Repräsentant: Definition und rechtliche Bedeutung (AI Act / Data Act)
Art. 22 AI Act verpflichtet Anbieter hochrisiko-KI mit Sitz außerhalb der EU, schriftlich einen in der EU niedergelassenen Repräsentanten zu benennen, bevor sie ihre Systeme in der EU in Verkehr bringen/inbetriebnehmen. Ausnahmen: Anbieter mit Sitz in einem Drittland mit einem internationalen Abkommen über den AI Act; Systeme, die nach Unions-/nationalem Recht der öffentlichen Sicherheit/Verteidigung dienen. Pflichten des Repräsentanten: Bereithaltung der Konformitätserklärung und technischen Dokumentation, Weiterleitung von Informationen an Behörden, Zusammenarbeit mit Marktüberwachungsbehörden, Beendigung von Verstößen. Der Repräsentant ist Haftungs- und Durchsetzungsanker in der EU; ohne ihn dürfen Drittland-Anbieter nicht liefern. Überlagert: DSGVO Art. 27 (Repräsentant außerhalb der EU), GPSR, allgemeines Vertretungsrecht.
Steve Baka
Pflicht und Ausnahmen (Art. 22)
Art. 22 Abs. 1 verpflichtet Anbieter hochrisiko-KI mit Hauptniederlassung außerhalb der EU, vor dem Inverkehrbringen/der Inbetriebnahme in der EU schriftlich einen in einem Mitgliedstaat niedergelassenen Repräsentanten zu benennen. Der Repräsentant übernimmt die Vertretung des Anbieters in AI-Act-Angelegenheiten. Ausnahmen: (1) Anbieter mit Sitz in einem Drittland mit einem von der Union geschlossenen internationalen Abkommen über die Einhaltung des AI Act (z. B. im Rahmen der CoE-Konvention); (2) Systeme, die nach Unions-/nationalem Recht der öffentlichen Sicherheit/Verteidigung/öffentlichen Ordnung dienen und in exklusiver staatlicher Nutzung sind. Die Pflicht gilt ab dem 2. August 2026. Repräsentanten können natürliche/juristische Personen sein, die dem Anbieter unterliegen und die Pflichten erfüllen können.
Pflichten des Repräsentanten (Art. 22 Abs. 2)
Der Repräsentant hat nach Art. 22 Abs. 2 folgende Pflichten: (1) Bereithalten der EU-Konformitätserklärung und der technischen Dokumentation für die Marktüberwachungsbehörden; (2) Weiterleitung von Informationen auf Verlangen an die Marktüberwachungsbehörden; (3) Zusammenarbeit mit den zuständigen nationalen Behörden bei allen Maßnahmen zur Vorbeugung/Risikominderung bei den Risiken, die mit den vertretenen Systemen verbunden sind; (4) Beendigung von Verstößen, für die er vom Anbieter beauftragt wurde. Der Vertretungsvertrag muss die Pflichten klar definieren. Der Repräsentant ist nicht selbst Anbieter — er vertritt den Drittland-Anbieter, haftet aber für seine eigenen Pflichten. In der Praxis sind spezialisierte Repräsentanten-Dienstleister etabliert (ähnlich DSGVO-Art. 27).
Praxis: Drittland-Anbieter und Durchsetzung
Praktisch relevant für Drittland-Anbieter (USA, UK, China, Schweiz) hochrisiko-KI, die EU-Märkte bedienen: ohne EU-Repräsentant kein Inverkehrbringen. Der Repräsentant ist Durchsetzungs- und Haftungsanker — Behörden können bei ihm ermitteln, Meldungen anfordern, Anordnungen vollziehen. Vertragsgestaltung: Vertretungsumfang (nur AI Act oder erweitert?), Haftungsbegrenzung, Vergütung, Beendigung. Überlagert: DSGVO Art. 27 (paralleler Repräsentant für Datenschutz, evtl. kombiniert); GPSR, allgemeines Vertretungsrecht (BGB § 164); Product Liability (Drittland-Hersteller muss EU-Adresse für Klagen haben). Für Drittland-Anbieter ist der Repräsentant nicht nur Formalie — er muss fähig sein, die Pflichten zu erfüllen (Sprache, Expertise, Erreichbarkeit). Eine sorgfältige Auswahl, klare Vertragsgestaltung und regelmäßige Kommunikation schützen im Aufsichts-/Haftungsfall.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Wer braucht einen AI-Act-Repräsentanten?
Art. 22: Drittland-Anbieter hochrisiko-KI vor Inverkehrbringen in EU. Ausnahme: Drittland mit internationalem AI-Act-Abkommen, exklusive staatliche Nutzung für Sicherheit/Verteidigung.
Welche Pflichten hat der Repräsentant?
Art. 22 Abs. 2: Konformitätserklärung/technische Dokumentation bereithalten, Informationen an Behörden weiterleiten, Zusammenarbeit mit Marktüberwachung, Beendigung von Verstößen nach Beauftragung.
Überlappt es mit DSGVO Art. 27?
Ja parallel. DSGVO-Repräsentant für Datenschutz, AI-Act-Repräsentant für KI-Pflichten — können kombiniert werden. Plus GPSR, Product Liability, allgemeines Vertretungsrecht.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.