Pflichten für KI-Betreiber (Deployer) nach dem AI Act

Das Wichtigste in Kürze: Wer ein KI-System im beruflichen Kontext einsetzt, gilt nach der KI-Verordnung (VO (EU) 2024/1689) als Betreiber (englisch: Deployer). Art. 26 legt umfassende Pflichten fest – von der bestimmungsgemäßen Nutzung über menschliche Aufsicht bis hin zu Dokumentations- und Meldepflichten. Zusätzlich verlangt Art. 27 von bestimmten Betreibern eine Grundrechte-Folgenabschätzung. Die Fristen laufen: Seit dem 2. Februar 2025 gilt die KI-Kompetenzpflicht, und ab dem 2. August 2026 greifen die Betreiberpflichten für Hochrisiko-KI-Systeme vollständig. Unternehmen sollten jetzt handeln, um Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes zu vermeiden.

---

Inhaltsverzeichnis

1. Wer ist ein KI-Betreiber?
2. Betreiber vs. Anbieter – der entscheidende Unterschied
3. Alle Pflichten nach Art. 26 im Detail
4. Grundrechte-Folgenabschätzung nach Art. 27
5. Praktische Checkliste für KI-Betreiber
6. Häufig gestellte Fragen (FAQ)
7. Nächste Schritte

---

Wer ist ein KI-Betreiber? {#wer-ist-ein-ki-betreiber}

Die KI-Verordnung definiert den Begriff des Betreibers in Art. 3 Nr. 4 VO (EU) 2024/1689 bewusst weit:

„Betreiber" (Deployer) ist jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet – es sei denn, die Verwendung erfolgt im Rahmen einer persönlichen, nicht beruflichen Tätigkeit.

Diese Definition hat weitreichende Konsequenzen für den deutschen Markt. Betreiber ist nicht nur das Unternehmen, das ein KI-System selbst entwickelt hat, sondern jedes Unternehmen, das ein fremdes oder eigenes KI-System im beruflichen Kontext einsetzt. Konkret betrifft das:

• Unternehmen, die KI-gestützte Software für HR-Prozesse, Kundenservice oder Produktionssteuerung nutzen
• Banken und Versicherungen, die automatisierte Entscheidungssysteme für Kreditvergabe oder Schadensbewertung einsetzen
• Behörden, die KI zur Bearbeitung von Anträgen oder zur Überwachung verwenden
• Krankenhäuser und Kliniken, die KI-basierte Diagnosesysteme nutzen
• Arbeitgeber, die KI-gestützte Bewerber-Screening-Tools einsetzen

Wer ist kein Betreiber?

Nicht als Betreiber gilt, wer ein KI-System ausschließlich privat und nicht beruflich nutzt – etwa bei der Nutzung eines KI-Chatbots für private Zwecke. Sobald jedoch eine geschäftliche, behördliche oder professionelle Nutzung vorliegt, greifen die KI-Betreiber-Pflichten.

Wichtig: Auch kleine und mittlere Unternehmen (KMU) sind nicht generell von den Betreiberpflichten ausgenommen. Lediglich einzelne Vorschriften wie die Grundrechte-Folgenabschätzung gelten nur für bestimmte Betreibergruppen.

---

Betreiber vs. Anbieter – der entscheidende Unterschied {#betreiber-vs-anbieter}

In der Praxis sorgt die Abgrenzung zwischen Anbieter (Provider) und Betreiber (Deployer) regelmäßig für Verwirrung. Beide Rollen sind im AI Act klar getrennt und mit unterschiedlichen Pflichten verbunden:

Achtung – Rollenwechsel möglich: Nach Art. 25 VO (EU) 2024/1689 wird ein Betreiber unter bestimmten Umständen selbst zum Anbieter – etwa wenn er ein Hochrisiko-KI-System unter eigenem Namen in Verkehr bringt, die Zweckbestimmung wesentlich ändert oder ein Allzweck-KI-Modell zu einem Hochrisikosystem zusammenfügt. In diesem Fall treffen ihn sämtliche Anbieterpflichten nach Art. 16.

---

Alle Pflichten nach Art. 26 im Detail {#alle-pflichten-nach-art-26}

Art. 26 der KI-Verordnung ist die zentrale Norm für KI-Betreiber. Sie enthält zehn Absätze mit konkreten Pflichten, die wir nachfolgend systematisch erläutern.

1. Bestimmungsgemäße Nutzung (Art. 26 Abs. 1)

Pflicht: KI-Betreiber müssen Hochrisiko-KI-Systeme im Einklang mit den beigefügten Gebrauchsanweisungen und den vom Anbieter vorgesehenen Bedingungen einsetzen.

Dies ist die grundlegende Betreiberpflicht. Konkret bedeutet das:

• Gebrauchsanweisungen lesen und befolgen: Jeder Anbieter eines Hochrisiko-KI-Systems muss eine Betriebsanleitung mitliefern. Der Betreiber ist verpflichtet, diese vollständig umzusetzen.
• Zweckbestimmung einhalten: Das KI-System darf nur für den vom Anbieter vorgesehenen Zweck eingesetzt werden. Ein KI-System zur Kreditwürdigkeitsprüfung darf nicht ohne Weiteres zur Mitarbeiterbewertung umfunktioniert werden.
• Technische Voraussetzungen sicherstellen: Der Betreiber muss die vom Anbieter spezifizierten technischen Anforderungen einhalten – etwa hinsichtlich Datenqualität, Systemumgebung und Schnittstellen.

Praxistipp: Erstellen Sie eine interne Dokumentation, die für jedes eingesetzte KI-System die Zweckbestimmung, die Gebrauchsanweisung und die einzuhaltenden Bedingungen festhält. So weisen Sie im Prüfungsfall nach, dass Art. 26 Abs. 1 eingehalten wird.

2. Menschliche Aufsicht (Art. 26 Abs. 2)

Pflicht: Betreiber müssen sicherstellen, dass natürliche Personen, die mit der menschlichen Aufsicht betraut sind, über die nötige Kompetenz, Ausbildung und Befugnis verfügen – und die Aufsicht tatsächlich ausüben.

Die menschliche Aufsicht ist ein Kernprinzip des AI Act. Für Betreiber folgt daraus:

• Kompetente Aufsichtspersonen benennen: Es müssen konkrete Mitarbeitende als Aufsichtspersonen bestimmt werden, die das KI-System und seine Risiken verstehen.
• Schulungen durchführen: Die Aufsichtspersonen müssen regelmäßig geschult werden – dies überschneidet sich mit der allgemeinen KI-Kompetenzpflicht nach Art. 4.
• Befugnisse einräumen: Die Aufsichtspersonen müssen die Befugnis und die technische Möglichkeit haben, das KI-System zu übersteuern, abzuschalten oder Ergebnisse zu verwerfen.
• Keine reine Formalität: Die Aufsicht muss tatsächlich ausgeübt werden – ein bloßes „Durchwinken" von KI-Entscheidungen reicht nicht aus.

Praxistipp: Dokumentieren Sie die Aufsichtsstruktur in einem KI-Aufsichtskonzept: Wer überwacht welches System? Welche Schulungen wurden absolviert? Welche Eingriffsmöglichkeiten bestehen? Diese Dokumentation wird bei einer behördlichen Prüfung verlangt werden.

3. Eingabedatenrelevanz (Art. 26 Abs. 4 Satz 1)

Pflicht: Soweit der Betreiber die Eingabedaten kontrolliert, muss er sicherstellen, dass diese der Zweckbestimmung des KI-Systems entsprechen und hinreichend repräsentativ sind.

Viele KI-Systeme arbeiten mit Daten, die der Betreiber eingibt oder bereitstellt. Art. 26 Abs. 4 Satz 1 verpflichtet den Betreiber, auf die Qualität und Relevanz dieser Eingabedaten zu achten:

• Eingabedaten müssen für den vorgesehenen Zweck geeignet sein
• Verzerrte oder unvollständige Daten können zu diskriminierenden Ergebnissen führen – der Betreiber trägt hier Mitverantwortung
• Regelmäßige Datenqualitätsprüfungen sind empfehlenswert

4. Überwachung und Meldepflicht (Art. 26 Abs. 4–5)

Pflicht: Betreiber müssen den Betrieb des KI-Systems überwachen und bei Hinweisen auf Risiken den Anbieter oder Händler unverzüglich informieren. Schwerwiegende Vorfälle sind zudem der zuständigen Marktüberwachungsbehörde zu melden.

Diese Pflicht gliedert sich in zwei Teile:

a) Laufende Betriebsüberwachung (Art. 26 Abs. 4):

• Der Betreiber muss den regulären Betrieb des Hochrisiko-KI-Systems auf Grundlage der Gebrauchsanweisung überwachen
• Bei Anzeichen für ein Risiko im Sinne von Art. 79 Abs. 1 muss der Betreiber den Anbieter oder Händler unverzüglich informieren und das System gegebenenfalls außer Betrieb nehmen
• Die Überwachung betrifft insbesondere unerwartete Ausgaben, veränderte Leistungsfähigkeit und mögliche Sicherheitsrisiken

b) Meldung schwerwiegender Vorfälle (Art. 26 Abs. 5):

• Schwerwiegende Vorfälle im Sinne von Art. 3 Nr. 49 müssen unverzüglich der zuständigen Marktüberwachungsbehörde gemeldet werden
• In Deutschland ist dies voraussichtlich die Bundesnetzagentur als nationale KI-Aufsichtsbehörde
• Der Betreiber muss auch den Anbieter des KI-Systems über den Vorfall informieren

Praxistipp: Etablieren Sie ein KI-Incident-Management: Definieren Sie, was als schwerwiegender Vorfall gilt, wer intern zu informieren ist, wie die Meldung an die Behörde erfolgt und welche Sofortmaßnahmen zu ergreifen sind.

5. Protokollaufbewahrung (Art. 26 Abs. 5)

Pflicht: Betreiber müssen die automatisch erzeugten Protokolle (Logs) des KI-Systems mindestens sechs Monate aufbewahren, soweit sie darauf Zugriff haben.

Die Protokollierungspflicht ist eine der konkretesten Pflichten des Art. 26:

• Mindestaufbewahrungsfrist: 6 Monate – nationale oder unionsrechtliche Vorschriften können längere Fristen vorsehen
• Die Pflicht gilt nur, soweit der Betreiber tatsächlich Zugriff auf die Logs hat (der Anbieter muss diese Zugriffsmöglichkeit nach Art. 12 bereitstellen)
• Die Logs dienen der Rückverfolgbarkeit und können im Prüfungs- oder Schadensfall als Beweismittel herangezogen werden
• Die Aufbewahrung muss datenschutzkonform erfolgen – hier treffen AI Act und DSGVO aufeinander

Praxistipp: Klären Sie mit Ihrem KI-Anbieter, welche Logs das System automatisch erzeugt, wie Sie darauf zugreifen und wie die Speicherung technisch sichergestellt wird. Integrieren Sie die Log-Aufbewahrung in Ihr bestehendes Datenmanagement.

6. Information der Arbeitnehmervertretung (Art. 26 Abs. 7)

Pflicht: Betreiber, die Arbeitgeber sind, müssen die betroffenen Arbeitnehmervertreter und die betroffenen Arbeitnehmer darüber informieren, dass sie einem Hochrisiko-KI-System unterliegen werden.

Diese Pflicht betrifft insbesondere den Einsatz von KI im Arbeitskontext – etwa bei:

• KI-gestützter Leistungsüberwachung
• Automatisierter Schichtplanung
• KI-basiertem Bewerber-Screening
• Automatisierten Entscheidungen über Beförderungen oder Kündigungen

Die Information muss erfolgen, bevor das System eingesetzt wird. In Deutschland wird diese Pflicht in engem Zusammenhang mit den Mitbestimmungsrechten des Betriebsrats stehen – die Einführung solcher Systeme kann nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig sein.

Praxistipp: Binden Sie den Betriebsrat frühzeitig ein. Eine proaktive Information schafft Vertrauen und vermeidet arbeitsrechtliche Konflikte. Dokumentieren Sie die Information schriftlich.

7. Zusammenarbeit mit Behörden (Art. 26 Abs. 8)

Pflicht: Betreiber müssen mit den zuständigen nationalen Behörden zusammenarbeiten und ihnen auf Anfrage alle erforderlichen Informationen zur Verfügung stellen.

Diese Kooperationspflicht umfasst:

• Die Beantwortung behördlicher Anfragen innerhalb angemessener Fristen
• Die Bereitstellung aller relevanten Dokumentationen, Logs und Informationen
• Die Gewährung von Zugang zum KI-System für Prüfzwecke
• Die aktive Unterstützung bei Marktüberwachungsmaßnahmen

Ein Verstoß gegen die Kooperationspflicht kann eigenständig sanktioniert werden und verschärft im Zweifelsfall die Bewertung anderer Verstöße.

8. Datenschutz-Folgenabschätzung (Art. 26 Abs. 9)

Pflicht: Betreiber nutzen die vom Anbieter bereitgestellten Informationen, um ihre Pflicht zur Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO zu erfüllen.

Art. 26 Abs. 9 schafft eine wichtige Brücke zwischen AI Act und DSGVO:

• Wenn ein Hochrisiko-KI-System personenbezogene Daten verarbeitet, ist in der Regel eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich
• Der Anbieter muss dem Betreiber die dafür notwendigen Informationen bereitstellen
• Der Betreiber muss diese Informationen tatsächlich verwenden und in seine DSFA einbeziehen
• Die DSFA muss vor Inbetriebnahme des KI-Systems durchgeführt werden

Praxistipp: Führen Sie die DSFA und die KI-spezifische Risikobewertung in einem integrierten Prozess durch. So vermeiden Sie doppelte Arbeit und stellen sicher, dass beide Rechtsrahmen – AI Act und DSGVO – abgedeckt sind.

9. Bestimmungsgemäße Verwendung der Ausgaben (Art. 26 Abs. 10)

Pflicht: Betreiber dürfen die Ergebnisse eines Hochrisiko-KI-Systems nur im Einklang mit der Zweckbestimmung verwenden und müssen dabei die Grundrechte betroffener Personen beachten.

Diese Pflicht ergänzt die Pflicht zur bestimmungsgemäßen Nutzung aus Art. 26 Abs. 1 um eine Output-bezogene Komponente:

• Die Ergebnisse des KI-Systems dürfen nicht für andere als die vorgesehenen Zwecke verwendet werden
• Besondere Vorsicht ist geboten, wenn KI-Ergebnisse in Entscheidungen einfließen, die natürliche Personen erheblich betreffen
• Diskriminierende oder offensichtlich fehlerhafte Ergebnisse dürfen nicht blind übernommen werden
• Transparenz gegenüber Betroffenen über die KI-gestützte Entscheidungsfindung ist erforderlich

10. Informationspflicht gegenüber betroffenen Personen (Art. 26 Abs. 11)

Pflicht: Betreiber müssen natürliche Personen darüber informieren, dass sie einer Entscheidung unterliegen, die auf Grundlage eines Hochrisiko-KI-Systems getroffen wurde – sofern dies nicht bereits offensichtlich ist.

Diese Transparenzpflicht ist besonders praxisrelevant:

• Die betroffene Person muss erfahren, dass ein KI-System an der Entscheidung beteiligt war
• Die Information muss rechtzeitig und in verständlicher Form erfolgen
• Ausnahme: Wenn der KI-Einsatz offensichtlich ist (z. B. bei einem Chatbot)
• Die Pflicht ergänzt die Informationspflichten nach Art. 13 und 14 DSGVO

---

Grundrechte-Folgenabschätzung nach Art. 27 {#grundrechte-folgenabschaetzung}

Neben den Pflichten aus Art. 26 trifft bestimmte Betreiber eine weitere, besonders umfangreiche Pflicht: die Grundrechte-Folgenabschätzung (Fundamental Rights Impact Assessment, FRIA) nach Art. 27.

Wer muss eine Grundrechte-Folgenabschätzung durchführen?

Die Pflicht trifft zwei Betreibergruppen:

1. Einrichtungen des öffentlichen Rechts (Behörden, öffentliche Verwaltung)
2. Private Betreiber, die öffentliche Dienstleistungen erbringen

Zusätzlich gilt die Pflicht für private Betreiber, die Hochrisiko-KI-Systeme in folgenden Bereichen einsetzen:

• Kreditwürdigkeitsprüfung und Kreditscoring natürlicher Personen
• Risikobewertung und Preisgestaltung bei Lebens- und Krankenversicherungen
• Weitere in Art. 27 Abs. 1 genannte Anwendungsbereiche

Inhalt der Grundrechte-Folgenabschätzung

Art. 27 Abs. 2 legt fest, welche Aspekte die Folgenabschätzung mindestens umfassen muss:

• Beschreibung der Verfahren, in denen das KI-System eingesetzt wird
• Zeitraum und Häufigkeit der geplanten Nutzung
• Kategorien betroffener Personen und Gruppen
• Spezifische Risiken für die Grundrechte der betroffenen Personen und Gruppen
• Menschliche Aufsichtsmaßnahmen, einschließlich der Identität der verantwortlichen Personen
• Maßnahmen bei Eintreten der identifizierten Risiken, einschließlich interner Governance-Regelungen und Beschwerdemechanismen

Die Grundrechte-Folgenabschätzung muss vor dem erstmaligen Einsatz des KI-Systems durchgeführt und regelmäßig aktualisiert werden. Das Ergebnis ist der zuständigen Marktüberwachungsbehörde auf Anfrage bereitzustellen.

Praxistipp: Orientieren Sie sich bei der Grundrechte-Folgenabschätzung an den Vorlagen und Leitlinien, die das EU AI Office und nationale Behörden veröffentlichen. Kombinieren Sie die FRIA mit der Datenschutz-Folgenabschätzung, um Synergien zu nutzen.

---

Praktische Checkliste für KI-Betreiber {#praktische-checkliste}

Die folgende Tabelle fasst alle wesentlichen Pflichten zusammen und ordnet ihnen konkrete Maßnahmen sowie Fristen zu:

Zeitlicher Überblick der Fristen

Die KI-Verordnung tritt gestaffelt in Kraft:

• 02.02.2025: KI-Kompetenzpflicht (Art. 4) – bereits in Kraft
• 02.08.2025: Verbot verbotener KI-Praktiken (Art. 5)
• 02.08.2026: Pflichten für Hochrisiko-KI-Systeme, einschließlich aller Betreiberpflichten nach Art. 26 und Art. 27
• 02.08.2027: Pflichten für bestimmte Hochrisiko-KI-Systeme nach Anhang I (z. B. Medizinprodukte, Maschinen)

Unternehmen, die bereits heute Hochrisiko-KI-Systeme einsetzen, sollten jetzt mit der Vorbereitung beginnen, da die Umsetzung der Compliance-Maßnahmen erfahrungsgemäß mehrere Monate in Anspruch nimmt.

---

Besondere Konstellationen und Praxisfragen

KI-Betreiber in der Lieferkette

In vielen Unternehmen wird KI nicht direkt, sondern als Bestandteil einer umfassenderen Softwarelösung eingesetzt. Beispiel: Ein ERP-System enthält ein KI-Modul zur Absatzprognose. In diesem Fall ist der Betreiber des ERP-Systems zugleich Betreiber des KI-Systems – auch wenn er das KI-Modul nicht selbst ausgewählt hat. Die Pflichten aus Art. 26 treffen ihn in vollem Umfang.

Empfehlung: Führen Sie ein KI-Inventar – eine vollständige Bestandsaufnahme aller KI-Systeme, die in Ihrem Unternehmen eingesetzt werden. Nur so können Sie sicherstellen, dass kein System „unter dem Radar" bleibt.

Betreiberpflichten bei KI mit allgemeinem Verwendungszweck (GPAI)

Setzt ein Betreiber ein System ein, das auf einem Allzweck-KI-Modell (General-Purpose AI, GPAI) basiert – etwa ein Large Language Model wie GPT oder Claude – gelten die Betreiberpflichten ebenfalls, sofern das resultierende System als Hochrisiko-KI-System einzustufen ist. Die Einstufung hängt vom konkreten Einsatzzweck ab.

Grenzüberschreitende Nutzung

Wird ein KI-System in mehreren EU-Mitgliedstaaten eingesetzt, unterliegt der Betreiber grundsätzlich der Aufsicht des Mitgliedstaats, in dem er niedergelassen ist. Bei grenzüberschreitenden Sachverhalten ist jedoch eine enge Abstimmung mit den jeweiligen nationalen Aufsichtsbehörden erforderlich.

---

Sanktionen bei Verstößen

Die KI-Verordnung sieht erhebliche Bußgelder vor, die auch Betreiber treffen:

• Bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes bei Verstößen gegen Betreiberpflichten nach Art. 26
• Bis zu 7,5 Mio. EUR oder 1,5 % des weltweiten Jahresumsatzes bei Bereitstellung unrichtiger Informationen an Behörden
• Für KMU und Start-ups gelten jeweils die niedrigeren der genannten Beträge

Hinzu kommen mögliche zivilrechtliche Haftungsansprüche Betroffener sowie aufsichtsrechtliche Maßnahmen wie die Anordnung, ein KI-System vom Markt zu nehmen oder den Betrieb einzustellen.

---

Häufig gestellte Fragen (FAQ) {#faq}

1. Gilt Art. 26 auch für Unternehmen, die nur „einfache" KI nutzen?

Art. 26 regelt in erster Linie die Pflichten für Betreiber von Hochrisiko-KI-Systemen im Sinne von Art. 6 und Anhang III. Für KI-Systeme mit geringerem Risiko gelten reduzierte Pflichten – etwa Transparenzpflichten nach Art. 50. Die allgemeine KI-Kompetenzpflicht (Art. 4) gilt jedoch für alle Betreiber, unabhängig von der Risikostufe. Prüfen Sie daher zunächst, ob Ihre KI-Systeme als Hochrisiko einzustufen sind.

2. Wer ist für die menschliche Aufsicht verantwortlich – der Anbieter oder der Betreiber?

Beide tragen Verantwortung, aber in unterschiedlicher Weise. Der Anbieter muss das KI-System so konzipieren, dass menschliche Aufsicht technisch möglich ist (Art. 14). Der Betreiber muss sicherstellen, dass die Aufsicht im laufenden Betrieb tatsächlich ausgeübt wird (Art. 26 Abs. 2). In der Praxis bedeutet das: Der Anbieter baut den „Stopp-Knopf" ein, aber der Betreiber muss dafür sorgen, dass jemand Kompetentes danebensitzt und ihn im Ernstfall drückt.

3. Wie unterscheidet sich die Grundrechte-Folgenabschätzung von der Datenschutz-Folgenabschätzung?

Die DSFA nach Art. 35 DSGVO fokussiert auf Risiken für den Schutz personenbezogener Daten. Die Grundrechte-Folgenabschätzung nach Art. 27 AI Act geht weiter: Sie betrachtet sämtliche Grundrechte, die durch den KI-Einsatz betroffen sein können – einschließlich Gleichbehandlung, Nichtdiskriminierung, Menschenwürde, Zugang zu wesentlichen Dienstleistungen und Recht auf einen wirksamen Rechtsbehelf. In der Praxis überschneiden sich beide Instrumente erheblich und sollten koordiniert durchgeführt werden.

4. Ab wann gelten die Betreiberpflichten konkret?

Die KI-Kompetenzpflicht (Art. 4) gilt bereits seit dem 2. Februar 2025. Die übrigen Betreiberpflichten nach Art. 26 und Art. 27 werden ab dem 2. August 2026 vollständig anwendbar. Für Hochrisiko-KI-Systeme, die als Sicherheitsbauteile in Produkten gemäß Anhang I eingesetzt werden (z. B. Medizinprodukte), gilt eine verlängerte Frist bis zum 2. August 2027.

5. Muss ich als kleines Unternehmen auch eine Grundrechte-Folgenabschätzung durchführen?

Nicht unbedingt. Die Pflicht zur Grundrechte-Folgenabschätzung nach Art. 27 trifft nur öffentliche Stellen und private Betreiber, die öffentliche Dienstleistungen erbringen oder in bestimmten Bereichen wie Kreditscoring oder Versicherungsbewertung tätig sind. Wenn Ihr Unternehmen nicht in diese Kategorien fällt, besteht keine Pflicht zur FRIA – die allgemeinen Betreiberpflichten nach Art. 26 gelten aber uneingeschränkt.

---

Nächste Schritte: KI-Compliance systematisch aufbauen {#naechste-schritte}

Die Pflichten für KI-Betreiber nach dem AI Act sind umfangreich, aber beherrschbar – vorausgesetzt, Sie gehen systematisch vor. Wir empfehlen folgendes Vorgehen:

1. KI-Inventar erstellen: Erfassen Sie alle KI-Systeme, die in Ihrem Unternehmen eingesetzt werden, und klassifizieren Sie deren Risikostufe.
2. Verantwortlichkeiten festlegen: Benennen Sie einen KI-Compliance-Beauftragten und definieren Sie klare Zuständigkeiten für Aufsicht, Monitoring und Meldewesen.
3. Schulungen durchführen: Stellen Sie sicher, dass alle relevanten Mitarbeitenden über die erforderliche KI-Kompetenz verfügen – die Frist hierfür ist bereits abgelaufen.
4. Prozesse implementieren: Etablieren Sie die erforderlichen Prozesse für Überwachung, Protokollierung, Vorfallmeldung und Behördenkooperation.
5. Dokumentation aufbauen: Erstellen Sie die notwendigen Dokumentationen – von der Zweckbestimmung über das Aufsichtskonzept bis zur DSFA.
6. Regelmäßig überprüfen: KI-Compliance ist kein einmaliges Projekt, sondern ein laufender Prozess. Planen Sie regelmäßige Reviews und Aktualisierungen ein.

---

KI Comply unterstützt Sie dabei, alle Anforderungen des AI Act effizient und rechtssicher umzusetzen. Unsere Plattform bietet maßgeschneiderte Schulungen zur KI-Kompetenz nach Art. 4, praxisnahe Compliance-Vorlagen und ein strukturiertes Framework für Ihre KI-Governance. Von der Bestandsaufnahme bis zur laufenden Überwachung – mit KI Comply behalten Sie den Überblick über Ihre Betreiberpflichten und sind auf behördliche Prüfungen vorbereitet.

Jetzt KI Comply kennenlernen und Betreiberpflichten rechtssicher umsetzen.