EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Alle Ratgeber
Build vs. Buy

EU AI Act: Eigenentwicklung vs. KI-Einkauf — Compliance-Folgen

Zuletzt aktualisiert: 4. Mai 2026·9 Min Lesezeit
TL;DR

Eigenentwicklung macht das Unternehmen zum Provider mit voller Pflichtenliste (Art. 16). Einkauf macht es zum Deployer mit reduzierten Pflichten (Art. 26). Falle: Erhebliche Modifikation eingekaufter Systeme (Fine-Tuning, RAG mit unique Daten) macht Deployer wieder zum Provider (Art. 25). Build kostet typisch 5-10x mehr als Buy.

Provider oder Deployer — die Kernfrage

Provider (Art. 3 Nr. 3): wer ein KI-System entwickelt oder unter eigenem Namen in Verkehr bringt. Volle Art. 16 Pflichten bei Hochrisiko: Risikomanagement, Daten-Governance, Technische Doku, Logs, Information für Deployer, Cybersecurity, Konformitätsbewertung, EU-Datenbank.

Deployer (Art. 3 Nr. 4): wer ein KI-System unter eigener Verantwortung einsetzt. Art. 26: Verwendung nach Provider-Anweisung, Aufsicht, Eingangsdaten-Kontrolle, Logs, ggf. FRIA Art. 27.

Drei Build-vs-Buy-Optionen

A: Volle Eigenentwicklung **Status**: Provider, voll. Hochrisiko-Use-Case = vollständige Art. 16 Pflichten.

Aufwand: Risikomanagement-Plan 200-500 Std., Daten-Governance + Datasheet 100-300 Std., Technische Doku Annex IV 200-400 Std., Konformitätsbewertung + Audit, EU-Datenbank-Eintrag, CE-Kennzeichnung. Laufende Pflege: 0,5-1 FTE.

Sinnvoll: Modell ist Kern-IP, Trainingsdaten unique (medizinisch, branchenspezifische Sensorik).

B: GPAI-Einkauf ohne Modifikation **Status**: reiner Deployer. ChatGPT Enterprise, Claude for Work, Gemini, Copilot — out-of-the-box.

Aufwand: KI-Inventar, AVV + AI-Act-Vertragsklauseln, KI-Literacy, Art. 50 Transparenz.

Sinnvoll: Standard-Use-Cases, kein USP durch Modell, Schnelligkeit kritisch.

C: GPAI mit erheblicher Modifikation **Status**: **Deployer wird zum Provider** — Art. 25 EU AI Act.

Was zählt als erhebliche Modifikation: Fine-Tuning, RAG mit unternehmensspezifischen Daten, kombinierte Modelle mit Custom-Logik. Was nicht: reine Prompts ohne Daten, Standard-UI-Konfiguration.

Aufwand: KI-Inventar mit Provider-Kennzeichnung, modifizierter Risikomanagement-Plan, eigene Konformitätsbewertung. Geringer als A, höher als B.

Die Modifikations-Falle

Beispiele:

  • OpenAI Custom GPT mit Datenuploads: Datenuploads + Use-Case-Tuning = wahrscheinlich Provider
  • Microsoft Copilot Studio mit Plugins: klar Provider sobald Plugin Output beeinflusst
  • Anthropic API mit RAG: Provider, wenn RAG wesentlicher Bestandteil
  • HuggingFace mit eigener Pipeline: klar Provider

Faustregel: Wenn Daten oder Logik in Modell-Verhalten einfliessen, prüfen — höchstwahrscheinlich Provider.

Pflicht-Vertragsklauseln beim Einkauf

1. Provider-Konformitätsbestätigung (CE bei Hochrisiko) 2. Bedienungsanleitung Art. 13 3. Logs-Zugang Art. 12 4. Update-Politik 5. Vorfall-Meldung 6. Haftungsregelung 7. Kündigung bei Compliance-Verlust

Kostenvergleich (3 Jahre, HR-Recruiting-KI für 250-MA-Mittelständler)

Build Hochrisiko:

  • Entwicklung Y1: 800-1.500 kEUR
  • Compliance-Setup: 100-200 kEUR
  • Betrieb Y2-Y3: 200-400 kEUR/Jahr
  • Total 1.300-2.500 kEUR

Buy mit Custom-Konfiguration:

  • SaaS Y1-Y3: 60-150 kEUR
  • Implementation: 30-80 kEUR
  • Compliance Deployer: 30-60 kEUR
  • Total 120-290 kEUR

Build kostet 5-10x mehr.

Häufig gestellte Fragen

Wann werden wir vom Deployer zum Provider?+

Bei erheblicher Modifikation nach Art. 25: Fine-Tuning, RAG mit unique Daten, Custom-Logic, kombinierte Modelle. Reine Prompts oder Standard-Konfiguration nicht.

Was ist günstiger?+

Buy 5-10x günstiger über 3 Jahre. Build sinnvoll, wenn Modell zentrales IP ist oder Trainingsdaten einzigartig.

Was muss in einem Buy-Vertrag stehen?+

Konformitätsbestätigung, Bedienungsanleitung, Logs-Zugang, Update-Politik, Vorfall-Meldung, Haftungsregelung, Kündigung.

Sind ChatGPT Custom GPTs Eigenentwicklung?+

Diskutabel. Reine Prompts = Deployer. Mit Datenuploads + spezifischem Use-Case-Tuning meist Provider nach Art. 25.

Wer haftet bei Verstössen?+

Geteilt. Provider haftet für System-Mängel, Deployer für Bedienfehler.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Innopulse Consulting GmbH

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: 4. Mai 2026

Alle RatgeberWissenshub
EU AI Act Build vs. Buy — Compliance 2026 | ai-risk-check.com