High-Risk KI: Was muss ich beachten?

Veröffentlicht am 10. Februar 2026 um 23:26

High-Risk KI: Was Unternehmen im Jahr 2026 unbedingt beachten müssen

Die Zeit der Theorie ist vorbei. Da wir uns im Februar 2026 befinden, rückt der 2. August 2026 – der Tag, an dem die strengen Regeln für Hochrisiko-KI-Systeme nach Anhang III voll wirksam werden – in greifbare Nähe. Für Unternehmen, die KI in sensiblen Bereichen wie dem Personalwesen, der Kreditprüfung oder der kritischen Infrastruktur einsetzen, bedeutet dies: Die Compliance-Vorbereitungen müssen jetzt abgeschlossen werden.

Hochrisiko-Systeme sind nicht verboten, aber ihr Einsatz ist an Bedingungen geknüpft, die in ihrer Intensität an die Zulassung von Medizinprodukten erinnern.

Wer trägt die Verantwortung? (Anbieter vs. Betreiber)

Die Verordnung (EU) 2024/1689 unterscheidet klar zwischen den Rollen:

Anbieter (Provider): Wenn Sie die Hochrisiko-KI selbst entwickeln oder unter Ihrem Namen auf den Markt bringen, tragen Sie die Hauptlast der technischen Dokumentation und der Konformitätsbewertung.
Betreiber (Deployer): Wenn Sie ein solches System im Unternehmen nutzen, sind Sie verpflichtet, die Anwendung gemäß der Gebrauchsanweisung zu steuern, die menschliche Aufsicht sicherzustellen und die Eingabedaten auf ihre Relevanz zu prüfen.

Die 5 Säulen der Hochrisiko-Compliance

1. Risikomanagementsystem (Art. 9)

Es reicht nicht aus, Risiken einmalig zu prüfen. Sie müssen einen kontinuierlichen Prozess etablieren, der über den gesamten Lebenszyklus des Systems hinweg Risiken für Gesundheit, Sicherheit und Grundrechte identifiziert, schätzt und mindert.

2. Datenqualität und Governance (Art. 10)

Einer der häufigsten Fehler: mangelhafte Trainingsdaten. Für Hochrisiko-Systeme müssen Datensätze relevant, repräsentativ und so weit wie möglich fehlerfrei sein. Zudem müssen sie auf potenzielle Verzerrungen (Bias) geprüft werden, um Diskriminierung zu verhindern.

3. Technische Dokumentation und Protokollierung (Art. 11 & 12)

Bevor das System in Betrieb geht, muss eine detaillierte technische Dokumentation erstellt werden. Zudem müssen Hochrisiko-Systeme technisch so konzipiert sein, dass sie Ereignisse automatisch protokollieren (Logging). Dies dient der Rückverfolgbarkeit, falls es zu Fehlentscheidungen oder Zwischenfällen kommt.

4. Transparenz und Information (Art. 13)

Betreiber müssen genau wissen, wie die KI zu ihren Ergebnissen kommt. Die Systeme müssen mit einer verständlichen Gebrauchsanweisung ausgeliefert werden, die die Grenzen des Systems und die erwartete Genauigkeit klar benennt.

5. Menschliche Aufsicht (Art. 14)

KI darf niemals völlig autonom über Menschen entscheiden. Hochrisiko-Systeme müssen so gestaltet sein, dass natürliche Personen sie wirksam überwachen können. Diese Personen müssen in der Lage sein, die Ausgabe des Systems zu verstehen, zu ignorieren oder das System im Notfall ganz abzuschalten.

Das CE-Kennzeichen für KI

Sobald ein Hochrisiko-System alle Prüfungen und die sogenannte Konformitätsbewertung durchlaufen hat, muss das CE-Kennzeichen angebracht werden. Dies signalisiert dem Markt: Dieses System entspricht den hohen Sicherheitsstandards der EU.

Fazit: Vorbereitung ist alles

Wenn Sie heute noch nicht wissen, ob Ihre eingesetzten Tools als Hochrisiko gelten, ist schnelles Handeln gefragt. Besonders im Bereich der HR-Software oder bei Finanzdienstleistungen sind viele Anwendungen betroffen, die bisher als „unkritisch“ galten. Prüfen Sie Ihre Verträge mit Software-Anbietern und fordern Sie die notwendigen Dokumentationen ein, um bis August 2026 rechtssicher aufgestellt zu sein.

Über diesen Beitrag: KI-Unterstützung: Wir nutzen moderne KI-Tools als Recherche- und Formulierungshilfe. Die fachliche Kontrolle und Verantwortung für diesen Text liegt vollständig bei unseren Experten, um den Anforderungen des EU AI Acts (Verordnung 2024/1689) gerecht zu werden.

« Zurück Timeline: Was muss bis 2026 passieren? Supplier Management: Diese Klauseln brauchen Sie in KI-Verträgen Weiter »