Regulationanhang-iiihochrisikoklassifizierung

Anhang III erklärt: Eigenständige Hochrisiko-KI-Systeme nach der EU-KI-Verordnung

Detaillierte Aufschlüsselung aller acht Kategorien eigenständiger Hochrisiko-KI-Systeme in Anhang III der EU-KI-Verordnung — Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienstleistungen, Strafverfolgung, Migration und Justiz.

May 12, 202611 min read

Anhang III der EU-KI-Verordnung ist der wichtigste einzelne Anhang der Verordnung. Er listet acht Kategorien von KI-Systemen auf, die nach Artikel 6 Absatz 2 als Hochrisikosysteme eingestuft werden — nicht wegen einer zugrunde liegenden Produktsicherheitsvorschrift, sondern wegen der sensiblen Bereiche, in denen sie verwendet werden.

Wenn Ihr KI-System unter eine Anhang-III-Kategorie fällt und nicht für die Artikel-6-Absatz-3-Ausnahme qualifiziert, unterliegen Sie den vollständigen Hochrisikopflichten nach den Artikeln 8–15, einschließlich Risikomanagement, technischer Dokumentation, Daten-Governance, menschlicher Aufsicht, Genauigkeit und Cybersicherheitsmaßnahmen sowie Konformitätsbewertung.

Dieser Artikel geht jede der acht Anhang-III-Kategorien detailliert durch und erklärt, was erfasst wird, was nicht und wie die Artikel-6-Absatz-3-Ausnahme in der Praxis angewendet wird.

Anhang III ist dynamisch. Artikel 7 der Verordnung ermächtigt die Kommission, neue Anwendungsfälle per delegiertem Rechtsakt hinzuzufügen, wenn die KI-Nutzung in einem neuen Bereich ein vergleichbares Risiko für Grundrechte schafft. Die unten reproduzierte Liste spiegelt den Text der Verordnung (EU) 2024/1689 wie verabschiedet wider; künftige Änderungen können sie erweitern.

Der Anhang-III-Rahmen

Bevor wir die acht Kategorien durchgehen, hilft es zu verstehen, wie Anhang III mit dem Rest der Verordnung zusammenwirkt:

  • Artikel 6 Absatz 2 erklärt KI-Systeme nach Anhang III zu Hochrisikosystemen
  • Artikel 6 Absatz 3 sieht eine enge Ausnahme vor: Ein System in einem Anhang-III-Bereich ist nicht hochriskant, wenn es kein erhebliches Schadensrisiko darstellt. Der Anbieter muss die Bewertung dokumentieren.
  • Artikel 6 Absatz 3 Unterabsatz 2 stellt ausdrücklich klar, dass KI-Systeme, die Profiling natürlicher Personen durchführen, unabhängig von jedem Ausnahmegrund stets hochriskant sind
  • Artikel 49 verlangt, dass Anbieter und bestimmte Betreiber von Anhang-III-Hochrisikosystemen diese in der EU-Datenbank registrieren

Kategorie 1: Biometrie

Anhang III Nummer 1 erfasst KI-Systeme, die für biometrische Zwecke bestimmt sind, soweit ihre Nutzung nach Unions- oder nationalem Recht zulässig ist:

(a) Biometrische Fernidentifizierungssysteme. Hiervon ausgenommen sind KI-Systeme zur biometrischen Verifizierung, deren einziger Zweck darin besteht, zu bestätigen, dass eine bestimmte natürliche Person die Person ist, die sie zu sein vorgibt. Die Ausnahme für die Verifizierung (1-zu-1-Abgleich) ist wichtig: Die meisten Authentifizierungssysteme für den Zugriff auf Geräte oder Dienste fallen nicht unter diese Anhang-III-Kategorie.

(b) KI-Systeme zur biometrischen Kategorisierung nach sensiblen oder geschützten Merkmalen oder Eigenschaften, basierend auf der Ableitung solcher Merkmale oder Eigenschaften.

(c) KI-Systeme zur Emotionserkennung. Emotionserkennung an Arbeitsplätzen und in Bildungseinrichtungen ist nach Artikel 5 Absatz 1 Buchstabe f verboten (mit begrenzten Ausnahmen für medizinische und Sicherheitsgründe); andernorts ist sie nach dieser Anhang-III-Bestimmung hochriskant und zusätzlich den Artikel-50-Transparenzpflichten unterworfen.

Die Biometrie-Kategorie überschneidet sich erheblich mit den Verboten in Artikel 5. Die praktische Compliance verlangt häufig, zuerst die Verbote zu prüfen (fällt irgendein Aspekt des Systems unter Artikel 5?), bevor die Hochrisikopflichten bewertet werden.

Kategorie 2: Kritische Infrastruktur

Anhang III Nummer 2 erfasst KI-Systeme, die als Sicherheitskomponenten im Management und Betrieb kritischer digitaler Infrastruktur, des Straßenverkehrs oder der Versorgung mit Wasser, Gas, Wärme oder Strom verwendet werden.

Das Schlüsselwort ist Sicherheitskomponente (Artikel 3 Absatz 14) — eine Komponente, deren Ausfall oder Fehlfunktion die Gesundheit und Sicherheit von Personen oder Sachen gefährdet. Generische Optimierungssoftware für etwa ein Stromnetz wird nicht automatisch erfasst; ein KI-System, dessen Entscheidungen physische Sicherheitsvorfälle auslösen könnten, schon.

Diese Kategorie umfasst:

  • KI-basierte Verkehrsmanagementsysteme, deren Ausgaben Signalisierung, Auffahrtssteuerung oder Geschwindigkeitsbegrenzungen steuern
  • KI-Systeme zur Steuerung der Versorgung oder Verteilung von Versorgungsleistungen, bei denen ein Ausfall Versorgungsunterbrechungen oder Sicherheitsrisiken verursachen könnte
  • KI-Systeme zur Verwaltung kritischer digitaler Infrastruktur wie DNS-Resolver oder große Cloud-Plattformen, die nach nationalem Recht als kritisch eingestuft sind
  • KI-Systeme zur Steuerung des Verkehrsmanagements an Flughäfen oder Seehäfen

KI zur Erkennung von Cybersicherheits-Eindringlingen, die zum Schutz kritischer Infrastruktur eingesetzt wird, ist im Allgemeinen keine Sicherheitskomponente der Infrastruktur selbst, aber Anbieter sollten dies im Einzelfall bewerten.

Kategorie 3: Allgemeine und berufliche Bildung

Anhang III Nummer 3 erfasst KI-Systeme, die im Bildungs- und Berufsbildungskontext verwendet werden, insbesondere:

(a) Bestimmung des Zugangs, der Aufnahme oder Zuweisung natürlicher Personen zu Bildungs- und Berufsbildungseinrichtungen aller Stufen.

(b) Bewertung von Lernergebnissen, einschließlich wenn diese Ergebnisse zur Steuerung des Lernprozesses verwendet werden.

(c) Bewertung des angemessenen Bildungsniveaus, das eine Person erhalten wird oder zu dem sie im Rahmen von oder innerhalb von Bildungs- und Berufsbildungseinrichtungen aller Stufen Zugang erhalten wird.

(d) Überwachung und Erkennung unzulässigen Verhaltens von Studierenden während Prüfungen im Rahmen von oder innerhalb von Bildungs- und Berufsbildungseinrichtungen.

KI im Bildungswesen wirft besondere Bedenken auf, weil Fehler Lebenswege prägen können. Universitäten, die KI zum Screening von Bewerbungen einsetzen, Schulen, die KI zur Bewertung von Aufsätzen im großen Maßstab verwenden, oder Berufsbildungsprogramme, die KI zur Zuordnung von Studierenden in Bildungsstränge nutzen, fallen alle unter Anhang III.

Beachten Sie, dass Artikel 5 Absatz 1 Buchstabe f Emotionserkennung in Bildungseinrichtungen verbietet, sodass Aufmerksamkeitsüberwachungs-KI in Klassenzimmern — auch wenn sie als Engagement-Analytik dargestellt wird — im Allgemeinen nicht nur hochriskant, sondern verboten ist.

Kategorie 4: Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit

Anhang III Nummer 4 erfasst KI-Systeme im Beschäftigungskontext:

(a) Anwerbung oder Auswahl natürlicher Personen, insbesondere zur Schaltung zielgerichteter Stellenanzeigen, zur Analyse und Filterung von Bewerbungen und zur Bewertung von Bewerbern.

(b) Entscheidungen, die die Bedingungen arbeitsbezogener Beziehungen betreffen, die Beförderung oder Beendigung arbeitsbezogener Beziehungen, die Zuweisung von Aufgaben auf der Grundlage individuellen Verhaltens oder persönlicher Merkmale oder Eigenschaften oder die Überwachung und Bewertung der Leistung und des Verhaltens von Personen in solchen Beziehungen.

Diese Kategorie ist weit gefasst. Sie erfasst:

Eigenständige Verwaltungstools ohne Entscheidungseinfluss können über die Artikel-6-Absatz-3-Ausnahme entkommen. Profiling-Systeme sind unabhängig von Ausnahmen ausdrücklich erfasst.

Need auditable AI for compliance?

Ctrl AI provides full execution traces, expert verification, and trust-tagged outputs for every AI decision.

Learn About Ctrl AI

Kategorie 5: Zugang zu und Nutzung wesentlicher privater und öffentlicher Dienstleistungen

Anhang III Nummer 5 erfasst KI-Systeme zur Gewährung oder Verweigerung des Zugangs zu wesentlichen Dienstleistungen. Sie hat vier Unterpunkte:

(a) Öffentliche Hilfeleistungen und Dienste. KI-Systeme, die von öffentlichen Stellen oder in deren Auftrag verwendet werden, um die Anspruchsberechtigung natürlicher Personen auf öffentliche Hilfsleistungen und Dienste, einschließlich Gesundheitsdienste, zu bewerten sowie solche Leistungen zu gewähren, zu kürzen, zu widerrufen oder zurückzufordern.

(b) Kreditwürdigkeit und Bonitätsbewertung. KI-Systeme zur Bewertung der Kreditwürdigkeit natürlicher Personen oder zur Ermittlung ihrer Bonität, mit Ausnahme von KI-Systemen zur Aufdeckung von Finanzbetrug. Dies ist die Grundlage für die Hochrisikoeinstufung von Bonitäts-KI.

(c) Risikobewertung und Preisgestaltung in der Lebens- und Krankenversicherung. KI-Systeme zur Risikobewertung und Preisgestaltung in Bezug auf natürliche Personen im Fall von Lebens- und Krankenversicherungen. Siehe KI in der Versicherungs-Compliance.

(d) Notrufe und Einsatzdisposition. KI-Systeme zur Bewertung und Klassifizierung von Notrufen natürlicher Personen oder zur Disposition oder Priorisierung der Disposition von Notfallhilfediensten, einschließlich Polizei, Feuerwehr und medizinischer Hilfe, sowie zur Notfall-Triage von Patienten.

Dies ist eine der wirtschaftlich bedeutendsten Anhang-III-Kategorien. Sie erfasst große Teile der Finanzdienstleistungs-KI und der Verwaltungs-KI.

Kategorie 6: Strafverfolgung

Anhang III Nummer 6 erfasst KI-Systeme, die von Strafverfolgungsbehörden (oder in deren Auftrag durch andere Behörden) zur Unterstützung der Strafverfolgung eingesetzt werden:

(a) KI-Polygraphen und ähnliche Werkzeuge oder zur Erkennung des emotionalen Zustands einer natürlichen Person.

(b) Bewertung der Zuverlässigkeit von Beweisen im Rahmen der Untersuchung oder Verfolgung von Straftaten.

(c) Profiling natürlicher Personen zum Zweck der Analyse oder Vorhersage kriminellen Verhaltens — beachten Sie, dass die reine profilbasierte individuelle Risikobewertung nach Artikel 5 Absatz 1 Buchstabe d verboten ist.

(d) Profiling natürlicher Personen im Rahmen der Aufdeckung, Untersuchung oder Verfolgung von Straftaten.

(e) Bewertung des Risikos, dass eine natürliche Person Opfer von Straftaten wird.

Diese Kategorie wurde gegenüber früheren Entwürfen eingegrenzt. Die Artikel-5-Verbote schließen die schlimmsten Praktiken aus (reine profilbasierte vorausschauende Polizeiarbeit, ungezieltes Scraping von Gesichtsaufnahmen, biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen mit engen Ausnahmen). Was in Anhang III verbleibt, ist weiterhin streng reguliert.

Kategorie 7: Migration, Asyl und Grenzkontrolle

Anhang III Nummer 7 erfasst KI-Systeme, die von oder im Auftrag zuständiger öffentlicher Stellen im Bereich Migration, Asyl und Grenzkontrolle eingesetzt werden:

(a) KI-Polygraphen und ähnliche Werkzeuge.

(b) Bewertung von Risiken, die von einer natürlichen Person ausgehen, die in das Hoheitsgebiet eines Mitgliedstaats einreist oder eingereist ist, einschließlich Sicherheitsrisiken, Risiken irregulärer Migration oder Gesundheitsrisiken.

(c) Prüfung von Anträgen auf Asyl, Visa oder Aufenthaltstitel, einschließlich der Bewertung der Zuverlässigkeit von Beweisen.

(d) Aufdeckung, Erkennung oder Identifizierung natürlicher Personen im Kontext von Migration, Asyl und Grenzkontrolle, mit Ausnahme der Verifizierung von Reisedokumenten.

Dieser Bereich ist politisch sensibel. Die Hochrisikoeinstufung spiegelt die Schwere der betroffenen Entscheidungen (Ablehnung von Asyl, Abschiebung, Inhaftierung) und die Verletzlichkeit der betroffenen Bevölkerungsgruppen wider.

Kategorie 8: Rechtspflege und demokratische Prozesse

Anhang III Nummer 8 hat zwei Unterpunkte:

(a) Rechtspflege. KI-Systeme, die von einer Justizbehörde oder in deren Auftrag verwendet werden, um eine Justizbehörde bei der Recherche und Auslegung von Sachverhalten und Recht und bei der Anwendung von Recht auf einen konkreten Sachverhalt zu unterstützen oder die in ähnlicher Weise in der alternativen Streitbeilegung verwendet werden.

(b) Demokratische Prozesse. KI-Systeme, die zur Beeinflussung des Ergebnisses einer Wahl oder eines Referendums oder des Wahlverhaltens natürlicher Personen bei der Ausübung ihres Wahlrechts in Wahlen oder Referenden bestimmt sind. Dies umfasst keine KI-Systeme, deren Output natürliche Personen nicht direkt ausgesetzt sind (etwa Werkzeuge zur Organisation, Optimierung oder Strukturierung politischer Kampagnen aus administrativer oder logistischer Sicht).

Dies ist die jüngst hinzugefügte Anhang-III-Kategorie, die Bedenken hinsichtlich KI-gesteuerter Wahlmanipulation widerspiegelt. Die Ausnahme für administrative politische Tools ist wichtig — Kampagnenmanagement-Software ist nicht allein deshalb hochriskant, weil sie KI einsetzt.

Die Ausnahme nach Artikel 6 Absatz 3

Ein System, das unter eine Anhang-III-Kategorie fällt, ist nicht automatisch ein Hochrisikosystem. Artikel 6 Absatz 3 sieht vier kumulative Szenarien vor, in denen die Einstufung nicht gilt — außer wenn das System Profiling natürlicher Personen durchführt:

  1. Eng umrissene Verfahrensaufgabe. Das KI-System ist dafür bestimmt, eine eng umrissene Verfahrensaufgabe zu erfüllen (z. B. ein System, das unstrukturierten Text in strukturierte Daten umwandelt).

  2. Verbesserung einer zuvor abgeschlossenen menschlichen Tätigkeit. Das System ist dafür bestimmt, das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit zu verbessern (z. B. KI, die bereits von einem menschlichen Gutachter erstellte Entwürfe verfeinert).

  3. Erkennung von Entscheidungsmustern. Das System ist dafür bestimmt, Entscheidungsmuster oder Abweichungen von früheren Entscheidungsmustern zu erkennen, und ist nicht dazu bestimmt, die zuvor abgeschlossene menschliche Bewertung ohne angemessene menschliche Überprüfung zu ersetzen oder zu beeinflussen.

  4. Vorbereitende Aufgaben. Das System ist dafür bestimmt, eine vorbereitende Aufgabe zu einer Bewertung durchzuführen, die für die Zwecke der in Anhang III aufgeführten Anwendungsfälle relevant ist (z. B. intelligente Lösungen für das Dateimanagement, die Dokumente klassifizieren).

Die Ausnahme ist enger gefasst, als es klingt. Die Standardvermutung ist, dass ein Anhang-III-System hochriskant ist; der Anbieter muss die Bewertung dokumentieren, wenn er sich auf die Ausnahme beruft, und eine Behörde kann sie anfechten.

Häufige Fehlklassifizierungen

Bei der Klassifizierung treten mehrere wiederkehrende Fehler auf:

1. Annahme, dass Kundenservice-Chatbots hochriskant sind. Sie sind in der Regel begrenzt-riskant nach Artikel 50, es sei denn, sie werden in einem Hochrisiko-Anwendungsfall eingesetzt (z. B. ein Chatbot, der Bewerbungen vorprüft).

2. Annahme, dass Empfehlungssysteme hochriskant sind. Standardempfehlungssysteme für Produkte oder Inhalte sind in der Regel minimal-riskant. Sie werden nur in spezifischen Anhang-III-Kontexten hochriskant.

3. Verkennen der Biometrie-Verifizierungs-Ausnahme. KI, die ausschließlich für die 1-zu-1-Verifizierung verwendet wird (Bestätigung, dass jemand die Person ist, die er zu sein vorgibt), ist von der biometrischen Hochrisikokategorie ausgenommen — bleibt aber DSGVO-pflichtig.

4. Behandlung von Kreditbetrugserkennung als hochriskant. Anhang III Nummer 5 Buchstabe b schließt Betrugserkennung ausdrücklich aus der Hochrisikokategorie der Bonitätsbewertung aus.

5. Falsche Anwendung der Ausnahme nach Artikel 6 Absatz 3. Die Ausnahme gilt nicht für Systeme, die Profiling durchführen. Anbieter müssen zudem die Bewertung dokumentieren — die Ausnahme ist nicht unsichtbar.

Was zu tun ist, wenn Ihr System unter Anhang III fällt

Wenn Ihr System unter eine Anhang-III-Kategorie fällt und Sie sich nicht auf die Artikel-6-Absatz-3-Ausnahme berufen können, müssen Sie:

  1. Ein Risikomanagementsystem nach Artikel 9 aufbauen
  2. Daten-Governance einrichten, die Artikel 10 entspricht (Relevanz, Repräsentativität, statistische Eigenschaften der Trainings-, Validierungs- und Testdaten)
  3. Technische Dokumentation nach Anhang IV vorbereiten gemäß Artikel 11
  4. Automatische Ereignisprotokollierung implementieren nach Artikel 12
  5. Transparenz gegenüber Betreibern nach Artikel 13 sicherstellen
  6. Menschliche Aufsicht einplanen nach Artikel 14
  7. Genauigkeit, Robustheit und Cybersicherheit nach Artikel 15 dokumentieren
  8. Eine Konformitätsbewertung durchführen nach Artikel 43
  9. Eine EU-Konformitätserklärung ausstellen nach Artikel 47 und CE-Kennzeichnung nach Artikel 48 anbringen
  10. Das System registrieren in der EU-Datenbank nach Artikel 49
  11. Ein System zur Beobachtung nach dem Inverkehrbringen betreiben nach Artikel 72

Das ist erhebliche Arbeit. Planen Sie sechs bis zwölf Monate Compliance-Aufbau vor dem Stichtag 2. August 2026 für neue Systeme.

Fazit

Anhang III ist das Herzstück des Hochrisikoregimes. Jede Organisation, die KI in der EU einsetzt, muss wissen, ob ihre Systeme unter eine dieser acht Kategorien fallen, ob die Artikel-6-Absatz-3-Ausnahme greift und welche Pflichten gelten, wenn nicht.

Für eine breitere Einordnung, wie Anhang III neben dem Rest der Verordnung passt, siehe den Artikel zum Risikoklassifizierungssystem und den vollständigen EU-KI-Verordnung-Überblick. Für die praktische Umsetzung übersetzt die Compliance-Checkliste für CTOs und CIOs diese Pflichten in einen Projektplan.

Frequently Asked Questions

Was ist Anhang III der EU-KI-Verordnung?

Anhang III listet acht Kategorien eigenständiger KI-Systeme auf, die nach Artikel 6 Absatz 2 als Hochrisikosysteme eingestuft werden. Anders als Hochrisikosysteme nach Anhang I, deren Einstufung sich aus zugrunde liegender Produktrechtsvorschrift ergibt, werden Anhang-III-Systeme aufgrund des Bereichs als hochriskant eingestuft, in dem sie verwendet werden.

Wie viele Kategorien enthält Anhang III?

Acht: Biometrie; kritische Infrastruktur; allgemeine und berufliche Bildung; Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit; Zugang zu und Nutzung wesentlicher privater und öffentlicher Dienstleistungen; Strafverfolgung; Migration, Asyl und Grenzkontrolle; sowie Rechtspflege und demokratische Prozesse.

Ist jedes KI-System in diesen Bereichen ein Hochrisikosystem?

Nein. Artikel 6 Absatz 3 hat eine enge Ausnahme eingeführt: Auch wenn ein System unter eine Anhang-III-Kategorie fällt, ist es nicht hochriskant, wenn es kein erhebliches Schadensrisiko darstellt. Die Ausnahme gilt, wenn das System eine eng umrissene Verfahrensaufgabe erfüllt, das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit verbessert, Entscheidungsmuster erkennt, ohne die menschliche Entscheidungsfindung zu ersetzen, oder eine vorbereitende Aufgabe erfüllt. KI-Systeme, die Profiling natürlicher Personen durchführen, sind jedoch stets hochriskant.

Ab wann gelten die Anhang-III-Pflichten?

Die meisten Anhang-III-Hochrisikopflichten gelten ab dem 2. August 2026 — zwei Jahre nach Inkrafttreten der Verordnung.

Kann die EU Anhang III ändern?

Ja. Artikel 7 ermächtigt die Kommission, Anhang III durch delegierten Rechtsakt zu ändern und Anwendungsfälle hinzuzufügen oder zu modifizieren, um mit der technologischen Entwicklung Schritt zu halten. Jede Ergänzung muss bestimmte Kriterien erfüllen, einschließlich der Schwere des potenziellen Schadens und des Ausmaßes, in dem KI bereits in ähnlichen Bereichen verwendet wird.

Make Your AI Auditable and Compliant

Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.

Explore Ctrl AI

Verwandte Artikel

Regulation12 min read

EU-KI-Verordnung FAQ: Antworten auf 30+ häufige Fragen

Praktische Antworten auf die häufigsten Fragen zur EU-KI-Verordnung — Anwendungsbereich, Fristen, Bußgelder, Klassifizierung, GPAI, DSGVO-Überschneidung und was Unternehmen tun müssen, um die Verordnung 2024/1689 einzuhalten.

Regulation13 min read

EU-KI-Verordnung Glossar: 50+ wichtige Begriffe erklärt

Allgemeinverständliche Definitionen der wichtigsten Begriffe der EU-KI-Verordnung — KI-System, Anbieter, Betreiber, GPAI, hochriskant, Konformitätsbewertung und mehr, mit Artikelverweisen.

Regulation4 min read

Umsetzung der EU-KI-Verordnung nach Ländern

Wie verschiedene EU-Mitgliedstaaten die KI-Verordnung umsetzen — nationale zuständige Behörden, regulatorische Sandkästen und länderspezifische Ansätze zur KI-Governance.