EU AI Act Risikoklassen: Wie KI-Systeme regulatorisch eingeordnet werden 

Der EU AI Act folgt einem risikobasierten Ansatz. Je höher das Risiko eines KI-Systems, desto strenger die regulatorischen Anforderungen. Für Unternehmen ist die richtige Einordnung deshalb der Ausgangspunkt jeder belastbaren AI-Act-Compliance. 

EU AI Act Risikoklassen kurz erklärt

Der AI Act unterscheidet zwischen vier Gruppen: 

  • verbotene KI-Praktiken mit unannehmbarem Risiko, 
  • Hochrisiko-KI-Systeme, 
  • KI-Systeme mit begrenztem Risiko und vor allem Transparenzpflichten, 
  • sowie KI-Systeme mit minimalem oder keinem Risiko. 

Die Intensität der Pflichten hängt also nicht davon ab, dass ein System „irgendwie KI“ ist, sondern davon, wie und wofür es eingesetzt wird. 

iGut zu wissen:


Ein Spamfilter oder KI-gestützte Videospielmechanik fällt typischerweise in den Bereich minimaler oder keiner spezifischen AI-Act-Pflichten. Ein Chatbot, bei dem Nutzer erkennen müssen, dass sie mit KI interagieren, ist ein typisches Beispiel für Transparenzpflichten. Ein System zur Bewerbervorauswahl kann dagegen hochriskant sein. 

Warum ist die Einordnung in Risikoklassen wichtig? 

Die Risikoklasse entscheidet darüber, ob ein KI-System verboten ist, ob besondere Pflichten gelten oder ob vor allem Transparenzanforderungen relevant sind. Eine falsche Einordnung kann dazu führen, dass wesentliche Anforderungen übersehen werden oder Prozesse unnötig kompliziert ausgestaltet werden. 

Was umfasst die Identifikation der Risikoklasse? 

Bei Hochrisiko-KI ist technische Dokumentation zentral, weil Unternehmen damit nachweisen, wie das System ausgestaltet ist, wie Risiken bewertet wurden und wie menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit sichergestellt werden. Diese Dokumentation ist kein formaler Selbstzweck, sondern wesentlicher Bestandteil der Compliance. 

Typische Beispiele je Risikoklasse 

Typische Beispiele sind: 

  • Verboten: bestimmte besonders eingriffsintensive Praktiken, etwa verbotene manipulative oder social-scoring-bezogene Anwendungen, 
  • Hochriskant: KI zur Bewerberauswahl, Kreditwürdigkeitsbewertung oder in kritischer Infrastruktur, 
  • Begrenztes Risiko: Chatbots oder bestimmte synthetische Inhalte mit Transparenzpflichten, 
  • Minimales Risiko: Spamfilter oder KI in Videospielen. 

Welchen Stellenwert hat die technische Dokumentation innerhalb der Risikoklassen?

Für Systeme, die den hohen EU AI Act Risikoklassen zugeordnet werden, ist eine lückenlose technische Dokumentation zwingend erforderlich. Diese muss detailliert darlegen, wie das System konzipiert wurde, welche Trainingsdaten verwendet wurden und wie die menschliche Aufsicht im laufenden Betrieb gewährleistet wird. Die ISO 42001 fungiert hierbei als operative Brücke, um diese Dokumentationspflichten prozessual abzubilden. Ohne diese validierten Unterlagen darf ein Hochrisiko-System weder in Verkehr gebracht noch operativ genutzt werden.

Ähnliche Themen: