Warum alle über High Risk sprechen – und damit am Thema vorbeigehen
Der Fokus liegt auf den falschen Beispielen
Wenn es um den EU AI Act geht, dreht sich ein Großteil der Diskussion um ein paar bekannte Beispiele: Kredit-Scoring, Recruiting-Systeme oder biometrische Identifikation.
Also genau die Fälle, die klar als Hochrisiko gelten.
Das ist nachvollziehbar. Diese Systeme sind offensichtlich sensibel, haben direkte Auswirkungen auf Menschen und sind regulatorisch stark im Fokus. Sie sind leicht zu erklären und funktionieren gut als Beispiele in Präsentationen, Artikeln oder politischen Diskussionen.
Das Problem: Genau dadurch entsteht ein verzerrtes Bild davon, wo die eigentliche Herausforderung für Unternehmen liegt.
High Risk ist sichtbar – Limited Risk nicht
Hochrisiko-Systeme haben klare Regeln, hohe Anforderungen und potenziell empfindliche Strafen. Das macht sie greifbar.
Limited Risk dagegen wirkt unspektakulär. Weniger streng, weniger formalisiert, weniger dramatisch.
Und genau deshalb wird es oft unterschätzt.
Der Denkfehler hinter dem Fokus auf High Risk
Viele Unternehmen denken implizit so:
„Wenn wir kein High-Risk-System haben, betrifft uns der AI Act nicht wirklich.“
Das ist einer der größten strategischen Fehler im Umgang mit dem EU AI Act.
Die Realität in Unternehmen: Die meisten Systeme sind Limited Risk
Nicht die Ausnahme, sondern der Alltag
Schaut man sich die tatsächliche Nutzung von KI in Unternehmen an, ergibt sich ein völlig anderes Bild als in den typischen High-Risk-Diskussionen.
Die meisten Systeme, die heute produktiv eingesetzt werden, fallen nicht in den Hochrisikobereich.
Typische Limited-Risk-Use-Cases
Chatbots im Kundenservice
Marketing-Content (Texte, Bilder)
Interne Assistenzsysteme
Recommendation Engines
Produktfeatures mit KI-Unterstützung
Diese Systeme sind in nahezu jedem Unternehmen zu finden.
Und genau das ist der entscheidende Punkt:
Limited Risk ist kein Randfall – es ist die Mehrheit.
Was „Limited Risk“ wirklich bedeutet – und oft missverstanden wird
Nicht weniger relevant, sondern anders reguliert
Ein häufiger Denkfehler ist die Gleichsetzung von „Limited Risk“ mit „unwichtig“ oder „nicht reguliert“.
Das ist schlicht falsch.
Limited Risk bedeutet nicht weniger Verantwortung, sondern eine andere Art von Anforderungen.
Im Kern geht es um Transparenz
Während High Risk stark auf Dokumentation, Risikomanagement und Audits setzt, liegt der Fokus bei Limited Risk auf Transparenz gegenüber Nutzern.
Konkret heißt das:
Nutzer müssen erkennen können, dass sie mit einem KI-System interagieren
KI-generierte Inhalte dürfen nicht als menschlich ausgegeben werden
Täuschung oder „Human Pretending“ ist zu vermeiden
Das klingt erstmal simpel. In der Praxis ist es das aber oft nicht.
Warum Limited Risk für Unternehmen besonders kritisch ist
Die unsichtbare Form von Compliance
Limited Risk ist nicht deshalb schwierig, weil die Regeln komplex sind. Sondern weil sie leicht übersehen werden.
1. Es ist „unsichtbare Compliance“
Kein großes Projekt. Kein dediziertes Audit. Keine offensichtliche Alarmstufe.
Und genau deshalb passiert oft nichts.
2. Es betrifft fast alle Teams
Anders als High Risk ist Limited Risk kein reines Legal- oder Compliance-Thema.
Es betrifft operativ:
- Marketing (AI-generierte Inhalte)
- Sales (automatisierte Kommunikation)
- Support (Chatbots)
- Product (AI-Features)
Damit wird es zu einer organisationsweiten Aufgabe.
3. Es skaliert extrem schnell
Ein scheinbar kleines System kann sehr schnell große Reichweite bekommen.
Ein Chatbot wird live geschaltet und plötzlich:
- läuft er in mehreren Ländern
- interagiert mit tausenden Nutzern
- wird zentraler Bestandteil der Customer Journey
Wenn Transparenz hier nicht von Anfang an mitgedacht wird, skaliert die Nicht-Compliance gleich mit.
Das eigentliche strategische Problem
Viele Systeme, wenig Aufmerksamkeit
Wenn man es auf den Punkt bringt, sieht die Realität so aus:
High Risk
Wenige Systeme
Hohe Aufmerksamkeit
Limited Risk
Viele Systeme
Wenig Aufmerksamkeit
Und genau darin liegt das Problem:
Der größte Compliance-Footprint liegt bei Limited Risk.
Warum Limited Risk der bessere Einstieg in AI Compliance ist
Nicht mit dem schwierigsten Fall anfangen
Viele Unternehmen versuchen, AI Compliance über High-Risk-Szenarien zu denken. Das führt oft zu Blockade oder Überforderung.
Pragmatischer ist ein anderer Ansatz:
Startet dort, wo ihr die meisten Systeme habt.
Und das ist fast immer Limited Risk.
Das bedeutet konkret:
- KI-Systeme erfassen
- Einsatzzwecke verstehen
- Transparenzanforderungen prüfen
- klare Regeln für Nutzung und Kennzeichnung definieren
Damit schafft ihr Struktur – ohne direkt in die komplexesten Fälle einsteigen zu müssen.
Der schnellste Weg, Limited Risk in den Griff zu bekommen
Vom blinden Fleck zur strukturierten Übersicht
Die größte Herausforderung bei Limited Risk ist nicht die Regulierung selbst, sondern die fehlende Übersicht.
Welche Systeme sind überhaupt im Einsatz? Wo interagiert KI mit Nutzern? Welche Inhalte sind generativ erstellt?
Genau hier setzt SimpleAct an.
KI-Systeme erfassen, automatisch einordnen, Transparenzpflichten sichtbar machen und alles nachvollziehbar dokumentieren – ohne Excel-Chaos und ohne verteilte Einzelentscheidungen.
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Bei Unsicherheiten empfehlen wir eine rechtliche Prüfung. Stand: April 2026.
Über SimpleAct: SimpleAct ist eine deutsche Compliance-Plattform, die Unternehmen bei der strukturierten Dokumentation ihrer KI-Systeme nach EU AI Act unterstützt. Von der Erfassung über die Risikobewertung bis zum exportfähigen Audit-Nachweis. Alles an einem Ort.
Tags
Kamill Jarzebowski | SimpleAct
Author · SimpleAct Team
