EU AI Act — Anbieter vs Betreiber (Rollen & wann die Grenze kippt)
Hinweis: Dieser Explainer ist informativ; Framework-Referenzen sind nie eine Compliance-Garantie — stimmen Sie Ihr Programm mit Ihrer Rechtsberatung ab.
Die Unterscheidung Anbieter vs Betreiber im EU AI Act ist die folgenreichste Rollenfrage der gesamten Regelung — denn sie entscheidet, wessen Pflichten gelten. Die meisten Unternehmen sind Betreiber; ein kleinerer Kreis sind Anbieter; und — das überrascht viele — ein Betreiber kann durch das, was er mit einem Tool tut, zum Anbieter werden. Artikel 3 legt die Definitionen fest, Artikel 25 den Wechsel.
Betreiber (Deployer) — die Standardrolle
Ein Betreiber ist, wer ein KI-System in eigener Verantwortung im beruflichen Kontext nutzt (Artikel 3(4)). Das ist die große Mehrheit der Organisationen: Sie kaufen oder abonnieren ein KI-Tool und setzen es ein. Betreiberpflichten sind der leichtere Satz — für Hochrisiko-Systeme die Pflichten aus Artikel 26 (Nutzung gemäß Anleitung, Betrieb überwachen, Protokolle aufbewahren), nicht das volle Konformitätsregime der Anbieter.
Anbieter (Provider) — wer es in Verkehr bringt
Ein Anbieter entwickelt ein KI-System oder lässt es entwickeln und bringt es unter eigenem Namen oder eigener Marke in Verkehr oder nimmt es in Betrieb (Artikel 3(3)) — entgeltlich oder unentgeltlich. Anbieter von Hochrisiko-Systemen tragen die schweren Pflichten: Konformitätsbewertung, technische Dokumentation, Qualitätsmanagementsystem, Registrierung und Post-Market-Monitoring. Wer nur Tools Dritter nutzt, ist allein durch die Nutzung kein Anbieter.
Wann ein Betreiber zum Anbieter wird (Artikel 25)
Artikel 25 ist der Auslöser. Ein Betreiber (oder Händler/Einführer) gilt als Anbieter eines Hochrisiko-Systems — und übernimmt dessen Pflichten —, wenn er:
- seinen eigenen Namen oder seine Marke auf ein bereits im Verkehr befindliches Hochrisiko-System setzt;
- eine wesentliche Änderung an einem Hochrisiko-System vornimmt, sodass es hochrisiko bleibt; oder
- den Zweck eines KI-Systems (auch eines General-Purpose-Systems) so ändert, dass das System hochrisiko wird.
Jeder dieser Punkte kippt die Rolle. Der ursprüngliche Anbieter ist dann für dieses System künftig von den Pflichten entbunden und muss mit dem neuen Anbieter kooperieren.
Wo die Grenze tatsächlich verläuft — Fine-Tuning vs wesentliche Änderung
Der Wechsel ist enger, als er klingt. Nutzen, Konfigurieren oder Prompten eines Tools innerhalb seines Zwecks ist gewöhnliche Betreiber-Tätigkeit — kein Rollenwechsel. Eine wesentliche Änderung (Artikel 3(23)) ist eine Änderung, die in der ursprünglichen Konformitätsbewertung nicht vorgesehen war und die Konformität berührt oder den Zweck ändert. Also:
- Einstellungen wählen, Prompts schreiben oder ein Tool an Ihre Daten anbinden → weiterhin Betreiber.
- Ein Hochrisiko-System als eigenes rebranden, es über seinen bewerteten Zweck hinaus umbauen oder ein nicht-hochrisiko-Tool in eine Hochrisiko-Nutzung umwidmen → Sie sind möglicherweise jetzt Anbieter.
Fine-Tuning liegt auf einem Spektrum: leichte Anpassung innerhalb des Zwecks bleibt betreiberseitig; Fine-Tuning, das ändert, wofür das System da ist, kann in eine wesentliche Änderung übergehen. Im Zweifel bei einem Hochrisiko-Workflow: als Rechtsfrage behandeln, nicht als Einstellungsfrage.
Praktisches Fazit für KMU
KI-Tools kaufen und nutzen hält Sie im Betreiber-Status mit den Artikel-26-Pflichten. Anbieter-Status riskieren Sie nur, wenn Sie rebranden, wesentlich ändern oder ein System in den Hochrisiko-Bereich umwidmen. Die Voraussetzung ist in beiden Fällen zu wissen, welche KI-Systeme genutzt werden und wie — damit die Rollenfrage pro Tool beantwortet und nicht geraten wird.
Shields Hebel: Discovery und das Audit-Log liefern das Tool-Inventar und Nutzungsbild, von dem eine Anbieter-vs-Betreiber-Einstufung abhängt. Das Bundle EU AI Act & DSGVO Starter aus der Vorlagen-Bibliothek hält dieses Bild aktuell.
War dieser Artikel hilfreich?
Verwandte Artikel
EU AI Act Artikel 26 — Betreiberpflichten
Artikel 26 definiert Ihre Pflichten beim Einsatz von Hochrisiko-KI — anwendbar ab Dezember 2027 gemäß Digital Omnibus. Was die Absätze (1), (5) und (6) verlangen und wie Shield Sie heute vorbereitet.
Artikel lesenEU AI Act Artikel 6 — Hochrisiko-Einstufung
Artikel 6 regelt die Hochrisiko-Einstufung des EU AI Act: die Annex-III-Bereiche, den 6(3)-Filter und warum die Einstufung pro Use-Case × Kontext erfolgt — nicht pro App. Anwendbar ab Dezember 2027 gemäß Digital Omnibus.
Artikel lesenEU AI Act Artikel 50 — Transparenzpflichten
Artikel 50 regelt die Transparenzpflichten des EU AI Act: KI-Chatbots müssen offenlegen, dass man mit KI spricht, und KI-generierte Inhalte sowie Deepfakes müssen gekennzeichnet werden. Anwendbar ab 2. August 2026, mit einer engen Art.-50(2)-Kennzeichnungs-Übergangsfrist bis 2. Dezember 2026 für Bestandssysteme.
Artikel lesenEU AI Act Artikel 5 — Verbotene Praktiken
Artikel 5 verbietet KI-Praktiken mit unannehmbarem Risiko — bereits in Kraft. Was verboten ist, warum Schatten-KI Ihre Exposition ist und wie Shield verbotene Tool-Klassen draußen hält.
Artikel lesenNoch Fragen?
Schicken Sie uns die Details — wir antworten innerhalb eines Werktags.