Betreiber
Eine Organisation, die ein KI-System unter ihrer Autorität nutzt, ausgenommen rein persönliche, nicht-professionelle Nutzung.
Begriffserklärung
Ein Betreiber im Sinne des EU AI Act ist jede natürliche oder juristische Person, Behörde, Agentur oder sonstige Stelle, die ein KI-System unter ihrer Autorität nutzt, ausgenommen rein persönliche, nicht-professionelle Nutzung. Diese Definition ist breiter, als vielen bewusst ist. Wer in Geschäftsprozessen ein KI-Tool eines Drittanbieters einsetzt, ist sehr wahrscheinlich Betreiber mit spezifischen rechtlichen Pflichten, auch wenn er das System nicht gebaut hat.
Der EU AI Act unterscheidet Betreiberpflichten klar von Anbieterpflichten (Anbieter entwickeln und vermarkten KI-Systeme). Betreiberpflichten sind zwar weniger umfangreich, aber keineswegs trivial. Artikel 26 definiert Betreiberpflichten, darunter: Maßnahmen zur menschlichen Aufsicht umsetzen, Systembetrieb überwachen, Logs vorhalten, für bestimmte Use Cases Fundamental Rights Impact Assessments durchführen und Betroffene über KI-Nutzung informieren. Viele Organisationen fokussieren ausschließlich Anbieterpflichten und übersehen ihre Betreiberrolle. Eine Bank, die ein Drittanbieter-Tool fürs Kreditscoring nutzt, ist Betreiber. Ein Krankenhaus mit KI-Diagnoseassistenz ist Betreiber. Ein HR-Team mit KI-Vorselektion für Bewerbungen ist Betreiber. Alle haben Compliance-Pflichten, unabhängig davon, ob sie die KI entwickelt haben.
Artikel 26 verlangt von Betreibern von Hochrisiko-KI u. a.: das System gemäß Gebrauchsanweisung zu nutzen, menschliche Aufsicht durch kompetente und befugte Personen sicherzustellen, den Betrieb zu überwachen und den Anbieter über schwerwiegende Vorfälle zu informieren, automatisch erzeugte Logs mindestens sechs Monate aufzubewahren, in bestimmten Kontexten vor Einsatz eine Fundamental Rights Impact Assessment durchzuführen und natürliche Personen darüber zu informieren, dass sie von Entscheidungen eines Hochrisiko-KI-Systems betroffen sind.
Wichtig: Ein Betreiber wird zum Anbieter, wenn er seinen Namen oder seine Marke auf ein Hochrisiko-KI-System setzt, eine wesentliche Änderung vornimmt oder den vorgesehenen Zweck verändert. Organisationen, die Drittanbieter-KI anpassen oder feinjustieren, sollten sorgfältig prüfen, ob diese Änderungen die Schwelle zum Anbieterstatus überschreiten.
Verwandte Begriffe
Anbieter
Eine Stelle, die ein KI-System entwickelt (oder entwickeln lässt) und es unter eigenem Namen in Verkehr bringt oder in Betrieb nimmt.
Hochrisiko-KI-System
Ein KI-System, das aufgrund potenzieller Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte im EU AI Act strengen Anforderungen unterliegt.
Menschliche Aufsicht
Mechanismen, die sicherstellen, dass Menschen KI-Systeme überwachen, eingreifen und sie bei Bedarf außer Kraft setzen können.