- Published on
KI-Aufsicht im Vergleich: EU, UK und Schweiz
- Authors

- Name
- Tails Azimuth
Wer ein KI-System in mehreren Rechtsräumen betreibt, stellt schnell fest: „Compliance" bedeutet in Berlin, London und Zürich nicht dasselbe. Die EU setzt auf ein umfassendes Gesetz mit benannten Behörden, das Vereinigte Königreich auf bestehende Sektorregulatoren, die Schweiz auf technologie-neutrale Anpassungen im Fachrecht. Für Unternehmen, die in DE, dem EU27-Rest, UK und CH zugleich aktiv sind, entsteht daraus keine gemeinsame Checkliste, sondern ein Flickenteppich aus Zuständigkeiten. Dieser Beitrag ordnet die drei Aufsichtsmodelle ein — und zeigt, warum die eigentliche Aufgabe nicht das Abhaken von Regeln ist, sondern der belastbare Nachweis von Vertrauenswürdigkeit.
EU: Ein Gesetz, benannte Behörden, ein fester Termin
Die EU hat mit der KI-Verordnung (Verordnung (EU) 2024/1689) den anspruchsvollsten Rahmen der drei Rechtsräume geschaffen. Artikel 70 verpflichtet jeden Mitgliedstaat, nationale zuständige Behörden zu benennen — mindestens eine notifizierende Behörde und eine Marktüberwachungsbehörde. Diese Behörden sind der operative Kern der Durchsetzung: Sie prüfen Hochrisiko-Systeme, fordern technische Dokumentation an und können Marktrücknahmen anordnen.
Deutschland hat diesen Schritt spät vollzogen. Der Regierungsentwurf für ein nationales Durchführungsgesetz — das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) — wurde erst am 11. Februar 2026 vom Bundeskabinett beschlossen und durchläuft seither das parlamentarische Verfahren in Bundestag und Bundesrat. Vorgesehen ist die Bundesnetzagentur als zentrale Marktüberwachungsbehörde, notifizierende Behörde und einheitliche Anlaufstelle, unterstützt durch eine eigenständige interne Kammer für die Marktüberwachung. Wer in Deutschland ein Hochrisiko-System einsetzt, wird es also perspektivisch mit der Bundesnetzagentur als primärem Gegenüber zu tun haben.
Entscheidend bleibt der Zeitdruck: Mit dem Digital Omnibus greift die scharfe Enforcement-Phase des EU AI Act ab dem 2. Dezember 2027. Bis dahin müssen benannte Behörden nicht nur existieren, sondern arbeitsfähig sein — und Unternehmen ihre Nachweise vorlegen können. Für Betreiber im EU27-Rest gilt dasselbe Grundmuster, nur mit je eigener Behördenlandschaft pro Mitgliedstaat.
UK: Kein KI-Gesetz, sondern bestehende Regulatoren
Das Vereinigte Königreich hat einen bewusst anderen Weg gewählt. Ein umfassendes „AI Act" liegt dem Parlament nicht vor. Stattdessen setzt London seit dem Pro-Innovation-White-Paper von 2023 auf einen sektoralen Ansatz: KI wird über die bestehenden Regulatoren und das bestehende Recht adressiert. Die Datenschutzbehörde ICO wacht über KI im Rahmen des UK GDPR, Ofcom über Kommunikations- und Online-Sicherheitsaspekte, die FCA über KI im Finanzsektor.
Statisch ist dieser Rahmen dennoch nicht. Der Data (Use and Access) Act 2025 hat Artikel 22 des UK GDPR durch neue Regelungen zu vollautomatisierten Entscheidungen ersetzt, die seit dem 5. Februar 2026 gelten und solche Entscheidungen unter definierten Schutzvorkehrungen in mehr Fällen zulassen. Parallel hat die Regierung im Oktober 2025 mit einem Blueprint für KI-Regulierung sowie regulatorischen Sandboxes einen innovationsorientierten Kurs bekräftigt, statt ein eigenes KI-Gesetz zu verabschieden.
Für Unternehmen heißt das: Im UK gibt es keine einzelne „KI-Behörde", die man adressiert. Die Zuständigkeit ergibt sich aus dem Anwendungsfall — Datenschutz, Finanzdienstleistung, Online-Dienste — und damit aus dem jeweils einschlägigen Sektorregulator.
Schweiz: Technologie-neutral und sektorspezifisch
Die Schweiz verfolgt einen dritten Weg, der dem britischen näher steht als dem europäischen. Der Bundesrat hat entschieden, kein umfassendes KI-Stammgesetz zu schaffen, sondern die KI-Konvention des Europarats (Council of Europe Framework Convention on Artificial Intelligence) zu ratifizieren und, wo nötig, sektorspezifische und technologie-neutrale Anpassungen im bestehenden Fachrecht vorzunehmen. Eine Vernehmlassungsvorlage soll bis Ende 2026 erarbeitet werden; sie adressiert Themen wie Transparenz, Datenschutz, Nichtdiskriminierung und Aufsicht.
Ergänzend sind nicht-bindende Begleitmaßnahmen vorgesehen — etwa Selbstdeklarationen einzelner Branchen und Verhaltenskodizes. Für in der Schweiz tätige Anbieter bedeutet das ein bewegliches Ziel: Der Rahmen ist noch nicht final, orientiert sich aber erkennbar an internationalen Standards und an der Anschlussfähigkeit zu den wichtigsten Handelspartnern. Wer schon heute nach ISO 42001 arbeitet und seine KI-Governance evidenzbasiert aufstellt, ist für die kommende Schweizer Regelung gut positioniert. Eine laufend aktualisierte Einordnung der Schweizer Entwicklungen bietet ki-regulierung.ch.
Drei Modelle, ein Problem für grenzüberschreitende Betreiber
Stellt man die drei Rechtsräume nebeneinander, zeigt sich das eigentliche Muster: Sie unterscheiden sich nicht nur im Detail, sondern in der Grundlogik. Die EU reguliert das KI-System selbst über ein horizontales Gesetz mit benannten Behörden. Das UK reguliert die Anwendung über bestehende Sektorregulatoren. Die Schweiz passt punktuell das Fachrecht an und ratifiziert einen völkerrechtlichen Rahmen. Ein Unternehmen mit Kunden in DE, dem EU27-Rest, UK und CH kann diese drei Logiken nicht auf eine einzige Compliance-Liste reduzieren.
Der Reflex, für jeden Rechtsraum ein eigenes Regelwerk abzuarbeiten, führt in die Irre. Denn die Aufsichtsbehörden — ob Bundesnetzagentur, ICO oder ein künftiger Schweizer Sektorregulator — fragen im Kern dasselbe: Kann das Unternehmen belegen, dass sein KI-System beherrscht, dokumentiert und nachvollziehbar ist? Die konkreten Paragrafen variieren, die zugrunde liegende Erwartung an Nachweisbarkeit variiert kaum.
Genau hier liegt der Ansatz von Trust-Infrastructure. Statt drei getrennte Compliance-Silos zu pflegen, baut ein Unternehmen eine gemeinsame Evidenzbasis auf: nachvollziehbare Audit-Trails, dokumentierte Datenqualität, belegte menschliche Aufsicht, ein gelebtes Managementsystem nach ISO 42001. Diese Nachweise sind rechtsraum-übergreifend anschlussfähig — sie bedienen die EU-Marktüberwachung ebenso wie eine ICO-Prüfung oder eine künftige Schweizer Vernehmlassungsvorlage. Compliance wird dann zur Folge einer belastbaren Vertrauensbasis, nicht zu deren Voraussetzung.
Was Unternehmen jetzt tun sollten
Der pragmatische Schritt ist nicht, drei Regelwerke parallel zu lesen, sondern die gemeinsame Frage zu beantworten: Welche Evidenz brauche ich, um in jedem meiner Rechtsräume nachweisen zu können, dass meine KI-Systeme vertrauenswürdig sind? Wer die Aufsichtsstrukturen kennt — ein horizontales Gesetz in der EU, verteilte Sektorregulatoren im UK, ein entstehendes Fachrecht in der Schweiz — kann seine Nachweise so aufbauen, dass sie überall tragen.
Der EU-Termin 2. Dezember 2027 gibt dabei die Taktung vor: Er ist der früheste harte Prüfstein und damit ein guter gemeinsamer Nenner für die Vorbereitung. Wer bis dahin evidenzbasiert und audit-ready aufgestellt ist, hat die Grundlage geschaffen, auf der sich auch die britischen und Schweizer Anforderungen bedienen lassen.
Mehr dazu, wie sich rechtsraum-übergreifender, nachweisbarer AI Trust aufbauen lässt: aegira.ai.