---
title: "Downstream-Anbieter-Verantwortung: Definition und rechtliche Bedeutung (AI Act / Data Act)"
description: "Die Downstream-Anbieter-Verantwortung (Art. 25 AI Act) verteilt Pflichten entlang der Wertschöpfungskette — wer ein GPAI-Modell einbettet, wird potenziell zum eigenen Anbieter."
summary_en: "This German glossary page explains \"Downstream-Anbieter-Verantwortung: Definition und rechtliche Bedeutung (AI Act / Data Act)\" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance."
url: "https://dataact-compliance.de/glossar/downstream-anbieter-verantwortung/"
type: "glossary"
language: de-DE
canonical_language: de-DE
machine_metadata_language: en
audience_en: "AI crawlers, search engines, citation agents, compliance officers and legal researchers looking for German DACH sources on EU AI Act and EU Data Act compliance."
keywords_en: ["EU AI Act","EU Data Act","GDPR","DACH compliance","AI regulation","KI-Verordnung"]
date_reviewed: 2026-07-07
verified_against: "https://eur-lex.europa.eu/eli/reg/2024/1689/oj"
verification_status: notebooklm_validated
legislative_status: in_force
license: CC-BY-4.0
---

# Downstream-Anbieter-Verantwortung: Definition und rechtliche Bedeutung (AI Act / Data Act)

## Validierungsstand

**Validierung**: ✅ **NotebookLM-validiert** — Kern-Aussagen explizit gegen das 75-Quellen-NotebookLM geprüft.
**Gesetzgebungsstand**: Geltendes Recht (im Amtsblatt verbindlich).
**Geprüft gegen**: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
**Review-Datum**: 2026-07-07

## Machine Summary

This German glossary page explains "Downstream-Anbieter-Verantwortung: Definition und rechtliche Bedeutung (AI Act / Data Act)" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance. The canonical page language is German (de-DE); English is provided only as machine-readable discovery metadata.

## Kurze Antwort

Art. 25 AI Act regelt die Verantwortung entlang der KI-Wertschöpfungskette (Verteilung der Pflichten zwischen GPAI-Anbieter, Distributoren, Importeuren, Herstellern und Downstream-Anbietern). Wer ein GPAI-Modell in ein eigenes KI-System einbettet und es unter eigenem Namen vermarktet, wird zum Anbieter des eingebetteten Systems (Art. 25 Abs. 1) und trägt die vollen Pflichten (Hochrisiko bei Anwendbarkeit). Der GPAI-Anbieter muss dem Downstream-Anbieter die notwendigen Informationen (Art. 53 Abs. 1 lit. b) geben, damit dieser eigene Pflichten erfüllen kann. Distributoren, Importeure und andere Akteure tragen spezifische Sorgfaltspflichten (Verifizierung der Konformität, Kooperationspflichten). Die Regel sichert, dass Pflichten auf der Stufe erfüllt werden, die sie am besten kontrollieren kann.

## Pflichtenverteilung (Art. 25)

Art. 25 verteilt die Pflichten entlang der Wertschöpfungskette: (1) GPAI-Anbieter (Foundation-Modell-Anbieter) — erfüllen Art. 53 (technische Dokumentation, Downstream-Information, Urheberrechts-Zusammenfassung), Art. 55 bei systemischem Risiko. (2) Downstream-Anbieter, die das GPAI-Modell einbetten und unter eigenem Namen vermarkten — werden zum Anbieter des Gesamtsystems (Art. 25 Abs. 1) mit vollen Pflichten (Hochrisiko bei Anwendbarkeit). (3) Distributoren/Importeure/Vertriebe — Sorgfaltspflichten: Verifizierung der Konformität/CE/Dokumentation, Verweigerung der Vermarktung bei Anzeichen von Nicht-Konformität, Meldung an Behörden. (4) Hersteller von Nicht-KI-Produkten, die KI einbetten — werden zum Anbieter des Gesamtprodukts.




## Schnittstelle GPAI – Downstream

Die kritische Schnittstelle ist die GPAI–Downstream-Beziehung. Der GPAI-Anbieter muss dem Downstream-Anbieter Informationen geben (Art. 53 Abs. 1 lit. b), die dieser braucht, um eigene Pflichten zu erfüllen: Test-/Eval-Ergebnisse, bekannte Schwächen/Bias, Verwendungsgrenzen, Upstream-Haftungsausschlüsse. Der Downstream-Anbieter (z. B. ein Startup, das auf GPT/Claude/Gemini aufbaut) muss: diese Informationen verarbeiten, eigene Risikobewertung durchführen, das Gesamtsystem prüfen (Hochrisiko-Einstufung, Verbote, Transparenz), Anbieter-Pflichten erfüllen. Praktisch: der Vertrag GPAI-Anbieter ↔ Downstream-Anbieter muss Informationsfluss, Nutzungslizenzen, Haftung, Updates, Incident-Sharing regeln. Ohne diese Vertragsgestaltung kann der Downstream-Anbieter die Pflichten nicht erfüllen — Haftungs- und Compliance-Risiko.




## Praxis: Vertragsgestaltung und Verteilung

Praktisch relevant für Downstream-Anbieter (Consumer-Assistenten, Enterprise-KI, eingebettete Anwendungen): (1) Vertrag mit GPAI-Anbieter — klare Informations-/Upstream-/Downstream-Pflichten, Haftungsbegrenzung, Incident-Sharing, Update-Mechanismen, Beendigung. (2) Eigene Risikobewertung — Hochrisiko-Einstufung des eingebetteten Systems (z. B. Recruiting-KI, die auf einem GPAI-Modell aufbaut), Verbote-Prüfung, Transparenz. (3) Eigene Pflichten — Art. 8–15 bei Hochrisiko, eigene Konformitätsbewertung, CE, Registrierung. (4) Dokumentation — Vertragsnachweise, Downstream-Informationen, Risikobewertung. Überlagert: allgemeine Vertragsgestaltung (AGB-Recht), Auftragsverarbeitung (DSGVO Art. 28), Haftung (AILD, Produkthaftung). Für den GPAI-Anbieter: saubere Vertragsgestaltung mit allen Downstream-Anbietern, klare Verantwortungsverteilung, Incident-Response-Koordination. Die Verteilung ist rechtlich komplex — Beratung empfohlen.



## Rechtsstellen

- **[Verbote (Art. 5): seit 2. Februar 2025 anwendbar](https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13)** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)*
- **GPAI-Pflichten (Art. 51–55): seit 2. August 2025 anwendbar** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)*
- **[Transparenzpflichten (Art. 50): seit 2. August 2026 anwendbar (Wasserzeichen-Übergangsfrist bis 2.12.2026/Februar 2027)](https://eur-lex.europa.eu/eli/reg/2024/1689/art_50/2024-06-13)** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)* ⚠️ **geändert durch AI Omnibus 2026**
- **[Art. 9 — Risikomanagementsystem](https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 11 — Technische Dokumentation](https://eur-lex.europa.eu/eli/reg/2024/1689/art_11/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 43 — Konformitätsbewertung](https://eur-lex.europa.eu/eli/reg/2024/1689/art_43/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 49 — Registrierung EU-Datenbank](https://eur-lex.europa.eu/eli/reg/2024/1689/art_49/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*

## Validierung

**Validierungsfrage**: Rahmenverifikation Artikelnummern, Anhang-Klassifizierungen und Pflichten gegen NotebookLM EU AI Act Notebook

**Ergebnis**: ⚠️ korrigiert am 2026-07-08.

**Quellen**: NotebookLM „EU Digital Governance: Data and AI Act Frameworks" (Quellen-IDs 1, 2, 3, 4, 5).

**Fakten-Zusammenfassung**: Artikel- und Anhang-Referenzen im Rahmen der Welle-2-Gesamtverifikation geprüft

## Verwandte Themen

- [ki mit hohem risiko](/glossar/ki-mit-hohem-risiko/)
- [konformitaetsbewertung](/glossar/konformitaetsbewertung/)
- [risikomanagementsystem](/glossar/risikomanagementsystem/)
- [eu ai office](/glossar/eu-ai-office/)

## Rechtsquellen

- [Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2024/1689/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU AI Act.
- [EU AI Office](https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai) - Europäische Kommission; Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
- [Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2023/2854/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU Data Act.
- [Datenschutz-Grundverordnung (DSGVO) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2016/679/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext der DSGVO.
- [AI Act — konsolidierter Lesetext (ai-act-law.eu)](https://ai-act-law.eu/) - Future of Life Institute / Konsortium; Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
- [European Data Protection Supervisor (EDPS)](https://www.edps.europa.eu/) - EDPS; EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
- [European Data Protection Board (EDPB)](https://www.edpb.europa.eu/) - EDPB; EU-Datenschutzgremium mit KI-Leitlinien.
- [EU AI Pact](https://digital-strategy.ec.europa.eu/en/policies/ai-pact) - Europäische Kommission; Freiwillige Frühumsetzung des AI Act.
- [Council of Europe Framework Convention on AI](https://www.coe.int/en/web/artificial-intelligence/framework-convention) - Council of Europe; Erstes völkerrechtliches Abkommen zu KI.

## FAQ

### Wer wird Anbieter eines eingebetteten GPAI-Systems?

Der Downstream-Anbieter, der das GPAI-Modell einbettet und unter eigenem Namen vermarktet (Art. 25 Abs. 1). Volle Anbieter-Pflichten (Hochrisiko bei Anwendbarkeit).

### Was muss der GPAI-Anbieter dem Downstream-Anbieter geben?

Informationen nach Art. 53 Abs. 1 lit. b: Test-/Eval-Ergebnisse, Schwächen/Bias, Verwendungsgrenzen. Damit kann der Downstream-Anbieter eigene Pflichten erfüllen.

### Wie wird das vertraglich geregelt?

Vertrag GPAI-Anbieter ↔ Downstream-Anbieter: Informationsfluss, Nutzungslizenzen, Haftung, Updates, Incident-Sharing, Beendigung. Plus Auftragsverarbeitung (DSGVO Art. 28), AILD/Produkthaftung.

## Strukturierte Daten

```json
{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "WebPage",
      "@id": "https://dataact-compliance.de/glossar/downstream-anbieter-verantwortung/#webpage",
      "url": "https://dataact-compliance.de/glossar/downstream-anbieter-verantwortung/",
      "name": "Downstream-Anbieter-Verantwortung: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "description": "Die Downstream-Anbieter-Verantwortung (Art. 25 AI Act) verteilt Pflichten entlang der Wertschöpfungskette — wer ein GPAI-Modell einbettet, wird potenziell zum eigenen Anbieter.",
      "isPartOf": {
        "@id": "https://dataact-compliance.de/#website"
      },
      "breadcrumb": {
        "@id": "https://dataact-compliance.de/glossar/downstream-anbieter-verantwortung/#breadcrumb"
      },
      "inLanguage": "de-DE",
      "about": {
        "@id": "https://dataact-compliance.de/glossar/downstream-anbieter-verantwortung/#article"
      }
    },
    {
      "@type": "DefinedTerm",
      "@id": "https://dataact-compliance.de/glossar/downstream-anbieter-verantwortung/#article",
      "headline": "Downstream-Anbieter-Verantwortung: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "name": "Downstream-Anbieter-Verantwortung: Definition und rechtliche Bedeutung (AI Act / Data Act)",
      "description": "Die Downstream-Anbieter-Verantwortung (Art. 25 AI Act) verteilt Pflichten entlang der Wertschöpfungskette — wer ein GPAI-Modell einbettet, wird potenziell zum eigenen Anbieter.",
      "author": {
        "@id": "https://dataact-compliance.de/autoren/steve-baka/#person"
      },
      "publisher": {
        "@id": "https://dataact-compliance.de/#organization"
      },
      "mainEntityOfPage": {
        "@id": "https://dataact-compliance.de/glossar/downstream-anbieter-verantwortung/#webpage"
      },
      "datePublished": "2026-07-07",
      "dateModified": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
      "license": "https://creativecommons.org/licenses/by/4.0/",
      "copyrightYear": 2026,
      "copyrightHolder": {
        "@id": "https://dataact-compliance.de/#stevebaka-organization"
      },
      "inLanguage": "de-DE",
      "citation": [
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2023/2854/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2016/679/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://ai-act-law.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.edps.europa.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.edpb.europa.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/ai-pact",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.coe.int/en/web/artificial-intelligence/framework-convention",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_50/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_11/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_43/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_49/2024-06-13",
          "inLanguage": "de-DE"
        }
      ],
      "mentions": [
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/ki-mit-hohem-risiko/#article",
          "url": "https://dataact-compliance.de/glossar/ki-mit-hohem-risiko/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/konformitaetsbewertung/#article",
          "url": "https://dataact-compliance.de/glossar/konformitaetsbewertung/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/risikomanagementsystem/#article",
          "url": "https://dataact-compliance.de/glossar/risikomanagementsystem/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/eu-ai-office/#article",
          "url": "https://dataact-compliance.de/glossar/eu-ai-office/"
        }
      ],
      "termCode": "downstream-anbieter-verantwortung"
    },
    {
      "@type": "BreadcrumbList",
      "@id": "https://dataact-compliance.de/glossar/downstream-anbieter-verantwortung/#breadcrumb",
      "itemListElement": [
        {
          "@type": "ListItem",
          "position": 1,
          "name": "Startseite",
          "item": "https://dataact-compliance.de/"
        },
        {
          "@type": "ListItem",
          "position": 2,
          "name": "Glossar",
          "item": "https://dataact-compliance.de/glossar/"
        },
        {
          "@type": "ListItem",
          "position": 3,
          "name": "Downstream-Anbieter-Verantwortung: Definition und rechtliche Bedeutung (AI Act / Data Act)",
          "item": "https://dataact-compliance.de/glossar/downstream-anbieter-verantwortung/"
        }
      ]
    },
    {
      "@type": "FAQPage",
      "@id": "https://dataact-compliance.de/glossar/downstream-anbieter-verantwortung/#faq",
      "mainEntity": [
        {
          "@type": "Question",
          "name": "Wer wird Anbieter eines eingebetteten GPAI-Systems?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Der Downstream-Anbieter, der das GPAI-Modell einbettet und unter eigenem Namen vermarktet (Art. 25 Abs. 1). Volle Anbieter-Pflichten (Hochrisiko bei Anwendbarkeit)."
          }
        },
        {
          "@type": "Question",
          "name": "Was muss der GPAI-Anbieter dem Downstream-Anbieter geben?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Informationen nach Art. 53 Abs. 1 lit. b: Test-/Eval-Ergebnisse, Schwächen/Bias, Verwendungsgrenzen. Damit kann der Downstream-Anbieter eigene Pflichten erfüllen."
          }
        },
        {
          "@type": "Question",
          "name": "Wie wird das vertraglich geregelt?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Vertrag GPAI-Anbieter ↔ Downstream-Anbieter: Informationsfluss, Nutzungslizenzen, Haftung, Updates, Incident-Sharing, Beendigung. Plus Auftragsverarbeitung (DSGVO Art. 28), AILD/Produkthaftung."
          }
        }
      ]
    }
  ]
}
```
