KI-VO Wissen · Begriffe erklärt

KI-Betreiber und KI-Anbieter: Unterschied im AI Act

Der Unterschied zwischen Anbieter und Betreiber entscheidet, welche AI-Act-Pflichten ein Unternehmen treffen können.

KI-Schulung ansehenArt. 4 Hub

Kurzdefinition

Anbieter entwickeln oder bringen KI-Systeme in Verkehr. Betreiber setzen KI-Systeme unter eigener Verantwortung beruflich ein.

Das Wichtigste in Kürze
  • Die meisten Unternehmen sind Betreiber, sobald sie KI-Tools einsetzen.
  • Wer KI integriert oder Kunden bereitstellt, kann zusätzlich Anbieterpflichten auslösen.
  • Art. 4 trifft beide Rollen – die Schulungspflicht gilt unabhängig davon.

Die beiden zentralen Rollen

Die KI-VO unterscheidet entlang der Wertschöpfungskette mehrere Rollen. Die wichtigsten für Unternehmen sind Anbieter und Betreiber. Ein Anbieter (englisch „provider“) entwickelt ein KI-System oder lässt es entwickeln und bringt es unter eigenem Namen in Verkehr oder nimmt es in Betrieb. Ein Betreiber (englisch „deployer“) setzt ein KI-System unter eigener Verantwortung im Rahmen seiner beruflichen Tätigkeit ein. Rein private Nutzung fällt nicht darunter.

Warum die Abgrenzung wichtig ist

Die Rolle entscheidet über den Umfang der Pflichten. Anbieter tragen die Hauptlast – besonders bei Hochrisiko-KI, etwa Risikomanagement, technische Dokumentation, Konformitätsbewertung und Registrierung. Betreiber haben weniger, aber dennoch konkrete Pflichten. Die meisten Unternehmen sind zunächst Betreiber, sobald sie KI-Tools einsetzen.

Pflichten des Betreibers

Setzt ein Betreiber Hochrisiko-KI ein, muss er insbesondere für menschliche Aufsicht sorgen, das System gemäß Anbieter-Anweisungen verwenden, Protokolle aufbewahren und betroffene Personen informieren, wenn KI über sie mitentscheidet. Bei bestimmten Anwendungen kann eine Grundrechte-Folgenabschätzung erforderlich sein.

  • menschliche Aufsicht sicherstellen
  • Nutzung gemäß Gebrauchsanweisung des Anbieters
  • Logs und Protokolle aufbewahren
  • betroffene Personen über KI-Einsatz informieren

Wann ein Betreiber zum Anbieter wird (Art. 25)

Art. 25 KI-VO regelt, dass ein Betreiber, Händler oder Importeur unter bestimmten Umständen rechtlich zum Anbieter eines Hochrisiko-KI-Systems wird – mit allen Anbieterpflichten nach Art. 16. Das passiert vor allem in drei Fällen.

  • Name oder Marke: Das Unternehmen versieht ein bereits in Verkehr gebrachtes Hochrisiko-System mit dem eigenen Namen oder der eigenen Marke.
  • Wesentliche Änderung: Es nimmt eine substanzielle Modifikation vor, sodass das System weiterhin als Hochrisiko-KI gilt.
  • Zweckänderung: Es ändert den Verwendungszweck so, dass ein zuvor nicht hochriskantes System zur Hochrisiko-KI wird.

Praxisbeispiele

Ein Unternehmen, das ChatGPT Enterprise für interne Texte nutzt, ist Betreiber. Wer eine KI in die eigene Recruiting-Software integriert und unter eigenem Produktnamen anbietet, kann zum Anbieter werden. Und wer ein allgemeines KI-Modell so anpasst, dass es Bewerber bewertet, löst möglicherweise Anbieterpflichten für Hochrisiko-KI aus. Im Zweifel lohnt sich eine frühe rechtliche Einordnung.

Schulungsrelevanz

Art. 4 richtet sich ausdrücklich an Anbieter und Betreiber. Beide müssen KI-Kompetenz für alle Personen sicherstellen, die in ihrem Auftrag mit KI-Systemen umgehen. Gerade weil die Rollen ineinander übergehen können, ist es sinnvoll, dass Mitarbeitende verstehen, wann eine Eigenentwicklung oder Anpassung zusätzliche Pflichten auslöst.

Zeitlicher Rahmen

Wann die KI-Verordnung greift

Die Pflichten der KI-Verordnung treten gestaffelt in Kraft. Diese Übersicht zeigt die Stichtage, die für Unternehmen heute relevant sind.

  1. 1. August 2024

    In Kraft

    KI-Verordnung tritt in Kraft

    Die Verordnung (EU) 2024/1689 tritt in Kraft. Die einzelnen Pflichten greifen anschließend gestaffelt.

  2. 2. Februar 2025

    In Kraft

    KI-Kompetenz (Art. 4) & verbotene Praktiken (Art. 5)

    Die Pflicht zur KI-Kompetenz gilt seit diesem Datum für alle Anbieter und Betreiber. Gleichzeitig sind verbotene KI-Praktiken untersagt.

  3. 2. August 2025

    In Kraft

    Pflichten für GPAI-Modelle & Governance

    Transparenz- und Dokumentationspflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) sowie die Governance-Strukturen werden wirksam.

  4. 2. August 2026

    Geplant

    Marktüberwachung, Hochrisiko & Transparenz (Art. 50)

    Die nationale Marktüberwachung und Durchsetzung starten. Pflichten für Hochrisiko-KI nach Annex III und die Transparenzpflichten nach Art. 50 werden anwendbar.

  5. 2. August 2027

    Geplant

    Volle Compliance für Bestands-GPAI & eingebettete Hochrisiko-KI

    GPAI-Modelle, die vor August 2025 in Verkehr gebracht wurden, müssen vollständig konform sein. Weitere Hochrisiko-Fälle folgen.