---
name: spezial-use-case-risk-classification
description: "Use-Case-Risikoklassifizierung nach KI-VO und DSGVO: führt schnell durch Sachverhalt, Rechtsgrundlagen, Belege, Risiken und erzeugt einen verwertbaren nächsten Output."
---

# Use-Case-Risikoklassifizierung nach KI-VO und DSGVO

## Aufgabe
Dieser Skill ersetzt einen zu groben Spezial-Slot durch einen konkreten Fachworkflow im Plugin `ki-governance`. Kontext des Plugins: EU-KI-VO + DSGVO – Use-Case-Triage, KI-Inventar, AIA/DPIA, Vendor-Review, Drift-Monitoring der KI-Richtlinie.

Er arbeitet nicht lexikalisch, sondern fallbezogen: Er trennt zuerst Rollen, Ziel, Fristen, Zuständigkeiten und Belege, prüft dann die fachlichen Weichen und liefert ein Ergebnis, mit dem weitergearbeitet werden kann.

## Kaltstart
Wenn Material vorliegt, nutze es zuerst. Frage nur nach, was für die nächste Entscheidung fehlt:

1. Wer handelt in welcher Rolle und gegen wen?
2. Welches praktische Ziel soll erreicht werden?
3. Welche Fristen, Termine, Zustellungen, Schwellenwerte oder Sanktionen stehen im Raum?
4. Welche Unterlagen, Daten, Registerauszüge, Bescheide, Verträge, Screenshots oder sonstigen Belege liegen vor?
5. Soll der Output intern, für Mandantschaft, Behörde, Gericht, Gegnerseite oder Gremium formuliert werden?

## Arbeitsworkflow
1. **Sortieren:** Sachverhalt, Dokumente und offene Punkte in eine knappe Fallmatrix bringen.
2. **Rechtsrahmen:** Einschlägige Normen, Zuständigkeiten, Verfahren, Fristen und formelle Anforderungen live prüfen, soweit Aktualität tragend ist.
3. **Materielle Weichen:** Die Kernfragen zu **Use-Case-Risikoklassifizierung nach KI-VO und DSGVO** mit Tatbestandsmerkmalen, Belegen, Gegenargumenten und typischen Praxisfehlern abarbeiten.
4. **Risikoampel:** Ergebnis in Grün/Gelb/Rot mit Begründung, Unsicherheiten und Beweisbedarf einordnen.
5. **Anschluss:** Passende weitere Skills desselben Plugins vorschlagen, wenn Spezialprüfung, Schriftsatz, Tabelle, Brief oder Verhandlungsstrategie sinnvoll ist.

## KI-VO-Klassifizierungslogik (VO (EU) 2024/1689)
- **Verboten (Art. 5 KI-VO, gilt ab 02.02.2025)**: u. a. Social Scoring durch öffentliche Stellen, manipulative Techniken, biometrische Kategorisierung nach sensiblen Merkmalen, Echtzeit-Fernidentifikation im öffentlichen Raum.
- **Hochrisiko (Art. 6 i. V. m. Anhang III, gilt ab 02.08.2026)**: u. a. Bildung, Beschäftigung (Recruiting, Performance), kritische Infrastruktur, Strafverfolgung, biometrische Identifikation, Migration, Justiz und demokratische Prozesse, Gesundheits-/Lebensversicherungs-Risikoscoring.
- **Begrenztes Risiko mit Transparenzpflicht (Art. 50)**: Chatbots, Emotionserkennung, biometrische Kategorisierung, Deepfakes.
- **Minimales Risiko**: alle übrigen Systeme.

## Schnittstelle zur DSGVO
- **Art. 35 DSGVO DSFA** ist regelmäßig erforderlich, wenn Hochrisiko-KI-VO-System personenbezogene Daten verarbeitet.
- **Art. 22 DSGVO** Verbot automatisierter Einzelentscheidungen mit rechtlicher Wirkung; Ausnahmen (Vertragserfordernis, Einwilligung, gesetzliche Erlaubnis) erfordern menschliche Aufsicht.
- **Art. 27 KI-VO**: Folgenabschätzung für Grundrechte durch Betreiber (Fundamental Rights Impact Assessment, FRIA) zusätzlich zur DSGVO-DSFA.

## Klassifizierungs-Trade-offs
- "Empfehlungssystem im HR" — meistens **Hochrisiko** nach Anhang III Nr. 4 ("Beschäftigung, Personalverwaltung").
- "Reiner Übersetzer" mit Kundendaten — typischerweise **minimales Risiko**, aber DSGVO-Schiene voll relevant.
- "RAG-System mit Mandantenakten in Kanzlei" — kein KI-VO-Hochrisiko, aber Berufsrecht und § 203 StGB greifen.
- "Foundation Model intern aufgesetzt" — als GPAI nach Art. 51 ff. KI-VO eigene Kategorie, ab 10²⁵ FLOP systemisches Risiko.

## Output für Inventar
- Use-Case-ID, Kurzbeschreibung, Geschäftsbereich
- KI-VO-Klassifizierung mit Norm und Begründung
- DSGVO-Rechtsgrundlage Art. 6, ggf. Art. 9
- Rolle (Anbieter Art. 3 Nr. 3 vs. Betreiber Art. 3 Nr. 4)
- Status DSFA, FRIA
- Verantwortliche Person und Review-Frist

## Trade-off
Frühzeitige sorgfältige Klassifizierung ist günstiger als spätere Reklassifizierung; ein als "minimal" eingestuftes System, das später als Hochrisiko erkannt wird, erzwingt nachträgliche Konformitätsbewertung (Art. 43 KI-VO), Logging-Aufbau (Art. 12) und technische Dokumentation (Art. 11) — oft mit Marktrückzug oder kostspieliger Anpassung.

## Output-Standard
- Kurzbild in fünf Sätzen: Lage, Ziel, Frist, Risiko, nächster Schritt.
- Prüfmatrix mit Punkt, Norm/Quelle, Tatsachen, Beleg, Bewertung, To-do.
- Konkreter Textbaustein oder Arbeitsprodukt passend zur Lage: Memo, Mandantenbrief, Behörden-/Gerichtsschreiben, Checkliste, Tabelle oder Verhandlungsagenda.
- Keine Scheingenauigkeit: Annahmen, Lücken und Live-Check-Bedarf offen markieren.

## Quellenregel
- Aktuelle Normen, Behördenhinweise, Gerichtsseiten, Register, Formulare und EU-/Landesrecht live prüfen, wenn sie für das Ergebnis tragend sind.
- Rechtsprechung nur mit Gericht, Datum, Aktenzeichen und frei prüfbarer Quelle ausgeben.
- Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate aus Modellwissen.
- Paywall-Literatur nur verwenden, wenn die Nutzerin oder der Nutzer den Text selbst bereitstellt; dann nicht als frei verifizierte Quelle ausgeben.