Übersicht der Risikoklassen
Der EU AI Act verfolgt einen risikobasierten Ansatz. Die Einstufung bestimmt den Umfang der gesetzlichen Pflichten für Anbieter und Betreiber.
| Risikoklasse / Kategorie | Beschreibung & Rechtsgrundlage | Anwendungsbeispiele | Regulatorische Kernanforderungen |
|---|---|---|---|
| Unannehmbares Risiko | Praktiken, die als unvereinbar mit den Werten der EU gelten (Art. 5 AI Act). | Social Scoring durch Regierungen; manipulative Techniken zur Verhaltensbeeinflussung. | Vollständiges Verbot innerhalb der EU (wirksam seit 02.02.2025). |
| Unannehmbares Risiko (Biometrie) | Spezifische biometrische Anwendungen, die Grundrechte massiv gefährden. | Echtzeit-Biometrie in öffentlich zugänglichen Räumen für Strafverfolgung (mit engen Ausnahmen). | Verbot; Ausnahmen erfordern richterliche Genehmigung. |
| Hochrisiko (Annex III - Biometrie) | Systeme zur Identifizierung oder Kategorisierung natürlicher Personen (Anhang III, Punkt 1). | Nachträgliche biometrische Fernidentifizierung; Emotionserkennung (außerhalb verbotener Bereiche). | Konformitätsbewertung, Risikomanagementsystem, technische Dokumentation. |
| Hochrisiko (Kritische Infrastruktur) | KI in der Verwaltung und dem Betrieb physischer Infrastrukturen (Anhang III, Punkt 2). | Steuerungssysteme für den Straßenverkehr, Wasser- oder Energieversorgung. | Hohe Anforderungen an Robustheit, Cybersicherheit und menschliche Aufsicht. |
| Hochrisiko (Bildung) | Systeme, die über den Zugang oder die Bewertung in der Bildung entscheiden. | KI zur Bewertung von Prüfungen; Auswahlverfahren für Hochschulen. | Transparenz gegenüber Betroffenen; Protokollierung der Systemereignisse. |
| Hochrisiko (Beschäftigung) | KI-Einsatz im Personalwesen und für das Management von Arbeitnehmern. | Software zur Analyse von Lebensläufen; Systeme zur Leistungsüberwachung. | Strenge Datenqualitätsstandards (Vermeidung von Bias); menschliche Aufsicht. |
| Hochrisiko (Wesentliche Dienste) | Zugang zu privaten und öffentlichen Dienstleistungen sowie Leistungen der sozialen Sicherheit. | Kreditwürdigkeitsprüfung; Risikobewertung bei Krankenversicherungen. | Erstellung einer EU-Konformitätserklärung; Registrierung in der EU-Datenbank. |
| Hochrisiko (Strafverfolgung) | KI-Systeme, die von Behörden zur Kriminalitätsbekämpfung eingesetzt werden. | Lügendetektoren; Bewertung des Rückfallrisikos von Straftätern. | Umfassende Dokumentationspflichten; Genauigkeitsnachweise. |
| Begrenztes Risiko (Interaktion) | Systeme, bei denen ein Risiko der Täuschung besteht (Art. 50 AI Act). | Chatbots; KI-gestützte Kundensupport-Systeme. | Offenlegungspflicht: Nutzer müssen wissen, dass sie mit einer KI interagieren. |
| Begrenztes Risiko (Inhalte) | KI-generierte oder manipulierte Medieninhalte. | Deepfakes; KI-generierte Texte oder Bilder (Generative KI). | Kennzeichnungspflicht (Watermarking); Erkennbarkeit als künstlich erzeugt. |
| Minimales Risiko | KI-Anwendungen mit vernachlässigbarem Risiko für Bürger. | Spam-Filter; KI in Videospielen; Inventarverwaltungs-Software. | Keine spezifischen gesetzlichen Pflichten; freiwillige Verhaltenskodizes möglich. |
| GPAI mit systemischem Risiko | Modelle mit extrem hoher Rechenleistung (> 10^25 FLOPs) (Art. 51 AI Act). | Sehr leistungsfähige Basismodelle (z. B. Nachfolger von GPT-4). | Modellbewertungen, Red-Teaming, Meldung schwerwiegender Vorfälle an das KI-Amt. |
Unannehmbares Risiko (Verbotene Praktiken)
KI-Systeme dieser Kategorie sind aufgrund ihres Potenzials zur Überwachung, Diskriminierung oder Manipulation verboten. Seit dem 2. Februar 2025 dürfen solche Systeme in der EU weder in Verkehr gebracht noch in Betrieb genommen werden. Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden.
Hochrisiko-KI-Systeme
Diese Systeme sind erlaubt, sofern sie strenge Anforderungen erfüllen. Die Einstufung erfolgt entweder durch den Einsatzzweck (Anhang III) oder wenn die KI als Sicherheitskomponente in Produkten dient, die bereits einer EU-Konformitätsprüfung unterliegen (z. B. Medizinprodukte oder Spielzeug gemäß Anhang I). Die meisten Anforderungen für Anhang-III-Systeme werden ab dem 2. August 2026 verbindlich.
Begrenztes Risiko (Transparenzpflichten)
Für diese Systeme gelten primär Informationspflichten. Ziel ist es, sicherzustellen, dass Menschen nicht unbeabsichtigt durch KI getäuscht werden. Anbieter müssen technische Lösungen implementieren, die KI-Inhalte als solche kennzeichnen (z. B. durch Metadaten oder digitale Wasserzeichen).
Minimales Risiko
Die Mehrheit der derzeit in der EU verwendeten KI-Systeme fällt in diese Kategorie. Sie unterliegen keinen neuen regulatorischen Auflagen durch den AI Act, müssen jedoch weiterhin bestehende Gesetze (z. B. DSGVO) einhalten.
Sonderkategorie: General-Purpose AI (GPAI)
General-Purpose AI-Modelle (allgemeine KI-Modelle) werden separat reguliert. Modelle, die mit einer Rechenleistung von mehr als 10^25 FLOPs trainiert wurden, unterliegen aufgrund ihres "systemischen Risikos" zusätzlichen Sicherheitsprüfungen und Transparenzanforderungen gegenüber dem Europäischen KI-Amt.
Last verified: 2026-06-29