Zurück zur Startseite
    Vertiefung8 Min. Lesezeit

    Risikoklassifizierung nach Anhang III erklärt

    Die EU-KI-Verordnung verfolgt einen risikobasierten Ansatz. Artikel 6(2) definiert hochriskante KI-Systeme als solche, die unter eine der acht in Anhang III aufgeführten Kategorien fallen. Wenn Ihr KI-System eine dieser Kategorien erfüllt, gelten alle Pflichten aus Kapitel III, Abschnitt 2 (Artikel 8-15).

    Dieser Leitfaden erläutert jede Kategorie in einfacher Sprache, damit Sie feststellen können, ob Ihre KI-Systeme als hochriskant einzustufen sind.

    Wie die Klassifizierung funktioniert

    Es gibt zwei Wege, nach der EU-KI-Verordnung als hochriskant eingestuft zu werden:

    1. Artikel 6(1) — Weg über die Sicherheitskomponente: Das KI-System ist eine Sicherheitskomponente eines Produkts, das unter bestehende EU-Harmonisierungsrechtsetzung fällt (z. B. Medizinprodukte, Maschinen, Spielzeug, Fahrzeuge), und erfordert nach dieser Rechtsetzung eine Drittparteien-Konformitätsbewertung.
    2. Artikel 6(2) — Weg über Anhang III: Das KI-System fällt unter eine der acht in Anhang III aufgeführten Anwendungsfall-Kategorien. Diesen Weg müssen die meisten Organisationen prüfen.

    Wichtige Ausnahme: Ein in Anhang III aufgeführtes KI-System gilt nicht als hochriskant, wenn es kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte darstellt — etwa weil es das Entscheidungsergebnis nicht wesentlich beeinflusst. Diese Ausnahme gilt jedoch nicht, wenn das System ein Profiling natürlicher Personen vornimmt.

    Kategorie 1: Biometrie

    KI-Systeme zur biometrischen Identifizierung, Kategorisierung oder Emotionserkennung — soweit nach EU- oder nationalem Recht zulässig.

    • Biometrische Identifizierung aus der Ferne — Systeme, die natürliche Personen aus Distanz identifizieren, indem biometrische Daten mit Referenzdatenbanken abgeglichen werden. Schließt einfache biometrische Verifikation aus (Bestätigung, dass jemand der ist, der er vorgibt zu sein).
    • Biometrische Kategorisierung — Systeme, die sensible oder geschützte Attribute wie Rasse, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse Überzeugungen, Sexualleben oder sexuelle Orientierung aus biometrischen Daten ableiten.
    • Emotionserkennung — Systeme, die zur Erkennung von Emotionen natürlicher Personen bestimmt sind.

    Kategorie 2: Kritische Infrastrukturen

    KI-Systeme, die als Sicherheitskomponenten beim Management und Betrieb der folgenden Bereiche eingesetzt werden sollen:

    • Kritische digitale Infrastruktur
    • Straßenverkehrsmanagement
    • Versorgung mit Wasser, Gas, Wärme oder Strom

    Beispiel: Ein KI-System, das die Ampelschaltungen an Kreuzungen steuert, oder eines, das die Lastverteilung im Stromnetz prognostiziert und steuert.

    Kategorie 3: Bildung & Berufsausbildung

    • Entscheidung über den Zugang oder die Zulassung zu Bildungs- oder Berufsausbildungseinrichtungen
    • Bewertung der Lernergebnisse, einschließlich Steuerung des Lernprozesses
    • Beurteilung der angemessenen Bildungsstufe, die eine Person erhalten oder zu der sie Zugang haben wird
    • Überwachung und Erkennung verbotenen Verhaltens von Studierenden während Prüfungen

    Beispiel: Ein KI-System, das von einer Universität zur Vorauswahl und zum Ranking von Bewerbern eingesetzt wird, oder ein automatisches Bewertungssystem für Aufsätze in Abschlussprüfungen.

    Kategorie 4: Beschäftigung & Mitarbeitendenführung

    • Rekrutierung und Auswahl — Schaltung gezielter Stellenanzeigen, Filterung von Bewerbungen sowie Bewertung von Kandidaten in Vorstellungsgesprächen oder Tests
    • Arbeitsbezogene Entscheidungen — Auswirkungen auf Beförderung, Kündigung, Aufgabenzuweisung anhand individuellen Verhaltens oder persönlicher Eigenschaften sowie Überwachung und Bewertung von Leistung und Verhalten

    Beispiel: Ein KI-Screening-Tool, das Lebensläufe einstuft und Kandidaten in die engere Wahl nimmt, oder ein Leistungsüberwachungssystem, das Mitarbeitende anhand von Verhaltensmustern zur Überprüfung kennzeichnet.

    Kategorie 5: Wesentliche Dienste

    KI-Systeme im Zusammenhang mit dem Zugang zu und der Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten und Leistungen:

    • Anspruch auf öffentliche Leistungen — Bewertung des Anspruchs auf öffentliche Beihilfen, Gesundheitsleistungen oder Gewährung/Kürzung/Entzug solcher Leistungen
    • Bonitätsbewertung — Bewertung der Kreditwürdigkeit oder Festlegung von Bonitätswerten (ausgenommen Betrugsaufdeckung)
    • Versicherungsrisikobewertung — Risikobewertung und Tarifierung für Lebens- und Krankenversicherungen
    • Notdienste — Bewertung oder Klassifizierung von Notrufen, Disposition von Ersthelfern oder Triage von Patienten im Notfall

    Kategorie 6: Strafverfolgung

    Soweit nach EU- oder nationalem Recht zulässig:

    • Bewertung des Risikos, dass eine Person Opfer einer Straftat wird
    • Systeme, die als Polygraphen oder ähnliche Werkzeuge zur Lügenerkennung fungieren
    • Bewertung der Beweiszuverlässigkeit in strafrechtlichen Ermittlungen
    • Bewertung des Risikos, dass eine Person Straftaten begeht oder erneut begeht (nicht ausschließlich auf Profiling basierend)
    • Profiling von Personen bei Aufdeckung, Ermittlung oder Verfolgung von Straftaten

    Kategorie 7: Migration & Grenzkontrolle

    Soweit nach EU- oder nationalem Recht zulässig:

    • Polygraphen oder ähnliche Werkzeuge im Migrationskontext
    • Bewertung der Risiken (Sicherheit, irreguläre Migration, Gesundheit), die von Personen an Grenzen ausgehen
    • Unterstützung bei der Prüfung von Anträgen auf Asyl, Visa oder Aufenthaltsgenehmigungen
    • Erkennen, Wiedererkennen oder Identifizieren von Personen in Migrations- und Grenzkontrollkontexten (ausgenommen Überprüfung von Reisedokumenten)

    Kategorie 8: Justiz & demokratische Prozesse

    • Unterstützung der Justizbehörden bei Recherche und Auslegung von Sachverhalten und Recht, bei der Anwendung des Rechts auf konkrete Sachverhalte oder bei alternativer Streitbeilegung
    • Wahlen oder Referenden beeinflussen — KI-Systeme, die das Wahlverhalten beeinflussen sollen (ausgenommen Wahlkampflogistik-Tools, die Nutzer nicht direkt KI-Ausgaben aussetzen)

    Was passiert, wenn Ihr System hochriskant ist?

    Wenn Ihr KI-System in eine der obigen Kategorien fällt, müssen Sie Folgendes erfüllen:

    • Risikomanagementsystem (Artikel 9)
    • Daten- und Data-Governance-Anforderungen (Artikel 10)
    • Technische Dokumentation gemäß Anhang IV (Artikel 11)
    • Automatische Protokollierung und Aufzeichnung (Artikel 12)
    • Transparenz und Gebrauchsanweisung (Artikel 13)
    • Maßnahmen zur menschlichen Aufsicht (Artikel 14)
    • Standards für Genauigkeit, Robustheit und Cybersicherheit (Artikel 15)
    • Konformitätsbewertung vor dem Inverkehrbringen (Artikel 43)
    • EU-Konformitätserklärung und CE-Kennzeichnung (Artikel 47-48)
    • Registrierung in der EU-Datenbank (Artikel 49)

    Nicht sicher, wohin Ihr System gehört? Die Risikoklassifizierungs-Engine von LandingRed führt Sie durch einen geführten Fragebogen, der jeder Anhang-III-Kategorie zugeordnet ist, und ermittelt Ihr Risikoniveau automatisch mit vollständiger Nachweiskette.

    LandingRed automatisiert all das

    Hör auf, Compliance in Tabellen zu verwalten. Klassifiziere, dokumentiere, bewerte und überwache deine KI-Systeme aus einer Plattform.