Die Frage nach einem internen oder externen KI-Beauftragten stellt sich in Unternehmen meist nicht isoliert, sondern zusammen mit der praktischen Einordnung von Rollen, Pflichten und Risikoklassen nach der KI-Verordnung. Für die operative rechtliche Begleitung solcher Umsetzungsfragen ist vor allem die Umsetzung des AI Act in Unternehmen relevant; den breiteren Rechtsrahmen zu Künstlicher Intelligenz im Unternehmenskontext ordnet ITMR gesondert ein.
Schneller Einstieg
Der Beitrag ordnet die risikobasierte Systematik des EU AI Act ein und verknüpft sie mit der Frage, wie Unternehmen Klassifizierung und Verantwortlichkeiten praktisch angehen.
Relevant ist das vor allem für Unternehmen, die KI entwickeln, einkaufen, einsetzen oder den Einsatz im Unternehmen steuern und dokumentieren müssen.
Entscheidend sind eine saubere Einordnung der Systeme, ein belastbares KI-Inventar und klare Zuständigkeiten für Governance, Transparenz und Risikobewertung.
KI-Recht. Seit August 2024 gilt der EU AI Act (KI-Verordnung), das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Für jedes Unternehmen, das in der EU KI entwickelt, einsetzt oder einsetzen lässt, entstehen neue Pflichten – unabhängig vom Unternehmenssitz.
Bei ITMR Rechtsanwälte begleiten wir KI-Projekte bereits lange vor ChatGPT und Co. und wir haben uns hierbei stets konsequent weiterqualifiziert.
Unsere Partner Dr. Alexander Pleh und Jean-Paul Bohne, LL.M., MM legten im Dezember 2025 erfolgreich die anspruchsvolle DEKRA-Zertifizierung zum KI-Beauftragten ab. Damit gehören wir zu den ersten deutschen Kanzleien, die diese offiziell anerkannte Qualifikation im Team vorweisen – und können Sie noch gezielter bei allen Fragen rund um den AI Act unterstützen.
Die risikobasierte Klassifizierung nach der KI-VO: Nur zwei explizite Klassen – alles andere ist abgeleitet
Im engeren Sinne definiert die KI-Verordnung zwei regulierte Klassen direkt:
- Verbotene KI-Systeme (unannehmbares Risiko, Art. 5 KI-VO)
- Hochrisiko-KI-Systeme (Art. 6 ff. KI-VO)
Die Kategorien „begrenztes Risiko“ und „minimales Risiko“ sind nicht direkt normiert, sondern ergeben sich residual: Ein KI-System fällt nur dann in diese Kategorien, wenn es weder verboten noch als hochrisikoreich eingestuft wird.
Die Klassifizierung erfolgt daher immer schrittweise und bindend:
- Prüfung auf Verbot (Art. 5) → falls ja: sofortiges Verbot seit 02.02.2025
- Prüfung auf Hochrisiko (Anhang I oder Anhang III) → falls ja: strenge Pflichten ab August 2026
- Alles andere → begrenztes oder minimales Risiko
Die vier Kategorien im Überblick
1. Unannehmbares Risiko – verboten (Art. 5 KI-VO)
- Manipulative Techniken (Dark Patterns)
- Sozialscoring mit Benachteiligung
- Profilbasierte Kriminalitätsvorhersage
- Emotionserkennung am Arbeitsplatz oder in Schulen
- Indiskriminates Scraping von Gesichtsbildern
2. Hohes Risiko – streng reguliert (Art. 6 ff. KI-VO)
- Sicherheitskomponente in Produkten nach Anhang I (z. B. Medizinprodukte, Aufzüge)
- Einsatz in Anhang-III-Bereichen (z. B. Personalrekrutierung, Kreditscoring, kritische Infrastruktur, biometrische Systeme)
3. Begrenztes Risiko – Transparenzpflichten (Art. 50 KI-VO)
- Chatbots & interaktive Systeme
- Generative KI (Deepfakes, Text-/Bild-/Audio-Generatoren)
- Emotionserkennung/biometrische Kategorisierung außerhalb verbotener Kontexte
4. Minimales Risiko – weitgehend frei
- Spam-Filter, Videospiele, einfache Empfehlungssysteme
Zusätzlich gelten für General-Purpose-AI-Modelle (z. B. ChatGPT, Claude, Gemini) eigene Transparenz- und Risikomanagementpflichten – unabhängig von der Hauptrisikoklasse.
Warum die korrekte Klassifizierung jetzt entscheidend ist
Selbst als reiner Betreiber (allgemein vielleicht als Verwender verständlicher) eines KI-Systems haften Sie bei Fehlklassifizierung. Ohne systematisches KI-Inventar und fundierte Risikobewertung drohen Bußgelder und zivilrechtliche Haftung – insbesondere bei fehlernder Maßnahmen wie fehlender Transparenz.
Was wir für Sie tun können – mit geprüfter Kompetenz
- Schnelle KI-Status-Quo-Analyse
- Rechtskonforme Klassifizierung aller eingesetzten Systeme
- Erstellung von KI-Inventar, Richtlinien und Vorlagen
- Übernahme der Rolle als externer KI-Beauftragter
- Inhouse-Schulungen für Vorstand, IT und Fachabteilungen
- Vertretung gegenüber Behörden und in Streitfällen, auch gerichtlich
Nicht nur unsere Rechtsanwälte Jean-Paul Bohne und Dr. Alexander Pleh, sondern auch weitere unser Teammitglieder verbinden ihre jahrelange Erfahrung, etwa als Fachanwälte für IT-Recht mit aktuellem, praxiserprobtem KI-Wissen.
Fazit
Der EU AI Act ist kein Hindernis, sondern eine Chance – wer die Klassifizierung richtig macht, nutzt KI sicher und wettbewerbsstark. Mit ITMR an Ihrer Seite sind Sie bestens vorbereitet.
Wir freuen uns auf Ihr Projekt!
Einordnung für die Praxis
Wer KI-Systeme entwickelt, einkauft oder nutzt, sollte die Klassifizierung nicht isoliert betrachten, sondern mit Governance, Dokumentation, Rollen und internen Prozessen verbinden. Für die operative rechtliche Begleitung solcher Pflichtenprogramme ist vor allem die Umsetzung des AI Act in Unternehmen relevant.
Der breitere Rechtsrahmen zu Haftung, Verträgen, Daten, IP und unternehmensweiten Fragen beim Einsatz von KI bleibt davon zu unterscheiden und wird im Schwerpunkt KI-Recht für Unternehmen eingeordnet.
Fachliche Zuständigkeit im KI-Recht und bei der AI-Act-Umsetzung
Die rechtliche Begleitung von KI-Projekten erfordert meist sowohl Einordnung als auch Umsetzungskompetenz. Für Fragen zu KI-Governance, Klassifizierung, Compliance und operativer Einführung sind bei ITMR insbesondere folgende Ansprechpartner einschlägig: