KBD KI-Beratung Deutschland — DSGVO-konforme KI-Beratung & Implementierung für den Mittelstand | Düsseldorf
    Vorlage · EU-AI-Act-Klassifizierung

    EU AI Act Klassifizierungsmatrix

    Vier Risikoklassen — und vier sehr unterschiedliche Pflichtkataloge. Wer eine KI-Anwendung falsch einstuft, riskiert entweder massive Überregulierung (Aufwand ohne Notwendigkeit) oder Bußgelder bis 35 Mio. €. Diese Matrix klärt die Frage in 30 Minuten.

    30 Tage
    zum ersten Pilot
    Ø 40 %
    weniger manuelle Arbeit
    100 %
    Hosting in Deutschland
    DSGVO + EU AI Act
    konform implementiert

    Die vier Risikoklassen im Überblick

    Tabelle horizontal scrollen
    EU AI Act — vier Risikoklassen und ihre Pflichten
    Kriterium
    Verboten
    Hochrisiko
    Begrenztes Risiko
    Minimales Risiko
    Erlaubt
    mit Pflichten
    mit Transparenz
    frei
    Risikomanagement-System
    n/a
    Daten-Governance
    n/a
    Technische Dokumentation
    n/a
    Mensch-im-Loop verpflichtend
    n/a
    Konformitätsbewertung
    n/a
    Transparenz gegenüber Nutzern
    n/a
    Bußgeld-Risiko
    		bis 35 Mio. € / 7 % UmSbis 15 Mio. € / 3 % UmSbis 7,5 Mio. € / 1,5 %

    1. Verbotene Praktiken (Art. 5)

    Acht KI-Praktiken sind im EU AI Act vollständig verboten — kein „mit Auflagen erlaubt“, sondern ein totales Einsatzverbot. Für den Mittelstand sind drei davon relevant:

    • Subliminale Beeinflussung, die Menschen schädigt (z. B. manipulative Werbe-KI).
    • Ausnutzung von Schutzbedürftigkeit (z. B. KI-basierte Vertriebsstrategien gegenüber Kindern oder geistig Beeinträchtigten).
    • Soziale Bewertung (Social Scoring) durch Behörden oder im Auftrag.

    Die anderen fünf (biometrische Echtzeit-Identifikation, Emotionserkennung am Arbeitsplatz / in Bildung, biometrische Kategorisierung sensibler Merkmale etc.) betreffen meist nur sehr spezifische Anwendungen.

    2. Hochrisiko-KI (Art. 6 + Annex III)

    Hochrisiko-KI ist erlaubt, aber stark reguliert. Acht Anwendungsbereiche aus Annex III sind besonders relevant:

    • Kritische Infrastruktur (Energienetze, Wasser, Verkehr).
    • Bildung & Berufsausbildung (KI-Bewertung von Schülern, Zugangsentscheidungen).
    • Beschäftigung & Personalmanagement (KI-Recruiting, Performance-Bewertung, Beförderungsentscheidungen).
    • Wesentliche private Dienste (Kreditwürdigkeit, Lebens-/Krankenversicherungs-Pricing).
    • Strafverfolgung (Risikobewertung, Beweismittelanalyse).
    • Migration & Grenzkontrolle.
    • Rechtsprechung & demokratische Prozesse.
    • Sicherheitskomponenten in geregelten Produkten (Medizinprodukte, Maschinen, Spielzeug etc.).

    Pflichten umfassen: Risikomanagement-System, Daten-Governance, technische Dokumentation, Logging, Mensch-im-Loop, Genauigkeit-Robustheit-Cybersicherheit, Konformitätsbewertung, EU-Datenbank-Registrierung. Mehr Details im EU-AI-Act-Pillar-Guide.

    3. Begrenztes Risiko (Transparenzpflichten)

    Drei spezifische Anwendungen mit reinen Transparenzpflichten:

    • Chatbots: Nutzer muss erkennen, dass er mit einer KI spricht.
    • Emotion- / Biometrie-Erkennung (außerhalb verbotener Kontexte): Hinweispflicht.
    • Generierte / manipulierte Inhalte (Deepfakes): Kennzeichnungspflicht.

    Betrifft viele Mittelstands-Anwendungen — auch unsere typischen KI-Chatbots und Voice-AI-Lösungen. Erfüllung ist trivial: Hinweis im Eröffnungsdialog.

    4. Minimales Risiko (keine Auflagen)

    Alle KI-Anwendungen, die nicht in den anderen drei Klassen fallen. Beispiele aus dem Mittelstand: Spam-Filter, KI-Übersetzung, Marketing-Texterstellung, Wissens-RAG für interne Dokumente, KI-gestützte Code-Generierung. Schätzungsweise 60–70 % aller Mittelstands-KI-Anwendungen fallen hier rein. Keine EU-AI-Act-Auflagen — DSGVO und allgemeine IT-Compliance gelten weiterhin.

    Entscheidungsbaum (vereinfacht)

    Schritt 1: Fällt der Use Case unter eine verbotene Praktik (Art. 5)? Wenn ja → STOPP.

    Schritt 2: Ist es ein Sicherheitsbestandteil eines geregelten Produkts (Anhang II — z. B. Medizinprodukt) ODER fällt es unter einen der 8 Annex-III-Bereiche? Wenn ja → Hochrisiko.

    Schritt 3: Interagiert das System direkt mit Menschen ODER erzeugt es Deepfake-/synthetische Inhalte? Wenn ja → Begrenztes Risiko (Transparenzpflichten).

    Schritt 4: Sonst → Minimales Risiko (keine spezifischen AI-Act-Pflichten).

    Sonderfall General Purpose AI (GPAI): wenn Sie selbst Foundation-Models trainieren oder fine-tunen, gelten zusätzliche GPAI-Pflichten. Für die meisten Mittelständler nicht relevant — wir nutzen fertige Modelle, nicht eigene.

    Vollständige Matrix anfordern

    Wir senden Ihnen die vollständige Klassifizierungsmatrix als PDF (entscheidungsbaum-basiert, mit allen Annex-III-Use-Cases, Pflichten-Tabellen und Beispielen) plus Excel-Tracker für Ihr KI-Inventar kostenfrei. Anfrage über die kostenfreie Potenzialanalyse mit Stichwort „AI-Act-Matrix“.

    Bei Hochrisiko-Klassifizierung Ihrer Anwendung übernehmen wir gerne die vollständige Konformitäts-Implementierung — Erstgespräch über die Potenzialanalyse oder direkt im Discovery-Workshop.

    Häufig gestellte Fragen

    Wann muss die Klassifizierung erfolgen?
    Vor produktivem Einsatz, idealerweise in der Discovery-Phase. Bei bereits eingesetzten Systemen retrospektiv — der EU AI Act greift ab August 2026 voll. Wer dann erst klassifiziert, hat keine Zeit mehr für Mitigationsmaßnahmen.
    Wer entscheidet bei Grenzfällen?
    Erstprüfung durch DSB / IT-Compliance, finale Entscheidung durch Geschäftsführung. Bei substantiellen Zweifeln zwischen Hochrisiko und begrenzt: konservativ einstufen (Hochrisiko). Mehraufwand ist gering im Vergleich zum Bußgeldrisiko.
    Sind Foundation-Models wie GPT-4 selbst Hochrisiko?
    Nein, Foundation-Models (im Act: General Purpose AI / GPAI) haben einen eigenen Pflichtkatalog (Transparenz, Trainingsdaten-Dokumentation, Urheberrechts-Compliance). Hochrisiko-Klassifizierung gilt für die Anwendung — nicht das Modell. Eine Foundation-Anwendung im HR-Recruiting ist Hochrisiko, im Marketing-Texten begrenztes Risiko.
    Was kostet eine Hochrisiko-Konformitätserklärung?
    Erstaufwand 25.000–80.000 € je nach Komplexität — Risikomanagement-System, Daten-Governance, Logging, Mensch-im-Loop, Genauigkeit-Robustheit-Cybersicherheit, technische Dokumentation, Konformitätsbewertung. Laufender Aufwand 8.000–25.000 €/Jahr.

    Kostenfreie KI-Potenzialanalyse

    30 Minuten Strategiegespräch mit einem KBD-Berater. Konkret, ehrlich, ohne Verkaufsdruck — wir sagen Ihnen offen, ob KI für Ihren Use Case lohnt.

    • Analyse Ihrer 3 wichtigsten Prozesse
    • Konkrete Roadmap mit Aufwandsschätzung
    • Indikative ROI-Rechnung für Ihren Case

    Ergänzend lesenswert

    EU AI Act umsetzen

    Vollständiger Pillar-Guide

    DSGVO-konforme KI

    Komplementäre Compliance-Säule

    KI-Audit

    Klassifizierung als Audit-Bestandteil

    DSGVO-Checkliste

    Komplementäre Vorlage