Vertragsklauseln AI Act: 10 Anforderungen an Ihren KI-Anbieter.
Ab dem 2. Dezember 2027 müssen Betreiber von Hochrisiko-KI-Systemen ihre Konformität dokumentieren. Der AI Act ermöglicht die vertragliche Übertragung eines Teils dieser Pflichten auf die Anbieter. Hier sind die Klauseln, die Sie jetzt fordern sollten, um Ihre KI-Beschaffung abzusichern.
Warum die Pflichten des AI Act vertraglich mit Ihrem Anbieter regeln
Der AI Act legt Betreibern strenge Pflichten auf, ermöglicht jedoch deren vertragliche Übertragung auf Anbieter. Eine Chance, die Sie nutzen sollten, um Ihre KI-Beschaffung abzusichern.
Der Artikel 26 des AI Act definiert die Pflichten der Betreiber von KI-Systemen. Einige dieser Pflichten können durch Vertrag auf den Anbieter übertragen werden, sofern diese Übertragung ausdrücklich und dokumentiert erfolgt. Dieser Mechanismus, der in Artikel 25 Absatz 1 vorgesehen ist, ermöglicht es Betreibern, sicherzustellen, dass ihr Anbieter einen Teil der rechtlichen Verantwortung übernimmt.
Für Einkäufer, Datenschutzbeauftragte und Juristen bietet diese vertragliche Regelung drei wesentliche Vorteile:
- Reduzierung rechtlicher Risiken: Im Falle von Nichtkonformität kann die Verantwortung geteilt oder auf den Anbieter übertragen werden.
- Vereinfachung der Konformität: Der Anbieter wird für die technische Dokumentation und Aktualisierungen verantwortlich.
- Bessere Kostenkontrolle: Audits und Wartung sind im Vertrag enthalten, was unvorhergesehene Ausgaben vermeidet.
Der EDSA hat in seinen Empfehlungen vom Januar 2025 betont, dass dieser vertragliche Ansatz für Betreiber, insbesondere für Hochrisiko-KI-Systeme, unerlässlich ist. Ohne ausdrückliche Klausel bleibt der Betreiber allein für die Konformität verantwortlich.
Die 10 wesentlichen Klauseln für Ihre KI-Verträge
Hier sind die Klauseln, die systematisch in Ihre Verträge mit Anbietern von KI-Systemen aufgenommen werden sollten, jeweils mit: der Rechtsgrundlage, einem Formulierungsbeispiel und den zu vermeidenden Fallstricken.
Bereitstellung der technischen Dokumentation (Anhang IV)
Warum? Der Artikel 11 des AI Act verpflichtet Anbieter, eine detaillierte technische Dokumentation gemäß Anhang IV bereitzustellen. Diese Dokumentation ist unerlässlich, um die Konformität des Systems zu bewerten und auf Anfragen der Behörden zu reagieren.
Beispielklausel:
„Der Anbieter verpflichtet sich, dem Betreiber vor der Inbetriebnahme des KI-Systems eine vollständige technische Dokumentation gemäß Anhang IV der Verordnung (EU) 2024/1689 zu übermitteln. Diese Dokumentation umfasst insbesondere:
- eine allgemeine Beschreibung des KI-Systems;
- Gebrauchsanweisungen;
- Merkmale, Fähigkeiten und Grenzen des Systems;
- Maßnahmen zur Überwachung nach dem Inverkehrbringen;
- Restrisiken und Maßnahmen zur Risikominderung.
Der Anbieter garantiert die Richtigkeit und Aktualität dieser Dokumentation während der gesamten Vertragslaufzeit."
Warnsignale:
- Der Anbieter weigert sich, die vollständige Dokumentation unter Berufung auf Betriebsgeheimnisse bereitzustellen.
- Die Dokumentation ist generisch und entspricht nicht dem bereitgestellten System.
- Es ist keine Aktualisierung im Falle von Systemänderungen vorgesehen.
Meldung von Vorfällen innerhalb von 72 Stunden
Warum? Der Artikel 73 des AI Act verpflichtet Anbieter, schwerwiegende Vorfälle den zuständigen Behörden zu melden. Diese Pflicht muss auf den Betreiber ausgeweitet werden, damit dieser die notwendigen Korrekturmaßnahmen ergreifen kann.
Beispielklausel:
„Der Anbieter verpflichtet sich, dem Betreiber innerhalb von maximal 72 Stunden jeden schwerwiegenden Vorfall im Zusammenhang mit dem KI-System zu melden, wie in Artikel 3 Absatz 44 der Verordnung (EU) 2024/1689 definiert. Diese Meldung umfasst:
- eine detaillierte Beschreibung des Vorfalls;
- die identifizierten oder vermuteten Ursachen;
- die ergriffenen oder geplanten Korrekturmaßnahmen;
- die verbleibenden Risiken für die Endnutzer.
Der Anbieter informiert den Betreiber auch über die weiteren Schritte bei der Meldung an die zuständigen Behörden."
Warnsignale:
- Der Anbieter schlägt eine Meldefrist von mehr als 72 Stunden vor.
- Es ist kein klares Verfahren für die Meldung von Vorfällen definiert.
- Der Anbieter weigert sich, dem Betreiber Details zu den Vorfällen mitzuteilen.
Jährliches Audit-Recht
Warum? Der Artikel 26 Absatz 5 des AI Act verpflichtet Betreiber, die Konformität von KI-Systemen zu überwachen. Ein Audit-Recht ermöglicht die Überprüfung, ob der Anbieter seine vertraglichen und regulatorischen Pflichten erfüllt.
Beispielklausel:
„Der Betreiber oder ein von ihm beauftragter Dritter hat das Recht, ein jährliches Audit des KI-Systems und seiner Dokumentation durchzuführen, um die Einhaltung der in der Verordnung (EU) 2024/1689 und diesem Vertrag vorgesehenen Pflichten zu überprüfen. Dieses Audit umfasst insbesondere:
- die Konformität der technischen Dokumentation;
- die Wirksamkeit der Risikomanagementmaßnahmen;
- die Rückverfolgbarkeit von Daten und Entscheidungen;
- die Verfahren zur Meldung von Vorfällen.
Der Anbieter verpflichtet sich, alle für die Durchführung dieses Audits erforderlichen Informationen und Zugriffe innerhalb einer angemessenen Frist bereitzustellen. Die Ergebnisse des Audits werden dem Anbieter mitgeteilt, der innerhalb von 30 Tagen Korrekturmaßnahmen bei Nichtkonformität vorschlagen kann."
Warnsignale:
- Der Anbieter begrenzt das Audit-Recht auf weniger als einmal pro Jahr.
- Das Audit ist auf bestimmte Aspekte des Systems beschränkt, ohne vollständigen Zugang zur Dokumentation.
- Es ist keine Frist für die Umsetzung von Korrekturmaßnahmen vorgesehen.
Pflichten zur Aktualisierung bei wesentlichen Änderungen
Warum? Der Artikel 14 des AI Act verpflichtet Anbieter, die Konformität des Systems bei wesentlichen Änderungen neu zu bewerten. Der Betreiber muss informiert werden und vor jeder größeren Aktualisierung zustimmen.
Beispielklausel:
„Der Anbieter verpflichtet sich, dem Betreiber jede wesentliche Änderung des KI-Systems, wie in Artikel 3 Absatz 23 der Verordnung (EU) 2024/1689 definiert, mindestens 30 Tage vor deren Umsetzung zu melden. Diese Meldung umfasst:
- eine detaillierte Beschreibung der Änderung;
- eine Bewertung ihrer Auswirkungen auf die Konformität des Systems;
- die geplanten Korrekturmaßnahmen zur Aufrechterhaltung der Konformität.
Der Betreiber hat 15 Tage Zeit, seine Zustimmung zu geben oder Änderungen zu verlangen. Bei ausbleibender Antwort kann der Anbieter die Aktualisierung vornehmen, sofern die gesetzlichen Pflichten eingehalten werden."
Warnsignale:
- Der Anbieter behält sich das Recht vor, das System ohne vorherige Benachrichtigung zu ändern.
- Es ist keine Frist für die Meldung wesentlicher Änderungen vorgesehen.
- Der Anbieter weigert sich, eine Bewertung der Auswirkungen auf die Konformität zu teilen.
Angabe des Risikoniveaus des Systems
Warum? Der Artikel 6 des AI Act klassifiziert KI-Systeme nach ihrem Risikoniveau. Der Anbieter muss dieses Niveau angeben und seine Einstufung begründen, damit der Betreiber seine Konformitätsmaßnahmen anpassen kann.
Beispielklausel:
„Der Anbieter erklärt, dass das bereitgestellte KI-System gemäß Artikel 6 der Verordnung (EU) 2024/1689 in folgende Kategorie eingestuft wird:
- [ ] Verbotene Systeme (Artikel 5);
- [ ] Hochrisiko-KI-System (Anhang III);
- [ ] Systeme mit begrenztem Risiko (Artikel 50);
- [ ] Systeme mit minimalem Risiko.
Der Anbieter stellt eine schriftliche Begründung dieser Einstufung bereit, einschließlich einer Analyse der in den Artikeln 6 und 7 der Verordnung festgelegten Kriterien. Bei Meinungsverschiedenheiten über die Einstufung verpflichten sich die Parteien, eine Stellungnahme des AI Office oder einer zuständigen Behörde einzuholen."
Warnsignale:
- Der Anbieter weigert sich, das Risikoniveau des Systems anzugeben.
- Es wird keine schriftliche Begründung für die Einstufung bereitgestellt.
- Der Anbieter unterschätzt das Risikoniveau, um zusätzliche Pflichten zu vermeiden.
Konformität mit der CE-Kennzeichnung vor der Inbetriebnahme
Warum? Der Artikel 48 des AI Act verpflichtet Anbieter von Hochrisiko-KI-Systemen, die CE-Kennzeichnung vor dem Inverkehrbringen anzubringen. Der Betreiber muss sicherstellen, dass diese Kennzeichnung gültig und konform ist.
Beispielklausel:
„Der Anbieter garantiert, dass das bereitgestellte KI-System den Anforderungen der Verordnung (EU) 2024/1689 entspricht und die CE-Kennzeichnung gemäß Artikel 48 trägt. Der Anbieter übermittelt dem Betreiber vor der Inbetriebnahme des Systems eine Kopie der EU-Konformitätserklärung gemäß Artikel 47.
Bei festgestellter Nichtkonformität nach der Inbetriebnahme verpflichtet sich der Anbieter, alle notwendigen Maßnahmen zur Wiederherstellung der Konformität innerhalb von maximal 15 Tagen zu ergreifen."
Warnsignale:
- Der Anbieter kann die EU-Konformitätserklärung nicht vorlegen.
- Die CE-Kennzeichnung wurde ohne technische Begründung angebracht.
- Es ist keine Frist zur Behebung von Nichtkonformität vorgesehen.
Protokollierung gemäß Artikel 12
Warum? Der Artikel 12 des AI Act verpflichtet Anbieter von Hochrisiko-KI-Systemen, Protokolle mindestens 6 Monate lang aufzubewahren. Diese Protokolle sind essenziell für die Rückverfolgbarkeit von Entscheidungen und die Reaktion auf Behördenanfragen.
Beispielklausel:
„Der Anbieter verpflichtet sich, die Protokolle des KI-Systems gemäß Artikel 12 der Verordnung (EU) 2024/1689 für mindestens 6 Monate ab ihrer Erstellung aufzubewahren. Diese Protokolle umfassen:
- Eingabe- und Ausgabedaten des Systems;
- Betriebsparameter;
- generierte Entscheidungen oder Vorhersagen;
- mögliche Fehler oder Anomalien.
Der Anbieter garantiert, dass diese Protokolle sicher, integer und dem Betreiber auf Anfrage in einem lesbaren und nutzbaren Format zugänglich sind."
Warnsignale:
- Der Anbieter weigert sich, die Protokolle 6 Monate lang aufzubewahren.
- Die Protokolle sind für den Betreiber nicht zugänglich oder in einem nicht nutzbaren Format.
- Es sind keine Sicherheitsmaßnahmen zum Schutz der Protokolle vorgesehen.
Schulungspflichten für Nutzer (Artikel 4)
Warum? Der Artikel 4 des AI Act verpflichtet Betreiber, ihre Nutzer in der Verwendung von KI-Systemen zu schulen. Der Anbieter muss die notwendigen Unterlagen bereitstellen und gegebenenfalls Schulungen anbieten.
Beispielklausel:
„Der Anbieter verpflichtet sich, dem Betreiber die notwendigen Schulungsunterlagen zur Verfügung zu stellen, damit die Endnutzer das KI-System sicher und konform nutzen können. Diese Unterlagen umfassen:
- eine detaillierte Bedienungsanleitung;
- praktische Leitfäden für spezifische Anwendungsfälle;
- Online- oder Präsenzschulungen, sofern verfügbar.
Der Anbieter bietet auf Anfrage des Betreibers auch Schulungen für die Nutzer an, die nach den geltenden Tarifen abgerechnet werden."
Warnsignale:
- Der Anbieter stellt keine Schulungsunterlagen bereit.
- Die Schulungsunterlagen sind zu generisch und decken keine spezifischen Anwendungsfälle ab.
- Die Schulungen werden zu überhöhten Preisen abgerechnet.
Kündigungsklausel bei anhaltender Nichtkonformität
Warum? Bei wiederholter Nichtkonformität des Anbieters muss der Betreiber den Vertrag ohne Strafen kündigen können. Diese Klausel schützt den Betreiber vor rechtlichen und finanziellen Risiken durch ein nicht konformes System.
Beispielklausel:
„Bei wiederholter Nichteinhaltung seiner vertraglichen oder gesetzlichen Pflichten durch den Anbieter, insbesondere in Bezug auf die Konformität mit der Verordnung (EU) 2024/1689, hat der Betreiber das Recht, diesen Vertrag mit einer Frist von 30 Tagen ohne Strafen oder Entschädigung zu kündigen. Diese Kündigung kann nach zwei erfolglosen schriftlichen Abmahnungen erfolgen, in denen die festgestellten Verstöße dargelegt werden.
Der Anbieter verpflichtet sich, dem Betreiber gegebenenfalls die für den Zeitraum nach der Kündigung gezahlten Beträge zu erstatten."
Warnsignale:
- Der Vertrag sieht keine Kündigungsklausel bei Nichtkonformität vor.
- Die Kündigung ist mit hohen finanziellen Strafen verbunden.
- Es ist keine Kündigungsfrist vorgesehen.
Anwendbares Recht und zuständige Gerichtsbarkeit
Warum? Im Streitfall ist es essenziell, das anwendbare Recht und die zuständige Gerichtsbarkeit klar zu definieren. Dies vermeidet langwierige und kostspielige Verfahren in Drittländern.
Beispielklausel:
„Dieser Vertrag unterliegt deutschem Recht. Alle Streitigkeiten im Zusammenhang mit seiner Auslegung oder Durchführung unterliegen der ausschließlichen Zuständigkeit der Gerichte in Berlin, auch bei mehreren Beklagten oder Streitverkündung."
Warnsignale:
- Der Vertrag sieht ein ausländisches anwendbares Recht ohne Begründung vor.
- Die zuständige Gerichtsbarkeit liegt in einem Drittland, was Rechtsmittel erschwert.
- Es ist keine Klausel zu anwendbarem Recht oder Gerichtsbarkeit vorgesehen.
Musterklausel zum sofortigen Einsatz für Ihre KI-Verträge
Hier ist eine globale Musterklausel, die die wichtigsten Anforderungen des AI Act enthält. Passen Sie sie an Ihren Kontext an und lassen Sie sie von Ihrer Rechtsabteilung prüfen.
„Der Anbieter garantiert, dass das bereitgestellte KI-System den Anforderungen der Verordnung (EU) 2024/1689 entspricht, insbesondere in Bezug auf:
- die technische Dokumentation (Anhang IV);
- das Risikomanagement (Artikel 9);
- Transparenz und Rückverfolgbarkeit (Artikel 12);
- die Meldung von Vorfällen (Artikel 73);
- die CE-Kennzeichnung und die EU-Konformitätserklärung (Artikel 47 und 48).
Der Anbieter verpflichtet sich:
- dem Betreiber vor der Inbetriebnahme des Systems eine vollständige und aktuelle technische Dokumentation zu übermitteln;
- dem Betreiber jeden schwerwiegenden Vorfall innerhalb von maximal 72 Stunden zu melden;
- dem Betreiber die Durchführung eines jährlichen Audits des Systems und seiner Dokumentation zu ermöglichen;
- dem Betreiber jede wesentliche Änderung des Systems mindestens 30 Tage vor deren Umsetzung zu melden;
- die Protokolle des Systems für mindestens 6 Monate aufzubewahren;
- die notwendigen Schulungsunterlagen für die Endnutzer bereitzustellen.
Bei Nichteinhaltung dieser Pflichten hat der Betreiber das Recht, den Vertrag mit einer Frist von 30 Tagen ohne Strafen zu kündigen. Dieser Vertrag unterliegt deutschem Recht, und alle Streitigkeiten unterliegen der ausschließlichen Zuständigkeit der Gerichte in Berlin."
Verhandlung dieser Klauseln mit Ihrem Anbieter
Anbieter von KI, insbesondere große Akteure, können sich gegen die Aufnahme dieser Klauseln sträuben. Hier erfahren Sie, wie Sie sie überzeugen und Ihre Interessen absichern.
1. Häufige Einwände vorwegnehmen
Anbieter führen oft an:
- Betriebsgeheimnisse: Für die technische Dokumentation können Sie eine Vertraulichkeitsvereinbarung (NDA) oder eine anonymisierte Version sensibler Informationen vorschlagen.
- Verwaltungaufwand: Für Audits können Sie deren Häufigkeit auf einmal pro Jahr begrenzen und vorschlagen, sie in Zusammenarbeit mit dem Anbieter durchzuführen.
- Zusätzliche Kosten: Für Schulungen können Sie eine Pauschale im Vertrag oder ermäßigte Tarife aushandeln.
2. Geschäftliche Argumente nutzen
Betonen Sie:
- Risikoreduzierung: Eine Kündigungsklausel bei Nichtkonformität schützt beide Parteien.
- Wettbewerbsvorteil: Ein AI-Act-konformer Anbieter kann diese Konformität gegenüber seinen Kunden hervorheben.
- Zugang zu öffentlichen Aufträgen: Die AI-Act-Konformität ist oft Voraussetzung für die Teilnahme an europäischen Ausschreibungen.
3. Nicht verhandelbare Klauseln priorisieren
Einige Klauseln sind essenziell und dürfen nicht geopfert werden:
- Bereitstellung der technischen Dokumentation (Anhang IV).
- Meldung von Vorfällen innerhalb von 72 Stunden.
- Jährliches Audit-Recht.
- Kündigungsklausel bei Nichtkonformität.
Bei den anderen Klauseln können Sie Kompromisse eingehen, z. B. bei der Häufigkeit der Audits oder dem Format der Protokolle.
Abstimmung mit der DSGVO und anderen Vorschriften
Die AI-Act-Klauseln müssen mit anderen gesetzlichen Pflichten, insbesondere der DSGVO, abgestimmt werden. So vermeiden Sie Redundanzen und Widersprüche.
1. Ergänzung zur DSGVO
Die DSGVO sieht bereits Vertragsklauseln für Auftragsverarbeiter (Artikel 28) vor. Diese können durch die Anforderungen des AI Act ergänzt werden, ohne unnötige Dopplungen. Beispiel:
- Meldung von Datenschutzverletzungen: Die DSGVO sieht eine Frist von 72 Stunden (Artikel 33) vor, ähnlich wie der AI Act für schwerwiegende Vorfälle. Eine einzige Klausel kann beide Pflichten abdecken.
- Audit-Recht: Die DSGVO sieht bereits ein Audit-Recht für Auftragsverarbeiter vor. Fügen Sie einfach die spezifischen Anforderungen des AI Act (technische Dokumentation, Risikomanagement) hinzu.
- Protokollierung: Die AI-Act-Protokolle können als Nachweis für die Rechte der betroffenen Personen (Auskunftsrecht, Recht auf Erklärung) gemäß der DSGVO dienen.
2. Koordinierung mit anderen sektoralen Vorschriften
Je nach Branche können weitere Vorschriften gelten:
- DORA (Finanzsektor): legt strenge Anforderungen an die operationelle Resilienz, einschließlich des Risikomanagements für KI-Systeme.
- Verordnung über Medizinprodukte (MDR): Für KI-Systeme im Gesundheitswesen ergänzen sich die Anforderungen des AI Act mit denen der MDR.
- Gesetz über digitale Dienste (DSA): Für Online-Plattformen, die KI nutzen, legt der DSA zusätzliche Transparenzpflichten fest.
Um Widersprüche zu vermeiden, benennen Sie einen Verantwortlichen für die regulatorische Konformität in Ihrer Organisation, der die Anforderungen des AI Act mit anderen geltenden Vorschriften koordiniert.
Sind Ihre KI-Verträge AI-Act-konform?
Identifizieren Sie in 3 Minuten fehlende Klauseln in Ihren Verträgen mit KI-Anbietern und erhalten Sie einen personalisierten Bericht mit konkreten Empfehlungen.
Häufige Fragen
Antworten auf die häufigsten Fragen zu Vertragsklauseln des AI Act.
Wenn sich Ihr Anbieter weigert, diese Klauseln aufzunehmen, bewerten Sie zunächst sein Widerstandsniveau. Bei wesentlichen Klauseln (technische Dokumentation, Meldung von Vorfällen, Audit-Recht) bestehen Sie auf deren nicht verhandelbaren Charakter, indem Sie auf die gesetzlichen Pflichten des AI Act und die Risiken bei Nichtkonformität hinweisen.
Bleibt der Anbieter unnachgiebig, können Sie:
- Alternative Klauseln aushandeln, z. B. das Audit-Recht auf alle zwei Jahre zu beschränken.
- Finanzielle Garantien zur Abdeckung der Risiken bei Nichtkonformität fordern.
- Einen kooperativeren Anbieter suchen, insbesondere wenn das KI-System für Ihre Tätigkeit kritisch ist.
Dokumentieren Sie in jedem Fall die Weigerungen des Anbieters und die genannten Gründe schriftlich. Diese Dokumentation kann im Falle eines Rechtsstreits oder einer behördlichen Kontrolle nützlich sein.
Der AI Act sieht unterschiedliche Pflichten je nach Risikoniveau des KI-Systems vor. Für Systeme, die kein hohes Risiko darstellen, bleiben einige Klauseln relevant, insbesondere:
- Transparenz: Der Artikel 50 verpflichtet Anbieter von KI-Systemen mit begrenztem Risiko, klare Informationen über ihre Fähigkeiten und Grenzen bereitzustellen. Eine Vertragsklausel kann diese Pflicht formalisieren.
- Meldung von Vorfällen: Auch für Systeme mit begrenztem Risiko ist es ratsam, eine Meldung schwerwiegender Vorfälle zu fordern, zumindest aus betrieblichen Gründen.
- Schulung der Nutzer: Der Artikel 4 zur Beherrschung von KI gilt für alle Systeme, unabhängig von ihrem Risikoniveau.
Klauseln zur technischen Dokumentation (Anhang IV), zur CE-Kennzeichnung oder zum Risikomanagement gelten jedoch nicht für Systeme mit begrenztem Risiko. Passen Sie Ihre Verträge entsprechend an.
Um die Einhaltung der vertraglichen Pflichten durch Ihren Anbieter zu überprüfen, setzen Sie folgende Maßnahmen um:
- Regelmäßige Audits: Nutzen Sie das im Vertrag vorgesehene Audit-Recht, um die Konformität der technischen Dokumentation, der Protokolle und der Risikomanagementverfahren zu überprüfen.
- Überwachungs-Dashboards: Fordern Sie vom Anbieter, dass er Ihnen regelmäßig Konformitätsindikatoren liefert, z. B. die Anzahl gemeldeter Vorfälle oder die durchgeführten Systemaktualisierungen.
- Stichproben: Führen Sie punktuelle Tests durch, um die Rückverfolgbarkeit von Entscheidungen oder die Wirksamkeit der Risikomanagementmaßnahmen zu überprüfen.
- Jährliche Vertragsprüfung: Organisieren Sie ein jährliches Treffen mit dem Anbieter, um die Einhaltung der Pflichten zu besprechen und Verbesserungsmöglichkeiten zu identifizieren.
Bei Verstößen nutzen Sie die im Vertrag vorgesehenen Mechanismen, wie Abmahnungen oder die Kündigung bei Nichtkonformität.
Wenn der Anbieter seiner Meldepflicht für Vorfälle nicht innerhalb von 72 Stunden nachkommt, gehen Sie wie folgt vor:
- Abmahnung: Senden Sie dem Anbieter eine schriftliche Abmahnung, in der Sie seine vertraglichen und gesetzlichen Pflichten in Erinnerung rufen. Fordern Sie eine sofortige Meldung des Vorfalls und eine Erklärung für die Verzögerung.
- Risikobewertung: Bewerten Sie bei ausbleibender Meldung selbst die mit dem Vorfall verbundenen Risiken auf Basis der verfügbaren Informationen. Setzen Sie gegebenenfalls die Nutzung des Systems aus, um Schäden zu begrenzen.
- Meldung an die Behörden: Wenn der Vorfall schwerwiegend ist und der Anbieter ihn nicht meldet, können Sie verpflichtet sein, ihn selbst der zuständigen Behörde gemäß Artikel 73 zu melden.
- Vertragliche Sanktionen: Wenden Sie die im Vertrag vorgesehenen Sanktionen an, wie finanzielle Strafen oder die Kündigung bei Nichtkonformität.
- Rechtliche Schritte: Wenn der Verstoß des Anbieters Ihrer Organisation einen Schaden zufügt, ziehen Sie rechtliche Schritte zur Schadensersatzforderung in Betracht.
Dokumentieren Sie alle Schritte dieses Verfahrens, um Ihre Sorgfaltspflicht im Falle einer behördlichen Kontrolle nachweisen zu können.
Nein, der AI Act erlaubt nicht die Übertragung aller Pflichten des Betreibers auf den Anbieter. Einige Pflichten bleiben in der ausschließlichen Verantwortung des Betreibers, insbesondere:
- Klassifizierung des Systems: Der Betreiber muss überprüfen, ob das System vom Anbieter korrekt eingestuft wurde, und seine Konformitätsmaßnahmen entsprechend anpassen.
- Menschliche Aufsicht: Der Artikel 26 Absatz 1 verpflichtet den Betreiber, die Nutzung des KI-Systems zu beaufsichtigen, selbst wenn der Anbieter die Wartung übernimmt.
- Schulung der Nutzer: Obwohl der Anbieter die Schulungsunterlagen bereitstellen muss, bleibt der Betreiber für die tatsächliche Schulung seiner Teams verantwortlich.
- Meldung an die Behörden: Im Falle eines schwerwiegenden Vorfalls kann der Betreiber verpflichtet sein, die zuständige Behörde zu informieren, selbst wenn der Anbieter diese Meldung bereits vorgenommen hat.
Der Artikel 26 Absatz 5 stellt klar, dass sich der Betreiber nicht durch einen Vertrag mit dem Anbieter von seinen Pflichten befreien kann. Die vertragliche Regelung ermöglicht die Aufteilung der Verantwortlichkeiten, aber nicht deren vollständige Übertragung.
