Datenschutz-Berater
Wer kontrolliert die Einhaltung der KI-VO? Gesetzentwurf zum KI-MIG vorgelegt
Quelle: Datenschutz-Berater 2026 Heft 04 vom 10.04.2026, Seite 102

Veröffentlicht am von

Dr. habil. Silke Jandt

Wer kontrolliert die Einhaltung der KI-VO? Gesetzentwurf zum KI-MIG vorgelegt

Die KI-VO verpflichtet die Mitgliedstaaten gemäß Art. 113 bis zum 2.8.2025 die für die Umsetzung der KI-VO zuständigen Behörden zu benennen. In Deutschland wurde noch kein nationales Umsetzungsgesetz erlassen. Nachdem sich der erste Entwurf der Bundesregierung infolge des Bruchs der Regierungskoalition durch das Prinzip der sachlichen Diskontinuität erledigt hat, veröffentlichte die Bundesregierung am 13.2.2026 einen neuen Entwurf für ein Gesetz zur Durchführung der Verordnung über künstliche Intelligenz (BT-Drs. 21/4594). Kern des KI-MIG ist die Aufsichtsstruktur über KI-Modelle und KI-Systeme in Deutschland. Es bleibt zu prüfen, ob der Gesetzesentwurf nunmehr den europarechtlichen Anforderungen der KI-Verordnung und Anforderungen des nationalen Verfassungsrechts entspricht.

KI-Governance in der KI-VO

Die KI-VO sieht in den Art. 64 bis 70 KI-VO eine recht komplexe Struktur der KI-Governance vor. Die Art. 64 bis 69 KI-VO betreffen die europäische und Art. 70 KI-VO die nationale Ebene. Die Komplexität ist erstens auf das Zusammenspiel von europäischen und nationalen Strukturen und zweitens dem risikobasierten Ansatz der KI-VO zurückzuführen. Auf der europäischen Ebene überwacht das von der Kommission eingerichtete Büro für Künstliche Intelligenz (KI-Büro, Art. 64 KI-VO) die Umsetzung und Durchsetzung der KI-VO in den Mitgliedstaaten. Unterstützt wird das KI-Büro von drei Beratungsgremien mit unterschiedlichen Kompetenzen:

  • Europäischer Ausschuss für Künstliche Intelligenz (Art. 65 KI-VO), der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt,
  • Beratungsforum (Art. 67 KI-VO), das eine vielfältige Auswahl von Interessenträgern sowohl kommerzieller als auch nichtkommerzieller Art vertritt und
  • wissenschaftliches Gremium (Art. 68 KI-VO), das sich aus unabhängigen Sachverständigen auf dem Gebiet der KI zusammensetzt.

Die Mitgliedstaaten müssen gemäß Art. 70 Abs. 1 Satz 1 KI-VO für die nationale Um- und Durchsetzung der KI-VO mindestens zwei Behörden benennen. Erstens eine Marktüberwachungsbehörde für die Aufsicht über die Inbetriebnahme und das Inverkehrbringen von KI-Systemen und eine notifizierende Behörde für die Überwachung der notifizierten Stellen, welche die Konformität insbesondere von Hochrisiko-KI-Systemen vor Inbetriebnahme zertifizieren. Benennt ein Mitgliedstaat mehrere Marktüberwachungsbehörden, muss gemäß Art. 70 Abs. 2 Satz 3 KI-VO eine zentrale Anlaufstelle bestimmt werden.

Dem KI-Büro obliegt gemäß Art. 75 Abs. 1 KI-VO die Aufsicht über Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI-Modellen), wie z.B. Large Language Modellen oder Bildgeneratoren. Eine nationale Marktüberwachung besteht ergänzend für Betreiber von KI-Systemen, in die KI-Modelle mit allgemeinem Verwendungszweck integriert sind. Organe, Einrichtungen und sonstige Stellen der EU unterliegen gemäß Art. 74 Abs. 9 KI-VO der Marktüberwachung durch den Europäischen Datenschutzbeauftragten.

Nationale Aufsichtsstruktur nach der KI-VO

Die Marktüberwachungsbehörden nehmen eine zentrale Rolle in der KI-Governance in den jeweiligen Mitgliedstaaten ein. Ihnen obliegt die Aufgabe, sowohl bei Hochrisiko-KI-Systemen als auch bei allen weiteren KI-Modellen und -Systemen die Einhaltung der Anforderungen der KI-VO zu beaufsichtigen. Nach dem im September 2025 bekannt gewordenen Referentenentwurf sollte es so wenige Marktüberwachungsbehörden in Deutschland geben wie möglich, so dass die Marktüberwachung im Wesentlichen der Bundesnetzagentur (BNetzA) zugewiesen werden sollte.

Allerdings sieht die KI-Verordnung für einige Bereiche andere bereits bestehende Behörden in der Rolle der Marktüberwachungsbehörde vor. Gemäß Art. 74 Abs. 3 KI-VO sollen für bereits regulierte Produkte nach Anhang I die bisherigen Marktüberwachungsbehörden zuständig bleiben. Abweichungen von diesem Grundsatz sind unter „geeigneten Umständen“ und bei gesicherter Koordination zulässig. Gemäß Art. 74 Abs. 6 KI-VO ist für Hochrisiko-KI-Systeme im Bereich der Finanzdienstleistungen die Finanzaufsicht die Zuständigkeit für die Marktüberwachung zuzuweisen. Für Hochrisiko-KI-Systeme für Strafverfolgungszwecke, Grenzmanagement, Justiz und Demokratie regelt Art. 78 Abs. 8 KI-VO, dass die Mitgliedstaaten die zuständigen Datenschutzaufsichtsbehörden oder jede andere Behörde benennen können, die dieselben Bedingungen erfüllt, die von der JI-Richtlinie aufgestellt werden.

In Bezug auf den ersten Referentenentwurf wurden zudem verfassungsrechtliche Bedenken geäußert. Die Zentralisierung der Marktüberwachung bei der Bundesnetzagentur würde dazu führen, dass einer Bundesbehörde die Aufsicht über Landesbehörden und sonstige öffentliche Stellen der Länder obliegt, insbesondere wenn diese KI-Modelle und KI-Systeme in Betrieb nehmen. Zudem sprechen verfassungsrechtliche Vorgaben zum Föderalismus dagegen, Landesbehörden der Aufsicht einer Bundesbehörde zu unterstellen. Die föderalistischen Strukturen in Deutschland sind auch in Bezug auf die Medien zu wahren.

Am 13.2.2026 veröffentlichte die Bundesregierung einen neuen Entwurf für das Gesetz zur Marktüberwachung und Innovationsförderung von künstlicher Intelligenz (KI-Marktüberwachungs- und Innovationsförderungs-Gesetz – KI-MIG). Dieser trägt den dargelegten Argumenten Rechnung und nimmt einen gewissen Richtungswechsel vor.

In § 2 KI-MIG-E werden die zuständigen Marktüberwachungsbehörden nach der KI-VO festgelegt. Zentrale Marktüberwachungsbehörde in Deutschland soll weiterhin die Bundesnetzagentur werden. Von dieser Zuständigkeit werden nachfolgend abschließende Ausnahmen normiert. Werden KI-Systeme im Zusammenhang mit Produkten eingesetzt, für die bereits Produktsicherheitsgesetze bestehen, sollen gemäß § 2 Abs. 2 KI-MIG-E die diesbezüglich zuständigen Behörden auch die Marktüberwachung übernehmen. § 2 Abs. 3 KI-MIG-E setzt Art. 74 Abs. 6 KI-VO um und weist die Zuständigkeit für die Marktüberwachung des Finanzsektors der Bundesanstalt für Finanzdienstleistungen (BAFin) zu. § 2 Abs. 6 KI-MIG-E sieht vor, dass für die Fälle, in denen öffentliche Stellen der Länder im Sinne des § 2 Abs. 2 und 3 BDSG KI-Systeme in Verkehr bringen, in Betrieb nehmen oder verwenden, die Marktüberwachung den nach Landesrecht zuständigen Behörden obliegt.

Daraus würde folgen, dass alle Bundesländer in einem zweiten Schritt die Aufgabe der Marktüberwachung über öffentliche Stellen der Länder nach der KI-VO einer Landesbehörde zuweisen müssten. Grundsätzlich kann entweder eine bestehende Behörde benannt oder eine neue Behörde für diese Aufgabe gegründet werden. Es sind allerdings die Vorgaben von Art. 70 KI-VO zu beachten. Gemäß Art. 70 Abs. 1 Satz 2 KI-VO müssen die zuständigen nationalen Behörden ihre Befugnisse unabhängig, unparteiisch und unvoreingenommen ausüben können, um die Objektivität ihrer Tätigkeiten und Aufgaben zu gewährleisten und die Anwendung und Durchführung dieser Verordnung sicherzustellen. Zudem plädiert Art. 74 Nr. 8 KI-VO für diesen Bereich ausdrücklich, die zuständigen Datenschutzaufsichtsbehörden zu benennen. Somit kommen letztlich nur sehr eingeschränkt bereits bestehende Landesbehörden für die Aufgabe der Marktüberwachung in Betracht. Die Anforderung der Unabhängigkeit wird aber zumindest von den Landesdatenschutzbehörden erfüllt.

Die Marktaufsicht über die Mediendienstanbieter folgt gemäß § 2 Abs. 8 KI-MIG-E ebenfalls der föderalistischen Struktur und obliegt den Landesmedienanstalten.

Bei dem KI-MIG handelt es sich um ein Zustimmungsgesetz. Der Bundesrat hat im Anschluss an seine Sitzung am 27.3.2026 in Bezug auf die Marktüberwachung mehrere Empfehlungen der Zielsetzung abgegeben, Doppelstrukturen zu vermeiden (BR-Drs. 97/26). Insbesondere wird vorgeschlagen, dass die Länder die Marktaufsicht über die öffentlichen Stellen der Länder auf die BNetzA oder eine andere Bundesbehörde übertragen können sollen. Diese Empfehlung dürfte nicht verfassungskonform sein. Zudem wird gebeten, die Unionsrechtskonformität der Errichtung der KI-Marktüberwachungskammer nach § 4 KI-MIG-E noch einmal zu prüfen. Es bleibt abzuwarten, ob und wie sich der Bundestag zu den Empfehlungen des Bundesrates positionieren wird. Damit ist aktuell noch unklar, ob die Marktaufsicht über öffentliche Stellen von Landesbehörden oder von der BNetzA ausgeübt werden wird.

Verhältnis zur Datenschutzaufsicht

Selbst wenn die Datenschutzaufsichtsbehörden keine Zuständigkeit für die Marktüberwachung nach der KI-VO erhalten sollten, obliegt ihnen selbstverständlich die datenschutzrechtliche Aufsichtsbefugnis über KI-Modelle und -Systeme. Werden bei der Entwicklung oder dem Einsatz von KI-Modellen und KI-Systemen personenbezogene Daten verarbeitet, sind unabhängig von den Vorgaben der KI-VO die Datenschutzaufsichtsbehörden die zuständigen Aufsichtsbehörden für die Umsetzung der DSGVO und weiterer Datenschutzvorschriften entsprechend der Zuständigkeitsverteilung zwischen der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) und den Landesdatenschutzbehörden. Sehr viele KI-Systeme, die bisher in der Praxis in Unternehmen und Behörden eingesetzt werden, verarbeiten personenbezogene Daten – sei es die Large Language Modelle oder Bild- und Videogeneratoren.

Unternehmen werden daher bei Entwicklung und Betrieb von KI-Modellen und KI-Systemen in vielen Fällen in der Regel von zwei Aufsichtsbehörden überwacht werden, z.B. Unternehmen aus dem Finanzsektor durch die BaFin und die zuständige Landesdatenschutzbehörde. Für öffentliche Stellen besteht noch die Chance, dass nur einer Behörde die gebündelte Aufsicht nach der DSGVO und der KI-VO obliegt. Voraussetzung ist, dass sich die jeweilige Landesregierung dazu entschließt, den Landesdatenschutzbehörden die Aufgabe der Marktüberwachung nach der KI-VO zu übertragen.

Fazit

Grundsätzlich bleibt zu hoffen, dass es in Deutschland nun zeitnah ein nationales Umsetzungsgesetz zur KI-VO geben wird. Die meisten Vorschriften der KI-VO werden ab August 2026 gelten. Bereits jetzt ist ein Vakuum bei der Einhaltung der KI-VO zu spüren, weil es in Deutschland keine zuständigen Behörden gibt. Dabei wäre dies umso wichtiger, als es bei dieser immer noch recht neuen Technik einen sehr hohen Beratungsbedarf gibt. Dem Gesetzentwurf der Bundesregierung gelingt der Spagat zwischen dem weitestgehend Doppelstrukturen zu vermeiden und die föderalistischen Strukturen in Deutschland zu wahren. Bedenken bestehen allerdings hinsichtlich des in Art. 17 Abs. 2 KI-MIG-E normierten Verbots, gegen Behörden und sonstige öffentliche Stellen Geldbußen zu verhängen. Art. 99 Abs. 8 KI-VO weist die Mitgliedstaaten an, Vorschriften darüber zu erlassen, in welchem Umfang gegen Behörden und öffentliche Stellen Geldbußen verhängt werden können. Die entsprechende Norm in Art. 83 Abs. 7 DSGVO bezieht die Regelungsbefugnis dagegen ausdrücklich auf „ob und in welchem Umfang“ Geldbußen verhängt werden können. Zwar werden Geldbußen allein Verstöße gegen die KI-VO durch öffentliche Stellen nicht verhindern können. Allerdings können sie ein wirksames Druckmittel insbesondere in Bezug auf die Durchsetzung der verbotenen KI-Praktiken sein. Ohne diese Option sind die Durchsetzungsmaßnahmen der Aufsichtsbehörden von vorneherein stark begrenzt.

Autorin: Dr. habil. Silke Jandt leitet die Stabsstelle Künstliche Intelligenz beim Landesbeauftragten für Datenschutz Niedersachsen. Der Beitrag gibt ausschließlich ihre eigene persönliche Meinung wieder.

Beitrag per E-Mail empfehlen

Auf LinkedIn teilen

Seite drucken