Hochrisiko-KI (Anhang III)

KI-Systeme nach Anhang III EU AI Act — Pflichten ab 02.08.2026 (Vorschlag DO 19.11.2025: Verschiebung auf 02.12.2027 — nicht beschlossen)

26. April 2026 · Kategorie: EU AI Act · Compliance-Kit

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

Hochrisiko-KI nach Anhang III KI-VO sind KI-Systeme in 8 Bereichen: biometrische Identifizierung, kritische Infrastruktur, Bildung, Beschäftigung/Personalwesen, wesentliche private/öffentliche Dienste, Strafverfolgung, Migration, Justizverwaltung. Pflichten greifen ab 02.08.2026 rechtsverbindlich (Vorschlag Digital Omnibus 19.11.2025: Verschiebung auf 02.12.2027 — Trilog läuft, nicht beschlossen).

Was ist Hochrisiko-KI (Anhang III)?

Die 8 Hochrisiko-Bereiche nach Anhang III:

Biometrische Identifizierung und Kategorisierung
Kritische Infrastruktur (Verkehr, Wasser, Gas, Strom)
Allgemeine und berufliche Bildung
Beschäftigung, Personalmanagement (Recruiting, Performance, Beförderung)
Wesentliche private und öffentliche Dienste (Kreditscoring, Versicherungs-Scoring, Notfall-Triagen)
Strafverfolgung
Migration, Asyl, Grenzkontrolle
Justizverwaltung und demokratische Prozesse

Anbieter und Betreiber haben unterschiedliche Pflichten. Anbieter: vollständig (Art. 9-15, QMS, Konformitätsbewertung). Betreiber: bestimmungsgemäße Nutzung, Eingabedaten-Relevanzprüfung, Logs, ggf. FRIA (Art. 27).

Praxisbeispiel

Beispiele Hochrisiko nach Anhang III Nr. 4 lit. a (Recruiting):

HR-Screening-Tool, das Bewerber-CVs analysiert
Algorithmus zur Vorhersage von Mitarbeiter-Performance
KI-System zur Beförderungs-Empfehlung

§ 22 AGG-Beweislastumkehr greift bei Algorithmus-Diskriminierungs-Indizien unabhängig von der KI-VO-Frist; AGG-Schadensersatz typisch 1–3 Brutto-Monatsgehälter pro Kläger:in (§ 15 AGG).

Häufig gestellte Fragen

Wann ist eine HR-KI Hochrisiko?

Praktisch immer, sofern für Auswahl, Bewertung oder Beförderung von Mitarbeitenden eingesetzt. Pflicht: vollständige Anhang III-Compliance ab 02.08.2026 (Vorschlag Digital Omnibus 19.11.2025: Verschiebung auf 02.12.2027 — Trilog läuft, nicht beschlossen).

Was bedeutet 'wesentliche private/öffentliche Dienste'?

Anhang III Nr. 5: Kreditwürdigkeitsbewertung, Lebens- und Krankenversicherungsscoring, Notfall-Triage. Nicht erfasst: einfache Buchungs-Algorithmen oder Rechnungs-Automatisierung.

Reicht eine 'einfache statistische Auswertung'?

Nein, sobald Lerncharakter vorliegt. Klassische lineare Regression: keine KI. Reinforcement Learning: KI.