Anhang III

Anhang III des EU AI Act definiert acht Kategorien von KI-Systemen, die aufgrund ihres potenziellen Einflusses auf Gesundheit, Sicherheit und Grundrechte automatisch als hochriskant eingestuft werden. Fällt ein KI-System in eine dieser Kategorien und trifft oder beeinflusst wesentliche Entscheidungen über Personen, löst dies den vollen Satz an Compliance-Pflichten nach Artikeln 8 bis 15 aus, einschließlich technischer Dokumentation, Risikomanagement, menschlicher Aufsicht und Konformitätsbewertung.

Die acht Kategorien des Anhangs III sind: (1) Biometrie: Fernbiometrische Identifizierungssysteme und biometrische Kategorisierung natürlicher Personen; (2) Kritische Infrastrukturen: KI-Systeme als Sicherheitskomponenten in der Verwaltung und dem Betrieb kritischer digitaler Infrastrukturen, des Straßenverkehrs sowie der Versorgung mit Wasser, Gas, Wärme und Strom; (3) Bildung und berufliche Bildung: KI-Systeme, die Zugang zu Bildung bestimmen, Lernergebnisse bewerten oder angemessene Bildungsniveaus einschätzen; (4) Beschäftigung und Arbeitnehmermanagement: KI-Systeme für Recruiting, Beförderungsentscheidungen, Aufgabenverteilung sowie Überwachung oder Bewertung von Beschäftigten; (5) Zugang zu wesentlichen Dienstleistungen: KI-Systeme, die Kreditwürdigkeit bewerten, Preise für Lebens- und Krankenversicherungen bestimmen, Anspruch auf öffentliche Leistungen prüfen oder Prioritäten in der Notfalldisposition bewerten; (6) Strafverfolgung: KI-Systeme für individuelle Risikoanalysen, Polygraphen, Bewertung der Beweiszuverlässigkeit oder Kriminalitätsprognosen; (7) Migration, Asyl und Grenzkontrolle: KI-Systeme für Risikoanalysen, Dokumenten-Echtheitsprüfung oder Verarbeitung von Visa- und Aufenthaltsanträgen; (8) Rechtspflege: KI-Systeme, die Justizbehörden beim Recherchieren, Interpretieren von Tatsachen und Recht oder beim Anwenden von Recht auf Tatsachen unterstützen.

Ob ein KI-System unter Anhang III fällt, ist der entscheidende erste Schritt in der EU-AI-Act-Compliance-Planung. Die Einstufung bestimmt den gesamten Compliance-Pfad. Hochrisiko-Systeme nach Anhang III unterliegen umfangreichen Dokumentationspflichten (Anhang IV), verpflichtenden Risikomanagementsystemen, Anforderungen an menschliche Aufsicht und Verfahren zur Konformitätsbewertung, bevor sie in der EU in Verkehr gebracht oder in Betrieb genommen werden dürfen. Wichtig ist die Schwelle der „wesentlichen Entscheidung“: Ein System wird nur dann als hochriskant eingestuft, wenn es Entscheidungen mit erheblichen Auswirkungen auf Personen trifft oder diese materiell beeinflusst, nicht wenn es lediglich allgemeine Informationen bereitstellt oder unterstützende Funktionen ausführt.

Organisationen sollten ein systematisches Inventar aller eingesetzten oder in Entwicklung befindlichen KI-Systeme erstellen und jedes System gegen die Kategorien des Anhangs III mappen. Bei Grenzfällen ist zu prüfen, ob die Systemausgabe Entscheidungen über Zugang zu Leistungen, Beschäftigung, Bildung oder rechtliche Angelegenheiten direkt beeinflusst. Die Einstufungsbegründung sollte sorgfältig dokumentiert werden, da Aufsichtsbehörden Einstufungen anfechten können, die Compliance-Pflichten zu minimieren scheinen. Für eindeutig hochriskante Systeme sollte die Planung sofort beginnen: Die Frist im August 2026 für Anhang-III-Systeme verlangt operative Compliance, nicht nur „Dokumentation in Arbeit“.