Anbieter oder Betreiber? AI-Act-Rollen für Medizin-KI
TL;DR
Der EU AI Act teilt die Pflichten auf Rollen auf, und fast das gesamte Gewicht liegt beim Anbieter:
- Wenn Sie die Medizin-KI bauen oder herstellen, sind Sie der Anbieter. Für Medizinprodukte stellt die Leitlinie MDCG 2025-6 der Kommission klar: Der MDR/IVDR-Hersteller ist der AI-Act-Anbieter. Sie tragen die vollen Hochrisiko-Pflichten (Artikel 16).
- Wenn Sie fremde Medizin-KI nur nutzen, sind Sie der Betreiber (zum Beispiel eine Klinik). Ihre Pflichten sind leichter (Artikel 26). Der AI-Act-"Betreiber" ist nicht der MDR-"Anwender".
- Wenn Sie außerhalb der EU niedergelassen sind, müssen Sie zudem einen EU-Bevollmächtigten benennen, bevor Sie das System in Verkehr bringen (Artikel 22).
- Sie können ungewollt vom Betreiber zum Anbieter werden, wenn Sie umetikettieren, wesentlich verändern oder umwidmen (Artikel 25).
Wenn Sie ein Medtech-Startup sind, das Software as a Medical Device ausliefert, sind Sie fast sicher der Anbieter. Klären Sie das zuerst, denn es entscheidet, wer die Pflichten trägt.
Jede Rechtsaussage unten ist belegt. Siehe Quellen.
Warum die Rolle über alles entscheidet
Der AI Act verteilt seine Pflichten nicht gleichmäßig. Der Anbieter eines Hochrisiko-KI-Systems trägt Risikomanagement, Daten-Governance, technische Dokumentation, Protokollierung, Konformitätsbewertung, CE-Kennzeichnung und Registrierung. Der Betreiber muss das System vor allem korrekt nutzen und beobachten. Die erste Frage in jedem Medizin-KI-Compliance-Gespräch ist also nicht "was tun wir", sondern "welche Rolle haben wir", weil die Antwort den Großteil der Arbeit neu zuweist.
Für ein Startup ist das meist einfach: Sie stellen das Produkt her, also sind Sie der Anbieter. Subtil wird es, wenn Kliniken, Händler oder Plattformpartner ins Spiel kommen und wenn Sie auf einem fremden Modell aufbauen.
Ist Ihr KI-System hochriskant?
Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.
Jetzt prüfenDie volle Besetzung: wer ist wer in der KI-Wertschöpfungskette
Der AI Act benennt mehrere Rollen, jede mit eigenem Artikel:
- Anbieter (Artikel 16): entwickelt das Hochrisiko-KI-System (oder lässt es entwickeln) und bringt es unter eigenem Namen in Verkehr. Das sind Sie, der Medtech-Hersteller, und der MDR/IVDR-Hersteller.
- Betreiber (Artikel 26): nutzt das System in eigener Verantwortung beruflich. Das Krankenhaus oder die Klinik.
- Importeur (Artikel 23) und Händler (Artikel 24): Parteien, die das System eines Nicht-EU-Anbieters in den EU-Markt bringen oder darin weitergeben, mit Prüfpflichten.
- Bevollmächtigter (Artikel 22): die in der EU niedergelassene Partei, die ein Nicht-EU-Anbieter benennen muss.
Die meisten dieser Rollen spiegeln, was Sie aus der MDR kennen (Hersteller, Importeur, Händler, EU-Bevollmächtigter). Der AI Act nutzt diese Struktur weitgehend wieder, was mit ein Grund ist, warum die beiden Regime zusammengehen.
Sie sind der Anbieter, wenn Sie das System herstellen
Ein Anbieter ist die Partei, die ein Hochrisiko-KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt. Für Medizin-KI zieht MDCG 2025-6 die Linie klar: Der MDR/IVDR-Hersteller ist der AI-Act-Anbieter. Steht Ihr Name auf dem CE-gekennzeichneten Produkt, sind Sie beides.
Als Anbieter macht Sie Artikel 16 verantwortlich für:
- die Erfüllung der Hochrisiko-Anforderungen (Artikel 9 bis 15);
- ein Qualitätsmanagementsystem (Artikel 17), das für Medizin-KI Ihr um KI erweitertes ISO-13485-QMS ist;
- technische Dokumentation und automatische Protokollierung (Artikel 18 und 19);
- Konformitätsbewertung, EU-Konformitätserklärung, CE-Kennzeichnung und Registrierung (Artikel 43, 47, 48 und 49), die für ein Medizinprodukt nach Artikel 43(3) über Ihren bestehenden MDR/IVDR-Weg laufen;
- Korrekturmaßnahmen und Meldung von Vorkommnissen (Artikel 20) sowie Zusammenarbeit mit Behörden.
Der praktische Punkt: Für ein Medizinprodukt ist das kein zweiter Stapel Arbeit. Es wird in die MDR/IVDR-Pflichten eingefaltet, die Sie ohnehin tragen. Siehe unseren Leitfaden zur Hochrisiko-Medizin-KI, wie die beiden Rahmen zusammengehen.
Sie sind der Betreiber, wenn Sie es nur nutzen
Ein Betreiber ist, wer ein Hochrisiko-KI-System in eigener Verantwortung beruflich nutzt, zum Beispiel ein Krankenhaus, das ein von jemand anderem gebautes Diagnosemodell betreibt. Die Betreiberpflichten nach Artikel 26 sind real, aber leichter:
- das System gemäß Gebrauchsanweisung nutzen;
- kompetente menschliche Aufsicht mit Eingriffsbefugnis zuweisen;
- soweit der Betreiber die Eingabedaten kontrolliert, diese relevant und repräsentativ halten;
- den Betrieb überwachen, Anbieter und Marktüberwachungsbehörde über ernste Risiken oder Vorkommnisse informieren und die Nutzung bei Bedarf aussetzen;
- die automatisch erzeugten Protokolle aufbewahren (mindestens sechs Monate, soweit in ihrer Kontrolle);
- betroffene Beschäftigte und, soweit einschlägig, betroffene Patienten informieren, dass das System im Einsatz ist.
Eine Formulierungsfalle: Der AI-Act-"Betreiber" ist nicht der MDR-"Anwender". MDCG 2025-6 macht diese Unterscheidung ausdrücklich, gehen Sie also nicht davon aus, dass beide Regime die Rollen gleich benennen.
Nicht-EU? Sie brauchen zudem einen EU-Bevollmächtigten
Wenn Ihr Unternehmen außerhalb der EU niedergelassen ist (ein US-, UK-, Schweizer oder sonstiges Drittland-Medtech), verlangt Artikel 22, dass Sie bevor Sie ein Hochrisiko-KI-System auf dem EU-Markt bereitstellen, per schriftlichem Mandat einen in der Union niedergelassenen Bevollmächtigten benennen. Dieser Bevollmächtigte prüft, dass Ihre Konformitätserklärung und technische Dokumentation vorliegen, hält Unterlagen zehn Jahre für Behörden bereit, übernimmt die Registrierung und dient als Kontaktstelle für die Marktüberwachung. Das ist eine eigene Benennung neben Ihrem MDR-EU-Bevollmächtigten, auch wenn derselbe Partner manchmal beides abdecken kann. Nicht-EU-Teams, die Medizin-KI nach Europa verkaufen, sollten das früh einplanen.
Die Falle: wie ein Betreiber zum Anbieter wird (Artikel 25)
Hier werden Medizin-KI-Teams erwischt. Nach Artikel 25(1) übernimmt ein Betreiber, Händler, Importeur oder sonstiger Dritter die vollen Anbieterpflichten, wenn er:
- (a) seinen eigenen Namen oder seine Marke auf einem bereits in Verkehr befindlichen Hochrisiko-System anbringt (White-Labelling oder Umetikettierung);
- (b) eine wesentliche Veränderung an einem Hochrisiko-System vornimmt, das hochriskant bleibt; oder
- (c) die Zweckbestimmung eines Systems (auch eines KI-Systems mit allgemeinem Verwendungszweck) so ändert, dass es hochriskant wird.
Wenn das geschieht, übergibt die zuvor als Anbieter geltende Partei die nötigen Informationen und soll kooperieren, und die Verantwortlichkeiten können per schriftlicher Vereinbarung zwischen den Parteien zugeordnet werden. Aber die Grundregel ist klar: Wer verändert, erbt Artikel 16.
Für Medtech sind die realen Szenarien: ein Krankenhaus, das ein Anbietermodell auf eigenen Patientendaten nachtrainiert oder wesentlich ändert; ein Händler, der ein Produkt unter eigenem Namen umetikettiert; oder eine Plattform, die ein allgemeines Werkzeug zu einem klinischen umwidmet. Jedes davon kann einen "Betreiber" stillschweigend in einen "Anbieter" verwandeln und, wenn die Änderung nach MDR wesentlich genug ist, zusätzlich eine neue Konformitätsbewertung auslösen. Behandeln Sie Modelländerungen als regulatorisches Ereignis, nicht nur als technisches.
Durchgerechnete Beispiele
Häufige Fehler
- Annehmen, "Anwender" und "Betreiber" seien dasselbe. Sie sind in MDR und AI Act unterschiedlich definiert.
- Ein Anbietermodell nachtrainieren, ohne Artikel 25 zu prüfen. Eine wesentliche Veränderung kann Sie zum Anbieter machen, mit der vollen Pflichtenlast und ggf. einer neuen MDR-Bewertung.
- Den Nicht-EU-Bevollmächtigten vergessen. Für Drittland-Anbieter ist er eine Voraussetzung für den Marktzugang, kein Nice-to-have.
- Glauben, ein Vertrag könne Anbieterpflichten ganz abgeben. Parteien können Verantwortlichkeiten vereinbaren, aber die Rolle knüpft kraft Gesetzes an das an, was Sie tatsächlich tun.
Entscheidung in Kürze
- Entwickeln Sie die Medizin-KI und bringen sie unter Ihrem Namen in Verkehr? Sie sind der Anbieter (und der MDR/IVDR-Hersteller). Volle Artikel-16-Pflichten, eingefaltet in Ihren MDR/IVDR-Weg.
- Nutzen Sie fremde Medizin-KI nur in der Praxis? Sie sind der Betreiber. Artikel-26-Pflichten: korrekte Nutzung, Aufsicht, Überwachung, Protokolle.
- Außerhalb der EU niedergelassen? Benennen Sie einen EU-Bevollmächtigten (Artikel 22), bevor Sie das System in Verkehr bringen.
- Etikettieren Sie um, verändern wesentlich oder widmen um? Artikel 25 kann Sie unabhängig davon zum Anbieter machen. Prüfen Sie es, bevor Sie das Modell anfassen.
Unsicher, wie Ihr System überhaupt einzustufen ist? Starten Sie die kostenlose Bewertung, nutzen Sie den interaktiven Medizin-KI Hochrisiko-Check oder lesen Sie Ist meine Medizin-KI hochriskant?. Wenn Sie auf einem Modell mit allgemeinem Verwendungszweck aufbauen, lesen Sie als Nächstes Medizin-KI auf LLMs bauen.
Häufige Fragen
Ist ein Krankenhaus, das eine Diagnose-KI nutzt, Anbieter oder Betreiber?
Ein Betreiber, solange es das System nur gemäß Gebrauchsanweisung nutzt. Seine Pflichten fallen unter Artikel 26: korrekte Nutzung, menschliche Aufsicht, Überwachung, Meldung von Vorkommnissen an den Anbieter und Protokollaufbewahrung. Es wird nur dann zum Anbieter, wenn es das System nach Artikel 25 umetikettiert, wesentlich verändert oder umwidmet.
Ist der MDR-Hersteller dasselbe wie der AI-Act-Anbieter?
Ja. MDCG 2025-6 bestätigt, dass der Hersteller nach MDR oder IVDR der Anbieter nach dem AI Act ist. Steht Ihr Name auf dem CE-gekennzeichneten Medizinprodukt, halten Sie beide Rollen und die Anbieterpflichten nach Artikel 16.
Werden wir zum Anbieter, wenn wir ein Anbietermodell auf eigenen klinischen Daten nachtrainieren?
Möglicherweise. Wenn das als wesentliche Veränderung gilt, die das System hochriskant hält, macht Artikel 25(1)(b) Sie zum Anbieter mit vollen Artikel-16-Pflichten, und nach MDR kann eine wesentliche Änderung zusätzlich eine erneute Konformitätsbewertung auslösen. Behandeln Sie Modelländerungen als regulatorisches Ereignis.
Wir sind ein US-Unternehmen. Brauchen wir jemanden in der EU?
Ja. Als Nicht-EU-Anbieter müssen Sie nach Artikel 22 einen EU-Bevollmächtigten benennen, bevor Sie Ihr Hochrisiko-KI-System auf dem EU-Markt bereitstellen. Das ist getrennt von, wird aber manchmal kombiniert mit Ihrem MDR-EU-Bevollmächtigten.
Sind Betreiberpflichten leichter als Anbieterpflichten?
Ja, deutlich. Betreiber nach Artikel 26 müssen vor allem das System korrekt nutzen, menschliche Aufsicht sicherstellen, es überwachen, Protokolle führen und Probleme melden. Anbieter nach Artikel 16 tragen die Anforderungen zur Entwurfszeit, die technische Dokumentation, die Konformitätsbewertung, CE-Kennzeichnung und Registrierung.
Quellen (offiziell)
- EU AI Act, Verordnung (EU) 2024/1689: artikelweise beim AI Act Service Desk der Europäischen Kommission. Zitiert: Artikel 3 (Definitionen Anbieter und Betreiber), Artikel 16 (Anbieterpflichten), Artikel 22 (Bevollmächtigte von Nicht-EU-Anbietern), Artikel 23 und 24 (Importeure und Händler), Artikel 25 (Verantwortung entlang der Wertschöpfungskette), Artikel 26 (Betreiberpflichten); amtlicher Text auf EUR-Lex.
- MDCG 2025-6, FAQ zum Zusammenspiel von MDR/IVDR und AI Act (19. Juni 2025): Kommissionsseite. Zitiert für: MDR/IVDR-Hersteller entspricht dem AI-Act-Anbieter; Betreiber ist nicht der MDR-Anwender.
Legalithm stellt Compliance-Informationen und Werkzeuge bereit, keine Rechtsberatung. Die Rollenqualifizierung hängt von Ihren konkreten Vereinbarungen ab; bestätigen Sie sie mit qualifizierter Rechtsberatung. Artikelverweise beziehen sich auf die Verordnung (EU) 2024/1689 (AI Act).


