Zum Inhalt springen
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Vier Risikostufen des EU AI-Act

Vier Risikostufen des EU AI-Act

AI-Act Risikofelder ISO 42001

Vier Risikostufen des EU AI-Act

Künstliche Intelligenz eröffnet enorme wirtschaftliche Potenziale, kann aber ebenso gravierende Schäden verursachen. Um Chancen und Gefahren in ein ausgewogenes Verhältnis zu bringen, hat die Europäische Union mit dem AI-Act ein einheitliches Regelwerk geschaffen. Dessen Kern bildet eine risikobasierte Klassifikation aller KI-Systeme. Die Einteilung legt fest, welche Pflichten Hersteller und Anwender künftig erfüllen müssen – und wo der Gesetzgeber bewusst auf Vorgaben verzichtet.

🟩 1. Minimales Risiko

KI-Anwendungen, die keine oder nur geringe Risiken für Bürgerrechte und Sicherheit darstellen, können ohne besondere Auflagen betrieben werden. Beispiele sind Spam-Filter, KI-gestützte Rechtschreibkorrekturen oder Empfehlungssysteme im E-Commerce. Hier setzt der AI-Act auf Transparenz und freiwillige Selbstverpflichtungen.

🟨 2. Begrenztes Risiko

Systeme dieser Kategorie müssen Transparenzpflichten erfüllen, damit Nutzer erkennen, dass sie mit einer KI interagieren. Beispiele sind Chatbots oder generative KI-Anwendungen, die keine sensiblen Entscheidungen treffen. Hier gilt: „Mensch bleibt in der Kontrolle.“

🟧 3. Hohes Risiko

Hochrisiko-KI umfasst Anwendungen mit erheblichem Einfluss auf Grundrechte oder Sicherheit, etwa in Personalwesen, Kreditvergabe, Gesundheitswesen oder kritischer Infrastruktur. Hier gelten strenge Auflagen: Risikomanagement, Datenqualität, menschliche Aufsicht und Konformitätsbewertung sind Pflicht. Unternehmen müssen die Systeme regelmäßig auditieren und dokumentieren.

🟥 4. Unvertretbares Risiko

Der AI-Act verbietet KI-Systeme, die Menschen manipulieren, diskriminieren oder Massenüberwachung ermöglichen. Dazu zählen Social-Scoring-Systeme, biometrische Echtzeitüberwachung oder emotionale Erkennung im Arbeitsumfeld. Diese Anwendungen gelten als nicht vereinbar mit EU-Grundrechten und dürfen in der EU nicht betrieben werden.

Was heißt das für Unternehmen?

  • Compliance sicherstellen: Betriebe, deren KI in die Hochrisiko-Klasse fällt, müssen ein auditfähiges Risikomanagement aufbauen und Systeme fortlaufend überwachen.
  • Vertrauensvorsprung nutzen: „AI-Act-ready“ wird zum neuen Qualitätsmerkmal – ähnlich wie „DSGVO-konform“.
  • Kosten und Ressourcen planen: Die Anforderungen reichen von Bias-Tests bis Post-Market-Monitoring. Besonders KMU sollten Rollen wie einen AI-Compliance-Officer frühzeitig festlegen.

Die Kategorien im Überblick

Risikogruppe Kurzbeschreibung Typische Beispiele Regulatorische Konsequenzen

Regulierte vs. nicht regulierte KI

Der EU AI-Act unterscheidet zwischen regulierten und nicht regulierten Anwendungen, abhängig davon, wie stark sie in Grundrechte, Sicherheit oder wirtschaftliche Abläufe eingreifen. Diese Einteilung bestimmt, welche Pflichten Hersteller und Betreiber künftig erfüllen müssen.

⚖️ Regulierte KI

Regulierte KI betrifft Systeme, die mit Grundrechten, Sicherheit oder wesentlichen Lebensbereichen interagieren – etwa im Gesundheitswesen, in der Personalrekrutierung oder bei Kreditentscheidungen. Hier greift der AI-Act mit verbindlichen Pflichten wie Risikomanagement, Dokumentation, menschlicher Aufsicht und laufender Überwachung.

💡 Nicht regulierte KI

Nicht regulierte KI umfasst Anwendungen der Kategorie „minimales Risiko“ – etwa Chatbots, Textgeneratoren oder Empfehlungssysteme ohne sicherheitsrelevante Wirkung. Sie dürfen weiterhin frei entwickelt und eingesetzt werden, solange sie nicht in eine höhere Risikostufe hineinwachsen. Dennoch wird Transparenz (z. B. Kennzeichnungspflicht) empfohlen.

🧭 Handlungsempfehlungen für Unternehmen

  • Bestandsaufnahme: Führen Sie ein Inventar aller KI-Funktionen und ordnen Sie jede Anwendung einer Risikoklasse zu.
  • Lieferanten prüfen: Lassen Sie sich von SaaS- oder Tool-Anbietern bestätigen, in welche Kategorie ihr Produkt fällt und welche Nachweise vorliegen.
  • Governance anpassen: Ergänzen Sie Ihr ISMS oder Datenschutz-Management um ein KI-Risikomodul.
  • Schulung & Awareness: Sensibilisieren Sie Fach- und Führungskräfte für neue Pflichten – insbesondere dort, wo KI Entscheidungen vorbereitet oder automatisiert trifft.

🔖 CE-Kennzeichnung im Kontext des EU AI-Act

Die CE-Kennzeichnung („Conformité Européenne“) kennzeichnet Produkte, die alle relevanten EU-Vorschriften erfüllen. Künftig gilt sie auch für viele KI-Systeme mit mittlerem oder hohem Risiko. Nur wer nachweist, dass sein System die Anforderungen des AI-Acts erfüllt – etwa hinsichtlich Sicherheit, Transparenz und Nachvollziehbarkeit – darf es mit der CE-Kennzeichnung im Europäischen Wirtschaftsraum in Verkehr bringen.

Aspekt Kurz erklärt

Fazit

Der EU AI-Act markiert einen Wendepunkt im Umgang mit Künstlicher Intelligenz: Er schafft erstmals klare und verbindliche Regeln dafür, welche Verantwortung Unternehmen beim Einsatz von KI tragen. Nicht jede Anwendung wird gleich behandelt – entscheidend ist das Risikopotenzial.

Für Unternehmen heißt das: Wer seine KI-Systeme frühzeitig klassifiziert, Risiken bewertet und dokumentierte Prozesse etabliert, kann regulatorische Anforderungen in einen echten Wettbewerbsvorteil verwandeln. Der EU AI-Act ist damit kein Hemmschuh, sondern eine Chance für Organisationen, die Transparenz, Ethik und Sicherheit zur Grundlage ihrer digitalen Innovation machen.

Jetzt gilt es, die Weichen rechtzeitig zu stellen – durch Governance-Strukturen, Schulungen und die Integration von AI-Compliance in bestehende Managementsysteme wie ISO 42001 oder ISO 27001. Wer jetzt handelt, ist bestens vorbereitet, wenn die ersten AI-Audits Realität werden.

FAQ – Risikostufen im EU AI Act

1 Was sind die vier Risikostufen des AI Act?
Der EU AI Act unterteilt KI-Systeme in vier Risikokategorien: 1. **Minimalrisiko** – KI wird wie Software behandelt, kaum Regulierungen. 2. **Geringes Risiko** – transparente Pflichten, z. B. Kennzeichnungspflicht. 3. **Hohes Risiko** – strenge Anforderungen an Managementsysteme, Dokumentation, Transparenz und Aufsicht. 4. **Unzulässiges Risiko** – Systeme, die als besonders gefährlich gelten, sind verboten.
2 Warum teilt der AI Act KI-Systeme nach Risiken ein?
Ziel ist es, Regulierung dort zu intensivieren, wo das Potenzial für Schaden besonders groß ist, ohne Innovation zu blockieren. Unkritische Anwendungen bleiben leicht reguliert, riskante Systeme unterliegen strengen Vorgaben, und gefährliche Anwendungen sind untersagt.
3 Wer bewertet, in welche Risikostufe ein KI-System fällt?
Der Anbieter oder Entwickler des KI-Systems muss anhand der Vorgaben des AI Act selbst eine Klassifizierung vornehmen. Behörden können diese Einstufung prüfen und auch eigene Bewertungen anstellen, insbesondere bei Systemen mit hohem Risiko.
4 Welche Anforderungen gelten für KI-Systeme mit hohem Risiko?
Für Hochrisiko-KI gelten umfassende Vorgaben wie: Qualitätsmanagement, Risikomanagement, Transparenzpflichten, Dokumentation, Human Oversight, Testverfahren, Meldung von Vorfällen, Datenschutz und Cybersicherheit.
5 Was bedeutet „unzulässiges Risiko“ konkret?
Systeme, die diskriminierende Praktiken fördern, menschliche Steuerung ausschalten oder illegale Aktivitäten unterstützen, fallen unter „unzulässiges Risiko“ und sind verboten. Beispiele könnten Social Scoring oder biometrische Fernidentifizierung ohne Rechtsgrundlage sein.
6 Welche Pflichten haben Anbieter von KI mit geringem Risiko?
Anbieter müssen z. B. klar kennzeichnen, dass es sich um KI handelt und einfache Transparenzanforderungen erfüllen. Solche Systeme unterliegen weniger strengen Vorgaben, sollen aber nicht völlig unkontrolliert bleiben.
7 Wie kann SMCT MANAGEMENT bei der Einordnung der Risikostufen helfen?
Wir unterstützen Sie bei der Klassifizierung Ihrer KI-Projekte, der Risikoanalyse, der Umsetzung der notwendigen Anforderungen je Stufe und der Vorbereitung auf Prüfungen durch Behörden.
8 Gibt es Übergangsfristen für die Erfüllung?
Ja, der AI Act sieht Übergangsfristen vor, insbesondere für Systeme, die bereits vor Inkrafttreten am Markt sind. Die genauen Fristen hängen von der Stufe und dem Risikograd ab und sind gesetzlich definiert.
9 Welche Rolle spielt Transparenz im AI Act?
Transparenz ist zentral: Nutzer müssen wissen, dass eine Entscheidung von KI stammt, welche Eingaben verwendet wurden, welche Grenzen das System hat. Bei Hochrisiko-KI sind zusätzliche Offenlegungs- und Dokumentationspflichten vorgesehen.
10 Was passiert bei Nicht-Einhaltung der Vorgaben?
Verstöße gegen den AI Act können zu empfindlichen Bußgeldern führen, Produktverbote, Rückrufe oder Einschränkungen bei der Marktzulassung sowie Reputationsschäden verursachen.

Verwandte Themen

ISO/IEC 42001

Der erste internationale Standard für ein AI Management System. Er unterstützt Unternehmen beim verantwortungsvollen und transparenten Einsatz von Künstlicher Intelligenz.

Mehr zu ISO 42001

EU AI Act

Der erste europäische Rechtsrahmen für KI. Kern sind die vier Risikostufen von Minimalrisiko bis unzulässig – mit klaren Pflichten für Unternehmen.

Mehr zum EU AI Act

Kostenloses Erstgespräch zur EU-AI-Act-Beratung

Sie möchten wissen, wie Sie die Anforderungen des EU AI-Act effizient und rechtskonform umsetzen können? Wir begleiten Ihr Unternehmen von der Risikoklassifizierung über die Dokumentation bis zur erfolgreichen Vorbereitung auf Audits und CE-Kennzeichnung.

  • Erstellung Ihres KI-Inventars & Risiko-Assessment
  • Implementierung von Governance- und Compliance-Prozessen
  • Bewertung externer Tools und Lieferanten gemäß AI-Act
  • Workshops & Schulungen zu KI-Ethik und Risikomanagement
  • Begleitung bei Zertifizierungen nach ISO 42001 oder ISO 27001
📩 Jetzt kostenloses Erstgespräch anfragen
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel