AI

AI Governance Schulung

Buchen
← Zur Wissens-Übersicht
Anbieter Betreiber AI ActProvider Deployer KI VerordnungAnbieter oder Betreiber

Anbieter vs. Betreiber im AI Act: Welche Rolle hat mein Unternehmen?

Provider oder Deployer? Der praktische Guide zur Rollenbestimmung im EU AI Act — mit Entscheidungsbaum, Beispielen und Pflichten-Vergleich.

Veröffentlicht: 22. März 2026Letzte Aktualisierung: 22. März 20266 Min. Lesezeit

Die wichtigste Antwort zuerst: Die meisten Unternehmen sind im AI Act zunächst Betreiber, weil sie bestehende KI-Systeme beruflich nutzen. Anbieter werden Sie erst dann, wenn Sie ein KI-System selbst entwickeln, unter eigenem Namen in Verkehr bringen oder eine Konstellation aus Art. 25 der EU-VO 2024/1689 auslösen.

Letzte Aktualisierung: 22. März 2026

Die Abgrenzung ist nicht nur ein Begriffsproblem. Sie entscheidet darüber, ob Ihr Unternehmen vor allem Nutzungs-, Schulungs- und Überwachungspflichten trägt oder ob die deutlich weitergehenden Anbieterpflichten aus Art. 16 greifen. Für die Grundpflicht zur KI-Kompetenz sollten Sie parallel immer auch Artikel 4, die Betreiberpflichten aus Artikel 26 und typische Praxisfragen in der FAQ im Blick behalten.

Was bedeuten Anbieter und Betreiber nach Art. 3?

Anbieter ist nach Art. 3 Nr. 3 der EU-VO 2024/1689 die natürliche oder juristische Person, die ein KI-System oder ein GPAI-Modell entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt. Betreiber ist nach Art. 3 Nr. 4 die Person oder Organisation, die ein KI-System unter eigener Verantwortung beruflich verwendet.

Für die Praxis ist die Grundregel deshalb einfach: Wer ChatGPT, Copilot, ein Recruiting-Tool oder eine branchenspezifische KI-Software im eigenen Unternehmen einsetzt, ist regelmäßig Betreiber. Wer ein eigenes KI-Produkt baut und dieses Kunden anbietet oder intern unter eigener Marke produktiv einführt, bewegt sich in Richtung Anbieterrolle.

Die Rollen können außerdem nebeneinander bestehen. Genau deshalb sollte die Rollenbestimmung pro System erfolgen und nicht pauschal auf Unternehmensebene.

Wann wird ein Betreiber zum Anbieter?

Ein Betreiber bleibt nicht automatisch dauerhaft Betreiber. Art. 25 der EU-VO 2024/1689 nennt drei typische Fälle, in denen ein Dritter wie ein Anbieter behandelt wird und damit den Pflichten aus Art. 16 unterliegt.

1. Rebranding oder White-Label

Wer ein bestehendes Hochrisiko-KI-System unter eigenem Namen oder eigener Marke anbietet, wird rechtlich wie ein Anbieter behandelt. Der praktische Gedanke dahinter ist klar: Wer nach außen als verantwortlicher Produktgeber auftritt, soll sich nicht hinter dem ursprünglichen Hersteller verstecken können.

2. Wesentliche Änderung oder Finetuning

Wer ein Hochrisiko-KI-System wesentlich verändert, kann ebenfalls in die Anbieterrolle rutschen. Finetuning ist dabei der wichtigste Praxisfall, aber nicht jedes technische Customizing ist automatisch eine wesentliche Änderung. Prompting, reine Konfiguration oder ein RAG-Setup reichen typischerweise nicht aus; tiefere Modellanpassungen mit relevantem Einfluss auf Verhalten, Risiken oder Leistung können die Schwelle dagegen überschreiten.

3. Zweckänderung

Wer den vorgesehenen Zweck eines Systems so verändert, dass daraus erst ein Hochrisiko-Einsatz wird, wird ebenfalls wie ein Anbieter behandelt. Ein typischer Fall wäre, wenn ein allgemeines Analyse-Tool plötzlich für Personalentscheidungen, Kreditwürdigkeitsprüfungen oder andere Hochrisiko-Kontexte nach Art. 6 eingesetzt und entsprechend umgewidmet wird.

Die praktische Konsequenz ist unangenehm, aber wichtig: Sobald Ihr Unternehmen diese Schwelle überschreitet, reichen Betreibermaßnahmen nicht mehr aus. Dann greifen die deutlich umfangreicheren Anbieterpflichten aus Art. 16, teilweise zusammen mit den Anforderungen aus Art. 8 bis 15.

Entscheidungsbaum: 5 Fragen zur Selbstklassifizierung

Die schnellste Selbstprüfung beginnt nicht mit juristischen Details, sondern mit fünf Ja-Nein-Fragen. Wenn Sie sie pro KI-System beantworten, ist die Erstklassifizierung meist schon belastbar.

  1. Entwickeln Sie das KI-System selbst oder lassen Sie es für Ihr Unternehmen entwickeln?
    Wenn ja, spricht das klar für die Anbieterrolle.
  2. Bringen Sie das System unter eigenem Namen, eigener Marke oder als White-Label-Lösung in Verkehr oder in Betrieb?
    Wenn ja, spricht das ebenfalls für Anbieter.
  3. Nutzen Sie nur ein externes Standard-Tool im Unternehmen, ohne es wesentlich zu verändern?
    Wenn ja, sind Sie typischerweise Betreiber.
  4. Haben Sie das System so stark angepasst, dass Verhalten, Risiken oder Einsatzzweck wesentlich verändert wurden?
    Wenn ja, müssen Sie Art. 25 besonders genau prüfen.
  5. Wird aus einem bisher nicht hochriskanten System durch Ihren neuen Zweck ein Hochrisiko-System?
    Wenn ja, kann Ihr Unternehmen wie ein Anbieter behandelt werden.

Als Faustregel gilt deshalb: Standardnutzung bedeutet meist Betreiber, Produktverantwortung oder wesentliche Umgestaltung bedeutet Anbieter. Für Grenzfälle sollten Sie die Entscheidung kurz dokumentieren, statt nur mündlich davon auszugehen, dass "der Hersteller schon verantwortlich sein wird".

Beispiele aus der Unternehmenspraxis

ChatGPT im Unternehmen zu nutzen, macht Ihr Unternehmen in der Regel zum Betreiber und nicht zum Anbieter. Das gilt auch dann, wenn Mitarbeitende damit Texte erstellen, Recherchen verdichten oder interne Entwürfe vorbereiten. Die Anbieterpflichten liegen in diesem Fall primär bei OpenAI; Ihr Unternehmen bleibt aber für Schulung, Nutzungsregeln und den verantwortlichen Einsatz zuständig, insbesondere im Sinne von Artikel 4.

Ein eigenes KI-Tool für Kunden zu entwickeln oder ein internes Assistenzsystem unter Ihrer Marke produktiv auszurollen, ist dagegen ein klassischer Anbieterfall. Hier übernimmt Ihr Unternehmen Produktverantwortung und muss je nach Risikoklasse deutlich weitergehende Anforderungen erfüllen.

Ein besonders häufiger Grenzfall ist das Finetuning eines bestehenden Modells. Wenn Ihr Unternehmen ein Modell nur per Prompting, API-Anbindung oder Wissensdatenbank besser nutzbar macht, bleibt es regelmäßig Betreiber. Wenn Sie das Modell dagegen so tiefgreifend verändern, dass Leistung, Risiken oder vorgesehener Zweck substanziell neu bestimmt werden, kann die Anbieterrolle ausgelöst werden.

Pflichtenvergleich: Art. 16 vs. Art. 26

Die Pflichten unterscheiden sich vor allem in der Tiefe. Art. 16 adressiert Anbieter von Hochrisiko-KI-Systemen mit zwölf Pflichtblöcken. Art. 26 richtet sich an Betreiber von Hochrisiko-KI-Systemen und enthält sieben operative Kernpflichten. Für normale, nicht hochriskante Nutzung bleibt Art. 4 in vielen Unternehmen zunächst der wichtigste sofort wirksame Anker.

| Anbieterpflichten nach Art. 16 | Betreiberpflichten nach Art. 26 | | --- | --- | | 1. Konformität sicherstellen: Das Hochrisiko-System muss die Anforderungen aus Art. 8 bis 15 erfüllen. | 1. System bestimmungsgemäß nutzen: Einsatz gemäß Gebrauchsanweisung und organisatorischen Vorgaben des Anbieters. | | 2. Qualitätsmanagementsystem aufsetzen: Ein dokumentiertes QMS nach Art. 17 ist Pflicht. | 2. Menschliche Aufsicht sicherstellen: Zuständige Personen brauchen Kompetenz, Schulung und Autorität. | | 3. Technische Dokumentation erstellen: Dokumentation nach Art. 11 und Anhang IV muss vollständig vorliegen. | 3. Eingabedaten prüfen: Soweit unter Kontrolle des Betreibers, müssen Daten relevant und hinreichend repräsentativ sein. | | 4. Log- und Aufzeichnungspflichten erfüllen: Automatic Logging nach Art. 12 muss technisch ermöglicht sein. | 4. Betrieb überwachen und Logs aufbewahren: Automatisch erzeugte Protokolle sind, soweit vorhanden, mindestens sechs Monate aufzubewahren. | | 5. Konformitätsbewertung durchführen: Vor dem Inverkehrbringen oder der Inbetriebnahme ist das Verfahren nach Art. 43 nötig. | 5. Risiken und schwere Vorfälle melden: Bei Risikoverdacht Provider, Vertreiber und Marktüberwachung informieren und Nutzung aussetzen; schwere Vorfälle gesondert melden. | | 6. EU-Konformitätserklärung ausstellen: Die Erklärung nach Art. 47 muss erstellt und aktuell gehalten werden. | 6. Beschäftigte informieren: Vor Einsatz am Arbeitsplatz sind Arbeitnehmervertretungen und betroffene Beschäftigte zu informieren. | | 7. CE-Kennzeichnung anbringen: Vor Markteintritt ist die CE-Kennzeichnung erforderlich. | 7. Grundrechte-Folgenabschätzung und Registerpflichten prüfen: Öffentliche Stellen und bestimmte öffentliche Dienste müssen vor Einsatz zusätzliche Prüf- und Registrierungspflichten erfüllen. | | 8. Registrierung vornehmen: Bestimmte Hochrisiko-Systeme müssen in der EU-Datenbank registriert werden. | | | 9. Gebrauchsanweisung bereitstellen: Betreiber müssen die nötigen Informationen nach Art. 13 erhalten. | | | 10. Korrekturmaßnahmen ergreifen: Bei Nichtkonformität müssen Anpassung, Rücknahme oder Rückruf folgen. | | | 11. Behörden kooperieren: Anbieter müssen nationale Behörden auf Verlangen mit allen Informationen unterstützen. | | | 12. Identität und Lieferkette absichern: Anbieter müssen Angaben zur Identifizierung und zu Bevollmächtigten einhalten. | |

Die Tabelle zeigt den Kernunterschied deutlich: Anbieter müssen das System rechtskonform auf den Markt bringen, Betreiber müssen es rechtskonform einsetzen. Für viele Mittelständler ist deshalb die Betreiberrolle realistischer, aber nicht harmlos. Sobald Hochrisiko-KI im Spiel ist, wird auch Art. 26 operativ anspruchsvoll.

Was heißt das konkret für Ihr Unternehmen?

Die erste sinnvolle Maßnahme ist eine Systemliste mit Rollenentscheidung pro Tool. Notieren Sie für jedes KI-System, ob Sie es nur nutzen, unter eigener Marke ausrollen, wesentlich verändern oder in einen neuen Hochrisiko-Zweck überführen. Diese kurze Dokumentation verhindert spätere Diskussionen zwischen IT, Einkauf, Fachbereich und Geschäftsleitung.

Die zweite Maßnahme ist Schulung. Unabhängig davon, ob Sie Anbieter oder Betreiber sind, verlangt Art. 4 der EU-VO 2024/1689 seit dem 2. Februar 2025 ausreichende KI-Kompetenz. Wenn Ihr Team mit ChatGPT, Copilot oder spezialisierter KI arbeitet, sollten Sie deshalb nicht nur Rollen definieren, sondern auch Nutzung, Risiken und Freigaberegeln nachvollziehbar schulen.

Die dritte Maßnahme ist Eskalation bei Grenzfällen. Wenn ein Fachbereich Finetuning, White-Label oder neue sensible Einsatzfelder plant, sollte die Rollenfrage vor dem Go-live neu geprüft werden.

Fazit: Die meisten Unternehmen starten als Betreiber, aber nicht immer

Die praktisch richtige Ausgangsannahme lautet: Wer fremde KI-Systeme beruflich einsetzt, ist meist Betreiber. Anbieter werden Sie dann, wenn Sie Produktverantwortung übernehmen, ein System unter eigener Marke führen oder eine wesentliche Änderung beziehungsweise Zweckänderung vornehmen.

Wenn Sie diese Rollenfrage sauber dokumentieren und parallel Art. 4 sowie bei Hochrisiko-Konstellationen Art. 26 prüfen, vermeiden Sie den häufigsten AI-Act-Fehler im Mittelstand: die Verantwortung vollständig auf den Softwarehersteller abzuschieben. Wenn Sie dafür einen kompakten Einstieg für Ihr Team suchen, finden Sie auf der EU AI Act Schulung ein strukturiertes Format mit Schulungszertifikat und klarer Nachweislogik.

Nächster Schritt

KI-Kompetenz sauber dokumentieren, statt die Pflicht nur zu diskutieren.

Wenn Sie für Ihr Team einen belastbaren Schulungsnachweis aufsetzen wollen, starten Sie mit der Kursübersicht, klären offene Fragen in der FAQ und buchen danach das passende Erstgespräch.

Kursübersicht ansehen

Prüfen Sie Inhalte, Lernzeit, Preise und den passenden Rollout für Ihr Team.

FAQ aufrufen

Klären Sie typische Fragen zu Schulungspflicht, Zertifikat und Rollout im Unternehmen.

Erstgespräch buchenZur Startseite

Autor und fachlich verantwortlich

Steven Leutritz

Geschäftsführer & KI-Compliance-Experte

Steven Leutritz begleitet Unternehmen bei der Umsetzung des EU AI Act und übersetzt Regulierung in klare Handlungslogik für Geschäftsführung, HR und Compliance.