Welche Risikoklassen gibt es in der EU KI-Verordnung? 

Die EU-KI-Verordnung teilt KI-Systeme in vier Risikostufen ein – je nachdem, wie stark sie potenziell Menschen oder die Gesellschaft beeinträchtigen können. Ein Überblick: 

1. Unvertretbares Risiko – Verboten 

KI-Systeme dieser Kategorie gefährden grundlegende Rechte, Sicherheit oder demokratische Prinzipien. Dazu gehören zum Beispiel:

• Social-Scoring-Systeme
• Manipulative oder ausnutzende KI, die gezielt verletzliche Gruppen anspricht
• Echtzeit-Biometrie in öffentlichen Räumen (nur in wenigen Ausnahmen erlaubt) 

Diese Systeme sind durch die Verordnung ausdrücklich verboten.

2. Hohes Risiko – Strenge Vorgaben

KI-Systeme mit hohem Risiko können das Leben von Menschen oder die öffentliche Sicherheit erheblich beeinflussen. Dazu zählen unter anderem: 

• KI zur Auswahl oder Bewertung von Bewerberinnen und Bewerbern 
• Gesichtserkennung und biometrische Identifizierung 
• Systeme in kritischen Infrastrukturen wie Verkehr, Energie oder Gesundheitswesen 
• Bildungstechnologien zur Leistungsbewertung 
• Anwendungen in der Strafverfolgung oder bei Grenzkontrollen 

Fällt Ihr KI-System in diese Bereiche, müssen Sie strenge Anforderungen an das Risikomanagement, die technische Dokumentation und angemessene menschliche Aufsichtsmaßnahmen erfüllen. 

3. Begrenztes Risiko – Transparenzpflichten 

KI-Systeme mit begrenztem Risiko sind grundsätzlich erlaubt, müssen aber offen gekennzeichnet werden. Das bedeutet: Nutzerinnen und Nutzer sollen jederzeit erkennen können, dass sie mit KI zu tun haben. Beispiele für diese Kategorie sind: 

• Chatbots, die menschliche Interaktion simulieren 
• KI-generierte Inhalte wie Avatare oder virtuelle Influencer 
• Emotions­erkennungs­systeme in nicht-kritischen Anwendungsbereichen 

Wichtig ist hier vor allem eines: Transparenz. Wer solche Systeme einsetzt, muss klar kommunizieren, dass Inhalte oder Interaktionen von KI stammen. 

4. Minimales Risiko – Keine Verpflichtungen 

Diese Systeme gelten als weitgehend unbedenklich, da sie kaum Auswirkungen auf Rechte oder Sicherheit haben. Typische Beispiele sind: 

• Spamfilter
• Empfehlungssysteme im Onlinehandel 
• KI-gestützte Unterhaltung oder Videospiele 

Pflichten gibt es in dieser Kategorie keine. Dennoch empfiehlt die EU, freiwillige Standards und Best Practices zu beachten – auch bei scheinbar harmlosen Anwendungen. 

Welche Compliance-Anforderungen gelten für Sie? 

Welche Pflichten Sie im Rahmen der EU-KI-Verordnung erfüllen müssen, hängt davon ab, wie Ihr KI-System eingestuft wird. Gehört es zur Hochrisiko-Kategorie, müssen Sie eine ganze Reihe von Anforderungen erfüllen, bevor Sie es auf den Markt bringen oder intern einsetzen dürfen. 

Was Sie bei Hochrisiko-KI beachten müssen 

Fällt Ihr KI-System in die Hochrisiko-Kategorie, sollten Sie folgende Anforderungen umsetzen: 

• Risikomanagement: Führen Sie einen dokumentierten, kontinuierlichen Risikomanagementprozess ein, der den gesamten Lebenszyklus Ihres KI-Systems abdeckt – von der Entwicklung bis zum laufenden Betrieb 
• Datenmanagement: Achten Sie darauf, dass die verwendeten Datensätze relevant, repräsentativ und möglichst frei von Verzerrungen sind. So stellen Sie sicher, dass Ihr System fair und zuverlässig funktioniert 
• Technische Dokumentation: Erstellen Sie eine klare, nachvollziehbare Dokumentation, die das Design, den Einsatzzweck, die Leistung und mögliche Risiken Ihres Systems verständlich beschreibt 
• Transparenz und Erklärbarkeit: Machen Sie deutlich, wie Ihr KI-System funktioniert. Erklären Sie die Logik, Grenzen und Zielsetzungen des Systems und stellen Sie klare Nutzungsanweisungen bereit 
• Menschliche Aufsichtsmaßnahmen: KI-Systeme dürfen nicht unbeaufsichtigt agieren. Bestimmen Sie qualifizierte Personen, die das System überwachen und bei Bedarf korrigierend eingreifen können 
• Monitoring nach dem Inverkehrbringen: Auch nach der Einführung ist Wachsamkeit gefragt. Entwickeln Sie eine Strategie zur laufenden Überwachung, um mögliche Fehler frühzeitig zu erkennen und schwerwiegende Vorfälle zu melden 

Was gilt für KI-Systeme mit geringem Risiko? 

Auch KI-Systeme mit geringem oder begrenztem Risiko unterliegen bestimmten Vorgaben. Wenn Sie zum Beispiel einen Chatbot einsetzen oder KI-generierte Inhalte bereitstellen, müssen Sie klar darauf hinweisen, dass Nutzerinnen und Nutzer mit einer KI interagieren. Diese Transparenzpflicht gehört zu den zentralen Anforderungen der EU-KI-Verordnung. 

Wer muss die EU-KI-Verordnung einhalten 

Die EU-KI-Verordnung richtet sich an eine Vielzahl von Akteuren entlang der gesamten Wertschöpfungskette von KI-Systemen – sowohl innerhalb der EU als auch darüber hinaus. Sie gilt konkret für: 

• Anbieter: Unternehmen, die ein KI-System entwickeln oder es unter eigenem Namen oder eigener Marke auf dem EU-Markt bereitstellen. Dazu zählt auch die interne Entwicklung oder wesentliche Veränderung bestehender Systeme 
• Betreiber: Unternehmen oder Institutionen, die KI-Systeme im beruflichen Kontext einsetzen – sei es intern, etwa in HR oder Finance, oder extern, zum Beispiel im Kundenservice 
• Einführer: Unternehmen, die KI-Systeme aus Drittländern in die EU importieren, um sie hier zu vertreiben oder einzusetzen 
• Händler: Akteure, die KI-Systeme innerhalb der EU vermarkten, ohne diese technisch zu verändern oder selbst als Anbieter aufzutreten 
• Unternehmen außerhalb der EU: Jedes Unternehmen, das KI-Systeme für den EU-Markt anbietet oder dessen Systeme Personen innerhalb der EU betreffen 

Egal ob Sie KI selbst entwickeln, bestehende Modelle einbinden oder Lösungen von Drittanbietern nutzen – Sie sind in jedem Fall verpflichtet, die Vorgaben der EU-KI-Verordnung einzuhalten.

Wie sieht der Zeitplan für die Umsetzung der EU-KI-Verordnung aus? 

Bei der EU-KI-Verordnung zählt das richtige Timing, denn nicht alle Anforderungen gelten sofort. Die Umsetzung erfolgt stufenweise. Hier sind die wichtigsten Termine im Überblick: 

Wichtige Termine: 

• 1. August 2024: Die EU-KI-Verordnung tritt offiziell in Kraft 
• 2. Februar 2025: Verbote für unzulässige KI-Systeme und Anforderungen an KI-Kompetenz werden wirksam 
• 2. August 2025: Pflichten für KI-Modelle mit allgemeinem Verwendungszweck und neue Vorgaben für Governance-Strukturen treten in Kraft 
• 2. August 2026: Die meisten weiteren Verpflichtungen – insbesondere für hochriskante KI-Systeme – werden verbindlich 
• 2. August 2027: Die Übergangsfrist für hochriskante KI-Systeme, die bereits in regulierten Produkten wie Medizinprodukten oder Fahrzeugen eingebettet sind, endet 

Wenn Sie hochriskante KI-Systeme entwickeln oder nutzen, ist jetzt der richtige Zeitpunkt, um Prozesse zu prüfen, technische Dokumentationen vorzubereiten und Ihr Unternehmen gezielt auf die neuen Anforderungen auszurichten.

Welche Bußgelder drohen bei Verstößen gegen die EU-KI-Verordnung? 

Die EU-KI-Verordnung beinhaltet ein gestaffeltes Bußgeldsystem. Je schwerwiegender der Verstoß, desto höher fällt die Strafe aus: 

• Verbotene KI-Systeme: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist 
• Verstöße gegen sonstige Pflichten (z. B. bei fehlenden Aufsichtsmaßnahmen oder unzureichender Dokumentation): bis zu 15 Mio. € oder 3 % des weltweiten Umsatzes
• Falsche oder irreführende Angaben: bis zu 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes 

Auch wenn für kleine und mittlere Unternehmen sowie Start-ups geringere Strafen vorgesehen sind, müssen alle Unternehmen die Compliance-Pflichten gleichermaßen erfüllen. 

Worin unterscheidet sich die EU-KI-Verordnung von der DSGVO? 

Sie fragen sich vielleicht, wie die EU-KI-Verordnung mit der DSGVO zusammenhängt – gerade weil viele KI-Systeme personenbezogene Daten verarbeiten. Auch wenn sich die beiden Regelwerke teilweise überschneiden, verfolgen sie unterschiedliche Ziele.

Die EU-KI-Verordnung richtet sich gezielt an KI-Systeme und -Modelle. Sie soll sicherstellen, dass KI-Technologien sicher, transparent und im Einklang mit den Grundrechten eingesetzt werden. Dabei ist es unerheblich, ob ein System personenbezogene Daten verarbeitet oder nicht. Im Mittelpunkt steht ein risikobasierter Ansatz mit konkreten Anforderungen an Risikomanagement, technische Dokumentation und menschliche Aufsichtsmaßnahmen.

Die DSGVO hingegen schützt personenbezogene Daten und die Privatsphäre. Sie legt fest, wie Daten erhoben, genutzt, gespeichert und weitergegeben werden, und kommt nur dann zur Anwendung, wenn personenbezogene Daten verarbeitet werden. Der Fokus liegt hier auf rechtmäßiger, fairer und transparenter Datenverarbeitung.

In der Praxis treffen beide Regulierungen häufig aufeinander, etwa wenn KI-Systeme mit hohem Risiko für biometrische Erkennung, Überwachung oder Profiling eingesetzt werden. In solchen Fällen müssen Unternehmen sicherstellen, dass sie sowohl die Anforderungen der EU-KI-Verordnung als auch der DSGVO vollständig erfüllen.

Nächste Schritte: So erreichen Sie Compliance mit der EU-KI-Verordnung 

Die Umsetzung der EU-KI-Verordnung ist mehr als eine reine Formsache. Sie bietet Ihnen die Chance, Ihre internen Prozesse zu stärken und KI-Systeme zu etablieren, die transparent, verlässlich und zukunftsfähig sind. Wer jetzt strukturiert vorgeht, spart später nicht nur Zeit und Ressourcen, sondern minimiert auch Risiken. 

Warum es jetzt auf eine klare Strategie ankommt 

Die EU-KI-Verordnung lässt sich nicht von heute auf morgen umsetzen. Mit ihren gestaffelten Risikokategorien, umfangreichen Dokumentationspflichten und schrittweise eingeführten Vorgaben bringt sie eine Komplexität mit sich, die vorausschauendes Handeln erfordert. Wer erst kurz vor Fristbeginn reagiert, läuft Gefahr, in Zeitdruck zu geraten, Compliance-Lücken zu übersehen oder Bußgelder zu riskieren.

Ein durchdachter Ansatz zahlt sich aus. Wenn Sie frühzeitig analysieren, welche KI-Systeme in Ihrem Unternehmen eingesetzt werden, deren Risikostufe bewerten und darauf basierend einen realistischen Umsetzungsplan erstellen, behalten Sie den Überblick. Eine gute Strategie macht die Anforderungen greifbar, verteilt Verantwortlichkeiten sinnvoll und bereitet Ihr Unternehmen Schritt für Schritt auf die neuen Pflichten vor. 

Wie DataGuard Sie bei der Umsetzung der EU-KI-Verordnung unterstützt 

DataGuard unterstützt Sie dabei, regulatorische Vorgaben in klare, umsetzbare Maßnahmen zu überführen. Ab dem ersten Tag erhalten Sie Zugang zu vorkonfigurierten Workflows und Vorlagen, die die über 100 Seiten der Verordnung in 50 verständliche, praxisnahe Anforderungen übersetzen.

Unsere speziell auf KI ausgerichteten Risikoanalysen helfen Ihnen, die passenden Maßnahmen je nach Risikostufe sicher umzusetzen. Ergänzend sorgen anpassbare Richtlinienvorlagen und Awareness-Trainings dafür, dass Ihr gesamtes Team optimal vorbereitet ist. Und wenn sich die rechtlichen Vorgaben weiterentwickeln, bleiben Sie mit regelmäßigen Updates und Einschätzungen unserer Experten immer auf dem neuesten Stand – damit Sie Ihre Compliance langfristig im Griff behalten.

Vereinbaren Sie eine Demo mit einem unserer Experten, um mehr zu erfahren.