AI Act Risikoklassen einfach erklärt

Der EU AI Act regelt KI nicht über einen Kamm, sondern nach Risiko. Je höher das Risiko einer Anwendung für Menschen und Grundrechte, desto strenger die Regeln. Es gibt vier Stufen. Wer weiß, in welche Stufe die eigene KI fällt, weiß auch, welche Pflichten gelten. Dieser Artikel ordnet die typischen Anwendungen im Mittelstand ein.

Die vier Risikoklassen

Inakzeptables Risiko (verboten)

Manche KI ist in der EU schlicht verboten, weil sie eine unannehmbare Gefahr für Rechte und Sicherheit darstellt. Dazu zählen Social Scoring, manipulative Systeme und die Emotionserkennung am Arbeitsplatz ohne Zustimmung der Beschäftigten. Solche Systeme mussten bereits seit dem 2. Februar 2025 abgeschaltet werden.

Hohes Risiko (streng reguliert)

Hierunter fallen Systeme in sensiblen Bereichen, bei denen Fehler gravierende Folgen für Einzelne haben können. Für den Mittelstand sind vor allem zwei Fälle relevant. Erstens KI im Personalbereich, etwa die automatisierte Auswertung von Bewerbungen oder Entscheidungen über Beförderung und Kündigung. Zweitens KI zur Bewertung der Kreditwürdigkeit von Personen. Wer solche Systeme nur einkauft und nutzt, ist Betreiber und muss vor allem die Nutzung nach Gebrauchsanweisung sicherstellen, menschliche Aufsicht gewährleisten und Protokolle aufbewahren.

Begrenztes Risiko (Transparenzpflicht)

In diese Stufe fallen Systeme, die mit Menschen interagieren oder Inhalte erzeugen. Das häufigste Beispiel im Mittelstand ist der Kundenservice-Chatbot. Hier gilt eine Transparenzpflicht. Nutzer müssen erfahren, dass sie mit einer KI sprechen. Diese Pflichten gelten ab dem 2. August 2026.

Minimales Risiko (weitgehend frei)

Die große Mehrheit der KI im Unternehmensalltag fällt hierunter. Spamfilter, einfache Übersetzungstools, Rechtschreibkorrektur oder Empfehlungssysteme bergen kaum Risiko. Für sie gibt es keine zusätzlichen Pflichten an das System selbst.

Wichtig unabhängig von der Klasse

Eine Pflicht gilt für alle Stufen, von der Hochrisiko-KI bis zum simplen Spamfilter. Das ist die KI-Kompetenzpflicht nach Art. 4. Jedes Unternehmen muss sicherstellen und nachweisen können, dass Mitarbeitende, die mit KI arbeiten, ausreichend geschult sind. Mehr dazu im Artikel zur KI-Schulungspflicht.

Was die Risikoklasse für die Fristen bedeutet

Die Verbote gelten seit Februar 2025. Die Transparenzpflichten für begrenztes Risiko greifen ab dem 2. August 2026. Bei den Hochrisiko-Pflichten hat die EU im Juni 2026 eine Verschiebung beschlossen. Damit verschieben sich die Pflichten für Hochrisiko-Systeme nach Anhang III voraussichtlich auf den 2. Dezember 2027.

So bestimmen Sie Ihre Klasse

Sinnvoll ist, jedes genutzte KI-System einmal durchzugehen und einzuordnen. Diese Einordnung ist die Grundlage für alle weiteren Pflichten. Eine Schritt-für-Schritt-Anleitung dazu finden Sie in unserer KI-Compliance Checkliste. Welche Pflichten dann je Klasse folgen, behandelt der Artikel zu den EU AI Act Pflichten.

Häufige Fragen

Wie viele Risikoklassen gibt es im EU AI Act?
Es gibt vier. Inakzeptables Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko.
In welche Klasse fällt ein Kundenservice-Chatbot?
In der Regel in die Stufe begrenztes Risiko. Es gilt eine Transparenzpflicht, das heißt, Nutzer müssen erkennen, dass sie mit einer KI sprechen.
Ist KI im Recruiting Hochrisiko-KI?
Nach unserem Verständnis der Verordnung fällt die automatisierte Bewerberauswahl voraussichtlich unter Anhang III und damit in die Hochrisiko-Klasse. Eine Einzelfallprüfung ist sinnvoll.
Fällt ChatGPT unter eine Risikoklasse?
Allgemeine Sprachmodelle werden gesondert behandelt. Maßgeblich ist der konkrete Einsatzzweck. Für die meisten Büroanwendungen liegt das Risiko niedrig, die Schulungspflicht aus Art. 4 gilt aber trotzdem.
Was passiert mit verbotener KI?
Sie ist in der EU nicht erlaubt und musste bereits seit Februar 2025 außer Betrieb genommen werden. Verstöße ziehen die höchsten Bußgelder nach sich.

Unsicher, in welche Klasse Ihre KI-Systeme fallen. Als externer KI-Beauftragter nehmen wir die Einordnung für Sie vor und leiten daraus die konkreten Pflichten ab.

Externer KI-Beauftragter ansehen

Binarsolve erbringt keine Rechtsberatung im Sinne des RDG. Unsere Einordnungen sind eine betriebliche Arbeitsgrundlage und ersetzen keine juristische Einzelfallprüfung.