Anbieter
Anbieter im Sinne der EU-KI-Verordnung ist, wer ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt. Im Gegensatz zum Betreiber trägt der Anbieter die Hauptverantwortung für die Konformität des Systems.
Ausführliche Erklärung
Die EU-KI-Verordnung definiert den Anbieter in Artikel 3 Nummer 3 als natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Handelsmarke in Verkehr bringt oder in Betrieb nimmt – entgeltlich oder unentgeltlich. Die Rolle des Anbieters ist zentral, da sie den umfangreichsten Pflichtenkatalog nach sich zieht.
Als Anbieter gelten nicht nur Unternehmen, die ein KI-System selbst programmieren. Auch wer ein bestehendes KI-Modell in ein eigenes Produkt integriert und dieses unter eigener Marke anbietet, wird rechtlich zum Anbieter. Ebenso können Betreiber zu Anbietern werden, wenn sie wesentliche Änderungen am System vornehmen oder dessen Zweckbestimmung so ändern, dass es als Hochrisiko-System einzustufen ist. Diese Rollenwechsel sind für KMU besonders relevant, da sie oft unbewusst erfolgen und erhebliche zusätzliche Compliance-Anforderungen auslösen.
Die Abgrenzung zum Betreiber ist wesentlich: Der Betreiber nutzt ein KI-System in eigener Verantwortung für interne Zwecke, ohne es weiterzuentwickeln oder zu vermarkten. Der Anbieter hingegen bringt das System auf den Markt oder nimmt es unter eigenem Namen in Betrieb. Diese Unterscheidung bestimmt, welche rechtlichen Pflichten greifen – vom Risikomanagement über Konformitätsbewertungen bis zur Registrierung in EU-Datenbanken.
Für Anbieter von Hochrisiko-KI-Systemen gelten seit August 2026 besonders strenge Anforderungen: Sie müssen technische Dokumentationen erstellen, Risikomanagementsysteme betreiben, Qualitätsmanagement sicherstellen, Transparenzpflichten erfüllen und das System in einer EU-Datenbank registrieren. Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden. Die Rolle ist unabhängig vom Unternehmenssitz – auch außereuropäische Anbieter, deren Systeme in der EU genutzt werden, unterliegen der Verordnung.
Praxisbeispiel
Eine österreichische Personalsoftware-Firma mit 45 Mitarbeitenden entwickelt ein KI-basiertes Tool zur Bewerbervorauswahl und vertreibt es unter eigenem Markennamen an Unternehmen. Sie gilt als Anbieter und muss, da es sich um eine Hochrisiko-Anwendung im Bereich Beschäftigung handelt, ein vollständiges Konformitätsbewertungsverfahren durchführen, technische Dokumentation bereitstellen und das System in der EU-Datenbank registrieren. Würde sie dasselbe System nur intern für die eigene Personalabteilung nutzen, wäre sie ebenfalls Anbieter, da sie es selbst entwickelt und in Betrieb nimmt.