Du kaufst ein HR-Tool, das Lebensläufe automatisch vorselektiert. Oder deine Bank nutzt ein Scoring-System für Kreditentscheidungen. Oder dein Fertigungsbetrieb plant, KI zur Qualitätskontrolle in einer kritischen Anlage einzusetzen.

Alle drei Szenarien können unter den EU AI Act fallen — und zwar unter die härteste Kategorie: Hochrisiko.

Was das bedeutet und was du konkret tun musst, steht hier.

Was Anhang III überhaupt ist

Der EU AI Act teilt KI-Systeme in Risikoklassen ein. Die schärfsten Regeln gelten für sogenannte Hochrisiko-Systeme. Ein Teil davon ergibt sich direkt aus dem Gesetzestext (Artikel 6 Absatz 1 — KI in sicherheitsrelevanten Produkten wie Medizingeräten). Der andere Teil steht in Anhang III.

Anhang III listet acht Bereiche auf, in denen KI automatisch als hochriskant gilt:

  • Kritische Infrastruktur: Energieversorgung, Wasser, Verkehr — KI, die diese Systeme steuert oder überwacht
  • Bildung und Berufsausbildung: Systeme, die über Zulassungen, Prüfungsbewertungen oder Lernpfade entscheiden
  • Beschäftigung und Personalmanagement: CV-Screening, automatisiertes Ranking von Bewerbern, Entscheidungen über Beförderungen oder Kündigungen
  • Wesentliche Dienstleistungen: Kreditvergabe, Versicherungen, Sozialhilfe — KI, die über den Zugang entscheidet
  • Strafverfolgung: Risikoanalysen, Täterprofiling, Beweisbewertung
  • Migration und Grenzkontrolle: Risikoeinschätzungen, Dokumentenprüfung
  • Justiz und Demokratie: KI zur Unterstützung richterlicher Entscheidungen
  • Biometrische Kategorisierung: Identifikation in Echtzeit in öffentlichen Räumen (mit weitgehenden Verboten)

Für den typischen Mittelständler relevant sind vor allem die ersten vier: HR, Kredit, Bildung, Infrastruktur.

Die Pflichten — und wer sie hat

Der AI Act unterscheidet zwischen Providern (wer das System entwickelt oder in Verkehr bringt) und Deployern (wer es einsetzt). Beide haben Pflichten. Aber unterschiedliche.

Als Provider eines Hochrisiko-Systems musst du:

  • Ein Risiko-Management-System aufbauen und laufend betreiben (Artikel 9)
  • Technische Dokumentation erstellen, die erklärt wie das System funktioniert, trainiert wurde und getestet wurde (Artikel 11)
  • Automatisches Logging einrichten, damit Entscheidungen nachvollziehbar bleiben (Artikel 12)
  • Das System einer Konformitätsbewertung unterziehen — bei vielen Hochrisiko-Systemen reicht eine Selbstbewertung, bei einigen (z.B. biometrische Systeme) muss eine Notified Body ran
  • Das System in die EU-Datenbank für Hochrisiko-KI eintragen (Artikel 71)
  • Eine CE-Kennzeichnung anbringen, bevor das System auf den Markt kommt (Artikel 48)

Als Deployer hast du weniger, aber nicht nichts:

  • Du musst das System gemäß Zweckbestimmung nutzen — abweichende Nutzung macht dich selbst zum Provider
  • Du brauchst ein internes Monitoring der Systemleistung im laufenden Betrieb
  • Du musst sicherstellen, dass menschliche Aufsicht tatsächlich stattfindet — nicht nur auf dem Papier steht
  • Bei Systemen, die Entscheidungen über Personen treffen: Transparenzpflicht gegenüber den Betroffenen

Das klingt nach viel. Ist es auch. Aber es gibt eine gute Nachricht für den Mittelstand.

Was das konkret für dich bedeutet

Szenario 1: Du kaufst ein HR-Tool. Du bist Deployer. Der Anbieter muss CE-Kennzeichnung, Dokumentation und Datenbankeintrag liefern. Dein Job: prüfen, ob er das wirklich gemacht hat. Fordere die technische Dokumentation an. Prüfe, ob das System in der EU-Datenbank steht. Und stelle sicher, dass dein HR-Team Entscheidungen nicht blind übernimmt.

Szenario 2: Du baust selbst ein Bewerbermanagementsystem mit KI. Du bist Provider. Dann brauchst du das volle Programm — Risikomanagement-System, Doku, Konformitätsbewertung, CE, Datenbankeintrag. Das ist kein Projekt für zwischendurch. Plant mindestens drei bis sechs Monate ein, bevor ihr live geht.

Szenario 3: Du nutzt ein bestehendes System für einen neuen Zweck. Vorsicht. Wenn du ein KI-System außerhalb seiner Zweckbestimmung einsetzt, wirst du rechtlich zum Provider — mit allen Konsequenzen.

Drei Handlungsimpulse

1. Inventar machen. Liste alle KI-Systeme auf, die ihr einsetzt oder plant einzusetzen. Fragt euch bei jedem: Fällt das unter Anhang III? Wer ist Provider, wer Deployer?

2. Lieferantenverträge prüfen. Bei jedem Einkauf eines KI-Tools, das in Anhang-III-Bereichen arbeitet: Compliance-Nachweis, CE-Kennzeichnung und Datenbankregistrierung vertraglich fordern. Ohne diese Nachweise keine Abnahme.

3. Interne Aufsicht strukturieren. Menschliche Kontrolle bedeutet nicht, dass jemand daneben sitzt. Es bedeutet: klare Zuständigkeit, dokumentierte Überprüfungen, definierte Eskalationswege. Baut das in eure Prozesse ein, bevor eine Behörde fragt.

Der EU AI Act ist seit August 2024 in Kraft. Die Regeln für Hochrisiko-Systeme gelten ab August 2026. Die Zeit läuft. Wer jetzt anfängt, hat noch einen Puffer. Wer wartet, kauft sich Stress.

Wenn du wissen willst, wo dein Unternehmen gerade steht, schreib mir.

Olga Reyes-Busch
Sonnige Grüße, Olga

Fragen? Einfach melden — oder direkt ein kurzes Gespräch buchen.

Kurzes Gespräch buchen →