Die Europäische Kommission hat einen Entwurf von Leitlinien zur Klassifizierung von Hochrisiko-KI-Systemen gemäß Art. 6 der KI-Verordnung (Verordnung (EU) 2024/1689, im Folgenden: KI-VO) zur öffentlichen Konsultation veröffentlicht. Die Leitlinien konkretisieren, unter welchen Voraussetzungen ein KI-System als „hochriskant“ einzustufen ist und damit den umfangreichen Pflichten des Kapitel III der KI-VO unterliegt. Sie richten sich in erster Linie an Anbieter und Betreiber von KI-Systemen sowie an die zuständigen Marktüberwachungsbehörden.
Die Klassifizierung als Hochrisiko-KI ist von zentraler praktischer Bedeutung: Sie löst ein umfangreiches Pflichtenprogramm aus, das von der Risikobestandsaufnahme über technische Dokumentation, Konformitätsbewertungsverfahren und Registrierungspflichten bis hin zu laufenden Überwachungspflichten reicht. Der folgende Beitrag erläutert die wesentlichen Inhalte des Leitlinien-Entwurfs und seine Bedeutung für die Compliance-Praxis.
1. Hintergrund: Art. 6 KI-VO und die Hochrisiko-Klassifizierung
Die KI-VO ist am 1. August 2024 in Kraft getreten und verfolgt einen risikobasierten Ansatz: Je nach dem von einem KI-System ausgehenden Risikopotenzial gelten unterschiedliche Anforderungen. Die höchste Pflichtendichte gilt für sog. Hochrisiko-KI-Systeme im Sinne des Art. 6 KI-VO. Die Klassifizierung als Hochrisiko-KI ist damit die zentrale Weichenstellung, von der abhängt, ob ein Anbieter oder Betreiber das vollständige Anforderungsregime des Kapitel III KI-VO einhalten muss – einschließlich Risikomanagementsystem, technischer Dokumentation, Konformitätsbewertung, Protokollierung, Transparenz und menschlicher Aufsicht.
Art. 6 KI-VO sieht zwei voneinander unabhängige Klassifizierungspfade vor. Der erste Pfad nach Art. 6(1) i.V.m. Anhang I KI-VO betrifft KI-Systeme, die als Sicherheitskomponente in regulierte Produkte eingebettet sind oder selbst als solche Produkte gelten – etwa im Bereich Maschinen, Medizinprodukte oder Kraftfahrzeuge. Der zweite Pfad nach Art. 6(2) i.V.m. Anhang III KI-VO erfasst eigenständige KI-Systeme, die in besonders sensiblen Anwendungsfeldern eingesetzt werden, wie Biometrie, Strafverfolgung oder Personalmanagement. Die gemäß Art. 6(5) KI-VO von der Kommission zu erlassenden Leitlinien sollen für beide Pfade eine einheitliche Auslegung und Anwendung sicherstellen. Sie sind nicht rechtsverbindlich – eine verbindliche Auslegung obliegt allein dem Gerichtshof der Europäischen Union.
2. Klassifizierungspfad I: In Produkte integrierte KI nach Art. 6(1) i.V.m. Anhang I KI-VO
Art. 6(1) KI-VO erfasst KI-Systeme, die als Sicherheitskomponente eines Produkts oder selbst als Produkt in den Anwendungsbereich einer der in Anhang I KI-VO genannten Harmonisierungsrechtsakte fallen. Dazu zählen u.a. die Maschinenverordnung (Verordnung (EU) 2023/1230), die Medizinprodukteverordnung, die Spielzeugsicherheitsverordnung sowie die Typgenehmigungsverordnung für Kraftfahrzeuge. Die Hochrisiko-Einstufung nach diesem Pfad setzt nach dem Leitlinien-Entwurf zwei kumulative Voraussetzungen voraus: Das KI-System ist entweder selbst ein unter das einschlägige Harmonisierungsrecht fallendes Produkt oder eine Sicherheitskomponente eines solchen Produkts; und das betreffende Produkt (bzw. das KI-System selbst) muss nach dem jeweiligen Harmonisierungsrechtsakt einer Konformitätsbewertung durch eine unabhängige Drittstelle unterliegen.
Wichtig ist dabei, dass die Kommission klarstellt: Nicht jedes in ein reguliertes Produkt integrierte KI-System ist automatisch hochriskant. Maßgeblich ist stets, ob das System eine sicherheitsfunktionale Relevanz im Sinne des Art. 3(14) KI-VO aufweist. Die KI-VO ändert dabei nicht das Risikoprofil eines Produkts – sie baut vielmehr auf der sektoralen Risikoeinstufung des bereits geltenden Harmonisierungsrechts auf.
3. Der Begriff der „Sicherheitskomponente“
Art. 3(14) KI-VO definiert eine Sicherheitskomponente als Bestandteil eines Produkts, der eine Sicherheitsfunktion für dieses Produkt erfüllt oder dessen Ausfall oder Fehlfunktion die Gesundheit und Sicherheit von Personen oder Eigentum gefährdet. Der Leitlinien-Entwurf unterscheidet insoweit zwei alternative Szenarien:
Im ersten Szenario (absichtsbasiert) liegt eine Sicherheitskomponente vor, wenn das KI-System nach seiner vom Anbieter bestimmten Zweckbestimmung darauf ausgerichtet ist, Sicherheitsrisiken zu verhindern oder zu mindern – etwa durch Überwachung und Erkennung gefährlicher Zustände, Einleitung von Schutzmaßnahmen oder Aufsicht über eine sicherheitskritische Komponente. Entscheidend ist dabei die in Bedienungsanleitungen, technischer Dokumentation und Werbematerialien dokumentierte Zweckbestimmung des Anbieters. Reine Optimierungs-, Effizienz- oder Komfortfunktionen erfüllen dieses Kriterium nicht.
Im zweiten Szenario (konsequenzbasiert) ist das KI-System auch dann als Sicherheitskomponente einzustufen, wenn seine primäre Zweckbestimmung nicht sicherheitsbezogen ist, ein Ausfall oder eine Fehlfunktion jedoch zu einer Gefährdung von Personen oder Eigentum führen kann. Der Leitlinien-Entwurf nennt als anschauliches Beispiel ein KI-System zur Optimierung der Verbrennungseffizienz in Gasheizgeräten: Ist das Produkt so gestaltet, dass ein Systemausfall zu Kohlenmonoxidbildung, Explosion oder Brand führen könnte, gilt das KI-System als Sicherheitskomponente – unabhängig davon, dass Energieeffizienz seine eigentliche Zweckbestimmung ist. Ein KI-System hingegen, das lediglich Heizpläne nach Wohngewohnheiten optimiert und dessen Ausfall allenfalls zu höheren Heizkosten oder Unzuträglichkeiten führt, qualifiziert nicht als Sicherheitskomponente.
4. Klassifizierungspfad II: Eigenständige Hochrisiko-KI nach Art. 6(2) i.V.m. Anhang III KI-VO
Art. 6(2) KI-VO erfasst eigenständige KI-Systeme, deren Zweckbestimmung in einen der acht in Anhang III KI-VO genannten Bereiche fällt: Biometrie; kritische Infrastrukturen; Bildung und Berufsausbildung; Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit; Zugang zu wesentlichen privaten und öffentlichen Diensten und Leistungen; Strafverfolgung; Migration, Asyl und Grenzkontrolle; Justiz und demokratische Prozesse. Die Liste der einschlägigen Anwendungsfälle in Anhang III ist abschließend und kann nur durch delegierte Rechtsakte der Kommission geändert werden. Entscheidend für die Einstufung ist ausschließlich die vom Anbieter bestimmte Zweckbestimmung – nicht das tatsächliche Einsatzszenario.
Der Leitlinien-Entwurf stellt klar, dass menschliche Überwachung im Betrieb die Hochrisiko-Einstufung grundsätzlich nicht beseitigt – sie ist vielmehr eine Voraussetzung für die Konformität solcher Systeme nach Art. 14 KI-VO. Anbieter, die ihre Systeme erkennbar für Hochrisiko-Anwendungsfälle vermarkten, ohne die Zweckbestimmung klar einzuschränken, müssen mit einer entsprechenden Einstufung rechnen. Bloße Haftungsausschlüsse in Nutzungsbedingungen genügen nicht, um die Hochrisiko-Klassifizierung abzuwenden, wenn das System aufgrund seiner Funktionalitäten und seiner Marktpräsentation erkennbar auf solche Einsatzzwecke ausgelegt ist. Dies ist insbesondere für Allzweck-KI-Systeme relevant, deren Nutzungsbedingungen hochriskante Einsatzszenarien nicht klar und kohärent ausschließen.
5. Der „Filter“-Mechanismus nach Art. 6(3) KI-VO
Art. 6(3) KI-VO sieht einen sog. Filter-Mechanismus vor, der es Anbietern ermöglicht, ein an sich unter Anhang III fallendes KI-System von der Hochrisiko-Einstufung auszunehmen, sofern das System ausschließlich auf eine der folgenden eingeschränkten Funktionen ausgerichtet ist: (a) Ausführung einer begrenzten Verfahrensaufgabe (narrow procedural task); (b) Verbesserung eines bereits abgeschlossenen menschlichen Tätigkeitsschritts; (c) Erkennung von Entscheidungsmustern oder Abweichungen hiervon ohne Ersatz oder Beeinflussung menschlicher Beurteilungen; oder (d) Vorbereitung einer Bewertung im Sinne der Anhang-III-Anwendungsfälle. Der Filter-Mechanismus gilt ausschließlich für den Klassifizierungspfad nach Art. 6(2) KI-VO – nicht für Anhang-I-Systeme.
Der Leitlinien-Entwurf betont, dass der Filter-Mechanismus eng auszulegen ist. Er greift nicht, wenn das KI-System ein Profiling im Sinne der Datenschutz-Grundverordnung durchführt. Er greift ebenfalls nicht, wenn das System Teil eines komplexen Systems ist, dessen Gesamtkonfiguration das Ergebnis einer Entscheidung im hochriskanten Anwendungsfall materiell beeinflusst – etwa bei agentenbasierten KI-Architekturen, in denen mehrere Komponenten zusammenwirken. Anbieter, die den Filter-Mechanismus in Anspruch nehmen, tragen die Beweislast für die einschlägigen Voraussetzungen; eine entsprechende Selbsteinschätzung muss dokumentiert und begründet werden.
6. Geltungszeitpunkte: Aktueller Stand nach dem KI-Omnibus
Der Leitlinien-Entwurf reflektiert die durch den KI-Omnibus (politische Einigung vom 7. Mai 2026) geänderten Geltungszeitpunkte. Nach ursprünglicher Planung sollten die Hochrisiko-Pflichten für Anhang-III-Systeme ab dem 2. August 2026 und für Anhang-I-Systeme ab dem 2. August 2027 gelten. Diese Zeitpunkte wurden verschoben: Für KI-Systeme nach Art. 6(2) i.V.m. Anhang III KI-VO gelten die Hochrisiko-Pflichten nunmehr erst ab dem 2. Dezember 2027. Für KI-Systeme nach Art. 6(1) i.V.m. Anhang I KI-VO gilt der 2. August 2028.
Gleichwohl kommt dem Leitlinien-Entwurf bereits jetzt erhebliche praktische Relevanz zu: Die Frage, ob ein KI-System als hochriskant einzustufen ist, entscheidet sich nach der Zweckbestimmung zum Zeitpunkt der Markteinführung – nicht erst bei Eintritt des jeweiligen Geltungszeitpunkts. Anbieter, die aktuell KI-Systeme entwickeln oder auf dem Markt bringen, müssen deshalb bereits heute eine Klassifizierungsanalyse vornehmen, um kostspielige Nachrüstpflichten und Haftungsrisiken zu vermeiden.
Praxishinweis
Der Leitlinien-Entwurf bietet bereits in seiner jetzigen Form eine wertvolle Orientierungshilfe für die Klassifizierungsanalyse nach Art. 6 KI-VO. Unternehmen sollten den Konsultationsprozess aktiv verfolgen und erwägen, eigene Stellungnahmen einzubringen, da die Leitlinien nach ihrer Verabschiedung maßgeblich für die behördliche Marktüberwachung und Konformitätsbewertung sein werden. Vor allem darf die durch den KI-Omnibus gewonnene Zeit nicht mit Untatenzeit gleichgesetzt werden: Die Hochrisiko-Klassifizierung ist eine Vorabprüfung, die frühzeitig – idealerweise bereits in der Design- und Entwicklungsphase eines KI-Systems – stattfinden muss.
Empfohlene Maßnahmen
- Klassifizierungsanalyse durchführen: Prüfen Sie systematisch für alle von Ihnen entwickelten oder eingesetzten KI-Systeme, ob diese unter Art. 6(1) oder Art. 6(2) KI-VO fallen. Beziehen Sie dabei den Leitlinien-Entwurf als Auslegungshilfe ein – insbesondere die Definitionen zur Sicherheitskomponente und die illustrativen Beispiele für beide Klassifizierungspfade.
- Zweckbestimmung kohärent dokumentieren: Die Zweckbestimmung des KI-Systems (intended purpose) ist das zentrale Klassifizierungsmerkmal. Stellen Sie sicher, dass Bedienungsanleitungen, Werbematerialien, Vertragsbedingungen und technische Dokumentation eine kohärente, vollständige und eindeutige Beschreibung der Zweckbestimmung enthalten und keine ungewollten Hochrisiko-Anwendungsfälle implizieren.
- Filter-Mechanismus erwägen: Für KI-Systeme mit Bezug zu Anhang III sollte geprüft werden, ob der Ausnahmetatbestand des Art. 6(3) KI-VO greift. Die Ausnahme ist eng auszulegen, und die Selbsteinschätzung muss dokumentiert und begründet werden. Systeme mit Profiling-Funktion oder in agentenbasierten Architekturen können von dieser Ausnahme nicht profitieren.
- Konsultationsprozess begleiten: Der Leitlinien-Entwurf steht zur Konsultation. Nutzen Sie die Möglichkeit zur Stellungnahme, insbesondere wenn Ihre Produkte oder Systeme von den im Entwurf genannten Kategorien betroffen sind. Die endgültige Fassung der Leitlinien wird das behördliche Vorgehen bei Marktüberwachung und Konformitätsbewertung maßgeblich prägen.
Kontakt:
Jens Borchardt