Welche KI-Risikoklassen gibt es im EU AI Act?

Der EU AI Act kennt vier Risikoklassen: 1) Unannehmbares Risiko (verboten) — z.B. Social Scoring, manipulative KI-Systeme. 2) Hohes Risiko — z.B. KI in Personalentscheidungen, Kreditvergabe, kritischer Infrastruktur; unterliegt strengen Anforderungen. 3) Begrenztes Risiko — z.B. Chatbots; nur Transparenzpflichten. 4) Minimales/kein Risiko — z.B. KI-Spamfilter, Empfehlungssysteme; keine spezifischen Pflichten.

Wie klassifiziere ich meine KI-Systeme nach EU AI Act?

In drei Schritten: 1) KI-Inventur erstellen — alle genutzten KI-Tools und -Systeme auflisten. 2) Anwendungsfall prüfen — für welchen Zweck wird das System eingesetzt? Anhang III des EU AI Act enthält die Liste der Hochrisiko-Anwendungen. 3) Klassifizierung festhalten — dokumentieren Sie die Einstufung und die Grundlage. Für die meisten KMU ergibt sich: Standard-Produktivitätstools sind minimal riskant, KI in HR oder Finanzentscheidungen kann hochriskant sein.

Was passiert, wenn ich meine KI falsch klassifiziere?

Eine fehlerhafte Klassifizierung — insbesondere eine zu niedrige Einstufung für tatsächlich hochriskante Systeme — kann zu Bußgeldern führen. Der EU AI Act sieht bis zu 3% des weltweiten Jahresumsatzes für entsprechende Verstöße vor. Wichtiger: im Schadensfall (z.B. Diskriminierung durch KI-Personalentscheidung) haften Sie als Betreiber, wenn Sie keine angemessenen Maßnahmen getroffen haben.

KI-Risikoklassifizierung für KMU: So stufen Sie Ihre KI-Systeme selbst ein

Kurze Antwort: Der EU AI Act unterscheidet vier Risikoklassen: verbotene KI, Hochrisiko-KI, KI mit begrenztem Risiko (Transparenzpflicht) und minimales Risiko. Die meisten KMU-Tools fallen in die letzten beiden Kategorien. Entscheidend ist der Anwendungsfall — nicht das Tool selbst. ChatGPT kann je nach Verwendung minimal oder hochriskant sein.

Krótka odpowiedź: AI Act rozróżnia cztery klasy ryzyka: zakazane AI, AI wysokiego ryzyka, AI o ograniczonym ryzyku (obowiązek przejrzystości) i minimalne ryzyko. Większość narzędzi MŚP należy do dwóch ostatnich kategorii. Decydujący jest przypadek użycia — nie samo narzędzie.

Quick answer: The EU AI Act distinguishes four risk classes: prohibited AI, high-risk AI, limited-risk AI (transparency obligation), and minimal risk. Most SME tools fall into the last two categories. The decisive factor is the use case — not the tool itself. ChatGPT can be minimal or high-risk depending on how it is used.

Réponse rapide : Le Règlement européen sur l'IA distingue quatre classes de risque : IA interdite, IA à haut risque, IA à risque limité (obligation de transparence) et risque minimal. La plupart des outils utilisés par les PME relèvent des deux dernières catégories. Le facteur décisif est le cas d'usage — et non l'outil en lui-même. ChatGPT peut être à risque minimal ou à haut risque selon son utilisation.

Die vier Risikoklassen des EU AI Act

Das Herzstück des EU AI Act ist ein risikobasierter Ansatz: Je größer das potenzielle Schadensrisiko, desto strenger die Anforderungen. Die vier Klassen im Überblick:

Klasse	Beschreibung	Pflichten
Verboten	KI mit unannehmbarem Risiko für Grundrechte: Social Scoring, manipulative KI, biometrische Echtzeitüberwachung (mit Ausnahmen)	Vollständig verboten ab 02/2025
Hohes Risiko	KI in kritischen Bereichen: HR, Kredit, Bildung, kritische Infrastruktur, Strafverfolgung	Umfangreiche Dokumentation, CE-Kennzeichnung, Konformitätsbewertung, menschliche Aufsicht
Begrenztes Risiko	KI mit Interaktionsrisiko: Chatbots, Deepfakes, KI-generierte Texte/Bilder	Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren
Minimal	Alle anderen KI-Systeme: Spamfilter, Empfehlungsalgorithmen, KI-Produktivitätstools	Keine spezifischen Pflichten (freiwillige Verhaltenskodizes empfohlen)

Die Schlüsselfrage: Was ist der Anwendungsfall?

Das häufigste Missverständnis: „Wir nutzen nur ChatGPT — das ist sicher harmlos." Die Wahrheit ist komplizierter. Nicht das Tool, sondern der Verwendungszweck bestimmt die Risikoklasse.

Beispiele:

ChatGPT für Marketingtexte → Minimales Risiko ✅
ChatGPT zur Vorauswahl von Bewerbern → Potenziell Hochrisiko ⚠️
Chatbot auf der Website → Begrenztes Risiko (Transparenzpflicht) 🔶
KI-gestützte Kreditentscheidung → Hochrisiko 🔴
Gesichtserkennung zur Anwesenheitskontrolle → Verboten oder Hochrisiko 🚫

Anhang III: Die offizielle Hochrisiko-Liste

Die vollständige Liste hochriskanter Anwendungsbereiche steht in Anhang III des EU AI Act. Die wichtigsten Bereiche für KMU:

Biometrie — Gesichtserkennung, Emotionserkennung in Arbeitsstätten
Kritische Infrastruktur — KI in Wasser-, Energie-, Verkehrsnetzen
Bildung und Berufsausbildung — KI-gestützte Beurteilung von Prüfungsleistungen
Beschäftigung und Personalmanagement — Bewerbungsauswahl, Leistungsbewertung, Beförderung, Kündigung durch KI
Wesentliche Dienstleistungen — Kreditwürdigkeitsprüfung, Versicherungseinstufung
Strafverfolgung — Risikobewertung von Personen (für die meisten KMU nicht relevant)
Migration und Grenzmanagement — nicht KMU-relevant
Justiz und Demokratie — nicht KMU-relevant

Achtung HR-Software

Punkt 4 — Beschäftigung und Personalmanagement — ist für KMU der häufig unterschätzte Bereich. Nutzen Sie HR-Software mit KI-gestützter Bewerberauswahl, automatischer Leistungsbewertung oder Empfehlungen für Beförderungen? Dann befinden Sie sich möglicherweise bereits im Hochrisiko-Bereich — unabhängig davon, ob Sie die KI-Funktion bewusst aktiviert haben.

Der 3-Schritt-Prozess für KMU

Schritt 1: KI-Inventur

Listen Sie alle KI-Tools auf, die in Ihrem Unternehmen genutzt werden — von ChatGPT bis zur KI-Funktion in Ihrer HR-Software. Eine vollständige Anleitung dazu finden Sie hier.

Schritt 2: Anwendungsfall bestimmen

Für jedes Tool: Wofür wird es konkret eingesetzt? Wer hat Zugriff? Welche Entscheidungen werden damit getroffen oder vorbereitet? Vergleichen Sie den Anwendungsfall mit Anhang III.

Schritt 3: Klassifizierung dokumentieren

Halten Sie Ihre Einstufung schriftlich fest: „Wir nutzen [Tool X] für [Zweck Y]. Dieser Anwendungsfall fällt unter [Klasse Z], weil [Begründung]." Das ist bereits ein wesentlicher Teil Ihrer Dokumentationspflicht.

Praxis-Tipp

Starten Sie mit einer einfachen Tabelle: Tool-Name, Anbieter, Zweck, Nutzerkreis, vorläufige Risikoklasse, offene Fragen. Eine halbe Stunde reicht für den ersten Entwurf. Perfekt ist der Feind von gut — wichtig ist, dass Sie starten.

Was tun bei Unsicherheit?

Wenn Sie unsicher sind, ob ein System hochriskant ist: Im Zweifel strenger klassifizieren und die entsprechenden Maßnahmen (Nutzungsrichtlinie, Aufsichtsprozess, Dokumentation) treffen. Die EU-Behörden haben betont, dass proportionale Maßnahmen erwartet werden — aber keine Handlungsfreiheit für Unternehmen, die sich „nicht sicher sind".

ForgeSteer unterstützt KMU bei der KI-Inventur und Risikoklassifizierung im Rahmen unseres Quick Scans. In 7–14 Tagen haben Sie Klarheit über alle eingesetzten Systeme und deren Klassifizierung.

Cztery klasy ryzyka AI Act

Sercem AI Act jest podejście oparte na ryzyku: im większe potencjalne ryzyko szkody, tym surowsze wymagania.

Klasa	Opis	Obowiązki
Zakazane	AI stanowiące niedopuszczalne ryzyko: social scoring, manipulacyjne AI, biometryczny nadzór w czasie rzeczywistym	Całkowity zakaz od 02/2025
Wysokie ryzyko	AI w obszarach krytycznych: HR, kredyty, edukacja, infrastruktura krytyczna	Obszerna dokumentacja, nadzór ludzki, ocena zgodności
Ograniczone ryzyko	AI z ryzykiem interakcji: chatboty, deepfakes, teksty generowane przez AI	Obowiązek przejrzystości: użytkownicy muszą wiedzieć, że wchodzą w interakcję z AI
Minimalne	Wszystkie pozostałe systemy AI: filtry spamu, algorytmy rekomendacji, narzędzia produktywności	Brak specyficznych obowiązków

Kluczowe pytanie: jaki jest przypadek użycia?

Najczęstsze nieporozumienie: „Używamy tylko ChatGPT — to na pewno niegroźne." To nie narzędzie, lecz cel użycia określa klasę ryzyka. ChatGPT do tekstów marketingowych to minimalne ryzyko. ChatGPT do wstępnej selekcji kandydatów to potencjalnie wysokie ryzyko.

Klucz do klasyfikacji: Załącznik III AI Act

Dla MŚP najważniejsze obszary wysokiego ryzyka: biometria, infrastruktura krytyczna, edukacja i szkolenia zawodowe, zatrudnienie i zarządzanie personelem (selekcja aplikantów, ocena wyników, rekomendacje awansów), zasadnicze usługi (ocena zdolności kredytowej).

Uwaga oprogramowanie HR

Punkt dotyczący zatrudnienia jest dla MŚP najczęściej niedocenianym obszarem. Czy korzystacie z oprogramowania HR z funkcją AI do selekcji kandydatów lub oceny wyników? Możliwe, że jesteście już w obszarze wysokiego ryzyka — niezależnie od tego, czy świadomie aktywowaliście funkcję AI.

3-etapowy proces dla MŚP

Inwentaryzacja AI — lista wszystkich używanych narzędzi AI
Określenie przypadku użycia — do czego dokładnie jest używane każde narzędzie? Porównaj z Załącznikiem III
Dokumentacja klasyfikacji — zapisz pisemnie: narzędzie X, cel Y, klasa Z, uzasadnienie

The Four Risk Classes of the EU AI Act

The EU AI Act uses a risk-based approach: the greater the potential harm, the stricter the requirements.

Class	Description	Obligations
Prohibited	AI with unacceptable risk to fundamental rights: social scoring, manipulative AI, real-time biometric surveillance	Fully banned from 02/2025
High risk	AI in critical areas: HR, credit, education, critical infrastructure	Extensive documentation, human oversight, conformity assessment
Limited risk	AI with interaction risk: chatbots, deepfakes, AI-generated content	Transparency obligation: users must know they are interacting with AI
Minimal	All other AI systems: spam filters, recommendation algorithms, productivity tools	No specific obligations

The Key Question: What Is the Use Case?

The most common misconception: "We only use ChatGPT — it's surely harmless." It is not the tool but the purpose of use that determines the risk class. ChatGPT for marketing copy is minimal risk. ChatGPT for pre-screening applicants is potentially high-risk.

Annex III: The Official High-Risk List

Most relevant areas for SMEs: biometrics, critical infrastructure, education and vocational training, employment and HR management (applicant selection, performance evaluation, promotion recommendations), essential services (credit scoring).

Watch out: HR software

Employment and HR management is the most underestimated area for SMEs. Do you use HR software with AI-powered applicant selection or performance scoring? You may already be in the high-risk zone — regardless of whether you intentionally activated the AI feature.

The 3-Step Process for SMEs

AI inventory — list all AI tools in use
Determine use case — what exactly is each tool used for? Compare with Annex III
Document the classification — write down: tool X, purpose Y, class Z, rationale

Les quatre classes de risque du Règlement européen sur l'IA

Le cœur du Règlement sur l'IA repose sur une approche fondée sur le risque : plus le potentiel de préjudice est élevé, plus les exigences sont strictes. Voici les quatre classes en synthèse :

Classe	Description	Obligations
Interdite	IA présentant un risque inacceptable pour les droits fondamentaux : notation sociale, IA manipulatrice, surveillance biométrique en temps réel (avec exceptions)	Totalement interdite depuis 02/2025
Haut risque	IA dans des domaines critiques : RH, crédit, éducation, infrastructures critiques, forces de l'ordre	Documentation exhaustive, marquage CE, évaluation de conformité, supervision humaine
Risque limité	IA avec risque d'interaction : chatbots, deepfakes, textes et images générés par l'IA	Obligation de transparence : les utilisateurs doivent savoir qu'ils interagissent avec une IA
Minimal	Tous les autres systèmes d'IA : filtres anti-spam, algorithmes de recommandation, outils de productivité IA	Aucune obligation spécifique (codes de conduite volontaires recommandés)

La question clé : quel est le cas d'usage ?

Le malentendu le plus répandu : « Nous n'utilisons que ChatGPT — c'est sûrement inoffensif. » La réalité est plus nuancée. Ce n'est pas l'outil, mais la finalité d'utilisation qui détermine la classe de risque.

Exemples :

ChatGPT pour des textes marketing → Risque minimal ✓
ChatGPT pour la présélection de candidats → Potentiellement haut risque ⚠
Chatbot sur le site web → Risque limité (obligation de transparence) 🔸
Décision de crédit assistée par l'IA → Haut risque 🔴
Reconnaissance faciale pour le contrôle de présence → Interdite ou haut risque 🚫

Annexe III : la liste officielle des cas à haut risque

La liste complète des domaines d'application à haut risque figure dans l'Annexe III du Règlement sur l'IA. Les domaines les plus pertinents pour les PME :

Biométrie — reconnaissance faciale, détection d'émotions sur le lieu de travail
Infrastructures critiques — IA dans les réseaux d'eau, d'énergie et de transport
Éducation et formation professionnelle — évaluation de performances d'examen assistée par l'IA
Emploi et gestion du personnel — sélection de candidatures, évaluation des performances, promotion, licenciement par l'IA
Services essentiels — évaluation de solvabilité, classification assurantielle
Forces de l'ordre — évaluation des risques liés aux personnes (non pertinent pour la plupart des PME)
Migration et gestion des frontières — non pertinent pour les PME
Justice et démocratie — non pertinent pour les PME

Attention aux logiciels RH

Le point 4 — emploi et gestion du personnel — est le domaine le plus fréquemment sous-estimé par les PME. Utilisez-vous un logiciel RH doté d'une sélection de candidats par l'IA, d'une évaluation automatique des performances ou de recommandations de promotion ? Vous êtes peut-être déjà dans la zone à haut risque — que vous ayez activé consciemment la fonction IA ou non.

Le processus en 3 étapes pour les PME

Étape 1 : inventaire de l'IA

Recensez tous les outils d'IA utilisés dans votre entreprise — de ChatGPT à la fonction IA de votre logiciel RH. Retrouvez un guide complet ici.

Étape 2 : déterminer le cas d'usage

Pour chaque outil : à quoi sert-il concrètement ? Qui y a accès ? Quelles décisions sont prises ou préparées avec ? Comparez le cas d'usage avec l'Annexe III.

Étape 3 : documenter la classification

Consignez votre classement par écrit : « Nous utilisons [outil X] pour [finalité Y]. Ce cas d'usage relève de la [classe Z], car [justification]. » Cela constitue déjà une part essentielle de votre obligation de documentation.

Conseil pratique

Commencez par un simple tableau : nom de l'outil, fournisseur, finalité, cercle d'utilisateurs, classe de risque provisoire, questions ouvertes. Une demi-heure suffit pour une première ébauche. Le mieux est l'ennemi du bien — l'essentiel est de commencer.

Que faire en cas de doute ?

Si vous n'êtes pas certain qu'un système est à haut risque : dans le doute, classez-le de manière plus stricte et prenez les mesures correspondantes (politique d'utilisation, processus de supervision, documentation). Les autorités européennes ont souligné que des mesures proportionnées sont attendues — mais aucune latitude n'est laissée aux entreprises qui « ne sont pas sûres ».

ForgeSteer accompagne les PME dans l'inventaire IA et la classification des risques dans le cadre de notre Quick Scan. En 7 à 14 jours, vous avez une vision claire de tous les systèmes déployés et de leur classification.

Die vier Risikoklassen des EU AI Act

Die Schlüsselfrage: Was ist der Anwendungsfall?

Anhang III: Die offizielle Hochrisiko-Liste

Der 3-Schritt-Prozess für KMU

Schritt 1: KI-Inventur

Schritt 2: Anwendungsfall bestimmen

Schritt 3: Klassifizierung dokumentieren

Was tun bei Unsicherheit?

Cztery klasy ryzyka AI Act

Kluczowe pytanie: jaki jest przypadek użycia?

Klucz do klasyfikacji: Załącznik III AI Act

3-etapowy proces dla MŚP

The Four Risk Classes of the EU AI Act

The Key Question: What Is the Use Case?

Annex III: The Official High-Risk List

The 3-Step Process for SMEs

Les quatre classes de risque du Règlement européen sur l'IA

La question clé : quel est le cas d'usage ?

Annexe III : la liste officielle des cas à haut risque

Le processus en 3 étapes pour les PME

Étape 1 : inventaire de l'IA

Étape 2 : déterminer le cas d'usage

Étape 3 : documenter la classification

Que faire en cas de doute ?

Weiterführende Artikel

Powiązane artykuły

Related Articles

Wissen Sie, in welche Klasse Ihre KI-Tools fallen?

Wiesz, do jakiej klasy należą twoje narzędzia AI?

Do you know which class your AI tools fall into?

Related Articles

AI & Governance
AI Inventory: Step-by-Step Guide for SMEs

AI & Governance
EU AI Act Article 22: What CEOs Need to Know

AI & Governance
AI Governance Framework for SMEs

Die vier Risikoklassen des EU AI Act

Die Schlüsselfrage: Was ist der Anwendungsfall?

Anhang III: Die offizielle Hochrisiko-Liste

Der 3-Schritt-Prozess für KMU

Schritt 1: KI-Inventur

Schritt 2: Anwendungsfall bestimmen

Schritt 3: Klassifizierung dokumentieren

Was tun bei Unsicherheit?

Cztery klasy ryzyka AI Act

Kluczowe pytanie: jaki jest przypadek użycia?

Klucz do klasyfikacji: Załącznik III AI Act

3-etapowy proces dla MŚP

The Four Risk Classes of the EU AI Act

The Key Question: What Is the Use Case?

Annex III: The Official High-Risk List

The 3-Step Process for SMEs

Les quatre classes de risque du Règlement européen sur l'IA

La question clé : quel est le cas d'usage ?

Annexe III : la liste officielle des cas à haut risque

Le processus en 3 étapes pour les PME

Étape 1 : inventaire de l'IA

Étape 2 : déterminer le cas d'usage

Étape 3 : documenter la classification

Que faire en cas de doute ?

Weiterführende Artikel

KI-Inventur: Schritt-für-Schritt-Anleitung für KMU

EU AI Act Artikel 22: Was CEOs jetzt wissen müssen

KI-Governance Framework für KMU

Powiązane artykuły

Inwentaryzacja AI: instrukcja krok po kroku dla MŚP

AI Act Artykuł 22: Co CEO muszą wiedzieć teraz

ChatGPT w firmie legalnie: co muszą wiedzieć MŚP

Related Articles

AI Inventory: Step-by-Step Guide for SMEs

EU AI Act Article 22: What CEOs Need to Know

AI Governance Framework for SMEs

Wissen Sie, in welche Klasse Ihre KI-Tools fallen?

Wiesz, do jakiej klasy należą twoje narzędzia AI?

Do you know which class your AI tools fall into?