EU AI Act Artikel 26 — Betreiberpflichten
Hinweis: Dieser Explainer ist informativ; Framework-Referenzen sind nie eine Compliance-Garantie — stimmen Sie Ihr Programm mit Ihrer Rechtsberatung ab.
Artikel 26 adressiert Betreiber — Organisationen, die Hochrisiko-KI-Systeme in eigener Verantwortung einsetzen. Gemäß dem Digital Omnibus von 2026 gelten diese Pflichten ab Dezember 2027 — gelassen erfüllen wird sie, wer die Betriebsroutine jetzt aufbaut.
Artikel 26(1) — Nutzung gemäß Betriebsanleitung, mit Kontrolle
Betreiber müssen geeignete technische und organisatorische Maßnahmen treffen, damit Hochrisiko-Systeme gemäß ihrer Betriebsanleitung genutzt werden. Das setzt etwas Grundlegenderes voraus: zu wissen, welche KI-Systeme Ihre Organisation überhaupt nutzt — und die stoppen zu können, die sie nicht nutzen soll.
Shields Hebel: die Vorlage Block unsanctioned / high-risk AI tools (referenziert auf Art. 26(1)) plus Discovery-Triage — freigegebene Tools sind explizit, alles andere ist sichtbar oder blockiert.
Artikel 26(5) — Betrieb überwachen
Betreiber müssen den Betrieb des Hochrisiko-Systems überwachen und handeln, wenn sich Risiken zeigen. Ein KI-Tool zu überwachen, das Ihre Beschäftigten über den Browser nutzen, heißt zu überwachen, was tatsächlich hineinfließt.
Shields Hebel: die Vorlage Block file uploads to AI tools (referenziert auf Art. 26(5)) schließt den am wenigsten prüfbaren Kanal — Dateien werden heute nicht inhaltlich inspiziert, deshalb bewusst eine Pauschal-Kontrolle —, während das Nutzungs-Monitoring das Betriebsbild aktuell hält.
Artikel 26(6) — Protokolle aufbewahren
Betreiber müssen die vom Hochrisiko-System automatisch erzeugten Protokolle aufbewahren, soweit sie ihrer Kontrolle unterliegen — für einen dem Zweck angemessenen Zeitraum. Protokolle, die nie erfasst wurden, lassen sich nicht aufbewahren.
Shields Hebel: die Vorlage Monitor all AI usage (referenziert auf Art. 26(6)) schreibt jede KI-Interaktion in das manipulationsresistente Audit-Log, mit plan-basierter Aufbewahrung.
Das Ergebnis
Im Dezember 2027 treffen die Artikel-26-Pflichten auf Organisationen, die entweder improvisieren oder die Routine längst fahren: governtes Tool-Inventar, überwachter Betrieb, aufbewahrter Audit-Trail. Das Bundle EU AI Act & DSGVO Starter aus der Vorlagen-Bibliothek startet diese Routine heute.
War dieser Artikel hilfreich?
Verwandte Artikel
Richtlinien-Vorlagen und Bundles anwenden
Compliance-fertige Richtlinien aus der Vorlagen-Bibliothek ausrollen — EU AI Act, DSGVO, DIFC, Korea AI Basic Act, US AI in Employment sowie ISO-42001/NIST-Bundles.
Artikel lesenEU AI Act Artikel 4 — KI-Kompetenz
Artikel 4 verlangt ein ausreichendes Maß an KI-Kompetenz in der Belegschaft — bereits in Kraft. Was das praktisch heißt und wie Shield daraus ein operatives Programm macht.
Artikel lesenEU AI Act Artikel 5 — Verbotene Praktiken
Artikel 5 verbietet KI-Praktiken mit unannehmbarem Risiko — bereits in Kraft. Was verboten ist, warum Schatten-KI Ihre Exposition ist und wie Shield verbotene Tool-Klassen draußen hält.
Artikel lesenDSGVO Artikel 32 — Sicherheit der Verarbeitung
Geeignete technische und organisatorische Maßnahmen — auch für den KI-Kanal: wie Secrets-Blocking, PII-Redaktion und Quellcode-Warnungen auf Artikel 32 einzahlen.
Artikel lesenNoch Fragen?
Schicken Sie uns die Details — wir antworten innerhalb eines Werktags.