Du nutzt ein KI-Tool in deinem Unternehmen. Oder du bietest deinen Kunden eine Lösung an, die KI enthält. Klingt erstmal gleich — ist es aber nicht. Der EU AI Act unterscheidet sehr genau, welche Rolle du einnimmst. Und an der Rolle hängen Pflichten. Und an den Pflichten hängt Haftung.
Was Provider und Deployer bedeuten
Der Provider (Anbieter) entwickelt ein KI-System und bringt es in den Verkehr — entweder als Produkt oder als Dienstleistung. Er trägt die Verantwortung dafür, dass das System die gesetzlichen Anforderungen erfüllt: technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung bei Hochrisiko-Systemen.
Der Deployer (Anwender) setzt ein fertiges KI-System ein, das ein anderer entwickelt hat. Er nutzt es im eigenen beruflichen Kontext. Er ist nicht für die Entwicklung verantwortlich, aber er hat eigene Pflichten — besonders wenn er das System auf sensible Anwendungsfälle loslässt oder vulnerable Nutzergruppen betrifft.
Kurz gesagt: Der Provider baut und vertreibt. Der Deployer kauft und nutzt.
Warum die Grenze fließend ist
Der Mittelstand landet hier schnell in einer Grauzone.
Stell dir vor, du bist Hersteller von Produktionssoftware. Du integrierst ein fertiges KI-Modul eines Drittanbieters in deine Lösung und verkaufst das Gesamtpaket an Kunden. Du hast das Modul nicht selbst gebaut — aber du hast es in ein Produkt eingebettet, das du vermarktest.
In diesem Fall bist du Provider. Nicht das Modul. Du.
Artikel 25 des EU AI Acts ist hier eindeutig: Wer ein KI-System unter eigenem Namen oder eigener Marke in den Verkehr bringt, übernimmt die Pflichten des Providers — unabhängig davon, wer die Technologie dahinter gebaut hat.
Das gleiche gilt, wenn du ein bestehendes System wesentlich veränderst. Ein Hochrisiko-KI-System anpassen, neu trainieren, den Verwendungszweck grundlegend erweitern — damit wirst du zum Provider dieses veränderten Systems. Auch wenn du mit dem Original nichts zu tun hattest.
Konkrete Beispiele aus dem Mittelstand
Beispiel 1: Der Softwareanbieter Ein mittelständisches Unternehmen bietet Kunden ein HR-Tool an. Darin steckt ein zugekauftes KI-Modul, das Bewerbungen vorbewertet. Das Tool läuft unter eigener Marke. Sobald das Tool an Kunden geht, ist das Unternehmen Provider des Gesamtsystems — inklusive aller damit verbundenen Hochrisiko-Pflichten, weil Beschäftigung ein Hochrisiko-Bereich laut EU AI Act ist.
Beispiel 2: Der Maschinenbauer Ein Maschinenbauer integriert ein KI-gestütztes Qualitätsprüfsystem in seine Fertigungsanlage und verkauft die Anlage. Das Prüfsystem kommt von einem Technologiepartner. Trotzdem: Wer die Maschine als Gesamtprodukt in den Verkehr bringt, ist Provider. Die technische Dokumentation des KI-Moduls muss er liefern können.
Beispiel 3: Der interne Nutzer Ein Logistikunternehmen kauft eine Standard-KI-Lösung zur Routenoptimierung und setzt sie intern ein. Keine Veränderungen, keine Weitergabe an Dritte. Hier ist das Unternehmen Deployer. Es muss keine Konformitätsbewertung durchführen, aber es trägt Verantwortung für den korrekten Einsatz: Nutzungsbedingungen einhalten, menschliche Aufsicht sicherstellen, Grundrechtsfolgenabschätzung bei bestimmten Anwendungen.
Pflichten je nach Rolle
Für Provider von Hochrisiko-Systemen gilt:
- Technische Dokumentation erstellen und aktualisieren
- Konformitätsbewertung durchführen
- CE-Kennzeichnung anbringen
- System in der EU-Datenbank registrieren
- Post-Market-Monitoring betreiben
- Ernstzunehmende Vorfälle melden
Für Deployer von Hochrisiko-Systemen gilt:
- Nur für vorgesehene Zwecke einsetzen
- Anweisungen des Providers befolgen
- Menschliche Aufsicht sicherstellen
- Mitarbeitende schulen
- Bei bestimmten Systemen: Grundrechtsfolgenabschätzung
- Betroffene über den KI-Einsatz informieren
Der Unterschied ist erheblich. Ein Provider trägt das technische Risiko und die Nachweispflichten. Ein Deployer trägt die operative Verantwortung. Beides ist nicht trivial, aber der Aufwand ist ein anderer.
Was du jetzt prüfen solltest
Drei Fragen, die jede Mittelstands-Führungskraft beantworten muss:
1. Bringst du KI-Systeme unter deiner Marke in den Markt? Dann bist du Provider — unabhängig davon, wer die Technologie liefert.
2. Veränderst du ein bestehendes KI-System wesentlich? Neues Training, anderer Verwendungszweck, tiefgreifende Anpassung — das macht dich ebenfalls zum Provider.
3. Setzt du fremde KI-Systeme intern ein, ohne sie zu verändern oder weiterzugeben? Dann bist du Deployer. Weniger Pflichten — aber keine null.
Diese Rollenzuordnung klingt juristisch. Ist sie auch. Aber die praktischen Konsequenzen sind sehr real: falsche Dokumentation, fehlende Konformitätsbewertung, keine Registrierung — das führt zu Bußgeldern und im Zweifel zu Haftungsfragen bei Schäden.
Klär zuerst deine Rolle. Dann weißt du, was du brauchst.
Fragen? Einfach melden — oder direkt ein kurzes Gespräch buchen.
Kurzes Gespräch buchen →