Hochrisiko-KI (AI Act)

Der EU AI Act stuft KI-Systeme nach ihrem Risikopotenzial ein, wobei die Kategorie der Hochrisiko-KI das regulatorische Kernstück bildet. Es handelt sich dabei um Systeme, die entweder als Sicherheitskomponenten in bereits regulierten Produkten verbaut sind oder in spezifischen, sensiblen Bereichen wie kritischer Infrastruktur, Bildung, Beschäftigung oder der Rechtsdurchsetzung zum Einsatz kommen. Entscheidend für die Einordnung ist nicht die zugrunde liegende Technologie, sondern der konkrete Verwendungszweck. Fällt eine Anwendung unter diese Definition, müssen Anbieter und Betreiber umfassende Compliance-Anforderungen erfüllen, die weit über herkömmliche IT-Sicherheitsstandards hinausgehen.

Für den deutschen Mittelstand bedeutet diese Einstufung einen erheblichen bürokratischen und technischen Mehraufwand. Unternehmen müssen ein zertifiziertes Risikomanagementsystem etablieren, eine lückenlose technische Dokumentation führen und die Qualität der verwendeten Trainingsdaten sicherstellen, um Verzerrungen und Diskriminierung zu vermeiden. Da die Bußgelder bei Verstößen – analog zur DSGVO – bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen können, wird die KI-Compliance zum wettbewerbsentscheidenden Faktor. Wer frühzeitig Prozesse für Transparenz und menschliche Aufsicht implementiert, minimiert Haftungsrisiken und schafft die notwendige Rechtssicherheit für skalierbare KI-Projekte.

Ein konkretes Beispiel ist der Einsatz von KI-Software im Personalwesen eines mittelständischen Unternehmens. Wenn ein System zur automatisierten Filterung von Bewerbungen oder zur Evaluierung von Mitarbeitern genutzt wird, gilt dies unter dem AI Act als Hochrisiko-Anwendung. In diesem Fall reicht es nicht mehr aus, das Tool lediglich zu lizenzieren. IT-Entscheider müssen sicherstellen, dass das System erklärbar bleibt, eine menschliche Überprüfung der Ergebnisse jederzeit möglich ist und die Protokollierung der Entscheidungspfade den EU-Vorgaben entspricht. Dies betrifft sowohl Eigenentwicklungen als auch den Zukauf von Drittanbieter-Lösungen, für die eine entsprechende Konformitätserklärung vorliegen muss.

Aktuell befinden sich die technischen Normen zur exakten Umsetzung noch in der Ausarbeitung durch europäische Standardisierungsgremien. Unternehmen sollten zeitnah eine Bestandsaufnahme ihrer KI-Landschaft durchführen und eine Klassifizierung vornehmen, bevor die gestaffelten Übergangsfristen des AI Act ablaufen. Besonders kritisch ist die Beobachtung von General Purpose AI (GPAI), die je nach Integration in Geschäftsprozesse nachträglich in die Hochrisiko-Kategorie fallen kann. Eine engmaschige Abstimmung zwischen CTO, Rechtsabteilung und Datenschutzbeauftragten ist hierbei zwingend erforderlich, um die operative Handlungsfähigkeit zu erhalten.