Conveso LogoMeine Akademie

Lektion 2 von 4

Die vier Risikoklassen — richtig einordnen

Risiko ist nicht gleich Risiko

Der EU AI Act teilt KI-Systeme in vier Risikoklassen ein. Der Aufwand, den ein Unternehmen betreiben muss, steigt mit der Klasse. In dieser Lektion lernen Sie, wie die Einteilung funktioniert und wie Sie eigene Anwendungen richtig einordnen.

Klasse 1: Verbotene KI-Praktiken (Art. 5)

Bestimmte KI-Anwendungen sind in der EU grundsätzlich untersagt. Die wichtigsten Beispiele:

  • Social Scoring durch staatliche Stellen, das Bürger auf Basis ihres Verhaltens oder persönlicher Merkmale in gesellschaftlichen Bereichen ungleich behandelt.
  • Manipulative KI-Systeme, die vulnerable Gruppen (Kinder, Personen mit Behinderung, ältere Menschen) in einer Weise ausnutzen, die ihnen erheblich schadet.
  • Echtzeit-Fernidentifizierung per Gesichtserkennung im öffentlichen Raum durch Strafverfolgungsbehörden, außer in eng umrissenen Ausnahmen.
  • Prädiktive Strafverfolgung, die allein auf Profiling basiert.
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, außer aus Sicherheits- oder medizinischen Gründen.
  • Biometrische Kategorisierung zur Ableitung sensibler Merkmale wie Ethnie, politischer Meinung oder sexueller Orientierung.

Für die allermeisten Unternehmen ist diese Klasse nicht relevant — sie betrifft Anwendungen, die in der privaten Wirtschaft kaum vorkommen. Trotzdem lohnt ein kurzer Abgleich: Werden in Ihrem Betrieb Emotionen von Mitarbeitenden ausgewertet (z. B. in Call-Center-Software)? Wenn ja, ist das ein heißes Eisen.

Klasse 2: Hochrisiko-KI-Systeme

Hochrisiko-Systeme sind das Herzstück des EU AI Act. Anhang III der Verordnung listet die Bereiche, in denen KI als Hochrisiko gilt:

  1. Biometrie (außerhalb der verbotenen Anwendungen)
  2. Kritische Infrastrukturen (z. B. Stromversorgung, Wasserversorgung, Verkehr)
  3. Allgemeine und berufliche Bildung (Prüfungsbewertung, Zuweisung zu Bildungseinrichtungen)
  4. Beschäftigung und Personalmanagement (automatisierte Bewerberauswahl, Leistungsbewertung)
  5. Wesentliche private und öffentliche Dienstleistungen (Kreditwürdigkeitsprüfung, Zugang zu Sozialleistungen, Notrufsysteme)
  6. Strafverfolgung
  7. Migration, Asyl, Grenzkontrolle
  8. Justiz und demokratische Prozesse

Für den Mittelstand relevant ist vor allem Bereich 4 (Personalentscheidungen). Wer KI-Tools einsetzt, die Bewerbungen automatisiert vorsortieren, Leistungsbeurteilungen durchführen oder Kündigungsempfehlungen aussprechen, fällt potenziell in diese Klasse.

Für Betreiber von Hochrisiko-Systemen bedeutet das unter anderem:

  • Nutzung nach Anbieter-Vorgaben
  • Monitoring während des Betriebs
  • Menschliche Aufsicht
  • Dokumentation der Nutzung
  • Information der betroffenen Personen
  • In einigen Fällen: Durchführung einer Grundrechte-Folgenabschätzung

Für Anbieter kommen zusätzlich Konformitätsbewertung, technische Dokumentation, Risiko-Management, Datenqualitätssicherung und CE-Kennzeichnung dazu.

Klasse 3: Begrenztes Risiko — Transparenzpflichten

Für KI-Systeme mit begrenztem Risiko gilt eine Transparenzpflicht:

  • Chatbots: Nutzer müssen erkennen können, dass sie mit einer KI kommunizieren — nicht mit einem Menschen.
  • Generierte Bilder, Texte, Videos: Deepfakes und KI-generierte Inhalte müssen als solche gekennzeichnet sein.
  • Emotionserkennung oder biometrische Kategorisierung (außerhalb verbotener Anwendungen): Betroffene müssen informiert werden.

Für den Mittelstand ist die Chatbot-Transparenz die wichtigste Pflicht dieser Klasse. Wer einen KI-Assistenten auf der Website oder im Support betreibt, muss transparent machen, dass es sich um KI handelt. Ein einfacher Hinweis im Chat genügt in der Regel.

Klasse 4: Minimales Risiko

Der Großteil heute eingesetzter KI-Systeme fällt in diese Klasse: Produktivitäts-Assistenten, E-Mail-Tools, Textverarbeitung mit KI-Funktionen, Suchmaschinen, Spam-Filter, viele Auswertungstools. Für diese Anwendungen sieht der EU AI Act keine besonderen Pflichten vor.

Achtung: "Kein besonderes Pflichtenprofil" heißt nicht "keine Pflichten". Artikel 4 (KI-Literacy) gilt unabhängig von der Risikoklasse für jede KI-Nutzung. Auch DSGVO, Urheberrecht und berufliche Sorgfaltspflichten greifen weiterhin.

So ordnen Sie Ihre Anwendungen ein

In der Praxis hilft ein einfaches Vorgehen:

  1. KI-Register anlegen. Listen Sie alle KI-Anwendungen, die bei Ihnen eingesetzt oder eingeführt werden sollen.
  2. Zweck prüfen. Wofür wird das System eingesetzt? Welche Entscheidungen oder Vorgänge beeinflusst es?
  3. Anhang III abgleichen. Fällt der Einsatzbereich unter einen der acht Hochrisiko-Bereiche?
  4. Transparenzpflicht prüfen. Interagiert das System direkt mit Kunden (Chatbot)? Erzeugt es Bilder, Texte oder Videos, die als "echt" wahrgenommen werden könnten?
  5. Ergebnis dokumentieren. Halten Sie die Einordnung und die Begründung schriftlich fest.

Für die meisten mittelständischen Unternehmen führt diese Prüfung zu einem klaren Ergebnis: Einige wenige Anwendungen haben Transparenzpflichten, der Großteil fällt in minimales Risiko. Nur selten taucht eine Hochrisiko-Anwendung auf — meist im HR-Bereich.

Was Sie aus dieser Lektion mitnehmen

Der EU AI Act arbeitet mit vier Risikoklassen: verboten, hoch, begrenzt, minimal. Die Pflichten wachsen mit der Risikoklasse. Für die meisten Mittelständler ist Transparenz bei Chatbots der sichtbarste Pflichtpunkt — neben der universalen KI-Literacy nach Art. 4, um den es im nächsten Kapitel geht.

Wissenscheck

Welche KI-Anwendung ist nach Art. 5 des EU AI Act grundsätzlich verboten?

Welche KI-Anwendung gehört typischerweise zur Hochrisiko-Klasse?

Zurück