EU AI Act Anhang III: Ist Ihr KI-System Hochrisiko?

Der teuerste Fehler bei der Vorbereitung auf die KI-Verordnung ist nicht eine schwache Dokumentation oder eine verspätete Konformitätsbewertung. Es ist die falsche Einstufung gleich zu Beginn — die Annahme, ein internes Werkzeug sei harmlos, obwohl es eindeutig unter Anhang III fällt. Stimmt die Einstufung nicht, steht jede nachgelagerte Maßnahme auf Sand.

Dieser Leitfaden zeigt, wie Sie belastbar entscheiden, ob Ihr KI-System hochriskant ist. Er ist aus der Projektpraxis geschrieben: Bei CC Conceptualise führen wir diese Bewertungen für europäische Unternehmen durch, und die Schwierigkeit liegt fast nie in den offensichtlichen Fällen. Sie liegt in den Grenzfällen, in denen eine einzige Bewertung nach Artikel 6 Absatz 3 den gesamten Pflichtenumfang verändert.

TL;DR / Die wichtigsten Punkte

• Zwei Wege zu Hochrisiko: Ein System ist hochriskant entweder als Sicherheitsbauteil nach Anhang I (etwa Medizinprodukte, Maschinen) oder weil sein Einsatzzweck in Anhang III gelistet ist (Beschäftigung, Kredit, kritische Infrastruktur, Bildung, Strafverfolgung und mehr).
• Anhang III bedeutet nicht automatisch Hochrisiko. Der Filter nach Artikel 6 Absatz 3 kann Systeme mit eng umrissenen, verfahrensbezogenen oder vorbereitenden Aufgaben ausnehmen — niemals jedoch, wenn das System ein Profiling natürlicher Personen vornimmt.
• Verboten ist nicht gleich Hochrisiko. Verbotene Praktiken sind vollständig untersagt (Bußgelder bis 35 Mio. EUR / 7 Prozent des Umsatzes); Hochrisiko-Systeme sind zulässig, aber reguliert (bis 15 Mio. EUR / 3 Prozent).
• Die Frist ist real: Die Hochrisiko-Pflichten nach Anhang III gelten ab dem 2. August 2026 — Konformitätsbewertung, Registrierung in der EU-Datenbank, technische Dokumentation, Beobachtung nach dem Inverkehrbringen und menschliche Aufsicht.
• Die Einstufung muss dokumentiert werden. Eine schriftliche, belegte Entscheidung ist selbst ein Compliance-Nachweis, keine optionale Formalie.

Die vier Risikostufen im Überblick

Die KI-Verordnung ist risikobasiert. Bevor Sie ein einzelnes System einstufen können, brauchen Sie die Landkarte:

Loading diagram...

Stufe	Was sie umfasst	Kernpflicht	Höchstbußgeld
Verboten	Social Scoring, manipulative KI, ungezieltes Auslesen von Gesichtsbildern, bestimmte Emotionserkennung	Einstellen oder neu konzipieren — nicht konform machbar	35 Mio. EUR oder 7 % des weltweiten Umsatzes
Hochrisiko	Sicherheitsbauteile nach Anhang I + Anwendungsfälle nach Anhang III	Vollständige Compliance über den Lebenszyklus (siehe unten)	15 Mio. EUR oder 3 % des weltweiten Umsatzes
Begrenztes Risiko	Chatbots, Deepfakes, synthetische Inhalte	Transparenz / Offenlegung	(Transparenzverstöße werden gesondert geahndet)
Minimales Risiko	Spamfilter, Empfehlungssysteme, die meisten internen Werkzeuge	Keine spezifische	—

Die meiste Diskussion im Unternehmen entzündet sich an einer einzigen Frage: Ist dieses System hochriskant oder nicht? Genau diese Frage beantwortet der Leitfaden.

Schritt 1 — Zuerst verbotene Praktiken ausschließen

Beginnen Sie nicht mit Anhang III, sondern mit Artikel 5, der Verbotsliste. Ein System, das von Behörden für Social Scoring genutzt wird, unterschwellige oder manipulative Techniken mit schädlicher Wirkung einsetzt, Gesichtsbilder ungezielt zum Aufbau von Erkennungsdatenbanken ausliest oder Emotionen am Arbeitsplatz oder in der Bildung ableitet (außerhalb enger Sicherheits- und Medizinausnahmen), ist verboten. Keine Dokumentation und keine menschliche Aufsicht macht es rechtmäßig.

Der Grund, hier zuerst zu prüfen, ist betriebswirtschaftlich: Häufig wird "verboten" mit "hochriskant und daher reparierbar" verwechselt. Das sind nicht dieselben Kategorien. Schon das Bußgeldrisiko — 35 Mio. EUR oder 7 Prozent des weltweiten Umsatzes bei verbotenen Praktiken gegenüber 15 Mio. EUR oder 3 Prozent bei Hochrisiko-Verstößen — rechtfertigt einen bewussten ersten Durchgang.

Schritt 2 — Der Weg über das Sicherheitsbauteil (Anhang I)

Ein System ist automatisch hochriskant, wenn es ein Produkt der EU-Harmonisierungsrechtsvorschriften aus Anhang I ist oder dessen Sicherheitsbauteil — Medizinprodukte, In-vitro-Diagnostika, Maschinen, Aufzüge, Fahrzeuge, Spielzeug, Funkanlagen und Ähnliches — und dieses Produkt einer Konformitätsbewertung durch Dritte nach seinem Sektorrecht unterliegt.

Wer KI in ein reguliertes physisches oder medizinisches Produkt einbaut, gelangt meist über diese Tür zum Hochrisiko, unabhängig davon, was Anhang III sagt. Diesen Weg übersehen Enterprise-Architekten in MedTech, Industrie und Mobilität am häufigsten, weil sie auf die KI-spezifische Liste schauen und nicht auf ihre bestehenden CE-Kennzeichnungspflichten.

Schritt 3 — Den Einsatzzweck auf Anhang III abbilden

Greift der Weg über das Sicherheitsbauteil nicht, arbeiten Sie die acht Bereiche des Anhangs III durch. Ein System, dessen Zweckbestimmung in einen dieser Bereiche fällt, ist grundsätzlich hochriskant:

1. Biometrie — biometrische Fernidentifizierung, biometrische Kategorisierung, Emotionserkennung (soweit nicht verboten).
2. Kritische Infrastruktur — Sicherheitsbauteile bei der Steuerung von Straßenverkehr, Wasser, Gas, Wärme, Strom und digitaler Infrastruktur.
3. Bildung und berufliche Bildung — Zugang, Bewertung von Lernergebnissen, Einstufung des Bildungsniveaus, Überwachung bei Prüfungen.
4. Beschäftigung und Personalmanagement — Rekrutierung, Vorauswahl von Lebensläufen, Interview-Bewertung, Beförderungs- und Kündigungsentscheidungen, Aufgabenzuweisung.
5. Zugang zu wesentlichen Diensten — Kreditwürdigkeitsprüfung, Risikobewertung und Preisgestaltung in der Lebens- und Krankenversicherung, Anspruch auf öffentliche Leistungen, Priorisierung in der Notfalldisposition.
6. Strafverfolgung — Risikobewertung von Personen, Bewertung der Verlässlichkeit von Beweismitteln, Profiling im Rahmen von Ermittlungen.
7. Migration, Asyl und Grenzkontrolle — Risikobewertung, Prüfung von Anträgen, Dokumentenverifizierung.
8. Rechtspflege und demokratische Prozesse — Unterstützung von Justizbehörden bei der Ermittlung und Auslegung von Sachverhalten und Recht.

Achtung: Ein Werkzeug, das Lebensläufe bewertet und einen "Match-Score" für Recruiter erzeugt, ist ein Hochrisiko-System im Bereich Beschäftigung — auch wenn ein Mensch die Einstellung entscheidet. Die Verordnung erfasst Systeme, die Entscheidungen in diesen Bereichen unterstützen oder vorbereiten, nicht nur solche, die autonom entscheiden.

Schritt 4 — Den Filter nach Artikel 6 Absatz 3 anwenden

Hier liegt die Feinheit, die eine echte Einstufung von einem Häkchen unterscheidet. Die Zuordnung zu einer Anhang-III-Kategorie macht ein System nicht automatisch hochriskant. Artikel 6 Absatz 3 sieht eine Ausnahme vor: Ein System ist nicht hochriskant, wenn von ihm kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte ausgeht — namentlich, wenn es nur:

• eine eng umrissene Verfahrensaufgabe erfüllt;
• das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit verbessert;
• Entscheidungsmuster oder Abweichungen erkennt, ohne eine vorherige menschliche Bewertung ohne angemessene Überprüfung zu ersetzen oder zu beeinflussen; oder
• eine vorbereitende Aufgabe für eine Anhang-III-Bewertung erfüllt.

Die entscheidende Ausnahme von der Ausnahme: Nimmt das System ein Profiling natürlicher Personen vor, ist es stets hochriskant. Der Filter greift dann nicht.

In der Praxis verbringen wir hier die meiste Zeit unserer Bewertung. Ein Werkzeug, das eingehende Bewerbungen formatiert und entdoppelt, ist plausibel eine eng umrissene Verfahrensaufgabe; ein Werkzeug, das Kandidaten bewertet und ordnet, ist Profiling. Die Grenze ist real, aber sie muss schriftlich begründet werden — und ein Anbieter, der sich auf Artikel 6 Absatz 3 stützt, muss diese Schlussfolgerung registrieren und gegenüber einer Marktüberwachungsbehörde verteidigen können.

Schritt 5 — Die Entscheidung dokumentieren und registrieren

Wie auch immer das Ergebnis ausfällt, die Einstufung selbst ist ein Compliance-Nachweis. Wir empfehlen einen einseitigen Entscheidungsnachweis je System: Zweckbestimmung, geprüfter Weg (Anhang I / Anhang III), der einschlägige Anhang-III-Punkt, die Analyse nach Artikel 6 Absatz 3 mit Begründung, die verantwortliche Person und das Datum. Lautet das Ergebnis Hochrisiko, sind die nächsten Schritte konkret — und sie verzahnen sich mit unseren begleitenden Leitfäden:

• Arbeiten Sie die Readiness-Checkliste für August 2026 durch, um die Pflichten zu sequenzieren.
• Klären Sie im Leitfaden zur Konformitätsbewertung, ob Sie selbst bewerten können oder eine benannte Stelle benötigen.
• Stellen Sie die Unterlagen mit unserer Vorlage für die technische Dokumentation zusammen.

Was eine Hochrisiko-Einstufung tatsächlich auslöst

Ein System als hochriskant einzustufen ist nicht das Ziel, sondern der Beginn eines Pflichtenkatalogs, der ab dem 2. August 2026 gilt:

• Ein dokumentiertes Risikomanagementsystem, das über den Lebenszyklus gepflegt wird, mit angemessenen Risikomanagementmaßnahmen.
• Daten-Governance für Trainings-, Validierungs- und Testdatensätze.
• Technische Dokumentation, die ausreicht, um die Konformität nachzuweisen.
• Protokollierung und Nachvollziehbarkeit des Systembetriebs.
• Menschliche Aufsicht, die in das System eingebaut und nicht nachträglich angesetzt ist.
• Angemessene Genauigkeit, Robustheit und Cybersicherheit.
• Konformitätsbewertung, EU-Konformitätserklärung und CE-Kennzeichnung.
• Registrierung in der EU-Datenbank vor dem Inverkehrbringen.
• Beobachtung nach dem Inverkehrbringen und Meldung schwerwiegender Vorfälle.

Genau hier zahlt sich die Kopplung der Verordnung mit ISO/IEC 42001, dem Standard für KI-Managementsysteme, aus: Er liefert das Governance-Gerüst, um diese Pflichten als System statt als einmaliges Projekt zu betreiben. Wir bauen das Einstufungsregister und das ISO/IEC-42001-Managementsystem in der Regel gemeinsam auf, damit die Nachweiskette durchgängig bleibt.

Häufige Einstufungsfehler aus der Praxis

1. Die menschliche Aufsicht als Ausnahme behandeln. Sie ist eine vorgeschriebene Maßnahme, keine Herabstufung.
2. Bei Anhang III stehen bleiben, ohne Artikel 6 Absatz 3 anzuwenden — Überklassifizierung verschwendet Budget, Unterklassifizierung schafft Haftung.
3. Den Profiling-Vorbehalt vergessen, der den Filter nach Artikel 6 Absatz 3 vollständig aushebelt.
4. Den Weg über Anhang I ignorieren, weil das Team nur die KI-spezifische Liste betrachtet hat.
5. Die Entscheidung undokumentiert lassen, was unhaltbar wird, sobald eine Behörde nachfragt.

Wo Sie anfangen sollten

Wenn Sie KI im Umfeld von Beschäftigung, Finanzen, kritischer Infrastruktur, Bildung oder regulierten Produkten betreiben, führen Sie die Einstufung jetzt durch — nicht im dritten Quartal 2026. Die Konformitätsarbeit nach einem Hochrisiko-Befund dauert Monate. Unsere Praxis für KI- und Datenplattform-Engineering unterstützt europäische Unternehmen dabei, Systeme einzustufen, die Konformitätsnachweise aufzubauen und die Governance einzurichten, die sie aktuell hält. Wenn Sie ein zweites Paar erfahrener Augen für einen Grenzfall wünschen, ist das genau die Art von Frage, die wir mögen.

FAQ

Wann gilt ein KI-System nach der KI-Verordnung als hochriskant? Ein KI-System ist hochriskant, wenn es Sicherheitsbauteil eines Produkts der EU-Harmonisierungsrechtsvorschriften ist (Anhang I, etwa Medizinprodukte oder Maschinen), oder wenn sein Einsatzzweck unter einen der Anwendungsfälle in Anhang III fällt, etwa Beschäftigung, Kreditwürdigkeitsprüfung, kritische Infrastruktur, Bildung oder Strafverfolgung. Beide Wege lösen ab dem 2. August 2026 die vollen Hochrisiko-Pflichten aus.

Bedeutet Anhang III automatisch Hochrisiko? Nein. Artikel 6 Absatz 3 enthält eine Ausnahme. Wenn Ihr System nur eine eng umrissene Verfahrensaufgabe erfüllt, das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit verbessert, Entscheidungsmuster erkennt, ohne menschliches Urteil zu ersetzen, oder lediglich vorbereitende Arbeit leistet, ist es unter Umständen nicht hochriskant. Diese Bewertung müssen Sie dokumentieren, und ein System, das ein Profiling natürlicher Personen vornimmt, ist stets hochriskant.

Ab wann gelten die Hochrisiko-Pflichten nach Anhang III? Die Hochrisiko-Pflichten für Anhang-III-Systeme gelten ab dem 2. August 2026. Dazu zählen Konformitätsbewertung, Registrierung in der EU-Datenbank, technische Dokumentation, Beobachtung nach dem Inverkehrbringen und menschliche Aufsicht. Planen Sie von diesem Datum rückwärts, denn die Konformitätsarbeit dauert Monate, nicht Wochen.

Was sind verbotene KI-Praktiken und wie unterscheiden sie sich von Hochrisiko? Verbotene Praktiken wie Social Scoring oder das ungezielte Auslesen von Gesichtsbildern sind vollständig untersagt und lassen sich nicht konform machen. Hochrisiko-Systeme sind zulässig, aber streng reguliert. Die Verwechslung ist gefährlich: Bußgelder für verbotene Praktiken erreichen 35 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes, gegenüber 15 Mio. EUR oder 3 Prozent bei Hochrisiko-Verstößen.

Können wir die Konformitätsbewertung für ein Anhang-III-System selbst durchführen? Für die meisten Anhang-III-Kategorien führen Anbieter eine interne Konformitätsbewertung auf Basis harmonisierter Normen durch. Bestimmte biometrische Systeme erfordern eine benannte Stelle. Die Entscheidung hängt vom konkreten Anwendungsfall ab und davon, ob harmonisierte Normen vorliegen — klären Sie den Weg also früh, statt die Selbstbewertung vorauszusetzen.

Senkt eine menschliche Aufsicht die Hochrisiko-Einstufung? Nein. Eine Person, die das KI-Ergebnis freigibt, hebt den Hochrisiko-Status nicht auf. Die Verordnung erfasst ausdrücklich Systeme, die Entscheidungen in Anhang-III-Bereichen unterstützen oder vorbereiten. Menschliche Aufsicht ist eine vorgeschriebene Maßnahme für Hochrisiko-Systeme, keine Ausnahme von der Einstufung.