Die Risikostufen des EU AI Act, erklärt für Nicht-Juristen
Der AI Act der EU behandelt nicht jede KI gleich, und genau dieser Teil fehlt in den meisten Erklärungen. Es ist kein einheitliches Regelwerk, das für jedes KI-System gleichermaßen gilt — es ist ein Sortiermechanismus. Jedes KI-System, das in der EU eingesetzt wird oder sie betrifft, wird in eine von vier Risikostufen einsortiert, und diese Stufe entscheidet, ob dich ein komplettes Verbot, ein Berg an Compliance-Papierkram, eine einfache Offenlegungspflicht oder gar nichts erwartet. Ein früherer Beitrag hier hat Artikel 50 im Detail behandelt — die konkrete Pflicht, offenzulegen, dass etwas KI ist. Dieser Artikel behandelt die größere Struktur, in der diese Regeln stecken: das Stufensystem selbst und wo die Werkzeuge, die normale Creator tatsächlich nutzen, am wahrscheinlichsten landen.
Die vier Stufen, einfach erklärt
Unannehmbares Risiko bedeutet vollständiges Verbot — nicht reguliert, nicht besteuert, nicht gekennzeichnet, sondern schlicht illegal, in der EU gebaut oder eingesetzt zu werden, egal wer du bist oder wie sorgfältig du vorgehst. Hohes Risiko bedeutet legal, aber stark überwacht — Konformitätsbewertungen, technische Dokumentation, menschliche Aufsicht, Eintragung in eine EU-Datenbank, das volle Programm. Begrenztes Risiko bedeutet legal mit einem Transparenz-Haken — du musst offenlegen, was passiert, brauchst aber keine Zulassung vor Markteinführung oder eine Compliance-Abteilung. Minimales Risiko bedeutet keine KI-spezifischen Pflichten — du bist weiterhin an gewöhnliches Recht wie die DSGVO und Verbraucherschutz gebunden, aber der AI Act selbst hat dir nichts zu sagen. Der Großteil der alltäglichen generativen KI-Nutzung einzelner Creator liegt in den unteren zwei Stufen. Die Stufen, die dich wirklich beschäftigen sollten, sind die oberen zwei — und meist aus spezifischen, klar benennbaren Gründen, nicht wegen “KI im Allgemeinen”.
Unannehmbares Risiko: die kurze Liste dessen, was schlicht verboten ist
Artikel 5 listet acht Kategorien von KI-Praktiken, die die EU für unvereinbar mit Grundrechten hält — Punkt. Keine Variante von “aber wir haben es offengelegt” macht diese Praktiken legal. Dazu gehören: KI, die Menschen unterschwellig oder ausbeuterisch manipuliert und dabei echten Schaden verursacht; KI, die Schwachstellen von Kindern, Menschen mit Behinderung oder Menschen in schwierigen wirtschaftlichen Verhältnissen ausnutzt; Social-Scoring-Systeme, die Menschen nach ihrem Verhalten bewerten und dafür benachteiligen; Predictive-Policing-Werkzeuge, die jemanden allein aufgrund von Profiling als künftigen Straftäter einstufen, ohne Hinweise auf eine tatsächliche Tat; das Zusammentragen von Internet- oder Videoüberwachungsdaten zu ungezielten Gesichtserkennungsdatenbanken; das Ableiten von Emotionen am Arbeitsplatz oder in Bildungseinrichtungen; die Kategorisierung von Menschen nach sensiblen biometrischen Merkmalen wie Herkunft oder sexueller Orientierung; und die biometrische Echtzeit-Identifizierung von Menschen im öffentlichen Raum durch Strafverfolgungsbehörden, mit engen Ausnahmen. Diese Verbote sind seit dem 2. Februar 2025 durchsetzbar, und es gibt keine Bestandsschutzregel — es spielt keine Rolle, ob dein System älter ist als das Gesetz.
Eine neuere, für Creator relevante Ergänzung kam über das “Digital Omnibus”-Vereinfachungspaket der EU, das im Juni/Juli 2026 finalisiert wurde: KI-Systeme, die gezielt dafür gebaut sind, nicht-einvernehmliche intime Aufnahmen einer realen, identifizierbaren Person zu erzeugen oder zu verändern — sogenannte “Nudifier”-Apps und ähnliche Face-Swap-Werkzeuge, die sexuelle Inhalte einer Person ohne deren Einwilligung produzieren — sind jetzt ausdrücklich vollständig verboten, das Verbot greift ab dem 2. Dezember 2026. Das liegt in derselben Stufe wie die oben genannten Praktiken, nicht in der Kennzeichnungs- und Offenlegungsstufe: Keine Offenlegung, kein Wasserzeichen, keine Altersverifikation, kein Einwilligungsprozess macht es legal. Wenn der ganze Zweck eines Werkzeugs die Erzeugung solcher unautorisierten Inhalte ist, spielt es keine Rolle, wie das Ergebnis gekennzeichnet ist — der Bau oder Betrieb selbst ist der Verstoß. Die Bußgelder für Verstöße gegen Artikel 5 sind die höchsten im gesamten Gesetz: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes, je nachdem, was höher ist.
Hohes Risiko: legal, aber der Compliance-Aufwand ist real
Die Einstufung als hohes Risiko betrifft KI-Systeme in bestimmten sensiblen Bereichen, aufgelistet in Anhang III — Beschäftigung und Personalmanagement, Bildung und Bewertung in der Berufsausbildung, Zugang zu essenziellen Diensten wie Bonitätsprüfung, Migration und Grenzkontrolle, Strafverfolgung, Rechtspflege sowie biometrische Identifizierung oder Kategorisierung außerhalb der oben bereits verbotenen Fälle. Als Creator oder kleines Studio baust du solche Systeme wahrscheinlich nicht selbst — aber du könntest sie nutzen, ohne es zu merken. Ein KI-Tool, das Bewerber durch Analyse von Videointerviews vorsortiert, eine Adtech-Plattform, die Webcam-Aufnahmen ausliest, um die emotionale Reaktion des Publikums auf Inhalte einzuschätzen, oder ein biometrisches System, das Menschen für ein Kundenprojekt nach geschützten Merkmalen sortiert — all das fällt hierunter. Solche Systeme brauchen Konformitätsbewertungen vor Markteinführung, technische Dokumentation, Mechanismen für menschliche Aufsicht und eine Eintragung in eine EU-weite Datenbank — ein Compliance-Aufwand, der für Unternehmen mit eigener Rechts- und Engineering-Abteilung gemacht ist, nicht für das Wochenendprojekt eines Solo-Creators.
Der praktische Zeitplan hat sich 2026 deutlich verschoben. Die Pflichten für diese Anhang-III-Systeme sollten ursprünglich ab dem 2. August 2026 gelten, wie der Rest des Gesetzes auch — doch die von den EU-Verhandlern am 7. Mai 2026 erzielte Digital-Omnibus-Einigung, formell von Parlament und Rat bis Juni bestätigt, hat dieses Datum auf den 2. Dezember 2027 verschoben. KI mit hohem Risiko, die in bereits regulierte Produkte eingebettet ist — etwa KI-Sicherheitskomponenten in Medizingeräten oder Maschinen —, bekommt noch mehr Zeit, bis zum 2. August 2028. Wenn deine Arbeit diese sensiblen Bereiche nicht berührt, ist diese Verschiebung für dich meist Hintergrundrauschen — aber sie ist die mit Abstand größte praktische Änderung am AI Act im Jahr 2026, und sie zeigt, dass die EU sich bewusst für echten Spielraum statt für eine harte Klippe entscheidet.
Begrenztes Risiko: hier ist Transparenz die gesamte Pflicht
Diese Stufe betrifft normale Content-Creator am direktesten, und hier lebt Artikel 50. Wenn du einen Chatbot bereitstellst, musst du klarmachen, dass die Nutzerin oder der Nutzer mit einer Maschine spricht. Wenn du Bild-, Audio- oder Videoinhalte erzeugst oder manipulierst, die realistisch genug sind, um als echt durchzugehen — eine synthetische Produktdemo, ein KI-vertontes Video im Nachrichtenstil, eine manipulierte Aufnahme eines realen Ereignisses —, musst du offenlegen, dass es künstlich erzeugt oder verändert wurde, klar und genau dort, wo jemand darauf trifft. Wenn du außerhalb der verbotenen und hochriskanten Kontexte oben ein System zur Emotionserkennung oder biometrischen Kategorisierung einsetzt, schuldest du den Betroffenen einen Hinweis darauf. Nichts davon erfordert eine Vorab-Zulassung, eine Konformitätsbewertung oder eine Datenbankeintragung — es erfordert, den Menschen ehrlich zu sagen, was sie gerade sehen, genau in dem Moment, in dem sie es sehen. Diese Pflichten sind seit dem 2. August 2026 EU-weit durchsetzbar, zeitgleich damit, dass die Kommission die formelle Befugnis erhielt, zu ermitteln und Bußgelder zu verhängen.
Minimales Risiko: hier lebt der Großteil kreativer KI-Nutzung tatsächlich
Eine KI-generierte Hintergrundillustration für ein Video, eine geklonte Sprachaufnahme, ein KI-unterstütztes Thumbnail, ein Text-zu-Bild-Render für ein Moodboard, ein KI-Schreibtool, das einen Skript-Entwurf erstellt — nichts davon löst eine spezifische Pflicht nach dem AI Act aus. Es ist nicht verboten, kein hohes Risiko, und solange das Ergebnis nicht realistisch genug ist, um mit echtem Material eines realen Ereignisses oder einer realen Person verwechselt zu werden, löst es nicht einmal die Offenlegungspflicht aus Artikel 50 aus. Du bist weiterhin an gewöhnliche Regeln gebunden — Urheberrecht, Persönlichkeitsrecht, Plattformbedingungen, DSGVO, sofern du personenbezogene Daten verarbeitest —, aber der AI Act selbst schweigt hier weitgehend. Das ist tatsächlich die mit Abstand größte Kategorie nach Volumen: Der Großteil der generativen KI-Nutzung für Unterhaltung, Marketing und kreative Arbeit ist minimales Risiko, und das Gesetz wurde bewusst so gebaut, dass diese Nutzung nicht ausgebremst wird.
Eine separate Achse: die KI-Modelle selbst
Noch ein Punkt, den man kennen sollte, weil er erklärt, warum ein von dir genutztes Tool in seinen Nutzungsbedingungen “EU-AI-Act-Konformität” erwähnen könnte, obwohl deine eigene Nutzung minimales Risiko ist: General-Purpose-KI-Modelle — die großen Foundation-Modelle, die die meisten generativen Verbrauchertools antreiben — bewegen sich auf einer eigenen Compliance-Schiene, die auf die Unternehmen abzielt, die die Modelle bauen, nicht auf die Menschen, die darauf aufbauende Apps nutzen. Diese Pflichten gelten für Modellanbieter bereits seit dem 2. August 2025, und die Befugnis der Kommission, sie tatsächlich durchzusetzen und Bußgelder zu verhängen, wurde am 2. August 2026 aktiviert. Modelle, die mit mehr als etwa 10^25 Gleitkommaoperationen trainiert wurden, gelten vermutlich als “systemisches Risiko” und unterliegen zusätzlichen Pflichten — Risikobewertung, Vorfallverfolgung, Cybersicherheitsanforderungen, Meldung an das KI-Büro der EU innerhalb von zwei Wochen nach Erreichen dieser Schwelle. Das ist eine Last für die Handvoll Unternehmen, die Frontier-Modelle bauen, für jemanden, der ein fertiges Produkt nutzt, praktisch unsichtbar.
Zusammengefasst: wo landet dein Workflow tatsächlich?
Für die überwältigende Mehrheit der Menschen, die mit KI Inhalte erstellen, sieht die ehrliche Landkarte so aus: routinemäßige Erzeugung und Bearbeitung ist minimales Risiko und vom Gesetz unberührt; Inhalte, die realistisch genug sind, um mit etwas Echtem verwechselt zu werden, lösen eine Offenlegungspflicht mit begrenztem Risiko nach Artikel 50 aus, kein Verbot und kein Compliance-Verfahren; der Einsatz von KI für Einstellung, Bonität, biometrische Sortierung oder ähnliche sensible Entscheidungen zieht dich in hochriskantes Terrain mit echtem Papierkram, auch wenn die Durchsetzung dieser Stufe erst ab Dezember 2027 greift; und das Einzige, was tatsächlich vollständig verboten ist, ist eine kurze, spezifische Liste — manipulative und ausbeuterische Praktiken, bestimmte biometrische Anwendungen und Social Scoring sowie, als jüngste Ergänzung, Werkzeuge, die gezielt zur Erzeugung nicht-einvernehmlicher intimer Aufnahmen realer Personen gebaut wurden. Das System ist nicht darauf ausgelegt, gewöhnliche kreative KI-Nutzung schwer zu machen. Es soll eine kleine Zahl spezifischer Schäden illegal machen, eine etwas größere Gruppe sensibler Nutzungen rechenschaftspflichtig machen — und alles andere transparent statt eingeschränkt.
Der regulatorische Stand ändert sich schnell, und die obigen Angaben spiegeln öffentlich verfügbare Informationen von Mitte Juli 2026 wider — prüfe die aktuellen Anforderungen, bevor du Entscheidungen triffst, die davon abhängen. Dieser Artikel ist eine allgemeine Information und keine Rechtsberatung; wende dich bei Fragen mit echten Konsequenzen an eine in deiner Rechtsordnung zugelassene Anwältin oder einen zugelassenen Anwalt.