Ihre Privatsphäre ist uns wichtig

Wir nutzen notwendige Cookies für den Betrieb der Seite und – mit Ihrer Einwilligung – Analyse- und Marketing-Cookies zur Verbesserung. Sie können Ihre Wahl jederzeit ändern. Datenschutzerklärung

  • Security
  • Pricing
Scoping Call buchen
  1. Hilfe-Center
  2. Compliance & Frameworks
  3. EU AI Act — Anbieter vs Betreiber (Rollen & wann die Grenze kippt)
Kategorien durchsuchen
Erste Schritte
Shield Control
Shield Web
Richtlinien & Vorlagen
Compliance & Frameworks
  • DIFC Regulation 10 — AI & autonome Systeme
  • EU AI Act — Anbieter vs Betreiber (Rollen & wann die Grenze kippt)
  • EU AI Act Artikel 26 — Betreiberpflichten
  • EU AI Act Artikel 4 — KI-Kompetenz
  • EU AI Act Artikel 5 — Verbotene Praktiken
  • EU AI Act Artikel 50 — Transparenzpflichten
  • EU AI Act Artikel 6 — Hochrisiko-Einstufung
  • DSGVO Artikel 32 — Sicherheit der Verarbeitung
  • DSGVO Artikel 5 — Grundsätze der Verarbeitung
  • DSGVO Artikel 6 — Rechtmäßigkeit der Verarbeitung
  • Illinois HB 3773 — KI im Personalwesen
  • ISO/IEC 42001 — AI-Management-System
  • Korea AI Basic Act — Pflichten für vertrauenswürdige AI
  • NIST AI Risk Management Framework (AI RMF)
  • NYC Local Law 144 — Automatisierte Einstellungs-Tools
Admin & Sicherheit
Fehlerbehebung
FAQ
Erste Schritte
Shield Control
Shield Web
Richtlinien & Vorlagen
Compliance & Frameworks
  • DIFC Regulation 10 — AI & autonome Systeme
  • EU AI Act — Anbieter vs Betreiber (Rollen & wann die Grenze kippt)
  • EU AI Act Artikel 26 — Betreiberpflichten
  • EU AI Act Artikel 4 — KI-Kompetenz
  • EU AI Act Artikel 5 — Verbotene Praktiken
  • EU AI Act Artikel 50 — Transparenzpflichten
  • EU AI Act Artikel 6 — Hochrisiko-Einstufung
  • DSGVO Artikel 32 — Sicherheit der Verarbeitung
  • DSGVO Artikel 5 — Grundsätze der Verarbeitung
  • DSGVO Artikel 6 — Rechtmäßigkeit der Verarbeitung
  • Illinois HB 3773 — KI im Personalwesen
  • ISO/IEC 42001 — AI-Management-System
  • Korea AI Basic Act — Pflichten für vertrauenswürdige AI
  • NIST AI Risk Management Framework (AI RMF)
  • NYC Local Law 144 — Automatisierte Einstellungs-Tools
Admin & Sicherheit
Fehlerbehebung
FAQ

EU AI Act — Anbieter vs Betreiber (Rollen & wann die Grenze kippt)

Aktualisiert am 13. Juli 2026·2 Min. LesezeitAlle Pläne

Hinweis: Dieser Explainer ist informativ; Framework-Referenzen sind nie eine Compliance-Garantie — stimmen Sie Ihr Programm mit Ihrer Rechtsberatung ab.

Die Unterscheidung Anbieter vs Betreiber im EU AI Act ist die folgenreichste Rollenfrage der gesamten Regelung — denn sie entscheidet, wessen Pflichten gelten. Die meisten Unternehmen sind Betreiber; ein kleinerer Kreis sind Anbieter; und — das überrascht viele — ein Betreiber kann durch das, was er mit einem Tool tut, zum Anbieter werden. Artikel 3 legt die Definitionen fest, Artikel 25 den Wechsel.

Betreiber (Deployer) — die Standardrolle

Ein Betreiber ist, wer ein KI-System in eigener Verantwortung im beruflichen Kontext nutzt (Artikel 3(4)). Das ist die große Mehrheit der Organisationen: Sie kaufen oder abonnieren ein KI-Tool und setzen es ein. Betreiberpflichten sind der leichtere Satz — für Hochrisiko-Systeme die Pflichten aus Artikel 26 (Nutzung gemäß Anleitung, Betrieb überwachen, Protokolle aufbewahren), nicht das volle Konformitätsregime der Anbieter.

Anbieter (Provider) — wer es in Verkehr bringt

Ein Anbieter entwickelt ein KI-System oder lässt es entwickeln und bringt es unter eigenem Namen oder eigener Marke in Verkehr oder nimmt es in Betrieb (Artikel 3(3)) — entgeltlich oder unentgeltlich. Anbieter von Hochrisiko-Systemen tragen die schweren Pflichten: Konformitätsbewertung, technische Dokumentation, Qualitätsmanagementsystem, Registrierung und Post-Market-Monitoring. Wer nur Tools Dritter nutzt, ist allein durch die Nutzung kein Anbieter.

Wann ein Betreiber zum Anbieter wird (Artikel 25)

Artikel 25 ist der Auslöser. Ein Betreiber (oder Händler/Einführer) gilt als Anbieter eines Hochrisiko-Systems — und übernimmt dessen Pflichten —, wenn er:

  1. seinen eigenen Namen oder seine Marke auf ein bereits im Verkehr befindliches Hochrisiko-System setzt;
  2. eine wesentliche Änderung an einem Hochrisiko-System vornimmt, sodass es hochrisiko bleibt; oder
  3. den Zweck eines KI-Systems (auch eines General-Purpose-Systems) so ändert, dass das System hochrisiko wird.

Jeder dieser Punkte kippt die Rolle. Der ursprüngliche Anbieter ist dann für dieses System künftig von den Pflichten entbunden und muss mit dem neuen Anbieter kooperieren.

Wo die Grenze tatsächlich verläuft — Fine-Tuning vs wesentliche Änderung

Der Wechsel ist enger, als er klingt. Nutzen, Konfigurieren oder Prompten eines Tools innerhalb seines Zwecks ist gewöhnliche Betreiber-Tätigkeit — kein Rollenwechsel. Eine wesentliche Änderung (Artikel 3(23)) ist eine Änderung, die in der ursprünglichen Konformitätsbewertung nicht vorgesehen war und die Konformität berührt oder den Zweck ändert. Also:

  • Einstellungen wählen, Prompts schreiben oder ein Tool an Ihre Daten anbinden → weiterhin Betreiber.
  • Ein Hochrisiko-System als eigenes rebranden, es über seinen bewerteten Zweck hinaus umbauen oder ein nicht-hochrisiko-Tool in eine Hochrisiko-Nutzung umwidmen → Sie sind möglicherweise jetzt Anbieter.

Fine-Tuning liegt auf einem Spektrum: leichte Anpassung innerhalb des Zwecks bleibt betreiberseitig; Fine-Tuning, das ändert, wofür das System da ist, kann in eine wesentliche Änderung übergehen. Im Zweifel bei einem Hochrisiko-Workflow: als Rechtsfrage behandeln, nicht als Einstellungsfrage.

Praktisches Fazit für KMU

KI-Tools kaufen und nutzen hält Sie im Betreiber-Status mit den Artikel-26-Pflichten. Anbieter-Status riskieren Sie nur, wenn Sie rebranden, wesentlich ändern oder ein System in den Hochrisiko-Bereich umwidmen. Die Voraussetzung ist in beiden Fällen zu wissen, welche KI-Systeme genutzt werden und wie — damit die Rollenfrage pro Tool beantwortet und nicht geraten wird.

Shields Hebel: Discovery und das Audit-Log liefern das Tool-Inventar und Nutzungsbild, von dem eine Anbieter-vs-Betreiber-Einstufung abhängt. Das Bundle EU AI Act & DSGVO Starter aus der Vorlagen-Bibliothek hält dieses Bild aktuell.

War dieser Artikel hilfreich?

Verwandte Artikel

EU AI Act Artikel 26 — Betreiberpflichten

Artikel 26 definiert Ihre Pflichten beim Einsatz von Hochrisiko-KI — anwendbar ab Dezember 2027 gemäß Digital Omnibus. Was die Absätze (1), (5) und (6) verlangen und wie Shield Sie heute vorbereitet.

Artikel lesen

EU AI Act Artikel 6 — Hochrisiko-Einstufung

Artikel 6 regelt die Hochrisiko-Einstufung des EU AI Act: die Annex-III-Bereiche, den 6(3)-Filter und warum die Einstufung pro Use-Case × Kontext erfolgt — nicht pro App. Anwendbar ab Dezember 2027 gemäß Digital Omnibus.

Artikel lesen

EU AI Act Artikel 50 — Transparenzpflichten

Artikel 50 regelt die Transparenzpflichten des EU AI Act: KI-Chatbots müssen offenlegen, dass man mit KI spricht, und KI-generierte Inhalte sowie Deepfakes müssen gekennzeichnet werden. Anwendbar ab 2. August 2026, mit einer engen Art.-50(2)-Kennzeichnungs-Übergangsfrist bis 2. Dezember 2026 für Bestandssysteme.

Artikel lesen

EU AI Act Artikel 5 — Verbotene Praktiken

Artikel 5 verbietet KI-Praktiken mit unannehmbarem Risiko — bereits in Kraft. Was verboten ist, warum Schatten-KI Ihre Exposition ist und wie Shield verbotene Tool-Klassen draußen hält.

Artikel lesen

Noch Fragen?

Schicken Sie uns die Details — wir antworten innerhalb eines Werktags.

Support kontaktieren

Auf dieser Seite

  • Betreiber (Deployer) — die Standardrolle
  • Anbieter (Provider) — wer es in Verkehr bringt
  • Wann ein Betreiber zum Anbieter wird (Artikel 25)
  • Wo die Grenze tatsächlich verläuft — Fine-Tuning vs wesentliche Änderung
  • Praktisches Fazit für KMU

Newsletter abonnieren

Produkt- und Governance-Updates — siehe Datenschutzerklärung.

AI Security und Control für jedes Modell, das Ihr Team nutzt.

Entwickelt in Dubai. Konzipiert für Teams, die über Regionen, Modelle und regulatorische Umgebungen hinweg arbeiten.

  • Produkt

    • Shield Web
    • Shield Control
    • Shield Desktop
    • Shield Mobile
    • Pricing
    • Download
  • Lösungen

    • Für CISOs
    • Für Operations
    • Für AI Teams
  • Use Cases

    • AI Governance
    • AI Agent Security
    • LLM Access Control
    • Secure AI Deployment
    • Enterprise Operations
    • Financial Services
  • Ressourcen

    • Hilfe-Center
    • Blog
    • Guides
    • Glossar
    • Changelog
    • AI Risk Calculator
    • Vergleich
    • FAQ
  • Unternehmen

    • Über uns
    • Karriere
    • Security & Trust
    • Kontakt
  • Rechtliches

    • Impressum
    • Datenschutz
    • AGB
    • Partner-Bedingungen
    • DSGVO / DPA

© 2026 Qadar AI. Alle Rechte vorbehalten. EU-Datenresidenz verfügbar für Enterprise-Kunden.