KI-VO Wissen · Begriffe erklärt

Hochrisiko-KI: Was Unternehmen wissen müssen

Hochrisiko-KI nach Art. 6 und Annex III des AI Act verständlich erklärt, inklusive Beispielen für HR, Bildung und kritische Prozesse.

KI-Schulung ansehenArt. 4 Hub

Kurzdefinition

Hochrisiko-KI sind KI-Systeme, die in sensiblen Bereichen eingesetzt werden oder erhebliche Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte haben können.

Das Wichtigste in Kürze
  • Annex III nennt u. a. Beschäftigung, Bildung und kritische Infrastruktur.
  • Pflichten für Hochrisiko-KI werden ab dem 2. August 2026 anwendbar.
  • Mitarbeitende müssen rote Flaggen erkennen und früh eskalieren können.

Wie Hochrisiko-KI eingestuft wird

Die KI-VO folgt einem risikobasierten Ansatz mit vier Stufen: unannehmbares Risiko (verboten), hohes Risiko (streng reguliert), begrenztes Risiko (Transparenzpflichten) und minimales Risiko. Hochrisiko-KI ergibt sich nach Art. 6 auf zwei Wegen: Erstens als Sicherheitskomponente von Produkten, die bereits EU-Produktsicherheitsrecht unterliegen (Annex I, z. B. Maschinen, Medizinprodukte). Zweitens als eigenständiges System in einem der in Annex III genannten sensiblen Bereiche.

Die acht Bereiche aus Annex III

Annex III listet die Einsatzfelder, in denen KI-Systeme grundsätzlich als hochriskant gelten, weil sie erheblichen Einfluss auf Gesundheit, Sicherheit oder Grundrechte haben können.

  • Biometrie (Identifizierung und Kategorisierung von Personen)
  • kritische Infrastruktur (z. B. Strom, Wasser, Verkehr)
  • allgemeine und berufliche Bildung (Zugang, Bewertung, Prüfungen)
  • Beschäftigung und Personalmanagement (Recruiting, Bewertung)
  • Zugang zu wesentlichen privaten und öffentlichen Diensten (z. B. Kredit, Sozialleistungen)
  • Strafverfolgung
  • Migration, Asyl und Grenzkontrolle
  • Rechtspflege und demokratische Prozesse

Die wichtige Ausnahme nach Art. 6 Abs. 3

Ein System in einem Annex-III-Bereich ist nicht automatisch hochriskant. Art. 6 Abs. 3 nimmt Systeme aus, die kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte darstellen – etwa weil sie nur eine eng begrenzte Aufgabe erfüllen oder das Ergebnis einer menschlichen Entscheidung nicht wesentlich beeinflussen. Wer sich auf diese Ausnahme beruft, muss die Einschätzung dokumentieren.

Welche Pflichten bei Hochrisiko-KI gelten

Für Hochrisiko-KI gelten umfangreiche Anforderungen, die überwiegend den Anbieter treffen, aber auch Betreiber binden.

  • Risikomanagementsystem über den gesamten Lebenszyklus
  • Daten-Governance und qualitätsgesicherte Trainingsdaten
  • technische Dokumentation und Protokollierung
  • Transparenz und verständliche Gebrauchsanweisung
  • menschliche Aufsicht (Human Oversight)
  • Genauigkeit, Robustheit und Cybersicherheit

Was Betreiber konkret tun müssen

Betreiber von Hochrisiko-KI müssen das System gemäß Anleitung verwenden, für qualifizierte menschliche Aufsicht sorgen, Eingabedaten im Rahmen ihrer Kontrolle relevant halten, Protokolle aufbewahren und betroffene Personen informieren, wenn die KI über sie mitentscheidet. In bestimmten Fällen ist eine Grundrechte-Folgenabschätzung durchzuführen.

Fristen

Die Pflichten für Hochrisiko-KI nach Annex III werden ab dem 2. August 2026 anwendbar. Für Hochrisiko-Systeme, die in regulierte Produkte eingebettet sind (Annex I), greift überwiegend der 2. August 2027. Unternehmen sollten daher früh prüfen, ob sie betroffen sind, und die Umsetzung nicht bis zum Stichtag aufschieben.

Warum Mitarbeitende sensibilisiert werden müssen

Viele Hochrisiko-Fälle entstehen unbemerkt im Fachbereich – etwa wenn ein HR-Team eine KI zur Vorauswahl von Bewerbungen einführt. Geschulte Mitarbeitende erkennen rote Flaggen frühzeitig: KI beeinflusst Entscheidungen über Menschen, verarbeitet sensible Daten oder wird in regulierte Prozesse integriert. Genau hier setzt Art. 4 an: KI-Kompetenz sorgt dafür, dass solche Anwendungsfälle vor dem Einsatz geprüft und eskaliert werden.

Zeitlicher Rahmen

Wann die KI-Verordnung greift

Die Pflichten der KI-Verordnung treten gestaffelt in Kraft. Diese Übersicht zeigt die Stichtage, die für Unternehmen heute relevant sind.

  1. 1. August 2024

    In Kraft

    KI-Verordnung tritt in Kraft

    Die Verordnung (EU) 2024/1689 tritt in Kraft. Die einzelnen Pflichten greifen anschließend gestaffelt.

  2. 2. Februar 2025

    In Kraft

    KI-Kompetenz (Art. 4) & verbotene Praktiken (Art. 5)

    Die Pflicht zur KI-Kompetenz gilt seit diesem Datum für alle Anbieter und Betreiber. Gleichzeitig sind verbotene KI-Praktiken untersagt.

  3. 2. August 2025

    In Kraft

    Pflichten für GPAI-Modelle & Governance

    Transparenz- und Dokumentationspflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) sowie die Governance-Strukturen werden wirksam.

  4. 2. August 2026

    Geplant

    Marktüberwachung, Hochrisiko & Transparenz (Art. 50)

    Die nationale Marktüberwachung und Durchsetzung starten. Pflichten für Hochrisiko-KI nach Annex III und die Transparenzpflichten nach Art. 50 werden anwendbar.

  5. 2. August 2027

    Geplant

    Volle Compliance für Bestands-GPAI & eingebettete Hochrisiko-KI

    GPAI-Modelle, die vor August 2025 in Verkehr gebracht wurden, müssen vollständig konform sein. Weitere Hochrisiko-Fälle folgen.