Anbieter und Betreiber nach dem EU AI Act – Abgrenzung von Rollen und Pflichten

Begriffliche Einordnung und regulatorische Funktion

Der EU-Rechtsakt über Künstliche Intelligenz (EU AI Act) führt erstmals ein eigenständiges, unionsweit harmonisiertes Rollenmodell für den Umgang mit KI-Systemen ein. Zentrale Akteure dieses Modells sind der Anbieter (Provider) und der Betreiber (Deployer) eines KI-Systems.

Die Abgrenzung zwischen diesen Rollen ist von grundlegender regulatorischer Bedeutung, da der EU AI Act die jeweiligen Compliance-, Governance- und Dokumentationspflichten maßgeblich an die Rolle knüpft. Die korrekte Einordnung entscheidet somit über Umfang, Intensität und Adressat regulatorischer Verpflichtungen.

Die Rollenverteilung folgt dabei nicht der Vertragsbezeichnung oder wirtschaftlichen Selbstbeschreibung, sondern einer funktionalen und rechtlichen Bewertung der tatsächlichen Tätigkeit im Lebenszyklus eines KI-Systems.

Systematik des Rollenmodells im EU AI Act

Der EU AI Act unterscheidet mehrere Akteursrollen entlang der KI-Wertschöpfungskette, darunter insbesondere:

Anbieter (Providers),
Betreiber (Deployers),
Importeure und Händler.

Im praktischen Anwendungsbereich stehen Anbieter und Betreiber im Mittelpunkt, da sie die primäre Verantwortung für Entwicklung, Marktzugang und Nutzung von KI-Systemen tragen.

Die Rollen sind nicht zwingend exklusiv. Ein Unternehmen kann unter Umständen gleichzeitig Anbieter und Betreiberdesselben KI-Systems sein, abhängig von seiner konkreten Funktion.

Der Anbieter (Provider)

Begriff und funktionale Definition

Als Anbieter gilt nach dem EU AI Act jede natürliche oder juristische Person, Behörde oder sonstige Stelle, die:

ein KI-System entwickelt oder entwickeln lässt und
dieses System unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt.

Entscheidend ist dabei nicht, wer die technische Entwicklung im Detail vorgenommen hat, sondern wer die rechtliche Verantwortung für das KI-System übernimmt, insbesondere im Hinblick auf dessen Marktplatzierung und Zweckbestimmung.

Zentrale Verantwortlichkeiten des Anbieters

Der Anbieter trägt die primäre regulatorische Verantwortung für die Konformität des KI-Systems mit den Anforderungen des EU AI Act. Zu seinen Pflichten zählen insbesondere:

Durchführung der Risikoklassifizierung des KI-Systems,
Einrichtung eines Risikomanagementsystems,
Erstellung und Pflege der technischen Dokumentation,
Sicherstellung der Daten-Governance und Datenqualität,
Durchführung der Konformitätsbewertung vor Marktzugang,
Einrichtung von Überwachungs- und Korrekturmechanismen.

Die Anbieterrolle ist damit strukturell mit dem Marktzugang und der regulatorischen Erstverantwortung verknüpft.

Der Betreiber (Deployer)

Begriff und funktionale Definition

Als Betreiber gilt jede natürliche oder juristische Person, Behörde oder sonstige Stelle, die ein KI-System im eigenen Verantwortungsbereich verwendet, ohne Anbieter zu sein.

Der Betreiber setzt das KI-System im operativen Kontext ein, etwa im Rahmen interner Prozesse, gegenüber Kunden oder zur Unterstützung von Entscheidungsprozessen.

Zentrale Verantwortlichkeiten des Betreibers

Die Pflichten des Betreibers sind im Vergleich zum Anbieter nutzungsbezogen und konzentrieren sich auf den ordnungsgemäßen Einsatz des KI-Systems. Zu den wesentlichen Pflichten zählen:

Nutzung des KI-Systems gemäß den vom Anbieter vorgesehenen Zweckbestimmungen,
Umsetzung menschlicher Aufsicht, soweit vorgesehen,
Überwachung der Systemleistung im Einsatzkontext,
Meldung schwerwiegender Vorfälle und Fehlfunktionen,
Einhaltung ergänzender Transparenzpflichten gegenüber betroffenen Personen.

Der Betreiber ist somit für die konkreten Auswirkungen des KI-Systems im Einsatz verantwortlich.

Abgrenzungskriterien zwischen Anbieter und Betreiber

Die Abgrenzung zwischen Anbieter- und Betreiberrolle erfolgt anhand funktionaler Kriterien, nicht anhand vertraglicher Bezeichnungen. Maßgebliche Abgrenzungsfragen sind insbesondere:

Wer bestimmt den vorgesehenen Verwendungszweck des KI-Systems?
Wer bringt das System erstmals auf den Markt oder in Betrieb?
Wer nimmt wesentliche Änderungen an Funktion oder Zweck des Systems vor?
Wer trägt die Verantwortung für Konformität und Marktzugang?

Besondere Bedeutung kommt der Frage zu, ob ein Betreiber durch wesentliche Modifikationen oder Zweckänderungenselbst zum Anbieter wird. In solchen Fällen können Anbieterpflichten nachträglich ausgelöst werden.

Rollenwechsel und Mehrfachrollen

Der EU AI Act erkennt ausdrücklich an, dass Akteure entlang der KI-Wertschöpfungskette mehrere Rollen gleichzeitigeinnehmen können. Typische Konstellationen sind:

Unternehmen, die ein KI-System entwickeln und selbst nutzen,
Betreiber, die ein bestehendes KI-System erheblich anpassen,
Konzerne mit interner Weitergabe von KI-Systemen.

In diesen Fällen ist eine rollenspezifische Differenzierung erforderlich, um die jeweils einschlägigen Pflichten korrekt zu bestimmen.

Bedeutung der Rollenabgrenzung für Hochrisiko-KI-Systeme

Die Rollenverteilung gewinnt besondere Bedeutung bei Hochrisiko-KI-Systemen, da der EU AI Act hier ein differenziertes Pflichtensystem vorsieht. Anbieter und Betreiber unterliegen jeweils eigenständigen, teilweise komplementären Pflichten, deren Nichterfüllung erhebliche rechtliche Konsequenzen nach sich ziehen kann.

Eine fehlerhafte Rollenbestimmung kann dazu führen, dass wesentliche Compliance-Anforderungen unbeachtet bleiben oder Verantwortlichkeiten unzutreffend zugewiesen werden.

Regulatorische Einordnung

Das Rollenmodell des EU AI Act verfolgt das Ziel, Verantwortung dort zu verankern, wo tatsächliche Kontrolle und Einfluss bestehen. Anbieter tragen die strukturelle Verantwortung für Entwicklung und Marktzugang, Betreiber für den konkreten Einsatz und dessen Auswirkungen.

Die funktionale Auslegung der Rollen dient der Vermeidung von Verantwortungsverschiebungen und trägt zur Durchsetzbarkeit der Regulierung bei.

Fazit

Der EU AI Act unterscheidet klar zwischen Anbietern und Betreibern von KI-Systemen und knüpft hieran differenzierte regulatorische Pflichten. Maßgeblich ist nicht die vertragliche Bezeichnung, sondern die tatsächliche Funktion im Lebenszyklus des KI-Systems.

Die korrekte Rollenbestimmung ist eine zentrale Voraussetzung für die Einhaltung der regulatorischen Anforderungen und für die rechtssichere Einordnung von KI-Systemen im europäischen Rechtsrahmen.

Hinweis

Die auf dieser Seite bereitgestellten Informationen dienen ausschließlich allgemeinen Informationszwecken und stellen keine Rechtsberatung dar.

Anbieter und Betreiber nach dem EU AI Act – Abgrenzung von Rollen und Pflichten

Recent Post

Corporate Governance in der EU, im Vereinigten Königreich und in Griechenland – Zentrale rechtliche Unterschiede

Vorsorgedokumente mit internationalem Bezug: Kollisionsrechtliche Fragestellungen

Grenzüberschreitende KI-Compliance: Regulatorische Ansätze der EU und des Vereinigten Königreichs

DSGVO vs. UK GDPR – Wo sich die Compliance-Rahmenwerke unterscheiden

Transparenzpflichten für KI-Systeme nach EU-Recht

Verbotene KI-Praktiken nach dem EU AI Act

Anbieter und Betreiber nach dem EU AI Act – Abgrenzung von Rollen und Pflichten

Wann gilt ein KI-System als Hochrisiko-KI-System nach dem EU AI Act?

Datenübermittlungen zwischen der EU und dem Vereinigten Königreich nach dem Brexit

Anbieter und Betreiber nach dem EU AI Act – Abgrenzung von Rollen und Pflichten

Schneller Kontakt

Nützliche Links