Anbieter vs. Betreiber im EU-KI-Gesetz: Was ist Ihr SaaS?

# Anbieter vs. Betreiber im EU-KI-Gesetz: Was ist Ihr SaaS?

Das EU-KI-Gesetz weist unterschiedliche Pflichten zu, je nachdem, ob Sie Anbieter oder Betreiber eines KI-Systems sind. Die meisten SaaS-Unternehmen sind das eine oder das andere. Manche sind beides. Wer das falsch einschätzt, betreibt entweder zu viel Compliance-Aufwand oder – schlimmer – zu wenig.

Die Begriffsbestimmungen

Anbieter (Artikel 3(3)): Eine natürliche oder juristische Person, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt und es unter ihrem eigenen Namen oder ihrer eigenen Handelsmarke in Verkehr bringt oder in Betrieb nimmt.

Betreiber (Artikel 3(4)): Eine natürliche oder juristische Person, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen nicht beruflichen Tätigkeit verwendet.

Einfach ausgedrückt: Wer die KI entwickelt hat, ist wahrscheinlich Anbieter. Wer die KI eines anderen in seinem Produkt einsetzt, ist wahrscheinlich Betreiber.

Wie SaaS-Unternehmen typischerweise klassifiziert werden

Sie sind Anbieter, wenn:

Sie sind Betreiber, wenn:

Sie könnten beides sein, wenn:

Warum das wichtig ist

Anbieter haben umfangreichere Pflichten als Betreiber. Bei Hochrisiko-KI-Systemen (Anhang III) müssen Anbieter:

Betreiber von Hochrisikosystemen haben geringere, aber dennoch reale Pflichten:

Bei den Transparenzpflichten nach Artikel 50 haben sowohl Anbieter als auch Betreiber Verpflichtungen. Wenn Ihr Produkt einen Chatbot enthält, Inhalte generiert, Deepfakes erstellt oder Emotionserkennung durchführt, müssen Sie dies den Nutzern mitteilen – unabhängig davon, ob Sie Anbieter oder Betreiber sind.

Der häufige Fehler

Die meisten SaaS-Unternehmen, die die OpenAI-API aufrufen, gehen davon aus, dass sie keinerlei Pflichten haben, weil sie das Modell nicht entwickelt haben. Das ist falsch.

Wenn Ihr SaaS ein KI-Modell eines Drittanbieters verwendet und Sie es auf eine Weise einsetzen, die unter Anhang III fällt (z. B. KI zur Vorauswahl von Stellenbewerbern, zur Beurteilung der Kreditwürdigkeit oder zur Triage von Versicherungsansprüchen), sind Sie Betreiber eines Hochrisiko-KI-Systems. Die Betreiberpflichten gelten für Sie.

Und wenn Ihr Produkt den API-Aufruf in ein System einbettet, das autonom Entscheidungen trifft, haben Sie möglicherweise die Grenze vom Betreiber zum Anbieter für das System als Ganzes überschritten – auch wenn Sie das zugrunde liegende Modell nicht trainiert haben.

So ermitteln Sie Ihre Klassifizierung

Schritt 1: Listen Sie alle KI-Funktionen in Ihrem Produkt auf. Erfassen Sie jeden API-Aufruf an einen KI-Dienst, jedes von Ihnen betriebene Modell und jede automatisierte Entscheidung, die KI verwendet.

Schritt 2: Fragen Sie für jede Funktion: Haben Sie dieses KI-System selbst entwickelt, oder verwenden Sie eines, das von jemand anderem entwickelt wurde?

Schritt 3: Prüfen Sie, ob Sie ein Drittanbietersystem ausreichend modifiziert haben, um zum Anbieter eines neuen Systems zu werden. Feinabstimmung, das Hinzufügen von Retrieval Augmented Generation oder der Aufbau eines autonomen Agenten um einen API-Aufruf herum können diese Grenze überschreiten.

Schritt 4: Prüfen Sie für jede Funktion, ob sie unter eine Kategorie des Anhangs III fällt. Falls ja, bestimmt die Unterscheidung zwischen Anbieter und Betreiber Ihre spezifischen Compliance-Pflichten.

Schritt 5: Dokumentieren Sie Ihre Klassifizierungsbegründung. Dies ist das, was Sie einer Aufsichtsbehörde oder einem Unternehmenskunden vorlegen, der danach fragt.

Beispiele

Beispiel 1: SaaS mit KI-gesteuertem Kundensupport-Chat

Sie nutzen die Claude-API von Anthropic, um einen Support-Chatbot in Ihrem Produkt zu betreiben. Sie haben das Modell weder trainiert noch feinabgestimmt.

Klassifizierung: Betreiber. Anthropic ist der Anbieter des KI-Modells mit allgemeinem Verwendungszweck. Sie setzen es als Chatbot ein.

Pflichten: Transparenzoffenlegung gemäß Artikel 50(1) (informieren Sie Nutzer darüber, dass sie mit einer KI kommunizieren). Wenn der Chatbot Entscheidungen trifft, die Rechte der Nutzer oder ihren Zugang zu Dienstleistungen betreffen, prüfen Sie Anhang III auf eine Hochrisikoeinstufung.

Beispiel 2: SaaS mit KI-gesteuerter Lebenslaufprüfung

Sie haben einen Bewertungsalgorithmus entwickelt, der KI verwendet, um Stellenbewerber zu ranken. Sie haben das Modell anhand historischer Einstellungsdaten trainiert.

Klassifizierung: Anbieter eines Hochrisiko-KI-Systems. Die Lebenslaufprüfung fällt unter Anhang III, Punkt 4(a) (KI-Systeme zur Filterung von Bewerbungen oder Beurteilung von Kandidaten im Rahmen der Einstellung).

Pflichten: Vollständige Anbieterpflichten für Hochrisikosysteme. Risikomanagement, Data Governance, technische Dokumentation, Konformitätsbewertung.

Beispiel 3: SaaS, das OpenAI zur Erstellung von Marketingtexten verwendet

Sie rufen GPT auf, um Werbetexte und Social-Media-Beiträge für Ihre Nutzer zu generieren.

Klassifizierung: Betreiber. OpenAI ist der Modellanbieter. Sie setzen es zur Inhaltsgenerierung ein.

Pflichten: Transparenz gemäß Artikel 50(2). Kennzeichnen Sie KI-generierte Inhalte mit maschinenlesbaren Metadaten, die darauf hinweisen, dass sie von einer KI generiert wurden.

Nächste Schritte

Klassifizieren Sie alle KI-Funktionen in Ihrem Produkt. Halten Sie für jede fest, ob Sie Anbieter oder Betreiber sind. Prüfen Sie Anhang III. Implementieren Sie anschließend die Pflichten, die Ihrer Rolle entsprechen.

Wenn Sie eine strukturierte Schritt-für-Schritt-Anleitung wünschen, deckt unsere Open-Source-Checkliste alle 47 Compliance-Punkte ab: github.com/GatisOzols/eu-ai-act-checklist

Wenn Sie möchten, dass jemand die Klassifizierung für Sie übernimmt und innerhalb von 5 Werktagen einen Compliance-Bericht vorlegt: disclos.eu/audit

Last updated: 2026-06-04