KI-Verordnung für IT-Dienstleister: Anbieter, Betreiber oder beides?
Kurz zusammengefasst: IT-Dienstleister stehen vor einem einzigartigen Problem unter der KI-Verordnung (VO (EU) 2024/1689): Sie können gleichzeitig Anbieter und Betreiber von KI-Systemen sein. Wer KI-Lösungen für Kunden entwickelt, ist Anbieter mit den strengsten Pflichten [Art. 16 KI-VO]. Wer KI-Tools intern nutzt, ist Betreiber [Art. 26 KI-VO]. Und wer Foundation Models integriert, muss die GPAI-Regeln kennen [Art. 51-56 KI-VO]. Dieser Leitfaden sortiert die Rollen, Pflichten und konkreten Schritte für Agenturen, Managed Service Provider und Softwarehäuser.
Das Rollenproblem: Warum IT-Unternehmen doppelt betroffen sind
Die KI-Verordnung unterscheidet klar zwischen verschiedenen Akteuren in der KI-Wertschöpfungskette. Für IT-Dienstleister ist die Rollenbestimmung der erste und wichtigste Schritt -- denn die Pflichten unterscheiden sich fundamental:
- Anbieter (Art. 3 Nr. 3 KI-VO): Wer ein KI-System entwickelt oder entwickeln lässt und unter eigenem Namen in Verkehr bringt oder in Betrieb nimmt. Das betrifft jede Agentur, die eine KI-Lösung für einen Kunden baut und ausliefert.
- Betreiber (Art. 3 Nr. 4 KI-VO): Wer ein KI-System unter eigener Verantwortung einsetzt. Das betrifft jedes IT-Unternehmen, das intern KI-Tools nutzt -- von Copilot bis zum KI-Monitoring.
- Bevollmächtigter (Art. 3 Nr. 5 KI-VO): Wer von einem Nicht-EU-Anbieter benannt wird, um dessen Pflichten zu erfüllen. Relevant für IT-Dienstleister, die als Importeure oder Vertreter agieren.
Das Besondere an IT-Dienstleistern: Die meisten sind in mehreren Rollen gleichzeitig aktiv. Eine Digitalagentur, die einen KI-Chatbot für einen Kunden baut (Anbieter) und intern GitHub Copilot nutzt (Betreiber), muss beide Pflichtenkataloge parallel erfüllen.
KMU-Tipp: Die Rollenbestimmung ist kein theoretisches Konstrukt -- sie entscheidet über Bußgelder in Millionenhöhe. Ein häufiger Fehler: IT-Dienstleister gehen davon aus, dass ihr Kunde der Anbieter ist, weil er das System „beauftragt" hat. Entscheidend ist aber, wer das System entwickelt und unter eigenem Namen oder Marke in Verkehr bringt oder in Betrieb nimmt [Art. 3 Nr. 3 KI-VO]. Wenn Sie die KI-Lösung technisch umsetzen und an den Kunden ausliefern, sind Sie in der Regel Anbieter.
Anbieter-Pflichten: Was IT-Dienstleister als KI-Entwickler beachten müssen
Wenn Sie als IT-Unternehmen KI-Systeme entwickeln und an Kunden ausliefern, greifen die Anbieter-Pflichten nach Art. 16 KI-VO. Der Umfang hängt von der Risikoklasse des Systems ab:
Hochrisiko-KI-Systeme (Art. 16 i.V.m. Art. 8-15 KI-VO)
Wenn das von Ihnen entwickelte KI-System unter Anhang III fällt (z. B. eine KI-Lösung für Kreditwürdigkeitsprüfung, Personalauswahl oder kritische Infrastruktur), müssen Sie:
- Risikomanagementsystem einrichten und über den gesamten Lebenszyklus betreiben [Art. 9 KI-VO]
- Daten-Governance sicherstellen: Trainings-, Validierungs- und Testdaten müssen repräsentativ, fehlerfrei und geeignet sein [Art. 10 KI-VO]
- Technische Dokumentation erstellen, die Behörden die Bewertung der Konformität ermöglicht [Art. 11 KI-VO]
- Automatische Protokollierung implementieren [Art. 12 KI-VO]
- Transparenz und Informationspflichten gegenüber dem Betreiber erfüllen [Art. 13 KI-VO]
- Menschliche Aufsicht ermöglichen [Art. 14 KI-VO]
- Genauigkeit, Robustheit und Cybersicherheit gewährleisten [Art. 15 KI-VO]
- Konformitätsbewertung vor dem Inverkehrbringen durchführen [Art. 43 KI-VO]
- CE-Kennzeichnung anbringen [Art. 48 KI-VO]
- EU-Datenbank-Registrierung vornehmen [Art. 49 KI-VO]
- Qualitätsmanagementsystem betreiben [Art. 17 KI-VO]
Für alle KI-Systeme: Transparenzpflichten (Art. 50 KI-VO)
Unabhängig von der Risikoklasse: Wenn das System direkt mit Nutzern interagiert (z. B. Chatbot), muss die KI-Natur offengelegt werden [Art. 50 Abs. 1 KI-VO].
Rollenmatrix: Anbieter vs. Betreiber -- Pflichten im Vergleich
| Pflicht | Anbieter (Art. 16) | Betreiber (Art. 26) |
|---|---|---|
| Konformitätsbewertung | Ja -- vor Inverkehrbringen [Art. 43] | Nein -- aber Prüfung, ob Anbieter sie durchgeführt hat |
| CE-Kennzeichnung | Ja [Art. 48] | Nein |
| Technische Dokumentation | Erstellen [Art. 11] | Aufbewahren und bereithalten |
| Risikomanagementsystem | Einrichten und betreiben [Art. 9] | Nein (aber FRIA bei Hochrisiko) [Art. 27] |
| Qualitätsmanagementsystem | Ja [Art. 17] | Nein |
| Menschliche Aufsicht | Ermöglichen (Design) [Art. 14] | Durchführen (Betrieb) [Art. 26 Abs. 2] |
| KI-Kompetenz | Ja [Art. 4] | Ja [Art. 4] |
| Registrierung EU-Datenbank | Ja [Art. 49] | Ja, bei bestimmten Hochrisiko-Systemen [Art. 49 Abs. 3] |
GPAI-Regeln: Wenn IT-Dienstleister Foundation Models integrieren
Viele IT-Dienstleister integrieren heute General Purpose AI Models (GPAI) -- also Foundation Models wie GPT-4, Claude oder Llama -- in ihre Kundenlösungen. Die KI-VO regelt GPAI-Modelle in Art. 51-56:
Wann greifen die GPAI-Pflichten?
Die GPAI-Pflichten treffen primär den Anbieter des GPAI-Modells (z. B. OpenAI, Anthropic, Meta) [Art. 53 KI-VO]. Aber: Wenn Sie als IT-Dienstleister ein GPAI-Modell in ein eigenes KI-System integrieren, werden Sie zum Anbieter dieses nachgelagerten KI-Systems -- und tragen die Verantwortung für die Konformität des Gesamtsystems.
Konkret bedeutet das: Sie müssen sicherstellen, dass das von Ihnen integrierte GPAI-Modell die notwendigen Informationen und Dokumentationen bereitstellt, die Sie für Ihre eigene Konformitätsbewertung brauchen [Art. 53 Abs. 1 lit. b KI-VO].
KMU-Tipp: Wenn Sie ein Foundation Model (z. B. über die OpenAI API) in eine Kundenlösung einbauen, prüfen Sie vorab: Stellt der GPAI-Anbieter die technische Dokumentation bereit, die Sie nach Art. 53 benötigen? Gibt es ein Model Card oder eine Nutzungsrichtlinie? Dokumentieren Sie, welches Modell in welcher Version Sie einsetzen -- das brauchen Sie für Ihre eigene technische Dokumentation [Art. 11 KI-VO]. Bei einem Modellwechsel (z. B. von GPT-4 auf GPT-5) müssen Sie die Konformität neu prüfen.
Drei Praxisszenarien für IT-Dienstleister
Szenario 1: Digitalagentur entwickelt KI-Chatbot für Kunden
Eine Agentur mit 20 Mitarbeitern entwickelt für einen E-Commerce-Kunden einen KI-Chatbot auf Basis der OpenAI API. Der Chatbot beantwortet Kundenfragen zu Produkten und Bestellungen.
Rolle: Die Agentur ist Anbieter des KI-Systems (Chatbot) [Art. 3 Nr. 3]. OpenAI ist Anbieter des GPAI-Modells [Art. 53]. Der E-Commerce-Kunde ist Betreiber [Art. 3 Nr. 4]. Pflichten der Agentur: Transparenzhinweis implementieren [Art. 50 Abs. 1]. Technische Dokumentation erstellen. Dem Kunden alle Informationen bereitstellen, die dieser als Betreiber braucht [Art. 13]. Falls der Chatbot in einem Hochrisiko-Bereich eingesetzt wird (z. B. Kreditvergabe): Vollständige Hochrisiko-Pflichten.
Szenario 2: Managed Service Provider nutzt KI-Monitoring
Ein MSP mit 50 Mitarbeitern setzt KI-gestützte Monitoring-Software ein, die Anomalien in den IT-Systemen seiner Kunden erkennt und automatisch Tickets erstellt.
Rolle: Der MSP ist Betreiber des Monitoring-Tools [Art. 3 Nr. 4]. Der Anbieter des Tools hat die Anbieter-Pflichten. Pflichten des MSP: KI-Kompetenz-Schulung für das Operations-Team [Art. 4]. Einsatz gemäß Gebrauchsanweisung [Art. 26 Abs. 1]. Dokumentation, welches System eingesetzt wird. Risikoklasse: Minimales Risiko (IT-Monitoring ohne Grundrechtsrelevanz).
Szenario 3: Softwarehaus baut KI-Feature in Bestandsprodukt
Ein Softwarehaus mit 100 Mitarbeitern integriert ein KI-Feature in seine bestehende HR-Software: automatische Bewerber-Ranking basierend auf Lebenslauf-Analyse.
Rolle: Das Softwarehaus ist Anbieter eines Hochrisiko-KI-Systems [Art. 3 Nr. 3, Anhang III Nr. 4 lit. a]. Pflichten: Vollständiger Hochrisiko-Pflichtenkatalog nach Art. 16, einschließlich Konformitätsbewertung [Art. 43], CE-Kennzeichnung [Art. 48], Qualitätsmanagementsystem [Art. 17] und Registrierung in der EU-Datenbank [Art. 49]. Achtung: Das ist das aufwändigste Szenario -- planen Sie mehrere Monate für die Umsetzung ein.
Checkliste: KI-Verordnung für IT-Dienstleister umsetzen
- Rollenbestimmung durchführen: Für jedes KI-System im Unternehmen klären: Sind Sie Anbieter, Betreiber oder beides? Dokumentieren Sie die Begründung.
- KI-Inventar erstellen: Alle KI-Systeme auflisten -- intern genutzte (Betreiber) und für Kunden entwickelte (Anbieter). Für jedes System: Risikoklasse bestimmen.
- Anbieter-Pflichten prüfen: Für jedes System, bei dem Sie Anbieter sind: Welche Risikoklasse? Bei Hochrisiko: Konformitätsbewertung, technische Dokumentation, CE-Kennzeichnung planen.
- GPAI-Integration dokumentieren: Wenn Sie Foundation Models integrieren: Welches Modell, welche Version, welche Dokumentation liegt vom GPAI-Anbieter vor?
- Verträge mit Kunden anpassen: In Projektverträgen klären: Wer ist Anbieter, wer ist Betreiber? Welche Pflichten übernimmt wer? Haftungsklauseln für KI-VO-Compliance aufnehmen.
- KI-Kompetenz-Schulung: Alle Entwickler und Projektmanager schulen -- sowohl zu eigenen Pflichten als auch zu den Pflichten, die Kunden als Betreiber treffen [Art. 4 KI-VO].
- Qualitätsmanagementsystem aufbauen: Als Anbieter von Hochrisiko-Systemen ist ein QMS nach Art. 17 Pflicht. Integrieren Sie KI-Compliance in bestehende ISO-Prozesse.
KI-Compliance für IT-Dienstleister -- systematisch umsetzen
Das KI-Compliance-Kit enthält alle Vorlagen für IT-Unternehmen: Rollenbestimmungs-Matrix, Anbieter-Checkliste, Betreiber-Checkliste, GPAI-Dokumentationsvorlage, KI-Inventar und Schulungsnachweise -- praxistauglich für KMU in der IT-Branche.
Zum Compliance Kit (ab 149 €)Fazit: IT-Dienstleister müssen ihre Rolle kennen -- und beide Seiten bedienen
IT-Dienstleister sind die Akteure, die die KI-Verordnung am stärksten in ihrer Doppelrolle trifft. Während ein Handwerksbetrieb nur Betreiber ist und ein Händler meist auch, stehen IT-Unternehmen regelmäßig auf beiden Seiten der Wertschöpfungskette.
Die drei wichtigsten Handlungsfelder:
- Rolle klären -- für jedes KI-System: Anbieter, Betreiber oder beides? Die Pflichten unterscheiden sich fundamental.
- Verträge anpassen -- Kunden brauchen klare vertragliche Regelungen, wer welche KI-VO-Pflichten übernimmt.
- GPAI-Integration dokumentieren -- wer Foundation Models integriert, trägt die Verantwortung für das Gesamtsystem.
Die gute Nachricht: IT-Unternehmen haben das technische Verständnis, um die Anforderungen effizient umzusetzen. Die schlechte Nachricht: Genau deshalb werden Aufsichtsbehörden von IT-Dienstleistern einen höheren Compliance-Standard erwarten als von branchenfremden KMU. Beginnen Sie jetzt mit der systematischen Umsetzung -- die Fristen stehen, und Ihre Kunden werden Sie bald nach Ihrer eigenen KI-Compliance fragen.
Weiterlesen
Stand: April 2026. Dieser Artikel dient der Information und ersetzt keine Rechtsberatung. Für verbindliche Auskünfte zu Ihrer konkreten Situation konsultieren Sie einen auf KI-Regulierung spezialisierten Rechtsanwalt oder die zuständige nationale Aufsichtsbehörde.