AI-Act-Hochrisiko-Systeme: operative Checkliste mit deutschen Beispielen
Die EU-KI-Verordnung 2024/1689 unterscheidet vier Risikoklassen. Die Klasse, die fuer 2026 die meiste organisatorische Energie kostet, ist die Hochrisiko-Klasse: Systeme, die nach Artikel 6 in Verbindung mit Anhang III als hochriskant gelten und einen Pflichtenkatalog von acht Hauptartikeln (Artikel 8 bis 17 KI-VO, plus Konformitaetsbewertung und Registrierung) erfuellen muessen. Die Pflichten sind ab dem 2. August 2026 voll anwendbar; die deutschen Sanktionsbefugnisse nach Artikel 99 beginnen am gleichen Tag.
Diese Checkliste ist fuer Compliance-Verantwortliche, CIOs, Datenschutzbeauftragte und KI-Verantwortliche in deutschen Unternehmen geschrieben. Sie ueberprueft pro Bereich, ob ein konkretes System hochrisiko ist, welche Pflichten daraus folgen, welche deutsche Aufsichtsstelle zustaendig ist, und welche praktische Reihenfolge in den naechsten zwoelf Monaten realistisch ist.
Begleitende Lektuere: /de/blog/eu-ai-act-deutschland-leitfaden zum regulatorischen Rahmen, /de/blog/ki-marketing-automation-deutschland und /de/blog/ki-content-marketing-dsgvo zu den Marketing-spezifischen Pflichten.
Wann ist ein System hochrisiko?
Artikel 6 KI-VO kennt zwei Wege in die Hochrisiko-Klasse.
Weg 1: Anhang I. Das System ist eine Sicherheitskomponente eines Produkts, das unter bestimmten harmonisierten EU-Rechtsakten faellt — Maschinenrichtlinie, Spielzeugrichtlinie, Aufzugrichtlinie, Druckgeraeterichtlinie, Funkanlagenrichtlinie, Medizinprodukteverordnung, In-vitro-Diagnostika-Verordnung, Verordnung ueber zivile Luftfahrt, Eisenbahn-Interoperabilitaet, Kraftfahrzeuge, Schiffsausruestung. Beispiele: KI in Bremsassistenten, KI in MRT-Bildanalyse, KI in Aufzugskonsolen.
Weg 2: Anhang III. Das System ist in einem der acht benannten Bereiche im Einsatz.
| # | Bereich nach Anhang III | Typische Systeme |
|---|---|---|
| 1 | Biometrik | Fern-Identifizierung, biometrische Kategorisierung, Emotionserkennung |
| 2 | Kritische Infrastruktur | Strom-, Gas-, Wasser-, Verkehrs-Steuerung |
| 3 | Bildung und Berufsausbildung | Aufnahme, Bewertung, Zuweisung, Pruefungsueberwachung |
| 4 | Beschaeftigung, Personalwesen, Selbststaendigkeit | Bewerberauswahl, Beurteilungen, Arbeitsverteilung |
| 5 | Wesentliche private und oeffentliche Dienstleistungen | Kreditwuerdigkeit, Versicherung, Sozialleistungen, Notfalldienste |
| 6 | Strafverfolgung | Risikobewertungen, Beweisanalyse, Pre-Crime-Warnung |
| 7 | Migration, Asyl, Grenzkontrolle | Risikobewertungen, Antragspruefung |
| 8 | Justiz und demokratische Prozesse | Recherche- und Auslegungssysteme, Wahlbeeinflussung |
Artikel 6 Abs. 3 erlaubt eine Ausnahme: ein in Anhang III gelistetes System ist nicht hochrisiko, wenn es kein erhebliches Risiko fuer Grundrechte birgt — etwa weil es nur eine eng begrenzte Verfahrenstechnik ausfuehrt, eine menschliche Entscheidung verbessert ohne sie zu ersetzen, ein Muster oder Abweichung erkennt ohne Entscheidungseinfluss, oder eine vorbereitende Aufgabe leistet. Die Ausnahme verlangt eine dokumentierte Pruefung und EU-Datenbank-Registrierung; sie ist eng auszulegen.
Phase 1: KI-Inventar erstellen
Bevor irgendein System klassifiziert werden kann, muss es im Inventar stehen. Die Praxis 2026 zeigt drei Quellen, die haeufig uebersehen werden.
SaaS-Produkte mit nachtraeglich integrierter KI. Microsoft 365 Copilot, Salesforce Einstein, HubSpot Breeze, SAP Joule, ServiceNow Now Assist, Zendesk AI — fast jedes Unternehmenssystem hat 2025 und 2026 KI-Schichten dazubekommen. Jede dieser Schichten ist ein eigenes KI-System im Sinne des Artikels 3.
Interne Skripte mit API-Aufrufen an externe Modelle. Eine Python-Funktion, die OpenAI, Anthropic oder Mistral aufruft, um Texte zu klassifizieren oder zu generieren, ist ein KI-System. Sie taucht selten in offiziellen IT-Inventaren auf, ist aber in der Praxis weit verbreitet.
Eingebettete KI in Produkten und Anlagen. Predictive-Maintenance-Module in Maschinen, KI-Steuerung in Heizungs- und Lueftungsanlagen, KI-Komponenten in Logistik-Robotern. Sie sind oft im Anlagenverzeichnis, aber selten als KI-System klassifiziert.
Ein durchschnittliches deutsches Mittelstandsunternehmen (200 bis 1000 Mitarbeitende) findet bei einer ehrlichen Bestandsaufnahme zwischen fuenfzig und zweihundert KI-Systeme. Fuer jeden Eintrag im Inventar gehoeren mindestens diese Felder: Bezeichnung, Anbieter, Einsatzzweck, betroffene Personen, Datentypen, Inferenzregion, Vertragslage, interner Verantwortlicher.
Phase 2: Klassifizierung gegen Anhang III
Fuer jedes inventarisierte System wird die Klassifizierung in fuenf Schritten durchgefuehrt.
Schritt 1: Verbot pruefen (Artikel 5). Faellt das System unter eine der acht verbotenen Praktiken? Bei Treffer: das System muss bis zum 2. Februar 2025 abgeschaltet sein, der Stichtag ist verstrichen. In der Praxis treten Treffer am haeufigsten in HR-Tooling auf (Emotionserkennung am Arbeitsplatz) und im Marketing (Manipulation mit erheblichem Schaden, Ausnutzung von Schutzbeduerftigkeit).
Schritt 2: Anhang I pruefen. Ist das System eine Sicherheitskomponente eines unter harmonisiertem EU-Recht regulierten Produkts? Wenn ja: Hochrisiko-Pflichten nach KI-VO greifen ab 2. August 2027 (nicht 2026), zusaetzlich zu den sektoralen Sicherheitsvorschriften.
Schritt 3: Anhang III pruefen. Faellt das System in einen der acht Bereiche?
Schritt 4: Artikel-6-Abs.-3-Ausnahme pruefen. Wenn Anhang-III-Treffer: gibt es ein dokumentiertes Argument, warum das System trotzdem kein erhebliches Risiko birgt? Die Ausnahme ist eng auszulegen, muss dokumentiert sein und ist in der EU-Datenbank zu registrieren.
Schritt 5: Artikel 50 pruefen. Auch wenn nicht hochrisiko: greifen Transparenzpflichten, weil das System ein Chatbot ist, biometrische Kategorisierung macht, Emotionserkennung leistet, KI-generierte Inhalte produziert oder Deepfakes herstellt?
Fuer die Mehrzahl der Systeme wird das Klassifizierungsergebnis "Standardrisiko, keine Sonderpflichten" sein. Aber jede Pruefung muss dokumentiert sein.
Deutsche Hochrisiko-Beispiele
Vier Beispiele aus der deutschen Unternehmenspraxis, durchgespielt.
Beispiel 1: KI-gestuetztes Bewerbermanagement
Ein Industrieunternehmen mit 800 Mitarbeitenden setzt eine SaaS-Plattform ein, die Bewerbungen vor-screent und einen Eignungswert pro Kandidat berechnet. Die Plattform faellt unter Anhang III Punkt 4 lit. a (Beschaeftigung — Auswahl) und ist hochrisiko. Die Artikel-6-Abs.-3-Ausnahme greift typischerweise nicht, weil das System eine Vorauswahl trifft, die menschliche Entscheidungen erheblich beeinflusst.
Pflichtenkatalog: Risikomanagement (Art. 9), Daten-Governance einschliesslich Datenqualitaet und Bias-Pruefung (Art. 10), technische Dokumentation (Art. 11), Aufzeichnung der Klassifizierungs-Logs (Art. 12), Information der Bewerber (Art. 13), menschliche Aufsicht durch HR-Mitarbeitende (Art. 14), Genauigkeit (Art. 15). Als Betreiber zusaetzlich Information des Betriebsrats (KI-VO und BetrVG verzahnen sich), Information der Bewerber, Datenschutz-Folgenabschaetzung, Loeschkonzept fuer Logs.
Deutsche Beruehrungspunkte: das Allgemeine Gleichbehandlungsgesetz (AGG) verlangt Diskriminierungsfreiheit; der Betriebsrat hat Mitbestimmungsrechte nach §87 BetrVG; der Landesdatenschutzbeauftragte ist bei DSGVO-Verstoessen einschlaegig.
Beispiel 2: Kreditscoring im Mittelstandsbank-Backoffice
Eine Genossenschaftsbank setzt ein Modell ein, das Kreditwuerdigkeit von Privatpersonen und KMU bewertet. Das System faellt unter Anhang III Punkt 5 lit. b (Bewertung der Kreditwuerdigkeit) und ist hochrisiko.
Pflichtenkatalog: voller Pflichtenkatalog Artikel 9 bis 17, plus Konformitaetsbewertung nach Artikel 43 (das Modell muss als Anbieter-Produkt zertifiziert werden, wenn es im EU-Markt vertrieben wird; der eigene Einsatz ohne Vertrieb folgt der Betreiberpflicht).
Deutsche Beruehrungspunkte: BaFin als Sektoraufsicht; das KI-Verordnungs-Durchfuehrungsgesetz wird die Aufgabenteilung zwischen BaFin und Marktueberwachungsstelle definieren; DSGVO Artikel 22 zur automatisierten Entscheidung im Einzelfall greift parallel; SCHUFA-Urteil des EuGH (Dezember 2023) gilt fuer Score-Lieferanten.
Beispiel 3: KI in Medizingeraeten
Ein Hersteller von Diagnose-Geraeten integriert ein KI-Modul, das Bilder klassifiziert. Das System ist Sicherheitskomponente eines Medizinprodukts unter der Medizinprodukteverordnung (MDR) und faellt unter Anhang I, also hochrisiko mit Stichtag 2. August 2027.
Pflichtenkatalog: voller Pflichtenkatalog plus MDR-Konformitaetsbewertung. In der Praxis koordinieren das Bundesinstitut fuer Arzneimittel und Medizinprodukte (BfArM) und die KI-Marktueberwachungsstelle.
Deutsche Beruehrungspunkte: BfArM als zustaendige Behoerde fuer Medizinprodukte; benannte Stellen wie TUEV SUED oder DEKRA fuer die MDR-Konformitaetsbewertung; das KI-Buero der EU-Kommission fuer Modelle mit allgemeinem Verwendungszweck, falls das KI-Modul auf einem Foundation-Modell aufbaut.
Beispiel 4: KI-gestuetzte Versorgungssteuerung in einer Stadtwerke-Tochter
Ein Stadtwerk setzt eine KI-Plattform ein, die Lastflusssteuerung im Stromnetz optimiert. Das System faellt unter Anhang III Punkt 2 (kritische Infrastruktur) und ist hochrisiko.
Pflichtenkatalog: voller Pflichtenkatalog. Zusaetzlich Sicherheitsanforderungen nach BSI-Gesetz fuer KRITIS-Betreiber; Vorfallsmeldung an Bundesamt fuer Sicherheit in der Informationstechnik (BSI) und an die KI-Marktueberwachungsstelle.
Phase 3: Pflichtenkatalog Artikel 9 bis 17
Pro Hochrisiko-System sind die folgenden acht Artikel umzusetzen.
Artikel 9 — Risikomanagementsystem. Kontinuierlicher Prozess ueber den gesamten Lebenszyklus des KI-Systems. Risikoidentifikation, -bewertung, -minderung, Restrisikoakzeptanz, regelmaessige Pruefung. Dokumentationspflichtig.
Artikel 10 — Daten-Governance. Trainings-, Validierungs-, Testdaten muessen relevant, repraesentativ, fehlerarm, vollstaendig und im Hinblick auf Bias geprueft sein. Sondervorschriften fuer besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO.
Artikel 11 — Technische Dokumentation. Strukturiertes Dossier nach Anhang IV: Beschreibung des Systems, Zweckbestimmung, Trainingsdaten, Modellarchitektur, Leistung, Risikomanagement, Versionshistorie. Auf Anfrage der Aufsichtsbehoerde vorzulegen.
Artikel 12 — Aufzeichnungspflichten. Automatische Logs: Eingaben, Klassifizierungsergebnisse, Konfigurationsaenderungen. Mindestaufbewahrung sechs Monate (verlaengert bei sektoralem Recht).
Artikel 13 — Transparenz und Information der Nutzer. Bedienungsanleitung mit Zweckbestimmung, bekannten Risiken, Leistungsgrenzen, Aufsichtsanforderungen.
Artikel 14 — Menschliche Aufsicht. Entwurf des Systems so, dass eine geschulte Person die KI-Ausgaben verstehen, hinterfragen, korrigieren und ueberschreiben kann. "Stop"-Funktion verfuegbar.
Artikel 15 — Genauigkeit, Robustheit, Cybersicherheit. Quantifizierte Genauigkeitswerte, Robustheit gegen Eingangsstoerungen, Schutz gegen adversariale Angriffe, kontinuierliche Ueberwachung.
Artikel 17 — Qualitaetsmanagement. Dokumentiertes QMS, das das Risikomanagement, die Daten-Governance, die technische Dokumentation, die Vorfallsbehandlung und die Aenderungsverwaltung zusammenfuehrt. ISO 42001 erfuellt die meisten Anforderungen.
Phase 4: Betreiberpflichten nach Artikel 26
Wer ein Hochrisiko-System einsetzt, ohne es selbst zu entwickeln oder in Verkehr zu bringen, ist Betreiber. Artikel 26 listet die Betreiberpflichten:
- Verwendung gemaess Bedienungsanleitung
- Sicherstellung der menschlichen Aufsicht durch geschultes Personal
- Kontrolle der Eingangsdaten auf Relevanz und Repraesentativitaet
- Aufbewahrung der Logs (Artikel 12) fuer mindestens sechs Monate
- Information der Beschaeftigten und ihres Vertretungsorgans (Betriebsrat)
- Datenschutz-Folgenabschaetzung wo anwendbar
- Anbieter-Benachrichtigung bei schwerwiegenden Vorfaellen
- Grundrechte-Folgenabschaetzung (Artikel 27) bei bestimmten Anwendungen
Die Information des Betriebsrats ist in deutscher Praxis besonders wichtig: §87 Abs. 1 Nr. 6 BetrVG verlangt Mitbestimmung bei der Einfuehrung und Anwendung technischer Einrichtungen, die zur Ueberwachung des Verhaltens oder der Leistung der Beschaeftigten geeignet sind. Hochrisiko-KI in HR und Arbeitsplanung loesen diese Mitbestimmung regelmaessig aus.
Phase 5: Konformitaetsbewertung und Registrierung
Anbieter (also Hersteller, die das System unter ihrem Namen in Verkehr bringen) muessen vor dem Inverkehrbringen eine Konformitaetsbewertung nach Artikel 43 durchfuehren. Fuer die meisten Anhang-III-Systeme ist die interne Kontrolle (Anhang VI) zulaessig; fuer biometrische Systeme verlangt Anhang VII die Beteiligung einer benannten Stelle.
Nach erfolgreicher Konformitaetsbewertung wird das System mit dem CE-Kennzeichen versehen (Artikel 48), in der EU-Datenbank fuer Hochrisiko-KI-Systeme registriert (Artikel 49) und kann in Verkehr gebracht werden.
In Deutschland sind als benannte Stellen unter anderem TUEV SUED, DEKRA Certification und DIN MEDIA aktiv. Die Akkreditierung erfolgt durch die Deutsche Akkreditierungsstelle (DAkkS); das KI-Verordnungs-Durchfuehrungsgesetz wird die Notifizierung an die EU-Kommission regeln.
ISO 42001 als Betriebsbasis
Die internationale Norm ISO/IEC 42001:2023 definiert ein KI-Managementsystem analog zu ISO 27001. Sie ist kein Ersatz fuer die KI-Verordnungs-Konformitaetsbewertung, aber sie strukturiert die Pflichten der Artikel 9 bis 17 in einem auditierbaren Rahmen.
Fuer ein Unternehmen, das ein Dutzend oder mehr Hochrisiko-Systeme operiert, ist ISO 42001 die effizienteste Form der Pflichtenerfuellung, weil sie das Managementsystem einmal aufbaut und dann auf jedes System anwendet, statt fuer jedes System eine eigene Compliance-Architektur zu entwickeln. TUEV SUED, DEKRA und DIN MEDIA bieten Schulung, Vorbereitung und Zertifizierung in Deutschland an.
Wechselwirkung mit DSGVO und BDSG
Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, loesen regelmaessig die Datenschutz-Folgenabschaetzung nach Artikel 35 DSGVO aus. Die KI-VO selbst verlangt in Artikel 27 eine Grundrechte-Folgenabschaetzung fuer bestimmte Anwendungen — die zwei Verfahren sollten koordiniert werden.
Artikel 22 DSGVO regelt automatisierte Einzelentscheidungen mit erheblicher Wirkung. Hochrisiko-KI-Systeme ueberschneiden sich mit diesem Bereich; menschliche Aufsicht nach Artikel 14 KI-VO und das Recht auf menschliche Entscheidung nach Artikel 22 DSGVO muessen gemeinsam gedacht werden. Die Datenschutzkonferenz (DSK) hat eine Arbeitsgruppe zur KI-Verordnung; ihre Stellungnahmen praegen die Aufsichtspraxis.
Praktische Reihenfolge fuer die naechsten zwoelf Monate
Fuer ein deutsches Unternehmen, das im April 2026 startet, ist die folgende Reihenfolge realistisch.
Mai bis Juli 2026: Inventar und Klassifizierung. Identifikation der Hochrisiko-Systeme.
August bis Oktober 2026: Vertragslandschaft pruefen. Fuer jedes Hochrisiko-System: ist der Anbieter Anbieter im Sinne der KI-VO? Liefert er die technische Dokumentation? Welche Betreiberpflichten verbleiben.
November 2026 bis Januar 2027: Pflichtenkatalog fuer die ersten drei bis fuenf Hochrisiko-Systeme operationalisieren. Risikomanagement, Logs, menschliche Aufsicht, Information der Betroffenen.
Februar 2027 bis Juli 2027: Restliche Hochrisiko-Systeme operationalisieren. ISO-42001-Vorbereitung.
August 2027: Hochrisiko-Pflichten fuer Anhang-I-Systeme anwendbar.
Die Knowlee-Position
Knowlee ist als KI-Workforce-Plattform fuer den europaeischen Markt entworfen, DSGVO- und AI-Act-by-design, EU-souveraen, mit Hosting in Deutschland. Die Plattform liefert die Audit-Trails, Logs und Dokumentationsbausteine, die Artikel 11, 12, 13, 14 und 17 KI-VO in der Praxis erfuellbar machen — als Architekturentscheidung, nicht als Compliance-Modul.
Fuer deutsche Unternehmen, die Hochrisiko-Systeme einsetzen oder entwickeln, ist diese Architektur der einfachere Weg, weil sie die Pflichten von Beginn an mitliefert.
Häufig gestellte Fragen
Wann ist ein Bewerbermanagement-System hochrisiko? Anhang III Punkt 4 lit. a stuft Systeme zur Bewerberauswahl als hochrisiko ein. Die Artikel-6-Abs.-3-Ausnahme greift selten, weil die Vor-Auswahl die menschliche Entscheidung erheblich beeinflusst.
Sind Microsoft 365 Copilot oder Salesforce Einstein hochrisiko? Reine Produktivitaetsfunktionen — Zusammenfassen, Umformulieren, E-Mail-Vorschlag — sind regelmaessig nicht hochrisiko. Wenn diese Werkzeuge jedoch in Hochrisiko-Prozessen (HR-Auswahl, Kreditentscheidungen) eingesetzt werden, kann das Hochrisiko-Verhaeltnis durch den Einsatzkontext entstehen.
Brauche ich ein eigenes Risikomanagementsystem fuer jede Hochrisiko-KI? Artikel 9 verlangt einen kontinuierlichen Risikomanagement-Prozess pro Hochrisiko-System. Ein zentraler Managementansatz (etwa nach ISO 42001) kann den Prozess strukturieren, ersetzt aber nicht die system-spezifische Risikobewertung.
Wie lange muss ich die Logs nach Artikel 12 aufbewahren? Mindestens sechs Monate; sektorales Recht kann laengere Fristen verlangen (Bankaufsicht, Telekommunikation, Gesundheit).
Wer ist in Deutschland fuer Hochrisiko-Systeme zustaendig? Stand April 2026 lag der Referentenentwurf des KI-Verordnungs-Durchfuehrungsgesetzes vor. Erwartet wird ein Hybrid-Modell mit Bundesnetzagentur als zentraler Stelle und sektoralen Behoerden mit bestehenden Zustaendigkeiten (BaFin, BfArM, BSI, Bundeskartellamt).
Disclaimer
Dieser Artikel ist eine redaktionelle Einordnung, keine Rechts- oder Steuerberatung. Konkrete Compliance-Entscheidungen — insbesondere zur EU-KI-Verordnung 2024/1689, zum KI-Verordnungs-Durchfuehrungsgesetz, zur DSGVO, zum BDSG, zum BetrVG, zum AGG und zu sektoralem Recht — sollten mit einem qualifizierten Datenschutzbeauftragten und einem auf IT- und Datenschutzrecht spezialisierten Rechtsanwalt abgestimmt werden. Die zitierten Quellen, Behoerdenstellungnahmen und Gesetzgebungsstaende wurden zum Stand April 2026 geprueft; insbesondere das KI-Verordnungs-Durchfuehrungsgesetz lag zum Stand dieses Artikels als Referentenentwurf vor und kann im weiteren Gesetzgebungsverfahren modifiziert werden. Knowlee ist Hersteller der in diesem Artikel beschriebenen KI-Workforce-Plattform; das stellt einen Interessenkonflikt dar, der hier offengelegt wird.