Hochrisiko-KI nach dem AI Act: Die neuen Leitlinien der EU-Kommission im Überblick

Was sind die Draft Guidelines und wie verbindlich sind sie?

Die Leitlinien — auch als High-Risk AI Guidelines bezeichnet — sind ein Entwurf ohne Bindungswirkung, aber der derzeit aussagekräftigste Maßstab für die behördliche Praxis. Eine verbindliche Auslegung des AI Act kann ausschließlich der Europäische Gerichtshof vornehmen.

Die Kommission hat den Entwurf am 19. Mai 2026 vorgelegt — mit Verzögerung, denn ursprünglich war die Klassifizierungs-Guidance bis zum 2. Februar 2026 erwartet worden. Entsprechend sehnlich wurde sie von Anbietern und Anwendern erwartet. Der Entwurf besteht aus drei Dokumenten: einem Teil zu den allgemeinen Grundsätzen, Anhang I zur Produktsicherheit und Anhang III zu den Anwendungsfällen. Bis zum 23. Juni 2026 können Interessenträger Stellungnahmen einreichen. Einen formellen Zeitplan für die Annahme gibt es nicht.

Auch im finalisierten Zustand bleiben die Leitlinien unverbindlich. Trotzdem sollten Anbieter und Anwender sie ernst nehmen: Die Kommission und die nationalen Marktüberwachungsbehörden werden ihre Bewertung sehr wahrscheinlich an diesen Dokumenten ausrichten. Wer sich daran orientiert, reduziert das Risiko einer abweichenden behördlichen Einstufung.

Rechtlich bindet der Entwurf niemanden, praktisch ist er der beste verfügbare Kompass für die kommende Verwaltungspraxis. Bevor es um einzelne Bereiche geht, lohnt der Blick auf die übergeordneten Grundsätze.

Welche allgemeinen Grundsätze gelten für die Einstufung?

Aus den Dokumenten ergeben sich fünf Grundsätze, die den Anwendungsbereich der Hochrisiko-Regeln teils deutlich ausweiten. Jeder folgt demselben Muster: eine Klarstellung der Kommission und eine konkrete Folge für die Praxis.

1. GPAI-Systeme können hochriskant sein

• Betrifft: KI mit allgemeinem Verwendungszweck, etwa große Sprachmodelle
• Maßstab: Gebrauchsanweisungen, technische Dokumentation, Werbe- und Marketingmaterial
• Auslöser: Hochrisiko-Anwendungsfälle werden nicht konsequent ausgeschlossen
• Folge: Der beabsichtigte Zweck gilt als hochriskant, was die Pflichten erheblich ausweitet

2. „Human in the loop" reicht nicht

• Menschliche Aufsicht allein nimmt ein System nicht aus der Einstufung heraus
• Grund: Sie ändert weder Zweck noch Einsatzbereich
• Ausnahme nach Art. 6 Abs. 3 möglich, aber nur ohne Profiling und unter weiteren Bedingungen

3. Dokumentation entscheidet über die Ausnahme

• Voraussetzung: dokumentierte Selbstbewertung vor Inverkehrbringen oder Inbetriebnahme
• Die Leitlinien legen fest, welche Inhalte diese Bewertung enthalten muss
• Ohne Dokumentation keine Berufung auf die Ausnahme

4. Mehrere Komponenten können als ein System gelten

• Wann: wenn zusammenwirkende KI-Komponenten gemeinsam eine Entscheidung wesentlich beeinflussen
• Bewertung: die Konfiguration als Ganzes
• Zweck: verhindern, dass Anbieter ihr System zerlegen, um Komponenten auszuklammern
• Spielraum: rein vorbereitende oder verfahrensbezogene Funktionen lassen sich ggf. ausschließen

5. Anhang III bewegt sich, Anhang I nicht

• Anhang III: jährliche Überprüfung nach Art. 112 Abs. 1; Anwendungsfälle per delegiertem Rechtsakt änderbar
• Anhang I: abschließend; Änderung nur über die zugrunde liegenden sektoralen Rechtsvorschriften
• Konsequenz: Compliance-Programme müssen flexibel bleiben

Die Grundsätze verschieben die Beweislast in Richtung der Anbieter: Wer eine Ausnahme will, muss sie dokumentieren.

Wann gilt KI als „Sicherheitskomponente"?

Der zweite Dokumententeil regelt den Produktsicherheitsweg nach Artikel 6 Absatz 1. Entscheidend ist dort der Begriff der Sicherheitskomponente, der im AI Act eigenständig definiert ist.

Die Definition in Artikel 3 Nummer 14 AI Act gilt autonom, also unabhängig von Definitionen desselben Begriffs in anderer EU-Harmonisierungsgesetzgebung. Nach der Kommission führen zwei alternative Wege zum Status als Sicherheitskomponente:

• Zweckbezogen (Sicherheitsfunktion): Der bestimmungsgemäße Zweck des Systems besteht darin, Risiken für Gesundheit, Sicherheit oder Eigentum zu verhindern oder zu mindern.
• Folgenbezogen (Ausfall/Fehlfunktion): Das System war nicht als Sicherheitsfunktion vorgesehen, aber sein Ausfall oder seine Fehlfunktion würde Gesundheit, Sicherheit oder Eigentum gefährden.

Diese Zweiteilung ist praktisch relevant, weil der zweite Weg auch Systeme erfasst, die auf den ersten Blick nichts mit Sicherheit zu tun haben. Schon die Folgen einer Fehlfunktion können ein System zur Sicherheitskomponente machen, nicht nur sein erklärter Zweck.

Welche Hochrisiko-Bereiche nennt Anhang III?

Anhang III definiert acht Hochrisiko-Bereiche. Die Leitlinien beleuchten fünf davon näher: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung sowie Kreditwürdigkeit und Kreditscoring.

In jedem Bereich entscheidet die genaue Abgrenzung darüber, ob ein System überhaupt als hochriskant gilt. Die folgende Übersicht zeigt je Bereich, welche KI-Systeme als hochriskant gelten und welche nicht:

Bereich	Fällt in den Hochrisiko-Bereich	Fällt nicht hinein
Biometrie	Fernidentifizierung ohne aktive Mitwirkung (z. B. Tastaturanschlag-Biometrie zur Identifizierung); Kategorisierung nach ethnischer Herkunft, genetischen oder Gesundheitsdaten; Emotionserkennung	Identifizierung mit bewusster Mitwirkung (z. B. Sensor an der Tür); Alters- oder Geschlechtszuordnung für Werbung; reine körperliche Zustände wie Schmerz oder Müdigkeit
Kritische Infrastruktur	KI als Sicherheitskomponente beim Betrieb von digitaler Infrastruktur, Straßenverkehr, Wasser-, Gas-, Wärme- oder Stromversorgung	Systeme ohne Sicherheitskomponenten-Funktion oder außerhalb der genannten Sektoren
Bildung	Systeme, die auf Basis einer summativen Bewertung zu einer abschließenden Entscheidung über den Bildungsweg beitragen; Proctoring; Echtzeit-Verhaltensanalyse bei Prüfungen	Rein formative Bewertung zur Lernunterstützung ohne abschließende Entscheidung
Beschäftigung	Rekrutierung, gezielte Stellenwerbung, Lebenslauf-Filterung, Beförderungs- und Kündigungsentscheidungen, Leistungsüberwachung — auch bei Freelancern und Plattformarbeit	Systeme ausschließlich zur Erfüllung gesetzlicher Pflichten oder für Sicherheitszwecke (sofern nicht zugleich zur Bewertung genutzt)
Kreditwürdigkeit	Bewertung der Kreditwürdigkeit oder Kredit-Scoring (auch als Ranking oder Label, nicht nur numerisch)	Systeme mit hauptsächlichem Zweck der Finanzbetrugserkennung (Muster- und Anomalieerkennung statt Bonitätsbewertung)

Zwei Klarstellungen verdienen besondere Beachtung. Bei der Emotionserkennung warnt die Kommission ausdrücklich vor der mangelnden wissenschaftlichen Grundlage solcher Systeme. Der Begriff darf nicht eng ausgelegt werden: Wer statt von Emotionen von „Haltungen" spricht, umgeht den AI Act nicht. Erkennt ein System anhand biometrischer Daten etwa eine „wütende Haltung", fällt es unter den Hochrisiko-Anwendungsfall.

Im Bereich Bildung ist die Grenze zwischen summativer und formativer Bewertung entscheidend. Nur Systeme, die auf einer summativen Bewertung beruhen und zu einer abschließenden, den Bildungsweg beeinflussenden Entscheidung beitragen, gelten als hochriskant.

Ob ein System hochriskant ist, hängt fast immer von einer feinen Abgrenzung ab. Pauschale Einschätzungen führen in die Irre.

Was bedeuten die Leitlinien für Ihre Compliance-Praxis?

Anbieter und Anwender sollten drei Dinge prüfen: ihre öffentliche Dokumentation, ihre Selbstbewertung für mögliche Ausnahmen und die Flexibilität ihres Compliance-Programms.

Dokumentation und Marketing prüfen. Da unklare oder zu weite Beschreibungen ein GPAI-System in den Hochrisiko-Bereich ziehen können, lohnt sich ein kritischer Blick auf Gebrauchsanweisungen, technische Unterlagen und Werbematerial. Wer Hochrisiko-Anwendungsfälle nicht ausschließen will, muss mit den entsprechenden Pflichten rechnen.

Selbstbewertung dokumentieren. Die Ausnahme nach Artikel 6 Absatz 3 steht nur dem offen, der vor Markteinführung eine dokumentierte Selbstbewertung vorweisen kann. Diese Bewertung sollte den Vorgaben der Leitlinien entsprechen.

Flexibel bleiben. Anhang III ist auf Bewegung angelegt. Compliance-Programme, die starr auf den heutigen Stand ausgelegt sind, können durch delegierte Rechtsakte schnell veralten. Planen Sie regelmäßige Überprüfungen ein.

Die Leitlinien belohnen vorausschauende Dokumentation und bestrafen Nachlässigkeit bei der Beschreibung des Verwendungszwecks.

Fazit: Hochrisiko-KI nach dem AI Act — Dokumentation entscheidet über die Einstufung

Die Draft Guidelines sind rechtlich unverbindlich, aber praktisch hochrelevant. Sie weiten den Hochrisiko-Bereich deutlich aus, indem sie unklare Produktbeschreibungen, zusammenwirkende Komponenten und folgenbezogene Sicherheitskomponenten erfassen. Menschliche Aufsicht allein schützt nicht vor der Einstufung.

Für Anbieter und Anwender heißt das: Der Verwendungszweck und seine Dokumentation entscheiden über die Einstufung, nicht die Technik allein. Wer früh sauber dokumentiert und sein Compliance-Programm flexibel hält, ist auf die kommende Verwaltungspraxis gut vorbereitet.

Häufig gestellte Fragen

Sind die Leitlinien der EU-Kommission rechtlich bindend?

Nein, die Leitlinien sind rechtlich nicht bindend. Eine verbindliche Auslegung des AI Act kann nur der Europäische Gerichtshof vornehmen. Dennoch sind sie der klarste Hinweis darauf, wie Kommission und Marktüberwachungsbehörden die Einstufung praktisch handhaben werden.

Was ist der Unterschied zwischen Anhang I und Anhang III im AI Act?

Anhang I erfasst KI in Produkten, die unter EU-Harmonisierungsvorschriften fallen (Produktsicherheitsweg), Anhang III listet acht eigenständige Hochrisiko-Anwendungsfälle. Der zentrale Unterschied liegt in der Beweglichkeit: Anhang III kann die Kommission per delegiertem Rechtsakt ändern, Anhang I nur über die zugrunde liegenden sektoralen Gesetze.

Macht menschliche Aufsicht ein KI-System automatisch nicht-hochriskant?

Nein. „Human in the loop" allein nimmt ein System nicht aus der Hochrisiko-Einstufung heraus, weil sich dadurch weder Zweck noch Einsatzbereich ändern. Eine Ausnahme nach Artikel 6 Absatz 3 ist nur unter weiteren Bedingungen und ohne Profiling möglich.

Fällt ein GPAI-System wie ein großes Sprachmodell unter die Hochrisiko-Regeln?

Ja, das ist möglich. KI-Systeme mit allgemeinem Verwendungszweck fallen in den Hochrisiko-Bereich, wenn ihre öffentliche Dokumentation Hochrisiko-Anwendungsfälle nicht konsequent ausschließt. Anbieter sollten deshalb Gebrauchsanweisungen und Marketingmaterial sorgfältig formulieren.

Bis wann kann man zu den Leitlinien Stellung nehmen?

Die Konsultationsfrist läuft bis zum 23. Juni 2026. Bis dahin können Interessenträger Stellungnahmen zum Entwurf einreichen. Einen formellen Zeitplan für die endgültige Annahme gibt es bislang nicht.