EU AI Act: Hochrisiko-KI muss sich anpassen
5 Min. Lesezeit
Der 2. August 2026 bleibt rechtlich bindender Stichtag für Annex-III-Hochrisiko-KI nach EU-AI-Act. Acht von 27 Mitgliedstaaten haben nationale Anlaufstellen formal benannt, die EU-Kommission hat ihre Februar-Guidance-Frist verpasst, der Rat hat am 13. März 2026 für eine Verschiebung auf 2. Dezember 2027 (standalone) und 2. August 2028 (in Produkte eingebettete Systeme) gestimmt. Wer heute ein HR-Screening-Tool oder ein Kreditscoring-Modell betreibt, plant gegen einen wackelnden Stichtag mit voller Compliance-Pflicht.
Das Wichtigste in Kürze
- Stichtag bleibt der 2. August 2026 als verbindlicher Anwendungstermin. Der Rat der EU hat am 13.03.2026 für Verschiebung auf 2. Dezember 2027 (standalone) bzw. 2. August 2028 (eingebettet) gestimmt, das EU-Parlament am 18.03.2026 mehrheitlich zugestimmt. Der Digital Omnibus läuft im Trilog, finaler Text wird unter zypriotischer Ratspräsidentschaft im Mai 2026 angepeilt. Bis zur formalen Verabschiedung gilt das ursprüngliche Datum.
- Aufsichtsvakuum ist primär regulatorisch. EU-Kommission hat ihre Februar-Guidance-Frist verpasst, nur acht von 27 Mitgliedstaaten haben nationale Anlaufstellen formal benannt. Deutschland setzt nach dem KI-Marktüberwachungsgesetz auf ein hybrides Aufsichtsmodell mit der Bundesnetzagentur als zentraler Stelle und sektoralen Behörden je nach Systemkontext.
- Pflichten bleiben unverändert. Risikomanagement-System nach Art. 9, Daten-Governance nach Art. 10, Quality Management System nach Art. 17 und Post-Market-Monitoring nach Art. 72. Bei Verstößen gegen Hochrisiko-Pflichten greifen Bußgelder bis 15 Mio. Euro oder 3 Prozent des weltweiten Jahresumsatzes; verbotene Praktiken haben mit 35 Mio. Euro oder 7 Prozent eine eigene Stufe.
Was ist ein Annex-III-System nach EU-AI-Act? Annex III listet acht Bereiche, in denen KI als Hochrisiko klassifiziert wird: biometrische Identifikation, kritische Infrastruktur, Bildung und Berufsausbildung, Beschäftigung und Personalmanagement, Zugang zu wesentlichen Diensten wie Kreditscoring und Sozialleistungen, Strafverfolgung, Migration sowie Justizverwaltung. Hochrisiko-Systeme nach Annex III müssen die vollen Pflichten der Verordnung erfüllen, einschließlich Risikomanagement, Daten-Governance, technischer Dokumentation und Konformitätsbewertung mit CE-Kennzeichnung.
Die Reibung sitzt nicht primär bei den Unternehmen
Der Council hat seine Position am 13. März 2026 begründet: ohne offizielle technische Guidance und ohne funktionsfähige nationale Aufsichtsstrukturen in den meisten Mitgliedstaaten würde die Anwendung der Hochrisiko-Pflichten ab 2. August 2026 eine Regel in einem Vakuum durchsetzen. Die EU-Kommission hatte ihre Februar-Frist für die Guidance verpasst.
Stand 28. April: acht Mitgliedstaaten haben nationale AI-Anlaufstellen formal benannt. 19 fehlen. Die formale Benennung sagt dabei wenig über die operative Arbeitsfähigkeit der Marktüberwachung aus, sie ist die Voraussetzung für Folgeschritte. Trilog-Verhandlungen über den Digital Omnibus laufen, der finale Text wird unter zypriotischer Ratspräsidentschaft im Mai 2026 angestrebt.
Bis das passiert, bleibt der 2. August 2026 das geltende Anwendungsdatum. Deutschland setzt nach dem KI-Marktüberwachungsgesetz auf ein hybrides Aufsichtsmodell: Die Bundesnetzagentur übernimmt als zentrale Stelle die Koordination, ergänzt durch sektorale Behörden je nach Systemkontext. BfDI ist für datenschutz-relevante Hochrisiko-Systeme zuständig, BaFin für Finanz-KI, das BSI flankiert mit Cybersicherheits- und KRITIS-Bezug. Marktüberwachungs-Befugnisse umfassen Bußgeld, Betriebsverbot und Recall-Anordnung.
Was Annex III heißt und wo die operative Lücke wirklich klafft
Annex III des EU-AI-Act definiert acht Hochrisiko-Bereiche mit konkretem DACH-Bezug: biometrische Identifikation und Kategorisierung, kritische Infrastruktur, Bildung und Berufsausbildung (zum Beispiel Prüfungsbewertung), Beschäftigung und Personalmanagement (HR-Screening, Performance-Management), Zugang zu wesentlichen Diensten (Kreditscoring, Sozialleistungen), Strafverfolgung, Migration und Justiz.
In der DACH-Implementierungspraxis fallen drei Pflichten regelmäßig durchs Netz. Risikomanagement nach Art. 9 ist häufig als einmaliges Audit-Dokument vorhanden, nicht als kontinuierlicher Prozess über den gesamten Lifecycle. Datenqualität-Governance nach Art. 10 ist als Policy formuliert, aber selten messbar gegen Repräsentativität, statistische Eigenschaften und Bias-Detection geprüft. Post-Market-Monitoring nach Art. 72 ist in den meisten Implementierungen gar nicht etabliert.
Das ist der Kern der operativen Lücke. Die regulatorische Lücke beim europäischen Aufsichtsapparat verschiebt den Stichtag möglicherweise um 16 Monate. Die operative Lücke in den Unternehmen verschwindet damit nicht.
Die Anwendung der Hochrisiko-Pflichten ohne offizielle Guidance und ohne Aufsichtsinfrastruktur in den meisten Mitgliedstaaten würde eine Regel in einem Vakuum durchsetzen.
– Position des Rats der Europäischen Union, 13.03.2026 (sinngemäße Zusammenfassung, Quelle: consilium.europa.eu)
Was Security- und Compliance-Teams in den nächsten 90 Tagen brauchen
Die Pflichten lassen sich in einer Mindestliste an Artefakten verdichten, die vor dem 2. August 2026 vorliegen müssen. Erst dann sind harmonisierte Standards und Guidance sinnvoll anwendbar.
- AI-Inventar über alle eingesetzten Systeme inkl. Provider, Versionen und Datenquellen.
- Annex-III-Klassifikation pro System mit Begründung und Dokumentation der Hochrisiko-Bewertung.
- Provider-/Operator-Matrix, die für jedes System die Konformitäts- und Logging-Verantwortung zuordnet.
- Risk-Management-Prozess nach Art. 9 als Lifecycle-Dokumentation, nicht als Einmal-Audit.
- Datenqualitäts-Nachweise nach Art. 10 mit messbaren Repräsentativitäts- und Bias-Indikatoren.
- Monitoring- und Incident-Runbook nach Art. 72 mit Logging-Pipeline und Eskalationsweg an die Aufsicht.
Drei operative Pflichten schlagen davon direkt in den CISO- und Compliance-Bereich durch. Erstens: das Risikomanagement-System nach Art. 9 muss als kontinuierlicher Prozess dokumentiert sein, nicht als Audit-Schnappschuss. Identifikation, Bewertung und Maßnahmen gegen Risiken für Gesundheit, Sicherheit und Grundrechte über den gesamten Lifecycle.
Zweitens: Datenqualität-Governance nach Art. 10. Trainings-, Validierungs- und Testdaten müssen relevant, ausreichend repräsentativ und nach bestem Vermögen frei von Fehlern sein. Statistische Eigenschaften der Datensätze gegenüber den betroffenen Personengruppen sind nachzuweisen.
Drittens: Post-Market-Monitoring nach Art. 72. Provider müssen ein dokumentiertes Monitoring-System für die Zeit nach Inverkehrbringen aufbauen, einschließlich Logging, Incident-Reporting und Korrekturmaßnahmen.
Die ENISA hat das Framework for AI Cybersecurity Practices (FAICP) als Implementierungshilfe veröffentlicht. Nach aktuellem Diskussionsstand sollen finale Standards und Guidance enger mit Übergangsfristen verzahnt werden. Für die operative Vorbereitung ändert das wenig: AI-Inventar, Annex-III-Klassifikation und Kontroll-Lücken müssen vorliegen, bevor harmonisierte Standards sauber angewendet werden können. Bis zur formalen Verabschiedung des Digital Omnibus bleibt der 2. August 2026 die Pflicht-Linie.
Drei Pflichten, drei Praxis-Lücken
| Pflicht (Artikel) | Sollzustand nach EU-AI-Act | Häufige DACH-Praxis-Lücke |
|---|---|---|
| Risikomanagement (Art. 9) | Kontinuierlicher Prozess über den gesamten Lifecycle, dokumentiert und regelmäßig überprüft | Einmaliges Audit-Dokument, danach kein systematisches Update bei neuen Daten oder Use-Case-Änderungen |
| Datenqualität-Governance (Art. 10) | Repräsentative Datensätze, dokumentierte statistische Eigenschaften, Bias-Detection nach Personengruppen | Policy-Statements ohne messbare Indikatoren, keine systematische Bias-Prüfung der Trainingsdaten |
| Post-Market-Monitoring (Art. 72) | Dokumentiertes Monitoring nach Inverkehrbringen, automatisches Logging, Incident-Reporting | Kein etabliertes System, Logging fragmentiert, keine Incident-Reporting-Pipeline an Aufsichtsbehörden |
Häufige Fragen
Wenn die Verschiebung auf Dezember 2027 beschlossen wird, kann Compliance-Aufbau abgewartet werden?
Nein. Bis der Digital Omnibus formal verabschiedet ist, bleibt der 2. August 2026 verbindlicher Anwendungstermin. Die deutsche Marktüberwachung greift nach dem KI-MüG ab diesem Termin durch die Bundesnetzagentur und sektorale Behörden. Conformity-Assessments dauern erfahrungsgemäß drei bis sechs Monate. Wer im Mai 2026 nicht angefangen hat, schafft den Stichtag rein zeitlich nicht mehr.
Welche DACH-Anwendungen fallen typischerweise unter Annex III?
HR-Screening (Bewerbermanagement, Performance-Bewertung), Kreditscoring bei Banken und Sparkassen, Bildungs-KI mit Prüfungsbewertung, biometrische Verifikation in Zugangskontrolle, KI in kritischen Infrastrukturen wie Energie und Verkehr sowie KI in Strafverfolgung und Justizverwaltung. Eingebettete KI in regulierten Produkten nach Annex I gilt mit verlängerter Frist bis 2. August 2027 oder 2. August 2028.
Was ist der Unterschied zwischen Provider und Operator nach EU-AI-Act?
Der Provider entwickelt das System und bringt es in Verkehr. Der Operator setzt es im eigenen Geschäftsbetrieb ein. Provider tragen die zentrale Konformitätspflicht inklusive Konformitätsbewertung, technischer Dokumentation und CE-Kennzeichnung. Operator müssen Logging sicherstellen, menschliche Aufsicht organisieren und die Eignung für den vorgesehenen Einsatzzweck prüfen. Beide haften, beide werden adressiert. Für Anwenderunternehmen ist das die entscheidende Klammer: Auch wenn die zentrale Konformitätsbewertung beim Provider liegt, verschwinden die eigenen Pflichten nicht. Logging, bestimmungsgemäßer Einsatz, menschliche Aufsicht, Incident-Prozesse und interne Verantwortlichkeiten sind Operator-Aufgaben und gelten auch beim Einsatz fremder HR-, Scoring- oder Recruiting-Tools.
Lesetipps der Redaktion
Mehr aus dem MBF Media Netzwerk
Quelle Titelbild: Pexels / Christian Wasserfallen (px:7327876)
