte öffentliche Informationen in entscheidungsreife Intelligenz umwandelt. Wir helfen Ihnen, über die Verfolgung von Schlüsselwörtern hinauszugehen und strategische Fragen zu Ihren Compliance-Risiken und -Chancen zu beantworten.

EU KI-Gesetz Compliance-Überwachung →

Keine Kreditkarte erforderlich · Einrichtung in wenigen Minuten

Weiterlesen

EU AI Act Timeline: Key Compliance Deadlines for 2027-2028
27. Mai 2026 · Artikel

EU KI-Gesetz Zeitplan: Wichtige Compliance-Fristen für 2027-2028

State Election Monitoring: Fixing the National Policy Blind Spot
27. Mai 2026 · Artikel

Überwachung von Staatswahlen: Behebung des nationalen Politik-Blindflecks

23. Mai 2026 · Artikel

So erstellen Sie ein effektives Adverse Media Screening Programm für Lieferanten

Mehr im Leitfaden

Wir schätzen Ihre Privatsphäre

Wir verwenden Cookies, um Ihr Surferlebnis zu verbessern, personalisierte Anzeigen oder Inhalte bereitzustellen und unseren Traffic zu analysieren. Indem Sie auf „Alle akzeptieren“ klicken, stimmen Sie der Verwendung von Cookies zu.

Zustimmungseinstellungen anpassen

Wir verwenden Cookies, um Ihnen eine effiziente Navigation zu ermöglichen und bestimmte Funktionen auszuführen. Detaillierte Informationen zu allen Cookies finden Sie unten unter jeder Zustimmungskategorie.

Die als „Notwendig“ kategorisierten Cookies werden in Ihrem Browser gespeichert, da sie für die grundlegenden Funktionen der Website unerlässlich sind.

Wir verwenden auch Cookies von Drittanbietern, die uns helfen zu analysieren, wie Sie diese Website nutzen, Ihre Präferenzen zu speichern und Ihnen relevante Inhalte und Werbung bereitzustellen. Diese Cookies werden nur mit Ihrer vorherigen Zustimmung in Ihrem Browser gespeichert.

Sie können einige oder alle dieser Cookies aktivieren oder deaktivieren, aber das Deaktivieren einiger davon kann Ihr Surferlebnis beeinträchtigen.

Immer aktiv

Notwendige Cookies sind erforderlich, um die grundlegenden Funktionen dieser Website zu ermöglichen, wie z. B. die Bereitstellung einer sicheren Anmeldung oder die Anpassung Ihrer Zustimmungseinstellungen. Diese Cookies speichern keine personenbezogenen Daten.

Keine Cookies anzuzeigen.

Immer aktiv

Funktionale Cookies helfen bei der Ausführung bestimmter Funktionen wie dem Teilen von Website-Inhalten auf Social-Media-Plattformen, dem Sammeln von Feedback und anderen Funktionen von Drittanbietern.

Keine Cookies anzuzeigen.

Immer aktiv

Analytische Cookies werden verwendet, um zu verstehen, wie Besucher mit der Website interagieren. Diese Cookies helfen, Informationen über Metriken wie die Anzahl der Besucher, die Absprungrate, die Traffic-Quelle usw. bereitzustellen.

Keine Cookies anzuzeigen.

Immer aktiv

Performance-Cookies werden verwendet, um die wichtigsten Leistungsindizes der Website zu verstehen und zu analysieren, was dazu beiträgt, den Besuchern ein besseres Benutzererlebnis zu bieten.

Keine Cookies anzuzeigen.

Immer aktiv

Werbe-Cookies werden verwendet, um Besuchern personalisierte Werbung basierend auf den zuvor besuchten Seiten bereitzustellen und die Wirksamkeit der Werbekampagnen zu analysieren.

Keine Cookies anzuzeigen.

Teilen Sie uns mit, was Sie überwachen müssen

Kein Spam. Keine automatische Anmeldung. Wir werden Sie direkt kontaktieren, um Ihr Setup zu besprechen.