---
name: fachanwalt-it-recht-ki-vo-hochrisiko-konformitaetsbewertung
description: "KI-VO 2024/1689 Hochrisiko-KI-System Konformitaetsbewertung nach Art. 16-29. Anhang III Liste (Biometrik kritische Infrastruktur Bildung Beschaeftigung Justiz). Anbieter-Pflichten Risikomanagement Daten-Governance Dokumentation Transparenz Cybersicherheit menschliche Aufsicht. CE-Kennzeichnung Art. 48 Anwendbarkeit 2.8.2026 bzw. 2.8.2027 nach Risikokategorie. Workflow Risiko-Klassifikation Audit Konformitaetserklaerung."
---

# KI-VO High-Risk-System Konformitätsbewertung Art. 16-29

## Zweck

Spezial-Mandat: Mandant entwickelt/vertreibt KI-System, das nach **Anhang III KI-VO 2024/1689** als Hochrisiko-System gilt (Biometrik, kritische Infrastruktur, Bildung, Beschäftigung, Strafverfolgung, Justizverwaltung, Migration). Anbieter müssen umfassende Compliance-Anforderungen erfüllen, vor Inverkehrbringen Konformitätsbewertung durchführen, CE-Kennzeichnung erteilen.

## Eingaben

- KI-System-Funktion / Use Case
- Anhang-III-Klassifikation (welche Nr.?)
- Anbieter oder Betreiber? (Pflichten differieren)
- Bestand-System (vor 2.8.2026) oder neu?
- Vorhandenes Qualitätsmanagement ISO 13485 / 9001
- Sicherheits-Standards (ISO 27001, BSI C5)

## Rechtlicher Rahmen

- **KI-VO (EU) 2024/1689** in Kraft 1.8.2024
- **Art. 6 i.V.m. Anhang III** — Hochrisiko-Definition
- **Art. 9** — Risikomanagementsystem
- **Art. 10** — Daten-Governance
- **Art. 11** — Technische Dokumentation (Anhang IV)
- **Art. 12** — Aufzeichnungspflicht
- **Art. 13** — Transparenz
- **Art. 14** — Menschliche Aufsicht
- **Art. 15** — Genauigkeit, Robustheit, Cybersicherheit
- **Art. 16-22** — Anbieter-Pflichten
- **Art. 26-29** — Betreiber-Pflichten
- **Art. 43-44** — Konformitätsbewertung
- **Art. 48** — CE-Kennzeichnung
- **Art. 113** — Anwendbarkeit: Hochrisiko 2.8.2026 (Anhang III) bzw. 2.8.2027 (Anhang I)

## Anhang III Hochrisiko-Liste (auszugsweise)

1. Biometrische Identifikation und Kategorisierung
2. Kritische Infrastruktur (Verkehr, Wasser, Strom, Gas)
3. Bildung / Berufsbildung (Zulassung, Bewertung)
4. Beschäftigung / Personalauswahl (Recruiting-Algorithmen)
5. Wesentliche private und öffentliche Dienste (Bonität-Scoring, Lebensversicherung)
6. Strafverfolgung (Polygraph, Profiling)
7. Migration / Asyl / Grenzkontrolle
8. Justizverwaltung (Urteilsfindungs-Assistenz)

## Workflow Konformitätsbewertung

### Phase 1 — Klassifikation

- Welcher Anhang-III-Tatbestand?
- Substantielle Eigenständigkeit der KI im Entscheidungsprozess?
- Art. 6 Abs. 3 Ausnahmen prüfen (z. B. Nebenleistung ohne Risiko)

### Phase 2 — Aufbau Konformitäts-Infrastruktur

| Anforderung | Pflicht |
|---|---|
| Risikomanagement Art. 9 | dokumentierter Lifecycle |
| Daten-Governance Art. 10 | Training-/Validierungs-Set-Qualität |
| Tech-Doku Art. 11 + Anhang IV | Wartungsfähige Doku |
| Logging Art. 12 | Audit-Trail |
| Transparenz Art. 13 | Benutzerhandbuch |
| Menschliche Aufsicht Art. 14 | Eingriffsmöglichkeit |
| Robustheit Art. 15 | Stresstest + Cybersecurity |

### Phase 3 — Konformitätsbewertung

- Interne Bewertung (Anhang VI) für die meisten Anhang-III-Fälle
- Benannte Stelle (Notified Body) für Biometrik (Anhang VII)
- EU-Konformitätserklärung Art. 47
- CE-Kennzeichnung Art. 48

### Phase 4 — Registrierung EU-Datenbank

- Art. 49 — Anmeldung Hochrisiko-System in EU-Datenbank
- Inhalte: Beschreibung, Risikomanagement, Konformitätsstatus

### Phase 5 — Laufende Pflichten

- Monitoring nach Inverkehrbringen Art. 72
- Schwere Vorfälle binnen 15 Tagen melden Art. 73
- Marktüberwachung BfDI / BNetzA / KI-Aufsicht (BAIA in Planung)

## Bußgeld-Risiken Art. 99

- Verstoß Anhang-III-Pflichten: bis **15 Mio. EUR oder 3 % weltweiter Umsatz**
- Verbotene Praktiken Art. 5: bis **35 Mio. EUR oder 7 % Umsatz**
- Falsche Auskunft: bis 7,5 Mio. EUR

## Risiken und Red Flags

| Konstellation | Rot | Orange | Grün |
|---|---|---|---|
| Inverkehrbringen ohne CE | Vertriebsverbot + Bußgeld | Konformitätsbewertung läuft | CE-Kennzeichnung erteilt |
| Trainingsdaten ohne Daten-Governance | Art. 10 Verstoß | Aufbau läuft | Doku komplett |
| Menschliche Aufsicht fehlt | Art. 14 Verstoß; Haftungsrisiko | Konzept vorhanden | Volle Eingriffsmöglichkeit |
| Stresstest unzureichend | Art. 15 Verstoß | Tests laufen | Robustheit dokumentiert |

## Querverweise

- `fachanwalt-it-recht-orientierung` — Triage
- `fachanwalt-gewrechts-ki-vo-50-genai` — bei generativer KI
- `fachanwalt-it-recht-cyber-vorfall-sofortmassnahmen` — bei Sicherheitsvorfall
- `aussenwirtschaft-zoll-sanktionen` — bei Dual-Use-KI

## Quellen und Updates

Stand: 05/2026. KI-VO 2024/1689 in Kraft 1.8.2024. Hochrisiko-Pflichten (Anhang III) ab 2.8.2026. EU-KI-Office in Aufbau. Bei delegierten Rechtsakten zu Art. 6 / Anhang III aktualisieren.
