Die KI-Verordnung (KI-VO)1, allgemein als EU AI Act bekannt, setzt den Rahmen dafür, wie KI-Systeme in Europa künftig entwickelt, auf den Markt gebracht, in Betrieb genommen und genutzt werden dürfen. Die Einführung der KI-VO erfolgt stufenweise. Bereits seit letztem Jahr sind bestimmte KI-Praktiken verboten, für allgemeine KI-Modelle gelten erste Pflichten und Unternehmen müssen ihre KI-Kompetenzen verpflichtend ausbauen. Die allgemeine Anwendbarkeit der KI-VO, Verpflichtungen hinsichtlich der Transparenz sowie Pflichten für Hochrisiko-KI-Systeme in bestimmten Bereichen sind für den 2. August 2026 angesetzt, während die Pflichten für Hochrisiko-KI-Systeme in Produkten erst am 2. August 2027 Inkrafttreten.2
Verbotene KI-Praktiken und Hochrisiko-Systeme
Die KI-VO folgt einem risikobasierten Regulierungsansatz, nach dem Systeme mit einem höheren Risiko für die Gesellschaft oder Einzelpersonen strenger reguliert werden. Entsprechend werden KI-Systeme in vier Risikostufen aufgeteilt3-5:
KI-Systeme, die ein minimales oder kein Risiko bergen, wie Spam-Filter, werden nicht speziell reguliert. Für diese Systeme wird ausschließlich empfohlen, sie freiwillig anhand der Standards für vertrauenswürdige KI abzusichern. Chatbots, Empfehlungsalgorithmen oder generative KI-Systeme, von denen grundsätzlich ein geringes Risiko ausgeht, müssen den Transparenz-Geboten folgen und nutzerfreundlich sein. Diese beinhalten beispielsweise das Kennzeichnen von manipulierten oder künstlich erzeugten Inhalten.
KI-Systeme mit hohem Risiko, sogenannte Hochrisiko-KI-Systeme, können bei Fehlfunktionen oder Missbrauch erhebliche Schäden ausrichten. Sie unterliegen daher einer strengen Regulierung durch die KI-VO und benötigen eine Konformitätsbewertung. Zu dieser Kategorie gehören einerseits Systeme, die in europäisch regulierten Produkten, wie Spielzeug oder Medizinprodukten eingesetzt werden. Andererseits fallen hierunter auch KI-Systeme, die in sensiblen Bereichen, wie kritischen Infrastrukturen, bei Grenzkontrollen oder der Kreditvergabe zur Anwendung kommen.
Die höchste Risikostufe bilden die KI-Systeme mit inakzeptablem Risiko. Diese sind vollständig, da sie eine Bedrohung für die Sicherheit und die Gesundheit von Menschen darstellen und grundrechtsverletzend sind. Beispiele hierfür sind Social-Scoring Systeme, die das Verhalten von Personen analysieren und diese anhand dessen sozial oder politisch bewerten sowie KI-Systeme zur Emotionserkennung am Arbeitsplatz oder in der Schule.
Zentrale Bündelung von KI-Expertise und hybride Marktüberwachungsstrukturen
Mitte Februar erfolgte nun der Kabinettsbeschluss zum Regierungsentwurf des KI-MIG, das die Umsetzung der KI-VO regeln soll. Ziel des KI-MIG ist es, die KI-Regelungen möglichst bürokratiearm und innovationsfreundlich umzusetzen. 6-7
Der Kern ist die Einrichtung des sogenannten Koordinierungs- und Kompetenzzentrums für die KI-Verordnung (KoKIVO) innerhalb der Bundesnetzagentur (BNetzA). Hier soll KI-Expertise gebündelt und bei Bedarf an weitere branchen- und themenspezifische Bundes- und Landesbehörden weitergegeben werden, um eine einheitliche Auslegung der KI-VO zu gewährleisten. Zusätzlich werden innerhalb der BNetzA ein Service-Desk sowie ein KI-Reallabor eingerichtet. Das KI-Reallabor soll ab dem 2. August 2026 verfügbar sein und es ermöglichen, KI-Anwendungen rechtssicher zu testen. Auch Schulungen und Vernetzungsangebote rund um die Verordnung sollen durch die BNetzA bereitgestellt werden.
In Bezug auf Marktüberwachungsstrukturen wird durch das KI-MIG auf die Schaffung von Doppelstrukturen verzichtet, indem ein hybrider Ansatz verfolgt wird. Für Bereiche in denen bereits Aufsichtsstrukturen bestehen, wie beispielsweise dem Finanzdienstleistungsbereich, behalten bestehende Behörden ihre Expertise. Somit bleibt es für die Unternehmen bei ihren etablierten Ansprechpartnern, die dann zukünftig zusätzlich die KI-VO mit abdecken. Für alle übrigen Bereiche übernimmt die BNetzA die Rolle der zuständigen Marktüberwachungsbehörde. Eine Ausnahme bildet der Presse- und Rundfunkbereich. Hier greift die föderale Medienordnung, sodass die Verantwortung bei den jeweiligen Landesmedienanstalten verbleibt und nicht an die BNetzA übertragen wird.
Grandfathering für Hoch-Risiko-Systeme
Das KI-MIG fokussiert sich hingegen nicht auf die inhaltlichen Anforderungen an KI-Systeme. Diese werden direkt in der KI-VO geregelt. Sie enthält spezielle Übergangsregelungen für Hochrisiko-KI-Systeme, die bereits vor dem 2. August 2026 in Verkehr gebracht oder in Betrieb genommen wurden. Nach Artikel 111 Absatz 2 der Verordnung gelten die Anforderungen für solche Systeme grundsätzlich nur dann, wenn sie nach diesem Zeitpunkt wesentlich in ihrer Konzeption verändert werden. Damit müssen bereits bestehende Systeme nicht unmittelbar vollständig an die neuen Vorgaben angepasst werden. Eine Ausnahme besteht jedoch für Hochrisiko-KI-Systeme, die bestimmungsgemäß von Behörden verwendet werden sollen: Anbieter und Betreiber solcher Systeme sind verpflichtet, spätestens bis zum 2. August 2030 die Anforderungen und Pflichten der Verordnung vollständig umzusetzen.8
Das KI-MIG zeigt, dass die KI-Regulierung in Deutschland langsam konkreter wird. Spätestens jetzt wird es somit für Unternehmen Zeit, sich mit den Regelungen der KI-VO auseinanderzusetzen. Insbesondere der Aufbau der KI-Kompetenz innerhalb der Unternehmen sollte weiter vorangetrieben werden. Zusätzlich sollten sich Unternehmen auf die Regelungen für Hochrisiko-KI-Systeme vorbereiten, indem sie ihre KI-Systeme klassifizieren und ein zukunftsorientiertes Qualitätsmanagement und Risikomanagementsystem planen und aufbauen.4 Aber auch Anbieter und Betreiber von KI-Systemen mit geringerem Risiko, wie Chatbots, müssen sich mit den Anforderungen aus der KI-VO auseinandersetzen und insbesondere die Transparenzpflichten umsetzen.3
Gleiches Problem, neues Etikett: Warum die Entscheidung für die BNetzA hinkt
Die Entscheidung für die BNetzA als zentrale Stelle stößt insbesondere von datenschutzrechtlicher Seite auf Kritik. So sprach die Berliner Datenschutzbeauftragte Meike Kamp von einer „massiven Schwächung [der] Grundrechte“.10 Kern dieser Kritik ist die Auslegung der KI-VO: Demnach soll auf der europäischen Ebene verhindert werden, dass beliebig neue Stellen eingerichtet und mit der Verantwortung betraut werden.10
Es soll somit schon klare Vorgaben geben, die eine freie Entscheidung in Bezug auf die Marktüberwachungsbehörde, wie sie in Deutschland nun getroffen wurde, verhindern.
Gegen die Verantwortungsübertragung an die Datenschutzbehörden sprach sich hingegen beispielsweise der Startup-Verband aus. Dieser argumentierte, dass die Bündelung der Verantwortung bei einer zentralen Stelle sinnvoller sei, da ansonsten ein erheblicher und komplizierter Abstimmungsbedarf zwischen mehreren Behörden entstehen würde. 10
Betrachtet man nun jedoch den Regierungsentwurf des KI-MIG, erscheint die Wahl der BNetzA gerade mit Blick auf dieses Argument schwer nachvollziehbar. Zwar liegt die zentrale Verantwortung formell bei einer zentralen Stelle, die praktische Aufsicht verbleibt jedoch in vielen Bereichen bei den branchen- und themenspezifischen Behörden. Man muss also davon ausgehen, dass auch bei diesem Ansatz ein umfangreicher Abstimmungsbedarf zwischen den verschiedenen Akteuren erforderlich ist. Zumindest in diesem Aspekt ist der Grund für die Entscheidung zugunsten der BNetzA nicht ganz einleuchtend.
Sanktionen? Nicht so richtig.
Auch die Ausgestaltung der Sanktionen lässt sich kritisch betrachten. Das KI-MIG ergänzt die Vorgaben der KI-VO zwar um klar benannte Ordnungswidrigkeitstatbestände, belässt es jedoch bei einem einheitlichen nationalen Bußgeldrahmen von bis zu 50.000 Euro. Für schwere Verstöße greifen die Bußgeldrahmen der KI-VO nach Artikel 99 Absätze 3 bis 5. Die KI-VO regelt bei der Missachtung des Verbots bestimmter KI-Praktiken von bis zu 35 000 000 Euro oder 7% des Vorjahresumsatzes, abhängig davon, welcher Betrag höher ist.7 Das Umsetzungsgesetz definiert hierfür vor allem Zuständigkeiten und Verfahren, jedoch nicht, wie Geldbußen im Einzelfall berechnet werden, insbesondere mit Blick auf die Umsatzbasis und die Behandlung von Konzernstrukturen. Nur in Bezug auf KMUs und Start-ups sollen niedrigere Beträge gelten, um ihre Interessen und ihr wirtschaftliches Unternehmen zu berücksichtigen.10 Somit bleiben teilweise zentrale Fragen der praktischen Sanktionsanwendung zunächst offen.
Im Gegensatz zur Datenschutzgrundverordnung (DSGVO), in der die Sanktionen für Datenschutzverstöße klar definiert sind11, fehlt diese Konkretisierung im KI-MIG. Das könnte dazu führen, dass insbesondere für umsatzstarke Unternehmen der Anreiz sinkt, die Vorgaben der KI-VO und des KI-MIG umzusetzen.
Mangelnde Priorität? Verzögerung in der Umsetzung der KI-Verordnung
Die Anforderungen an die Mitgliedstaaten, wie die Einrichtung einer notifizierenden Behörde und mindestens einer Marktüberwachungsbehörde, gelten bereits seit dem 2. August 2025. Dass das deutsche Umsetzungsgesetz auch sechs Monate später noch nicht verabschiedet ist, wirft die Frage auf, wie konsequent der politische Wille tatsächlich ist, die Regulierung von KI-Systemen innerhalb Deutschlands voranzutreiben. Dieser Eindruck wird insbesondere durch die vergleichsweisen knapp bemessenen personellen Ressourcen und die fehlende Konkretisierung von Sanktionen bei schweren Verstößen verstärkt.
Fazit zum deutschen KI-Umsetzungsgesetz – Kann das wirklich funktionieren?
Deutschland treibt die nationale Umsetzung der KI-Verordnung langsam, aber erkennbar voran. Das Ziel, diese möglichst bürokratiearm und innovationsfördernd zu gestalten und dabei auf bestehende Strukturen zurückzugreifen, wirkt zunächst sinnvoll. Fraglich ist jedoch, ob dieses Ziel durch den jetzigen Regierungsentwurf des KI-MIG tatsächlich erreicht werden würde.
Die Bestimmung BNetzA als zentrale zuständige Stelle bündelt zwar KI-Expertise und kann Verfahren vereinheitlichen, gleichzeitig liegen aber weiterhin wesentliche Zuständigkeiten, bei Bundes- und Landesbehörden. Das spricht für einen weiterhin hohen Koordinations- und Abstimmungsbedarf und könnte das Ziel des geringen Bürokratieaufwands relativieren.
Im Hinblick auf die Innovationsförderung ist die baldige Einrichtung des KI-Reallabors positiv zu bewerten. Insbesondere die Auswertung und Bereitstellung der Ergebnisse und Erkenntnisse können positive Auswirkungen auf Innovationen im KI-Bereich haben.
Derzeit bleibt jedoch offen, ob die Regelungen aus dem KI-MIG wirklich praktisch wirksam sein können. Angesichts der geringen Anzahl an vorgesehen Stellen und der Frage, ob die Durchsetzung ohne klare Sanktionen bei schweren Verstößen überhaupt möglich ist, lässt sich der Erfolg des deutschen Umsetzungsgesetzes erst zu einem späteren Zeitpunkt beurteilen. Zumal es sich zu diesem Zeitpunkt ausschließlich um einen Regierungsentwurf handelt und noch nicht in Kraft getreten ist.
69 neue Stellen
sollen in Deutschland die gesamte
KI-Regulierung tragen
424 Planstellen
im Vergleich hat die Bundesbeauftragte für Datenschutz und die Informationsfreiheit (BfDI)
Ihr Ansprechpartner
Constantin Kirsch
Ob Penetrationstests, technische Audits oder Sicherheitskonzepte – ich helfe Ihnen, Schwachstellen zu identifizieren und die Resilienz Ihrer IT zu stärken. Lassen Sie uns sprechen – Ihre Sicherheit beginnt mit einem gezielten Test.
Constantin Kirsch ist Expert bei HiSolutions, spezialisiert auf Penetrationstests von IT-Infrastrukturen, Active-Directory-Umgebungen und Webanwendungen. Gemeinsam mit dem Security-Team führt er technische Audits und Sicherheitsuntersuchungen durch und berät zu ISO 27001 sowie BSI IT-Grundschutz.
Fußnoten
¹ https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L_202402847
² https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/KI/1_Ziel/artikel_ziel.html
3https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/KI/4_Transparenzpflichten/start.html
4https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/KI/9_Hochrisiko/start.html
5https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/KI/8_VerbotenePraktiken/start.html
7https://bmds.bund.de/service/gesetzgebungsverfahren/gesetz-zur-durchfuehrung-der-ki-verordnung
8 https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L_202401689
9 Bunderechnungshof „Bericht nach § 88 Absatz 2 BHO an den Haushaltsausschuss des Deutschen Bundestages Information über die Entwicklung des Einzelplans 21 (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) für die Beratungen zum Bundeshaushalt 2024“, 30. August 2023
10https://www.heise.de/news/KI-Verordnung-Datenschutzaufsicht-aussen-vor-10633151.html