KI-Risikoklassen: Eine Orientierung für dein Softwareunternehmen

Was bedeuten die Risikoklassen der KI-VO für mein Softwareunternehmen?

Du bist ein Softwareunternehmen und verwendest oder entwickelst KI? Dann ist dieser Beitrag für dich! KI steckt heute in fast jedem SaaS-Produkt: von Automatisierung über Personalisierung bis hin zu Support-Bots. Die Chancen sind riesig – aber genauso die regulatorischen Spielregeln. Mit dem Ziel eines verantwortungsvollen Einsatzes von KI, ordnet die KI-VO als europaweites Regelwerk erstmals KI nach ihrem Risiko ein. Je nach Risikoklassen gelten entsprechende Pflichten für Anbieter und Betreiber der KI. Als Softwareunternehmen musst du verstehen, wo dein Produkt regulatorisch eingeordnet wird, bevor du es verwendet oder verkaufst.  

Wie funktioniert die Einordnung meiner KI?

Entscheidend ist der Use-Case, für den du KI verwendest oder entwickelst. Generell lässt sich festhalten, dass je größer der Einfluss auf Menschen, Jobs, Chancen oder Sicherheit ist, desto strenger sind die Regeln.  

Die gute Nachricht: Die meisten SaaS-Use-Cases sind erlaubt!  

Die schlechte Nachricht: Wer seine KI falsch einordnet, riskiert betriebliche und rechtliche Probleme.

Welche KI-Nutzung ist komplett verboten?

KI, welche massiv in die Rechte und Freiheiten der Menschen eingreift, darf gar nicht erst eingesetzt werden. Typische Use-Cases sind unterschwellige Manipulation von Nutzern, Ausnutzen besonderer Schutzbedürftigkeit (z. B. Kinder, Kranke), biometrische Kategorisierung sensibler Merkmale und emotionale Überwachung von Menschen. Setzt dein Softwareunternehmen beispielsweise ein KI-System ein, das während eines Vorstellungsgesprächs die emotionalen Reaktionen des Bewerbers erfasst und analysiert, stellt es eine verbotene Praktik dar. Es gilt: Finger weg von solchen Use-Cases!

Wann ist dein Produkt Hochrisiko-KI?

Wenn deine KI nicht verboten ist, könnte sie dennoch hoch reguliert sein. Das ist der Fall, wenn sie in sensiblen Lebensbereichen eingesetzt wird und echte Auswirkungen auf Menschen hat. Ein Praxisbeispiel ist eine von der Personalabteilung eingesetzte KI, die Bewerber automatisch vorfiltert oder eine KI, die über Zugangsrechte oder Sicherheitsfunktionen entscheidet. Wenn dein Produkt in dieser Risikoklasse landet, kommen umfangreiche Pflichten auf dich zu, wie Risikomanagement, saubere Trainingsdaten, technische Dokumentation und Monitoring nach dem Launch. Kurz gesagt: Mehr Governance, mehr Prozesse, mehr Verantwortung.  

Was, wenn meine KI nicht in diese Kategorien fällt?

Ist deine KI nicht verboten könnte sie Transparenzpflichten unterliegen. Die meisten SaaS-Produkte mit KI landen eher in dieser Kategorie. Hier geht es weniger um Grundrechtseingriffe, sondern um Täuschung- und Identitätsrisiken durch mangelnde Transparenz. Beantwortet beispielweise ein Chatbot auf deiner Website Supportfragen oder verkauft Produkte, besteht ein Transparenzrisiko, wenn die Nutzer nicht merken, dass sie mit einer Maschine sprechen oder KI-Inhalte sehen. Daher müssen KI-Systeme mit Transparenzrisiken gewisse Pflichten einhalten, wie die Kennzeichnung der KI als solche und ihrer Inhalte. Dies ist für Softwareunternehmen, insbesondere Scale-ups leicht umzusetzen in Form eines Hinweises im UI, klarer Labels und sauberer Kommunikation – schon bist du compliant, ohne das Produkt zu verbiegen.  

Gibt es auch KI ohne extra Pflichten?

Deine KI könnte auch eine KI ohne spezifisches Risiko sein. Typische Beispiele sind Übersetzungsfunktionen, Musik- und Produktempfehlungen, einfache Automatisierungenund interne Optimierungsalgorithmen. Sie unterliegen keinen zusätzlichen KI-VO-Pflichten und können daher frei entwickelt und genutzt werden. Ein verantwortungsbewusster Einsatz der KI bleibt aber selbstredend erforderlich. Pflichten anderer Gesetzte zum Datenschutz oder der Cybersecurity bleiben bestehen.  

Was heißt das jetzt konkret für mein Softwareunternehmen?

Statt erst beim Audit nervös zu werden, lohnt sich ein früher Blick auf deine KI. Insbesondere in Form einer Auflistung aller KI-Funktionen, der Bestimmung der Risikoklasse, einer Prüfung des UI und der Transparenz und der Einrichtung eines KI-Governance Programms. Durch die frühzeitige Einordnung können beispielsweise problematische Funktionen bereits beim Design des KI-Produkts angepasst werden. Ein klar dokumentiertes Governance Programm sorgt dafür, dass neue Funktionen kontinuierlich geprüft und freigegeben werden können, wodurch dein Team KI schnell erweitern kann, ohne dass Compliance-Checks jedes Mal das Tempo bremsen. Die transparente Kennzeichnung und der faire Umgang mit Daten zeigt deinen Kunden, Partnern und Investoren, dass dein Softwareunternehmen KI ethisch und verantwortungsbewusst einsetzt, wodurch das gegenseitige Vertrauen gestärkt wird.

Also: Wer führzeitig versteht, welche Risiken seine KI-Lösung birgt und die entsprechend erforderlichen Maßnahmen trifft, spart später viel Zeit, Kosten und Stress und baut gleichzeitig Vertrauen zu Kunden, Partnern und Investoren auf.  

Fazit

Die KI-VO soll Innovation nicht verhindern, sondern lenken. KI-Funktionen ohne spezifische Risiken können flexibel entwickelt und getestet werden und Hochrisiko- oder Transparenzrisiko-Systeme werden kontrolliert und sicher betrieben. Entscheidend ist die richtige Einordnung deiner KI in die Risikoklassen der KI-VO, wobei eine frühzeitigeKI-Compliance kein Hindernis darstellt, sondern ganz im Gegenteil ein strategischer Vorteil für dein Softwareunternehmen sein kann.