Published on

AI Office Brüssel: Zuständigkeit und Eskalation im Enforcement

Authors

Wer verstehen will, wie die EU AI Act-Durchsetzung ab dem 02.12.2027 organisiert ist, kommt am AI Office nicht vorbei. Es ist keine klassische Aufsichtsbehörde mit Zuständigkeit für einzelne Systeme im Feld, sondern der zentrale Koordinationsknoten der Union — und in einem klar abgegrenzten Bereich selbst durchsetzende Instanz. Für die Frage, wer im Verstoßfall tatsächlich das Verfahren führt, ist die Trennung zwischen AI Office und nationalen Aufsichten entscheidend.

Was das AI Office ist

Das AI Office wurde als Teil der Europäischen Kommission eingerichtet, organisatorisch in der Generaldirektion CNECT verankert und in Brüssel angesiedelt. Anders als die nationalen Aufsichtsbehörden entstammt es nicht dem Mitgliedstaatenrecht, sondern der Unionsverwaltung. Seine Aufgaben ergeben sich aus Art. 64 der Verordnung (EU) 2024/1689: Beitrag zur einheitlichen Anwendung des AI Act, Aufbau von Kompetenz und Kapazitäten der Union, Betreuung der Regeln für General-Purpose-AI-Modelle und Unterstützung der Kommission bei der Durchsetzung.

Das AI Office ist damit gleichzeitig Policy-Instanz, Wissenszentrum und — für einen Teilbereich — Durchsetzungsorgan. Diese Doppelrolle ist ungewöhnlich und der Grund, warum die Zuständigkeitsfrage oft missverstanden wird.

Die Governance-Architektur rund um das AI Office

Der AI Act baut eine mehrschichtige Governance auf, in deren Zentrum das AI Office steht, das aber nicht allein agiert:

Das European Artificial Intelligence Board (Art. 65, 66) versammelt Vertreter der Mitgliedstaaten und sorgt für die Koordination zwischen den nationalen Aufsichten. Es gibt Empfehlungen und Stellungnahmen ab und harmonisiert die Verwaltungspraxis über die Grenzen hinweg.

Das Advisory Forum (Art. 67) bindet Stakeholder aus Industrie, Zivilgesellschaft und Wissenschaft ein und liefert technische wie praktische Expertise.

Das Scientific Panel unabhängiger Sachverständiger (Art. 68) unterstützt insbesondere die Durchsetzung bei General-Purpose-AI-Modellen und kann qualifizierte Warnungen über systemische Risiken aussprechen.

Diese Struktur bedeutet: Das AI Office ist der operative Kern, aber Board, Forum und Panel formen die Leitplanken, an denen sich auch nationale Aufsichten orientieren.

Wo das AI Office selbst durchsetzt: General-Purpose AI

Der entscheidende Punkt für die Enforcement-Praxis ist die exklusive Zuständigkeit des AI Office für General-Purpose-AI-Modelle (GPAI). Nach Art. 88 überwacht das AI Office die Einhaltung der Pflichten von GPAI-Anbietern — also der Modelle, die als Grundlage für viele nachgelagerte Systeme dienen. Für diesen Bereich ist nicht die nationale Aufsicht des Mitgliedstaats zuständig, sondern die Kommission über das AI Office.

Entsprechend liegt auch die Sanktionsgewalt hier bei der Kommission: Nach Art. 101 kann die Kommission gegen GPAI-Anbieter Geldbußen von bis zu 3 % des weltweiten Jahresumsatzes oder 15 Mio. EUR verhängen — je nachdem, welcher Betrag höher ist. Das ist ein eigenständiges Sanktionsregime neben den in Art. 99 geregelten Strafen, die von den nationalen Aufsichten verhängt werden.

Für Anbieter großer Basismodelle heißt das konkret: Der Ansprechpartner im Ernstfall sitzt in Brüssel, nicht in Bonn, Bern oder London. Verfahren, Auskunftsersuchen und mögliche Sanktionen laufen über die Unionsebene.

Wo die nationalen Aufsichten führen: Hochrisiko-Systeme im Feld

Für die weit größere Zahl an Fällen — die konkreten Hochrisiko-KI-Systeme, die von Providern in Verkehr gebracht und von Deployern eingesetzt werden — bleibt die Zuständigkeit national. Jeder Mitgliedstaat benennt nach Art. 70 seine zuständigen Behörden, darunter mindestens eine Marktüberwachungsbehörde und eine notifizierende Behörde. Diese führen die Verfahren, ordnen Korrekturmaßnahmen an, verhängen Bußgelder nach Art. 99 und können im Extremfall Systeme vom Markt nehmen.

In Deutschland ist die Bundesnetzagentur als zentrale Marktüberwachungs- und Koordinierungsstelle vorgesehen, flankiert von den Datenschutzaufsichten und sektoralen Behörden wie der BaFin. Wie diese nationale Ebene im Detail aufgestellt ist, behandelt die eigene Übersicht zu den Aufsichtsbehörden in Deutschland.

Wie eskaliert wird

Die Trennung ist nicht wasserdicht — es gibt Berührungspunkte, an denen die Ebenen ineinandergreifen:

Erstens kann das AI Office nationale Aufsichten koordinieren, wenn ein Fall mehrere Mitgliedstaaten betrifft oder ein GPAI-Modell in zahlreiche nachgelagerte Hochrisiko-Systeme eingebettet ist. Hier greift die Schnittstelle zwischen der EU-Ebene (Modell) und der nationalen Ebene (konkrete Anwendung).

Zweitens kann das Scientific Panel eine qualifizierte Warnung über ein systemisches Risiko eines GPAI-Modells aussprechen und damit ein Tätigwerden des AI Office auslösen.

Drittens sorgt das Board für die Harmonisierung, damit dieselbe Verstoßart nicht in Frankreich anders sanktioniert wird als in Deutschland. Diese Angleichung ist rechtlich nur ein Empfehlungsmechanismus, faktisch aber prägend für die Behördenpraxis.

Praktisch bedeutet das eine zweigleisige Landkarte: Modell-Ebene → AI Office und Kommission; Anwendungs-Ebene → nationale Marktüberwachung. Wer beide Rollen einnimmt — etwa ein Konzern, der ein eigenes Basismodell entwickelt und es zugleich in Hochrisiko-Anwendungen einsetzt — kann sich zwei parallelen Aufsichtsschienen gegenübersehen.

Was das für die Vorbereitung heißt

Für Organisationen ergeben sich daraus drei nüchterne Konsequenzen. Erstens: Die Frage „Wer ist im Ernstfall mein Ansprechpartner?" hat keine pauschale Antwort — sie hängt davon ab, ob es um ein GPAI-Modell oder um ein Hochrisiko-System im Feld geht. Diese Einordnung sollte vor dem 02.12.2027 geklärt sein, nicht danach.

Zweitens: Die Nachweisführung muss beiden Ebenen standhalten. Das AI Office wie die nationalen Aufsichten arbeiten evidenzbasiert — belastbare Dokumentation der eingesetzten Modelle, ihrer Herkunft und ihrer Kontrollen ist die Grundlage jeder Verteidigung. Trust-Infrastructure bedeutet genau das: nachweisbare, audit-fähige Artefakte statt nachträglicher Rekonstruktion.

Drittens: Wer die Governance-Architektur früh versteht, kann seine internen Verantwortlichkeiten daran ausrichten — eine Zuordnung, wer intern mit welcher Ebene kommuniziert, spart im Verfahrensfall wertvolle Zeit.

Mehr Kontext zur gesamten EU-AI-Act-Governance: Leitfaden auf eu-ai-verordnung.de. Trust-Infrastructure systematisch aufbauen statt reaktiv auf Enforcement reagieren — mehr unter aegira.ai.