Compliance BAFA-Förderung: bis zu 80% Zuschuss

AI Act Anbieter vs. Betreiber: Rolle für KMU klären

Anbieter oder Betreiber nach EU AI Act: So klärt der Mittelstand seine Rolle und vermeidet die Anbieter-Falle nach Artikel 25.

~ 6 Min. Lesezeit

Die Frage, ob ein Mittelständler im Sinne des EU AI Act als Anbieter oder als Betreiber gilt, klingt zunächst nach juristischer Spitzfindigkeit, entscheidet im Bußgeld-Fall aber über zwei deutlich unterschiedliche Pflichtenpakete und damit über sechsstellige Compliance-Budgets. Die EU-Verordnung verteilt die Pflichten asymmetrisch, weil der Anbieter das KI-System materiell verantwortet, während der Betreiber nur den Einsatz innerhalb seines Unternehmens steuert. Wer diese Rolle falsch einschätzt oder unbemerkt in die Anbieterrolle rutscht, sitzt im Verfahren vor der zuständigen Marktüberwachungsbehörde plötzlich auf der falschen Seite des Pflichtenkatalogs.

Art. 25 Anbieter-Falle

Artikel 25 EU AI Act lässt Betreiber automatisch in die Anbieterrolle rutschen, sobald sie ein KI-System unter eigener Marke vertreiben, die Zweckbestimmung wesentlich ändern oder ein Hochrisiko-System substanziell modifizieren. Genau diese drei Auslöser sind in der typischen KI-Einführung im Mittelstand häufig unterschätzt.

Warum die Rollen-Frage in der Compliance-Praxis oft zu spät gestellt wird

Viele Mittelständler beschäftigen sich erst dann ernsthaft mit der Anbieter-Betreiber-Frage, wenn ein konkretes KI-Projekt bereits im Rollout ist und der Datenschutzbeauftragte oder die Rechtsabteilung sich überrumpelt fühlt. In dieser Phase ist die Rollen-Entscheidung allerdings schon implizit gefallen, weil die Architekturentscheidung das KI-System entweder in die reine Nutzungsschicht legt oder im Gegenteil eine eigene Anpassungs- und Veröffentlichungslogik aufbaut. Eine nachträgliche Korrektur ist möglich, aber teuer, weil sie regelmäßig Vertragsanpassungen, Dokumentations-Nacharbeit und eine erneute Risiko-Bewertung nach Artikel 9 erfordert.

Die wirtschaftlich sinnvolle Alternative ist eine systematische Rollen-Analyse vor dem KI-Einkauf oder vor dem Feintuning-Projekt, weil sich daraus die Vertragsbedingungen, das Schulungskonzept und die Test-Architektur ableiten lassen. Diese Analyse ist der Schwerpunkt unserer BAFA-geförderten AI-Act-Beratung für den Mittelstand und wird in unserem Hub zur AI-Act-Beratung als Teil des Compliance-Pakets ausführlicher beschrieben.

Die vier Rollen des EU AI Act im direkten Vergleich

Der EU AI Act unterscheidet vier Hauptrollen sowie die Sonderrolle des Anbieters für General-Purpose AI. Die folgende Tabelle stellt die wichtigsten Pflichten pro Rolle gegenüber und zeigt, wo die Hebel für Mittelständler liegen.

RolleDefinition nach Artikel 3KernpflichtenBußgeld-Risiko
AnbieterWer ein KI-System entwickelt und unter eigener Marke in Verkehr bringtArtikel 9 bis 17 (Risiko, Daten, Doku) sowie Artikel 43 (Konformitätsbewertung)Höchste Stufe: bis zu 15 Mio. Euro oder drei Prozent Konzernumsatz
BetreiberWer ein KI-System in eigener Verantwortung einsetztArtikel 4 (Personal-Schulung), Artikel 26 (Aufsicht), Artikel 50 (Transparenz Endnutzer)Mittlere Stufe: bis 7,5 Mio. Euro Bußgeldrahmen
EinführerWer ein KI-System aus einem Drittland in die EU bringtArtikel 23 (Sorgfaltspflicht beim Marktzugang)Mittlere Stufe
HändlerWer ein KI-System auf dem Markt bereitstellt, ohne es zu modifizierenArtikel 24 (Sorgfaltspflicht beim Vertrieb)Niedrige Stufe
GPAI-AnbieterWer ein General-Purpose AI Model bereitstelltArtikel 51 bis 55 (Technische Doku, Trainingsdaten-Zusammenfassung)Spezialregime

Diese Tabelle ist absichtlich verdichtet und ersetzt keine vollständige Compliance-Analyse, gibt Ihnen aber einen ersten Anhaltspunkt für die Einordnung Ihres eigenen KI-Einsatzes. Die meisten deutschen Mittelständler liegen im Betreiber-Status für die eingekauften Tools und im Händler-Status für Software, die sie unverändert weiterreichen, geraten aber bei eigenem Feintuning oder bei der Umwidmung von Tools schnell in die Anbieterrolle hinein.

Die drei Auslöser nach Artikel 25, die einen Betreiber zum Anbieter machen

Artikel 25 EU AI Act ist die zentrale Norm, an der sich Mittelständler in der Praxis häufig verheben. Die Norm beschreibt drei Konstellationen, in denen ein Betreiber automatisch in die Anbieterrolle hineinwächst und damit die volle Anbieter-Pflichtenliste übernimmt. Wer eine dieser Konstellationen erfüllt, ohne es zu merken, hat ein erhebliches Bußgeldrisiko.

Der erste Auslöser ist das Inverkehrbringen eines fremden KI-Systems unter eigenem Namen oder eigener Marke. Ein deutscher SaaS-Anbieter, der eine fremde KI-Komponente unter dem eigenen Brand-Namen seinen Kunden zur Verfügung stellt, wird damit rechtlich zum Anbieter dieses KI-Systems und übernimmt die volle Konformitätsbewertungspflicht nach Artikel 43. Diese Konstellation entsteht in der Praxis regelmäßig durch White-Label-Verträge, in denen das fremde KI-Modul vom eigenen Brand-Marketing überdeckt wird.

Der zweite Auslöser ist eine wesentliche Änderung der Zweckbestimmung eines bereits in Verkehr gebrachten KI-Systems. Wenn ein Mittelständler ein für die Lagerverwaltung verkauftes System für die Personalauswahl umwidmet, entsteht damit ein neues KI-System mit eigener Zweckbestimmung, für das das ursprüngliche Konformitätszertifikat nicht mehr gilt. Diese Umwidmung passiert in der Praxis oft unbewusst, weil interne Power-User kreative neue Anwendungsfelder entdecken und diese ohne Compliance-Freigabe in den Alltag einbauen.

Der dritte Auslöser ist eine substanzielle Modifikation eines Hochrisiko-KI-Systems, die die ursprüngliche Konformitätsbewertung außer Kraft setzt. Diese Konstellation greift insbesondere bei tiefem Feintuning auf eigenen Daten, bei einer Architektur-Erweiterung um RAG-Komponenten oder bei einer Veränderung der Trainingsverteilung. Wo genau die Schwelle zur substanziellen Modifikation liegt, ist im EU AI Act bewusst flexibel formuliert und wird durch die kommenden Leitlinien der Kommission konkretisiert.

Was die Rollenanalyse für Ihr Unternehmen konkret leistet

Eine BAFA-geförderte Rollenanalyse nach EU AI Act liefert nicht nur eine Einordnung, sondern eine vollständige Pflichten-Roadmap pro System und pro Rolle. Konkret übergeben wir am Ende der Beratung drei Artefakte, die im Unternehmen weiter genutzt werden.

Das erste Artefakt ist eine vollständige KI-System-Liste mit Rollen-Klassifikation pro System, ergänzt um die jeweils ausschlaggebenden Pflichten-Artikel. Das zweite ist eine Risiko-Bewertung gegen die Auslöser des Artikels 25, die typische Stolperstellen wie Rebranding-Verträge und Feintuning-Projekte gesondert markiert. Das dritte ist eine zwölfmonatige Compliance-Roadmap mit konkreten Stichtagen für Personal-Schulung, Transparenz-Hinweise und gegebenenfalls Konformitätsbewertung.

Übersicht: Was der Hub AI-Act-Beratung zusätzlich abdeckt

Diese Anbieter-Betreiber-Page ist Teil unseres größeren Hubs zur AI-Act-Beratung für den Mittelstand, in dem Sie weitere Detailseiten zur Risikoklassifikation, zu Schulungspflichten nach Artikel 4 und zu Bußgeld-Staffeln nach Artikel 99 finden. Wenn Sie zuerst klären möchten, ob Ihr Projekt BAFA-förderfähig ist, starten Sie mit dem kostenlosen Förderfähigkeits-Check und sparen sich die initiale Recherche durch das BAFA-Online-Portal.

Nächster Schritt

Klären Sie zuerst kostenlos die Förderfähigkeit Ihres Unternehmens über unseren BAFA-Schnelltest, der die KMU-Schwellen automatisch prüft und Ihnen eine kurze schriftliche Einschätzung liefert. Wenn die Voraussetzungen passen, vereinbaren Sie über Calendly ein dreißigminütiges Erstgespräch, in dem wir die KI-System-Liste, die Rollen-Klassifikation und die ausschlaggebenden Auslöser des Artikels 25 vorbereiten. Wir kommen zur eigentlichen Beratung in Ihr Unternehmen, weil sich Rollen-Konstellationen direkt an den vorhandenen Verträgen, Architektur-Diagrammen und Bestell-Prozessen besser klären lassen als in einem entkoppelten Workshop-Raum.

Erstgespräch zur AI-Act-Rollenanalyse buchen

Unser Ansatz für AI Act Anbieter Betreiber Unterschied

Phase Beschreibung
KI-Inventarisierung als Basis Wir erfassen in einer Halbtages-Aufnahme alle KI-Systeme, die im Unternehmen laufen, von Microsoft Copilot bis zu branchenspezifischen Fachmodulen. Erst aus dieser vollständigen Liste lässt sich Rolle für Rolle prüfen, ob das Unternehmen ein System nur einsetzt oder ob es im Sinne des Artikels 25 zum Anbieter geworden ist.
Rollen-Klassifikation pro System Wir klassifizieren pro KI-System, ob Ihr Unternehmen Anbieter, Betreiber, Einführer oder Händler ist, und ergänzen die Sonderrolle General-Purpose-AI-Anbieter, falls Sie ein Foundation Model bereitstellen. Die Klassifikation ist Voraussetzung für die korrekte Pflichten-Liste und für eine sinnvolle Bußgeld-Bewertung.
Auslöser-Check für die Anbieter-Falle Wir prüfen die drei Auslöser des Artikels 25 ab, die einen Betreiber zum Anbieter machen, also Rebranding eines fremden Systems, wesentliche Änderung der Zweckbestimmung und substanzielle Modifikation eines Hochrisiko-Systems. Speziell beim Feintuning eigener Modelle und beim Einsatz von Open-Source-Modellen ist dieser Check der eigentliche Hebel der Beratung.
Pflichten-Roadmap pro Rolle Wir liefern pro identifizierter Rolle eine konkrete Pflichten-Roadmap mit Stichtagen, von der Personal-Schulung nach Artikel 4 bis zur Konformitätsbewertung und CE-Kennzeichnung für Hochrisiko-Systeme. Diese Roadmap ist die Grundlage für interne Budget-Planung und für die Priorisierung der Compliance-Themen im ersten Jahr.

Häufige Fragen

Anbieter ist nach Artikel 3 Nummer 3 EU AI Act, wer ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke in der EU in Verkehr bringt. Betreiber ist nach Artikel 3 Nummer 4, wer ein KI-System in eigener Verantwortung einsetzt, sofern dieser Einsatz nicht im privaten Bereich erfolgt. Die Pflichten sind asymmetrisch verteilt. Der Anbieter trägt die Hauptlast aus Risikomanagement nach Artikel 9, Daten-Governance nach Artikel 10, technischer Dokumentation nach Artikel 11 und Konformitätsbewertung nach Artikel 43. Der Betreiber hat schlankere Pflichten aus der Aufsicht über den Einsatz, der Pflege von Eingabedaten, der menschlichen Überwachung sowie der Information der Betroffenen.

Artikel 25 EU AI Act benennt drei Konstellationen, in denen ein Betreiber automatisch in die Anbieterrolle hineinwächst und damit die volle Anbieter-Pflichtenliste übernimmt. Erstens das Inverkehrbringen eines KI-Systems unter eigenem Namen oder eigener Marke, also klassisches Rebranding. Zweitens eine wesentliche Änderung der Zweckbestimmung eines bereits in Verkehr gebrachten KI-Systems, etwa wenn ein eigentlich für Lagerverwaltung gedachtes Modell für die Personalauswahl umgewidmet wird. Drittens eine substanzielle Änderung eines Hochrisiko-Systems, die die ursprüngliche Konformitätsbewertung außer Kraft setzt. Wer in eine dieser Konstellationen rutscht, ohne es zu merken, hat ein erhebliches Bußgeldrisiko, weil die Anbieter-Pflichten umfangreich und teils zertifizierungspflichtig sind.

In dieser Konstellation ist Ihr Unternehmen typischerweise Betreiber im Sinne des Artikels 3 Nummer 4. Anbieter sind OpenAI für ChatGPT Enterprise sowie Microsoft für Copilot, weil beide Modelle unter dem jeweiligen Markennamen in der EU in Verkehr gebracht werden. Sie übernehmen die schlankere Pflichtenliste aus Personal-Schulung nach Artikel 4, Transparenz gegenüber Betroffenen nach Artikel 50 und der menschlichen Aufsicht über den konkreten Einsatz. Vorsicht ist allerdings beim Feintuning oder bei einer wesentlichen Umwidmung der Tools geboten, weil Sie damit unter Umständen in die Anbieterrolle nach Artikel 25 rutschen können.

Das eigenständige Feintuning eines Open-Source-Modells wie Llama oder Mistral kann je nach Tiefe der Anpassung dazu führen, dass Ihr Unternehmen rechtlich als Anbieter eines KI-Systems gilt. Die Schwelle ist nicht trivial zu bestimmen, weil der EU AI Act keine konkrete Prozentangabe für substanzielle Änderung definiert. Ein flaches Prompt-Engineering oder eine schmale RAG-Wissensbasis bleibt regelmäßig im Betreiber-Status. Ein tiefes Feintuning auf zehntausenden Datensätzen mit veränderter Zweckbestimmung schiebt das Unternehmen dagegen typischerweise in die Anbieterrolle. Wir prüfen die konkrete Konstellation gegen die Auslöser des Artikels 25 und liefern eine schriftliche Einschätzung als Teil der Beratung.

Anbieter von General-Purpose AI haben Sonderpflichten aus den Artikeln 51 bis 55 EU AI Act, die seit dem 2. August 2025 anwendbar sind. Konkret betrifft das eine technische Dokumentation nach Anhang XI, eine Zusammenfassung der Trainingsdaten, eine Urheberrechts-Compliance-Policy sowie bei systemischen Risiken zusätzliche Pflichten aus Artikel 55. Die meisten Mittelständler sind hiervon nur als Nachfrager betroffen und können die Erfüllung dieser Pflichten in der eigenen Beschaffung als Vertragskriterium festschreiben. Wer ein eigenes Foundation Model trainiert oder substanziell weiterentwickelt, sollte rechtzeitig vor dem Marktauftritt eine spezialisierte Compliance-Beratung einbinden.

Die Bußgelder im EU AI Act sind in Artikel 99 gestaffelt und werden im Anbieter-Fall typischerweise höher angesetzt als im reinen Betreiber-Fall. Für Verstöße gegen Pflichten in den Artikeln 9 bis 24 (typische Anbieter-Pflichten für Hochrisiko-Systeme) liegt der Maximalrahmen bei fünfzehn Millionen Euro oder drei Prozent des weltweiten Konzernumsatzes. Für KMU gilt nach Artikel 99 Absatz 6 der jeweils niedrigere Wert, was das absolute Risiko mildert, ohne es zu beseitigen. Wer eine Anbieter-Pflicht aufgrund einer falschen Rollen-Einschätzung übergeht, riskiert nicht nur das Bußgeld, sondern auch zivilrechtliche Haftung gegenüber Geschäftspartnern, weil die Konformitäts-Erklärung dann faktisch fehlerhaft ist.

Kostenlose Potenzialanalyse anfragen

Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Datenschutzerklärung