Warum die Klassifizierung Ihres KI-Systems entscheidend ist
Bevor Sie eine KI nutzen oder entwickeln, müssen Sie wissen, in welche Risikokategorie sie fällt. Erst diese Einordnung zeigt Ihnen:
- ob Ihr System überhaupt zulässig ist,
- welche Compliance‑Pflichten gelten,
- welche Maßnahmen Sie dokumentieren und umsetzen müssen.
Die Risikoklasse bestimmt also die gesamte rechtliche Behandlung Ihres KI-Projekts. Wenn Sie sich unsicher sind, hilft Ihnen auch ein kostenfreier Datenschutz-Check für Ihr Unternehmen bei der ersten Einordnung.
Verbotene KI-Systeme: Risiko unvertretbar hoch
In der höchsten Kategorie landen KI-Systeme, die per se untersagt sind. Hier geht es um Anwendungen, die Menschen manipulieren oder systematisch benachteiligen. Beispiele:
- Social Scoring zur Bewertung von Personen,
- anlasslose Gesichtserkennung oder biometrische Analysen,
- Manipulationssysteme, die gezielt Verhalten beeinflussen.
Bei dieser Kategorie gibt es keine Möglichkeit, das Risiko zu reduzieren – der Einsatz ist schlicht verboten.
Hochrisiko-KI: Hoher Schutzbedarf und umfangreiche Pflichten
Unterhalb der verbotenen Kategorie liegen die Hochrisiko-Systeme. Sie dürfen eingesetzt werden, unterliegen aber strengen Anforderungen. Typische Einsatzbereiche sind:
- öffentliche Verwaltung (z. B. Entscheidungen über Aufenthaltstitel oder Baugenehmigungen),
- Strafverfolgung,
- HR‑Prozesse wie Bewerbervorauswahl,
- Sicherheitskritische Produkte wie Aufzüge oder Medizintechnik, wenn KI Bestandteil der Steuerung wird.
Wichtig ist: Die Hochrisiko-Einstufung richtet sich oft nicht nach der KI selbst, sondern nach ihrem Einsatzort. Die gleiche KI‑Software kann je nach Umgebung hochrisikorelevant oder völlig unkritisch sein.
Für Hochrisiko-KI gelten umfangreiche Pflichten, typisch im Bereich:
- Risikomanagement,
- Schulung der Anwender,
- Dokumentation und Informationspflichten.
Externer DSB für Ihr Unternehmen
Sichern Sie sich zuverlässige Unterstützung im Datenschutz – individuell, skalierbar und rechtssicher.
KI mit beschränktem Risiko: Der Hauptfall im Unternehmensalltag
Die meisten Systeme, die Sie im Unternehmensalltag nutzen, fallen in die Kategorie „beschränktes Risiko“. Dazu gehören insbesondere KI‑Systeme, die mit Menschen interagieren – zum Beispiel Chatbots.
Hier stehen vor allem Transparenzpflichten im Vordergrund. Sie müssen Nutzer darüber informieren, dass sie mit einer KI interagieren. Mehr ist in vielen Fällen nicht erforderlich.
Geringes Risiko: Praktisch keine Anforderungen
Systeme mit geringem Risiko sind so unkritisch, dass sie kaum Pflichten auslösen. Typische Beispiele:
- Spam‑Filter,
- einfache Textvorschlagssysteme,
- Anwendungen ohne Interaktion mit Personen.
General‑Purpose‑AI (GPAI): Sonderfall für leistungsstarke Systeme
LLMs und ähnliche breit einsetzbare Systeme sind ein spezieller Fall. Sie können theoretisch alles – von Kochrezepten bis zu Bewerberanalysen. Deshalb können sie nicht einfach nach ihrem Einsatzzweck eingestuft werden.
Für GPAI gilt: Die Klassifizierung richtet sich nach der Leistungsfähigkeit. Ab einer bestimmten Rechenkapazität (über 1025 FLOPS) kann die Einstufung in Richtung Hochrisiko gehen. Künftig wird die EU-Kommission zusätzlich technische Merkmale definieren, anhand derer GPAI bewertet werden.
Fazit: Die richtige Einordnung entscheidet über Ihre Pflichten
Ob Sie Transparenzhinweise erfüllen müssen oder ein umfassenderes Risikomanagement benötigen – alles hängt an der Klassifizierung Ihres KI-Systems. Wenn Sie Unterstützung benötigen, lohnt sich oftmals die Beratung durch einen Fachanwalt für IT-Recht, der Ihre Prozesse rechtssicher begleitet.
