Jedes KI-System, das in der Europäischen Union eingesetzt wird oder sie betrifft, befindet sich inzwischen irgendwo auf einem vierstufigen Risikospektrum. Diese Einordnung ist keine theoretische Übung. Sie bestimmt, ob eine Organisation überhaupt keine regulatorische Last trägt, einem engen Satz von Transparenzpflichten unterliegt, ein umfassendes Konformitätsregime mit Kosten in Höhe von Hunderttausenden Euro erfüllen muss oder einem vollständigen Verbot unterliegt. Eine falsche Klassifizierung in jede Richtung hat erhebliche Konsequenzen: Wird überklassifiziert, fließen Ressourcen in eine Compliance-Infrastruktur, die nie erforderlich war; wird unterklassifiziert, drohen Durchsetzungsmaßnahmen, Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes sowie Reputationsschäden, die durch keinen Abhilfeplan kurzfristig rückgängig gemacht werden können [1].

Der Risikoklassifizierungsrahmen des EU AI Act ist auf den ersten Blick unkompliziert. In der Praxis sind die Grenzen zwischen den Stufen jedoch weniger trennscharf, als der Gesetzestext vermuten lässt. Systeme, die scheinbar eindeutig in eine Kategorie fallen, können bei näherer Betrachtung zwei Kategorien zugleich berühren. Dieser Leitfaden bietet einen strukturierten Weg durch diese Komplexität.

Die vier Risikostufen

Der AI Act etabliert vier Risikostufen, die jeweils mit unterschiedlichen Verpflichtungen verbunden sind. Zu verstehen, was jede Stufe verlangt, ist die Voraussetzung für eine zutreffende Klassifizierung.

Unannehmbares Risiko (verboten)

Artikel 5 des AI Act benennt KI-Praktiken, die als so grundlegend bedrohlich für Sicherheit, Lebensgrundlagen und Rechte gelten, dass sie vollständig verboten sind. Dazu zählen Social-Scoring-Systeme, die von oder im Auftrag öffentlicher Stellen betrieben werden, Echtzeit-Fernbiometrie-Identifizierung in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken (vorbehaltlich enger Ausnahmen), KI-Systeme, die Schwachstellen bestimmter Gruppen aufgrund von Alter, Behinderung oder sozialer Lage ausnutzen, sowie Systeme, die unterschwellige Techniken außerhalb des Bewusstseins einer Person einsetzen, um Verhalten in schädigender Weise wesentlich zu verzerren [2].

Für verbotene Systeme gibt es keinen Compliance-Pfad. Die einzig rechtmäßige Reaktion ist die Einstellung des Einsatzes.

Hohes Risiko

Hochrisiko-Systeme bilden das regulatorische Zentrum. Sie unterliegen den detailliertesten Pflichten: Risikomanagementsysteme, Anforderungen an Data Governance, technische Dokumentation, Aufzeichnungspflichten, Transparenzvorgaben, Mechanismen menschlicher Aufsicht sowie Anforderungen an Genauigkeit, Robustheit und Cybersicherheit [3]. Zwei Wege führen zu einer Hochrisiko-Klassifizierung, die nachfolgend im Detail erläutert werden.

Auf diese Stufe entfällt der Großteil der unternehmensweiten Compliance-Anstrengungen, und hier verursachen Klassifizierungsfehler die höchsten Kosten.

Begrenztes Risiko

Systeme mit begrenztem Risiko unterliegen ausschließlich Transparenzpflichten. Die zentrale Anforderung ist Offenlegung: Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren. Diese Stufe umfasst Chatbots, Emotionserkennungssysteme, die nicht unter die Verbotskategorie fallen, Deepfake-Generatoren sowie KI-Systeme, die Text-, Audio- oder Bildinhalte erzeugen oder manipulieren [4].

Begrenztes Risiko ist der Mechanismus des Gesetzes, Täuschung zu steuern, ohne den vollständigen Konformitätsapparat aufzuerlegen.

Minimales Risiko

Hierunter fällt die überwiegende Mehrheit der KI-Systeme. Spam-Filter, KI-gestützte Videospiele, Algorithmen für Bestandsmanagement – für diese gelten keine spezifischen Verpflichtungen nach dem Gesetz, wenngleich freiwillige Verhaltenskodizes empfohlen werden [5].

Minimales Risiko ist der Standard. Ein System steigt nur dann im Spektrum auf, wenn es die definierten Kriterien einer höheren Stufe erfüllt.

Der Entscheidungsbaum: Schrittweise klassifizieren

Die Risikoklassifizierung nach dem EU AI Act erfordert eine sequenzielle Analyse. Der folgende Entscheidungsbaum bildet die Logik der Artikel 5, 6 und 7 ab und liefert denselben wiederholbaren Prozess, den die Klassifizierungs-Workflows von Enzai für Enterprise-Teams automatisieren, die Dutzende oder Hunderte Systeme bewerten.

Schritt 1: Fällt das System unter die Verbote des Artikels 5?

Prüfen Sie Zweck und Funktionsweise des Systems anhand jeder verbotenen Praxis. Führt das System Echtzeit-biometrische Identifizierung in öffentlichen Räumen für Strafverfolgungszwecke durch, manipuliert Personen mittels unterschwelliger, schädigender Techniken, nutzt spezifische Schwachstellen aus oder ermöglicht Social Scoring durch öffentliche Stellen, ist es verboten.

Wenn ja: Das System ist unannehmbares Risiko. Hier stoppen.

Wenn nein: weiter zu Schritt 2.

Schritt 2: Ist das System eine Sicherheitskomponente eines Produkts, das unter die in Anhang I aufgeführte EU-Harmonisierungsrechtsvorschrift fällt, oder ist das System selbst ein solches Produkt?

Anhang I listet bestehende EU-Richtlinien und -Verordnungen zur Produktsicherheit auf, darunter Vorschriften für Maschinen, Spielzeug, Medizinprodukte, zivile Luftfahrt, Kraftfahrzeuge und Eisenbahnsysteme [6]. Dient das KI-System als Sicherheitskomponente innerhalb eines dieser regulierten Produkte oder ist das System selbst das regulierte Produkt, gilt es gemäß Artikel 6 Absatz 1 als Hochrisiko. Entscheidend ist: Diese Systeme erfordern zudem eine Konformitätsbewertung durch eine dritte Stelle nach der einschlägigen sektorspezifischen Rechtsvorschrift.

Wenn ja: Das System ist Hohes Risiko über Artikel 6(1). Weiter zu den Pflichten nach der Klassifizierung.

Wenn nein: weiter zu Schritt 3.

Schritt 3: Fällt das System in eine der in Anhang III aufgeführten Anwendungsfall-Kategorien?

Anhang III nennt acht Bereiche hochriskanter Anwendungen. Entspricht der intendierte Zweck des Systems einer dieser Kategorien, ist es vorläufig gemäß Artikel 6(2) als Hochrisiko einzustufen. Hier ist die Analyse am präzisesten erforderlich, da die Kategorien des Anhangs III weit gefasst und stark faktenabhängig sind.

Wenn ja: weiter zu Schritt 4.

Wenn nein: weiter zu Schritt 5.

Schritt 4: Greift die Ausnahme des Artikels 6(3)?

Artikel 6(3) hat im finalen Text eine wesentliche Einschränkung eingeführt. Selbst wenn ein System in Anhang III fällt, gilt es nicht als Hochrisiko, sofern es kein erhebliches Risiko einer Schädigung von Gesundheit, Sicherheit oder Grundrechten darstellt. Insbesondere ist ein System ausgenommen, wenn es eine eng begrenzte prozedurale Aufgabe ausführt, das Ergebnis einer bereits abgeschlossenen menschlichen Tätigkeit verbessert, Entscheidungsmuster erkennt, ohne menschliche Bewertung zu ersetzen oder zu beeinflussen, oder eine vorbereitende Aufgabe für eine Bewertung in Bezug auf die Anwendungsfälle des Anhangs III übernimmt [7].

Der Anbieter muss dokumentieren, warum die Ausnahme greift, und die zuständige nationale Behörde vor dem Inverkehrbringen informieren. Widerspricht die Behörde, fällt das System wieder in den Hochrisiko-Status zurück.

Wenn Artikel 6(3) greift: Das System ist nicht hochriskant, jedoch bleiben Dokumentations- und Meldepflichten bestehen. Klassifizieren Sie auf Basis der Transparenzkriterien als begrenztes oder minimales Risiko.

Wenn Artikel 6(3) nicht greift: Das System ist Hohes Risiko über Artikel 6(2). Weiter zu den Pflichten nach der Klassifizierung.

Schritt 5: Erfordert das System Transparenzoffenlegungen?

Interagiert das System direkt mit natürlichen Personen (Chatbots), erzeugt oder manipuliert es Bild-, Audio- oder Videoinhalte (Deepfakes, generative KI), oder führt es Emotionserkennung bzw. biometrische Kategorisierung außerhalb verbotener Kontexte durch, unterliegt es Transparenzpflichten für begrenztes Risiko [4].

Wenn ja: Das System ist Begrenztes Risiko.

Wenn nein: Das System ist Minimales Risiko. Es gelten keine spezifischen Pflichten.

Die Klassifizierung ist nur so belastbar wie die Sorgfalt, die an jedem Entscheidungsknoten angewandt wird. Für Teams, die mehrere Systeme bewerten, kann das folgende Arbeitsblatt kopiert und für jedes KI-System im Bestand ausgefüllt werden: