- Published on
Was ist der Unterschied zwischen Provider und Deployer?
- Authors

- Name
- Tails Azimuth
Der Provider (Anbieter) entwickelt ein KI-System und bringt es unter eigenem Namen auf den Markt; der Deployer (Betreiber) setzt ein solches System beruflich ein. Die meisten Unternehmen sind Deployer — sie kaufen KI ein und nutzen sie, statt sie selbst zu bauen.
Die Begründung: Artikel 3 definiert die Rollen
Der EU AI Act (Verordnung (EU) 2024/1689) knüpft Pflichten nicht an Branchen, sondern an Rollen. Artikel 3 unterscheidet vier davon; die zwei wichtigsten für den Alltag sind:
- Provider (Art. 3 Nr. 3): Wer ein KI-System oder GPAI-Modell entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt — entgeltlich oder unentgeltlich.
- Deployer (Art. 3 Nr. 4): Wer ein KI-System in eigener Verantwortung beruflich verwendet. Ausgenommen ist die rein persönliche, nicht-berufliche Nutzung.
Der Unterschied ist folgenreich, weil die Pflichten ungleich verteilt sind. Bei Hochrisiko-Systemen trägt der Provider die Hauptlast: Konformitätsbewertung, technische Dokumentation nach Annex IV, Risikomanagement, CE-Kennzeichnung und Registrierung (Art. 16). Der Deployer hat leichtere, aber reale Pflichten: bestimmungsgemäße Nutzung, menschliche Aufsicht, Monitoring, Aufbewahrung von Logs und in vielen Fällen eine Grundrechte-Folgenabschätzung (Art. 26, Art. 27).
Kurz: Der Provider verantwortet, dass das System regelkonform gebaut ist. Der Deployer verantwortet, dass es regelkonform eingesetzt wird.
Wenn-dann: typische Sonderfälle
- Sie kaufen ein KI-System ein und nutzen es intern: Sie sind Deployer. Interner Einsatz ohne Weiterverkauf befreit nicht von den Deployer-Pflichten.
- Sie setzen Ihren Namen auf ein fremdes Hochrisiko-System: Sie werden zum Provider (Art. 25 Abs. 1).
- Sie verändern ein Hochrisiko-System wesentlich oder ändern seinen Zweck so, dass es hochriskant wird: Sie werden zum Provider und übernehmen dessen Pflichten (Art. 25 Abs. 1).
- Sie finetunen ein GPAI-Modell: Je nach Umfang kann eine eigene Provider-Rolle für das nachgelagerte Modell entstehen — hier lohnt die juristische Einzelfallprüfung.
- Doppelrolle möglich: Ein Unternehmen kann für ein System Provider und für ein anderes Deployer sein. Die Einordnung erfolgt pro System, nicht pro Firma.
Weiterführend
Wer betroffen ist, klärt unsere FAQ Für wen gilt der EU AI Act?; die vollständige Einordnung der Rollen und Pflichten liefert der Leitfaden auf eu-ai-verordnung.de. Konkrete Vorlagen für Deployer- und Provider-Pflichten finden sich im Compliance-Toolkit auf ki-hochrisiko.de.
AEGIRA AI Navigator hilft, die eigene Rolle je System nachweisbar und audit-ready abzuleiten: aegira.ai.