EU AI Act
KI-generiert Im EU AI Act gibt es für Unternehmen, die KI einsetzen, vor allem zwei Rollen: Betreiber und Anbieter. Fast alle sind Betreiber, und das dauerhaft. Nur wenige werden zum Anbieter, manche sogar, ohne es bewusst zu entscheiden. Wer den Unterschied kennt, trifft diese Entscheidung mit offenen Augen, statt sie hinterher festzustellen.
Betreiber ist die Regel, Anbieter die Ausnahme
Der Betreiber setzt fertige KI im eigenen Betrieb ein. Du kaufst ein Tool, du nutzt es, fertig. Deine Pflichten sind überschaubar und richten sich danach, wie riskant der Einsatz ist. Neun von zehn Unternehmen sind bei allem, was sie mit KI tun, genau das: Betreiber.
Der Anbieter dagegen baut die KI und bringt sie unter eigenem Namen in den Verkehr. Er trägt die schwere Last, bei Hochrisiko bis hin zu Konformitätsbewertung und CE-Kennzeichnung. Das sind im Normalfall die Hersteller, von OpenAI bis zum spezialisierten Softwarehaus, nicht du.
Anbieter ist also die seltene Rolle. Genau deshalb übersehen viele, dass man auch ohne eigene Entwicklung hineinwachsen kann.
Drei Dinge verschieben die Rolle
Artikel 25 nennt drei Situationen, in denen aus einem Betreiber ein Anbieter wird.
Du trainierst ein fremdes Modell mit eigenen Daten wesentlich um. Du bringst fremde KI unter deinem eigenen Namen oder Label auf den Markt. Oder du setzt ein System für einen anderen Zweck ein als den vorgesehenen, und dieser neue Zweck hebt es in eine höhere Risikoklasse.
Reine Konfiguration löst das nicht aus. Wer Standardeinstellungen anpasst, bleibt Betreiber. Die Schwelle liegt bewusst hoch: Es geht um eine echte Veränderung von Wesen oder Zweck eines Systems, nicht um ein Häkchen in den Optionen.
Was passieren kann, wenn die Rolle kippt
Der Rollenwechsel ist für sich genommen kein Problem. Was zählt, ist die Risikoklasse des neuen Einsatzes.
Bleibt der Zweck harmlos, bleibt auch die Anbieterrolle leicht. Wer eine kleine Automatisierung baut, die Produkttexte vorschlägt, oder eine E-Mail-Sortierung, ist zwar Anbieter, aber ohne das schwere Programm. Keine Konformitätsbewertung, kein CE. Was bleibt, ist die Transparenz: Spricht das System mit Menschen oder erzeugt es Inhalte, kennzeichnest du das als KI.
Anders sieht es aus, wenn der neue Zweck ins Hochrisiko fällt. Dann gilt das volle Programm: Konformitätsbewertung, technische Dokumentation, CE-Kennzeichnung. Und hier wird es praktisch unlösbar. Diese Nachweise kannst du für ein fremdes Allzweck-Tool gar nicht erbringen, du hast es nicht gebaut und kennst seine Innereien nicht. Du wärst Anbieter eines Systems, das du nie konform bekommst.
Ein Beispiel macht den Sprung greifbar. Ein KI-Assistent, der Meeting-Protokolle schreibt, wird mit Bewerbungsgesprächen gefüttert und soll Kandidaten bewerten. Vorgesehen waren Protokolle, eingesetzt wird er für eine Personalentscheidung, also Hochrisiko nach Anhang III. Mit dieser Zweckänderung wird das Unternehmen zum Anbieter eines Hochrisiko-Systems, für das es keine Konformität liefern kann. Nicht aus Fahrlässigkeit, sondern weil der Unterschied zwischen „nutzen” und „verantworten” niemandem bewusst war.
Warum Agenturen und Softwarehäuser genauer hinsehen sollten
Wer KI für andere baut oder anpasst, wechselt die Rolle schneller als ein reiner Anwender. Baut eine Agentur ihrem Kunden statt einer harmlosen E-Mail-Sortierung eine Lösung, die Bewerbungen filtert, ist sie Anbieter eines Hochrisiko-Systems, und der Kunde wird zum Hochrisiko-Betreiber. Diese Verantwortung steht selten im Projektvertrag, ist im Ernstfall aber sehr real. Für jeden, der KI-Lösungen für Mandanten entwickelt, gehört dieser Blick zum Handwerk.
Bewusst entscheiden statt nachträglich feststellen
Die Rolle ist keine Frage des Zufalls, sondern der Aufmerksamkeit. Drei Gewohnheiten genügen.
Prüfe vor jeder Zweckänderung die Gebrauchsanweisung. Was dort als Verwendungszweck steht, ist die Linie. Wer darüber hinausgeht, sollte das wissen wollen.
Nimm für echte Hochrisiko-Aufgaben ein dafür gebautes, geprüftes System statt eines zweckentfremdeten Allzweck-Tools. Dann bleibt der Hersteller der Anbieter, und du bist sauber nur Betreiber.
Und halte für jedes KI-System fest, wofür es genutzt wird und welche Rolle daraus folgt. Diese Kombination aus Werkzeug und Zweck ist der KI-Prozess. Genau diese Zuordnung macht die NADOVO-Plattform sichtbar. Wie du den Überblick aufbaust, zeigt unser 4-Wochen-Plan, und wo die Rollenfrage knifflig wird, klären wir in der KI-Compliance-Beratung.
Eine Frage zum Schluss. Weißt du bei jedem KI-Einsatz in deinem Unternehmen, ob du ihn nur nutzt oder bereits verantwortest? Wer das beantworten kann, entscheidet bewusst. Wo du stehst, zeigt unser Schnellcheck.
Über den Autor
Jochen Stier ist Mitgründer von NADOVO mit über 20 Jahren Erfahrung in Prozessmanagement und IT Service Management. Er unterstützt deutsche KMU dabei, die Anforderungen des EU AI Act systematisch und pragmatisch umzusetzen. Sein 5-Phasen-Framework NADOVO verbindet regulatorische Anforderungen mit praktischer Umsetzbarkeit, ohne Enterprise-Budgets oder komplexe Tools.
Weiterführende Informationen: