EU KI-Gesetz: Hochrisikokategorien erklärt (Update 2026)

EU KI-Gesetz · Hochrisikokategorien

Einleitung: Ein praktischer Leitfaden zur Compliance bei Hochrisiko-KI

Das EU KI-Gesetz ist kein Zukunftskonzept mehr; es ist eine aktuelle Compliance-Realität. Ein Hochrisiko-KI-System nach dem EU KI-Gesetz ist ein System, das als Sicherheitskomponente in regulierten Produkten dient oder in sensiblen Bereichen wie der Beschäftigung eingesetzt wird, was strenge Regeln und potenzielle Bußgelder von bis zu 35 Millionen Euro nach sich zieht. Während Organisationen das Jahr 2026 erreichen, ändern die Fristen des Gesetzes die Art und Weise, wie künstliche Intelligenz entwickelt, eingesetzt und gesteuert wird. Die dringendste Herausforderung für die meisten besteht darin, den risikobasierten Rahmen zu navigieren, um eine entscheidende Frage zu beantworten: Wird unser KI-System als „Hochrisiko“ eingestuft?

Diese Klassifizierung ist nicht nur ein Etikett. Sie löst die strengsten und teuersten Verpflichtungen des Gesetzes aus, einschließlich strenger Tests, Dokumentation und Überwachung nach dem Inverkehrbringen. Ein Fehler bei der Klassifizierung eines Systems kann zu massiven Bußgeldern, Reputationsschäden und dem Verlust des Zugangs zum EU-Markt führen. Die Definitionen können jedoch komplex sein, was Compliance-, Rechts- und Produktteams Schwierigkeiten bereitet, die Details des Gesetzes zu verstehen.

Dieser Leitfaden bietet eine klare, detaillierte Aufschlüsselung der Hochrisikokategorien des KI-Gesetzes. Wir werden die beiden Hauptwege der Systemklassifizierung erläutern, jeden spezifischen Anwendungsfall im kritischen Anhang III untersuchen und die Kernanforderungen für Anbieter dieser Systeme darlegen. Dies ist Ihre unverzichtbare Ressource, um Ihre Verpflichtungen in der neuen Ära der KI-Regulierung zu verstehen.

Die zwei Wege

Was definiert ein Hochrisiko-KI-System?

Das EU KI-Gesetz (Artikel 6) etabliert eine Risikopyramide: unannehmbar, hoch, begrenzt und minimal. Während das Gesetz KI mit unannehmbarem Risiko vollständig verbietet, erlaubt es Hochrisiko-KI-Systeme, solange diese eine vollständige Reihe obligatorischer Anforderungen erfüllen. Ein System wird im Allgemeinen als Hochrisiko eingestuft, wenn es eine von zwei Hauptbedingungen erfüllt.

Weg 01 · Anhang II

Sicherheitskomponente eines regulierten Produkts

Es handelt sich um ein Produkt oder eine Sicherheitskomponente eines Produkts, das unter die bestehende EU-Sicherheitsgesetzgebung fällt, die in Anhang II aufgeführt ist. Dies umfasst eine breite Palette von Gütern, bei denen Sicherheit entscheidend ist, wie Spielzeug, Medizinprodukte, Aufzüge und Maschinen. Wenn ein KI-System eine Sicherheitskomponente für eines dieser Produkte ist, wird es automatisch als Hochrisiko-KI-System betrachtet.

Weg 02 · Anhang III

Anwendungsfall mit hohem Risiko

Es fällt in einen der spezifischen Hochrisiko-Anwendungsfälle, die in Anhang III aufgeführt sind. Dieser Anhang ist der Kern der Hochrisiko-Definition. Er identifiziert Bereiche, in denen KI die Grundrechte, die Sicherheit oder das Wohlergehen von Personen ernsthaft schädigen könnte.

Ein System des Anhangs III ist nur dann ein Hochrisiko, wenn es ein erhebliches Schadensrisiko birgt – aber für die meisten Systeme in diesen Kategorien ist die Ausgangsannahme, dass sie es sind.

Es ist wichtig, einen wichtigen Filter zu beachten: Ein in Anhang III aufgeführtes KI-System wird nur dann als Hochrisiko betrachtet, wenn es ein erhebliches Schadensrisiko für die Gesundheit, Sicherheit oder Grundrechte von Personen birgt. Ein Anbieter kann argumentieren, dass sein System dieses Risikoniveau nicht erreicht, muss seine Bewertung jedoch vollständig dokumentieren. Für die meisten Systeme in diesen Kategorien ist die Ausgangsannahme, dass sie Hochrisiko sind.

Anhang III im Detail

Ein tiefer Einblick in Anhang III: Die acht Hochrisikokategorien

Anhang III ist die zentrale Säule des Hochrisiko-Rahmens. Lassen Sie uns jede Kategorie betrachten, um die spezifischen KI-Anwendungen zu verstehen, die die EU-Gesetzgeber betreffen.

01 · Biometrie

Biometrische Identifizierung und Kategorisierung

Diese Kategorie umfasst KI-Systeme für biometrische Zwecke. Es ist entscheidend, „Identifizierung“ (Abgleich einer Person mit vielen) von „Verifizierung“ (Abgleich einer Person mit einer anderen) zu trennen. Das Hauptanliegen ist die Verwendung von „ferngesteuerten“ biometrischen Identifizierungssystemen in öffentlichen Räumen. Während die Echtzeit-Fernidentifizierung mittels Biometrie größtenteils verboten ist, können Strafverfolgungsbehörden sie nachträglich unter strengen Bedingungen einsetzen, was sie zu einer Hochrisikoanwendung macht. Diese Kategorie umfasst auch Systeme, die Personen basierend auf sensiblen Daten wie Rasse, politischen Ansichten oder sexueller Orientierung gruppieren.

02 · Infrastruktur

Management und Betrieb kritischer Infrastruktur

KI-Systeme, die als Sicherheitskomponenten zur Verwaltung kritischer Infrastrukturen eingesetzt werden, gelten als Hochrisiko. Ein Ausfall dieser Systeme könnte das Leben und die Gesundheit vieler Menschen gefährden. Beispiele hierfür sind KI, die zur Steuerung des Straßenverkehrs, der Wasserversorgung, der Heizung und des Stromnetzes eingesetzt wird. Ziel ist es, wesentliche Dienste sicher und zuverlässig zu halten, während sie zunehmend automatisiert werden.

03 · Bildung

Bildung und Berufsausbildung

Diese Kategorie zielt auf KI ab, die den Zugang einer Person zu Bildung und ihre berufliche Zukunft bestimmt. Hochrisikosysteme in diesem Bereich umfassen solche, die verwendet werden für:

  • Zulassungen oder Zugang zu Bildungseinrichtungen.
  • Bewertung von Lernergebnissen, wie die automatisierte Prüfungskorrektur.
  • Lenkung von Studenten auf bestimmte Bildungspfade.
  • Überwachung von Studenten während Prüfungen zur Aufdeckung von Betrug.

Die Verordnung zielt darauf ab, Voreingenommenheit zu verhindern und Fairness bei diesen wichtigen Lebensentscheidungen zu gewährleisten.

04 · Beschäftigung

Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit

Ähnlich wie in der Bildung hat KI am Arbeitsplatz großen Einfluss auf die Arbeitsplätze von Menschen. Das Gesetz klassifiziert die folgenden Anwendungen als Hochrisiko-Anwendungen des KI-Gesetzes:

  • KI, die für die Personalbeschaffung verwendet wird, z. B. zum Filtern von Lebensläufen oder zur Bewertung von Kandidaten in Vorstellungsgesprächen.
  • Systeme, die Entscheidungen über Beförderungen oder Vertragsbeendigungen treffen.
  • KI, die zur Aufgabenverteilung und zur Überwachung der Mitarbeiterleistung eingesetzt wird.

Diese Regeln bekämpfen diskriminierende Einstellungen und gewährleisten Transparenz im Personalmanagement.

05 · Wesentliche Dienste

Zugang zu wesentlichen privaten und öffentlichen Diensten und Leistungen

Diese breite Kategorie umfasst KI-Systeme, die den Zugang zu grundlegenden Diensten steuern. Wichtige Beispiele dieser Hochrisiko-KI-Systeme sind:

  • KI-Systeme, die von Behörden verwendet werden, um die Berechtigung für Sozialleistungen zu entscheiden.
  • Systeme, die Kredit-Scoring durchführen, das den Zugang zu Krediten und Finanzierungen bestimmt.
  • KI, die für die Risikobewertung und Preisgestaltung in der Kranken- und Lebensversicherung eingesetzt wird.
  • Systeme, die Notdienste wie Krankenwagen oder Feuerwehr entsenden.

Da diese Dienste so kritisch sind, legt das Gesetz strenge Kontrollen fest, um Fehler und Diskriminierung zu verhindern.

06 · Strafverfolgung

Strafverfolgung

Der Einsatz von KI durch Strafverfolgungsbehörden birgt klare Risiken für Grundrechte. Hochrisiko-Anwendungen in diesem Bereich umfassen:

  • KI, die zur Bewertung des Risikos einer Person, ein Verbrechen zu begehen (prädiktive Polizeiarbeit), eingesetzt wird.
  • Polygraphen und ähnliche Werkzeuge, die dazu dienen, den emotionalen Zustand einer Person zu erkennen.
  • Systeme zur Erkennung von Deepfakes.
  • KI, die zur Bewertung der Zuverlässigkeit von Beweismitteln in Strafsachen eingesetzt wird.

Diese Anforderungen stellen sicher, dass Behörden KI-Tools verantwortungsvoll einsetzen und ungerechte Ergebnisse vermeiden.

07 · Migration

Migration, Asyl und Grenzmanagement

KI-Systeme, die im sensiblen Bereich der Migration und Grenzkontrolle eingesetzt werden, werden ebenfalls als Hochrisiko eingestuft. Dies umfasst Technologien, die verwendet werden für:

  • Bewertung von Sicherheits- oder Gesundheitsrisiken von Personen, die in die EU einreisen.
  • Überprüfung der Echtheit von Reisedokumenten.
  • Unterstützung der Behörden bei der Prüfung von Asyl- und Visumanträgen.

Ziel ist es, die Grundrechte schutzbedürftiger Personen zu schützen, die mit diesen mächtigen Systemen interagieren.

08 · Justiz

Justizverwaltung und demokratische Prozesse

Die letzte Kategorie befasst sich mit den potenziellen Auswirkungen von KI auf die Rechtsstaatlichkeit und die Demokratie. Hochrisikosysteme umfassen:

  • KI, die dazu bestimmt ist, einer Justizbehörde bei der Recherche und Interpretation von Fakten und Gesetzen zu helfen.
  • Systeme, die dazu verwendet werden, das Ergebnis einer Wahl oder eines Referendums zu beeinflussen.

Diese Regeln schützen die richterliche Unabhängigkeit und die Integrität unserer demokratischen Systeme.

Compliance-Verpflichtungen

Was sind die Kernanforderungen des KI-Gesetzes für Hochrisiko-Systeme?

Sobald ein KI-System als Hochrisiko eingestuft ist, muss sein Anbieter eine Reihe strenger Verpflichtungen erfüllen, bevor er es auf dem EU-Markt in Verkehr bringt. Eine Nichteinhaltung kann zu Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist. Diese Anforderungen schaffen Vertrauen und gewährleisten die Sicherheit während der gesamten Lebensdauer des Systems.

Strafandrohung: bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes

Die Nichteinhaltung der Hochrisikobestimmungen des EU KI-Gesetzes zieht einige der höchsten Regulierungsstrafen im EU-Recht nach sich – vergleichbar mit den Bußgeldregelungen der DSGVO und CSRD.

Art. 9

Risikomanagementsystem

Anbieter müssen einen kontinuierlichen Prozess zur Identifizierung, Analyse und Reduzierung von Risiken des KI-Systems erstellen, anwenden und aufrechterhalten.

Art. 10

Daten-Governance und -Management

Die zur Schulung, Validierung und Prüfung der KI verwendeten Datensätze müssen von hoher Qualität sein. Sie müssen relevant, repräsentativ, fehlerfrei und vollständig sein, mit starken Prozessen zur Verwaltung potenzieller Verzerrungen.

Art. 11

Technische Dokumentation

Anbieter müssen eine umfassende technische Dokumentation erstellen und aktualisieren. Sie muss die Fähigkeiten, Grenzen und das Design des Systems erläutern, um dessen Konformität mit dem Gesetz nachzuweisen.

Art. 12

Aufzeichnungspflicht

Das System muss in der Lage sein, Ereignisse (wie die für eine Entscheidung verwendeten Daten) automatisch zu protokollieren, um die Nachvollziehbarkeit seiner Operationen zu gewährleisten.

Art. 13

Transparenz und Informationen für Nutzer

Das System muss für ausreichende Transparenz ausgelegt sein. Anbieter müssen den Nutzern klare und vollständige Anweisungen geben, um ihnen zu helfen, die Ausgabe des Systems korrekt zu interpretieren.

Art. 14

Menschliche Aufsicht

Menschen müssen in der Lage sein, Hochrisiko-Systeme effektiv zu überwachen. Dies umfasst Maßnahmen, die es einer Person ermöglichen, in die Entscheidungen des Systems einzugreifen, diese zu stoppen oder zu überstimmen.

Art. 15

Genauigkeit, Robustheit und Cybersicherheit

Systeme müssen mit hoher Genauigkeit funktionieren. Sie müssen widerstandsfähig gegen Fehler, Ausfälle und Angriffe von Dritten sein, die versuchen, ihre Leistung zu verändern.

Konformität

Konformitätsbewertung

Vor dem Inverkehrbringen muss das System eine Konformitätsbewertung bestehen, um nachzuweisen, dass es alle Anforderungen erfüllt. Für einige Systeme muss eine benannte Drittstelle beteiligt sein.

Von Checklisten zu Intelligence

Von reaktiven Checklisten zu proaktiver Intelligence

Das Verständnis der Hochrisikokategorien des KI-Gesetzes ist ein entscheidender erster Schritt, aber echte Compliance ist keine einmalige Aufgabe. Das EU KI-Gesetz ist ein lebendiges Gesetz; die Europäische Kommission kann die Liste der Hochrisikosysteme in Anhang III ändern, um neue Technologien und Risiken widerzuspiegeln. Dies ist auch nur ein Teil eines komplexen globalen Regulierungs-Puzzles. Vom EU-Gesetz über kritische Rohstoffe bis hin zu staatlichen Vorschriften wie Kaliforniens Prop 65 wird das externe Signalumfeld immer komplexer.

Sich auf manuelle Nachverfolgung oder einfache Keyword-Benachrichtigungen zu verlassen, ist keine praktikable Strategie mehr. Dieser Ansatz schafft blinde Flecken und zwingt Ihre Organisation, auf Veränderungen zu reagieren, anstatt sich darauf vorzubereiten. Moderne Compliance- und Public-Affairs-Teams müssen von der einfachen Überwachung zu strategischer Intelligence übergehen. Das bedeutet, über statische Checklisten hinauszugehen und automatisierte Systeme zu verwenden, die das gesamte Umfeld analysieren können – von Gesetzesentwürfen und regulatorischen Updates bis hin zu Stakeholder-Ansichten und Marktveränderungen. Dies ist der Unterschied zwischen dem bloßen Besitz eines Policy-Tracking-Systems und der Nutzung einer echten Intelligence-Engine.

Sichern Sie Ihre KI-Compliance mit Policy-Insider.AI

Lassen Sie nicht zu, dass die Komplexität des EU KI-Gesetzes Ihre Produkte und Ihren Marktzugang gefährdet. Ein proaktiver, intelligenter Ansatz zur Compliance ist unerlässlich, um die Zukunft zu navigieren. Policy-Insider.AI ist ein KI-natives externes Signal-Intelligence-System, das unstrukturierte öffentliche Informationen in entscheidungsreife Intelligence umwandelt. Wir helfen Ihnen, über die Verfolgung von Keywords hinauszugehen und strategische Fragen zu Ihren Compliance-Risiken und -Chancen zu beantworten.

EU KI-Gesetz Compliance-Überwachung erkunden →

Keine Kreditkarte erforderlich · In wenigen Minuten eingerichtet

Verwandte Artikel

Weiterlesen

Politische Risikoanalyse: Ein Leitfaden für Venture Capital
16. Mai 2026 · Artikel

Politische Risikoanalyse: Ein Leitfaden für Venture Capital

Erfahren Sie, was politische Risikoanalyse für Venture Capital bedeutet und warum sie entscheidend für den Schutz von Investitionen ist. Dieser Leitfaden bietet einen Rahmen für VCs, um wichtige politische, regulatorische und geopolitische Signale zu überwachen, die den Portfoliowert beeinflussen.

Artikel lesen
EU-Mercosur Handelsabkommen erklärt: Ein Business-Leitfaden
15. Mai 2026 · Artikel

EU-Mercosur Handelsabkommen erklärt: Ein Business-Leitfaden

Unser vollständiger Leitfaden erklärt das EU-Mercosur Handelsabkommen. Verstehen Sie die wichtigsten Bestimmungen, den aktuellen Status (Mai 2026), Risiken und Chancen für Ihr Unternehmen.

Artikel lesen
Wie man den IMCO-Ausschuss des EU-Parlaments in sozialen Medien auf CSDDD-Updates überwacht
5. Mai 2026 · Artikel

Wie man den IMCO-Ausschuss des EU-Parlaments in sozialen Medien auf CSDDD-Updates überwacht

Ein praktischer Leitfaden für Public Affairs Teams, wie der IMCO-Ausschuss des EU-Parlaments in sozialen Medien auf CSDDD-Updates überwacht werden kann. Lernen Sie, wichtige Akteure zu identifizieren, strukturierte Suchen einzurichten und Signale zu analysieren, um politische Veränderungen zu antizipieren.

Artikel lesen

Mehr im Leitfaden →

Sagen Sie uns, was Sie überwachen müssen

Kein Spam. Keine automatische Anmeldung. Wir werden Sie direkt kontaktieren, um Ihr Setup zu besprechen.