Anhang III EU AI Act: Die acht Hochrisikobereiche im Überblick

Kernaussage: Anhang III des EU AI Acts definiert die acht Anwendungsbereiche, in denen eigenständige KI-Systeme automatisch als hochriskant eingestuft werden — mit allen damit verbundenen strengen Compliance-Pflichten.

Was ist Anhang III des EU AI Acts?

Anhang III ist die zentrale Liste des EU AI Acts, die festlegt, welche selbstständigen KI-Systeme (also nicht als Teil eines regulierten Produkts) als Hochrisiko eingestuft werden. Unternehmen, die KI-Systeme in den genannten Bereichen entwickeln oder einsetzen, müssen die vollständigen Hochrisiko-Anforderungen des EU AI Acts erfüllen.

Die Liste ist nicht statisch: Die EU-Kommission kann Anhang III durch delegierte Rechtsakte ergänzen, wenn neue KI-Anwendungen ähnliche Risikoprofile aufweisen.

Die acht Hochrisikobereiche nach Anhang III

1. Biometrische Identifizierung

KI-Systeme zur biometrischen Fernidentifizierung (ausgenommen die verbotene Echtzeit-Überwachung), Kategorisierung natürlicher Personen nach sensiblen Attributen sowie Erkennung von Emotionen.

2. Kritische Infrastruktur

Systeme als Sicherheitskomponenten im Management und Betrieb kritischer Infrastruktur: Stromnetze, Wasserversorgung, Gasnetze, Verkehrsmanagement.

3. Allgemeine und berufliche Bildung

KI für Zulassungsentscheidungen, Prüfungsbewertungen, Lernerfolgsbeurteilungen oder Überwachung von Lernenden in Bildungseinrichtungen.

4. Beschäftigung und Personalmanagement

Dies ist der für viele DACH-Unternehmen kritischste Bereich: KI für Rekrutierung, Jobausschreibungen, Bewerberauswahl, Beurteilung der Arbeitsleistung und Beförderungs- oder Kündigungsentscheidungen.

5. Wesentliche private und öffentliche Dienstleistungen

Kreditwürdigkeitsbewertung, Krankenversicherungs-Risikoklassifizierung, Dispatching bei Notfalleinsatzdiensten sowie Prüfung von Anträgen auf Sozialleistungen.

6. Strafverfolgung

KI zur Bewertung der Rückfallwahrscheinlichkeit, Lügendetektion, Erkennung von Emotionen in Verhören, Überprüfung der Zuverlässigkeit von Beweismitteln.

7. Migration, Asyl und Grenzkontrolle

Risikoabschätzungen, Dokumentenprüfung, Antragsprüfung bei Visa und Asyl.

8. Rechtspflege und demokratische Prozesse

KI zur Unterstützung richterlicher Entscheidungen, Wahlmanipulations-Prävention, Wahlbeeinflussung.

Besondere Relevanz für DACH-Unternehmen

Kategorie 4 (Beschäftigung) betrifft eine große Zahl von HR-Software-Anbietern und Unternehmen, die KI im Recruiting einsetzen. Kategorie 5 (Finanzdienstleistungen) betrifft Banken, Versicherungen und FinTechs. Beide Bereiche sehen in DACH hohe KI-Adoption.

Praxisbeispiele im DACH-Kontext

HR-Tech-Startup in Wien: Entwickelt eine KI-gestützte Lebensläufe-Ranking-Software und fällt damit unter Anhang III Kategorie 4. Das Unternehmen muss Konformitätsbewertung, technische Dokumentation und EU-Registrierung für den Markteintritt abschließen.

Kreditinstitut in Zürich: Setzt ein KI-Kreditscoring-Modell ein, das unter Anhang III Kategorie 5 fällt. Pflichten umfassen: Risikomanagementsystem, Bias-Tests, Logging und menschliche Überprüfung aller Ablehnungsentscheidungen.

Wie Knowlee Anhang-III-Konformität adressiert

Für Kunden im Beschäftigungs- und HR-Bereich bietet Knowlee standardmäßige Human-in-the-Loop-Mechanismen, vollständige Audit-Trails und konfigurierbares Monitoring — die technische Grundlage für die Erfüllung der Hochrisiko-Anforderungen unter Anhang III.

FAQ

Kann ein Unternehmen den Anwendungsbereich seines KI-Systems so gestalten, dass Anhang III nicht zutrifft? Nur wenn der tatsächliche Einsatz wirklich außerhalb der Anhang-III-Kategorien liegt. Eine reine Umbenennung oder unklare Zweckbeschreibung schützt nicht vor der Hochrisikoeinstufung.

Müssen auch Deployer, die fremde KI-Systeme einsetzen, Anhang-III-Anforderungen erfüllen? Ja. Deployer haben eigene Pflichten: Sie müssen sicherstellen, dass menschliche Aufsicht gewährleistet ist, Mitarbeitende geschult sind und Vorfälle gemeldet werden.

Wird Anhang III regelmäßig aktualisiert? Ja, die EU-Kommission kann Anhang III durch delegierte Rechtsakte erweitern. Unternehmen sollten offizielle Updates verfolgen.