- Published on
Provider (AI Act) ↔ CH-Hersteller: Mapping & Unterschiede
- Authors
- Name
- Tails Azimuth
Der Begriff Provider (deutsch: «Anbieter») ist die zentrale Rollendefinition des EU AI Act. Wer Provider ist, trägt den grössten Pflichtenkatalog. Schweizer Unternehmen mit EU-Marktzugang stellen deshalb zuerst die Frage: Bin ich ein Provider — und gibt es diese Rolle im Schweizer Recht überhaupt? Die kurze Antwort: Der EU-Begriff hat im Schweizer Recht kein 1:1-Pendant, sondern verteilt sich auf mehrere funktionale Rollen. Diese Seite ordnet beide Seiten einander zu.
EU-Seite: Provider nach Art. 3 Nr. 3 AI Act
Art. 3 Nr. 3 der KI-Verordnung (VO 2024/1689) definiert den Provider als natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt — entgeltlich oder unentgeltlich.
Entscheidend sind drei Merkmale: die Verantwortung für die Entwicklung (auch wenn extern beauftragt), das Inverkehrbringen unter eigenem Namen, und die Unabhängigkeit von einer Bezahlung. Auch Open-Source-Bereitstellung kann unter Umständen die Provider-Rolle auslösen. Der Provider trägt nach Kapitel III die Hauptpflichten für Hochrisiko-KI: Risikomanagement, Daten-Governance, technische Dokumentation, Konformitätsbewertung und CE-Kennzeichnung. Eine besondere Folge regelt Art. 25: Wer ein Hochrisiko-System wesentlich verändert oder unter eigenem Namen weitervertreibt, kann selbst zum Provider werden.
Vom Provider abzugrenzen ist der Deployer (Art. 3 Nr. 4), der ein KI-System in eigener Verantwortung einsetzt, sowie der Importeur und der Händler, die weiter unten in der Lieferkette stehen und schlankere Pflichten tragen. Für Modelle mit allgemeinem Verwendungszweck (GPAI) gilt zusätzlich ein eigener Pflichtenstrang nach Kapitel V. Die Rolleneinordnung ist also nicht statisch: Sie hängt davon ab, was ein Unternehmen mit dem System konkret tut — nicht davon, wie es sich selbst bezeichnet.
CH-Seite: kein einheitlicher Provider-Begriff
Die Schweiz hat kein horizontales KI-Gesetz. Es existiert daher keine Norm, die «Provider» definiert. Die funktional vergleichbaren Rollen finden sich verstreut in drei Regelungsbereichen:
Im Produktsicherheitsrecht (Produktesicherheitsgesetz, PrSG) knüpft die Verantwortung an das «Inverkehrbringen» und an die Rolle des Herstellers an — also an denjenigen, der ein Produkt erstmals in der Schweiz bereitstellt. Das ist begrifflich am nächsten am AI-Act-Mechanismus «in Verkehr bringen unter eigenem Namen», bezieht sich aber auf physische Produktsicherheit, nicht auf KI-spezifische Risiken.
Im Produktehaftpflichtrecht (Produktehaftpflichtgesetz, PrHG) ist der «Hersteller» derjenige, der das Endprodukt, einen Grundstoff oder ein Teilprodukt herstellt — oder wer sich durch Anbringen seines Namens oder seiner Marke als Hersteller ausgibt. Diese «Quasi-Hersteller»-Logik ähnelt der Branding-Regel des AI Act stark, dient aber der zivilrechtlichen Haftung, nicht der präventiven Konformität.
Wo das KI-System Personendaten bearbeitet, greift das revidierte Datenschutzgesetz (DSG, in Kraft seit 1. September 2023). Dort ist der «Verantwortliche» (Art. 5 DSG) die Person, die über Zweck und Mittel der Bearbeitung entscheidet. Dieser Begriff überschneidet sich teilweise mit dem Provider, deckt sich aber eher mit dem Deployer des AI Act — eine wichtige Quelle für Verwechslungen.
Gemeinsamkeiten
Beide Rechtsräume binden Verantwortung an zwei Anker: an die Markteinführung («in Verkehr bringen») und an das Auftreten unter eigenem Namen oder eigener Marke. Wer fremde Technik unter eigenem Label vertreibt, rückt in beiden Systemen in die Verantwortlichen-Rolle — im AI Act über Art. 25, in der Schweiz über die Quasi-Hersteller-Regel des PrHG. Auch das Prinzip, dass Verantwortung unabhängig von einer Bezahlung entstehen kann, ist beiden vertraut.
Unterschiede
- Eine Rolle vs. mehrere: Der AI Act bündelt die Pflichten in der einen Rolle «Provider». Das Schweizer Recht kennt keinen einheitlichen Begriff; die Verantwortung splittet sich je nach Sachverhalt auf Hersteller (PrSG/PrHG) und Verantwortlichen (DSG).
- Präventiv vs. reaktiv: Die Provider-Pflichten des AI Act sind überwiegend ex ante (Konformitätsbewertung vor Markteintritt). Das PrHG wirkt ex post (Haftung nach eingetretenem Schaden).
- KI-spezifisch vs. allgemein: Der AI Act adressiert KI-Risiken direkt. Die Schweizer Pendants sind technologieneutral und nicht auf KI zugeschnitten.
- CE-Kennzeichnung: Sie ist eine reine EU-Konstruktion. Eine Schweizer Entsprechung für KI existiert nicht (siehe dazu die geplante Mapping-Seite zur Konformitätsbewertung).
- Zentrale Aufsicht: Der AI Act etabliert das AI Office in Brüssel und nationale Marktüberwachungsbehörden. Die Schweiz hat für KI bislang keine zentrale Aufsichtsstelle.
Praxis-Konsequenz
Für ein Schweizer Unternehmen, das KI-Systeme in die EU verkauft, ist die Schweizer Rollenlandschaft nachrangig: Sobald das System auf dem EU-Markt in Verkehr gebracht wird, gilt der AI Act extraterritorial (Art. 2), und die volle Provider-Pflichtenkette greift — typischerweise mit der Pflicht, einen Bevollmächtigten («Authorized Representative») in der EU zu benennen. Die Schweizer Einordnung als Hersteller oder Verantwortlicher entbindet davon nicht.
Für rein binnenschweizerische KI-Anwendungen gilt umgekehrt: Es gibt keine Provider-Pflichten nach AI-Act-Muster. Maßgeblich sind dann PrSG, PrHG und — bei Personendaten — das DSG. Faktisch orientieren sich viele Schweizer Anbieter dennoch am AI Act, weil er zum De-facto-Standard wird und EU-Kunden ihn vertraglich einfordern.
Der praktische erste Schritt ist in beiden Fällen identisch: die eigene Rolle entlang der konkreten Lieferkette sauber bestimmen, bevor ein einziger Pflichtenkatalog abgearbeitet wird. Wer Provider und Deployer verwechselt — oder die Schweizer Doppelrolle Hersteller/Verantwortlicher übersieht — adressiert die falschen Pflichten.
| Aspekt | EU AI Act (Provider) | Schweiz (funktionale Pendants) |
|---|---|---|
| Rechtsgrundlage | Art. 3 Nr. 3 VO 2024/1689 | PrSG, PrHG, DSG (kein KI-Gesetz) |
| Auslöser | Inverkehrbringen unter eigenem Namen | Inverkehrbringen / Herstellereigenschaft |
| Branding-Regel | Art. 25 (wird selbst zum Provider) | Quasi-Hersteller (PrHG) |
| Wirkrichtung | präventiv (ex ante) | überwiegend haftungsbasiert (ex post) |
| KI-Spezifik | ja | nein, technologieneutral |
| Zentrale Aufsicht | AI Office + nationale Behörden | keine zentrale KI-Aufsicht |
Den vollständigen Pflichtenkatalog des Providers und die Risikoklassen erklärt der Leitfaden auf eu-ai-verordnung.de. Die rein schweizerische Sicht auf Datenschutz- und Aufsichtsfragen vertieft ki-regulierung.ch.
AEGIRA AI Navigator deckt EU AI Act und Schweizer Anforderungen in einer einheitlichen Trust-Infrastructure ab: aegira.ai.