Schritt fuer Schritt: KI-Systeme einstufen

🔄 Kurzer Rueckblick: In Lektion 2 hast du die vier Risikoklassen und ihre Grauzonen kennengelernt. Jetzt bekommst du das Werkzeug, um jedes KI-System systematisch einzustufen.

Du kennst jetzt die vier Klassen — aber wie entscheidest du in der Praxis, welche Klasse fuer ein konkretes System gilt? In dieser Lektion bekommst du einen Entscheidungsbaum, den du auf jedes KI-System anwenden kannst.

Der Entscheidungsbaum: 5 Schritte

Die Einstufung folgt einer Top-Down-Kaskade. Du pruefst von oben nach unten — sobald eine Klasse zutrifft, ist die Einstufung fertig.

Schritt 1: Verboten? (Art. 5)

Pruefe zuerst die sieben Verbote. Die entscheidende Frage:

Manipuliert, taeuscht oder ueberwacht das System auf eine Weise, die in Art. 5 beschrieben ist?

Typische Indikatoren:

Biometrische Echtzeit-Identifikation im oeffentlichen Raum
Social Scoring durch Behoerden
Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen
Unterschwellige Beeinflussung, die zu Schaden fuehrt

Wenn ja → Verboten. System abschalten. Keine weitere Pruefung noetig.

Wenn nein → Weiter zu Schritt 2.

Schritt 2: Sicherheitskomponente? (Art. 6 Abs. 1)

Ist das KI-System Teil eines Produkts, das unter EU-Harmonisierungsrecht faellt?

Produktkategorie	Harmonisierungsrecht	Beispiel
Medizinprodukt	MDR	KI-Diagnosesoftware
Maschine	Maschinenverordnung	KI-gesteuerte Roboter
Spielzeug	Spielzeug-Richtlinie	Interaktives KI-Spielzeug
Aufzug	Aufzugsrichtlinie	KI-Wartungsvorhersage
Druckgeraet	DGRL	KI-Druckueberwachung

Wenn ja → Hochrisiko. Das System braucht eine Konformitaetsbewertung nach EU AI Act UND nach dem jeweiligen Produktrecht.

Wenn nein → Weiter zu Schritt 3.

Schritt 3: Anhang III? (Art. 6 Abs. 2)

Faellt der Verwendungszweck unter einen der acht Bereiche in Anhang III?

Nr.	Bereich	Typische Systeme
1	Biometrie	Gesichtserkennung, Stimmerkennung
2	Kritische Infrastruktur	Energieversorgung, Wasserversorgung
3	Bildung/Berufsausbildung	Pruefungsbewertung, Zugangssteuerung
4	Beschaeftigung	Recruiting, Leistungsbewertung, Kuendigung
5	Wesentliche Dienstleistungen	Kreditvergabe, Sozialleistungen, Versicherung
6	Strafverfolgung	Risikobewertung, Luegendetektor
7	Migration/Asyl	Risikobewertung an Grenzen
8	Justiz	Rechtsrecherche mit Einfluss auf Entscheidungen

Wenn ja → Pruefe die Ausnahme (Art. 6 Abs. 3): Stellt das System eine erhebliche Gefahr fuer Grundrechte dar? Trifft es eigenstaendige Bewertungen?

Erhebliche Gefahr → Hochrisiko
Keine erhebliche Gefahr → Nicht Hochrisiko (aber dokumentieren und melden!)

Wenn nein → Weiter zu Schritt 4.

✅ Quick Check: Ein KI-System vereinheitlicht nur die Formatierung von Bewerbungen (Schriftgroesse, Layout) — bewertet aber keinen Inhalt. Unter welchen Anhang-III-Bereich koennte es formal fallen, und warum greift hier moeglicherweise die Ausnahme?

Schritt 4: Transparenzpflicht? (Art. 50)

Interagiert das System direkt mit Nutzern oder generiert es Inhalte?

Chatbot → Nutzer informieren
Deepfake → Kennzeichnen
KI-generierter Text → Kennzeichnen (wenn oeffentlich)
Emotionserkennung (nicht verboten) → Informieren

Wenn ja → Begrenztes Risiko. Transparenzpflichten erfuellen.

Wenn nein → Weiter zu Schritt 5.

Schritt 5: Minimales Risiko

Wenn keiner der vorherigen Schritte zutrifft → Minimales Risiko. Keine besonderen Pflichten ausser Art. 4 KI-Kompetenz.

Praxis: 5 Systeme einstufen

Wenden wir den Entscheidungsbaum auf fuenf reale Szenarien an:

Szenario 1: ChatGPT Enterprise fuer Textzusammenfassungen

Schritt 1: Nicht verboten ✓
Schritt 2: Kein reguliertes Produkt ✓
Schritt 3: Kein Anhang-III-Bereich ✓
Schritt 4: Chatbot? → Ja, aber intern
Ergebnis: Begrenztes Risiko (Transparenzpflicht: Mitarbeiter informieren)

Szenario 2: KI-Tool bewertet Kreditantraege

Schritt 1: Nicht verboten ✓
Schritt 2: Kein reguliertes Produkt ✓
Schritt 3: Anhang III Nr. 5 (Kreditvergabe) → Ja
Art. 6 Abs. 3: Eigenstaendige Bewertung → Erhebliche Gefahr → Keine Ausnahme
Ergebnis: Hochrisiko

Szenario 3: KI-Spamfilter fuer E-Mails

Schritt 1-4: Alles nein
Ergebnis: Minimales Risiko

Szenario 4: KI-Diagnosesoftware im Krankenhaus

Schritt 1: Nicht verboten ✓
Schritt 2: Medizinprodukt (MDR) → Ja
Ergebnis: Hochrisiko (doppelte Konformitaet: EU AI Act + MDR)

Szenario 5: KI-Kamera erkennt Emotionen von Mitarbeitern

Schritt 1: Emotionserkennung am Arbeitsplatz → Verboten (Art. 5)
Ergebnis: Unannehmbar — sofort abschalten

Dokumentation der Einstufung

Jede Einstufung muss dokumentiert werden. Das gilt besonders fuer:

Hochrisiko-Systeme: Vollstaendige Dokumentation als Teil des Risikomanagementsystems
Art. 6 Abs. 3 Ausnahmen: Begruendung, warum keine erhebliche Gefahr besteht (Meldepflicht!)
Grenzfaelle: Deine Argumentation festhalten — die Aufsichtsbehoerde kann nachfragen

Minimale Dokumentation pro System:

Feld	Inhalt
System-Name	Bezeichnung + Version
Anbieter	Name + Kontakt
Verwendungszweck	Konkret: Was tut es, fuer wen?
Entscheidungsbaum-Pfad	Welche Schritte durchlaufen?
Ergebnis	Risikoklasse + Begruendung
Datum	Wann eingestuft?
Verantwortlich	Wer hat eingestuft?
Naechste Pruefung	Wann Neubewertung?

Key Takeaways

Top-Down-Kaskade: Art. 5 → Art. 6 → Art. 50 → Minimal — immer in dieser Reihenfolge
Zwei Wege zu Hochrisiko: Sicherheitskomponente (Weg 1) oder Anhang III (Weg 2)
Art. 6 Abs. 3 erlaubt Ausnahmen — aber nur mit Dokumentation und Meldepflicht
Jede Einstufung dokumentieren: Wer, wann, warum, naechste Pruefung
Dasselbe System kann je nach Verwendungszweck verschiedene Klassen haben

Up Next

In der naechsten Lektion machst du den Hochrisiko-Check an konkreten Praxis-Szenarien: Recruiting, Kreditvergabe, Bildung und mehr.