Published on

Klasse Hochrisiko: die zwei Wege nach Art. 6 EU AI Act

Authors

Kurzantwort

Ein KI-System fällt in die Klasse Hochrisiko nicht über ein Bauchgefühl, sondern über zwei klar definierte Wege in Artikel 6 der KI-Verordnung. Weg eins: Das System ist Sicherheitsbauteil eines Produkts, das bereits unter eine der in Anhang I gelisteten EU-Harmonisierungsrechtsvorschriften fällt (oder ist selbst ein solches Produkt) und unterliegt einer Konformitätsbewertung durch Dritte. Weg zwei: Das System wird in einem der in Anhang III genannten Anwendungsbereiche eingesetzt. Trifft einer der beiden Wege zu, gilt das System grundsätzlich als hochrisiko — mit allen Pflichten aus Kapitel III. Es gibt eine eng gefasste Ausnahme (Art. 6 Abs. 3), die aber selbst Ausnahmen kennt.

Rechtliche Verortung

Die Klassifizierung als Hochrisiko-KI ist in Artikel 6 der Verordnung (EU) 2024/1689 geregelt. Absatz 1 verweist auf Anhang I, der die sektoralen Produktsicherheits-Rechtsakte der Union auflistet — von der Maschinenverordnung über Medizinprodukte und In-vitro-Diagnostika bis zu Spielzeug, Aufzügen, Funkanlagen und der Luftfahrt. Absatz 2 verweist auf Anhang III, der acht eigenständige Hochrisiko-Anwendungsbereiche benennt. Absatz 3 enthält die Ausnahmeregelung für Anhang-III-Systeme, die kein erhebliches Risiko bergen. Die konkreten Pflichten, die aus der Einstufung folgen, stehen in den Artikeln 9 bis 15 sowie in den Vorschriften zu Konformitätsbewertung, CE-Kennzeichnung und Registrierung.

Erklärung

Der erste Weg — über Anhang I — betrifft KI, die in regulierte physische Produkte eingebettet ist. Maßgeblich sind zwei kumulative Bedingungen: Das KI-System muss als Sicherheitsbauteil eines unter Anhang I fallenden Produkts verwendet werden oder selbst ein solches Produkt sein, und das Produkt muss nach der jeweiligen Harmonisierungsvorschrift einer Konformitätsbewertung durch eine notifizierte Stelle (Drittbewertung) unterzogen werden. Eine KI-Steuerung in einem Operationsroboter oder ein KI-gestütztes Diagnosemodul in einem Medizinprodukt sind typische Fälle. Hier knüpft die KI-Verordnung an bestehende Produktsicherheitslogik an, statt sie zu ersetzen.

Der zweite Weg — über Anhang III — betrifft eigenständige KI-Systeme, die unabhängig von einem regulierten Produkt eingesetzt werden. Anhang III listet acht Bereiche: biometrische Systeme; kritische Infrastruktur; allgemeine und berufliche Bildung; Beschäftigung und Personalmanagement; Zugang zu grundlegenden privaten und öffentlichen Diensten und Leistungen; Strafverfolgung; Migration, Asyl und Grenzkontrolle; sowie Rechtspflege und demokratische Prozesse. Entscheidend ist immer der konkrete Verwendungszweck innerhalb dieser Bereiche, nicht die Technologie an sich. Ein Sprachmodell ist nicht „per se" hochrisiko — es kommt darauf an, wofür es eingesetzt wird.

Die Ausnahme in Artikel 6 Absatz 3 erlaubt es, ein Anhang-III-System doch nicht als hochrisiko einzustufen, wenn es kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte birgt — etwa weil es nur eine eng umgrenzte Verfahrensaufgabe erfüllt, das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit lediglich verbessert, Entscheidungsmuster oder Abweichungen davon erkennt, ohne menschliche Bewertung zu ersetzen, oder eine vorbereitende Aufgabe wahrnimmt. Diese Ausnahme ist bewusst eng. Und sie hat eine Rückausnahme: Sobald ein System ein Profiling natürlicher Personen vornimmt, gilt es stets als hochrisiko — die Ausnahme greift dann nicht.

Wer sich auf die Ausnahme beruft, trägt die Begründungslast. Die Einstufung ist zu dokumentieren, und die Aufsichtsbehörden können sie überprüfen. Eine pauschale Selbsteinstufung „nicht hochrisiko" ohne nachvollziehbare Bewertung ist riskant — genau hier liegt die nachweisbare, audit-fähige Dokumentation im Zentrum.

Wichtig für das Verständnis der Klasse: Hochrisiko ist keine Frage der Modellgröße oder der „Intelligenz" eines Systems, sondern eine Funktion aus Einsatzbereich und Wirkungstiefe auf Menschen. Dieselbe Technik kann in einem Kontext minimal und in einem anderen hochrisiko sein. Maßgeblich ist die Zweckbestimmung, die der Anbieter festlegt — und der tatsächliche Einsatz beim Betreiber. Ändert ein Betreiber den Verwendungszweck wesentlich, kann er selbst in die Anbieterrolle und damit in die volle Pflichtenkette rutschen.

Von dieser produkt- und anwendungsbezogenen Systematik zu trennen ist die parallele Achse der General-Purpose-AI (GPAI). GPAI-Modelle werden nicht über Art. 6 eingestuft, sondern haben in den Artikeln 53 und 55 eine eigene Pflichtenlogik — mit verschärften Anforderungen bei systemischem Risiko. Beide Achsen können sich überschneiden: Wird ein GPAI-Modell in einer Anhang-III-Anwendung verbaut, gelten die GPAI-Pflichten und die Hochrisiko-Pflichten nebeneinander. Die GPAI-Systematik wird auf dieser Microsite gesondert behandelt.

Aus der Einstufung als Hochrisiko folgt unmittelbar die Pflichtenkette des Kapitels III: ein Risikomanagementsystem (Art. 9), Data-Governance für Trainings-, Validierungs- und Testdaten (Art. 10), technische Dokumentation (Art. 11), automatische Protokollierung relevanter Ereignisse (Art. 12), Transparenz und Informationsbereitstellung gegenüber Betreibern (Art. 13), wirksame menschliche Aufsicht (Art. 14) sowie angemessene Genauigkeit, Robustheit und Cybersicherheit (Art. 15). Hinzu kommen Konformitätsbewertung, CE-Kennzeichnung und — bei eigenständigen Anhang-III-Systemen — die Registrierung in der EU-Datenbank. Wer die Klasse Hochrisiko korrekt bestimmt, weiß damit zugleich, welcher operative Aufwand auf ihn zukommt; eine Fehleinstufung nach unten verschiebt das Risiko nur in die Durchsetzungsphase.

Wo die Grenzen verlaufen, ist nicht in jedem Einzelfall trennscharf. Begriffe wie „eng umgrenzte Verfahrensaufgabe" oder „erhebliches Risiko" sind unbestimmte Rechtsbegriffe, die im konkreten Einzelfall ausgelegt werden müssen. Die Kommission ist beauftragt, hierzu praktische Leitlinien mit Anwendungsbeispielen bereitzustellen; bis diese vollständig vorliegen und sich eine Verwaltungspraxis gebildet hat, bleibt ein Auslegungskorridor. Für die Praxis bedeutet das: Die Klassifizierung sollte nachvollziehbar hergeleitet, konservativ im Zweifel und revisionsfähig dokumentiert werden. Eine knappe, belastbare Begründung pro System ist im Streitfall mehr wert als eine pauschale Einordnung. Wichtig ist außerdem die Rollenfrage — Anbieter und Betreiber tragen unterschiedliche Pflichten, und dieselbe Software kann je nach Akteur verschieden zu bewerten sein.

Entscheidungshilfe

So lässt sich der Weg in die Klasse Hochrisiko strukturiert prüfen:

  1. Anhang-I-Pfad: Ist das KI-System Sicherheitsbauteil eines Produkts aus Anhang I — oder selbst ein solches Produkt? Und verlangt der zugehörige Rechtsakt eine Konformitätsbewertung durch Dritte? Zweimal ja → hochrisiko.
  2. Anhang-III-Pfad: Wird das System in einem der acht Anhang-III-Bereiche zweckgemäß eingesetzt? Wenn ja → grundsätzlich hochrisiko, weiter mit Schritt 3.
  3. Ausnahme Art. 6 Abs. 3: Erfüllt das System nur eine der vier privilegierten Aufgabenarten (enge Verfahrensaufgabe, Verbesserung eines abgeschlossenen menschlichen Ergebnisses, Mustererkennung ohne Ersatz der menschlichen Bewertung, vorbereitende Aufgabe)? Wenn ja → ggf. nicht hochrisiko.
  4. Rückausnahme: Findet ein Profiling natürlicher Personen statt? Wenn ja → trotz Schritt 3 hochrisiko.
  5. Dokumentieren: Das Ergebnis und seine Begründung schriftlich festhalten — unabhängig davon, ob hochrisiko oder nicht.

Beispiele

KI-Triage-Modul in einem Medizinprodukt — in Klasse Hochrisiko, weil das Trägerprodukt unter die Medizinprodukte-Verordnung (Anhang I) fällt und eine Drittbewertung erfordert (Anhang-I-Pfad).

Bewerber-Screening-System im Recruiting — in Klasse Hochrisiko, weil Beschäftigung und Personalauswahl ein Anhang-III-Bereich ist; eine Ausnahme scheidet regelmäßig aus, da Bewerber bewertet und damit Personen profiliert werden (Rückausnahme).

KI, die eingehende Dokumente nur nach Dateityp vorsortiert — eher nicht hochrisiko, auch wenn der Einsatzkontext ein Anhang-III-Bereich ist, weil es sich um eine eng umgrenzte vorbereitende Aufgabe ohne Profiling handelt (Art. 6 Abs. 3). Die Einstufung ist zu begründen und zu dokumentieren.

Spamfilter im E-Mail-Postfach — minimales Risiko, kein Anhang-III-Bereich berührt, kein Anhang-I-Produkt. Kein Hochrisiko-Pfad einschlägig.

KI-gestützte Kreditwürdigkeitsprüfung für Privatkunden — in Klasse Hochrisiko, weil der Zugang zu grundlegenden privaten Diensten (Bonitätsbewertung natürlicher Personen) ein Anhang-III-Bereich ist und ein Profiling stattfindet.

Biometrisches Zutrittssystem am Werkstor zur Identifizierung von Mitarbeitenden — in Klasse Hochrisiko, weil biometrische Identifizierung ein eigener Anhang-III-Bereich ist. Hier ist zusätzlich zu prüfen, ob eine konkrete Verwendungsform überhaupt unter Art. 5 (verbotene Praktiken) fällt — dann wäre nicht Hochrisiko, sondern unannehmbares Risiko einschlägig.

KI, die in einer juristischen Recherche Urteile thematisch vorgruppiert, ohne sie zu bewerten — voraussichtlich nicht hochrisiko, obwohl Rechtspflege ein Anhang-III-Bereich ist: Die Aufgabe ist vorbereitend und ersetzt keine richterliche Bewertung (Art. 6 Abs. 3). Sobald das System jedoch Entscheidungsvorschläge generiert, kippt die Einordnung. Auch hier gilt: Begründung dokumentieren.

Die acht Anhang-III-Bereiche im Detail samt konkreter Use-Cases stehen auf hochrisiko-ki.com. Welche operativen Pflichten (Art. 9–15) aus der Einstufung folgen und welche Templates dabei helfen, findet sich auf ki-hochrisiko.de. Den Gesamtzusammenhang des EU AI Act erklärt der Leitfaden auf eu-ai-verordnung.de. Maßgeblicher Stichtag für die Durchsetzung ist der 02.12.2027.

Risikoklassifizierung systematisch und auditfähig dokumentieren — AEGIRA AI Navigator: aegira.ai.

Discuss on TwitterView on GitHub