Der EU AI Act ist eine europäische Verordnung - er gilt direkt in allen Mitgliedstaaten ohne nationale Umsetzung. Die konkrete Implementierung ist jedoch national: Aufsichtsbehörden, regulatorische Sandboxen, Unternehmensbegleitung. In Frankreich nimmt der Rahmen Gestalt an. Hier ist, was französische KMU wissen müssen.
Frankreich und KI: Ein günstiger Kontext, aber Compliance im Rückstand
Frankreich gehört zu den fortschrittlichsten europäischen Ländern im Bereich KI. Paris beherbergt einen bedeutenden Anteil der europäischen KI-Startups, und die Regierung hat massiv in den Sektor investiert. Mistral AI, einer der globalen Akteure im Bereich generativer KI, ist französisch.
Dennoch hat die überwältigende Mehrheit der französischen KMU - wie im Rest Europas - noch nicht mit ihrer EU-AI-Act-Compliance begonnen. Der Handlungsdruck ist real: Es verbleiben weniger als 126 Tage bis zur Deadline des 2. August 2026.
Welche Behörde überwacht den EU AI Act in Frankreich?
Die Verordnung verpflichtet jeden Mitgliedstaat, eine oder mehrere nationale zuständige Behörden zu benennen. In Frankreich sind mehrere Institutionen beteiligt.
Die CNIL in vorderster Linie
Die Commission Nationale de l'Informatique et des Libertés (CNIL) ist die am direktesten betroffene Behörde. Als bereits bestehende DSGVO-Aufsichtsbehörde soll sie eine zentrale Rolle bei der Überwachung von KI-Systemen spielen, die personenbezogene Daten verarbeiten - was die große Mehrheit der praktischen Fälle abdeckt.
Die CNIL veröffentlichte bereits 2024 mehrere Praxisleitfäden zu KI und Datenschutz und unterstützt Unternehmen aktiv beim Verständnis ihrer Pflichten.
Die Wettbewerbsbehörde und Sektorregulatoren
Für KI-Systeme in regulierten Sektoren (Finanzen, Gesundheit, Transport) arbeiten bestehende Sektorregulatoren (AMF, ACPR, HAS...) mit den KI-Behörden zusammen. Der EU AI Act sieht diese Abstimmung mit der bestehenden Sektorregulierung vor.
Die formelle Benennung der zuständigen französischen Behörden wird vor dem 2. August 2026 erwartet, entsprechend den Anforderungen der Verordnung.
Die französische Regulierungs-Sandbox: Beaufsichtigtes Experimentieren
Artikel 57 des EU AI Act verpflichtet jeden Mitgliedstaat, vor dem 2. August 2026 mindestens eine KI-Regulierungs-Sandbox einzurichten. In Frankreich leitet die CNIL die Umsetzung dieses Rahmens. Sie hat bereits Erfahrung mit Sandboxen im Bereich personenbezogener Daten und erweitert diesen Ansatz nun auf KI.
Für französische KMU, die innovative KI-Systeme entwickeln, ist die Sandbox eine Chance: testen, anpassen und eine behördliche Validierung erhalten, bevor eine nicht konforme Markteinführung riskiert wird.
Was der EU AI Act konkret für ein französisches KMU ändert
Wenn Sie KI in Ihren Tools nutzen (Betreiber)
Die meisten französischen KMU sind in dieser Situation: Sie nutzen SaaS-Tools mit integrierter KI (Salesforce, HubSpot, HR-Tools, Content-Generierungstools...), ohne sie selbst entwickelt zu haben.
Ihre Hauptpflichten ab dem 2. August 2026:
| Pflicht | Betrifft | Deadline |
|---|---|---|
| Nutzer darüber informieren, dass sie mit KI interagieren | Jedes KI-Tool mit Nutzerkontakt | 2. August 2026 |
| Menschliche Aufsicht über automatisierte Entscheidungen | Hochrisiko-Systeme | 2. Dezember 2027 (wenn Omnibus angenommen) |
| Aufbewahrung von Nutzungsprotokollen | Hochrisiko-Systeme | 2. Dezember 2027 (wenn Omnibus angenommen) |
| Schulung Ihrer Teams zu KI (KI-Kompetenz) | Alle | 2. August 2026 |
Wenn Sie KI-Tools entwickeln (Anbieter)
Wenn Sie eine SaaS-Anwendung mit integrierter KI entwickelt haben, sind Sie Anbieter im Sinne der Verordnung. Die Pflichten sind umfangreicher: technische Dokumentation (Anhang IV), Konformitätsbewertung, Registrierung in der EU-Datenbank, CE-Kennzeichnung für bestimmte Systeme.
Französische KMU und die DSGVO: Eine solide Grundlage
Ein oft unterschätzter Vorteil französischer KMU: Diejenigen, die die DSGVO seit 2018 ernsthaft umgesetzt haben, verfügen bereits über einen Teil der Grundlagen für die AI-Act-Compliance.
Verarbeitungsverzeichnisse, Aktivitätsregister, Datenschutz-Folgenabschätzungen, DSB-Benennung... Diese Elemente lassen sich direkt im AI-Act-Compliance-Prozess wiederverwenden. Mit einer soliden DSGVO-Basis haben Sie einen Vorsprung.
Sanktionen: Was ein nicht konformes französisches KMU riskiert
Der EU AI Act sieht erhebliche Bußgelder vor, die von den nationalen Behörden verhängt werden:
- Bis zu 7% des weltweiten Umsatzes bei verbotenen Praktiken
- Bis zu 3% des weltweiten Umsatzes bei Nichteinhaltung für Hochrisiko-Systeme
- Bis zu 1,5% des weltweiten Umsatzes bei unrichtigen Informationen gegenüber Behörden
Für KMU sieht die Verordnung ausdrücklich eine verhältnismäßige Anwendung vor (Artikel 62). Die Behörden berücksichtigen Größe, Ressourcen und ob der Verstoß vorsätzlich war. Eine vollständige Freistellung gibt es jedoch nicht - und Unkenntnis der Vorschriften ist kein Entschuldigungsgrund.
Wo ein französisches KMU anfangen sollte
Schritt 1 - Inventarisieren Sie Ihre KI-Systeme (30 Minuten)
Listen Sie alle KI-integrierten Tools in Ihrer Organisation auf: HR-Tools, CRM, Chatbot, Content-Generierungstools, Kundenbewertung... Die entscheidende Frage: "Trifft oder beeinflusst dieses Tool Entscheidungen?"
Schritt 2 - Klassifizieren Sie Ihr Risikoniveau (5 Minuten)
Nutzen Sie AiCompliBot, um herauszufinden, ob Ihre Systeme in regulierte Kategorien fallen. Die Diagnose ist kostenlos und liefert ein sofortiges Ergebnis mit Ihren vorrangigen Pflichten.
Schritt 3 - Priorisieren Sie die Pflichten zum 2. August 2026
Transparenz nach Artikel 50 und KI-Kompetenztraining sind die beiden festen Pflichten, unabhängig vom Ausgang des Digital Omnibus. Fangen Sie dort an.
Französisches KMU, nicht sicher, wo Sie anfangen sollen? Die AiCompliBot-Diagnose identifiziert Ihre Pflichten in 5 Minuten - kostenlos, ohne Fachjargon.