EU AI Act Risikoklassen: So stufen Sie Ihre KI-Anwendungen richtig ein

Risikoklassen verstehen – und richtig anwenden

Der EU AI Act teilt KI-Anwendungen in vier Risikoklassen ein: von „verboten" bis „minimal". In der Theorie klingt das einfach – doch in der Praxis fragen sich viele Unternehmer: In welche Kategorie fällt mein konkretes Tool?

Genau darum geht es in diesem Artikel: eine praktische Anleitung zur Einstufung Ihrer KI-Anwendungen, mit typischen Beispielen aus dem KMU-Alltag.

Die 4 Risikoklassen im Schnellüberblick

Stufe	Pflichten	Beispiele
Verboten	Einsatz untersagt	Social Scoring, manipulative KI
Hohes Risiko	Strenge Auflagen, Dokumentation, Aufsicht	KI im Recruiting, Kreditvergabe
Begrenztes Risiko	Transparenz- und Kennzeichnungspflicht	Kunden-Chatbots, Deepfakes
Minimales Risiko	Keine besonderen Pflichten	ChatGPT für Texte, Spam-Filter

Eine ausführliche Erklärung der Stufen finden Sie in unserem Hauptartikel zum EU AI Act.

Typische KMU-Anwendungen und ihre Einstufung

Minimales Risiko – Business as usual

Die meisten KI-Tools, die KMU heute einsetzen, fallen in diese Kategorie. Sie müssen keine besonderen regulatorischen Pflichten erfüllen:

ChatGPT, Claude oder Gemini für Texterstellung, Zusammenfassungen, Recherche
KI-Übersetzungstools wie DeepL für Geschäftskorrespondenz
Automatisierte Datenanalyse in Excel, Power BI oder ähnlichen Tools
KI-gestützte Buchhaltungssoftware für Belegerfassung
Spam-Filter und intelligente E-Mail-Sortierung

Tipp: Auch wenn keine Pflichten bestehen, empfiehlt sich eine interne Dokumentation. Das erleichtert später die AI Literacy Schulung Ihres Teams.

Begrenztes Risiko – Transparenz ist Pflicht

Hier gilt eine klare Regel: Nutzer müssen wissen, dass sie mit einer KI interagieren. Das betrifft insbesondere:

Chatbots auf Ihrer Website, die Kundenanfragen beantworten → Kennzeichnung als KI erforderlich
KI-generierte Inhalte in Marketing und Social Media → Kennzeichnung empfohlen
Automatisierte Antwort-Systeme per E-Mail oder Messenger → Hinweis auf KI-Nutzung

Was Sie tun müssen: Fügen Sie einen sichtbaren Hinweis hinzu, z. B. „Dieser Chat wird von einem KI-Assistenten unterstützt." Das genügt in den meisten Fällen.

Hohes Risiko – hier wird es ernst

Setzt Ihr Unternehmen KI in einem dieser Bereiche ein, gelten strenge Auflagen ab August 2026:

Recruiting und Personalauswahl: KI-gestützte Bewerbungsfilter, automatisierte Vorauswahl von Kandidaten
Kreditwürdigkeitsprüfung: Automatisierte Bonitätsbewertung von Kunden oder Lieferanten
Versicherungswesen: KI-basierte Risikobewertung für Prämienberechnung
Zugangskontrolle: Biometrische Zutrittssysteme mit Gesichtserkennung

Pflichten bei Hochrisiko-Anwendungen:

Risikomanagementsystem einrichten
Technische Dokumentation erstellen
Menschliche Aufsicht sicherstellen
Transparenz gegenüber Betroffenen gewährleisten
Registrierung in der EU-Datenbank

Verboten – Finger weg

Diese Anwendungen sind seit Februar 2025 untersagt:

Social Scoring: Bewertung von Personen anhand ihres Sozialverhaltens
Manipulative KI: Systeme, die gezielt Schwächen ausnutzen (z. B. bei älteren Menschen)
Emotionserkennung am Arbeitsplatz (außer aus Sicherheitsgründen)

Für KMU in Österreich sind diese Verbote in der Praxis selten relevant – aber gut zu wissen.

Entscheidungsbaum: So stufen Sie Ihr KI-Tool ein

Gehen Sie diese Fragen der Reihe nach durch:

1. Manipuliert das Tool Menschen oder bewertet ihr Sozialverhalten? → Ja: Verboten. Sofort einstellen.

2. Trifft das Tool Entscheidungen über Menschen? (Bewerbungen, Kredite, Versicherungen, Bildung) → Ja: Hohes Risiko. Strenge Auflagen erfüllen.

3. Interagiert das Tool direkt mit Kunden oder Nutzern? (Chatbot, automatisierte Antworten) → Ja: Begrenztes Risiko. Transparenzpflicht beachten.

4. Keines der oben genannten trifft zu? → Minimales Risiko. Keine besonderen Pflichten.

Häufige Fehleinschätzungen

„ChatGPT ist Hochrisiko, weil es so mächtig ist." Nein. Die Risikoklasse richtet sich nach dem Einsatzzweck, nicht nach der Leistungsfähigkeit des Modells. ChatGPT für Textentwürfe = minimales Risiko. ChatGPT als automatisierter Bewerbungsfilter = hohes Risiko.

„Unser Chatbot ist nur minimales Risiko." Nicht unbedingt. Sobald ein Chatbot mit Kunden interagiert, greift die Transparenzpflicht (begrenztes Risiko). Das heißt: Kennzeichnung als KI ist Pflicht.

„Wir nutzen nur fertige Software, also sind wir nicht betroffen." Falsch. Der EU AI Act gilt auch für Betreiber (Deployer) von KI-Systemen, nicht nur für Entwickler. Wenn Sie ein KI-Tool einsetzen, tragen Sie Mitverantwortung.

„Kleine Unternehmen sind ausgenommen." Leider nein. Es gibt keine generelle KMU-Ausnahme. Allerdings sind die Pflichten bei minimalem und begrenztem Risiko überschaubar.

Checkliste: KI-Bestandsaufnahme für Ihr Unternehmen

Alle eingesetzten KI-Tools auflisten (auch indirekte Nutzung in Software)
Jedes Tool anhand des Entscheidungsbaums einstufen
Bei begrenztem Risiko: Transparenzhinweise prüfen und ergänzen
Bei hohem Risiko: professionelle Beratung einholen
Dokumentation anlegen (welches Tool, welcher Zweck, welche Risikoklasse)
AI Literacy Schulungen für Mitarbeiter planen

Was tun, wenn Sie unsicher sind?

Die Einstufung ist nicht immer eindeutig – besonders bei KI-Tools, die mehrere Funktionen abdecken. In diesen Fällen:

Im Zweifel höher einstufen: Lieber eine Stufe zu hoch als zu niedrig – das schützt vor Strafen.
Hersteller fragen: Seriöse Anbieter können Auskunft über die Risikoklasse ihres Produkts geben.
Beratung nutzen: Bei Hochrisiko-Anwendungen oder Grenzfällen lohnt sich ein professioneller Compliance-Check.

Im Rahmen meiner KI-Strategieberatung biete ich einen EU AI Act Compliance-Check an, der genau diese Einstufung für Ihr Unternehmen vornimmt.

Fazit

Die Risikoklassen des EU AI Act sind kein bürokratisches Monster – sie folgen einer nachvollziehbaren Logik: Je mehr eine KI-Anwendung über Menschen entscheidet, desto strenger die Auflagen. Für die meisten KMU-Anwendungen gilt: minimales oder begrenztes Risiko, überschaubare Pflichten. Wichtig ist, dass Sie jetzt Ihre Tools einstufen und dokumentieren – nicht erst, wenn die Fristen ablaufen.

Weiterführende Artikel:

Risikoklassen verstehen – und richtig anwenden

Genau darum geht es in diesem Artikel: eine praktische Anleitung zur Einstufung Ihrer KI-Anwendungen, mit typischen Beispielen aus dem KMU-Alltag.

Die 4 Risikoklassen im Schnellüberblick

Stufe	Pflichten	Beispiele
Verboten	Einsatz untersagt	Social Scoring, manipulative KI
Hohes Risiko	Strenge Auflagen, Dokumentation, Aufsicht	KI im Recruiting, Kreditvergabe
Begrenztes Risiko	Transparenz- und Kennzeichnungspflicht	Kunden-Chatbots, Deepfakes
Minimales Risiko	Keine besonderen Pflichten	ChatGPT für Texte, Spam-Filter

Eine ausführliche Erklärung der Stufen finden Sie in unserem Hauptartikel zum EU AI Act.

Typische KMU-Anwendungen und ihre Einstufung

Minimales Risiko – Business as usual

Die meisten KI-Tools, die KMU heute einsetzen, fallen in diese Kategorie. Sie müssen keine besonderen regulatorischen Pflichten erfüllen:

ChatGPT, Claude oder Gemini für Texterstellung, Zusammenfassungen, Recherche
KI-Übersetzungstools wie DeepL für Geschäftskorrespondenz
Automatisierte Datenanalyse in Excel, Power BI oder ähnlichen Tools
KI-gestützte Buchhaltungssoftware für Belegerfassung
Spam-Filter und intelligente E-Mail-Sortierung

Tipp: Auch wenn keine Pflichten bestehen, empfiehlt sich eine interne Dokumentation. Das erleichtert später die AI Literacy Schulung Ihres Teams.

Begrenztes Risiko – Transparenz ist Pflicht

Hier gilt eine klare Regel: Nutzer müssen wissen, dass sie mit einer KI interagieren. Das betrifft insbesondere:

Chatbots auf Ihrer Website, die Kundenanfragen beantworten → Kennzeichnung als KI erforderlich
KI-generierte Inhalte in Marketing und Social Media → Kennzeichnung empfohlen
Automatisierte Antwort-Systeme per E-Mail oder Messenger → Hinweis auf KI-Nutzung

Was Sie tun müssen: Fügen Sie einen sichtbaren Hinweis hinzu, z. B. „Dieser Chat wird von einem KI-Assistenten unterstützt." Das genügt in den meisten Fällen.

Hohes Risiko – hier wird es ernst

Setzt Ihr Unternehmen KI in einem dieser Bereiche ein, gelten strenge Auflagen ab August 2026:

Recruiting und Personalauswahl: KI-gestützte Bewerbungsfilter, automatisierte Vorauswahl von Kandidaten
Kreditwürdigkeitsprüfung: Automatisierte Bonitätsbewertung von Kunden oder Lieferanten
Versicherungswesen: KI-basierte Risikobewertung für Prämienberechnung
Zugangskontrolle: Biometrische Zutrittssysteme mit Gesichtserkennung

Pflichten bei Hochrisiko-Anwendungen:

Risikomanagementsystem einrichten
Technische Dokumentation erstellen
Menschliche Aufsicht sicherstellen
Transparenz gegenüber Betroffenen gewährleisten
Registrierung in der EU-Datenbank

Verboten – Finger weg

Diese Anwendungen sind seit Februar 2025 untersagt:

Social Scoring: Bewertung von Personen anhand ihres Sozialverhaltens
Manipulative KI: Systeme, die gezielt Schwächen ausnutzen (z. B. bei älteren Menschen)
Emotionserkennung am Arbeitsplatz (außer aus Sicherheitsgründen)

Für KMU in Österreich sind diese Verbote in der Praxis selten relevant – aber gut zu wissen.

Entscheidungsbaum: So stufen Sie Ihr KI-Tool ein

Gehen Sie diese Fragen der Reihe nach durch:

1. Manipuliert das Tool Menschen oder bewertet ihr Sozialverhalten? → Ja: Verboten. Sofort einstellen.

2. Trifft das Tool Entscheidungen über Menschen? (Bewerbungen, Kredite, Versicherungen, Bildung) → Ja: Hohes Risiko. Strenge Auflagen erfüllen.

3. Interagiert das Tool direkt mit Kunden oder Nutzern? (Chatbot, automatisierte Antworten) → Ja: Begrenztes Risiko. Transparenzpflicht beachten.

4. Keines der oben genannten trifft zu? → Minimales Risiko. Keine besonderen Pflichten.

Häufige Fehleinschätzungen

„Kleine Unternehmen sind ausgenommen." Leider nein. Es gibt keine generelle KMU-Ausnahme. Allerdings sind die Pflichten bei minimalem und begrenztem Risiko überschaubar.

Checkliste: KI-Bestandsaufnahme für Ihr Unternehmen

Alle eingesetzten KI-Tools auflisten (auch indirekte Nutzung in Software)
Jedes Tool anhand des Entscheidungsbaums einstufen
Bei begrenztem Risiko: Transparenzhinweise prüfen und ergänzen
Bei hohem Risiko: professionelle Beratung einholen
Dokumentation anlegen (welches Tool, welcher Zweck, welche Risikoklasse)
AI Literacy Schulungen für Mitarbeiter planen

Was tun, wenn Sie unsicher sind?

Die Einstufung ist nicht immer eindeutig – besonders bei KI-Tools, die mehrere Funktionen abdecken. In diesen Fällen:

Im Zweifel höher einstufen: Lieber eine Stufe zu hoch als zu niedrig – das schützt vor Strafen.
Hersteller fragen: Seriöse Anbieter können Auskunft über die Risikoklasse ihres Produkts geben.
Beratung nutzen: Bei Hochrisiko-Anwendungen oder Grenzfällen lohnt sich ein professioneller Compliance-Check.

Im Rahmen meiner KI-Strategieberatung biete ich einen EU AI Act Compliance-Check an, der genau diese Einstufung für Ihr Unternehmen vornimmt.

Fazit

Weiterführende Artikel:

EU AI Act Risikoklassen: So stufen Sie Ihre KI-Anwendungen richtig ein

Risikoklassen verstehen – und richtig anwenden

Die 4 Risikoklassen im Schnellüberblick

Typische KMU-Anwendungen und ihre Einstufung

Minimales Risiko – Business as usual

Begrenztes Risiko – Transparenz ist Pflicht

Hohes Risiko – hier wird es ernst

Verboten – Finger weg

Entscheidungsbaum: So stufen Sie Ihr KI-Tool ein

Häufige Fehleinschätzungen

Checkliste: KI-Bestandsaufnahme für Ihr Unternehmen

Was tun, wenn Sie unsicher sind?

Fazit

KI-Wissen direkt ins Postfach

Weiterlesen

EU AI Act Risikoklassen: So stufen Sie Ihre KI-Anwendungen richtig ein

Risikoklassen verstehen – und richtig anwenden

Die 4 Risikoklassen im Schnellüberblick

Typische KMU-Anwendungen und ihre Einstufung

Minimales Risiko – Business as usual

Begrenztes Risiko – Transparenz ist Pflicht

Hohes Risiko – hier wird es ernst

Verboten – Finger weg

Entscheidungsbaum: So stufen Sie Ihr KI-Tool ein

Häufige Fehleinschätzungen

Checkliste: KI-Bestandsaufnahme für Ihr Unternehmen

Was tun, wenn Sie unsicher sind?

Fazit

KI-Wissen direkt ins Postfach

Weiterlesen