Loslegen

Wann gilt ein KI-System als Hochrisiko-KI-System nach dem EU AI Act?

Recent Post

Wann gilt ein KI-System als Hochrisiko-KI-System nach dem EU AI Act?

Begriff und Zweck der Risikoklassifizierung

Der EU-Rechtsakt über Künstliche Intelligenz (EU AI Act) schafft einen einheitlichen regulatorischen Rahmen für KI-Systeme, die innerhalb der Europäische Union in Verkehr gebracht oder eingesetzt werden. Ein zentrales Strukturelement der Verordnung ist das risikobasierte Klassifizierungssystem, das regulatorische Pflichten nach dem potenziellen Einfluss eines KI-Systems auf Personen, Gesellschaft und Grundrechte staffelt.

Ziel der Risikoklassifizierung ist es nicht, sämtliche KI-Systeme gleichförmig zu regulieren, sondern regulatorische Schutzmechanismen dort zu konzentrieren, wo erhebliche Risiken bestehen. KI-Systeme, die als Hochrisiko-KI-Systeme eingestuft werden, unterliegen daher den umfassendsten Compliance-, Governance- und Aufsichtspflichtender Verordnung.

Die Einordnung als Hochrisiko-KI-System ist eine zentrale Schwellenfrage, da sie darüber entscheidet, ob verschärfte regulatorische Anforderungen greifen und unter welchen Voraussetzungen ein KI-System überhaupt rechtmäßig auf dem EU-Markt bereitgestellt werden darf.

Systematik des EU AI Act

Der EU AI Act folgt einem mehrstufigen Regulierungsmodell, das zwischen unterschiedlichen Risikokategorien unterscheidet:

  1. Verbotene KI-Praktiken, die aufgrund unvertretbarer Risiken vollständig untersagt sind.
  2. Hochrisiko-KI-Systeme, die nur unter Einhaltung strenger Anforderungen zulässig sind.
  3. KI-Systeme mit begrenztem Risiko, für die insbesondere Transparenzpflichten gelten.
  4. KI-Systeme mit minimalem Risiko, die weitgehend unreguliert bleiben.

Hochrisiko-KI-Systeme nehmen innerhalb dieser Struktur eine zentrale Stellung ein. Sie sind weder generell verboten noch lediglich geringfügig reguliert, sondern unterliegen einem detaillierten Regelungsregime, das darauf abzielt, systemische Risiken präventiv zu begrenzen.

Die Einstufung als Hochrisiko-KI-System erfolgt dabei nicht nach Ermessen, sondern anhand konkret festgelegter gesetzlicher Kriterien.

Hochrisiko-KI-Systeme: Anwendungsbereich und rechtliches Konzept

Ein KI-System kann nach dem EU AI Act insbesondere in zwei Konstellationen als hochriskant eingestuft werden:

  1. aufgrund seines vorgesehenen Verwendungszwecks in sensiblen, regulierten Bereichen, oder
  2. als sicherheitsrelevante Komponente eines bereits regulierten Produkts.

Regulierte Einsatzbereiche und Grundrechtsrelevanz

KI-Systeme gelten als hochriskant, wenn sie in Bereichen eingesetzt werden, die unmittelbar mit Grundrechten, Sicherheit oder dem Zugang zu wesentlichen Leistungen verknüpft sind. Hierzu zählen insbesondere Anwendungsfelder wie:

  • Beschäftigung und Personalmanagement,
  • Bildung und berufliche Qualifikation,
  • Zugang zu öffentlichen oder privaten Dienstleistungen,
  • Kreditwürdigkeitsprüfung und Finanzdienstleistungen,
  • Strafverfolgung, Migration und Grenzkontrolle,
  • Rechtspflege und demokratische Prozesse.

Der gesetzgeberische Ansatz beruht auf der Annahme, dass Fehlfunktionen, Verzerrungen oder Fehlentscheidungen in diesen Bereichen erhebliche rechtliche, wirtschaftliche oder persönliche Nachteile für betroffene Personen nach sich ziehen können.

Sicherheitskomponenten regulierter Produkte

Ein KI-System kann auch dann als hochriskant gelten, wenn es als Sicherheitskomponente eines Produkts fungiert, das bereits unter bestehende EU-Produktsicherheitsvorschriften fällt, etwa im Bereich von Medizinprodukten, Maschinen oder Fahrzeugen. In diesen Fällen ergänzt der EU AI Act die bestehenden sektoralen Sicherheitsregelungen.

Annex-Logik und Bedeutung des vorgesehenen Verwendungszwecks

Die konkrete Einordnung hochriskanter KI-Systeme erfolgt im Wesentlichen anhand der Anhänge (Annexe) des EU AI Act. Diese legen fest:

  • welche Anwendungsbereiche als hochriskant gelten, und
  • welche Arten von KI-Systemen diesen Bereichen zugeordnet sind.

Ein entscheidendes Kriterium ist dabei der vorgesehene Verwendungszweck des KI-Systems, wie er vom Anbieter definiert wird. Ein identisches technisches System kann je nach Einsatzkontext unterschiedlich eingestuft werden.

Die Risikoklassifizierung ist daher nicht rein technisch, sondern folgt einem funktions- und kontextbezogenen Ansatz, der die tatsächlichen Auswirkungen der KI-Anwendung in den Mittelpunkt stellt.

Abgrenzung zu nicht-hochriskanten KI-Systemen

Nicht jedes KI-System in einem sensiblen Umfeld ist automatisch als hochriskant einzustufen. Der EU AI Act differenziert insbesondere zwischen:

  • KI-Systemen, die Entscheidungen lediglich unterstützen, und
  • solchen, die Entscheidungen automatisiert treffen oder maßgeblich beeinflussen.

Systeme, die ausschließlich unterstützend tätig sind und keine eigenständige Entscheidungswirkung entfalten, können außerhalb der Hochrisikokategorie liegen. Dagegen sind KI-Systeme, die rechtlich oder faktisch verbindliche Entscheidungen prägen, deutlich eher als hochriskant einzuordnen.

Diese Abgrenzung ist insbesondere in Bereichen wie Recruiting, Kreditvergabe oder Zugangsentscheidungen von praktischer Relevanz.

Rechtsfolgen der Einstufung als Hochrisiko-KI-System

Die Einordnung eines KI-Systems als hochriskant hat erhebliche regulatorische Konsequenzen.

Erweiterte Compliance-Pflichten

Für Hochrisiko-KI-Systeme gelten umfangreiche Anforderungen, unter anderem in Bezug auf:

  • Risikomanagement- und Governance-Strukturen,
  • technische Dokumentation und Aufzeichnungspflichten,
  • Daten-Governance und Datenqualität,
  • menschliche Aufsicht,
  • Genauigkeit, Robustheit und Cybersicherheit.

Diese Pflichten gelten vor dem Inverkehrbringen sowie fortlaufend über den gesamten Lebenszyklus des Systems.

Konformitätsbewertung und Marktzugang

Vor dem Inverkehrbringen oder der Inbetriebnahme eines Hochrisiko-KI-Systems ist eine Konformitätsbewertungdurchzuführen. Je nach Systemkategorie kann diese intern erfolgen oder die Einbindung externer benannter Stellen erfordern.

Die Nichteinhaltung der Anforderungen kann zu Marktbeschränkungen, Rücknahmeverpflichtungen oder behördlichen Maßnahmen führen.

Zuweisung regulatorischer Verantwortung

Der EU AI Act unterscheidet zwischen Anbietern und Betreibern von KI-Systemen und weist diesen unterschiedliche Pflichten zu. Die Hochrisiko-Einstufung beeinflusst daher nicht nur technische Compliance, sondern auch die rechtliche Verantwortungsverteilung entlang der Wertschöpfungskette.

Die Hochrisiko-Klassifizierung als regulatorischer Kern

Das Konzept des Hochrisiko-KI-Systems bildet einen zentralen Pfeiler der Regulierungsarchitektur des EU AI Act. Es setzt den risikobasierten Ansatz der Verordnung um, indem regulatorische Pflichten unmittelbar an die potenziellen Auswirkungen eines KI-Systems geknüpft werden.

Eine fehlerhafte Einstufung kann entweder zu unnötiger regulatorischer Belastung oder zu erheblichen Compliance-Lücken mit entsprechenden rechtlichen Konsequenzen führen.

Fazit

Ein KI-System gilt nach dem EU AI Act als hochriskant, wenn sein vorgesehener Verwendungszweck, seine funktionale Rolle und seine potenziellen Auswirkungen es in die in der Verordnung und ihren Anhängen definierten sensiblen Anwendungsbereiche oder Produktsicherheitskontexte einordnen. Maßgeblich sind rechtliche Kriterien, nicht allein technische Komplexität.

Das Verständnis der Hochrisiko-Klassifizierung ist eine grundlegende Voraussetzung für die Einordnung regulatorischer Pflichten und die rechtssichere Bewertung von KI-Systemen im europäischen Rechtsraum.

Hinweis

Die auf dieser Seite bereitgestellten Informationen dienen ausschließlich allgemeinen Informationszwecken und stellen keine Rechtsberatung dar.

Scroll to Top