Published on

Art. 22 EU AI Act: EU-Bevollmächtigter für Nicht-EU-KI

Authors

Ein großer Teil der Hochrisiko-KI, die in europäischen Unternehmen läuft, stammt nicht aus der EU. Sie wird in den USA, in Großbritannien oder in der Schweiz entwickelt und über die Cloud bereitgestellt. Für die regulatorische Einordnung ist das entscheidend: Wer eine KI nur einsetzt, ist Deployer und steht auf der Customer-Ebene. Wer sie entwickelt und auf den Markt bringt, ist Provider — und genau hier liegt der Vendor-Layer. Ein US-Anbieter mit Nexus zum europäischen Markt ist im Sinne des EU AI Act kein Kunde, sondern Lieferant einer pflichtigen Technologie. Artikel 22 der Verordnung (EU) 2024/1689 zieht daraus eine konkrete Konsequenz: Provider aus Drittstaaten müssen einen in der Union niedergelassenen Bevollmächtigten benennen, bevor ihre Hochrisiko-KI hier verfügbar wird.

Warum Drittstaaten-Provider überhaupt in der Pflicht stehen

Der EU AI Act folgt dem Marktort-Prinzip: Maßgeblich ist nicht, wo ein System entwickelt wurde, sondern wo es in Verkehr gebracht oder in Betrieb genommen wird. Sobald eine Hochrisiko-KI auf dem Unionsmarkt bereitgestellt oder ihr Output in der EU verwendet wird, greift die Verordnung — unabhängig vom Sitz des Anbieters. Ein Modell, das in Kalifornien trainiert und von einem deutschen Unternehmen produktiv genutzt wird, fällt damit vollständig unter die europäischen Provider-Pflichten.

Das schafft ein praktisches Problem: Eine europäische Marktüberwachungsbehörde kann einen Anbieter ohne Niederlassung in der Union schwer erreichen. Wer soll die technische Dokumentation vorlegen, wenn die Behörde sie anfordert? An wen richtet sich ein Auskunftsersuchen? Art. 22 löst dieses Problem, indem er einen erreichbaren Ansprechpartner innerhalb der EU verbindlich vorschreibt. Der Bevollmächtigte ist die rechtliche Brücke zwischen dem außereuropäischen Vendor-Layer und der europäischen Aufsicht.

Die Pflicht aus Art. 22 Abs. 1

Nach Art. 22 Abs. 1 der Verordnung (EU) 2024/1689 müssen Provider, die in einem Drittland niedergelassen sind, vor der Bereitstellung ihrer Hochrisiko-KI-Systeme auf dem Unionsmarkt durch schriftliches Mandat einen in der Union niedergelassenen Bevollmächtigten benennen. Diese Benennung ist keine Formalie, die man nachreichen kann, sondern Voraussetzung des Marktzugangs. Ohne benannten Bevollmächtigten fehlt dem System eine zwingende Zulassungsvoraussetzung.

Das Mandat muss dem Bevollmächtigten ausdrücklich erlauben, die in der Verordnung genannten Aufgaben wahrzunehmen. Wichtig ist die Abgrenzung: Der Bevollmächtigte übernimmt nicht die Entwicklungsverantwortung des Providers. Er wird nicht zum Hersteller. Er ist die zugängliche Stelle in der Union, über die sich die Pflichten des Providers nachvollziehen und durchsetzen lassen — eine Funktion, kein Haftungstransfer für die Produktqualität.

Welche Aufgaben der Bevollmächtigte trägt

Art. 22 Abs. 3 weist dem Bevollmächtigten einen klar umrissenen Aufgabenkatalog zu. Er hält die EU-Konformitätserklärung und die technische Dokumentation zur Verfügung und bewahrt sie über den vorgeschriebenen Zeitraum von zehn Jahren auf, sodass die nationalen Behörden darauf zugreifen können. Er stellt der Marktüberwachung auf begründetes Verlangen alle Informationen und Unterlagen bereit, die nötig sind, um die Konformität des Systems nachzuweisen. Und er kooperiert mit den zuständigen Behörden bei allen Maßnahmen, die diese im Hinblick auf das Hochrisiko-System ergreifen.

Bemerkenswert ist eine weitere Befugnis: Stellt der Bevollmächtigte fest oder hat er Grund zu der Annahme, dass der Provider gegen seine Pflichten aus der Verordnung verstößt, muss er das Mandat beenden können. In diesem Fall informiert er die zuständige Marktüberwachungsbehörde. Der Bevollmächtigte ist damit nicht bloß Briefkasten, sondern ein Kontrollpunkt mit eigener Eskalationspflicht. Diese Konstruktion erhöht den Druck auf den außereuropäischen Provider, seine Nachweise tatsächlich aktuell und prüffähig zu halten — denn der formale Vertreter in der EU haftet für die Verfügbarkeit dieser Nachweise mit.

Was das für europäische Deployer bedeutet

Für ein Unternehmen, das eine außereuropäische Hochrisiko-KI einsetzt, ist Art. 22 ein konkreter Prüfpunkt in der Lieferanten-Sorgfalt. Wer ein Modell aus einem Drittstaat produktiv nutzt, sollte vor der Inbetriebnahme klären, ob der Anbieter einen Bevollmächtigten in der Union benannt hat und wer das ist. Fehlt dieser Nachweis, ist das ein belastbares Signal, dass der Anbieter seine Provider-Pflichten nicht vollständig erfüllt — mit Folgen, die auf den Deployer zurückfallen können, weil er ein nicht ordnungsgemäß bereitgestelltes System betreibt.

Die Einordnung des Systems als Hochrisiko ist dabei der vorgelagerte Schritt: Erst wenn eine KI nach den Kriterien der Verordnung als hochriskant gilt, greift die Pflicht aus Art. 22 überhaupt. Wer bei der Risikoklassifizierung unsicher ist, findet eine vertiefte Aufschlüsselung der Hochrisiko-Kategorien auf hochrisiko-ki.com. Erst auf dieser Grundlage lässt sich beurteilen, welche Lieferanten überhaupt einen Bevollmächtigten brauchen.

Nachweisbarkeit statt Vertrauen auf Zusagen

Der eigentliche Kern von Art. 22 ist nicht die Benennung an sich, sondern die Verfügbarkeit prüfbarer Evidenz innerhalb der Union. Konformitätserklärung, technische Dokumentation, Behördenkommunikation: All das muss greifbar sein, wenn eine Behörde fragt — und zwar zehn Jahre lang. Für Organisationen, die KI verantwortungsvoll betreiben wollen, ist das eine Erinnerung daran, dass Trust nicht auf der mündlichen Zusicherung eines Anbieters beruht, sondern auf belegbaren Artefakten. Ein Vendor, der keinen erreichbaren Vertreter und keine vorzeigbare Dokumentation bietet, liefert kein nachweisbares Vertrauen, sondern nur ein Versprechen.

Diese Logik gilt unabhängig davon, ob das Forcing Event des EU AI Act — die Enforcement-Wirksamkeit am 02.12.2027 (Digital Omnibus) — bereits erreicht ist. Wer heute außereuropäische KI in kritischen Prozessen einsetzt, baut die Nachweiskette besser jetzt auf, als sie unter Zeitdruck rekonstruieren zu müssen. Die Benennung des Bevollmächtigten ist dabei ein kleiner, aber harter Indikator: Sie zeigt, ob ein Anbieter den europäischen Markt ernst nimmt oder ihn nur mitnehmen will.

Eine evidenzbasierte Sicht auf die eigene KI-Lieferkette — wer ist Provider, wer Deployer, welche Nachweise liegen wo — schafft genau die Klarheit, die später im Audit zählt. Mehr zur AEGIRA Trust-Platform: aegira.ai

Discuss on TwitterView on GitHub