Die kurze Antwort
Die EU-KI-Verordnung teilt KI-Systeme in vier Risikoklassen ein: inakzeptabel (verboten), hochriskant (stark reguliert), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (weitgehend unreguliert). Hochrisiko ist die Klasse, die für Unternehmen am wichtigsten ist, denn sie bringt Pflichten zu Dokumentation, Aufsicht, Daten-Governance und Monitoring mit sich. Die meisten Pflichten für Hochrisiko-Systeme gelten ab August 2026 - jedes System, das Sie heute in Produktion bringen, sollte also bereits darauf ausgelegt sein.
Die vier Risikoklassen, verständlich erklärt
Die EU-KI-Verordnung ist risikobasiert: Je mehr Schaden ein System anrichten könnte, desto stärker wird es reguliert. Sie definiert vier Klassen.
Systeme mit inakzeptablem Risiko - etwa Social Scoring durch Behörden oder Systeme, die schutzbedürftige Gruppen manipulieren - sind grundsätzlich verboten. Systeme mit begrenztem Risiko, etwa Chatbots, tragen vor allem Transparenzpflichten: Menschen muss gesagt werden, dass sie mit KI interagieren. Systeme mit minimalem Risiko, etwa Spamfilter, sind weitgehend unreguliert. Die Klasse, die den meisten Aufwand verursacht, ist Hochrisiko.
Was macht ein System hochriskant?
Ein System ist in zwei Hauptfällen hochriskant. Erstens, wenn es eine Sicherheitskomponente eines bereits nach EU-Recht regulierten Produkts ist, etwa Medizinprodukte, Maschinen oder Luftfahrt. Zweitens, wenn es in einen der Anwendungsfälle fällt, die die Verordnung in Anhang III ausdrücklich auflistet.
Anhang III umfasst Bereiche wie biometrische Identifizierung, Betrieb kritischer Infrastruktur, Bildung und Prüfungsbewertung, Beschäftigung und Personalauswahl, Zugang zu wesentlichen Diensten einschließlich Kreditwürdigkeitsprüfung und Versicherungstarifierung, Strafverfolgung, Migration und Grenzkontrolle sowie Rechtspflege. Wenn Ihre KI Entscheidungen in diesen Bereichen beeinflusst, gehen Sie von Hochrisiko aus, bis Sie das Gegenteil bestätigt haben.
Welche Pflichten bringt Hochrisiko mit sich?
Hochrisiko-Systeme tragen die größte Compliance-Last. Sie benötigen ein Risikomanagementsystem über den gesamten Lebenszyklus, eine Daten-Governance für Qualität und Repräsentativität von Trainings- und Eingabedaten sowie eine detaillierte technische Dokumentation, die die Konformität nachweist.
Außerdem brauchen Sie Aufzeichnungen und automatische Protokollierung von Ereignissen, klare Anweisungen für die Personen, die das System einsetzen, menschliche Aufsicht, die ein Eingreifen oder Stoppen erlaubt, sowie ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit. Anbieter müssen eine Konformitätsbewertung durchführen und das System vor dem Inverkehrbringen in der EU-Datenbank registrieren.
Wer ist verantwortlich - Anbieter oder Betreiber?
Die Verordnung unterscheidet den Anbieter, der das System entwickelt und in Verkehr bringt, vom Betreiber, der es in eigener Verantwortung nutzt. Die meisten Pflichten treffen den Anbieter, aber auch Betreiber haben echte Pflichten: das System gemäß Anweisung nutzen, menschliche Aufsicht sicherstellen, den Betrieb überwachen und Logs führen.
Der Haken für Unternehmen: Wenn Sie ein Hochrisiko-System wesentlich verändern oder unter Ihrem eigenen Namen führen, können Sie selbst zum Anbieter werden und erben die Anbieterpflichten. Deshalb braucht KI im Eigenbau oder mit einem Partner dieselbe Compliance-Sorgfalt, die Sie von einem Anbieter erwarten würden.
Der Zeitplan, auf den es ankommt
Die EU-KI-Verordnung ist 2024 in Kraft getreten und gilt in Stufen. Verbote für Systeme mit inakzeptablem Risiko und Pflichten zur KI-Kompetenz galten zuerst, Anfang 2025. Pflichten für KI-Modelle mit allgemeinem Verwendungszweck folgten im August 2025.
Die Pflichten für Hochrisiko-Systeme aus Anhang III gelten ab August 2026. Systeme, die in bereits regulierte Produkte eingebettet sind, haben bis August 2027 Zeit. Die praktische Konsequenz: Wenn Sie 2026 ein Hochrisiko-System in Produktion bringen, gibt es keine Schonfrist, um Compliance später nachzurüsten - sie muss jetzt eingebaut sein.
Was jetzt zu tun ist
Beginnen Sie mit einer Inventur. Listen Sie die KI-Systeme auf, die Sie betreiben oder planen, und stufen Sie jedes anhand von Anhang III nach Risikoklasse ein. Für alles, was als Hochrisiko gilt, prüfen Sie die Lücken gegenüber den genannten Pflichten: Dokumentation, Daten-Governance, menschliche Aufsicht, Protokollierung und Monitoring.
Behandeln Sie Compliance als Betriebsdisziplin, nicht als einmaliges Zertifikat. Am einfachsten konform zu halten sind die Systeme, die von Anfang an für Nachvollziehbarkeit und Aufsicht instrumentiert wurden. Genau dafür sind kontinuierlicher KI-Betrieb und Governance da.
Dieser Beitrag ist allgemeine Orientierung, keine Rechtsberatung. Klären Sie Ihre konkreten Pflichten mit qualifiziertem Rechtsbeistand für Ihre Systeme.
Andreas Eiselt
Gründer & CEO, Innovandio