EU AI Act Annex-III-Deadline — 2. Dezember 2027 (Omnibus) Jetzt prüfen →
Alle Ratgeber
Rollen

Provider oder Deployer? Ihre Rolle unter dem EU AI Act bestimmen

Zuletzt aktualisiert: Juni 2026·7 Min. Lesezeit
TL;DR

Der Provider entwickelt ein KI-System oder lässt es entwickeln und bringt es unter eigenem Namen in Verkehr; der Deployer nutzt es unter eigener Verantwortung. Die Rolle bestimmt die Pflichten. Vorsicht: Wer ein Hochrisiko-System wesentlich verändert oder umwidmet, wird nach Art. 25 selbst zum Provider.

Warum die Rolle alles entscheidet

Der EU AI Act verteilt Pflichten nach Rolle, nicht nach Unternehmensgröße. Bevor Sie überhaupt über Konformität nachdenken, müssen Sie wissen, ob Sie Provider (Anbieter), Deployer (Betreiber), Importeur oder Händler sind. Dieselbe KI kann je nach Konstellation unterschiedliche Rollen auslösen.

Die vier Rollen im Detail

Provider (Anbieter, Art. 3 Nr. 3): Wer ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt — entgeltlich oder unentgeltlich. Der Provider trägt die Hauptlast: Konformitätsbewertung, technische Dokumentation (Annex IV), Risikomanagement (Art. 9), Daten-Governance (Art. 10), CE-Kennzeichnung, Registrierung.

Deployer (Betreiber, Art. 3 Nr. 4): Wer ein KI-System unter eigener Verantwortung verwendet — außer im rein persönlichen, nicht-beruflichen Bereich. Die meisten Unternehmen, die KI einkaufen und einsetzen, sind Deployer.

Importeur (Art. 3 Nr. 6): Wer ein KI-System eines Anbieters aus einem Drittland in der EU in Verkehr bringt.

Händler (Art. 3 Nr. 7): Jeder andere Akteur in der Lieferkette, der ein KI-System bereitstellt.

Die Pflichten des Deployers (Art. 26)

Deployer von Hochrisiko-Systemen haben eigenständige, oft unterschätzte Pflichten:

  • Verwendung gemäß den Anweisungen des Providers.
  • Menschliche Aufsicht durch kompetentes, geschultes Personal.
  • Sicherstellung, dass die Eingabedaten der Zweckbestimmung entsprechen.
  • Aufbewahrung der Protokolle (Logs), soweit unter Kontrolle des Deployers.
  • Überwachung des Betriebs und Meldung von Risiken/Vorfällen an Provider und Behörde.
  • Information betroffener Personen, wenn Entscheidungen über sie getroffen werden.
  • FRIA (Grundrechte-Folgenabschätzung, Art. 27) — verpflichtend für öffentliche Stellen und bestimmte private Deployer.

Die Art. 25 Falle: Vom Deployer zum Provider

Hier liegt das größte unerkannte Risiko. Nach Art. 25 wird ein Deployer (oder Händler/Importeur) selbst zum Provider mit allen Provider-Pflichten, wenn er:

1. ein bereits in Verkehr gebrachtes Hochrisiko-System unter eigenem Namen/eigener Marke weitervertreibt, 2. die Zweckbestimmung eines Systems ändert, sodass es zum Hochrisiko-System wird, oder 3. eine wesentliche Änderung an einem Hochrisiko-System vornimmt.

Praxisbeispiel: Sie kaufen ein generisches GPAI-Modell ein und bauen daraus eine Bewerbungs-Screening-Lösung mit eigenem Branding. Damit haben Sie die Zweckbestimmung geändert und ein Hochrisiko-System geschaffen — Sie sind jetzt Provider und tragen die volle Konformitätslast, nicht der ursprüngliche Modellanbieter.

GPAI: Eine eigene Kategorie

Anbieter von General-Purpose-AI-Modellen (Art. 53–55) haben eigene Pflichten, die unabhängig von der Hochrisiko-Einstufung gelten: technische Dokumentation, Informationen für nachgelagerte Anbieter, Urheberrechts-Policy, Trainingsdaten-Zusammenfassung. Bei systemischem Risiko kommen Modellbewertung und Vorfallmeldung hinzu. Diese GPAI-Pflichten gelten bereits seit dem 2. August 2025 und wurden vom Digital Omnibus nicht verändert.

So bestimmen Sie Ihre Rolle in drei Fragen

1. Bringe ich das System unter meinem Namen in Verkehr? Ja → Provider. 2. Ändere ich Zweckbestimmung oder nehme wesentliche Änderungen vor? Ja → Provider (Art. 25). 3. Nutze ich es nur im eigenen Betrieb nach Anweisung? Ja → Deployer.

Dokumentieren Sie diese Einordnung pro KI-System schriftlich. Bei Audits ist die Rollenklärung das Erste, was eine Behörde sehen will.

Häufig gestellte Fragen

Bin ich Provider, wenn ich ChatGPT im Unternehmen nutze?+

Nein — als reiner Nutzer eines eingekauften GPAI-Dienstes sind Sie Deployer. Provider werden Sie erst, wenn Sie daraus eine eigene, umgewidmete Anwendung mit eigenem Branding bauen oder das System wesentlich verändern (Art. 25).

Welche Rolle hat die geringsten Pflichten?+

Der Händler hat die geringsten Pflichten (im Wesentlichen Sorgfaltsprüfungen). Der Deployer hat moderate, aber eigenständige Pflichten. Der Provider trägt die mit Abstand größte Last.

Kann ich gleichzeitig Provider und Deployer sein?+

Ja. Wenn Sie ein eigenes KI-System entwickeln und es auch selbst einsetzen, erfüllen Sie beide Rollen und müssen die Pflichten beider erfüllen.

Was ist eine „wesentliche Änderung" nach Art. 25?+

Eine Änderung, die nicht vom ursprünglichen Anbieter vorgesehen war und die Konformität oder Zweckbestimmung des Systems berührt. Reine Konfiguration im vorgesehenen Rahmen zählt nicht; Umtrainieren oder Zweckänderung schon.

Gelten Deployer-Pflichten auch für kleine Unternehmen?+

Ja. Der EU AI Act unterscheidet nicht nach Größe, sondern nach Rolle und Risikoklasse. KMU profitieren von einzelnen Erleichterungen (z. B. vereinfachte Dokumentation), die Grundpflichten bleiben aber bestehen.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Leutrim Miftaraj, Innopulse Consulting GmbH

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Juni 2026

Alle RatgeberWissenshub
Provider oder Deployer? EU AI Act Rollen-Guide | ai-risk-check.com