EU AI Act: Risikoklassen, Klassifizierung, Fristen
Der EU AI Act: Pflichten nach Maß des Risikos
Die Verordnung (EU) 2024/1689 – der EU AI Act – ist das weltweit erste umfassende KI-Gesetz. Ihr Grundprinzip ist ebenso einfach wie folgenreich: Die Pflichten richten sich nicht nach der Technologie, sondern nach dem Risiko des konkreten Einsatzes. Dasselbe Sprachmodell kann als interner Textassistent nahezu unreguliert sein – und als Bewerbungs-Screening ein Hochrisiko-System mit umfassenden Anbieterpflichten.
Der risikobasierte Ansatz
Verbotene Praktiken (Art. 5): Manipulative Techniken, Social Scoring, Emotionserkennung am Arbeitsplatz oder ungezieltes Auslesen von Gesichtsbildern sind unzulässig – solche Systeme dürfen weder entwickelt noch in Verkehr gebracht werden.
Hochrisiko-KI (Art. 6, Anhang III): Systeme in sensiblen Bereichen – etwa Beschäftigung und Personalmanagement, Bildung, Kreditwürdigkeitsprüfung, kritische Infrastruktur – unterliegen den vollen Anforderungen des Kapitels III: Risikomanagementsystem, Daten-Governance, technische Dokumentation, Protokollierung, menschliche Aufsicht, Genauigkeit und Robustheit sowie ein Qualitätsmanagementsystem und die Konformitätsbewertung.
Begrenztes Risiko (Art. 50): Wer Chatbots betreibt oder synthetische Inhalte erzeugt, muss dies transparent machen – Nutzer müssen erkennen können, dass sie mit KI interagieren oder KI-generierte Inhalte sehen.
Minimales Risiko: Für alle übrigen Systeme gelten keine besonderen Pflichten; freiwillige Verhaltenskodizes (Art. 95) bleiben möglich. Unabhängig von der Risikoklasse gilt seit Februar 2025 die Pflicht zur KI-Kompetenz (Art. 4); für Allzweck-KI-Modelle (GPAI) bestehen eigene Pflichtenkataloge.
In drei Schritten zur Einstufung
Die Klassifizierung jedes KI-Systems folgt einem festen Prüfpfad: Erstens – liegt eine verbotene Praktik nach Art. 5 vor? Dann ist Schluss. Zweitens – ist das System ein Sicherheitsbauteil nach Anhang I oder einem Hochrisiko-Bereich des Anhangs III zuzuordnen, und greift keine Ausnahme nach Art. 6(3)? Dann gelten die vollen Pflichten; Profiling natürlicher Personen bleibt dabei stets hochriskant. Drittens – liegt eine Transparenz-Fallgruppe nach Art. 50 vor? Diese Pflichten können zusätzlich zur Hochrisiko-Einstufung greifen. Entscheidend ist: Jede Einstufung wird dokumentiert und begründet – sie ist die Weiche für alle folgenden Pflichten.
Die Fristen: gestaffelt – und in Bewegung
Der AI Act gilt gestuft: Seit Februar 2025 greifen die Verbote und die KI-Kompetenzpflicht, seit August 2025 die Pflichten für Allzweck-KI-Modelle. Zum 2. August 2026 werden die Transparenzpflichten des Art. 50 anwendbar. Für Hochrisiko-Systeme hat die im Mai 2026 erzielte politische Einigung zum „Digital Omnibus“ die Fristen verschoben: Anhang-III-Systeme auf den 2. Dezember 2027, in Produkte eingebettete Systeme nach Anhang I auf den 2. August 2028 – vorbehaltlich der noch ausstehenden formalen Annahme. Wer daraus einen Aufschub der Vorbereitung ableitet, unterschätzt den Umfang: Risikomanagementsystem, Daten-Governance, technische Dokumentation und Qualitätsmanagementsystem entstehen nicht in wenigen Monaten.
Wie diese Pflichten systematisch in Controls und Nachweise übersetzt werden, zeigt die Seite „AI-Act-Konformität umsetzen“.


