Pflichten nach EU AI Act für Anbieter und Betreiber – was jetzt praktisch zählt

Der EU AI Act zwingt Organisationen, Rollen und Prozesse neu zu ordnen. Nicht nur Anbieter, auch Betreiber, Einführer und Händler tragen klar umrissene Pflichten. Im Kern geht es um: Konformitätsbewertung vor dem Marktzugang, Registrierung in der EU‑Datenbank, dokumentierte Qualitäts- und Sicherheitsmaßnahmen sowie laufende Überwachung im Betrieb. Wer diese Aufgaben entlang der Lieferkette sauber trennt, reduziert Haftungs- und Betriebsrisiken – und schafft reproduzierbare Nachweise. Für Teams, die die Umsetzung systematisch aufsetzen wollen, lohnt ein Blick auf vertiefende EU AI Act Schulung & Compliance‑Programme.

Rollen und Verantwortung entlang der Kette

Anbieter entwickeln oder lassen entwickeln und bringen das KI‑System oder GPAI‑Modell unter eigenem Namen in Verkehr. Sie verantworten Design, technische Dokumentation, Qualitätsmanagement, Logging‑Vorgaben, Konformitätsbewertung, EU‑Konformitätserklärung/CE, Registrierung und Korrekturmaßnahmen. Betreiber verwenden das System im konkreten Kontext – sie müssen die Gebrauchsanweisung einhalten, menschliche Aufsicht organisieren, Datenqualität sicherstellen, Monitoring und Protokollaufbewahrung umsetzen sowie Vorfälle melden. Öffentliche Betreiber können zusätzlich eine Grundrechte‑Folgenabschätzung vor dem Einsatz benötigen. Einführer prüfen vor dem Marktzugang, ob Konformität und Unterlagen vorliegen; Händler dürfen bei Verdacht auf Nichtkonformität nicht bereitstellen.

Konformitätsbewertung und Registrierung in der Praxis

Die Konformitätsbewertung ist der Dreh- und Angelpunkt für Hochrisiko‑KI (Art. 43): Sie weist nach, dass Anforderungen an Risikomanagement, Dokumentation, Transparenz, Genauigkeit, Robustheit und Cybersicherheit erfüllt sind. In Biometrie‑Fällen nach Anhang III Nr. 1 kann je nach Normenlage eine notifizierte Stelle erforderlich sein; für die übrigen Hochrisiko‑Systeme nach Anhang III ist grundsätzlich die interne Kontrolle nach Anhang VI vorgesehen. Greifen Sektorrechte aus Anhang I (z. B. Medizinprodukte), gelten die einschlägigen produktrechtlichen Verfahren ergänzt um AI‑Act‑Anforderungen.

Nach erfolgreichem Verfahren folgt die Registrierung in der EU‑Datenbank (Art. 49, 71). Anbieter melden dort Hochrisiko‑Systeme vor Inverkehrbringen bzw. Inbetriebnahme; für bestimmte öffentliche Betreiber kommen Einträge hinzu. Die Datenbank erhöht Transparenz und Nachverfolgbarkeit – sie ersetzt jedoch nicht die Konformitätsbewertung.

• System kategorisieren (Hochrisiko? Sektorrecht?)
• Qualitätsmanagement und technische Doku vervollständigen
• Interne Kontrolle oder notifizierte Stelle bestimmen
• EU‑Konformitätserklärung/CE erstellen
• EU‑Datenbankeintrag vorbereiten und pflegen
• Post‑Market‑Plan: Monitoring, Korrektur, Incident‑Prozess

Operativer Betrieb: Pflichten der Betreiber

Betreiber müssen das System gemäß Anleitung einsetzen, menschliche Aufsicht wirksam organisieren und repräsentative Eingabedaten nutzen. Zwingend sind Monitoring, Protokollierung und Aufbewahrung – inklusive Meldewegen für schwere Vorfälle und Fehlfunktionen. Mitarbeitende sind zu informieren und zu schulen; für öffentliche Stellen kann eine Grundrechte‑Folgenabschätzung hinzukommen. Technisch bedeutet das oft: nachvollziehbare Log‑Pipelines, Modell‑ und Datenänderungsmanagement, Schwellenwerte für Alarmierung sowie ein definiertes Incident‑Response‑Verfahren. Details zu typischen Umsetzungen finden sich unter Technische Vorgaben für IT‑Teams (Logging, Monitoring, Incident Response).

GPAI und Trainingsimplikationen

Bei Modellen mit allgemeinem Verwendungszweck (GPAI) verschiebt sich der Fokus auf das Modell selbst: Anbieter müssen technische Dokumentation, Hinweise für nachgelagerte Anbieter, eine Urheberrechtsstrategie und eine öffentliche Zusammenfassung der Trainingsinhalte bereitstellen. Weist ein GPAI‑Modell systemisches Risiko auf, kommen Modellbewertungen mit Angriffstests, Risikominderung, Vorfallsmeldung und verstärkte Cybersicherheitsmaßnahmen hinzu. Für Organisationen folgt daraus: Trainings- und Governance‑Programme müssen Rollen adressieren – Entwicklung/Anbieterseite, Betrieb, Beschaffung, Informationssicherheit und Rechtsabteilung. Vertiefungen bieten strukturierte EU AI Act Schulung & Compliance‑Programme.

Fazit: Der AI Act ist kein reines Rechtsprojekt, sondern ein Betriebs- und Nachweisregime. Wer Verantwortlichkeiten sauber zuordnet, Verfahren dokumentiert und Monitoring diszipliniert betreibt, reduziert Risiken und Beschleuniger für Audits. Für KMU und Verwaltungen empfiehlt sich eine pragmatische Roadmap von der Klassifizierung bis zur Post‑Market‑Überwachung – anschlussfähig an bestehende Prozesse der Konformität im Mittelstand.