Hochrisiko-KI einstufen: Was die neuen EU-Leitlinien zur Klassifizierung nach Artikel 6 klären

Am Anfang des AI Act steht eine einzige Frage, die über alles Weitere entscheidet: Ist mein KI-System überhaupt hochriskant? Erst wenn das geklärt ist, stellt sich die Frage nach Risikomanagement, Dokumentation und Konformitätsbewertung. Genau hier setzen die Entwurfsleitlinien der Europäischen Kommission vom 19. Mai 2026 an. Auf rund 148 Seiten legen sie aus, wie die Einstufung nach Artikel 6 der KI-Verordnung praktisch funktioniert – mit einer umfangreichen Sammlung von Beispielen für Systeme, die als hochriskant gelten und solche, die es nicht tun.

Dieser Beitrag konzentriert sich auf den Einstufungs-Entscheid selbst: die beiden Klassifizierungswege, den Filter-Mechanismus nach Artikel 6 Absatz 3 und die Frage, wie Sie eine Nicht-Hochrisiko-Einstufung belastbar begründen. Was zu tun ist, sobald ein System als hochriskant feststeht, behandeln wir separat im Beitrag dazu, welche Pflichten dann konkret gelten.

1. Warum die Einstufung über alles andere entscheidet

Die Einstufung als hochriskant ist der Hebel, der den umfangreichsten Pflichtenkatalog des AI Act auslöst: Risikomanagement (Art. 9), Daten-Governance (Art. 10), technische Dokumentation (Art. 11), menschliche Aufsicht (Art. 14), Konformitätsbewertung (Art. 43). Eine falsche Einstufung wirkt in beide Richtungen – wer ein hochriskantes System fälschlich als unkritisch führt, riskiert Sanktionen; wer überklassifiziert, bindet unnötig Ressourcen. Wichtig: „nicht hochriskant“ bedeutet nicht „pflichtfrei“. Systeme mit begrenztem Risiko – etwa Chatbots oder KI-generierte Inhalte – unterliegen den Transparenzpflichten nach Artikel 50, die unabhängig von der Hochrisiko-Frage und bereits ab dem 2. August 2026 gelten.

Die Leitlinien selbst schaffen keine neuen Pflichten. Sie geben die Auslegung der Kommission wieder und sind rechtlich nicht bindend. In der Praxis dürfte ihnen dennoch erhebliches Gewicht zukommen: Aufsichtsbehörden und Gerichte werden sich bei der Beurteilung einer Einstufung voraussichtlich an dieser Auslegung orientieren, sodass eine leitlinienkonforme Einstufung leichter zu begründen ist. Die öffentliche Konsultation zum Entwurf lief bis zum 23. Juni 2026; eine finale Fassung wird im Anschluss erwartet, ohne dass bislang ein konkretes Datum feststeht. Der Entwurf ist in drei separat herunterladbare Teile gegliedert – Allgemeine Prinzipien, Anhang I und Anhang III.

Vor jeder Einstufung steht eine Vorfrage: Die Anwendung muss überhaupt erst die Definition eines KI-Systems nach Artikel 3 Absatz 1 erfüllen – ein maschinengestütztes System, das mit unterschiedlichen Graden an Autonomie betrieben wird und aus Eingaben Ausgaben wie Vorhersagen, Empfehlungen oder Entscheidungen ableitet. Erst danach greift die Prüfung nach Artikel 6.

Handlungsempfehlung: Verschoben sind die Hochrisiko-Pflichten, nicht die Klassifizierungsregeln des Artikels 6. Die Einstufung ist keine eigene Frist, sondern die Vorstufe, die zeigt, wie viel Zeit Sie wirklich haben. Nutzen Sie die gewonnene Zeit jetzt für die saubere Klassifizierung Ihres KI-Bestands.

2. Weg 1: KI als Sicherheitskomponente regulierter Produkte (Anhang I)

Nach Artikel 6 Absatz 1 ist ein KI-System hochriskant, wenn zwei Bedingungen kumulativ erfüllt sind:

1. Das KI-System ist Sicherheitskomponente eines Produkts – oder selbst ein Produkt, das unter die in Anhang I gelisteten EU-Harmonisierungsvorschriften fällt (etwa Maschinen, Spielzeug, Aufzüge, Medizinprodukte oder Fahrzeuge); und
2. dieses Produkt muss nach den einschlägigen Vorschriften einer Konformitätsbewertung durch Dritte unterzogen werden.

Nur wenn beide Bedingungen zusammen vorliegen, greift die Hochrisiko-Einstufung über Anhang I.

Eine Sicherheitskomponente liegt vor, wenn die KI dazu dient, Risiken für Gesundheit, Sicherheit oder Eigentum zu verhindern oder zu mindern, oder wenn ihr Ausfall solche Risiken auslösen könnte. Wichtig: Die jüngste Omnibus-Einigung hat die Definition geschärft – KI-Systeme, die ausschließlich der Nutzerunterstützung, Leistungsoptimierung, Effizienz oder Qualitätskontrolle dienen, gelten nicht als Sicherheitskomponente.

Handlungsempfehlung: Anbieter regulierter Produkte sollten den AI Act nicht isoliert lesen, sondern parallel zur bestehenden Produktkonformität. Prüfen Sie, ob Ihre KI tatsächlich eine Sicherheitsfunktion erfüllt oder lediglich optimiert – das entscheidet über die Einstufung.

3. Weg 2: KI in gelisteten Anwendungsbereichen (Anhang III)

Nach Artikel 6 Absatz 2 gelten KI-Systeme als hochriskant, deren Zweckbestimmung in einen der acht in Anhang III genannten Bereiche fällt: Biometrie, kritische Infrastruktur, allgemeine und berufliche Bildung, Beschäftigung und Personalmanagement, Zugang zu wesentlichen privaten und öffentlichen Diensten, Strafverfolgung, Migration und Grenzkontrolle sowie Justiz und demokratische Prozesse. Für die meisten Unternehmen außerhalb des Produktsektors ist dies der relevante Weg – besonders Biometrie sowie Beschäftigung und Personalmanagement, etwa beim Einsatz von KI im Recruiting.

Ausschlaggebend ist die Zweckbestimmung des Systems – einschließlich der Art, wie sie in Bedienungsanleitungen, technischer Dokumentation sowie Marketing- und Vertriebsmaterialien beschrieben wird. Die Kommission betont: Der angegebene Zweck muss über alle Materialien hinweg klar und konsistent sein. Eine zu vage oder werblich überdehnte Zweckbeschreibung kann ein System unbeabsichtigt in den Hochrisiko-Bereich ziehen.

Handlungsempfehlung: Erstellen Sie ein vollständiges KI-Inventar und prüfen Sie jedes System gegen die acht Anhang-III-Bereiche – ausgehend vom tatsächlichen Einsatz, nicht von der rechtlichen Wunschqualifikation.

4. Der Filter-Mechanismus nach Artikel 6 Absatz 3 – das Herzstück der Einstufung

Hier entscheidet sich der schwierigste Teil jeder Einstufung. Nicht jedes System aus Anhang III ist automatisch hochriskant: Artikel 6 Absatz 3 erlaubt Anbietern, ein gelistetes System von der Hochrisiko-Einstufung auszunehmen, wenn es kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte darstellt – insbesondere, weil es das Ergebnis der Entscheidungsfindung nicht wesentlich beeinflusst. Die Kommission widmet diesem Filter über zwanzig Seiten mit Beispielen, weil sich hier die meisten Praxisstreitigkeiten entzünden werden.

Der Filter greift, wenn eine von vier Bedingungen erfüllt ist. Das KI-System ist dazu bestimmt,

1. eine eng umgrenzte verfahrenstechnische Aufgabe zu erfüllen (etwa unstrukturierte in strukturierte Daten umzuwandeln, Dokumente in vordefinierte Kategorien einzuordnen oder Duplikate zu erkennen);
2. das Ergebnis einer bereits abgeschlossenen menschlichen Tätigkeit zu verbessern, ohne diese zu ersetzen;
3. Entscheidungsmuster oder Abweichungen von früheren Mustern zu erkennen, ohne die vorherige menschliche Bewertung ohne angemessene Prüfung zu ersetzen oder zu beeinflussen; oder
4. eine vorbereitende Aufgabe für eine Bewertung im Sinne der Anhang-III-Anwendungsfälle durchzuführen.

Die Leitlinien sind unmissverständlich: Diese Ausnahmen sind eng auszulegen, weil sie von Regeln abweichen, die dem Schutz der Grundrechte dienen. Im Zweifel gilt das System als hochriskant. Ein System, das Eingaben bewertet, bepunktet oder als „nützlich“ bzw. „weniger nützlich“ für eine menschliche Beurteilung kennzeichnet, geht über eine rein verfahrenstechnische Rolle hinaus und fällt nicht unter die erste Bedingung.

Handlungsempfehlung: Dokumentieren Sie für jedes Anhang-III-System die Filter-Prüfung schriftlich – mit Begründung je Bedingung. Eine pauschale Aussage „nicht hochriskant“ ohne diese Analyse genügt nicht mehr.

5. Wo der Filter nicht greift

Der Filter ist nicht anwendbar, wenn das System Profiling natürlicher Personen vornimmt – also personenbezogene Daten automatisiert verarbeitet, um persönliche Aspekte zu bewerten. Ein anschauliches Beispiel der Leitlinien: Ein System, das Abweichungen in Einstellungsentscheidungen erkennt, ohne die zugrunde liegende menschliche Beurteilung zu ersetzen, kann grundsätzlich unter die Mustererkennungs-Bedingung fallen. Sobald es jedoch zusätzlich die persönlichen Eigenschaften der Recruiter bewertet und damit Profiling betreibt, ist der Filter nicht mehr anwendbar.

Ebenso wenig greift er, wenn das System Teil eines komplexen Systems ist, dessen kombinierte Ausgaben eine Einzelentscheidung in einem Hochrisiko-Anwendungsfall wesentlich beeinflussen. Besonders relevant: Komplexe und sogenannte agentische KI-Systeme werden ganzheitlich bewertet. Auch wenn einzelne Module für sich genommen unter eine Ausnahme fielen, entfällt diese, sobald das Gesamtsystem die Entscheidung im Hochrisiko-Kontext mitprägt. Der Trend zu modularer und agentischer Architektur öffnet also keinen Weg an der Hochrisiko-Einstufung vorbei.

Auch menschliche Beteiligung allein nimmt ein System nicht aus dem Anwendungsbereich. Sie ändert die Zweckbestimmung nicht. Menschliche Aufsicht ist nach Artikel 14 ohnehin Pflicht für alle Hochrisiko-Systeme – sie ist Voraussetzung für Compliance, kein Ausschlusskriterium für die Einstufung.

Handlungsempfehlung: Bewerten Sie agentische und modulare Systeme immer als Ganzes. Verlassen Sie sich nicht darauf, dass ein „nur vorbereitendes“ Modul die Einstufung des Gesamtsystems aufhebt.

6. Praxisbeispiele: hochriskant oder nicht?

Der Wert der Leitlinien liegt in den konkreten Beispielen. Einige Beispiele, die sich daraus ableiten lassen:

• Ein KI-System, das Bewerbungen analysiert, filtert und Kandidaten bewertet, fällt unter den Beschäftigungs-Anwendungsfall des Anhang III und ist regelmäßig hochriskant – die bloße Beteiligung eines Personalverantwortlichen ändert daran nichts.
• Ein System, das lediglich unstrukturierte Lebensläufe in ein strukturiertes Format überführt, ohne sie zu bewerten, kann unter die verfahrenstechnische Filter-Bedingung fallen.
• Ein Betrugserkennungssystem im Finanzbereich kann unter eine der gesetzlich gelisteten Ausnahmen fallen, sofern es die Kriterien erfüllt.
• Im Bereich Biometrie fasst der AI Act den Begriff bewusst weiter als die DSGVO: erfasst werden auch Systeme, die aus biometrischen Daten Rückschlüsse über Personen ziehen, nicht nur die reine Identifikation.

Diese Beispiele sind nicht abschließend. Sie zeigen aber die Prüflogik: Ausschlaggebend ist stets, ob das System die Entscheidung im sensiblen Kontext materiell beeinflusst.

Handlungsempfehlung: Leiten Sie aus den Leitlinien-Beispielen interne Klassifizierungs-Leitplanken ab, an denen Ihre Teams neue Systeme schnell und konsistent einordnen können.

7. Wenn der Filter greift: Diese Pflichten bleiben

Wer sich auf den Filter beruft, ist nicht von allen Pflichten befreit. Nach Artikel 6 Absatz 4 muss der Anbieter seine Bewertung dokumentieren, bevor das System in Verkehr gebracht oder in Betrieb genommen wird, und das System in der EU-Datenbank registrieren. Auf Verlangen der nationalen Behörden ist die Dokumentation vorzulegen. Marktüberwachungsbehörden können die Einstufung nach Artikel 80 überprüfen, Korrekturmaßnahmen verlangen und – bei einer Fehlklassifizierung zur Umgehung der Hochrisiko-Pflichten – Bußgelder nach Artikel 99 verhängen.

Für Betreiber verschiebt sich vor allem die Lieferanten-Due-Diligence: Es reicht nicht, nur die Einstufung abzufragen – verlangen Sie die zugrunde liegende Artikel-6(3)-Analyse.

Handlungsempfehlung: Steht ein System dagegen als hochriskant fest, beginnt die eigentliche Umsetzungsarbeit. Welche Pflichten dann greifen und was Unternehmen bis zu den neuen Fristen umsetzen müssen, lesen Sie im verlinkten Beitrag. Für Banken zeigt unser Beitrag, wie sich Hochrisiko-KI im bestehenden IKS verankern lässt, statt eine Parallelwelt aufzubauen.

Wie ADVISORI unterstützt

ADVISORI begleitet Unternehmen von der Klassifizierung bis zur laufenden Compliance – mit einem Team, das KI-Expertise, regulatorisches Know-how und technische Umsetzungskompetenz vereint.

• KI-Compliance: Bewertung Ihrer KI-Systeme nach Artikel 6, dokumentierte Risikoklassifizierung und Filter-Analyse je System.
• EU AI Act Beratung: End-to-End-Begleitung von der Einstufung bis zur Konformitätsbewertung.
• AI Governance: Aufbau eines KI-Governance-Frameworks mit Register, Rollen und Monitoring, das Einstufungen bei Produktänderungen aktuell hält.

Mit Synthara, der ADVISORI Multi-Agenten-KI-Plattform, automatisieren wir zentrale Prozesse: vom KI-Inventar über die kontinuierliche Klassifizierung bis zum Post-Market-Monitoring – herstellerunabhängig.

Häufig gestellte Fragen

Ist mein KI-System hochriskant?

Ein KI-System gilt nach Artikel 6 als hochriskant, wenn es entweder Sicherheitskomponente eines regulierten Produkts nach Anhang I ist und einer Konformitätsbewertung durch Dritte unterliegt, oder wenn seine Zweckbestimmung in einen der acht Anwendungsbereiche von Anhang III fällt. Selbst dann kann der Filter-Mechanismus nach Artikel 6 Absatz 3 die Einstufung aufheben, sofern eine von vier Bedingungen erfüllt ist und das System die Entscheidung nicht wesentlich beeinflusst.

Was ist der Filter-Mechanismus nach Artikel 6 Absatz 3?

Der Filter erlaubt Anbietern, ein in Anhang III gelistetes System von der Hochrisiko-Einstufung auszunehmen, wenn es eine von vier Bedingungen erfüllt: eng umgrenzte verfahrenstechnische, ergebnisverbessernde, mustererkennende oder vorbereitende Aufgaben. Die Ausnahmen sind eng auszulegen; im Zweifel gilt das System als hochriskant.

Wann kann der Filter-Mechanismus nicht angewendet werden?

Der Filter greift nicht, wenn das System Profiling natürlicher Personen vornimmt oder Teil eines komplexen bzw. agentischen Systems ist, dessen kombinierte Ausgaben eine Entscheidung im Hochrisiko-Kontext wesentlich beeinflussen. Auch menschliche Beteiligung allein schließt die Einstufung nicht aus.

Wurde die Einstufungspflicht durch den Digital Omnibus verschoben?

Die Einstufung selbst nicht. Vorläufig wurden die vollen Hochrisiko-Pflichten nach Anhang III (auf den 2. Dezember 2027) und Anhang I (auf den 2. August 2028) verschoben. Die Einstufung selbst ist die Voraussetzung dieser Pflichten und sollte jetzt erfolgen. Transparenzpflichten nach Art. 50 gelten weiterhin ab dem 2. August 2026.

Welche Anwendungsbereiche listet Anhang III des AI Act?

Anhang III nennt acht Bereiche: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung und Personalmanagement, Zugang zu wesentlichen Diensten, Strafverfolgung, Migration und Grenzkontrolle sowie Justiz und demokratische Prozesse. Für den Privatsektor sind vor allem Biometrie sowie Beschäftigung relevant.

Was muss ich dokumentieren, wenn ich den Filter nutze?

Nach Artikel 6 Absatz 4 müssen Anbieter ihre Bewertung vor dem Inverkehrbringen dokumentieren und das System in der EU-Datenbank registrieren. Auf behördliches Verlangen ist die Dokumentation vorzulegen. Bei Fehlklassifizierung drohen Korrekturanordnungen und Bußgelder nach Artikel 99.

Macht menschliche Aufsicht ein KI-System nicht-hochriskant?

Nein. Menschliche Beteiligung ändert die Zweckbestimmung nicht und nimmt ein System nicht automatisch aus dem Anwendungsbereich. Menschliche Aufsicht ist nach Artikel 14 vielmehr eine Pflicht für alle Hochrisiko-Systeme.

Sind die Leitlinien der EU-Kommission rechtlich bindend?

Nein. Die Leitlinien vom 19. Mai 2026 sind nicht bindend und schaffen keine neuen Pflichten. Sie geben die Auslegung der Kommission wieder und prägen Aufsichtspraxis und Marktstandards, sodass Einstufungen in der Praxis voraussichtlich an ihnen gemessen werden.

Quellen und weiterführende Links

• Europäische Kommission: Entwurfsleitlinien zur Klassifizierung von Hochrisiko-KI-Systemen (19.05.2026)
• Artikel 6 — Einstufungsregeln (AI Act)
• Anhang III — Hochrisiko-Anwendungsbereiche (AI Act)
• Rat der EU & Europäisches Parlament: vorläufige politische Einigung zum Digital Omnibus vom 7. Mai 2026 (Fristverschiebung; förmliche Annahme/Amtsblatt ausstehend, Verfahren 2025/0359(COD))
• ADVISORI: EU AI Act Hochrisiko — Pflichten und Fristen
• ADVISORI: Hochrisiko-KI Compliance — inkl. IKS-Verankerung (Finanzsektor)