Die Risikoeinstufung Ihrer KI-Systeme ist der erste und wichtigste Schritt zur Compliance mit dem EU AI Act. Von dieser Einstufung hängt ab, welche Pflichten Sie erfüllen müssen – von keinerlei Auflagen bis hin zu umfassender Dokumentation und menschlicher Aufsicht.
In diesem Leitfaden zeigen wir Ihnen Schritt für Schritt, wie Sie jedes KI-System in Ihrem Unternehmen korrekt klassifizieren.
Die vier Risikostufen im Überblick
Der EU AI Act unterteilt KI-Systeme in vier Kategorien. Entscheidend ist nicht die Technologie selbst, sondern der Einsatzzweck:
🟢 Stufe 1: Minimales Risiko
Keine besonderen Pflichten. Dazu gehören: Spam-Filter, KI-gestützte Rechtschreibprüfung, Empfehlungssysteme in Streaming-Diensten, KI-basierte Spiele.
🟡 Stufe 2: Begrenztes Risiko
Transparenzpflicht. Dazu gehören: Chatbots, KI-generierte Texte/Bilder/Videos, Emotionserkennungssysteme, Deepfake-Erkennung.
🟠 Stufe 3: Hohes Risiko
Umfangreiche Pflichten. Dazu gehören: KI im Personalwesen, Kreditbewertung, medizinische Diagnostik, Bildungsbewertung, kritische Infrastruktur.
🔴 Stufe 4: Verboten
Einsatz untersagt. Dazu gehören: Social Scoring, unterschwellige Manipulation, biometrische Echtzeit-Massenüberwachung, KI-basierte Ausnutzung von Schwächen.
Schritt 1: KI-Inventar erstellen
Bevor Sie einstufen können, müssen Sie wissen, welche KI-Systeme in Ihrem Unternehmen im Einsatz sind. Dabei werden oft Systeme übersehen:
| Bereich | Häufig übersehene KI-Systeme |
|---|---|
| Marketing | ChatGPT für Texte, Midjourney für Bilder, KI-basierte E-Mail-Personalisierung |
| Kundenservice | Chatbots, automatische Ticket-Kategorisierung, Sentiment-Analyse |
| HR / Personal | CV-Screening, automatisierte Vorselektion, KI-gestützte Interviewanalyse |
| Finanzen | Betrugserkennung, automatisierte Kreditprüfung, Risikobewertung |
| IT & Entwicklung | GitHub Copilot, KI-gestützte Code-Reviews, automatisierte Tests |
| Verwaltung | KI-Übersetzungen (DeepL), Dokumentenzusammenfassungen, Transkription |
Schritt 2: Einsatzzweck bestimmen
Für jedes identifizierte System stellen Sie sich die folgenden Fragen:
- Wofür wird das System eingesetzt? (Zweck)
- Wer ist betroffen? (Mitarbeiter, Kunden, Öffentlichkeit)
- Welche Entscheidungen werden auf Basis der KI-Ergebnisse getroffen?
- Gibt es eine menschliche Kontrolle vor der endgültigen Entscheidung?
Entscheidend ist: Derselbe KI-Dienst kann je nach Einsatzzweck unterschiedlich eingestuft werden. ChatGPT für Marketing-Texte ist „begrenztes Risiko", aber ChatGPT zur Bewertung von Bewerbungsunterlagen wäre „hohes Risiko".
Schritt 3: Risikokategorie zuordnen
Verwenden Sie diesen Entscheidungsbaum für jedes KI-System:
Frage 1: Ist der Einsatzzweck in der Verbotsliste (Anhang I)?
→ Ja: Sofort einstellen! Das System ist verboten.
→ Nein: Weiter zu Frage 2.
Frage 2: Ist das System in der High-Risk-Liste (Anhang III)?
Dazu gehören u.a. KI-Systeme in: biometrischer Identifizierung, kritischer Infrastruktur, Bildung, Beschäftigung, Kreditwürdigkeit, Strafverfolgung, Migration.
→ Ja: Hohes Risiko – umfangreiche Pflichten.
→ Nein: Weiter zu Frage 3.
Frage 3: Interagiert das System direkt mit Personen oder generiert es Inhalte?
→ Ja: Begrenztes Risiko – Transparenzpflicht.
→ Nein: Minimales Risiko – keine besonderen Pflichten.
Schritt 4: Pflichten ableiten
Je nach Risikostufe ergeben sich unterschiedliche Anforderungen:
| Pflicht | Minimal | Begrenzt | Hoch |
|---|---|---|---|
| KI-Inventar führen | Empfohlen | Ja | Ja |
| Transparenzhinweis | — | Ja | Ja |
| Risikobewertung | — | — | Ja |
| Technische Dokumentation | — | — | Ja |
| Menschliche Aufsicht | — | — | Ja |
| Konformitätsbewertung | — | — | Ja |
Praxisbeispiele
Beispiel 1: Online-Shop mit Chatbot
Ein mittelständischer Online-Händler nutzt einen KI-Chatbot für Kundenservice und ChatGPT für Produktbeschreibungen.
- Chatbot → Begrenztes Risiko (Transparenzpflicht)
- ChatGPT für Texte → Begrenztes Risiko (Kennzeichnungspflicht)
Beispiel 2: Personaldienstleister
Ein Recruiting-Unternehmen setzt KI-Software ein, die Bewerbungen automatisch vorsortiert und Kandidaten bewertet.
- CV-Screening-KI → Hohes Risiko (volle Compliance-Pflichten)
- KI-gestützte Terminplanung → Minimales Risiko (keine Pflichten)
Beispiel 3: Handwerksbetrieb
Ein Malerbetrieb nutzt ChatGPT für Angebotserstellung und DeepL für Kundenkorrespondenz.
- ChatGPT für Angebote → Minimales Risiko (interne Nutzung, keine Interaktion)
- DeepL → Minimales Risiko (Übersetzungstool ohne direkte Kundeninteraktion)
Automatische Risikoeinstufung in 5 Minuten
Die manuelle Einstufung kann zeitaufwändig sein – besonders wenn Sie mehrere KI-Systeme nutzen. Unser kostenloser Compliance-Check führt Sie durch 15 gezielte Fragen und liefert Ihnen eine sofortige, automatische Risikoeinstufung für alle Ihre KI-Systeme.
Risikoeinstufung automatisch berechnen
15 Fragen. 5 Minuten. Sofortige Klassifizierung aller KI-Systeme.
Jetzt kostenlos einstufen