top of page
Suche

AI Act (Teil 3): Handlungsempfehlungen für GenAI-Betreiber


Futuristische Abbildung AI Act (Hintergrund von Brian Penny, Pixabay)

Sie nutzen bereits generative KI in Ihrem Unternehmen – wissen aber nicht genau, welche regulatorischen Anforderungen dabei auf Sie zukommen? Unsere Handlungsempfehlungen für Betreiber zeigen, worauf Sie beim Einsatz von KI-basierten Tools achten sollten, damit Ihr Vorhaben von Beginn an mit der KI-Verordnung der EU im Einklang steht. So schaffen Sie die Basis für einen sicheren, transparenten und vertrauenswürdigen KI-Betrieb.





Zusammenfassung

  1. Die meisten Unternehmen gelten nach KI-VO als Betreiber – was das praktisch heißt, zeigen wir anhand von zwei Szenarien: Worst Case vs. Best Practice.

  2. Transparenz wird 2026 Pflicht: Betreiber generativer KI müssen für Nachvollziehbarkeit mithilfe von Kennzeichnungen sorgen; frühes Handeln schafft bereits heute Vertrauen und verhindert teure Umstellungen.


  3. Mit menschlicher Aufsicht, KI-Verantwortlichem und gezielter Weiterbildung wird aus KI-verbundenen Risiken eine steuerbare, regelkonforme Unternehmenspraxis.


  4. Wer GenAI mit klaren Leitlinien, Kennzeichnungen, Kontrollen und Kompetenzen nach dem Compliance-by-Design-Ansatz betreibt, erfüllt nicht nur die KI-VO-Vorgaben, sondern reduziert auch Risiken und schafft Wettbewerbsvorteile.

Inhaltsverzeichnis



  



Im August 2026 tritt die Transparenz- und Kennzeichnungspflicht der KI-Verordnung in Kraft. Dies betrifft auch mittelständische Unternehmen aus den Bereichen Medtech, Biotech und Pharma, die generative KI (generative AI oder kurz GenAI) im Betrieb nutzen. Nach Teil 1 Überblick über neue GPAI-Pflichten und Teil 2 Empfehlungen für GenAI-Anbieter legt Teil 3 nun den Fokus auf Betreiber von GenAI-Tools.


Nachfolgend werden zentrale Begriffe anhand eines Positiv-/Negativ-Beispiels erläutert, die Transparenzanforderung nach Art. 50 anschaulich erklärt und die Notwendigkeit von KI-Kompetenzen im Unternehmen verdeutlicht. Ziel ist es, KMU klare Orientierung und konkrete Handlungsansätze für den regelkonformen KI-Einsatz zu bieten.



1.     Betreiber, Nutzer oder Endnutzer? Ein kurzer Rollenüberblick

Viele Unternehmen verlieren allmählich den Überblick angesichts der vielen verschiedenen Begriffsbezeichnungen, die mittlerweile existieren (Betreiber, Nutzer, Endnutzer usw.). Nachfolgend eine Begriffsübersicht, die für mehr Klarheit sorgen soll:

KI-Verordnung der EU

(KI-VO 2024/1689)

Nicht-juristischer Alltagsbegriff

Nicht-juristischer Alltagsbegriff

Betreiber

Nutzer

Endnutzer

„eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System unter ihrer Aufsicht einsetzt, es sei denn, das KI-System wird im Rahmen einer persönlichen, nicht beruflichen Tätigkeit verwendet“ (Art. 3 Nr. 4)

„Nutzer“ stellt keine offizielle Rechtsrolle im Sinne der KI-VO dar. Der Begriff kann in der Alltagssprache jedoch eine Person oder ein Unternehmen meinen, welches ein KI-System einsetzt — dies entspricht oftmals dem Begriff „Betreiber“.

Der Begriff ist in der KI-VO nicht als eigene juristische Rolle definiert. Umgangssprachlich bezeichnet er eine Person (z.B. ein Mitarbeiter eines Unternehmens), die ein KI-System verwendet oder dessen Ergebnisse nutzt, ohne im rechtlichen Sinne Verantwortung zu tragen.

Die meisten Unternehmen werden sich mindestens in der Rolle des Betreibers wiederfinden. Was bedeutet das aber nun konkret? Betrachten wir dazu einmal ein Worst-Case-Szenario sowie ein Best-Practice-Beispiel zum Thema:

E-Mail-Erstellung mithilfe von ChatGPT auf der Arbeit

Worst-Case-Szenario

Best-Practice-Beispiel

Immer mehr Mitarbeitende verfassen Entwürfe mit ihren privaten ChatGPT-Konten im Medical-Affairs-Team. Offiziell gibt es keine Policy im Unternehmen. Alle wissen, „das ist gängige Praxis heutzutage“. Irgendwann übernimmt ein Außendienstler unbemerkt Formulierungen zu Nebenwirkungsprofilen direkt aus einer KI-Antwort in ein Ärzte-Mailing. Eine Formulierung ist verkürzt — es kommt zu einer Beschwerde; Legal muss ad hoc prüfen, woher der Text stammt, wer freigegeben hat und ob Transparenzpflichten greifen.

Statt Privatkonten erhalten alle Medical-Affairs-Mitarbeitenden Unternehmenslizenzen für einen geprüften KI-Dienst. Es gibt feste Text-Vorlagen (auch für Ärzte-Mailings), Quellenangaben und einen kurzen Freigabeweg über Medizin und Recht. Jeder Entwurf wird mit Datum und Autor gespeichert – so ist klar nachvollziehbar, woher etwas stammt. Private Konten sind untersagt.


In diesem vorbildhaften Szenario ist mit keinerlei rechtlichen Konsequenzen im Sinne der KI-VO zu rechnen.

Konsequenzen 

  • Hohes Risiko: fehlende Leitplanken, fehlende Nachvollziehbarkeit

  • Feuerwehr-Aufwand: nachträgliche Prüfungen, Korrekturen, Kommunikationsrisiken

  • Kosten: mehr Zeitverlust als bei einer kurzen, klaren Freigabe-Policy


Unsere Empfehlung

„Stilles Dulden“ beenden: Position beziehen (erlauben mit Regeln oder verbieten und Verbot klar durchsetzen).

Unsere Empfehlung 

  • Unternehmens-Accounts statt Privat-Accounts, d.h. offiziell für Mitarbeitende Lizenzen eines geeigneten Anbieters zur Verfügung stellen (z.B. ChatGPT)

  • Kurze Richtlinie aufsetzen (Was ist erlaubt? Was nicht?)

  • Kennzeichnung/Transparenzregeln für externe Inhalte

  • Individuelle KI-Schulung plus FAQ-Leitfaden


Hinweis: Mehr zum Thema KI-Schulung und Transparenzpflicht finden Sie weiter unten im Artikel.


Cartoon von Cloud Science zeigt wie Chef suchend aus dem Fenster blickt während Mitarbeiter am PC firmeninterne Geheimnisse bei ChatGPT eingibt

Generell empfehlen wir, das heutige Potenzial künstlicher Intelligenz auszuschöpfen und KI-Tools offiziell im Unternehmen einzuführen. Es sei denn, Sie verbieten es aus bestimmten Gründen wie dem Schutz sensibler Daten. Zwar sind gelebte KI-Praktiken wie das Verfassen einer E-Mail mit privatem ChatGPT längst im Büroalltag angekommen. Ein „Erlauben mit Leitplanken“ ist hier aber in der Regel effizienter und produktivitätssteigernder als eine nicht autorisierte, stille Nutzung. Kurz gesagt: Besser kontrolliert nutzen als unkontrolliert dulden. 

2.     Transparenzpflicht für GenAI-Betreiber


Wie bereits zu Anfang erwähnt, treten ab dem 2. August 2026 die meisten Transparenzpflichten der KI-VO in Kraft. Diese Pflichten betreffen insbesondere Betreiber von KI-Systemen, die mit Menschen interagieren oder KI-generierte Inhalte veröffentlichen. Ziel ist es, für Nutzer klar erkennbar zu machen, wann sie es mit künstlich erzeugten Inhalten oder Interaktionen zu tun haben.

Zusammenhang zwischen „KI-Systemen“ und „KI-Modellen“ Artikel 50 der KI-VO gilt ausdrücklich für KI-Systeme – aber weil generative KI-Modelle typischerweise Teil eines KI-Systems sind (z. B. ein Chatbot-System oder ein Bild­generierungs­system), erfassen die Transparenz- und Kennzeichnungspflichten effektiv auch diese, sobald sie in einem System betrieben werden, das den Pflichten des besagten Artikels unterliegt.

Für mehr Details klicken Sie auf:

Definition von GPAI-Modellen

Der ähnlich klingende Begriff GenAI (generative KI) ist den meisten wahrscheinlich geläufiger - auch wenn dieser mit GPAI nicht direkt gleichzusetzen ist. So bildet GenAI bspw. nur einen Teil von GPAI. In der KI-Verordnung der EU wird übrigens ausschließlich der Begriff GPAI verwendet. Hier die darinstehende offizielle Definition:


Unter einem KI-Modell mit allgemeinem Verwendungszweck (General-Purpose AI oder GPAI) ist ein KI-Modell zu verstehen, ,,das eine erhebliche allgemeine Verwendbarkeit aufweist und in der Lage ist, [...] ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen, und das in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden kann". (Art. 3 Nr. 63, KI-VO)


Konkrete Beispiele für solche großen Sprach-/Multimodalmodelle sind u.a. ChatGPT, Dall-E und Sora, die für vielfältige Zwecke genutzt werden (Text, Bild, Code usw.). Zum Vergleich: Spezialisierte Modelle, die nur eng umrissene Aufgaben erfüllen und keine breite Übertragbarkeit besitzen, fallen nicht unter die GPAI-Pflichten von Kapitel V.


Dennoch können diese weiterhin den allgemeinen risikobasierten Regeln unterliegen – insbesondere dann, wenn sie als Hochrisiko-System eingestuft werden. Wenn Sie ein solches KI-System betreiben, erhöhen sich Anforderungen deutlich.

Was beinhalten die Transparenzpflichten genau?


Betreiber müssen sicherstellen, dass natürliche Personen erkennen können, wenn sie mit einem KI-System interagieren oder wenn Inhalte durch KI erzeugt oder beeinflusst wurden. Dies umfasst insbesondere:

  • Die Kennzeichnungspflicht bei Interaktionen

Wenn ein Mensch mit einer generativen KI (z. B. Chatbot oder Sprachassistent) interagiert, muss klar erkennbar sein, dass die Antwort oder Kommunikation von einer KI stammt – etwa durch einen Hinweis wie „Sie chatten mit einer KI“ oder „Diese Antwort wurde automatisiert erstellt“.

Chatbot-Beispiel der Techniker Krankenkasse TK „sayHELLO“ ist ein KI-Tool, bei dem KI-Avatare Fragen zur Krankenversicherung für internationale Fachkräfte mehrsprachig beantworten. Die beiden Personen sehen fast real aus. Es wird jedoch darauf hingewiesen, dass es sich um Avatare handelt:

Ein männlicher und ein weiblicher Avatar der Techniker Krankenkasse

Mehr dazu finden Sie unter: sayHELLO! Unsere Antwort auf die Fragen von internationalen Mitarbeitenden | Die Techniker - Firmenkunden

  • Die Kennzeichnungspflicht bei Deepfakes und synthetischen Inhalten

Werden KI-generierte oder -veränderte Bilder, Videos, Audio oder Texte veröffentlicht, die echte Personen imitieren oder manipulieren, müssen diese Inhalte ausdrücklich gekennzeichnet werden (z. B. „Dieses Bild wurde mithilfe von KI erstellt“). Bitte beachten Sie, dass darüber hinaus noch zusätzliche Gesetze wie die DSGVO sowie Rechte am eigenen Bild greifen. So gelten das Erstellen und Veröffentlichen eines Deepfakes ohne Einwilligung der betroffenen Personen auf dem Bild bereits als unzulässig – ob mit oder ohne Kennzeichnung.

KI-generierte Beispielbilder auf Shutterstock Von KI-erstellte Life-Science-Bilder lassen sich auf Shutterstock finden. Diese werden dort explizit als "AI-generated" ausgewiesen:

KI-generierte und -gekennzeichnete Life-Science-Bilder auf Shutterstock

Mehr dazu finden Sie unter: AI Life Science: Over 154 AI-generated, Royalty-free and Licensable Images | Shutterstock

Hinweis: Transparenz- und Kennzeichnungspflichten gelten insbesondere dann, wenn solche Inhalte der Öffentlichkeit Informationen über Themen von öffentlichem Interesse vermitteln (z. B. Pressearbeit, Marketing, politische Kommunikation).


Warum Unternehmen sich schon jetzt vorbereiten sollten Auch wenn die Transparenzpflichten erst ab August 2026 gelten, ist es strategisch klug, frühzeitig Maßnahmen zu ergreifen: Wer Kennzeichnung und Offenheit beim KI-Einsatz bereits heute lebt, wird als verantwortungsvoll wahrgenommen, schafft Vertrauen bei Kunden und Partnern und sichert sich so einen Wettbewerbsvorteil—während spätere, kostspielige Anpassungen vermieden werden. So können sie sicherstellen, dass der KI-Einsatz ab 2026 rechtskonform und vertrauenswürdig bleibt. Nutzen Sie auch gerne unsere Checkliste unten:


Chekliste zur Transparenzpflicht für KMU

Vorausschauende & Risiko-vorbeugende Maßnahmen

  • Sind bereits interne Leitlinien zum KI-Einsatz verabschiedet und Kennzeichnungsprozesse festgelegt (z. B. Labeling von KI-generierten Inhalten)?

  • Sind die Einsatzszenarien der KI-Anwendungen dokumentiert (z. B. welches KI-System für welchen Einsatzweck genutzt werden darf)?


  •  Wurde vor dem Einsatz geprüft, unter welche Risikoklasse das KI-System fällt (z. B. Hochrisiko-KI)?

  • Ist das Personal im Bereich KI entsprechend weitergebildet (siehe Folgekapitel)?

Transparenz & Kommunikation

  • Wird die Endnutzer deutlich darauf hingewiesen, wenn sie mit einer generativen KI interagieren?

  • Werden vollständig von KI erzeugte Inhalte (Text, Bild, Video, Audio) klar als KI-generiert gekennzeichnet, insbesondere wenn sie veröffentlicht werden? Ausnahmen bestehen bei KI-generierten Bildern, die nachträglich erheblich bearbeitet wurden, sowie bei einzelnen Elementen wie Icons beispielsweise.

  • Gibt es interne Richtlinien, wie solche Kennzeichnungen erfolgen (z. B. Hinweistext, Symbol, Wasserzeichen)?

Technische & organisatorische Verantwortung

  • Ist dokumentiert, welches Modell verwendet wird (z. B. Chat-GPT, Midjourney, Gemini)?

  • Ist geregelt, in welchen Prozessen die generative KI eingesetzt wird (z. B. Kommunikation, Marketing, HR)?

  • Werden Protokolle oder Logs geführt, um nachzuweisen, wann und wie KI zum Einsatz kam (Nachvollziehbarkeit bei Reklamationen oder Prüfungen)?

Abschließend möchten wir darauf hinweisen, die Pflichten zur inhaltlichen Überprüfung auf Falschinformationen oder Diskriminierung zwar nicht explizit Teil von Art. 50, aber als "gute Praxis" für einen verantwortungsvollen Einsatz von KI-basierten Tools gelten.


3.     Menschliche Aufsicht, KI-Beauftragte und KI-Kompetenzen   

Menschliche Aufsicht


„Hochrisiko-KI-Systeme werden so konzipiert und entwickelt, dass sie … von natürlichen Personen wirksam beaufsichtigt werden können“ (Art. 14, KI-VO). Wohingegen Anbieter dazu verpflichtet sind, die Voraussetzungen für eine menschliche Aufsicht von Hochrisiko-KI-Systemen zu schaffen (siehe Art. 14), liegt es in der Verantwortung der Betreiber, diese Beaufsichtigung tatsächlich durchzuführen (Art. 26). Für Betreiber bedeutet das konkret:


  • aufsichtsverantwortliche Personen benennen und qualifizieren,

  • Hochrisiko-KI-System gemäß Anleitung des Anbieters einsetzen,

  • Monitoring/Logging nutzen und Vorfälle melden,

  • Eingabedaten angemessen/relevant halten.


KI-Beauftragter


Die nationalen Marktüberwachungsbehörden beaufsichtigen die Nutzung von KI-Systemen; zuständig für GPAI-Modelle ist ausschließlich das KI-Büro in Brüssel (Kapitel V). Für Betreiber befindet sich daher der Primärkontakt auf nationaler Ebene.


Abbildung zur KI-Governance-Struktur

Was bedeutet dies konkret für den Betreiber? Ein „KI-Verantwortlicher“ auf Betreiberseite ist sinnvoll, aber rechtlich nicht vorgeschrieben. In seinen Aufgabenbereich kann u.a. folgendes fallen:  


  • Kontakt zur Marktaufsicht

  • interne Koordination (Recht/IT/HR/Risiko),

  • Arbeitnehmer-Informationen,

  • Logging-/Monitoring-Set-up,

  • Vorfallmeldungen sowie

  • FRIA-Durchführung (falls einschlägig)


Klicken Sie auf die untenstehende Behörde, um mehr darüber zu erfahren:

Marktüberwachungsbehörde

In Deutschland übernimmt die Bundesnetzagentur sowohl die Rolle der notifizierenden Behörde als auch die der zentralen KI-Marktüberwachung. Sie ist ein primärer Ansprechpartner für viele Unternehmen.

KI-Kompetenzaufbau


Zuletzt wollen wir noch einmal darauf aufmerksam machen, dass die KI-Verordnung den Nachweis der KI-Kompetenz für Betreiber und andere betroffene Akteure betont.

Diese sind dazu angehalten, ihr Personal rollenbezogen weiterzubilden (Aufsicht, Datenqualität, Logging, Melden, Kennzeichnung): „Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um … sicherzustellen, dass ihr Personal... über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen…, zu berücksichtigen sind.“ (Art. 4, KI-VO)


Mehr zum Thema KI-Kompetenzaufbau finden sie hier: Aktuelles zum AI Act - Worauf KMU jetzt achten sollten

4.     GenAI verantwortungsvoll betreiben


Die KI-Verordnung der EU stellt Betreiber vor neue Aufgaben – aber auch vor neue Chancen. Wer frühzeitig Verantwortung übernimmt und Transparenz als Leitprinzip begreift, legt den Grundstein für nachhaltigen Erfolg im KI-Einsatz. Es ist zudem im eigenen Interesse des Unternehmens, sicherzustellen, dass mögliche Schäden durch eine verantwortungsvolle KI-Nutzung abgewendet werden.

Dazu nochmal alle Empfehlungen für GenAI-Betreiber gemäß unseres Compliance-by-Design-Ansatzes (bewusste vorausschauende Regelkonformität) auf einem Blick:


ree

  • KI-Betriebsleitlinien festlegen: Wie darf ein System genutzt werden, wer schaut drauf, wie wird dokumentiert?

  • KI-Inhalte kennzeichnen und erklären: Generierte Content klar kenntlich machen; für Mitarbeitende und Kund:innen kurz erläutern, wofür das System geeignet ist – und wofür nicht.

  • Kontrollen im Betriebsalltag etablieren: Fachliche Stichproben, Freigabegrenzen, Abuse-Szenarien. Wenige aber klare Checks & Balances.

  • KI-Kompetenz aufbauen, nicht outsourcen: Verantwortliche benennen, kurze maßgeschneiderte Lerneinheiten etablieren, Lessons Learned festhalten.

Unsere drei-teilige Reihe greift das aktuelle Thema generative AI auf und betrachtet es aus verschiedenen Blickwinkeln: Welche GPAI-Pflichten sind ab sofort gültig (Teil 1), was bedeutet das für GenAI-Anbieter (Teil 2) und welche Pflichten ergeben sich für die Betreiber (Teil 3). Dabei hat die Reihe u.a. gezeigt, dass die GPAI-Pflichten insbesondere Anbieter von GPAI-Modellen betreffen. Betreiber von generativen KI-Tools befassen sich hingegen verstärkt mit der Transparenzpflicht gemäß Art. 50.

 

Unser Fazit der Reihe: Wer KI strategisch betreibt, reduziert Schäden, gewinnt Vertrauen und beschleunigt Entscheidungen – ob mit oder ohne Verordnung. Die EU-KI-Vorgaben sind dabei kein Stolperstein, sondern ein brauchbarer Mindeststandard, an dem sich gute Praxis messen lässt.


Regelkonformität ist die Basis – Wettbewerbsvorteil entsteht durch Klarheit, Routine und Haltung im Betrieb.

Wer noch keine KI-Strategie formuliert hat, findet hier einen guten Startpunkt: KI-Beratung für Life-Science-KMU


Wenn Ihnen dieser Artikel gefallen hat, freuen wir uns über Ihr Feedback in den Kommentaren. Teilen Sie Ihre Gedanken und lassen Sie uns wissen, wie wir Sie noch besser unterstützen können. Verpassen Sie außerdem nicht unsere nächste Veröffentlichung, die wie immer donnerstags und diesmal am 04. Dezember erscheint.




Quellen:



Disclaimer:  Alle Angaben erfolgen nach bestem Wissen und Gewissen, jedoch ohne Gewähr für Vollständigkeit, Richtigkeit und Aktualität.




Das könnte Sie auch interessieren:


Futuristische Abbildung AI Act (Hintergrund von Brian Penny, Pixabay)

Kommentare

bottom of page