EU AI Act: Liste der Hochrisiko-KI-Systeme – Die vollständige Referenz für Compliance-Teams
Der EU AI Act schafft ein abgestuftes Risikomodell – und bei der Kategorie «hohes Risiko» liegt die eigentliche Compliance-Last. Diese Seite schlüsselt jede Kategorie des Anhangs III auf, ordnet die geltenden Pflichten zu und gibt Ihrem Team einen klaren Ausgangspunkt für die Bewertung Ihres KI-Portfolios.
Wenn Ihre Organisation KI-Systeme entwickelt, einsetzt oder bezieht, die einen der acht Hochrisiko-Bereiche berühren, stehen Sie vor verbindlichen Konformitätsbewertungen, Dokumentationspflichten zum Risikomanagement, Anforderungen an die menschliche Aufsicht und laufenden Überwachungspflichten. Die meisten Teams unterschätzen den Umfang. Dieser Leitfaden sorgt dafür, dass Ihnen das nicht passiert.
8
Hochrisiko-Kategorien des Anhangs III
EU AI Act, Anhang III (2024/1689)
12+
Verbindliche Pflichten pro System
Artikel 9–17, EU AI Act
<30%
der Organisationen haben ein KI-Inventar abgeschlossen
IAPP AI Governance Survey, 2024
Vom KI-System-Inventar zur laufenden Überwachung – ohne Tabellenchaos
Die Hochrisiko-Pflichten des EU AI Act umfassen Risikomanagement, Dokumentation, menschliche Aufsicht und Überwachung nach dem Inverkehrbringen. So verwandelt Priverion diese regulatorische Last in einen strukturierten, beherrschbaren Workflow über jede Einheit Ihrer Gruppe hinweg.
KI-Register für die EU-AI-Act-Compliance
Erfassen Sie jedes KI-System über alle Tochtergesellschaften hinweg in einem einzigen, strukturierten Register. Ordnen Sie jedes System den Kategorien des Anhangs III zu, weisen Sie Risikostufen zu und pflegen Sie das laufend aktualisierte Inventar, das Artikel 49 verlangt – ohne den Geschäftseinheiten Tabellen-Aktualisierungen hinterherzujagen.
AXA erreichte mit automatisierten Workflows über die gesamte Gruppe hinweg eine Rezertifizierungsquote von 100 % bei Verarbeitungsverzeichnissen.
Ergebnis bei AXA – erste 6 Monate mit Priverion
KI-gestützte Folgenabschätzungen
Erstellen Sie Entwürfe von Grundrechte-Folgenabschätzungen und DSFA mit KI-gestützter Analyse, die Risikofaktoren vorbefüllt, relevante regulatorische Artikel zuordnet und Massnahmen zur Risikominderung vorschlägt. Jedes Ergebnis wird von Ihrem Team geprüft, bevor es zum Compliance-Nachweis wird. Die KI unterstützt – Menschen entscheiden.
Medtec sparte mit den Dokumentations-Workflows von Priverion über 200 Stunden bei der Vorbereitung auf ISO 27001 ein.
Ergebnis bei Medtec – Vorbereitungsphase ISO 27001
KI-Risikomanagement für Lieferanten
Der EU AI Act nimmt Betreiber für die KI-Systeme, die sie beziehen, in die Verantwortung – nicht nur für jene, die sie selbst entwickeln. Mit den Workflows zur Lieferantenrisikobewertung von Priverion bewerten Sie KI-Drittanbieter anhand der Anforderungen des Anhangs III, verfolgen Konformitätsnachweise und führen für jede Lieferantenbeziehung auditfähige Belege.
Zurzach Care erreichte über sein gesamtes Lieferantennetz hinweg eine 100-prozentige Abdeckung bei der Lieferantenrisikobewertung.
Ergebnis bei Zurzach Care – Programm zur Lieferantenbewertung
Gruppenweite Compliance-Dashboards
Sehen Sie den Compliance-Status jeder Tochtergesellschaft auf einem einzigen Dashboard. Verfolgen Sie, welche Einheiten ihre KI-Inventare abgeschlossen haben, welche Hochrisiko-Bewertungen ausstehen und wo Lücken bestehen – damit Sie dem Vorstand mit Zuversicht berichten können, statt Daten aus 47 Tabellen zusammenzustückeln.
Ein Flugzeughersteller reduzierte den administrativen Compliance-Aufwand in den ersten 6 Monaten um 60 %.
Ergebnis bei einem Flugzeughersteller – erste 6 Monate mit Priverion
Incident-Management und Meldung schwerwiegender Vorfälle
Artikel 62 verpflichtet Anbieter von Hochrisiko-KI-Systemen, schwerwiegende Vorfälle den Marktüberwachungsbehörden zu melden. Der Incident-Management-Workflow von Priverion erfasst Ereignisse, dokumentiert Ursachen, löst Meldefristen aus und erstellt das Nachweispaket, das die Aufsichtsbehörden erwarten – noch bevor der Zeitdruck der Frist einsetzt.
Schweizer Datensouveränität . Von Grund auf, nicht per Häkchen
Jede KI-gestützte Analyse, jeder Compliance-Nachweis und jedes Dokument, das Ihr Team erstellt, liegt innerhalb Schweizer Infrastruktur. Es werden keine Kundendaten für das Training von KI-Modellen verwendet. In einem regulatorischen Umfeld, in dem Datenresidenz und die Compliance bei grenzüberschreitenden Übermittlungen ständig unter Beobachtung stehen, ist dies keine Funktion – sondern ein Fundament.
Sämtliche Datenverarbeitung innerhalb Schweizer Infrastruktur . Europäische Datenresidenz garantiert.
Infrastruktur-Zusage von Priverion – verifiziertes Schweizer Hosting
Compliance auf Enterprise-Niveau ohne Enterprise-Komplexität
Organisationen im Mid-Market brauchen ein leistungsstarkes Datenschutzmanagement – keine Plattform, die für Fortune-100-Budgets und 18-monatige Einführungen gebaut wurde. Hier sind die Gründe, warum Compliance-Teams umsteigen.
Die Erfahrung mit OneTrust
Preise pro Nutzer und pro Modul
Die Kosten steigen unkalkulierbar, sobald Sie Nutzer, Tochtergesellschaften oder Module hinzufügen. CFOs fürchten Verlängerungsgespräche, wenn sich die Rechnung Jahr für Jahr verdoppelt.
In den USA gehostete Infrastruktur
In einer Welt nach Schrems II erzeugen in den USA gehostete Compliance-Daten genau jene Risiken grenzüberschreitender Übermittlung, die Sie eigentlich steuern möchten. Allein für die Nutzung Ihres Datenschutz-Tools werden zusätzliche Standardvertragsklauseln nötig.
Für Fortune-100-Komplexität gebaut
So funktionsreich, dass es überfordert. Mid-Market-Teams berichten, dass sie weniger als 30 % der verfügbaren Funktionen nutzen, aber 100 % davon bezahlen.
Monatelange Einführung
Enterprise-Einführungen ziehen sich regelmässig über 6–12 Monate hin. Bis Sie produktiv sind, haben sich die regulatorischen Anforderungen womöglich bereits verschoben.
200+ oberflächliche Integrationen
Ein Marktplatz von Konnektoren, die auf dem Papier beeindrucken, aber Wartungsaufwand schaffen. Die meisten Teams benötigen eine tiefe Integration mit einer Handvoll Kernsystemen . HR, Beschaffung, IT-Assets – keinen Katalog.
Die Erfahrung mit Priverion
Kalkulierbare All-in-one-Preise
Auf Basis der Anzahl der Unternehmen und der Organisationsgrösse – nicht pro Nutzer oder pro Modul. Jede Funktion ist vom ersten Tag an enthalten. Keine Erweiterungsfallen, keine Überraschungsrechnungen.
Garantierte Schweizer Datensouveränität
In der Schweiz entwickelt und in der Schweiz gehostet. Sämtliche Datenverarbeitung innerhalb Schweizer Infrastruktur. Europäische Datenresidenz ist kein Marketing-Häkchen . sie ist unsere Architektur. Ihr Compliance-Tool sollte niemals ein Compliance-Risiko sein.
Eigens für die Verwaltung mehrerer Einheiten entwickelt
Jede Funktion ist auf die Realität abgestimmt, den Datenschutz über Tochtergesellschaften und Rechtsräume hinweg zu steuern. Ein Flugzeughersteller senkte den administrativen Compliance-Aufwand in den ersten sechs Monaten um 60 % – weil die Plattform zu der Art passt, wie Datenschutzbeauftragte auf Gruppenebene tatsächlich arbeiten.
Fallstudie Flugzeughersteller – erste 6 Monate nach der Einführung
Einsatzbereit in Wochen, nicht in Monaten
Aufgeräumte UX, gestaltet für Datenschutzfachleute, nicht für IT-Abteilungen. Time-to-Value in Wochen messbar. Ihr Team ist produktiv, bevor der erste Quartalsbericht ansteht, nicht erst nach dem zweiten.
Tiefe Integrationen dort, wo es zählt
Gezielte Integrationen mit Systemen für HR, Beschaffung und IT-Asset-Management – den Workflows, die die Datenschutz-Compliance tatsächlich antreiben. Tiefe Anbindung mit weniger Wartungsaufwand.
Ein ehrlicher Hinweis: Wir decken weder ESG, Ethik-Hotlines noch Cookie-Einwilligung ab. Wir sind nicht für Einzelunternehmen gebaut. Unsere Stärke ist das gruppenweite Datenschutz-Programmmanagement – und das beherrschen wir aussergewöhnlich gut.
30-minütigen Rundgang buchenDie acht Hochrisiko-KI-Kategorien, die Ihr Team bewerten muss
Anhang III des EU AI Act definiert acht Bereiche, in denen KI-Systeme als hochriskant eingestuft werden. Jeder bringt verbindliche Pflichten nach den Artikeln 9–17 mit sich. Hier ist, was Compliance-Teams zu jeder Kategorie wissen müssen.
1. Biometrische Identifizierung und Kategorisierung
Systeme zur biometrischen Fernidentifizierung, die in öffentlich zugänglichen Räumen eingesetzt werden. Dazu zählen Echtzeit- und nachträgliche Identifizierungssysteme, Emotionserkennung am Arbeitsplatz und in der Bildung sowie biometrische Kategorisierung anhand sensibler Merkmale.
Zentrale Pflicht: Grundrechte-Folgenabschätzung vor dem Einsatz erforderlich (Artikel 27).
2. Verwaltung kritischer Infrastruktur
KI-Systeme, die als Sicherheitskomponenten bei der Verwaltung und im Betrieb kritischer digitaler Infrastruktur, des Strassenverkehrs sowie der Versorgung mit Wasser, Gas, Wärme und Strom eingesetzt werden.
Zentrale Pflicht: Kontinuierliche Überwachung nach dem Inverkehrbringen und Meldung schwerwiegender Vorfälle (Artikel 61–62).
3. Bildung und berufliche Ausbildung
Systeme, die den Zugang zu oder die Zuteilung innerhalb von Bildungseinrichtungen bestimmen, Lernergebnisse bewerten, unzulässiges Verhalten während Prüfungen überwachen oder angemessene Bildungsniveaus für Einzelpersonen einschätzen.
Zentrale Pflicht: Transparenz gegenüber betroffenen Personen und Mechanismen zur menschlichen Aufsicht (Artikel 13–14).
4. Beschäftigung und Personalmanagement
KI, die bei Rekrutierung, Lebenslauf-Screening, Interview-Bewertung, Beförderungsentscheidungen, Aufgabenzuteilung, Leistungsüberwachung und Beendigung von Beschäftigungsverhältnissen eingesetzt wird.
Zentrale Pflicht: Anforderungen an die Daten-Governance und Dokumentation von Bias-Tests (Artikel 10–11).
5. Zugang zu wesentlichen Diensten
Systeme, die die Anspruchsberechtigung für öffentliche Unterstützungsleistungen bewerten, Kredit-Scoring betreiben, Risiken für Lebens- und Krankenversicherungen einschätzen und die Priorisierung von Notrufeinsätzen vornehmen.
Zentrale Pflicht: Risikomanagementsystem über den gesamten KI-Lebenszyklus (Artikel 9).
6. Strafverfolgung
KI, die für individuelle Risikobewertungen, Lügendetektoren, die Beurteilung der Beweiszuverlässigkeit, die Kriminalitätsvorhersage anhand von Profiling, die Analyse von Straftaten und die Suche in Gesichtserkennungsdatenbanken eingesetzt wird.
Zentrale Pflicht: Protokollierung und Nachvollziehbarkeit für jedes Entscheidungsergebnis (Artikel 12).
7. Migration, Asyl und Grenzkontrolle
Systeme, die für Lügendetektor-Bewertungen, die Risikoeinschätzung von Anträgen, die Prüfung der Echtheit von Dokumenten und die Bearbeitung von Asyl-, Visa- und Aufenthaltsbewilligungsanträgen eingesetzt werden.
Zentrale Pflicht: Menschliche Aufsicht mit der Befugnis, automatisierte Entscheidungen zu übersteuern (Artikel 14).
8. Rechtspflege und demokratische Prozesse
KI, die Justizbehörden bei der Recherche, der Auslegung von Sachverhalten und Recht sowie der Anwendung des Rechts auf Sachverhalte unterstützt, sowie Systeme, die das Ergebnis von Wahlen oder das Wahlverhalten beeinflussen sollen.
Zentrale Pflicht: Qualitätsmanagementsystem und technische Dokumentation (Artikel 11, 17).
Was Compliance-Teams zu Hochrisiko-KI-Systemen fragen
Was macht ein KI-System nach dem EU AI Act zu einem «Hochrisiko»-System?
Ein KI-System wird als hochriskant eingestuft, wenn es in eine der acht in Anhang III des EU AI Act (Verordnung 2024/1689) aufgeführten Kategorien fällt oder wenn es als Sicherheitskomponente eines Produkts verwendet wird, das bereits unter die in Anhang I aufgeführten harmonisierten EU-Rechtsvorschriften fällt. Die Hochrisiko-Einstufung löst verbindliche Pflichten aus, darunter Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Genauigkeitsanforderungen und Überwachung nach dem Inverkehrbringen gemäss den Artikeln 9–17.
Wann treten die Hochrisiko-KI-Pflichten in Kraft?
Der EU AI Act ist am 01.08.2024 in Kraft getreten. Verbotene KI-Praktiken gelten seit dem 02.02.2025. Die meisten Hochrisiko-KI-Pflichten, einschliesslich der Konformitätsbewertungen und der Anforderungen der Artikel 9–17, gelten ab dem 02.08.2026. Hochrisiko-KI-Systeme, die bereits vor diesem Datum auf dem Markt sind, müssen die Vorgaben jedoch einhalten, sobald sie wesentlich verändert werden. Organisationen sollten ihr KI-Inventar und ihre Lückenanalyse jetzt beginnen, um einen Compliance-Endspurt zu vermeiden.
Haben Betreiber (nicht nur Anbieter) Pflichten bei Hochrisiko-KI?
Ja. Der EU AI Act legt ausdrücklich Pflichten für Betreiber fest – die Organisationen, die Hochrisiko-KI-Systeme einsetzen, nicht nur jene, die sie entwickeln. Betreiber müssen die menschliche Aufsicht sicherstellen, den Betrieb des KI-Systems überwachen, Protokolle führen, für bestimmte Anwendungsfälle Grundrechte-Folgenabschätzungen durchführen (Artikel 27) und schwerwiegende Vorfälle melden. Wenn Ihre Organisation KI von Drittanbietern bezieht, sind Sie ein Betreiber und tragen regulatorische Verantwortung.
Wie unterstützt Priverion konkret bei der EU-AI-Act-Compliance?
Mit dem KI-Register von Priverion erfassen Sie jedes KI-System über alle Tochtergesellschaften hinweg, ordnen es den Kategorien des Anhangs III zu und vergeben Risikoklassifizierungen – alles in einer strukturierten Plattform. KI-gestützte Folgenabschätzungen befüllen Risikofaktoren vor und schlagen Massnahmen zur Risikominderung vor, wobei jedes Ergebnis von Ihrem Team geprüft wird, bevor es zum Compliance-Nachweis wird. Workflows zum Lieferantenrisiko stellen sicher, dass Sie KI-Drittanbieter an denselben Massstäben messen. Und weil alles auf Schweizer Infrastruktur läuft und keine Kundendaten für das Modelltraining verwendet werden, vermeiden Sie es, mit Ihrem Compliance-Tool neue Compliance-Risiken zu schaffen.
Kann Priverion die EU-AI-Act-Compliance parallel zur DSGVO bewältigen?
Ja – das ist das zentrale Gestaltungsprinzip. Datenschutz-Programmmanagement und KI-Governance überschneiden sich erheblich: Datenmapping, Folgenabschätzungen, Lieferantenmanagement, Reaktion auf Vorfälle und die Dokumentation grenzüberschreitender Übermittlungen. Priverion steuert beides in einer einzigen Plattform, sodass Ihr Team keine Doppelarbeit über getrennte Tools hinweg leisten muss. Das Management von Verarbeitungsverzeichnissen, DSFA und das KI-Register liegen alle an einem Ort mit gemeinsamen Workflows.
Was, wenn wir nicht sicher sind, welche unserer KI-Systeme hochriskant sind?
Genau hier beginnen die meisten Organisationen. Weniger als 30 % der Organisationen haben ein KI-Inventar abgeschlossen (IAPP AI Governance Survey, 2024). Das KI-Register von Priverion hilft Ihnen, mit einem strukturierten Inventar zu starten – KI-Systeme über Ihre Gruppe hinweg zu erfassen, sie den Kategorien des Anhangs III zuzuordnen und zu erkennen, welche eine Konformitätsbewertung erfordern. Die Plattform leitet Einstufungsentscheidungen an, statt vorauszusetzen, dass Ihr Team die Antworten bereits kennt.
Schluss mit Datenschutz in Tabellen
Ihr gruppenweites Datenschutz-Programm verdient 30 Minuten Klarheit
Erfahren Sie, wie Organisationen wie ein Flugzeughersteller den administrativen Compliance-Aufwand in den ersten sechs Monaten um 60 % senkten – mit automatisierter Rezertifizierung von Verarbeitungsverzeichnissen, KI-gestützten DSFA und einheitsübergreifender Transparenz, alles gehostet auf Schweizer Infrastruktur.
Kein Verkaufsgespräch . ein Live-Rundgang, zugeschnitten auf Ihre Gruppenstruktur und Ihre Compliance-Anforderungen.


