AI PlaybookEU

Pflichten der Anbieter nach Art. 16–25 EU AI Act

Welche rechtlichen und organisatorischen Pflichten treffen Anbieter von KI-Systemen nach dem EU AI Act? Überblick über Qualitätsmanagement, technische Dokumentation, Logging, Transparenz, CE-Kennzeichnung und Post-Market Monitoring.

11. Februar 20264 min read
EU AI ActAnbieterProviderComplianceCE-KennzeichnungTechnische Dokumentation

Überblick

Wer ein KI-System entwickelt und unter eigenem Namen in Verkehr bringt, gilt nach dem EU AI Act als Anbieter (Provider). Für Hochrisiko-Systeme treffen Anbieter umfassende Pflichten, die organisatorische, technische und dokumentarische Anforderungen umfassen.

Viele Unternehmen unterschätzen, dass sie rechtlich als Anbieter gelten – auch wenn sie auf bestehende Modelle oder APIs zurückgreifen.

Dieser Beitrag erläutert:

  • Wer rechtlich als Anbieter gilt
  • Welche Kernpflichten Art. 16–25 vorsehen
  • Welche Dokumentationsanforderungen bestehen
  • Wie CE-Kennzeichnung funktioniert
  • Wie sich Anbieterpflichten von Betreiberpflichten unterscheiden

Wer ist „Anbieter" im Sinne des EU AI Act?

Ein Anbieter ist jede natürliche oder juristische Person, die:

  • ein KI-System entwickelt oder
  • ein KI-System entwickeln lässt
  • es unter eigenem Namen oder eigener Marke in Verkehr bringt
  • oder es erstmals in der EU in Betrieb nimmt

Auch relevant:

  • Re-Branding eines fremden KI-Systems
  • Wesentliche Änderung der Funktion
  • Eigene Integration mit erheblicher Systemmodifikation

Rollenverschiebung beachten

Ein Unternehmen kann vom Betreiber zum Anbieter werden, wenn es ein KI-System funktional wesentlich verändert oder unter eigener Marke vertreibt.

Überblick der Anbieterpflichten (Hochrisiko-Systeme)

PflichtRechtsgrundlageKerninhalt
RisikomanagementArt. 9Kontinuierliche Risikoidentifikation & -minimierung
Daten-GovernanceArt. 10Qualität & Repräsentativität der Trainingsdaten
Technische DokumentationArt. 11Vollständige Systembeschreibung
LoggingArt. 12Automatisierte Protokollierung
TransparenzArt. 13Nutzerinformationen
Menschliche AufsichtArt. 14Eingriffsmöglichkeiten
Genauigkeit & RobustheitArt. 15Technische Leistungsanforderungen
QualitätsmanagementsystemArt. 17Formales Governance-System
KonformitätsbewertungArt. 43CE-Kennzeichnung
Post-Market MonitoringArt. 61Laufende Überwachung

Risikomanagementsystem (Art. 9)

Anbieter müssen ein systematisches Risikomanagement etablieren.

Dieses umfasst:

  1. Identifikation potenzieller Risiken
  2. Bewertung der Eintrittswahrscheinlichkeit
  3. Bewertung der Schwere möglicher Schäden
  4. Implementierung von Gegenmaßnahmen
  5. Kontinuierliche Aktualisierung

Risiken können betreffen:

  • Grundrechte
  • Diskriminierung
  • Fehlentscheidungen
  • Manipulation
  • Sicherheitslücken

Daten-Governance (Art. 10)

Trainings-, Validierungs- und Testdaten müssen:

  • relevant sein
  • repräsentativ sein
  • fehlerarm sein
  • frei von systematischen Verzerrungen sein (soweit möglich)

Dokumentiert werden müssen:

  • Datenquellen
  • Auswahlkriterien
  • Bereinigungsschritte
  • Bias-Tests

Praxisrelevanz

Daten-Governance ist einer der häufigsten Compliance-Schwachpunkte bei Hochrisiko-KI.

Technische Dokumentation (Art. 11)

Die technische Dokumentation muss es Behörden ermöglichen, die Konformität zu bewerten.

Sie enthält u. a.:

  • Systemarchitektur
  • Zweckbestimmung
  • Modellbeschreibung
  • Trainingsdatenbeschreibung
  • Leistungskennzahlen
  • Testmethoden
  • Human-Oversight-Konzept
  • Sicherheitsmaßnahmen

Diese Dokumentation ist vor Markteinführung zu erstellen.

Logging (Art. 12)

Hochrisiko-KI-Systeme müssen automatisch:

  • relevante Systemereignisse protokollieren
  • Entscheidungsprozesse nachvollziehbar machen
  • Eingriffe dokumentieren

Ziel: Nachvollziehbarkeit und spätere Überprüfung.

Transparenzpflichten (Art. 13)

Anbieter müssen sicherstellen, dass Betreiber:

  • klare Anweisungen erhalten
  • Zweck und Grenzen des Systems verstehen
  • bekannte Risiken kennen
  • notwendige Überwachungsmaßnahmen umsetzen können

Menschliche Aufsicht (Art. 14)

Das System muss so gestaltet sein, dass:

  • menschliche Intervention möglich ist
  • Abschaltung möglich ist
  • Fehlfunktionen erkannt werden können
  • Automatisierung nicht unkontrolliert erfolgt

Genauigkeit, Robustheit & Cybersicherheit (Art. 15)

Anforderungen:

  • Minimierung systematischer Fehler
  • Schutz vor Manipulation
  • Widerstandsfähigkeit gegen Angriffe
  • Monitoring von Leistungsabweichungen

Qualitätsmanagementsystem (Art. 17)

Anbieter müssen ein formales Managementsystem einführen, das umfasst:

  • Compliance-Prozesse
  • Dokumentationsstandards
  • Verantwortlichkeiten
  • Änderungsmanagement
  • Lieferantenkontrolle

Dies ähnelt bestehenden Normen wie ISO/IEC 42001.

Konformitätsbewertung & CE-Kennzeichnung

Vor Inverkehrbringen ist eine Konformitätsbewertung durchzuführen:

Zwei Wege:

  1. Interne Selbstbewertung (unter bestimmten Voraussetzungen)
  2. Bewertung durch benannte Stelle

Nach erfolgreicher Bewertung:

  • EU-Konformitätserklärung
  • CE-Kennzeichnung
  • Registrierung in EU-Datenbank

Marktverbot möglich

Ohne CE-Kennzeichnung darf ein Hochrisiko-KI-System nicht auf dem EU-Markt bereitgestellt werden.

Post-Market Monitoring (Art. 61)

Anbieter müssen:

  • Systemleistung überwachen
  • Vorfälle melden
  • Updates dokumentieren
  • Korrekturmaßnahmen umsetzen

Compliance endet nicht mit Markteinführung.

Abgrenzung Anbieter vs. Betreiber

RolleVerantwortung
AnbieterEntwicklung & Konformität
BetreiberEinsatz & Überwachung

Ein Unternehmen kann beide Rollen innehaben.

Verbindung zu GPAI

Anbieter von General Purpose AI unterliegen zusätzlichen Pflichten (Art. 51 ff.), insbesondere bei systemischem Risiko.

Praktische Umsetzung

Schritt 1 – Rollenklärung

  • Sind wir Anbieter?
  • Oder Betreiber?
  • Oder beides?

Schritt 2 – Dokumentationslücken identifizieren

  • Technische Dokumentation vorhanden?
  • Risikomanagement etabliert?
  • Daten-Governance dokumentiert?

Schritt 3 – QMS implementieren

  • Compliance-Verantwortliche benennen
  • Prozesse definieren
  • Änderungsmanagement etablieren

Schritt 4 – Konformitätsstrategie planen

  • Selbstbewertung möglich?
  • Drittstelle erforderlich?

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Nächste Schritte

  1. Klären Sie Ihre Rolle im Sinne des EU AI Act.
  2. Prüfen Sie, ob Ihr System Hochrisiko ist.
  3. Beginnen Sie mit der technischen Dokumentation.
  4. Etablieren Sie ein formales Qualitätsmanagementsystem.
  5. Planen Sie die Konformitätsbewertung frühzeitig ein.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Verwandte Artikel

EU AI Act

Hochrisiko-KI-Systeme nach Anhang III EU AI Act

Welche KI-Systeme gelten als Hochrisiko nach dem EU AI Act? Vollständige Übersicht der Anhang-III-Bereiche, Ausnahmen nach Art. 6 Abs. 3 und alle Compliance-Pflichten für Anbieter und Betreiber.

Lesen

EU AI Act

Konformitätsbewertung nach dem EU AI Act

Wie funktioniert die Konformitätsbewertung für Hochrisiko-KI-Systeme nach dem EU AI Act? Überblick über Selbstbewertung, Drittstellenverfahren, CE-Kennzeichnung und praktische Umsetzungsschritte.

Lesen

EU AI Act

Pflichten der Betreiber nach Art. 26–27 EU AI Act

Welche Pflichten treffen Betreiber (Deployers) von KI-Systemen nach dem EU AI Act? Überblick über bestimmungsgemäßen Einsatz, menschliche Aufsicht, Datenqualität, Monitoring und Grundrechte-Folgenabschätzung.

Lesen