KI-APIs und SaaS-Dienste: Wer ist für was verantwortlich?

Bei KI-APIs und SaaS-Diensten ist die Rollenverteilung entscheidend: Der API-Anbieter (z.B. OpenAI, Anthropic) ist Anbieter des GPAI-Modells und verantwortlich für Trainings-Compliance, Systemkarte (Art. 53) und Urheberrechts-Zusammenfassungen. Das Unternehmen, das die API für eigene Produkte nutzt, ist Betreiber (und möglicherweise auch Anbieter einer eigenen Anwendung). Wenn Sie aus einer API eine eigene Anwendung bauen und vermarkten, sind Sie Anbieter Ihrer Anwendung mit allen zugehörigen Pflichten.

Als Entwickler, der eine KI-API in ein Produkt integriert, müssen Sie für das entstehende System eigene Compliance-Arbeit leisten: Die Dokumentation des API-Anbieters ersetzt nicht Ihre eigene technische Dokumentation als Anbieter. Dokumentieren Sie: welche API in welcher Version eingesetzt wird, welche System-Prompts und Konfigurationen verwendet werden, wie das Modell in den Gesamtdienst integriert ist, welche Sicherheitsmaßnahmen implementiert sind. API-Versionierung ist kritisch: Modell-Updates können Compliance-relevante Verhaltensänderungen bewirken.

Jeder API-Anbieter hat eigene Compliance-Maßnahmen: Google bietet für Gemini API EU-Datenresidenz und umfangreiche Compliance-Dokumentation im Google Cloud Trust Center. Anthropic (Claude) veröffentlicht Usage Policies und bietet Enterprise-Verträge mit DPA. AWS Bedrock ermöglicht das Hosten verschiedener Modelle mit AWS-Sicherheitsstandards und EU-Datenresidenz. Azure OpenAI bietet EU-Datenhaltung, Content-Filter und umfangreiche Enterprise-Compliance. Prüfen Sie für jeden Dienst die aktuellen Compliance-Unterlagen und verfügbaren DPAs.

Wesentliche Vertragsaspekte bei KI-API-Nutzung: Stellen Sie sicher, dass AGB und DPA DSGVO-konform sind. Prüfen Sie Einschränkungen bei der Nutzung für bestimmte Anwendungsfälle (z.B. Verbote in den Terms of Service für Hochrisiko-Anwendungen). Klären Sie, ob Ihre Inputs für das Modell-Training genutzt werden. Sichern Sie sich vertraglich Zugang zu Compliance-Dokumentation und Updates. Bei SaaS-Diensten (nicht reine APIs): prüfen Sie, ob der Anbieter als Auftragsverarbeiter oder Verantwortlicher agiert.

Umsetzungsschritte für API-Entwickler: (1) Klären Sie Ihre Rolle: Betreiber oder Anbieter einer eigenen Anwendung? (2) Erstellen Sie technische Dokumentation für Ihre KI-Anwendung, (3) Implementieren Sie Eingabe-Validierung und Output-Filtering, (4) Führen Sie regelmäßige Tests auf unerwünschte Outputs durch, (5) Implementieren Sie Logging für Audit-Zwecke, (6) Planen Sie API-Version-Management und Änderungs-Reviews, (7) Informieren Sie Endnutzer über KI-Einsatz (Art. 50). Nutzen Sie ai-risk-check.com, um Ihre API-basierte Anwendung systematisch zu bewerten.