EU AI Act Hochrisiko-KI-Systeme: Compliance-Checkliste für Dokumentenverarbeitungs-Use-Cases in regulierten Branchen

TL;DR: Das vollständige Hochrisiko-Regime des EU AI Acts wird am 2. August 2026 durchsetzbar. Für Unternehmen, die Dokumente in regulierten Workflows verarbeiten – Hypothekendokumentenverarbeitung, KYC, Versicherung – bestimmt der Use Case, nicht das Modell, die Risikoklassifizierung. Jede Organisation, die KI in einer Annex-III-Kategorie einsetzt, trägt direkte, nicht delegierbare Compliance-Pflichten, die das Compliance-Paket ihres Cloud-Anbieters nicht abdeckt. Verstösse können mit Strafen von bis zu 15 Millionen Euro oder 3 % des globalen Jahresumsatzes geahndet werden. Eine souveräne, zweckgebaute Dokumenten-KI-Architektur ist der direkteste Weg zu einer vertretbaren Compliance-Postur vor der Durchsetzungsfrist.

Key Takeaways
  • Das Risiko wird durch den Use Case definiert, nicht durch das Modell. Eine auf GPT-4o aufgebaute Kreditscoring-Pipeline ist unter Annex III hochriskant, unabhängig von der eigenen Compliance-Postur des zugrundeliegenden Modells.
  • Die Durchsetzungsfrist ist der 2. August 2026. Diese Pflichten – Konformitätsbewertung, technische Dokumentation, menschliche Aufsicht, Logging und Bias-Testing – werden zu diesem Datum obligatorisch.
  • Die Strafen sind erheblich. Verstösse können mit Bussen von bis zu 15 Millionen Euro oder 3 % des globalen Jahresumsatzes geahndet werden. Verstösse gegen verbotene Praktiken erreichen 35 Millionen Euro oder 7 %.
  • Dokumentenverarbeitung in Kernsektoren löst eine Annex-III-Klassifizierung aus. KYC, Kreditwürdigkeitsbewertung, Versicherungspreisgestaltung und Dokumentenverarbeitung für kritische Infrastrukturen fallen alle unter Annex III.
Was ist Annex III?

Annex III des EU AI Acts (Verordnung EU 2024/1689) definiert die Kategorien von KI-Systemen, die standardmässig als „hochriskant“ eingestuft werden. Er umfasst acht Bereiche, darunter Kreditwürdigkeitsbewertung, Zugang zu wesentlichen Finanzdienstleistungen, Lebens- und Krankenversicherungspreisgestaltung, Beschäftigung und kritische Infrastrukturbetriebe. Jedes Unternehmen, das ein KI-System einsetzt, das in diese Kategorien fällt, unterliegt dem vollständigen Satz an Deployer-Pflichten. Eine vollständige Aufschlüsselung der „Anbieter- vs. Deployer-Pflichten“ finden Sie in unserem früheren Artikel ‘Die „Deployer-Falle“: Warum das EU AI Act Compliance-Paket Ihres Cloud-Anbieters Ihre Deployer-Pflichten nicht abdeckt’.

EU AI Act High-Risk AI Systems
Der Durchsetzungszeitplan

Für CISOs und Compliance Manager ist die entscheidende Erkenntnis klar: Die Risikoklassifizierung nach dem EU AI Act wird durch das bestimmt, was das KI-System tut, nicht durch das Modell, das es antreibt, oder den Anbieter, der es liefert.

  • 2. Februar 2025: Verbotene KI-Praktiken untersagt
  • 2. August 2025: Pflichten für General Purpose AI (GPAI)-Modelle gelten
  • 2. August 2026: Vollständiges Annex-III-Regime durchsetzbar. Konformitätsbewertungen, technische Dokumentation, menschliche Aufsicht, Logging, Bias-Testing und EU-Datenbankregistrierung werden alle obligatorisch
Annex-III-Übersicht für Dokumentenverarbeitungs-Use-Cases
Use CaseAnnex-III-Kategorie
Kredit- & Hypothekendokumentenverarbeitung5b – Kreditwürdigkeit
KYC & Onboarding für Finanzdienstleistungen5b – Zugang zu wesentlichen Diensten
Versicherungs-Underwriting & Schadensfälle5c – Lebens- & Krankenversicherung
Dokumente für kritische Infrastrukturen2 – Kritische Infrastruktur

Alle vier Use Cases fallen unter EU AI Act Art. 99(3) – Verstösse können mit Strafen von bis zu 15 Millionen Euro oder 3 % des globalen Jahresumsatzes geahndet werden. Verstösse gegen verbotene Praktiken nach Art. 5 können mit Strafen von bis zu 35 Millionen Euro oder 7 % des globalen Jahresumsatzes geahndet werden.

Wichtigste Pflichten pro Use Case: Was der Deployer nachweisen muss
  1. Kredit- & Hypothekendokumentenverarbeitung
  • Feldgranulare Extraktions-Logs mit vollständiger Rückverfolgbarkeit gemäss Art. 12
  • Konfigurierbarer menschlicher Aufsichtsmechanismus mit nachgewiesenen Review-Entscheidungen gemäss Art. 14
  • Konformitätsbewertung abgeschlossen und System in der EU-Datenbank registriert gemäss Art. 43

2. KYC & Onboarding für Finanzdienstleistungen

  • DPIA für das spezifische Deployment abgeschlossen gemäss DSGVO Art. 35
  • Menschlicher Review-Mechanismus für unsichere Extraktionen gemäss Art. 14
  • Audit Trail, der jede Extraktion mit Dokument, Konfidenzlevel und Routing-Ergebnis verknüpft

3. Versicherungs-Underwriting & Schadensfälle

  • Bias-Testing-Framework für Dokumententypen und Sprachen gemäss Art. 10
  • Feldgranulare Confidence Scores pro Extraktion geloggt gemäss Art. 12
  • Erklärbarkeits-Nachweise für Outputs, die in Preisgestaltungs- oder Underwriting-Entscheidungen verwendet werden, gemäss Art. 13

4. Dokumente für kritische Infrastrukturen

  • Audit Trail für alle Dokumentenverarbeitungsentscheidungen gemäss Art. 12
  • Menschliche Aufsicht für Extraktionsentscheidungen mit operativen Konsequenzen gemäss Art. 14
  • Business-Continuity-Dokumentation für Dokumentenverarbeitungs-Anbieter-Abhängigkeiten
Die Parashift-Methode

Paras­hifts Plattform wurde entwickelt, um diese Anforderungen by Design zu unterstützen. Unsere Kunden in regulierten Branchen erzielen typischerweise Automatisierungsraten von über 90 % bei Dokumenten-Workflows – mit feldgranularen Audit Trails, die automatisch für jedes Dokument generiert werden und die Annex-III-Logging-Anforderungen unterstützen.

Das vollständige Parashift Annex-III-Compliance-Mapping finden Sie hier. Dieselbe Architektur, die Deployer-Pflichten nach dem EU AI Act unterstützt, gilt direkt für jeden der oben beschriebenen Use Cases.

Handeln Sie jetzt

Für CISOs und Compliance Manager lautet die operative Frage nicht, ob diese Pflichten gelten. Es geht darum, ob die aktuelle Dokumentenverarbeitungsinfrastruktur sie unterstützen kann. Falls nicht, können wir helfen, die Lücken zu schliessen. Eine souveräne, zweckgebaute Dokumenten-KI-Architektur ist der praktischste Weg zu einer audit-fähigen Compliance-Postur.

Ist Ihre Dokumentenverarbeitungs-Pipeline bereit für die Annex-III-Durchsetzung? In 30 Minuten zeigen wir Ihnen, wie Parashift Ihnen hilft, etwaige Lücken zu schliessen.

Jetzt kostenlose Beratung buchen →

Hinweis: Dieser Artikel spiegelt Paras­hifts Verständnis des EU AI Acts vom Juni 2026 wider. Er dient ausschliesslich Informationszwecken und stellt keine Rechtsberatung dar. Für verbindliche Compliance-Positionen konsultieren Sie bitte spezialisierte Rechtsberatung.

Related Posts