Zum Inhalt springen
11.2Fortgeschritten8 min

Risikoklassen des EU AI Act einfach erklärt: Die 4 Stufen mit Beispielen

Blck Alpaca·
Definition

Die EU-AI-Act-Risikoklassen teilen KI-Systeme in vier Stufen ein: unannehmbares Risiko (verboten, Art. 5), Hochrisiko (Art. 6, Anhang III/I), begrenztes Risiko mit Transparenzpflichten (Art. 50) und minimales Risiko. Maßgeblich ist der konkrete Einsatzzweck, nicht die Technik. Die Einstufung entscheidet über Pflichten und Bußgelder bis 35 Millionen Euro.

Auf einen Blick

  • Der EU AI Act kennt vier Risikoklassen: unannehmbar (verboten), hoch, begrenzt (Transparenz) und minimal. Maßgeblich ist nicht die Technik, sondern der konkrete Einsatzzweck des KI-Systems.
  • Die meisten Marketing- und B2B-Chatbots fallen in die Klasse begrenztes Risiko (Art. 50) und brauchen nur eine Offenlegung, dass Nutzer mit einer KI interagieren.
  • Hochrisiko wird ein KI-Agent erst durch den Anwendungsfall, etwa CV-Screening (Anhang III Punkt 4) oder Kreditscoring (Punkt 5). Innerhalb eines Anhang-III-Falls bleibt das Profiling natürlicher Personen stets Hochrisiko, die Art.-6(3)-Ausnahme greift hier nie.
  • Verbotene Praktiken (Art. 5) gelten bereits seit 2. Februar 2025 und treffen direkt Marketing und HR, etwa Emotionserkennung am Arbeitsplatz.
  • Die Bußgelder reichen von 7,5 Mio. Euro bzw. 1,5 Prozent (KI-Kompetenz) über 15 Mio. Euro bzw. 3 Prozent (Transparenz, Betreiberpflichten) bis 35 Mio. Euro bzw. 7 Prozent Konzernumsatz (verbotene Praktiken).
  • Die Hochrisiko-Pflichten nach Anhang III wurden durch den Digital Omnibus auf 2. Dezember 2027 verschoben (Stand 2026, vorbehaltlich Änderung). Bis zur formellen Verabschiedung bleibt der 2. August 2026 das rechtlich verbindliche Datum.

Die EU-AI-Act-Risikoklassen ordnen jedes KI-System einer von vier Stufen zu: unannehmbares Risiko (verboten), Hochrisiko, begrenztes Risiko mit Transparenzpflichten und minimales Risiko. Entscheidend ist nicht die Technologie, sondern der konkrete Einsatzzweck. Diese Einstufung bestimmt, welche Pflichten gelten und wie hoch das Bußgeldrisiko ist.

Wichtig vorweg: Die KI-Verordnung (Verordnung (EU) 2024/1689) kennt keinen eigenen Rechtsbegriff für KI-Agenten oder agentische KI. Ein KI-Agent wird immer als gewöhnliches KI-System nach Art. 3 Abs. 1 eingestuft, anhand seines Einsatzzwecks. Genau deshalb lohnt der genaue Blick auf die vier Risikoklassen.

  • Vier Klassen, ein Maßstab: Die Einstufung folgt dem Anwendungsfall, nicht dem Modell. Derselbe Chatbot kann je nach Aufgabe minimal oder hochriskant sein.
  • Die meisten B2B-Anwendungen sind unkritisch: Marketing-Agenten, interne Wissens-Assistenten und Kundenservice-Bots landen fast immer in den unteren beiden Stufen.
  • Hochrisiko entsteht durch den Zweck: HR-Screening, Kreditscoring oder Versicherungs-Pricing ziehen ein KI-System in den Hochrisiko-Bereich. Innerhalb eines solchen Anhang-III-Falls bleibt das Profiling natürlicher Personen stets Hochrisiko.

Die vier Risikoklassen im Überblick

Der EU AI Act baut eine sogenannte Risikopyramide auf. Je höher das potenzielle Risiko für Gesundheit, Sicherheit oder Grundrechte, desto strenger die Pflichten. Die folgende Tabelle fasst die Risikoklassen, typische Beispiele und die zentralen Pflichten zusammen.

Risikoklasse

Beispiele (KI-Agenten/Chatbots)

Zentrale Pflichten

Unannehmbar / verboten (Art. 5)

Emotionserkennung am Arbeitsplatz, Social Scoring, manipulative Marketing-Agenten unterhalb der Bewusstseinsschwelle

Vollständig verboten, seit 2. Februar 2025

Hochrisiko (Art. 6, Anhang III/I)

CV-Screening-Agent, Kreditentscheidungs-Agent, Versicherungs-Pricing-Agent, KI in kritischer Infrastruktur

Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung

Begrenztes Risiko (Art. 50)

Kundenservice-Chatbot, Voice-Agent, KI-generierte Marketinginhalte, Deepfakes

Transparenz: Offenlegung der KI-Interaktion, Kennzeichnung synthetischer Inhalte

Minimales Risiko

Interner Wissens-Agent über nicht-sensible Dokumente, Code-Generierungs-Copilot, Predictive Maintenance

Keine substanziellen Pflichten außer KI-Kompetenz (Art. 4)

Wichtig: Die Stufen schließen sich nicht gegenseitig aus. Ein einziger Agent kann gleichzeitig unter Art. 5, Art. 50 und über sein zugrunde liegendes Modell unter die GPAI-Regeln fallen.

Stufe 1: Unannehmbares Risiko (verboten, Art. 5)

Acht Praktiken sind EU-weit komplett verboten. Sie gelten bereits seit 2. Februar 2025 und sind mit dem höchsten Bußgeldrahmen belegt. Für Marketing und HR besonders relevant:

  • Manipulative oder täuschende Techniken mit erheblicher Schädigung, etwa persuasionsoptimierte Marketing-Agenten, die kognitive Verzerrungen unterhalb der bewussten Wahrnehmung ausnutzen (Art. 5 Abs. 1 lit. a).
  • Ausnutzung von Schwächen aufgrund von Alter, Behinderung oder sozioökonomischer Lage, etwa Agenten, die ältere Kunden mit nachteiligen Finanzprodukten ansprechen (lit. b).
  • Social Scoring durch öffentliche oder private Akteure mit nachteiliger Behandlung in unzusammenhängenden Kontexten (lit. c).
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen. Ein HR-Analytics-Agent, der Stimmung, Konzentration oder Stress von Beschäftigten aus Video, Audio oder Biometrie ableitet, ist im Arbeitskontext verboten (lit. f). Die Ausnahmen für medizinische und Sicherheitszwecke sind eng.

Der Digital Omnibus (politische Einigung vom 7. Mai 2026) hat ein neuntes Verbot ergänzt: KI-Systeme, die nicht-einvernehmliche intime Inhalte oder KI-generiertes Missbrauchsmaterial erzeugen, müssen bis 2. Dezember 2026 vom Markt.

Stufe 2: Hochrisiko-KI-System (Art. 6, Anhang III und I)

In den Hochrisiko-Bereich führen zwei Wege. Anhang I erfasst KI als Sicherheitsbauteil regulierter Produkte (etwa Maschinen, Medizinprodukte). Anhang III listet acht eigenständige Kategorien, darunter besonders relevant für B2B:

  • Beschäftigung und Personalmanagement (Punkt 4): Rekrutierung, CV-Screening, Leistungsbewertung, Beförderung, Kündigung, Aufgabenzuweisung.
  • Wesentliche private und öffentliche Dienste (Punkt 5): Kreditwürdigkeitsprüfung und Kreditscoring (außer Betrugserkennung), Risikobewertung und Preisgestaltung in der Lebens- und Krankenversicherung.
  • Kritische Infrastruktur (Punkt 2): KI als Sicherheitsbauteil im Betrieb von Strom, Wasser, Gas oder Verkehr.

Eine wichtige Ausnahme regelt Art. 6 Abs. 3: Selbst ein Anhang-III-Anwendungsfall ist nicht hochriskant, wenn das System nur eine eng begrenzte Verfahrensaufgabe erfüllt, das Ergebnis einer abgeschlossenen menschlichen Tätigkeit verbessert, Abweichungen erkennt, ohne die menschliche Bewertung zu ersetzen, oder eine vorbereitende Aufgabe übernimmt. Aber: Profiling natürlicher Personen bleibt immer Hochrisiko und ist von dieser Ausnahme ausgenommen (Art. 6 Abs. 3 Unterabs. 2). Wer sich auf die Ausnahme stützt, muss die Begründung dokumentieren und in der EU-Datenbank registrieren (Art. 6 Abs. 4, Art. 49 Abs. 2).

Hochrisiko-Systeme verlangen unter anderem ein Risikomanagementsystem (Art. 9), Daten-Governance (Art. 10), technische Dokumentation (Art. 11 mit Anhang IV), Protokollierung (Art. 12), menschliche Aufsicht (Art. 14) sowie Genauigkeit, Robustheit und Cybersicherheit (Art. 15). Betreiber treffen zusätzlich die Pflichten aus Art. 26, darunter die in der DACH-Region oft unterschätzte Pflicht, Beschäftigte und Arbeitnehmervertretungen vor dem Einsatz zu informieren (Art. 26 Abs. 7).

Stufe 3: Begrenztes Risiko und Transparenzpflichten (Art. 50)

Hier landen die meisten Marketing- und Kundendialog-Anwendungen. Es gelten ausschließlich Transparenzpflichten, keine substanziellen Hochrisiko-Anforderungen:

  • Art. 50 Abs. 1: KI-Systeme, die direkt mit Menschen interagieren, müssen so gestaltet sein, dass Nutzer erkennen, dass sie mit einer KI sprechen, es sei denn, das ist aus dem Kontext offensichtlich. Diese Pflicht trifft den Anbieter. Achtung beim Re-Branding eines White-Label-Chatbots: Dann werden Sie selbst zum Anbieter und tragen die Pflicht.
  • Art. 50 Abs. 2: Anbieter von KI, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugt, müssen die Ausgaben maschinenlesbar als künstlich erzeugt kennzeichnen.
  • Art. 50 Abs. 4: Betreiber müssen Deepfakes offenlegen. Bei KI-generierten Texten zu Themen von öffentlichem Interesse entfällt die Pflicht, wenn ein Mensch die redaktionelle Verantwortung übernommen hat.

Die Pflichten gelten ab 2. August 2026; die technische Frist für Kennzeichnung und Wasserzeichen endet laut Digital Omnibus am 2. Dezember 2026.

Stufe 4: Minimales Risiko

Alles andere, etwa Spam-Filter, interne RAG-Agenten über nicht-sensible Dokumente oder Code-Copiloten für den internen Gebrauch. Keine substanziellen Pflichten außer der KI-Kompetenz nach Art. 4 und freiwilligen Verhaltenskodizes (Art. 95).

Wo fallen typische KI-Agenten hin?

Die Praxis zeigt: Der gleiche technische Stack kann je nach Aufgabe in völlig unterschiedliche Klassen fallen. Beispiele aus der Research:

  • Marketing-Copywriting-Agent (intern): minimal, plus Kennzeichnung nach Art. 50 Abs. 2.
  • Kundenservice-Chatbot im Handel: begrenztes Risiko (Art. 50 Abs. 1).
  • Interner Wissens-Management-Agent: minimal.
  • CV-Screening-Agent: Hochrisiko (Anhang III Punkt 4).
  • Kreditentscheidungs-Agent: Hochrisiko (Anhang III Punkt 5 lit. b).
  • Betrugserkennungs-Agent für Zahlungskarten: minimal/begrenzt, dank ausdrücklicher Ausnahme. Wird dasselbe Modell für Kreditscoring wiederverwendet, kippt die Einstufung.
  • Mitarbeiter-Stimmungserkennung am Arbeitsplatz: verboten (Art. 5 Abs. 1 lit. f).

Eine häufige Fehleinschätzung: „Wir nutzen nur Microsoft 365 Copilot, also sind wir nicht betroffen." Falsch. Wer Copilot zur Vorbereitung einer beschäftigungsbezogenen Entscheidung einsetzt, bewegt sich in Anhang III Punkt 4. Der Betreiber ist der verantwortliche Operator nach Art. 26.

Konkretes Beispiel mit Zahlen

Ein österreichischer Industrie-Mittelständler setzt einen CV-Screening-Agenten ein, der jährlich rund 3.000 Bewerbungen vorsortiert. Damit liegt ein klarer Hochrisiko-Fall nach Anhang III Punkt 4 lit. a vor, weil das System Beschäftigungsentscheidungen beeinflusst und Personen profiliert.

Folgen: Der Agent benötigt menschliche Aufsicht (Recruiter prüfen jedes Ranking) und die Information der Belegschaft vor Inbetriebnahme (Art. 26 Abs. 7). Die Personalvertretung muss nach § 91 ArbVG eingebunden werden, was den Rollout in der Praxis um 3 bis 6 Monate verlängern kann. Eine verpflichtende Grundrechte-Folgenabschätzung (FRIA nach Art. 27) trifft ein privatwirtschaftliches Unternehmen bei einem reinen HR-Screening-Fall hingegen nicht: Die FRIA ist für private Betreiber nur bei Kreditwürdigkeit (Anhang III Punkt 5 lit. b) und Lebens-/Krankenversicherungs-Pricing (Punkt 5 lit. c) sowie für öffentliche Stellen und Anbieter öffentlicher Dienste vorgeschrieben. Eine freiwillige Grundrechte-Prüfung bleibt dennoch gute Praxis.

Das finanzielle Risiko ist erheblich. Die Bußgeldstufen nach Art. 99 sind gestaffelt:

Stufe

Maximales Bußgeld

Auslöser

Stufe 1

35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes

Verbotene Praktiken (Art. 5)

Stufe 2

15 Mio. Euro oder 3 %

Betreiberpflichten (Art. 26), Transparenz (Art. 50), Registrierung (Art. 49)

Stufe 3

7,5 Mio. Euro oder 1,5 %

KI-Kompetenz (Art. 4), falsche Angaben an Behörden

Bei KMU und Start-ups gilt nach Art. 99 Abs. 6 jeweils der niedrigere der beiden Beträge; der Digital Omnibus weitet diesen Schutz auf kleine Mid-Cap-Unternehmen aus.

Zeitlicher Vorbehalt: Digital Omnibus

Stand 2026, vorbehaltlich Änderung: Die politische Einigung zum Digital Omnibus vom 7. Mai 2026 verschiebt die Hochrisiko-Pflichten nach Anhang III auf 2. Dezember 2027 und nach Anhang I auf 2. August 2028, sofern die formelle Verabschiedung vor dem 2. August 2026 erfolgt. Bis dahin bleibt der ursprüngliche 2. August 2026 das rechtlich verbindliche Standarddatum. Unverändert in Kraft sind die Verbote (Art. 5, seit 2. Februar 2025), die KI-Kompetenz (Art. 4), die GPAI-Regeln (seit 2. August 2025) und der Bußgeldrahmen. Eine Pause bei der Governance ist also keine Option.

Für Agenturen und B2B

Für Agenturen: Die Risikoeinstufung gehört an den Anfang jedes KI-Projekts, nicht ans Ende. Wer für Kunden Chatbots oder Marketing-Agenten baut, sollte die Transparenzpflicht nach Art. 50 von Beginn an mitdenken und beim Re-Branding fremder Systeme die eigene Anbieterrolle prüfen. Für B2B-Entscheider: Erstellen Sie ein Inventar Ihrer KI-Anwendungen, ordnen Sie jede einer Risikoklasse zu und achten Sie besonders auf den Sprung von minimal zu Hochrisiko, der oft unbemerkt durch eine neue Datenquelle oder einen neuen Einsatzzweck entsteht. Blck Alpaca unterstützt Sie bei der Klassifizierung und beim Aufbau einer belastbaren Compliance-Dokumentation.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für die verbindliche Bewertung Ihres konkreten Falls ziehen Sie bitte qualifizierten Rechtsrat hinzu.

Häufig gestellte Fragen

Wie viele Risikoklassen kennt der EU AI Act?
Der EU AI Act kennt vier Risikoklassen für KI-Systeme: unannehmbares Risiko (verbotene Praktiken nach Art. 5), Hochrisiko (Art. 6 in Verbindung mit Anhang I und III), begrenztes Risiko mit Transparenzpflichten (Art. 50) und minimales Risiko. Parallel dazu existiert ein eigenes Regime für GPAI-Modelle (Art. 51 bis 55), das auf der Modellebene ansetzt.
In welche Risikoklasse fällt ein Kundenservice-Chatbot?
Ein typischer Kundenservice-Chatbot im Handel fällt in die Klasse begrenztes Risiko und unterliegt nur der Transparenzpflicht aus Art. 50 Abs. 1: Nutzer müssen erkennen können, dass sie mit einer KI sprechen. Hochrisiko wird der Chatbot erst, wenn er Entscheidungen über den Zugang zu wesentlichen Diensten trifft, etwa die Kreditwürdigkeit bewertet.
Was bedeutet unannehmbares Risiko im EU AI Act?
Unannehmbares Risiko bezeichnet KI-Praktiken, die nach Art. 5 vollständig verboten sind, etwa Social Scoring, manipulative Techniken mit erheblicher Schädigung oder Emotionserkennung am Arbeitsplatz. Diese Verbote gelten bereits seit 2. Februar 2025. Verstöße können mit bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden.
Wann gelten die Hochrisiko-Pflichten des EU AI Act?
Ursprünglich war der 2. August 2026 vorgesehen. Der Digital Omnibus (politische Einigung vom 7. Mai 2026) verschiebt die Anhang-III-Hochrisiko-Pflichten auf 2. Dezember 2027 und die Anhang-I-Produktsicherheits-KI auf 2. August 2028. Stand 2026 und vorbehaltlich Änderung: Bis zur formellen Verabschiedung bleibt der 2. August 2026 das rechtlich verbindliche Datum.
Macht der Einsatz von Microsoft 365 Copilot mein Unternehmen zum Hochrisiko-Betreiber?
Nicht durch das Tool selbst, sondern durch den Einsatzzweck. Wer Copilot zur reinen Textunterstützung nutzt, bleibt im minimalen Risiko. Wird Copilot jedoch genutzt, um eine beschäftigungsbezogene Entscheidung wie eine Bewerberauswahl vorzubereiten, bewegt sich der Betreiber im Hochrisiko-Bereich nach Anhang III Punkt 4 und trägt die Betreiberpflichten aus Art. 26.
Brauche ich für jeden Hochrisiko-Agenten eine Grundrechte-Folgenabschätzung?
Nein. Die FRIA nach Art. 27 ist für private Betreiber nur bei Kreditwürdigkeitsprüfung (Anhang III Punkt 5 lit. b) und Lebens-/Krankenversicherungs-Pricing (Punkt 5 lit. c) Pflicht, außerdem für öffentliche Stellen und private Anbieter öffentlicher Dienste. Ein reiner HR-Screening-Agent (Punkt 4) löst sie für ein privatwirtschaftliches Unternehmen nicht automatisch aus, wohl aber die übrigen Betreiberpflichten aus Art. 26.

Tiefer einsteigen?

Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.

Newsletter abonnierenUnsere Services
VorherigerEU AI Act: Zeitplan und Fristen 2024–2027 (Stand 2026)NächsterArtikel 4 EU AI Act: Die KI-Kompetenz-Pflicht (AI Literacy) verständlich erklärt