Für wen gilt der EU AI Act? Rollen, Anwendungsbereich und Praxisbeispiele
Der EU AI Act — die europäische KI-Verordnung — greift deutlich breiter, als viele Unternehmen annehmen. Nicht nur "KI-Unternehmen" sind betroffen, sondern fast jedes Unternehmen, das KI-Tools einsetzt. Die Verordnung unterscheidet vier Rollen mit jeweils eigenen Pflichten — und eine Fehleinordnung kann teuer werden.
Dieser Artikel erklärt, welche Rollen der AI Act kennt, welche Pflichten jeweils gelten und welche konkreten Unternehmen in Deutschland betroffen sind.
1. Die vier Rollen des EU AI Act
Die Verordnung unterscheidet in Art. 3:
Anbieter (Provider)
Wer ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen in Verkehr bringt oder in Betrieb nimmt.
- Beispiele: OpenAI, Anthropic, Google, Mistral, DeepL, eine deutsche MedTech-Firma mit eigener Diagnose-KI, ein HR-SaaS mit eigenem Recruiting-Algorithmus
Anbieter tragen die umfangreichsten Pflichten — insbesondere bei Hochrisiko-KI.
Betreiber (Deployer)
Wer ein KI-System unter eigener Autorität im Rahmen seiner beruflichen Tätigkeit nutzt.
- Beispiele: Jedes Unternehmen, das ChatGPT für Kundenservice einsetzt; ein Personalverantwortlicher, der ein Recruiting-Tool nutzt; eine Bank, die eine Kredit-Scoring-KI einsetzt
Die weitaus größte Gruppe. Praktisch jedes Unternehmen in Europa.
Einführer (Importer)
Wer ein KI-System eines außereuropäischen Anbieters in die EU einführt.
- Beispiele: Ein deutscher Distributor von US-KI-Software; ein EU-basierter Reseller eines chinesischen KI-Modells
Händler (Distributor)
Wer ein KI-System in der Lieferkette weitergibt, ohne es wesentlich zu verändern.
- Beispiele: Reseller, Managed-Service-Provider, Systemintegratoren, die KI-Systeme ihrer Kunden verpacken und weiterverkaufen
2. Die Rolle bestimmt die Pflicht
Pflichten nach Rolle (Hochrisiko-KI):
| Pflicht | Anbieter | Betreiber | Einführer | Händler |
|---|---|---|---|---|
| Risikomanagementsystem (Art. 9) | ✓ | — | — | — |
| Daten-Governance (Art. 10) | ✓ | — | — | — |
| Technische Dokumentation (Art. 11) | ✓ | — | — | — |
| Aufzeichnungspflicht (Art. 12) | ✓ | — | — | — |
| CE-Kennzeichnung | ✓ | — | — | — |
| EU-Datenbank-Eintrag | ✓ | — | — | — |
| Nutzung gemäß Anweisung (Art. 26) | — | ✓ | — | — |
| Menschliche Aufsicht (Art. 26) | — | ✓ | — | — |
| Input-Daten-Qualität (Art. 26) | — | ✓ | — | — |
| Logs aufbewahren (Art. 26) | — | ✓ | — | — |
| Betroffene informieren (Art. 26) | — | ✓ | — | — |
| CE-Kennzeichnung prüfen | — | — | ✓ | ✓ |
| Konformität prüfen | — | — | ✓ | ✓ |
Für alle vier Rollen gilt zusätzlich die Pflicht zur KI-Kompetenz nach Art. 4.
3. Praxisbeispiele: Wer ist was?
Beispiel 1: Bank nutzt ChatGPT für Kundenservice
- Rolle: Betreiber
- Betroffene KI: ChatGPT (Anbieter: OpenAI)
- Risikoklasse: Minimal oder Transparenz (Chatbot-Offenlegung)
- Pflichten: KI-Kompetenz der Mitarbeiter, Chatbot-Kennzeichnung gegenüber Kunden, Dokumentation der Einsatzszenarien
Beispiel 2: Bank nutzt Kredit-Scoring-KI
- Rolle: Betreiber
- Betroffene KI: Interne oder externe Scoring-Software
- Risikoklasse: Hochrisiko (Annex III Nr. 5)
- Pflichten: Alle Art.-26-Pflichten — menschliche Aufsicht, Log-Aufbewahrung, Betroffenen-Information, ggf. Grundrechte-Folgenabschätzung. Plus DSGVO Art. 22.
Beispiel 3: Deutsches MedTech-Startup mit KI-Diagnose-Tool
- Rolle: Anbieter
- Risikoklasse: Hochrisiko (Medizinprodukt mit Notified-Body-Pflicht)
- Pflichten: Vollständiger Katalog der Anbieter-Pflichten + MDR-Anforderungen parallel
Beispiel 4: HR-Beratung nutzt CV-Screening-Software
- Rolle: Betreiber
- Risikoklasse: Hochrisiko (Annex III Nr. 4 Beschäftigung)
- Pflichten: Alle Art.-26-Pflichten + DSGVO Art. 22 + Mitbestimmung Betriebsrat
Beispiel 5: SaaS-Anbieter integriert OpenAI-API in eigenes Produkt
- Rolle: Kann je nach Integration Anbieter oder Einführer werden
- Wichtig: Wenn der SaaS-Anbieter das Produkt unter eigenem Namen anbietet und die KI "wesentlich modifiziert" oder den bestimmungsgemäßen Gebrauch so ändert, wird er zum Anbieter
4. Wer ist NICHT betroffen?
Ausnahmen gibt es, sind aber eng:
- Rein private Nutzung (ein Mitarbeiter nutzt ChatGPT zuhause für Freizeit)
- Forschung und Entwicklung vor dem Inverkehrbringen (Art. 2 Abs. 8)
- Rein militärische oder nationale Sicherheitsanwendungen
- Open-Source-KI, die nicht als Hochrisiko-KI eingestuft ist und nicht kommerziell angeboten wird (Art. 2 Abs. 12 — aber stark eingeschränkt)
Wichtig: "Kleinunternehmen" sind NICHT pauschal ausgenommen. Die Verordnung gilt größenunabhängig für alle Betreiber und Anbieter.
5. Extraterritoriale Reichweite
Der EU AI Act greift auch außerhalb der EU, wenn:
- Das KI-System auf dem EU-Markt in Verkehr gebracht wird
- Die Ausgaben des KI-Systems in der EU genutzt werden
Das heißt: Ein US-HR-SaaS, das von einer deutschen Firma genutzt wird, fällt unter den AI Act — auch wenn der Anbieter keinen Sitz in Europa hat. Ähnlich wie DSGVO.
6. Die fünf wichtigsten Fragen zur Rolleneinordnung
- Wer hat das KI-System entwickelt? Dann ist das der Anbieter.
- Wer bringt es unter eigenem Namen in Verkehr? Das kann der Anbieter oder ein Einführer sein.
- Wer nutzt es unter eigener Verantwortung? Das ist der Betreiber.
- Wird das System wesentlich modifiziert? Dann wird der Modifizierer zum Anbieter.
- Wo werden die Ausgaben genutzt? Nutzung in der EU → AI Act gilt.
Fazit
Praktisch jedes Unternehmen in Europa ist Betreiber mindestens eines KI-Systems — sei es ChatGPT, Microsoft Copilot, ein KI-gestütztes CRM oder ein spezialisiertes Tool. Die Betreiber-Pflichten sind vergleichsweise überschaubar, müssen aber erfüllt und dokumentiert werden.
Unternehmen, die KI-Systeme selbst entwickeln oder wesentlich modifizieren, werden zu Anbietern und tragen die umfangreichsten Pflichten. Die richtige Rolleneinordnung ist der Startpunkt jeder EU-AI-Act-Compliance.
Weiterführend: