Wer überwacht den EU AI Act? Behörden und Marktüberwachung

Über Pflichten aus dem EU AI Act wird viel geschrieben — über die Behörden, die diese Pflichten durchsetzen, deutlich weniger. Dabei entscheidet genau diese Durchsetzungsarchitektur darüber, wem ein Unternehmen im Ernstfall gegenübersteht, wer Unterlagen anfordern darf und nach welchen Maßstäben geprüft wird. Wer die Behördenstruktur kennt, versteht auch, warum nachweisbare Evidenz kein Nice-to-have ist, sondern der eigentliche Prüfgegenstand.

Dieser Beitrag ordnet die Durchsetzungsebenen der Verordnung (EU) 2024/1689 ein: von den nationalen Behörden über die Marktüberwachung bis zur europäischen Koordinierung — und zeigt, was das praktisch für Provider und Deployer bedeutet.

Zwei Ebenen: national zuständig, europäisch koordiniert

Der EU AI Act folgt einem bewährten Muster des EU-Produktrechts: Durchgesetzt wird primär national, koordiniert wird europäisch. Artikel 70 verpflichtet jeden Mitgliedstaat, nationale zuständige Behörden zu benennen — konkret mindestens eine notifizierende Behörde und eine Marktüberwachungsbehörde. Diese Benennung musste laut Verordnung bis zum 2. August 2025 erfolgen und der Kommission samt zentraler Kontaktstelle mitgeteilt werden.

Auf europäischer Ebene stehen zwei Gremien: das AI Office innerhalb der Kommission, das insbesondere bei General-Purpose-AI-Modellen eigene Aufsichts- und Durchsetzungskompetenzen hat, und das Europäische Gremium für Künstliche Intelligenz (KI-Ausschuss) aus Vertretern der Mitgliedstaaten, das für einheitliche Anwendung sorgt. Diese europäische Schicht setzt nicht gegen einzelne Unternehmen durch — sie verhindert, dass 27 Mitgliedstaaten die Verordnung in 27 verschiedene Auslegungen zerfasern.

Für Unternehmen heißt das: Der erste Ansprechpartner ist fast immer die nationale Marktüberwachungsbehörde des jeweiligen Rechtsraums — in DE, in den übrigen EU27-Staaten je eigenständig. Für den UK-Markt gilt diese Struktur nicht; dort greift ein eigener, sektoral geprägter Regulierungsansatz. Und für CH ist der EU AI Act über den Marktort relevant, sobald ein KI-System in der Union in Verkehr gebracht oder dort verwendet wird.

Marktüberwachung: Wer prüft, was er anfordern darf

Den operativen Kern der Durchsetzung bildet die Marktüberwachung. Artikel 74 erklärt die EU-Marktüberwachungsverordnung (EU) 2019/1020 für anwendbar und überträgt den Marktüberwachungsbehörden weitreichende Befugnisse: Sie können Dokumentation anfordern, Konformität prüfen, und bei nicht konformen oder risikobehafteten KI-Systemen Korrekturmaßnahmen, Rücknahmen oder Marktverbote anordnen.

Entscheidend ist, was geprüft wird. Eine Behörde überprüft nicht die guten Absichten eines Anbieters, sondern die technische Dokumentation nach Anhang IV, die Risikomanagement-Unterlagen nach Artikel 9, die Datendokumentation nach Artikel 10 und die Aufzeichnungen aus der Protokollierung nach Artikel 12. Anders gesagt: Geprüft wird Evidenz. Wer im Audit nur erklären kann, dass etwas getan wurde, ohne es belegen zu können, hat aus Behördensicht nichts vorzuweisen.

Hinzu kommt eine Eskalationslogik: Stuft eine nationale Behörde ein KI-System als nicht konform oder als Risiko ein, bleibt die Maßnahme nicht zwingend lokal. Über die in der Verordnung vorgesehenen Schutzklausel- und Informationsverfahren werden andere Mitgliedstaaten und die Kommission einbezogen. Eine in einem Rechtsraum getroffene Feststellung kann damit Wirkung im gesamten Binnenmarkt entfalten — ein zusätzlicher Grund, Evidenz nicht nur für die eigene Heimatbehörde vorzuhalten, sondern auf einem konsistenten, übertragbaren Stand.

Genau hier zeigt sich, warum AEGIRA Trust als Infrastruktur versteht und nicht als Compliance-Beiwerk. Compliance ist die Folge davon, dass Evidenz lückenlos vorliegt — nicht umgekehrt. Eine Marktüberwachungsbehörde, die Unterlagen anfordert, fragt im Kern nach genau dieser nachweisbaren Spur.

Grundrechtsbehörden und die zweite Prüfperspektive

Neben der produktrechtlichen Marktüberwachung kennt die Verordnung eine zweite Aufsichtsperspektive. Artikel 77 verpflichtet die Mitgliedstaaten, jene Behörden zu benennen, die den Schutz der Grundrechte überwachen — etwa Datenschutz-, Antidiskriminierungs- oder Gleichbehandlungsstellen. Diese Behörden können bei Hochrisiko-KI Zugang zur Dokumentation verlangen, wenn sie ihn zur Wahrnehmung ihres Mandats benötigen.

Für Unternehmen bedeutet das eine doppelte Erwartungshaltung: Dieselbe Dokumentation muss sowohl einer technisch-produktrechtlichen als auch einer grundrechtlichen Prüfung standhalten. Ein KI-System im Recruiting oder im Kreditwesen kann also von zwei Seiten beleuchtet werden — funktional korrekt und zugleich diskriminierungsfrei nachweisbar. Wer seine Evidenz nur auf die technische Konformität ausrichtet, unterschätzt die zweite Prüflinie.

Sanktionen: Das scharfe Ende der Durchsetzung

Am Ende der Durchsetzungskette stehen die Bußgelder. Artikel 99 staffelt sie nach Schwere: Verstöße gegen das Verbot bestimmter Praktiken aus Artikel 5 sind mit den höchsten Bußgeldern bewehrt, gefolgt von Verstößen gegen die übrigen Pflichten und gesonderten Rahmen für unrichtige Angaben gegenüber Behörden. Die Verordnung sieht zudem ausdrücklich vor, dass bei der Bemessung die Größe und Marktstellung des Unternehmens berücksichtigt werden.

Wichtig ist die zeitliche Einordnung: Die breite Durchsetzung der Hochrisiko-Pflichten ist im Zuge des Digital Omnibus auf den 2. Dezember 2027 terminiert. Das ist kein Grund zur Entspannung, sondern der Stichtag, bis zu dem die Nachweisstruktur stehen muss — denn aufgebaute Evidenz lässt sich nicht rückwirken. Eine vertiefte Einordnung der Bußgeldlogik und aktueller Durchsetzungstendenzen finden Sie auf unserer Schwesterseite ki-bussgeld.de.

Was Unternehmen daraus ableiten sollten

Die Behördenstruktur ist kein abstraktes Organigramm — sie definiert, woran ein KI-System im Ernstfall gemessen wird. Drei Konsequenzen ergeben sich daraus: Erstens sollte jedes Unternehmen wissen, welche nationale Marktüberwachungsbehörde für seinen Rechtsraum zuständig ist und über welche zentrale Kontaktstelle sie erreichbar ist. Zweitens sollte die technische Dokumentation so geführt werden, dass sie ohne Vorlauf vorlagefähig ist — Marktüberwachung kündigt sich nicht immer lange vorher an. Drittens sollte dieselbe Evidenz beiden Prüfperspektiven standhalten, der produktrechtlichen und der grundrechtlichen.

Die gemeinsame Klammer all dieser Punkte ist nachweisbare, audit-ready Evidenz. Genau dort setzt eine Trust-Infrastruktur an: Sie organisiert die Spur, die Behörden im Zweifel sehen wollen, bevor jemand danach fragt.

Mehr dazu, wie sich AI-Trust nachweisbar und audit-ready aufbauen lässt: aegira.ai.