Ein Morgen im Co-Working-Space
Anna, Grafikdesignerin, lädt Kundendaten in einen Logo-Generator. Miguel, Fotograf, nutzt ein KI-Tool für Serienretuschen. Lara, freie HR-Beraterin, testet ein Screening-Tool für Bewerber:innen.
Drei gängige Anwendungsfälle. Drei unterschiedliche Risikostufen.
Ich habe diese Szene gemeinsam mit o3 durchgespielt. Das Modell analysierte knapp:
„Anna – Graphic Design: Limited Risk.
Miguel – Generative Fill: DSGVO beachten.
Lara – HR Screening: Likely High Risk. Suggest further contractual clarification.“
Was bedeutet „Deployer“?
Der deutsche Begriff ist Einsatzbetrieb/Einsetzer:
Bild: Midjourney auf Grundlage eines Fotos von Silvia. Ich habe Menschlein und einen Roboter hinzufügen lassen. Das Ausgangsbild zeigte eine leere Sitznische in einem Co-Working-Space.
Was meint es damit? Der rechtliche Rahmen für KI-Anwendungen ist nicht immer ganz einfach.
Lara könnte allein durch den Einsatz des Screening-Tools bereits als „Deployer“ eines Hochrisiko-Systems gelten – mit entsprechenden Pflichten.
Für Anna und Miguel genügt in den meisten Fällen ein transparenter Hinweis und die Einhaltung datenschutzrechtlicher Standards.
Wichtig ist: Der EU AI Act reguliert nicht „Big Tech“. Er reguliert Risikopotenziale überall dort, wo KI beruflich eingesetzt wird. Sobald du mit echten Daten arbeitest greift parallel auch die DSGVO: Du bist verpflichtet, personenbezogene Informationen mit entsprechender Sorgfalt zu behandeln.
Die vier Risikostufen (vereinfacht dargestellt)
Der EU AI Act unterscheidet vier Risikostufen – nicht nach Beruf oder Branche, sondern nach Anwendungskontext. Du kannst in der Tabelle sehen, welche Anwendungen in etwa wo eingeordnet werden. Bitte verlasse dich nicht auf diese Aussage, sondern prüfe deine spezifische Situation.
Je größer der Einfluss eines Tools auf reale Entscheidungen, desto strenger die Vorgaben. Oder anders gesagt: Wer über Menschen urteilt, braucht mehr als nur gute Prompts.
| Stufe | Beispiele | Pflichten |
| Unzulässig | Social Scoring, Emotionserkennung an Schulen | Verboten. Darf nicht eingesetzt werden. |
| High Risk | CV-Screening, Kredit-Scoring, biometrische Systeme | Risikomanagement, Konformitätsprüfung, Logs, menschliche Prüfung |
| Limited Risk | Chatbots, Text- & Bildgeneratoren für Publikationen | Transparenzpflicht, Urheberrecht- & Bias-Prüfung |
| Minimal Risk | Spamfilter, Autokorrektur | Keine spezifischen Pflichten laut AI Act |
Quelle: EU AI Act; vereinfachte Einordnung nach Trail ML (Stand April 2025)
Gemeinsam mit o3 habe ich überlegt: Wie lassen sich diese Pflichten im Alltag abbilden? Herausgekommen ist eine pragmatische, sicher unvollständige, aber beispielhafte Übersicht für typische Aufgaben:
| Gewerk | Typischer KI-Einsatz | Risikoklasse | Empfohlene Maßnahmen |
| Grafikdesign | Midjourney-Moodboards, Stilvarianten | Limited | Offenlegen, keine realen Personen in Prompts |
| Fotografie | Serienretusche, Generative Fill | Limited | DSGVO-konforme Uploads, synthetische Inhalte kennzeichnen |
| Entwicklung | GitHub Copilot, Code-Vervollständigung | Minimal / Limited | Lizenz- & Security-Check, keine sensiblen Prompts |
| Text / Redaktion | ChatGPT-Entwürfe, SEO-Briefings | Minimal / Limited | Quellenprüfung, redigieren, KI-Einsatz offenlegen |
| Beratung / HR | CV-Screening durch KI | High Risk | Risk Assessment, Logs, menschliche Kontrolle, vertraglich klären |
Hinweis: Diese Matrix ersetzt keine Rechtsberatung.
Wichtig ist: Nur weil dir die KI ein Ergebnis liefert, bedeutet das nicht, dass du dich darauf verlassen kannst. Die Verantwortung bleibt bei dir.
Der 5-Minuten-Selbsttest
Wer auf Nummer sicher gehen will, kann den 👉 offiziellen Compliance Checker nutzen.
Ich habe den Test gemacht: Wenn man angibt, als Einzelperson in der EU KI-gestützt Texte oder Bilder zu erstellen und diese zu veröffentlichen, erhält man folgendes Ergebnis (siehe Screenshot).
Was bedeutet das in einfachen Worten?
Du trägst die Ergebnisverantwortung und musst rein maschinenerstellte Inhalte auch maschinenlesbar kennzeichnen.
Am Beispiel der Bilderstellung: Ist ein Bild also KI generiert und weder auf Basis eigener Inhalte entstanden, noch mit eigenen Inhalten erweitert, verändert und angepasst, muss es gekennzeichnet sein.
Hast du mit Hilfe der KI nur Varianten deiner Idee durchgespielt, das finale Ergebnis aber selbst erstellt oder deutlich weiter nachbearbeitet, oder ging es um Autokorrekturen und Freistellen von Bildern (Hilfsfunktionen für die Standardbearbeitung) musst du im Grunde gar nichts tun.
Wichtig ist, dass du dir Kenntnisse über KI zulegst. Dazu gibt es aktuell jede Menge Kurse, auch kostenlose, bei denen man einen Teilnahmenachweis erhält.
Lasst uns mal schauen, wie man in den gängigen Anwendungsfällen und entsprechenden Kategorien sorgfältig und angemessen arbeiten kann:
- Transparenz:
Wo KI im Workflow involviert ist, sollte das abhängig vom Risiko sichtbar gemacht werden: im Angebot, in AGB oder als kurzer Hinweis auf dem finalen Produkt. - Output-Check:
Zwei-Augen-Prinzip. Gerade bei Bildern und Texten: Inhalte prüfen, Fakten absichern, Urheberrechte beachten. - Prompt Hygiene:
Keine personenbezogenen oder vertraulichen Daten in öffentlich zugängliche Tools eingeben.
High Risk: Wann du besonders aufpassen musst
Sobald eine KI in deinem Auftrag Vorschläge über Entscheidungen für reale Personen erstellt (zum Beispiel bei Lebensläufen oder Bonitätsprüfungen) wird es kritisch.
Typische Pflichten:
- Risk Assessment (Art. 9)
- Technische Dokumentation & Logs (Art. 11/12)
- Menschliche Aufsicht & Nachvollziehbarkeit (Art. 14, Recital 91)
Praxis-Tipp: Kläre vertraglich mit deinen Kund:innen, wer „Deployer“ (Einsetzer) der KI ist – also wer rechtlich verantwortlich ist.
Und was bedeutet das für Anna, Miguel & Lara?
| Name | Empfohlene nächste Schritte |
| Anna (Grafik) | Prompt-Hygiene, ggf. Offenlegung, Moodboards final selbst kuratieren |
| Miguel (Foto) | DSGVO-Prüfung bei Uploads, ggf. synthetische Hintergründe als „KI-Element“ kennzeichnen |
| Lara (HR) | Screening-Tool prüfen, Risk Log führen, Entscheidung gegenprüfen, Verträge anpassen |
Drei Kontrollfragen vor jedem KI-Einsatz
Trifft die KI Aussagen über reale Menschen?
→ High Risk wahrscheinlich
Könnte ein Fehler echten Schaden verursachen?
→ High Risk möglich, und auch falls nicht, ist besondere Sorgfalt angesagt
Wird der Output 1:1 übernommen oder veröffentlicht?
→ Transparenz und Prüfung erforderlich
Die gute Nachricht: Wenn du weißt, worauf du achten musst, ist vieles davon Routine.
Und wenn du dir unsicher bist, frag nicht deine KI. Frag eine Person, die sich mit dem Thema auskennt.
Kapitel 2: Unzuverlässige Erzähler
Im nächsten Kapitel schauen wir uns an, warum auch sprachlich brillante KI-Outputs nicht immer stimmen müssen – und wie du sie besser einordnest.
Wenn wir dir Bescheid geben sollen, wann das nächste Kapitel veröffentlicht wird, melde dich zu unserem Newsletter an – und folge uns bei LinkedIn oder Instagram!