EU AI Act · Anhang III

Hochrisiko-KI nach Anhang III: Sind Sie betroffen?

Ob die strengen Pflichten des EU AI Act ab dem 2. August 2026 für Sie gelten, hängt an einer Frage: Fällt Ihr KI-System in eine der Hochrisiko-Kategorien? Dieser Leitfaden erklärt die vier Risikoklassen, die acht Bereiche des Anhang III und die wichtige Ausnahme des Art. 6 Abs. 3.

Die vier Risikoklassen

EU-KI-Verordnung: Risikostufen Unzulässig / Verboten; Hochrisiko; Begrenztes Risiko / Transparenzpflicht; Minimales Risiko EU-KI-Verordnung: Risikostufen Unzulässig / Verboten z. B. Social Scoring Hochrisiko z. B. Bewerbung, Kreditvergabe, Biometrie Begrenztes Risiko / Transparenzpflicht z. B. Chatbots, KI-Inhalte kennzeichnen Minimales Risiko z. B. Spamfilter, KI in Videospielen Stichtag Hochrisiko: 02.08.2026

Verboten

Praktiken nach Art. 5 (z. B. Social Scoring, manipulative KI) — seit Februar 2025 untersagt.

Hochrisiko

Anhang III oder Sicherheitsbauteil regulierter Produkte — der volle Pflichtenkatalog ab 2. Aug 2026.

Begrenztes Risiko

Transparenzpflichten nach Art. 50 (z. B. Chatbots, KI-generierte Inhalte kennzeichnen).

Minimales Risiko

Der Großteil der KI (z. B. Spamfilter) — keine besonderen Pflichten aus dem AI Act.

Die acht Hochrisiko-Bereiche nach Anhang III

Die Ausnahme: Art. 6 Abs. 3

Ein System im Anhang-III-Bereich ist nicht automatisch hochriskant. Nach Art. 6 Abs. 3 entfällt die Einstufung, wenn das System kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte darstellt — etwa weil es nur eine eng umrissene Verfahrensaufgabe erfüllt oder ein menschliches Ergebnis lediglich verbessert. Diese Ausnahme muss dokumentiert werden und gilt nie, wenn das System Profiling betreibt.

Und General-Purpose AI (GPAI)?

Basismodelle (z. B. große Sprachmodelle) folgen einem eigenen Regime (Art. 51 ff.) mit Transparenz- und, bei systemischem Risiko, zusätzlichen Pflichten seit August 2025. Wer ein GPAI-Modell in ein Anhang-III-System einbaut, bleibt für die Hochrisiko-Pflichten verantwortlich.

Häufige Fragen

Ist jeder Chatbot hochriskant?
Nein. Ein reiner Kundenservice-Chatbot ist meist „begrenztes Risiko" mit Transparenzpflicht (Art. 50) — er muss offenlegen, dass man mit einer KI spricht. Hochrisiko wird es erst, wenn er über Anhang-III-Themen wie Kreditwürdigkeit oder Bewerberauswahl entscheidet.
Zählt HR-Software mit KI als hochriskant?
In der Regel ja: KI zur Bewerberauswahl, Leistungsbewertung oder für Beförderungs- und Kündigungsentscheidungen fällt unter Anhang III (Beschäftigung). Prüfen Sie zusätzlich die DSGVO — solche Systeme berühren oft Art. 22 (automatisierte Entscheidungen).
Gilt das auch für zugekaufte KI?
Ja. Als Betreiber (Deployer) treffen Sie eigene Pflichten nach Art. 26 — bestimmungsgemäße Nutzung, menschliche Aufsicht, Log-Aufbewahrung — auch wenn ein Dritter das System entwickelt hat.

Fachliche Orientierung, keine Rechtsberatung. Normverweise: Verordnung (EU) 2024/1689.