Zum Hauptinhalt springen
Kostenlose Diagnose

Glossar

25 Schlüsseldefinitionen der Verordnung

Pflichten

24 detaillierte Artikel mit Fristen

Zeitplan

Wichtige Termine von 2025 bis 2027

Diagnose

Identifizieren Sie Ihre Pflichten in 3 Minuten

KMU-Konformität

Prüfen Sie Ihre AI-Act-Pflichten in 30 Sekunden

Europäische Souveränität

100% in Frankreich gehostet

KI-Assistent

Kontextuelle KI mit abschnittsübergreifendem Gedächtnis

Dokumentenerstellung

Anhang-IV-konformer Text per KI generiert

Diagnose

Automatische Klassifizierung Ihres Systems

Versionierung

Vollständige Rückverfolgbarkeit Ihrer Projekte

Multi-Client

Multi-Client-Verwaltung für Agenturen

PDF-Export

Professionelle PDFs für das Audit

PreiseBlogAnmelden
ki-gesetz nationale behördenbundesnetzagentur ki

KI-Gesetz: Nur 8 Mitgliedstaaten von 27 sind bereit - was das wirklich für Ihre Compliance bedeutet

25. März 20267 min4
KI-Gesetz: Nur 8 Mitgliedstaaten von 27 sind bereit - was das wirklich für Ihre Compliance bedeutet

Auf einen Blick

  • Verpasste Pflicht: Die Benennung der nationalen zuständigen Behörden war gemäß Artikel 70 des KI-Gesetzes bis zum 2. August 2025 fällig. Die Mehrheit der Mitgliedstaaten hat diese Frist nicht eingehalten.
  • 8 von 27: Nur 8 Mitgliedstaaten haben ihren einzigen Ansprechpartner bei der Europäischen Kommission formal gemeldet - ein struktureller Rückstand beim Aufbau des Durchsetzungsrahmens
  • Ihre Pflichten ändern sich nicht: Der Rückstand der Mitgliedstaaten entbindet Unternehmen nicht von ihren Pflichten. Das KI-Gesetz gilt unmittelbar für Anbieter und Betreiber, unabhängig von der Bereitschaft nationaler Behörden
  • Fragmentierte Durchsetzung: Ohne benannte Behörden wird die Durchsetzung kurzfristig von Mitgliedstaat zu Mitgliedstaat uneinheitlich sein
  • Frankreich, Spanien, Deutschland sind weiter: Einige Länder stechen hervor - DGCCRF in Frankreich, AESIA in Spanien, Bundesnetzagentur in Deutschland
  • Weiteres Argument für den Digital Omnibus: Dieser institutionelle Rückstand stärkt die Logik der vorgeschlagenen Verschiebung - wie setzt man eine Verordnung durch, ohne die Behörden dafür?

Bis zum 2. August 2025 hätten alle EU-Mitgliedstaaten ihre nationalen zuständigen Behörden für die Anwendung des KI-Gesetzes benennen müssen - ihren einzigen Ansprechpartner, ihre Marktüberwachungsbehörde, ihre Notifizierungsbehörde. Gesetzliche Frist, klare Pflicht, veröffentlichter Text. Ergebnis: Nur 8 Mitgliedstaaten von 27 haben diese Frist eingehalten. Diese Zahl, die während der Debatten zum Digital Omnibus im Europäischen Parlament ans Licht kam, sagt viel über den tatsächlichen Zustand der europäischen Bereitschaft für die eigene KI-Regulierung aus.

Für Unternehmen stellt sich sofort eine berechtigte Frage: Wenn die Staaten selbst nicht bereit sind, muss ich es dann sein? Die Antwort ist eindeutig: Ja.

Was Artikel 70 von den Mitgliedstaaten verlangt

Artikel 70 der Verordnung (EU) 2024/1689 ist eindeutig. Jeder Mitgliedstaat musste bis zum 2. August 2025:

  • Mindestens eine Marktüberwachungsbehörde benennen, die die Konformität der auf seinem Hoheitsgebiet eingesetzten KI-Systeme überprüft
  • Mindestens eine Notifizierungsbehörde benennen, die für die Akkreditierung von Zertifizierungsstellen für Hochrisikosysteme zuständig ist
  • Der Kommission die Identität seines einzigen Ansprechpartners (SPC) mitteilen
  • Die Kontaktdaten dieser Behörden auf elektronischem Weg öffentlich zugänglich machen

Diese Behörden spielen eine zentrale Rolle: Sie sind der Durchsetzungsarm des KI-Gesetzes vor Ort. Sie werden Untersuchungen durchführen, Konformitätsmaßnahmen anordnen, Bußgelder verhängen und sich mit dem KI-Büro auf europäischer Ebene koordinieren.

Wer gehandelt hat - und wer zurückliegt

Deutschland

Deutschland hat die Bundesnetzagentur als Marktüberwachungsbehörde und die Deutsche Akkreditierungsstelle als Notifizierungsbehörde benannt. Das Land ist mit der Annahme des KI-MIG-Gesetzentwurfs im Bundeskabinett im Februar 2026 noch einen Schritt weiter gegangen - dem ersten nationalen Umsetzungsrahmen.

Frankreich

Frankreich hat ein koordiniertes Mehr-Behörden-Modell gewählt. Die DGCCRF fungiert als einziger Ansprechpartner. Mehrere Sektorbehörden sind beteiligt: die CNIL für Datenschutzfragen, die ANSSI für Cybersicherheit, die ARCOM für digitale Inhalte.

Spanien

Spanien hat eine eigenständige Behörde geschaffen: die AESIA (Spanische KI-Aufsichtsbehörde), die in Koordination mit der AEPD, der Banco de España und der CNMV arbeitet.

Irland

Irland hat sich für ein dezentrales Modell mit fünfzehn benannten zuständigen Behörden entschieden, koordiniert durch das National AI Office, das seit September 2025 operativ ist.

Diese Länder sind die Ausnahme. Die Mehrheit der 27 Mitgliedstaaten hat noch keinen formal operativen Rahmen - was eine beispiellose Situation weniger als fünf Monate vor der Frist schafft.

Warum dieser Rückstand - und warum er die Logik des Digital Omnibus stärkt

  • Fehlende harmonisierte Normen: Ohne die technischen Standards des CEN-CENELEC wissen die nationalen Behörden nicht genau, nach welchen Kriterien sie die Konformität von Hochrisikosystemen beurteilen sollen.
  • Fehlende Ressourcen und Fachkenntnisse: Das KI-Gesetz verlangt von den Behörden Kompetenz in KI, Datenschutz, Cybersicherheit und Recht. Dieses seltene Profil ist im öffentlichen Sektor schwer zu rekrutieren.
  • Organisatorische Komplexität: Einige Mitgliedstaaten - insbesondere jene mit föderalen oder stark dezentralisierten Strukturen - haben Schwierigkeiten zu bestimmen, welche bestehende Behörde umgewidmet werden soll.
Das ist kein Zeichen regulatorischer Schwäche - es ist ein Zeichen von Realismus. Das KI-Gesetz ist eine Verordnung von beispielloser Komplexität. Ihr die richtigen Werkzeuge zu geben, um ordentlich zu funktionieren, ist besser als sie zu schnell und schlecht anzuwenden.

Was das konkret für Ihr Unternehmen ändert

Die rechtliche Antwort lautet: Nein, Sie können Ihre Compliance nicht verzögern. Aus drei Gründen:

1. Das KI-Gesetz ist eine unmittelbar anwendbare EU-Verordnung

Im Gegensatz zu einer Richtlinie gilt eine EU-Verordnung direkt in allen Mitgliedstaaten ohne nationales Umsetzungsgesetz. Die Tatsache, dass ein Staat seine nationale Behörde noch nicht benannt hat, setzt Ihre gesetzlichen Pflichten nicht aus.

2. Das KI-Büro kann nationale Behörden teilweise ersetzen

Der Digital Omnibus stärkt gezielt die Rolle des KI-Büros (AI Office) als zentrale Behörde. Für GPAI-Modelle und in sehr große Plattformen integrierte Systeme verfügt das KI-Büro über direkte Untersuchungs- und Sanktionsbefugnisse, unabhängig von nationalen Behörden.

3. Ihre vertragliche Haftung gegenüber Kunden besteht bereits

Über regulatorische Sanktionen hinaus beginnen Ihre Kunden - insbesondere Großkonzerne und öffentliche Stellen - die KI-Gesetz-Konformität in ihre Ausschreibungen und Verträge zu integrieren.

Was Sie trotz dieses Kontexts tun sollten

  1. Ihre zuständige nationale Behörde nach Sektor identifizieren: Wenn Ihr Land seine Behörden bereits benannt hat, ermitteln Sie, welche für Ihre Systeme zuständig sein wird. Frühe Kontaktaufnahme ist ein Vorteil.
  2. Ihre Bemühungen nach Treu und Glauben dokumentieren: Im Falle einer Prüfung in den ersten Monaten der Anwendung ist ein datiertes KI-System-Inventar, eine Risikoklassifizierung und ein Compliance-Plan ein konkreter Schutz.
  3. Nicht auf Behörden warten, um voranzukommen: Die Klassifizierung Ihrer Systeme nach Anhang III, die Dokumentation Ihrer menschlichen Aufsicht, die Aktualisierung Ihrer rechtlichen Hinweise für Artikel 50 - keine dieser Schritte hängt von einer operativen nationalen Behörde ab.
  4. Benennungen in Ihrem Mitgliedstaat beobachten: Die Kommission veröffentlicht die Liste der einzigen Ansprechpartner laufend. Bleiben Sie über den KI-Gesetz-Zeitplan auf AiActo informiert.

Die kostenlose AiActo-Diagnose hilft Ihnen, Ihre Systeme zu klassifizieren, Ihre Pflichten zu identifizieren und Ihre Dokumentation zu strukturieren - ohne auf eine operative nationale Behörde warten zu müssen.

Häufig gestellte Fragen

Kann ich sanktioniert werden, wenn mein Mitgliedstaat noch keine Behörden benannt hat?

Rechtlich ja - das KI-Gesetz ist unmittelbar anwendbar. In der Praxis wird die frühe strenge Durchsetzung wahrscheinlich auf Staaten konzentriert sein, in denen Behörden operativ sind. Aber "wahrscheinlich kurzfristig wenig kontrolliert" ist keine ausreichende Rechtsgrundlage für die Nichtbeachtung Ihrer Pflichten.

Wer überwacht GPAI-Modelle, wenn nationale Behörden nicht bereit sind?

Das KI-Büro auf europäischer Ebene. GPAI-Pflichten (Artikel 51-56) sind seit August 2025 in Kraft, und das KI-Büro verfügt über direkte Untersuchungs- und Sanktionsbefugnisse für diese Modelle, unabhängig von nationalen Behörden.

Welche Behörde ist für ein deutsches Unternehmen zuständig?

In Deutschland ist die Bundesnetzagentur die Marktüberwachungsbehörde für das KI-Gesetz. Für sektorspezifische Fragen können weitere Behörden zuständig sein, z. B. die BaFin für Finanzsysteme oder die BfArM für Medizinprodukte mit KI-Komponenten.

Rechtfertigt der Rückstand der Mitgliedstaaten eine Verzögerung meiner Compliance-Arbeit?

Nein. Das KI-Gesetz gilt direkt für Unternehmen. Nationale Behördenverzögerungen können das Prüfrisiko vorübergehend verringern, reduzieren aber weder Ihre rechtliche Exposition noch Ihr kommerzielles Risiko gegenüber Kunden. Früh zu beginnen bleibt in allen Szenarien die robusteste Strategie.

Der Rückstand von 19 Mitgliedstaaten von 27 sendet ein klares Signal: Das KI-Gesetz ist eine Verordnung von seltener Komplexität, die weder Unternehmen noch Staaten vollständig antizipiert hatten. Aber dieses Signal ändert nicht die Richtung - es bestätigt die Dringlichkeit, sich ernsthaft vorzubereiten. Verfolgen Sie den vollständigen KI-Gesetz-Zeitplan auf AiActo, um alle Entwicklungen des regulatorischen Kalenders zu verfolgen.

Diesen Artikel teilen