KI-System-Anbieter: AI Act, Data Act & DSGVO-Pflichten
KI-System-Anbieter nach Art. 3 Nr. 3 AI Act (natürliche/juristische Person, Behörde/Einrichtung/organism oder sonstige Stelle, die ein KI-System entwickelt/entwickelt hat und unter ihrem eigenen Namen/einer eigenen Ware/eigenem Zeichen in Verkehr bringt/in Betrieb nimmt — unabhängig davon, ob entgeltlich oder unentgeltlich) tragen die HAUPTPFLICHTEN des AI Act. Pflichten: Risikoklassifizierung (Art. 6), bei Hochrisiko volles Art. 8–15-Pflichtenbündel (Risikomanagement, Daten-Governance, technische Dokumentation, Aufzeichnung, Transparenz, menschliche Aufsicht, Genauigkeit/Robustheit/Cybersecurity, QMS), Konformitätsbewertung (Art. 43), CE-Kennzeichnung (Art. 48), Registrierung (Art. 49), EU-Konformitätserklärung (Art. 47), Aufbewahrung (Art. 18), Post-Market-Monitoring (Art. 72), Vorfallsmeldung (Art. 73), Zusammenarbeit mit Aufsicht (Art. 22 Repräsentant bei Drittland-Anbietern). Anwendbar ab dem 2. August 2026.
Steve Baka
KI-Act-Anwendbarkeit
KI-System-Anbieter sind die zentrale Adressatin/der zentrale Adressat des AI Act. Pflichten staffeln sich nach Risikoklasse: verboten (Art. 5, sofortige Einstellung), hochriskant (volles Art. 8–15-Pflichtenbündel, Konformitätsbewertung, CE, Registrierung), begrenzt (Art. 50 Transparenz), minimal (keine spezifischen AI-Act-Pflichten). Plus: GPAI-Anbieter (Art. 3 Nr. 63 GPAI-Modell) haben eigene Pflichten (Art. 53, bei systemischem Risiko Art. 55). Eine genaue Klassifizierung jedes Systems ist der erste Compliance-Schritt — Fehlklassifizierung ist Haftungs- und Sanktionsrisiko. Überlagert: DSGVO (als Verantwortlicher), DSA bei Plattform-Betrieb, GPSR (allgemeine Produktsicherheit), produktspezifische Regelungen bei eingebetteter KI (MDR, Maschinen-VO).
Praxis: Compliance-Architektur
Praktisch erforderlich: eine KI-Compliance-Architektur, die alle Pflichten systematisch erfüllt. Komponenten: (1) Inventar aller KI-Systeme (Zweck, Risikoklasse, Pflichten); (2) Risikoklassifizierungs-Verfahren (Art. 6, Anhänge I/III); (3) Konformitäts-Pipeline (Risikoanalyse, Daten-Governance, technische Dokumentation, Tests, notifizierte Stelle bei Bedarf); (4) QMS (Art. 17 — ISO/IEC 42001 als Operationalisierung); (5) CE-/Konformitätserklärung; (6) Registrierung in EU-Datenbank (Art. 71); (7) Post-Market-Monitoring-System (Art. 72) mit Vorfall-Pipeline (Art. 73); (8) Repräsentant bei Drittland-Sitz (Art. 22); (9) Downstream-/Supply-Chain-Verträge (Art. 25). Sanktionen: bis 35 Mio. EUR / 7 % Umsatz (Art. 99 Abs. 3 Verbote), 15 Mio. / 3 % (andere Verstöße). Haftungsrisiko: AI Liability Directive, Produkthaftung. Eine proaktive Compliance schützt vor Sanktionen, Haftungsansprüchen und Reputationsschäden.
Grenzen: Haftungsarchitektur und Versicherung
Die Grenze der Anbieter-Praxis ist die integrierte Haftungsarchitektur. Eine dokumentierte, umfassende Compliance ist Haftschutz bei der AI Liability Directive (Beweiserleichterung bei Nonkonformität — Konformität entlastet), der revidierten Produkthaftungsrichtlinie (Stand der Wissenschaft/Technik) und behördlichen Ermittlungen. Versicherbarkeit: Cyber-/Technologie-/Produkthaftpflicht-Versicherungen setzen AI-Act-Konformität voraus; zertifizierte Anbieter haben Deckungsvorteile. Verantwortung über die Lieferkette: Downstream-/Supply-Chain-Verträge verteilen Pflichten, Haftung, Incident-Sharing; GPAI-Anbieter müssen Art. 53-Informationen an Downstream-Anbieter geben. Eine nachlässige Compliance ist AI-Act-Verstoß (Sanktionen Art. 99), Haftungsgrundlage und Vertrauensverlust — proaktive Compliance ist Haftschutz, Wettbewerbsvorteil und ethische Verantwortung zugleich.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.
Digital Services Act (VO (EU) 2022/2065) — EUR-LexAmtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.
Data Governance Act (VO (EU) 2022/868) — EUR-LexAmtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.
Vorschlag AI Liability Directive (COM(2022)496)Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
OECD AI PrinciplesOECD. Internationaler Referenzrahmen für vertrauenswürdige KI.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
ISO/IEC 42001 — AI Management SystemISO/IEC. Internationaler Standard für KI-Managementsysteme (Compliance-relevant).
Häufige Fragen
Was ist die Hauptpflicht des KI-Anbieters?
Risikoklassifizierung jedes Systems (Art. 6). Bei Hochrisiko: volles Art. 8–15-Pflichtenbündel, Konformitätsbewertung, CE, Registrierung, Post-Market-Monitoring. Ab 2. Aug. 2026.
Was kostet ein AI-Act-Verstoß?
Bis 35 Mio. EUR / 7 % Umsatz (Verbote Art. 5), 15 Mio. / 3 % (andere), 7,5 Mio. / 1 % (Informationspflichten). Plus AI Liability Directive und Produkthaftung.
Wie operationalisiere ich die Pflichten?
KI-Compliance-Architektur: Inventar, Risikoklassifizierungs-Verfahren, Konformitäts-Pipeline, QMS (ISO/IEC 42001), CE, Registrierung, Post-Market-Monitoring, Vorfall-Pipeline, Repräsentant, Supply-Chain-Verträge.
KI-Compliance für KI-System-Anbieter?
Wenn du im Sektor KI-System-Anbieter KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.