Werde ich zum Provider, wenn ich ein KI-Tool nur intern nutze?

Ja. Laut Artikel 3 gilt schon als Provider, wer ein KI-System entwickelt und einsetzt — auch unternehmensintern. Entscheidend ist nicht der Verkauf, sondern dass du eine Anwendung entwickelst und bereitstellst.

Welche Pflichten gelten bei einem HR-Tool zur Bewerberauswertung?

Beschäftigung und Einstellungen sind in Anhang III als Hochrisiko gelistet. Dann gelten technische Dokumentation nach Anhang IV, Konformitätsbewertung, Registrierung in der EU-Datenbank, strukturell verankerte menschliche Aufsicht und Logs über Systementscheidungen für mindestens sechs Monate.

Nimmt mir Anthropic die Compliance ab, wenn ich die Claude API nutze?

Nein. Die Nutzungsbedingungen von Anthropic regeln, was du mit der API darfst; der EU AI Act regelt, was du als Provider schuldest. Risikobewertung, technische Dokumentation und Transparenzpflichten deiner Anwendung bleiben bei dir.

Eigene KI-Apps bauen: Wann greift der EU AI Act?

Q: Muss ich Kunden darauf hinweisen, dass mein Chatbot eine KI ist?

Ja. Artikel 50 verlangt, dass Nutzer wissen, dass sie mit einem KI-System interagieren. Das ist keine Kann-Regelung; die Kennzeichnungspflicht gilt ab dem 2. August 2026.

Du willst kein Fertigtool mehr. Du willst was Eigenes. Ein internes Tool für dein Team, ein Chatbot für Kunden, vielleicht sogar eine KI-gestützte SaaS-Lösung. Die Technik ist da — Claude Code, ChatGPT API, Vertex AI. Der Einstieg war noch nie so niedrigschwellig.

Aber sobald du anfängst, eigene KI-Anwendungen zu bauen, ändert sich deine Rolle im Sinne des EU AI Acts grundlegend. Du bist nicht mehr nur Nutzer. Du wirst Provider.

Provider oder Deployer — der Unterschied zählt

Der EU AI Act unterscheidet zwei zentrale Rollen:

Deployer setzt ein KI-System ein, das jemand anderes entwickelt hat — unverändert, im eigenen Betrieb. Weniger Pflichten, aber nicht null.

Provider bringt ein KI-System in Verkehr oder nimmt es in Betrieb — auch wenn es nur intern genutzt wird. Entscheidend ist nicht der Verkauf, sondern die Tatsache, dass du eine Anwendung entwickelst und bereitstellst.

Artikel 3 der Verordnung ist da eindeutig: Wer ein KI-System entwickelt und — auch unternehmensintern — einsetzt, gilt als Provider.

Das bedeutet: Wenn du die Claude API nimmst und daraus ein Tool baust, das deine Mitarbeitenden täglich nutzen, bist du Provider dieses Tools. Anthropic ist Provider des Foundation Models. Beide Rollen existieren gleichzeitig, auf verschiedenen Ebenen.

Drei Szenarien, drei Risikoklassen

Szenario 1: Internes Wissenstool

Du baust einen internen Assistenten, der Mitarbeitende bei der Suche in Dokumenten, Handbüchern oder Prozessen unterstützt. Kein Output mit Außenwirkung, keine Entscheidungen über Personen.

Risikoklasse: Minimal

Pflichten: Kaum. Du solltest eine grundlegende technische Dokumentation führen und sicherstellen, dass das System keine verbotenen Praktiken nutzt. Transparenzpflichten gegenüber Mitarbeitenden sind arbeitsrechtlich relevant — aber das ist kein AI-Act-Thema im engeren Sinne.

Szenario 2: Kunden-Chatbot auf deiner Website

Du baust einen Chatbot, der Kundenanfragen beantwortet, Produktempfehlungen gibt oder Buchungen begleitet. Der Kunde weiß möglicherweise nicht, dass er mit KI spricht.

Risikoklasse: Minimal bis begrenzt — aber mit Transparenzpflicht

Hier greift Artikel 50: Nutzer müssen wissen, dass sie mit einem KI-System interagieren. Das ist keine Kann-Regelung. Die Kennzeichnungspflicht gilt ab dem 2. August 2026.

Wenn der Chatbot Empfehlungen gibt, die Kaufentscheidungen beeinflussen, und das System auf personenbezogenen Daten trainiert oder angereichert wurde, kann schnell ein höheres Risikopotenzial entstehen — auch wenn du es nicht so geplant hast.

Szenario 3: HR-SaaS mit KI-gestützter Bewerberauswertung

Du baust ein Produkt, das andere Unternehmen nutzen — und das KI-gestützt Lebensläufe bewertet, Kandidaten rankt oder Empfehlungen für Einstellungsentscheidungen gibt.

Risikoklasse: Hoch

Beschäftigung, Einstellungen, Beförderungen — das ist explizit in Anhang III als Hochrisiko-Anwendungsfall gelistet. Hier gelten strenge Pflichten:

Technische Dokumentation nach Anhang IV
Konformitätsbewertung vor Inbetriebnahme
Registrierung in der EU-Datenbank für Hochrisiko-KI
Menschliche Aufsicht muss strukturell verankert sein
Logs über Systementscheidungen für mindestens sechs Monate

Und: Du verkaufst das an andere Unternehmen. Das ist klassisches In-Verkehr-Bringen. Provider-Pflichten in voller Breite.

Was Anthropic, Google & Co. dir abnehmen — und was nicht

Foundation-Model-Anbieter wie Anthropic (Claude), OpenAI (GPT-4) oder Google (Vertex AI/Gemini) sind selbst Provider ihrer Modelle. Sie tragen Verantwortung für das Modell — seine Fähigkeiten, bekannte Risiken, Sicherheitsevaluierungen.

Was sie dir nicht abnehmen:

Die Verantwortung für deine konkrete Anwendung
Die Pflicht zur technischen Dokumentation deines Systems
Die Risikobewertung deines Use Cases
Die Transparenzpflichten gegenüber deinen Nutzern
Die Konformitätsbewertung bei Hochrisiko-Anwendungen

Die Nutzungsbedingungen von Anthropic regeln, was du mit der API machen darfst. Der EU AI Act regelt, was du als Provider schuldig bist. Beides gilt parallel — und keines ersetzt das andere.

Was du jetzt tun solltest

Bevor du eine KI-Anwendung in Betrieb nimmst, beantworte diese drei Fragen:

Wer sind die Nutzer? Nur interne Mitarbeitende oder externe Personen?
Was entscheidet das System? Gibt es Output mit Wirkung auf Personen — Einstellungen, Kredite, Zugänge?
Verkaufst du das Produkt? Dann bist du vollständiger Provider mit allen Pflichten.

Diese drei Fragen bestimmen deine Risikoklasse. Und die Risikoklasse bestimmt deinen Aufwand.

Wer das jetzt klärt, spart sich später teure Nacharbeit — oder eine Abmahnung durch die nationale Marktüberwachungsbehörde.

Sonnige Grüße, Olga

Fragen? Einfach melden — oder direkt ein kurzes Gespräch buchen.

Kurzes Gespräch buchen →