AI Act nationale Umsetzung: Wie Deutschland, Frankreich und Benelux beim Enforcement auseinanderdriften

Der AI Act ist seit August 2024 in Kraft – aber wie er tatsächlich durchgesetzt wird, entscheiden die Mitgliedstaaten. Deutschland, Frankreich und die Benelux-Länder haben inzwischen erste Enforcement-Pläne vorgelegt. Das Ergebnis: drei spürbar unterschiedliche Regulierungsarchitekturen, die für KI-Anbieter und Betreiber von Hochrisiko-Systemen konkrete Konsequenzen haben.

Ein Gesetz, viele Aufsichtsbehörden

Der AI Act ist eine EU-Verordnung – unmittelbar geltendes Recht in allen 27 Mitgliedstaaten. Das klingt nach Einheitlichkeit. Ist es aber nicht. Denn die Verordnung lässt erheblichen Spielraum bei der Frage, wie Enforcement organisiert wird: Welche nationalen Behörden prüfen, welche Verfahren gelten, wie tief Audits gehen, welche Sanktionsphilosophie die zuständigen Stellen verfolgen. Genau hier beginnt die Fragmentierung.

Die Monitoring-Plattform artificialintelligenceact.eu dokumentiert den Umsetzungsstand in den Mitgliedstaaten laufend. Das Ergebnis ist ernüchternd: Zum Stichtag 2. August 2025, an dem die Mitgliedstaaten ihre Marktüberwachungsbehörden und notifizierenden Stellen benennen mussten, hatten lediglich neun Staaten beide Stellen klar benannt. Zwölf Staaten galten als „teilweise klar“, sechs als schlicht unklar. Das ist kein Randproblem – es trifft direkt die Durchsetzbarkeit des AI Act zur Vollanwendbarkeit am 2. August 2026.

Für Unternehmen, die KI-Systeme in mehreren Märkten betreiben, ist diese Heterogenität kein akademisches Problem. Sie müssen mit unterschiedlichen Ansprechpartnern, Prüfprozessen und Interpretationsspielräumen umgehen – obwohl das zugrundeliegende Recht dasselbe ist.

Deutschland: Hybrides Modell mit Bundesnetzagentur als Dreh- und Angelpunkt

Die Bundesregierung hat am 11. Februar 2026 den Gesetzentwurf zur Durchführung der europäischen KI-Verordnung beschlossen. Das sogenannte KI-Marktüberwachungs- und Innovationsförderungsgesetz – kurz KI-MIG – ist der zentrale Baustein der deutschen Umsetzung. Der Titel sagt bereits viel über die politische Prioritätensetzung: Marktüberwachung und Innovationsförderung in einem Atemzug.

Deutschland verzichtet bewusst auf eine neue, monolithische KI-Aufsichtsbehörde. Stattdessen setzt das KI-MIG auf einen hybriden Ansatz: Bestehende sektorale Regulatoren – etwa im Bereich Medizinprodukte, Finanzmarkt oder Telekommunikation – übernehmen die Fachaufsicht für KI-Systeme in ihrem jeweiligen Sektor. Die Bundesnetzagentur fungiert dabei als zentrale Anlaufstelle und Koordinierungsstelle für Unternehmen und Behörden, übernimmt aber keine allumfassende Aufsichtsfunktion.

Das klingt pragmatisch und ist es auch – mit einem Haken. Ein dezentral-sektorales Modell bedeutet, dass ein Unternehmen, das KI in mehreren Bereichen einsetzt, unter Umständen mit verschiedenen Behörden gleichzeitig interagieren muss. Wer ein KI-System für Kreditwürdigkeitsprüfung und gleichzeitig für HR-Screening einsetzt, könnte sich zwischen Finanzaufsicht und Arbeitsbehörde wiederfinden. Wie reibungslos die Koordination über die Bundesnetzagentur in der Praxis funktioniert, wird sich erst zeigen. Der DIHK hat in seinem Impulspapier zur nationalen Umsetzung jedenfalls klare, praxisnahe Zuständigkeitsregelungen und geringe Bürokratie eingefordert – was impliziert, dass diese Erwartungen noch nicht vollständig erfüllt sind.

Gegenargument: Dezentralität als Stärke?

Es gibt ein ernstzunehmendes Argument für das deutsche Modell, das in der Debatte oft zu kurz kommt. Sektorale Fachbehörden bringen tiefes Domänenwissen mit: Die Bundesanstalt für Finanzdienstleistungsaufsicht versteht Kreditrisiken, das Bundesamt für Arzneimittel und Medizinprodukte versteht klinische Risikoabwägungen. Eine monolithische KI-Behörde müsste dieses Wissen erst aufbauen. Das Hybridmodell nutzt vorhandene Expertise – sofern die Koordination durch die Bundesnetzagentur klar und verbindlich genug ist. Ob das gelingt, ist die offene Variable, nicht das Konzept selbst. Wer die Aufgaben der ersten Regulierungsbehörden im AI-Act-Kontext verstehen will, erkennt schnell, dass Behördenkompetenz und Kapazität entscheidende Engpassfaktoren für jedes Enforcement-Modell sind.

Zeitachse: Was gilt wann – und für wen

Bevor die nationalen Enforcement-Unterschiede praktisch relevant werden, lohnt ein kurzer Blick auf die EU-weiten Stichtage. Denn die Fragmentierung spielt sich vor einem gestaffelten Zeitplan ab:

• 2. Februar 2025: Verbote bestimmter KI-Praktiken und Pflicht zur KI-Kompetenz gelten bereits.
• 2. August 2025: Governance-Regeln und Pflichten für GPAI-Modelle (Foundation Models) sind in Kraft.
• 2. August 2026: Vollanwendbarkeit der meisten Regeln des AI Act.
• 2. Dezember 2027: Eigenständige Hochrisiko-KI-Systeme, etwa in Bildung, Beschäftigung oder Kreditvergabe, fallen vollständig unter die Anforderungen.
• 2. August 2028: Hochrisiko-KI in regulierten Produkten wie Medizingeräten oder Spielzeug muss konform sein.

Bis zur Vollanwendbarkeit im August 2026 bleiben also nur Monate. Und genau in diesem Zeitraum müssen die nationalen Enforcement-Architekturen stehen – inklusive der Behörden, die Audits durchführen, Sanktionen verhängen und Leitlinien herausgeben. Dass viele Staaten beim August-2025-Stichtag in Verzug waren, ist deshalb kein Formalfehler, sondern ein strukturelles Problem.

Frankreich: Regulatorisch stark, zentral, erfahren

Frankreich geht einen anderen Weg. Hier prägt nicht der föderale Impuls, sondern eine Tradition starker, zentralisierter Regulierungsbehörden das Bild. Die CNIL – die französische Datenschutzbehörde – ist seit Jahren eine der aktivsten und durchsetzungsstärksten Datenschutzbehörden Europas. ARCOM reguliert Medien und Online-Inhalte. Beide Behörden bringen Enforcement-Erfahrung mit, die sich direkt auf KI-Aufsicht übertragen lässt.

Das bedeutet konkret: Frankreich dürfte bei der Enforcement-Praxis schneller zu greifbaren Leitlinien und im Zweifelsfall auch zu frühen Sanktionen kommen als Länder, die ihre KI-Aufsicht erst institutionell aufbauen müssen. Die bestehenden Behörden kennen Audit-Verfahren, wissen wie man Dokumentationspflichten prüft, und haben Erfahrung mit Bußgeldverfahren. Das ist ein struktureller Vorteil bei der Durchsetzung – und für Unternehmen, die in Frankreich tätig sind, ein Risikofaktor, den sie ernst nehmen sollten.

Meine Einschätzung: Frankreich wird die Enforcement-Messlatte in Europa früher und höher setzen als Deutschland. Nicht weil das französische Recht strenger wäre – der AI Act gilt überall gleich – sondern weil die behördliche Infrastruktur bereits steht. CNIL-Audits zu GPAI-Transparenzpflichten und Hochrisiko-Dokumentation werden früher und tiefer gehen als vergleichbare Verfahren in Ländern mit noch im Aufbau befindlicher KI-Aufsicht. Wer GPAI-Modelle in Frankreich anbietet, sollte das einpreisen.

Was eine frühe CNIL-Praxis für andere Länder bedeutet

Die Konsequenzen einer früh aktiven französischen Aufsicht reichen über Frankreich hinaus. Wenn die CNIL erste Verfahren einleitet und Leitlinien veröffentlicht, entsteht faktisch eine Interpretationstradition, die andere nationale Behörden beobachten und unter Umständen übernehmen. Aus der DSGVO-Erfahrung ist bekannt, dass besonders aktive Behörden – in jenem Fall häufig die irische DPC, aber auch die CNIL – die europäische Auslegungspraxis mitprägen, selbst wenn andere Behörden formal unabhängig entscheiden. Dasselbe Muster könnte sich beim AI Act wiederholen: Wer früh prüft, setzt Maßstäbe. Für Unternehmen, die ihren KI-Compliance-Ansatz gerade aufbauen, lohnt es sich deshalb, CNIL-Verlautbarungen und erste Entscheidungen auch dann zu verfolgen, wenn der primäre Markt Deutschland oder die Niederlande ist.

Benelux: Drei Länder, drei Geschwindigkeiten

Die Benelux-Länder sind kein homogenes Regulierungsgebiet – das zeigt sich bei der AI-Act-Umsetzung besonders deutlich. Die Niederlande verfolgen traditionell einen kooperativen, innovationsfreundlichen Regulierungsstil. Sandbox-Ansätze und experimentelle Regulierungsräume sind in Den Haag keine Fremdwörter. Es ist realistisch zu erwarten, dass die niederländische KI-Aufsicht zunächst auf Dialog, Leitfäden und Pilotprojekte setzt, bevor sie in die härtere Enforcement-Praxis geht.

Belgien und Luxemburg wiederum sind stark in EU-Governance-Strukturen eingebunden – nicht zuletzt durch ihre Rolle als Sitz europäischer Institutionen. Hier ist mit einer harmonisierungsorientierten Umsetzung zu rechnen, die eng an EU-Gremien angelehnt bleibt und weniger nationale Eigenprofile ausbildet. Das hat Vorteile für Unternehmen, die EU-Compliance als gemeinsame Basis nutzen wollen – aber wenig Orientierung für spezifisch nationale Enforcement-Fragen liefert.

Innerhalb Benelux sind laut der Umsetzungsübersicht von artificialintelligenceact.eu alle drei Abstufungen vertreten: klar benannte Behörden, teilweise klare Situationen und noch unklare Zuständigkeiten. Das ist selbst für eine Drei-Länder-Region eine bemerkenswerte Bandbreite.

Wo die Fragmentierung wirklich wehtut

Es wäre falsch, die Enforcement-Unterschiede zu dramatisieren – der AI Act schafft einen harmonisierten Rechtsrahmen, das bleibt die entscheidende Grundlage. Aber die Fragmentierung entsteht nicht im Normtext, sondern in der Umsetzungspraxis. Drei Ebenen sind dabei besonders relevant:

Erstens die Interpretationsebene: Wer prüft, wie ein „angemessenes Risikomanagementsystem“ für ein Hochrisiko-KI-System aussieht, entscheidet faktisch über die Compliance-Anforderungen. Eine erfahrene, aktive Behörde wie die CNIL wird andere Maßstäbe setzen als eine neu aufgebaute KI-Aufsichtsstelle. Das führt zu unterschiedlichen de-facto-Anforderungen bei formal gleichem Recht.

Zweitens die Sanktionspraxis: Der AI Act definiert Bußgeldrahmen auf EU-Ebene. Aber welche Fälle tatsächlich verfolgt werden, wie schnell Verfahren eingeleitet werden und welche Sanktionshöhe als angemessen gilt, entscheidet die jeweilige nationale Behörde. Erste Fälle und Entscheidungen werden die Praxis erst konkretisieren – und sie werden sich zwischen Mitgliedstaaten unterscheiden.

Drittens die Zuständigkeitsfrage: Gerade für grenzüberschreitende KI-Dienste und GPAI-Modelle stellt sich die Frage, welche nationale Behörde federführend prüft. Für GPAI-Modelle hat die EU-Kommission direkte Aufsichtskompetenzen, aber nationale Behörden können ergänzend tätig werden. Wie dieses Zusammenspiel funktioniert, ist noch nicht vollständig geklärt. Das EU-Regulierungsrahmen für KI sieht zwar Koordinierungsmechanismen vor – die praktische Abstimmung zwischen nationalen Behörden und Kommission muss sich aber erst einspielen.

Praxis-Szenario: Ein mittelständischer KI-Anbieter in drei Märkten

Stellen Sie sich ein deutsches Softwareunternehmen vor, das ein KI-System zur automatisierten Personalvorauswahl entwickelt und in Deutschland, Frankreich und den Niederlanden vermarktet. Das System fällt nach aktuellem Stand unter Anhang III des AI Act als Hochrisiko-KI im Bereich Beschäftigung. Die technische Dokumentation, die Konformitätsbewertung und die Registrierung in der EU-Datenbank sind einmalige Pflichten – das ist der Vorteil des einheitlichen Rechtsrahmens. Aber dann beginnen die Unterschiede: In Deutschland muss das Unternehmen klären, welche sektorale Behörde – möglicherweise die Bundesagentur für Arbeit als fachnahe Stelle oder eine andere Aufsicht – für Prüfungen zuständig ist. In Frankreich ist damit zu rechnen, dass die CNIL oder eine benannte Stelle proaktiv auf das Unternehmen zukommt und Dokumentation anfordert, sobald das System im französischen Markt bekannt wird. In den Niederlanden besteht die Chance, über eine Sandbox-Initiative regulatorisches Feedback einzuholen, bevor ein formelles Verfahren entsteht. Drei Märkte, ein Rechtsrahmen, drei unterschiedliche Enforcement-Realitäten. Das ist kein hypothetisches Problem – es ist die Gegenwart für jeden KI-Anbieter mit europäischen Ambitionen.

Was KI-Anbieter und Betreiber jetzt konkret tun sollten

Wer KI-Systeme in mehreren der genannten Märkte betreibt oder plant, muss die Enforcement-Landschaft als Planungsvariable ernst nehmen. Das bedeutet nicht, in jedem Markt eine vollständig separate Compliance-Strategie zu fahren – aber es bedeutet, länderspezifische Behördenlandschaften zu verstehen und Prioritäten zu setzen.

Für Deutschland: Die Bundesnetzagentur als zentrale Anlaufstelle ist der erste Ansprechpartner – aber sektorale Zuständigkeiten müssen parallel geklärt werden. Das KI-MIG ist noch kein verabschiedetes Gesetz, sondern ein Kabinettsentwurf; der weitere Gesetzgebungsweg sollte beobachtet werden. Die Verbindung von Marktüberwachung und KI-Governance nach anerkannten Standards wie ISO 42001 ist dabei kein Luxus, sondern strukturelle Absicherung.

Für Frankreich: CNIL-Anforderungen ernst nehmen. Wer Foundation Models in Frankreich anbietet oder betreibt, sollte Transparenzdokumentation und technische Nachweise für GPAI-Pflichten frühzeitig aufbauen – und davon ausgehen, dass geprüft wird, sobald die Kapazität steht.

Für Benelux: In den Niederlanden lohnt frühzeitiger Kontakt zu Sandbox-Initiativen und regulatorischen Pilotprogrammen. In Belgien und Luxemburg gilt: EU-konforme Grundlagendokumentation hat Priorität, da diese Länder eng an EU-Gremien anlehnen.

Übergreifend gilt: Die Stichtage sind keine abstrakten Daten. GPAI-Pflichten gelten bereits seit August 2025. Die Vollanwendbarkeit kommt im August 2026. Wer jetzt noch keine Risikoklassifizierung vorgenommen, keine Behördenzuständigkeiten geklärt und keine Dokumentationsstruktur aufgebaut hat, gerät in einen Zeitdruck, der teuer werden kann – ganz unabhängig davon, in welchem Mitgliedstaat geprüft wird. Die nationalen Aufsichtsbehörden setzen beim AI Act zunehmend harte Linien, was die Erwartung an Dokumentationstiefe und Nachweispflichten betrifft.

Was bleibt

Der AI Act schafft europäisches Recht – aber europäische Einheitlichkeit beim Enforcement schafft er nicht automatisch. Deutschland, Frankreich und die Benelux-Länder zeigen das gerade in aller Klarheit. Ein dezentral-sektorales Modell wie in Deutschland, ein zentralisiert-starkes Behördenmodell wie in Frankreich, ein kooperativ-experimentelles wie in den Niederlanden: Das sind keine Nuancen, sondern strukturell unterschiedliche Durchsetzungsphilosophien.

Die entscheidende Frage lautet nicht, ob Fragmentierung entsteht – sie entsteht bereits. Die Frage ist, ob die EU-Koordinierungsmechanismen und die nationale Umsetzungsarbeit schnell genug reifen, um bis August 2026 eine halbwegs konsistente Enforcement-Wirklichkeit zu erzeugen. Oder ob Unternehmen auf absehbare Zeit de facto einen fragmentierten KI-Regulierungsraum navigieren müssen – mit EU-Einheitsrecht auf dem Papier und nationaler Enforcement-Vielfalt in der Praxis. Wie bereiten Sie Ihre KI-Compliance-Struktur auf diese Realität vor?