use_caseArticlemaschinenlesbar

Personalisierte Empfehlungssysteme: Risikoklasse und Pflichten im EU-KI-Recht

MenschMarkdown öffnen

Personalisierte Empfehlungssysteme (Recommender) sind in der Regel KI mit BEGRENZTEM oder MINIMALEM RISIKO nach dem AI Act. Begrenzt riskant: wenn sie direkt mit Personen kommunizieren oder KI-Inhalte generieren (Art. 50 Transparenz); minimal riskant, wenn sie nur Empfehlungen im Hintergrund ausgeben. Keine Konformitätsbewertung, keine CE. Wichtige Grenzen: (1) Verboten nach Art. 5 Abs. 1 lit. a, wenn sie subliminal/gezielt manipulativ mit erheblicher Verhaltensverzerrung und Schaden sind; (2) hochriskant (Anhang III), wenn sie in wesentliche Dienstleistungen eingebettet sind (z. B. KI-Bonitätsempfehlung, Personalvorauswahl). Überlagert: DSGVO (Profiling Art. 4 Nr. 4, transparente Information, Widerspruch Art. 21), DSA (algorithmische Transparenz Art. 27, Risikobewertung Art. 34/35 für VLOPs), Konsumentenrecht (dunkle Pattern). Eine klare Zweckabgrenzung ist entscheidend.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
einordnung

Einordnung: begrenzt oder minimal

Recommender-Systeme sind meist begrenzt oder minimal riskant. Begrenzt (Art. 50 Abs. 1): wenn sie direkt mit Personen kommunizieren (z. B. Chat-ähnliche Empfehlung) oder KI-generierte Inhalte ausspielen — dann Transparenzpflicht (Nutzer erkennt KI-Interaktion/Inhalte). Minimal: wenn sie nur Produkt-/Inhaltsempfehlungen im Hintergrund ausspielen, ohne direkte Kommunikation oder Inhaltsproduktion — keine AI-Act-Pflicht. Keine Konformitätsbewertung, keine CE, keine notifizierte Stelle. Die Einordnung hängt von der konkreten Funktionalität ab: reines Ranking = minimal; dialogische Empfehlung oder generierte Inhalte = begrenzt.

grenzen

Grenzen: Verbot und Hochrisiko

Zwei harte Grenzen: (1) Verbot nach Art. 5 Abs. 1 lit. a — Recommender, die subliminale/gezielt manipulative Techniken mit erheblicher Verhaltensverzerrung und Schaden einsetzen (z. B. Suchtförderung, ungewollte Vertragsabschlüsse), sind verboten. Die Schwelle ist hoch (Bewusstseinsferne + erhebliche Verzerrung + Schaden); normale Personalisierung fällt nicht darunter. (2) Hochrisiko nach Anhang III — wenn das Recommender-System in eine wesentliche Dienstleistung eingebettet ist (z. B. KI-Bonitätsempfehlung in Kreditentscheidung Nr. 5, Personalvorauswahl Nr. 4, Mietzuteilung Nr. 5), wird es Teil des hochrisiko-Systems. Die Funktion entscheidet, nicht die Empfehlung an sich. Eine saubere Zweckabgrenzung schützt vor versehentlicher Hochrisiko-Einstufung.

ueberlagerung

Überlagerung: DSGVO, DSA, Konsumentenrecht

Recommender unterliegen mehreren Regimen: DSGVO (Profiling Art. 4 Nr. 4, transparente Information über Logik Art. 13/14, Widerspruchsrecht Art. 21, DSFA bei hohem Risiko); DSA (algorithmische Transparenz für Plattformen Art. 27, Risikobewertung VLOPs Art. 34/35, Schutz Minderjähriger); Konsumentenrecht (Richtlinie 2005/29/EG über unlautere Geschäftspraktiken, keine „dunklen Pattern"). Besonders sensibel: Personalisierung für Kinder (DSGVO Art. 8, DSA), politische Personalisierung (DSA Art. 24a, AI Act Art. 50), gesundheitsbezogene Werbung. Eine transparente, konsentierbare Personalisierung mit klaren Opt-outs und Fairness-Prüfung ist das praxistaugliche Compliance-Modell.

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.

European Data Protection Board (EDPB)

EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.

Datenschutzkonferenz (DSK)

DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.

Der Bundesbeauftragte für Datenschutz (BfDI)

BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.

Rat für Künstliche Intelligenz (Österreich)

Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.

FAQ

Häufige Fragen

Welche Risikostufe haben Recommender?

Meist begrenzt (Art. 50 bei direkter Kommunikation/Inhaltsgenerierung) oder minimal (reines Hintergrund-Ranking). Keine Konformitätsbewertung, keine CE.

Wann werden sie verboten oder hochriskant?

Verboten bei subliminaler/manipulativer Beeinflussung mit Schaden (Art. 5 Abs. 1 lit. a). Hochriskant, wenn in wesentliche Dienstleistungen eingebettet (Bonität, Personal, Miete).

Welche anderen Regime greifen?

DSGVO (Profiling, Art. 21 Widerspruch), DSA (algorithmische Transparenz Art. 27, VLOPs Risikobewertung), Konsumentenrecht (keine dunklen Pattern).

Compliance für deinen Fall

Rechtskonforme Umsetzung für Personalisierte Empfehlungssysteme?

Wenn du Personalisierte Empfehlungssysteme rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.

Jetzt beraten lassen
Related