EU liefert den Hochrisiko-Leitfaden für KI-Systeme
Die EU-Kommission konkretisiert Artikel 6 der KI-Verordnung. Endlich gibt es ein Werkzeug, um rechtssicher zu prüfen, ob ein KI-System als Hochrisiko gilt.
Eine der häufigsten Fragen bei der Arbeit mit KI in Unternehmen lautet: Ist unsere Anwendung eigentlich ein Hochrisiko-System nach der KI-Verordnung? Bisher gab es darauf keine verlässliche Antwort, nur Auslegung und Bauchgefühl. Das ändert sich jetzt. Die EU-Kommission hat den lange erwarteten Entwurf ihrer Leitlinien zur Einstufung von Hochrisiko-KI vorgelegt, samt umfangreicher Anhänge und im Rahmen einer öffentlichen Konsultation.
Der Entwurf konkretisiert Artikel 6 der KI-Verordnung, das Fundament der gesamten Risikoklassifizierung. Gedacht ist er als Orientierungshilfe für die nationalen Marktüberwachungsbehörden, in Deutschland vor allem die Bundesnetzagentur. Genauso wichtig: Entwickler, Anbieter und Betreiber bekommen damit ein Werkzeug, um selbst rechtssicher zu bestimmen, ob ihre Anwendung in die Hochrisiko-Kategorie fällt.
Die zwei Säulen der Einstufung
Die Systematik steht auf zwei Pfeilern.
Artikel 6 Absatz 1 erfasst KI, die selbst ein Produkt nach den EU-Harmonisierungsvorschriften (Anhang I) ist oder als Sicherheitskomponente in einem solchen Produkt steckt. Maschinensicherheit, Medizinprodukte, Spielzeug fallen hierunter. Voraussetzung: Das Endprodukt muss ohnehin eine verpflichtende Konformitätsbewertung durch eine dritte Stelle durchlaufen. Im Fokus steht dabei nicht das einzelne Produkt, sondern ob es in der Liste der Harmonisierungsvorschriften auftaucht.
Artikel 6 Absatz 2 betrifft eigenständige Systeme, die Anhang III als risikoreich ausweist. Die Kommission gliedert diesen Bereich in acht übergeordnete Kategorien, darunter kritische Infrastruktur, Bildung und Biometrie. Wer also einen KI-gestützten Bewerbungsfilter, ein Kreditscoring oder eine Prüfungsbewertung baut, landet hier.
Beispiele statt Theorie
Der praktische Wert des Entwurfs liegt in den Beispielen. Die Kommission liefert konkrete Fälle, an denen sich die Ja-Nein-Frage durchspielen lässt. Wichtig dabei: Die Liste ist nicht abschließend. Sie versteht sich als dynamisches Dokument, das laufend an die technische Entwicklung angepasst wird.
Ein Beispiel, das in der Wearable-Branche für Diskussionen sorgen dürfte: Eine Smartwatch, die per Herzschlag-Tracking Gefühle erkennt, gilt nach dem Entwurf als Hochrisiko-Anwendung. Emotionserkennung über biometrische Daten ist eben kein harmloses Feature, sondern ein Eingriff, der unter die strengen Auflagen fällt.
Keine Schlupflöcher
Spannend für alle, die in der Vergangenheit versucht haben, sich aus der Regulierung herauszuwinden: Der Entwurf schließt zwei beliebte Schlupflöcher.
Ein Anbieter kann ein System nicht einfach dadurch als risikoarm einstufen, dass er pauschal "menschliches Eingreifen" vorsieht. Ein Mensch, der nur formal am Ende der Kette steht, reicht nicht. Und die im Gesetz verankerten Ausnahmen vom Hochrisiko-Filter sind kein Freifahrtschein. Die Kommission stellt klar: Die Bedingungen müssen eng ausgelegt werden.
Damit ist die Linie deutlich. Wer im Graubereich operiert und auf großzügige Auslegung gehofft hat, bekommt jetzt eine engere Definition.
Einordnung und Timeline
Die Einstufung als Hochrisiko bedeutet kein Verbot. Sie bedeutet, dass das System bestimmte Mindeststandards erfüllen muss: Es soll präzise und wie beabsichtigt funktionieren, und Risiken für Gesundheit, Sicherheit und Grundrechte müssen bewertet und gemindert werden. Die Klassifizierung soll außerdem in allen Mitgliedstaaten einheitlich wirken, also kein Flickenteppich aus 27 nationalen Auslegungen.
Beim Timing hängt das Ganze am Omnibus-Deal vom 7. Mai: Die strengen Pflichten für eigenständige Hochrisiko-Systeme nach Artikel 6 Absatz 2 greifen ab dem 2. Dezember 2027, für Produkte nach Absatz 1 sogar erst ab dem 2. August 2028. Das klingt weit weg, ist es aber nicht. Wer ein potenzielles Hochrisiko-System baut oder betreibt, sollte die Einstufung jetzt machen, solange Zeit für Anpassungen bleibt.
Was DACH-Teams jetzt tun sollten
Der wichtigste Schritt ist die ehrliche Selbsteinstufung. Nehmt die acht Anhang-III-Kategorien und die Anhang-I-Produktliste und prüft, ob eure Anwendung dort auftaucht. Der Leitfaden gibt dafür erstmals eine brauchbare Methodik an die Hand, statt nur abstrakte Gesetzestexte.
Wer feststellt, dass ein System unter Hochrisiko fällt, sollte nicht auf 2027 warten, sondern die Dokumentation, Risikobewertung und Konformitätsprozesse jetzt aufsetzen. Und wer im Graubereich liegt und bisher auf "da ist ja ein Mensch im Spiel" gesetzt hat, sollte diese Annahme dringend überprüfen. Genau dieses Argument zieht nach dem Entwurf nicht mehr.
Da es sich um einen Entwurf in der Konsultationsphase handelt, kann sich im Detail noch etwas ändern. Die Grundlinie steht aber, und sie ist klar genug, um die eigene Hausaufgabe zu beginnen.
Quellen3
- heise - Brüssel ordnet Algorithmen: EU-Kommission konkretisiert die Hochrisiko-KIheise.de
- Europäische Kommission - Draft guidelines on the classification of high-risk AI systemsdigital-strategy.ec.europa.eu
- EU-Rat - Council and Parliament agree to simplify and streamline rules (07.05.2026)consilium.europa.eu