Software- & SaaS-Entwickler: AI Act, Data Act & DSGVO-Pflichten
Software- & SaaS-Entwickler sind nach dem AI Act meist KI-System-Anbieter (Art. 3 Nr. 3) oder Downstream-Anbieter (Art. 25). Die Pflichten hängen von der Risikoklassifizierung des jeweiligen Systems ab: minimal (keine AI-Act-Pflicht, DSGVO/Vertragsrecht), begrenzt (Art. 50 Transparenz bei KI-Interaktion, KI-generierten Inhalten), hochriskant (volles Art. 8–15-Pflichtenbündel bei Anwendbarkeit — z. B. Recruiting, Bonität, Justiz, Gesundheit). Beim Einbetten eines GPAI-Modells (z. B. ChatGPT-API) wird der SaaS-Entwickler zum Downstream-Anbieter des Gesamtsystems mit vollen Pflichten. Die Risikoklassifizierung jedes Produkts/Features ist der erste Schritt. Überlagert: DSGVO (Verantwortlicher/Auftragsverarbeiter), DSA bei Plattform-Betrieb, GPSR (allgemeine Produktsicherheit), CRA (Cybersecurity für Software).
Steve Baka
KI-Act-Anwendbarkeit
Software- & SaaS-Entwickler sind meist KI-System-Anbieter — wenn sie KI entwickeln/einbetten und unter eigenem Namen vermarkten. Pflichten nach Risikoklasse: minimal (keine AI-Act-Pflicht — typische Anwendungsfälle: interne Tools, Customer-Support, Produkt-Empfehlung ohne grundrechtserhebliche Entscheidungen), begrenzt (Art. 50 Transparenz bei KI-Interaktion, KI-generierten Inhalten, Emotionserkennung), hochriskant (Art. 8–15 bei Anwendbarkeit — Recruiting-/HR-KI, Bonitäts-/Kredit-KI, Justiz-/Strafverfolgungs-KI, Bildungs-/PrüfungskI, Gesundheits-/Medizin-KI, kritische Infrastruktur-KI). Beim Einbetten eines GPAI-Modells (OpenAI/Anthropic/Google API) wird der SaaS-Entwickler zum Downstream-Anbieter des Gesamtsystems (Art. 25) — volle Anbieter-Pflichten. Eine genaue Klassifizierung jedes Produkts/Features ist entscheidend.
Praxis: Produktklassifizierung und DSGVO
Praktisch: (1) Produktinventar — jedes KI-Feature klassifizieren (minimal/begrenzt/hochriskant), Zweck dokumentieren; (2) bei GPAI-Einbettung — Vertrag mit GPAI-Anbieter (Informationsfluss, Haftung, Updates, Incident-Sharing), eigene Risikobewertung, Pflichten als Downstream-Anbieter; (3) bei Hochrisiko — volles Art. 8–15-Pflichtenbündel, notifizierte Stelle bei biometrischer KI; (4) bei begrenzt — Transparenz-Mechanismen (KI-Banner, Wasserzeichen); (5) DSGVO — Verantwortlicher/Auftragsverarbeiter, Rechtsgrundlage, DSFA bei hochriskanter Verarbeitung; (6) DSA bei Plattform-Betrieb (große Plattformen: Risikobewertung Art. 34/35); (7) GPSR (allgemeine Produktsicherheit für Software als Produkt), CRA (Cybersecurity für Software). Eine durchdachte Produkt-/Feature-Klassifizierung und saubere Downstream-Verträge schützen vor Fehlklassifizierung und Haftungsrisiken. Agiles Compliance-Management: bei jedem Feature-Release AI-Act-/DSGVO-Prüfung.
Grenzen: Downstream-Verantwortung und GPAI-Vertrag
Die zentrale Grenze für SaaS-Entwickler mit GPAI-Einbettung: sie werden zum Downstream-Anbieter des Gesamtsystems (Art. 25) und tragen volle Anbieter-Pflichten — nicht nur API-Aufruf, sondern Risikobewertung, Hochrisiko-Pflichten bei Anwendbarkeit, eigene Konformitätsbewertung. Der Vertrag mit dem GPAI-Anbieter (OpenAI/Anthropic/Google) ist entscheidend: er muss Informationsfluss (Art. 53 Abs. 1 lit. b), Haftungsbegrenzung, Update-Mechanismen, Incident-Sharing und Beendigung regeln. Ohne diese Vertragsgestaltung kann der Downstream-Anbieter die Pflichten nicht erfüllen. Häufige Falle: ChatGPT-Wrapper, die eine hochrisiko-Anwendung (z. B. Recruiting-KI, Bonitäts-KI) auf einem GPAI-Modell aufbauen, ohne die Art. 8–15-Pflichten zu erfüllen. Eine sorgfältige Produktklassifizierung, saubere Downstream-Verträge und agiles Compliance-Management bei jedem Release schützen vor Fehlklassifizierung, Haftungs- und Sanktionsrisiken.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.
Digital Services Act (VO (EU) 2022/2065) — EUR-LexAmtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.
Data Governance Act (VO (EU) 2022/868) — EUR-LexAmtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.
Vorschlag AI Liability Directive (COM(2022)496)Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
OECD AI PrinciplesOECD. Internationaler Referenzrahmen für vertrauenswürdige KI.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
ISO/IEC 42001 — AI Management SystemISO/IEC. Internationaler Standard für KI-Managementsysteme (Compliance-relevant).
Häufige Fragen
Welche AI-Act-Pflichten hat ein SaaS-Entwickler?
Nach Risikoklassifizierung: minimal (keine), begrenzt (Art. 50 Transparenz), hochriskant (Art. 8–15). Beim Einbetten eines GPAI-Modells: Downstream-Anbieter mit vollen Pflichten (Art. 25).
Was gilt bei ChatGPT-API-Einbettung?
SaaS-Entwickler wird Downstream-Anbieter des Gesamtsystems (Art. 25). Vertrag mit OpenAI (Informationsfluss, Haftung, Updates, Incident-Sharing), eigene Risikobewertung, Pflichten je nach Endanwendung.
Was überlagert den AI Act?
DSGVO (Verantwortlicher/Auftragsverarbeiter, DSFA), DSA bei Plattform-Betrieb, GPSR (Software als Produkt), CRA (Cybersecurity). Agiles Compliance-Management bei jedem Feature-Release.
KI-Compliance für Software- & SaaS-Entwickler?
Wenn du im Sektor Software- & SaaS-Entwickler KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.