EU AI Act Artikel 26 für SAP-Anwender: Deployer-Pflichten ab 2. August 2026, nicht verschoben

Artikel 26 und die Rollenarchitektur des AI Act

Artikel 26 der Verordnung (EU) 2024/1689 legt die operativen Pflichten von Deployern (Anwendern) hochrisikobehafteter KI-Systeme fest. Ein Deployer ist eine natürliche oder juristische Person, die ein KI-System unter eigener Verantwortung einsetzt, ohne es selbst entwickelt oder in Verkehr gebracht zu haben.

Die Trennung von Provider-Pflichten (Artikel 16, Hersteller-Sicht) und Deployer-Pflichten (Artikel 26, Anwender-Sicht) ist die zentrale Rollenarchitektur des AI Act. SAP positioniert sich nach eigener Darstellung über die ISO 42001 Zertifizierung als Provider für SAP Business AI Produkte. Die Deployer-Pflichten bleiben beim einsetzenden Unternehmen und sind weder über Vertrag noch über Vendor-Zusicherung auf SAP übertragbar.

Warum die Verschiebung der Annex-III-Pflichten nichts an Artikel 26 ändert

Der Digital Omnibus on AI (vorläufige Einigung 7. Mai 2026) verschiebt die Pflichten für Annex III Hochrisiko-Systeme auf 2. Dezember 2027. Artikel 26 ist davon nicht betroffen. Die Deployer-Pflichten gelten ab 2. August 2026 wie ursprünglich vorgesehen.

Für SAP-Anwender entsteht damit eine doppelte Lesart der Regulierung: Wer SAP-Systeme einsetzt, in denen KI Entscheidungen über Bewerberauswahl trifft, Kredit-Scoring durchführt oder finanzielle Predictive Analytics liefert, ist ab August 2026 Deployer eines Hochrisiko-Systems. Die Verschiebung der schwersten Provider-Pflichten ändert daran nichts. Die operative Last der Aufsicht, Dokumentation und Vorfallmeldung verbleibt beim Anwender.

Operative Pflichten für SAP-Deployer

Die operativen Pflichten aus Artikel 26 für SAP-Deployer:

Architekturlücken, Haftung und nicht delegierbare Aufsicht

Vertragliche Risikoverlagerung funktioniert nicht. Artikel 26 ist eine direkte Verpflichtung des Deployers. Klauseln, die SAP oder einem anderen Anbieter die Verantwortung zuschreiben, haben keine entlastende Wirkung gegenüber der Aufsichtsbehörde. Das ist in der Anbieter-Sicht von Uniorg (März 2026) und Advisori DE (Februar 2026) konsistent dokumentiert.

Logging-Pflicht trifft auf SAP-Architekturlücken. SAP Cloud ALM erfasst Transport-Telemetrie, aber kein vollständiges KI-Anwendungslogging auf Objektebene. SAP Solution Manager läuft mit ChaRM 2027 aus. Wer KI in SAP-Prozessen einsetzt und die 6-Monats-Aufbewahrung erfüllen muss, braucht eine Logging-Strategie, die über native SAP-Tools hinausgeht.

Menschliche Aufsicht ist nicht delegierbar. Artikel 14 verlangt natürliche Personen mit Kompetenz und Eingriffsbefugnis. Eine KI-Komponente, die ohne dokumentierte menschliche Freigabe produktiv eingreift, kann den Aufsichtsanforderungen nicht genügen. Im SAP-Transport-Kontext bedeutet das: Autonome Agenten, die Changes ohne 4-Augen-Prinzip einspielen, geraten in regulatorische Schieflage, sobald der zugrunde liegende Use Case Hochrisiko-Charakter hat.

Die entscheidende Frage ist nicht, ob das System funktioniert, sondern ob der Mensch noch die Wahl hat, es abzulehnen. Wer diese Wahl architektonisch ausschließt, verstößt nicht erst gegen den AI Act, sondern bereits gegen die Anforderungen des Vorsorgeprinzips.

Provider-Rolle ist nicht statisch. Wer SAP-Standardmodelle fine-tuned, mit eigenen Trainingsdaten anpasst oder substantielle Modifikationen vornimmt, kann selbst zum Provider werden (Art. 25). Die ISO 42001 Zertifizierung von SAP greift in diesem Fall nicht. Konkrete Schwellenwerte für die Wechselzone sind in der Verordnung nicht definiert, was eine eigene Risikoeinschätzung erfordert.

Deployer-Roadmap für SAP-Anwender bis August 2026

Eine umsetzbare Deployer-Roadmap für SAP-Anwender bis August 2026:

1. KI-Inventar mit Rollenklärung: Alle SAP-KI-Komponenten erfassen, je Komponente die SAP-Provider-Rolle dokumentieren, eigenes Tuning gesondert markieren, ggf. interne Provider-Rolle festhalten.
2. Use-Case-Klassifizierung: Jeder produktive KI-Einsatz nach AI Act Risikoklasse einordnen. Personalentscheidungen und Kredit-Scoring als Hochrisiko, Joule-Chat als Limited Risk mit Transparenzpflicht.
3. Aufsichtspersonen benennen: Pro Hochrisiko-Use-Case mindestens einen menschlichen Verantwortlichen mit dokumentierter Eingriffsbefugnis und nachweisbarer Kompetenz (Art. 4 AI-Kompetenz).
4. Logging-Strategie: SAP-natives Logging (Application Logs, Change Documents) mit erweiterten Auditing-Mechanismen koppeln. Mindesthaltedauer 6 Monate, in regulierten Branchen (Pharma, Finance) länger gemäß sektoralen Vorgaben.
5. Vorfallmeldewege: Eskalationspfad zu SAP als Provider und zur Marktaufsichtsbehörde definieren. Verantwortlichkeiten zwischen IT, Compliance und Datenschutz schriftlich klären.
6. DPIA-FRIA-Kopplung: Datenschutz-Folgenabschätzung und Fundamental Rights Impact Assessment als verbundenes Verfahren aufsetzen, nicht als getrennte Pflichten.
7. Vertragsprüfung mit SAP: SAP-Verträge auf Provider-Pflichten nach Art. 16 prüfen, Lieferantenzusicherungen schriftlich einfordern, ohne dabei die eigenen Art. 26 Pflichten als delegiert zu betrachten.

Quellen

• Verordnung (EU) 2024/1689, insbesondere Artikel 26, 16, 14, 12, 25, 50 (EUR-Lex)
• SAP Responsible AI Page Q1 2026 (sap.com/products/artificial-intelligence/ai-ethics.html)
• AI Act Service Desk FAQ Q1 2026 (ai-act-service-desk.ec.europa.eu)
• Uniorg, März 2026: SAP und der EU AI Act (uniorg.de)
• Advisori DE, 28. Februar 2026: EU AI Act High-Risk Obligations August 2026 (advisori.de)
• Innobu, April 2026: SAP Joule Promise vs Reality (innobu.com)
• Council of the EU, Pressemitteilung 7. Mai 2026 (consilium.europa.eu)
• CodeSlick, April 2026: AI-Generated Code Audit Trail Gap (codeslick.dev)