28 Tage bis zum Inkrafttreten des EU-KI-Gesetzes
Mehr erfahren →

EU-KI-Gesetz: Deployer vs. Anbieter — Wer trägt welche Verpflichtung

Das EU-KI-Gesetz weist Verpflichtungen nach Rolle zu, nicht nach Unternehmen. Das gleiche Unternehmen kann Anbieter eines KI-Systems und Deployer eines anderen sein — und ein Deployer kann stillschweigend zum Anbieter werden. Diese Seite erklärt die Definitionen in Artikel 3, wie man herausfindet, welche Rolle man innehat, und die Auslöser in Artikel 25, die die schwerwiegenderen Anbieterverpflichtungen auf einen Deployer übertragen.

Rollen und Verpflichtungen — Artikel 3 und Artikel 25

EU-KI-Gesetz: Deployer vs. Anbieter — Wer trägt welche Verpflichtung

Das EU-KI-Gesetz weist Verpflichtungen nach Rolle zu, nicht nach Unternehmen. Das gleiche Unternehmen kann Anbieter eines KI-Systems und Deployer eines anderen sein — und ein Deployer kann stillschweigend zum Anbieter werden. Diese Seite erklärt die Definitionen in Artikel 3, wie man herausfindet, welche Rolle man innehat, und die Auslöser in Artikel 25, die die schwerwiegenderen Anbieterverpflichtungen auf einen Deployer übertragen.

Zuletzt aktualisiert: 4. Juli 2026

Was ist ein Anbieter? (Artikel 3(3))

Ein Anbieter entwickelt ein KI-System oder ein allgemeines KI-Modell — oder lässt es entwickeln — und bringt es auf den Markt oder nimmt es in Betrieb unter seinem eigenen Namen oder Markenzeichen, entweder gegen Entgelt oder unentgeltlich.

  • Entwickelt oder beauftragt das KI-System oder das allgemeine KI-Modell
  • Bringt es auf den EU-Markt oder nimmt es in Betrieb unter seinem eigenen Namen oder Markenzeichen
  • Trägt den Großteil der Verpflichtungen für hochrisikorelevante Systeme: Risikomanagement (Artikel 9), Datenverwaltung (Artikel 10), technische Dokumentation (Artikel 11 / Anhang IV), Aufzeichnung (Artikel 12), Transparenz gegenüber Deployern (Artikel 13), menschliche Aufsichtsentwurf (Artikel 14) und Konformitätsbewertung
  • Gilt unabhängig davon, ob das System kommerziell oder unentgeltlich bereitgestellt wird

Was ist ein Deployer? (Artikel 3(4))

Ein Deployer verwendet ein KI-System unter seiner eigenen Autorität — außer wenn das System im Rahmen einer persönlichen, nicht-beruflichen Tätigkeit verwendet wird.

  • Verwendet das System in einem professionellen Kontext, unter seiner eigenen Autorität (früher als 'Benutzer' in früheren Entwürfen bezeichnet)
  • Muss das System gemäß den Anweisungen des Anbieters verwenden
  • Trägt deployerspezifische Pflichten: Zuweisung kompetenter menschlicher Aufsicht, Überwachung des Betriebs, Aufbewahrung der automatisch generierten Protokolle, die es kontrolliert, und Information der betroffenen Personen, wenn erforderlich
  • Bestimmte Deployer müssen auch eine Grundrechte-Folgenabschätzung (Artikel 27) durchführen, bevor sie das System zum ersten Mal verwenden

Wie man herausfindet, welche Rolle man innehat

Arbeiten Sie die Unterscheidung durch, anstatt anzunehmen. Der Test besteht darin, wer das System auf den Markt gebracht hat, unter seinem Namen, versus wer es betreibt:

  • Haben Sie das System entwickelt oder mit Ihrem Markenzeichen versehen? Wenn es auf den Markt kommt, unter Ihrem Namen oder Markenzeichen, sind Sie der Anbieter — auch wenn ein Drittanbieter den Code für Sie geschrieben hat.
  • Sind Sie nur der Betreiber eines Systems von jemand anderem? Wenn Sie ein System betreiben, das von einem anderen Unternehmen auf den Markt gebracht wurde, unter seinem Namen, sind Sie der Deployer.
  • Sie können beides gleichzeitig sein. Ein Unternehmen, das ein internes Agenten-System (Anbieter) entwickelt, während es gleichzeitig ein Agenten-Plattform-System eines Lieferanten (Deployer) verwendet, hat beide Rollen für unterschiedliche Systeme inne.
  • Anbieterverpflichtungen sind schwerwiegender; Deployer-Verpflichtungen sind operativ — Aufsicht, Überwachung, Protokollierung, die Sie kontrollieren, und Transparenz gegenüber den betroffenen Personen.

Importeure, Distributoren und Produkthersteller sind separate Betreiberrollen mit eigenen Verpflichtungen — siehe die Seitenbereich für die vollständige Liste.

Wenn ein Deployer zum Anbieter wird (Artikel 25)

Artikel 25 legt die Situationen fest, in denen ein Deployer, Distributor, Importeur oder ein anderer Drittanbieter die vollen Verpflichtungen eines Anbieters für ein hochrisikorelevantes KI-System, das bereits auf dem Markt ist, übernimmt:

  • Neuvermarktung — Sie bringen das hochrisikorelevante System, das bereits auf dem Markt ist, unter Ihrem eigenen Namen oder Markenzeichen auf den Markt, es sei denn, ein Vertrag weist die Verpflichtungen anders zu
  • Wesentliche Änderung — Sie ändern das hochrisikorelevante System wesentlich, so dass es weiterhin hochrisikorelevant bleibt
  • Änderung des beabsichtigten Zwecks — Sie ändern den beabsichtigten Zweck eines Systems (einschließlich eines allgemeinen KI-Systems), das nicht als hochrisikorelevant eingestuft wurde, so dass es nun hochrisikorelevant wird
  • Wenn einer dieser Auslöser greift, muss der ursprüngliche Anbieter zusammenarbeiten, und Sie übernehmen die Anbieterverpflichtungen — Konformitätsbewertung, technische Dokumentation, Aufzeichnung und den Rest

Dies ist die Falle für Teams, die ein gekauftes KI-System feinjustieren, umschreiben oder weiß beschriften: Die Verantwortung, die Sie dachten, der Lieferant hätte, kann auf Sie übergehen.

Wie AIAgentree hilft

AIAgentree ist so konzipiert, dass es beide Rollen aus dem gleichen Entscheidungsprotokoll unterstützt, sodass Beweise vorhanden sind, egal auf welcher Seite des Artikels 25 Sie landen:

  • Für Anbieter: manipulationsfeste Entscheidungsprotokolle unterstützen die Aufzeichnungspflichten des Artikels 12 und die technischen Beweise, die eine Konformitätsdatei erwartet, exportierbar über REST, MCP, A2A und OpenTelemetry
  • Für Deployer: menschliche Aufsichts- und Genehmigungsworkflows sowie auditfähige Aufbewahrung (sechs Monate oder mehr) produzieren die Aufsichtsbeweise, die Deployer erwartet, um zu halten
  • EU-Datenresidenz in Deutschland hält diese Aufzeichnungen innerhalb der EU, und Python- und TypeScript-SDKs ermöglichen es beiden Rollen, Entscheidungen ohne Neukonfiguration ihrer Infrastruktur zu erfassen

Häufig gestellte Fragen

Kann ein Unternehmen sowohl Anbieter als auch Bereitsteller sein?

Ja. Rollen werden pro KI-System zugewiesen, nicht pro Unternehmen. Ein Unternehmen, das sein eigenes Agenten-System entwickelt und vermarktet, ist für dieses System Anbieter, während es gleichzeitig Bereitsteller von Drittanbieter-KI-Systemen ist, die es betreibt. Die Verpflichtungen gelten für jede Rolle separat.

Was ist der Unterschied zwischen den Verpflichtungen von Anbietern und Bereitstellern?

Anbieter tragen die Verantwortung für die Gestaltung und den Vertrieb: Risikomanagement, Datenverwaltung, technische Dokumentation, Konformitätsbewertung und Transparenz gegenüber den Bereitstellern. Bereitsteller tragen die operativen Verpflichtungen: die Verwendung des Systems gemäß den Anweisungen, die Zuweisung von menschlicher Aufsicht, Überwachung, Aufbewahrung der Protokolle, die sie kontrollieren, und, für einige, eine Grundrechte-Folgenabschätzung.

Wann wird ein Bereitsteller zu einem Anbieter nach Artikel 25?

In drei Situationen: wenn Sie Ihren eigenen Namen oder Markenzeichen auf ein bereits auf dem Markt befindliches Hochrisikosystem setzen, wenn Sie eine wesentliche Änderung an einem Hochrisikosystem vornehmen oder wenn Sie den beabsichtigten Zweck eines Systems ändern, sodass es zu einem Hochrisikosystem wird. Jeder dieser Fälle macht Sie zu einem Anbieter mit den vollen Anbieter-Verpflichtungen.

Wenn ich ein Modell eines Anbieters feinjustiere, bin ich dann der Anbieter?

Möglicherweise. Wenn die Änderung eine wesentliche Änderung eines Hochrisikosystems ist oder den beabsichtigten Zweck eines nicht-Hochrisikosystems ändert, sodass es zu einem Hochrisikosystem wird, kann Artikel 25 Sie zum Anbieter machen. Lesen Sie den Vertrag des Anbieters und die Erklärung zum beabsichtigten Zweck sorgfältig durch, bevor Sie annehmen, dass der Anbieter noch die Verpflichtungen besitzt.

Entscheidet AIAgentree über unsere Rolle?

Nein. Die Klassifizierung Ihrer Rolle ist ein rechtlicher und organisatorischer Ermessensspielraum darüber, wie Sie jedes System aufbauen, branden und verwenden. AIAgentree produziert die Entscheidungsprotokolle und die Überwachungsnachweise, die jede Rolle benötigt, um zu demonstrieren — es ersetzt nicht die Rollenanalyse selbst.

Fahren Sie mit der Erkundung des EU-KI-Gesetzes-Leitfadens fort

EU-KI-Gesetzes-Konformitäts-Leitfaden

Der vollständige Leitfaden zur Konformität mit dem EU-KI-Gesetz für KI-Agenten — starten Sie hier.

Artikel 12 — Aufzeichnung und Protokollierung

Was jedes Hochrisiko-KI-System protokollieren muss und wie man es erfassen kann.

Artikel 14 — Menschliche Aufsicht

Entwicklung effektiver menschlicher Kontrollen für KI-Entscheidungen.

Anhang III — Hochrisiko-KI-Systeme

Welche KI-Anwendungsfälle das Gesetz als hochrisikig einstuft.

EU-KI-Gesetzes-Konformitäts-Checkliste

Eine schrittweise Checkliste, um die Konformität zu erreichen und zu dokumentieren.

Konformitätskostenrechner

Schätzen Sie Ihre Konformitätsbemühungen und -kosten für das EU-KI-Gesetz.

Fristen und Zeitplan

Wichtige Durchsetzungsdaten, einschließlich der Frist vom 2. August 2026.

Geldstrafen und Bußgelder

Bußgeldstufen bis zu 35 Mio. € oder 7 % des globalen Jahresumsatzes.

Transparenzpflichten (Art. 13 und 50)

Offenlegungspflichten für KI-Systeme und ihre Ausgaben.

Risikomanagement und Konformitätsbewertung

Aufbau eines Risikomanagementsystems und Bewertung der Konformität.

GPAI-Pflichten

Regeln für Anbieter von allgemeinen KI-Modellen.

EU-KI-Gesetz für US-Unternehmen

Außerräumiger Anwendungsbereich und was US-Anbieter tun müssen.

Omnibus-Update

Die neuesten Änderungen an der EU-KI-Gesetz-Zeitachse und -Regeln.

Bußgeldrechner

Schätzen Sie Ihr maximales Bußgeld unter den Artikel 99-Stufen.

Artikel 11 + Anhang IV

Welche technische Dokumentation das EU-AI-Gesetz erfordert.

Artikel 26: Verpflichtungen des Deployers

Was Deployer von High-Risk-KI tun müssen, einschließlich Log-Aufbewahrung.

Artikel 17: Qualitätsmanagement

Das QMS, das Anbieter von High-Risk-KI dokumentieren müssen.

Artikel 10: Datenverwaltung

Datenqualität, Bias-Mitigation und Governance-Pflichten.

Artikel 4: KI-Literacy

Die KI-Literacy-Pflicht des Personals, die seit Februar 2025 in Kraft ist.

FRIA (Artikel 27)

Wer eine Grundrechte-Auswirkungsabschätzung durchführen muss und wie.

Wer ist betroffen?

Anwendungsbereich, Betreiber und extraterritoriale Reichweite des EU-AI-Gesetzes.

Nachmarküberwachung

Artikel 72–73: laufende Überwachung und Meldung von Vorfällen.

ISO 42001 vs. EU-AI-Gesetz

Wie der freiwillige Standard und das bindende Gesetz zusammenpassen.

NIST AI RMF vs. EU-AI-Gesetz

Ein praktischer Vergleich zwischen dem Framework und dem Gesetz.

EU-AI-Gesetz für den Gesundheitssektor

High-Risk-Medizin-KI, MDR/IVDR-Interaktion und klinische Überwachung.

EU-AI-Gesetz für Finanzdienstleistungen

Kreditwürdigkeit, Versicherungspreise und bestehende Finanzregulierung.

EU-AI-Gesetz für Personalwesen und Beschäftigung

Einstellung von KI als High-Risk, plus NYC LL144 und EEOC-Überschneidung.