industryArticlemaschinenlesbar

Software- & SaaS-Entwickler: AI Act, Data Act & DSGVO-Pflichten

MenschMarkdown öffnen

Software- & SaaS-Entwickler sind nach dem AI Act meist KI-System-Anbieter (Art. 3 Nr. 3) oder Downstream-Anbieter (Art. 25). Die Pflichten hängen von der Risikoklassifizierung des jeweiligen Systems ab: minimal (keine AI-Act-Pflicht, DSGVO/Vertragsrecht), begrenzt (Art. 50 Transparenz bei KI-Interaktion, KI-generierten Inhalten), hochriskant (volles Art. 8–15-Pflichtenbündel bei Anwendbarkeit — z. B. Recruiting, Bonität, Justiz, Gesundheit). Beim Einbetten eines GPAI-Modells (z. B. ChatGPT-API) wird der SaaS-Entwickler zum Downstream-Anbieter des Gesamtsystems mit vollen Pflichten. Die Risikoklassifizierung jedes Produkts/Features ist der erste Schritt. Überlagert: DSGVO (Verantwortlicher/Auftragsverarbeiter), DSA bei Plattform-Betrieb, GPSR (allgemeine Produktsicherheit), CRA (Cybersecurity für Software).

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
anwendbarkeit

KI-Act-Anwendbarkeit

Software- & SaaS-Entwickler sind meist KI-System-Anbieter — wenn sie KI entwickeln/einbetten und unter eigenem Namen vermarkten. Pflichten nach Risikoklasse: minimal (keine AI-Act-Pflicht — typische Anwendungsfälle: interne Tools, Customer-Support, Produkt-Empfehlung ohne grundrechtserhebliche Entscheidungen), begrenzt (Art. 50 Transparenz bei KI-Interaktion, KI-generierten Inhalten, Emotionserkennung), hochriskant (Art. 8–15 bei Anwendbarkeit — Recruiting-/HR-KI, Bonitäts-/Kredit-KI, Justiz-/Strafverfolgungs-KI, Bildungs-/PrüfungskI, Gesundheits-/Medizin-KI, kritische Infrastruktur-KI). Beim Einbetten eines GPAI-Modells (OpenAI/Anthropic/Google API) wird der SaaS-Entwickler zum Downstream-Anbieter des Gesamtsystems (Art. 25) — volle Anbieter-Pflichten. Eine genaue Klassifizierung jedes Produkts/Features ist entscheidend.

praxis

Praxis: Produktklassifizierung und DSGVO

Praktisch: (1) Produktinventar — jedes KI-Feature klassifizieren (minimal/begrenzt/hochriskant), Zweck dokumentieren; (2) bei GPAI-Einbettung — Vertrag mit GPAI-Anbieter (Informationsfluss, Haftung, Updates, Incident-Sharing), eigene Risikobewertung, Pflichten als Downstream-Anbieter; (3) bei Hochrisiko — volles Art. 8–15-Pflichtenbündel, notifizierte Stelle bei biometrischer KI; (4) bei begrenzt — Transparenz-Mechanismen (KI-Banner, Wasserzeichen); (5) DSGVO — Verantwortlicher/Auftragsverarbeiter, Rechtsgrundlage, DSFA bei hochriskanter Verarbeitung; (6) DSA bei Plattform-Betrieb (große Plattformen: Risikobewertung Art. 34/35); (7) GPSR (allgemeine Produktsicherheit für Software als Produkt), CRA (Cybersecurity für Software). Eine durchdachte Produkt-/Feature-Klassifizierung und saubere Downstream-Verträge schützen vor Fehlklassifizierung und Haftungsrisiken. Agiles Compliance-Management: bei jedem Feature-Release AI-Act-/DSGVO-Prüfung.

grenzen downstream

Grenzen: Downstream-Verantwortung und GPAI-Vertrag

Die zentrale Grenze für SaaS-Entwickler mit GPAI-Einbettung: sie werden zum Downstream-Anbieter des Gesamtsystems (Art. 25) und tragen volle Anbieter-Pflichten — nicht nur API-Aufruf, sondern Risikobewertung, Hochrisiko-Pflichten bei Anwendbarkeit, eigene Konformitätsbewertung. Der Vertrag mit dem GPAI-Anbieter (OpenAI/Anthropic/Google) ist entscheidend: er muss Informationsfluss (Art. 53 Abs. 1 lit. b), Haftungsbegrenzung, Update-Mechanismen, Incident-Sharing und Beendigung regeln. Ohne diese Vertragsgestaltung kann der Downstream-Anbieter die Pflichten nicht erfüllen. Häufige Falle: ChatGPT-Wrapper, die eine hochrisiko-Anwendung (z. B. Recruiting-KI, Bonitäts-KI) auf einem GPAI-Modell aufbauen, ohne die Art. 8–15-Pflichten zu erfüllen. Eine sorgfältige Produktklassifizierung, saubere Downstream-Verträge und agiles Compliance-Management bei jedem Release schützen vor Fehlklassifizierung, Haftungs- und Sanktionsrisiken.

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.

European Data Protection Board (EDPB)

EDPB. EU-Datenschutzgremium mit KI-Leitlinien.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.

Digital Services Act (VO (EU) 2022/2065) — EUR-Lex

Amtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.

Data Governance Act (VO (EU) 2022/868) — EUR-Lex

Amtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.

Vorschlag AI Liability Directive (COM(2022)496)

Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland.

OECD AI Principles

OECD. Internationaler Referenzrahmen für vertrauenswürdige KI.

Council of Europe Framework Convention on AI

Council of Europe. Erstes völkerrechtliches Abkommen zu KI.

ISO/IEC 42001 — AI Management System

ISO/IEC. Internationaler Standard für KI-Managementsysteme (Compliance-relevant).

FAQ

Häufige Fragen

Welche AI-Act-Pflichten hat ein SaaS-Entwickler?

Nach Risikoklassifizierung: minimal (keine), begrenzt (Art. 50 Transparenz), hochriskant (Art. 8–15). Beim Einbetten eines GPAI-Modells: Downstream-Anbieter mit vollen Pflichten (Art. 25).

Was gilt bei ChatGPT-API-Einbettung?

SaaS-Entwickler wird Downstream-Anbieter des Gesamtsystems (Art. 25). Vertrag mit OpenAI (Informationsfluss, Haftung, Updates, Incident-Sharing), eigene Risikobewertung, Pflichten je nach Endanwendung.

Was überlagert den AI Act?

DSGVO (Verantwortlicher/Auftragsverarbeiter, DSFA), DSA bei Plattform-Betrieb, GPSR (Software als Produkt), CRA (Cybersecurity). Agiles Compliance-Management bei jedem Feature-Release.

Beratung für deinen Sektor

KI-Compliance für Software- & SaaS-Entwickler?

Wenn du im Sektor Software- & SaaS-Entwickler KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.

Jetzt beraten lassen
Related