Warum die Einstufung eines KI-Systems so wichtig ist
Bevor Sie eine KI einsetzen, müssen Sie wissen, in welche Risikoklasse sie fällt. Erst dadurch lässt sich beurteilen:
- ob der Einsatz überhaupt zulässig ist,
- welche rechtlichen Pflichten einzuhalten sind,
- welcher Aufwand für Compliance und Dokumentation entsteht.
Verbotene Systeme stehen ganz oben in der Risikoleiter. Direkt darunter folgen Hochrisiko-KI-Systeme – die strengste Kategorie der zulässigen KI-Anwendungen.
Was ist ein Hochrisiko-KI-System? Die zentrale Definition
Ein KI-System gilt als Hochrisiko, wenn sein Einsatz in Bereichen erfolgt, in denen Fehlfunktionen besonders weitreichende Konsequenzen haben können. Entscheidend ist dabei meist der konkrete Einsatzkontext. Typische Beispiele sind:
1. Einsatz in öffentlicher Verwaltung und Strafverfolgung
Systeme, die über staatliche Entscheidungen oder strafrechtliche Vorgänge mitentscheiden, sind hoch sensibel. Dazu zählen etwa:
- KI-gestützte Analysen in Ermittlungsverfahren,
- automatisierte Verwaltungsvorgänge wie Bescheidserteilung (z. B. Aufenthalts- oder Baugenehmigungen).
Hier geht es oft um erhebliche Grundrechtseingriffe – entsprechend hoch ist das Risiko.
2. Einsatz in HR-Prozessen
Auch Bewerbermanagement- oder Personalauswahl-Tools können als Hochrisiko-KI-System eingestuft werden, weil sie unmittelbare Auswirkungen auf berufliche Chancen und Diskriminierungsrisiken haben.
3. Integration in sicherheitskritische Produkte
Eine KI kann auch dann ein Hochrisiko-System sein, wenn sie nur ein Teil eines größeren Produkts ist. Maßgeblich ist das Risiko des Gesamtprodukts. Beispiele:
- Aufzugssteuerungen, die Personenbeförderung beeinflussen,
- Medizintechnik, etwa KI-basierte Steuerung chirurgischer Werkzeuge.
Die gleiche KI kann in einem weniger sensiblen Umfeld hingegen nicht hochrisikorelevant sein – ein klassisches Beispiel: Aufzugsteuerung (Hochrisiko) vs. Materialtransport im Bergwerk (kein Hochrisiko).
Externer DSB für Ihr Unternehmen
Sichern Sie sich zuverlässige Unterstützung im Datenschutz – individuell, skalierbar und rechtssicher.
Warum Hochrisiko-KI-Systeme so streng reguliert sind
Hochrisiko-KI-Systeme unterliegen einem umfangreichen Pflichtenkatalog. Dabei geht es im Kern immer um drei Bereiche:
- ordnungsgemäßer und zweckentsprechender Einsatz,
- Schulungen für alle Anwenderinnen und Anwender,
- Dokumentations- und Informationspflichten.
Je höher das Risiko, desto umfassender sind die Anforderungen. Was konkret auf Unternehmen zukommt, lesen Sie auch im Beitrag AI Act: Anforderungen an Unternehmen verständlich erklärt.
Besonderheit: General Purpose AI (GPAI)
Anders als klassische KI-Systeme lassen sich GPAI-Modelle nicht einfach nach dem Einsatzzweck klassifizieren, da sie nahezu beliebig eingesetzt werden können – von Textgenerierung bis hin zu HR-Prozessen oder Analysefunktionen für Behörden. Daher erfolgt die Einstufung nach ihrer Leistungsfähigkeit. Ab bestimmten Rechenkapazitäten können GPAI-Modelle selbst als Hochrisiko gelten.
Einen Leitfaden zur allgemeinen Klassifizierung finden Sie hier: KI-Systeme richtig klassifizieren: Leitfaden zum AI Act.
Was Sie jetzt tun sollten
Wenn Sie KI in Ihrem Unternehmen einsetzen oder den Einsatz planen, sollten Sie unbedingt klären, ob Ihr System als Hochrisiko-KI einzustufen ist. Das ist nicht nur für die rechtliche Zulässigkeit entscheidend, sondern beeinflusst auch Ihren Aufwand für Compliance und interne Prozesse.
Nutzen Sie gerne meinen kostenfreien Datenschutz-Check für eine anwaltliche Ersteinschätzung, wenn Sie Unterstützung bei der Bewertung benötigen.
Wenn Sie externe Expertise benötigen, begleite ich Sie außerdem als externer Datenschutzbeauftragter für Unternehmen.
