28 Tage bis zum Inkrafttreten des EU-KI-Gesetzes
Mehr erfahren →

EU-KI-Gesetz Artikel 26: Verpflichtungen des Deployers für hochrisikige KI

Artikel 26 legt fest, was Deployer — die Organisationen, die ein hochrisikiges KI-System unter ihrer eigenen Autorität verwenden — tun müssen. Im Gegensatz zu den Anbieterverpflichtungen liegen diese Pflichten bei dem Betreiber, der das System in der realen Welt ausführt: Anweisungen befolgen, kompetente menschliche Aufsicht zuweisen, Betrieb überwachen, Protokolle aufbewahren und handeln, wenn etwas schiefgeht. Diese Seite zerlegt jede Pflicht.

Artikel 26 Deep Dive

EU-KI-Gesetz Artikel 26: Verpflichtungen des Deployers für hochrisikige KI

Artikel 26 legt fest, was Deployer — die Organisationen, die ein hochrisikiges KI-System unter ihrer eigenen Autorität verwenden — tun müssen. Im Gegensatz zu den Anbieterverpflichtungen liegen diese Pflichten bei dem Betreiber, der das System in der realen Welt ausführt: Anweisungen befolgen, kompetente menschliche Aufsicht zuweisen, Betrieb überwachen, Protokolle aufbewahren und handeln, wenn etwas schiefgeht. Diese Seite zerlegt jede Pflicht.

Zuletzt aktualisiert: 4. Juli 2026

Wer ist ein Deployer?

Ein Deployer ist jede natürliche oder juristische Person, die ein KI-System unter ihrer eigenen Autorität im Rahmen einer beruflichen Tätigkeit verwendet (Einzelne, die KI für rein persönliche, nicht berufliche Gründe verwenden, sind ausgeschlossen).

Die Verpflichtungen des Deployers stehen neben den Anbieterverpflichtungen, nicht an deren Stelle. Der Anbieter entwickelt und dokumentiert das System; der Deployer ist für die tatsächliche Verwendung verantwortlich. Wenn ein Deployer ein hochrisikiges System wesentlich modifiziert oder seinen eigenen Namen darauf anbringt, kann er auch Anbieterverpflichtungen nach Artikel 25 übernehmen.

Die Kernpflichten des Deployers

Artikel 26 legt eine definierte Reihe von Betriebspflichten für Deployer von hochrisikigen KI-Systemen fest:

  • Verwendung nach Anweisungen — geeignete technische und organisatorische Maßnahmen ergreifen, um das System gemäß den Anweisungen des Anbieters für die Verwendung zu verwenden
  • Zuweisung kompetenter menschlicher Aufsicht — die Aufsicht natürlichen Personen zu übertragen, die die notwendige Kompetenz, Schulung, Autorität und Unterstützung haben, um sie unter Artikel 14 auszuführen
  • Steuerung der Eingabedaten — sicherzustellen, dass die Eingabedaten, die der Deployer kontrolliert, relevant und ausreichend repräsentativ sind, um den beabsichtigten Zweck des Systems zu erfüllen
  • Überwachung des Betriebs — den Betrieb des Systems gegen die Anweisungen für die Verwendung zu überwachen und den Anbieter oder Vertreiber zu informieren, wenn ein Risiko auftritt
  • Aufbewahrung automatisch generierter Protokolle — die Protokolle, die das System automatisch generiert, aufzubewahren, soweit sie unter der Kontrolle des Deployers stehen, für mindestens sechs Monate (es sei denn, ein längerer Zeitraum ist durch Unions- oder nationales Recht vorgeschrieben)
  • Information der Arbeitnehmer und ihrer Vertreter — vor der Inbetriebnahme eines hochrisikigen KI-Systems am Arbeitsplatz die betroffenen Arbeitnehmer und ihre Vertreter darüber zu informieren, dass sie diesem System unterliegen
  • Datenschutz-Folgenabschätzung — soweit relevant, die Informationen, die nach Artikel 13 bereitgestellt werden, zu verwenden, um eine Datenschutz-Folgenabschätzung nach der DSGVO durchzuführen
  • Aussetzen und Informieren bei schwerwiegendem Risiko — wenn das System ein Risiko für die Gesundheit, die Sicherheit oder die Grundrechte darstellt oder ein schwerwiegendes Ereignis eintritt, die Verwendung auszusetzen, den Anbieter, Vertreiber und die relevanten Behörden zu informieren und mit diesen zusammenzuarbeiten

Die sechsmonatige Aufbewahrungsfrist für Protokolle

Deployer müssen die automatisch generierten Protokolle, die unter ihrer Kontrolle stehen, für einen Zeitraum aufbewahren, der angemessen für den beabsichtigten Zweck ist, und in jedem Fall für mindestens sechs Monate, es sei denn, ein längerer Aufbewahrungszeitraum ist durch Unions- oder nationales Recht vorgeschrieben.

Dies gilt für die Protokolle, die unter der Kontrolle des Deployers stehen. Es ist die Pendant auf der Seite des Deployers zu der Protokollierungskonzeption des Anbieters nach den Artikeln 12 und 19: Der Anbieter entwickelt die Protokollierungsfähigkeit, und der Deployer ist für die tatsächliche Aufbewahrung und die Fähigkeit, die resultierenden Aufzeichnungen zu produzieren, verantwortlich. Branchenregeln (z. B. in der Finanz- oder Gesundheitsbranche) legen häufig eine längere Aufbewahrungsfrist fest, daher sollte die sechsmonatige Frist als Minimum und nicht als Ziel angesehen werden.

Öffentliche Stellen, die als Deployer handeln, haben zusätzliche Transparenz- und Registrierungspflichten nach den Artikeln 26 und 49.

Wie AIAgentree hilft

AIAgentree bietet Deployern ein laufendes System der Aufzeichnungen für genau die Pflichten, die Artikel 26 auferlegt — die Protokollaufbewahrung, den Aufsichtsworkflow und die Überwachungsbeweise:

  • Prüffähige Aufbewahrung hält die automatisch generierten Entscheidungsaufzeichnungen weit über die sechsmonatige Frist hinaus auf, mit tamper-evidenter Speicherung und EU-Datenresidenz in Deutschland, sodass Sie Protokolle auf Anfrage produzieren können
  • Menschliche Aufsichts- und Genehmigungsworkflows erfassen, wer eine Entscheidung überprüft, genehmigt, außer Kraft setzt oder eskaliert hat — den Beweis, dass kompetente Aufsicht tatsächlich ausgeübt wurde, nach Artikel 14
  • Ergebnistracking, Präzedenzsuche und Low-Latency-Async-Erfassung (unter 10 ms) bieten das Überwachungssignal, um zu erkennen, wenn ein System von den Anweisungen für die Verwendung abweicht, verfügbar über REST, MCP, A2A, OpenTelemetry und die Python- und TypeScript-SDKs — starten Sie kostenlos mit 25 Spuren

Häufig gestellte Fragen

Was ist der Unterschied zwischen einem Anbieter und einem Deployer?

Der Anbieter entwickelt das KI-System und bringt es auf den Markt oder nimmt es in Betrieb, unter seinem eigenen Namen; der Deployer verwendet dieses System unter seiner eigenen Autorität in einem professionellen Kontext. Artikel 26 regelt Deployer, während Artikel 8 bis 21 Anbieter regeln. Eine Organisation kann beides sein.

Wie lange müssen Deployer die Protokolle aufbewahren?

Mindestens sechs Monate. Artikel 26(6) verlangt, dass Deployer die automatisch generierten Protokolle, die unter ihrer Kontrolle stehen, für einen angemessenen Zeitraum im Hinblick auf den beabsichtigten Zweck und in jedem Fall für mindestens sechs Monate aufbewahren, es sei denn, Unionsrecht oder nationales Recht verlangen eine längere Aufbewahrungsfrist.

Müssen Deployer den Mitarbeitern mitteilen, dass ein KI-System verwendet wird?

Ja, wenn das System am Arbeitsplatz verwendet wird. Bevor ein Deployer ein Hochrisiko-KI-System in Betrieb nimmt oder am Arbeitsplatz verwendet, muss er die Vertreter der Arbeitnehmer und die betroffenen Arbeitnehmer darüber informieren, dass sie diesem System unterliegen, im Einklang mit den Informations- und Konsultationsregeln.

Wann wird ein Deployer zu einem Anbieter?

Nach Artikel 25 übernimmt ein Deployer die Verpflichtungen eines Anbieters, wenn er sein eigenes Zeichen oder seine eigene Marke auf ein bereits auf dem Markt befindliches Hochrisiko-System anbringt, es wesentlich ändert oder den beabsichtigten Zweck eines Systems in einer Weise ändert, die es zu einem Hochrisiko-System macht.

Was muss ein Deployer tun, wenn das System ein ernstes Risiko darstellt?

Die Verwendung aussetzen und den Anbieter oder Vertreiber und die zuständige Marktaufsichtsbehörde unverzüglich informieren. Wenn ein ernstes Zwischenfall auftritt, muss der Deployer diesen melden und mit den Behörden und dem Anbieter bei korrektiven Maßnahmen zusammenarbeiten.

Fahren Sie mit der Erkundung des EU-KI-Gesetzes-Leitfadens fort

EU-KI-Gesetzes-Konformitäts-Leitfaden

Der vollständige Leitfaden zur Konformität mit dem EU-KI-Gesetz für KI-Agenten — starten Sie hier.

Artikel 12 — Aufzeichnung und Protokollierung

Was jedes Hochrisiko-KI-System protokollieren muss und wie man es erfassen kann.

Artikel 14 — Menschliche Aufsicht

Entwicklung effektiver menschlicher Kontrollen für KI-Entscheidungen.

Anhang III — Hochrisiko-KI-Systeme

Welche KI-Anwendungsfälle das Gesetz als hochrisikig einstuft.

EU-KI-Gesetzes-Konformitäts-Checkliste

Eine schrittweise Checkliste, um die Konformität zu erreichen und zu dokumentieren.

Konformitätskostenrechner

Schätzen Sie Ihre Konformitätsbemühungen und -kosten für das EU-KI-Gesetz.

Fristen und Zeitplan

Wichtige Durchsetzungsdaten, einschließlich der Frist vom 2. August 2026.

Geldstrafen und Bußgelder

Bußgeldstufen bis zu 35 Mio. € oder 7 % des globalen Jahresumsatzes.

Transparenzpflichten (Art. 13 und 50)

Offenlegungspflichten für KI-Systeme und ihre Ausgaben.

Risikomanagement und Konformitätsbewertung

Aufbau eines Risikomanagementsystems und Bewertung der Konformität.

GPAI-Pflichten

Regeln für Anbieter von allgemeinen KI-Modellen.

EU-KI-Gesetz für US-Unternehmen

Außerräumiger Anwendungsbereich und was US-Anbieter tun müssen.

Omnibus-Update

Die neuesten Änderungen an der EU-KI-Gesetz-Zeitachse und -Regeln.

Bußgeldrechner

Schätzen Sie Ihr maximales Bußgeld unter den Artikel 99-Stufen.

Artikel 11 + Anhang IV

Welche technische Dokumentation das EU-AI-Gesetz erfordert.

Artikel 17: Qualitätsmanagement

Das QMS, das Anbieter von High-Risk-KI dokumentieren müssen.

Artikel 10: Datenverwaltung

Datenqualität, Bias-Mitigation und Governance-Pflichten.

Artikel 4: KI-Literacy

Die KI-Literacy-Pflicht des Personals, die seit Februar 2025 in Kraft ist.

Deployer vs. Anbieter

Wer welche Verpflichtung trägt — und wann ein Deployer zu einem Anbieter wird.

FRIA (Artikel 27)

Wer eine Grundrechte-Auswirkungsabschätzung durchführen muss und wie.

Wer ist betroffen?

Anwendungsbereich, Betreiber und extraterritoriale Reichweite des EU-AI-Gesetzes.

Nachmarküberwachung

Artikel 72–73: laufende Überwachung und Meldung von Vorfällen.

ISO 42001 vs. EU-AI-Gesetz

Wie der freiwillige Standard und das bindende Gesetz zusammenpassen.

NIST AI RMF vs. EU-AI-Gesetz

Ein praktischer Vergleich zwischen dem Framework und dem Gesetz.

EU-AI-Gesetz für den Gesundheitssektor

High-Risk-Medizin-KI, MDR/IVDR-Interaktion und klinische Überwachung.

EU-AI-Gesetz für Finanzdienstleistungen

Kreditwürdigkeit, Versicherungspreise und bestehende Finanzregulierung.

EU-AI-Gesetz für Personalwesen und Beschäftigung

Einstellung von KI als High-Risk, plus NYC LL144 und EEOC-Überschneidung.