---
name: rollenmodell-use-case-vendor
description: "Rollenmodell: Formular, Portal und Einreichungslogik im Plugin ki governance im Ki Governance."
---

# Rollenmodell: Formular, Portal und Einreichungslogik

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: KI-VO Geltungsbeginn gestaffelt (02.02.2025 Verbote, 02.08.2025 GPAI, 02.08.2026 Hochrisiko Anhang III), schwerwiegender Vorfall 15 Tage, DSGVO DPIA vorab.
- Tragende Normen verifizieren: EU KI-VO 2024/1689 Art. 9, 10, 14, 22, 27, 50, ISO/IEC 42001, NIST AI RMF 1.0, OECD AI Principles, DSGVO Art. 22, 35, Produkthaftungs-RL 2024/2853 — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Geschäftsleitung, KI-Officer, Datenschutzbeauftragter, Compliance, Aufsichtsrat, Marktüberwachung, externer Auditor, betroffene Personen.
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: KI-Inventar, Risikoanalyse, FRIA (Fundamental Rights Impact Assessment), AI Governance Policy, Modellkarten, Audit-Bericht, DSGVO-DPIA, Schulungsnachweis — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Spezialwissen: Rollenmodell: Formular, Portal und Einreichungslogik
- **Normen-/Quellenanker:** EU, KI, VO, DSGVO, AIA, DPIA.

## Fallweichen
Wenn Unterlagen vorhanden sind, arbeite zuerst aus den Unterlagen. Stelle nur Rückfragen, die die nächste Weiche verändern:

1. Welche Rolle hat die fragende Person und wer ist Gegenüber?
2. Welches konkrete Ziel soll erreicht oder verhindert werden?
3. Welche Frist, Zustellung, Schwelle, Zahlung, Sanktion oder Verfahrensstufe ist kritisch?
4. Welche Dokumente, Registerauszüge, Bescheide, Verträge, Tabellen, Screenshots oder Nachrichten belegen den Punkt?
5. Welcher Output wird gebraucht: Memo, Checkliste, Tabelle, Entwurf, Schriftsatzbaustein, Mandantenbrief oder Entscheidungsvorlage?

## Arbeitsworkflow
1. **Fallbild bilden:** Sachverhalt, Rollen, Zeitachse und Dokumente in eine kurze Matrix bringen.
2. **Rechtsrahmen setzen:** Normen, Zuständigkeiten, Fristen, Formfragen und Verfahrensstand zum Themenfeld **KI-VO-Rollenmodell** prüfen.
3. **Prüfpunkte abarbeiten:** Tatbestandsmerkmale, Beweisfragen, typische Fehler, Gegenargumente und Ermessens- oder Wertungsfragen trennen.
4. **Risiko bewerten:** Grün/Gelb/Rot mit Begründung, Annahmen, fehlenden Belegen und möglichen Alternativwegen ausgeben.
5. **Anschluss bauen:** Passende weitere Skills desselben Plugins vorschlagen, wenn eine Vertiefung, ein Schreiben, eine Tabelle, ein Fristenblatt oder eine Verhandlungsstrategie sinnvoll ist.

## KI-VO-Rollen und Einreichungswege
- **Anbieter (Art. 3 Nr. 3 KI-VO):** entwickelt und bringt KI-System in Verkehr; Hauptverpflichteter Art. 9-15, 16-22.
- **Betreiber (Art. 3 Nr. 4):** verwendet KI-System unter eigener Verantwortung; Art. 26 Pflichten.
- **Importeur (Art. 3 Nr. 6):** bringt KI aus Drittland in EU; Art. 23.
- **Händler (Art. 3 Nr. 7):** macht KI auf Markt verfügbar; Art. 24.
- **Bevollmächtigter (Art. 3 Nr. 5):** Vertreter eines Drittland-Anbieters; Art. 22.

## Einreichungswege Behördenkommunikation
- **Konformitätserklärung:** Aufbewahrung 10 Jahre durch Anbieter (Art. 47 Abs. 4); Anhang V definiert Mindestinhalt.
- **EU-Datenbank Registrierung** Art. 49 KI-VO: für Hochrisiko-Systeme nach Anhang III; öffentlich einsehbar bei EU-Kommission.
- **CE-Kennzeichnung** Art. 48 KI-VO bei Hochrisiko.
- **Vorfallmeldung** Art. 73 KI-VO an Marktüberwachungsbehörde: 15 Tage Standard, 2 Tage bei schwerwiegend, sofort bei Tod.
- **Marktüberwachungsbehörden in DE:** je nach Sektor; BNetzA für Telekommunikation, BSI für Cybersicherheit, BfDI für Datenschutzaspekte. National wird die KI-VO-Aufsicht (Stand 2026) etabliert.

## Praxis-Tipp
Die KI-VO unterscheidet zwischen Anbieter und Betreiber sehr strikt — bei Substantieller Modifikation eines Hochrisiko-Systems (z. B. Fine-Tuning, neuer Anwendungszweck) wird der Betreiber zum Anbieter (Art. 25 KI-VO) und übernimmt deren Pflichten. Frühzeitig prüfen, ob unternehmensinterner Feintuning-Prozess Anbieterstellung auslöst.