Anbieter vs. Betreiber im EU-KI-Gesetz: Was ist Ihr SaaS?
# Anbieter vs. Betreiber im EU-KI-Gesetz: Was ist Ihr SaaS?
Das EU-KI-Gesetz weist unterschiedliche Pflichten zu, je nachdem, ob Sie Anbieter oder Betreiber eines KI-Systems sind. Die meisten SaaS-Unternehmen sind das eine oder das andere. Manche sind beides. Wer das falsch einschätzt, betreibt entweder zu viel Compliance-Aufwand oder – schlimmer – zu wenig.
Die Begriffsbestimmungen
Anbieter (Artikel 3(3)): Eine natürliche oder juristische Person, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt und es unter ihrem eigenen Namen oder ihrer eigenen Handelsmarke in Verkehr bringt oder in Betrieb nimmt.
Betreiber (Artikel 3(4)): Eine natürliche oder juristische Person, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen nicht beruflichen Tätigkeit verwendet.
Einfach ausgedrückt: Wer die KI entwickelt hat, ist wahrscheinlich Anbieter. Wer die KI eines anderen in seinem Produkt einsetzt, ist wahrscheinlich Betreiber.
Wie SaaS-Unternehmen typischerweise klassifiziert werden
Sie sind Anbieter, wenn:
- Sie Ihr eigenes KI-Modell trainiert haben und es als Teil Ihres Produkts ausliefern
- Sie ein Grundlagenmodell feinabgestimmt haben und Vorhersagen über Ihr Produkt bereitstellen
- Sie ein KI-System entwickelt haben und den Zugang dazu unter Ihrem Markennamen verkaufen
- Sie ein Open-Source-Modell übernehmen, es modifizieren und kommerziell einsetzen
Sie sind Betreiber, wenn:
- Sie die API von OpenAI aufrufen und die Ausgabe in Ihrem Produkt anzeigen
- Sie Anthropics Claude verwenden, um eine Funktion in Ihrem SaaS zu betreiben
- Sie die Gemini-API von Google zur Inhaltsgenerierung integrieren
- Sie einen KI-Dienst eines Drittanbieters einbinden, ohne das Modell selbst zu verändern
Sie könnten beides sein, wenn:
- Sie ein Drittanbieter-Modell verwenden, es aber in ein System einbetten, das autonome Entscheidungen trifft (Sie sind Anbieter des Systems, Betreiber des Modells)
- Sie ein Drittanbieter-Modell so erheblich feinabstimmen, dass es gemäß den Begriffsbestimmungen des Gesetzes zu einem neuen KI-System wird
Warum das wichtig ist
Anbieter haben umfangreichere Pflichten als Betreiber. Bei Hochrisiko-KI-Systemen (Anhang III) müssen Anbieter:
- Ein Risikomanagementsystem einrichten (Artikel 9)
- Anforderungen an Data Governance erfüllen (Artikel 10)
- Technische Dokumentation pflegen (Artikel 11)
- Protokollierung und Aufzeichnung sicherstellen (Artikel 12)
- Transparenz gewährleisten und Betreibern Gebrauchsanweisungen bereitstellen (Artikel 13)
- Menschliche Aufsicht ermöglichen (Artikel 14)
- Anforderungen an Genauigkeit, Robustheit und Cybersicherheit erfüllen (Artikel 15)
- Konformitätsbewertungen vor dem Inverkehrbringen des Systems durchführen (Artikel 43)
Betreiber von Hochrisikosystemen haben geringere, aber dennoch reale Pflichten:
- Das System gemäß den vom Anbieter bereitgestellten Gebrauchsanweisungen verwenden (Artikel 26(1))
- Menschliche Aufsicht durch Personen mit angemessener Kompetenz sicherstellen (Artikel 26(2))
- Das System überwachen und schwerwiegende Vorfälle melden (Artikel 26(5))
- Für bestimmte Anwendungsfälle eine Grundrechte-Folgenabschätzung durchführen (Artikel 27)
- Vom System erzeugte Protokolle mindestens 6 Monate aufbewahren (Artikel 26(6))
Bei den Transparenzpflichten nach Artikel 50 haben sowohl Anbieter als auch Betreiber Verpflichtungen. Wenn Ihr Produkt einen Chatbot enthält, Inhalte generiert, Deepfakes erstellt oder Emotionserkennung durchführt, müssen Sie dies den Nutzern mitteilen – unabhängig davon, ob Sie Anbieter oder Betreiber sind.
Der häufige Fehler
Die meisten SaaS-Unternehmen, die die OpenAI-API aufrufen, gehen davon aus, dass sie keinerlei Pflichten haben, weil sie das Modell nicht entwickelt haben. Das ist falsch.
Wenn Ihr SaaS ein KI-Modell eines Drittanbieters verwendet und Sie es auf eine Weise einsetzen, die unter Anhang III fällt (z. B. KI zur Vorauswahl von Stellenbewerbern, zur Beurteilung der Kreditwürdigkeit oder zur Triage von Versicherungsansprüchen), sind Sie Betreiber eines Hochrisiko-KI-Systems. Die Betreiberpflichten gelten für Sie.
Und wenn Ihr Produkt den API-Aufruf in ein System einbettet, das autonom Entscheidungen trifft, haben Sie möglicherweise die Grenze vom Betreiber zum Anbieter für das System als Ganzes überschritten – auch wenn Sie das zugrunde liegende Modell nicht trainiert haben.
So ermitteln Sie Ihre Klassifizierung
Schritt 1: Listen Sie alle KI-Funktionen in Ihrem Produkt auf. Erfassen Sie jeden API-Aufruf an einen KI-Dienst, jedes von Ihnen betriebene Modell und jede automatisierte Entscheidung, die KI verwendet.
Schritt 2: Fragen Sie für jede Funktion: Haben Sie dieses KI-System selbst entwickelt, oder verwenden Sie eines, das von jemand anderem entwickelt wurde?
Schritt 3: Prüfen Sie, ob Sie ein Drittanbietersystem ausreichend modifiziert haben, um zum Anbieter eines neuen Systems zu werden. Feinabstimmung, das Hinzufügen von Retrieval Augmented Generation oder der Aufbau eines autonomen Agenten um einen API-Aufruf herum können diese Grenze überschreiten.
Schritt 4: Prüfen Sie für jede Funktion, ob sie unter eine Kategorie des Anhangs III fällt. Falls ja, bestimmt die Unterscheidung zwischen Anbieter und Betreiber Ihre spezifischen Compliance-Pflichten.
Schritt 5: Dokumentieren Sie Ihre Klassifizierungsbegründung. Dies ist das, was Sie einer Aufsichtsbehörde oder einem Unternehmenskunden vorlegen, der danach fragt.
Beispiele
Beispiel 1: SaaS mit KI-gesteuertem Kundensupport-Chat
Sie nutzen die Claude-API von Anthropic, um einen Support-Chatbot in Ihrem Produkt zu betreiben. Sie haben das Modell weder trainiert noch feinabgestimmt.
Klassifizierung: Betreiber. Anthropic ist der Anbieter des KI-Modells mit allgemeinem Verwendungszweck. Sie setzen es als Chatbot ein.
Pflichten: Transparenzoffenlegung gemäß Artikel 50(1) (informieren Sie Nutzer darüber, dass sie mit einer KI kommunizieren). Wenn der Chatbot Entscheidungen trifft, die Rechte der Nutzer oder ihren Zugang zu Dienstleistungen betreffen, prüfen Sie Anhang III auf eine Hochrisikoeinstufung.
Beispiel 2: SaaS mit KI-gesteuerter Lebenslaufprüfung
Sie haben einen Bewertungsalgorithmus entwickelt, der KI verwendet, um Stellenbewerber zu ranken. Sie haben das Modell anhand historischer Einstellungsdaten trainiert.
Klassifizierung: Anbieter eines Hochrisiko-KI-Systems. Die Lebenslaufprüfung fällt unter Anhang III, Punkt 4(a) (KI-Systeme zur Filterung von Bewerbungen oder Beurteilung von Kandidaten im Rahmen der Einstellung).
Pflichten: Vollständige Anbieterpflichten für Hochrisikosysteme. Risikomanagement, Data Governance, technische Dokumentation, Konformitätsbewertung.
Beispiel 3: SaaS, das OpenAI zur Erstellung von Marketingtexten verwendet
Sie rufen GPT auf, um Werbetexte und Social-Media-Beiträge für Ihre Nutzer zu generieren.
Klassifizierung: Betreiber. OpenAI ist der Modellanbieter. Sie setzen es zur Inhaltsgenerierung ein.
Pflichten: Transparenz gemäß Artikel 50(2). Kennzeichnen Sie KI-generierte Inhalte mit maschinenlesbaren Metadaten, die darauf hinweisen, dass sie von einer KI generiert wurden.
Nächste Schritte
Klassifizieren Sie alle KI-Funktionen in Ihrem Produkt. Halten Sie für jede fest, ob Sie Anbieter oder Betreiber sind. Prüfen Sie Anhang III. Implementieren Sie anschließend die Pflichten, die Ihrer Rolle entsprechen.
Wenn Sie eine strukturierte Schritt-für-Schritt-Anleitung wünschen, deckt unsere Open-Source-Checkliste alle 47 Compliance-Punkte ab: github.com/GatisOzols/eu-ai-act-checklist
Wenn Sie möchten, dass jemand die Klassifizierung für Sie übernimmt und innerhalb von 5 Werktagen einen Compliance-Bericht vorlegt: disclos.eu/audit
Last updated: 2026-06-04