EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Alle Ratgeber
Rollen

Provider vs Deployer im EU AI Act: Wer ist was — und wann wechselt die Rolle?

Zuletzt aktualisiert: Mai 2026·10 min Lesezeit
TL;DR

Der EU AI Act unterscheidet Anbieter (Provider) und Betreiber (Deployer). Anbieter entwickeln und stellen KI-Systeme bereit — sie tragen die Hauptlast: Konformitätsbewertung, technische Dokumentation, EU-DB-Eintrag. Deployer setzen ein bereits fertiges System ein und tragen Aufsichts- und Nutzungspflichten. Wichtig: Bei Substantial Modification (Art. 25) wird der Deployer selbst zum Provider.

Wer im EU AI Act Pflichten hat, hängt von der Rolle ab. Zwei Hauptrollen: Anbieter (Provider) und Betreiber (Deployer). Plus zwei Nebenrollen: Importeur und Händler. Die Rolle bestimmt, wer was tun muss.

Definition: Provider (Anbieter)

Art. 3 Nr. 3 EU AI Act:

"Eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder in Betrieb nimmt."

Drei Merkmale: 1. Entwickelt das System (selbst oder beauftragt) 2. Stellt es unter eigenem Namen bereit 3. Bringt es in den EU-Markt oder nimmt es in Betrieb

Beispiele:

  • OpenAI (für GPT-4o)
  • Anthropic (für Claude)
  • Ein Schweizer KMU, das ein eigenes HR-Recruiting-Modell trainiert
  • Ein Beratungsunternehmen, das eine White-Label-KI-Lösung verkauft

Definition: Deployer (Betreiber)

Art. 3 Nr. 4 EU AI Act:

"Eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet."

Drei Merkmale: 1. Verwendet das System 2. In eigener Verantwortung (nicht als Privatperson) 3. Beruflicher Kontext

Beispiele:

  • Ein deutscher Mittelständler, der ChatGPT für E-Mail-Drafting nutzt
  • Eine Bank, die ein Drittanbieter-Bonitäts-KI-Tool einsetzt
  • Eine Anwaltskanzlei, die Microsoft Copilot abonniert
  • Eine Behörde, die einen externen Chatbot für Bürgeranfragen einsetzt

Pflichten je Rolle

Provider-Pflichten (Hochrisiko-KI)

Vor Inverkehrbringen:

  • Risikomanagementsystem (Art. 9)
  • Daten-Governance (Art. 10)
  • Technische Dokumentation (Art. 11, Annex IV)
  • Logging implementieren (Art. 12)
  • Genauigkeit, Robustheit, Cybersicherheit (Art. 15)
  • Konformitätsbewertung durchführen (Art. 43)
  • EU-Konformitätserklärung erstellen (Art. 47)
  • CE-Kennzeichnung anbringen (Art. 48)
  • EU-Datenbank-Registrierung (Art. 49)

Nach Inverkehrbringen:

  • Post-Market-Monitoring (Art. 72)
  • Vorfall-Meldung (Art. 73)
  • Korrekturmassnahmen bei Mängeln (Art. 20)

Deployer-Pflichten (Hochrisiko-KI)

Vor Einsatz:

  • Bedienungsanleitung lesen (Art. 26 Abs. 1)
  • Eingangsdaten relevanz prüfen (Art. 26 Abs. 4)
  • Menschliche Aufsicht sicherstellen (Art. 26 Abs. 2)
  • Ggf. FRIA durchführen (Art. 27)
  • Personal schulen (Art. 4)

Während Einsatz:

  • Logs aufbewahren (Art. 26 Abs. 6 — mindestens 6 Monate, sektoral länger)
  • Vorfälle dem Provider melden (Art. 26 Abs. 5)
  • Bei automatisierter Einzelentscheidung: Information der Betroffenen (Art. 26 Abs. 11)

Bei wesentlichen Vorfällen:

  • Marktaufsichtsbehörde informieren (Art. 73)

Wann wird der Deployer zum Provider? — Art. 25

Art. 25 ist eine der wichtigsten und am häufigsten missverstandenen Vorschriften des EU AI Act.

Auslöser-Tatbestände

Ein Deployer wird zum Provider, wenn er: 1. Sein eigenes Branding auf das System aufbringt (Re-Branding) — Abs. 1 lit. a 2. Eine wesentliche Änderung des Systems vornimmt (Substantial Modification) — Abs. 1 lit. b 3. Die Zweckbestimmung wesentlich ändert (z.B. Hochrisiko-Verwendung, obwohl der ursprüngliche Provider eine andere Zweckbestimmung definiert hatte) — Abs. 1 lit. c

Was ist eine "wesentliche Änderung"?

Art. 3 Nr. 23 definiert Substantial Modification als:

"Eine Änderung des KI-Systems nach dessen Inverkehrbringen oder Inbetriebnahme, die in der ursprünglichen Konformitätsbewertung des Anbieters nicht vorhergesehen oder geplant ist und die die Konformität des KI-Systems mit den Anforderungen [...] beeinträchtigt oder zu einer Veränderung der Zweckbestimmung führt, für die das KI-System bewertet wurde."

Praktische Beispiele für Substantial Modification:

  • Fine-tuning eines GPAI-Modells auf eigene Hochrisiko-Daten
  • Erweiterung der Trainingsdaten auf neue Personengruppen
  • Änderung der Hauptfunktion (z.B. von "FAQ-Bot" zu "Bewerber-Ranking-Tool")
  • Wesentliche Performance-Veränderung (positiv oder negativ)

Keine Substantial Modification:

  • Bug-Fixes
  • UI-Anpassungen ohne Modell-Änderung
  • Konfigurations-Änderungen innerhalb des vom Provider vorgesehenen Rahmens

Konsequenz: Deployer wird zum Provider

Wenn Substantial Modification vorliegt, übernimmt der Deployer alle Provider-Pflichten — komplette Konformitätsbewertung, technische Dokumentation, EU-Datenbank-Eintrag. Das ist organisatorisch und finanziell massiv.

Vertragsklauseln Provider ↔ Deployer

In jedem KI-Beschaffungsvertrag sollten klar geregelt sein:

Was muss der Provider liefern?

  • Bedienungsanleitung gemäss Art. 13
  • Konformitätserklärung
  • Datenblätter zu Eingangsdaten
  • Performance-Metriken
  • Logging-Schnittstellen
  • Update-Pflichten bei rechtlichen Änderungen

Was darf der Deployer nicht ohne Zustimmung tun?

  • Substantial Modification
  • Übernahme in andere Zweckbestimmung
  • Re-Branding ohne Zusatzvereinbarung
  • Weitergabe an Dritte

Haftung

  • Provider haftet für Mängel der Konformitätsbewertung
  • Deployer haftet für Anwendungsfehler und Aufsichtspflichten
  • Bei Substantial Modification: Übergang zu Deployer

Häufige Praxisfragen

"Ich nutze ChatGPT — bin ich Provider?"

Nein, du bist Deployer. OpenAI ist Provider. Aber wenn du ChatGPT mit Custom Instructions oder einem Custom GPT speziell konfigurierst und unter eigenem Namen anbietest, kann das eine Substantial Modification sein — dann wirst du zum Provider.

"Ich nutze Microsoft Copilot — bin ich Provider?"

Nein, Microsoft ist Provider. Du bist Deployer. Wenn du Copilot in einen automatisierten Workflow für Bonitätsbewertungen einbindest (statt Schreib-Assistenz), kann das aber Substantial Modification sein.

"Ich entwickle ein eigenes Modell auf einem GPAI-Foundation-Model — bin ich Provider?"

Sehr wahrscheinlich ja. Fine-tuning auf eigene Daten oder eine eigene Zweckbestimmung macht dich zum Provider des resultierenden Systems. Du erbst aber NICHT die GPAI-Pflichten des ursprünglichen Anbieters — die bleiben beim Foundation-Model-Anbieter.

Praktische Empfehlung

1. Klar dokumentieren: Wer ist Provider, wer Deployer, pro System? 2. Vertraglich regeln: Pflichten, Haftung, Zustimmungsvorbehalt für Substantial Modification 3. Bei Modifikationen prüfen: Ist es wirklich substantial? 4. Im Zweifel: lieber als Substantial Modification klassifizieren und Provider-Pflichten erfüllen — kostet weniger als ein Audit-Befund

Häufig gestellte Fragen

Was ist der Unterschied zwischen Provider und Deployer im EU AI Act?+

Provider (Anbieter, Art. 3 Nr. 3) entwickelt das KI-System und stellt es unter eigenem Namen im EU-Markt bereit — er trägt die Hauptlast: Konformitätsbewertung, technische Dokumentation, EU-DB-Eintrag, CE-Kennzeichnung. Deployer (Betreiber, Art. 3 Nr. 4) setzt ein bereits fertiges System in eigener beruflicher Verantwortung ein — er hat Aufsichts-, Schulungs- und Nutzungspflichten.

Wann wird ein Deployer zum Provider?+

Drei Auslöser nach Art. 25 Abs. 1: 1) Re-Branding — Aufbringen eigenen Markenzeichens. 2) Substantial Modification — wesentliche Änderung des Systems oder seiner Performance. 3) Wesentliche Änderung der Zweckbestimmung, z.B. Einsatz eines Standard-Tools für eine Hochrisiko-Anwendung, für die der ursprüngliche Provider keine Konformität bewertet hat.

Ist Fine-Tuning eines GPAI-Modells eine Substantial Modification?+

Sehr häufig ja. Wenn du ein GPAI-Modell wie GPT-4 oder Claude auf deine eigenen Daten oder für eine eigene Zweckbestimmung anpasst, schaffst du in der Regel ein neues KI-System mit eigener Zweckbestimmung — und wirst Provider dieses neuen Systems. Die GPAI-Pflichten des ursprünglichen Anbieters bleiben aber beim Foundation-Model-Anbieter.

Welche Vertragsklauseln zwischen Provider und Deployer sind kritisch?+

Mindestens vier: 1) Lieferpflichten des Providers — Bedienungsanleitung, Konformitätserklärung, Performance-Metriken, Logging-Schnittstellen. 2) Verbote für den Deployer ohne Zustimmung — Substantial Modification, andere Zweckbestimmung, Re-Branding, Weitergabe. 3) Haftungsverteilung — Provider für Konformitätsmängel, Deployer für Anwendungsfehler. 4) Update-Pflichten bei rechtlichen Änderungen.

Macht mich die Nutzung von ChatGPT zum Provider?+

Nein, OpenAI bleibt Provider, du bist Deployer. Aber: wenn du einen Custom GPT mit eigenen Instructions, Wissensbasis und unter eigenem Namen veröffentlichst, kann das je nach Konfiguration eine Substantial Modification sein. Auch wenn du ChatGPT in einen automatisierten Hochrisiko-Workflow integrierst (z.B. Bonitätsbewertung), wirst du zum Provider dieses Workflow-Systems.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Innopulse Legal Engine v3.8.0

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Mai 2026

Alle RatgeberWissenshub
Provider vs Deployer EU AI Act 2026 — Rollen-Guide | ai-risk-check.com