KI-Aufsicht made in Germany: Schaffen wir Innovationsförderung und klare Governance zugleich?

KI-Aufsicht made in Germany: Schaffen wir Innovationsförderung und klare Governance zugleich?

Die KI-Verordnung und auch der Wettbewerb warten nicht auf Zuständigkeitsdebatten. Bleibt die Innovation auf der Strecke?

Wer Regulierung schafft, muss auch Behörden zu ihrer Durchsetzung benennen – eine triviale Erkenntnis, deren praktische Umsetzung die deutsche Politik bisweilen Jahre kostet. Im Fall der EU-KI-Verordnung (VO (EU) 2024/1689), landläufig bekannt unter der Bezeichnung “AI Act”, hat es immerhin bis zum 11.2.2026 gedauert: An diesem Tag beschloss das Bundeskabinett das KI-Marktüberwachungs- und Innovationsförderungsgesetz, kurz KI-MIG. Es ist das nationale Durchführungsgesetz zum AI Act und regelt, wer hierzulande die Aufsicht führt, wer sanktioniert und wer im Streitfall erklärt, was die Verordnung im Detail eigentlich gemeint hat. Am 23.3.2026 befasste sich der Digitalausschuss des Bundestags in einer Sachverständigenanhörung mit dem Entwurf. Das Ergebnis war differenzierter, als die offizielle Zusammenfassung (vgl. hib – heute im bundestag Nr. 229/26 vom 24.3.2026) vermuten lässt.

Kern des KI-MIG ist die Benennung der Bundesnetzagentur (BNetzA) als zentrale Marktüberwachungsbehörde. Bei ihr wird das Koordinierungs- und Kompetenzzentrum für die KI-Verordnung (KoKIVO) eingerichtet, das alle anderen Fachbehörden koordinieren und eine einheitliche Rechtsauslegung (in Deutschland) sicherstellen soll. Flankiert wird die BNetzA durch sektorale Aufsichtsbehörden: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für den Finanzsektor, das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Cybersicherheitsfragen, die Landesmedienanstalten für KI-Anwendungen in Presse und Rundfunk – Letzteres auf Betreiben von Staatsminister Weimer, der den Grundsatz der Staatsferne der Medien erfolgreich im Gesetzestext verankert hat. Deutschland setzt damit auf ein hybrides Modell statt auf eine neue Superbehörde. BNetzA-Präsident Klaus Müller zeigte sich in der Anhörung bereit, die zentrale Rolle zu übernehmen, räumte aber selbst ein, dass das föderale Mehrbehördenmodell in der Praxis gewisse Herausforderungen mit sich bringe.

Die Sachverständigenanhörung machte deutlich, wo der Entwurf nachgebessert werden muss – und die Liste ist nicht kurz. Das zentrale Problem: Deutschland setzt auf ein hochkomplexes föderales und sektorales Netzwerk mit potenziell hundert beteiligten Behörden. Lajla Fetic vom appliedAI Institute wies darauf hin, dass beispielsweise die Flächenländer Polen und Spanien mit einer einzigen Aufsichtsbehörde auskämen. Bitkom-Vertreter Marvin Pawelczyk warnte vor einem Flickenteppich und forderte mindestens verbindliche Koordinierungsmechanismen, ein gesetzliches Leitbehördenprinzip und einheitliche Vollzugshinweise. Dr.
Jonas Botta vom Deutschen Forschungsinstitut für öffentliche Verwaltung formulierte das Strukturproblem pointiert: “Ein großer Chor birgt aber das Risiko der Disharmonie.” Einen Konfliktlösungsmechanismus sehe das Gesetz bisher nicht ausreichend vor.

Die Bundesbeauftrage für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Dr. Louisa Specht-Riemenschneider mahnte eine enge Verzahnung von Datenschutzaufsicht und Marktüberwachung an. Ihr Diktum verdient Aufmerksamkeit: “Rechtsunsicherheit ist der natürliche Feind der Innovation.” Der Verbraucherzentrale Bundesverband forderte niedrigschwellige Beschwerdewege, um ein behördliches Ping-Pong zu vermeiden. AlgorithmWatch plädierte für einen KI-Beirat, ein verpflichtendes KI-Transparenzregister für staatliche Hochrisiko-Systeme und eine Übertragung der Aufsicht über den staatlichen KI-Einsatz auf Datenschutzbehörden. BNetzA-Chef Müller war dem KI-Beirat gegenüber eher ablehnend eingestellt.

Für Unternehmen ist das KI-MIG selbst nur die halbe Geschichte. Die andere Hälfte liefert der AI Act mit seinem gestaffelten Zeitplan: Verbotene KI-Praktiken gelten seit Februar 2025, GPAI-Regeln seit August 2025. Die umfassenden Pflichten für Hochrisiko-KI-Systeme nach Anhang III – Risikomanagement, technische Dokumentation, Konformitätsbewertung, menschliche Aufsicht – waren ursprünglich für den 2.8.2026 vorgesehen. Nach dem Digital Omnibus, für den das EU-Parlament am 26.3.2026 sein Verhandlungsmandat verabschiedete, soll dieser Stichtag fallen: Die Hochrisiko-Pflichten nach Anhang III sollen erst sechs Monate nach Verfügbarkeit harmonisierter Standards gelten, spätestens aber am 2.12.2027; für KI-Komponenten in Produkten nach Anhang I gilt die Auffangfrist 2.8.2028. Einige “doppelte Regulierungsansätze” sollen entfallen, wenn etwa sektorale Gesetze bestehen. Das Trilog-Verfahren läuft noch – bis zur finalen Einigung gilt formal der ursprüngliche Zeitplan. Im Detail sind noch zahlreiche Fragen offen.

Was dabei zu wenig diskutiert wird: Der AI Act ist keine klassische Produktsicherheitsregulierung. Sie greift in laufende Prozesse und dynamische Systemarchitekturen ein – und schafft eine Daueraufgabe, die IT, Legal, HR und Unternehmensführung gleichermaßen betrifft. Die KI-Reallabore, die als Entlastungsinstrument gedacht sind, hält Prof. Dr. Patrick Glauner von der Technischen Hochschule Deggendorf für überschätzt: Regulatorische Anforderungen werden durch sie nicht reduziert, sondern lediglich auf Sanktionsverhängung verzichtet. Für viele Start-ups sei der Aufwand hoch, der Nutzen begrenzt.

Das KI-MIG durchläuft derzeit den parlamentarischen Prozess. Zwischenzeitlich liegt auch die Stellungnahme des Bundesrates mit Prüfbitten und Änderungsvorschlägen vor (BT-Drs. 21/5143 vom 1.4.2026). Die Anhörung hat den Gesetzgeber mit einer klaren Aufgabe entlassen: Ein verbindlicher Koordinierungsmechanismus zwischen BNetzA und Länderbehörden muss ins Gesetz. Die Verschiebung der Hochrisiko-Fristen durch den Omnibus schafft Luft – aber kein Vakuum. Wer die gewonnene Zeit nicht für den Aufbau robuster Governance-Strukturen nutzt, wird der Aufsicht begegnen, bevor die eigentlichen Compliance-Fristen ablaufen.

Der AI Act ist keine abstrakte Zukunftsmusik – er gilt und die Uhr tickt.

Tobias
Haar
, LL.M. (Legal Informatics), MBA (Kellogg-WHU), RA und Lehrbeauftragter u. a. am KIT Karlsruhe sowie der Popakademie Mannheim. Er war zuletzt General Counsel bei Aleph Alpha und berät Unternehmen an der Schnittstelle von KI, Regulierung und strategischer Rechtsgestaltung.