Argana Consulting GmbH
 Ihr externer Partner für Informationssicherheit, Datenschutz und Risikomanagement

EU AI Act: Risikoklassen, Klassifizierung, Fristen


Der EU AI Act: Pflichten nach Maß des Risikos

Die Verordnung (EU) 2024/1689 – der EU AI Act – ist das weltweit erste umfassende KI-Gesetz. Ihr Grundprinzip ist ebenso einfach wie folgenreich: Die Pflichten richten sich nicht nach der Technologie, sondern nach dem Risiko des konkreten Einsatzes. Dasselbe Sprachmodell kann als interner Textassistent nahezu unreguliert sein – und als Bewerbungs-Screening ein Hochrisiko-System mit umfassenden Anbieterpflichten.


Der risikobasierte Ansatz

Verbotene Praktiken (Art. 5): Manipulative Techniken, Social Scoring, Emotionserkennung am Arbeitsplatz oder ungezieltes Auslesen von Gesichtsbildern sind unzulässig – solche Systeme dürfen weder entwickelt noch in Verkehr gebracht werden.

Hochrisiko-KI (Art. 6, Anhang III): Systeme in sensiblen Bereichen – etwa Beschäftigung und Personalmanagement, Bildung, Kreditwürdigkeitsprüfung, kritische Infrastruktur – unterliegen den vollen Anforderungen des Kapitels III: Risikomanagementsystem, Daten-Governance, technische Dokumentation, Protokollierung, menschliche Aufsicht, Genauigkeit und Robustheit sowie ein Qualitätsmanagementsystem und die Konformitätsbewertung.

Begrenztes Risiko (Art. 50): Wer Chatbots betreibt oder synthetische Inhalte erzeugt, muss dies transparent machen – Nutzer müssen erkennen können, dass sie mit KI interagieren oder KI-generierte Inhalte sehen.

Minimales Risiko: Für alle übrigen Systeme gelten keine besonderen Pflichten; freiwillige Verhaltenskodizes (Art. 95) bleiben möglich. Unabhängig von der Risikoklasse gilt seit Februar 2025 die Pflicht zur KI-Kompetenz (Art. 4); für Allzweck-KI-Modelle (GPAI) bestehen eigene Pflichtenkataloge.


In drei Schritten zur Einstufung

Die Klassifizierung jedes KI-Systems folgt einem festen Prüfpfad: Erstens – liegt eine verbotene Praktik nach Art. 5 vor? Dann ist Schluss. Zweitens – ist das System ein Sicherheitsbauteil nach Anhang I oder einem Hochrisiko-Bereich des Anhangs III zuzuordnen, und greift keine Ausnahme nach Art. 6(3)? Dann gelten die vollen Pflichten; Profiling natürlicher Personen bleibt dabei stets hochriskant. Drittens – liegt eine Transparenz-Fallgruppe nach Art. 50 vor? Diese Pflichten können zusätzlich zur Hochrisiko-Einstufung greifen. Entscheidend ist: Jede Einstufung wird dokumentiert und begründet – sie ist die Weiche für alle folgenden Pflichten.


Die Fristen: gestaffelt – und in Bewegung

Der AI Act gilt gestuft: Seit Februar 2025 greifen die Verbote und die KI-Kompetenzpflicht, seit August 2025 die Pflichten für Allzweck-KI-Modelle. Zum 2. August 2026 werden die Transparenzpflichten des Art. 50 anwendbar. Für Hochrisiko-Systeme hat die im Mai 2026 erzielte politische Einigung zum „Digital Omnibus“ die Fristen verschoben: Anhang-III-Systeme auf den 2. Dezember 2027, in Produkte eingebettete Systeme nach Anhang I auf den 2. August 2028 – vorbehaltlich der noch ausstehenden formalen Annahme. Wer daraus einen Aufschub der Vorbereitung ableitet, unterschätzt den Umfang: Risikomanagementsystem, Daten-Governance, technische Dokumentation und Qualitätsmanagementsystem entstehen nicht in wenigen Monaten.


Wie diese Pflichten systematisch in Controls und Nachweise übersetzt werden, zeigt die Seite „AI-Act-Konformität umsetzen“.