EU AI Act IT-Dienstleister 11. April 2026 · 14 Min. Lesezeit

EU AI Act für IT-Dienstleister 2026: Compliance-Leitfaden für Softwareunternehmen

Anbieter oder Betreiber? Konkrete Pflichten für IT-Dienstleister unter dem EU AI Act 2026: GPAI, Hochrisiko-KI, Dokumentation und Deadlines für Softwareunternehmen.

Redaktion RechtAI · Fachlich geprüft

Juristen & Compliance-Experten, spezialisiert auf DSGVO und EU AI Act

Zuletzt geprüft am: 2026-04-11 | Quellen: eur-lex.europa.eu, bitkom.org, bsi.bund.de

TL;DR – Das Wichtigste für IT-Dienstleister auf einen Blick

Bist du Anbieter oder Betreiber? Das entscheidet alles. Wer eigene Software mit KI-APIs entwickelt und an Kunden ausliefert, ist Anbieter nach Art. 3 Nr. 3 EU AI Act — mit den entsprechend umfangreicheren Pflichten.
GPAI-Nutzung (GPT-4, Azure AI) macht dich nicht automatisch zum GPAI-Anbieter. OpenAI und Microsoft tragen die GPAI-Pflichten nach Art. 52–53 EU AI Act. Du bist aber für das KI-System verantwortlich, das du daraus baust.
Ab dem 2. August 2026 gelten Hochrisiko- und Transparenzpflichten vollständig (Art. 113 EU AI Act). Wer jetzt noch keine Compliance-Struktur hat, hat weniger als vier Monate.
Bußgelder bei Verstößen: bis zu 30 Mio. € oder 6 % des weltweiten Jahresumsatzes für KMU, alternativ bis 15 Mio. € oder 3 % bei sonstigen Pflichtverstößen (Art. 99 EU AI Act).

Was bedeutet der EU AI Act konkret für dein IT-Unternehmen?

Du entwickelst kundenspezifische Software, integrierst OpenAI- oder Azure-AI-APIs in Kundenprojekte und hast vielleicht intern GitHub Copilot im Einsatz. Du fragst dich: Bin ich überhaupt betroffen? Und wenn ja — was muss ich tun?

Die Antwort ist eindeutig: Ja, du bist betroffen — und wahrscheinlich stärker als du denkst. Der EU AI Act (Verordnung (EU) 2024/1689) gilt nicht nur für die großen KI-Konzerne wie Microsoft oder Google. Er gilt für jedes Unternehmen, das KI-Systeme in der EU entwickelt, in Verkehr bringt oder betreibt — und das trifft IT-Dienstleister mit 40 Mitarbeitern genauso wie DAX-Konzerne.

Die entscheidende Frage, die alles andere bestimmt, ist: Welche Rolle nimmst du ein? Als IT-Dienstleister bist du in der Praxis oft in zwei verschiedenen Rollen gleichzeitig — und jede Rolle zieht andere Pflichten nach sich.

Einen allgemeinen Überblick über den EU AI Act und seine Risikokategorien findest du in unserem Artikel EU AI Act 2026: Der komplette Überblick für Unternehmen.

Bist du Anbieter oder Betreiber? — Die wichtigste Frage zuerst

Der EU AI Act unterscheidet zwei zentrale Rollen in der KI-Wertschöpfungskette. Diese Unterscheidung ist die wichtigste Weichenstellung für deinen gesamten Compliance-Aufwand.

Definition: Anbieter (Provider)

Nach Art. 3 Nr. 3 EU AI Act ist ein Anbieter jede natürliche oder juristische Person, die ein KI-System oder ein Allzweck-KI-Modell entwickelt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder in Betrieb nimmt — entgeltlich oder unentgeltlich.

Für IT-Dienstleister bedeutet das: Wer Software mit integrierter KI-Funktionalität entwickelt und diese an Kunden ausliefert oder als SaaS anbietet, ist Anbieter — unabhängig davon, ob die KI intern selbst trainiert oder aus einer API (OpenAI, Azure) bezogen wurde.

Pflichten als Anbieter umfassen u.a. (Art. 16 EU AI Act):

Erstellung einer technischen Dokumentation nach Art. 11
Einrichtung eines Qualitätsmanagementsystems nach Art. 17
Konformitätsbewertung und ggf. CE-Kennzeichnung bei Hochrisiko-KI
Registrierung in der EU-Datenbank für Hochrisiko-KI-Systeme
Pflicht zur Post-Market-Überwachung (laufendes Monitoring nach Auslieferung)

Definition: Betreiber (Deployer)

Als Betreiber gilt nach Art. 3 Nr. 4 EU AI Act jede natürliche oder juristische Person, die ein KI-System unter eigener Verantwortung für eigene Zwecke einsetzt — also nicht als Anbieter, sondern als Nutzer.

Für IT-Dienstleister bedeutet das: Wenn du intern GitHub Copilot nutzt, ChatGPT für euer Marketing oder ein KI-Tool für die Buchhaltung — dann bist du Betreiber dieser Systeme. Die Pflichten als Betreiber sind deutlich schlanker, aber real vorhanden (Art. 26 EU AI Act):

Gebrauchsanweisungen des Anbieters befolgen
Menschliche Aufsicht sicherstellen
Protokolldaten aufbewahren (soweit zugreifbar)
Mitarbeiter schulen

Der kritische Fall: Custom Software mit KI-API für Kunden

Hier liegt die häufigste Grauzone für IT-Dienstleister. Szenario: Du entwickelst eine Kundenanwendung (z.B. ein Dokumentenmanagement-Tool mit automatischer Texterkennung), integrierst die OpenAI API für die KI-Funktion und lieferst das fertige System an deinen Kunden aus.

Rechtliche Einordnung: Du bist Anbieter des kombinierten KI-Systems — auch wenn du die zugrundeliegende KI nicht selbst trainiert hast. Entscheidend ist, dass du das System unter deinem Namen in Verkehr bringst (Art. 3 Nr. 3 EU AI Act).

Wichtig: Nach Art. 25 EU AI Act können Anbieter von GPAI-Modellen (also OpenAI, Microsoft) und Anbieter von KI-Systemen (also du) Pflichten vertraglich aufteilen. Aber: Diese Aufteilung entbindet dich nicht von der Grundverantwortung für das Gesamtsystem.

Praxisbeispiel für ein 40-Mitarbeiter-IT-Unternehmen

Tätigkeit	Deine Rolle	Wichtigste Pflicht
Chatbot für Kundenservice entwickeln und an B2B-Kunden ausliefern	Anbieter	Technische Dokumentation, Transparenzpflicht
KI-gestütztes HR-Screening-Tool für Kunden entwickeln	Anbieter (Hochrisiko)	Konformitätsbewertung, CE-Kennzeichnung, EU-Registrierung
Intern GitHub Copilot für Entwickler nutzen	Betreiber	Schulung, menschliche Aufsicht
Intern ChatGPT für Marketing nutzen	Betreiber	Schulung, Protokollführung
Für Kunden Azure AI in bestehende Kundensoftware integrieren (kein eigener Name)	Betreiber (ggf. Anbieter)	Prüfe Art. 28 EU AI Act

General Purpose AI (GPAI) — Was bedeutet das für Firmen, die GPT oder Azure AI nutzen?

General Purpose AI (GPAI) ist ein zentraler Begriff des EU AI Acts — und für IT-Dienstleister besonders relevant, weil die meisten modernen KI-Projekte auf GPAI-Modellen wie GPT-4 (OpenAI) oder Azure OpenAI Service (Microsoft) basieren.

Was ist GPAI?

Ein GPAI-Modell ist nach Art. 3 Nr. 63 EU AI Act ein KI-Modell, das mit großen Datenmengen trainiert wurde, eine große allgemeine Verwendbarkeit aufweist und in einer Vielzahl von nachgelagerten Aufgaben eingesetzt werden kann. GPT-4, Gemini, Mistral, LLaMA — all das sind GPAI-Modelle.

Seit dem 2. August 2025 gelten die GPAI-Pflichten (Art. 113 Abs. 2 EU AI Act). Die GPAI-Anbieter — also OpenAI, Microsoft, Google, Meta — müssen seither technische Dokumentation bereitstellen, Urheberrechtsrichtlinien offenlegen und Zusammenfassungen der Trainingsdaten veröffentlichen (Art. 52 EU AI Act).

Was bedeutet das für dich als API-Nutzer?

Als IT-Unternehmen, das GPT-4 oder Azure AI über eine API integriert, bist du kein GPAI-Anbieter. Du musst keine GPAI-spezifischen Pflichten nach Art. 52–53 erfüllen — das ist Aufgabe von OpenAI und Microsoft.

Aber: Du bist Anbieter des KI-Systems, das du damit baust. Die Verantwortung für das Gesamtsystem — also die konkrete Anwendung, die du für dein Kundenunternehmen entwickelst — liegt bei dir. Das schließt ein:

Prüfung der Risikoklassifizierung deines Systems (nicht des GPAI-Modells, sondern deiner Anwendung)
Vertragsgestaltung mit dem GPAI-Anbieter: Hole dir von OpenAI/Microsoft die nach Art. 52 EU AI Act erforderliche technische Dokumentation, soweit sie für dein System relevant ist
Nutzungsbedingungen prüfen: Darf das GPAI-Modell für deinen konkreten Anwendungsfall (z.B. HR, Kreditentscheidungen) eingesetzt werden?

Praktischer Hinweis: Halte in deiner technischen Dokumentation fest, welches GPAI-Modell du nutzt, in welcher Version, und welche Einschränkungen der Anbieter für die Nutzung vorgibt. Das schützt dich bei behördlichen Prüfungen.

Risikoklassifizierung für IT-typische Anwendungsfälle

Nicht jede KI-Anwendung löst denselben Compliance-Aufwand aus. Die richtige Risikoklassifizierung ist der erste Schritt — und für IT-Dienstleister gibt es einige typische Fallkonstellationen.

Chatbots und KI-Assistenten

Ein Chatbot, der klar als KI erkennbar ist und allgemeine Anfragen beantwortet, fällt unter begrenztes Risiko mit Transparenzpflichten. Wichtigste Pflicht: Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren (Art. 50 Abs. 1 EU AI Act).

Achtung: Wird ein Chatbot eingesetzt, um Entscheidungen über Menschen zu unterstützen (z.B. Kundenscreening für Kreditvergabe, HR-Vorselektion), verschiebt sich die Einordnung Richtung Hochrisiko.

Empfehlungssysteme (Recommender)

Einfache Produktempfehlungen (z.B. „das könnte dir auch gefallen”) = minimales Risiko.

Empfehlungssysteme, die in kritischen Entscheidungen eingesetzt werden (z.B. Empfehlungen für Personalentscheidungen, Kreditlimits, Versicherungsprämien) = Hochrisiko nach Anhang III EU AI Act.

Code-Assistenten (GitHub Copilot, intern genutzt)

Intern genutzte Code-Assistenten wie GitHub Copilot fallen für dich als Betreiber unter minimales Risiko — sie beeinflussen keine Entscheidungen über Menschen, sondern unterstützen Entwickler. Keine besonderen Compliance-Pflichten nach EU AI Act, aber: Schulung der Mitarbeiter über die Grenzen des Tools ist empfehlenswert.

Hochrisiko-Anwendungsfälle, die IT-Dienstleister häufig entwickeln

Folgende Anwendungen sind nach Art. 6 i.V.m. Anhang III EU AI Act als Hochrisiko einzustufen — und kommen in IT-Projekten für Unternehmenskunden regelmäßig vor:

KI-gestütztes Bewerber-Screening oder Jobmatching-Tools
KI-Bonitätsprüfung oder Kreditscoring für Finanzdienstleister
Biometrische Zugangskontrollen (Gesichtserkennung für Gebäude- oder IT-Systeme)
Predictive Maintenance in sicherheitskritischer Infrastruktur (Energie, Transport)
KI-Systeme im Bildungsbereich (automatisierte Bewertung von Lernenden)

Wenn du eines dieser Systeme entwickelst und auslieferst, greift der volle Katalog der Anbieter-Pflichten.

Konkrete Pflichten für IT-Dienstleister: Was du bis August 2026 umsetzen musst

Pflichten als Anbieter (bei Entwicklung und Auslieferung von KI-Software)

1. Technische Dokumentation (Art. 11 EU AI Act) Vor dem Inverkehrbringen eines Hochrisiko-KI-Systems musst du eine vollständige technische Dokumentation erstellen und aktuell halten. Diese muss u.a. enthalten:

Systembeschreibung und allgemeiner Zweck
Beschreibung der eingesetzten GPAI-Modelle und APIs (z.B. OpenAI GPT-4, Version, Endpunkt)
Trainingsdaten (soweit relevant — bei API-Nutzung: Verweis auf GPAI-Dokumentation)
Evaluation und Testprotokolle
Beschreibung der menschlichen Aufsichtsmaßnahmen
Bekannte Risiken und Risikominimierungsmaßnahmen
Informationen zu Leistungskennzahlen und Genauigkeitsgrenzen

2. Konformitätsbewertung und EU-Registrierung (Art. 43 ff. EU AI Act) Für Hochrisiko-KI-Systeme ist eine Konformitätsbewertung erforderlich. In den meisten Fällen kann diese als interne Bewertung (Selbstzertifizierung) durchgeführt werden — du prüfst selbst, ob das System die Anforderungen erfüllt, und erklärst dies in einer Konformitätserklärung. Danach: Registrierung in der EU-Datenbank für Hochrisiko-KI (Art. 71 EU AI Act).

3. Qualitätsmanagementsystem (Art. 17 EU AI Act) Du musst ein QMS einrichten, das die Entwicklung, Prüfung und laufende Überwachung deiner KI-Systeme regelt. Für kleine IT-Unternehmen bedeutet das kein aufwändiges ISO-9001-Projekt, sondern mindestens: Dokumentierte Entwicklungs- und Testprozesse, klare Zuständigkeiten, ein Incident-Management-Prozess.

4. Transparenz gegenüber Betreibern (Art. 13 EU AI Act) Als Anbieter musst du deinen Kunden (die als Betreiber fungieren) eine Gebrauchsanweisung mitliefern, die klar erklärt:

Für welche Zwecke das System vorgesehen ist (und für welche nicht)
Wie die menschliche Aufsicht gewährleistet werden soll
Was das System kann — und was es nicht kann (Leistungsgrenzen)
Welche Daten verarbeitet werden und wie lange Protokolldaten aufzubewahren sind

5. Post-Market-Überwachung (Art. 72 EU AI Act) Auch nach der Auslieferung bleibt du als Anbieter verantwortlich. Du musst ein System einrichten, das schwerwiegende Vorfälle erkennt und an die Marktüberwachungsbehörden meldet.

Pflichten als Betreiber (bei internem KI-Einsatz)

Für den internen Einsatz von KI-Tools (GitHub Copilot, ChatGPT, interne Dashboards mit KI-Features) hast du als Betreiber nach Art. 26 EU AI Act folgende Kernpflichten:

Gebrauchsanweisung befolgen: Nutze KI-Systeme nur für die vorgesehenen Zwecke
Menschliche Aufsicht: Stelle sicher, dass Menschen KI-Outputs überprüfen — vor allem bei Entscheidungen mit Auswirkung auf Personen
Protokollführung: Speichere automatisch generierte Logs (sofern technisch möglich)
Schulung: Mitarbeiter, die Hochrisiko-KI bedienen, müssen ausreichend geschult sein
Transparenz gegenüber Betroffenen: Wenn Personen durch KI-Systeme bewertet oder beeinflusst werden, müssen sie darüber informiert werden (Art. 50 EU AI Act)

Praktischer Quick-Check für dein Unternehmen

Beantworte diese drei Fragen — sie bestimmen, wie viel Compliance-Arbeit auf dich zukommt:

Lieferst du Software mit KI-Funktionen an Kunden aus? → Wenn ja: Du bist Anbieter, Pflichten nach Art. 16–17 EU AI Act greifen.
Fallen deine KI-Anwendungen in eine Hochrisiko-Kategorie nach Anhang III? → Wenn ja: Konformitätsbewertung, technische Dokumentation und EU-Registrierung sind Pflicht.
Nutzt du intern KI-Tools für Entscheidungen über Personen (HR, Leistungsbeurteilung)? → Wenn ja: Betreiberpflichten nach Art. 26, ggf. Betriebsratsmitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG.

Den vollständigen Compliance-Fahrplan für Mittelstandsunternehmen findest du in unserem EU AI Act Compliance Leitfaden.

Zeitplan: Was ist bis August 2026 Pflicht?

Der Zeitplan des EU AI Acts (Art. 113 EU AI Act) ist klar — und für IT-Dienstleister läuft die Zeit:

Datum	Was gilt — relevant für IT-Dienstleister
1. August 2024	EU AI Act in Kraft getreten
2. Februar 2025	Verbotene KI-Praktiken (Art. 5) durchsetzbar — z.B. keine Emotionserkennung am Arbeitsplatz
2. August 2025	GPAI-Pflichten für Anbieter von Foundation-Modellen (OpenAI, Microsoft) gelten — fordere jetzt die Dokumentation an
2. August 2026	Hochrisiko-Pflichten und Transparenzpflichten vollständig anwendbar — dein Hauptdeadline
2. August 2027	Hochrisiko-KI in regulierten Produkten nach Anhang I (Medizinprodukte, Maschinen)

Was das für dich bedeutet:

Die GPAI-Dokumentation von OpenAI und Microsoft ist seit August 2025 verfügbar — fordere sie jetzt schriftlich an und lege sie in deiner technischen Dokumentation ab.
Bis August 2026 muss deine Compliance-Struktur vollständig stehen: KI-Inventar, technische Dokumentation, Konformitätsbewertungen, EU-Registrierung bei Hochrisiko-Systemen.
Für ein 40-Mitarbeiter-IT-Unternehmen mit mehreren laufenden KI-Kundenprojekten schätzt der BITKOM den initialen Compliance-Aufwand auf 3–6 Personenmonate — fange jetzt an, nicht im Juli 2026.

Empfehlung für sofortige Maßnahmen (Q2 2026):

Liste alle KI-Projekte auf, die du aktuell für Kunden entwickelst oder betreibst
Prüfe für jedes Projekt: Anbieter oder Betreiber? Hochrisiko oder nicht?
Starte für Hochrisiko-Projekte die technische Dokumentation und hole dir die GPAI-Dokumentation vom Modellhersteller
Schreibe eine einfache KI-Policy für den internen Einsatz (welche Tools sind erlaubt, wofür, mit welcher menschlichen Aufsicht)

Tool-Empfehlung: DataGuard für DACH-IT-Unternehmen

Als IT-Unternehmen in der DACH-Region brauchst du eine Compliance-Lösung, die DSGVO, NIS2 und EU AI Act auf Deutsch aus einer Hand abdeckt — ohne den Overhead einer US-amerikanischen Enterprise-Plattform.

DataGuard ist dafür die erste Empfehlung. Die Münchener Plattform bietet:

KI-Inventar und Risikoklassifizierung nach Art. 6 und Anhang III EU AI Act
Vorlagen für technische Dokumentation — essentiell für IT-Anbieter
DSGVO + NIS2 + EU AI Act in einer Plattform, auf Deutsch, mit deutschem Rechtsverständnis
Externer Datenschutzbeauftragter als Service (relevant, wenn du nach Art. 37 DSGVO einen DSB benennen musst)
Preise ab ca. 350 €/Monat für KMU bis 50 Mitarbeiter — ohne versteckte Implementierungskosten

Für Websites mit KI-gestütztem Tracking oder Analytics ergänzt Usercentrics als Consent-Management-Plattform (ab 7 €/Monat) die DataGuard-Lösung sinnvoll.

Werbung: DataGuard kostenlose Demo — DataGuard jetzt testen (Affiliate-Link, Provision bei Vertragsabschluss — für dich kostenlos)

Einen ausführlichen Vergleich aller relevanten Tools findest du in unserem Artikel KI-Compliance-Tools Vergleich 2026: Vanta, OneTrust, DataGuard & Usercentrics.

FAQ: EU AI Act für IT-Dienstleister

Ich entwickle Custom Software mit OpenAI API für einen Kunden. Bin ich Anbieter?

Ja. Sobald du ein KI-System unter deinem Namen oder dem deines Unternehmens an einen Kunden auslieferst oder in Betrieb nimmst, bist du Anbieter nach Art. 3 Nr. 3 EU AI Act. Das gilt unabhängig davon, ob das zugrundeliegende Modell von OpenAI stammt. Du bist verantwortlich für das Gesamtsystem.

Muss ich eine Konformitätserklärung abgeben, wenn mein Kundensystem kein Hochrisiko-KI ist?

Für Nicht-Hochrisiko-Systeme ist keine formale Konformitätsbewertung nach EU AI Act erforderlich. Du musst aber Transparenzpflichten nach Art. 50 EU AI Act erfüllen (z.B. Kennzeichnung, dass Nutzer mit einem KI-System interagieren) und die allgemeinen Anforderungen beachten. Empfehlenswert ist trotzdem eine interne Dokumentation, die du bei Kundenfragen und Audits vorweisen kannst.

Mein Kunde nutzt das KI-System, das ich gebaut habe. Wer haftet?

Als Anbieter haftest du für das KI-System, das du geliefert hast — insbesondere dafür, dass es den Anforderungen des EU AI Acts entspricht und du die technische Dokumentation und Gebrauchsanweisung bereitgestellt hast. Dein Kunde (als Betreiber) haftet dafür, dass er das System gemäß der Gebrauchsanweisung verwendet, menschliche Aufsicht sicherstellt und seine Mitarbeiter schult. Diese Aufteilung sollte vertraglich klar geregelt werden — idealerweise in den Softwareentwicklungsverträgen oder AGBs.

Ich nutze intern nur GitHub Copilot — bin ich trotzdem betroffen?

Als Betreiber eines minimalen- oder begrenzten-Risiko-Systems (was Code-Assistenten für interne Entwickler in der Regel sind) hast du nach EU AI Act keine aufwändigen Pflichten. Empfehlenswert ist eine interne Policy, die regelt, wie das Tool eingesetzt werden darf (keine automatische Übernahme von Code ohne Review, kein Einsatz für sicherheitskritische Bereiche ohne Test). Das ist keine gesetzliche Pflicht, aber gute Praxis und hilft bei Kundenaudits.

Gilt der EU AI Act auch für Schweizer IT-Unternehmen, die in Deutschland tätig sind?

Ja. Das Marktortprinzip gilt: Wenn du KI-Systeme in der EU einsetzt, anbietest oder an EU-Kunden auslieferst, bist du vom EU AI Act erfasst — unabhängig vom Unternehmenssitz. Das gilt analog zur DSGVO, die Schweizer Unternehmen mit EU-Geschäft bereits seit 2018 betrifft.

Was ist, wenn mein Kundenprojekt erst 2027 fertig wird — muss ich jetzt schon EU AI Act-konform entwickeln?

Ja. Wenn du ein KI-System entwickelst, das du nach dem 2. August 2026 in Verkehr bringst oder in Betrieb nimmst, muss es beim Inverkehrbringen den Anforderungen entsprechen. Das heißt: Deine Entwicklungsprozesse (Dokumentation, Tests, Risikoanalysen) müssen jetzt schon auf Compliance ausgerichtet sein — nicht erst beim Launch.

Rechtlicher Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für konkrete Compliance-Fragen zu deinem Unternehmen empfehlen wir die Beratung durch einen auf IT-Recht oder KI-Recht spezialisierten Rechtsanwalt.