AI CostGuard

Blog

Hoch-Risiko-KI erkennen: die Annex-III-Fälle im Mittelstand

Von Franz Bauer · 13. Juli 2026 · 5 Min. Lesezeit

Die schweren Pflichten des EU AI Act — Risikomanagement, technische Dokumentation, menschliche Aufsicht — treffen nur Hoch-Risiko-Systeme. Die gute Nachricht: Der meiste KI-Einsatz im Mittelstand fällt nicht darunter. Die schlechte: Ein paar sehr verbreitete Fälle schon. Die Einstufung entscheidet alles.

Was macht eine KI „hoch-risiko"?

Hoch-Risiko sind KI-Systeme, die in einem der in Annex III gelisteten sensiblen Bereiche eingesetzt werden — dort, wo eine Fehlentscheidung Gesundheit, Sicherheit oder Grundrechte spürbar berührt. Es kommt auf den Anwendungsfall an, nicht auf die Technologie: Dasselbe Sprachmodell kann in einem Fall minimal-riskant und im anderen hoch-riskant sein.

Die Annex-III-Fälle mit Mittelstand-Relevanz

BereichTypischer Fall
BeschäftigungBewerber-Screening, CV-Ranking, Leistungsbewertung, Beförderungs-/Kündigungs­entscheidungen
KreditwürdigkeitBonitäts- und Scoring-Systeme (außer reiner Betrugserkennung)
VersicherungRisikobewertung und Preisbildung in Leben/Kranken
Bildung/PrüfungZulassung, Bewertung von Lernergebnissen, Prüfungsaufsicht
Kritische InfrastrukturKI als Sicherheitskomponente (Strom, Wasser, Verkehr)
BiometrieFern-Identifizierung, Emotionserkennung

Für die meisten Mittelständler sind die zwei relevanten Fälle Recruiting/HR und Bonitätsprüfung — beide extrem verbreitet und beide klar im Annex III.

Häufige Irrtümer

Die Ausnahme (Art. 6 Abs. 3) — und ihre Grenze

Ein Annex-III-System gilt nicht als hoch-risiko, wenn es kein erhebliches Risiko darstellt und die Entscheidung nicht wesentlich beeinflusst — etwa weil es nur eine eng umrissene Verfahrensaufgabe erfüllt, rein vorbereitend wirkt oder ein bereits abgeschlossenes menschliches Ergebnis nur verbessert. Wichtige Grenze: Sobald das System ein Profiling natürlicher Personen vornimmt, greift die Ausnahme nicht — was genau die Recruiting- und Bonitätsfälle wieder einfängt. Diese Einstufung will dokumentiert und juristisch abgesichert sein.

Wenn Sie einen Hoch-Risiko-Fall haben

Dann warten Pflichten wie Risikomanagement-System, Daten-Governance, technische Dokumentation (Annex IV), Protokollierung, menschliche Aufsicht sowie Genauigkeit, Robustheit und Cybersicherheit. Der pragmatische Weg beginnt beim Inventar und einer sauberen Klassifizierung — genau darauf setzt AI-Act-Radar auf: Einstufung mit Begründung je System plus vorausgefülltes Dokumentations-Gerüst, das Sie Ihrer Rechtsberatung vorlegen.

Dieser Beitrag ist eine allgemeine Orientierung und keine Rechtsberatung. Die verbindliche Einstufung Ihrer KI-Systeme erfolgt durch Ihre Rechtsberatung bzw. eine benannte Stelle. Stand: Juli 2026.

Wie viel steckt bei Ihnen drin?

Der kostenlose Rechner zeigt die Größenordnung in zwei Minuten — komplett im Browser, keine Daten an uns.

Kostenlos berechnenAudit anfragen