Ein kalter Februarmorgen am 2. Februar 2026 in einem Frankfurter Konferenzraum: Ein mittelständischer Geschäftsführer zeigt mir stolz ein neues Tool zur automatisierten Bewerbervorauswahl und ahnt nicht, dass wir gerade mitten in Anhang III des KI-Acts gelandet sind. Er dachte, es sei nur ein effizientes Add-on für seine HR-Abteilung. Ich sah hingegen sofort die regulatorischen Hürden, die auf ihn zukommen.
Bevor wir tiefer in die Materie einsteigen, ein kurzer Hinweis in eigener Sache: Dieser Artikel enthält Links zu Anbietern für KI-Schulungen, die ich persönlich für meine Mandanten geprüft habe. Wenn Sie über diese Links eine Buchung vornehmen, erhalte ich eine Provision â für Sie bleibt der Preis identisch. Ich empfehle ausschlieÃlich Programme, die ich selbst in mindestens zwei Projekten erfolgreich eingesetzt habe.
Die Angst vor dem Stempel 'Hochrisiko'
In meiner täglichen Praxis als Berater stelle ich fest, dass viele Geschäftsführer beim Wort 'Hochrisiko' an autonome Waffensysteme oder chirurgische Roboter denken. Doch die Realität im deutschen Mittelstand sieht anders aus. Gemäà Art. 6 Abs. 2 der KI-Verordnung (KI-VO) in Verbindung mit Anhang III sind es oft Anwendungen, die bereits unauffällig in der IT-Infrastruktur schlummern, welche die strengen Auflagen auslösen.
Wir haben in dem Projekt, das am 15. Januar 2026 startete, eine systematische Bestandsaufnahme durchgeführt. Mein Mandant, ein mittelständischer Fertigungsbetrieb mit eigener Software-Abteilung, hatte insgesamt 8 KI-Systeme im Einsatz oder in der Pipeline. Wir haben pro System etwa 12 Stunden für das Screening aufgewendet â das klingt viel, ist aber notwendig, um die technische Dokumentation wirklich gegen die Kriterien von Anhang III zu mappen. Bei 8 Systemen kamen wir so auf einen Gesamtaufwand von 96 Stunden für die reine Klassifizierungsphase.
Das Ergebnis war ernüchternd, aber klärend: Von den 8 Systemen wurden letztlich 2 als Hochrisiko-Systeme eingestuft. Das entspricht einer Quote von 25 %. Der Rest fiel entweder unter die reinen Transparenzpflichten oder war gänzlich unreguliert.
Beispiel 1: Personalmanagement und Recruiting
Das eingangs erwähnte HR-Tool war der erste klare Fall. Gemäà Anhang III Nr. 4 der KI-VO gelten KI-Systeme, die für die Rekrutierung oder Auswahl von natürlichen Personen verwendet werden, als Hochrisiko. Dabei spielt es keine Rolle, ob die KI die endgültige Entscheidung trifft oder nur eine Vorauswahl (Ranking) erstellt.
Viele SaaS-Anbieter werben damit, dass ihre KI 'bias-frei' arbeitet. Doch für Sie als Anwender bedeutet das: Sie sind der 'Betreiber' (Deployer) und tragen die Verantwortung für die Ãberwachung. Wenn das Tool Lebensläufe filtert, müssen Sie sicherstellen, dass die Datenqualität stimmt und die menschliche Aufsicht gewährleistet ist. Ein einfacher Disclaimer reicht hier nicht aus. Sie benötigen ein Risikomanagementsystem, das den gesamten Lebenszyklus der Anwendung begleitet. Wer hier blind auf die Versprechen der Softwarehäuser vertraut, riskiert empfindliche BuÃgelder.
Beispiel 2: Predictive Maintenance in der kritischen Infrastruktur
Der zweite Fall in unserem Audit am 10. März 2026 war eine Ãberraschung für das Team. Es handelte sich um eine KI zur vorausschauenden Wartung (Predictive Maintenance) von Komponenten, die in der Kritischen Infrastruktur eingesetzt werden â in diesem Fall Teile für die Energieversorgung.
Normalerweise fällt industrielle Wartungs-Software eher unter die Maschinenverordnung. Doch da dieses spezifische System Sicherheitsbauteile überwacht, deren Versagen das Leben und die Gesundheit von Menschen gefährden könnte, griff hier die Klassifizierung nach Art. 6 Abs. 1. Die Verknüpfung zwischen der Produktsicherheitsgesetzgebung und der KI-VO ist tückisch. Für den Mittelständler bedeutete das: Das Budget für die Dokumentation verdreifachte sich nahezu über Nacht, da nun auch die Anforderungen an die Cybersicherheit und die technische Robustheit nach Art. 14 und 15 der KI-VO im Detail nachgewiesen werden mussten.
Was nicht unter Hochrisiko fällt
Es ist wichtig, die Kirche im Dorf zu lassen. In unserem Audit hatten wir auch einen Chatbot für den First-Level-Support und ein Tool zur Optimierung von Logistikrouten.
- Der Chatbot muss lediglich offenlegen, dass er eine KI ist (Transparenzpflicht nach Art. 50).
- Die Routenoptimierung in der internen Logistik, sofern sie keine Sicherheitsfunktionen übernimmt, ist meist gänzlich unkritisch.
Dennoch: Die Grenze ist oft flieÃend. Ein Tool, das Schichtpläne erstellt, könnte theoretisch unter 'Management von Arbeitnehmern' (Anhang III Nr. 4b) fallen, wenn es zur Leistungsüberwachung genutzt wird. Hier zeigt sich, warum ich die Verordnungstexte im englischen Original lese: Der Begriff 'monitoring and evaluation of performance' ist im Englischen oft präziser gefasst als in der teilweise hölzernen deutschen Ãbersetzung.
Die Rolle der KI-Kompetenz
Am 15. April 2026 schlossen wir das Projekt mit einem Abschlussbericht ab. Die wichtigste Erkenntnis für die Geschäftsführung war nicht die Liste der Verbote, sondern die Erkenntnis, dass Compliance beim Einkauf beginnt. Wenn Ihre Einkäufer nicht wissen, welche Fragen sie einem SaaS-Anbieter stellen müssen, holen Sie sich das Hochrisiko-Ei ungewollt ins Nest.
Ich empfehle dringend, das Team nicht nur juristisch, sondern operativ zu schulen. Ein KI-Führerschein für Mitarbeiter im Mittelstand ist oft effektiver als ein 50-seitiges Rechtsgutachten, das in der Schublade verschwindet. Es geht darum, ein Gespür dafür zu entwickeln: 'Moment, wir verarbeiten hier biometrische Daten oder treffen Entscheidungen über Menschen â ist das Anhang III?'
Weitere Details zur Umsetzung finden Sie auch in meinem Beitrag über KI Risikomanagement nach EU AI Act: Praxistipps für Compliance-Beauftragte. Dort gehe ich tiefer darauf ein, wie man ein solches System aufbaut, ohne die Agilität des Unternehmens zu opfern.
Ein Fazit aus der Praxis
Die 25 % Hochrisiko-Quote in meinem Beispielprojekt zeigt: Der Mittelstand ist betroffen, aber nicht gelähmt. Die gröÃte Gefahr ist nicht die Verordnung selbst, sondern die Unwissenheit darüber, was man eigentlich im Einsatz hat. Eine saubere Inventarisierung Ihrer KI-Projekte ist der erste Schritt.
Mittelständler brauchen keine teuren Gutachten für jedes einzelne Tool, sondern die interne Kompetenz, Risiken schon beim Einkauf selbst zu erkennen. Wenn Sie wissen möchten, wie Sie Ihre Belegschaft fit für diese Anforderungen machen, schauen Sie sich meinen Vergleich an: Was eine KI Schulung für Unternehmen kosten darf und sollte.
Letztlich ist Compliance hier kein Selbstzweck. Ein gut dokumentiertes Hochrisiko-System ist auch ein Qualitätsmerkmal gegenüber Ihren Kunden â besonders im Maschinenbau und in der kritischen Infrastruktur, wo Vertrauen das wichtigste Gut ist.