Die meisten KI-Modelle, die deutsche Mittelständler einsetzen, kommen aus dem Drittland. OpenAI, Anthropic, Microsoft, Google, Meta, Mistral teilweise, dazu spezialisierte Anbieter aus UK, Israel, Kanada und China. Wer als KMU diese Modelle nicht nur intern nutzt, sondern weiterverkauft oder erstmals in die Europäische Union einführt, übernimmt Rollen nach Art. 28 und Art. 29 EU AI Act. Diese Rollen lösen Prüfpflichten und Haftungsrisiken aus, die viele Mittelständler nicht auf dem Schirm haben. Dazu kommt Art. 22 mit der Pflicht für Drittland-Anbieter, einen EU-Bevollmächtigten zu benennen.
Auf einen Blick: Art. 28 EU AI Act verpflichtet Einführer von Drittland-KI zur Prüfung der Anbieter-Konformität, bevor sie das System in die EU bringen. Art. 29 regelt die Pflichten der Händler, also weiterverkaufender Unternehmen in der EU-Lieferkette. Art. 22 verlangt von Drittland-Anbietern einen schriftlich bevollmächtigten EU-Vertreter. Wer als KMU eine US-amerikanische KI als Reseller anbietet, ist Einführer. Wer ChatGPT-Lizenzen weiterverkauft, ist Händler. Beide Rollen lösen Prüf- und Aufbewahrungspflichten von bis zu zehn Jahren aus.
Wer ist Einführer, wer ist Händler, wer ist Bevollmächtigter
Die KI-VO unterscheidet sauber zwischen drei Rollen, die alle in der Lieferkette eines KI-Systems aus Drittland auftreten können.
Einführer (Importer) nach Art. 3 Nr. 6 ist die natürliche oder juristische Person mit Sitz in der EU, die ein KI-System eines Drittland-Anbieters erstmals in der Union in Verkehr bringt. Wer also ein US-amerikanisches KI-Modul auf den deutschen Markt bringt, ist Einführer, auch wenn er es nur als Reseller anbietet.
Händler (Distributor) nach Art. 3 Nr. 7 ist jede natürliche oder juristische Person in der Lieferkette, die das KI-System auf dem Markt bereitstellt, ohne Anbieter oder Einführer zu sein. Klassisch ist das der zweite, dritte oder vierte Reseller in einer Vertriebskette.
Bevollmächtigter Vertreter (Authorised Representative) nach Art. 22 ist eine Person oder Stelle mit Sitz in der EU, die ein Drittland-Anbieter schriftlich zur Wahrnehmung seiner KI-VO-Pflichten innerhalb der Union bevollmächtigt. Drittland-Anbieter müssen einen solchen Vertreter benennen, bevor sie ein Hochrisiko-KI-System auf dem EU-Markt bereitstellen.
Sechs Prüfpflichten des Einführers nach Art. 28
Art. 28 Abs. 1 verlangt vom Einführer, vor dem Inverkehrbringen in der EU sechs Punkte zu prüfen.
Erstens, dass der Drittland-Anbieter das Konformitätsbewertungsverfahren nach Art. 43 durchgeführt hat. Zweitens, dass die technische Dokumentation nach Anhang IV vorliegt. Drittens, dass die CE-Kennzeichnung am System oder seiner Begleitdokumentation angebracht ist. Viertens, dass die EU-Konformitätserklärung nach Art. 47 existiert. Fünftens, dass die Bedienungsanleitung in einer EU-Amtssprache verfügbar ist, die für die Endnutzer im Bestimmungs-Mitgliedstaat verständlich ist. Sechstens, dass ein bevollmächtigter Vertreter nach Art. 22 benannt ist.
Wer als KMU eines dieser Dokumente nicht erhält, darf das System nicht in Verkehr bringen. Wer es trotzdem tut, haftet wie der ursprüngliche Anbieter.
Aufbewahrungspflicht von zehn Jahren
Art. 28 Abs. 6 verpflichtet den Einführer zur Aufbewahrung der EU-Konformitätserklärung für zehn Jahre nach dem Inverkehrbringen des KI-Systems. Diese Frist deckt sich mit der Aufbewahrungspflicht des Anbieters und ist eines der wenigen Beispiele in der KI-VO, wo Einführer und Anbieter gleichermaßen langfristig belastet werden.
In der Praxis heißt das: jeder KMU-Reseller, der Drittland-KI ein einziges Mal in Verkehr bringt, muss zehn Jahre lang die Konformitätserklärung archivieren. Bei zwischenzeitlicher Insolvenz oder Geschäftsaufgabe muss diese Verpflichtung an einen Rechtsnachfolger übergehen.
Die Pflicht zur Kontakt-Markierung
Art. 28 Abs. 3 verlangt, dass der Einführer seinen Namen, eingetragenen Handelsnamen oder eingetragene Marke und Kontaktanschrift auf dem KI-System selbst oder seiner Verpackung oder den begleitenden Dokumenten anbringt. Bei Software-as-a-Service-Modellen, wo es keine Verpackung gibt, muss das im Informationsmaterial oder im Account-Bereich des Nutzers sichtbar sein.
Konkret bei einem deutschen Mittelständler, der eine US-amerikanische KI-Plattform vertreibt: Impressum-Hinweis auf der Reseller-Website mit der Einführer-Rolle und Kontaktanschrift. Verlinkung zur EU-Konformitätserklärung des Anbieters.
Prüfpflicht bei Non-Conformity
Wenn der Einführer Grund zur Annahme hat, dass das KI-System die KI-VO nicht erfüllt, muss er es vor dem Inverkehrbringen aussetzen. Art. 28 Abs. 4 verlangt, dass er den Anbieter, die Marktüberwachungs-Behörde und den bevollmächtigten Vertreter informiert. Außerdem muss er gegebenenfalls korrigierende Maßnahmen ergreifen, also Rückruf oder Sperrung.
In der Praxis ist das eine Whistleblower-Pflicht: ein KMU, das beim Vertrieb einer Drittland-KI auf Unregelmäßigkeiten stößt, kann nicht einfach weitermachen, sondern muss aktiv handeln. Wer das ignoriert, riskiert nach Art. 99 Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes.
Pflichten des Händlers nach Art. 29
Händler haben deutlich überschaubarere Pflichten als Einführer. Art. 29 Abs. 1 verlangt drei Prüfpunkte: dass CE-Kennzeichnung und EU-Konformitätserklärung des KI-Systems vorhanden sind, dass die Bedienungsanleitung in der erforderlichen Sprache vorliegt, und dass Anbieter, Einführer und gegebenenfalls bevollmächtigter Vertreter ihre Kennzeichnungs-Pflichten erfüllt haben.
Zusätzlich muss der Händler nach Art. 29 Abs. 2 sicherstellen, dass die Lagerung und der Transport die Konformität nicht beeinträchtigen. Bei Software-as-a-Service ist das selten relevant, bei On-Premise-Lösungen mit Hardware-Komponenten kann es bei klimatisierten Servern oder spezieller Übertragung relevant werden.
Bevollmächtigter Vertreter Art. 22: das EU-Anker-Konstrukt
Art. 22 verpflichtet jeden Drittland-Anbieter, der ein Hochrisiko-KI-System in der Union in Verkehr bringen oder in Betrieb nehmen will, einen bevollmächtigten Vertreter mit Sitz in der EU zu benennen. Die Bevollmächtigung muss schriftlich erfolgen und mindestens fünf Aufgaben umfassen.
Erstens, Aufbewahrung der EU-Konformitätserklärung und der technischen Dokumentation für zehn Jahre nach dem Inverkehrbringen. Zweitens, Bereitstellung dieser Dokumente auf Anfrage der zuständigen nationalen Behörde. Drittens, Kooperation mit den Behörden bei korrigierenden Maßnahmen. Viertens, Beendigung des Mandats unter Information aller Beteiligten, falls der Vertreter Grund zur Annahme hat, dass der Anbieter gegen die KI-VO verstößt. Fünftens, Beantwortung von Anfragen der nationalen Behörden in der Amtssprache des betreffenden Mitgliedstaats.
Wer als deutsches KMU diese Rolle für einen US-Anbieter übernimmt, sollte das vertraglich sauber regeln. Marktüblich sind Honorare zwischen 8.000 und 30.000 Euro pro Jahr je nach Komplexität des KI-Systems und der Frequenz behördlicher Anfragen.
Drei Praxis-Beispiele aus dem KMU-Alltag
Ein IT-Systemhaus in Stuttgart verkauft eine US-amerikanische KI-Plattform für Kundenservice-Automatisierung an deutsche Mittelständler. Das Systemhaus konfiguriert die Plattform für den Kunden, schließt Verträge ab und stellt Rechnungen. Es ist Einführer. Es muss vor dem ersten Vertragsabschluss prüfen, ob CE-Kennzeichnung, technische Dokumentation, EU-Konformitätserklärung und Bevollmächtigter vorliegen.
Ein SaaS-Partner in Berlin vertreibt ChatGPT-Enterprise-Lizenzen für deutsche Konzerne. OpenAI ist der Anbieter mit eigenem EU-Bevollmächtigtem (OpenAI Ireland Limited). Der Berliner Partner ist Händler, weil er als zweiter Glied in der Vertriebskette agiert. Er hat die geringere Prüfpflicht nach Art. 29.
Ein KMU-Berater in München übernimmt für einen israelischen KI-Anbieter die Rolle des EU-Bevollmächtigten nach Art. 22. Er hält die EU-Konformitätserklärung vor, kommuniziert mit der Bundesnetzagentur und behandelt Beschwerden. Honorar: 18.000 Euro pro Jahr. Vertraglich abgesichert mit klarer Haftungsbegrenzung.
Was im Reseller-Vertrag drinstehen muss
Jeder Reseller-Vertrag mit einem Drittland-Anbieter braucht vier Klauseln. Eine Konformitäts-Klausel: der Anbieter garantiert, dass er das Konformitätsbewertungsverfahren durchgeführt hat und alle Dokumente bereitstellt. Eine Aktualisierungs-Klausel: der Anbieter informiert über Updates der EU-Konformitätserklärung oder substanzielle Modifikationen. Eine Haftungsklausel: der Anbieter haftet gegenüber dem Reseller für Schäden aus mangelnder Konformität. Eine Beendigungs-Klausel: was passiert mit der zehnjährigen Aufbewahrungspflicht bei Vertragsende.
Ohne diese Klauseln steht der Reseller als Einführer allein in der Pflicht, ohne Regress auf den ursprünglichen Anbieter.
Brexit-Sonderfall: UK-Anbieter
Mit dem Brexit ist das Vereinigte Königreich aus EU-Sicht zum Drittland geworden. UK-Anbieter müssen einen EU-Bevollmächtigten benennen, wenn sie Hochrisiko-KI in der EU bereitstellen. Auch wenn Großbritannien ein eigenes KI-Recht entwickelt, ändert das nichts an der EU-Sicht: UK ist Drittland, Einfuhr nach EU folgt Art. 28.
Brückenfunktion zu DSGVO und ePrivacy
Art. 28 KI-VO verzahnt sich mit der DSGVO. Ein Drittland-KI-System verarbeitet oft personenbezogene Daten, dann gilt zusätzlich Art. 28 DSGVO mit dem Auftragsverarbeitungsvertrag und die Vorgaben zu internationalen Datentransfers nach Kapitel V DSGVO. Wer als Einführer eine US-amerikanische KI in Verkehr bringt, muss also nicht nur die KI-VO-Pflichten, sondern auch die DSGVO-Transferregeln (EU-US Data Privacy Framework oder Standardvertragsklauseln) prüfen.
Eigene Haltung aus der Beratungspraxis
Die meisten KMU unterschätzen ihre Einführer-Rolle massiv. Ein typisches Beispiel ist ein IT-Systemhaus, das KI-Lösungen vom US-Hersteller für deutsche Kunden konfiguriert und ausrollt. Aus Sicht des Kunden ist das Systemhaus der Anbieter, aus EU-rechtlicher Sicht der Einführer mit Prüfpflicht und zehnjähriger Aufbewahrungsverpflichtung. Wer das nicht früh in Verträgen und Prozessen abbildet, hat bei der ersten Marktüberwachungsprüfung eine unangenehme Überraschung.
Häufige Fragen
Bin ich Einführer, wenn ich nur einen API-Key meines US-Anbieters an meinen Kunden weiterverkaufe? Wenn der API-Key auf den Namen des Kunden läuft und der Kunde Vertragspartner des US-Anbieters wird, bist du höchstens Vermittler ohne Einführer-Pflichten. Wenn der API-Key auf deinen Namen läuft und du den Service unter eigenem Branding verkaufst, bist du Einführer oder sogar Anbieter nach Art. 25.
Gilt Art. 28 auch für GPAI-Modelle? Ja, GPAI-Anbieter aus Drittländern müssen ebenfalls einen EU-Bevollmächtigten nach Art. 22 benennen. Die Einführer-Pflichten nach Art. 28 gelten analog, mit Anpassungen für GPAI (technische Dokumentation nach Anhang XI statt Anhang IV).
Was passiert mit UK-Anbietern nach Brexit? UK ist aus EU-Sicht Drittland. UK-KI-Anbieter brauchen einen EU-Bevollmächtigten, Einführer in die EU haben volle Prüfpflichten. Die Vereinfachungen aus dem Trade and Cooperation Agreement betreffen Waren-Zölle, nicht KI-VO-Pflichten.
Wie lange muss ich die Konformitätserklärung als Einführer aufbewahren? Zehn Jahre ab dem Inverkehrbringen des KI-Systems. Das gilt auch nach Beendigung der Geschäftsbeziehung mit dem Drittland-Anbieter und muss bei Geschäftsaufgabe an einen Rechtsnachfolger übergehen.
Wer haftet, wenn ich als Einführer einen Mangel beim Drittland-Anbieter entdecke? Du musst nach Art. 28 Abs. 4 das System aussetzen, Anbieter und Marktüberwachung informieren. Wenn du das tust, schützt dich das vor Bußgeldern. Wenn du es ignorierst und das System weiter vertreibst, haftest du wie der Anbieter selbst nach Art. 99.
Wer die Anbieter-Rolle und den Wechsel von Betreiber zu Anbieter klären will, findet die Details in unserem Beitrag zur Anbieter-Betreiber-Kette nach Art. 24 und 25. Die Weiterbildung zum Digitalisierungsmanager bei SkillSprinters deckt die Rollen-Zuordnung und die Vertragspraxis in einem eigenen Modul ab und ist für Arbeitsuchende kostenlos über den Bildungsgutschein.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.