EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →

Provider: Definition und Pflichten

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

Ein Provider (Anbieter) nach Art. 3 Nr. 3 EU AI Act ist, wer ein KI-System entwickelt oder unter eigenem Namen oder eigener Marke in Verkehr bringt. Hochrisiko-Provider haben umfangreiche Pflichten nach Art. 16-17 inkl. Konformitätsbewertung und CE-Kennzeichnung.

Die Provider-Rolle ist die regulatorisch anspruchsvollste. Nur etwa 5% der Unternehmen sind reine KI-Provider — meist Software-Hersteller, Tech-Konzerne oder spezialisierte ML-Boutiquen. Aber jedes Unternehmen kann durch Modifikation oder Re-Branding zum Provider werden (Art. 25).

Definition

Art. 3 Nr. 3: "Anbieter" eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder in Betrieb nimmt, sei es entgeltlich oder unentgeltlich.

Pflichten Hochrisiko-Provider (Art. 16)

  • Risikomanagement-System (Art. 9)
  • Datenqualität & Governance (Art. 10)
  • Technische Dokumentation (Art. 11 + Annex IV)
  • Logging-Funktionalität bauen (Art. 12)
  • Transparenz und Information für Deployer (Art. 13)
  • Menschliche Aufsicht ermöglichen (Art. 14)
  • Genauigkeit, Robustheit, Cybersicherheit (Art. 15)
  • Konformitätsbewertung (Art. 43)
  • CE-Kennzeichnung (Art. 48)
  • EU-Konformitätserklärung (Art. 47)
  • Registrierung in EU-Datenbank (Art. 49 + 71)
  • Post-Market-Monitoring (Art. 72)
  • Schwerwiegende-Vorfälle melden (Art. 73)

Konformitätsbewertung

Annex VI vs. Annex VII. Die meisten Annex-III-Hochrisiko-Provider können Annex VI nutzen (interne Kontrolle). Annex VII (mit Notified Body) ist nur für bestimmte Biometrie-Systeme zwingend. Für Annex-I-Section-A geht die Konformitätsbewertung über die Sektor-Notified-Body.

Häufige Fragen

Was kostet Provider-Compliance?
Initialer Aufwand 50-300k EUR pro Hochrisiko-System (abhängig von Komplexität und ob Notified Body involviert). Laufend 20-80k EUR/Jahr für Monitoring, Updates, Berichte. Skaleneffekte bei mehreren Systemen erheblich.
Bin ich Provider wenn ich ein Modell fine-tune?
Hängt vom Umfang ab. Light-Fine-Tuning ohne Zweckänderung: meist nein. Substanzielles Fine-Tuning auf neuen Use-Case: ja, dann sind Sie Provider des resultierenden Systems mit allen Annex-III-Pflichten.
Wie lange dauert die Konformitätsbewertung?
Annex VI (interne Kontrolle): 2-6 Monate ab Trigger. Annex VII (mit Notified Body): 6-18 Monate. Frühzeitige Vorbereitung der Tech-Doku und Trainingsdaten-Governance verkürzt deutlich.

Relevante Rechtsgrundlagen

Art. 3 Nr. 3 EU AI ActArt. 16 EU AI ActArt. 17 EU AI ActArt. 43 EU AI Act

Klassifizieren Sie Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jedes KI-System.

Kostenloser EU AI Act Quick-Check →
Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle GlossarQuick-Check