Betreiber: Definition und rechtliche Bedeutung (AI Act / Data Act)
Betreiber ist nach Art. 3 Nr. 4 AI Act jede Stelle, die ein KI-System unter ihrer Zuständigkeit einsetzt — außer es wird im Rahmen einer persönlichen nichtberuflichen Tätigkeit verwendet. Betreiber tragen nicht die Konformitäts-Pflichten des Anbieters, wohl aber die Nutzungs-Pflichten aus Art. 26: sie verwenden das System gemäß den Anweisungen (Art. 26 Abs. 2), stellen menschliche Aufsicht sicher, überwachen den Betrieb und werten Erfahrungen aus, und melden schwere Vorfälle (Art. 73). Bei bestimmungswidrigem Einsatz, wesentlicher Modifikation oder wenn Pflichten ignoriert werden, können sie zu Anbietern werden. Besonders wichtig: öffentliche Stellen und Arbeitgeber unterliegen zusätzlichen Betreiber-Pflichten (Art. 26 Abs. 7–8).
Steve Baka
Wer ist Betreiber?
Art. 3 Nr. 4 definiert den Betreiber als jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System unter ihrer Zuständigkeit einsetzt, außer wenn das System im Rahmen einer persönlichen nichtberuflichen Tätigkeit verwendet wird. Betreiber ist also der Anwender in eigener Verantwortung — ein Unternehmen, das ein System im Betrieb nutzt, eine Behörde, die es einsetzt, ein Krankenhaus, das eine Diagnose-KI verwendet. Die Abgrenzung zum Anbieter ist zentral: Wer das System nur nutzt, ohne es in Verkehr zu bringen oder maßgeblich zu verändern, bleibt Betreiber.
Die Pflichten aus Art. 26
Art. 26 Abs. 2 verpflichtet Betreiber hochriskanter KI zur Verwendung gemäß den Anweisungen des Anbieters, zur Sicherstellung menschlicher Aufsicht (Art. 14, mit Schulung und Befugnissen), zum Monitoring der Eingaben/Ausgaben in Bezug auf schwere Vorfälle und zur Meldung solcher Vorfälle (Art. 73). Bei nicht mehr bestimmungsgemäß nutzbaren Systemen oder wenn Anweisungen ignoriert werden, ruht die Inbetriebnahme. Art. 26 Abs. 7–8 enthalten verschärfte Pflichten für öffentliche Stellen (vor Inbetriebnahme: Grundrechte-Folgenabschätzung, Notifizierung des Marktaufsichtsrichters) und für Arbeitgeber (Informationspflicht gegenüber Beschäftigtenvertretungen und Beschäftigten).
Wann der Betreiber zum Anbieter wird
Die Grenze ist prozessentscheidend: Nimmt ein Betreiber eine wesentliche Modifikation vor (Umtrainieren, neuer Hochrisiko-Einsatz, signifikante Änderung), wird er zum Anbieter (Art. 3 Nr. 23, Art. 25 Abs. 1 lit. b) und übernimmt dessen Pflichten. Ebenso gilt: Wer ein System unter eigenem Namen/Markenzeichen in Verkehr bringt, ist Anbieter, nicht Betreiber. Die saubere Dokumentation dieser Grenze (was wurde geändert, was war nur Nutzung?) ist einer der wichtigsten Compliance-Prüfpunkte.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Was muss ein Betreiber hochriskanter KI tun?
Die Nutzungs-Pflichten aus Art. 26: Verwendung gemäß Anweisungen, menschliche Aufsicht, Monitoring und Meldung schwerer Vorfälle (Art. 73). Öffentliche Stellen und Arbeitgeber haben zusätzliche Pflichten (Art. 26 Abs. 7–8).
Wann wird ein Betreiber zum Anbieter?
Bei einer wesentlichen Modifikation (z. B. Umtrainieren, neuer Hochrisiko-Einsatz) oder wenn er das System unter eigenem Namen in Verkehr bringt (Art. 25 Abs. 1 lit. b).
Müssen Betreiber konformitätsbewerten?
Nein, das obliegt dem Anbieter. Betreiber setzen das System gemäß dessen Anweisungen ein und erfüllen die Art. 26-Nutzungspflichten.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.