Überblick
Nicht nur Entwickler von KI-Systemen unterliegen regulatorischen Anforderungen. Auch Unternehmen, Behörden oder Organisationen, die ein KI-System einsetzen, gelten nach dem EU AI Act als Betreiber (Deployer) – und tragen eigenständige Pflichten.
Gerade für Unternehmen, die KI-Systeme von Drittanbietern nutzen (z. B. Recruiting-Tools, Kreditscoring-Software oder KI-Chatbots), ist diese Rolle besonders relevant.
Dieser Beitrag erläutert:
- Wer als Betreiber gilt
- Welche Pflichten Art. 26–27 vorsehen
- Wann Betreiber zu Anbietern werden können
- Wie sich Betreiberpflichten von Anbieterpflichten unterscheiden
- Welche praktischen Schritte jetzt notwendig sind
Wer ist „Betreiber"?
Ein Betreiber ist jede natürliche oder juristische Person, die:
- ein KI-System im eigenen Verantwortungsbereich nutzt
- es in Geschäftsprozesse integriert
- Entscheidungen auf Grundlage der KI-Ausgaben trifft
Beispiele:
- Ein Unternehmen nutzt ein KI-Recruiting-System
- Eine Bank setzt ein Kreditscoring-Tool ein
- Eine Universität verwendet KI zur Prüfungsbewertung
Wichtig
Der Betreiber ist nicht zwingend der Entwickler des Systems. Auch die Nutzung eines fremden KI-Systems begründet Betreiberpflichten.
Kernpflichten der Betreiber (Art. 26)
Betreiber von Hochrisiko-KI-Systemen müssen insbesondere:
- Das System bestimmungsgemäß einsetzen
- Menschliche Aufsicht sicherstellen
- Input-Datenqualität gewährleisten
- Systemleistung überwachen
- Vorfälle melden
- Transparenzpflichten gegenüber Betroffenen erfüllen
Bestimmungsgemäßer Einsatz
Das KI-System darf nur:
- innerhalb des vorgesehenen Anwendungsbereichs
- entsprechend der Herstellerdokumentation
- unter Einhaltung der bereitgestellten Anweisungen
eingesetzt werden.
Ein Einsatz außerhalb der Zweckbestimmung kann:
- zu Rechtsverstößen führen
- Haftungsrisiken erhöhen
- die Betreiberrolle in eine Anbieterrolle verschieben
Rollenverschiebung
Wird ein KI-System wesentlich verändert oder zweckentfremdet, kann der Betreiber rechtlich zum Anbieter werden.
Menschliche Aufsicht
Betreiber müssen sicherstellen, dass:
- qualifiziertes Personal das System überwacht
- Eingriffe möglich sind
- Entscheidungen überprüft werden können
- Fehlfunktionen erkannt werden
Das bedeutet in der Praxis:
- Schulung der Mitarbeitenden
- Klare Verantwortlichkeiten
- Interventionsprozesse definieren
Input-Datenqualität
Betreiber tragen Verantwortung für:
- Relevanz der eingespeisten Daten
- Vermeidung offensichtlicher Verzerrungen
- Aktualität der Daten
Beispiel: Wenn ein Kreditscoring-System mit fehlerhaften Kundendaten gespeist wird, liegt die Verantwortung beim Betreiber – nicht beim Anbieter.
Monitoring & Leistungsüberwachung
Betreiber müssen:
- Systemausgaben überwachen
- Auffälligkeiten dokumentieren
- Leistungsabweichungen erkennen
- bei Bedarf Anpassungen vornehmen
Das ist besonders relevant bei:
- HR-Systemen
- Finanzentscheidungen
- Bildungssystemen
Meldepflichten
Schwerwiegende Vorfälle oder Fehlfunktionen müssen:
- dem Anbieter gemeldet werden
- ggf. den zuständigen Marktüberwachungsbehörden gemeldet werden
Beispiele:
- Systematische Diskriminierung
- Sicherheitslücken
- gravierende Fehlentscheidungen
Grundrechte-Folgenabschätzung (FRIA)
In bestimmten Fällen müssen Betreiber eine Grundrechte-Folgenabschätzung durchführen.
Diese ist insbesondere relevant bei:
- staatlichen Stellen
- großflächigem Einsatz mit erheblichem Grundrechtsbezug
Die FRIA bewertet:
- potenzielle Grundrechtsbeeinträchtigungen
- Diskriminierungsrisiken
- Transparenzdefizite
- Kontrollmechanismen
Abgrenzung zur DSGVO
Die FRIA ist nicht identisch mit der Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO – kann aber inhaltlich überschneiden.
Transparenz gegenüber Betroffenen
Je nach Einsatzbereich müssen Betroffene informiert werden über:
- Einsatz eines KI-Systems
- Art der Entscheidungsunterstützung
- Möglichkeiten menschlicher Überprüfung
Dies kann mit DSGVO-Informationspflichten zusammenfallen.
Wann wird ein Betreiber zum Anbieter?
Ein Betreiber kann Anbieter werden, wenn er:
- das System wesentlich verändert
- eigene KI-Komponenten integriert
- das System unter eigener Marke vertreibt
- den vorgesehenen Zweck erheblich ändert
In diesem Fall gelten sämtliche Anbieterpflichten zusätzlich.
Abgrenzung Anbieter vs. Betreiber
| Anbieter | Betreiber |
|---|---|
| Entwickelt oder bringt KI-System in Verkehr | Nutzt das KI-System |
| Führt Konformitätsbewertung durch | Setzt System bestimmungsgemäß ein |
| Erstellt technische Dokumentation | Überwacht Input-Daten & Nutzung |
| Trägt CE-Verantwortung | Trägt Einsatzverantwortung |
Viele Unternehmen nehmen beide Rollen ein.
Verbindung zur DSGVO
Betreiber müssen zusätzlich prüfen:
- Art. 22 DSGVO (automatisierte Entscheidungen)
- Transparenzpflichten (Art. 13/14 DSGVO)
- Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
- Drittlandtransfers bei Cloud-KI
Eine isolierte AI-Act-Betrachtung reicht daher nicht aus.
Praktische Umsetzung
Schritt 1 – Rollenklärung
- Sind wir ausschließlich Betreiber?
- Haben wir das System verändert?
- Vertreiben wir es weiter?
Schritt 2 – Einsatzanalyse
- Entspricht der Einsatz der Zweckbestimmung?
- Sind Schulungen durchgeführt?
- Sind Überwachungsprozesse definiert?
Schritt 3 – Dokumentation
- Interne Richtlinien zum KI-Einsatz
- Schulungsnachweise
- Monitoring-Protokolle
- Incident-Reporting-Prozess
Schritt 4 – Schnittstelle Datenschutz
- Ist eine DSFA erforderlich?
- Sind Betroffene informiert?
- Ist Transparenz ausreichend?
Hilfe bei der Umsetzung?
Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.
Rechtliche Klarheit gefragt?
Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.
Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.
Nächste Schritte
- Identifizieren Sie Ihre Rolle im KI-Ökosystem.
- Prüfen Sie, ob Ihr KI-System Hochrisiko ist.
- Implementieren Sie interne Überwachungsprozesse.
- Schulen Sie verantwortliche Mitarbeitende.
- Dokumentieren Sie alle Einsatz- und Kontrollmaßnahmen.
Hilfe bei der Umsetzung?
Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.
Rechtliche Klarheit gefragt?
Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.
Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.