Du hast Claude Code, die OpenAI-API oder Vertex AI angeschlossen und baust dir gerade eine kleine App. Vielleicht ein internes Tool, vielleicht etwas für deine Kunden. Schnell zusammengeklickt, läuft sauber, spart Zeit — und plötzlich fragt dich jemand: “Hast du da eigentlich an den EU AI Act gedacht?”
Kurze Antwort: wahrscheinlich nicht genug. Und je nachdem, was dein Tool macht und ob du es verkaufst, hängt da mehr dran, als du denkst.
Provider oder Deployer — wer bist du?
Der EU AI Act unterscheidet zwei zentrale Rollen:
- Provider (Anbieter): Wer ein KI-System auf den Markt bringt, in Verkehr setzt oder in Betrieb nimmt — unter eigenem Namen oder eigener Marke.
- Deployer (Anwender): Wer ein KI-System in eigener Verantwortung verwendet, ohne es weiterzugeben.
Das klingt klar, ist es aber nicht. Wenn du Claude Code intern nutzt, um dir ein Dashboard zu bauen, das nur dein Team sieht — bist du Deployer. Anthropic ist Provider des zugrunde liegenden Modells. Soweit, so entspannt.
Sobald du das gleiche Dashboard aber als “MyMittelstand-KI-Tool” brandest und an Kunden verkaufst, wirst du zum Provider. Selbst wenn unter der Haube weiterhin Claude läuft. Der Markenname ist der Trigger — und mit ihm der gesamte Provider-Pflichtenkatalog.
Welche Risikoklasse hat dein Use Case?
Der EU AI Act sortiert KI-Systeme in vier Klassen — von “verboten” bis “minimales Risiko”. Welche Klasse für dich gilt, hängt nicht am Modell, sondern am Anwendungsfall:
| Risikoklasse | Beispiele | Was Pflicht ist |
|---|---|---|
| Verboten (Art. 5) | Social Scoring, Emotionserkennung am Arbeitsplatz, manipulative KI | Gar nicht erst bauen |
| Hochrisiko (Anhang III) | CV-Screening, Kreditvergabe, Mitarbeiter-Bewertung, kritische Infrastruktur | Konformitätsbewertung, technische Doku, CE-Kennzeichnung, EU-Datenbank-Eintrag, Risiko-Management |
| Begrenztes Risiko (Art. 50) | Chatbots, generierte Texte/Bilder, Deepfakes | Transparenzpflicht — Nutzer müssen wissen, dass sie mit KI sprechen |
| Minimales Risiko | Internes Spam-Filter, Coding-Helper, Spielerei | Kaum Pflichten — aber KI-Kompetenz nach Art. 4 für dein Team |
Der Knackpunkt: Ein und dasselbe technische System kann je nach Einsatz in völlig verschiedenen Klassen landen. Ein Chatbot, der Kunden in deinem Webshop berät → begrenztes Risiko. Derselbe Chatbot, eingesetzt im Bewerbungsverfahren → Hochrisiko.
Drei Szenarien aus dem Mittelstands-Alltag
Szenario 1: Internes Beratungstool Eine Steuerkanzlei baut sich mit Claude Code ein Tool, das Mandantenfragen vorsortiert und Entwürfe für Standardantworten generiert. Nutzung nur intern, Daten bleiben im Haus. → Deployer, minimales Risiko, Pflicht ist KI-Kompetenz-Schulung im Team. Entspannt.
Szenario 2: Kunden-Chatbot auf der Website Ein Maschinenbauer hängt einen Claude-basierten Bot auf die Website, der Anfragen vorqualifiziert. → Du bist Provider (eigene Marke), Risikoklasse begrenzt. Pflicht: klar erkennbarer Hinweis “Du sprichst mit einer KI”. Kein Mega-Aufwand, aber konkrete Action.
Szenario 3: CV-Screening als SaaS Eine HR-Beratung baut mit Claude Code ein Tool, das eingehende Bewerbungen für Mittelstandskunden vorsortiert und ranked. → Du bist Provider, Hochrisiko. Voller Compliance-Stack: technische Doku, Risiko-Management, Konformitätsbewertung, EU-Datenbank-Eintrag, dokumentierte menschliche Aufsicht. Ohne juristische Begleitung nicht verkäuflich.
Wenn du in Szenario 3 bist und einfach drauf losbaust, riskierst du Bußgelder bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes (Art. 99 EU AI Act) — je nachdem was höher ist.
Was Anthropic dir nicht abnimmt
Anthropic ist Anbieter eines General-Purpose-AI-Modells und erfüllt entsprechende Pflichten nach Art. 51 ff.: technische Doku des Modells, Copyright-Policy, Zusammenfassung der Trainingsdaten. Das schützt dich aber nicht.
Sobald du das Modell in einen konkreten Anwendungsfall einbettest, bist du für diesen Use-Case-Kontext verantwortlich. Anthropics Compliance-Doku zu Claude hilft dir nicht, wenn dein CV-Screening-Tool diskriminierende Empfehlungen liefert. Die Verantwortung wandert mit der Anwendung.
Was du jetzt konkret tun solltest
Drei Schritte, bevor du dein nächstes KI-Tool live nimmst:
- Rolle klären. Bleibt das Tool intern, oder kommt es unter eigenem Namen raus? Sobald letzteres → du bist Provider.
- Use Case klassifizieren. Schau dir Anhang III des EU AI Act an. Wenn dein Use Case auch nur in die Nähe der Hochrisiko-Bereiche kommt, hol dir vor dem Launch juristischen Rat. Nachträglich fixen kostet das Dreifache.
- Transparenz einbauen. Selbst bei begrenztem Risiko — mach für die Nutzer sichtbar, dass KI im Spiel ist. Günstig in der Umsetzung und Pflicht nach Art. 50.
Bottom Line
Claude Code als internes Tool nutzen → entspannt. Eigene App bauen und verkaufen → genau hingucken, in welche Risikoklasse dein Use Case fällt. Hochrisiko-Use-Cases ohne Compliance-Aufbau verkaufen → finanzielles und reputationelles Risiko, das den ganzen Business Case kippen kann.
Die gute Nachricht: Geschätzt 80 % der Tools, die im Mittelstand gerade entstehen, fallen in “begrenztes” oder “minimales” Risiko. Da reicht ein klarer Transparenzhinweis und eine vernünftige KI-Kompetenz-Schulung im Team. Die schlechte: Die anderen 20 % sind oft genau die spannenden — HR-Tools, Kreditscoring, Bewerber-Vorsortierung. Und genau da fängt die echte Compliance-Arbeit erst an.
Wenn du gerade selbst etwas baust und unsicher bist, in welche Klasse du fällst: schreib mir kurz, was das Tool tut und wer es nutzen soll. Manchmal reichen zwei Sätze, um die Richtung zu klären.
Fragen? Einfach melden — oder direkt ein kurzes Gespräch buchen.
Kurzes Gespräch buchen →