Der AI Act und seine Risikoklassen: Was Unternehmen jetzt wissen müssen

Von /

Warum die EU Künstliche Intelligenz reguliert

Mit dem AI Act hat die Europäische Union einen weltweit einzigartigen Rechtsrahmen für Künstliche Intelligenz geschaffen. Ziel ist es, den Einsatz von KI-Systemen zu fördern, dabei aber gleichzeitig Grundrechte, Sicherheit und demokratische Prinzipien zu schützen. Der AI Act folgt einem risikobasierten Ansatz: Je größer das Risiko für die Gesellschaft, desto strenger die Regulierung. Diese Kategorisierung betrifft nicht nur Technologieanbieter, sondern auch Unternehmen, die KI-Systeme einsetzen – etwa im Marketing, Vertrieb, HR oder in der Kundeninteraktion.

Vier Risikoklassen im Überblick

Die Systematik des AI Act gliedert KI-Anwendungen in vier Klassen:

1. Verbotene KI

Diese Kategorie umfasst KI-Praktiken, die grundsätzlich als unvereinbar mit EU-Werten gelten und deshalb nicht zulässig sind. Dazu gehören:

  • Soziales Scoring durch Behörden oder Unternehmen, das das Verhalten von Personen systematisch bewertet
  • Subtile oder manipulative Beeinflussung von Verhalten, insbesondere bei vulnerablen Gruppen
  • Echtzeit-Biometrie im öffentlichen Raum zur Überwachung (mit Ausnahmen für die Strafverfolgung)
  • Emotionserkennung in sensiblen Kontexten wie Schule oder Arbeitsplatz

Für Unternehmen bedeutet das: Bestimmte Geschäftsmodelle oder Funktionalitäten sind regulatorisch ausgeschlossen – unabhängig von technischer Machbarkeit.

2. Hochrisiko-KI

Hochrisiko-Systeme sind erlaubt, aber stark reguliert. Sie betreffen kritische Anwendungsfelder, darunter:

  • Personal- und Bewerbungsprozesse
  • Kreditvergabe, Scoring-Modelle im Finanzwesen
  • Medizinische Diagnostik und Behandlungsempfehlungen
  • Zugang zu Bildung, sozialen Leistungen oder öffentlichen Diensten
  • Kritische Infrastrukturen (z. B. Energieversorgung, Verkehr, Wasserversorgung)

Unternehmen, die solche Systeme entwickeln oder nutzen, müssen umfangreiche Anforderungen erfüllen:

  • Risikomanagement und interne Kontrollmechanismen
  • Dokumentation und Protokollierung von Entscheidungen
  • Nachvollziehbarkeit („Erklärbarkeit“) der Entscheidungsprozesse
  • Menschliche Überwachung und Eingreifmöglichkeiten
  • Qualitätsmanagement und kontinuierliche Überprüfung

Wer heute beispielsweise eine KI-gestützte Bewerbervorselektion einsetzt, sollte sicherstellen, dass Auswahlkriterien dokumentiert, Diskriminierungsrisiken minimiert und menschliche Entscheidungsspielräume gewährleistet sind.

3. Begrenztes Risiko

Diese Kategorie betrifft KI-Systeme mit geringerem Schadenspotenzial für Nutzerinnen und Nutzer. Beispiele:

  • Chatbots im Kundenservice
  • Personalisierte Produktempfehlungen
  • Generative KI für Texte oder Bilder

Hier gilt eine überschaubare Verpflichtung: Transparenz. Nutzer:innen müssen darüber informiert werden, dass sie mit einer KI interagieren. Eine entsprechende Kennzeichnung – etwa ein Hinweis in der Benutzeroberfläche – reicht in der Regel aus.

4. Minimales Risiko

Hierunter fallen die meisten KI-Anwendungen im Unternehmensalltag: Spamfilter, Rechtschreibkorrekturen, Suchvorschläge oder interne Assistenzsysteme. Sie unterliegen keiner spezifischen Regulierung durch den AI Act. Dennoch gelten natürlich weiterhin Datenschutzgesetze und IT-Sicherheitsstandards.

So schätzen Unternehmen das Risiko korrekt ein

Eine praxisnahe Risikoeinschätzung lässt sich mit diesen fünf Fragen strukturieren:

  1. Wofür wird die KI eingesetzt? Hat sie Einfluss auf Entscheidungen mit rechtlichen, finanziellen oder sozialen Folgen?
  2. In welchem Umfeld wird sie genutzt? Sensible Bereiche wie Gesundheit, Arbeit oder öffentliche Dienste sind besonders reguliert.
  3. Wie autonom ist das System? Gibt es menschliche Kontrollinstanzen oder agiert die KI allein?
  4. Welche Daten werden verarbeitet? Geht es um biometrische, personenbezogene oder sensible Daten?
  5. Wer nutzt das System? Sind besonders schutzbedürftige Gruppen betroffen (z. B. Kinder, Patienten, Arbeitssuchende)?

Was Unternehmen jetzt tun sollten

Je früher Unternehmen ihre KI-Systeme systematisch einordnen, desto geringer ist der Anpassungsdruck, wenn die Regeln greifen. Konkret heißt das:

  • Bestandsaufnahme aller eingesetzten KI-Systeme
  • Kategorisierung nach Risikoklassen
  • Dokumentation, Auditierung, Kennzeichnung wo nötig
  • Klare Zuständigkeiten und Prozesse für Überwachung und Weiterentwicklung

Gerade im Marketing lohnt sich der frühe Blick. Automatisierte Scoring-Modelle zur Leadbewertung, KI-generierte Personalisierungen oder Entscheidungsunterstützung bei Vertragsverlängerungen können je nach Gestaltung als hochriskant gelten – oder nicht.

Fristen im Überblick

  • 1. August 2024: Der AI Act tritt offiziell in Kraft
  • 2. Februar 2025: Verbotene Praktiken müssen eingestellt werden
  • 2. August 2025: Hochrisiko-Systeme nach Anhang III unterliegen verbindlichen Anforderungen
  • 2. August 2026: Zusätzliche Pflichten für sicherheitskritische Systeme

Haftung und Absicherung nicht vergessen

Ergänzend zur technischen Klassifizierung sollte jedes Unternehmen auch rechtliche Risiken prüfen. Eine interne Checkliste hilft:

  • Wer haftet bei Fehlern oder Fehlentscheidungen?
  • Gibt es eine vertraglich geregelte Modellpflege?
  • Ist dokumentiert, wie Entscheidungen zustande kommen?
  • Besteht Versicherungsschutz für KI-Schäden?

Eine klare Governance-Struktur für KI lohnt sich – nicht nur für Compliance, sondern auch für Vertrauen und Zukunftssicherheit.

Dieser Artikel richtet sich an Marketingverantwortliche im Mittelstand, die fundiertes Wissen zum AI Act suchen – mit klaren Schritten, Praxisbezug und konkreten Umsetzungsempfehlungen.

Dieser Artikel wurde mit KI entwickelt.

Nach oben scrollen