Die 4 Risikoklassen des EU AI Act
Der EU AI Act teilt KI-Systeme in vier Risikostufen ein – von verboten bis minimal. Die Einstufung bestimmt, welche Pflichten für Ihr Unternehmen gelten.
Der risikobasierte Ansatz ist das Herzstück des EU AI Act. Je höher das Risiko eines KI-Systems, desto strenger die Anforderungen. Unternehmen müssen ihre KI-Systeme korrekt einstufen, um die richtigen Compliance-Maßnahmen zu ergreifen.
Verbotene KI
Unannehmbares Risiko
Hochrisiko-KI
Hohes Risiko
Begrenztes Risiko
Transparenzpflichten
Minimales Risiko
Freiwillige Maßnahmen
Risikopyramide – von verboten (oben) bis minimal (unten)
Verbotene KI
Art. 5 EU AI Act
KI-Systeme, die als Bedrohung für grundlegende Rechte und Sicherheit gelten, sind in der EU vollständig verboten. Diese Systeme dürfen weder entwickelt noch eingesetzt werden.
Beispiele
Social Scoring durch Behörden
Biometrische Echtzeit-Fernüberwachung im öffentlichen Raum
Manipulation durch unterschwellige Techniken
Ausnutzung von Vulnerabilitäten bestimmter Gruppen
Pflichten
Vollständiges Verbot. Kein Inverkehrbringen, keine Inbetriebnahme, kein Einsatz erlaubt. Verstöße werden mit bis zu 35 Mio. € oder 7 % des Jahresumsatzes bestraft.
Hochrisiko-KI
Art. 6–49, Anhang III EU AI Act
Hochrisiko-KI-Systeme betreffen kritische Bereiche wie Gesundheit, Sicherheit oder Grundrechte. Für sie gelten die umfangreichsten Compliance-Anforderungen.
Beispiele
KI in medizinischen Geräten und Diagnostik
KI für Personalentscheidungen (Recruiting, Leistungsbewertung)
Kreditwürdigkeitsprüfung und Versicherungs-Scoring
KI in kritischer Infrastruktur (Energie, Verkehr)
Pflichten
Risikomanagementsystem, technische Dokumentation, Daten-Governance, Konformitätsbewertung, CE-Kennzeichnung, Registrierung in der EU-Datenbank, menschliche Aufsicht, Logging und Monitoring.
Begrenztes Risiko
Art. 50 EU AI Act
KI-Systeme mit begrenztem Risiko unterliegen Transparenzpflichten. Nutzer müssen wissen, dass sie mit KI interagieren oder dass Inhalte KI-generiert sind.
Beispiele
Chatbots und Konversations-KI
KI-generierte Texte, Bilder oder Videos
Deepfakes und synthetische Medien
Emotionserkennung am Arbeitsplatz
Pflichten
Kennzeichnungspflicht: KI-generierte oder -manipulierte Inhalte müssen als solche gekennzeichnet werden. Nutzer müssen informiert werden, wenn sie mit einem KI-System interagieren.
Minimales Risiko
Art. 95 EU AI Act
Die große Mehrheit der KI-Systeme fällt in diese Kategorie. Es gelten keine gesetzlichen Pflichten, aber freiwillige Verhaltenskodizes werden empfohlen.
Beispiele
Spam-Filter in E-Mail-Programmen
KI-gestützte Produktempfehlungen in Online-Shops
KI-Optimierung in Computerspielen
Automatische Rechtschreibprüfung
Pflichten
Keine gesetzlichen Pflichten. Es wird empfohlen, freiwillige Verhaltenskodizes zu befolgen und Transparenz gegenüber Nutzern zu wahren (Art. 95).
Schnelltest: Welche Risikoklasse?
| Frage | Wenn ja... | Risikoklasse |
|---|---|---|
| Manipuliert Ihr KI-System menschliches Verhalten? | System ist wahrscheinlich verboten | Verbotene KI |
| Betrifft es Gesundheit, Sicherheit oder Grundrechte? | System gilt als Hochrisiko | Hochrisiko-KI |
| Generiert es Inhalte oder interagiert es mit Nutzern? | Transparenzpflichten beachten | Begrenztes Risiko |
| Keines der obigen trifft zu? | Freiwillige Maßnahmen empfohlen | Minimales Risiko |
Quelle: Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024. EUR-Lex Volltext
Finden Sie heraus, in welche Risikoklasse Ihre KI-Systeme fallen.