Sektorspezifische Compliance-Leitfäden zum EU AI Act für Gesundheitswesen, HR, öffentlichen Sektor, Transport, Versicherungen, Einzelhandel, KMU und Bildung.
Wie der Sektor die Risikoexposition nach dem EU AI Act bestimmt
Der EU AI Act ist ein horizontales Rechtsakt — er gilt für KI-Systeme, die in allen Wirtschaftssektoren der Europäischen Union in Verkehr gebracht oder in Betrieb genommen werden. Die praktische Compliance-Last ist jedoch nicht einheitlich. Der Sektor bestimmt, welche Hochrisikokategorien nach Annex III relevant sind, welche bestehenden Regulierungsrahmen überlappende Pflichten begründen und welche nationalen oder EU-weiten Aufsichtsbehörden für KI-Einsätze zuständig sind.
Das Gesetz errichtet eine gestufte Risikoarchitektur: verbotene Praktiken nach Art. 5, Hochrisiko-KI nach Art. 6 und Annex III, General Purpose AI (GPAI)-Pflichten nach Art. 51 bis Art. 55 sowie Transparenzpflichten nach Art. 50. Alle Sektoren unterliegen dem Verbot verbotener Praktiken und der Transparenzschicht nach Art. 50. Die Hochrisikopflichten nach Annex III greifen selektiv, je nachdem welche KI die Organisation einsetzt und zu welchem Zweck.
Das Verständnis der sektoriellen Risikoexposition beginnt mit der Zuordnung operativer KI-Anwendungsfälle zu den Kategorien des Annex III. Organisationen müssen außerdem prüfen, ob eingesetzte KI ein GPAI-Modell nach Art. 3(63) darstellt und ob Lieferantenbeziehungen Pflichten als GPAI-Betreiber oder -Anbieter begründen.
Annex III nach Sektor verstehen
Annex III des EU AI Act definiert 8 Kategorien eigenständiger Hochrisiko-KI. Jede Kategorie ordnet sich spezifischen Branchen und KI-Anwendungsfällen zu.
Kategorie 1 — Biometrie (sektorübergreifend)
Art. 6 in Verbindung mit Annex III Punkt 1 erfasst KI-Systeme zur biometrischen Identifizierung und biometrischen Kategorisierung natürlicher Personen. Die biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen durch Strafverfolgungsbehörden ist nach Art. 5(1)(h) verboten — nicht lediglich hochriskant. Nachträgliche biometrische Identifizierung und biometrische Kategorisierungssysteme, die in den Bereichen Beschäftigung, Grenzkontrolle, Strafverfolgung (im zulässigen Rahmen) und Zugangssteuerung eingesetzt werden, verbleiben in der Hochrisikokategorie. Jede Organisation, die Gesichtserkennung, Fingerabdruckabgleich, Spracherkennung oder ähnliche Systeme für folgenreiche Entscheidungen einsetzt, fällt in den Anwendungsbereich.
Kategorie 2 — Kritische Infrastruktur (Transport, Energie, Wasser)
Annex III Punkt 2 erfasst KI, die als Sicherheitskomponente im Management und Betrieb kritischer digitaler Infrastruktur, im Straßenverkehr, in der Wasserversorgung sowie bei Gas, Wärme und Strom eingesetzt wird. Transportunternehmen, Energienetzmanager, Wasserversorgungsunternehmen und Betreiber digitaler Infrastruktur müssen prüfen, ob ihre KI-Systeme diese Voraussetzungen erfüllen. Annex I des AI Act greift hier ebenfalls: KI-Sicherheitskomponenten, die in nach Annex I regulierte Produkte (Maschinen, Fahrzeuge, Zivilluftfahrtausrüstung, Schienensysteme) eingebettet sind, sind nach Art. 6(1) hochriskant — nicht nach Annex III.
Kategorie 3 — Bildung und Berufsausbildung
Annex III Punkt 3 erfasst KI, die den Zugang zu Bildungseinrichtungen bestimmt, Schüler Bildungswegen zuordnet, Prüfungs- oder Testleistungen bewertet, Lernerfolge evaluiert, die zukünftige Chancen wesentlich beeinflussen, sowie das Verhalten von Schülern während Prüfungen überwacht. EdTech-Plattformen, Universitäten, Berufsausbildungsträger und Prüfungsstellen müssen ihre KI-gestützten Instrumente an diesen Kriterien messen.
Kategorie 4 — Beschäftigung und HR
Annex III Punkt 4 erfasst KI, die bei Personalbeschaffung und -auswahl (Lebenslaufprüfung, Kandidatenranking, automatisierte Interviewanalyse), bei Entscheidungen über Beförderung, Kündigung, Aufgabenzuweisung für Plattformarbeitnehmer, bei der Überwachung von Mitarbeiterverhalten und bei der Leistungsbeurteilung eingesetzt wird. Diese Kategorie gehört zu den breitesten — nahezu jede Organisation, die KI-gestützte HR-Prozesse nutzt, muss die Compliance prüfen. Die Pflicht gilt für KI, die von Arbeitgebern, Personalvermittlungsagenturen und Gig-Economy-Plattformen eingesetzt wird.
Kategorie 5 — Wesentliche private und öffentliche Dienste (Finanzen, Versicherungen, gesundheitsnahe Dienste, Sozialleistungen)
Annex III Punkt 5 ist die breiteste Kategorie und umfasst KI bei der Kreditwürdigkeitsprüfung und Kreditscoring für natürliche Personen, der Versicherungsrisikobeurteilung und -preisgestaltung, der Prüfung der Anspruchsberechtigung für öffentliche Leistungen und soziale Dienste sowie bei Entscheidungen im Notfalleinsatz. Diese Kategorie betrifft unmittelbar Banken, Versicherungsunternehmen, öffentliche Verwaltungen und Sozialdienste. Gesundheitsbezogene KI, die Personen für die Versicherungsberechtigung bewertet, fällt ebenfalls hierunter und schafft eine Überschneidung zwischen Finanzdienstleistungen und Gesundheitspflichten.
Kategorien 6, 7 und 8 — Strafverfolgung, Migration, Justiz
Annex III Punkte 6, 7 und 8 richten sich an Behörden des öffentlichen Sektors und ihre Technologielieferanten. KI in der Strafverfolgung (Risikobewertung, Rückfallprognose, Kriminalitätsprognose, Beweisbewertung), KI in Migration und Grenzkontrolle (Asylrisikobeurteilung, Dokumentenprüfung, Antragsbearbeitung) sowie KI in Justiz und demokratischen Prozessen (Recherchetools für die Justiz, wahlbezogene KI) sind allesamt hochriskant. Diese Kategorien betreffen in erster Linie Polizeibehörden, Grenzagenturen, Einwanderungsgerichte, Gerichte und ihre KI-Auftragnehmer.
Sektorleitfäden
Jeder der folgenden spezialisierten Leitfäden ordnet die Pflichten des EU AI Act dem spezifischen Regulierungskontext, den typischen KI-Anwendungsfällen und der Durchsetzungsstruktur des jeweiligen Sektors zu.
Gesundheitswesen und Biowissenschaften
KI im Gesundheitswesen operiert an der Schnittstelle zwischen EU AI Act und der Medizinprodukteverordnung (MDR) sowie der In-vitro-Diagnostika-Verordnung (IVDR). KI-Systeme, die als Medizinprodukte einzustufen sind, werden vorrangig nach MDR/IVDR reguliert, bleiben aber den Grundrechts- und Transparenzpflichten des AI Act unterworfen. Annex III Punkt 5 erfasst KI zur Gesundheitsrisikobewertung in der Versicherung und bei der Berechtigung für öffentliche Leistungen. Klinische Entscheidungsunterstützung, Diagnose-KI, Patiententriagewerkzeuge und KI in der Arzneimittelentwicklung tragen jeweils spezifische Pflichten, abhängig von ihrer regulatorischen Klassifizierung.
HR und Personalvermittlung
Annex III Punkt 4 stuft nahezu alle KI-gestützten HR-Prozesse als hochriskant ein. Lebenslaufprüfungstools, psychometrische Beurteilungsplattformen, automatisierte Videointerviewanalyse, Leistungsmanagementsysteme und KI zur Personalplanung müssen Anbieter- und Betreiberpflichten erfüllen. Dieser Leitfaden behandelt die Pflichten von Arbeitgebern als Betreiber nach Art. 26, Anforderungen an Data Governance nach Art. 10 sowie die Wechselwirkung mit den GDPR-Profilierungseinschränkungen.
Öffentlicher Sektor und Justiz
Öffentliche Stellen sind gleichzeitig Betreiber von Hochrisiko-KI und jene Einheiten, die nationale zuständige Behörden am genauesten prüfen werden. Annex III Punkte 5 bis 8 erfassen gemeinsam einen großen Teil der KI im öffentlichen Sektor: Feststellung der Berechtigung für Sozialleistungen, KI im Rettungsdienst, Strafverfolgungstools, Grenzmanagementsysteme und KI in der Justiz. Dieser Leitfaden behandelt die spezifischen Pflichten öffentlicher Betreiber, Transparenzauflagen für automatisierte Entscheidungen mit Bürgerbezug sowie die Überschneidung mit GDPR und der Richtlinie zur Strafverfolgung.
Transport und kritische Infrastruktur
Transportunternehmen müssen sowohl Annex III Punkt 2 (Sicherheitskomponenten in kritischer Infrastruktur) als auch die Produktsicherheitsregulierung nach Annex I beachten. KI in autonomen Fahrzeugsystemen, Eisenbahnverkehrsmanagement, Flugsicherung, Hafenbetrieb und Logistikroutenplanung kann unter mehreren Wegen zur Hochrisikoklassifizierung führen. Dieser Leitfaden behandelt die Wechselwirkung mit EASA-Verordnungen, der Eisenbahnsicherheitsrichtlinie und der Rolle benannter Stellen bei der Konformitätsbewertung.
KMU
Kleine und mittlere Unternehmen unterliegen denselben Pflichten des EU AI Act wie große Organisationen, wenn sie Anbieter von Hochrisiko-KI oder Betreiber sind, die Hochrisiko-KI einsetzen. Das Gesetz sieht jedoch Verhältnismäßigkeitsmechanismen vor. Dieser Leitfaden erläutert Optionen für vereinfachte technische Dokumentation, den Zugang zu regulatorischen Sandkästen nach Art. 57 bis Art. 63 sowie die Gestaltung eines minimalen, aber rechtlich ausreichenden Compliance-Programms. Er behandelt auch die Risikoexposition von KMU als Betreiber von KI-Drittanbietertools.
Versicherungen
KI in der Versicherungsbranche unterliegt Annex III Punkt 5(b) (Risikobeurteilung und Preisgestaltung für Lebens- und Krankenversicherungen natürlicher Personen) und schneidet sich mit den Solvency-II-Anforderungen für die Modellsteuerung und den Einsatz interner Modelle. KI zur Preisgestaltung in der Kfz-, Kranken-, Sach- und Lebensversicherung, Tools zur Zeichnungsentscheidung und automatisierte Schadenabwicklungssysteme sind sämtlich prüfungspflichtig. Dieser Leitfaden behandelt die Rollen von EIOPA und nationalen Versicherungsaufsehern neben dem NCA-Rahmen des AI Act.
Einzelhandel und Callcenter
Einzelhandels- und Kundendienstbetriebe sind in erster Linie von den Transparenzpflichten nach Art. 50 betroffen — Offenlegung KI-generierter Inhalte, Chatbot-Kennzeichnung und Deepfake-Labeling — sowie von beschäftigungsbezogener KI nach Annex III Punkt 4. Systeme zur Emotionserkennung in kundenzugewandten Kontexten sind ausdrücklich reguliert. Dieser Leitfaden behandelt Online-Einzelhandels-KI, Empfehlungssysteme, automatisierten Kundendienst und Personalmanagement in Kontaktzentren.
Bildung und EdTech
Annex III Punkt 3 stuft Bildungs-KI als hochriskant ein, soweit sie den Zugang zu Bildungswegen bestimmt oder wesentlich beeinflusst oder Leistungen bewertet. Dieser Leitfaden behandelt die Pflichten von EdTech-Anbietern, Universitäten, Berufsausbildungsträgern und öffentlichen Prüfungsstellen. Er umfasst adaptive Lernplattformen, Proctoring-Software, automatisiertes Aufsatzbenoter und Tools zur Schülerrisikovorhersage.
Finanzsektor (Bankenwesen)
Der Leitfaden für den Bankensektor behandelt Annex III Punkt 5(b) Kreditscoring und Kreditwürdigkeitsprüfung, KI zur Betrugserkennung, algorithmische Handelssysteme, AML/KYC-Tools und Robo-Advisory-Plattformen. Er untersucht die Schichtung der Pflichten des EU AI Act auf DORA, MiFID II, CRR/CRD und EBA-Leitlinien. Die Schnittstelle zwischen den Modell-Governance-Anforderungen des AI Act und bestehenden Risikomodell-Management-Rahmen nach EBA-Leitlinien steht dabei im Vordergrund.
Sektorübergreifende Pflichten
Mehrere Pflichten des EU AI Act gelten unabhängig vom Sektor. Jede Organisation, die in der EU tätig ist, muss diese Grundanforderungen kennen.
Verbotene Praktiken — Art. 5
Art. 5 legt absolute Verbote fest, die ab dem 2. Februar 2025 wirksam sind. Diese gelten für jeden Sektor ohne Ausnahme: unterschwellige Manipulationstechniken, die Schaden verursachen, Ausnutzung von Schwachstellen natürlicher Personen, Social Scoring durch Behörden, biometrische Echtzeit-Fernidentifizierung durch Strafverfolgungsbehörden in öffentlichen Räumen (mit engen Ausnahmen), Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (außerhalb bestimmter Verwendungen), biometrische Kategorisierung anhand sensibler Merkmale und Vorhersage-Polizeiarbeit, die ausschließlich auf Profiling basiert. Kein sektorspezifischer Ausnahmetatbestand hebt diese Verbote auf.
Transparenzpflichten — Art. 50
Art. 50 verpflichtet Anbieter und Betreiber von KI-Systemen, die mit natürlichen Personen interagieren, zur Offenlegung des KI-Charakters der Interaktion. Dies gilt für Chatbots, virtuelle Assistenten, automatisierte Callcenter-Systeme und alle KI-Systeme, die darauf ausgelegt sind, als menschlich zu erscheinen. KI-generierte Inhalte — synthetische Medien, Deepfakes, Text — müssen maschinenlesbar gekennzeichnet sein. Diese Pflichten gelten für Einzelhandel, Finanzdienstleistungen, patientenzugewandte Tools im Gesundheitswesen, Bürgerdienste des öffentlichen Sektors und jeden anderen Sektor, der konversationelle oder generative KI einsetzt.
GPAI-Modellpflichten — Art. 51 bis Art. 55
Organisationen, die GPAI-Modelle einsetzen — große Sprachmodelle, Grundlagenmodelle, multimodale KI — müssen prüfen, ob sie Betreiber eines GPAI-Drittanbietermodells oder Anbieter eines GPAI-integrierten Systems sind. GPAI-Anbieter tragen Pflichten nach Art. 53 (Transparenz gegenüber nachgelagerten Anbietern, Urheberrechtsrichtlinie, Zusammenfassung der Trainingsdaten). GPAI-Modelle mit systemischem Risiko tragen zusätzliche Pflichten nach Art. 55. Jeder Sektor, der kommerzielle Grundlagenmodell-APIs oder selbst gehostete Grundlagenmodelle nutzt, muss diese Pflichten prüfen.
KMU und verhältnismäßige Pflichten
KMU stellen die Mehrheit der EU-Unternehmen und einen wachsenden Anteil der KI-System-Anbieter und -Betreiber dar. Der EU AI Act schafft keine pauschale KMU-Ausnahme, aber Art. 9(5), Art. 11 und Art. 16 verlangen, dass Anbieterpflichten der Größe und Kapazität der Organisation angemessen sind.
Der Rahmen für regulatorische Sandkästen (Art. 57 bis Art. 63) ist ausdrücklich darauf ausgelegt, KMU und Start-ups beaufsichtigte Entwicklungsumgebungen, reduzierte Regulierungsunsicherheit und direkten Zugang zur Beratung nationaler zuständiger Behörden zu bieten. Eine Teilnahme garantiert keine Konformitätsfreigabe, bietet aber einen strukturierten Weg zur Markteinführung für innovative KI-Produkte.
Für KMU, die als Betreiber von Hochrisiko-KI eines Drittanbieters handeln, gelten die Pflichten nach Art. 26 — Anwendungsfall-Beurteilung, Implementierung menschlicher Aufsicht, Grundrechtsfolgenabschätzung. Der Umfang der erforderlichen Dokumentation und Überwachung ist verhältnismäßig, die rechtlichen Pflichten werden jedoch nicht erlassen.
Der dedizierte KMU-Leitfaden bietet eine auf kleinere Organisationen zugeschnittene Compliance-Roadmap, die Priorisierung, Mindestdokumentation, Lieferanten-Due-Diligence und Sandbox-Zugangsverfahren umfasst.
Durchsetzung
Der EU AI Act schafft eine mehrschichtige Durchsetzungsarchitektur mit erheblichen sektorspezifischen Dimensionen.
Nationale zuständige Behörden
Jeder EU-Mitgliedstaat benennt eine oder mehrere nationale zuständige Behörden (NCAs) nach Art. 70. NCAs sind verantwortlich für die Genehmigung regulatorischer Sandkästen, die Durchführung von Marktüberwachung, den Empfang von Post-Market-Monitoring-Daten der Anbieter, die Untersuchung mutmaßlicher Verstöße und die Verhängung von Bußgeldern nach Art. 99 bis Art. 101. Die Höchstbußgelder erreichen 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen die verbotenen Praktiken nach Art. 5.
Sektoraufsichtsbehörden als Marktüberwachungsbehörden
Art. 74(8) und Art. 74(9) sehen vor, dass Sektoraufsichtsbehörden als Marktüberwachungsbehörden für KI in ihren Bereichen fungieren. Die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA), die Europäische Arzneimittel-Agentur (EMA) und die Europäische Agentur für Flugsicherheit (EASA) haben jeweils Rollen bei der Beaufsichtigung von KI in ihren Aufsichtsbereichen. Dies schafft eine doppelspurige Durchsetzungsexposition: Die Kreditbewertungs-KI einer Bank kann sowohl von einem nationalen Finanzaufseher, der Annex-III-Pflichten anwendet, als auch von einer NCA, die eine AI-Act-Marktüberwachung durchführt, geprüft werden.
Das Europäische KI-Büro
Das Europäische KI-Büro, eingerichtet nach Art. 64 bis Art. 70, hält direkte Durchsetzungsbefugnis gegenüber GPAI-Modellanbietern. Für Organisationen, die GPAI-Modelle mit systemischem Risiko einsetzen, ist das KI-Büro der primäre regulatorische Gegenüber — nicht die nationale NCA. Sektoraufsichtsbehörden haben als solche keine direkte Zuständigkeit für GPAI-Modelle, obwohl nachgelagerte KI-Systeme, die GPAI integrieren, weiterhin nationaler und sektorieller Aufsicht unterliegen.
Durchsetzungszeitplan
Das Verbot der Praktiken nach Art. 5 gilt seit dem 2. Februar 2025. GPAI-Pflichten nach Art. 51 bis Art. 55 traten am 2. August 2025 in Kraft. Die vollständigen Pflichten für Hochrisiko-KI-Systeme nach Annex III — alle acht Kategorien sowie alle Anbieter- und Betreiberpflichten — gelten ab dem 2. Dezember 2027 (verlängert vom ursprünglichen Termin 2. August 2026 durch die Digital-Omnibus-Änderung von 2025). Organisationen in allen Sektoren sollten den Zeitraum bis Dezember 2027 als aktives Compliance-Fenster betrachten, nicht als Übergangsfrist.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja. Der EU AI Act gilt einheitlich in der gesamten EU, seine praktische Auswirkung variiert jedoch erheblich nach Sektor. Annex III des Gesetzes ordnet Hochrisiko-KI-Kategorien direkt bestimmten Branchen zu — KI im Beschäftigungsbereich betrifft HR und Personalvermittlung, KI zur Kreditwürdigkeitsprüfung betrifft Finanz- und Versicherungsbranche, biometrische Systeme betreffen Strafverfolgung und Grenzkontrolle. Betreiber in stark regulierten Sektoren (Gesundheitswesen, Finanzen, Transport) sehen sich zudem dem AI Act zusätzlich zu bestehender sektorspezifischer Gesetzgebung gegenüber, was weitere Pflichten auslösen oder eine Koordinierung zwischen Aufsichtsbehörden erforderlich machen kann.
Das Gesundheitswesen, Finanzdienstleistungen und der öffentliche Sektor tragen die höchste Gesamtbelastung. KI im Gesundheitswesen schneidet sich mit der Medizinprodukteverordnung (MDR) und der In-vitro-Diagnostika-Verordnung (IVDR); KI im Finanzsektor schneidet sich mit DORA, MiFID II und Solvency II; KI im öffentlichen Sektor berührt die Annex-III-Kategorien 5 bis 8 (wesentliche Dienste, Strafverfolgung, Migration und Justiz). Jeder dieser Sektoren muss sowohl den Rahmen des EU AI Act als auch die bestehende sektorale Regulierung einhalten, wobei einige Pflichten gleichzeitig gelten.
KMU sind nicht ausgenommen, aber das Gesetz sieht verhältnismäßige Maßnahmen vor. Art. 9(5) verlangt, dass Risikomanagementsysteme der Größe und Art des Anbieters angemessen sind. Art. 11 und Art. 16 ermöglichen vereinfachte technische Dokumentation für KMU. Art. 57 bis Art. 63 schaffen regulatorische Sandkästen, zu denen KMU unter Aufsicht der nationalen zuständigen Behörde Zugang haben. Betreiberpflichten nach Art. 26 gelten ebenfalls für KMU, die Hochrisiko-KI einsetzen, jedoch mit geringeren Verfahrensanforderungen als für Anbieter.
Art. 70 bis Art. 77 des EU AI Act legen eine mehrschichtige Durchsetzungsstruktur fest. Jeder Mitgliedstaat benennt eine nationale zuständige Behörde (NCA), die für die Durchsetzung des AI Act verantwortlich ist. Soweit KI-Systeme in regulierten Sektoren — Finanzdienstleistungen, Gesundheitswesen, Luftfahrt, Schiene — eingesetzt werden, koordinieren sektorspezifische Regulatoren (EBA, EIOPA, ESMA, EMA, EASA) mit den NCAs. Das Europäische KI-Büro übernimmt die zentrale Aufsicht über GPAI-Modelle. Diese parallele Struktur bedeutet, dass das KI-System eines Finanzinstituts sowohl von einer NCA als auch von einem Finanzaufsichtsorgan geprüft werden kann, die unterschiedliche, aber sich überschneidende Rahmen anwenden.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.