Anbieter Betreiber KI-VO

Anbieter oder Betreiber einer KI?

Durch die rasante Entwicklung der Künstlichen Intelligenz (KI) haben sich auch zunehmend rechtliche Fragen gestellt. Daher hat die Europäische Union mit der KI-VO einen rechtlichen Rahmen geschaffen, der den rechtskonformen Umgang mit KI-Produkten regelt. Die Verordnung bringt für Unternehmen neue Verpflichtungen mit sich. Jedoch gelten unterschiedliche Regelungen für Anbieter und Betreiber einer KI. Daher muss zunächst geklärt werden, ob Sie als Unternehmen Anbieter oder Betreiber sind.

Anbieter oder Betreiber?

Der KI-VO sieht unterschiedliche Pflichten für Betreiber und Anbieter vor. Daher ist es von zentraler Bedeutung zu wissen, welche Rolle Sie als Unternehmen einnehmen, um KI-Systeme rechtskonform zu nutzen.

Wer ist Betreiber?

Betreiber ist nach Artikel 3 Nr. 4 KI-VO „eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet“.

Ein Unternehmen gilt somit als Betreiber, wenn Sie KI nur intern nutzen, ohne diese weiterzuentwickeln oder als eigenen Produkt zu vermarkten. Ein Beispiel wären hier Chatbots auf der Unternehmenswebseite.

Betreiber haben folgende Verpflichtungen:

  • Sicherstellung der rechtskonformen Nutzung
  • Nachweis über den gesetzeskonformen Einsatz
  • Meldung von sicherheitsrelevanten Problemen

Wer ist Anbieter?

Anbieter ist nach Artikel 3 Nr. 3 KI-VO „eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder das KI-System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich oder unentgeltlich“

Sie müssen also:

  • Ein KI-System oder KI-Modell entwickeln oder entwickeln lassen
  • und das KI-System in Verkehr bringen oder selbst in Betrieb nehmen

Stell sich die Frage, ob man als Unternehmen auch als Anbieter zählt, wenn ein bestehendes KI-System für das eigene Unternehmen angepasst wird. Es wird unterschieden zwischen Anpassungen, die nur die individuelle Verwendung eines KI-Systems i.S.d. der Betreiberdefinition dienen und Anpassungen, die zu einer Entwicklung bzw. Weiterentwicklung führen – die Anpassung erfolgt als Kernkomponente und führt dazu, dass das Unternehmen als Anbieter eingestuft wird.

Eine klare Definition für die Abgrenzung zwischen Anbieter und Betreiber gibt es noch nicht. Jedoch kann die Legaldefinition in Art.3 Nr. 23 KI-VO für „wesentliche Veränderungen“, die sich auf Hochrisiko-KI-Modelle bezieht, zur Hilfe genommen werden. Demnach kann eine „wesentliche Veränderung“ nur eine Veränderung sein, die in der ursprünglichen Konformitätsbewertung nicht vorgesehen war. Eine Veränderung des KI-Systems liegt also vor, wenn sich das System im Vergleich zum ursprünglich geprüften Zustand ändert. Das betrifft insbesondere Änderungen am Algorithmus, aber auch Anpassungen an der Benutzerschnittstelle oder der Zweckbestimmung. Alle Änderungen, die Informationen aus der technischen Dokumentation, Anhang IV der KI-VO, betreffen, gelten als relevante Veränderungen.

Ausbildung zum DEKRA zertifizierten KI-Beauftragten

Unser DEKRA KI-Beauftragten Seminar vermittelt Ihnen das Wissen zwischen einem Anbieter, Betreiber und Quasianbieter differenzieren zu können.

Mehr Infos zum DEKRA-Seminar für KI-Beauftragte finden Sie hier.

Gesellschaft für Datenschutz DEKRA Kooperationspartner Logo

Sonderfälle Hochrisiko-KI

Für Hochrisiko-KI-Systeme gelten nach Art. 25 KI-VO besondere Regeln zur Unterscheidung zwischen Anbieter und Betreiber. Danach wird auch derjenige als Anbieter eingestuft, der:

  • eine wesentliche Veränderung eines bereits in Verkehr gebrachten oder in Betrieb genommenen Hochrisiko-KI-Systems vornimmt,
  • oder wer die Zweckbestimmung eines bereits in Verkehr gebrachten oder in Betrieb genommenen Nicht-Hochrisiko-KI Systems so verändert, dass das betreffende KI System zu einem Hochrisiko-KI System wird,
  • oder ein bereits in Verkehr gebrachtes oder in Betrieb genommenes Hochrisiko-KI System mit seinem Namen oder einer seiner Handelsmarke versieht.

Pflichten für Anbieter nach Risikoklassifizierung

Welche Pflichten Anbieter haben, ist abhängig von den Risiken, die das KI-System birgt. Die KI-VO unterscheidet in:

  • Unzulässige KI-Systeme: Systeme, die Grundrechte verletzen, wie z. B. manipulative Technologien (Art. 5 KI-VO).
  • Hochriskante KI-Systeme: Anwendungen in sicherheitskritischen Bereichen wie z.B. KI-Tools für die Auswahl geeigneter Kandidaten in Bewerbungsprozessen oder Kreditwürdigkeit (Art. 6 KI-VO).
  • Begrenzte Risiken: Systeme mit geringen Auswirkungen, z. B. Chatbots.
  • Minimale Risiken: Technologien, die keinen wesentlichen Risiken unterliegen, wie z.B. Spamfilter.

Anbieter von KI-System mit begrenzten Risiken haben folgende Pflichten zu erfüllen:

  • Transparenz – und Kennzeichnungspflichten gegenüber Nutzern, Kunden und Arbeitnehmern z.B. in den Allgemeinen Geschäftsbedingungen
  • Ethische Grundsätze: Die KI-Systeme dürfen nicht täuschen oder manipulieren

Anbieter von KI-System mit hohen Risiken haben folgende Pflichten zu erfüllen:

  • Einrichtung eines Risikomanagementsystem: Unternehmen müssen potenzielle Gefahren analysieren und Maßnahmen zur Vermeidung oder zu Minimierung treffen.
  • Die Durchführung von einer Konformitätsbewertung vor dem Inverkehrbringen oder in Betrieb nehmen eines KI-Systems, (Art. 43 KI-VO).
  • Pflege der Daten und Sicherstellung, dass die Datensätze vollständig und möglichst fehlerfrei sind.
  • Beaufsichtigung des Systems durch geschulte Mitarbeiter
  • Dokumentationspflicht von relevanten Informationen – Aufbewahrungsfrist 10 Jahre.
  • Für Anbieter besteht gemäß Art. 49 KI-VO eine Registierungspflicht bei der in Art. 71 KI-VO genannten EU-Datenbank für Hochrisiko-KI-Systeme.
  • Transparenzpflichten gegenüber Nutzern, Kunden und Arbeitnehmern: Aufklärung über Einsatz von KI-Systemen, Angaben über Funktionsweise, Grenzen und Risiken

Fazit Anbieter und Betreiber der KI-VO

Eine korrekte Einordnung als Anbieter oder Betreiber ist entscheidend für Unternehmen, da sich daraus unterschiedliche Pflichten nach der KI-Verordnung (KI-VO) ergeben. Anbieter müssen insbesondere eine Konformitätsbewertung durchführen, Dokumentationspflichten erfüllen und Hochrisiko-KI-Systeme registrieren. Betreiber hingegen müssen die rechtskonforme Nutzung sicherstellen und sicherheitsrelevante Vorfälle melden.

Besonders bei Anpassungen von KI-Systemen kann ein Betreiber schnell zum Anbieter werden. Für Hochrisiko-KI-Systeme gelten zudem strengere Regeln und zusätzliche Pflichten wie eine Grundrechte-Folgenabschätzung. Da Verstöße Sanktionen nach sich ziehen können, ist eine frühzeitige Klärung der eigenen Rolle und die Einhaltung der Compliance-Anforderungen dringend empfohlen.