Was ist Hochrisiko-KI nach dem EU AI Act? Ein vollständiger Leitfaden
Eine verständliche Erklärung der Hochrisiko-KI-Klassifizierung, welche Systeme qualifizieren, welche Verpflichtungen gelten und was Organisationen vor August 2026 tun müssen.
Key Takeaways
Hochrisiko-KI ist in Anhang III des EU AI Act definiert: acht Kategorien von KI-Anwendungen, die bei Fehlern oder voreingenommenen Outputs erheblichen Schaden anrichten könnten.
Die Klassifizierung basiert auf der Verwendung, nicht auf der Technologie. Dasselbe KI-Modell kann je nach Einsatzkontext Hochrisiko oder Minimal-Risiko sein.
Hochrisiko-KI-Anforderungen umfassen: Konformitätsbewertung, technische Dokumentation, Qualitätsmanagementsystem, EU-Datenbankregistrierung, Post-Markt-Überwachung und menschliche Aufsichtsmechanismen.
Kreditscoring, Rekrutierungs-KI, klinische Entscheidungsunterstützung und Bildungsbeurteilungs-KI fallen alle in den Hochrisiko-Bereich — breiter als die meisten Organisationen erwarten.
"Nur zu Informationszwecken. Dieser Artikel stellt keine rechtliche, regulatorische, finanzielle oder professionelle Beratung dar. Konsultieren Sie einen qualifizierten Spezialisten für spezifische Beratung."
Was macht KI zu "Hochrisiko"?
Der Begriff "Hochrisiko-KI" im Kontext des EU AI Act hat eine spezifische rechtliche Bedeutung. Er verweist auf KI-Systeme, die in einer der acht Kategorien in Anhang III des Gesetzes aufgeführt sind: Systeme, die in Bereichen eingesetzt werden, wo Fehler oder voreingenommene Outputs erhebliche Schäden für die Gesundheit, Sicherheit oder Grundrechte von Personen verursachen könnten.
Der kritische Punkt ist, dass die Klassifizierung auf der Verwendung des Systems basiert, nicht auf seiner technischen Architektur. Ein Gesichtserkennungsmodell, das für die Bildungsorganisation von Fotos verwendet wird, ist minimal risikoreich. Dasselbe Modell, das für die Identifizierung in der Strafverfolgung verwendet wird, ist hochrisikoreich. Die Einstufung folgt dem Kontext.
Die acht Hochrisiko-Kategorien
Biometrische Identifizierung und Kategorisierung: KI-Systeme für biometrische Fernidentifizierung und Systeme zur biometrischen Kategorisierung von Personen nach sensiblen Eigenschaften.
Management kritischer Infrastruktur: KI im Management und Betrieb kritischer Infrastruktur — Straßenverkehr, Wasser, Gas, Heizung oder elektrische kritische Infrastruktur.
Bildung und Berufsausbildung: KI, die den Zugang zu Bildungseinrichtungen bestimmt oder die Lernleistungen bewertet, die das Bildungsniveau und die Laufbahn beeinflussen.
Beschäftigung und Arbeitnehmermanagement: KI für Rekrutierung, Screening von Lebensläufen und Lebensläufen, Beförderung, Kündigung, Aufgabenverteilung und Leistungsüberwachung.
Zugang zu wesentlichen Dienstleistungen: KI in der Kreditwürdigkeitsbewertung, Kreditscoring, Kranken- und Lebensversicherungsrisikobewertung und Notfallservice-Routing.
Strafverfolgung: Lügendetektoren und ähnliche Tools, Risikobeurteilung von Einzelpersonen, prädiktive Polizeiarbeit und Straftäter-Profiling.
Migration, Asyl und Grenzkontrolle: Lügenerkennung, Risikobeurteilung für die Einreise, Untersuchung von Asyl- und Visaanträgen und Grenzüberwachung.
Justiz und demokratische Prozesse: KI, die Gerichte bei der Erforschung, Auslegung des Rechts oder seiner Anwendung auf Fakten unterstützt; KI, die Wahlen oder das Wahlverhalten beeinflusst.
Anforderungen für Hochrisiko-KI
Anbieter von Hochrisiko-KI-Systemen müssen vor dem Inverkehrbringen eine Konformitätsbewertung durchführen. Die Anforderungen umfassen: ein Risikomanagementsystem für den gesamten KI-Lebenszyklus, Daten-Governance-Maßnahmen für Trainings-, Validierungs- und Testdaten, vollständige technische Dokumentation, automatisches Logging, Transparenz gegenüber Betreibern, menschliche Aufsichtsmechanismen, Leistungsgenauigkeit und -robustheit sowie Cybersicherheit.
Betreiber — Organisationen, die Hochrisiko-KI einsetzen, ohne es zu bauen — haben eigene Pflichten: menschliche Aufsicht implementieren, KI-Systemleistung überwachen, Grundrechte-Folgenabschätzungen in bestimmten Kontexten durchführen und betroffene Personen informieren, dass KI bei ihren Entscheidungen eingesetzt wird.