Das Gesetz beinhaltet einige ausdrückliche Verbote bzw. Beschränkungen, darunter z. B. das Verbot der biometrischen Kategorisierung auf der Grundlage sensibler Merkmale und das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungskameras für Gesichtserkennungsdatenbanken. Auch KI-Systeme, die am Arbeitsplatz oder in der Schule Emotionen erkennen können, sind verboten.
In der alltäglichen Polizeiarbeit werden beispielsweise biometrische Fernidentifizierungssysteme durch Strafverfolgungsbehörden verboten sein. Nur in bestimmten, ausführlich beschriebenen Ausnahmefällen ist die Fernidentifizierung in Echtzeit erlaubt und es muss dabei eine spezielle behördliche oder gerichtliche Genehmigung erteilt werden. Ein solcher Fall könnte die gezielte Suche nach einer vermissten Person sein oder um einen Terroranschlag zu verhindern. Die nachträgliche Fernidentifizierung gilt als hochriskantes KI-System und ihr Einsatz erfordert eine gerichtliche Genehmigung.
Auch KI-Systeme, die im Gesundheitswesen eingesetzt werden, zählen zu den Hochrisiko-Systemen. Sie müssen Risiken bewerten und verringern, Nutzungsprotokolle führen, transparent und genau sein und von Menschen beaufsichtigt werden.