Sicherheit

Deutschlands KI-Aufsicht: Wer kontrolliert was?

Der Bundestag hat das KI-Durchführungsgesetz beschlossen. Die Bundesnetzagentur wird zentrale Aufsicht. Was das für eure Teams konkret heißt.

16. Juni 202610 Min. Lesezeit

Am 11. Juni 2026 hat der Bundestag das deutsche Durchführungsgesetz zur EU-KI-Verordnung beschlossen, offiziell das "Gesetz zur Durchführung der Verordnung über künstliche Intelligenz", kurz KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG). CDU/CSU und SPD stimmten dafür, AfD, Grüne und Die Linke dagegen (Bundestag). Der Bundesrat muss nicht zustimmen, das Gesetz kann also zügig in Kraft treten.

Damit beantwortet Deutschland eine Frage, die der EU AI Act offen lässt: Wer kontrolliert das eigentlich, und an wen wende ich mich, wenn es konkret wird?

Erst der AI Act, jetzt die Durchsetzung

Hier hilft eine saubere Trennung, weil die beiden Ebenen oft durcheinandergehen.

Der EU AI Act ist europäisches Recht. Er sagt, was gilt: welche KI-Systeme verboten sind, welche als Hochrisiko gelten, welche Transparenzpflichten ab August 2026 greifen. Diese Regeln gelten unmittelbar in jedem Mitgliedsstaat, da musste Deutschland nichts beschließen.

Was der AI Act den Mitgliedsstaaten überlässt, ist die Durchsetzung: Wer überwacht die Einhaltung, wer nimmt Beschwerden entgegen, wer verhängt Bußgelder, wer berät Unternehmen. Genau das regelt das KI-MIG. Es ist kein neues KI-Recht, sondern die Behördenlandschaft dahinter.

Für eure Teams heißt das: Die inhaltlichen Pflichten kennt ihr aus den AI-Act-Artikeln. Neu ist, dass es ab jetzt konkrete Ansprechpartner und einen durchsetzbaren Rahmen gibt.

flowchart TB
  BNetzA["Bundesnetzagentur<br/>mit KoKIVO<br/>(zentrale Koordination,<br/>Service-Desk, Beschwerdestelle)"]
  BNetzA --- BaFin["BaFin<br/>Finanzsektor"]
  BNetzA --- BfArM["BfArM<br/>Medizinprodukte"]
  BNetzA --- BSI["BSI<br/>IT-Sicherheit"]
  BNetzA --- BfDI["BfDI + Landes-<br/>datenschutz<br/>Daten & Biometrie"]
  class BNetzA success
  class BaFin,BfArM,BSI,BfDI decision
  classDef success fill:#14532D,stroke:#22C55E,color:#86EFAC
  classDef decision fill:#1A3A4A,stroke:#F59E0B,color:#FDE68A

Die Bundesnetzagentur koordiniert, aber die fachliche Aufsicht bleibt bei den Sektorbehörden.

Die Bundesnetzagentur als zentrale Anlaufstelle

Die Wahl fiel auf die Bundesnetzagentur, die schon Strom, Gas, Telekommunikation und Post reguliert. Sie wird zur zentralen Marktüberwachungsbehörde für KI und bekommt dafür eine neue Einheit: das Koordinierungs- und Kompetenzzentrum für die KI-Verordnung, abgekürzt KoKIVO.

KoKIVO ist bewusst als Koordinationsknoten angelegt, nicht als Alleinherrscher. Die Aufgaben:

KI-Service-Desk: zentrale Anlaufstelle für Unternehmen mit Fragen zur Einstufung und Konformität. Wer nicht weiß, ob sein System unter den AI Act fällt oder welche Behörde zuständig ist, fragt hier.
Beschwerdestelle: Bürgerinnen und Bürger können sich melden, wenn sie sich durch ein KI-System in ihren Rechten verletzt sehen.
Unabhängige KI-Marktüberwachungskammer: eine weisungsfreie Einheit innerhalb der Behörde, die die eigentlichen Überwachungsentscheidungen trifft.
Koordination: dafür sorgen, dass die Fachbehörden mit einer Stimme sprechen und Unternehmen nicht widersprüchliche Auslegungen vorgesetzt bekommen.

Der Digitalausschuss hat die proaktive Rolle dieses Zentrums vor der Abstimmung noch gestärkt. Es soll also nicht nur reagieren, sondern aktiv beraten und informieren.

Zentral koordiniert, fachlich verteilt

Und hier kommt der Teil, den viele übersehen: Die Bundesnetzagentur überwacht nicht alles selbst. Die fachliche Aufsicht bleibt bei den Behörden, die den jeweiligen Sektor ohnehin schon kennen. KoKIVO ist die Klammer darüber, nicht der Ersatz.

Bereich	Zuständige Behörde	Beispiele
Finanzdienstleistungen	BaFin	KI-Kreditscoring, Versicherungsrisiko, Betrugserkennung
Medizinprodukte	BfArM	KI-Komponenten in zertifizierten Medizingeräten
IT- und Cybersicherheit	BSI	Sicherheitsanforderungen an KI-Systeme
Datenschutz und Biometrie	BfDI + Landesdatenschutzbehörden	personenbezogene Daten, biometrische Erkennung, Grundrechtseingriffe
alles Übrige, Koordination	Bundesnetzagentur (KoKIVO)	Einstufung, Beratung, sektorübergreifende Fälle

Praktisch heißt das: Bevor ihr wisst, an wen ihr euch wendet, müsst ihr euer System einordnen. Ein KI-gestütztes Kreditscoring landet bei der BaFin, ein Chatbot mit personenbezogenen Daten eher beim Datenschutz, ein KI-Feature in einem Medizingerät beim BfArM. Wenn unklar ist, wohin, ist der KI-Service-Desk der Startpunkt.

Diese Zuordnung könnt ihr euch vorab grob selbst erarbeiten, bevor ihr jemanden anruft:

PromptClaude · Behördenzuordnung KI-MIG

Wir betreiben ein KI-System, das kurze Beschreibung, z.B. "Bewerbungsunterlagen automatisch vorsortiert". Ordne es anhand des deutschen KI-Durchführungsgesetzes (KI-MIG) und des EU AI Act ein: Welche Risikokategorie ist wahrscheinlich, welche deutsche Behörde wäre fachlich zuständig (Bundesnetzagentur/KoKIVO, BaFin, BfArM, BSI, BfDI/Landesdatenschutz), und welche Pflichten kommen auf uns zu? Markiere klar, was eine verbindliche Rechtsberatung ersetzen müsste.

Das ersetzt keine Rechtsberatung, gibt euch aber eine Landkarte, mit der ihr ins Gespräch geht.

Nicht nur Kontrolle: das KI-Reallabor

Das Gesetz heißt nicht zufällig auch "Innovationsförderungsgesetz". Neben der Aufsicht steht ein zweiter Auftrag im Text: Die Bundesnetzagentur soll mindestens ein KI-Reallabor einrichten und betreiben.

Ein Reallabor, auf europäisch "regulatory sandbox", ist ein geschützter Rahmen, in dem Unternehmen innovative KI-Systeme unter Aufsicht erproben können, bevor sie auf den Markt gehen. Der Reiz: enger Austausch mit der Behörde, Rechtssicherheit beim Ausprobieren, und die Chance, früh zu klären, ob ein System konform läuft. Besonders für Start-ups und KMU ist das gedacht, die sich keine eigene Compliance-Abteilung leisten können.

Wie gut das in der Praxis funktioniert, hängt an der Ausstattung. Bisher steht im Gesetz die Pflicht, ein solches Labor zu schaffen. Die Details, wer wie reinkommt, folgen.

Was passiert bei Verstößen?

Hier gibt es zwei Ebenen, und sie werden gern verwechselt.

Die großen Bußgelder stehen im EU AI Act selbst (Artikel 99) und gelten unmittelbar. Sie bleiben unverändert (Staffelung nach TÜV Rheinland):

Verstoß	Maximales Bußgeld
Verbotene Praktiken (Art. 5)	bis 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes
Andere materielle Verstöße	bis 15 Mio. Euro oder 3%
Falsche oder unvollständige Auskünfte	bis 7,5 Mio. Euro oder 1%

Für KMU und Start-ups gelten jeweils die niedrigeren der beiden Beträge. Verhängt werden diese Bußgelder von der fachlich zuständigen Behörde, also je nach Fall BaFin, BfArM, Datenschutzbehörde oder Bundesnetzagentur.

Das deutsche Gesetz ergänzt das um einen eigenen, kleineren Bußgeldrahmen: bis zu 50.000 Euro, wenn ein Unternehmen seine Mitwirkungs- und Auskunftspflichten gegenüber der Aufsicht verletzt, also etwa Unterlagen nicht herausgibt oder eine Prüfung blockiert (ad-hoc-news). Das ist die nationale Handhabe, mit der die Behörde überhaupt erst durchsetzen kann, dass sie Einblick bekommt.

Der Apparat dahinter kostet: Der Bund rechnet mit rund 4 Millionen Euro einmalig und 15,9 Millionen Euro jährlich, die Länder mit 33,1 Millionen Euro jährlich, zusammen also knapp 50 Millionen Euro pro Jahr (ad-hoc-news).

Der Streit, den ihr kennen solltet

So aufgeräumt die Struktur klingt, unumstritten ist sie nicht. Zwei Kritikpunkte sind für die Praxis relevant.

Unabhängigkeit der Aufsicht. In der Sachverständigen-Anhörung sah ein Teil der Experten Nachbesserungsbedarf (Bundestag). Strittig war vor allem, ob die "unabhängige KI-Marktüberwachungskammer" innerhalb einer weisungsgebundenen Bundesbehörde die unionsrechtlich geforderte Unabhängigkeit strukturell überhaupt sichert. In der Anhörung wurde unter anderem vorgeschlagen, die Aufgabe stattdessen einer ohnehin unabhängigen Stelle zu übertragen. Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider warnte davor, dass das beaufsichtigte Unternehmen am Ende bloß "noch einen Ansprechpartner" mehr habe, und mahnte eine enge Verzahnung von Datenschutzaufsicht und Marktüberwachung an. Ihr Kernsatz: "Rechtsunsicherheit ist der natürliche Feind der Innovation."

Föderale Zersplitterung. Weil die Länder bei der Marktüberwachung mitreden und die Landesdatenschutzbehörden eigene Zuständigkeiten behalten, droht in der Praxis ein Flickenteppich aus bis zu 16 Auslegungen. Ein echter "One-Stop-Shop", bei dem ein Unternehmen genau eine Stelle hat, ist das KI-MIG nicht.

Für eure Planung heißt das nüchtern: Verlasst euch nicht darauf, dass eine einzige Behörde alle Fragen abschließend beantwortet. Dokumentiert sauber, womit ihr es zu tun habt, dann seid ihr für jede zuständige Stelle vorbereitet.

Was Teams jetzt tun sollten

Das Gesetz ändert nicht, was ihr tun müsst, das steht im AI Act. Es ändert, mit wem ihr es zu tun bekommt. Ein pragmatischer Dreischritt:

Systeme einordnen. Liste aller KI-Systeme, pro System die wahrscheinliche Risikoklasse und die fachlich zuständige Behörde. Diese Zuordnung ist die Grundlage für alles Weitere.
Ansprechpartner notieren. Pro System festhalten, wer im Zweifel zuständig ist (Service-Desk der Bundesnetzagentur als Default, Sektorbehörde wo einschlägig). Spart im Ernstfall Tage.
Mitwirkung vorbereiten. Dokumentation, Datenflüsse und Systemgrenzen so pflegen, dass ihr einer Behördenanfrage innerhalb von Tagen nachkommen könnt. Genau hier greift das 50.000-Euro-Bußgeld, wenn ihr mauert.

Fazit

Mit dem KI-MIG bekommt der EU AI Act in Deutschland Hände und Füße. Die Bundesnetzagentur wird zur zentralen Anlaufstelle, die fachliche Aufsicht bleibt bei den Behörden, die den jeweiligen Sektor kennen, und mit dem Reallabor gibt es erstmals einen geschützten Raum zum Erproben. Perfekt ist das nicht, die Kritik an Unabhängigkeit und föderaler Zersplitterung ist berechtigt.

Für die meisten Teams ändert sich der Arbeitsalltag nicht über Nacht. Wichtig ist der eine neue Schritt: Ordnet eure KI-Systeme den zuständigen Behörden zu, solange es ruhig ist. Dann wisst ihr im Ernstfall, wen ihr anruft, und seid auf eine Anfrage vorbereitet, statt sie zu fürchten.