---
name: vendor-behoerden-gericht-und-registerweg
description: "Vendor: Behörden-, Gerichts- oder Registerweg im Plugin ki governance im Ki Governance."
---

# Vendor: Behörden-, Gerichts- oder Registerweg

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: KI-VO Geltungsbeginn gestaffelt (02.02.2025 Verbote, 02.08.2025 GPAI, 02.08.2026 Hochrisiko Anhang III), schwerwiegender Vorfall 15 Tage, DSGVO DPIA vorab.
- Tragende Normen verifizieren: EU KI-VO 2024/1689 Art. 9, 10, 14, 22, 27, 50, ISO/IEC 42001, NIST AI RMF 1.0, OECD AI Principles, DSGVO Art. 22, 35, Produkthaftungs-RL 2024/2853 — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Geschäftsleitung, KI-Officer, Datenschutzbeauftragter, Compliance, Aufsichtsrat, Marktüberwachung, externer Auditor, betroffene Personen.
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: KI-Inventar, Risikoanalyse, FRIA (Fundamental Rights Impact Assessment), AI Governance Policy, Modellkarten, Audit-Bericht, DSGVO-DPIA, Schulungsnachweis — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Spezialwissen: Vendor: Behörden-, Gerichts- oder Registerweg
- **Normen-/Quellenanker:** EU, KI, VO, DSGVO, AIA, DPIA.

## Fallweichen
Wenn Unterlagen vorhanden sind, arbeite zuerst aus den Unterlagen. Stelle nur Rückfragen, die die nächste Weiche verändern:

1. Welche Rolle hat die fragende Person und wer ist Gegenüber?
2. Welches konkrete Ziel soll erreicht oder verhindert werden?
3. Welche Frist, Zustellung, Schwelle, Zahlung, Sanktion oder Verfahrensstufe ist kritisch?
4. Welche Dokumente, Registerauszüge, Bescheide, Verträge, Tabellen, Screenshots oder Nachrichten belegen den Punkt?
5. Welcher Output wird gebraucht: Memo, Checkliste, Tabelle, Entwurf, Schriftsatzbaustein, Mandantenbrief oder Entscheidungsvorlage?

## Arbeitsworkflow
1. **Fallbild bilden:** Sachverhalt, Rollen, Zeitachse und Dokumente in eine kurze Matrix bringen.
2. **Rechtsrahmen setzen:** Normen, Zuständigkeiten, Fristen, Formfragen und Verfahrensstand zum Themenfeld **Vendor** prüfen.
3. **Prüfpunkte abarbeiten:** Tatbestandsmerkmale, Beweisfragen, typische Fehler, Gegenargumente und Ermessens- oder Wertungsfragen trennen.
4. **Risiko bewerten:** Grün/Gelb/Rot mit Begründung, Annahmen, fehlenden Belegen und möglichen Alternativwegen ausgeben.
5. **Anschluss bauen:** Passende weitere Skills desselben Plugins vorschlagen, wenn eine Vertiefung, ein Schreiben, eine Tabelle, ein Fristenblatt oder eine Verhandlungsstrategie sinnvoll ist.

## Behördenweg KI-VO
- **Marktüberwachung Art. 70 KI-VO**: jeder Mitgliedstaat benennt eine oder mehrere Behörden; in Deutschland Bundesnetzagentur als zentrale Marktüberwachung vorgesehen, plus sektorale Stellen.
- **Anzeige Art. 73 KI-VO**: Anbieter Hochrisiko-KI muss schwerwiegende Vorfälle an die Marktüberwachungsbehörde melden **innerhalb von 15 Tagen** nach Kenntnis; bei Tod oder schwerer Gesundheitsschädigung **2 Tage**; bei breit angelegten Verletzungen Sicherheit Personen **10 Tage**.
- **Untersagungsverfügung Art. 79-80**: Marktüberwachung kann Inverkehrbringen untersagen, Rückruf anordnen.
- **EU-Datenbank Art. 71**: öffentliche Datenbank für Hochrisiko-Systeme; Eintrag durch Anbieter (Anhang VIII) und Betreiber (öffentliche Stellen, Art. 49 Abs. 1a) erforderlich.

## DSGVO-Behördenweg parallel
- **Auskunftsersuchen Aufsicht Art. 58 Abs. 1 lit. a DSGVO**: Vorlagepflicht der DSFA, Auftragsverarbeitungsverträge, technisch-organisatorischen Maßnahmen.
- **Vorherige Konsultation Art. 36**: bei verbleibendem hohem Risiko trotz Schutzmaßnahmen; Reaktionsfrist 8 Wochen, verlängerbar 6 Wochen.
- **Bußgeldverfahren Art. 83**: parallele Zuständigkeit zu KI-VO bei personenbezogenen Daten.

## Gerichtsweg
- **Drittklage**: Betroffene können nach Art. 79 DSGVO klagen; nach KI-VO Art. 85 hat eine Person, die der Auffassung ist, dass ihre Rechte verletzt wurden, **Beschwerderecht bei der Marktüberwachungsbehörde**.
- **Klage gegen Untersagung**: Verwaltungsgerichtsweg gegen Behördenmaßnahmen; bei Bußgeld OWi-Verfahren.
- **Streit zwischen Anbieter und Betreiber**: Zivilrechtsweg, Vertragsrecht.

## Registerweg
- **EU AI Database** (Art. 71 / Anhang VIII KI-VO): Pflicht zur Eintragung für Anbieter Hochrisiko-KI vor Inverkehrbringen; Datenpunkte (Name, Trust-Mark, Konformitätsverfahren, Ergänzungen).
- **Betreiber-Eintrag**: öffentliche Stellen tragen sich nach Art. 49 Abs. 1a für eingesetzte Hochrisiko-KI ein.
- **Bevollmächtigte** (Art. 22): in der Datenbank verzeichnet.

## Vendor-spezifische Pflichtenkette
- **Vendor-Onboarding**: Self-Assessment Anbieter, Konformitätserklärung Anhang V, technische Doku Auszüge.
- **Laufende Überwachung**: jährlicher Vendor-Review, Aktualität Konformitätsdokumente, Vorfallhistorie.
- **Off-Boarding**: Datenlöschung beim Anbieter, Bestätigung der Löschung, ggf. Rückführung an Verantwortlichen.

## Trade-off
Eigene Konformitätsbewertung des Betreibers ist begrenzt, da der Anbieter die Last trägt. Sorgfältige Vendor-Auswahl mit dokumentierten Selbstauskünften und Verträgen ist regelmäßig der wirksamste Schutz; eigene erneute Bewertung ist nicht zwingend, wenn der Anbieter Anhang IV / Anhang V vollständig liefert.