--- name: betreiber-deployer-pflichten-art-26 description: "Unternehmen oder Behörde setzt ein Hochrisiko-KI-System, GPAI-System oder allgemeinen Chatbot ein und fragt nach Betreiberpflichten. Art. 26 KI-VO: bestimmungsgemaesse Verwendung, menschliche Aufsicht, Eingabedaten, Protokolle, Vorfallmeldungen, Informationspflichten; Art. 27 Grundrechte-Folgenab..." --- # Betreiber-Pflichten (Deployer) — Art. 26 und 27 KI-VO ## Pflicht 1 — Bestimmungsgemäße Verwendung Betreiber müssen Hochrisiko-KI-Systeme nach der Gebrauchsanweisung des Anbieters verwenden. Prüffragen: - Liegt die Gebrauchsanweisung vor und ist sie intern umgesetzt? - Ist der interne Use Case vom Anbieterzweck gedeckt? - Werden Prompt-Vorlagen, Workflows, Rollenrechte oder Schnittstellen so gestaltet, dass keine unzulässige Zweckänderung entsteht? - Gibt es ein Freigabeverfahren für neue KI-Use-Cases? ## Sonderthema — Mitarbeitende nutzen ein allgemeines KI-Tool hochriskant Wenn Mitarbeitende ein allgemeines Tool entgegen der Zweckbestimmung für Personal, Kredit, Bildung, Verwaltung, Justiz oder andere Anhang-III-Kontexte einsetzen, prüfe die Organisationsverantwortung: | Befund | Einordnung | |---|---| | Klare Richtlinie, Schulung, Rollenrechte, Logging, Sperren; isolierter Verstoß | Compliance-/Incident-Thema; Nutzung beenden, dokumentieren, nachschulen, ggf. Daten/Output entfernen | | Fachabteilung nutzt es wiederholt und Führung weiß davon | tatsächlicher Betreiberzweck kann kippen; `hochrisiko-art-6-abs-2-anhang-iii` neu prüfen | | Tool ist technisch offen und Hochrisiko-Nutzung naheliegend | vorhersehbarer Fehlgebrauch; Kontrollen, Warnungen, Freigaben und Re-Evaluation erforderlich | | Betreiber ändert Zweck oder System wesentlich | `anbieter-werden-art-25` prüfen; Anbieterpflichten können ausgelöst werden | Mindestmaßnahmen: - KI-Richtlinie mit erlaubten und verbotenen Use Cases - KI-Kompetenz/Schulung nach Art. 4 - Rollen- und Zugriffskonzept für sensible Bereiche - Prompt- und Datenklassifizierungsregeln - Logging/Audit für sensible Workflows - Freigabeprozess für neue KI-Use-Cases - Re-Evaluation bei Zweckänderung, Modellwechsel, neuer Integration oder auffälliger Nutzung ## Pflicht 2 — Menschliche Aufsicht Betreiber müssen die vom Anbieter vorgesehenen Aufsichtsmaßnahmen tatsächlich umsetzen. Prüffragen: - Sind Aufsichtspersonen benannt und geschult? - Können sie Output verstehen, kritisch prüfen, übersteuern oder stoppen? - Ist Aufsicht mehr als nur formale Abzeichnung? - Gibt es Eskalationsregeln bei Fehlern, Bias, Halluzinationen, Drift oder ungewöhnlichen Outputs? ## Pflicht 3 — Eingabedaten und Nutzungskontext Wenn Betreiber Eingabedaten kontrollieren, müssen diese relevant und repräsentativ für den vorgesehenen Zweck sein. Prüffragen: - Welche Eingabedaten werden vom Betreiber bereitgestellt? - Sind personenbezogene, vertrauliche oder besondere Daten betroffen? - Sind die Daten zweckgeeignet und aktuell? - Wird verhindert, dass Mitarbeitende sensible Personal-, Kredit-, Gesundheits- oder Justizdaten in allgemeine Tools eingeben? ## Pflicht 4 — Protokolle und Nachvollziehbarkeit Betreiber müssen Protokolle nach Maßgabe der KI-VO und anderer Rechtsvorschriften aufbewahren. Prüffragen: - Welche Logs erzeugt das System? - Sind Prompt, Eingabe, Output, Nutzer, Zeitpunkt, Version und Entscheidungspfad nachvollziehbar? - Wie werden Datenschutz, Geheimnisschutz und Löschpflichten berücksichtigt? - Können Off-label-Nutzungen erkannt werden? ## Pflicht 5 — Überwachung, Meldung und Unterbrechung Betreiber müssen bei ernsthaften Risiken, Fehlfunktionen oder schwerwiegenden Vorfällen reagieren und ggf. Anbieter sowie Behörden informieren. Prüffragen: - Gibt es ein Verfahren für Incidents und Near Misses? - Wer entscheidet über Pausierung des Systems? - Werden Outputs korrigiert, zurückgenommen oder betroffene Personen informiert? - Ist `marktueberwachung-meldung-vorfaelle-art-72-bis-79` einzuschalten? ## Pflicht 6 — Informationspflicht gegenüber Betroffenen Wenn ein Hochrisiko-KI-System für Entscheidungen gegenüber natürlichen Personen eingesetzt wird, ist transparent zu machen, dass KI beteiligt ist, soweit dies nicht ohnehin offensichtlich ist oder spezieller geregelt ist. Prüffragen: - Wer ist betroffen? - Welche Entscheidung oder Vorbereitung wird beeinflusst? - Welche Information erhält die Person? - Gibt es Rechte auf Auskunft, menschliche Überprüfung oder Beschwerde nach KI-VO, DSGVO oder Fachrecht? ## Grundrechte-Folgenabschätzung — Art. 27 KI-VO Prüfe Art. 27 insbesondere bei: - öffentlichen Stellen - privaten Betreibern, soweit sie Hochrisiko-KI für bestimmte wesentliche Dienste einsetzen - Konstellationen mit Beschäftigung, Bildung, Kredit, Versicherung, Sozialleistungen, Justiznähe oder sonstiger Machtasymmetrie Inhalt: - Beschreibung des Systems und Zwecks - betroffene Personen/Gruppen - Nutzungsfrequenz und Dauer - Risiken für Grundrechte - menschliche Aufsicht und Abhilfemaßnahmen - Daten- und Governance-Konzept - Verbindung zur DSGVO-Datenschutz-Folgenabschätzung ## Output-Template — Betreiber-Compliance-Check ```text BETREIBER-COMPLIANCE-CHECK ART. 26/27 KI-VO Datum: [DATUM] System: [NAME] Betreiber: [NAME] Risikoklasse: [HOCHRISIKO / UNKLAR / ALLGEMEINES GPAI-SYSTEM] 1. Zweck und Gebrauchsanweisung [Anbieterzweck, interner Zweck, Abweichungen] 2. Off-label-/Fehlgebrauchsrisiko [isolierter Verstoß / vorhersehbarer Fehlgebrauch / geduldete Hochrisiko-Nutzung / Zweckänderung] [Maßnahmen: Richtlinie, Schulung, Sperren, Logging, Freigabe] 3. Art. 26-Pflichten - bestimmungsgemäße Verwendung: [...] - menschliche Aufsicht: [...] - Eingabedaten: [...] - Protokolle: [...] - Überwachung/Vorfälle: [...] - Information Betroffener: [...] 4. Art. 27 Grundrechte-Folgenabschätzung [erforderlich / nicht erforderlich / offen] [Begründung] 5. Anbieterwerden Art. 25 [Risiko ja/nein/offen] 6. Nächste Skills [hochrisiko-art-6-abs-2-anhang-iii / anbieter-werden-art-25 / output-betreiber-checkliste-und-folgenabschaetzung / marktueberwachung-meldung-vorfaelle-art-72-bis-79] ``` ## Quellen- und Aktualitätshinweis Stand: 05/2026. Maßgeblich sind Art. 3 Nr. 4, Nr. 12, Nr. 13 und Nr. 23, Art. 4, Art. 25, Art. 26 und Art. 27 KI-VO. Keine Rechtsberatung.