Blog
KI-Recht

Anbieterfiktion nach der KI-VO – wenn aus Kunden bei typischen Anwendungsfällen Anbietern werden

Maxim Letski
Maxim Letski
03.02.2026

Key Takeaways

  • Unfreiwillig vom Anwender zum Anbieter: Unternehmen können unerwartet durch die Nutzung allgemeiner KI-Tools für einen Hochrisikozweck – etwa im Personalwesen – zum rechtlich verantwortlichen Anbietern eine KI-Systems im Sinne des AI Acts werden.
  • Umfassende Pflichten statt einfacher Anwendung: Die Einstufung als Anbieter erweitert die rechtlichen Pflichten enorm. Statt nur zur menschlichen Aufsicht sind Unternehmen dann unter anderem zur Einrichtung eines Risikomanagements, zur Sicherstellung der Datenqualität und zur Führung einer technischen Dokumentation verpflichtet.
  • Frühzeitiges Handeln ist entscheidend: Unternehmen können sich schützen, indem sie eine Bestandsaufnahme ihrer KI-Tools durchführen, deren Nutzung systematisch dokumentieren und rechtlich bewerten.
  • Compliance absichern: Interne Richtlinien, Transparenz über eingesetzte KI-Systeme, klare Nutzungsgrenzen („Blacklist“) und rechtliche Prüfungen vor neuen Einsatzarten helfen, spätere Haftungsrisiken zu reduzieren, uneabsichtigte Pflichten zu vermeiden und Vertrauen zu stärken.

Zur Unterstützung von Geschäftsprozessen setzen viele Unternehmen KI-Tools ein. Gerade im Personalwesen ist der Einsatz solcher Systeme längst Alltag. Beispiele sind KI-gestützte Software, die automatisch Lebensläufe analysiert oder Mitarbeiterdaten auswertet. Du sparst Zeit und Ressourcen, denn du bist ja nur Anwender dieser Software…Doch genau hier kann ein rechtliches Risiko lauern. Du kannst vom bloßen Anwender zum verantwortlichen Anbieter eines KI-Systems werden. Damit treffen dich plötzlich Pflichten, mit denen du nicht gerechnet hast. Dies kann für dein Unternehmen erhebliche rechtliche und finanzielle Risiken bedeuten.  

Warum das eingesetzte Personalverwaltungs-Tool ein Fall für die KI-VO sein kann

Viele Unternehmen greifen auf bestehende Tools wie ein allgemein einsetzbares KI-System zurück. Werden mit diesem Tool jedoch Bewerbungen bewertet oder Empfehlungen für Einstellungen und Beförderungen ausgesprochen, kann es plötzlich als sogenanntes Hochrisiko-KI-System gelten. In diesem Moment wird aus einem einfachen Anwender rechtlich gesehen ein Anbieter. Das bedeutet: Wer eine KI so einsetzt, dass sie einen Hochrisiko-Fall darstellt, gilt selbst als Anbieter. Das gilt selbst dann, wenn er die Software gar nicht entwickelt hat. Diese Rollenverschiebung wird als „Anbieterfiktion“ bezeichnet.

Wann gilt ein KI-System als hochrisikoreich?

Die KI-VO ordnet KI-Systeme nach ihrem Risikopotenzial ein. Für Hochrisiko-KI-Systeme gelten die strengsten Regeln. Dazu zählen Anwendungen, die erhebliche Auswirkungen auf die Gesundheit, die Sicherheit oder die Grundrechte von Menschen haben können. Die KI-VO nennt dazu konkrete Anwendungsfelder, etwa die Personalverwaltung, Kreditwürdigkeitsprüfungen oder der Zugang zu Bildungseinrichtungen. Im Personalwesen kann ein Tool beispielsweise dann als hochriskant eingestuft werden, wenn es automatisiert Empfehlungen für Einstellungen oder Beförderungen gibt. Warum? Gerade solche Entscheidungen wirken sich unmittelbar auf das Berufsleben der Betroffenen und somit auf ein Grundrecht aus.

Eine wichtige Unterscheidung: Anbieter vs Anwender

Die KI-VO unterscheidet grundsätzlich zwischen dem Anbieter (Hersteller) und dem Anwender (Betreiber) eines KI-Systems. Nach Art. 26 KI-VO hat der Betreiber von Hochrisiko-KI-Systemen bereits gewisse Pflichten, wie etwa zur menschlichen Aufsicht und zur Überprüfung der Eingabedaten. Kommt jedoch die Anbieterfiktion aus Art. 25 KI-VO ins Spiel, wird das Pflichtenspektrum wesentlich größer. Der Betreiber muss dann dieselben Pflichten erfüllen, die sonst nur für Anbieter gelten. Diese Pflichten bestimmen, wie ein Unternehmen seine KI einsetzt, dokumentiert und überwacht. Dazu gehören beispielsweise die Einrichtung eines Risikomanagementsystems, die Sicherstellung der Datenqualität, das Führen einer technischen Dokumentation sowie Transparenz- und Bereitstellungspflichten gegenüber den Nutzern. Die Anbieterfiktion kann somit schnell zu einem Compliance-Risiko werden, wenn sie unbemerkt greift.

Wann du zum Anbieter wirst

In den meisten Fällen greift die Anbieterfiktion, wenn ein ursprünglich nicht als hochriskant eingestuftes allgemeines KI-System nun für einen Hochrisiko-Zweck verwendet wird. Eine technische Veränderung des KI-Systems ist dafür nicht erforderlich. Die reine Zweckänderung reicht aus.

Ein konkretes Beispiel: Dein Unternehmen nutzt ein KI-System mit allgemeinem Verwendungszweck, wie beispielsweise Microsoft Copilot, um E-Mails zu formulieren oder Besprechungen zusammenzufassen. Dies ist zunächst unproblematisch. Nun kommt jedoch die Personalabteilung auf die Idee, Copilot zu nutzen, um die Leistungen von Mitarbeitern zu bewerten. Dazu wird die KI mit Verkaufszahlen, Kundenfeedback und internen Chats gefüttert, um eine Liste der am besten geeigneten Mitarbeiter für eine Beförderungsrunde zu erstellen. Die Nutzung der KI zur Bewertung von Mitarbeitern ist jedoch ein klar definierter Hochrisiko-Anwendungsfall. Obwohl du nur Anwender von Copilot sind, wirst du durch diese Nutzung rechtlich zum Anbieter. Dein Unternehmen muss nun plötzlich den vollen Pflichtenkatalog für Anbieter und Hochrisiko-KI erfüllen.

Darauf sind die wenigsten Unternehmen vorbereitet. Das Risiko, unbeabsichtigt in die Rolle des Anbieters zu rutschen, ist enorm.

Was kannst du jetzt tun?

Die gute Nachricht ist: Du kannst dich vor diesem Compliance-Risiko schützen. Um nicht blind in die Anbieterrolle zu schlüpfen, solltest du folgende konkrete Handlungsempfehlungen beachten:

Schaffe Transparenz: Führe eine interne Bestandsaufnahme durch. Welche KI-Systeme werden in deinem Unternehmen bereits eingesetzt? Von wem und wofür?

Erstelle eine interne KI-Richtlinie: Regle die Nutzung von KI-Systemen verbindlich für alle Mitarbeiter.  

Definiere klare Grenzen (Blacklisting): Deine Richtlinie sollte eine „Blacklist“ enthalten, die bestimmte verbotene oder besonders risikobehaftete Anwendungsfälle (wie die Bewertung von Bewerbern oder Mitarbeitern) explizit untersagt oder der vorherigen Genehmigung unterstellt.

Prüfe den Nutzungszweck vor dem Einsatz: Jede geplante Nutzung eines KI-Systems muss vorab rechtlich geprüft werden. Auch Anpassungen oder neue Einsatzarten einerKI sollten stets rechtlich überprüft und dokumentiert werden. Bei Unsicherheiten sollte frühzeitig juristische Expertise eingeholt werden, bevor die KI produktiv eingesetzt wird.

Fazit

Die KI-VO ist mehr als nur eine Verordnung für große Tech-Unternehmen. Sie betrifft jedes Unternehmen, das KI nutzt. Die Grenze zwischen einem einfachen Anwender und einem voll verantwortlichen Anbieter ist dünner, als man vielleicht denkt. Die Anbieterfiktion ist daher keine theoretische Detailfrage, sondern ist ein gutes Beispiel dafür, wie schnell und unerwartet umfassende Pflichten entstehen können. Unternehmen, die KI-Tools flexibel einsetzen, sollten sich bewusst sein, dass bereits ein einfacher Use Case im Personalwesen rechtlich plötzlich ganz neue Pflichten auslösen kann. Wer hier vorausschauend agiert, erspart sich spätere Compliance-Probleme und sorgt zugleich für Transparenz und Vertrauen im Umgang mit KI. Eine klare Strategie und verbindliche interne Regeln für den KI-Einsatz bieten einen Schutzschild für das Unternehmen.

Maxim Letski
Partner

Ex-General Counsel zweier SaaS-Unternehmen, ex-Google Cloud Legal Team. 2 Rechtsabteilungen aufgebaut, 200+ Enterprise-Deals verhandelt. Experte für komplexe Tech-Verträge (Entwicklung, Cloud, Implementierung, Resale, OEM) und grenzüberschreitende Rechtsoperationen.

Willkommen auf unserem Blog

Hier teilen wir unser Erfahrungen aus der Praxis aus einer Vielzahl von komplexen Vertragsverhandlungen über Umsetzungen von Legal-Ops-Strategien bis zur pragmatischen Umsetzung neuer Regulierungen.

Beratungsbedarf?

Wir unterstützen Softwareanbieter pragmatisch und mit tiefer Branchenkenntnis bei komplexen Vertragsverhandlungen und der Umsetzung von Digitalregulierung.

Kostenloses Erstgespräch

Leistungspakete für eure Rechtsprobleme

Vertragsverhandlungen beim Vertrieb von Software
Vertragsverhandlungen beim Vertrieb von Software
Wir führen die Vertragsverhandlungen für euren SaaS-Deal von der ersten Redline bis zum Abschluss.
Marktübliche Verträge & AGB für Softwareanbieter
Marktübliche Verträge & AGB für Softwareanbieter
Skalierbare, rechtssichere Vertragsgrundlagen für Software- und SaaS-Modelle – für Vertrieb und Einkauf
Verträge und Prozesse für Enterprise-Deals
Verträge und Prozesse für Enterprise-Deals
Wir schaffen eine Grundlage für den Vertrieb von Software an Enterprise-Kunden.
Legal Counsel as a Service
Legal Counsel as a Service
Interims General Counsel, die sich direkt in deine Prozesse integrieren
Legal Foundation - deine erste Rechtsabteilung
Legal Foundation - deine erste Rechtsabteilung
Aufbau einer vollständigen Legal-Organisation von Grund auf und gleichzeitige Begleitung als Interims General Counsel