KI-Verordnung Risikoklassifizierung 2026: Wie EU-KMU ihre KI-Einsätze richtig einordnen

Auf einen Blick

Die KI-Verordnung (Verordnung (EU) 2024/1689) kennt vier Risikoklassen für konkrete KI-Anwendungen — Inakzeptabel, Hochrisiko, Begrenzt, Minimal — sowie ein paralleles Regime für allgemeine KI-Modelle (GPAI). Welche Klasse Ihr Einsatz trifft, entscheidet darüber, ob Sie das System abschalten müssen, ein vollständiges Konformitätsbewertungsverfahren durchlaufen, lediglich einen Transparenzhinweis ergänzen oder ohne Pflichten weiterbetreiben dürfen. Eine falsche Klassifizierung ist teurer als korrekte Compliance: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken, bis zu 15 Mio. € oder 3 % für Hochrisiko-Verstöße. Die meisten KMU-Klassifizierungsfehler folgen einem von fünf wiederkehrenden Mustern, die wir in diesem Leitfaden mit Beispielen aus dem deutschsprachigen Raum aufschlüsseln. Sie erhalten einen Entscheidungsbaum in acht Fragen, einen artikelgenauen Pflichtenkatalog je Klasse, eine Stichtagsübersicht 2025–2027 und einen 30/60/90-Tage-Plan, mit dem Sie Ihre KI-Inventur, Risikoeinordnung und Erstdokumentation aufstellen, bevor die nächsten Geltungsstufen scharf werden.

Warum eine falsche Klassifizierung teurer wird als korrekte Compliance

Die Bußgeldarchitektur der KI-Verordnung ist gestaffelt nach Schwere der Pflichtverletzung — und sie ist deutlich höher angesetzt als bei der DSGVO. Verstöße gegen das Verbot inakzeptabler Praktiken nach Artikel 5 werden mit bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes geahndet, je nachdem, was höher ist. Verstöße gegen Hochrisiko-Pflichten — etwa Anforderungen an das Risikomanagementsystem, an die Daten-Governance, an die technische Dokumentation oder an die menschliche Aufsicht — liegen bei bis zu 15 Mio. € oder 3 %. Falsche, unvollständige oder irreführende Angaben gegenüber zuständigen Behörden kosten bis zu 7,5 Mio. € oder 1,5 %. Für KMU greift jeweils der niedrigere der beiden Beträge — die absoluten Zahlen sinken dadurch, die prozentuale Größenordnung bleibt jedoch bestehen.

Praktischer Effekt: Ein KMU mit 8 Mio. € Jahresumsatz, das ein KI-System falsch als „begrenzt riskant" einstuft, obwohl es laut Anhang III hochriskant ist, riskiert bei einem Verstoß gegen Hochrisiko-Pflichten bis zu 240.000 € — das übersteigt die Kosten einer ordnungsgemäßen Konformitätsbewertung um ein Vielfaches. Bei vermutet inakzeptablen Praktiken (etwa unbedachter Einsatz von Emotionserkennung im Bewerbungsgespräch oder am Arbeitsplatz) liegen die Sanktionen bei 7 % des Umsatzes — beim genannten KMU also bis zu 560.000 €. Und das sind nur die direkten Bußgelder. Dazu kommen Marktrücknahmen, Vertragsstrafen aus B2B-Verträgen mit Zusicherungen zur KI-Konformität, Reputationsschäden und persönliche Haftungsrisiken für die Geschäftsleitung nach allgemeinem Aktien-, GmbH- oder Genossenschaftsrecht. Korrekte Klassifizierung ist die billigste Versicherung am Markt.

Die vier offiziellen Risikoklassen

Die KI-Verordnung folgt einem risikobasierten Ansatz: Je höher das Risiko für Grundrechte, Sicherheit oder den Binnenmarkt, desto strenger die Pflichten. Die vier Klassen sind nicht vom Anbieter gewählt, sondern ergeben sich aus Zweck, Einsatzkontext und Wirkungsweise des KI-Systems. Sie sind exklusiv: Ein System fällt in genau eine Klasse, nicht in mehrere — wohl aber kann dasselbe Modell je nach Einsatzkontext unterschiedlich klassifiziert werden.

Inakzeptables Risiko (Artikel 5) — verboten seit 2. Februar 2025

Bestimmte KI-Praktiken sind in der EU schlicht unzulässig, weil sie als unvereinbar mit Grundrechten gelten. Diese Praktiken sind seit 2. Februar 2025 verboten — die Übergangsfrist ist abgelaufen. Konkret untersagt sind:

• Social Scoring durch Behörden: KI-Systeme, die natürliche Personen anhand ihres Sozialverhaltens oder vermuteter Persönlichkeitsmerkmale bewerten und damit zu nachteiliger oder ungerechtfertigter Behandlung führen.
• Biometrische Echtzeitidentifikation im öffentlich zugänglichen Raum zu Strafverfolgungszwecken — mit eng begrenzten Ausnahmen (gezielte Suche nach bestimmten Opfern, Abwehr konkreter Terrorgefahr, Verfolgung schwerer Straftaten gemäß abschließender Liste). Außerhalb dieser Ausnahmen vollständig untersagt.
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen — mit Ausnahmen für Sicherheits- und medizinische Zwecke. Ein KI-Bewerbungstool, das etwa die „Begeisterung" oder das „Stressniveau" einer Kandidatin aus Mimik oder Stimme ableitet, fällt klar unter das Verbot.
• Ungezieltes Auslesen von Gesichtsbildern aus dem Internet oder Videoüberwachung zur Anlage oder Erweiterung von Gesichtserkennungs-Datenbanken (das Clearview-Verbot).
• Manipulative oder unterschwellige Techniken, die das Verhalten einer Person wesentlich beeinflussen und ihr Schaden zufügen können.
• Ausnutzung der Schutzbedürftigkeit aufgrund von Alter, Behinderung oder besonderer sozialer/wirtschaftlicher Lage zur Verhaltensbeeinflussung mit Schadensfolge.
• Predictive Policing ausschließlich auf Basis von Profiling oder Persönlichkeitsmerkmalen (ohne objektive, überprüfbare Tatsachen).
• Biometrische Kategorisierung natürlicher Personen, um sensible Merkmale wie Ethnie, politische Meinung, Gewerkschaftszugehörigkeit, religiöse Überzeugung, Sexualleben oder sexuelle Ausrichtung abzuleiten.

Wenn ein Einsatz in eine dieser Kategorien fällt, ist die einzige zulässige Maßnahme: stoppen. Keine Umkonfiguration, keine zusätzliche Aufsicht, keine Einwilligung der Betroffenen heilt das Verbot. Bei Bestandssystemen ist der Markt zurückzuziehen oder die Funktion zu deaktivieren.

Hochrisiko (Artikel 6 in Verbindung mit Anhang III) — höchste Compliance-Last

Hochrisiko-KI-Systeme sind erlaubt, unterliegen aber dem strengsten Pflichtenkatalog der Verordnung. Zwei Wege führen in diese Klasse: erstens KI-Systeme, die nach Anhang III in einem von acht aufgezählten Bereichen eingesetzt werden; zweitens KI-Systeme, die Sicherheitskomponente eines Produkts unter EU-Harmonisierungsvorschriften nach Anhang II sind (etwa Medizinprodukte, Maschinen, Spielzeug, Aufzüge, Druckgeräte, Funkanlagen, Schiffsausrüstung oder zivile Luftfahrt). Geltung weitgehend ab 2. August 2026. Die acht Anhang-III-Bereiche sind:

• Biometrie: biometrische Fernidentifizierungssysteme (sofern nicht verboten), Kategorisierungssysteme, Emotionserkennung außerhalb der verbotenen Kontexte.
• Kritische Infrastrukturen: Sicherheitskomponenten in Verkehr, Wasserversorgung, Gas-, Wärme- und Stromversorgung, kritische digitale Infrastruktur. Ein KI-System, das Lastflüsse im Stromnetz steuert, fällt hierunter.
• Allgemeine und berufliche Bildung: Zugang und Zulassung zu Bildungseinrichtungen, Bewertung von Lernergebnissen, Bewertung des angemessenen Bildungsniveaus, Erkennung verbotener Verhaltensweisen während Prüfungen (Plagiat, Betrug).
• Beschäftigung, Personalmanagement und Zugang zur Selbständigkeit: KI für Bewerbungssichtung und -filterung, Bewertung von Bewerbern, Aufgaben- oder Schichtzuteilung, Beförderungs- oder Beendigungsentscheidungen, Leistungs- oder Verhaltensüberwachung. Praktisch jedes in der Praxis genutzte KI-Recruiting- oder KI-HR-Werkzeug fällt hierunter.
• Zugang zu wesentlichen privaten und öffentlichen Diensten: Anspruchsprüfung für Sozialleistungen, Bonitäts- und Kreditwürdigkeitsbewertung (außer Erkennung von Finanzbetrug), Risikobewertung und Preisgestaltung in der Lebens- und Krankenversicherung, Disponierung von Notrufen und Notdiensten.
• Strafverfolgung: KI für Risikobewertungen natürlicher Personen, Polygraf-ähnliche Werkzeuge, Bewertung der Zuverlässigkeit von Beweismitteln, Profilerstellung im Rahmen der Strafverfolgung.
• Migration, Asyl und Grenzkontrolle: Risikobewertung Einreisender, Polygraf-ähnliche Werkzeuge, Prüfung von Anträgen auf Asyl, Visa und Aufenthaltsgenehmigungen, biometrische Identifikation an Grenzen.
• Justiz und demokratische Prozesse: KI zur Unterstützung der Auslegung von Sachverhalten und Recht, KI zur Beeinflussung des Wahlverhaltens (außer für interne Verwaltungsorganisation).

Eine Erleichterung steht in Artikel 6 Absatz 3: Auch wenn ein Einsatz in einen Anhang-III-Bereich fällt, gilt er nicht als Hochrisiko, sofern er „kein erhebliches Risiko der Beeinträchtigung in Bezug auf die Gesundheit, die Sicherheit oder die Grundrechte natürlicher Personen darstellt" — etwa weil er nur eine eng umrissene Verfahrensaufgabe erfüllt, das Ergebnis menschlicher Tätigkeit verbessert, ohne die abschließende Entscheidung zu ersetzen, oder lediglich vorbereitende Aufgaben übernimmt. Diese Selbstbewertung muss schriftlich dokumentiert und auf Verlangen den Behörden vorgelegt werden — sie ist also keine Schlupflucht, sondern eine begründete Ausnahme. Wer sich darauf beruft und falsch liegt, haftet wie für einen Hochrisiko-Verstoß.

Begrenztes Risiko (Artikel 50) — Transparenzpflichten

Diese Klasse umfasst KI-Systeme, die direkt mit Menschen interagieren oder Inhalte erzeugen, ohne Hochrisiko zu sein. Die Pflicht reduziert sich auf Transparenz — die Nutzer müssen wissen, dass sie es mit einer KI zu tun haben. Konkret nach Artikel 50 (Geltung ab 2. August 2026):

• KI-Systeme, die für die direkte Interaktion mit natürlichen Personen vorgesehen sind (Chatbots, Sprachassistenten), müssen die betroffenen Personen darüber informieren, dass sie mit einer KI interagieren — sofern es nicht offensichtlich aus dem Kontext oder den Umständen erkennbar ist.
• Anbieter von KI-Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen oder bearbeiten, müssen die Ausgaben in maschinenlesbarem Format markieren und als künstlich erzeugt kennzeichnen.
• Betreiber von Emotionserkennungs- oder biometrischen Kategorisierungssystemen (außerhalb der verbotenen Anwendungen) müssen die betroffenen natürlichen Personen über den Betrieb informieren.
• Betreiber, die mittels KI „Deepfakes" erzeugen — Bild-, Audio- oder Videoinhalte, die echten Personen, Sachen, Orten oder Ereignissen ähneln und fälschlich als authentisch erscheinen — müssen offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.
• Betreiber, die KI-generierte Texte zu Fragen von öffentlichem Interesse veröffentlichen, müssen offenlegen, dass der Text künstlich erzeugt oder manipuliert wurde — sofern nicht ein Mensch redaktionelle Verantwortung trägt und der Text einer redaktionellen Kontrolle unterzogen wurde.

Die Transparenzpflicht ist organisatorisch leicht erfüllbar — meist genügt ein Hinweis im UI („Dieser Chat wird von einer KI bearbeitet"), in den Metadaten generierter Bilder oder ein deutlich sichtbarer Disclaimer. Sie wird trotzdem regelmäßig vergessen, besonders bei Service-Chatbots auf Webseiten und bei KI-generierten Marketing-Bildern.

Minimales Risiko — keine Pflichten, freiwilliger Verhaltenskodex

Alles, was nicht in eine der drei höheren Klassen fällt, ist minimal riskant. Dazu gehören Spamfilter, KI-gestützte Suchfunktionen ohne Profilbildung, KI in Videospielen, einfache Empfehlungssysteme ohne sensitive Datenkategorien, Inventarprognosen, Wettervorhersagen, Bildoptimierung und Ähnliches. Es gibt keine spezifischen Pflichten aus der KI-Verordnung. Anbieter und Betreiber können sich freiwillig dem Verhaltenskodex nach Artikel 95 anschließen — was als Compliance-Signal gegenüber Kunden und Investoren genutzt werden kann, aber keine Pflicht ist.

Das fünfte Thema: Allgemeine KI-Modelle (GPAI)

Parallel zu den vier Anwendungsklassen kennt die KI-Verordnung ein eigenes Regime für allgemeine KI-Modelle (General Purpose AI, GPAI), geregelt in den Artikeln 51 bis 55. Geltung ab 2. August 2025. Hintergrund: Modelle wie GPT-4, Claude, Llama oder Mistral können für eine Vielzahl unterschiedlichster Aufgaben eingesetzt werden — die Risiken liegen also nicht nur in der Anwendung, sondern teilweise im Modell selbst.

Das GPAI-Regime kennt zwei Ebenen. Erste Ebene: reguläre GPAI-Modelle. Anbieter müssen technische Dokumentation des Modells erstellen und auf Anfrage dem KI-Büro und den nationalen Behörden zur Verfügung stellen, Informationen und Dokumentation für nachgelagerte Anbieter bereitstellen, eine Politik zur Einhaltung des EU-Urheberrechts implementieren (insbesondere zur Achtung des Opt-outs nach der DSM-Richtlinie) sowie eine ausreichend detaillierte Zusammenfassung der für das Training verwendeten Inhalte veröffentlichen.

Zweite Ebene: GPAI-Modelle mit systemischem Risiko. Diese werden vermutet ab einer Trainingsrechenleistung von mehr als 10^25 FLOPs (Fließkommaoperationen) — eine Schwelle, die heute nur einige wenige Frontier-Modelle reißen — oder per Beschluss der Kommission. Zusätzliche Pflichten: Modellevaluierung nach standardisierten Protokollen einschließlich gegnerischer Tests, Bewertung und Minderung möglicher systemischer Risiken auf Unionsebene, Meldung schwerwiegender Vorfälle und möglicher Korrekturmaßnahmen an das KI-Büro, angemessenes Cybersicherheitsniveau für Modell und physische Infrastruktur.

Für die Einordnung als KMU entscheidend: Die meisten KMU sind keine Anbieter von GPAI-Modellen, sondern Nutzer (Deployer). Sie integrieren GPT, Claude oder Mistral über eine API in ihr Produkt oder ihren Betrieb. Ihre KI-Verordnungs-Pflichten liegen dann (a) bei der korrekten Anwendungsklassifizierung des konkreten Einsatzes (siehe oben — fällt der Use Case in eine der vier Klassen?) und (b) bei den spezifischen Deployer-Pflichten aus Artikel 26, falls Sie ein Hochrisiko-System einsetzen: menschliche Aufsicht sicherstellen, Eingabedaten kontrollieren, soweit relevant, Funktionsweise überwachen, Protokolle aufbewahren, betroffene Personen informieren und Anweisungen des Anbieters befolgen. Modifizieren Sie ein Modell allerdings substanziell — etwa durch Fine-Tuning für einen neuen Zweck, der den ursprünglichen Verwendungszweck wesentlich verändert — kann Ihr Status nach Artikel 25 zum Anbieter wechseln, und damit greifen die Anbieter-Pflichten in voller Härte.

Entscheidungsbaum: KI-Einsatz in 8 Fragen klassifizieren

Diesen Entscheidungsbaum nutzen wir in Erstgesprächen, um eine konkrete KI-Anwendung in unter zehn Minuten provisorisch einzuordnen. Er ersetzt keine vollständige Konformitätsbewertung — er liefert die Richtungsentscheidung, die festlegt, wie viel Aufwand Sie investieren müssen.

Frage 1: Fällt die Anwendung unter eine der verbotenen Praktiken nach Artikel 5?

Prüfen Sie konkret: Social Scoring durch Behörden, biometrische Echtzeitidentifikation im öffentlichen Raum, Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen, ungezieltes Scraping für Gesichtserkennungs-Datenbanken, manipulative Techniken oder Techniken zur Ausnutzung der Schutzbedürftigkeit, Predictive Policing rein auf Profiling-Basis, biometrische Kategorisierung sensibler Merkmale. Wenn ja: Inakzeptabel — System stoppen, Anwendungsfall neu konzipieren. Hier endet der Baum.

Frage 2: Ist das KI-System Sicherheitskomponente eines Produkts unter Anhang II?

Anhang II listet die einschlägigen EU-Harmonisierungsvorschriften — etwa zu Medizinprodukten, Maschinen und Spielzeug sowie zu Aufzügen, Druckgeräten, Funkanlagen, Schiffsausrüstung und ziviler Luftfahrt. Wenn das KI-System Bestandteil eines solchen Produkts ist und einer Konformitätsbewertung durch Dritte unterliegt, dann Hochrisiko nach Artikel 6 Absatz 1. Beispiel: KI-gestützte Diagnose in einem zertifizierten Medizinprodukt der MDR-Klasse IIa.

Frage 3: Fällt der Einsatzbereich in einen der acht Anhang-III-Bereiche?

Biometrie, kritische Infrastrukturen, Bildung, Beschäftigung und HR, wesentliche Dienste (inklusive Bonität und Versicherung), Strafverfolgung, Migration und Grenzkontrolle, Justiz und demokratische Prozesse. Wenn nein: weiter zu Frage 6. Wenn ja: weiter zu Frage 4.

Frage 4: Greift die Ausnahme aus Artikel 6 Absatz 3?

Erfüllt das System nur eine eng umrissene Verfahrensaufgabe? Verbessert es lediglich das Ergebnis menschlicher Tätigkeit, ohne sie zu ersetzen? Erkennt es nur Entscheidungsmuster vorhergehender menschlicher Bewertungen, ohne sie zu ersetzen oder zu beeinflussen? Erfüllt es nur vorbereitende Aufgaben für eine Bewertung? Wenn ja zu mindestens einem dieser Punkte und das System kein Profiling natürlicher Personen vornimmt, kann der Anbieter es als nicht hochriskant einstufen — schriftlich begründet und dokumentiert. Wenn nein oder unsicher: weiter zu Frage 5.

Frage 5: Hochrisiko bestätigt

Wenn Frage 3 mit ja beantwortet wurde und die Ausnahme nach Frage 4 nicht greift: Hochrisiko nach Artikel 6 Absatz 2. Damit endet die Klassifizierung — und die eigentliche Compliance-Arbeit beginnt: Vollständiger Pflichtenkatalog Artikel 8 bis 17 (für Anbieter) bzw. Artikel 26 (für Betreiber/Deployer) — siehe Compliance-Checkliste unten.

Frage 6: Interagiert das System direkt mit natürlichen Personen?

Chatbots, Sprachassistenten, KI-gestützte Service-Hotlines, KI-generierte E-Mails an Kunden, KI-gestützte Bildgenerierung für Marketing-Material. Wenn ja: weiter zu Frage 7. Wenn nein: weiter zu Frage 8.

Frage 7: Begrenztes Risiko — Transparenzpflicht

Wenn Frage 6 mit ja: Begrenztes Risiko nach Artikel 50. Pflicht zur Kennzeichnung der KI-Interaktion gegenüber dem Nutzer, Kennzeichnung synthetischer Inhalte, Offenlegung bei Deepfakes und KI-generierten Texten zu öffentlichem Interesse. Implementierungsaufwand niedrig, aber nicht null.

Frage 8: Minimales Risiko

Wenn keine der vorhergehenden Fragen positiv beantwortet wurde: Minimales Risiko. Keine spezifischen Pflichten aus der KI-Verordnung. Erwägen Sie freiwilligen Verhaltenskodex nach Artikel 95 als Vertrauenssignal — besonders relevant, wenn Ihre B2B-Kunden eigene Compliance-Anforderungen an Ihre Lieferkette weitergeben.

Wichtig: Diese acht Fragen klären die Anwendungsklasse. Parallel müssen Sie immer auch die GPAI-Frage stellen: Setzen Sie ein allgemeines KI-Modell ein? Falls ja, gelten die Deployer-Pflichten aus dem GPAI-Regime zusätzlich zur Anwendungsklassifizierung.

Häufige Klassifizierungsfehler

Aus über 80 Compliance-Audits in deutschen, österreichischen und Schweizer KMU im Jahr 2025 zeichnen sich fünf Klassifizierungsfehler ab, die immer wieder auftreten. Wenn Sie nichts anderes aus diesem Artikel mitnehmen — prüfen Sie wenigstens, ob Sie nicht in einer dieser Fallen sitzen.

Fehler 1: „Wir nutzen ja nur ChatGPT"

Das ist die häufigste Aussage in Erstgesprächen — und sie verschiebt das Problem, statt es zu lösen. Die Nutzung eines GPAI-Modells (GPT, Claude, Gemini, Mistral) löst zwei parallele Pflichtenstränge aus. Erstens: Die GPAI-Deployer-Pflichten greifen sofort — Sie müssen wissen, welches Modell Sie über welche API in welcher Version nutzen, die Anweisungen des Anbieters einhalten und Risiken aus dem Einsatz dokumentieren. Zweitens, und kritischer: Die Anwendungsklassifizierung gilt unabhängig vom Modell. Wenn Sie ChatGPT nutzen, um Bewerbungen zu sichten, sind Sie im Hochrisiko-Bereich nach Anhang III, ungeachtet dessen, dass das Modell von OpenAI stammt. „Wir nutzen ja nur ChatGPT" ist keine Klassifizierung — es ist die Beschreibung des Werkzeugs, nicht des Anwendungsfalls.

Fehler 2: „Nur intern" reduziert die Klasse nicht

Eine HR-Abteilung in einem 120-Personen-Mittelstandsunternehmen führt ein KI-Tool zur Bewerberbewertung intern ein. Es wird nicht extern verkauft, nicht an Kunden weitergegeben, nicht in einem Produkt vermarktet. Argument: „Das ist doch nur intern, da gilt die KI-Verordnung nicht." Falsch. Die KI-Verordnung kennt keine Ausnahme für interne Nutzung — der Anwendungszweck und das Risiko sind entscheidend, nicht der Vertriebskanal. Bewerbersichtung ist Anhang III Nummer 4, also Hochrisiko, ob das System gekauft, gemietet, selbst entwickelt oder per API integriert ist. Als Betreiber tragen Sie die Pflichten aus Artikel 26.

Fehler 3: „Wir haben das Modell nicht trainiert, sind also kein Anbieter"

Meistens stimmt das — wer ein Modell von OpenAI über eine API nutzt, ist Betreiber, nicht Anbieter. Aber Vorsicht bei substanziellen Modifikationen. Artikel 25 nennt drei Konstellationen, in denen ein Betreiber zum Anbieter wird — mit allen Anbieter-Pflichten: erstens, wer ein KI-System unter eigenem Namen oder eigener Marke in Verkehr bringt; zweitens, wer ein bereits in Verkehr gebrachtes oder in Betrieb genommenes Hochrisiko-KI-System wesentlich verändert; drittens, wer den Verwendungszweck eines KI-Systems so ändert, dass es zu einem Hochrisiko-System wird. „Wesentlich verändert" ist nicht trennscharf definiert, aber die Kommission und das KI-Büro werden Leitlinien dazu erlassen. Aktueller Konsens in der Praxis: Fine-Tuning eines Basismodells für einen neuen, anderen Zweck als ursprünglich vorgesehen, das Hinzufügen einer eigenen Marke und die Vermarktung als eigenständiges Produkt sowie das Bündeln mit eigenen Komponenten zu einem KI-System — alles potenzielle Anbieter-Trigger.

Fehler 4: Verwechslung von begrenztem und minimalem Risiko bei Kunden-Chatbots

Ein KI-Service-Chatbot auf der Webseite eines KMU wird häufig als „minimales Risiko" eingestuft — schließlich ist es nur ein Chatbot, kein Hochrisiko-System. Das ist der falsche Sprung. Jede direkte Mensch-Maschine-Interaktion mit einem KI-System ist begrenzt riskant und löst die Transparenzpflicht aus Artikel 50 aus. Der Nutzer muss wissen, dass er mit einer KI spricht. Der Hinweis muss klar, sichtbar und vor Beginn der Interaktion erfolgen — nicht in den AGBs versteckt. Bei Sprachassistenten muss die Information akustisch gegeben werden. Im Auditfall verlangt die Marktüberwachung den Nachweis, wie und wann der Hinweis ausgespielt wurde — ohne dokumentierten Auslieferungspfad lässt sich die Pflichterfüllung nicht belegen, selbst wenn der Hinweis tatsächlich vorhanden ist.

Fehler 5: DSGVO Artikel 22 wird neben der KI-Verordnung vergessen

Die KI-Verordnung ersetzt nicht die DSGVO, sie ergänzt sie. Wo personenbezogene Daten verarbeitet werden, gilt Artikel 22 DSGVO weiter: Eine Person hat das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Das gilt zusätzlich zur AI-Act-Klassifizierung. Eine KI-Bonitätsprüfung ist nicht nur Hochrisiko nach Anhang III Nummer 5b, sie ist auch eine automatisierte Einzelentscheidung nach DSGVO Artikel 22 und braucht Rechtsgrundlage, Information der Betroffenen, Möglichkeit zur Stellungnahme und menschlicher Überprüfung. Wer nur den AI Act prüft, vergisst die Hälfte seiner Pflichten.

Compliance-Checkliste pro Klasse

Klassifizierung ist nur der erste Schritt. Hier die operative Checkliste pro Klasse — mit Artikelverweisen, sodass Sie direkt zur Norm gehen können.

Inakzeptables Risiko

Stoppen. Anwendungsfall neu konzipieren. Es gibt keine Compliance-Maßnahme, die ein verbotenes System erlaubt macht. Bestandssysteme zurückziehen oder umbauen. Wenn vertragliche Verpflichtungen gegenüber Dritten bestehen (Kunden, die das verbotene Feature gebucht haben), führen Sie unverzüglich die Vertragsanpassung herbei — die Bußgelder treffen Sie, nicht den Vertragspartner.

Hochrisiko — Anbieter-Checkliste (Artikel 8 bis 17)

• Risikomanagementsystem etablieren und über den gesamten Lebenszyklus pflegen (Artikel 9). Identifizierung, Analyse und Bewertung bekannter und vernünftigerweise vorhersehbarer Risiken; Übernahme geeigneter Risikomanagementmaßnahmen.
• Daten und Daten-Governance: Trainings-, Validierungs- und Testdatensätze müssen den Qualitätskriterien des Artikels 10 genügen — relevante, repräsentative, fehlerfreie und vollständige Daten. Untersuchung auf mögliche Verzerrungen.
• Technische Dokumentation nach Anhang IV erstellen und vor Inverkehrbringen vorhalten (Artikel 11). Inhalt: Beschreibung des Systems, Entwicklungsverfahren, Datensätze, Testergebnisse, Genauigkeit, Robustheit, Cybersicherheit.
• Aufzeichnungspflichten nach Artikel 12: Das System muss Ereignisse („Logs") automatisch zur Rückverfolgbarkeit protokollieren. Aufbewahrungsdauer zweckangemessen, konkrete Fristen aus den Sektor-Vorschriften.
• Transparenz und Bereitstellung von Informationen für Betreiber: Gebrauchsanweisung nach Artikel 13 mit klaren Angaben zu Zweck, Genauigkeit, Robustheit, menschlicher Aufsicht.
• Menschliche Aufsicht nach Artikel 14: Das System muss so gestaltet sein, dass natürliche Personen es im Betrieb wirksam beaufsichtigen können — Fähigkeiten und Grenzen verstehen, Ergebnisse interpretieren, gegen Über-Vertrauen gewappnet sein und das System bei Bedarf abschalten.
• Genauigkeit, Robustheit und Cybersicherheit (Artikel 15): Angemessenes Maß an Genauigkeit (in Gebrauchsanweisung dokumentiert), Robustheit gegenüber Fehlern und Inkonsistenzen, Cybersicherheit nach Stand der Technik.
• Qualitätsmanagementsystem nach Artikel 17: dokumentiertes QMS mit Strategie für Konformität, Verfahren für Konzeption und Entwicklung, Risikomanagement, Datenmanagement, Vorfallsmeldung, Aufzeichnungspflichten.
• Konformitätsbewertungsverfahren nach Artikel 43: interne Kontrolle (Anhang VI) für die meisten Anhang-III-Systeme; externe Bewertung durch benannte Stelle (Anhang VII) für biometrische Hochrisiko-Systeme und Anhang-II-Produkte je nach Sektorverordnung.
• CE-Kennzeichnung nach Artikel 48 anbringen, EU-Konformitätserklärung nach Artikel 47 ausstellen und mindestens zehn Jahre vorhalten.
• Registrierung in der EU-Datenbank für Hochrisiko-KI-Systeme nach Artikel 49 vor dem Inverkehrbringen oder der Inbetriebnahme.
• Post-Market-Monitoring nach Artikel 72: aktives systematisches Sammeln, Dokumentieren und Analysieren von Daten zur Leistung des Systems über den gesamten Lebenszyklus.
• Vorfallsmeldung nach Artikel 73: schwerwiegende Vorfälle und Funktionsstörungen unverzüglich der Marktüberwachungsbehörde melden — konkrete Fristen ergeben sich aus den Durchführungsrechtsakten.

Hochrisiko — Betreiber-Checkliste (Artikel 26)

Setzen Sie ein Hochrisiko-System nicht selbst in Verkehr, sondern nutzen es lediglich (klassischer Deployer-Fall): geeignete technische und organisatorische Maßnahmen treffen, um sicherzustellen, dass das System gemäß Gebrauchsanweisung verwendet wird; menschliche Aufsicht durch Personen mit der erforderlichen Kompetenz, Schulung und Befugnis sicherstellen; Eingabedaten kontrollieren, soweit Sie Kontrolle über die Eingabedaten haben; Funktionsweise des Systems anhand der Gebrauchsanweisung überwachen; bei Vermutung eines Risikos im Sinne von Artikel 79 Absatz 1 oder bei einem schwerwiegenden Vorfall Anbieter und Marktüberwachungsbehörde unverzüglich informieren; automatisch generierte Logs aufbewahren, soweit unter Ihrer Kontrolle, mindestens sechs Monate; Beschäftigtenvertretung und betroffene Beschäftigte vor Inbetriebnahme am Arbeitsplatz informieren; Datenschutz-Folgenabschätzung nach DSGVO Artikel 35 durchführen, wo personenbezogene Daten verarbeitet werden.

Begrenztes Risiko (Artikel 50)

Transparenzhinweis bei direkter Mensch-Maschine-Interaktion einfügen — klar, sichtbar, vor Beginn. Synthetische Inhalte (Bild, Audio, Video, Text) maschinenlesbar als KI-generiert kennzeichnen. Bei Deepfakes Offenlegung sicherstellen. Bei KI-generierten Texten zu öffentlichen Themen Offenlegung ergänzen, sofern keine redaktionelle Kontrolle erfolgt. Implementierungsaufwand: meist UI-Änderung plus Einmal-Update der Datenschutzerklärung.

Minimales Risiko (Artikel 95)

Keine Pflichten. Optional: freiwilliger Verhaltenskodex. Empfehlenswert, wenn Ihre B2B-Kunden Compliance-Nachweise verlangen oder wenn Sie sich am Markt mit verantwortungsbewusster KI positionieren wollen.

GPAI-Anbieter (Artikel 53 bis 55)

Für KMU-Anbieter eines allgemeinen KI-Modells (selten, aber möglich): technische Modell-Dokumentation erstellen und vorhalten, Informationen für nachgelagerte Anbieter zur Verfügung stellen, Politik zur Einhaltung des EU-Urheberrechts implementieren (insbesondere DSM-Richtlinien-Opt-out respektieren), öffentlich verfügbare Zusammenfassung der Trainingsinhalte veröffentlichen. Bei systemischem Risiko zusätzlich: Modellevaluierung mit gegnerischen Tests, Risikoanalyse und -minderung, Vorfallsmeldung an das KI-Büro, angemessene Cybersicherheit.

Zeitleiste der Stichtage

Die KI-Verordnung trat am 1. August 2024 in Kraft. Die einzelnen Bestimmungen werden gestaffelt anwendbar. Markieren Sie diese Daten im Compliance-Kalender:

• 2. Februar 2025 (in Kraft): Verbote nach Artikel 5 vollständig anwendbar. Pflicht zur KI-Kompetenz nach Artikel 4 für Anbieter und Betreiber.
• 2. August 2025: Pflichten für Anbieter allgemeiner KI-Modelle (GPAI, Artikel 51 bis 55). Sanktionsregime und Marktüberwachungsbestimmungen treten in Kraft. Mitgliedstaaten benennen ihre zuständigen Behörden.
• 2. Februar 2026: Kommission veröffentlicht Leitlinien zur Umsetzung (insbesondere Artikel 6 Absatz 5 zur Hochrisiko-Klassifizierung) und Durchführungsrechtsakte zu Vorfallsmeldungen.
• 2. August 2026 (Hauptstichtag): Kernpflichten der Verordnung greifen. Hochrisiko-Systeme nach Anhang III müssen konform sein. Transparenzpflichten nach Artikel 50 (begrenztes Risiko) sind anwendbar. EU-Datenbank für Hochrisiko-KI-Systeme operativ.
• 2. August 2027: Hochrisiko-Pflichten für KI-Systeme als Sicherheitskomponenten von Anhang-II-Produkten (etwa Medizinprodukte und Maschinen) werden anwendbar. Übergangsfristen für Bestandssysteme laufen aus.

Praktische Folge: Wer im Hochrisiko-Bereich operiert, hat de facto bis Sommer 2026 Zeit, das Risikomanagementsystem aufzubauen, Daten-Governance zu etablieren, technische Dokumentation zu erstellen und das Konformitätsbewertungsverfahren zu durchlaufen. Das ist kein langer Vorlauf — bei substanziellen Hochrisiko-Systemen sind 12 bis 18 Monate ein realistischer Zeitrahmen.

Was diese Woche, dieser Monat, dieses Quartal zu tun ist

Wenn Sie heute beginnen, sieht ein realistischer 30/60/90-Tage-Plan so aus:

Diese Woche (30 Tage): KI-Inventur und Triage

Sammeln Sie alle KI-Einsätze in Ihrem Unternehmen — produktintegrierte KI, interne Tools, SaaS-Integrationen, Schatten-IT. Fragen Sie jede Abteilung gezielt: Wo wird ChatGPT, Claude, Microsoft Copilot, GitHub Copilot, ein KI-Recruiting-Tool, ein KI-CRM-Feature oder eine KI-gestützte Bonitätsprüfung genutzt? Listen Sie pro Einsatz: Use Case, eingesetztes Modell oder System, Anbieter, Datenarten, Nutzergruppen. Wenden Sie den 8-Fragen-Entscheidungsbaum auf jeden Eintrag an. Ergebnis: eine sortierte Liste nach Risikoklasse. Identifizieren Sie auf Sicht jede potenziell verbotene Praktik (Artikel 5) und stoppen Sie sie sofort.

Dieser Monat (60 Tage): Hochrisiko-Tiefenanalyse

Für jeden als Hochrisiko klassifizierten Einsatz: vollständige Konformitätsbewertung gegen Artikel 8 bis 17 (als Anbieter) bzw. Artikel 26 (als Betreiber). Lücken dokumentieren, Maßnahmen mit Verantwortlichen und Fristen versehen. Datenschutz-Folgenabschätzung nach DSGVO Artikel 35 koppeln. Für begrenzt riskante Systeme (Chatbots, generative Tools): Transparenzhinweise im UI implementieren, Kennzeichnung synthetischer Inhalte einführen. Für GPAI-Nutzung: Anbieter-Anweisungen einholen und intern verteilen, Schulung der Beschäftigten zur KI-Kompetenz nach Artikel 4 starten.

Dieses Quartal (90 Tage): Governance und Dauerbetrieb

Benennen Sie die Verantwortung: Wer im Unternehmen ist für KI-Compliance verantwortlich? In KMU ist diese Rolle oft beim DSB oder beim CISO angesiedelt, in größeren Häusern bildet sie eine eigene Funktion. Etablieren Sie einen quartalsweisen KI-Governance-Termin auf Geschäftsleitungsebene. Bauen Sie ein KI-Register als zentrales Artefakt auf — analog zum DSGVO-Verarbeitungsverzeichnis. Verankern Sie eine Vorab-Prüfpflicht: Bevor eine neue KI-Funktion in Produkt oder Betrieb geht, läuft sie durch den Entscheidungsbaum. Bereiten Sie sich auf den 2. August 2026 vor, indem Sie für jedes Hochrisiko-System einen klaren Plan mit Meilensteinen festschreiben: Risikomanagementsystem, Daten-Governance, technische Dokumentation, Konformitätsbewertung und Registrierung in der EU-Datenbank. Wenn Sie Hochrisiko-Systeme aktiv anbieten, planen Sie zusätzlich die externe Konformitätsbewertung mit einer benannten Stelle ein, sofern Anhang VII greift.

Das Viktoria-Compliance-Assessment führt Sie strukturiert durch genau diese Klassifizierung. Unser KI-Inventur-Modul fragt Ihre konkreten Einsätze ab, klassifiziert automatisch nach den vier Klassen und dem GPAI-Regime und liefert eine priorisierte Pflichten-Roadmap mit Artikelverweisen. Wenn Sie noch keine systematische KI-Inventur haben, ist genau das der erste Hebel — und der einfachste, um die Stichtage 2025–2027 ohne Hektik zu erreichen.