Die Frage, ob ein Mittelständler im Sinne des EU AI Act als Anbieter oder als Betreiber gilt, klingt zunächst nach juristischer Spitzfindigkeit, entscheidet im Bußgeld-Fall aber über zwei deutlich unterschiedliche Pflichtenpakete und damit über sechsstellige Compliance-Budgets. Die EU-Verordnung verteilt die Pflichten asymmetrisch, weil der Anbieter das KI-System materiell verantwortet, während der Betreiber nur den Einsatz innerhalb seines Unternehmens steuert. Wer diese Rolle falsch einschätzt oder unbemerkt in die Anbieterrolle rutscht, sitzt im Verfahren vor der zuständigen Marktüberwachungsbehörde plötzlich auf der falschen Seite des Pflichtenkatalogs.
Artikel 25 EU AI Act lässt Betreiber automatisch in die Anbieterrolle rutschen, sobald sie ein KI-System unter eigener Marke vertreiben, die Zweckbestimmung wesentlich ändern oder ein Hochrisiko-System substanziell modifizieren. Genau diese drei Auslöser sind in der typischen KI-Einführung im Mittelstand häufig unterschätzt.
Warum die Rollen-Frage in der Compliance-Praxis oft zu spät gestellt wird
Viele Mittelständler beschäftigen sich erst dann ernsthaft mit der Anbieter-Betreiber-Frage, wenn ein konkretes KI-Projekt bereits im Rollout ist und der Datenschutzbeauftragte oder die Rechtsabteilung sich überrumpelt fühlt. In dieser Phase ist die Rollen-Entscheidung allerdings schon implizit gefallen, weil die Architekturentscheidung das KI-System entweder in die reine Nutzungsschicht legt oder im Gegenteil eine eigene Anpassungs- und Veröffentlichungslogik aufbaut. Eine nachträgliche Korrektur ist möglich, aber teuer, weil sie regelmäßig Vertragsanpassungen, Dokumentations-Nacharbeit und eine erneute Risiko-Bewertung nach Artikel 9 erfordert.
Die wirtschaftlich sinnvolle Alternative ist eine systematische Rollen-Analyse vor dem KI-Einkauf oder vor dem Feintuning-Projekt, weil sich daraus die Vertragsbedingungen, das Schulungskonzept und die Test-Architektur ableiten lassen. Diese Analyse ist der Schwerpunkt unserer BAFA-geförderten AI-Act-Beratung für den Mittelstand und wird in unserem Hub zur AI-Act-Beratung als Teil des Compliance-Pakets ausführlicher beschrieben.
Die vier Rollen des EU AI Act im direkten Vergleich
Der EU AI Act unterscheidet vier Hauptrollen sowie die Sonderrolle des Anbieters für General-Purpose AI. Die folgende Tabelle stellt die wichtigsten Pflichten pro Rolle gegenüber und zeigt, wo die Hebel für Mittelständler liegen.
| Rolle | Definition nach Artikel 3 | Kernpflichten | Bußgeld-Risiko |
|---|---|---|---|
| Anbieter | Wer ein KI-System entwickelt und unter eigener Marke in Verkehr bringt | Artikel 9 bis 17 (Risiko, Daten, Doku) sowie Artikel 43 (Konformitätsbewertung) | Höchste Stufe: bis zu 15 Mio. Euro oder drei Prozent Konzernumsatz |
| Betreiber | Wer ein KI-System in eigener Verantwortung einsetzt | Artikel 4 (Personal-Schulung), Artikel 26 (Aufsicht), Artikel 50 (Transparenz Endnutzer) | Mittlere Stufe: bis 7,5 Mio. Euro Bußgeldrahmen |
| Einführer | Wer ein KI-System aus einem Drittland in die EU bringt | Artikel 23 (Sorgfaltspflicht beim Marktzugang) | Mittlere Stufe |
| Händler | Wer ein KI-System auf dem Markt bereitstellt, ohne es zu modifizieren | Artikel 24 (Sorgfaltspflicht beim Vertrieb) | Niedrige Stufe |
| GPAI-Anbieter | Wer ein General-Purpose AI Model bereitstellt | Artikel 51 bis 55 (Technische Doku, Trainingsdaten-Zusammenfassung) | Spezialregime |
Diese Tabelle ist absichtlich verdichtet und ersetzt keine vollständige Compliance-Analyse, gibt Ihnen aber einen ersten Anhaltspunkt für die Einordnung Ihres eigenen KI-Einsatzes. Die meisten deutschen Mittelständler liegen im Betreiber-Status für die eingekauften Tools und im Händler-Status für Software, die sie unverändert weiterreichen, geraten aber bei eigenem Feintuning oder bei der Umwidmung von Tools schnell in die Anbieterrolle hinein.
Die drei Auslöser nach Artikel 25, die einen Betreiber zum Anbieter machen
Artikel 25 EU AI Act ist die zentrale Norm, an der sich Mittelständler in der Praxis häufig verheben. Die Norm beschreibt drei Konstellationen, in denen ein Betreiber automatisch in die Anbieterrolle hineinwächst und damit die volle Anbieter-Pflichtenliste übernimmt. Wer eine dieser Konstellationen erfüllt, ohne es zu merken, hat ein erhebliches Bußgeldrisiko.
Der erste Auslöser ist das Inverkehrbringen eines fremden KI-Systems unter eigenem Namen oder eigener Marke. Ein deutscher SaaS-Anbieter, der eine fremde KI-Komponente unter dem eigenen Brand-Namen seinen Kunden zur Verfügung stellt, wird damit rechtlich zum Anbieter dieses KI-Systems und übernimmt die volle Konformitätsbewertungspflicht nach Artikel 43. Diese Konstellation entsteht in der Praxis regelmäßig durch White-Label-Verträge, in denen das fremde KI-Modul vom eigenen Brand-Marketing überdeckt wird.
Der zweite Auslöser ist eine wesentliche Änderung der Zweckbestimmung eines bereits in Verkehr gebrachten KI-Systems. Wenn ein Mittelständler ein für die Lagerverwaltung verkauftes System für die Personalauswahl umwidmet, entsteht damit ein neues KI-System mit eigener Zweckbestimmung, für das das ursprüngliche Konformitätszertifikat nicht mehr gilt. Diese Umwidmung passiert in der Praxis oft unbewusst, weil interne Power-User kreative neue Anwendungsfelder entdecken und diese ohne Compliance-Freigabe in den Alltag einbauen.
Der dritte Auslöser ist eine substanzielle Modifikation eines Hochrisiko-KI-Systems, die die ursprüngliche Konformitätsbewertung außer Kraft setzt. Diese Konstellation greift insbesondere bei tiefem Feintuning auf eigenen Daten, bei einer Architektur-Erweiterung um RAG-Komponenten oder bei einer Veränderung der Trainingsverteilung. Wo genau die Schwelle zur substanziellen Modifikation liegt, ist im EU AI Act bewusst flexibel formuliert und wird durch die kommenden Leitlinien der Kommission konkretisiert.
Was die Rollenanalyse für Ihr Unternehmen konkret leistet
Eine BAFA-geförderte Rollenanalyse nach EU AI Act liefert nicht nur eine Einordnung, sondern eine vollständige Pflichten-Roadmap pro System und pro Rolle. Konkret übergeben wir am Ende der Beratung drei Artefakte, die im Unternehmen weiter genutzt werden.
Das erste Artefakt ist eine vollständige KI-System-Liste mit Rollen-Klassifikation pro System, ergänzt um die jeweils ausschlaggebenden Pflichten-Artikel. Das zweite ist eine Risiko-Bewertung gegen die Auslöser des Artikels 25, die typische Stolperstellen wie Rebranding-Verträge und Feintuning-Projekte gesondert markiert. Das dritte ist eine zwölfmonatige Compliance-Roadmap mit konkreten Stichtagen für Personal-Schulung, Transparenz-Hinweise und gegebenenfalls Konformitätsbewertung.
Übersicht: Was der Hub AI-Act-Beratung zusätzlich abdeckt
Diese Anbieter-Betreiber-Page ist Teil unseres größeren Hubs zur AI-Act-Beratung für den Mittelstand, in dem Sie weitere Detailseiten zur Risikoklassifikation, zu Schulungspflichten nach Artikel 4 und zu Bußgeld-Staffeln nach Artikel 99 finden. Wenn Sie zuerst klären möchten, ob Ihr Projekt BAFA-förderfähig ist, starten Sie mit dem kostenlosen Förderfähigkeits-Check und sparen sich die initiale Recherche durch das BAFA-Online-Portal.
Nächster Schritt
Klären Sie zuerst kostenlos die Förderfähigkeit Ihres Unternehmens über unseren BAFA-Schnelltest, der die KMU-Schwellen automatisch prüft und Ihnen eine kurze schriftliche Einschätzung liefert. Wenn die Voraussetzungen passen, vereinbaren Sie über Calendly ein dreißigminütiges Erstgespräch, in dem wir die KI-System-Liste, die Rollen-Klassifikation und die ausschlaggebenden Auslöser des Artikels 25 vorbereiten. Wir kommen zur eigentlichen Beratung in Ihr Unternehmen, weil sich Rollen-Konstellationen direkt an den vorhandenen Verträgen, Architektur-Diagrammen und Bestell-Prozessen besser klären lassen als in einem entkoppelten Workshop-Raum.