Du nutzt ein HR-Tool, das Bewerbungen automatisch vorsortiert. Oder deine Bank verwendet einen Algorithmus, der Kreditanträge bewertet. Oder ein Softwarepaket priorisiert Krankmeldungen. Klingt normal? Nach dem EU AI Act könnte das alles Hochrisiko-KI sein — mit einer ganzen Latte an Pflichten, die ab August 2026 gelten.
Die meisten Unternehmen, mit denen ich gesprochen habe, haben keine klare Antwort auf die Frage: “Betreibt ihr eigentlich Hochrisiko-KI?” Das ist kein Vorwurf — die Klassifizierung ist wirklich nicht trivial. Schauen wir uns das gemeinsam an.
Zeitplan im Blick: Einen Überblick über alle Fristen und was bis August 2026 konkret zu tun ist, findest du in unserem Artikel EU AI Act — was jetzt gilt.
Was macht eine KI zum “Hochrisiko”-System?
Der EU AI Act teilt KI-Systeme in Risikoklassen ein. Ganz oben: verbotene Systeme (zum Beispiel Social Scoring). Darunter: Hochrisiko-KI. Der Name klingt dramatisch, aber er meint nicht, dass die Software gefährlich ist — sondern dass sie in einem Bereich eingesetzt wird, wo Fehler echte Konsequenzen für echte Menschen haben.
Die entscheidende Frage ist nicht “Wie gut ist die KI?”, sondern “In welchem Kontext läuft sie?”
Die Bereiche, die Hochrisiko auslösen
Der AI Act listet Anhang III auf — das ist die Tabelle, die viele schlaflose Nächte verursacht. Einige Beispiele, die für Unternehmen in Deutschland besonders relevant sind:
Personalentscheidungen und Recruiting. Jede KI, die Bewerbungen filtert, Kandidaten rankt oder Arbeitsverträge bewertet, fällt hier rein. Tools wie Greenhouse oder Workday bieten inzwischen KI-gestützte Vorauswahl — genau das ist gemeint. Wenn dein Bewerbermanagementsystem KI nutzt, um Stapel von Bewerbungen auf eine Shortlist zu reduzieren, schau genau hin. Was das in der Praxis bedeutet, zeigen wir am Beispiel KI-gestützte Bewerbersichtung.
Kreditwürdigkeit und Bonitätsprüfung. Algorithmen, die bestimmen, ob jemand einen Kredit bekommt, fallen ebenfalls darunter. Das betrifft Banken und Fintechs direkt, aber auch Leasinggesellschaften oder B2B-Plattformen, die Zahlungsausfallrisiken automatisch einschätzen.
Medizinische Geräte und Diagnostik. KI, die bei der Diagnose hilft oder Behandlungsempfehlungen macht, zählt zu Hochrisiko — auch wenn sie nur als Unterstützungssystem läuft und ein Arzt am Ende entscheidet.
Bildung und Berufsausbildung. Tools, die Schüler oder Auszubildende bewerten, Prüfungen auswerten oder Lernpfade steuern. Das ist ein Bereich, der in der Debatte oft untergeht.
Kritische Infrastruktur. Wasser, Strom, Verkehr — hier gilt besondere Sorgfalt, das versteht sich.
Der praktische Test für dein Unternehmen
Geh deine KI-Tools durch — und sei dabei ehrlich. Die Frage lautet: Trifft diese KI oder beeinflusst sie maßgeblich eine Entscheidung, die das Leben einer Person betrifft?
Ein Textgenerator, der Marketing-E-Mails schreibt? Kein Hochrisiko. Ein Algorithmus, der automatisch entscheidet, wer zum Vorstellungsgespräch eingeladen wird? Hochrisiko.
Die Grauzone liegt oft bei “unterstützenden” Systemen. Wenn die KI eine Empfehlung macht, der ein Mensch fast immer folgt, ist die Unterscheidung “nur Empfehlung” juristisch dünn. Der EU AI Act schaut auf den tatsächlichen Einfluss, nicht auf die formale Beschreibung.
Was Hochrisiko konkret bedeutet — die Pflichten
Wenn dein System als Hochrisiko eingestuft wird, kommen Pflichten auf dich zu. Hier sind die wichtigsten:
Risikomanagementsystem. Du musst vor dem Deployment systematisch Risiken identifizieren und dokumentieren — und das kontinuierlich während des Betriebs.
Datenqualität. Trainingsdaten müssen dokumentiert, auf Bias geprüft und nachvollziehbar sein. Nicht mal theoretisch — tatsächlich.
Technische Dokumentation. Eine vollständige Dokumentation des Systems muss existieren: Architektur, Trainingsdaten, Leistungsparameter, Testmethoden.
Logging und Nachvollziehbarkeit. Das System muss protokollieren, was es tut — so dass im Nachhinein rekonstruiert werden kann, wie eine Entscheidung zustande kam.
Transparenz gegenüber Nutzern. Personen, die von einem Hochrisiko-KI-System betroffen sind, müssen informiert werden, dass KI im Spiel ist.
Menschliche Aufsicht. Es muss eine klare Möglichkeit geben, das System zu übersteuern oder abzuschalten.
Konformitätsbewertung. Vor der Markteinführung oder dem Einsatz muss formal geprüft werden, ob alle Anforderungen erfüllt sind.
Das klingt nach viel — weil es viel ist. Für ein mittelständisches Unternehmen, das ein fertiges HR-Tool eines Drittanbieters einsetzt, sieht es aber anders aus als für den Softwareanbieter selbst. Wer ein Hochrisiko-System entwickelt, trägt die Hauptlast. Wer es einsetzt, hat leichtere Pflichten — aber keine null.
Ich setze ein fertiges Tool ein — bin ich trotzdem betroffen?
Ja, teilweise. Als Betreiber (im AI-Act-Jargon: “Deployer”) musst du unter anderem sicherstellen, dass du das System nur für seinen vorgesehenen Zweck einsetzt, dass deine Mitarbeiter geschult sind und dass du Vorfälle meldest, wenn etwas schiefläuft.
Was das in der Praxis bedeutet: Wenn dein HR-Softwareanbieter nicht klar dokumentiert, dass sein Produkt AI-Act-konform ist, ist das dein Problem. Frag nach. Schriftlich. Das gilt auch für spezialisierte Rechtssoftware wie Harvey AI oder Luminance, die für Vertragsanalyse eingesetzt werden — die Anbieter sind primär in der Pflicht, aber du musst die Compliance nachweisen können.
Was nicht Hochrisiko ist (und wo Verwechslungen passieren)
Viele Unternehmen haben umgekehrt Angst vor Dingen, die gar nicht Hochrisiko sind. Ein Chatbot auf der Webseite, der Produktfragen beantwortet? Kein Hochrisiko. Ein Spamfilter? Kein Hochrisiko. KI-generierte Zusammenfassungen in deinem CRM? Kein Hochrisiko.
Die Pauschalregel “wir haben KI, also sind wir betroffen” stimmt nicht. Aber die Gegenregel “das ist nur ein kleines Tool” stimmt auch nicht — entscheidend ist, was das Tool tut und in welchem Kontext.
Der nächste Schritt
Mach eine Liste aller KI-Systeme, die dein Unternehmen nutzt oder plant einzusetzen. Für jedes System: In welchem der genannten Bereiche läuft es? Trifft es oder beeinflusst es Entscheidungen über Personen?
Wenn die Antwort ja ist, lohnt sich ein Gespräch mit einem spezialisierten Anwalt — und parallel eine Anfrage bei deinem Softwareanbieter nach dessen Compliance-Dokumentation. Wer jetzt prüft, hat Zeit zu reagieren. Wer bis August wartet, hat keinen Puffer mehr.
Wie KI-Systeme konkret für Vertragsanalyse und -prüfung eingesetzt werden, zeigen wir am Beispiel KI-gestützte Vertragsanalyse. Informationen zum breiteren Rechtsrahmen findest du auch in unserem Artikel zu KI und Recht — was Unternehmen 2026 beachten müssen.
Willst du keinen wichtigen Update rund um den EU AI Act und KI im Unternehmenskontext verpassen? Im KI-Syndikat-Newsletter bekommst du praxisnahe Einschätzungen — ohne Fachjargon-Spam.