Risikoklasse
Risikoklassen sind die vier Kategorien (minimal, begrenzt, hoch, inakzeptabel), in die KI-Systeme gemäß der EU-KI-Verordnung eingeordnet werden. Die Klassifizierung bestimmt, welche rechtlichen Anforderungen an Anbieter und Betreiber gestellt werden.
Ausführliche Erklärung
Die EU-KI-Verordnung (AI Act, Verordnung 2024/1689) verfolgt einen risikobasierten Ansatz zur Regulierung Künstlicher Intelligenz. Im Zentrum steht die Einteilung von KI-Systemen in vier Risikoklassen, die sich nach dem potenziellen Gefährdungspotenzial für Grundrechte, Gesundheit, Sicherheit oder demokratische Werte richten. Je höher das Risiko, desto strenger sind die regulatorischen Anforderungen und desto größer das Haftungsrisiko für Unternehmen.
KI-Systeme mit minimalem Risiko (z. B. Spam-Filter, einfache Empfehlungssysteme) werden nicht reguliert. Bei begrenztem Risiko (z. B. Chatbots, KI-generierte Inhalte) bestehen vor allem Transparenzpflichten – Nutzer müssen über den KI-Einsatz informiert werden. Hochrisiko-KI-Systeme umfassen Anwendungen mit potenziell erheblichen Auswirkungen auf Grundrechte oder Sicherheit, etwa im Personalwesen (Recruiting, Leistungsbewertung), bei biometrischer Identifizierung, in der Medizin oder bei Kreditwürdigkeitsprüfungen. Für diese Kategorie gelten umfassende Pflichten: Risikomanagementsystem, technische Dokumentation, Protokollierungsfunktionen, Datenqualität, menschliche Aufsicht und Konformitätsbewertung. KI-Systeme mit inakzeptablem Risiko sind vollständig verboten – darunter fallen Social Scoring, manipulative Techniken zur Verhaltensbeeinflussung oder die ungezielte Erstellung von Gesichtserkennungsdatenbanken.
Für KMU ist die korrekte Risikoklassifizierung ihrer eingesetzten KI-Systeme zur Managementaufgabe geworden. Seit Februar 2025 gelten bereits Verbote und KI-Kompetenzpflichten, ab August 2026 greifen die vollständigen Hochrisiko-Anforderungen. Die Klassifizierung ist nicht statisch: Ändert sich der Einsatzzweck eines Systems oder werden neue Funktionen aktiviert, kann sich auch die Risikoklasse ändern. Eine fehlerhafte Einstufung kann zu erheblichen Bußgeldern führen – bei Verstößen gegen Verbote bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, bei Missachtung von Hochrisiko-Pflichten bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes. Die Überwachung erfolgt in Deutschland durch die Bundesnetzagentur, in Österreich durch entsprechende nationale Aufsichtsbehörden.
Praxisbeispiel
Ein mittelständisches Steuerberatungsunternehmen mit 25 Mitarbeitenden setzt drei KI-Systeme ein: einen E-Mail-Spam-Filter (minimales Risiko, keine Pflichten), einen Chatbot für Website-Anfragen (begrenztes Risiko, Transparenzhinweis erforderlich) und eine KI-gestützte Software zur Vorauswahl von Bewerbungen (Hochrisiko gemäß Anhang III, da im HR-Bereich). Für letzteres System muss das Unternehmen als Betreiber ein Risikomanagementsystem dokumentieren, menschliche Aufsicht gewährleisten und die Mitarbeitenden entsprechend schulen.