EU-Kommission veröffentlicht Entwürfe für Leitlinien zu Hochrisiko-KI-Systemen

EU-Kommission veröffentlicht Entwürfe für Leitlinien zu Hochrisiko-KI-Systemen

Am 19. Mai 2026 hat die Europäische Kommission die erwarteten Entwürfe für Leitlinien zur Einstufung von Hochrisiko-KI-Systemen gemäß Artikel 6 der KI-Verordnung (AI Act) vorgelegt. Diese Leitlinien dienen als zentrale Orientierungshilfe für Anbieter und Betreiber, um Rechtssicherheit bei der Identifizierung regulierter KI-Anwendungen zu schaffen. Da die Einstufung als „Hochrisiko“ weitreichende Compliance-Pflichten nach sich zieht, sind diese Dokumente für Unternehmen aller Branchen von operativer Bedeutung.

Die Leitlinien sind Teil eines umfassenderen Rahmens, zu dem auch der AI Continent Action Plan gehört, der darauf abzielt, Europas Industrien zu Trägern von KI-Innovationen zu machen und gleichzeitig Grundrechte und Vertrauen zu sichern. Zuvor wurde auch der GPAI Code of Practice finalisiert, der für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) gilt.

Die zweisäulige Struktur der Hochrisiko-Klassifizierung

Die Leitlinien folgen der Systematik des Artikels 6 der KI-Verordnung, der zwei verschiedene Wege zur Einstufung als Hochrisiko-System vorsieht.

  1. Der erste Weg bezieht sich auf KI-Systeme, die als Sicherheitskomponenten in Produkten eingesetzt werden, die bereits spezifischen EU-Harmonisierungsvorschriften unterliegen (Anhang I).
  2. Der zweite Weg umfasst eigenständige KI-Systeme in explizit genannten kritischen Anwendungsbereichen (Anhang III).

Die Entwürfe bieten detaillierte Auslegungen für beide Szenarien und enthalten zahlreiche Praxisbeispiele, um die Abgrenzung im Einzelfall zu erleichtern.

Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?

Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können. 

Jetzt unverbindliches Angebot anfordern

Anhang I: KI in regulierten Produkten

Ein KI-System gilt nach Artikel 6 Absatz 1 als hochriskant, wenn es entweder selbst ein Produkt ist oder als Sicherheitskomponente eines Produkts dient, das unter die in Anhang I aufgeführten Rechtsvorschriften fällt (z. B. Maschinen, Spielzeug, Medizinprodukte oder Aufzüge). Voraussetzung ist zudem, dass das Produkt einer Konformitätsbewertung durch Dritte unterzogen werden muss.

Besondere Aufmerksamkeit widmen die Leitlinien der Definition der Sicherheitskomponente. Ein System erfüllt diese Funktion, wenn es dazu bestimmt ist, Risiken für die Gesundheit und Sicherheit von Personen oder für das Eigentum zu verhindern oder zu mindern. Ein Versagen oder eine Fehlfunktion solcher Komponenten würde eine unmittelbare Gefahr darstellen. Rein unterstützende Funktionen, wie etwa die Optimierung der Energieeffizienz ohne Sicherheitsrelevanz, fallen hingegen nicht unter diesen Begriff.

Für KI-Systeme, die unter Anhang I fallen, ist zudem eine einzige, kombinierte technische Dokumentation zu erstellen, die sämtliche rechtlich erforderlichen Angaben integriert.

Anhang III: Kritische Anwendungsbereiche

Für eigenständige KI-Systeme ist die Liste der Anwendungsbereiche in Anhang III maßgeblich. Die Leitlinien präzisieren hierbei acht Kernbereiche, darunter Biometrie, kritische Infrastrukturen, Erziehung und Berufsbildung sowie Beschäftigung und Personalmanagement.

Ein entscheidendes Kriterium für die Einstufung ist die vom Anbieter festgelegte Zweckbestimmung. Die Leitlinien stellen klar, dass eine Zweckbestimmung nicht allein durch formale Klauseln in den Nutzungsbedingungen eingeschränkt werden kann, wenn die tatsächliche Positionierung oder die Funktionalitäten des Produkts Hochrisiko-Anwendungen fördern oder ermöglichen. Für den Bereich Beschäftigung bedeutet dies beispielsweise, dass KI-Systeme zur Analyse von Bewerbungen oder zur Bewertung von Mitarbeitern grundsätzlich als hochriskant gelten, da sie maßgeblichen Einfluss auf die berufliche Laufbahn haben.

KI-Compliance aus einer Hand

Künstliche Intelligenz rechtssicher nutzen & entwickeln
  • KINAST KI-Beratung 
  • KINAST externer KI-Beauftragter
  • KINAST KI-Kompetenz-Schulungen
Jetzt unverbindliches Angebot anfordern

Ausnahmen durch den Filter-Mechanismus

Artikel 6 Absatz 3 KI-VO führt einen sogenannten „Filter-Mechanismus“ ein, der es ermöglicht, KI-Systeme trotz ihrer Einordnung in Anhang III von der Hochrisiko-Klassifizierung auszunehmen. Dies ist möglich, wenn das System kein erhebliches Risiko für die Gesundheit, Sicherheit oder Grundrechte darstellt. Die Leitlinien nennen hierfür vier alternative Bedingungen:

  1. Das System führt lediglich eine begrenzte Verfahrensaufgabe aus (z. B. Datenformatierung).
  2. Das System dient der Verbesserung des Ergebnisses einer zuvor abgeschlossenen menschlichen Tätigkeit.
  3. Das System erkennt lediglich Entscheidungsstrukturen oder Abweichungen, ohne die menschliche Bewertung zu ersetzen.
  4. Das System führt eine vorbereitende Aufgabe aus.

Wichtig: Diese Ausnahme greift niemals, wenn das KI-System ein Profiling von natürlichen Personen durchführt. In solchen Fällen bleibt das System zwingend als Hochrisiko eingestuft.

Zeitplan und Inkrafttreten der Pflichten

Unternehmen müssen den gestuften Zeitplan für die Anwendung der Hochrisiko-Regeln beachten. Die EU Kommission verweist im Entwurf auf die durch den Digital Omnibus teilweise angepassten Fristen:

  • Regeln für Systeme nach Anhang III (Art. 6 Abs. 2) finden ab dem 2. Dezember 2027 Anwendung.
  • Regeln für Systeme nach Anhang I (Art. 6 Abs. 1) werden ab dem 2. August 2028 verpflichtend.

KI-Systeme, die bereits vor diesen Zeitpunkten rechtmäßig in Betrieb genommen wurden, unterliegen einer Übergangsfrist bis zum 2. August 2030, sofern sie nach diesen Daten nicht wesentlich verändert werden.

Handlungsbedarf für Unternehmen und Fazit

Die veröffentlichten Entwürfe verdeutlichen, dass die Klassifizierung kein rein formaler Akt ist, sondern eine tiefgehende Analyse der technischen Funktionalität und der Zweckbestimmung erfordert. Unternehmen sollten die aktuelle Konsultationsphase nutzen, um ihre Prozesse frühzeitig an die kommenden Standards anzupassen. Beispielsweise durch:

  • Bestandsaufnahme: Identifikation aller im Unternehmen eingesetzten oder angebotenen KI-Systeme.
  • Zweckprüfung: Abgleich der Systeme mit den Anwendungsfällen der Anhänge I und III.
  • Dokumentation: Wer den Filter-Mechanismus nach Art. 6 Abs. 3 beansprucht, muss dies vor dem Inverkehrbringen dokumentieren und das System registrieren.
  • Due Diligence: Da Marktüberwachungsbehörden bei Fehlklassifizierungen Sanktionen verhängen können, sollte die Einstufung rechtlich abgesichert werden.

Der „KI-Beauftragte“ -

Ihre Lösung für rechtssichere KI-Compliance

Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt. 

Jetzt unverbindliches Angebot anfordern

Das könnte Sie auch interessieren..

Meist gelesen

EU-Kommission veröffentlicht Entwürfe für Leitlinien zu Hochrisiko-KI-Systemen
EU-Kommission veröffentlicht Entwürfe für Leitlinien zu Hochrisiko-KI-Systemen
KI-Reallabor abgeschlossen: Was Unternehmen jetzt wissen müssen
LDA Bayern veröffentlicht 15. Tätigkeitsbericht für 2025
KI-Durchführungsgesetz: Streit um die Aufsicht – und die Folgen für Unternehmen
KI-Durchführungsgesetz: Streit um die Aufsicht und die Folgen für Unternehmen