KI-Risikoklassen nach EU AI Act: hoch, begrenzt, minimal erklärt

Der EU AI Act reguliert KI-Systeme nach ihrem Risikopotenzial. Je höher das Risiko, desto strenger die Auflagen. Für Unternehmen ist die zentrale Frage: In welche Risikoklasse fallen die KI-Tools, die wir einsetzen?

Das Wichtigste in Kürze

Der EU AI Act teilt KI-Systeme in vier Risikoklassen ein: inakzeptabel, hoch, begrenzt und minimal.
Die meisten KI-Tools im Unternehmensalltag fallen unter minimales Risiko.
Hochrisiko-KI betrifft vor allem Recruiting-Software, Kreditbewertung und sicherheitskritische Systeme.
Transparenzpflichten gelten für Chatbots und KI-generierte Inhalte, unabhängig vom Risikoniveau.
Die KI-Kompetenzpflicht nach Artikel 4 gilt für alle Unternehmen, egal welche Risikoklasse.
Unterstützung bei der Einstufung bietet eine Weiterbildung zum Digitalisierungsmanager (IHK).

Schnellcheck: Nutzen Sie KI-Software im Recruiting, die eigenständig Bewerber filtert? Dann haben Sie wahrscheinlich ein Hochrisiko-System. Details und den vollständigen Entscheidungsbaum finden Sie weiter unten.

Stufe 1: Inakzeptables Risiko (verboten)

Social Scoring, manipulative KI, Emotionserkennung am Arbeitsplatz, biometrische Echtzeit-Fernidentifikation im öffentlichen Raum. Diese Systeme sind seit Februar 2025 in der EU verboten. Für die meisten Unternehmen irrelevant.

Stufe 2: Hohes Risiko (strenge Pflichten)

KI-Systeme in sensiblen Bereichen:

Bereich	Beispiele
Beschäftigung/Personal	Bewerber-Screening, KI-gestützte Personalauswahl, Leistungsbewertung
Kritische Infrastruktur	KI in Energie, Wasser, Verkehr
Bildung	Zugangsentscheidungen, Leistungsbewertung, Prüfungsüberwachung
Finanzdienstleistungen	Kreditwürdigkeitsprüfung, Risikobewertung bei Versicherungen

Pflichten für Betreiber: System gemäß Gebrauchsanweisung betreiben, menschliche Aufsicht durch qualifiziertes Personal, Eingabedaten prüfen, Betrieb überwachen, Protokolle mindestens 6 Monate aufbewahren, Betroffene informieren.

Stufe 3: Begrenztes Risiko (Transparenzpflichten)

Chatbots müssen als KI-System erkennbar sein. KI-generierte Inhalte bei Veröffentlichung kennzeichnen. Emotionserkennung und biometrische Kategorisierung erfordern Information der Betroffenen.

Stufe 4: Minimales Risiko (keine besonderen Pflichten)

Die große Mehrheit aller KI-Anwendungen: Textgenerierung (ChatGPT, Claude), Übersetzungen (DeepL), Datenanalyse, Automatisierung (n8n, Zapier), Coding-Assistenten (GitHub Copilot). Keine spezifischen Pflichten, aber Artikel 4 (KI-Kompetenz) und DSGVO gelten weiterhin.

Praxisbeispiele: Typische KI-Tools einstufen

KI-System	Einsatzzweck	Risikoklasse
ChatGPT Team	Marketing-Texte, Recherche	Minimal
Microsoft Copilot	E-Mails, Dokumente	Minimal
Website-Chatbot	Kundenanfragen	Begrenzt
HireVue / Personio AI	Bewerber-Vorauswahl	Hoch
KI-Kreditscoring	Bonitätsprüfung	Hoch
n8n + Claude	Rechnungsverarbeitung	Minimal
DeepL	Übersetzungen	Minimal

Entscheidungsbaum: So stufen Sie Ihre KI-Systeme ein

Nutzt das System verbotene Praktiken? → Nicht einsetzen.
Ist es eine Sicherheitskomponente in einem regulierten Produkt? → Hochrisiko (ab August 2027).
Wird es in einem Hochrisiko-Bereich nach Anhang III eingesetzt? → Prüfen, ob Ausnahme greift. Falls nicht: Hochrisiko.
Interagiert es mit Personen oder erzeugt synthetische Inhalte? → Begrenztes Risiko.
Keine der obigen Fragen trifft zu? → Minimales Risiko.

Was Unternehmen jetzt tun sollten

1. KI-Inventar erstellen. Alle KI-Systeme auflisten, auch die, die einzelne Mitarbeiter auf eigene Initiative nutzen.

2. Risikoklasse bestimmen. Den Entscheidungsbaum oben für jedes System durchgehen.

3. Handlungsbedarf ableiten. Für Hochrisiko-Systeme: Compliance-Anforderungen umsetzen. Für alle: KI-Kompetenz sicherstellen.

4. Schulung planen. Die Weiterbildung zum Digitalisierungsmanager (IHK) vermittelt praxisnah, wie Sie KI-Systeme klassifizieren und Compliance-Prozesse aufsetzen. DEKRA-zertifiziert, 4 Monate, komplett online.

Häufige Fragen

Gilt die Risikoklassifizierung auch für KI-Systeme aus den USA?

Ja. Der EU AI Act gilt für alle KI-Systeme, die in der EU eingesetzt werden, unabhängig davon, wo sie entwickelt wurden. Wenn Sie ein KI-Tool eines amerikanischen Anbieters nutzen, müssen Sie als Betreiber die jeweiligen Pflichten einhalten.

Kann sich die Risikoklasse eines KI-Systems ändern?

Ja. Wenn Sie ein KI-System in einem neuen Kontext einsetzen, kann sich die Einstufung ändern. Beispiel: ChatGPT für Marketingtexte ist minimales Risiko. Wenn Sie ChatGPT aber über eine API in ein System integrieren, das eigenständig Bewerber filtert, wird es zum Hochrisiko-System.

Was passiert, wenn ich ein Hochrisiko-System nutze, ohne die Pflichten zu erfüllen?

Ab August 2026 drohen Geldbußen von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes. Für KMU gelten reduzierte Obergrenzen. Neben den Bußgeldern riskieren Sie Marktüberwachungsmaßnahmen, die den Einsatz des Systems untersagen können.

Muss ich ein KI-Register führen?

Ja, wenn Sie Hochrisiko-KI-Systeme einsetzen. Als Betreiber sind Sie verpflichtet, den Einsatz zu dokumentieren und Protokolle aufzubewahren. Auch für Nicht-Hochrisiko-Systeme empfiehlt sich ein internes KI-Register als Best Practice.

KI-Kompetenz für Ihr Team aufbauen?

Die Weiterbildung zum Digitalisierungsmanager (IHK) erfüllt die Anforderungen des EU AI Act Artikel 4. DEKRA-zertifiziert, 100 % förderbar.

Weiterbildung ansehen WhatsApp