Wenn ein KI-System produktiv geht, atmen viele Projektteams auf. Die Risikoklassifizierung steht, die Dokumentation ist erstellt, die Schulungen sind durchgeführt, der erste Compliance-Report ist exportiert. Häkchen, weiter zum nächsten Projekt.
Das ist der Moment, in dem die meisten Unternehmen den ersten strukturellen Fehler in ihrer KI-Compliance machen. Denn der Go-Live ist nicht das Ende der Pflichten, sondern der Beginn des Dauerbetriebs. Und genau für den laufenden Betrieb hat der EU AI Act eigene Anforderungen formuliert, die viele Betreiber unterschätzen.
Dieser Beitrag zeigt, welche Pflichten nach dem Go-Live weiterlaufen, wie sie in der Praxis organisiert werden können und warum Artikel 72 (Post-Market Monitoring) auch für Betreiber relevant ist, obwohl er formal eine Anbieter-Pflicht ist.
Die sechs Pflichten, die nach dem Go-Live weiterlaufen
Wer ein KI-System in den produktiven Einsatz bringt, übernimmt Verantwortung für den gesamten Lebenszyklus. Die folgenden sechs Pflichten sind keine einmaligen Aufgaben, sondern laufende Prozesse.
KI-Kompetenz aktuell halten (Art. 4)
Die KI-Kompetenzpflicht gilt seit Februar 2025 und ist kein einmaliger Schulungstermin. Mitarbeiter, die mit KI-Systemen arbeiten, müssen über aktuelle Kompetenz verfügen, also auch dann, wenn sich das System ändert oder neue Personen ins Team kommen.
Praxis: Etablieren Sie einen Schulungszyklus (z.B. jährliche Auffrischung), dokumentieren Sie Onboarding-Schulungen für neue Mitarbeiter und führen Sie eine Schulungsmatrix mit Datum, Inhalt und Teilnehmer.
System aktiv überwachen (Art. 26 Abs. 5)
Betreiber von Hochrisiko-KI-Systemen müssen den Betrieb auf Basis der Anbieter-Anweisungen überwachen. Das umfasst die laufende Beobachtung des Systemverhaltens und die Bewertung, ob das System weiterhin wie erwartet funktioniert.
Praxis: Definieren Sie konkrete Monitoring-KPIs (z.B. Genauigkeit, Fehlerquote, Bias-Indikatoren), legen Sie Schwellenwerte fest und definieren Sie, was bei Überschreitung passiert. Wer prüft? Wie oft? An wen wird eskaliert?
Logs aufbewahren (Art. 26 Abs. 6)
Betreiber müssen die automatisch generierten Logs des Hochrisiko-Systems aufbewahren, soweit sie diese unter Kontrolle haben. Die Aufbewahrungsdauer richtet sich nach dem Verwendungszweck, mindestens aber sechs Monate, sofern keine andere Rechtsgrundlage längere Fristen verlangt.
Praxis: Klären Sie mit dem Anbieter, welche Logs erzeugt werden, wo sie gespeichert sind und wer Zugriff hat. Definieren Sie eine Retention-Policy. Achten Sie auf datenschutzrechtliche Anforderungen, insbesondere bei personenbezogenen Logs.
Menschliche Aufsicht sicherstellen (Art. 26 Abs. 2)
Hochrisiko-KI-Systeme dürfen nicht autonom entscheiden, sie brauchen menschliche Aufsicht. Betreiber müssen sicherstellen, dass die für die Aufsicht zuständigen Personen die nötige Kompetenz, Autorität und Unterstützung haben, um eingreifen zu können.
Praxis: Benennen Sie die für die Aufsicht zuständigen Personen namentlich. Stellen Sie sicher, dass diese das System verstehen und Eingriffsbefugnis haben. Dokumentieren Sie, wann und wie Eingriffe erfolgt sind.
Vorfälle melden (Art. 26 Abs. 5 in Verbindung mit Art. 73)
Wenn ein Betreiber Risiken im Sinne von Art. 79 oder einen schwerwiegenden Vorfall feststellt, muss er den Anbieter, Distributor und die zuständige Marktüberwachungsbehörde informieren. Anbieter haben anschließend Meldefristen von 2 bis 15 Tagen, je nach Schwere des Vorfalls.
Praxis: Etablieren Sie einen internen Eskalationsprozess: Was ist ein meldepflichtiger Vorfall? Wer entscheidet das? Wer meldet an wen, in welcher Form, in welcher Frist? Ein Eskalationsleitfaden mit Beispielen erspart Diskussionen im Ernstfall.
Einsatzkontext und Risikobewertung aktuell halten
Sobald sich der Einsatzkontext, die Datenbasis oder die Funktionsweise des Systems ändert, muss die Risikobewertung neu geprüft werden. Aus „Limited Risk" kann „High Risk" werden, wenn das System plötzlich für Personalentscheidungen genutzt wird, statt nur für Marketing-Texte.
Praxis: Definieren Sie Trigger, die einen Review auslösen: neuer Einsatzkontext, neue Datenquelle, größere Update-Releases des Anbieters, Reorganisation der Abteilung. Mindestens einmal pro Jahr ein anlassunabhängiger Review.
Eine Pflicht, an die niemand denkt: Information der Beschäftigten und Betroffenen
Zwei Pflichten geraten in der Praxis besonders oft unter den Tisch:
Art. 26 Abs. 7: Wenn ein Hochrisiko-KI-System am Arbeitsplatz eingesetzt wird, müssen Betreiber vor dem Einsatz die betroffenen Beschäftigten und ihre Vertreter informieren. Das gilt unabhängig davon, ob ein Betriebsrat besteht.
Art. 26 Abs. 11: Wenn ein Hochrisiko-KI-System Entscheidungen über Personen trifft oder solche Entscheidungen unterstützt, müssen die betroffenen Personen darüber informiert werden, dass sie einem solchen System unterliegen.
Beide Pflichten klingen abstrakt, sind aber im Audit oft die ersten, nach denen gefragt wird. Sie sind einfach zu prüfen: Gibt es ein dokumentiertes Informationsschreiben? Wann wurde es versendet? An wen?
Wie sich diese Pflichten organisieren lassen
Sechs laufende Pflichten klingen nach Aufwand. In der Praxis lassen sie sich gut in einen einfachen Rhythmus überführen, wenn die Verantwortlichkeiten klar sind.
Tipp aus der Praxis: Hängen Sie die KI-Compliance-Reviews an bestehende Prozesse an, etwa an die quartalsweise Datenschutz-Sitzung oder das jährliche Audit. Das reduziert den Aufwand und sorgt dafür, dass die Themen tatsächlich behandelt werden.
Artikel 72: Warum Post-Market Monitoring auch Betreiber betrifft
Artikel 72 EU AI Act regelt das sogenannte Post-Market Monitoring, also die Überwachung von Hochrisiko-KI-Systemen nach dem Inverkehrbringen. Formal ist das eine Anbieter-Pflicht: Anbieter müssen ein dokumentiertes Monitoring-System einrichten, das die Performance ihrer KI-Systeme über den gesamten Lebenszyklus systematisch erfasst und auswertet.
Konkret verlangt Art. 72:
Abs. 1: Anbieter müssen ein Post-Market-Monitoring-System einrichten, das in Bezug auf Art und Risiko der KI-Technologie verhältnismäßig ist.
Abs. 2: Das Monitoring-System sammelt, dokumentiert und analysiert aktiv und systematisch relevante Daten über die Performance der Systeme. Diese Daten können explizit „von Betreibern bereitgestellt oder aus anderen Quellen erhoben werden".
Abs. 3: Das System basiert auf einem Post-Market-Monitoring-Plan, der Teil der technischen Dokumentation nach Anhang IV ist. Die EU-Kommission entwickelt eine Vorlage für diesen Plan.
Abs. 2 letzter Satz: Die Monitoring-Pflicht erstreckt sich nicht auf sensible operative Daten von Betreibern, die Strafverfolgungsbehörden sind.
Die entscheidende Stelle für Betreiber steht in Absatz 2: Anbieter sammeln Daten, die von Betreibern bereitgestellt werden. Anders gesagt: Auch wenn Betreiber kein eigenes Post-Market Monitoring nach Art. 72 betreiben müssen, sind sie die zentrale Datenquelle für das Monitoring ihrer Anbieter. Ein Anbieter, der seinen Pflichten nach Art. 72 nicht nachkommen kann, weil er keine Daten von seinen Betreibern bekommt, hat ein Compliance-Problem. Und die Betreiber, die ihm die Daten verweigern oder unstrukturiert liefern, ebenso.
Was Betreiber konkret tun sollten, um Art. 72 zu unterstützen
Aus der Konstruktion des Gesetzes ergeben sich vier praktische Konsequenzen für Betreiber:
1. Kennen Sie den Post-Market-Monitoring-Plan Ihres Anbieters. Fragen Sie aktiv danach. Welche Daten erwartet Ihr Anbieter von Ihnen? In welcher Form? Mit welcher Frequenz? Wenn der Anbieter keinen Plan vorweisen kann, ist das ein Warnsignal.
2. Stellen Sie die Datenlieferung systematisch sicher. Definieren Sie, wer im Unternehmen Performance-Daten an den Anbieter meldet, in welcher Frequenz und über welchen Kanal. Das kann ein automatisierter Datenstrom sein, ein quartalsweiser Report oder ein Vorfalls-basiertes Reporting.
3. Spiegeln Sie das Monitoring intern. Was Ihr Anbieter über Sie sammelt, sollten Sie auch selbst sehen. Ein internes Monitoring-Dashboard mit denselben KPIs, die Sie an den Anbieter melden, schafft Transparenz und erleichtert die Diskussion bei Auffälligkeiten.
4. Halten Sie vertragliche Klarheit. Im Vertrag mit dem Anbieter sollte stehen, welche Monitoring-Daten Sie liefern, wer Eigentümer dieser Daten ist und welche Reaktionspflichten der Anbieter hat, wenn er etwas Auffälliges feststellt. Standard-AGB decken das in der Regel nicht ab.
Wann aus einem Betreiber ein Anbieter wird
Eine wichtige Grauzone, die viele Unternehmen unterschätzen: Wer ein KI-System wesentlich verändert, kann nach Art. 25 EU AI Act selbst zum Anbieter werden, mit allen damit verbundenen Pflichten, einschließlich Art. 72.
Wesentliche Änderungen sind insbesondere:
die Vermarktung des Systems unter eigenem Namen oder eigener Marke;
eine substanzielle Modifikation eines bereits in Verkehr gebrachten Hochrisiko-Systems;
eine Änderung des bestimmungsgemäßen Zwecks eines KI-Systems, sodass es zum Hochrisiko-System wird.
In all diesen Fällen wird aus einem reinen Betreiber ein Anbieter im Sinne des AI Act. Aus „wir nutzen das System nur" wird „wir tragen Anbieter-Verantwortung", inklusive technischer Dokumentation, Konformitätsbewertung und eigenem Post-Market-Monitoring-Plan.
Praxisbeispiel: Ein Unternehmen kauft ein generisches LLM-API ein und baut darauf einen internen Recruiting-Assistenten, der Bewerberprofile vorsortiert. Die ursprüngliche API ist nicht für Recruiting bestimmt. Durch die Zweckänderung wird das Unternehmen vermutlich zum Anbieter eines Hochrisiko-KI-Systems, mit allen Anbieter-Pflichten.
Zusammenfassung
Der Go-Live ist der Punkt, an dem die KI-Compliance vom Projekt zum Prozess wird. Sechs Pflichten laufen weiter: KI-Kompetenz, Monitoring, Logs, menschliche Aufsicht, Vorfallsmeldung, Aktualisierung der Risikobewertung. Dazu kommen die oft übersehenen Informationspflichten gegenüber Beschäftigten und Betroffenen.
Artikel 72 ist formal eine Anbieter-Pflicht, hat aber direkte Konsequenzen für Betreiber. Wer ein Hochrisiko-KI-System einsetzt, ist Datenquelle für das Post-Market Monitoring seines Anbieters. Wer das ignoriert, schadet nicht nur dem Anbieter, sondern riskiert auch eigene Compliance-Probleme im Audit.
Und wer das System wesentlich modifiziert oder zweckfremd einsetzt, wechselt im Zweifel ganz die Rolle: vom Betreiber zum Anbieter, mit allen Pflichten, die dann dazugehören.
Den Dauerbetrieb strukturiert dokumentieren
SimpleAct macht aus laufenden Pflichten einen wiederholbaren Prozess. KI-Inventar, Monitoring-Reviews, Vorfallsmeldungen, Audit-Trail. Alles an einem Ort.
Jetzt kostenlos starten →Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die Anforderungen können sich durch den geplanten Digital Omnibus on AI noch ändern. Stand: April 2026.
Über SimpleAct: SimpleAct ist eine deutsche Compliance-Plattform, die Unternehmen bei der strukturierten Dokumentation ihrer KI-Systeme nach EU AI Act unterstützt. Von der Erfassung über die Risikobewertung bis zum exportfähigen Audit-Nachweis. Alles an einem Ort.
Tags
Yannick | SimpleAct Team
Autor · SimpleAct Team
