Betreiber (Deployer) KI-VO
Definition nach Art. 3 Nr. 4 EU AI Act — wer KI-Systeme nutzt
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
Betreiber (Deployer) nach Art. 3 Nr. 4 EU AI Act ist eine natürliche oder juristische Person, Behörde oder andere Stelle, die ein KI-System unter eigener Verantwortung verwendet — außer im Rahmen einer privaten, nicht-beruflichen Tätigkeit. 90 % der KMU sind reine Betreiber.
Was ist Betreiber (Deployer) KI-VO?
Betreiber-Pflichten:
- Art. 4 AI Literacy: seit 02.02.2025 — Schulung des Personals (Pflicht)
- Art. 5 Verbote: sicherstellen, dass kein eingesetztes System verbotene Praktiken durchführt
- Art. 26 Hochrisiko-Betreiber-Pflichten ab 02.08.2026 (Vorschlag Digital Omnibus 19.11.2025: Verschiebung auf 02.12.2027 — Trilog läuft, nicht beschlossen): bestimmungsgemäße Nutzung, Eingabedaten-Relevanzprüfung, Logs aufbewahren, Beschäftigteninformation
- Art. 27 FRIA für bestimmte Betreiber (öffentl. Stellen, Kreditscoring): ab 02.08.2026
- Art. 50 Transparenz ab 02.08.2026: Watermarking, Chatbot-Hinweise, Deepfake-Disclosure
Praxisbeispiel
Praktische Use Cases als Betreiber:
- ChatGPT für Marketing-Texte → Betreiber, AI Literacy-Pflicht
- Microsoft Copilot in M365 → Betreiber + ggf. Hochrisiko-Anwendungsfälle
- HR-Recruiting-Algorithmus von Externen → Betreiber + Hochrisiko (Anhang III Nr. 4a) ab 02.08.2026 (Vorschlag DO 19.11.2025: Verschiebung auf 12/2027 — nicht beschlossen)
- Gemini für Code-Generation → Betreiber, AI Literacy
Häufig gestellte Fragen
Werde ich zum Anbieter, wenn ich Copilot tief integriere?
Nicht zwingend. Solange Microsoft als Anbieter erkennbar bleibt und keine substantial modification erfolgt: bleiben Sie Betreiber.
Brauche ich eine Acceptable Use Policy?
Nicht zwingend nach KI-VO. ABER: Best Practice + DSGVO-Schnittstelle (Art. 5) + AGG-Schnittstelle (§ 22 AGG-Beweislastumkehr für KI-Recruiting). Compliance-Kit liefert Vorlage.
Was passiert bei Hochrisiko-Betreiber ab 12/2027?
Pflichten: bestimmungsgemäße Nutzung, Logs aufbewahren (Art. 26), Eingabedaten-Relevanzprüfung, ggf. FRIA (Art. 27), Information Beschäftigte/Betroffene.