Der EU AI Act (Verordnung 2024/1689) fuehrt Pflichten nicht nur fuer Unternehmen ein, die KI-Systeme entwickeln, sondern fuer jede Organisation, die sie nutzt. Die Verordnung nennt diese Organisationen "Deployer" — und wenn Ihr Unternehmen KI-gesteuerte Tools in seinem Betrieb einsetzt, sind Sie einer. Dieser Artikel erklaert die spezifischen Pflichten, die Deployer unter Art. 26 und Art. 27 haben, den Unterschied zwischen einer DPIA und einer Grundrechte-Folgenabschaetzung (FRIA), und die praktischen Schritte, die Sie vor dem 2. August 2026 unternehmen muessen.

Wer ist ein Deployer?

Art. 3(4) definiert einen Deployer als jede natuerliche oder juristische Person, die ein KI-System unter eigener Verantwortung nutzt. Sie haben die KI nicht gebaut — aber Sie haben entschieden, sie in Ihrer Organisation einzusetzen, und das macht Sie verantwortlich fuer ihre Funktionsweise und ihre Auswirkungen auf Menschen.

Wenn Ihre Personalabteilung KI-gestuetzte Bewerberauswahl nutzt, Ihre Finanzabteilung KI-Kreditscoring einsetzt oder Ihr Kundendienst einen KI-Chatbot betreibt — ist Ihre Organisation Deployer fuer jedes dieser Systeme. Die Pflichten skalieren mit dem Risiko: Systeme mit minimalem Risiko erfordern wenig, aber Hochrisiko-Systeme verlangen strukturierte Dokumentation, menschliche Aufsicht und Folgenabschaetzungen.

Art. 26: Kernpflichten fuer Deployer

Artikel 26 legt fest, was jeder Deployer eines Hochrisiko-KI-Systems tun muss. Dies sind keine Empfehlungen — es sind rechtliche Anforderungen mit Durchsetzung.

Verwendung gemaess Anweisungen. Deployer muessen Hochrisiko-KI-Systeme konform mit den Nutzungsanweisungen des Anbieters betreiben. Das bedeutet, die Dokumentation zu lesen, den vorgesehenen Zweck und die Einschraenkungen des Systems zu verstehen und es nicht fuer Zwecke umzuwidmen, die der Anbieter nicht vorgesehen oder validiert hat.

Menschliche Aufsicht gewaehrleisten. Benennen Sie kompetente Personen zur Ueberwachung des KI-Systembetriebs. Diese Personen muessen die Befugnis, Kompetenz und Ressourcen haben, die Ausgabe des Systems zu uebergehen oder zu ueberstimmen. Dokumentieren Sie, wer diese Personen sind, welche Schulung sie erhalten haben und wie der Eskalationsprozess bei fehlerhaften oder voreingenommenen Ergebnissen aussieht.

Betrieb ueberwachen. Deployer muessen das KI-System waehrend des Betriebs auf Risiken ueberwachen. Wenn das System unerwartete Ausgaben produziert, Anzeichen von Voreingenommenheit zeigt oder ausserhalb seiner vorgesehenen Parameter arbeitet, muessen Sie handeln — und Sie muessen Prozesse zur Erkennung dieser Probleme haben.

Protokolle aufbewahren. Automatisch generierte Protokolle muessen fuer einen dem vorgesehenen Zweck des Hochrisiko-KI-Systems angemessenen Zeitraum und mindestens sechs Monate aufbewahrt werden. Diese Protokolle muessen den Aufsichtsbehoerden auf Anfrage zur Verfuegung stehen.

Eine DPIA durchfuehren. Bei der Bereitstellung eines Hochrisiko-KI-Systems, das personenbezogene Daten verarbeitet, muessen Deployer eine DPIA nach DSGVO Art. 35 durchfuehren. Das ist nicht neu — die DSGVO verlangte dies bereits — aber der AI Act macht es ausdruecklich und verpflichtend fuer alle Hochrisiko-KI-Deployer.

Betroffene informieren. Personen, die von Entscheidungen eines Hochrisiko-KI-Systems betroffen sind, muessen ueber den Einsatz des Systems informiert werden, sofern dies nicht bereits aus den Umstaenden ersichtlich ist.

Art. 27: Grundrechte-Folgenabschaetzung

Artikel 27 fuehrt eine neue Pflicht ein, die ueber die DSGVO hinausgeht: die Grundrechte-Folgenabschaetzung (FRIA). Dies gilt speziell fuer Deployer von Hochrisiko-KI-Systemen, die oeffentlich-rechtliche Einrichtungen sind, private Unternehmen die oeffentliche Dienste erbringen, oder Deployer die KI fuer bestimmte Zwecke einsetzen, darunter Kreditscoring, Risikobewertung bei Lebens- und Krankenversicherungen sowie Strafverfolgung.

Die FRIA verlangt von Deployern, die Auswirkungen des KI-Systems auf Grundrechte zu bewerten — einschliesslich des Rechts auf Nichtdiskriminierung, Privatsphaere, Meinungsfreiheit und Menschenwuerde — bevor das System in Betrieb genommen wird. Die Bewertung muss der zustaendigen Marktueberwachungsbehoerde uebermittelt werden.

FRIA vs DPIA: Was ist der Unterschied?

Diese beiden Bewertungen dienen unterschiedlichen Zwecken und keine ersetzt die andere.

Eine DPIA (DSGVO Art. 35) konzentriert sich auf Datenschutzrisiken. Sie fragt: Welche personenbezogenen Daten werden verarbeitet, welche Risiken bestehen fuer die Privatsphaere der Betroffenen, und welche Massnahmen mindern diese Risiken? Es geht um Datenminimierung, Speicherbegrenzung, Zugriffskontrollen und Datenschutzverletzungsszenarien.

Eine FRIA (AI Act Art. 27) konzentriert sich auf die breiteren Auswirkungen KI-gestuetzter Entscheidungen auf Grundrechte. Sie fragt: Koennte dieses KI-System gegen geschuetzte Gruppen diskriminieren? Koennte es den Zugang zu wesentlichen Diensten beeintraechtigen? Koennte es menschliche Autonomie oder Wuerde untergraben? Die FRIA betrachtet die Auswirkungen der Entscheidungsfindung, nicht nur die Datenverarbeitung.

In der Praxis erfordert ein Hochrisiko-KI-System, das personenbezogene Daten verarbeitet, beide Bewertungen. Sie teilen einige Gemeinsamkeiten — beide betrachten Risiken fuer Einzelpersonen — aber sie naehern sich der Frage aus unterschiedlichen Blickwinkeln. Ihre DPIA schuetzt Betroffene. Ihre FRIA schuetzt Grundrechtetraeger. Haeufig sind dies dieselben Personen, aber die Analyse unterscheidet sich.

Was Deployer dokumentieren muessen

Fuer jedes KI-System in Ihrer Organisation sollten Sie diese Fragen beantworten koennen:

  • Anbieter und Modell. Wer hat das KI-System gebaut? Welche Version verwenden Sie?
  • Vorgesehener Zweck. Wofuer verwenden Sie es? Liegt dies im vorgesehenen Verwendungszweck des Anbieters?
  • Risikoeinstufung. Ist es minimal, begrenzt oder hoch riskant unter dem AI Act? Dokumentieren Sie Ihre Begruendung.
  • Betroffene Personen. Wer ist von den Ausgaben oder Entscheidungen des Systems betroffen? Mitarbeiter, Kunden, Bewerber, die Oeffentlichkeit?
  • Menschliche Aufsicht. Wer prueft die KI-Ausgabe? Welche Befugnis haben sie zum Ueberstimmen? Welche Schulung haben sie erhalten?
  • Konformitaetsstatus. Hat der Anbieter eine Konformitaetsbewertung abgeschlossen? Gibt es eine CE-Kennzeichnung? Ist das System in der EU-KI-Datenbank registriert?
  • DPIA-Status. Wurde eine Datenschutz-Folgenabschaetzung fuer dieses System durchgefuehrt?
  • FRIA-Status. Falls erforderlich, wurde eine Grundrechte-Folgenabschaetzung durchgefuehrt und eingereicht?
  • Protokolle und Ueberwachung. Werden Protokolle aufbewahrt? Wer ueberwacht den Betrieb des Systems?

Praktische Schritte fuer Deployer

Schritt 1: Inventarisieren Sie Ihre KI-Systeme

Sie koennen nicht steuern, was Sie nicht erfasst haben. Listen Sie jeden KI-gesteuerten Dienst in Ihrer Organisation auf — von Enterprise-Plattformen mit eingebauter KI bis zu einzelnen Tools, die von Teams uebernommen wurden. Fuegen Sie jedes System Ihrem Datendienstregister mit Zweck, Datenkategorien und Zugriffskontrollen hinzu.

Schritt 2: Risiko einstufen

Bestimmen Sie fuer jedes KI-System die Risikostufe unter dem AI Act. Hochrisikokategorien sind in Anhang III aufgefuehrt und umfassen KI fuer Personalrekrutierung, Kreditscoring, Zugang zu wesentlichen Diensten und biometrische Identifikation. Dokumentieren Sie Ihre Einstufung und die Begruendung dahinter.

Schritt 3: Zweck und betroffene Personen dokumentieren

Erfassen Sie fuer jedes KI-System den vorgesehenen Zweck, die Kategorien der von den Ausgaben betroffenen Personen und ob es Entscheidungen ueber Einzelpersonen trifft oder unterstuetzt. Diese Dokumentation bildet die Grundlage sowohl Ihrer DPIA als auch Ihrer FRIA.

Schritt 4: Folgenabschaetzungen durchfuehren

Fuer Hochrisiko-KI-Systeme: Fuehren Sie eine DPIA nach DSGVO Art. 35 und, wo Art. 27 gilt, eine FRIA durch. Diese sollten aufeinander verweisen, bleiben aber separate Bewertungen mit eigenem Umfang.

Schritt 5: Konformitaet und Governance nachverfolgen

Fuehren Sie Aufzeichnungen ueber Konformitaetserklaerungen der Anbieter, CE-Kennzeichnungen und Registrierungen in der EU-KI-Datenbank. Bewahren Sie diese Dokumente neben Ihren DPAs und SLAs auf — sie sind Teil Ihrer Lieferanten-Governance-Kette.

Wie Readmodel® die AI-Deployer-Compliance unterstuetzt

Readmodel® behandelt KI-Dienste als Teil Ihrer Datenlandkarte, nicht als separates Compliance-Silo. Wenn Sie einen KI-Dienst zu Ihrem Projekt hinzufuegen, koennen Sie die Risikoeinstufung, menschliche Aufsicht und den Konformitaetsstatus neben den verarbeiteten Dateneintraegen, den Rechtsgrundlagen und den Aufbewahrungsfristen dokumentieren.

Das Risikoregister kennzeichnet automatisch KI-Dienste, die als hohes Risiko eingestuft sind, aber keine dokumentierte DPIA haben. Die Dokumentenspeicherfunktion ermoeglicht es Ihnen, Konformitaetserklaerungen, Nutzungsanweisungen des Anbieters und FRIA-Dokumentation direkt dem relevanten Dienst zuzuordnen. Der ROPA-Export enthaelt KI-Governance-Felder, sodass Ihr Art.-30-Verzeichnis sowohl DSGVO- als auch AI-Act-Anforderungen in einem einzigen Dokument abbildet.

KI-Governance erfordert keine separate Plattform und kein sechsstelliges Beratungshonorar. Es erfordert strukturierte Dokumentation, integriert in Ihre bestehende Datenlandkarte. Readmodel® bietet diese Struktur — erstellen Sie ein kostenloses Konto und beginnen Sie noch heute mit der Dokumentation Ihrer KI-Deployer-Pflichten.

Die Frist naehert sich

Die Deployer-Pflichten unter Art. 26 treten am 2. August 2026 in Kraft. Wenn Sie bereits eine DSGVO-Datenlandkarte fuehren, haben Sie die Grundlage. Erweitern Sie diese um KI-spezifische Felder — Risikoeinstufung, menschliche Aufsicht, Konformitaetsstatus — und fuehren Sie die erforderlichen Folgenabschaetzungen durch. Die Aufsichtsbehoerden erwarten Dokumentation, keine Versprechen. Beginnen Sie jetzt.