Auf einen Blick: Eine KI gilt nach Art. 6 EU AI Act als hochriskant, wenn sie in einen der acht Bereiche von Anhang III fällt, etwa Beschäftigung, Bildung, Kreditwürdigkeit oder kritische Infrastruktur. Die Ausnahme nach Art. 6 Abs. 3 KI-VO greift, wenn das System nur eine eng begrenzte Aufgabe erfüllt und kein erhebliches Risiko für Grundrechte darstellt. Sobald die KI jedoch Profiling betreibt, bleibt sie immer Hochrisiko.
Die meisten Mittelständler bewerten ihre KI falsch. Nicht aus Schlamperei, sondern weil die Einstufung tückischer ist, als sie aussieht. Eine KI ist nach Art. 6 KI-VO genau dann hochriskant, wenn sie in einen der acht Anhang-III-Bereiche fällt und die Ausnahme nach Art. 6 Abs. 3 KI-VO nicht greift. Klingt nach zwei Bedingungen, ist aber ein dreistufiger Test mit einem eingebauten Hebel, der die ganze Erleichterung wieder aushebeln kann: dem Profiling. Wer diesen Punkt überliest, stuft sich selbst zu niedrig ein und kauft sich ein Bußgeldrisiko.
Wann eine KI als Hochrisiko gilt
Art. 6 KI-VO kennt zwei Wege in die Hochrisiko-Klasse. Der erste Weg läuft über Anhang I. Dort geht es um KI, die als Sicherheitskomponente in einem bereits regulierten Produkt steckt, etwa in Maschinen, Medizinprodukten oder Aufzügen. Das betrifft Hersteller solcher Produkte.
Der zweite Weg läuft über Anhang III. Hier landet die KI, weil sie in einem der acht aufgeführten Anwendungsfelder eingesetzt wird. Dieser Weg ist für die meisten KMU der relevante. Ein System, das Bewerbungen sortiert, eine Kreditwürdigkeit bewertet oder über den Zugang zu einer Leistung mitentscheidet, fällt potenziell hierunter.
Wichtig ist die Logik dahinter. Nicht die Technologie macht eine KI hochriskant, sondern der Kontext, in dem sie wirkt. Dieselbe Spracherkennung ist im Diktiergerät harmlos und in einem Lügendetektor an der Grenze hochriskant. Der EU-Gesetzgeber hat bewusst beim Einsatzzweck angesetzt, nicht beim Modell.
Die acht Anhang-III-Bereiche
Anhang III listet acht Felder. Zwei davon sind für den Mittelstand fast immer die heißen Eisen: Beschäftigung und der Zugang zu wesentlichen Diensten. Die anderen sechs treffen eher Behörden, Banken im engeren Sinn oder Sicherheitsdienstleister.
| Nr. | Anhang-III-Bereich | Typische Anwendungen | KMU-Relevanz |
|---|---|---|---|
| 1 | Biometrie | Fernidentifizierung, biometrische Kategorisierung, Emotionserkennung (soweit nicht verboten) | gering |
| 2 | Kritische Infrastruktur | Sicherheitssteuerung in Energie, Wasser, Verkehr, Digitalinfrastruktur | mittel |
| 3 | Allgemeine und berufliche Bildung | Zulassung, Bewertung von Lernergebnissen, Prüfungsüberwachung | mittel |
| 4 | Beschäftigung und Personalmanagement | Bewerber-Scoring, Auswahl, Beförderung, Kündigung, Leistungsbewertung | hoch |
| 5 | Zugang zu wesentlichen Diensten | Kreditwürdigkeitsprüfung, Versicherungs-Risikobewertung, Notrufpriorisierung | hoch |
| 6 | Strafverfolgung | Risikobewertung, Beweisverwertung, Profiling durch Behörden | gering |
| 7 | Migration, Asyl, Grenzkontrolle | Visumprüfung, Risikobewertung, Antragsbearbeitung | gering |
| 8 | Rechtspflege und demokratische Prozesse | Unterstützung richterlicher Entscheidungen, Beeinflussung von Wahlen | gering |
Bereich 4 ist der Klassiker. Wer ein System einsetzt, das Bewerbungen vorsortiert, Mitarbeiter nach Leistung bewertet oder Beförderungsentscheidungen vorbereitet, bewegt sich auf Anhang-III-Boden. Bereich 5 trifft Finanzdienstleister, aber auch jeden, der eine Bonität automatisiert prüft oder Versicherungstarife per KI berechnet.
Die übrigen Felder sind nicht weniger ernst, aber sie betreffen einen kleineren Kreis. Ein normaler Handwerksbetrieb mit Buchhaltungs-KI rutscht in keinen dieser acht Bereiche. Ein Personaldienstleister mit Matching-Algorithmus dagegen sehr wohl.
Die Ausnahme nach Art. 6 Abs. 3 KI-VO
Hier wird es für KMU interessant. Nur weil ein System formal in einen Anhang-III-Bereich fällt, ist es noch nicht automatisch hochriskant. Art. 6 Abs. 3 KI-VO öffnet eine Tür: Ein gelistetes System gilt nicht als hochriskant, wenn es kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte natürlicher Personen darstellt und das Ergebnis einer Entscheidung nicht wesentlich beeinflusst.
Diese Tür ist eng. Sie geht nur auf, wenn mindestens eine von vier Bedingungen erfüllt ist:
- Das System erfüllt eine eng begrenzte prozedurale Aufgabe. Beispiel: ein Tool, das eingehende Dokumente nach Dateityp sortiert, ohne über deren Inhalt zu urteilen.
- Das System verbessert das Ergebnis einer bereits abgeschlossenen menschlichen Tätigkeit. Beispiel: eine KI, die einen fertig formulierten Arztbrief sprachlich glättet, ohne ihn inhaltlich zu ändern.
- Das System erkennt Abweichungen von früheren Entscheidungsmustern, ohne diese zu ersetzen. Beispiel: ein System, das einem Sachbearbeiter meldet, dass seine aktuelle Entscheidung von seinen letzten hundert abweicht, die Entscheidung aber dem Menschen lässt.
- Das System erfüllt eine rein vorbereitende Aufgabe für eine Bewertung, die später ein Mensch trifft. Beispiel: eine KI, die Dokumente für eine spätere menschliche Prüfung indexiert und vorstrukturiert.
Wer eine dieser Bedingungen sauber erfüllt und kein erhebliches Grundrechtsrisiko erzeugt, darf sein System als nicht-hochriskant einstufen. Das spart den gesamten Hochrisiko-Pflichtenkatalog. Aber, und das ist der entscheidende Satz dieses Artikels, die Tür hat einen Riegel, den viele übersehen.
Der Profiling-Override
Sobald ein System Profiling natürlicher Personen durchführt, gilt es immer als hochriskant. Egal, wie eng die Aufgabe ist. Egal, ob eine der vier Ausnahme-Bedingungen formal passt. Profiling hebt die Ausnahme aus.
Profiling im Sinne der Verordnung meint die automatisierte Verarbeitung personenbezogener Daten, um persönliche Aspekte einer Person zu bewerten, etwa Arbeitsleistung, wirtschaftliche Lage, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Interessen. Das ist eine sehr breite Definition. Sie deckt fast jedes System ab, das einen Menschen in irgendeiner Weise bepunktet oder kategorisiert.
Genau hier scheitern die meisten Selbsteinstufungen. Ein Personaldienstleister sagt sich: Unser Bewerber-Tool macht doch nur eine vorbereitende Aufgabe, der Recruiter entscheidet ja selbst. Klingt nach Ausnahme-Bedingung vier. Aber wenn das Tool jedem Bewerber einen Eignungs-Score gibt, ist das Profiling. Und Profiling kippt die Ausnahme. Das System bleibt Hochrisiko, auch wenn der Mensch am Ende klickt.
Wer also prüft, ob die Ausnahme greift, muss zwei Fragen hintereinander beantworten. Erstens: Passt eine der vier Bedingungen? Zweitens: Macht das System Profiling? Wenn die zweite Frage Ja heißt, war die erste umsonst.
Wenn man die Ausnahme nutzt: Dokumentation und Registrierung
Die Ausnahme ist kein Freibrief. Wer sein Anhang-III-System für nicht-hochriskant hält, muss diese Bewertung vor dem Inverkehrbringen oder der Inbetriebnahme dokumentieren. Die Bewertung ist keine private Notiz, sondern muss den zuständigen Behörden auf Anfrage vorgelegt werden können.
Dazu kommt eine Registrierungspflicht nach Art. 49 Abs. 2 KI-VO. Wer ein gelistetes System als ausgenommen einstuft, registriert es trotzdem in der EU-Datenbank. Die Behörde sieht also, dass jemand sagt: Mein System steht zwar in Anhang III, aber ich beanspruche die Ausnahme. Das schafft Transparenz und macht die Selbsteinstufung überprüfbar.
In der Praxis heißt das: Die Ausnahme ist mit Arbeit verbunden, aber mit deutlich weniger als der volle Hochrisiko-Pfad. Wer sie sauber nutzt, braucht eine begründete schriftliche Bewertung und einen Registrierungseintrag. Wer den vollen Pfad geht, braucht ein Risikomanagementsystem, technische Dokumentation, Konformitätsbewertung und CE-Kennzeichnung. Der Unterschied im Aufwand ist erheblich. Genau deshalb lohnt es sich, die Einstufung sauber zu machen, statt sie zu raten.
Anbieter oder Betreiber: Wo dein Betrieb steht
Die nächste Frage entscheidet, welche Pflichten überhaupt direkt auf dich zukommen. Bist du Anbieter oder Betreiber?
Anbieter, in der Verordnung Provider, ist, wer ein KI-System entwickelt oder unter eigenem Namen in Verkehr bringt. Wer als Software-Haus ein eigenes Hochrisiko-Modul baut und es Dritten anbietet, ist Anbieter. Den trifft der ganze Pflichtenkatalog.
Betreiber, in der Verordnung Deployer, ist, wer eine fertige KI in seinem Unternehmen einsetzt. Das beschreibt die große Mehrheit der Mittelständler. Die Personalvermittlung, die ein zugekauftes Recruiting-Tool nutzt. Die Hausverwaltung, die ein eingekauftes Scoring-System einsetzt. Betreiberpflichten regelt Art. 26 KI-VO. Sie sind real, aber überschaubarer: Bedienungsanleitung des Anbieters befolgen, menschliche Aufsicht sicherstellen, Eingabedaten kontrollieren, Logs aufbewahren, Betroffene informieren.
Diese Unterscheidung verändert die ganze Risikolage. Ein Betreiber muss kein CE-Zeichen vergeben und keine Konformitätsbewertung durchführen. Er muss aber prüfen, ob das eingekaufte System konform ist, und es nur so einsetzen, wie der Anbieter es vorgesehen hat. Wer ein Hochrisiko-Tool einkauft und es zweckwidrig oder ohne menschliche Aufsicht betreibt, kann selbst zum Anbieter werden und damit in den vollen Pflichtenkatalog rutschen.
Praxis: ProfilMatch Personaldienstleistung in Erfurt
Ein Beispiel aus dem Beratungsalltag. ProfilMatch ist ein Personaldienstleister mit 28 Mitarbeitern in Erfurt, spezialisiert auf gewerblich-technische Fachkräfte. Das Unternehmen führt 2026 ein KI-gestütztes Bewerber-Matching ein. Das Tool eines externen Anbieters liest eingehende Lebensläufe, gleicht sie gegen offene Stellen ab und gibt jedem Kandidaten einen Eignungs-Score von 0 bis 100. Der Disponent sieht die sortierte Liste und entscheidet, wen er anruft.
Die Geschäftsführung stuft das System zunächst als nicht-hochriskant ein. Begründung: Das Tool bereite nur vor, der Disponent entscheide ja selbst. Damit beruft man sich auf die vierte Ausnahme-Bedingung, die rein vorbereitende Aufgabe.
In der Beratung zerfällt diese Einstufung in zwei Schritten. Erster Schritt: Das System fällt in Anhang III Nr. 4, weil es im Personalwesen über den Zugang zu Beschäftigung mitentscheidet. So weit unstrittig. Zweiter Schritt: Das System vergibt einen Eignungs-Score pro Person. Das ist eine automatisierte Bewertung persönlicher Aspekte, also Profiling. Und Profiling hebt die Ausnahme aus, egal wie sehr die vorbereitende Logik passt.
Ergebnis: Das System ist Hochrisiko. ProfilMatch ist Betreiber, nicht Anbieter, weil das Tool zugekauft ist. Das Unternehmen muss also nicht selbst CE vergeben, aber die Betreiberpflichten nach Art. 26 KI-VO erfüllen. Konkret: die Annex-IV-Dokumentation des Anbieters anfordern und prüfen, eine echte menschliche Aufsicht des Disponenten sicherstellen, die Eingabedaten kontrollieren und die abgelehnten Bewerber transparent über den KI-Einsatz informieren. ProfilMatch setzt im Juli 2026 ein internes Verfahren auf, das diese vier Punkte abdeckt, und nimmt das System erst danach scharf.
Hätte das Unternehmen die ursprüngliche Selbsteinstufung beibehalten, wäre der erste ernsthafte Prüffall ein teures Erwachen geworden.
Wann die Pflichten greifen
Ein Wort zur Zeitachse, weil sich hier gerade etwas verschoben hat. Die Hochrisiko-Pflichten für Anhang-III-Systeme wurden nach dem Trilog vom 07.05.2026 im Rahmen des Omnibus-Pakets auf den 02.12.2027 verschoben. Anhang-I-Hochrisiko, also KI als Sicherheitskomponente in regulierten Produkten, verschiebt sich auf den 02.08.2028.
Das ist kein Grund, das Thema zu vertagen. Die Einstufungsfrage stellt sich heute, weil jede Beschaffung einer KI mit Anhang-III-Bezug schon jetzt davon abhängt, ob das System hochriskant ist oder nicht. Wer im Q4 2027 erst mit der Einstufung beginnt, kommt zu spät, weil Anbieter mit Vorlauf ausgewählt und Verträge mit den richtigen Klauseln versehen werden müssen.
Die KI-Kompetenzpflicht nach Art. 4 KI-VO ist von der Verschiebung ausdrücklich nicht betroffen. Sie gilt seit 02.02.2025 ohne Übergangsfrist. Wer eine Hochrisiko-KI einsetzt oder beschaffen will, braucht ein Team, das die Einstufungslogik versteht. Genau diese Kompetenz vermittelt die KI-Kompetenzpflicht nach Art. 4 KI-VO, und sie ist die Grundlage dafür, dass eine Selbsteinstufung überhaupt belastbar wird.
Der häufigste Irrtum, den wir in der Praxis sehen, ist die zu optimistische Selbsteinstufung. Geschäftsführer lesen die vier Ausnahme-Bedingungen, finden eine, die irgendwie passt, und atmen auf. Der Profiling-Override wird übersehen, weil er einen Satz später kommt und unscheinbar wirkt. Wer ein System einsetzt, das Menschen bepunktet, kategorisiert oder vergleicht, sollte von Hochrisiko ausgehen und das Gegenteil sauber dokumentieren müssen, nicht umgekehrt. Eine falsche Selbsteinstufung ist kein Versehen mit Welpenschutz, sondern eine dokumentierte Fehlentscheidung, die im Prüffall gegen den Betrieb läuft.
Häufige Fragen
Ist mein Chatbot hochriskant?
In den allermeisten Fällen nein. Ein Chatbot für allgemeine Kundenanfragen, Terminvereinbarung oder Office-Aufgaben fällt in keinen der acht Anhang-III-Bereiche. Er unterliegt nur der Transparenzpflicht nach Art. 50 KI-VO, die ab 02.08.2026 gilt und verlangt, dass Nutzer erkennen, dass sie mit einer KI sprechen. Hochrisiko wird ein Chatbot erst, wenn er über Beschäftigung, Kreditwürdigkeit, Bildung oder einen anderen Anhang-III-Bereich mitentscheidet.
Was muss ich tun, wenn ich nur Betreiber bin?
Als Betreiber einer Hochrisiko-KI erfüllst du die Pflichten nach Art. 26 KI-VO. Du nutzt das System nur entsprechend der Bedienungsanleitung des Anbieters, stellst eine echte menschliche Aufsicht sicher, kontrollierst die Eingabedaten, bewahrst die Protokolle auf und informierst betroffene Personen über den KI-Einsatz. Konformitätsbewertung und CE-Kennzeichnung sind dagegen Sache des Anbieters. Du prüfst nur, ob das eingekaufte System das CE-Zeichen trägt und die Anbieter-Dokumentation vorliegt.
Ab wann gelten die Hochrisiko-Pflichten?
Für Anhang-III-Systeme wurden die Hochrisiko-Pflichten durch das Omnibus-Paket vom 07.05.2026 auf den 02.12.2027 verschoben. Anhang-I-Systeme folgen am 02.08.2028. Die KI-Kompetenzpflicht nach Art. 4 KI-VO gilt davon unabhängig schon seit 02.02.2025, und die Transparenzpflicht nach Art. 50 KI-VO tritt am 02.08.2026 in Kraft. Die Einstufungsfrage selbst stellt sich aber bei jeder Beschaffung schon heute.
Was kostet ein Verstoß gegen die Hochrisiko-Pflichten?
Verstöße gegen die Hochrisiko-Pflichten können nach Art. 99 KI-VO mit Bußgeldern bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Hinzu kommen mögliche Anordnungen der Marktüberwachungsbehörde, etwa ein Einsatzverbot, sowie zivilrechtliche Haftung, wenn ein Geschädigter einen Zusammenhang zwischen dem nicht-konformen System und seinem Schaden nachweist. Eine falsche Selbsteinstufung schützt dabei nicht.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
30 Minuten Klarheit kosten nichts. Wenn Du KI im Betrieb einsetzt oder überlegst einzusetzen, kommt es nicht auf das Tool an. Es kommt auf die Frage: wo entstehen Risiken, wo Hebel? In 30 Minuten gehen wir Deine konkrete Lage durch und Du weißt, wo Du anfangen solltest. Termin reservieren oder kostenlosen KI-Schnupperkurs starten.
Zuletzt geprüft am 28. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.