Published on

Check: Bin ich Provider, Deployer, Importer oder Distributor?

Authors

Bevor Sie einen einzigen Pflichtenkatalog des EU AI Act auf Ihr KI-System anwenden, müssen Sie eine andere Frage klären: In welcher Rolle handeln Sie überhaupt? Die Verordnung knüpft fast jede Pflicht an die Rolle der beteiligten Akteure — und dieselbe Organisation kann für dasselbe System je nach Konstellation unterschiedliche Rollen tragen. Wer ein Hochrisiko-System selbst entwickelt, trägt einen anderen Pflichtenumfang als wer ein zugekauftes System lediglich einsetzt. Dieser Check führt Sie strukturiert durch die vier zentralen Rollen der Verordnung (Provider, Deployer, Importer, Distributor) und prüft die häufig übersehene Frage, ob Sie durch eigene Eingriffe vom Deployer zum Provider werden. Er richtet sich an Compliance-Funktionen, Einkauf, Produktverantwortliche und Entscheider, die vor der Pflichtenzuordnung Klarheit über ihre Position brauchen. Vorausgesetzt wird, dass Ihr System überhaupt vom AI Act erfasst ist — falls noch offen, beginnen Sie mit dem Check zum Anwendungsbereich.

Vorbereitung

Halten Sie folgende Informationen bereit, bevor Sie starten:

  • Eine Beschreibung, ob Sie das System selbst entwickeln oder entwickeln lassen, oder es fertig beziehen.
  • Information darüber, unter welchem Namen oder welcher Marke das System auf den Markt kommt — unter Ihrem eigenen oder dem eines Dritten.
  • Den Sitz der beteiligten Parteien: Liegt der ursprüngliche Anbieter innerhalb oder außerhalb der EU? Ein außerhalb der EU ansässiger Anbieter, dessen System in den EU-Markt gelangt, verlagert einen Teil der Pflichten auf den EU-seitigen Importer.
  • Eine ehrliche Einschätzung, ob Sie am bezogenen System wesentliche Änderungen vornehmen oder den Zweck verändern.
  • Klarheit darüber, ob Sie das System für eigene Zwecke einsetzen oder es weitervertreiben.

Der Check

Frage 1: Entwickeln Sie ein KI-System (oder ein GPAI-Modell) selbst oder lassen es entwickeln und bringen es unter Ihrem eigenen Namen oder Ihrer Marke in den Verkehr — oder nehmen es unter eigenem Namen in Betrieb?

Provider ist, wer ein System entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke bereitstellt oder in Betrieb nimmt — entgeltlich oder unentgeltlich.

  • Ja → Ergebnis A: Sie sind Provider. Prüfen Sie ergänzend Frage 4, falls Sie das System auch selbst einsetzen.
  • Nein, ich beziehe ein fertiges System von Dritten → siehe Frage 2.

Frage 2: Setzen Sie das KI-System unter Ihrer eigenen Verantwortung ein — im Rahmen einer beruflichen oder gewerblichen Tätigkeit?

Deployer ist, wer ein KI-System in eigener Verantwortung verwendet. Die rein persönliche, nicht-berufliche Nutzung durch eine natürliche Person ist ausgenommen.

  • Ja, ich nutze das System für eigene betriebliche Zwecke → Ergebnis B: Sie sind (zunächst) Deployer. Gehen Sie weiter zu Frage 5, um einen möglichen Rollenwechsel zu prüfen.
  • Nein, ich setze es nicht selbst ein, sondern reiche es weiter → siehe Frage 3.

Frage 3: Bringen Sie ein System eines außerhalb der EU ansässigen Anbieters erstmals auf den EU-Markt — oder geben Sie ein bereits auf dem Markt befindliches System lediglich weiter, ohne seine Eigenschaften zu verändern?

Hier trennen sich Importer und Distributor. Der Importer bringt ein System eines Anbieters aus einem Drittland erstmals in der EU in Verkehr. Der Distributor stellt ein bereits in Verkehr gebrachtes System in der Lieferkette bereit, ohne Provider oder Importer zu sein.

  • Ich bringe ein Drittland-System erstmals auf den EU-Markt → Ergebnis C: Sie sind Importer.
  • Ich gebe ein bereits auf dem Markt befindliches System unverändert weiter → Ergebnis D: Sie sind Distributor.

Frage 4 (nur falls Sie auch selbst einsetzen): Nutzen Sie ein von Ihnen bereitgestelltes System zusätzlich für eigene betriebliche Zwecke?

Rollen schließen sich nicht aus. Ein Provider, der sein eigenes System auch produktiv einsetzt, kann zugleich Deployer-Pflichten tragen.

  • Ja → Sie kumulieren Provider- und Deployer-Pflichten. Behandeln Sie beide Pflichtenkreise getrennt.
  • Nein → es bleibt bei der Provider-Rolle.

Frage 5 (Rollenwechsel — wichtig für Deployer): Trifft einer der folgenden Punkte auf Ihren Umgang mit einem zugekauften System zu?

Ein Deployer kann unter bestimmten Bedingungen rechtlich zum Provider werden und damit den vollen Provider-Pflichtenkreis übernehmen. Prüfen Sie:

  • Sie bringen Ihren Namen oder Ihre Marke auf einem bereits in Verkehr gebrachten Hochrisiko-System an.

  • Sie nehmen eine wesentliche Veränderung an einem Hochrisiko-System vor, sodass es weiterhin als Hochrisiko gilt.

  • Sie verändern den Zweck eines Systems so, dass es dadurch zum Hochrisiko-System wird.

  • Mindestens ein Punkt trifft zu → Ergebnis E: Rollenwechsel zum Provider. Der ursprüngliche Anbieter wird in diesen Fällen aus einem Teil seiner Pflichten entlassen; Sie übernehmen sie.

  • Kein Punkt trifft zu → Sie bleiben Deployer (Ergebnis B).

Auswertung

Ergebnis A (Provider): Sie tragen den umfangreichsten Pflichtenkreis. Bei Hochrisiko-Systemen umfasst er Risikomanagement, Daten-Governance, technische Dokumentation, Konformitätsbewertung, Registrierung und mehr.

Ergebnis B (Deployer): Ihr Pflichtenkreis ist enger, aber real — etwa zweckkonforme Verwendung, menschliche Aufsicht, Beobachtung des Betriebs und je nach Kontext eine Grundrechte-Folgenabschätzung.

Ergebnis C (Importer) / D (Distributor): Sie tragen vor allem Sorgfalts- und Prüfpflichten in der Lieferkette: Sie müssen sich vergewissern, dass das System die formalen Anforderungen erfüllt (Konformitätskennzeichnung, Dokumentation, Registrierung), und dürfen ein offensichtlich nicht-konformes System nicht bereitstellen.

Ergebnis E (Rollenwechsel): Behandeln Sie sich ab dem auslösenden Eingriff wie einen Provider. Dieser Übergang wird in der Praxis am häufigsten übersehen — gerade beim Anbringen der eigenen Marke oder beim tiefgreifenden Anpassen eines zugekauften Systems.

Nächste Schritte

  • Als Provider: Verschaffen Sie sich einen vollständigen Überblick über die Hochrisiko-Pflichten und nutzen Sie vorbereitete Vorlagen — etwa über das Compliance-Toolkit auf ki-hochrisiko.de. Den zeitlichen Rahmen setzt das Enforcement-Datum 02.12.2027.
  • Als Deployer: Klären Sie zuerst die Risikoklasse Ihres Systems, denn daran hängt Ihr konkreter Pflichtenumfang — vertiefend im Check zur Hochrisiko-Einstufung.
  • Bei Unsicherheit über den Gesamtrahmen: Ordnen Sie Ihre Rolle in den Leitfaden auf eu-ai-verordnung.de ein, der das Zusammenspiel der Akteure entlang der Lieferkette darstellt.

Was dieser Check NICHT leistet

Dieser Self-Check ist eine strukturierte Orientierungshilfe, keine Rechtsberatung. Die Rollenzuordnung hängt von vertraglichen Konstellationen, der konkreten Wertschöpfungskette und der Auslegung unbestimmter Rechtsbegriffe wie „wesentliche Veränderung" ab, die ein Fragebogen nicht abschließend erfassen kann. Mehrfachrollen und Rollenwechsel sind der Regelfall, nicht die Ausnahme. Das Ergebnis ersetzt weder eine juristische Prüfung im Einzelfall noch eine vertragliche Klärung der Verantwortlichkeiten mit Ihren Lieferanten. Nutzen Sie es, um Ihre Position einzuordnen und das Gespräch mit Fachleuten vorzubereiten — nicht als verbindliche Einstufung.

Wenn dieser Check Sie zur Erkenntnis bringt, dass strukturierte Trust-Infrastructure nötig ist: AEGIRA AI Navigator deckt diese Self-Assessments operativ ab — aegira.ai.