Transparenzhinweis: Dieser Artikel ist auf der Website von SkillSprinters veroeffentlicht. SkillSprinters ist Anbieter einer KI-Weiterbildung und steht damit in einem Wettbewerbsverhaeltnis zu einigen der hier genannten Anbieter bzw. deren Geschaeftsfeldern. Wir bemuehen uns um eine faire Darstellung anhand oeffentlich zugaenglicher Informationen, sind aber nicht neutral. Alle Angaben zu Preisen und Funktionen beruhen auf oeffentlich zugaenglichen Herstellerangaben. Stand der Recherche: April 2026, Angaben ohne Gewaehr. Verbindlich sind ausschliesslich die Angaben der jeweiligen Anbieter.
Der EU AI Act reguliert KI-Systeme nach ihrem Risikopotenzial. Je höher das Risiko, desto strenger die Auflagen. Für Unternehmen ist die zentrale Frage: In welche Risikoklasse fallen die KI-Tools, die wir einsetzen? Dieser Artikel erklärt die vier Risikoklassen des EU AI Act, zeigt konkrete Beispiele aus dem Unternehmensalltag und hilft Ihnen bei der Einstufung Ihrer KI-Systeme.
Das Wichtigste in Kürze
- Der EU AI Act teilt KI-Systeme in vier Risikoklassen ein: inakzeptabel, hoch, begrenzt und minimal.
- Die meisten KI-Tools im Unternehmensalltag (ChatGPT, Copilot, Automatisierung) fallen unter minimales Risiko und haben keine spezifischen Pflichten.
- Hochrisiko-KI betrifft vor allem Recruiting-Software, Kreditbewertung und sicherheitskritische Systeme. Hier gelten umfangreiche Dokumentations- und Überwachungspflichten.
- Transparenzpflichten gelten für Chatbots und KI-generierte Inhalte, unabhängig vom Risikoniveau.
- Die KI-Kompetenzpflicht nach Artikel 4 gilt für alle Unternehmen, die KI einsetzen, egal welche Risikoklasse.
- Die richtige Einstufung Ihrer KI-Systeme ist der erste Schritt zur Compliance. Unterstützung bietet eine Weiterbildung zum Digitalisierungsmanager.
Die vier Risikoklassen im Detail
Stufe 1: Inakzeptables Risiko (verboten)
Bestimmte KI-Anwendungen sind in der EU komplett verboten. Das Verbot gilt seit dem 2. Februar 2025.
Verbotene Praktiken:
- Social Scoring durch Behörden: Bewertung von Personen anhand ihres Sozialverhaltens mit nachteiligen Konsequenzen.
- Manipulative KI: Systeme, die menschliches Verhalten durch unterschwellige Techniken beeinflussen, um Entscheidungen zu verzerren.
- Ausnutzung von Schwächen: KI, die gezielt das Alter, eine Behinderung oder die soziale Lage von Personen ausnutzt.
- Biometrische Echtzeit-Fernidentifikation im öffentlichen Raum durch Strafverfolgungsbehörden (mit eng definierten Ausnahmen).
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen.
- Vorhersagende Polizeiarbeit ausschließlich auf Basis von Profiling.
- Unkontrolliertes Scraping von Gesichtsbildern aus dem Internet für biometrische Datenbanken.
Relevanz für Unternehmen: Gering. Die verbotenen Praktiken betreffen vor allem staatliche Stellen und Spezialanwendungen. Kein seriöses Unternehmens-Tool fällt in diese Kategorie. Trotzdem sollten Sie prüfen, ob ein KI-System indirekt Emotionserkennung nutzt, etwa in der Personalauswahl.
Stufe 2: Hohes Risiko (strenge Pflichten)
Hochrisiko-KI-Systeme dürfen eingesetzt werden, unterliegen aber umfangreichen Anforderungen. Der EU AI Act definiert zwei Wege, über die ein System als Hochrisiko eingestuft wird:
Weg 1: Sicherheitskomponente in regulierten Produkten (Anhang I)
KI-Systeme, die als Sicherheitskomponente in bereits regulierten Produkten eingesetzt werden, z. B. in Medizinprodukten, Maschinen, Fahrzeugen oder Aufzügen. Diese Pflichten greifen ab August 2027.
Weg 2: Eigenständige Hochrisiko-Bereiche (Anhang III)
KI-Systeme in folgenden Bereichen gelten als Hochrisiko:
| Bereich | Beispiele |
|---|---|
| Biometrie | Identifikation, Kategorisierung, Emotionserkennung (soweit erlaubt) |
| Kritische Infrastruktur | KI in Energie, Wasser, Verkehr, digitaler Infrastruktur |
| Bildung und Ausbildung | Zugangsentscheidungen, Leistungsbewertung, Prüfungsüberwachung |
| Beschäftigung und Personalmanagement | Bewerber-Screening, KI-gestützte Personalauswahl, Leistungsbewertung |
| Zugang zu Dienstleistungen | Kreditwürdigkeitsprüfung, Risikobewertung bei Versicherungen |
| Strafverfolgung | Lügenerkennung, Risikoeinschätzung, Beweismittelbewertung |
| Migration und Grenzschutz | Risikoanalyse, Dokumentenprüfung |
| Justiz und demokratische Prozesse | Rechtsauslegung, Wahlbeeinflussung |
Besonders relevant für Unternehmen: Der Bereich Beschäftigung und Personalmanagement. Wenn Sie eine KI-Software für Bewerber-Screening einsetzen, die eigenständig Kandidaten filtert, bewertet oder rankt, handelt es sich wahrscheinlich um ein Hochrisiko-System.
Ausnahmereglung: Ein KI-System in Anhang III gilt nicht als Hochrisiko, wenn es keine wesentliche Entscheidung trifft. Wenn die KI nur eine Vorarbeit leistet und ein Mensch die finale Entscheidung trifft (ohne sich blind auf die KI zu verlassen), kann die Einstufung entfallen. Diese Ausnahme erfordert aber eine sorgfältige Prüfung.
Pflichten für Hochrisiko-KI
Für Anbieter (Entwickler):
- Risikomanagementsystem einrichten und dokumentieren
- Datenqualität sicherstellen (keine Verzerrungen in den Trainingsdaten)
- Technische Dokumentation erstellen
- Automatisches Logging implementieren
- Transparenz gegenüber Betreibern (Gebrauchsanweisung)
- Menschliche Aufsicht ermöglichen
- Genauigkeit, Robustheit und Cybersicherheit gewährleisten
- CE-Kennzeichnung und EU-Konformitätserklärung
- Registrierung in der EU-Datenbank
Für Betreiber (Unternehmen, die das System einsetzen):
- System gemäß Gebrauchsanweisung betreiben
- Menschliche Aufsicht durch qualifiziertes Personal sicherstellen
- Eingabedaten, soweit relevant, auf Qualität prüfen
- Betrieb überwachen und Vorfälle melden
- Automatisch generierte Protokolle mindestens 6 Monate aufbewahren
- Betroffene Personen informieren (z. B. Bewerber über KI-gestützte Auswahl)
- Bei bestimmten Betreibern: Grundrechtfolgenabschätzung durchführen
Stufe 3: Begrenztes Risiko (Transparenzpflichten)
Diese Kategorie betrifft KI-Systeme, bei denen Transparenz das zentrale Thema ist:
Chatbots und interaktive KI: Personen müssen darüber informiert werden, dass sie mit einem KI-System interagieren. Ausnahme: Wenn es aus dem Kontext offensichtlich ist.
Synthetische Inhalte: KI-generierte oder manipulierte Texte, Bilder, Audio- oder Videoinhalte, die veröffentlicht werden, müssen als KI-generiert gekennzeichnet werden. Das betrifft auch Deepfakes und KI-bearbeitete Fotos.
Emotionserkennung und biometrische Kategorisierung: Personen müssen informiert werden, wenn solche Systeme eingesetzt werden (soweit sie nicht unter die verbotenen Praktiken fallen).
Praktische Umsetzung:
- Ihr Website-Chatbot braucht einen Hinweis wie: "Sie kommunizieren mit einem KI-System."
- KI-generierte Produktbilder sollten als solche gekennzeichnet werden.
- Automatisierte E-Mail-Antworten, die von KI generiert werden, sollten erkennbar sein.
Stufe 4: Minimales Risiko (keine besonderen Pflichten)
Die große Mehrheit aller KI-Anwendungen im Unternehmensalltag fällt in diese Kategorie. Dazu gehören:
- Textgenerierung: ChatGPT, Claude, Gemini für E-Mails, Berichte, Marketingtexte
- Übersetzungen: DeepL, Google Translate
- Datenanalyse: KI-gestützte Business Intelligence, Dashboards
- Automatisierung: n8n, Zapier, Make mit KI-Komponenten
- Coding-Assistenten: GitHub Copilot, Cursor
- Bilderzeugung: DALL-E, Midjourney (für interne Nutzung)
- Sprachassistenten: Siri, Alexa (für interne Zwecke)
- Spam-Filter und Virenscanner mit KI-Komponenten
Für diese Systeme gibt es keine spezifischen Pflichten aus dem AI Act. Es gelten aber weiterhin:
- Die KI-Kompetenzpflicht nach Artikel 4 (Mitarbeiter müssen die Tools verstehen)
- Die DSGVO (wenn personenbezogene Daten verarbeitet werden)
- Branchenspezifische Regulierung (falls zutreffend)
Entscheidungsbaum: So stufen Sie Ihre KI-Systeme ein
Für jedes KI-System in Ihrem Unternehmen können Sie folgende Fragen durchgehen:
Frage 1: Nutzt das System verbotene Praktiken (Social Scoring, unterschwellige Manipulation, Emotionserkennung am Arbeitsplatz)? Wenn ja: Nicht einsetzen.
Frage 2: Ist das System eine Sicherheitskomponente in einem regulierten Produkt (Medizinprodukt, Maschine, Fahrzeug)? Wenn ja: Hochrisiko (Anhang I, ab August 2027).
Frage 3: Wird das System in einem der Hochrisiko-Bereiche nach Anhang III eingesetzt (Recruiting, Kreditprüfung, Bildung, kritische Infrastruktur)? Wenn ja: Prüfen Sie, ob die Ausnahme greift (keine wesentliche Entscheidung). Falls nicht: Hochrisiko.
Frage 4: Interagiert das System mit Personen (Chatbot) oder erzeugt es synthetische Inhalte? Wenn ja: Begrenztes Risiko (Transparenzpflichten).
Frage 5: Keine der obigen Fragen trifft zu? Minimales Risiko.
Praxisbeispiele: Typische KI-Tools im Unternehmen
| KI-System | Einsatzzweck | Risikoklasse | Pflichten |
|---|---|---|---|
| ChatGPT Team | Marketing-Texte, interne Recherche | Minimal | Artikel 4 (KI-Kompetenz), DSGVO |
| Microsoft Copilot | E-Mails, Dokumente, Tabellen | Minimal | Artikel 4, DSGVO |
| Website-Chatbot (Custom GPT) | Kundenanfragen beantworten | Begrenzt | KI-Kennzeichnung, Artikel 4 |
| HireVue / Personio AI | Bewerber-Vorauswahl | Hoch | Volle Hochrisiko-Pflichten |
| KI-Kreditscoring | Bonitätsprüfung | Hoch | Volle Hochrisiko-Pflichten |
| n8n + Claude | Rechnungsverarbeitung | Minimal | Artikel 4, DSGVO |
| DeepL | Übersetzungen | Minimal | Artikel 4 |
| GitHub Copilot | Code-Unterstützung | Minimal | Artikel 4 |
| KI-generierte Produktbilder | Marketing, E-Commerce | Begrenzt | Kennzeichnung bei Veröffentlichung |
Was Unternehmen jetzt tun sollten
1. KI-Inventar erstellen: Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen eingesetzt werden. Vergessen Sie nicht die Tools, die einzelne Mitarbeiter auf eigene Initiative nutzen.
2. Risikoklasse bestimmen: Nutzen Sie den Entscheidungsbaum oben, um jedes System einzustufen.
3. Handlungsbedarf ableiten: Für Hochrisiko-Systeme: Compliance-Anforderungen prüfen und umsetzen. Für alle Systeme: KI-Kompetenz sicherstellen.
4. Schulung planen: Die Weiterbildung zum Digitalisierungsmanager vermittelt praxisnah, wie Sie KI-Systeme klassifizieren, Risiken bewerten und Compliance-Prozesse aufsetzen. 4 Monate, komplett online, DEKRA-zertifiziert.
Häufige Fragen
Gilt die Risikoklassifizierung auch für KI-Systeme aus den USA?
Ja. Der EU AI Act gilt für alle KI-Systeme, die in der EU eingesetzt werden, unabhängig davon, wo sie entwickelt wurden. Wenn Sie ein KI-Tool eines amerikanischen Anbieters nutzen, müssen Sie als Betreiber die jeweiligen Pflichten einhalten. Der Anbieter hat seinerseits Pflichten, wenn er sein Produkt auf dem EU-Markt anbietet.
Kann sich die Risikoklasse eines KI-Systems ändern?
Ja. Wenn Sie ein KI-System in einem neuen Kontext einsetzen, kann sich die Einstufung ändern. Beispiel: ChatGPT für Marketingtexte ist minimales Risiko. Wenn Sie ChatGPT aber über eine API in ein System integrieren, das eigenständig Bewerber filtert, wird es zum Hochrisiko-System. Prüfen Sie die Einstufung bei jeder Änderung des Einsatzzwecks.
Was passiert, wenn ich ein Hochrisiko-System nutze, ohne die Pflichten zu erfüllen?
Ab August 2026 drohen Geldbußen von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Für KMU gelten reduzierte Obergrenzen, aber auch diese können existenzbedrohend sein. Neben den Bußgeldern riskieren Sie Marktüberwachungsmaßnahmen, die den Einsatz des Systems untersagen können.
Muss ich ein KI-Register führen?
Ja, wenn Sie Hochrisiko-KI-Systeme einsetzen. Diese müssen in der EU-Datenbank registriert werden (durch den Anbieter). Als Betreiber sind Sie verpflichtet, den Einsatz zu dokumentieren und Protokolle aufzubewahren. Auch für Nicht-Hochrisiko-Systeme empfiehlt sich ein internes KI-Register als Best Practice und zum Nachweis der Artikel-4-Compliance.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.