Home · EU AI Act · Insights · Hochrisiko-KI nach Anhang III: Scoping-Checkliste für DACH-Organisationen
Cluster · Auf Deutsch · EU-KI-Verordnung

Anhang III Scoping-Checkliste für DACH-Organisationen.

Von Elshan Musayev Veröffentlicht 2026-05-06 9 Min. Lesezeit
Kurzfassung. Die acht Hochrisiko-KI-Kategorien nach Anhang III erläutert, plus eine 14-Fragen-Scoping-Checkliste zur Bestimmung, ob Ihre Organisation unter Verordnung (EU) 2024/1689 in den Anwendungsbereich fällt.

Meta-Beschreibung: Ermitteln Sie, ob Ihr KI-System unter Anhang III der EU-KI-Verordnung fällt. Eine strukturierte Scoping-Checkliste für DACH-Compliance-Beauftragte, Datenschutzbeauftragte und Rechtsabteilungen — alle acht Hochrisiko-Kategorien im Überblick.

Kanonische URL: https://ekmgc.de/insights/annex-iii-scoping-checklist.html Pillarseite: Artikel 9 — Risikomanagementsystem Praxisleitfaden Herausgegeben von: EKM Global Consulting GmbH (Baden-Baden, gegründet im Januar 2013) Verordnung: Verordnung (EU) 2024/1689, in Kraft seit 1. August 2024; Pflichten aus Anhang III gelten ab 2. August 2026

Kurzfassung. Anhang III der EU-KI-Verordnung definiert acht Hochrisiko-Kategorien, die ein vollständiges Compliance-Regime auslösen — Artikel 9 Risikomanagementsystem, Artikel 10 Daten-Governance, Artikel 14 Menschliche Aufsicht und weitere. Dieser Beitrag erläutert, was jede Kategorie umfasst, wo DACH-Organisationen am häufigsten verborgene Exponierungen tragen, und enthält eine 14-Fragen-Scoping-Checkliste, mit der Sie feststellen können, ob ein System qualifiziert — bevor Ihre Pflichten ab August 2026 durchsetzbar werden.

Inhaltsverzeichnis

  1. Was Anhang III bewirkt
  2. Die acht Hochrisiko-Kategorien im Detail
  3. Die Scoping-Checkliste
  4. Anbieter vs. Betreiber: Warum die Unterscheidung entscheidend ist
  5. Handlungsschritte nach Identifikation eines Anhang-III-Systems
  6. DACH-spezifischer Regulierungsrahmen
  7. Abschluss: Starten Sie mit dem Quick Scan
  8. FAQ
  9. Quellen

Was Anhang III bewirkt

Artikel 6 Abs. 2 der Verordnung (EU) 2024/1689 stellt klar, dass ein in Anhang III aufgeführtes KI-System automatisch als Hochrisiko-KI eingestuft wird — unabhängig vom konkreten Risikoprofil eines einzelnen Einsatzszenarios. Es handelt sich um einen listenbasierten Klassifizierungsmechanismus, keinen folgenbasierten. Das System muss keinen Schaden verursacht haben. Die entscheidende Frage lautet: Fällt es unter eine der aufgeführten Kategorien?

Anhang III listet derzeit acht Hochrisikobereiche. Artikel 7 gewährt der Europäischen Kommission die Befugnis, die Liste durch delegierten Rechtsakt zu erweitern oder einzuschränken. Der Geltungsbereich kann sich demnach während Ihres Compliance-Programms ohne formelles Gesetzgebungsverfahren verschieben.

Die acht Kategorien in der Reihenfolge ihres Erscheinens in Anhang III:

  1. Biometrie — Fernidentifizierung natürlicher Personen in Echtzeit oder nachträglich sowie Kategorisierung anhand geschützter Merkmale.
  2. Kritische Infrastruktur — KI, die im Management und Betrieb von Straßenverkehr, Wasser, Gas, Wärme, Elektrizität und digitaler Infrastruktur eingesetzt wird.
  3. Allgemeine und berufliche Bildung — Systeme, die über Zugang, Progression oder Bewertung in Bildungs- und Berufsbildungseinrichtungen entscheiden.
  4. Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit — Rekrutierung, Auswahl, Leistungsüberwachung, Beförderung, Vertragsbeendigung und Aufgabenzuweisung, die Beschäftigte betreffen.
  5. Wesentliche private und öffentliche Dienste — Kreditwürdigkeitsprüfung, Versicherungsrisikopreisbildung, Anspruchsberechtigung auf öffentliche Leistungen, Einsatzleitstellen für Notfalldienste.
  6. Strafverfolgung — Risikobewertung von Personen, polygrafahnliche Verfahren, Deepfake-Erkennung durch Polizeibehörden, Kriminalanalytik zur Rückfallprognose.
  7. Migration, Asyl und Grenzkontrollen — Risikoprofilierung von Drittstaatsangehörigen, Dokumentenechtheitsprüfung, Grenzüberwachung.
  8. Rechtspflege und demokratische Prozesse — KI zur Unterstützung von Gerichten bei der Sachverhaltsermittlung, Risikobeurteilung von Schöffen sowie KI zur Beeinflussung von Wahlen oder Volksabstimmungen.

Die acht Hochrisiko-Kategorien im Detail

1. Biometrie

Auslöser ist die automatisierte Verarbeitung biometrischer Daten zur Fernidentifizierung oder Kategorisierung einer natürlichen Person. Die biometrische Echtzeit-Fernidentifizierung an öffentlich zugänglichen Orten ist nach Artikel 5 verboten (mit engen Ausnahmen für Strafverfolgungsbehörden). Nachträgliche Systeme sowie Systeme, die Personen nach Emotionen, Geschlecht, ethnischer Herkunft oder politischer Überzeugung kategorisieren, fallen als Hochrisiko-KI unter Anhang III.

DACH-Exponierung. Zeiterfassungssysteme am Arbeitsplatz, die die Identität per Gesichtsbild verifizieren; Sprachauthentifizierung in Contact Centern; Anwesenheitsüberwachung in Gesundheitseinrichtungen. Vergleicht ein System das Live-Bild oder die Stimme einer Person mit einer Datenbank — zu welchem Zweck auch immer — sind die Scoping-Fragen einzuleiten.

Grenzbereich. Liveness-Erkennung, die ausschließlich zur Betrugsprävention in einem KYC-Prozess eingesetzt wird, ohne dass ein persistenter Identifikator angelegt wird, kann unter engen Auslegungen außerhalb von Anhang III fallen. Eine rechtliche Bewertung ist einzuholen; ein Selbstausschluss ohne Prüfung ist nicht vertretbar.

2. Kritische Infrastruktur

Auslöser ist der Einsatz zur Steuerung oder zum Betrieb von Straßenverkehr, Wasser, Gas, Wärme, Elektrizität oder digitaler Infrastruktur auf eine Weise, die die Sicherheit von Personen beeinträchtigen kann.

DACH-Exponierung. KI zur Netzstabilisierung bei deutschen Energieversorgern im Rahmen des EnWG; Predictive-Maintenance-KI für Fernwärme in Österreich; adaptive Verkehrssteuerungssysteme bei Schweizer Kantonsstraßenbehörden. Kann das System beeinflussen, ob eine physische Ressource sicher zu den Endnutzern gelangt, ist Anhang III einschlägig.

Grenzbereich. Back-Office-Planungstools, die Wartungsfenster optimieren, aber keine Unterbrechung der Versorgung bewirken können, liegen weniger eindeutig im Geltungsbereich. Die entscheidende Frage ist, ob ein fehlerhafter Output vernünftigerweise zu einer Unterbrechung wesentlicher Dienste führen könnte.

3. Allgemeine und berufliche Bildung

Auslöser ist die automatisierte Entscheidung über Zugang, Progression oder Bewertung in einer Bildungs- oder Berufsbildungseinrichtung.

DACH-Exponierung. Proctoring-Software an Fachhochschulen und Universitäten für Fernprüfungen; KI-Systeme zur Bewertung von Abitur- oder Matura-Aufsätzen im Großmaßstab; Systeme zur Reihung von Bewerbungen auf Ausbildungsplätze. Berufsbildungsplattformen, die Lernende automatisch Lernpfaden zuweisen oder Kompetenzniveaus zertifizieren, fallen ebenfalls in den Geltungsbereich.

Grenzbereich. Empfehlungsmaschinen, die ergänzende Lektüre oder Übungsaufgaben vorschlagen, ohne den Zugang zu beschränken oder Noten zu beeinflussen, liegen in der Regel außerhalb des Geltungsbereichs.

4. Beschäftigung, Personalmanagement und Selbstständigkeit

Auslöser ist die Automatisierung von Prozessen, die Rekrutierung, Auswahl, Beförderung, Leistungsbewertung, Aufgabenzuweisung oder Vertragsbeendigung von Beschäftigten oder Bewerbern auf Selbstständigkeit betreffen.

DACH-Exponierung. Dies ist eine der Kategorien mit der höchsten Exponierung für DACH-Organisationen. Systeme zur Sichtung von Bewerbungsunterlagen, Videointerviewanalysen zur Stimmungserkennung, algorithmisches Leistungsscoring in Call Centern, Gig-Economy-Dispositionsplattformen, die Lieferdienste bewerten und deaktivieren — all diese Systeme fallen klar unter Anhang III. Auch ein System, das lediglich eine Rangliste für die menschliche Prüfung erstellt, fällt in den Geltungsbereich, wenn Menschen dessen Output routinemäßig übernehmen, ohne eine eigenständige Neubewertung vorzunehmen.

Grenzbereich. Schichtplanungstools, die Einsätze ausschließlich auf Basis der im System hinterlegten Mitarbeiterpräferenzen verteilen, ohne Merkmale der Beschäftigten zu inferieren, liegen in der Regel außerhalb des Geltungsbereichs.

5. Wesentliche private und öffentliche Dienste

Auslöser ist ein KI-System, das die Anspruchsberechtigung auf Kredite, Versicherungen, öffentliche Leistungen, Notfalleinsätze oder sonstige als wesentlich eingestufte Dienste bestimmt oder beschränkt.

DACH-Exponierung. Kreditscoring-Modelle bei deutschen Sparkassen und Genossenschaftsbanken; Versicherungs-Underwriting-Systeme zur Preisbildung bei Gesundheits- oder Haftpflichtrisiken; automatisierte Leistungsanspruchsprüfer in deutschen Jobcentern oder beim österreichischen AMS; Notruf-Triage-Systeme. Diese Kategorie berührt in erheblichem Maße die BaFin-MaRisk sowie die EBA-Leitlinien zu ML-Modellen für Kreditinstitute.

Grenzbereich. Marketing-Personalisierung, die beeinflusst, welches Produkt angezeigt wird — jedoch weder Zugang noch Preisgestaltung bestimmt —, liegt weniger eindeutig im Geltungsbereich.

6. Strafverfolgung

Auslöser ist der Einsatz von KI durch Polizei- oder Sicherheitsbehörden zur Risikobewertung von Personen, Kriminalanalytik, polygraphnaher Affektbeurteilung oder Deepfake-Erkennung in Strafverfahren.

DACH-Exponierung. Predictive-Policing-Systeme, die in mehreren Bundesländern erprobt wurden; Bedrohungsbeurteilungsinstrumente bei der Bundespolizei; Lügendetektionssoftware in Asylanhörungen. Diese Kategorie betrifft in erster Linie Organisationen des öffentlichen Sektors mit Vollzugsauftrag, jedoch werden private Sicherheitsunternehmen, die solchen Behörden KI-Dienste erbringen, nach Artikel 6 zu Anbietern eines Hochrisiko-Systems.

7. Migration, Asyl und Grenzkontrollen

Auslöser ist der Einsatz von KI zur Bewertung des Risikos irregulären Aufenthalts, zur Authentifizierung von Reisedokumenten oder zur Grenzüberwachung.

DACH-Exponierung. Systeme des BAMF (Bundesamt für Migration und Flüchtlinge) oder kantonaler Migrationsbehörden; Dokumentenprüfungs-KI an Flughafen-Grenzanlagen. Private Organisationen, die solchen Behörden KI zur Dokumentenverifizierung bereitstellen, sind unabhängig von ihrer eigenen Branchenzugehörigkeit Anbieter eines Hochrisiko-Systems.

8. Rechtspflege und demokratische Prozesse

Auslöser ist KI, die Gerichten, Schiedsinstanzen oder Wahlbehörden zuarbeitet, oder KI, die zur Beeinflussung des Wahlverhaltens eingesetzt wird.

DACH-Exponierung. KI-gestützte Recherchetools für Gerichte oder Notare; Kampagnen-Targeting-Systeme politischer Parteien. Für kommerzielle Einrichtungen liegt die Hauptexponierung als Anbieter solcher Tools, nicht als Betreiber.

Die Scoping-Checkliste

Die folgenden 14 Fragen bilden ein sequenzielles Entscheidungsverfahren. Beantworten Sie jede Frage der Reihe nach. Wird eine Frage bejaht, dokumentieren Sie Ihre Begründung und die unterstützenden Belege. Eine einzige Bejahung der Fragen 1 bis 5 genügt, um eine vollständige Anhang-III-Klassifizierungsprüfung einzuleiten.

Nr. Frage Entscheidungskriterium Empfohlener Nachweis / Artefakt
1 Verarbeitet das System biometrische Daten, um eine natürliche Person zu identifizieren oder zu kategorisieren? Ja → Klassifizierungsprüfung einleiten; Nein → weiter Datenflussdiagramm; Verzeichnis nach Art. 30 DSGVO
2 Steuert, regelt oder überwacht das System einen Bestandteil des Straßenverkehrs, der Wasser-, Gas-, Wärme-, Strom- oder digitalen Infrastruktur auf eine Weise, die die Versorgungskontinuität oder physische Sicherheit beeinflussen kann? Ja → weiter; Nein → weiter Systemarchitekturdokument; Nutzungsumfang-Vertrag
3 Entscheidet das System über den Zugang zu, die Progression in oder die Bewertung innerhalb eines Bildungs- oder Berufsbildungsprogramms oder beeinflusst es diese wesentlich? Ja → weiter; Nein → weiter Funktionsspezifikation; Richtlinie zur Output-Verwendung
4 Sichtet, reiht, bewertet oder trifft das System Maßnahmen, die Beschäftigte oder Bewerber auf Beschäftigung oder Selbstständigkeit betreffen? Ja → weiter; Nein → weiter HR-Prozessplan; Anbieter-Dokumentation
5 Entscheidet das System über die Anspruchsberechtigung auf Kredite, Versicherungen, öffentliche Leistungen oder Notfallversorgung oder beeinflusst es diese wesentlich? Ja → weiter; Nein → weiter Kreditpolitik-Dokumentation; aktuarielle Modellbeschreibung
6 Unterstützt das System Strafverfolgungsbehörden, Sicherheitsbehörden oder Grenzkontrollbehörden bei der Risikobewertung oder Echtheitsprüfung? Ja → weiter; Nein → weiter Vertrag mit Behörde; Anwendungsfall-Beschreibung
7 Beeinflusst das System das Wahlverhalten oder assistiert es bei Gerichts- oder Schiedsverfahren? Ja → weiter; Nein → weiter Kundenvertrag; Beschreibung des Einsatzkontexts
8 Wird der Output des Systems als Eingabe für eine menschliche Entscheidung verwendet, die eine natürliche Person erheblich betrifft? Ja → erhöhte Hochrisiko-Wahrscheinlichkeit; Nein → geringere Wahrscheinlichkeit Entscheidungsprozess-Flussdiagramm; Eskalationsrichtlinie
9 Kann der Output des Systems einer bestimmten natürlichen Person individuell zugeordnet werden? Ja → erhöhtes Risiko; Nein → geringer, aber weiter prüfen Output-Schema; Logging-Spezifikation
10 Erfolgt vor einer Folgeentscheidung eine substanzielle menschliche Prüfung der einzelnen Outputs? Nein → Risiko erhöht; Ja → Belastbarkeit der Prüfung dokumentieren SOPfür die menschliche Prüfung; Override-Protokolle
11 Ist das System ein Standardprodukt (beschafft) oder individuell entwickelt (intern oder nach Spezifikation)? Standardprodukt → wahrscheinlich Betreiber-Rolle; Individuell → wahrscheinlich Anbieter-Rolle Beschaffungsvertrag; Entwicklungsauftrag
12 Stellt der Lieferant eine EU-Konformitätserklärung bereit oder weist er eine CE-Kennzeichnung für dieses System aus? Nein → Ihr Unternehmen muss ggf. als Betreiber oder Ko-Anbieter eine Konformitätsbewertung durchführen Compliance-Erklärung des Lieferanten; Vertragsklausel
13 Ist das System bereits nach Artikel 71 in der öffentlichen Datenbank der EU-KI-Verordnung registriert? Nein (nach August 2026) → Pflichtlücke; Ja → Richtigkeit verifizieren Datenbankabfrage; Registrierungsnachweis
14 Wurde für dieses System eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt, und berücksichtigt diese die KI-spezifischen Risiken? Nein → unmittelbarer Handlungsbedarf; Ja → Quervergleich mit geplantem KI-Act-Risikomanagementsystem DPIA-Dokumentation

Anbieter vs. Betreiber: Warum die Unterscheidung entscheidend ist

Artikel 3 Abs. 3 der Verordnung (EU) 2024/1689 definiert einen Anbieter als jede natürliche oder juristische Person, die ein KI-System entwickelt und auf dem Markt bereitstellt oder in Betrieb nimmt. Artikel 3 Abs. 4 definiert einen Betreiber als jede Organisation, die ein KI-System in eigener Verantwortung einsetzt.

Bei Anhang-III-Systemen bestimmt diese Unterscheidung, welche Pflichten aus Artikel 9 und den damit verbundenen Vorschriften wen treffen.

Ein Kreditinstitut, das ein Kreditscoring-Modell von einem Lieferanten erwirbt, ist Betreiber nach Artikel 26. Es muss eine Konformitätsbewertung der Dokumentation des Anbieters durchführen, sicherstellen, dass eine menschliche Aufsicht implementiert ist, und Einsatzprotokolle vorhalten. Es muss kein Risikomanagementsystem von Grund auf neu aufbauen — muss jedoch verifizieren, dass das System des Anbieters die Anforderungen der Artikel 9, 10 und Anhang IV erfüllt, und trägt Restpflichten, wenn die Dokumentation des Anbieters unzureichend ist.

Dasselbe Kreditinstitut ist, sofern es ein nach seiner eigenen Spezifikation entwickeltes Modell in Auftrag gibt, aller Wahrscheinlichkeit nach Anbieter nach Artikel 3 Abs. 3 — auch wenn der Code von einem Dritten geschrieben wird. Entscheidend ist die Kontrolle über die funktionale Spezifikation. Dies ist in DACH-Beschaffungskontexten eine verbreitete Quelle für Fehlklassifizierungen, wenn die Entwicklung ausgelagert, die Anforderungen jedoch intern verfasst werden.

Ein einziges System kann Ihre Organisation für einige Einsatzszenarien in die Anbieter-Rolle und für andere in die Betreiber-Rolle versetzen — beispielsweise wenn ein Krankenhaus eine interne Triage-KI für den eigenen klinischen Betrieb erstellt (Betreiber), dieses Tool jedoch an eine andere Klinik lizenziert (damit Anbieter). Beide Rollen sind gesondert zu erfassen.

Handlungsschritte nach Identifikation eines Anhang-III-Systems

Die Identifikation ist kein Endpunkt, sondern der Ausgangspunkt. Für jedes bestätigte Anhang-III-System aktivieren sich die nachfolgenden Pflichten, mit dem Compliance-Stichtag 2. August 2026 für bereits auf dem Markt befindliche Systeme.

Artikel 9 — Risikomanagementsystem. Ein dokumentierter, iterativer Prozess zur Identifizierung, Schätzung, Bewertung und Minderung von Risiken über den gesamten Lebenszyklus des Systems. Dieser Prozess ist Gegenstand des Praxisleitfadens: Artikel 9 — Risikomanagementsystem Praxisleitfaden.

Artikel 10 — Daten und Daten-Governance. Trainings-, Validierungs- und Testdaten müssen Anforderungen an Relevanz, Repräsentativität und Fehlerfreiheit erfüllen. Die Datenhaltung und -nutzung muss dokumentiert werden. Für DACH-Organisationen, die bereits unter den Beschränkungen des Art. 22 DSGVO operieren, lagern sich die Anforderungen des Artikels 10 auf bestehende Datmäßigkeitspflichten auf.

Artikel 14 — Menschliche Aufsicht. Das System muss so konzipiert und mit Verfahren betrieben werden, die sicherstellen, dass natürliche Personen den Output des Systems verstehen, überwachen und erforderlichenfalls anhalten oder außer Kraft setzen können. Die Delegation der Aufsicht an einen KI-gestützten Prüfer genügt dieser Anforderung nicht.

Artikel 17 — Qualitätsmanagementsystem. Anbieter müssen ein Qualitätsmanagementsystem einführen, das Verantwortlichkeiten, Ressourcenzuweisung, Post-Market-Monitoring und Incident-Handling umfasst. Betreiber sollten dessen Existenz im Rahmen der vertraglichen Sorgfaltspflicht verifizieren.

Anhang IV — Technische Dokumentation. Ein strukturiertes Dossier, das Zweck, Fähigkeiten, Einschränkungen, Trainingsdaten, Leistungsmetriken und Risikomanagementmaßnahmen des Systems beschreibt. Es muss vor der Markteinführung vorliegen und aktuell gehalten werden.

Registrierung (Artikel 71). Anbieter von Hochrisiko-Systemen müssen das System vor der Markteinführung in der EU-Datenbank registrieren.

Sanktionen. Verstöße gegen Pflichten aus Anhang III können nach Artikel 99 mit einem Höchstbetrag von EUR 15 Mio. oder 3 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) geahndet werden.

DACH-spezifischer Regulierungsrahmen

DACH-Organisationen agieren nicht in einem Einzel-Regulierungsumfeld. Drei nationale oder europäische Rahmenwerke begründen zusätzliche Pflichten, die mit der Klassifizierung nach Anhang III interagieren.

BaFin MaRisk AT 9 (deutsche Banken und Versicherer). MaRisk AT 9 regelt das Auslagerungs-Risikomanagement und verpflichtet Kreditinstitute, Risiken aus Drittbeziehungen — einschließlich Technologiedienstleister — zu bewerten und zu überwachen. Ein von einem Lieferanten bezogenes Anhang-III-KI-System ist nach AT 9 zugleich eine ausgelagerte Funktion, sofern es für regulierte Tätigkeiten wesentlich ist. Die nach AT 9 erforderliche Risikobeurteilung und das Risikomanagementsystem nach Artikel 9 können aufeinander abgestimmt werden, sind jedoch nicht identisch — AT 9 fokussiert auf operative und vertragliche Aspekte; Artikel 9 auf die systemeigenen Risiken der KI. Beide Anforderungen sind gesondert zu erfüllen.

BfDI-Orientierungshilfe zu HR-KI. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat eine Orientierungshilfe veröffentlicht, wonach KI-Systeme im Beschäftigungskontext — insbesondere solche, die Scores oder Rankings erstellen, die Beschäftigte betreffen — eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erfordern und die Beschränkungen des Art. 22 DSGVO zu automatisierten Entscheidungen wahrscheinlich auslösen. Diese Orientierungshilfe ist vor Inkrafttreten der EU-KI-Verordnung ergangen, steht jedoch im Einklang mit der Klassifizierung nach Anhang-III-Kategorie 4. Compliance-Beauftragte in DACH-Organisationen sollten ein vom BfDI adressiertes HR-System als vermutlich Anhang-III-relevant behandeln und entsprechend scopen.

BSI C5 für KI in der öffentlichen Cloud. Der BSI Cloud Computing Compliance Criteria Catalogue (C5) gilt für Cloud-Dienste, die von deutschen Bundes- und Landesbehörden genutzt werden. Wird ein Anhang-III-KI-System auf einem Cloud-Dienst betrieben, muss die Behörde als Betreiber bestätigen, dass die Cloud-Infrastruktur C5-attestiert ist. Die Anforderungen an die menschliche Aufsicht nach Artikel 14 und die C5-Steuerungsziele zu Verfügbarkeit und Incident-Response sollten gemeinsam geprüft werden.

Österreich und Schweiz. Österreichische Organisationen unterliegen zusätzlich dem Datenschutzgesetz 2018 (DSG) sowie für Finanzinstitute FMA-Rundschreiben, die in ihrer Struktur MaRisk AT 9 entsprechen. Schweizer Organisationen, die unter dem nDSG operieren und sich auf den extraterritorialen Geltungsbereich der EU-KI-Verordnung vorbereiten (Systeme, die EU-Personen betreffen), sollten dieselbe Anhang-III-Scoping-Logik anwenden; die FINMA-Orientierungshilfe 05/2024 zu algorithmischen Modellen im Finanzsektor ist das schweizerische Gegenstück zu MaRisk AT 9.

Abschluss: Starten Sie mit dem Quick Scan

Die Klassifizierung nach Anhang III ist keine einmalige Übung. Systeme entwickeln sich weiter, Anwendungsfälle weiten sich aus, und Artikel 7 räumt der Kommission die Befugnis ein, die Liste zu aktualisieren. Organisationen, die eine wiederholbare Scoping-Disziplin aufbauen — anstatt eines einmaligen Audits — werden dies mit deutlich geringerem Non-Compliance-Risiko an den Durchsetzungsstichtagen bewältigen.

Haben Sie noch kein Inventar Ihrer KI-Systeme anhand der Anhang-III-Kategorien erstellt, bietet der strukturierte 10-Minuten-Quick Scan der EU-KI-Verordnung unter app.ekmgc.de eine Basisbewertung mit kategoriebezogenem Output.

Für Organisationen, die potenzielle Anhang-III-Systeme identifiziert haben und eine strukturierte Gap-Analyse gegenüber den Artikeln 9, 10, 14 und 17 benötigen, finden Sie die Beratungsübersicht unter ekmgc.de/eu-ai-act.html.

FAQ

F1. Muss ein KI-System vollständig automatisierte Entscheidungen treffen, um unter Anhang III zu fallen? Nein. Artikel 3 Abs. 1 der Verordnung (EU) 2024/1689 definiert ein KI-System als maschinenbasiertes System, das mit unterschiedlichem Autonomiegrad ausgelegt ist. Ein System, das eine Empfehlung oder Rangfolge für die menschliche Prüfung erstellt, qualifiziert weiterhin als KI-System. Die entscheidende Frage für Anhang III lautet, ob es unter eine aufgeführte Kategorie fällt und ob der Output eine wesentliche Entscheidung beeinflusst, die natürliche Personen betrifft — nicht, ob die abschließende Maßnahme ohne menschliche Beteiligung erfolgt.

F2. Wir haben ein System von einem Lieferanten erworben, der erklärt, es sei kein Hochrisiko-System. Sind wir damit abgesichert? Eine Selbstdeklaration des Lieferanten überträgt keine rechtliche Verantwortung. Artikel 26 begründet eigenständige Pflichten für Betreiber, einschließlich der Pflicht, zu verifizieren, dass die Dokumentation des Anbieters vollständig ist und das System in der eingesetzten Form die Anforderungen von Kapitel III Abschnitt 2 erfüllt. Ist die Bewertung des Lieferanten unzutreffend, bleibt Ihre Organisation als Betreiber dem Durchsetzungsrisiko ausgesetzt. Eine vertragliche Freistellungsvereinbarung ersetzt keine regulatorische Compliance.

F3. Unser HR-Softwareanbieter hat im Rahmen eines Updates KI-Funktionen hinzugefügt. Löst das Anhang III aus? Möglicherweise ja. Wird ein bislang nicht KI-basiertes System wesentlich dahingehend modifiziert, dass es KI-Funktionen umfasst, die unter eine Anhang-III-Kategorie fallen, kann für das aktualisierte System eine erneute Konformitätsbewertung erforderlich sein. Artikel 6 gilt für das System in der eingesetzten Form. Organisationen sollten Anbieter-Update-Hinweise gegen die Anhang-III-Kategorien prüfen und bei Einführung von KI-Funktionen aktualisierte Compliance-Dokumentation anfordern.

F4. Wir sind ein Schweizer Unternehmen. Gilt Anhang III für uns? Die Schweiz ist kein EU-Mitgliedstaat; die EU-KI-Verordnung gilt dort nicht unmittelbar. Jedoch unterliegt jede Schweizer Organisation, die KI-Systeme betreibt oder bereitstellt, die innerhalb der EU eingesetzt werden — einschließlich Systeme, die von EU-Tochtergesellschaften, EU-Kunden oder EU-Beschäftigten genutzt werden —, den Bestimmungen zum extraterritorialen Geltungsbereich. Für diese Einsatzszenarien gelten dieselben Anhang-III-Kategorien.

F5. Wie interagiert Anhang III mit dem Verbot vollständig automatisierter Entscheidungen nach Art. 22 DSGVO? Beide Regelwerke ergänzen sich, sind jedoch eigenständig. Art. 22 DSGVO beschränkt automatisierte Entscheidungen, die rechtliche oder ähnlich bedeutsame Wirkungen ohne menschliche Prüfung entfalten; er gilt bereits jetzt. Die Klassifizierung nach Anhang III der EU-KI-Verordnung begründet einen umfassenderen Katalog technischer und organisatorischer Pflichten; er gilt ab August 2026. Ein System der Kategorie 4 (Beschäftigung) oder Kategorie 5 (wesentliche Dienste) wird aller Wahrscheinlichkeit nach beide Regelwerke gleichzeitig berühren. DPIA-Dokumentation, die nach Art. 35 DSGVO erstellt wurde, sollte um die Anhang-III-Klassifizierung und die Anforderungen des Risikomanagementsystems nach Artikel 9 ergänzt werden.

F6. Was ist der Unterschied zwischen verbotener KI nach Artikel 5 und Hochrisiko-KI nach Anhang III? Artikel 5 listet Praktiken auf, die vollständig verboten sind — darunter biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen (mit engen Ausnahmen), Social Scoring durch Behörden und Manipulation schutzbedürftiger Personen. Diese sind mit der höchsten Sanktion belegt: EUR 35 Mio. oder 7 % des weltweiten Umsatzes. Anhang-III-Systeme sind nicht verboten; sie sind reguliert. Sie dürfen weiterhin betrieben werden, sofern das vollständige Compliance-Regime eingehalten wird. Jedes System, das möglicherweise unter Artikel 5 und Anhang III fällt, ist zunächst auf das Verbot hin zu prüfen.

F7. Wir betreiben ein KI-System im Produktivbetrieb, das vor August 2024 eingeführt wurde. Gelten die Pflichten aus Anhang III für uns? Ja, vorbehaltlich der Übergangsbestimmungen. Artikel 111 sieht einen gestuften Umsetzungsplan vor. KI-Systeme, die vor dem 2. August 2026 auf dem Markt bereitgestellt oder in Betrieb genommen wurden, müssen ab diesem Datum die Pflichten aus Anhang III erfüllen — es sei denn, sie werden vorher wesentlich modifiziert; in diesem Fall gelten die Compliance-Pflichten ab dem Zeitpunkt der Modifizierung. Der Begriff "wesentliche Modifizierung" ist in Artikel 3 Abs. 23 definiert und umfasst Änderungen, die die Systemleistung für den bestimmungsgemäßen Zweck oder den Personenkreis, an den das System gerichtet ist, beeinflussen.

F8. Welche Mindestdokumentation sollte Ihr Haus vor August 2026 vorbereiten? Mindestens: (1) ein vollständiges Inventar der genutzten oder bereitgestellten KI-Systeme, zugeordnet zu den acht Anhang-III-Kategorien; (2) eine Rollenbestimmung für jedes System (Anbieter, Betreiber oder beides); (3) für jedes Anhang-III-System einen Entwurf eines Risikomanagementsystems nach Artikel 9; (4) die Technische Dokumentation nach Anhang IV, entweder selbst erstellt oder vom Lieferanten beschafft und verifiziert; (5) Verfahren zur menschlichen Aufsicht nach Artikel 14. Dies ist nicht abschließend — es ist der Mindeststandard für eine glaubwürdige Compliance-Positionierung.

Quellen

  1. Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates über künstliche Intelligenz (EU-KI-Verordnung). EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689
  2. EU-KI-Verordnung Anhang III — Hochrisiko-KI-Systeme gemäß Artikel 6 Abs. 2. EUR-Lex (dasselbe Dokument, Anhang III).
  3. EU AI Office — Überblick zu Hochrisiko-KI-Systemen. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
  4. BaFin — Mindestanforderungen an das Risikomanagement (MaRisk), AT 9 Auslagerung. https://www.bafin.de/DE/Aufsicht/BankenFinanzdienstleister/Anforderungen/MaRisk/maRisk_node.html
  5. BfDI — Stellungnahme zu KI-Systemen im Beschäftigungskontext. https://www.bfdi.bund.de/DE/Home/home_node.html
  6. BSI — Cloud Computing Compliance Criteria Catalogue (C5:2020). https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html
  7. Europäischer Datenschutzausschuss (EDSA) — Leitlinien zu automatisierten Einzelentscheidungen und Profiling (aktualisierte Fassung). https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-automated-individual-decision-making-and_en
  8. FINMA — Orientierungshilfe 05/2024 zum Einsatz von KI-Modellen im Finanzsektor (Schweiz). https://www.finma.ch/en/

Schema.org-Empfehlung: Diese Seite mit FAQPage-strukturierten Daten für die acht FAQ-Einträge sowie mit Article-Schema mit author auf die Organisationsentität auszeichnen. Die Vergleichstabelle im Abschnitt zur Scoping-Checkliste profitiert dort, wo das CMS dies unterstützt, von Table-strukturierten Daten.

Interne Verlinkung: - Dieser Cluster-Artikel verweist auf: /insights/article-9-risikomanagementsystem-leitfaden.html (Pillarseite, Abschnitt 5), https://app.ekmgc.de (CTA), https://ekmgc.de/eu-ai-act.html (CTA). - Die Pillarseite sollte in ihrem Abschnitt "Scoping-Voraussetzungen" oder "Vorbedingungen" auf diesen Cluster-Artikel zurückverweisen. - Empfohlene künftige Cluster-Artikel mit Verlinkung auf diesen Beitrag: Cluster zu Artikel 10 Daten-Governance; Cluster zu Anhang IV Technische Dokumentation; Cluster zur Intersection von DACH-Beschäftigungs-KI und Art. 22 DSGVO.

EKM Global Consulting GmbH — betrieben von der EKM Global Consulting GmbH, Baden-Baden, gegründet im Januar 2013. Autor: Elshan Musayev, LinkedIn. Dieser Beitrag stellt keine Rechtsberatung dar.

Verwandte Beiträge

Read in English →