Compliance-Matrix – Anforderungszuordnung
Pflichten nach Risikostufe und Rolle
Minimales Risiko
| Pflicht | Artikel | Provider | Deployer |
|---|---|---|---|
| AI Literacy | Art. 4 | ✅ | ✅ |
| Keine weiteren Pflichten | — | — | — |
Begrenztes Risiko (Transparenz)
| Pflicht | Artikel | Provider | Deployer |
|---|---|---|---|
| AI Literacy | Art. 4 | ✅ | ✅ |
| KI-Interaktion offenlegen | Art. 50(1) | ✅ | ✅ |
| Synthetische Inhalte kennzeichnen | Art. 50(2) | ✅ | — |
| Deepfake-Offenlegung | Art. 50(4) | — | ✅ |
Hochrisiko
| Pflicht | Artikel | Provider | Deployer |
|---|---|---|---|
| AI Literacy | Art. 4 | ✅ | ✅ |
| Risikomanagementsystem | Art. 9 | ✅ | ✅* |
| Data Governance | Art. 10 | ✅ | — |
| Technische Dokumentation | Art. 11 | ✅ | — |
| Protokollierung | Art. 12 | ✅ | ✅ (Aufbewahrung) |
| Transparenz (Gebrauchsanweisung) | Art. 13 | ✅ | — |
| Menschliche Aufsicht | Art. 14 | ✅ (Design) | ✅ (Umsetzung) |
| Genauigkeit, Robustheit, Cybersicherheit | Art. 15 | ✅ | — |
| QMS | Art. 17 | ✅ | — |
| Konformitätsbewertung | Art. 43 | ✅ | — |
| EU-Konformitätserklärung | Art. 47 | ✅ | — |
| CE-Kennzeichnung | Art. 48 | ✅ | — |
| Registrierung (EU-Datenbank) | Art. 49 | ✅ | ✅** |
| Post-Market-Monitoring | Art. 72 | ✅ | — |
| Incident-Meldung | Art. 73 | ✅ | ✅ |
* Deployer: vereinfachtes Risikomanagement gemäß Art. 26** Deployer: nur öffentliche Stellen
GPAI (nur Modell-Provider)
| Pflicht | Artikel | Alle GPAI | + Systemisches Risiko |
|---|---|---|---|
| Technische Dokumentation | Art. 53(1)(a) | ✅ | ✅ |
| Info an Downstream-Provider | Art. 53(1)(b) | ✅ | ✅ |
| Urheberrechts-Policy | Art. 53(1)(c) | ✅ | ✅ |
| Trainingsdaten-Zusammenfassung | Art. 53(1)(d) | ✅ | ✅ |
| Modellevaluierung | Art. 55(1)(a) | — | ✅ |
| Adversariales Testing | Art. 55(1)(a) | — | ✅ |
| Risikominderung | Art. 55(1)(b) | — | ✅ |
| Incident-Meldung | Art. 55(1)(c) | — | ✅ |
| Cybersicherheit Modell | Art. 55(1)(d) | — | ✅ |