Anbieter

Ein Anbieter im Sinne des EU AI Act ist jede natürliche oder juristische Person, Behörde, Agentur oder sonstige Stelle, die ein KI-System entwickelt oder entwickeln lässt, um es unter eigenem Namen oder eigener Marke in Verkehr zu bringen oder in Betrieb zu nehmen, unabhängig davon, ob entgeltlich oder kostenlos. Anbieter tragen die umfassendsten Compliance-Pflichten, da sie dafür verantwortlich sind, dass das System von Design bis Deployment alle einschlägigen Anforderungen erfüllt.

Die Anbieterrolle trägt die größte regulatorische Last. Artikel 8 bis 25 definieren weitreichende Pflichten für Anbieter von Hochrisiko-KI: Risikomanagementsysteme implementieren, Daten-Governance sicherstellen, technische Dokumentation erstellen, menschliche Aufsicht designen, geeignete Genauigkeit und Robustheit erreichen, Konformitätsbewertungen durchführen und Überwachung nach dem Inverkehrbringen betreiben. Viele Organisationen werden Anbieter, ohne es zu erkennen. Die Definition umfasst nicht nur Unternehmen, die Modelle von Grund auf trainieren, sondern auch solche, die bestehende KI wesentlich verändern, KI-Komponenten in Produkte oder Services unter eigener Marke integrieren oder KI-Entwicklung bei Dritten beauftragen. Die Nutzung eines Foundation Models von OpenAI, Anthropic oder anderen befreit nicht vom Anbieterstatus, wenn eine Applikationsschicht darauf gebaut und an Nutzer ausgeliefert wird. Die Unterscheidung zwischen Anbieter und Betreiber ist zentral: Anbieter verantworten das System selbst; Betreiber nutzen Systeme anderer. Dieselbe Organisation kann in unterschiedlichen Kontexten beides sein.

Organisationen sollten zunächst ehrlich prüfen, wo sie Anbieter sind. Leitfragen: Bieten Sie KI-Funktionalität unter Ihrem Namen oder Ihrer Marke an? Haben Sie ein Drittanbieter-System wesentlich verändert? Beauftragen Sie KI-Entwicklung, die Sie anschließend deployen oder vertreiben?

Anbieterpflichten sind ressourcenintensiv. Risikomanagement muss über den Lebenszyklus etabliert und betrieben werden. Technische Dokumentation nach Anhang IV verlangt detaillierte Nachweise zu Designentscheidungen, Trainingsdaten, Testergebnissen und Betriebsparametern. Qualitätsmanagementsysteme müssen fortlaufende Compliance sicherstellen. Mechanismen zur menschlichen Aufsicht müssen in die Architektur integriert sein. Konformitätsbewertung, ob intern oder über eine benannte Stelle, muss vor Markteintritt abgeschlossen sein. Post-Market-Monitoring und Incident-Reporting müssen operativ sein. Für Anbieter von Hochrisiko-KI kann Compliance kein Nachgedanke sein: Anforderungen müssen von Beginn an in Entwicklung, Evidence Capture und Betrieb integriert werden.