Die KI-Verordnung (Verordnung (EU) 2024/1689) ist risikobasiert. Jedes KI-System fällt in eine von vier Klassen, und daraus folgen Ihre Pflichten.
Die vier Risikoklassen
- Inakzeptables Risiko (verboten). Social Scoring, manipulative oder ausbeuterische KI, ungezieltes Auslesen von Gesichtsbildern und die meiste biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum. Seit 2. Februar 2025 verboten.
- Hochrisiko. KI in den Anhang-III-Bereichen: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung und Personalwesen, Zugang zu wesentlichen Diensten, Strafverfolgung, Migration und Justiz, sowie KI als Sicherheitsbauteil regulierter Produkte. Schwerste Pflichten: Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung. Gilt überwiegend ab 2. August 2026.
- Begrenztes Risiko (Transparenz). Chatbots, Deepfakes und KI-generierte Inhalte sowie Emotionserkennung müssen offengelegt werden (Art. 50).
- Minimales Risiko. Spamfilter, Empfehlungssysteme, die meiste Standardsoftware. Keine besonderen Pflichten.
Universelle KI (GPAI) gesondert
Basis- und Allzweckmodelle haben ein eigenes Regime mit Pflichten ab 2. August 2025. Modelle mit systemischem Risiko (Rechenleistung über 10^25 FLOPs) tragen zusätzliche Pflichten.
Die oft übersehene Pflicht: KI-Schulung
Nach Art. 4 müssen Anbieter und Betreiber seit 2. Februar 2025 sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Das gilt auch bei minimalem oder begrenztem Risiko.
Die Bußgelder
- Verbotene Praktiken: bis 35 Mio. EUR oder 7% des weltweiten Umsatzes
- Sonstige Pflichten (inkl. Hochrisiko): bis 15 Mio. EUR oder 3%
- Falsche Angaben gegenüber Behörden: bis 7,5 Mio. EUR oder 1,5%
Klassifizieren Sie Ihr System
-> KI-Act-Risikoklassifizierung starten - kurzer Assistent, sofortige Klasse und Pflichten.
Quelle
Verordnung (EU) 2024/1689 (KI-Verordnung)
Zuletzt geprüft: 21. Juni 2026.