Hochrisiko-KI-Systeme: Definition, Funktionen & Nutzen im Überblick

Hochrisiko-KI-Systeme sind KI-Systeme, für die der EU AI Act besonders strenge Anforderungen vorsieht. Das betrifft insbesondere Systeme, die wegen ihres Einsatzbereichs erhebliche Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte natürlicher Personen haben können. Für diese Systeme gelten umfangreiche Pflichten, bevor sie in Verkehr gebracht oder eingesetzt werden. 

Hochrisiko-KI Systeme kurz erklärt

Nicht jede KI ist automatisch hochriskant. Der EU AI Act knüpft die Einordnung vor allem an den konkreten Verwendungszweck eines Systems. Hochrisiko-KI liegt insbesondere dann vor, wenn ein System in sensiblen Bereichen wie Beschäftigung, Bildung, kritischer Infrastruktur, biometrischen Anwendungen, wesentlichen privaten oder öffentlichen Dienstleistungen, Strafverfolgung, Migration oder Justiz eingesetzt wird. 

Für Unternehmen ist diese Einordnung wichtig, weil an Hochrisiko-KI-Systeme besondere Compliance-Pflichten anknüpfen. Dazu gehören insbesondere Risikomanagement, Daten- und Daten-Governance, technische Dokumentation, Protokollierung, Transparenzinformationen, menschliche Aufsicht sowie Anforderungen an Genauigkeit, Robustheit und Cybersicherheit. 

iGut zu wissen:


Ein typisches Beispiel für Hochrisiko-KI ist ein System zur automatisierten Vorauswahl von Bewerberinnen und Bewerbern. Solche Systeme können die Chancen von Personen auf Zugang zu Beschäftigung erheblich beeinflussen. Deshalb reicht hier ein bloß technischer Blick nicht aus: Unternehmen müssen den Anwendungsfall rechtlich bewerten und die einschlägigen Pflichten strukturiert umsetzen. 

Warum ist die Einstufung als Hochrisiko-KI wichtig?

Die korrekte Einstufung entscheidet darüber, welche Anforderungen gelten und welche Nachweise ein Unternehmen erbringen muss. Wer ein Hochrisiko-KI-System anbietet oder einsetzt, sollte frühzeitig klären, welche Rolle das eigene Unternehmen einnimmt, welche Risiken mit dem System verbunden sind und welche organisatorischen Prozesse erforderlich sind. 

Gerade in regulierten oder personalbezogenen Einsatzbereichen kann eine falsche Einordnung erhebliche Folgen haben. Deshalb ist die Klassifizierung nicht nur ein rechtliches Detail, sondern ein zentraler Baustein einer belastbaren KI-Governance.   

Praxisbeispiele für Hochrisiko-KI-Systeme

Beispiele für Hochrisiko-KI-Systeme sind insbesondere: 

  • KI zur Bewerbervorauswahl oder Bewertung von Beschäftigten, 
  • KI in der kritischen Infrastruktur, etwa zur Steuerung zentraler Versorgungsprozesse, 
  • KI zur Entscheidung über den Zugang zu wesentlichen Dienstleistungen, etwa in der Kreditwürdigkeitsprüfung, 
  • bestimmte biometrische Anwendungen, soweit sie nicht bereits als verbotene Praxis einzuordnen sind. 

Ob ein KI-System hochriskant ist, hängt nicht von der Branche allein ab, sondern vom konkreten Einsatzbereich und Verwendungszweck: 

  • Versicherungen: Ein typisches Beispiel ist KI zur Risikobewertung und Preisgestaltung in der Lebens- und Krankenversicherung. Der AI Act nennt ausdrücklich KI-Systeme zur Risikobewertung und Preisbildung in Bezug auf Lebens- und Krankenversicherung als besonders sensiblen Einsatzbereich. Ebenso relevant können Systeme sein, die im Personalbereich Bewerbungen vorsortieren oder Beschäftigte bewerten. 
  • Stadtwerke und Energieversorger: Für Stadtwerke kann Hochrisiko-KI vor allem dort relevant werden, wo KI in Bereichen der kritischen Infrastruktur eingesetzt wird, etwa bei der Überwachung oder Steuerung zentraler Versorgungsprozesse. Nicht jede Prognose- oder Optimierungslösung ist automatisch hochriskant. Entscheidend ist, ob der konkrete Einsatz unter die sensiblen Hochrisiko-Anwendungsfälle des AI Act fällt. 
  • Produzierendes Gewerbe: Im produzierenden Mittelstand kann Hochrisiko-KI insbesondere dann vorliegen, wenn KI als Sicherheitskomponente eines regulierten Produkts eingesetzt wird oder selbst Teil eines regulierten Produkts ist, etwa in bestimmten Maschinen, Robotik- oder Industrieanwendungen mit sicherheitsrelevanter Funktion. Daneben kann auch hier KI im Recruiting oder in personalbezogenen Entscheidungen hochriskant sein. 

Praxisrelevant ist deshalb vor allem die Einzelfallprüfung. Ein Chatbot im Kundenservice oder ein internes Assistenzsystem ist regelmäßig nicht mit denselben Pflichten verbunden wie KI für Bewerberauswahl, Kredit- oder Versicherungsentscheidungen oder sicherheitsrelevante Industrieanwendungen. Unternehmen sollten deshalb nicht von der Technologiebezeichnung, sondern stets vom Use Case ausgehen. 

Was bedeutet Hochrisiko-KI  in der Praxis? 

Unternehmen sollten Hochrisiko-KI nicht erst dann prüfen, wenn ein System bereits eingeführt wurde. Sinnvoll ist eine frühzeitige Prüfung des Use Cases, der Rollenverteilung, der Dokumentationspflichten und der internen Zuständigkeiten. Ein Managementsystem wie ISO/IEC 42001 kann dabei unterstützen, diese Anforderungen strukturiert in Governance- und Kontrollprozesse zu überführen, ersetzt aber nicht die eigenständige Prüfung nach dem AI Act. 

Ähnliche Themen: