Cloud-Dienstleister: AI Act, Data Act & DSGVO-Pflichten
Cloud-Dienstleister (AWS, Azure, Google Cloud, IONOS, Hetzner, GAIA-X) sind nach dem AI Act in der Regel KEINE KI-System-Anbieter, wenn sie nur Infrastruktur bereitstellen (Compute, Storage, Networking) — die AI-Act-Pflichten treffen den KI-Anbieter/Betreiber, der die Cloud nutzt. Ausnahme: Cloud-Anbieter, die eigene KI-Dienste anbieten (z. B. AWS Bedrock, Azure AI, Google Vertex AI), werden zu KI-System-Anbietern dieser Dienste. Nach dem EU Data Act (Art. 13–16) haben Cloud-Dienstleister Pflichten: Switching-Erleichterung (Art. 13–15, ab September 2025), Interoperabilität (Art. 16), Open-Standard-Schnittstellen. Überlagert: NIS2 (kritische Infrastruktur — Risikomanagement Art. 21, Meldepflichten Art. 23), DSGVO (Auftragsverarbeitung Art. 28), CRA (Cybersecurity), DSA bei Plattform-Betrieb. Eine Multi-Cloud-Strategie und Switching-Fähigkeit schützen Kunden.
Steve Baka
KI-Act- und Data-Act-Anwendbarkeit
Cloud-Dienstleister als reine Infrastruktur-Anbieter (IaaS/PaaS) sind nach dem AI Act KEINE KI-System-Anbieter — sie stellen nur Compute/Storage/Networking bereit. AI-Act-Pflichten treffen den KI-Anbieter/Betreiber, der die Cloud nutzt. Ausnahme: Cloud-Anbieter mit eigenen KI-Diensten (AWS Bedrock, Azure AI, Google Vertex AI, OpenAI API) werden zu KI-System-Anbietern dieser Dienste — dann volle Pflichten nach Risikoklassifizierung. Plus: Cloud-Anbieter, die GPAI-Modelle hosten/trainieren (z. B. AWS für Anthropic, Microsoft für OpenAI), sind nicht Anbieter, aber beteiligt an GPAI-Infrastruktur (Cybersecurity, weights-Schutz kooperativ). Nach dem Data Act (ab September 2025): Switching-Erleichterung (Art. 13–15 — klare Exit-Klauseln, funktionelle Gleichwertigkeit nach Wechsel, Open-Standards), Interoperabilität (Art. 16).
Praxis: Multi-Cloud und Compliance
Praktisch relevant für Cloud-Anbieter und -Kunden: (1) Switching-Architektur — Exit-Klauseln in Verträgen, Open-Standard-Interoperabilität (Kubernetes, OCI), funktionelle Gleichwertigkeit nach Wechsel, Support beim Wechsel; (2) AI-Act-Compliance bei eigenen KI-Diensten — Risikoklassifizierung, bei Hochrisiko volles Pflichtenbündel, GPAI-Pflichten bei Foundation-Modellen; (3) NIS2 — Risikomanagement (Art. 21), Meldepflichten (Art. 23, 24 h Frühwarnung), Kritis-Schutz; (4) DSGVO — Auftragsverarbeitung (Art. 28), Standardvertragsklauseln bei Drittland-Transfer, DSFA bei hochriskanter Verarbeitung; (5) CRA — Cybersecurity für Cloud-Software; (6) DSA bei Plattform-Betrieb. Für Kunden: Multi-Cloud-/Hybrid-Strategien (kein Lock-in), Switching-Drills, klare Exit-Klauseln, Auftragsverarbeitungs-Verträge. Aufsichtlich: Datenzugangsbehörden (Data Act, DE: BMWK), Datenschutz-Aufsichten (DSGVO), Cybersicherheits-Aufsichten/BSI (NIS2), Marktüberwachungsbehörden (AI Act). Cloud-Compliance ist ein Drei-Regime-Feld (Data Act + NIS2 + DSGVO + AI Act).
Grenzen: Digitale Souveränität und GAIA-X
Die Grenze der Cloud-Compliance ist die digitale Souveränität. Switching-Fähigkeit (Data Act Art. 13–15) und Interoperabilität (Art. 16) sollen Cloud-Lock-in brechen — aber in der Praxis beherrschen Hyperscaler (AWS, Azure, GCP) den Markt, und proprietäre Dienste erschweren Wechsel. GAIA-X (europäische Daten-/Cloud-Infrastruktur) und IDSA (International Data Spaces) fördern europäische, interoperable Alternativen — Sovereign Cloud, Open-Standards, Daten-Lokalisierung. Für kritische Infrastruktur (Banken, Gesundheitswesen, öffentliche Verwaltung) ist Multi-Cloud-/Hybrid-Strategie NIS2-Pflicht. NIS2: Risikomanagement (Art. 21) verlangt Lieferketten-Sicherheit, Meldepflichten (Art. 23, 24 h Frühwarnung). Eine verantwortungsvolle Cloud-Strategie kombiniert Switching-Architektur (Open-Standards: Kubernetes, OCI), Multi-Cloud (kein Lock-in), NIS2-konforme Cybersicherheit und DSGVO-konforme Auftragsverarbeitung — digitale Souveränität statt Abhängigkeit.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.
Digital Services Act (VO (EU) 2022/2065) — EUR-LexAmtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.
Data Governance Act (VO (EU) 2022/868) — EUR-LexAmtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.
Vorschlag AI Liability Directive (COM(2022)496)Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
OECD AI PrinciplesOECD. Internationaler Referenzrahmen für vertrauenswürdige KI.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
ISO/IEC 42001 — AI Management SystemISO/IEC. Internationaler Standard für KI-Managementsysteme (Compliance-relevant).
Häufige Fragen
Sind Cloud-Anbieter KI-System-Anbieter?
Nein, wenn nur IaaS/PaaS (Compute/Storage/Networking). Ja, bei eigenen KI-Diensten (AWS Bedrock, Azure AI, Google Vertex AI). Plus GPAI-Infrastruktur-Beteiligung.
Welche Data-Act-Pflichten haben Cloud-Anbieter?
Switching-Erleichterung (Art. 13–15, ab Sep. 2025), Interoperabilität (Art. 16), Open-Standards. Plus NIS2 (kritische Infrastruktur), DSGVO (Auftragsverarbeitung), CRA, DSA.
Wie schützen sich Kunden?
Multi-Cloud-/Hybrid-Strategien (kein Lock-in), Switching-Drills, klare Exit-Klauseln, Auftragsverarbeitungs-Verträge. Drei-Regime-Compliance (Data Act + NIS2 + DSGVO + AI Act).
KI-Compliance für Cloud-Dienstleister?
Wenn du im Sektor Cloud-Dienstleister KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.