Declic Media

AI Act: Frankreichs offizielle CNIL-FAQ stammt aus Juli 2024

5 Min. Lesezeit
Alexandre Noto
Artikel

100 Tage vor der Hochrisiko-Frist ist die einzige offizielle französische Handreichung zum AI Act 21 Monate alt. Eine kritische Lektüre eines Dokuments, das längst Archivstatus hat.

Der kostenlose KI-Newsletter
AI Act: Frankreichs offizielle CNIL-FAQ stammt aus Juli 2024

Eine FAQ, die nicht gealtert ist, sondern eingefroren

Am 12. Juli 2024 veröffentlichte die französische Datenschutzbehörde CNIL auf ihrer Website eine Seite mit dem Titel "Inkrafttreten der europäischen KI-Verordnung: die ersten Fragen und Antworten der CNIL". Klassisches Format: rund zehn Fragen, knappe Antworten, ein gemessener institutioneller Ton.

Einundzwanzig Monate später hat sich das Dokument nicht bewegt. Keine öffentliche Aktualisierung, kein Erratum, keine Ankündigung einer Version 2. Es taucht nach wie vor als erstes Ergebnis auf, wenn ein DSB oder eine Führungskraft "CNIL AI Act" googelt.

Das Problem ist, dass sich der Kontext seither in vier wesentlichen Dimensionen verändert hat. Die CNIL wurde durch eine Regierungsänderung vom 12. Februar 2026 offiziell als französische Aufsichtsbehörde benannt. Sie hat im Juni 2025 Empfehlungen zum berechtigten Interesse als Rechtsgrundlage für KI veröffentlicht. Der europäische Text selbst wird über das Digital Omnibus neu verhandelt. Und am 17. Februar 2026 hat der Senat eine französische Vollzugsarchitektur bestätigt, die rund fünfzehn sektorale Behörden einbindet.

102 Tage vor Geltungsbeginn der Hochrisiko-Bestimmungen dient dieses Dokument vom Juli 2024 als offizielle Referenz. Es verdient eine kritische Lektüre.

Was die FAQ vorsichtig sagt

In ihrer aktuellen Fassung legt die FAQ die Grundlagen dar. Vier Risikostufen: inakzeptabel, Hochrisiko, besondere Transparenz, minimal. Ein Vier-Stufen-Kalender: Verbote ab dem 2. Februar 2025, Allzweckmodelle ab dem 2. August 2025, vollständige Bestimmungen ab dem 2. August 2026, Anhang-I-Systeme ab dem 2. August 2027.

Zur Verzahnung mit der DSGVO ist der Text glasklar: "Die KI-Verordnung ist in diesem Punkt sehr deutlich: Sie ersetzt die DSGVO-Anforderungen nicht." Die Komplementarität steht. Eine DSGVO-Folgenabschätzung wird für Hochrisiko-KI-Systeme als "vorausgesetzt" angesehen. Die KI-Verordnungsdokumentation kann sich auf bestehende Folgenabschätzungen "stützen".

Zur eigenen Rolle der CNIL wird es vorsichtig. "Die CNIL plant, sich auf diese Anforderungen zu stützen, um die Akteure zu begleiten." Der Konjunktiv steht überall. Die CNIL "erwägt", die CNIL "beteiligt sich aktiv" an harmonisierten Normen. Keine direkte Aussage zu offizieller Zuständigkeit, weil diese noch nicht zugewiesen war.

Das ist kohärent mit dem Datum. Im Juli 2024 war der europäische Text gerade erst in Kraft getreten. Keine französische Behörde war benannt. Das Digitalministerium zögerte zwischen mehreren Modellen. Die CNIL tat, was sie konnte: Grundlagen legen, Position markieren, sich nicht überverkaufen.

Drei Schweigemomente, die bei T-100 ins Gewicht fallen

Das erste Schweigen betrifft die Benennung. Die FAQ schreibt, dass "es jedem Mitgliedstaat obliegt, die Governance-Struktur zu organisieren" innerhalb eines Jahres, also vor August 2025. Diese europäische Frist wurde verpasst.

Frankreich hat seine Änderung schließlich am 12. Februar 2026 eingebracht, sechs Monate zu spät. Der Senat hat sie fünf Tage später bestätigt. Die Nationalversammlung muss noch abstimmen.

Drei Behörden konkurrierten um das Mandat: die CNIL, die Medienaufsicht ARCOM und ein Tandem aus Verbraucherbehörde DGCCRF und Wirtschaftsverwaltung DGE, vom Finanzministerium getragen. Der Conseil d'État lehnte den ursprünglichen Regierungsvorschlag ab und verwies auf das Risiko eines Verstoßes gegen das Prinzip non bis in idem, also die doppelte Sanktion desselben Akteurs durch mehrere Behörden. Die FAQ vom Juli 2024 erwähnt nichts davon. Sie konnte es nicht und wurde danach nicht aktualisiert.

Das zweite Schweigen betrifft die Sanktionen. Die FAQ erinnert an den europäischen Strafrahmen, beschreibt aber kein CNIL-Verfahren. Dabei verleiht der vom Senat verabschiedete Text der CNIL ausdrücklich die Befugnis, Bußgelder bis zu 35 Millionen Euro für verbotene Praktiken oder 15 Millionen für Hochrisiko-Verstöße zu verhängen. Wie eine Beschwerde bearbeitet wird, wer sie einreichen kann, in welchen Fristen, gegen wen: man weiß es nicht. Die Doktrin wird sich aus den ersten Verfahren ergeben.

Das dritte Schweigen betrifft den Lieferkalender. Die FAQ verspricht, dass "die Arbeiten dazu bestimmt sind, weitere Klärung zu bringen". Das von der CNIL veröffentlichte Arbeitsprogramm 2026 kündigt sektorale Empfehlungen für Gesundheit, Bildung und Arbeit an.

Kein festes Veröffentlichungsdatum. Die öffentliche Konsultation zu KI im Gesundheitswesen endete am 16. April 2026. Das Programm selbst betont, es sei "als Richtwert zu verstehen und kann sich ändern".

Für Hochrisiko-Unternehmen ist die Übersetzung einfach: Es wird vor dem Stichtag 2. August wahrscheinlich keinen sektoralen französischen Leitfaden geben.

Der konkrete Fall des französischen HR-Bereichs bei T-100

Ein französisches Mid-Market-Unternehmen, das ein KI-Scoring-Tool für die Personalauswahl einsetzt, fällt standardmäßig in die Hochrisiko-Kategorie über Anhang III. Es will sich heute konform aufstellen. Was findet es im offiziellen französischen Korpus?

Die CNIL-FAQ vom Juli 2024, die Grundsätze setzt, aber keinen praktischen Fall liefert. Die CNIL-Empfehlungen zum berechtigten Interesse vom 19. Juni 2025, abgestimmt mit der EDSA-Stellungnahme von Dezember 2024, die das Modelltraining abdecken, aber nicht den operativen Einsatz. Ein Arbeitsprogramm 2026, das Empfehlungen zu KI am Arbeitsplatz ankündigt, ohne Datum.

Für den Rest muss das Unternehmen sich seinen Leitfaden aus europäischen Quellen zusammenstellen: Leitlinien des Brüsseler KI-Büros, EDSA-Stellungnahmen, harmonisierte CEN/CENELEC-Normen, die noch entstehen, erste Erfahrungen anderer nationaler Behörden (Italien, Spanien, Deutschland weiter als Frankreich).

Für einen Großkonzern mit eigenem Rechtsteam machbar. Für ein KMU oder einen Mittelständler, der das Thema entdeckt, extrem schwierig.

Die CNIL ist nicht schuld, doch die Lücke ist real

Den Zwängen der CNIL gebührt Ehrlichkeit. Sie war nicht untätig. Sie hat Empfehlungen zum berechtigten Interesse veröffentlicht, sektorale Konsultationen gestartet, an europäischen EDSA-Arbeiten mitgewirkt. Der dokumentarische Rückstand teilt sich mit den meisten anderen europäischen nationalen Behörden. Und sie hat ein AI-Act-Mandat geerbt, das zur DSGVO hinzukommt, ohne klare Sicht auf zugehörige Personalressourcen, ein Punkt, den französische DSB-Analysten öffentlich angemerkt haben.

Die offenen Fragen sind nicht ihre Komfortzonen. Sie sind die Zonen, wo der europäische Text selbst vage bleibt, wo harmonisierte Normen ausstehen, wo das Digital Omnibus bis Jahresende alles umschreiben könnte. Die CNIL kann keinen festen Leitfaden zu einem beweglichen Rahmen veröffentlichen.

Doch die Lücke besteht trotzdem. Für ein französisches Unternehmen, das im April 2026 entscheiden muss, ob das eine oder andere CV-Scoring-Tool konform ist, sind die fehlenden offiziellen Anweisungen ein direkter Betriebskostenfaktor. Es bezahlt diese Leerstelle in Anwaltsstunden, externer Beratung und unbeziffertem Restrisiko.

Die FAQ vom Juli 2024 ist kein irreführendes Dokument. Sie ist zu einem Archivstück geworden. Der französische Leitfaden zum AI Act dagegen existiert noch nicht.

Behandelte Themen:

RegulierungFranceAnalyse

Häufig gestellte Fragen

Wann gilt der AI Act in Frankreich vollständig?
Die vollständigen Bestimmungen des AI Act greifen ab dem 2. August 2026. Verbote sind seit Februar 2025 in Kraft, Pflichten für Allzweckmodelle seit August 2025.
Welche französische Behörde ist für den AI Act zuständig?
Die CNIL wurde durch eine Regierungsänderung vom 12. Februar 2026 als französische Aufsichtsbehörde benannt und vom Senat fünf Tage später bestätigt. Die Nationalversammlung muss noch abstimmen.
Ersetzt der AI Act die DSGVO?
Nein. Die CNIL stellt klar: Die KI-Verordnung ersetzt die DSGVO nicht. Beide Texte sind komplementär. Eine DSGVO-Folgenabschätzung gilt für Hochrisiko-KI-Systeme weiterhin als vorausgesetzt.
Welche Sanktionen drohen bei Verstößen gegen den AI Act?
Der europäische Strafrahmen reicht bis zu 35 Millionen Euro für verbotene Praktiken und 15 Millionen für Hochrisiko-Verstöße. Das CNIL-Verfahren ist noch nicht öffentlich dokumentiert.
Gibt es einen CNIL-Leitfaden für Hochrisiko-KI-Systeme?
Bislang nicht. Die CNIL-FAQ vom Juli 2024 nennt Grundsätze, aber keine Anwendungsfälle. Das Arbeitsprogramm 2026 kündigt sektorale Leitlinien für Gesundheit, Bildung und Arbeit an, ohne festes Veröffentlichungsdatum.
Der kostenlose KI-Newsletter

Verwandte Artikel

Die EU baut still und leise die Regeln ab, an denen sie 5 Jahre gearbeitet hat
28. Apr. 2026
5 Min.

Die EU baut still und leise die Regeln ab, an denen sie 5 Jahre gearbeitet hat

Der Digital Omnibus verschiebt die AI-Act-Pflichten bis 2028 und nimmt bereits eingesetzte Systeme dauerhaft aus. Alles unter dem Vorwand der Vereinfachung.

RegulierungAnalyse
Artikel lesen
Erster US-Anwalt lebenslang gesperrt wegen KI-Zitaten. Frankreich folgt derselben Kurve.
24. Apr. 2026
5 Min.

Erster US-Anwalt lebenslang gesperrt wegen KI-Zitaten. Frankreich folgt derselben Kurve.

Ein Anwalt aus Omaha wurde unbefristet gesperrt, weil er einen Berufungsschriftsatz mit von ChatGPT erfundener Rechtsprechung eingereicht hat. Frankreich liegt zwölf Monate zurück.

RegulierungAnalyse
Artikel lesen
KI und Urheberrecht: Frankreichs Senat kehrt die Beweislast um
13. Apr. 2026
5 Min.

KI und Urheberrecht: Frankreichs Senat kehrt die Beweislast um

Der französische Senat hat einstimmig ein Gesetz verabschiedet, das KI-Unternehmen verpflichtet, zu beweisen, dass sie keine geschützten Inhalte für das Training verwendet haben. Eine juristische Umkehrung, die dem klassischen Urheberrecht nie gelungen ist.

RegulierungAnalyse
Artikel lesen