Blog
Hoch-Risiko-KI erkennen: die Annex-III-Fälle im Mittelstand
Die schweren Pflichten des EU AI Act — Risikomanagement, technische Dokumentation, menschliche Aufsicht — treffen nur Hoch-Risiko-Systeme. Die gute Nachricht: Der meiste KI-Einsatz im Mittelstand fällt nicht darunter. Die schlechte: Ein paar sehr verbreitete Fälle schon. Die Einstufung entscheidet alles.
Was macht eine KI „hoch-risiko"?
Hoch-Risiko sind KI-Systeme, die in einem der in Annex III gelisteten sensiblen Bereiche eingesetzt werden — dort, wo eine Fehlentscheidung Gesundheit, Sicherheit oder Grundrechte spürbar berührt. Es kommt auf den Anwendungsfall an, nicht auf die Technologie: Dasselbe Sprachmodell kann in einem Fall minimal-riskant und im anderen hoch-riskant sein.
Die Annex-III-Fälle mit Mittelstand-Relevanz
| Bereich | Typischer Fall |
|---|---|
| Beschäftigung | Bewerber-Screening, CV-Ranking, Leistungsbewertung, Beförderungs-/Kündigungsentscheidungen |
| Kreditwürdigkeit | Bonitäts- und Scoring-Systeme (außer reiner Betrugserkennung) |
| Versicherung | Risikobewertung und Preisbildung in Leben/Kranken |
| Bildung/Prüfung | Zulassung, Bewertung von Lernergebnissen, Prüfungsaufsicht |
| Kritische Infrastruktur | KI als Sicherheitskomponente (Strom, Wasser, Verkehr) |
| Biometrie | Fern-Identifizierung, Emotionserkennung |
Für die meisten Mittelständler sind die zwei relevanten Fälle Recruiting/HR und Bonitätsprüfung — beide extrem verbreitet und beide klar im Annex III.
Häufige Irrtümer
- „Ein Chatbot ist hoch-risiko." Nein — ein Support-Chatbot ist meist begrenztes Risiko (Transparenzpflicht). Ein Chatbot, der Bewerber vorsortiert, kann dagegen hoch-riskant sein.
- „Generative KI ist hoch-risiko." In der Regel nicht — sie unterliegt meist der Transparenzpflicht nach Art. 50 (Kennzeichnung), nicht den Hoch-Risiko-Pflichten.
- „Wir sind zu klein dafür." Größe schützt nicht — es zählt der Anwendungsfall.
Die Ausnahme (Art. 6 Abs. 3) — und ihre Grenze
Ein Annex-III-System gilt nicht als hoch-risiko, wenn es kein erhebliches Risiko darstellt und die Entscheidung nicht wesentlich beeinflusst — etwa weil es nur eine eng umrissene Verfahrensaufgabe erfüllt, rein vorbereitend wirkt oder ein bereits abgeschlossenes menschliches Ergebnis nur verbessert. Wichtige Grenze: Sobald das System ein Profiling natürlicher Personen vornimmt, greift die Ausnahme nicht — was genau die Recruiting- und Bonitätsfälle wieder einfängt. Diese Einstufung will dokumentiert und juristisch abgesichert sein.
Wenn Sie einen Hoch-Risiko-Fall haben
Dann warten Pflichten wie Risikomanagement-System, Daten-Governance, technische Dokumentation (Annex IV), Protokollierung, menschliche Aufsicht sowie Genauigkeit, Robustheit und Cybersicherheit. Der pragmatische Weg beginnt beim Inventar und einer sauberen Klassifizierung — genau darauf setzt AI-Act-Radar auf: Einstufung mit Begründung je System plus vorausgefülltes Dokumentations-Gerüst, das Sie Ihrer Rechtsberatung vorlegen.
Dieser Beitrag ist eine allgemeine Orientierung und keine Rechtsberatung. Die verbindliche Einstufung Ihrer KI-Systeme erfolgt durch Ihre Rechtsberatung bzw. eine benannte Stelle. Stand: Juli 2026.
Wie viel steckt bei Ihnen drin?
Der kostenlose Rechner zeigt die Größenordnung in zwei Minuten — komplett im Browser, keine Daten an uns.
Kostenlos berechnenAudit anfragen