EU AI Act Risikoklassen

Definition:
Der EU AI Act (Verordnung 2024/1689) teilt KI-Systeme in vier Risikoklassen ein: inakzeptables Risiko (verboten), hohes Risiko (strenge Auflagen), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (keine Pflichten). Die Einordnung bestimmt, welche Compliance-Anforderungen ein Unternehmen beim Einsatz oder der Entwicklung von KI-Systemen erfüllen muss.

Der EU AI Act unterscheidet vier Stufen, von verboten bis frei verwendbar. Die Klasse richtet sich danach, wie stark ein KI-System in Grundrechte, Sicherheit oder gesellschaftliche Prozesse eingreift.

Welche vier Risikoklassen definiert der EU AI Act?

Klasse 1: Inakzeptables Risiko: KI-Systeme, die grundlegende Rechte verletzen, sind seit Februar 2025 verboten. Dazu zählen Social-Scoring-Systeme durch staatliche Stellen, biometrische Echtzeit-Überwachung im öffentlichen Raum (mit engen Ausnahmen für die Strafverfolgung) sowie Systeme, die das Verhalten von Menschen durch unbewusste Beeinflussung manipulieren.

Klasse 2: Hohes Risiko: Hochrisiko-KI umfasst Systeme in kritischen Bereichen: medizinische Diagnostik, Kreditvergabe, Personalentscheidungen (z. B. Bewerbungsscreening), Bildung, biometrische Identifikation und kritische Infrastruktur. Für diese Systeme gelten ab August 2026 verpflichtend ein Risikomanagementsystem, technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung und der Eintrag in die EU-Datenbank für Hochrisiko-KI.

Klasse 3: Begrenztes Risiko: Hier fallen die meisten KI-Chatbots und AI Agents im Kundenservice. Die Kernanforderung laut Art. 50 EU AI Act: Nutzer müssen erkennen können, dass sie mit einer KI interagieren. Deepfakes und synthetisch generierte Inhalte müssen als solche gekennzeichnet werden. Anbieter allgemeiner KI-Modelle (GPAI) ab 10²⁵ FLOPs Trainingsaufwand unterliegen zusätzlichen Transparenz- und Sicherheitspflichten.

Klasse 4: Minimales Risiko: KI-Systeme ohne nennenswerte Risiken für Grundrechte oder Sicherheit, etwa Spam-Filter, KI-gestützte Suchfunktionen oder Empfehlungsalgorithmen im E-Commerce, fallen in diese Klasse. Für sie gelten keine gesetzlichen Pflichten; ein freiwilliger Code of Conduct wird vom Gesetzgeber empfohlen.

Welche Klasse betrifft KI-Chatbots und AI Agents im Kundenservice?

KI-Chatbots und AI Agents im Kundenservice fallen in der Regel in Klasse 3 (begrenztes Risiko). Die praktische Pflicht ist überschaubar: Im Chat-Interface muss ein sichtbarer Hinweis erscheinen, dass der Nutzer mit einer KI spricht. Wer als Anbieter ein eigenes Modell einsetzt oder anpasst, muss außerdem prüfen, ob GPAI-Pflichten greifen.

Eine Ausnahme gilt, wenn ein Chatbot personenbezogene Daten für automatisierte Entscheidungen einsetzt, etwa bei der Kreditwürdigkeitsprüfung oder Personalbeurteilung. In diesem Fall kann das System in Klasse 2 rutschen. Im Standard-Kundenservice-Einsatz (FAQ-Automatisierung, Bestellstatus, First-Level-Support) ist das nicht der Fall. Was das für den Einsatz von AI Agents im Kundenservice konkret bedeutet, erklärt melibo in einem eigenen Artikel.

Anbieter wie melibo, die in Deutschland hosten und ISO 27001 zertifiziert sind, erfüllen die Transparenzanforderung durch einen standardmäßigen Hinweis im Chat-Widget und dokumentieren dies im Auftragsverarbeitungsvertrag (AVV).

Wichtige Fristen im Überblick

Die Umsetzung des EU AI Acts erfolgt gestaffelt. Für Unternehmen im DACH-Raum sind vier Daten entscheidend. Seit Februar 2025 gelten die Verbote für inakzeptable Risiken (Klasse 1). Im August 2025 traten Transparenzpflichten für GPAI-Modelle und die Governance-Regeln in Kraft. Im August 2026 werden die Hochrisiko-Pflichten (Klasse 2) vollständig anwendbar: CE-Kennzeichnung, Konformitätsbewertung und EU-Datenbankregistrierung sind dann verpflichtend. Ab August 2027 muss Hochrisiko-KI, die als Sicherheitskomponente in regulierten Produkten eingesetzt wird, nachgerüstet sein.

Für die meisten Kundenservice-KI-Systeme (Klasse 3) ist die August-2025-Frist die relevante Schwelle. Die August-2026-Deadline betrifft vor allem Anbieter, die KI in regulierten Bereichen wie Medizin, Finanzen oder HR einsetzen.

Abgrenzung: EU AI Act vs. DSGVO vs. ISO 27001

Diese Regelwerke überschneiden sich, regeln aber unterschiedliche Bereiche.

Der EU AI Act (Verordnung 2024/1689) ist KI-spezifisch. Er regelt, welche KI-Systeme wie eingesetzt werden dürfen und welche Transparenz- und Dokumentationspflichten gelten. Er gilt für Anbieter und Betreiber von KI-Systemen in der EU. Einen guten Überblick, was der EU AI Act konkret für Unternehmen bedeutet, liefert der melibo-Artikel zum EU AI Act.

Die DSGVO (Verordnung 2016/679) ist Datenschutzrecht und regelt die Verarbeitung personenbezogener Daten, unabhängig davon, ob KI im Einsatz ist. Für KI-Systeme ist Art. 22 DSGVO besonders relevant: Automatisierte Einzelentscheidungen mit erheblicher Wirkung sind nur eingeschränkt zulässig.

ISO 27001 ist ein Informationssicherheitsstandard. Die Zertifizierung für Informationssicherheits-Management-Systeme (ISMS) ist freiwillig, gilt aber als Vertrauenssignal gegenüber Kunden und Behörden.

Die NIS-2-Richtlinie (2022/2555) regelt Netzwerk- und Informationssicherheit für kritische Infrastrukturen. Sie betrifft Unternehmen in definierten Sektoren wie Energie, Transport, Gesundheit und digitale Infrastruktur, ist aber kein KI-spezifisches Regelwerk.

Die CE-Kennzeichnung ist ein Produktsicherheitskennzeichen für den EU-Binnenmarkt. Hochrisiko-KI muss ab August 2026 CE-gekennzeichnet sein — das ist eine Pflicht aus dem EU AI Act, keine eigenständige Regulierung.

Fazit

Für die meisten Unternehmen, die KI im Kundenservice einsetzen, ist die Lage klarer als die mediale Aufmerksamkeit rund um den EU AI Act vermuten lässt. Standard-Chatbots und AI Agents für FAQ-Automatisierung, Bestellstatus oder First-Level-Support fallen in Klasse 3 und unterliegen seit August 2025 einer einzigen konkreten Pflicht: dem sichtbaren Hinweis auf die KI-Interaktion. Wer das umsetzt und einen sauberen AVV mit dem Anbieter geschlossen hat, ist compliant.

Komplexer wird es, sobald KI in automatisierte Entscheidungen mit erheblicher Wirkung eingreift, zum Beispiel in der Personalauswahl, der Kreditvergabe oder der medizinischen Diagnostik. Dann gelten die Hochrisiko-Anforderungen der Klasse 2, und die Deadline dafür läuft im August 2026 ab.

Die wichtigste Frage ist also nicht "Gilt der EU AI Act für uns?", sondern "In welche Klasse fällt unser konkretes System?" Wer das jetzt klärt, vermeidet sowohl unnötigen Compliance-Aufwand als auch böse Überraschungen kurz vor der Deadline. Einen Überblick, wie melibo AI Agents DSGVO-konform und transparent im Kundenservice eingesetzt werden, gibt es direkt auf der Plattformseite.

Felix Stelzer
CEO von melibo

Über den Autor

Felix Stelzer

Felix kennt sich bestens im KI-Markt und mit Automatisierung aus.

Visionär an der Schnittstelle von KI und Kundenservice

Felix erkennt früh, welche technologischen Entwicklungen den Service-Markt verändern werden. Er denkt nicht in Trends, sondern in Systemen – und baut Lösungen, die langfristig skalieren, statt kurzfristig zu glänzen.

Technischer Kopf mit Produkt-DNA

Mit einem IT-Hintergrund übersetzt er komplexe KI- und Automationskonzepte in robuste, nutzerorientierte Produkte. Sein Fokus: Technologien so bauen, dass sie echte Probleme lösen und in der Praxis zuverlässig funktionieren.

Leidenschaftlicher Fahrrad-Enthusiast

Wenn Felix nicht an KI-Architekturen oder Produktstrategien arbeitet, findet man ihn meist auf zwei Rädern. Lange Touren, steile Anstiege, neue Strecken – für ihn ist Radfahren der perfekte Ausgleich, um den Kopf freizubekommen und neue Ideen zu entwickeln.