CWS
CyberWerkSuite
← Zurück zum Blog
EU AI ActISO 42001AI GovernanceComplianceISMSISO 22989ISO 23894

Was ist ein KI-System im regulatorischen Kontext?

Definition, Geltungsbereich und operative Governance-Konsequenzen nach EU AI Act und ISO/IEC-Standards. Warum die Klassifizierung Ausgangspunkt aller regulatorischen Pflichten ist.

Harun İncegül, LLM
Author, Information Security Manager, DPO
KI-Governance & Compliance

Veröffentlicht am 5. Mai 2026

1. Problemstellung: Warum die korrekte Einordnung entscheidend ist

In der Unternehmenspraxis wird der Begriff Künstliche Intelligenz häufig unscharf verwendet. Systeme werden entweder vorschnell als KI eingeordnet oder bewusst nicht als solche klassifiziert, um regulatorische Anforderungen zu vermeiden. Mit dem Inkrafttreten des EU AI Act hat diese Unschärfe konkrete rechtliche Konsequenzen.1

Die Einordnung eines Systems als KI-System ist die operative Vorbedingung für jede weitere Risikoanalyse, für die Wahl der Konformitätsbewertungsmethode und letztlich für die Haftungsfrage im Ernstfall. In der Praxis begegnen mir zwei gegenläufige Fehler: zum einen die Unterklassifikation – ein System mit echten Inferenz- und Lernmechanismen wird als klassische Software abgetan; zum anderen die Überklassifikation – jedes Automatisierungswerkzeug wird vorsorglich als KI eingestuft, was Ressourcen bindet und Compliance-Prozesse lähmt. Beide Fehler entstehen aus demselben Grund: einer ungenauen Vorstellung davon, was regulatorisch als KI gilt.

Das bedeutet in der Praxis

Eine falsche Klassifikation führt entweder dazu, dass gesetzliche Anforderungen nicht erfüllt werden, oder dass unnötige Compliance-Maßnahmen implementiert werden. Die Definition ist keine Formalität – sie ist Ausgangspunkt aller regulatorischen Pflichten.

2. Anwendungsbereich (Art. 2): Wer fällt unter den EU AI Act?

Bevor ein System als KI-System bewertet wird, muss geklärt werden, ob die Organisation überhaupt in den Anwendungsbereich der Verordnung fällt. Art. 2 Abs. 1 EU AI Act2 regelt dies explizit:

  • Anbieter (Provider): Wer ein KI-System entwickelt und unter eigenem Namen auf den Markt bringt – unabhängig vom Unternehmenssitz.
  • Betreiber (Deployer): Wer ein KI-System im eigenen Verantwortungsbereich einsetzt – typischerweise Unternehmen, die KI-Lösungen von Drittanbietern integrieren.
  • Importeure und Distributoren: Wer KI-Systeme aus Drittländern einführt oder im Binnenmarkt weitervertreibt.
  • Produkthersteller: Wer ein KI-System zusammen mit einem Produkt unter eigenem Namen auf den Markt bringt.
  • Betroffene Personen: Natürliche Personen in der EU, die von einem KI-System betroffen sind.

Für die Unternehmenspraxis besonders relevant ist die extraterritoriale Wirkung des EU AI Act. Art. 2 Abs. 1(c) stellt klar: Auch Anbieter und Betreiber außerhalb der EU fallen unter die Verordnung, wenn der Output ihrer KI-Systeme in der EU verwendet wird. Ein US-amerikanischer SaaS-Anbieter, dessen KI-gestütztes HR-Tool von einem deutschen Unternehmen eingesetzt wird, ist damit regulatorisch gleichgestellt mit einem EU-ansässigen Anbieter.2

Achtung – Open-Source-Ausnahme mit Tücken

Art. 2 Abs. 12 EU AI Act sieht eine Ausnahme für Open-Source-KI-Systeme vor. Sie gilt jedoch nicht, wenn das System als Hochrisiko-KI eingestuft wird oder unter Art. 5 (verbotene Praktiken) oder Art. 50 (Transparenzpflichten) fällt. Wer ein Open-Source-Basismodell in eine hochriskante Anwendung integriert, fällt trotz Open-Source-Lizenz vollständig unter die Hochrisiko-Anforderungen.

Das bedeutet in der Praxis

Der Anwendungsbereich ist nicht auf den Sitz eines Unternehmens beschränkt. Entscheidend ist, ob ein KI-System im EU-Kontext eingesetzt wird oder dort Wirkung entfaltet. Dies betrifft auch Unternehmen ohne Niederlassung in der EU.

3. Definition eines KI-Systems (Art. 3): Die zentralen Kriterien

Art. 3 Abs. 1 EU AI Act3 definiert ein KI-System als ein maschinenbasiertes System, das mit unterschiedlichem Autonomiegrad betrieben wird, nach der Inbetriebnahme Anpassungsfähigkeit aufweisen kann und für explizite oder implizite Ziele aus den empfangenen Eingaben ableitet, wie es Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugt, die physische oder virtuelle Umgebungen beeinflussen können. Diese Definition ist bewusst technologieneutral – sie bindet keine spezifische Methode, kein Framework und keine Architektur.

Vier Elemente sind für die praktische Klassifizierung entscheidend:

  • Maschinenbasiert: Das System muss auf Hardware oder Software laufen. Ein menschlicher Experte, der Empfehlungen gibt, fällt nicht darunter.
  • Variierender Autonomiegrad: Vollständige Autonomie ist nicht erforderlich. Auch ein System, das lediglich Entscheidungsvorschläge liefert, kann unter die Definition fallen.
  • Inferenz aus Eingaben: Das System leitet Ausgaben ab, die nicht durch explizite Programmierung vollständig determiniert sind.
  • Beeinflussung physischer oder virtueller Umgebungen: Der Output muss eine reale oder digitale Auswirkung haben.

Besonders wichtig ist das Element der impliziten Ziele: Viele KI-Systeme optimieren nicht auf ein explizit kodiertes Ziel, sondern auf aus Trainingsdaten abgeleitete, latente Muster. Dies ist kein Randfall – es ist das Funktionsprinzip der meisten modernen Machine-Learning-Modelle. Die Definition des EU AI Act erfasst genau diese Systeme.3

Aus der Praxis

In einem Projekt zur Automatisierung der Lieferantenbewertung bestand das eingesetzte System aus zwei Komponenten: einem regelbasierten Filter (harte Schwellenwerte) und einem ML-Modell, das auf historischen Bewertungsdaten trainiert wurde. Der regelbasierte Filter ist kein KI-System – seine Logik ist vollständig im Code determiniert. Das ML-Modell ist es eindeutig – es leitet Risikoparameter aus Daten ab, deren Herleitung nicht aus dem Code rekonstruierbar ist. Die erste operative Governance-Entscheidung war die Trennung beider Komponenten und ihre separate Klassifizierung.

Das bedeutet in der Praxis

Ein System gilt insbesondere dann als KI-System, wenn sein Verhalten bei neuen Eingaben nicht vollständig vorhersagbar ist, weil es auf gelernten Mustern basiert – und nicht ausschließlich auf explizit programmierten Regeln.

4. Einordnung und Abgrenzung: Wann ist ein System kein KI-System?

Nicht jedes datenverarbeitende System fällt unter die Definition. ISO/IEC 22989:20224 präzisiert: KI-Systeme zeichnen sich durch ihre Fähigkeit zur Generalisierung aus – sie leiten aus bekannten Daten Schlüsse auf unbekannte Fälle ab. Typische Nicht-KI-Systeme sind:

  • Deterministische Regelwerke (Wenn-Dann-Logik) ohne Lernkomponente
  • Klassische Datenbanksysteme ohne Mustererkennung
  • Systeme mit vollständig vordefinierten Entscheidungsbäumen
  • Einfache statistische Auswertungen (Mittelwerte, Summen, Prozentwerte)
MerkmalKlassische SoftwareKI-System (Art. 3 EU AI Act / ISO 22989)
LogikDeterministisch – vollständig im CodeProbabilistisch – inferenzbasiert aus Daten
SpezifikationExplizite ProgrammierbefehleLernziele und Trainingsdaten
GeneralisierungKeine – nur bekannte FälleJa – auch unbekannte Fälle
AutonomiegradNull – reine BefehlsausführungVariabel – Entscheidungsspielraum vorhanden
TestbarkeitVollständig (Unit-/Integrationstests)Statistisch (Validierung, nicht Verifikation)
GovernanceProzess- und Code-IntegritätDaten- und modellzentrierte Kontrolle

Das bedeutet in der Praxis

Die Abgrenzung erfolgt entlang einer einfachen Frage: Führt das System aus, was explizit programmiert wurde – oder leitet es auf Basis von Daten eigene Entscheidungslogiken ab? Im ersten Fall: kein KI-System. Im zweiten Fall: Klassifizierung als KI-System sehr wahrscheinlich.

5. Der Paradigmenwechsel: Von der Code- zur Modellzentrierung

Die Unterscheidung zwischen deterministischer Software und probabilistischen KI-Systemen hat direkte Konsequenzen für das Informationssicherheitsmanagement. Klassische Kontrollmechanismen greifen bei KI-Systemen systematisch zu kurz:

  • Code-Review: Ein statisches Code-Review erfasst die eigentliche Risikoquelle eines ML-Modells nicht: das Modell selbst und die Daten, aus denen es gelernt hat.
  • Penetrationstest: Ein klassischer Penetrationstest prüft Schnittstellen und Infrastruktur – aber nicht die adversariale Robustheit eines Modells.
  • Change Management: Ein Prozess, der nur Softwareänderungen erfasst, übersieht Modelldrift – schleichenden Leistungsverfall ohne jede Codeänderung.

Für Governance-Strukturen bedeutet dies: Der bestehende Kontrollrahmen muss um daten- und modellzentrierte Kontrollen ergänzt werden – nicht ersetzt. Art. 9 EU AI Act5 verlangt für Hochrisiko-KI-Systeme ein Risikomanagementsystem über den gesamten KI-Lebenszyklus. ISO/IEC 23894:20236 liefert die methodische Grundlage.

KI-spezifisches RisikoBeschreibungOperative Kontrolle (ISO/IEC 42001)
ModelldriftLeistungsabfall durch veränderte Datenverteilungen ohne CodeänderungContinuous Monitoring; definierte Re-Training-Trigger
Algorithmische VerzerrungDiskriminierung durch Verzerrungen in Trainings- oder ValidierungsdatenBias-Audits; diversifizierte Datensätze; Wirkungsanalyse
Halluzinationen (generative KI)Faktisch falsche, aber plausibel klingende AusgabenHuman-in-the-loop (HITL) für entscheidungsrelevante Ausgaben
Adversariale AngriffeGezielte Manipulation des Modells durch manipulierte EingabenAI Red Teaming; Robustheitstests

Hinweis zu RAG-Architekturen

RAG-Architekturen (Retrieval-Augmented Generation) reduzieren Halluzinationen, eliminieren sie nicht. Wer RAG als vollständige Kontrolle einstuft, unterschätzt das Residualrisiko. HITL-Kontrollen bleiben für entscheidungsrelevante Ausgaben obligatorisch – unabhängig von der eingesetzten Architektur.7

Das bedeutet in der Praxis

Klassische Governance-Instrumente bleiben nötig – reichen aber nicht aus. KI-Systeme brauchen zusätzlich modellzentrierte Kontrollen: Monitoring der Modellperformanz, Bias-Analyse der Trainingsdaten, adversariale Robustheitstests.

6. ISO/IEC 42001 als organisatorischer Integrationsrahmen

Art. 17 EU AI Act8 verlangt von Anbietern von Hochrisiko-KI-Systemen ein Qualitätsmanagementsystem. ISO/IEC 42001:20239 – das erste international anerkannte Managementsystem für KI (AIMS) – adressiert genau diese Anforderung. Drei Komponenten sind unmittelbar relevant:

  • KI-Richtlinie (AI Policy): Ethische und operative Leitplanken für den gesamten KI-Einsatz im Unternehmen.
  • Daten-Governance: Kontrolle über Qualität, Herkunft und Rechtmäßigkeit von Trainings-, Validierungs- und Testdaten.
  • Lebenszyklus-Management: Dokumentation vom Design über Betrieb und Monitoring bis zur Außerbetriebnahme.

ISO/IEC 42001 schreibt keinen bestimmten Reifegrad vor – der Standard ist skalierbar. Entscheidend ist die Nachweisbarkeit der Systematik, nicht ein bürokratischer Vollständigkeitsanspruch.10

Das bedeutet in der Praxis

Die Zertifizierung nach ISO/IEC 42001 ist kein automatischer Nachweis der EU-AI-Act-Konformität. Sie kann aber als strukturierter Beleg organisatorischer Reife gegenüber Aufsichtsbehörden und Kunden dienen – und reduziert den Aufwand bei der Konformitätsbewertung erheblich.

7. Drei operative Prüffragen für die Erstklassifizierung

Auf Basis von Art. 3 Abs. 1 EU AI Act lassen sich drei Prüffragen ableiten, die als strukturierter Einstiegspunkt für jede Klassifizierungsentscheidung dienen:11

  • Frage 1 – Inferenz: Leitet das System Ausgaben ab, die nicht vollständig aus dem Quellcode rekonstruierbar sind? Wenn ja: KI-System-Verdacht.
  • Frage 2 – Trainingsdaten: Hat das System seine Parameter oder Entscheidungsgrenzen aus Daten gelernt? Wenn ja: Verdacht bestätigt.
  • Frage 3 – Autonomiegrad: Trifft das System Bewertungen oder Empfehlungen, deren konkrete Herleitung nicht deterministisch vorgegeben wurde? Wenn ja: Klassifizierung als KI-System nach EU AI Act.

Diese drei Fragen sind kein Rechtsgutachten – sie sind der dokumentierte Einstieg in eine strukturierte Analyse. Das Ergebnis muss schriftlich festgehalten werden. Im Zweifelsfall ist eine rechtliche Prüfung unumgänglich.

Das bedeutet in der Praxis

Die Klassifikationsentscheidung muss dokumentiert und begründet werden. Sie ist Ausgangspunkt aller weiteren Compliance-Maßnahmen und muss bei wesentlichen Systemänderungen (Art. 3 Abs. 23 EU AI Act: substantial modification) neu bewertet werden.

8. Regulatorische Konsequenzen: Warum die Definition nicht isoliert betrachtet werden darf

Die Einordnung als KI-System ist kein Selbstzweck. Sie bestimmt, ob und in welchem Umfang regulatorische Anforderungen greifen. Im EU AI Act erfolgt die weitere Bewertung anhand eines risikobasierten Ansatzes:

  • Verbot bestimmter Anwendungen (Art. 5): Bestimmte KI-Praktiken sind ohne Ausnahme untersagt.
  • Hochrisiko-Einstufung (Art. 6, Anhang III): Umfangreiche Anforderungen an Dokumentation, Risikomanagement und Aufsicht.
  • Transparenzpflichten (Art. 50): Kennzeichnungspflichten und Offenlegungsanforderungen gegenüber Nutzern.

Das bedeutet in der Praxis

Die Definition eines KI-Systems ist der erste Schritt eines mehrstufigen Prozesses, der direkt in konkrete Compliance-Pflichten übergeht. Dieser Artikel legt das Fundament – die nachfolgenden Artikel dieses Buches bauen systematisch darauf auf.

9. Fazit: Klassifizierung ist keine Formalität

Ein KI-System im regulatorischen Kontext ist ein System, dessen Verhalten nicht ausschließlich durch Code, sondern maßgeblich durch Daten und Inferenz bestimmt wird. Die Definition im EU AI Act ist funktional und technologieneutral – sie zwingt zur Analyse des Systems, nicht seiner Bezeichnung.

Für Unternehmen ergeben sich daraus drei zentrale Aufgaben:

  • Klärung des Anwendungsbereichs: Fällt die Organisation – als Anbieter, Betreiber oder Importeur – unter den EU AI Act?
  • Saubere Klassifikation: Handelt es sich tatsächlich um ein KI-System im Sinne der Verordnung? Dokumentiert und begründet.
  • Ableitung von Pflichten: Welche regulatorischen Anforderungen folgen aus dieser Einordnung? Risikobasiert und proportional.

Nur wenn Definition, Anwendungsbereich und regulatorische Konsequenzen zusammen betrachtet werden, entsteht eine belastbare Grundlage für Governance und Compliance. Die Klassifizierung ist der erste Schritt – und wie bei jedem ersten Schritt entscheidet er über die Richtung aller weiteren.

  1. Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 (EU AI Act), ABl. L 2024/1689. Art. 1 (Gegenstand) und Erwägungsgrund 1.

  2. EU AI Act, Art. 2 Abs. 1 (a)–(g): Geltungsbereich. Art. 2 Abs. 1(c): extraterritoriale Wirkung. Art. 2 Abs. 12: Open-Source-Ausnahme mit Einschränkungen. 2

  3. EU AI Act, Art. 3 Abs. 1: Begriffsbestimmung KI-System. Erwägungsgrund 12: Abgrenzung zu regelbasierten Systemen. OECD (2019, rev. 2023): Recommendation on Artificial Intelligence. OECD/LEGAL/0449. 2

  4. ISO/IEC 22989:2022: Artificial intelligence – Concepts and terminology. Genf: ISO. Abschnitte 3.1 (AI system), 3.4 (machine learning), 3.6 (generalization).

  5. EU AI Act, Art. 9: Risikomanagementsystem. Verlangt einen kontinuierlichen, iterativen Prozess über den gesamten Lebenszyklus von Hochrisiko-KI-Systemen.

  6. ISO/IEC 23894:2023: Information technology – Artificial intelligence – Guidance on risk management. Genf: ISO.

  7. Hacker, P., Engel, A. & Mauer, M. (2023): Regulating ChatGPT and other Large Language Models. ACM FAccT 2023, S. 1112–1123.

  8. EU AI Act, Art. 17: Qualitätsmanagementsystem für Anbieter von Hochrisiko-KI-Systemen.

  9. ISO/IEC 42001:2023: Information technology – Artificial intelligence – Management system. Genf: ISO. Kompatibel mit ISO 27001 und ISO 9001.

  10. Europäische Kommission (2021): Impact Assessment Report accompanying the AI Act Proposal. SWD(2021) 84 final. Abschnitt 3.3: Proportionalität für KMU.

  11. BSI (2023): KI-Systeme kompetent einschätzen und sicher nutzen. Bonn: BSI. Empfiehlt dokumentierte Klassifizierungsentscheidungen als Governance-Pflicht.