Anbieter vs. Betreiber: Wer ist verantwortlich?

Learn the difference between provider and deployer obligations under the EU AI Act, and why vendor compliance does not equal deployer compliance.

What Is Anbieter vs. Betreiber: Wer ist verantwortlich??

Verstehen Sie die zentrale Unterscheidung zwischen KI-Anbietern und Betreibern nach der EU-KI-Verordnung. Lernen Sie, warum der Kauf eines konformen Anbieterprodukts Ihr Unternehmen nicht von eigenen rechtlichen Pflichten entbindet, und üben Sie die Prüfung von Anbieter-Compliance-Unterlagen in der Beschaffung.

What You'll Learn in Anbieter vs. Betreiber: Wer ist verantwortlich?

Anbieter vs. Betreiber: Wer ist verantwortlich? — Training Steps

  1. Anbieter vs. Betreiber

    Die EU-KI-Verordnung weist je nach Rolle in der KI-Wertschöpfungskette unterschiedliche Pflichten zu: Anbieter — das Unternehmen, das ein KI-System entwickelt oder in Verkehr bringt. Zuständig für Konformitätsbewertung, CE-Kennzeichnung und technische Dokumentation. Betreiber — das Unternehmen, das ein KI-System in eigener Verantwortung nutzt. Zuständig für Grundrechte-Folgenabschätzung, menschliche Aufsicht, Monitoring und Vorfallsmeldung. BrightPath Consulting ist ein Betreiber. Wenn das Unternehmen ein KI-Tool eines Anbieters kauft, befreit dessen Compliance BrightPath nicht von den eigenen rechtlichen Pflichten nach der Verordnung.

  2. E-Mail vom IT Director

    Eine E-Mail von Rachel Kim, IT Director von BrightPath, trifft ein. Drei KI-Anbieter haben Angebote eingereicht, und Alice soll deren Compliance-Status vor der Beschaffungs-Entscheidung bewerten.

  3. Anbieter 1: TalentMatch AI

    Alice clicks the TalentMatch AI link in Rachel's email to open the vendor's compliance documentation. This vendor has done their provider obligations well: conformity assessment completed, CE marking obtained, technical documentation available, and intended purpose clearly stated. The system is classified as High Risk under Annex III area 4 (employment).

  4. Betreiberpflichten bei Hochrisiko-KI

    Even though TalentMatch AI is a compliant vendor, BrightPath as the deployer has its own set of mandatory obligations under the EU AI Act. These obligations exist independently of the vendor's compliance status. Alice opens the Deployer Obligations Checklist linked in Rachel's email.

  5. Wissenstest: FRIA-Zuständigkeit

    Bevor Sie den nächsten Anbieter prüfen, klären wir ein Kernkonzept zu Betreiberpflichten.

  6. Anbieter 2: QuickReply Bot

    The next vendor is QuickReply Bot, a customer service chatbot. Alice clicks the QuickReply Bot link in Rachel's email. This is a Limited Risk AI system - its primary provider obligation is transparency documentation, which has been met. BrightPath's deployer obligation is simpler here: ensure customers know they are talking to AI, not a human.

  7. Anbieter 3: InsightIQ

    The final vendor is InsightIQ, an AI-powered employee performance analytics platform. Alice clicks the InsightIQ link in Rachel's email to open the product page. Something about this vendor's claims should raise a red flag.

  8. Das Problem der Fehleinstufung

    InsightIQ verarbeitet Mitarbeiter-Leistungsdaten, um Empfehlungen zu Beförderungen und Team-Zusammensetzung zu geben. Das ist beschäftigungsbezogene KI-Entscheidungsfindung — und nach Anhang III der EU-KI-Verordnung Hochrisiko. Der Anbieter hat das Produkt entweder bewusst falsch eingestuft, um Compliance-Kosten zu vermeiden, oder versteht die Verordnung tatsächlich nicht. So oder so darf sich BrightPath nicht auf die Selbsteinstufung des Anbieters verlassen. Als Betreiber hat das Unternehmen die eigenständige Pflicht, die Risikoeinstufung vor der Einführung zu verifizieren.

  9. Wissenstest: Falsch eingestufter Anbieter

    Ein kritisches Beschaffungs-Szenario, das Ihr Verständnis der Betreiberpflichten prüft, wenn die Aussagen des Anbieters nicht mit der Realität übereinstimmen.

  10. Send Procurement Recommendations

    Alice replies to Rachel with a per-vendor recommendation: which tools BrightPath can deploy, under what deployer conditions, and which one must be rejected outright.