Kontakt aufnehmen
Zurück zur Academy
Compliance Zugang via Snow-Plan 10 Min. Lesezeit 17. Mai 2026

EU AI Act Risiko-Klassifikation —
was wirklich High Risk ist (und was nicht).

Der EU AI Act teilt KI-Systeme in vier Risiko-Stufen ein. Davon hängt ab, ob du nur dokumentieren musst, ob du eine Konformitätsbewertung brauchst — oder ob das System schlicht verboten ist. Wir gehen alle vier durch, mit konkreten Beispielen aus dem deutschen Mittelstand, und beantworten: Welche Stufe gilt für dein KI-Einsatzfall?

T
Tom
KI-Redakteur · Snow Academy

Der EU AI Act (Verordnung 2024/1689) folgt einem zentralen Prinzip: Je gefährlicher das KI-System, desto strenger die Pflichten. Aus diesem Grundsatz leitet sich die Risiko-Pyramide ab — vier Stufen, vom verbotenen über das hochriskante bis zum minimalen System. Wer den eigenen KI-Einsatz richtig einordnet, weiß sofort, welche Compliance-Pflichten greifen.

Dieser Artikel beantwortet drei Fragen: Was sind die vier Risiko-Stufen? Welche typischen KI-Anwendungen gehören in welche Stufe? Und welche Pflichten ergeben sich daraus für deutsche KMUs?

Hinweis vorab: Dieser Artikel basiert auf der EU-Verordnung 2024/1689 (offizieller Text auf EUR-Lex verlinkt am Ende). Quellen-Hinweise sind im Text als Verweis auf Artikel und Annex der Verordnung gekennzeichnet. Stand Mai 2026.

Die Risiko-Pyramide auf einen Blick

Der EU AI Act unterscheidet vier Klassen:

StufeWas ist das?Pflichten
Unacceptable RiskKomplett verboten (Art. 5)Verboten in der EU — gar nicht einsetzbar
High RiskErhebliche Auswirkung auf Sicherheit/Grundrechte (Art. 6, Annex III)Konformitätsbewertung, Risiko-Mgmt, Dokumentation, Aufsicht
Limited RiskTransparenz-relevant (Art. 50)Kennzeichnungspflicht („Du sprichst mit einer KI")
Minimal RiskAlle anderen SystemeEmpfehlungen, keine harten Pflichten

Wichtig: Die Einordnung erfolgt pro Anwendungsfall, nicht pro Tool. ChatGPT als „CV-Screening-System bei HR" ist High Risk. Dasselbe ChatGPT als „Marketing-Texter" ist Minimal Risk.

01 Stufe 1

Unacceptable Risk — verboten

Diese KI-Anwendungen sind seit dem 2. Februar 2025 EU-weit verboten. Punkt. Quelle: EU AI Act Art. 5.

Acht konkrete Verbote sind in Art. 5 aufgeführt. Die wichtigsten für Unternehmen:

  • Social Scoring durch öffentliche Stellen — Bewertung von Bürgern nach Sozialverhalten oder Persönlichkeitsmerkmalen.
  • Emotion-Erkennung am Arbeitsplatz oder in Bildungseinrichtungen (außer medizinisch/sicherheitsrelevant).
  • Biometrische Kategorisierung nach sensitiven Merkmalen (Rasse, politische Meinung, Sexualität, Religion).
  • Untargeted Scraping von Gesichtern aus Internet/Überwachungskameras für Datenbanken.
  • Manipulative Systeme, die Schwachstellen ausnutzen (z. B. Spielzeug-KI, die Kinder zu gefährlichem Verhalten verleitet).

Tiefer-Tauchen: siehe EU AI Act Artikel 5 — die verbotenen KI-Praktiken im Klartext.

02 Stufe 2

High Risk — die teuren Pflichten

Erhebliche Auswirkung auf Gesundheit, Sicherheit oder Grundrechte. Hier kommt der volle Compliance-Apparat. Quelle: EU AI Act Art. 6 + Annex III.

Annex III listet acht Kategorien, in denen KI als High Risk gilt:

  1. Biometrische Identifikation in der Strafverfolgung (z. B. Echtzeit-Gesichtserkennung im öffentlichen Raum, soweit erlaubt).
  2. Kritische Infrastruktur — KI als Sicherheits-Komponente in Stromnetz, Wasser, Verkehr.
  3. Bildung & Berufsausbildung — KI für Zulassungsentscheidungen, Prüfungs-Bewertung, Schul-Zuteilung.
  4. Beschäftigung — CV-Screening, Bewerber-Ranking, Beförderungs- oder Kündigungs-KI.
  5. Wesentliche private/öffentliche Dienstleistungen — Kreditwürdigkeits-Bewertung, Versicherungs-Underwriting, Sozialleistungs-Bewilligung.
  6. Strafverfolgung — KI zur Verdachts- oder Risikoanalyse durch Behörden.
  7. Migration, Asyl & Grenzkontrolle.
  8. Rechtspflege & demokratische Prozesse — KI als Entscheidungsunterstützung in Justiz oder Wahlsystemen.

Wer High Risk einsetzt, muss u. a.: Risikomanagement-System aufbauen (Art. 9), Daten-Governance dokumentieren (Art. 10), Technische Doku führen (Art. 11), automatische Logs (Art. 12), Transparenz für Nutzer (Art. 13), menschliche Aufsicht ermöglichen (Art. 14), Genauigkeit & Sicherheit nachweisen (Art. 15).

Praxis-Beispiel KMU: Eine 30-Personen-Steuerkanzlei nutzt ein KI-Tool, um Bewerber-Lebensläufe automatisch zu sortieren. Das ist Beschäftigungs-KI — High Risk. Folge: Konformitätsbewertung notwendig, oder der Vorgang muss menschlich übersteuert und dokumentiert werden.
03 Stufe 3

Limited Risk — Transparenz-Pflicht

Systeme, bei denen Menschen wissen müssen, dass sie mit einer KI interagieren oder dass Inhalte KI-generiert sind. Quelle: EU AI Act Art. 50.

Konkrete Pflichten:

  • Chatbots: Müssen erkennbar als KI gekennzeichnet sein („Du sprichst gerade mit einem KI-Assistenten").
  • Deepfakes / synthetische Inhalte: Müssen als KI-erzeugt gekennzeichnet werden, außer bei offensichtlich künstlerischen Zwecken.
  • Emotion-Erkennung & biometrische Kategorisierung (sofern nicht verboten): Nutzer müssen informiert werden.

Für ein durchschnittliches Unternehmen mit Kundenservice-Chatbot oder KI-generierten Marketing-Bildern reicht ein klar sichtbarer Hinweis.

04 Stufe 4

Minimal Risk — freie Nutzung

Spam-Filter, Empfehlungs-Algorithmen für Filme, KI-gestützte Tippfehler-Korrektur etc. Quelle: EU-Kommission Q&A zum EU AI Act.

Die meisten Alltags-KI-Anwendungen fallen hierunter. Beispiele:

  • Texte umformulieren / zusammenfassen lassen.
  • Marketing-Bilder generieren.
  • Code-Vorschläge in Entwicklungsumgebung.
  • Empfehlungssysteme für Newsletter, Streaming.
  • Office-Assistenten (Calendar, Mail-Vorschläge).

Hier gilt: Empfehlungen, kein harter Compliance-Apparat. Trotzdem zu beachten: Art. 4 (KI-Kompetenz) gilt unabhängig von der Risiko-Stufe für alle Mitarbeiter, die KI bedienen.

05 GPAI

Sonderfall: General Purpose AI (GPAI)

Foundation Models wie GPT-5, Claude 4, Gemini, Llama. Eigene Pflichten-Schiene seit August 2025. Quelle: EU AI Act Art. 51–55.

GPAI-Modelle (auch „Foundation Models") sind eine eigene Klassifizierung — nicht in der Risiko-Pyramide, sondern parallel dazu. Pflichten für GPAI-Anbieter (OpenAI, Anthropic, Google, Mistral, etc.):

  • Technische Dokumentation zum Modell.
  • Trainingsdaten-Zusammenfassung veröffentlichen.
  • Urheberrechts-Policy.
  • Für „Systemic Risk"-Modelle (typische Rechenleistung über 10²⁵ FLOPS, vereinfacht: die größten LLMs): zusätzliche Risiko-Assessments, Cybersicherheits-Maßnahmen, Incident-Reporting.

Als Nutzer dieser Modelle (also fast jedes Unternehmen) trifft dich davon direkt nichts — aber die Anbieter müssen Informations-Material bereitstellen, das du für deine eigene Compliance nutzen kannst.

Wie ordnest du deinen Use-Case ein? — 3 Fragen

  1. Trifft die KI eine Entscheidung über einen Menschen? (Job, Kredit, Versicherung, Bildung, Sozialleistung, Justiz) → wahrscheinlich High Risk.
  2. Interagiert die KI direkt mit Menschen oder generiert sie Inhalte, die sie sehen? (Chatbot, Bild, Video, Audio) → mindestens Limited Risk (Transparenz-Pflicht).
  3. Fällt der Use-Case in eine der 8 Annex-III-Kategorien oder die 8 Art.-5-Verbote? → entsprechend High Risk oder Unacceptable.

Wenn alle drei Fragen mit „nein" beantwortet werden, hast du ziemlich sicher Minimal Risk — und musst „nur" Art. 4 (KI-Kompetenz deiner Mitarbeiter) erfüllen.

Was du diese Woche tun solltest

  1. Liste alle KI-Use-Cases auf. Auch die inoffiziellen.
  2. Ordne jeden in die Risiko-Stufe ein. Mit den 3 Fragen oben.
  3. Bei High Risk: konsultiere früh einen Compliance-Beratung. Spätestens vor produktivem Einsatz.
  4. Bei Limited Risk: bau die Kennzeichnung ein. Sichtbar, nicht versteckt.
Wichtige Daten: Verbote (Art. 5) gelten seit 2. Februar 2025. Art. 4 (KI-Kompetenz) ebenfalls seit 2. Februar 2025. High-Risk-Pflichten und GPAI-Pflichten gelten gestaffelt — viele zentrale Regeln werden ab 2. August 2026 verbindlich. Vollständige Roadmap im EUR-Lex-Originaltext (Art. 113).
Disclaimer: Dieser Artikel ersetzt keine Rechtsberatung. Bei High-Risk-Einsatz und in regulierten Branchen (Banken, Medizin, Versicherungen, Bildung) sprich frühzeitig mit einer auf KI-Compliance spezialisierten Kanzlei.

Quellen

Wissens-Check — sichere dir den Fortschritt

5 Fragen, alle Multiple Choice. Ab 4 von 5 richtig wird dieser Artikel in deinem Zertifizierungs-Pfad als bestanden markiert. Du brauchst einen Snowbyte-Account, um den Fortschritt zu speichern.

Frage 01
Wie viele Risiko-Stufen kennt der EU AI Act?
Frage 02
Welcher Artikel listet die High-Risk-Kategorien auf?
Frage 03
Eine KMU nutzt KI, um Bewerber-Lebensläufe automatisch zu screenen. Welche Risiko-Stufe gilt?
Frage 04
Welche Pflicht gilt für Chatbots, die Kunden direkt antworten?
Frage 05
Wie wird die Risiko-Stufe für eine KI-Anwendung bestimmt?
Verdiene dir das Snow Academy Zertifikat. Bestehe alle Quizze in einem Zertifizierungs-Pfad und lade dir das offizielle Snowbyte-Zertifikat als PDF herunter — anerkannt für EU-AI-Act-Kompetenz-Nachweise.
Zertifizierungs-Pfad

Weiterlesen

Compliance · 9 Min.

EU AI Act Artikel 5 — die verbotenen KI-Praktiken im Klartext.
Compliance · 8 Min.

EU AI Act Artikel 4 — was Unternehmen jetzt beachten müssen.
Compliance · 9 Min.

KI-Risiko-Assessment in 5 Schritten — Vorlage für KMU.

Lies weiter mit Snow Academy — ab 14 €/Monat.

Dieser Artikel ist Teil der gepflegten Snow Academy. Mit einem Privat- oder Business-Abo bekommst du vollen Zugriff auf alle Artikel, Quizze und das Zertifizierungs-Programm.

Privat
14 € / Monat
Voller Lesezugriff · alle Quizze · monatlich kündbar.
Privat freischalten
Business
44 € / Monat
Bis 5 Mitarbeitende · alle Zertifikate · EU-AI-Act-konform.
Business freischalten