---
name: betreiber-deployer-pflichten-art-26
description: "Pflichten von Betreibern (Deployers) von Hochrisiko-KI nach Art. 26 KI-VO: bestimmungsgemaesze Verwendung menschliche Aufsicht sicherstellen Eingaberelevanz Protokollaufbewahrung. Grundrechte-Folgenabschaetzung Art. 27 KI-VO fuer oeffentliche Stellen und bestimmte Privatbetreiber."
---

# Betreiber-Pflichten (Deployer) — Art. 26 und 27 KI-VO

## Zweck

Betreiber (deployer) sind diejenigen, die ein Hochrisiko-KI-System in eigener Verantwortung einsetzen. Sie sind keine Anbieter, tragen aber erhebliche eigene Compliance-Pflichten, die durch Art. 26 KI-VO normiert sind.

## Pflicht 1 — Bestimmungsgemäße Verwendung (Art. 26 Abs. 1 KI-VO)

Betreiber müssen das Hochrisiko-KI-System in Übereinstimmung mit der Gebrauchsanweisung des Anbieters verwenden. Abweichungen vom bestimmungsgemäßen Zweck können dazu führen, dass der Betreiber zum Anbieter wird (Art. 25 KI-VO).

**Prüffragen:**
- Haben Sie die Gebrauchsanweisung des Anbieters erhalten und verstanden?
- Verwenden Sie das System ausschließlich für den in der Gebrauchsanweisung beschriebenen Zweck?
- Haben Sie eigene Anpassungen vorgenommen, die über die erlaubten Anpassungen hinausgehen?

## Pflicht 2 — Menschliche Aufsicht sicherstellen (Art. 26 Abs. 2 KI-VO)

Betreiber müssen sicherstellen, dass die vom Anbieter vorgesehenen Aufsichtsmaßnahmen tatsächlich umgesetzt werden. Sie müssen qualifizierte Personen mit der Aufsicht beauftragen und diese angemessen schulen.

**Prüffragen:**
- Sind zuständige Aufsichtspersonen benannt?
- Haben diese Personen die vom Anbieter vorgeschriebene Schulung erhalten?
- Gibt es ein dokumentiertes Verfahren, wie Aufsichtspersonen bei Auffälligkeiten vorgehen?

## Pflicht 3 — Eingaberelevanz sicherstellen (Art. 26 Abs. 3 KI-VO)

Betreiber, die selbst Eingabedaten für das KI-System steuern, müssen sicherstellen, dass die Eingabedaten für den vorgesehenen Zweck relevant sind. Fehlerhafte oder ungeeignete Eingabedaten können die Systemleistung beeinträchtigen und Pflichten des Betreibers begründen.

**Prüffragen:**
- Welche Eingabedaten steuert der Betreiber bei?
- Werden diese Daten vor der Eingabe auf Qualität und Relevanz geprüft?

## Pflicht 4 — Protokollaufbewahrung (Art. 26 Abs. 6 KI-VO)

Betreiber müssen die vom KI-System erzeugten Protokolle mindestens sechs Monate aufbewahren, sofern keine anderen Rechtsvorschriften (DSGVO, nationales Recht) kürzere oder längere Fristen vorschreiben.

**Prüffragen:**
- Werden Systemprotokolle gespeichert und sind sie nach sechs Monaten noch abrufbar?
- Gibt es Konflikte zwischen der Aufbewahrungspflicht und Datenschutzlöschpflichten?

## Pflicht 5 — Informationspflicht gegenüber betroffenen Personen (Art. 26 Abs. 7 KI-VO)

Wenn das Hochrisiko-KI-System für Entscheidungen eingesetzt wird, die betroffene Personen betreffen, müssen diese Personen informiert werden — zumindest darüber, dass ein KI-System eingesetzt wird, wenn dies nicht bereits aus dem Kontext hervorgeht.

## Pflicht 6 — Meldung schwerwiegender Vorfälle (Art. 26 Abs. 5 KI-VO)

Betreiber müssen schwerwiegende Vorfälle (serious incidents) dem Anbieter und gegebenenfalls der nationalen Marktüberwachungsbehörde melden. Details: `marktueberwachung-meldung-vorfaelle-art-72-bis-79`

## Sonderfall: Grundrechte-Folgenabschätzung (Art. 27 KI-VO)

### Wer muss die Folgenabschätzung durchführen?

Eine Grundrechte-Folgenabschätzung ist verpflichtend für:
- Öffentliche Stellen, die Hochrisiko-KI einsetzen
- Privatunternehmen, die Hochrisiko-KI für öffentlich zugängliche Dienstleistungen einsetzen, wenn diese Dienste Bank- oder Kreditdienstleistungen, Versicherungsdienstleistungen, Bildungsleistungen oder Beschäftigungsvermittlung umfassen

### Inhalt der Folgenabschätzung (Art. 27 Abs. 1 KI-VO)

Die Folgenabschätzung muss umfassen:
- Beschreibung des KI-Systems und seines Verwendungszwecks
- Betroffene Gebiete und Bevölkerungsgruppen
- Identifizierung der relevanten Grundrechte, die betroffen sein können
- Bewertung möglicher negativer Auswirkungen auf Grundrechte
- Risikominderungsmaßnahmen

### Verhältnis zur DSGVO-Datenschutz-Folgenabschätzung

Die KI-VO-Folgenabschätzung nach Art. 27 und die DSGVO-Datenschutz-Folgenabschätzung nach Art. 35 DSGVO können kombiniert durchgeführt werden, sind aber nicht identisch. → `output-betreiber-checkliste-und-folgenabschaetzung`

---

Hinweis: Keine Rechtsberatung. Mechanische Prüfung anhand vom Nutzer behaupteter Tatsachen. Die KI-VO ist in Auslegung und Konkretisierung dynamisch; Leitlinien der Kommission und Durchführungsrechtsakte sind laufend zu beobachten.