§1 Biometrie
Sektorübergreifend- Biometrische Fernidentifizierung (nicht nach Artikel 5 verboten)
- Biometrische Kategorisierung (sensible Attribute ausgenommen)
- Emotionserkennung in nicht verbotenen Kontexten
Der EU AI Act (Verordnung (EU) 2024/1689) klassifiziert KI-Systeme in vier Risikostufen: verboten, hochriskant, begrenztes Risiko und minimales Risiko. Die Hochrisiko-Kategorie – definiert in Artikel 6 sowie in den Listen in Anhang I und Anhang III – ist der Bereich, in dem die meisten KI-Pflichten von Unternehmen angesiedelt sind.
Anhang III enthält acht Kategorien hochriskanter Anwendungsfälle: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienste, Strafverfolgung, Migration sowie Justiz/Demokratie. Fällt Ihre KI in eine davon, gilt für Sie der gesamte Pflichtenkatalog aus Konformitätsbewertung, technischer Dokumentation, menschlicher Aufsicht und Marktbeobachtung nach dem Inverkehrbringen – und Sanktionen von bis zu 15 Millionen € oder 3 % des weltweiten Umsatzes.
Die Hochrisiko-Pflichten gelten ab dem 2. August 2026. Artikel 6(3) sieht eine eng gefasste Ausnahme vor, wenn die KI lediglich eine "eng umrissene Verfahrensaufgabe" erfüllt, das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit verbessert, Abweichungen von einem Entscheidungsmuster erkennt, ohne dieses zu ersetzen, oder eine vorbereitende Aufgabe ausführt.
Der EU AI Act ist die weltweit erste umfassende horizontale Regulierung von KI. Er gilt für Anbieter, die KI-Systeme auf dem EU-Markt in Verkehr bringen, und für Betreiber, die KI-Systeme in der EU nutzen – einschließlich nicht in der EU ansässiger Unternehmen, deren Ergebnisse in der EU verwendet werden (Artikel 2).
Wie die DSGVO ist der AI Act extraterritorial. Wie bei der DSGVO ziehen Verstöße umsatzbezogene Prozentsanktionen nach sich. Anders als die DSGVO enthält er ausdrückliche Kategorien verbotener Anwendungsfälle und ein deutlich größeres Volumen an Vorabanforderungen für Hochrisiko-Systeme.
Die meisten KI-Anwendungen in Unternehmen fallen entweder unter hochriskant (aufgrund von HR-, Kredit- oder biometrischen Anwendungsfällen) oder unter begrenztes Risiko (aufgrund von Chatbot-Einsätzen).
Artikel 6 stuft ein KI-System als hochriskant ein, wenn es eine der folgenden Bedingungen erfüllt:
Viele Systeme erfüllen beide Tests; der Weg über Anhang III ist derjenige, den die meisten Produktteams verstehen müssen.
Artikel 6(3) sieht eine eng gefasste Ausnahme vor. Ein in Anhang III aufgeführtes KI-System ist nicht hochriskant, wenn es kein erhebliches Risiko für die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen darstellt, auch indem es das Ergebnis der Entscheidungsfindung nicht wesentlich beeinflusst. Die Bedingungen des Artikels 6(3) lauten:
Die Ausnahme gilt nicht, wenn das KI-System ein Profiling natürlicher Personen vornimmt. Gelangt ein Anbieter zu dem Schluss, dass ein Anhang-III-System nicht hochriskant ist, muss der Anbieter die Bewertung dokumentieren (Artikel 6(4)) und das System in der EU-Datenbank registrieren (Artikel 49).
Die Hochrisiko-Pflichten sind umfangreich. Anbieter müssen:
Betreiber – die natürlichen oder juristischen Personen, die ein KI-System unter ihrer Verantwortung nutzen – haben geringere, aber reale Pflichten:
In der Regel nein. Ein generischer Chatbot ist nach Artikel 50 ein System mit begrenztem Risiko – Sie müssen offenlegen, dass die Nutzer mit einer KI interagieren. Ein Chatbot, der jedoch Bewerber, Kreditanträge oder Asylanträge bewertet, wäre nach Anhang III §4, §5 oder §7 hochriskant.
KI-Modelle mit allgemeinem Verwendungszweck haben ihr eigenes Regelwerk nach den Artikeln 51–55 (technische Dokumentation, Urheberrechtspolitik, Zusammenfassung der Trainingsdaten sowie strengere Regeln für GPAI mit systemischem Risiko). Die GPAI-Pflichten gelten seit dem 2. August 2025.
Teilweise. Artikel 2(12) nimmt freie und quelloffene KI von vielen Anforderungen aus – es sei denn, das System ist hochriskant, verboten oder unterliegt den Transparenzpflichten nach Artikel 50. Praktische Folge: Open-Source-Modelle können frei genutzt werden, aber Betreiber in Hochrisiko-Kontexten übernehmen dennoch die Hochrisiko-Pflichten.
Sie gelten parallel. KI, die personenbezogene Daten verarbeitet, muss sowohl die DSGVO (Rechtsgrundlage, DPIA, automatisierte Entscheidungsfindung nach Artikel 22) als auch den AI Act (Konformitätsbewertung, FRIA, Marktbeobachtung nach dem Inverkehrbringen) erfüllen. Anbieter von Hochrisiko-KI benötigen in der Regel sowohl eine DPIA als auch eine Datei mit technischer Dokumentation nach dem AI Act.
Nicht wirklich. Artikel 2(1) erfasst Anbieter, die KI-Systeme auf dem EU-Markt in Verkehr bringen, Anbieter in Drittländern, deren Ergebnisse in der EU verwendet werden, sowie Betreiber in der EU. Die meisten relevanten KI-Anbieter fallen in den Anwendungsbereich.
RegulatoryBridge übernimmt die Konformitätsbewertung, FRIA, technische Dokumentation und Marktbeobachtung nach dem Inverkehrbringen für Hochrisiko-KI-Systeme – damit sich Ihr Produktteam auf das Modell konzentriert, nicht auf die Bürokratie.