Bundestag beschließt KI-Durchführungsgesetz: Bundesnetzagentur wird zentrale Aufsicht

Der Deutsche Bundestag hat in Berlin das nationale Durchführungsgesetz zur EU-KI-Verordnung (Verordnung (EU) 2024/1689) beschlossen und legt damit fest, welche Behörden die in Deutschland unmittelbar geltende Verordnung künftig vollziehen.
Kern der Regelung ist die Benennung der zuständigen Stellen für Marktüberwachung und Aufsicht – ein Schritt, den die Verordnung den Mitgliedstaaten verbindlich abverlangt und der die abstrakten europäischen Vorgaben in eine arbeitsfähige nationale Struktur überführt.

Welche Behörde überwacht den Markt?

Die zentrale Rolle übernimmt die Bundesnetzagentur (BNetzA) in Bonn.
Sie wird als nationale Marktüberwachungsbehörde benannt und richtet dafür eine Koordinierungsstelle ein, die Anlaufpunkt für Unternehmen, Prüfstellen und die europäische Ebene sein soll.
Die Bündelung bei einer bereits etablierten Aufsichtsbehörde folgt dem Ziel, Doppelstrukturen zu vermeiden und vorhandene Erfahrung aus der Regulierung von Netzen und Diensten zu nutzen.

Neben der Bundesnetzagentur bleiben bestehende Zuständigkeiten erhalten: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bringt technische Bewertungskompetenz ein, die Datenschutzaufsicht wacht weiter über den Umgang mit personenbezogenen Daten.
Für besonders sensible Anwendungsfelder – etwa biometrische Systeme oder den Einsatz im Finanz- und Justizbereich – sehen die Durchführungsregeln eine Abstimmung mit den jeweils sektoral zuständigen Behörden vor.

Was die Durchführungsregeln operativ bedeuten

Für Unternehmen verschiebt das Gesetz vor allem den Adressaten: Wer Hochrisiko-KI entwickelt, einführt oder einsetzt, weiß nun, an welche Stelle sich Konformitätsnachweise, Registrierungen und Meldepflichten richten.
Die materiellen Pflichten selbst – Risikomanagement, technische Dokumentation, menschliche Aufsicht – ergeben sich unverändert aus der EU-Verordnung.
Für Hochrisiko-Systeme greifen diese Anforderungen ab dem 2.
August 2026, während die Pflichten für Modelle mit allgemeinem Verwendungszweck (General Purpose AI) bereits seit dem 2.
August 2025 gelten.

Die nationale Ebene konkretisiert dabei das Verfahren: Wie Behörden Auskünfte verlangen, Prüfungen durchführen und im Ernstfall Produkte vom Markt nehmen können, und welche Bußgeldrahmen national flankierend gelten.
Marktteilnehmer und Branchenbeobachter weisen darauf hin, dass die praktische Wirkung maßgeblich davon abhängt, wie schnell die benannten Stellen personell und organisatorisch arbeitsfähig werden.

Wie sich nationale und europäische Ebene verzahnen

Die deutsche Aufsicht agiert nicht isoliert.
Auf europäischer Seite koordiniert das bei der Europäischen Kommission angesiedelte AI Office die Anwendung der Verordnung, insbesondere bei Modellen mit allgemeinem Verwendungszweck und grenzüberschreitenden Fällen.
Die nationalen Marktüberwachungsbehörden tauschen sich über das europäische Aufsichtsnetz aus, melden Vorfälle und stimmen Maßnahmen ab, damit ein in Deutschland beanstandetes System nicht über andere Mitgliedstaaten weiter vertrieben wird.

Mit dem Durchführungsgesetz schließt Deutschland eine der zentralen Lücken bei der Umsetzung der KI-Verordnung.
Offen bleibt, wie tragfähig die gewählte Architektur im Alltag ist – wenn ab 2026 die ersten Hochrisiko-Anwendungen unter die volle Aufsicht fallen und sich zeigt, ob die nationale Struktur dem europäischen Anspruch standhält.