Hochrisiko-KI-Systeme: Vorbereitung auf die Compliance mit Anhang III der EU-KI-Verordnung

Hochrisiko-KI-Systeme werden durch Anhang III der EU-KI-Verordnung (Verordnung 2024/1689) als KI-Systeme definiert, die in acht kritischen Bereichen eingesetzt werden: Biometrie, Management kritischer Infrastruktur, allgemeine und berufliche Bildung, Beschäftigung und Arbeitnehmerverwaltung, Zugang zu wesentlichen privaten Dienstleistungen (einschließlich Kreditscoring), Strafverfolgung, Migration und Asylverwaltung sowie Rechtspflege und demokratische Prozesse. Anbieter dieser Systeme müssen eine Konformitätsbewertung durchführen, eine detaillierte technische Dokumentation pflegen, ein Risikomanagementsystem nach Artikel 9 implementieren, eine menschliche Aufsicht gewährleisten und das System vor dem Einsatz in der EU-KI-Datenbank registrieren. Ab August 2026 können nicht konforme Hochrisiko-KI-Systeme nicht mehr rechtmäßig auf dem EU-Markt platziert oder verwendet werden, mit Bußgeldern bis zu 15 Millionen EUR oder 3 % des weltweiten Umsatzes.

Unser KI-Verordnungs-Compliance-Team kombiniert rechtliche Expertise in der Verordnung mit technischer Erfahrung in Machine-Learning-Systemen, algorithmischer Risikobewertung und Zertifizierungsprozessen für regulierte Produkte.

Die Anhang-III-Realitätsprüfung

Anhang III der KI-Verordnung ist die Liste, die die meisten Unternehmen kennen müssen und die wenigsten sorgfältig gelesen haben. Acht Kategorien von KI-Systemen – von Kreditscoring bis Bewerberscreening, Management kritischer Infrastruktur und biometrischer Identifizierung – unterliegen einem Pflichtensystem, das erheblich anspruchsvoller ist als der Rest der Verordnung. Die Frage ist nicht theoretisch: Wenn Ihre Organisation KI nutzt, um Entscheidungen über Personen in einem dieser Kontexte zu treffen oder zu beeinflussen, gelten die Pflichten ab August 2026 direkt für Sie.

Klassifizierung ist nicht offensichtlich

Die Klassifizierung als hochriskant hängt nicht nur von der Technologie ab, sondern vom spezifischen Einsatz. Ein Gesichterkennungssystem, das intern für die Zugangskontrolle in einer Einrichtung genutzt wird, ist möglicherweise nicht hochriskant; dasselbe System zur Identifizierung von Personen im öffentlichen Raum wahrscheinlich schon. Ein Machine-Learning-Modell, das Führungskräfte bei der Vorbereitung von Leistungsbewertungen unterstützt, liegt möglicherweise in einem Graubereich; dasselbe Modell, das Scores generiert, die direkt Beförderungen oder Entlassungen bestimmen, fällt wahrscheinlich unter Anhang III. Die Klassifizierungsbestätigung ist der erste Service, den wir erbringen, weil sie die Grundlage für alles Folgende bildet.

Die technische Dokumentationsanforderung

Die nach Anhang IV erforderliche technische Dokumentation ist umfangreich und spezifisch. Es handelt sich nicht um ein generisches Beschreibungsdokument, sondern um eine Reihe technischer Nachweise, die abdecken, wie das System funktioniert, auf welchen Daten es trainiert wurde, wie seine Leistung bewertet wurde, welche Verzerrungen erkannt und wie sie gemindert wurden und wie die menschliche Aufsicht im operativen Einsatz gewährleistet wird. Die Erstellung dieser Dokumentation erfordert die Zusammenarbeit zwischen dem Rechtsteam und dem technischen Team, das das System entwickelt oder integriert hat – ein Prozess, den wir von Anfang bis Ende koordinieren.

Integration von KI-Verordnungs- und DSGVO-Pflichten

Für Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten – was praktisch alle Bewerberscreening-, Finanzscoring- und biometrischen Identifizierungssysteme einschließt – muss die KI-Verordnungs-Compliance mit den DSGVO- und Datenschutzpflichten koordiniert werden. Die Grundrechte-Folgenabschätzung nach der KI-Verordnung und die Datenschutz-Folgenabschätzung (DSFA) nach der DSGVO sind nicht redundant, überschneiden sich aber: Ein integrierter Prozess vermeidet Doppelarbeit und stellt sicher, dass die beiden Compliance-Rahmen gegenseitig konsistent sind.

Marktüberwachung als laufende Pflicht

Die Marktüberwachung ist vielleicht die am meisten unterschätzte KI-Verordnungspflicht für Hochrisikosysteme. Compliance zum Zeitpunkt des Einsatzes ist nicht ausreichend: Die Verordnung verlangt ein kontinuierliches System zur Sammlung und Analyse von Daten über den tatsächlichen Systembetrieb. Das bedeutet die Definition von Leistungs- und Fairnessindikatoren, die Festlegung von Alarmschwellenwerten, die Überprüfungen auslösen, und die Führung von Aufzeichnungen, die belegen, dass das System weiterhin entsprechend der ursprünglichen Konformitätsbewertung betrieben wird. Wir entwickeln diese Überwachungssysteme so, dass sie operativ praktikabel sind, ohne technische Teams unverhältnismäßig zu belasten.