KI-VO · Artikel 26 · Hochrisiko

Artikel 26 EU KI-Verordnung: Pflichten für Hochrisiko-KI

Ab August 2026 gelten für Hochrisiko-KI-Systeme in der EU verschärfte Pflichten. Für KMU, die KI in sensiblen Bereichen wie Personalentscheidungen, Kreditvergabe oder Sicherheitssystemen einsetzen, bedeutet das konkrete Handlungspflichten, die jetzt vorbereitet werden müssen.

Was Artikel 26 von KI-Betreibern verlangt

Die EU KI-Verordnung unterscheidet strikt zwischen Anbietern (die KI-Systeme entwickeln) und Betreibern (die KI-Systeme nutzen). Artikel 26 richtet sich an Betreiber von Hochrisiko-KI-Systemen und verpflichtet sie zu konkreten Maßnahmen: technische und organisatorische Kontrollen, Qualitätsmanagementsysteme, Transparenz gegenüber betroffenen Personen, menschliche Aufsicht über KI-Entscheidungen und spezifische Dokumentationspflichten. Für Unternehmen, die KI in sensiblen Bereichen einsetzen, bedeutet das substanziellen Vorbereitungsaufwand.

Bin ich als Betreiber betroffen?

Hochrisiko-KI-Systeme sind in Anhang III der KI-Verordnung aufgelistet. Besonders relevant für KMU:

  • Personalwesen: KI für Einstellung, Beförderung, Aufgabensteuerung, Leistungsüberwachung
  • Kreditvergabe: KI für Bonitätsbewertung oder Kreditentscheidungen
  • Kritische Infrastruktur: KI in Energieversorgung, Wasserversorgung, digitaler Infrastruktur
  • Biometrie: Gesichtserkennung und ähnliche Systeme in öffentlichen Räumen
  • Bildung: KI für Zugangsentscheidungen zu Bildungseinrichtungen
Gilt ab
August 2026
Betrifft
Betreiber Hochrisiko-KI
Relevanz
Alle Unternehmensgrößen
Vorstufe
Art. 4 (seit Aug. 2025)

Was Betreiber von Hochrisiko-KI vorbereiten müssen

Bestandsaufnahme

Welche KI-Systeme setze ich ein, und fallen sie unter die Hochrisiko-Definitionen in Anhang III?

Technische Dokumentation

Für jedes Hochrisiko-KI-System muss eine umfassende technische Dokumentation vorliegen oder vom Anbieter eingeholt werden.

Menschliche Aufsicht

Sicherstellen, dass Hochrisiko-KI-Entscheidungen von menschlichem Personal überprüft werden können.

Qualitätsmanagementsystem

Ein QMS für den KI-Einsatz einrichten, das Monitoring, Protokollierung und Fehlermanagement umfasst.

Transparenz gegenüber Betroffenen

Personen, die von Hochrisiko-KI-Entscheidungen betroffen sind, müssen informiert werden.

Datenschutz-Überschneidungen

Artikel 26 überschneidet sich mit DSGVO-Anforderungen — eine koordinierte Compliance-Strategie ist sinnvoll.

FAQ: Artikel 26 EU KI-Verordnung

Was ist der Unterschied zwischen Anbieter und Betreiber? Anbieter entwickeln und vermarkten KI-Systeme, Betreiber setzen sie im eigenen Unternehmen ein. Ein Handwerksbetrieb, der eine KI-Bewerbungsplattform einsetzt, ist Betreiber — nicht Anbieter. Artikel 26 richtet sich an Betreiber.

Was passiert, wenn ich Artikel 26 nicht einhalte? Die KI-Verordnung sieht Geldbußen vor: bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes für Verstöße als Betreiber. Die Aufsichtsbehörden werden ab 2026 mit der Kontrolle beginnen.

Muss ich das allein herausfinden? Nein. KWAIX unterstützt bei der Bestandsaufnahme, welche KI-Systeme im Unternehmen als Hochrisiko einzustufen sind, und bei der Ableitung konkreter Handlungsschritte. Für rechtliche Beratung empfehlen wir spezialisierte Anwälte.