Die 4 Risikoklassen des EU AI Act — Eine praxisnahe Analyse

Wussten Sie, dass Ihr Chatbot bereits heute möglicherweise reguliert wird? Verstehen Sie die neuen Risikoklassen.

1. Awareness: Warum Risikoklassen für Ihr Unternehmen wichtig sind

Stellen Sie sich folgendes Szenario vor: Eine mittelständische Maschinenbaufirma mit 120 Mitarbeitern nutzt KI-Anwendungen in verschiedenen Bereichen — ein Chatbot auf der Website beantwortet Kundenanfragen, ein Personalauswahlsystem filtert Bewerbungen vor, und in der Produktion helfen prädiktive Algorithmen bei der Wartungsplanung. Der Geschäftsführer ist stolz auf die Digitalisierungsfortschritte seiner Firma. Doch dann erhält er eine beunruhigende Nachricht: Einige seiner KI-Systeme könnten unter den EU AI Act fallen — mit erheblichen Compliance-Anforderungen.

Diese Geschichte ist kein Einzelfall. In zahlreichen mittelständischen Unternehmen sind heute KI-Systeme im Einsatz, ohne dass eine klare Einordnung ihrer regulatorischen Implikationen erfolgt ist. Und hier kommt der risikobasierte Ansatz des EU AI Act ins Spiel.

„Die meisten KMUs unterschätzen die Tragweite der KI-Klassifizierung. Es geht nicht darum, ob Sie überhaupt KI einsetzen, sondern welche Risiken damit verbunden sind“, erklärt unsere Expertin für KI-Compliance. „Ein und dasselbe KI-System kann je nach Einsatzkontext in unterschiedliche Risikoklassen fallen.“

Der risikobasierte Ansatz ist das zentrale Ordnungsprinzip des EU AI Act. Anders als bei der DSGVO, die für alle personenbezogenen Daten gilt, differenziert der AI Act nach dem Gefährdungspotenzial der eingesetzten Technologie. Dies führt zu vier klar definierten Risikoklassen mit unterschiedlichen Rechtsfolgen:

• Unannehmbares Risiko: Verbotene KI-Praktiken
• Hohes Risiko: Erlaubte KI mit strengen Auflagen
• Begrenztes Risiko: KI mit Transparenzpflichten
• Minimales Risiko: KI ohne spezifische Anforderungen

Für mittelständische Unternehmen und insbesondere für Organisationen im Healthcare-Bereich ist das Verständnis dieser Kategorien kein akademisches Unterfangen, sondern entscheidend für ihre Geschäftsstrategie. Warum? Weil sich aus der Risikoklasse direkt ableitet, ob Sie bestimmte KI-Anwendungen überhaupt einsetzen dürfen und welche Compliance-Maßnahmen Sie ergreifen müssen.

Bleiben Sie dran, um zu erfahren, welche Kriterien für die einzelnen Risikoklassen gelten und wie sie sich konkret auf Ihr Unternehmen auswirken können…

2. Assessment: Die vier Risikoklassen im Detail

Unannehmbares Risiko: Die roten Linien der KI-Nutzung

Die höchste Risikokategorie umfasst KI-Praktiken, die als grundsätzlich unvereinbar mit europäischen Werten gelten und daher verboten sind. Für mittelständische Unternehmen sind besonders relevant:

• Manipulative KI: Systeme, die unterschwellige Techniken nutzen, um das Verhalten von Menschen zu steuern oder deren freie Entscheidungsfindung zu untergraben. Ein Beispiel wäre eine Marketing-KI, die gezielt psychologische Schwachstellen ausnutzt, um Kaufentscheidungen zu manipulieren.
• Ausnutzung vulnerabler Gruppen: KI-Systeme, die Schwachstellen bestimmter Personengruppen aufgrund ihres Alters, einer Behinderung oder sozioökonomischen Situation ausnutzen. Dies betrifft etwa KI-gesteuerte Werbung, die speziell auf schutzbedürftige Zielgruppen abzielt.
• Emotionserkennung am Arbeitsplatz: Ein oft übersehener Aspekt ist das Verbot von KI zur Emotionserkennung in Arbeits- oder Bildungskontexten. Mittelständische Unternehmen, die etwa Software zur Stimmungsanalyse von Mitarbeitergesprächen einsetzen, bewegen sich hier bereits in verbotenem Terrain.

„Überraschend viele KMUs nutzen bereits KI-Anwendungen, die unter die Verbotsklausel fallen könnten — oft ohne es zu wissen“, warnt unser KI-Compliance-Experte. „Besonders im Marketing-Bereich sollten Unternehmen ihre Praktiken genau überprüfen.“

Hohes Risiko: Strenge Auflagen für sensitive Anwendungen

Die zweite Kategorie umfasst KI-Systeme, die zwar erlaubt sind, aber aufgrund ihres erheblichen Risikopotenzials strengen Auflagen unterliegen. Hierzu zählen insbesondere:

• KI in der Personalverwaltung: Algorithmen zur Bewerberauswahl, Beförderungsentscheidungen oder Mitarbeiterbewertung fallen typischerweise in diese Kategorie. Ein mittelständisches Unternehmen, das KI-basierte Tools zum CV-Screening einsetzt, muss künftig umfangreiche Dokumentations- und Testpflichten erfüllen.
• Healthcare-Anwendungen: Für mittelständische Unternehmen im Gesundheitssektor besonders relevant: Fast alle medizinischen KI-Anwendungen gelten als Hochrisiko. Dies betrifft nicht nur Diagnose-Tools, sondern auch Patientenverwaltungssysteme oder Ressourcenplanungssoftware mit KI-Komponenten.
• Zugang zu wesentlichen Dienstleistungen: KI-Systeme, die über den Zugang zu Krediten, Versicherungen oder anderen wesentlichen Diensten entscheiden, unterliegen ebenfalls strengen Auflagen.

Für diese Hochrisiko-Anwendungen wird ein umfassendes Maßnahmenpaket verpflichtend, darunter:

• Umfassende technische Dokumentation
• Risikomanagement-System über den gesamten Lebenszyklus
• Datenqualitätsmanagement
• Menschliche Aufsicht
• Genauigkeits- und Robustheitstests
• Konformitätsbewertung mit CE-Kennzeichnung

„Gerade für KMUs im Healthcare-Bereich werden diese Anforderungen eine erhebliche Herausforderung darstellen“, betont unsere Healthcare-KI-Spezialistin. „Die Verschränkung mit der Medizinprodukteverordnung und der DSGVO führt zu einem komplexen regulatorischen Geflecht.“

Begrenztes Risiko: Transparenzpflichten für interaktive Systeme

Die dritte Kategorie betrifft KI-Systeme, die zwar kein hohes Risiko darstellen, aber dennoch Transparenzpflichten unterliegen:

• Chatbots und virtuelle Assistenten: Wahrscheinlich die relevanteste Kategorie für viele KMUs. Wenn Ihr Unternehmen einen Chatbot auf der Website einsetzt, muss dieser sich künftig explizit als KI-System zu erkennen geben.
• Generative KI: Systeme, die Texte, Bilder oder Videos erzeugen können (wie etwa KI-generierte Marketinginhalte), müssen als KI-generiert gekennzeichnet werden.
• Deepfakes: KI-generierte oder manipulierte Medien, die reale Personen darstellen, benötigen einen eindeutigen Hinweis auf ihre künstliche Natur.

„Diese Kategorie wird viele mittelständische Unternehmen überraschen“, erläutert unser Digital-Marketing-Experte. „Besonders im Content-Marketing setzen immer mehr KMUs auf KI-generierte Texte und Bilder — hier werden Transparenzmarkierungen verpflichtend.“

Minimales Risiko: Freiraum für Innovation

Die vierte Kategorie umfasst KI-Anwendungen mit minimalem Risiko, die keinen spezifischen Anforderungen des AI Act unterliegen:

• KI-gestützte Spamfilter
• Einfache Empfehlungssysteme (z.B. Produktempfehlungen ohne tiefgreifende Personalisierung)
• Industrielle KI-Systeme ohne Personenbezug (z.B. Qualitätskontrolle in der Produktion)
• Einfache Automatisierungstools ohne wesentliche Entscheidungsbefugnisse

„Hier liegt ein großes, oft übersehenes Innovationspotenzial für den Mittelstand“, betont unser KI-Implementierungsexperte. „In diesen Bereichen können Unternehmen KI-Lösungen mit geringerem regulatorischen Aufwand einsetzen und testen.“

Diese Risikoklassen bilden das Fundament für eine verantwortungsvolle KI-Nutzung. Doch wie ordnen Sie Ihre eigenen KI-Systeme korrekt ein? Im folgenden Abschnitt stellen wir Ihnen eine methodische Herangehensweise vor…

3. Approach: Methodisches Vorgehen zur Risikoeinordnung

Die Einordnung Ihrer KI-Systeme in die richtige Risikoklasse erfordert einen strukturierten Ansatz. Wir haben eine praxiserprobte Methodik entwickelt, die sich besonders für mittelständische Unternehmen eignet:

Schritt 1: KI-Inventarisierung durchführen

Beginnen Sie mit einem vollständigen Inventar aller KI-Systeme in Ihrem Unternehmen. Dabei gilt es, auch „versteckte“ KI zu identifizieren:

• Offensichtliche KI-Anwendungen: Chatbots, digitale Assistenten, Bilderkennungssysteme
• Eingebettete KI: KI-Komponenten in Standardsoftware (CRM, ERP, HR-Tools)
• Zugekaufte Dienste: KI-gestützte Cloud-Services oder APIs
• Eigene Entwicklungen: Intern entwickelte Algorithmen und Modelle

Leitfragen für diese Inventur:

• Welche Systeme treffen automatisierte Entscheidungen?
• Welche Tools nutzen Algorithmen für Vorhersagen oder Empfehlungen?
• Welche Software verwendet Daten, um zu „lernen“ oder sich anzupassen?

„Übersehen Sie nicht die KI, die in Standardsoftware versteckt ist“, warnt unser IT-Stratege. „Viele Unternehmen nutzen bereits KI, ohne es zu wissen – etwa in moderner HR- oder CRM-Software.“

Schritt 2: Anwendungszweck und Kontext analysieren

Für jedes identifizierte KI-System müssen Sie nun den konkreten Anwendungszweck und -kontext bewerten:

• Betroffene Personen: Wer wird von der KI-Anwendung beeinflusst? Mitarbeiter? Kunden? Patienten?
• Entscheidungsgewalt: Trifft das System eigenständige Entscheidungen oder gibt es nur Empfehlungen?
• Auswirkungsbereich: Betrifft die Anwendung kritische Bereiche wie Gesundheit, Zugang zu Diensten oder Arbeitsverhältnisse?

Ein Praxisbeispiel: Eine KI zur Personalplanung im Krankenhaus könnte je nach Implementierung unterschiedlich eingestuft werden:

• Als Hochrisiko-KI, wenn sie eigenständig über Personalbesetzung entscheidet
• Als System mit begrenztem Risiko, wenn sie nur Vorschläge macht, die immer menschlich überprüft werden

Schritt 3: Systematische Risikoeinstufung vornehmen

Nun erfolgt die eigentliche Klassifizierung anhand der EU AI Act-Kriterien:

1. Verbots-Check: Prüfen Sie zunächst, ob das System unter die verbotenen Praktiken fällt (z.B. Verhaltensmanipulation, Social Scoring, Emotionserkennung am Arbeitsplatz).
2. Hochrisiko-Prüfung: Falls nicht verboten, prüfen Sie, ob es unter die acht definierten Hochrisikofelder fällt (Gesundheit, Bildung, Beschäftigung, etc.).
3. Transparenz-Check: Falls kein Hochrisiko vorliegt, prüfen Sie, ob es speziellen Transparenzpflichten unterliegt (z.B. Mensch-KI-Interaktion, generative Inhalte).
4. Rest-Einordnung: Alle verbleibenden Systeme fallen in die Kategorie „minimales Risiko“.

Wir haben für unsere Kunden eine praxisorientierte Checkliste entwickelt, die diesen Prozess vereinfacht und dokumentiert – elementar für die spätere Nachweisführung.

Schritt 4: Hosting-Optionen und technische Implementierung bewerten

Ein oft übersehener Aspekt ist die Frage des Hostings und der technischen Implementierung. Die Wahl zwischen Cloud-basierten und lokal gehosteten Lösungen hat erhebliche regulatorische Auswirkungen:

• Cloud-basierte KI-Dienste: Bei diesen ist in der Regel der Cloud-Anbieter für die Grundkonformität verantwortlich, während der Nutzer für den rechtskonformen Einsatz haftet.
• Lokal gehostete LLMs und KI-Systeme: Hier trägt das Unternehmen die volle Verantwortung für die Compliance, gewinnt aber mehr Kontrolle über Daten und Implementierung.

„Besonders für sensible Anwendungen im Healthcare-Bereich empfehlen wir lokale Hosting-Optionen“, erklärt unser Infrastruktur-Experte. „Die Kombination aus EU AI Act und DSGVO macht den Einsatz von US-Cloud-Diensten für Hochrisiko-KI zunehmend komplex.“

Für mittelständische Unternehmen im Gesundheitssektor entwickeln wir daher maßgeschneiderte, lokal gehostete KI-Lösungen, die von Grund auf compliant gestaltet sind.

4. Action: Praxisbeispiele und konkrete Maßnahmen

Die theoretische Einordnung ist wichtig – doch was bedeutet dies konkret für Ihren Unternehmensalltag? Lassen Sie uns einige typische Anwendungen in mittelständischen Unternehmen betrachten:

Fallbeispiel 1: Marketingautomatisierung (Minimales Risiko)

Ein mittelständischer Möbelhersteller nutzt KI für personalisierte E-Mail-Kampagnen. Das System analysiert Kundendaten und generiert individualisierte Produktempfehlungen.

Risikoeinstufung: Minimales Risiko, da keine erheblichen Auswirkungen auf Personen.

Erforderliche Maßnahmen:

• Einhaltung der DSGVO (betrifft Datenverarbeitung, nicht KI-spezifisch)
• Keine speziellen AI Act-Maßnahmen erforderlich
• Freiwillige Transparenz kann Vertrauen fördern

Fallbeispiel 2: Website-Chatbot (Begrenztes Risiko)

Ein Ingenieurbüro setzt einen KI-Chatbot ein, der potenzielle Kunden berät und Terminanfragen bearbeitet.

Risikoeinstufung: Begrenztes Risiko, da Mensch-Maschine-Interaktion stattfindet.

Erforderliche Maßnahmen:

• Transparente Kennzeichnung als KI-System („Sie chatten mit einem KI-Assistenten“)
• Keine umfassende Dokumentationspflicht wie bei Hochrisiko-KI
• Sicherstellung, dass keine manipulativen Techniken eingesetzt werden

„Für viele KMUs ist der Chatbot der erste Berührungspunkt mit dem EU AI Act“, erklärt unser Digitalexperte. „Die erforderlichen Anpassungen sind überschaubar, sollten aber nicht verschleppt werden.“

Fallbeispiel 3: KI-gestützte Bewerberauswahl (Hohes Risiko)

Ein mittelständisches Logistikunternehmen nutzt ein KI-Tool, das Bewerbungen vorsortiert und Kandidatenempfehlungen gibt.

Risikoeinstufung: Hohes Risiko, da es in den Bereich Beschäftigung fällt und erhebliche Auswirkungen auf den Zugang zu Arbeitsplätzen hat.

Erforderliche Maßnahmen:

• Umfassende technische Dokumentation des Systems
• Nachweisbare Tests auf Diskriminierungsfreiheit und Bias
• Implementierung menschlicher Aufsicht (kein vollautomatisierter Prozess)
• Risikomanagement-System und regelmäßige Evaluierung
• CE-Kennzeichnung nach Konformitätsbewertung

„Viele HR-Tools werden zu Hochrisiko-Anwendungen. Unternehmen sollten prüfen, ob ihr Anbieter diese Compliance-Anforderungen erfüllen wird oder eine Alternative suchen“, rät unsere HR-Tech-Spezialistin.

Fallbeispiel 4: Medizinische Terminplanung mit KI (Branchenspezifisch)

Eine Gemeinschaftspraxis nutzt KI, um Patiententermine basierend auf Dringlichkeit, Ressourcenverfügbarkeit und historischen Daten zu optimieren.

Risikoeinstufung: Potenziell Hochrisiko, da es im medizinischen Kontext eingesetzt wird und Auswirkungen auf den Zugang zu medizinischer Versorgung haben kann.

Erforderliche Maßnahmen:

• Detaillierte Dokumentation der Entscheidungskriterien
• Sicherstellen der Rückverfolgbarkeit von Entscheidungen
• Implementierung eines „human in the loop“-Ansatzes
• Besondere Berücksichtigung der Überschneidung mit Medizinprodukteverordnung

„Im Healthcare-Bereich müssen KI-Systeme besonders sorgfältig bewertet werden“, betont unsere Healthcare-Expertin. „Die Einstufung kann von Details der Implementierung abhängen – etwa ob das System nur Vorschläge macht oder eigenmächtig Termine vergibt.“

Sofortmaßnahmen für jedes Unternehmen

Unabhängig von Ihrer Branche empfehlen wir diese Sofortmaßnahmen:

1. KI-Bestandsaufnahme durchführen: Erfassen Sie systematisch alle KI-Systeme in Ihrem Unternehmen.
2. Verantwortlichkeiten festlegen: Bestimmen Sie einen KI-Compliance-Verantwortlichen oder ein Team.
3. Dokumentation beginnen: Starten Sie mit der Dokumentation Ihrer wichtigsten KI-Systeme, auch wenn die Pflichten erst 2026 vollständig greifen.
4. Lieferanten einbinden: Fordern Sie von Ihren Software-Anbietern Informationen zur AI Act-Compliance an.
5. Hochrisiko-Systeme identifizieren: Konzentrieren Sie sich zunächst auf potenziell hochriskante Anwendungen und evaluieren Sie Alternativen.

Ausblick und Zusammenfassung

Die vier Risikoklassen des EU AI Act bilden das Fundament eines neuen Regulierungsparadigmas für Künstliche Intelligenz. Von verbotenen Praktiken über hochregulierte Anwendungen bis hin zu innovationsoffenen Bereichen schafft das Gesetz differenzierte Rahmenbedingungen für den verantwortungsvollen Einsatz von KI.

Für mittelständische Unternehmen und besonders für den Healthcare-Bereich bedeutet dies eine sorgfältige Inventarisierung und Bewertung ihrer KI-Systeme. Die gute Nachricht: Mit dem richtigen methodischen Ansatz ist diese Aufgabe beherrschbar – und bietet sogar Chancen für einen strategisch durchdachten KI-Einsatz.

In unserem nächsten Blogbeitrag werden wir uns mit einem weiteren zentralen Aspekt beschäftigen: Wie das Zusammenspiel von EU AI Act und DSGVO funktioniert und welche Synergien mittelständische Unternehmen nutzen können. Denn eines ist klar: KI-Systeme und personenbezogene Daten sind in der Praxis oft untrennbar verbunden – und damit auch ihre Regulierung.

Sie möchten wissen, wie Ihre KI-Systeme einzuordnen sind? Unser Team aus KI-Experten, Compliance-Spezialisten und Technologiestrategen unterstützt Sie gerne bei der systematischen Bestandsaufnahme und Risikobewertung. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.