Anhang III Hochrisiko-KI-Systeme: Leitfaden zur Klassifizierung gemäß Artikel 6
Artikel 6 des EU-KI-Acts definiert zwei Pfade zur hochrisikoreichen Klassifizierung. Diese Anleitung führt Sie durch beide, die Anhang-III-Anwendungsfälle, die Artikel-6(3)-Ausnahme und eine schrittweise Selbstbewertung.
Anhang III Hochrisiko-KI-Systeme: Leitfaden zur Klassifizierung gemäß Artikel 6
Artikel 6 des EU-KI-Acts definiert zwei Pfade zur hochrisikoreichen Klassifizierung. Diese Anleitung führt Sie durch beide, die Anhang-III-Anwendungsfälle, die Artikel-6(3)-Ausnahme und eine schrittweise Selbstbewertung.
Zuletzt aktualisiert: 4. Juli 2026
Was macht ein KI-System zu einem Hochrisiko-System?
Artikel 6 schafft zwei unabhängige Wege. Wenn eines dieser Kriterien erfüllt ist, wird das System als Hochrisiko eingestuft – und es gelten die vollständigen Dokumentationsanforderungen des Anhangs IV, die Kontrollen gemäß Artikel 9–15 und die Verpflichtungen zur Konformitätsbewertung.
Die beiden Wege: Artikel 6(1) betrifft KI, die als Sicherheitskomponente in regulierten Produkten verwendet wird. Artikel 6(2) + Anhang III betrifft eigenständige KI in acht spezifischen Anwendungsfallkategorien.
Weg 1: Sicherheitskomponenten (Artikel 6(1))
Wenn Ihre KI eine Sicherheitskomponente eines Produkts ist, das durch EU-Sektorvorschriften abgedeckt wird (Medizinprodukte, Fahrzeuge, Maschinen, Aufzüge, Spielzeug usw.) oder selbst ein solches Produkt ist, wird sie automatisch als Hochrisiko eingestuft.
Die Konformitätsbewertung muss von einer benannten Stelle durchgeführt werden.
Weg 2: Anwendungsfälle im Anhang III (Artikel 6(2))
Acht Anwendungsfallkategorien führen unabhängig von der zugrunde liegenden Technologie zur Einstufung als Hochrisiko:
- Biometrie: Fernbiometrische Identifizierung und Systeme zur Erkennung von Emotionen
- Kritische Infrastruktur: KI in den Bereichen Energie, Wasser, Gas, Wärme und digitale Infrastruktur
- Bildung: KI für die Bewertung von Schülern, die Bewertung von Prüfungen und die Analyse von Lernergebnissen
- Beschäftigung: Überprüfung von Lebensläufen, Analyse von Vorstellungsgesprächen, Aufgabenverteilung, Leistungsbeurteilung, Entscheidungen über Entlassungen
- Wesentliche Dienstleistungen: Bonitätsbewertung, Kreditgenehmigung, Versicherungspreise, Notfalldienste
- Strafverfolgung: Risikobewertung, Lügendetektoren, Beweisauswertung, Profilerstellung
- Migration und Asyl: Visaanträge, Asylverfahren, Grenzkontrolle
- Justiz: Unterstützung bei der Strafzumessung, Vorhersage von Fallausgängen, juristische Recherche
Die Ausnahmeregelung in Artikel 6(3)
Ein KI-System aus Anhang III kann von der Regelung ausgenommen werden, wenn es kein erhebliches Risiko für die Gesundheit, Sicherheit oder die Grundrechte darstellt.
Anerkannte Fälle umfassen enge, verfahrenstechnische Aufgaben, die Verbesserung des Ergebnisses einer zuvor abgeschlossenen menschlichen Tätigkeit, die Erkennung von Entscheidungsmustern, ohne die menschliche Bewertung zu ersetzen, oder vorbereitende Aufgaben für eine nachfolgende menschliche Entscheidung. Profiling ist immer ein hohes Risiko. Die Ausnahme gilt niemals, wenn das System ein Profiling natürlicher Personen durchführt.
Wenn Sie die Ausnahme geltend machen, dokumentieren Sie die Begründung sorgfältig. Die Aufsichtsbehörden können dies in Frage stellen.
Dokumentationsanforderungen bei hohem Risiko
KI-Systeme mit hohem Risiko müssen eine umfassende Dokumentation zur Einhaltung der Vorschriften vorlegen:
- Technische Dokumentation gemäß Anhang IV
- Risikomanagementsystem gemäß Artikel 9
- Datengovernance-Aufzeichnungen gemäß Artikel 10
- Protokollierung im Produktionsbetrieb gemäß Artikel 12
- Design der menschlichen Überwachung gemäß Artikel 14
- Konformitätsbewertung + CE-Kennzeichnung
- Registrierung in der EU-KI-Datenbank
Wie AIAgentree hilft
Wenn Ihr System hochrisikoreich ist, produziert AIAgentree die laufenden Beweise, die die Klassifizierung auslöst:
- Artikel 12 automatisches Entscheidungsprotokoll — manipulationsfest, aufgezeichnet über SDK, MCP, A2A oder die OpenTelemetry-Brücke ohne Neuschreibung
- Artikel 14 menschliche Aufsicht und Genehmigungsworkflows, die aufzeichnen, wer was, wann und warum überschrieben hat
- Audit-fähige Aufbewahrung (mindestens sechs Monate) plus Annex-IV-konforme Exporte für Ihre technische Akte, mit EU-Datenresidenz (Deutschland)
Häufig gestellte Fragen
Wie erkenne ich, ob mein KI-System unter Anhang III als hochrisikig gilt?
Arbeiten Sie die beiden Artikel-6-Pfade durch: (1) Ihr System ist ein Sicherheitsbestandteil eines Produkts, das von der EU-Gesetzgebung in Anhang I abgedeckt ist, oder (2) es fällt in einen der Anhang-III-Anwendungsfälle (Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienstleistungen, Strafverfolgung, Migration, Justiz). Wenn einer davon zutrifft und keine Artikel-6(3)-Ausnahme greift, ist es hochrisikig.
Was ist die Artikel-6(3)-Ausnahme?
Ein Anhang-III-System kann den Status als hochrisikig vermeiden, wenn es kein erhebliches Risiko für die Gesundheit, die Sicherheit oder die Grundrechte darstellt - zum Beispiel bei engen Verfahrensaufgaben oder Vorbereitungsarbeiten für eine menschliche Entscheidung. Die Erstellung von Profilen natürlicher Personen ist immer hochrisikig, und Sie müssen Ihre Ausnahmegründe dokumentieren, da die Aufsichtsbehörden diese herausfordern können.
Wann beginnen die Verpflichtungen für hochrisikige Systeme zu gelten?
Für eigenständige Anhang-III-Hochrisikosysteme gelten die vollen Verpflichtungen ab dem 2. August 2026. KI, die als Sicherheitsbestandteil von Produkten reguliert wird, die unter bestehendes EU-Sektorengesetz fallen, erreicht die volle Anwendbarkeit am 2. August 2027.
Was passiert, sobald mein System als hochrisikig eingestuft wird?
Sie müssen das Risikomanagement nach Artikel 9, die Datenverwaltung nach Artikel 10, die technische Dokumentation nach Artikel 11/Anhang IV, die Protokollierung nach Artikel 12, die menschliche Aufsicht nach Artikel 14, eine Konformitätsbewertung durchführen, die CE-Kennzeichnung anbringen und sich in der EU-Datenbank registrieren. AIAgentree abdeckt den Teil der Protokollierung, der Aufsicht und der Prüfnachweise dieses Stacks.
Fahren Sie mit der Erkundung des EU-KI-Gesetzes-Leitfadens fort
EU-KI-Gesetzes-Konformitäts-Leitfaden
Der vollständige Leitfaden zur Konformität mit dem EU-KI-Gesetz für KI-Agenten — starten Sie hier.
Artikel 12 — Aufzeichnung und Protokollierung
Was jedes Hochrisiko-KI-System protokollieren muss und wie man es erfassen kann.
Artikel 14 — Menschliche Aufsicht
Entwicklung effektiver menschlicher Kontrollen für KI-Entscheidungen.
EU-KI-Gesetzes-Konformitäts-Checkliste
Eine schrittweise Checkliste, um die Konformität zu erreichen und zu dokumentieren.
Konformitätskostenrechner
Schätzen Sie Ihre Konformitätsbemühungen und -kosten für das EU-KI-Gesetz.
Fristen und Zeitplan
Wichtige Durchsetzungsdaten, einschließlich der Frist vom 2. August 2026.
Geldstrafen und Bußgelder
Bußgeldstufen bis zu 35 Mio. € oder 7 % des globalen Jahresumsatzes.
Transparenzpflichten (Art. 13 und 50)
Offenlegungspflichten für KI-Systeme und ihre Ausgaben.
Risikomanagement und Konformitätsbewertung
Aufbau eines Risikomanagementsystems und Bewertung der Konformität.
GPAI-Pflichten
Regeln für Anbieter von allgemeinen KI-Modellen.
EU-KI-Gesetz für US-Unternehmen
Außerräumiger Anwendungsbereich und was US-Anbieter tun müssen.
Omnibus-Update
Die neuesten Änderungen an der EU-KI-Gesetz-Zeitachse und -Regeln.
Bußgeldrechner
Schätzen Sie Ihr maximales Bußgeld unter den Artikel 99-Stufen.
Artikel 11 + Anhang IV
Welche technische Dokumentation das EU-AI-Gesetz erfordert.
Artikel 26: Verpflichtungen des Deployers
Was Deployer von High-Risk-KI tun müssen, einschließlich Log-Aufbewahrung.
Artikel 17: Qualitätsmanagement
Das QMS, das Anbieter von High-Risk-KI dokumentieren müssen.
Artikel 10: Datenverwaltung
Datenqualität, Bias-Mitigation und Governance-Pflichten.
Artikel 4: KI-Literacy
Die KI-Literacy-Pflicht des Personals, die seit Februar 2025 in Kraft ist.
Deployer vs. Anbieter
Wer welche Verpflichtung trägt — und wann ein Deployer zu einem Anbieter wird.
FRIA (Artikel 27)
Wer eine Grundrechte-Auswirkungsabschätzung durchführen muss und wie.
Wer ist betroffen?
Anwendungsbereich, Betreiber und extraterritoriale Reichweite des EU-AI-Gesetzes.
Nachmarküberwachung
Artikel 72–73: laufende Überwachung und Meldung von Vorfällen.
ISO 42001 vs. EU-AI-Gesetz
Wie der freiwillige Standard und das bindende Gesetz zusammenpassen.
NIST AI RMF vs. EU-AI-Gesetz
Ein praktischer Vergleich zwischen dem Framework und dem Gesetz.
EU-AI-Gesetz für den Gesundheitssektor
High-Risk-Medizin-KI, MDR/IVDR-Interaktion und klinische Überwachung.
EU-AI-Gesetz für Finanzdienstleistungen
Kreditwürdigkeit, Versicherungspreise und bestehende Finanzregulierung.
EU-AI-Gesetz für Personalwesen und Beschäftigung
Einstellung von KI als High-Risk, plus NYC LL144 und EEOC-Überschneidung.