betreiber-deployer-pflichten-art-26

star 872

Unternehmen oder Behörde setzt ein Hochrisiko-KI-System, GPAI-System oder allgemeinen Chatbot ein und fragt nach Betreiberpflichten. Art. 26 KI-VO: bestimmungsgemaesse Verwendung, menschliche Aufsicht, Eingabedaten, Protokolle, Vorfallmeldungen, Informationspflichten; Art. 27 Grundrechte-Folgenabschaetzung. Besonderer Fokus: Off-label-Nutzung durch Mitarbeitende, Zweckaenderung, Art. 25 Anbieterwerden, Governance für allgemeine Chatbots in Hochrisiko-Kontexten. Output: Betreiber-Compliance-Checkliste mit Fehlgebrauchs- und Re-Evaluationsplan.

Klotzkette By Klotzkette schedule Updated 6/7/2026
play_arrow Run Skill in Manus View GitHub

name: betreiber-deployer-pflichten-art-26 description: "Unternehmen oder Behörde setzt ein Hochrisiko-KI-System, GPAI-System oder allgemeinen Chatbot ein und fragt nach Betreiberpflichten. Art. 26 KI-VO: bestimmungsgemaesse Verwendung, menschliche Aufsicht, Eingabedaten, Protokolle, Vorfallmeldungen, Informationspflichten; Art. 27 Grundrechte-Folgenab"

Betreiber-Pflichten (Deployer) — Art. 26 und 27 KI-VO

Pflicht 1 — Bestimmungsgemäße Verwendung

Betreiber müssen Hochrisiko-KI-Systeme nach der Gebrauchsanweisung des Anbieters verwenden.

Prüffragen:

  • Liegt die Gebrauchsanweisung vor und ist sie intern umgesetzt?
  • Ist der interne Use Case vom Anbieterzweck gedeckt?
  • Werden Prompt-Vorlagen, Workflows, Rollenrechte oder Schnittstellen so gestaltet, dass keine unzulässige Zweckänderung entsteht?
  • Gibt es ein Freigabeverfahren für neue KI-Use-Cases?

Sonderthema — Mitarbeiter nutzen ein allgemeines KI-Tool hochriskant

Wenn Mitarbeiter ein allgemeines Tool entgegen der Zweckbestimmung für Personal, Kredit, Bildung, Verwaltung, Justiz oder andere Anhang-III-Kontexte einsetzen, prüfe die Organisationsverantwortung:

Befund Einordnung
Klare Richtlinie, Schulung, Rollenrechte, Logging, Sperren; isolierter Verstoß Compliance-/Incident-Thema; Nutzung beenden, dokumentieren, nachschulen, ggf. Daten/Output entfernen
Fachabteilung nutzt es wiederholt und Führung weiß davon tatsächlicher Betreiberzweck kann kippen; hochrisiko-art-6-abs-2-anhang-iii neu prüfen
Tool ist technisch offen und Hochrisiko-Nutzung naheliegend vorhersehbarer Fehlgebrauch; Kontrollen, Warnungen, Freigaben und Re-Evaluation erforderlich
Betreiber ändert Zweck oder System wesentlich anbieter-werden-art-25 prüfen; Anbieterpflichten können ausgelöst werden

Mindestmaßnahmen:

  • KI-Richtlinie mit erlaubten und verbotenen Use Cases
  • KI-Kompetenz/Schulung nach Art. 4
  • Rollen- und Zugriffskonzept für sensible Bereiche
  • Prompt- und Datenklassifizierungsregeln
  • Logging/Audit für sensible Workflows
  • Freigabeprozess für neue KI-Use-Cases
  • Re-Evaluation bei Zweckänderung, Modellwechsel, neuer Integration oder auffälliger Nutzung

Pflicht 2 — Menschliche Aufsicht

Betreiber müssen die vom Anbieter vorgesehenen Aufsichtsmaßnahmen tatsächlich umsetzen.

Prüffragen:

  • Sind Aufsichtspersonen benannt und geschult?
  • Können sie Output verstehen, kritisch prüfen, übersteuern oder stoppen?
  • Ist Aufsicht mehr als nur formale Abzeichnung?
  • Gibt es Eskalationsregeln bei Fehlern, Bias, Halluzinationen, Drift oder ungewöhnlichen Outputs?

Pflicht 3 — Eingabedaten und Nutzungskontext

Wenn Betreiber Eingabedaten kontrollieren, müssen diese relevant und repräsentativ für den vorgesehenen Zweck sein.

Prüffragen:

  • Welche Eingabedaten werden vom Betreiber bereitgestellt?
  • Sind personenbezogene, vertrauliche oder besondere Daten betroffen?
  • Sind die Daten zweckgeeignet und aktuell?
  • Wird verhindert, dass Mitarbeiter sensible Personal-, Kredit-, Gesundheits- oder Justizdaten in allgemeine Tools eingeben?

Pflicht 4 — Protokolle und Nachvollziehbarkeit

Betreiber müssen Protokolle nach Maßgabe der KI-VO und anderer Rechtsvorschriften aufbewahren.

Prüffragen:

  • Welche Logs erzeugt das System?
  • Sind Prompt, Eingabe, Output, Nutzer, Zeitpunkt, Version und Entscheidungspfad nachvollziehbar?
  • Wie werden Datenschutz, Geheimnisschutz und Löschpflichten berücksichtigt?
  • Können Off-label-Nutzungen erkannt werden?

Pflicht 5 — Überwachung, Meldung und Unterbrechung

Betreiber müssen bei ernsthaften Risiken, Fehlfunktionen oder schwerwiegenden Vorfällen reagieren und ggf. Anbieter sowie Behörden informieren.

Prüffragen:

  • Gibt es ein Verfahren für Incidents und Near Misses?
  • Wer entscheidet über Pausierung des Systems?
  • Werden Outputs korrigiert, zurückgenommen oder betroffene Personen informiert?
  • Ist marktueberwachung-meldung-vorfaelle-art-72-bis-79 einzuschalten?

Pflicht 6 — Informationspflicht gegenüber Betroffenen

Wenn ein Hochrisiko-KI-System für Entscheidungen gegenüber natürlichen Personen eingesetzt wird, ist transparent zu machen, dass KI beteiligt ist, soweit dies nicht ohnehin offensichtlich ist oder spezieller geregelt ist.

Prüffragen:

  • Wer ist betroffen?
  • Welche Entscheidung oder Vorbereitung wird beeinflusst?
  • Welche Information erhält die Person?
  • Gibt es Rechte auf Auskunft, menschliche Überprüfung oder Beschwerde nach KI-VO, DSGVO oder Fachrecht?

Grundrechte-Folgenabschätzung — Art. 27 KI-VO

Prüfe Art. 27 insbesondere bei:

  • öffentlichen Stellen
  • privaten Betreibern, soweit sie Hochrisiko-KI für bestimmte wesentliche Dienste einsetzen
  • Konstellationen mit Beschäftigung, Bildung, Kredit, Versicherung, Sozialleistungen, Justiznähe oder sonstiger Machtasymmetrie

Inhalt:

  • Beschreibung des Systems und Zwecks
  • betroffene Personen/Gruppen
  • Nutzungsfrequenz und Dauer
  • Risiken für Grundrechte
  • menschliche Aufsicht und Abhilfemaßnahmen
  • Daten- und Governance-Konzept
  • Verbindung zur DSGVO-Datenschutz-Folgenabschätzung

Output-Template — Betreiber-Compliance-Check

BETREIBER-COMPLIANCE-CHECK ART. 26/27 KI-VO
Datum: [DATUM]
System: [NAME]
Betreiber: [NAME]
Risikoklasse: [HOCHRISIKO / UNKLAR / ALLGEMEINES GPAI-SYSTEM]

1. Zweck und Gebrauchsanweisung
[Anbieterzweck, interner Zweck, Abweichungen]

2. Off-label-/Fehlgebrauchsrisiko
[isolierter Verstoß / vorhersehbarer Fehlgebrauch / geduldete Hochrisiko-Nutzung / Zweckänderung]
[Maßnahmen: Richtlinie, Schulung, Sperren, Logging, Freigabe]

3. Art. 26-Pflichten
- bestimmungsgemäße Verwendung: [...]
- menschliche Aufsicht: [...]
- Eingabedaten: [...]
- Protokolle: [...]
- Überwachung/Vorfälle: [...]
- Information Betroffener: [...]

4. Art. 27 Grundrechte-Folgenabschätzung
[erforderlich / nicht erforderlich / offen]
[Begründung]

5. Anbieterwerden Art. 25
[Risiko ja/nein/offen]

6. Nächste Skills
[hochrisiko-art-6-abs-2-anhang-iii / anbieter-werden-art-25 / output-betreiber-checkliste-und-folgenabschaetzung / marktueberwachung-meldung-vorfaelle-art-72-bis-79]

Quellen- und Aktualitätshinweis

Stand: 05/2026. Maßgeblich sind Art. 3 Nr. 4, Nr. 12, Nr. 13 und Nr. 23, Art. 4, Art. 25, Art. 26 und Art. 27 KI-VO. Keine Rechtsberatung.

Install via CLI
npx skills add https://github.com/Klotzkette/claude-fuer-deutsches-recht --skill betreiber-deployer-pflichten-art-26
Repository Details
star Stars 872
call_split Forks 114
navigation Branch main
article Path SKILL.md
More from Creator
Klotzkette
Klotzkette Explore all skills →