Risikoanalyse für KI-Systeme: So gelingt die Einstufung nach dem AI Act

Die Risikoeinstufung entscheidet über alles Weitere:

• Welche Pflichten muss ich erfüllen (Transparenz, Audits, Dokumentation)?
• Welche technischen und organisatorischen Maßnahmen brauche ich?
• Wie beweise ich Behörden und Partnern, dass mein System verantwortungsvoll betrieben wird?

Eine korrekte Einstufung verhindert:

• Bußgelder und Haftungsrisiken
• Reputationsschäden durch Fehlverhalten
• Investitionsverluste in Systeme, die später nicht zulassungsfähig sind

Kurz: Ohne klare Einstufung gibt es keine sichere Zukunft für KI-Systeme im Unternehmen.

Der AI Act ordnet KI-Systeme in vier Kategorien ein – je nach Einsatzgebiet, Einfluss auf Menschen und potenzieller Gefahr:

1. Inakzeptables Risiko

Verbotene Anwendungen, z. B.:

• Soziale Bewertungssysteme (Social Scoring)
• Emotionserkennung am Arbeitsplatz oder in Schulen
• Verdeckte Manipulation von Verhalten

→ Darf in der EU nicht eingesetzt werden.

2. Hohes Risiko

Einsatzbereiche mit großem Einfluss auf Menschenrechte oder Sicherheit, z. B.:

• Biometrische Identifikation
• Kreditwürdigkeitsprüfung
• Personalentscheidungen
• Kritische Infrastruktur

→ Strenge Anforderungen an Dokumentation, Datenqualität, Überwachung und menschliche Kontrolle.

3. Begrenztes Risiko

Systeme, die nicht entscheidend in Grundrechte eingreifen, aber Transparenzpflichten auslösen, z. B.:

• Chatbots
• KI-basierte Empfehlungssysteme

→ Nutzer:innen müssen erkennen können, dass sie mit KI interagieren.

4. Minimales Risiko

Z. B. Spamfilter, KI-Texterkennung oder Rechtschreibkorrektur.
→ Keine konkreten Pflichten, aber freiwillige Standards und Best Practices werden empfohlen.

Die folgenden Aspekte sind laut EU AI Act zentral für die Durchführung einer rechtskonformen Risikoanalyse:

• Zweckgebundene Systembeschreibung: Was soll das System tun? Für wen?
• Analyse der Datengrundlage: Woher stammen Trainingsdaten, wie wurden sie aufbereitet?
• Modellverhalten & Ergebnisinterpretation: Sind Ergebnisse nachvollziehbar und fair?
• Technische Sicherheit: Wie wird verhindert, dass das System manipuliert oder fehlgesteuert wird?
• Governance & Kontrolle: Wer trägt Verantwortung, wie ist der Betrieb organisiert?

→ Zusätzlich gefordert: lückenlose Dokumentation, z. B. durch technische Dokumente, Risikoberichte, Prüfprotokolle – vor allem bei Hochrisiko-Systemen.

Je nach Unternehmensgröße und Systemtyp können unterschiedliche Methoden kombiniert werden. Empfehlenswert sind u. a.:

• Szenarioanalyse: Was passiert, wenn das System falsch entscheidet? Wer ist betroffen?
• FMEA (Fehlermöglichkeits- und Einflussanalyse): Welche Fehler können auftreten und wie schwer wären die Folgen?
• FTA (Fault-Tree-Analyse): Visuelle Ableitung von Fehlerketten und Ursache-Wirkungs-Beziehungen
• KI Impact Assessment / DPIA: Datenschutz-Folgenabschätzung (insb. bei personenbezogenen Daten)
• Fragebogengestützte Selbstbewertung: Vorlagen und Tools helfen, strukturierte Ersteinschätzungen vorzunehmen

Tools wie heyData AI Compliance Tool oder Open-Source-Frameworks (z. B. von der OECD oder NIST) bieten praxisnahe Vorlagen für Unternehmen.

Herausforderungen:

• Schnelle technologische Weiterentwicklung: Risiko kann sich durch neue Features verändern
• Grenzfälle in der Einstufung: Nicht jedes System lässt sich eindeutig zuordnen
• Mangel an interner Expertise: Besonders bei Mittelständlern ohne KI-Spezialist:in

Lösungen:

• Entwicklung eines internen KI-Governance-Prozesses
• Einrichtung eines KI-Klassifizierung Teams aus Tech, Legal und Ethics
• Nutzung von regelmäßig aktualisierten Bewertung Leitfäden und -tools
• Zusammenarbeit mit spezialisierten Compliance-Partnern wie heyData

Fall: KI-gestütztes Bewerbungsscreening-Tool für KMU

1. Systemdefinition
   → Automatisiert die Vorauswahl von Bewerberprofilen auf Basis von Lebensläufen
2. Risikoidentifikation
   → Potenzielle Diskriminierung nach Geschlecht, Herkunft oder Alter
   → Intransparente Kriterien für Ablehnung
3. Einstufung nach AI Act
   → Hochrisiko-System (Personalentscheidungen laut Anhang III)
4. Risikobewertung
   → Welche Kriterien nutzt das Modell?
   → Wie nachvollziehbar sind die Entscheidungen?
5. Risikominderungsmaßnahmen
   → Human-in-the-loop-Kontrolle
   → Fairness-Audits der Trainingsdaten
   → Dokumentation & regelmäßige Modellüberprüfung
6. Überwachung & Reporting
   → Einsatz eines Dashboards zur Monitoring
   → Pflicht-Dokumentation für Aufsichtsbehörden
    

• Frühzeitig beginnen
  Risikoanalyse bereits in der Produktentwicklung verankern (Privacy & Ethics by Design)
• Dokumentieren statt improvisieren
  Jedes KI-System sollte ein „digitales Risikodossier“ erhalten
• Mitarbeitende schulen
  Verständnis schaffen für Compliance, ethische Prinzipien und Einstufungskriterien
• Externe Expertise einholen
  Besonders bei Hochrisiko-Systemen lohnt sich der Blick von außen
• Technologie und Compliance verzahnen
  Tech-Teams in die regulatorische Verantwortung einbinden (DevOps → DevComOps)

Die Zukunft der KI in Europa hängt von Vertrauen ab – und Vertrauen entsteht nur durch Transparenz und Sicherheit. Der AI Act setzt klare Leitplanken. Unternehmen, die ihre Systeme strukturiert analysieren, dokumentieren und laufend überwachen, sind auf der sicheren Seite.

Die Einstufung ist dabei kein bürokratischer Akt, sondern ein strategisches Instrument: Sie schützt vor Fehlentwicklungen, stärkt die Produktqualität und schafft Vertrauen bei Kund:innen, Partnern und Regulatoren.

Wer jetzt handelt, verschafft sich nicht nur Rechtssicherheit – sondern echten Marktvorteil.