KI mit minimalem Risiko: Definition und rechtliche Bedeutung (AI Act / Data Act)
KI-Systeme mit minimalem Risiko machen die überwiegende Mehrheit der KI-Anwendungen aus — Spam-Filter, Empfehlungsalgorithmen in E-Commerce, Inventar-/Lageroptimierung, Videospiele-KI, übersetzungs-Tools für interne Zwecke. Sie fallen nicht unter die Verbote (Art. 5), sind nicht hochriskant (Art. 6) und lösen auch keine Transparenzpflichten (Art. 50) aus. Sie dürfen frei verwendet werden. Der AI Act regt Anbieter an, freiwillige Verhaltenskodizes (Art. 95) zu entwickeln, ist aber nicht verpflichtend. Dennoch bleiben DSGVO, AGG, UWG und sektorales Recht voll anwendbar — minimal im AI Act bedeutet nicht „rechtsfrei".
Steve Baka
Was ist „minimales Risiko"?
Minimales Risiko bedeutet: kein KI-Act-Pflichtenbündel, keine Konformitätsbewertung, keine CE-Kennzeichnung, keine Registrierung, keine Transparenzpflichten. Beispiele: Spam-Filter, einfache Empfehlungssysteme („Kunden kauften auch…"), Lager-/Bestandsoptimierung, interne Übersetzungstools, Spiele-KI. Die überwiegende Mehrheit aller KI-Anwendungen fällt hierher.
Welche Pflichten bestehen dennoch?
Auch bei minimaler KI bleiben andere Rechtsregime voll anwendbar: DSGVO (personenbezogene Daten, automatisierte Entscheidungen Art. 22), AGG (Diskriminierungsverbot), UWG (keine irreführenden Geschäftspraktiken, keine Dark Patterns), BDSG (Beschäftigtendatenschutz), Urheberrecht (Trainingsdaten). Der AI Act regt freiwillige Verhaltenskodizes (Art. 95) an — eine gute Praxis, um Vertrauen zu dokumentieren.
Grenze: Übergang zu begrenztem/hochriskantem Risiko
Minimale KI kann in begrenzte (Art. 50) oder hochriskante (Art. 6) KI übergehen, sobald Anwendungen/grundrechtsrelevante Funktionen hinzukommen. Beispiele: Empfehlungs-KI mit Profiling kann DSGVO-relevant werden; Lager-KI mit Personal-Tracking kann hochriskant werden (Anhang III Nr. 4); Übersetzungs-KI im Justizbereich kann hochriskant werden (Anhang III Nr. 6). Eine laufende Risiko-Neubewertung ist empfohlen.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Welche KI ist „minimal riskant"?
Spam-Filter, einfache Empfehlungssysteme, Inventar-/Lageroptimierung, Videospiele-KI, interne Übersetzungstools. Überwiegende Mehrheit aller KI-Anwendungen.
Gelten für minimale KI gar keine Regeln?
AI-Act-mäßig nein. Aber DSGVO, AGG, UWG, BDSG, Urheberrecht bleiben voll anwendbar. Minimal im AI Act ≠ rechtsfrei.
Kann aus minimaler KI hochriskante KI werden?
Ja, sobald grundrechtsrelevante Funktionen hinzukommen (Personal-Tracking, Justiz-Bezug, etc.). Laufende Risiko-Neubewertung empfohlen.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.