Der Betreiber (Deployer) im EU AI Act: Pflichten im Detail

Art. 3 Nr. 4 EU AI Act definiert Betreiber (Deployer) als natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System im Rahmen ihrer beruflichen Tätigkeit eigener Verantwortung nutzt, ausgenommen die persönliche, nicht-berufliche Nutzung. Entscheidend: Betreiber setzen fremde KI-Systeme ein, entwickeln sie aber nicht selbst. Ein Unternehmen, das ChatGPT API für seinen Kundensupport nutzt, ist Betreiber. Ein Unternehmen, das eine HR-Software mit integrierter KI kauft, ist ebenfalls Betreiber.

Art. 26 EU AI Act definiert Betreiber-Pflichten für Hochrisiko-Systeme: Gebrauchsanleitung (IFU) des Anbieters lesen und befolgen, menschliche Aufsicht durch kompetente Personen sicherstellen, Eingabedaten-Relevanz für das vorgesehene System sicherstellen, Beschränkungen für natürliche Personen beachten (DSGVO Art. 22 für automatisierte Entscheidungen), Datenschutz-Folgenabschätzung nach DSGVO durchführen falls erforderlich, Protokolle die das System erstellt mindestens 6 Monate aufbewahren, Hochrisiko-KI in der EU-Datenbank registrieren (für öffentliche Stellen), dem Anbieter Informationen über festgestellte Risiken melden.

Art. 25 EU AI Act regelt den Rollen-Switch: Betreiber werden zu Anbietern, wenn sie ein Hochrisiko-KI-System wesentlich verändern, ein KI-System für eine neue Zweckbestimmung außerhalb des Geltungsbereichs des Anbieters einsetzen, oder das System unter eigenem Namen vermarkten. Praktische Konsequenz: Wenn Sie ein zugekauftes KI-System für andere als die vom Anbieter vorgesehenen Zwecke nutzen oder erheblich anpassen, müssen Sie als Anbieter alle Anbieter-Pflichten erfüllen. Dies ist ein häufiges Compliance-Risiko bei der Anpassung von Standard-KI-Lösungen.

Für Betreiber, die Hochrisiko-KI-Systeme einsetzen, ist häufig eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich. Die DSFA ist erforderlich, wenn: das System biometrische Daten verarbeitet, Personendaten für systematisches Monitoring von Mitarbeitenden genutzt werden, das System automatisierte Entscheidungen mit erheblichen Auswirkungen trifft. Die DSFA muss vor Inbetriebnahme durchgeführt werden. Kombinieren Sie DSFA und die Anforderungen von Art. 26 EU AI Act für einen effizienten Compliance-Prozess. Die DSFA-Dokumentation gehört zum Betreiber-Nachweis.

Sofort-Maßnahmen für Betreiber von KI-Systemen: ☐ Inventar aller eingesetzten KI-Systeme erstellen, ☐ Für jedes System Risikoklassifikation durchführen, ☐ Für Hochrisiko-Systeme: IFU des Anbieters vollständig lesen, ☐ Menschliche Aufsicht sicherstellen und dokumentieren, ☐ Schulung der KI-nutzenden Mitarbeitenden (Art. 4), ☐ DSFA für datenschutz-relevante KI-Systeme, ☐ Protokolle des Systems 6 Monate aufbewahren, ☐ Feedback-Kanal zum Anbieter für gemeldete Risiken, ☐ Prüfen, ob Betreiber-zu-Anbieter-Wechsel droht. Nutzen Sie ai-risk-check.com für eine geführte Betreiber-Compliance-Prüfung.