Wichtig: Dieser Artikel und die beschriebene App stellen keine Rechtsberatung dar und sind nicht rechtlich bindend. Die Informationen dienen ausschließlich der allgemeinen Orientierung und zur Unterstützung bei der ersten, unverbindlichen Risikoeinschätzung.
Die KI-Verordnung (EU AI Act) bringt tiefgreifende Veränderungen für alle Unternehmen mit, die Künstliche Intelligenz entwickeln oder einsetzen. Das Gesetz nutzt einen risikobasierten Ansatz, der KI-Systeme in vier Risikoklassen einteilt – von “minimal” bis “inakzeptabel” [1].
Die korrekte Klassifizierung eines spezifischen KI-Systems ist von entscheidender Bedeutung. Sie bestimmt, welche umfassenden Compliance-Anforderungen erfüllt werden müssen und ob die Anwendung möglicherweise sogar untersagt ist.
Der nachfolgende Text erläutert die Überführung der komplexen Regelungen des AI Acts in einen praktischen Entscheidungsbaum. Darauf aufbauend wurde eine Webanwendung entwickelt, welche eine komfortable Ersteinschätzung der Risikoklasse ermöglicht.
Recherche und Erstellung eines Entscheidungsbaums
Um eine verlässliche Klassifizierung zu ermöglichen, musste die gesetzliche Logik, die in verschiedenen Artikeln und Anhängen beschrieben ist, in einen klaren, schrittweisen Ablauf gebracht werden.
Dabei beginnt jede Prüfung mit der strengsten Kategorie (Verbot) und wird bis zur niedrigsten Kategorie fortgesetzt.
Der dreistufige Rechercheprozess zur Logik
- Regelwerks-Hierarchie (Die 4 Kategorien): Zuerst wurden die vier Risikostufen klar definiert: Inakzeptables Risiko (Verbot), Hohes Risiko, Begrenztes Risiko (Transparenz) und Minimales Risiko.
- Abgrenzungskriterien (Anhang I & III): Es wurden die Listen der Systeme identifiziert, die automatisch zu einer Hochrisiko-KI werden (Anhang I: Sicherheitskomponenten; Anhang III: kritische Einsatzbereiche). Diese Listen dienen als primäre JA/NEIN-Entscheidungspunkte.
- Grenzfälle und Ausnahmen (Art. 6 Abs. 3): Dies war der schwierigste Teil. Es wurde die gesetzliche Bestimmung recherchiert, die vorsieht, dass ein System aus dem Hochrisikobereich dennoch nicht als Hochrisiko-KI gilt, wenn es nur unterstützend oder vorbereitend eingesetzt wird und die menschliche Kontrolle uneingeschränkt möglich ist. Dieses Kriterium war der Schlüssel zur Unterscheidung zwischen einem reinen “Werkzeug” und einem “Entscheidungsträger”.
Der finale Entscheidungsbaum zur Klassifizierung
Der daraus abgeleitete Entscheidungsbaum, der auch die Logik des digitalen Assistenten bildet, umfasst 5 Hauptfragen und führt zuverlässig zum Ergebnis.
| Schritt | Frage | Ergebnis bei “JA” |
|---|---|---|
| Schritt 1 | Führt das System eine verbotene Praxis durch (z. B. Social Scoring, schädliche Manipulation)? | Inakzeptables Risiko (Verboten) |
| Schritt 2A | Ist es ein Sicherheitsbauteil eines Produkts (Anhang I), das einer Konformitätsbewertung unterliegt (z. B. Medizingerät)? | Hohes Risiko |
| Schritt 2B | Wird es in einem der kritischen Anhang III-Bereiche eingesetzt (z. B. Personalwesen, Kreditwürdigkeitsprüfung)? | Weiter zu Schritt 2C (Ausnahme) |
| Schritt 2C (Grenzfall) | Dient es in diesem Anhang III-Bereich nur als unterstützendes Werkzeug, ohne die finale menschliche Entscheidung wesentlich zu beeinflussen? | Nein: Hohes Risiko (Es trifft die wesentliche Entscheidung) |
| Schritt 3 | Unterliegt das System einer Transparenzpflicht (z. B. es ist ein Chatbot oder ein Deepfake-Generator)? | Begrenztes Risiko |
| Schritt 4 | Fällt es in keine der oberen Kategorien? | Minimales Risiko |
Entwicklung der App – Der Klassifizierungs-Assistent
Es bot sich an, diesen Entscheidungsbaum in eine responsive Web-App zu übersetzen, da es dem Anwender eine komfortable Möglichkeit bietet, die Einhaltung des AI Acts besser bewerten zu können.
Technische Umsetzung
Die gesamte Logik wurde in einer einzigen HTML-Datei mithilfe von Tailwind CSS für das Design und JavaScript für die Entscheidungslogik umgesetzt.
Die Antworten des Anwenders werden in einer Historie zwischengespeichert, die als Grundlage für die Ergebnisdokumentation dient. Eine “Zurück”-Schaltfläche, die die Navigation durch den Fragenkatalog verbessert, greift ebenfalls auf die Historie zurück. Das Ergebnis kann am Ende auch als PDF-Dokument exportiert werden.
Tutorial: So funktioniert der Klassifizierungs-Assistent
Der Web-App-Assistent führt den Anwender intuitiv durch die Fragen, wobei jeder Schritt eine detaillierte Erläuterung der gesetzlichen Bestimmungen liefert.
1. System-ID eingeben (Start):
Der Anwender gibt optional den Namen oder die ID des Systems ein. Dieser Name wird in allen Fragen und im finalen PDF-Protokoll verwendet.
2. Abarbeitung des Entscheidungsbaums:
Der Assistent beginnt mit der Prüfung auf Verbot. Bei jeder “Nein”-Antwort rückt das System zur nächstniedrigeren Risikokategorie vor. Die Erklärtexte helfen dabei, die juristischen Begriffe zu erläutern.
3. Behandlung des Hochrisiko-Grenzfalls (Schritt 2C):
Wenn ein System in einem kritischen Bereich (Anhang III) eingesetzt wird, fragt das Tool explizit nach der Rolle der KI. Nur wenn die Rolle maßgeblich und entscheidend ist, gilt das System als Hochrisiko-KI. Bei einer rein vorbereitenden Rolle führt der Weg weiter zum Begrenzten Risiko.
4. Ergebnis und Dokumentation:
Am Ende erhält der Anwender eine klare Einstufung. Die Schaltfläche “Als PDF speichern” generiert automatisch ein Protokoll, das alle gewählten Antworten, die finale Risikoklasse sowie die wichtigsten Compliance-Implikationen enthält.
Zusammenfassung und Fazit
Die korrekte Klassifizierung von KI-Systemen ist die wichtigste und zugleich schwierigste Aufgabe bei der Implementierung des EU AI Acts. Die zentrale Erkenntnis aus dieser Arbeit ist: Der Kontext der Anwendung ist alles. Nur eine theoretisch potenziell gefährliche Technologie wird nicht automatisch zur Hochrisiko-KI. Die tatsächliche Funktion (unterstützend oder entscheidend) ist der juristische Schlüssel.
Der Klassifizierungs-Assistent wurde entwickelt, um diese Komplexität (ohne Anspruch auf Vollständigkeit) zu entschlüsseln. Das Tool ermöglicht es, Systeme schnell und einfach einzuordnen und so die Basis für eine rechtzeitige und korrekte Einhaltung der Vorschriften zu schaffen.
Ausblick
Mit dieser ersten Einordnung lässt sich die Risikokategorie eines KI-Systems bereits grob bestimmen. Doch um langfristig rechtssicher zu handeln, sollte auch die Klassifizierung selbst genauer betrachtet werden.
Der hier vorgestellte Entscheidungsbaum bietet einen ersten, praxisnahen Ansatz, um KI-Systeme im Sinne des EU AI Act einzuordnen. Damit lässt sich die Grundstruktur des Gesetzes greifbar machen und eine erste Orientierung gewinnen. Für eine rechtssichere Einstufung wird es künftig jedoch darauf ankommen, die Klassifizierung selbst noch systematischer und nachvollziehbarer zu gestalten.
Empfehlenswert ist, den Entscheidungsprozess weiter zu verfeinern und die einzelnen Schritte klar zu dokumentieren. Jede Einstufung sollte begründet und mit Bezug auf die entsprechenden Artikel oder Anhänge des AI Act nachvollziehbar festgehalten werden. So entsteht eine prüfbare Grundlage, auf die sich spätere Bewertungen stützen können.
Zudem ist zu erwarten, dass europäische Behörden und Standardisierungsgremien in den kommenden Monaten Leitlinien und technische Normen veröffentlichen, die eine einheitlichere Bewertung ermöglichen. Ein regelmäßiger Abgleich mit diesen Vorgaben kann helfen, Klassifizierungen konsistent und aktuell zu halten.
Auch eine interdisziplinäre Betrachtung kann den Prozess verbessern. Neben technischen Kriterien sollten rechtliche und fachliche Einschätzungen einfließen, um Grenzfälle oder Mischformen besser beurteilen zu können. Schließlich bleibt der Einsatzkontext entscheidend – und der kann sich im Laufe der Zeit verändern. Eine periodische Überprüfung der Einstufung ist daher sinnvoll, insbesondere bei Systemen, die weiterentwickelt oder in neuen Umgebungen eingesetzt werden.
Die nachgelagerten Pflichten wie Risikomanagement, Konformitätsbewertung oder Transparenzanforderungen bauen alle auf dieser ersten Klassifizierung auf. Wer sie frühzeitig sorgfältig, nachvollziehbar und dokumentiert vornimmt, schafft damit die Grundlage für eine langfristig rechtssichere und vertrauenswürdige Nutzung von KI-Systemen.
Referenzen
[1] Der EU AI Act: Was die neue KI-Verordnung für Unternehmen bedeutet – cherware.de
[2] EU AI Act Risikoklassifizierung (Die App zur Klassifizierung eines Systems)