Mit einem neuen Leitlinienentwurf konkretisiert die EU-Kommission, wann KI-Systeme unter die besonders strengen Anforderungen des AI Acts fallen. Im Mittelpunkt steht Artikel 6 der KI-Verordnung. Er entscheidet darüber, ob ein System als Hochrisiko-KI eingestuft wird oder nicht.
Für Unternehmen, Entwickler und Betreiber ist das ein wichtiger Schritt. Denn die Frage, ob eine KI-Anwendung unter die Hochrisiko-Kategorie fällt, ist nicht nur juristisch relevant. Sie entscheidet auch darüber, welche Prüf-, Dokumentations- und Sicherheitsanforderungen künftig eingehalten werden müssen.
Die Leitlinien richten sich vor allem an nationale Marktüberwachungsbehörden. In Deutschland spielt dabei insbesondere die Bundesnetzagentur eine wichtige Rolle. Gleichzeitig sollen die Vorgaben Unternehmen helfen, eigene KI-Systeme rechtssicherer einzuordnen.
Die EU-Kommission betont, dass die Beispiele im Entwurf keine abschließende Liste darstellen. Stattdessen sollen sie fortlaufend angepasst werden, sobald sich Technologien und Anwendungsfälle weiterentwickeln.
Zwei Wege zur Hochrisiko-Einstufung
Die Einordnung basiert im Wesentlichen auf zwei Säulen.
Zum einen betrifft Artikel 6 Absatz 1 KI-Systeme, die selbst als Produkt unter europäische Harmonisierungsvorschriften fallen oder als Sicherheitskomponente in solchen Produkten eingesetzt werden. Entscheidend ist dabei, ob das jeweilige Produkt einer verpflichtenden Konformitätsbewertung durch Dritte unterliegt.
Zum anderen behandelt Artikel 6 Absatz 2 eigenständige KI-Systeme, die im Anhang III des AI Acts als risikoreich beschrieben sind. Dazu zählen unter anderem Anwendungen in kritischen Infrastrukturen, Bildung, Beschäftigung, Strafverfolgung und Biometrie.
Gerade dieser zweite Bereich dürfte für viele Unternehmen besonders relevant werden. Denn hier geht es nicht nur um klassische Industrieprodukte, sondern auch um digitale Systeme, die Menschen bewerten, klassifizieren oder beeinflussen können.
Smartwatches als Beispiel für neue Grenzfälle
Ein besonders anschauliches Beispiel nennt der Entwurf im Bereich Emotionserkennung. KI-Systeme in Smartwatches könnten als Hochrisiko-Anwendungen gelten, wenn sie Gefühle erkennen sollen und dafür biometrische Daten wie den Herzschlag auswerten.
Das zeigt, wie nah die Regulierung inzwischen an alltägliche Technologien heranrückt. Wearables, Gesundheitsfunktionen und KI-gestützte Auswertungen werden damit nicht automatisch problematisch. Aber sobald sensible Daten genutzt werden, um Rückschlüsse auf Emotionen oder Verhalten zu ziehen, schaut der Regulierer genauer hin.
Für Anbieter bedeutet das: Schon bei der Produktentwicklung muss klar geprüft werden, welche Daten verarbeitet werden, zu welchem Zweck die KI eingesetzt wird und welche Auswirkungen das System auf Grundrechte, Sicherheit oder Gesundheit haben kann.
Mehr Zeit, aber keine Entwarnung
Unternehmen erhalten für die Umstellung mehr Zeit. Die strengen Pflichten für KI-Systeme nach Artikel 6 Absatz 2 sollen ab dem 2. Dezember 2027 gelten. Für Produkte nach Artikel 6 Absatz 1 läuft die Frist sogar bis zum 2. August 2028.
Diese zusätzlichen Monate sollten allerdings nicht als Pause verstanden werden. Wer KI-Systeme entwickelt oder betreibt, sollte jetzt mit der Prüfung beginnen. Besonders wichtig sind saubere Dokumentation, Risikobewertung, Datenqualität, Transparenz und klare Verantwortlichkeiten.
Die Kommission macht außerdem deutlich, dass einfache Umgehungsstrategien nicht funktionieren sollen. Ein Anbieter kann ein KI-System nicht allein dadurch als risikoarm darstellen, dass irgendwo menschliches Eingreifen vorgesehen ist. Auch Ausnahmen sollen eng ausgelegt werden.
Für die Praxis heißt das: Unternehmen brauchen keine Panik, aber Struktur. Der AI Act verbietet Hochrisiko-KI nicht grundsätzlich. Er verlangt jedoch nachvollziehbare Mindeststandards, damit Systeme zuverlässig funktionieren und Risiken für Gesundheit, Sicherheit und Grundrechte angemessen reduziert werden.
Wer KI professionell einsetzen will, sollte die eigene KI-Landschaft frühzeitig analysieren. Welche Systeme sind im Einsatz? Welche Entscheidungen unterstützen oder automatisieren sie? Welche Daten werden verarbeitet? Und wo könnten regulatorische Pflichten entstehen?
Genau solche Fragen werden in den kommenden Monaten entscheidend sein.