KI-Hochrisiko-Einstufung nach AI Act: Der Entscheidungsbaum auf einer Seite

Zuletzt aktualisiert: 23.06.2026

Sie setzen ein KI-System ein oder entwickeln eines – und müssen wissen, in welche Risikoklasse des EU AI Act es fällt: verboten, hochrisiko, begrenztes Risiko oder minimal? Unser KI-Hochrisiko-Entscheidungsbaum bringt genau diese Klassifizierung auf eine einzige, klare Seite. Sie folgen vier Prüfschritten von oben nach unten und landen am Ende bei genau einer Risikoklasse – mit den passenden Pflichten und Fristen. Kostenlos als PDF zum Ausdrucken und als Karussell-Format für Ihre interne Kommunikation. Erstellt von TÜV-zertifizierten Datenschutz- und Compliance-Fachleuten, ausgerichtet an Verordnung (EU) 2024/1689.

Entscheidungsbaum herunterladen · oder direkt Fragen mit uns klären.

Warum die Risikoklasse der erste Schritt jeder KI-Compliance ist

Der EU AI Act reguliert KI-Systeme nicht pauschal, sondern nach einem risikobasierten Ansatz: Je höher das Risiko für Grundrechte, Sicherheit und Gesundheit, desto strenger die Pflichten. Bevor Sie über Dokumentation, Konformitätsbewertung oder Transparenzhinweise nachdenken, müssen Sie wissen, in welche der vier Klassen Ihr System fällt. Genau hier setzen die meisten Fehleinschätzungen an: Unternehmen vermuten „Hochrisiko" und überregulieren – oder unterschätzen einen verbotenen oder transparenzpflichtigen Einsatz.

Der regulatorische Rahmen ist dabei längst aktiv:

• Sanktionsrahmen in Kraft seit 2. August 2025: Der Bußgeldrahmen des EU AI Act (Art. 99) gilt seit diesem Datum, ebenso die Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI). Es ist also nicht so, dass „erst 2026 etwas passiert".
• KI-Kompetenzpflicht seit 2. Februar 2025: Art. 4 EU AI Act verpflichtet jeden, der KI nutzt – auch bei reiner Nutzung von ChatGPT oder Copilot – für ausreichende KI-Kompetenz der eingesetzten Personen zu sorgen. Diese Pflicht gilt unabhängig von der Risikoklasse.
• Bußgelder gestaffelt nach Verstoß: Bei verbotenen Praktiken drohen bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes (Art. 99). Für kleine und mittlere Unternehmen gilt dabei jeweils der niedrigere der beiden Werte (Art. 99 Abs. 6 EU AI Act).
• Nationale Aufsicht in Deutschland: Die Marktüberwachung soll bei der Bundesnetzagentur (KI-MIG) angesiedelt werden.

Eine saubere Einstufung ist damit kein akademisches Detail, sondern die Weiche, an der sich Ihr gesamter Pflichtenkatalog entscheidet – und ein nachvollziehbar dokumentierter Einstufungsentscheid entlastet im Zweifel auch Ihre Geschäftsleitung.

Die Logik des Entscheidungsbaums: vier Prüfschritte von oben nach unten

Der Entscheidungsbaum arbeitet die vier Risikoklassen in der Reihenfolge ihrer Schwere ab. Sie beginnen oben und gehen erst zum nächsten Schritt, wenn der vorherige nicht zutrifft. Das erste „Ja" entscheidet.

Schritt 1 – Ist der Einsatz verboten? (Art. 5 EU AI Act) Ganz oben steht die Frage nach den verbotenen Praktiken. Fällt Ihr Einsatz unter einen der in Art. 5 genannten Tatbestände, ist er unzulässig – unabhängig von allen weiteren Überlegungen. Dazu zählen unter anderem manipulative oder ausnutzende Techniken, Social Scoring durch öffentliche oder private Akteure, bestimmte Formen biometrischer Echtzeit-Fernidentifizierung im öffentlichen Raum sowie ungezieltes Scraping von Gesichtsbildern zum Aufbau von Datenbanken. Antwort „Ja": Stopp – der Einsatz ist zu unterlassen. Antwort „Nein": weiter zu Schritt 2.

Schritt 2 – Ist es ein Hochrisiko-System? (Annex III bzw. Art. 6 EU AI Act) Hochrisiko-KI liegt in zwei Hauptfällen vor: erstens, wenn das KI-System als Sicherheitsbauteil eines Produkts dient, das bereits einer EU-Produktsicherheitsregulierung unterliegt; zweitens, wenn der Anwendungsfall in einem der in Annex III gelisteten Bereiche liegt. Annex III umfasst unter anderem biometrische Systeme, kritische Infrastruktur, allgemeine und berufliche Bildung, Beschäftigung und Personalmanagement (z. B. Bewerber-Screening), Zugang zu wesentlichen privaten und öffentlichen Diensten (etwa Kreditwürdigkeitsprüfung), Strafverfolgung, Migration sowie Justiz und demokratische Prozesse. Antwort „Ja": Hochrisiko-Klasse – es gilt der volle Pflichtenkatalog (siehe unten). Antwort „Nein": weiter zu Schritt 3.

Schritt 3 – Bestehen Transparenzpflichten? (begrenztes Risiko, Art. 50 EU AI Act) Auch ohne Hochrisiko können Transparenzpflichten greifen. Das betrifft typische Mittelstands-Anwendungen: Chatbots und KI-Assistenten (Nutzende müssen erkennen, dass sie mit einer KI interagieren), KI-generierte oder -manipulierte Inhalte einschließlich Deepfakes (Kennzeichnungspflicht) sowie Systeme zur Emotionserkennung oder biometrischen Kategorisierung (Hinweispflicht gegenüber den betroffenen Personen). Antwort „Ja": begrenztes Risiko – Sie müssen die jeweiligen Transparenz- und Kennzeichnungspflichten erfüllen. Antwort „Nein": weiter zu Schritt 4.

Schritt 4 – Minimales Risiko (Auffangkategorie) Trifft keiner der vorigen Schritte zu, fällt Ihr System in die Klasse mit minimalem Risiko. Hierunter fallen die meisten alltäglichen KI-Anwendungen, etwa Spamfilter oder KI in Standardsoftware. Es bestehen keine spezifischen AI-Act-Pflichten aus der Risikoklassifizierung – freiwillige Verhaltenskodizes werden jedoch empfohlen.

Querliegend zu allen Klassen – Art. 4 KI-Kompetenzpflicht. Unabhängig davon, wo Ihr System landet, gilt die Pflicht zur KI-Kompetenz aus Art. 4 EU AI Act für alle, die KI einsetzen. Sie ist deshalb im Entscheidungsbaum als Querschnittshinweis über allen vier Klassen vermerkt.

Fristen-Flags: Was wann rechtlich gilt

Der Entscheidungsbaum markiert die relevanten Daten direkt an den Klassen – mit einem ausdrücklichen Hinweis dort, wo die Rechtslage noch in Bewegung ist:

• Verbotene Praktiken (Art. 5): Die Verbote sind anwendbar; der Sanktionsrahmen (Art. 99) gilt seit dem 2. August 2025.
• Hochrisiko (Annex III) – Unsicherheits-Flag: Die Pflichten für Annex-III-Hochrisiko-Systeme greifen rechtlich zum 2. August 2026. Eine Verschiebung auf den 2. Dezember 2027 ist politisch beschlossen (Digital Omnibus, Zustimmung des Europäischen Parlaments am 16. Juni 2026), aber noch nicht im EU-Amtsblatt veröffentlicht. Bis zur Veröffentlichung gilt rechtlich weiterhin der 2. August 2026. Wir kennzeichnen diesen Punkt im Entscheidungsbaum ausdrücklich als unsicher.
• Begrenztes Risiko (Transparenzpflichten, Art. 50): Die Transparenzpflichten werden anwendbar und sollten frühzeitig eingeplant werden.
• Art. 4 KI-Kompetenzpflicht: gilt bereits seit dem 2. Februar 2025.

Verlassen Sie sich bei dem mit einem Flag versehenen Hochrisiko-Datum nicht allein auf Sekundärquellen – bis zur Amtsblatt-Veröffentlichung prüfen wir den Stand für Sie gegen die Primärquelle.

Was Sie herunterladen: ein Bild, zwei Formate

Der KI-Hochrisiko-Entscheidungsbaum ist bewusst als einseitige Visualisierung angelegt – ein Bild, das die ganze Klassifizierungslogik auf einen Blick zeigt. Sie erhalten:

• PDF zum Ausdrucken und Teilen – ein sauberes Ein-Seiten-Diagramm in der vsquadrat-Bildsprache (Navy mit Signal-Orange als einzigem Akzent), das Sie in Meetings auflegen oder ins interne Wiki hängen können.
• Karussell-Format – dieselbe Logik aufgeteilt in einzelne Slides (ein Prüfschritt pro Slide), ideal für die interne Kommunikation oder einen LinkedIn-Beitrag.

Beide Varianten führen durch dieselben vier Prüfschritte, enthalten die Fristen-Flags und den Querschnittshinweis auf Art. 4. Sie sind als Orientierung gedacht und ersetzen keine rechtliche Einzelfallprüfung.

Wichtig: Der Entscheidungsbaum bildet die Grundlogik der AI-Act-Klassifizierung ab und ist ein hervorragender Startpunkt. Annex III, die Produktsicherheits-Ausnahmen und die Abgrenzungen im Detail enthalten Auslegungsfragen, die im Einzelfall fachlich zu prüfen sind.

Die dynamische Variante: der interaktive Readiness-Check

Ein gedruckter Entscheidungsbaum ist ideal, um die Logik zu verstehen und im Team zu teilen. Wenn Sie Ihre konkreten KI-Systeme Schritt für Schritt einordnen und gleich ein dokumentiertes Ergebnis erhalten möchten, nutzen Sie die dynamische Variante: unseren EU-AI-Act-Readiness-Check. Er führt Sie interaktiv durch dieselben Prüffragen, ordnet Ihre Nutzung einer Risikoklasse zu und nennt Ihnen die einschlägigen Fristen und Pflichten – als Ausgangspunkt für ein KI-Inventar und Ihre weitere KI-Compliance.

So machen Sie aus der Einstufung gelebte KI-Governance

Die Risikoklasse ist die Weiche – die eigentliche Arbeit beginnt danach, je nach Ergebnis:

• Hochrisiko: Hier verlangt der EU AI Act den vollen Pflichtenkatalog – unter anderem Risikomanagementsystem, Daten-Governance, technische Dokumentation, Protokollierung, Transparenz gegenüber Betreibern, menschliche Aufsicht, Genauigkeit/Robustheit/Cybersicherheit sowie eine Konformitätsbewertung. Das lässt sich nicht nebenbei erledigen.
• Begrenztes Risiko: Hier genügen die Transparenz- und Kennzeichnungspflichten nach Art. 50 – diese aber konsequent und nachweisbar.
• Minimal: Auch ohne spezifische Pflichten lohnt eine schriftliche KI-Richtlinie und die Erfüllung der Art.-4-Kompetenzpflicht.

In allen Fällen gilt: Sobald KI personenbezogene Daten verarbeitet, greifen EU AI Act und DSGVO parallel. Wie Sie Einstufung, Inventar, Governance und Datenschutz zu einem stimmigen Ganzen verbinden, zeigt unsere Seite zur KI-Compliance. Geht es um die vollständige Umsetzung der KI-Verordnung in Ihrem Unternehmen, ist die EU AI Act Beratung der richtige nächste Schritt; einen kompakten Überblick über die Verordnung selbst finden Sie auf unserer Themenseite zum EU AI Act.

KI-Hochrisiko-Entscheidungsbaum kostenlos anfordern {#download-formular}

Tragen Sie Ihre Daten ein und Sie erhalten den Entscheidungsbaum als PDF und Karussell umgehend per E-Mail. Kostenlos, unverbindlich und sofort einsetzbar.

• Name
• Unternehmen
• Geschäftliche E-Mail-Adresse
• (optional) Eingesetzte KI-Tools / Anwendungsfall

Entscheidungsbaum herunterladen

Nach der Bestätigung Ihrer E-Mail-Adresse (Double-Opt-in) liegen PDF und Karussell direkt in Ihrem Postfach. Kein Vertrieb, keine versteckten Kosten.

Häufige Fragen zur KI-Hochrisiko-Einstufung nach AI Act

Welche Risikoklassen kennt der EU AI Act? Der EU AI Act unterscheidet vier Klassen: verbotene Praktiken (Art. 5), Hochrisiko-Systeme (Annex III bzw. Art. 6), Systeme mit begrenztem Risiko und damit verbundenen Transparenzpflichten (Art. 50) sowie Systeme mit minimalem Risiko. Der Entscheidungsbaum prüft diese Klassen von oben nach unten – das erste zutreffende Kriterium entscheidet.

Wann gilt ein KI-System als hochrisiko? Vereinfacht in zwei Fällen: wenn das KI-System als Sicherheitsbauteil eines Produkts dient, das bereits einer EU-Produktsicherheitsregulierung unterliegt, oder wenn der Anwendungsfall in einem der in Annex III gelisteten Bereiche liegt – etwa Beschäftigung und Personalauswahl, Zugang zu wesentlichen Diensten wie der Kreditwürdigkeitsprüfung, biometrische Systeme, kritische Infrastruktur, Bildung, Strafverfolgung oder Justiz. Die genaue Abgrenzung enthält Auslegungsfragen und sollte im Einzelfall fachlich geprüft werden.

Ab wann gelten die Pflichten für Hochrisiko-KI? Rechtlich greifen die Annex-III-Hochrisiko-Pflichten zum 2. August 2026. Eine Verschiebung auf den 2. Dezember 2027 ist politisch beschlossen (Digital Omnibus, Zustimmung des Europäischen Parlaments am 16. Juni 2026), aber noch nicht im EU-Amtsblatt veröffentlicht. Solange das nicht geschehen ist, gilt rechtlich weiterhin der 2. August 2026. Wir kennzeichnen diesen Punkt ausdrücklich als unsicher und prüfen den jeweils aktuellen Stand für Sie.

Gilt der AI Act auch, wenn wir nur ChatGPT oder Copilot nutzen? Ja, zumindest die KI-Kompetenzpflicht aus Art. 4 EU AI Act. Sie gilt seit dem 2. Februar 2025 für jeden, der KI einsetzt – auch bei der reinen Nutzung von Standard-Assistenten. Unabhängig von der Risikoklasse müssen Sie für ausreichende KI-Kompetenz der eingesetzten Personen sorgen. Deshalb steht Art. 4 im Entscheidungsbaum als Querschnittshinweis über allen vier Klassen.

Welche Bußgelder drohen bei Verstößen? Bei verbotenen Praktiken sind Bußgelder bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes vorgesehen (Art. 99 EU AI Act); für kleine und mittlere Unternehmen gilt jeweils der niedrigere der beiden Werte (Art. 99 Abs. 6). Verarbeitet die KI personenbezogene Daten, kommen DSGVO-Bußgelder hinzu. Eine korrekte Einstufung ist die Voraussetzung dafür, die richtigen Pflichten zu erfüllen und diese Risiken zu begrenzen.

Reicht der Entscheidungsbaum allein aus? Er ist ein fundierter Startpunkt, der die Klassifizierungslogik verständlich macht. Eine Visualisierung ersetzt aber keine Prüfung Ihrer konkreten Systeme, Daten und Anwendungsfälle und stellt keine Rechtsberatung im Einzelfall dar. Für die belastbare, dokumentierte Einordnung nutzen Sie den EU-AI-Act-Readiness-Check oder sprechen Sie mit uns.

Jetzt KI-Hochrisiko-Entscheidungsbaum sichern {#kontakt}

Laden Sie den Entscheidungsbaum herunter und verschaffen Sie Ihrem Team in einem Bild Klarheit über die AI-Act-Risikoklassen. Möchten Sie Ihre konkreten KI-Systeme einordnen oder eine belastbare KI-Governance aufbauen, klären wir das in einem kostenlosen, unverbindlichen Erstgespräch.

Entscheidungsbaum herunterladen

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Mehr zum Thema: EU AI Act – Überblick · EU AI Act Beratung für den Mittelstand · KI-Compliance pragmatisch umsetzen · EU-AI-Act-Readiness-Check

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben geben den Stand vom 23.06.2026 wieder; bei tagesaktuellen Veröffentlichungen (insbesondere Digital Omnibus / Verschiebung der AI-Act-Hochrisiko-Pflichten) bitte die Primärquelle gegenprüfen. Der Entscheidungsbaum und dieser Text liefern eine erste Orientierung und ersetzen keine Rechtsberatung im Einzelfall.