Hochrisiko-KI nach EU AI Act: Annex III für Betreiber

Was ist ein Hochrisiko KI-System — und warum ist die Einstufung für KMU so entscheidend?

Ein Hochrisiko KI-System ist nach der Verordnung (EU) 2024/1689 (EU AI Act) ein KI-System mit erheblichem Schadenspotenzial für Gesundheit, Sicherheit oder Grundrechte natürlicher Personen. Hochrisiko-Systeme sind nicht verboten — aber sie dürfen nur unter Einhaltung strenger gesetzlicher Anforderungen eingesetzt werden, die für Betreiber ab dem 2. August 2026 verbindlich gelten.

Für deutsche KMU ist die korrekte Identifizierung von Hochrisiko-KI-Systemen die wahrscheinlich wichtigste Compliance-Aufgabe des Jahres 2026. Der Grund: Viele Unternehmen setzen täglich Hochrisiko-KI ein, ohne es zu wissen — insbesondere im HR-Bereich und bei der Kreditvergabe. Die Kosten einer fehlerhaften Einstufung sind erheblich: Bußgelder von bis zu 15.000.000 € oder 3 % des weltweiten Jahresumsatzes (Art. 99(4) EU AI Act; für KMU gilt gemäß Art. 99(6) der jeweils niedrigere Wert).

Dieser Artikel erklärt das vollständige Klassifizierungsverfahren, alle acht Hochrisiko-Bereiche nach Anhang III und — am wichtigsten für die Praxis — was Betreiber ab August 2026 konkret tun müssen.

Zwei Wege in den Hochrisiko-Status: Artikel 6 EU AI Act

Artikel 6 EU AI Act definiert zwei voneinander unabhängige Wege, über die ein KI-System als Hochrisiko einzustufen ist. Es genügt, wenn einer der beiden Wege erfüllt ist.

Weg 1 — Anhang I (Art. 6(1)): Sicherheitsbauteil in regulierten Produkten

Ein KI-System ist Hochrisiko nach Art. 6(1), wenn beide der folgenden Bedingungen gleichzeitig erfüllt sind:

1. Das System ist als Sicherheitsbauteil eines Produkts vorgesehen, das unter eine der in Anhang I des EU AI Act aufgelisteten EU-Harmonisierungsrechtsvorschriften fällt — oder das System ist selbst dieses Produkt.
2. Das Produkt unterliegt einer Drittkonformitätsbewertung (z. B. durch eine Benannte Stelle).

KMU-relevante Beispiele:

• KI-gestützte Gefahrenerkennung in Industriemaschinen (Maschinenverordnung (EU) 2023/1230)
• KI-Diagnoseunterstützung in Medizingeräten (Verordnung (EU) 2017/745, MDR)
• KI-Sicherheitssteuerung in Aufzügen (Richtlinie 2014/33/EU)

Wichtig: CE-Kennzeichnung allein reicht nicht. Entscheidend ist die Drittkonformitätsbewertung. Produkte mit Herstellerselbsterklärung fallen trotz CE-Kennzeichen nicht unter Art. 6(1).

Geltungsdatum Anhang I: 2. August 2027. Auch wenn die Pflichten erst dann greifen, muss die Produktentwicklung die Hochrisiko-Anforderungen bereits heute einplanen.

Weg 2 — Anhang III (Art. 6(2)): KI in acht sensitiven Bereichen

Ein KI-System ist Hochrisiko nach Art. 6(2), wenn es in einen der acht abschließend aufgezählten Bereiche des Anhangs III fällt. Dieser Weg ist für die große Mehrheit der deutschen KMU der relevantere — er betrifft keine Produktzertifizierungen, sondern sensible Anwendungsfelder.

Geltungsdatum Anhang III: 2. August 2026.

Die acht Hochrisiko-Bereiche des Anhangs III — mit KMU-Fokus

Anhang III listet acht Bereiche abschließend auf. Nur KI-Systeme in diesen Bereichen können nach Art. 6(2) Hochrisiko-Systeme sein.

Der KMU-Brennpunkt: Beschäftigung und HR (Anhang III, Nr. 4)

Jedes KI-System, das an der Einstellung, Beförderung, Leistungsbewertung oder Kündigung von Mitarbeitenden mitwirkt, ist ein Kandidat für Hochrisiko-KI. Das gilt auch für eingekaufte HR-Software von Drittanbietern — als Betreiber tragen Sie die Verantwortung.

Konkrete Systeme, die regelmäßig unter Nr. 4 fallen:

• CV-Screening-Software mit Ranking oder Scoring (Klassiker: Personio AI, SAP SuccessFactors mit KI-Funktion)
• KI-gestützte Interviewanalyse (Sprache, Stimmung — sofern nicht schon unter Art. 5(1)(f) verboten)
• Leistungsbewertungs-KI (z. B. Systeme, die Arbeitsergebnisse automatisch benotet)
• KI-Gehaltsempfehlungen auf Basis von Marktdaten und Mitarbeiterprofilen

Wenn Sie als HR-Verantwortlicher HR-Software mit KI-Funktionen einsetzen: Fragen Sie Ihren Anbieter schriftlich, ob das System als Hochrisiko-KI nach Anhang III, Nr. 4 klassifiziert ist — und lassen Sie sich die Konformitätsdokumentation vorlegen.

Artikel 6(3): Die vier Derogationen — wann ist ein Anhang-III-System doch kein Hochrisiko?

Der Gesetzgeber erkennt an, dass nicht jedes System in einem Anhang-III-Bereich gleich gefährlich ist. Artikel 6(3) erlaubt es, ein Anhang-III-System aus dem Hochrisiko-Status herauszunehmen, wenn es kein erhebliches Schadensrisiko birgt und mindestens eine der folgenden vier Bedingungen erfüllt:

1. (a) Enge Verfahrensaufgabe: Das System führt nur eine klar definierte, eng begrenzte Teilaufgabe durch — z. B. reine Datenextraktion aus Dokumenten ohne inhaltliche Bewertung.

2. (b) Verbesserung einer abgeschlossenen menschlichen Tätigkeit: Das System verbessert ausschließlich das Ergebnis einer Handlung, die ein Mensch bereits vollständig abgeschlossen hat — z. B. Rechtschreibkorrektur eines bereits verfassten Protokolls.

3. (c) Mustererkennung ohne Entscheidungsersatz: Das System erkennt Ausnahmen oder Anomalien, ersetzt oder beeinflusst aber nicht eine menschliche Entscheidung. Prototyp: Betrugserkennung durch automatische Alarmierung, finale Entscheidung beim Menschen.

4. (d) Vorbereitung für qualifizierte menschliche Prüfung: Das System bereitet eine Entscheidung vor, die anschließend einer echten und qualifizierten menschlichen Prüfung unterzogen wird.

Die Derogation ist kein automatisches Recht. Sie muss aktiv geprüft, schriftlich begründet und dokumentiert werden. Wer einfach annimmt, eine Derogation greife, hat bei einer Behördenprüfung nichts in der Hand.

Der Profiling-Vorbehalt: die häufigste Compliance-Falle

Kernsatz: Ein Anhang-III-System, das Profiling natürlicher Personen durchführt, ist immer Hochrisiko — keine der vier Derogationen greift, auch wenn ein Mensch die abschließende Entscheidung trifft. (Art. 6(3), Verordnung (EU) 2024/1689)

Was ist Profiling? Automatisierte Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte einer natürlichen Person — insbesondere zur Analyse oder Prognose von Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, Verhalten oder Zuverlässigkeit.

Das Paradebeispiel: CV-Screening-Software

Szenario: Eine HR-Leiterin in einem Logistikbetrieb mit 95 Mitarbeitenden nutzt eine HR-Software, die eingehende Bewerbungen analysiert und jedem Bewerbenden einen Score von 0–100 vergibt. Die HR-Leiterin entscheidet final, wen sie einlädt.

Klassifizierungsergebnis:

• Anhang III, Nr. 4 (Beschäftigung) — betroffen? Ja.
• Derogation prüfen: (a) enge Verfahrensaufgabe? Nein — das System bewertet inhaltlich. (b) Verbesserung abgeschlossener menschlicher Tätigkeit? Nein — es geht der Entscheidung voraus. (c) Nur Anomalieerkennung? Nein — erzeugt individuellen Score. (d) Vorbereitung mit echter menschlicher Prüfung? Zweifelhaft.
• Profiling-Vorbehalt: Das System vergibt jedem Bewerbenden eine individuelle Bewertung auf Basis persönlicher Merkmale — das ist Profiling. Keine Derogation möglich.
• Ergebnis: Hochrisiko-KI nach Art. 6(2) i. V. m. Anhang III, Nr. 4. Pflichten gelten ab 2. August 2026.

Der häufigste Fehlschluss in der Praxis: "Die HR-Leiterin entscheidet selbst — also ist das System kein Hochrisiko." Artikel 6(3) macht explizit klar: Das ändert sich nicht durch menschliche Letztentscheidung, wenn das System Profiling betreibt.

Was müssen Betreiber bei Hochrisiko-KI-Systemen nach Anhang III tun?

Betreiber (Deployer) sind nach Art. 3(4) EU AI Act die natürlichen oder juristischen Personen, die ein KI-System unter ihrer Verantwortung im beruflichen Kontext einsetzen. In der Praxis: Das sind die KMU, die KI-Software von Drittanbietern kaufen und nutzen — nicht die Softwarehersteller selbst.

Die vollständigen Betreiberpflichten für Hochrisiko-KI-Systeme sind in Artikel 26 EU AI Act geregelt. Die wichtigsten Pflichten im Überblick:

Pflicht 1 — Nutzung gemäß Anbieteranleitung

Betreiber müssen das Hochrisiko-KI-System gemäß den Anweisungen des Anbieters einsetzen. Dazu gehören: der vorgesehene Verwendungszweck, Einschränkungen und Kontraindikationen, Anforderungen an die Eingabedaten und technische Spezifikationen.

Praktische Konsequenz: Fordern Sie von Ihrem KI-Anbieter die vollständige Nutzungsdokumentation an. Wenn der Anbieter keine Anleitung liefern kann oder nicht bestätigt, ob sein System Hochrisiko ist, ist das ein ernstes Warnsignal.

Pflicht 2 — Menschliche Aufsicht sicherstellen (Art. 14)

Hochrisiko-KI-Systeme müssen wirksam von menschlichen Personen beaufsichtigt werden können. Die zugewiesene Person muss:

• Die Systemfähigkeiten und -grenzen verstehen
• Anomalien und Schwächen erkennen können
• Die Ausgaben des Systems sinnvoll interpretieren
• Das System bei Bedarf stoppen oder übergehen können

Eine reine Rubber-Stamp-Aufsicht genügt nicht. Wer KI-Empfehlungen automatisch übernimmt, ohne sie zu hinterfragen, erfüllt die Anforderung an menschliche Aufsicht nicht.

Pflicht 3 — Protokolle mindestens 6 Monate aufbewahren

Hochrisiko-KI-Systeme erzeugen automatisch Protokolle ihrer Entscheidungen und Ausgaben. Diese Logs müssen Betreiber mindestens 6 Monate aufbewahren — oder länger, wenn andere Rechtsvorschriften (z. B. Datenschutz, Arbeitsrecht) eine längere Aufbewahrungspflicht vorsehen.

Pflicht 4 — Schwerwiegende Vorfälle melden

Wenn ein Hochrisiko-KI-System zu einem schwerwiegenden Vorfall führt (z. B. erhebliche Schäden für Personen), müssen Betreiber den Anbieter und ggf. die zuständige Behörde informieren und den Betrieb gegebenenfalls aussetzen.

Pflicht 5 — Mitarbeitende vorab informieren (Art. 26(7))

Betreiber, die Hochrisiko-KI-Systeme am Arbeitsplatz einsetzen, müssen vor der Inbetriebnahme die Arbeitnehmervertretungen und die betroffenen Mitarbeitenden informieren. Dies ist keine nachgelagerte Information, sondern eine Vorabpflicht.

Betriebsrat einbeziehen: Bei KI-Systemen, die Mitarbeiterverhalten überwachen oder auswerten, besteht nach § 87(1) Nr. 6 BetrVG ein Mitbestimmungsrecht. Bei Einführung neuer Technologien greift nach § 90 BetrVG eine Informationspflicht. Diese deutschen Arbeitsrechtsvorschriften bestehen parallel zum EU AI Act.

Die detaillierte Aufschlüsselung aller Betreiberpflichten nach Artikel 26 finden Sie im dazugehörigen Praxis-Leitfaden.

KMU-Praxisbeispiele: Ist Ihr KI-System Hochrisiko?

Beispiel 1 — HR-Software mit Bewerbungsscreening und Ranking

Klassifizierung: Hochrisiko (Anhang III, Nr. 4). Profiling-Vorbehalt greift — keine Derogation. Betreiberpflichten ab 2. August 2026: Anbieter-Konformitätsdokumentation anfordern, menschliche Aufsicht benennen, Mitarbeitende informieren, Logs aufbewahren. Sofortmaßnahme: Schriftlich beim Anbieter anfragen, ob das System als Hochrisiko nach Anhang III registriert ist.

Beispiel 2 — KI-Bonitätsscoring für Kundenkredite

Klassifizierung: Hochrisiko (Anhang III, Nr. 5b). Kreditwürdigkeitsbewertung ist explizit genannt. Betreiberpflichten ab 2. August 2026: Anbieteranleitung einhalten, menschliche Aufsicht sicherstellen, Logs 6 Monate aufbewahren. Ausnahme beachten: Systeme, die ausschließlich der Betrugserkennung dienen (Anomalieerkennung ohne Kreditwürdigkeitsbewertung), sind in Nr. 5b ausdrücklich ausgenommen.

Beispiel 3 — KI-Gefahrenerkennung in Industriemaschinen

Klassifizierung: Hochrisiko (Anhang I, Art. 6(1)) — wenn die Maschine einer Drittkonformitätsbewertung bedarf. Geltungsdatum: 2. August 2027. Sofortmaßnahme: Produktentwicklung muss die Hochrisiko-Anforderungen (Risikomanagementsystem, technische Dokumentation, Konformitätsbewertung) jetzt einplanen.

Beispiel 4 — Einfache Stichwortsuche in Bewerbungsunterlagen

Klassifizierung: Möglicherweise kein Hochrisiko — Derogation (a) oder (d) prüfbar. Entscheidend: Führt das System Profiling durch? Wenn keine Scores oder Rankings erstellt werden, sondern nur Dokumente nach Stichwörtern gefiltert werden — dann kein Profiling, Derogation möglicherweise anwendbar. Voraussetzung: Schriftliche Begründung der Klassifizierungsentscheidung.

Hochrisiko-KI und die Schulungspflicht: Warum beides zusammengehört

Die korrekte Klassifizierung eines KI-Systems als Hochrisiko ist eine Voraussetzung — aber keine Lösung. Was folgt, ist ein konkreter Pflichtenkatalog, der von geschulten Personen umgesetzt werden muss:

• Menschliche Aufsicht (Art. 14, Art. 26) erfordert, dass die aufsichtsführende Person die Systemgrenzen, mögliche Bias-Quellen und Anomalien erkennen kann — das setzt Schulung voraus.
• Mitarbeiterinformation vor dem Einsatz (Art. 26(7)) muss inhaltlich fundiert sein — Mitarbeitende müssen verstehen, was das System tut und was nicht.
• KI-Kompetenzpflicht nach Artikel 4 gilt seit dem 2. Februar 2025 — unabhängig vom Hochrisiko-Status des Systems.

Die KI Risikoklassifizierung und Risikopyramide im Überblick sowie die vollständige Analyse der Betreiberpflichten nach Artikel 26 finden Sie in den verlinkten Vertiefungsartikeln.

Jetzt handeln: Hochrisiko-KI identifizieren und Betreiberpflichten erfüllen

Der 2. August 2026 rückt näher — und mit ihm die vollständige Geltung der Hochrisiko-Pflichten für Annex-III-Systeme. Wenn Sie heute noch nicht wissen, ob Ihre HR-Software, Ihre Bonitäts-KI oder andere KI-Systeme Hochrisiko-Systeme sind, ist jetzt der richtige Zeitpunkt für eine strukturierte Bestandsaufnahme.

Forefront AI unterstützt deutsche KMU mit einem zertifizierten Online-Kurs, der alle relevanten Inhalte abdeckt: von der Risikoklassifizierung nach Art. 6 über den Profiling-Vorbehalt bis zu den konkreten Betreiberpflichten nach Art. 26. Der Kurs schließt mit einem verifizierbaren QR-Code-Zertifikat ab — dem stärksten Nachweis Ihrer Compliance nach Artikel 4 EU AI Act.

Informieren Sie sich auf der Leistungsseite über den Kursaufbau und die Einsatzmöglichkeiten für verschiedene Rollen in Ihrem Unternehmen — oder nehmen Sie direkt Kontakt auf, um den Rollout für Ihr Team zu planen.