Risikobewertung
Einordnung von KI-Systemen nach Risikoklasse (inakzeptabel, hoch, begrenzt, minimal) – Grundlage für alle Compliance-Pflichten
Was ist eine Risikobewertung?
Eine Risikobewertung ist die Einordnung eines KI-Systems nach seiner Risikoklasse. Der AI Act unterscheidet 4 Risikoklassen.
Die Risikoklasse bestimmt, welche Pflichten ihr erfüllen müsst. Je höher das Risiko, desto strenger die Auflagen.
Die 4 Risikoklassen
| Risikoklasse | Beschreibung | Beispiele | Pflichten |
|---|---|---|---|
| Inakzeptabel | Verboten | Social Scoring, Manipulation | Keine – System darf nicht genutzt werden |
| Hoch | Kritische Bereiche | HR, Kredit, Medizin | Risikomanagement, Dokumentation, CE-Kennzeichnung |
| Begrenzt | Transparenzpflicht | Chatbots, KI-Inhalte | Transparenzhinweis, Schulung |
| Minimal | Standard-KI | ChatGPT, DeepL, Copilot | Schulung, Dokumentation |
Warum ist Risikobewertung wichtig?
Die Risikobewertung ist der erste Schritt für eure AI-Act-Compliance. Ohne zu wissen, welche Risikoklasse eure KI-Systeme haben, wisst ihr nicht, welche Pflichten ihr erfüllen müsst.
Beispiel:
- ChatGPT → Minimal-Risiko → Schulung erforderlich
- Chatbot → Begrenzt-Risiko → Schulung + Transparenzhinweis
- Bewerber-Screening-Tool → Hochrisiko → Umfassende Dokumentation + CE-Kennzeichnung
Wie führe ich eine Risikobewertung durch?
Folgt diesen 3 Schritten:
Schritt 1: KI-System identifizieren
Welches KI-System nutzt ihr? (siehe KI-Inventar)
Schritt 2: Einsatzbereich prüfen
Wofür wird das System eingesetzt?
- HR & Recruiting? → Potenziell Hochrisiko
- Kredit & Finanzen? → Potenziell Hochrisiko
- Chatbot? → Begrenzt-Risiko
- Texterstellung? → Minimal-Risiko
Schritt 3: Risikoklasse zuordnen
Nutzt die Checkliste im AI Act (Anhang III für Hochrisiko-KI).
Wann ist ein System Hochrisiko?
Ein KI-System ist Hochrisiko, wenn es in einem der folgenden Bereiche eingesetzt wird (Anhang III):
- HR & Recruiting: Bewerbungs-Screening, Leistungsbeurteilung
- Kredit: Kreditwürdigkeitsprüfung, Bonitätsbewertung
- Medizin: Diagnose-KI, OP-Roboter
- Justiz: Rückfallprognosen, Risikobewertungen
- Kritische Infrastruktur: Energie, Verkehr, Wasser
- Bildung: Prüfungsbewertungen, Zugang zu Bildungseinrichtungen
Beispiel: Müller GmbH
Die Müller GmbH (25 Mitarbeiter) nutzt 5 KI-Systeme:
| KI-System | Einsatzbereich | Risikoklasse |
|---|---|---|
| ChatGPT | Marketing-Texte | Minimal |
| DeepL | Übersetzungen | Minimal |
| GitHub Copilot | Code-Completion | Minimal |
| Grammarly | Rechtschreibprüfung | Minimal |
| Crisp Chatbot | Kundenservice | Begrenzt |
Ergebnis:
- 4 Systeme mit minimalem Risiko → Schulung erforderlich
- 1 System mit begrenztem Risiko → Schulung + Transparenzhinweis
- Keine Hochrisiko-Systeme → Keine umfassende Dokumentation nötig
Häufige Fehler bei der Risikobewertung
Fehler 1: Überschätzung
Nicht jede KI ist Hochrisiko. ChatGPT ist KEIN Hochrisiko-System, auch wenn es viel genutzt wird.
Fehler 2: Unterschätzung
Bewerber-Screening-Tools sind oft Hochrisiko, auch wenn sie "nur" eine Vorauswahl treffen.
Fehler 3: Keine Dokumentation
Die Risikobewertung muss dokumentiert werden. "Wir haben das mal geprüft" reicht nicht.
Wie dokumentiere ich die Risikobewertung?
Haltet für jedes KI-System fest:
- Name des Systems
- Einsatzbereich
- Risikoklasse
- Begründung für die Einstufung
- Datum der Bewertung
Mit easy AI geschieht das automatisch. Ihr beantwortet Fragen, das System ordnet die Risikoklasse zu.