Anbieterpflichten-Checkliste fuer Gruender und Compliance-Leads

Anbieterpflichten nach dem EU AI Act sollten vor Verkauf, Launch, wesentlicher Aenderung oder Enterprise-Review geprueft werden. Die Checkliste klaert, ob das Unternehmen Anbieter ist, welches KI-Asset betroffen ist, welcher Risikopfad gilt, welche Pflichten folgen und wann die Entscheidung erneut geoeffnet werden muss.

1. KI-Asset benennen

Pruefen Sie nicht pauschal "KI im Produkt". Benennen Sie System, Modellintegration, Scoring-Modul, Empfehlung, API, internes Tool oder GPAI-Modell. Erfassen Sie Produktbereich, Owner, Launch-Phase, Nutzer, betroffene Personen, Daten, Modellquelle, Vendor-Abhaengigkeit und Kundenerlebnis.

2. AI-Act-Rolle entscheiden

Dokumentieren Sie, ob die Firma Anbieter, Betreiber, Importeur, Haendler, Produkthersteller, GPAI-Modellanbieter oder mehrere Rollen ist. Begruenden Sie die Rolle mit Produktfakten: Wer bestimmt den Zweck, vermarktet die Funktion, kontrolliert UX, aendert Schwellenwerte und liefert Kundenanweisungen?

3. Wertschöpfungskette pruefen

Artikel 25 ist relevant, wenn ein SaaS-Team ein Drittanbieter-System white-labelt, fine-tuned, wesentlich konfiguriert oder als eigenes Produkt verkauft. Fragen Sie, ob Kunden den Vendor sehen, ob Ihr Name genutzt wird, ob Zweck oder Verhalten geaendert werden und ob Vendor-Dokumente fuer Downstream-Pflichten reichen.

4. Risikopfad klassifizieren

Verbinden Sie die Checkliste mit der KI-Systemklassifizierung. Dokumentieren Sie, ob das Asset verboten, Hochrisiko, Transparenz-bezogen, minimales Risiko, GPAI oder ausserhalb des aktuellen AI-Act-Scopes ist. Bei moeglichem Hochrisiko gehoeren Use Case, Zweck, betroffene Personen, menschliche Aufsicht und Ergebnisfolgen in den Record.

5. Hochrisiko-Pflichten mappen

Fuer Hochrisiko-Systeme sollten Sie Pflichten aus Artikel 16 operationalisieren: Anforderungen einhalten, Qualitaetsmanagement, technische Dokumentation, Logs unter Provider-Kontrolle, Konformitaetsbewertung, EU-Konformitaetserklaerung, CE-Kennzeichnung, Registrierung, Korrekturmassnahmen, Behoerdenkooperation und Barrierefreiheit, soweit relevant.

6. GPAI separat pruefen

Wenn die Firma ein GPAI-Modell bereitstellen kann, pruefen Sie Artikel 53 separat: technische Dokumentation, Informationen fuer nachgelagerte Anbieter, Copyright-Policy, oeffentliche Trainingsdaten-Zusammenfassung, Behoerdenkooperation und Standards oder Codes of Practice. Nutzung eines Drittmodells macht die Firma nicht automatisch zum GPAI-Anbieter.

7. Nachweispaket bauen

Ein gutes Paket enthaelt Rollenentscheidung, Klassifizierung, Vendor-Dokumente, technische Unterlagen, Tests, menschliche Aufsicht, Logging, Security, Kundenanweisungen, Release-Ticket, Restrisiko, Monitoring, Incident-Route und Neubewertung. Ordnen Sie Nachweise nach Entscheidungen, nicht nur nach Dateitypen.

8. Kundendokumentation vorbereiten

Kunden brauchen Zweck, Grenzen, menschliche Aufsicht, Monitoring, unterstuetzte und ausgeschlossene Nutzungen, Modelldependenzen, Datenumgang, Aenderungshinweise und Supportwege. Sales Decks, Trust Center, Hilfeartikel, Produkttexte und Fragebogenantworten muessen dieselbe genehmigte Quelle nutzen.

9. Monitoring und Korrektur definieren

Legen Sie fest, wer Vorfaelle, Beschwerden, Vendor-Updates, Modelldrift, Support-Eskalationen und Korrekturmassnahmen steuert. Definieren Sie, wann ein Feature pausiert, Kunden informiert, Anweisungen aktualisiert oder Legal und Compliance eingeschaltet werden.

10. Neubewertung ausloesen

Oeffnen Sie die Checkliste erneut bei neuem Zweck, neuer Kundengruppe, mehr Automatisierung, weniger menschlicher Pruefung, neuen Daten, Vendor-Modellwechsel, Hochrisiko-Kontext, geaenderter Kundendokumentation, Vorfaellen oder neuer offizieller Guidance.

FAQ

Wozu dienen Anbieterpflichten praktisch?

Sie zeigen Rolle, Pflichten, Nachweise, Kundenanweisungen, Monitoring und Neubewertungspfad fuer das angebotene oder geaenderte KI-System.

Wann koennen sie fuer SaaS gelten?

Wenn ein Team ein KI-System entwickelt oder entwickeln laesst, es unter eigenem Namen vermarktet, ein Hochrisiko-System wesentlich aendert, den Zweck aendert oder ein GPAI-Modell bereitstellt.

Was zuerst dokumentieren?

Einen Record je KI-Workflow: Rolle, Klassifizierung, Pflichten, Nachweis-Owner, technische Unterlagen, Kundendokumentation, Monitoring, Launch-Blocker und Neubewertung.