Der Anbieter im EU AI Act: Pflichten und Verantwortung

Art. 3 Nr. 3 EU AI Act definiert Anbieter als natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein GPAI-Modell entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder das KI-System für den Eigenbedarf in Betrieb nimmt. Entscheidend ist das "In-Verkehr-Bringen" unter eigenem Namen – also wer das System nach außen vertritt, nicht zwingend wer es technisch gebaut hat. Achtung: Wenn Sie ein Open-Source-Modell anpassen und kommerziell vermarkten, werden Sie zum Anbieter des angepassten Systems.

Anbieter von Hochrisiko-KI-Systemen müssen erfüllen: Qualitätsmanagementsystem (Art. 17), vollständige technische Dokumentation (Art. 11 + Anhang IV), Konformitätsbewertung vor Inverkehrbringen (Art. 43), EU-Konformitätserklärung (Art. 47), CE-Kennzeichnung (Art. 48), Registrierung in der EU-KI-Datenbank (Art. 49), Post-Market-Monitoring nach Inverkehrbringen (Art. 72), Meldung schwerwiegender Vorfälle an Behörden (Art. 73), Meldepflicht bei Risiken (Art. 75). Für Hochrisiko-KI, die selbst dem internen Einsatz dient: Registrierungspflicht und vollständige Dokumentation, aber ggf. vereinfachte Konformitätsbewertung.

Für die meisten Hochrisiko-KI-Systeme nach Anhang III können Anbieter eine interne Konformitätsbewertung durchführen (Art. 43 Abs. 2). Ausnahme: Systeme nach Anhang III Nr. 1 (biometrische Identifizierung) und Systeme nach Anhang I, die als Sicherheitskomponente fungieren, benötigen eine externe Konformitätsbewertung durch eine notifizierte Stelle. Die interne Konformitätsbewertung muss das QMS und die technische Dokumentation vollständig abdecken. Notifizierte Stellen (Prüforganisationen wie TÜV, DEKRA, SGS) müssen für KI gemäß EU AI Act akkreditiert sein – beachten Sie, dass die Akkreditierung noch läuft.

Nach erfolgreicher Konformitätsbewertung müssen Anbieter: EU-Konformitätserklärung nach Anhang V erstellen (enthält: Anbieteridentifikation, Systembeschreibung, Compliance-Nachweis, notifizierte Stelle falls beteiligt, Ort und Datum, Unterschrift), CE-Kennzeichnung am KI-System anbringen (bei Software: sichtbar in der Benutzeroberfläche oder Dokumentation), Kopie der Konformitätserklärung 10 Jahre aufbewahren. Die CE-Kennzeichnung ist die sichtbare Demonstration der Compliance gegenüber Markt und Behörden.

Der EU AI Act erkennt die besondere Situation kleiner Anbieter an. Spezifische KMU-Erleichterungen: Vereinfachte technische Dokumentation nach Art. 11 Abs. 2, bevorzugter Zugang zu regulatorischen Sandbox-Programmen (Art. 57), günstigere Gebührenstruktur bei notifizierten Stellen, vereinfachte Registrierungsverfahren. Praktischer Tipp: Wenn Sie als KMU ein Hochrisiko-System anbieten, dokumentieren Sie Ihren KMU-Status (EU-Definition: weniger als 250 Mitarbeitende, max. 50 Mio. EUR Umsatz oder 43 Mio. EUR Bilanzsumme), da dies Behörden und notifizierte Stellen beeinflusst.