EuroComply
Konto erstellen
Back to blog
EU KI-Verordnung 5 min read

KI-System nach der EU-KI-Verordnung einstufen: Schritt-für-Schritt-Anleitung

What you need to know: KI-System nach der EU-KI-Verordnung einstufen: Schritt-für-Schritt-Anleitung

Unsicher, ob Ihr KI-System als hochriskant gilt? Durchlaufen Sie den offiziellen Einstufungsprozess mit praxisnahen Beispielen für gängige Unternehmens-KI-Tools.

Source: EuroComply Editorial (2025-02-15)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Die EU-KI-Verordnung teilt KI-Systeme in vier Risikostufen ein: Verboten, Hoch, Begrenzt und Minimal. Die korrekte Einstufung bestimmt Ihren gesamten Compliance-Fahrplan. So gehen Sie dabei vor.

Schritt 1: Prüfung verbotener Praktiken (Artikel 5)

Stellen Sie zunächst sicher, dass Ihr System nicht in eine der acht verbotenen Kategorien fällt. Die meisten Unternehmens-KI-Systeme sind davon nicht betroffen, dennoch sollten Sie folgendes prüfen:

  • Bewertet das System Einzelpersonen anhand ihres Sozialverhaltens?
  • Verwendet es unterschwellige Manipulationstechniken?
  • Nutzt es Schwachstellen bestimmter Gruppen aus?
  • Führt es eine Echtzeit-Biometrieerkennung im öffentlichen Raum durch?
  • Erkennt es Emotionen an Arbeitsplätzen oder in Schulen?

Falls Sie eine dieser Fragen mit Ja beantworten, müssen Sie die Implementierung stoppen. Das System darf in der EU nicht eingesetzt werden.

Schritt 2: Prüfung der Hochrisiko-Liste (Anhang III)

Anhang III benennt acht Bereiche, in denen KI als hochriskant gilt, wenn sie wesentlichen Einfluss auf Einzelpersonen hat:

  1. Biometrie — Systeme zur Fernidentifizierung
  2. Kritische Infrastruktur — Sicherheitskomponenten in der Versorgung und im Verkehr
  3. Bildung — Zulassung, Benotung, Überwachung, Betrugserkennung
  4. Beschäftigung — Rekrutierung, Lebenslauf-Screening, Leistungsbeurteilung, Entlassungsentscheidungen
  5. Wesentliche Dienstleistungen — Kreditwürdigkeitsprüfung, Versicherungspreisgestaltung, Sozialleistungen
  6. Strafverfolgung — Risikobewertung, Beweisauswertung, Profilerstellung
  7. Migration — Risikobewertung, Dokumentenprüfung
  8. Demokratische Prozesse — Systeme zur Wählerbeeinflussung

Die entscheidende Frage lautet: Trifft oder beeinflusst Ihr KI-System in einem dieser Bereiche wesentlich Entscheidungen über natürliche Personen?

Schritt 3: Prüfung von Transparenzpflichten (Artikel 50)

Auch wenn Ihr System nicht als hochriskant eingestuft wird, können Transparenzpflichten gelten:

  • Chatbots: Nutzer müssen darüber informiert werden, dass sie mit einer KI interagieren
  • Inhaltsgenerierung: KI-generierte Texte, Bilder, Audio oder Videos müssen gekennzeichnet sein
  • Emotionserkennung: Betroffene Personen müssen informiert werden
  • Deep Fakes: Müssen eindeutig als synthetisch gekennzeichnet sein

Schritt 4: Minimales Risiko

Alles andere fällt in diese Kategorie. Es bestehen keine spezifischen Pflichten — nur freiwillige Verhaltenskodizes und die allgemeine KI-Kompetenzanforderung nach Artikel 4.

Praxisbeispiele

| System | Einstufung | Begründung | |--------|-----------|------------| | Kundensupport-Chatbot | BEGRENZT | Interagiert mit Personen, Transparenzpflicht | | Lebenslauf-Screening-Tool | HOCH | Beschäftigungsbereich, beeinflusst Einstellungsentscheidungen | | Content-Empfehlungs-Engine | MINIMAL | Kein wesentlicher Einfluss auf Einzelpersonen | | Betrugserkennung für Darlehen | HOCH | Wesentliche Dienstleistungen, betrifft Kreditvergabe | | KI-Bildgenerator | BEGRENZT | Erstellt synthetische Inhalte, Kennzeichnungspflicht | | Predictive-Maintenance-Sensor | MINIMAL | Kein Einfluss auf Einzelpersonen |

Was nach der Einstufung folgt

Für hochriskante Systeme benötigen Sie: ein Risikomanagementsystem, Datenverwaltungsverfahren, technische Dokumentation, automatisierte Protokollierung, Transparenzinformationen für Nutzer, Mechanismen zur menschlichen Aufsicht sowie Genauigkeits- und Robustheitstests. Zudem ist vor dem Einsatz eine Konformitätsbewertung erforderlich.

Für Systeme mit begrenztem Risiko sind Transparenzmaßnahmen erforderlich — Nutzer informieren, Inhalte kennzeichnen.

Für Systeme mit minimalem Risiko wird die Einhaltung freiwilliger Verhaltenskodizes empfohlen, jedoch bestehen jenseits der KI-Kompetenzanforderung keine Pflichten.

Beginnen Sie jetzt mit der Einstufung. Die Frist für hochriskante Systeme ist der 2. August 2026, und der Aufbau der Compliance-Infrastruktur benötigt Zeit.

Wichtige Dokumentationsanforderungen nach Risikostufe

Verbotene KI (Artikel 5): Keine Dokumentation erforderlich — diese Systeme müssen stillgelegt oder eingestellt werden. Wenn Sie eine verbotene Praxis in einem bestehenden System feststellen, dokumentieren Sie den Befund und Ihren Abhilfeplan zu Prüfzwecken.

Hochriskante KI (Anhang III): Vollständige Dokumentation nach Artikeln 9–15, einschließlich Risikomanagementsystem, Datenverwaltungsdokumentation, technischer Dokumentation (Anhang IV), automatischer Protokollierung, Gebrauchsanweisung sowie Nachweisen für menschliche Aufsichtsmaßnahmen. Soweit eine Konformitätsbewertung durch Dritte nach Artikel 43 vorgeschrieben ist, sind die EU-Konformitätserklärung aufzubewahren und das System in der EU-Datenbank zu registrieren (Artikel 71).

KI mit begrenztem Risiko (Artikel 50): Ausschließlich Transparenzdokumentation. Systeme müssen Nutzer informieren, wenn sie mit einer KI interagieren. Dokumentieren Sie den Offenlegungsmechanismus und die zur Kommunikation verwendete Benutzeroberfläche.

KI mit minimalem Risiko: Keine Pflichtdokumentation, jedoch empfiehlt sich als Best Practice ein internes Register aller KI-Systeme mit ihren Verwendungszwecken — dies unterstützt auch die KI-Kompetenzpflichten nach Artikel 4.

Häufig gestellte Fragen

Wie erkenne ich, ob mein KI-System unter Anhang III der EU-KI-Verordnung fällt?

Anhang III benennt acht konkrete Bereiche, in denen KI als hochriskant gilt, wenn sie wesentlichen Einfluss auf Einzelpersonen hat: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Zugang zu wesentlichen Dienstleistungen, Strafverfolgung, Migration und Grenzverwaltung sowie Rechtspflege. Das zentrale Kriterium ist, ob Ihr System in einem dieser Bereiche Entscheidungen über natürliche Personen trifft oder wesentlich beeinflusst. Ein Lebenslauf-Screening-Tool in einer Personalabteilung fällt eindeutig in die Kategorie Beschäftigung. Ein Betrugserkennungsmodell im Verbraucherkreditbereich fällt unter wesentliche Dienstleistungen. Bei Unsicherheiten hat die Europäische Kommission Leitlinien zur Auslegung der Anhang-III-Kategorien veröffentlicht.

Was ist der Unterschied zwischen einem hochriskanten und einem begrenzt riskanten KI-System?

Hochriskante KI-Systeme nach Anhang III erfordern das vollständige Compliance-Regime — Risikomanagement, Datenverwaltung, technische Dokumentation, Protokollierung, menschliche Aufsicht, Konformitätsbewertung und Registrierung. Systeme mit begrenztem Risiko nach Artikel 50 haben nur Transparenzpflichten: Nutzer müssen informiert werden, wenn sie mit einer KI interagieren, KI-generierte Inhalte müssen gekennzeichnet sein, und Systeme zur Emotionserkennung müssen die betroffene Person benachrichtigen. Der Unterschied im Compliance-Aufwand ist erheblich. Ein Kundendienst-Chatbot ist beispielsweise typischerweise begrenzt riskant und erfordert nur Transparenzoffenlegungen, während ein KI-Tool zur Bewerbersichtung hochriskant ist und den vollständigen Dokumentations- und Bewertungsprozess erfordert.

Kann ein KI-System im Laufe der Zeit die Risikostufe wechseln?

Ja. Die Risikostufe gilt für den Anwendungsfall und den Einsatzkontext des Systems, nicht nur für seine technische Architektur. Wenn ein Tool, das ursprünglich für Zwecke mit minimalem Risiko eingesetzt wurde — etwa eine Content-Empfehlungs-Engine — später angepasst wird, um Entscheidungen über den Zugang zu wesentlichen Dienstleistungen zu beeinflussen, ändert sich seine Risikoeinstufung. Anbieter und Betreiber müssen die Einstufung neu beurteilen, wenn sich Verwendungszweck, Einsatzkontext oder Dateneingaben wesentlich ändern. Deshalb ist die Führung eines KI-Inventars mit dokumentierten Anwendungsfällen wichtig: Es bildet die Grundlage, anhand derer Änderungen bewertet und Neueinstufungsentscheidungen dokumentiert werden können.

Quellen

  • EUR-Lex, Verordnung (EU) 2024/1689 (EU-KI-Verordnung), Anhang III (hochriskante KI-Systeme): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
  • Europäische Kommission, Leitlinien zur Risikoeinstufung nach der KI-Verordnung: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
  • ENISA, Methodik und Tools zur KI-Risikobewertung: https://www.enisa.europa.eu/topics/artificial-intelligence

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Key takeaways: KI-System nach der EU-KI-Verordnung einstufen: Schritt-für-Schritt-Anleitung

This article covers: Schritt 1: Prüfung verbotener Praktiken (Artikel 5), Schritt 2: Prüfung der Hochrisiko-Liste (Anhang III), Schritt 3: Prüfung von Transparenzpflichten (Artikel 50).

  • Schritt 1: Prüfung verbotener Praktiken (Artikel 5)
  • Schritt 2: Prüfung der Hochrisiko-Liste (Anhang III)
  • Schritt 3: Prüfung von Transparenzpflichten (Artikel 50)
  • Schritt 4: Minimales Risiko
  • Praxisbeispiele
Source: EuroComply Editorial (2025-02-15)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.