industryArticlemaschinenlesbar

Cloud-Dienstleister: AI Act, Data Act & DSGVO-Pflichten

MenschMarkdown öffnen

Cloud-Dienstleister (AWS, Azure, Google Cloud, IONOS, Hetzner, GAIA-X) sind nach dem AI Act in der Regel KEINE KI-System-Anbieter, wenn sie nur Infrastruktur bereitstellen (Compute, Storage, Networking) — die AI-Act-Pflichten treffen den KI-Anbieter/Betreiber, der die Cloud nutzt. Ausnahme: Cloud-Anbieter, die eigene KI-Dienste anbieten (z. B. AWS Bedrock, Azure AI, Google Vertex AI), werden zu KI-System-Anbietern dieser Dienste. Nach dem EU Data Act (Art. 13–16) haben Cloud-Dienstleister Pflichten: Switching-Erleichterung (Art. 13–15, ab September 2025), Interoperabilität (Art. 16), Open-Standard-Schnittstellen. Überlagert: NIS2 (kritische Infrastruktur — Risikomanagement Art. 21, Meldepflichten Art. 23), DSGVO (Auftragsverarbeitung Art. 28), CRA (Cybersecurity), DSA bei Plattform-Betrieb. Eine Multi-Cloud-Strategie und Switching-Fähigkeit schützen Kunden.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
anwendbarkeit

KI-Act- und Data-Act-Anwendbarkeit

Cloud-Dienstleister als reine Infrastruktur-Anbieter (IaaS/PaaS) sind nach dem AI Act KEINE KI-System-Anbieter — sie stellen nur Compute/Storage/Networking bereit. AI-Act-Pflichten treffen den KI-Anbieter/Betreiber, der die Cloud nutzt. Ausnahme: Cloud-Anbieter mit eigenen KI-Diensten (AWS Bedrock, Azure AI, Google Vertex AI, OpenAI API) werden zu KI-System-Anbietern dieser Dienste — dann volle Pflichten nach Risikoklassifizierung. Plus: Cloud-Anbieter, die GPAI-Modelle hosten/trainieren (z. B. AWS für Anthropic, Microsoft für OpenAI), sind nicht Anbieter, aber beteiligt an GPAI-Infrastruktur (Cybersecurity, weights-Schutz kooperativ). Nach dem Data Act (ab September 2025): Switching-Erleichterung (Art. 13–15 — klare Exit-Klauseln, funktionelle Gleichwertigkeit nach Wechsel, Open-Standards), Interoperabilität (Art. 16).

praxis

Praxis: Multi-Cloud und Compliance

Praktisch relevant für Cloud-Anbieter und -Kunden: (1) Switching-Architektur — Exit-Klauseln in Verträgen, Open-Standard-Interoperabilität (Kubernetes, OCI), funktionelle Gleichwertigkeit nach Wechsel, Support beim Wechsel; (2) AI-Act-Compliance bei eigenen KI-Diensten — Risikoklassifizierung, bei Hochrisiko volles Pflichtenbündel, GPAI-Pflichten bei Foundation-Modellen; (3) NIS2 — Risikomanagement (Art. 21), Meldepflichten (Art. 23, 24 h Frühwarnung), Kritis-Schutz; (4) DSGVO — Auftragsverarbeitung (Art. 28), Standardvertragsklauseln bei Drittland-Transfer, DSFA bei hochriskanter Verarbeitung; (5) CRA — Cybersecurity für Cloud-Software; (6) DSA bei Plattform-Betrieb. Für Kunden: Multi-Cloud-/Hybrid-Strategien (kein Lock-in), Switching-Drills, klare Exit-Klauseln, Auftragsverarbeitungs-Verträge. Aufsichtlich: Datenzugangsbehörden (Data Act, DE: BMWK), Datenschutz-Aufsichten (DSGVO), Cybersicherheits-Aufsichten/BSI (NIS2), Marktüberwachungsbehörden (AI Act). Cloud-Compliance ist ein Drei-Regime-Feld (Data Act + NIS2 + DSGVO + AI Act).

grenzen souveraenitaet

Grenzen: Digitale Souveränität und GAIA-X

Die Grenze der Cloud-Compliance ist die digitale Souveränität. Switching-Fähigkeit (Data Act Art. 13–15) und Interoperabilität (Art. 16) sollen Cloud-Lock-in brechen — aber in der Praxis beherrschen Hyperscaler (AWS, Azure, GCP) den Markt, und proprietäre Dienste erschweren Wechsel. GAIA-X (europäische Daten-/Cloud-Infrastruktur) und IDSA (International Data Spaces) fördern europäische, interoperable Alternativen — Sovereign Cloud, Open-Standards, Daten-Lokalisierung. Für kritische Infrastruktur (Banken, Gesundheitswesen, öffentliche Verwaltung) ist Multi-Cloud-/Hybrid-Strategie NIS2-Pflicht. NIS2: Risikomanagement (Art. 21) verlangt Lieferketten-Sicherheit, Meldepflichten (Art. 23, 24 h Frühwarnung). Eine verantwortungsvolle Cloud-Strategie kombiniert Switching-Architektur (Open-Standards: Kubernetes, OCI), Multi-Cloud (kein Lock-in), NIS2-konforme Cybersicherheit und DSGVO-konforme Auftragsverarbeitung — digitale Souveränität statt Abhängigkeit.

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.

European Data Protection Board (EDPB)

EDPB. EU-Datenschutzgremium mit KI-Leitlinien.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.

Digital Services Act (VO (EU) 2022/2065) — EUR-Lex

Amtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.

Data Governance Act (VO (EU) 2022/868) — EUR-Lex

Amtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.

Vorschlag AI Liability Directive (COM(2022)496)

Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland.

OECD AI Principles

OECD. Internationaler Referenzrahmen für vertrauenswürdige KI.

Council of Europe Framework Convention on AI

Council of Europe. Erstes völkerrechtliches Abkommen zu KI.

ISO/IEC 42001 — AI Management System

ISO/IEC. Internationaler Standard für KI-Managementsysteme (Compliance-relevant).

FAQ

Häufige Fragen

Sind Cloud-Anbieter KI-System-Anbieter?

Nein, wenn nur IaaS/PaaS (Compute/Storage/Networking). Ja, bei eigenen KI-Diensten (AWS Bedrock, Azure AI, Google Vertex AI). Plus GPAI-Infrastruktur-Beteiligung.

Welche Data-Act-Pflichten haben Cloud-Anbieter?

Switching-Erleichterung (Art. 13–15, ab Sep. 2025), Interoperabilität (Art. 16), Open-Standards. Plus NIS2 (kritische Infrastruktur), DSGVO (Auftragsverarbeitung), CRA, DSA.

Wie schützen sich Kunden?

Multi-Cloud-/Hybrid-Strategien (kein Lock-in), Switching-Drills, klare Exit-Klauseln, Auftragsverarbeitungs-Verträge. Drei-Regime-Compliance (Data Act + NIS2 + DSGVO + AI Act).

Beratung für deinen Sektor

KI-Compliance für Cloud-Dienstleister?

Wenn du im Sektor Cloud-Dienstleister KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.

Jetzt beraten lassen
Related