Zum Inhalt springen

Hochrisiko-KI nach dem EU AI Act: Was fällt darunter, und was bedeutet das für dich?

Hochrisiko-KI trifft mehr Unternehmen als gedacht. Was die Klassifizierung bedeutet, welche Pflichten entstehen und wie du deine Systeme einschätzt.

Hochrisiko-KI nach dem EU AI Act: Was fällt darunter, und was bedeutet das für dich?

Du nutzt ein HR-Tool, das Bewerbungen automatisch vorsortiert. Oder deine Bank verwendet einen Algorithmus, der Kreditanträge bewertet. Oder ein Softwarepaket priorisiert Krankmeldungen. Klingt normal? Nach dem EU AI Act könnte das alles Hochrisiko-KI sein, mit einer ganzen Latte an Pflichten, die ab August 2026 gelten.

Die meisten Unternehmen, mit denen ich gesprochen habe, haben keine klare Antwort auf die Frage: “Betreibt ihr eigentlich Hochrisiko-KI?” Das ist kein Vorwurf. Die Klassifizierung ist wirklich nicht trivial. Schauen wir uns das gemeinsam an.

Zeitplan im Blick: Einen Überblick über alle Fristen und was bis August 2026 konkret zu tun ist, findest du in unserem Artikel EU AI Act: was jetzt gilt.

Was macht eine KI zum “Hochrisiko”-System?

Der EU AI Act teilt KI-Systeme in Risikoklassen ein. Ganz oben: verbotene Systeme (zum Beispiel Social Scoring). Darunter: Hochrisiko-KI. Der Name klingt dramatisch, aber er meint nicht, dass die Software gefährlich ist. Er meint, dass sie in einem Bereich eingesetzt wird, wo Fehler echte Konsequenzen für echte Menschen haben.

Die entscheidende Frage ist nicht “Wie gut ist die KI?”, sondern “In welchem Kontext läuft sie?”

Die Bereiche, die Hochrisiko auslösen

Der AI Act listet Anhang III auf. Das ist die Tabelle, die viele schlaflose Nächte verursacht. Einige Beispiele, die für Unternehmen in Deutschland besonders relevant sind:

Personalentscheidungen und Recruiting. Jede KI, die Bewerbungen filtert, Kandidaten rankt oder Arbeitsverträge bewertet, fällt hier rein. Tools wie Greenhouse oder Workday bieten inzwischen KI-gestützte Vorauswahl. Genau das ist gemeint. Wenn dein Bewerbermanagementsystem KI nutzt, um Stapel von Bewerbungen auf eine Shortlist zu reduzieren, schau genau hin. Was das in der Praxis bedeutet, zeigen wir am Beispiel KI-gestützte Bewerbersichtung.

Kreditwürdigkeit und Bonitätsprüfung. Algorithmen, die bestimmen, ob jemand einen Kredit bekommt, fallen ebenfalls darunter. Das betrifft Banken und Fintechs direkt, aber auch Leasinggesellschaften oder B2B-Plattformen, die Zahlungsausfallrisiken automatisch einschätzen.

Medizinische Geräte und Diagnostik. KI, die bei der Diagnose hilft oder Behandlungsempfehlungen macht, zählt zu Hochrisiko, auch wenn sie nur als Unterstützungssystem läuft und ein Arzt am Ende entscheidet.

Bildung und Berufsausbildung. Tools, die Schüler oder Auszubildende bewerten, Prüfungen auswerten oder Lernpfade steuern. Das ist ein Bereich, der in der Debatte oft untergeht.

Kritische Infrastruktur. Wasser, Strom, Verkehr: hier gilt besondere Sorgfalt, das versteht sich.

Der praktische Test für dein Unternehmen

Geh deine KI-Tools durch und sei dabei ehrlich. Die Frage lautet: Trifft diese KI oder beeinflusst sie maßgeblich eine Entscheidung, die das Leben einer Person betrifft?

Ein Textgenerator, der Marketing-E-Mails schreibt? Kein Hochrisiko. Ein Algorithmus, der automatisch entscheidet, wer zum Vorstellungsgespräch eingeladen wird? Hochrisiko.

Die Grauzone liegt oft bei “unterstützenden” Systemen. Wenn die KI eine Empfehlung macht, der ein Mensch fast immer folgt, ist die Unterscheidung “nur Empfehlung” juristisch dünn. Der EU AI Act schaut auf den tatsächlichen Einfluss, nicht auf die formale Beschreibung.

Was Hochrisiko konkret bedeutet: die Pflichten

Wenn dein System als Hochrisiko eingestuft wird, kommen Pflichten auf dich zu. Hier sind die wichtigsten:

Risikomanagementsystem. Du musst vor dem Deployment systematisch Risiken identifizieren und dokumentieren, und das kontinuierlich während des Betriebs.

Datenqualität. Trainingsdaten müssen dokumentiert, auf Bias geprüft und nachvollziehbar sein. Nicht mal theoretisch, sondern tatsächlich.

Technische Dokumentation. Eine vollständige Dokumentation des Systems muss existieren: Architektur, Trainingsdaten, Leistungsparameter, Testmethoden.

Logging und Nachvollziehbarkeit. Das System muss protokollieren, was es tut, so dass im Nachhinein rekonstruiert werden kann, wie eine Entscheidung zustande kam.

Transparenz gegenüber Nutzern. Personen, die von einem Hochrisiko-KI-System betroffen sind, müssen informiert werden, dass KI im Spiel ist.

Menschliche Aufsicht. Es muss eine klare Möglichkeit geben, das System zu übersteuern oder abzuschalten.

Konformitätsbewertung. Vor der Markteinführung oder dem Einsatz muss formal geprüft werden, ob alle Anforderungen erfüllt sind.

Das klingt nach viel, weil es viel ist. Für ein mittelständisches Unternehmen, das ein fertiges HR-Tool eines Drittanbieters einsetzt, sieht es aber anders aus als für den Softwareanbieter selbst. Wer ein Hochrisiko-System entwickelt, trägt die Hauptlast. Wer es einsetzt, hat leichtere Pflichten, aber keine null.

Ich setze ein fertiges Tool ein, bin ich trotzdem betroffen?

Ja, teilweise. Als Betreiber (im AI-Act-Jargon: “Deployer”) musst du unter anderem sicherstellen, dass du das System nur für seinen vorgesehenen Zweck einsetzt, dass deine Mitarbeiter geschult sind und dass du Vorfälle meldest, wenn etwas schiefläuft.

Was das in der Praxis bedeutet: Wenn dein HR-Softwareanbieter nicht klar dokumentiert, dass sein Produkt AI-Act-konform ist, ist das dein Problem. Frag nach. Schriftlich. Das gilt auch für spezialisierte Rechtssoftware wie Harvey AI oder Luminance, die für Vertragsanalyse eingesetzt werden. Die Anbieter sind primär in der Pflicht, aber du musst die Compliance nachweisen können.

Was nicht Hochrisiko ist (und wo Verwechslungen passieren)

Viele Unternehmen haben umgekehrt Angst vor Dingen, die gar nicht Hochrisiko sind. Ein Chatbot auf der Webseite, der Produktfragen beantwortet? Kein Hochrisiko. Ein Spamfilter? Kein Hochrisiko. KI-generierte Zusammenfassungen in deinem CRM? Kein Hochrisiko.

Die Pauschalregel “wir haben KI, also sind wir betroffen” stimmt nicht. Aber die Gegenregel “das ist nur ein kleines Tool” stimmt auch nicht. Entscheidend ist, was das Tool tut und in welchem Kontext.

Der nächste Schritt

Mach eine Liste aller KI-Systeme, die dein Unternehmen nutzt oder plant einzusetzen. Für jedes System: In welchem der genannten Bereiche läuft es? Trifft es oder beeinflusst es Entscheidungen über Personen?

Wenn die Antwort ja ist, lohnt sich ein Gespräch mit einem spezialisierten Anwalt und parallel eine Anfrage bei deinem Softwareanbieter nach dessen Compliance-Dokumentation. Wer jetzt prüft, hat Zeit zu reagieren. Wer bis August wartet, hat keinen Puffer mehr.

Wie KI-Systeme konkret für Vertragsanalyse und -prüfung eingesetzt werden, zeigen wir am Beispiel KI-gestützte Vertragsanalyse. Informationen zum breiteren Rechtsrahmen findest du auch in unserem Artikel zu KI und Recht: was Unternehmen 2026 beachten müssen.


Willst du keinen wichtigen Update rund um den EU AI Act und KI im Unternehmenskontext verpassen? Im KI-Syndikat-Newsletter bekommst du praxisnahe Einschätzungen ohne Fachjargon-Spam.

Mehr KI-Wissen

KI-Wochenbriefing: jeden Freitag KI-News, Praxistipps und Tools

Kostenlos abonnieren, jederzeit abmeldbar, kein Spam.

Diesen Artikel teilen:

Autor und Redaktion

Prof. Dr. Daniel Sonnet

Prof. Dr. Daniel Sonnet

Gründer von KI-Syndikat, Professor an der Hochschule Fresenius

Daniel ist Data- und KI-Experte, Hochschullehrer an der Hochschule Fresenius (Professur Quantitative Methoden und Data Science) und Mitgründer der Gerabo GmbH in Hamburg. Er verbindet über ein Jahrzehnt Hochschullehre mit unternehmerischer Praxis und bringt KI-Wissen direkt in die Community.

Zum Profil

Freddie Feder

KI-Assistent und Lektor

Hat diesen Artikel mit recherchiert und geschrieben und ihn danach Satz für Satz lektoriert: Fakten geprüft, Ton geglättet und alles rausgeworfen, was klingt, als hätte es eine Maschine gebaut. Die inhaltliche Verantwortung liegt bei den menschlichen Autoren.

Mehr über unser Team

Das könnte dich auch interessieren

Der EU AI Act bestraft nicht die Hightech-Konzerne, sondern den Handwerksbetrieb mit HR-Software

Der EU AI Act gilt für alle, die KI in der EU einsetzen, auch für Betriebe, die nur Tools von Drittanbietern nutzen. Was das konkret bedeutet, wer wirklich betroffen ist, und welche fünf Schritte jetzt helfen.

4 Min.

EU AI Act: Was ab August 2026 konkret für dein Unternehmen gilt

Am 2. August 2026 greifen die schärfsten EU AI Act-Pflichten. Was sich ändert, welche Unternehmen betroffen sind, und eine Checkliste für KMU.

6 Min.

KI im Bewerbungsprozess: Was Arbeitgeber dürfen, und was nicht

KI im Recruiting verspricht Effizienz, bringt aber rechtliche Risiken mit sich. Was HR-Teams heute dürfen, was verboten ist und was du vor dem Einsatz prüfen musst.

4 Min.

Transparenzpflichten bei KI: Was du Kunden und Nutzern sagen musst

EU AI Act und DSGVO verlangen Transparenz beim KI-Einsatz. Welche Pflichten du als Unternehmen hast – und wie du sie verständlich erfüllst.

5 Min.

EU AI Act: Risikoklassen, Bußgelder und die Checkliste für KMU

Welche deiner KI-Systeme fallen unter welche Risikoklasse, und was droht konkret bei Verstößen? Das Kompendium für KMU mit 12-Punkte-Checkliste.

8 Min.

Der Betriebsrat ist kein KI-Bremser, er ist dein bestes Qualitätssicherungsinstrument

Die meisten Unternehmen betrachten den Betriebsrat bei KI-Einführungen als Hürde. Das ist ein teurer Irrtum. Was §87 BetrVG wirklich bedeutet, und warum frühes Einbeziehen Projekte rettet.

6 Min.

Kommentare

Kommentare werden in Kürze freigeschaltet. Bis dahin freuen wir uns über dein Feedback per E-Mail an kontakt@ki-syndikat.de.

Kostenloser Newsletter

Bleib auf dem neuesten
Stand der KI

Wähle deine Themen und erhalte relevante KI-News, Praxistipps und exklusive Inhalte direkt in dein Postfach – kein Spam, jederzeit abmeldbar.

Was interessiert dich? Wähle 1–4 Themen, du bekommst nur Inhalte dazu.

Mit der Anmeldung stimmst du unserer Datenschutzerklärung zu. Jederzeit abmeldbar.

Kostenlos
Kein Spam
Jederzeit abmeldbar