Anhang III des EU AI Act ist die Liste, an der sich ab 2. August 2026 entscheidet, ob ein Unternehmen Compliance-Pflicht hat oder davonkommt. Acht Bereiche sind dort als Hochrisiko klassifiziert. Stand April 2026 wird in Beratungsgesprächen mit Mittelständlern oft pauschal über den AI Act gesprochen, ohne dass jemand die Liste tatsächlich gelesen hat. Das ist der teuerste Fehler, den man am Anfang machen kann.

Auf einen Blick: Stand April 2026 listet Anhang III des EU AI Act 8 Hochrisiko-Bereiche. Ab 2. August 2026 greifen die vollen Pflichten. Im Mittelstand betroffen sind vor allem HR-Tools, Bonitätsprüfung und Bildungsbewertung. ChatGPT im Büro, Marketing-Texte und einfache Office-Automation fallen nicht darunter.

Die acht Bereiche aus Anhang III sind nicht gleich verteilt. Drei davon sind im typischen KMU-Geschäft praktisch nie relevant. Drei tauchen in regulierten Branchen auf. Und zwei, die in der Mehrheit der Mittelständler sitzen, werden bisher unterschätzt: Beschäftigung und wesentliche Dienste.

Die 8 Hochrisiko-Bereiche im Überblick

Artikel 6 Absatz 2 verweist auf Anhang III. Die acht Punkte lesen sich wie ein Katalog gesellschaftlich besonders sensibler KI-Anwendungen. Sie sind:

  1. Biometrische Identifikation und Kategorisierung von Personen. Gesichtserkennungssysteme, Fingerabdruck-Matching, biometrische Authentifizierung über reine Login-Funktion hinaus, Emotionserkennung.
  2. Kritische Infrastruktur. KI für Sicherheitskomponenten in Wasser, Gas, Strom, Heizung, Verkehr.
  3. Allgemeine und berufliche Bildung. Zulassungsentscheidungen, Bewertung von Lernergebnissen, Prüfungsüberwachung.
  4. Beschäftigung und Personalmanagement. CV-Screening, Kandidaten-Matching, Performance-Bewertung, Beförderungsentscheidungen, Kündigungsempfehlungen, Aufgaben-Allokation.
  5. Zugang zu wesentlichen privaten und öffentlichen Diensten. Bonitätsprüfung, Kreditscoring, Versicherungs-Risikobewertung Leben/Kranken, Sozialleistungs-Entscheidungen, Notfallpriorisierung.
  6. Strafverfolgung. Predictive Policing, Risikobewertung von Tatverdächtigen, Beweisbewertung, Lügenerkennung.
  7. Migration, Asyl und Grenzkontrolle. Risikobewertung von Migranten, Antrags-Prüfung, Visa-Entscheidungsunterstützung.
  8. Justiz und demokratische Prozesse. KI bei Rechtsfindung, Wahlbeeinflussungs-Erkennung, Urteilsempfehlungen.

Wer in einem dieser Bereiche ein KI-System anbietet oder im eigenen Geschäft einsetzt, ist mit hoher Wahrscheinlichkeit Anbieter oder Betreiber eines Hochrisiko-Systems. Die Liste ist abschließend für Anhang III. Daneben gibt es Anhang I, der KI in regulierten Produkten wie Medizingeräten und Maschinen abdeckt. Für Anhang I gilt die spätere Frist 2. August 2027.

Welche zwei Bereiche im Mittelstand wirklich treffen

Aus den acht Bereichen sind im typischen Mittelstand nur zwei häufig relevant: Punkt 4 (Beschäftigung) und Punkt 5 (wesentliche Dienste).

Bei Punkt 4 geht es nicht erst um den großen KI-Recruiter eines DAX-Konzerns. Es reicht, wenn eine Personalabteilung ein SaaS-Tool nutzt, das Bewerbungen automatisiert vorsortiert. Workday, SmartRecruiters, Personio mit KI-Add-ons, branchenspezifische ATS-Systeme. Sobald die Software Kandidaten ranked oder Matches mit Stellen berechnet, fällt sie unter Anhang III Punkt 4.

Bei Punkt 5 sind Sparkassen, Volksbanken, kleinere Versicherungen und Sozialdienstleister relevant. Sobald KI in der Bonitätsprüfung, der Versicherungs-Risikoanalyse oder bei der Vergabe von Sozialleistungen mitwirkt, greift die Hochrisiko-Logik. Auch eine Hausbank mit 50 Mitarbeitern, die ein KI-Modul ihres Kernbankensystems aktiviert, wird damit Betreiber im Sinne des AI Act.

Die anderen sechs Punkte sind im Mittelstand seltener. Bildungs-KI trifft Schulen, Hochschulen und Bildungsträger. Strafverfolgung, Migration und Justiz sind staatlich. Kritische Infrastruktur ist auf Versorger und einige spezialisierte Dienstleister begrenzt. Biometrik trifft hauptsächlich Sicherheitsfirmen und Hersteller.

Was bewusst NICHT Hochrisiko ist

Der häufigste Irrtum in Beratungsgesprächen: Geschäftsführer hören "EU AI Act" und sortieren ihre KI-Nutzung pauschal als Hochrisiko ein. Das ist falsch. Ein paar Beispiele aus dem Alltag, die explizit nicht unter Anhang III fallen.

ChatGPT zur Mandanten-Korrespondenz im Steuerbüro. Microsoft Copilot in Excel zur Auswertung von Quartalszahlen. Claude für Texterstellung im Marketing. Eine Übersetzungs-KI im Vertrieb. Ein Chatbot auf der eigenen Website, der Standardfragen beantwortet. Ein KI-gestütztes Diktiergerät im Aussendienst. KI-Bildgenerierung für Social-Media-Posts.

All das ist nach aktueller Lesart entweder gar keine Annex-III-Anwendung oder nur indirekt betroffen über die GPAI-Regeln (General Purpose AI). Was hier greift, sind die KI-Kompetenzpflicht aus Artikel 4 und die Transparenzpflicht aus Artikel 50 für veröffentlichte KI-Inhalte. Beides deutlich kleinere Pflichten als der volle Anhang-III-Katalog.

In der Praxis heißt das: Wer ehrlich durch die eigene Tool-Liste geht, landet meistens bei zwei oder drei Werkzeugen, bei denen eine genauere Prüfung sinnvoll ist. Das macht den Unterschied zwischen einem Compliance-Projekt mit sechs Monaten Aufwand und einem 2-Stunden-Termin mit einem dokumentierten Ergebnis.

Anbieter oder Betreiber, das ist die Frage

Wer feststellt, dass er in einem Anhang-III-Bereich aktiv ist, muss als Nächstes klären: Bin ich Anbieter oder Betreiber? Das ist nicht akademisch, das macht den Unterschied im Pflichtenkatalog deutlich aus.

Anbieter ist, wer ein KI-System entwickelt oder unter eigenem Namen oder eigener Marke in den EU-Markt bringt. Wer also ein KI-Recruiting-Tool baut und an HR-Abteilungen verkauft. Anbieter haben den vollen Pflichtenkatalog: Konformitätsbewertung, technische Dokumentation, CE-Markierung, Registrierung in der EU-Datenbank, Qualitätsmanagement, Post-Market-Monitoring.

Betreiber ist, wer ein solches System im eigenen Geschäft einsetzt. Eine Personalabteilung, die das Recruiting-Tool nutzt. Eine Bank, die das KI-Bonitäts-Modul aktiviert. Betreiber haben schlankere Pflichten, aber konkrete: menschliche Aufsicht sicherstellen, Logs aufbewahren (typischerweise sechs Monate), Vorfälle an den Anbieter und gegebenenfalls die Aufsichtsbehörde melden, Datenschutz-Folgenabschätzung prüfen, Konformität des Systems mit den Anbieter-Vorgaben überwachen.

Im Mittelstand sind die meisten Unternehmen Betreiber, nicht Anbieter. Das macht die Lage handhabbar. Die Hauptarbeit hat der Software-Anbieter zu leisten. Aber: Betreiber-Pflichten verschwinden nicht, weil der Anbieter sie schon erfüllt. Und sie entstehen automatisch in dem Moment, in dem das System produktiv läuft.

Wie der typische Pflicht-Kreis aussieht

Wer als Betreiber eines Hochrisiko-Systems identifiziert ist, hat ab 2. August 2026 konkret Folgendes sicherzustellen.

Die Mitarbeiter, die das System bedienen, haben ausreichende KI-Kompetenz nach Artikel 4. Das ist seit Februar 2025 sowieso Pflicht, aber bei Hochrisiko-Systemen wird sie schärfer geprüft. Eine dokumentierte Schulung mit Inhalten zu Risiken, Grenzen und korrekter Anwendung gehört zum Minimum.

Es gibt eine zugewiesene menschliche Aufsicht. Konkret heißt das: Jede Entscheidung, die das System trifft und die einen Bewerber, einen Kunden oder einen Bürger betrifft, kann von einem qualifizierten Menschen überprüft und gegebenenfalls überschrieben werden. Eingriffsmöglichkeit muss real sein, nicht nur formal.

Das Unternehmen führt Logs und bewahrt sie auf. Welche Eingaben hat das System bekommen, welche Ausgaben hat es gegeben, wer hat es bedient. Der gesetzliche Mindestzeitraum ist sechs Monate, in der Praxis empfiehlt sich länger.

Bei Vorfällen, also fehlerhaften Outputs, Diskriminierung, Sicherheitslücken, gibt es eine Meldekette. An den Anbieter und, je nach Schwere, an die zuständige Marktüberwachungsbehörde.

Die Konformität des konkreten Einsatzes wird regelmäßig geprüft. Stichworte: Stichprobenkontrolle, periodisches Audit, Dokumentation der Prüfergebnisse.

Wir sehen bei Compliance-Projekten regelmäßig, dass die menschliche Aufsicht das ist, woran Unternehmen am längsten arbeiten. Es ist eine Sache, im Schaubild einen Kasten "menschliche Aufsicht" zu zeichnen. Es ist eine andere, dafür eine Person zu benennen, ihr Befugnisse zu geben und sicherzustellen, dass sie tatsächlich rechtzeitig in den Prozess kommt.

Wo die Kompetenzpflicht aus Artikel 4 reinspielt

Der Anhang-III-Pflichtenkreis baut auf Artikel 4 auf. Das ist wichtig zu verstehen, weil viele Mittelständler nur einen der beiden Bereiche im Blick haben.

Artikel 4 sagt: Jedes Unternehmen, das KI einsetzt, muss sicherstellen, dass alle Personen, die das System bedienen, ausreichend kompetent sind. Diese Pflicht gilt seit 2. Februar 2025, unabhängig vom Risikograd. Wer ChatGPT im Büro hat, ist hier schon drin.

Bei Hochrisiko-Systemen reicht die Standard-Kompetenzschulung nicht. Hier braucht es rollenspezifisches Wissen: Wie funktioniert das konkrete System, was sind seine Grenzen, wo kann es diskriminieren, wann muss ich als menschliche Aufsicht eingreifen. Eine HR-Mitarbeiterin, die das KI-CV-Screening bedient, braucht andere Schulungsinhalte als eine Bonitätsprüferin in der Bank.

Wer im eigenen Unternehmen die KI-Governance aufbauen will, kommt um diese rollenspezifische Differenzierung nicht herum. Im Digitalisierungsmanager, der über den Bildungsgutschein der Agentur für Arbeit förderfähig ist, wird genau dieses Sortieren und Aufsetzen der Kompetenz-Strukturen Teil des Curriculums.

Wie der Annex-III-Check praktisch aussieht

Eine handhabbare Reihenfolge für die Selbstprüfung sieht so aus.

Inventar erstellen: Welche KI-Tools sind im Unternehmen im Einsatz? Antwort kommt vom IT-Verantwortlichen, vom Datenschutzbeauftragten und idealerweise von jeder Abteilung kurz. Die meisten Geschäftsführer unterschätzen die Anzahl der Tools. Schatten-IT in Form von KI-Browser-Plugins ist häufig.

Für jedes Tool den Use Case erfassen: Wofür genau wird es eingesetzt? Wer benutzt es? Welche Daten gehen rein, welche Outputs entstehen, welche Entscheidungen werden darauf gestützt?

Annex-III-Filter: Trifft einer der acht Bereiche zu? In den allermeisten Fällen ist das eine schnelle Entscheidung. Bei Beschäftigung und wesentlichen Diensten genauer hinschauen.

Rolle bestimmen: Anbieter oder Betreiber? Im Mittelstand fast immer Betreiber.

Pflichten ableiten: Bei Annex III gilt der Pflichtenkatalog ab 2. August 2026. Bei Annex I (CE-pflichtige Produkte) ab 2. August 2027. Sonst Artikel 4 (Kompetenz) und Artikel 50 (Transparenz für GenAI-Outputs).

Diese fünf Schritte sind in einem konzentrierten Halbtagstermin machbar, sofern eine Inventarliste vorab existiert. Wer noch keine Liste hat, plant zwei bis drei Wochen für Erfassung und einen weiteren Halbtag für die Klassifizierung ein.

Sonderfall GPAI und der EU-Verhaltenskodex

Daneben gibt es die GPAI-Regeln (General Purpose AI). Sie betreffen die Anbieter großer Allzweck-KI-Modelle wie GPT, Claude, Gemini, Llama. Für KMU als Nutzer dieser Modelle ist GPAI nicht direkt relevant. Aber: Wer ein GPAI-Modell so maßgeblich anpasst, dass es im Anhang-III-Bereich eingesetzt wird (z.B. ein Fine-tuning für KI-CV-Screening), kann selbst zum Anbieter werden.

Der EU-Verhaltenskodex für GPAI ist Stand April 2026 verabschiedet. Er bindet die großen Modellanbieter, nicht die Nutzer. Aber er beeinflusst, wie transparent die Vorlieferanten ihre Modelle dokumentieren. Davon profitieren mittelbar alle Anwender, die wissen wollen, was im Hintergrund läuft.

Die häufigste Falle: Schatten-KI in HR-Abteilungen

Aus der Beratungspraxis: Eine Personalabteilung mit 8 Mitarbeitern, ein bestehendes ATS, vor 18 Monaten ein KI-Add-on für CV-Matching aktiviert. Niemand außerhalb der HR weiß, dass das Add-on läuft. Geschäftsführung und Datenschutzbeauftragter haben es nicht auf dem Radar. In der AI-Act-Logik ist das Unternehmen Betreiber eines Hochrisiko-Systems, ohne es zu wissen.

Wer das aufgedeckt hat, ist meistens jemand, der ein Compliance-Audit gemacht hat, oder jemand, der den Bildungsgutschein für eine KI-Weiterbildung beantragt und in der Vorbereitung systematisch das eigene Unternehmen durchleuchtet hat. Diese Schatten-KI-Probleme finden sich nicht durch ein Gespräch mit dem IT-Leiter, sondern durch eine strukturierte Tool-Erfassung in jeder Abteilung.

Wer das unterschätzt, fällt nach 2 Monaten raus. Die Pflichten stehen fest. Wer am 2. August 2026 unwissend einen Anhang-III-Verstoß vorhält, bekommt im Worst Case eine Bußgeldforderung, die sich nach Artikel 99 bemisst.

Häufige Fragen

Ist Microsoft Copilot in Excel ein Hochrisiko-System nach Anhang III?

Nein, nicht in der Standard-Anwendung. Copilot in Excel zur Datenanalyse, Formelerstellung oder Berichtszusammenfassung fällt unter die General Purpose AI-Regeln, nicht unter Anhang III. Erst wenn Copilot in einem Workflow eingebettet wird, der konkret unter einen Anhang-III-Punkt fällt (z.B. automatisierte Mitarbeiter-Performance-Bewertung), wird die Klassifizierung anders. Stand April 2026 gilt für die Standard-Office-Nutzung Artikel 4 (Kompetenzpflicht) und je nach Output Artikel 50 (Transparenz).

Sind kleine ATS-Tools mit KI-Modul automatisch Hochrisiko?

Wenn das KI-Modul Bewerber ranked, matched oder vorsortiert, fällt es unter Anhang III Punkt 4. Die Grösse des Tools spielt keine Rolle. Entscheidend ist die Funktion. Eine Volltext-Suche im Lebenslauf ist keine KI-Klassifikation. Ein Algorithmus, der Bewerber nach Eignung sortiert und einen Score ausgibt, schon. Im Zweifel beim Anbieter nachfragen, ob das Modul als Hochrisiko-System eingestuft ist. Ab August 2026 sind Anbieter verpflichtet, das eindeutig zu kennzeichnen.

Was ist der Unterschied zwischen Anhang I und Anhang III?

Anhang III listet acht definierte Anwendungsbereiche, in denen KI-Systeme als Hochrisiko gelten (HR, Bildung, Kreditvergabe etc.). Anhang I verweist auf bereits regulierte Produkte mit CE-Pflicht (Medizingeräte, Maschinen, Spielzeug, Aufzüge etc.). Wenn KI sicherheitsrelevanter Bestandteil eines solchen regulierten Produkts ist, fällt sie unter Anhang I. Annex III hat den Stichtag 2. August 2026. Annex I hat den späteren Stichtag 2. August 2027.

Wer ist in Deutschland zuständig, wenn ich Anhang-III-Anbieter bin?

Stand April 2026 koordiniert die Bundesnetzagentur die KI-Aufsicht in Deutschland. Die Marktüberwachung ist je nach Sektor dezentral organisiert (BaFin für Finanzdienstleister, Bundesinstitut für Arzneimittel und Medizinprodukte für medizinische Anwendungen, Datenschutzbehörden bei DSGVO-Berührung). Anbieter müssen ihre Hochrisiko-Systeme zudem in der EU-Datenbank registrieren, die von der EU-Kommission betrieben wird. Die finalen Prozesse für Deutschland werden bis Sommer 2026 erwartet.

Quellen

Bereit für deinen nächsten Karriereschritt?

Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.

Weiterbildung ansehen WhatsApp