Nationale KI-Aufsicht Deutschland: Definition und rechtliche Bedeutung (AI Act / Data Act)
Die deutsche KI-Aufsicht folgt der föderalen und sektoralen Struktur: Es gibt keine einzelne „KI-Aufsicht", sondern ein Gefüge aus Bund und Ländern mit sektoralen Marktüberwachungsbehörden (Bundesamt für Sicherheit in der Informationstechnik (BSI) für IT-Sicherheit, Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin) für Finanzdienstleistungen, Länderbehörden für Arbeits- und Verbraucherschutz u. a.). Die formelle Benennung der Marktüberwachungsbehörden nach dem EU AI Act erfolgt im Rahmen des nationalen Umsetzungsgesetzes (KI-Durchführungsgesetz). In Deutschland obliegt die KI-Politik dem Bundesministerium des Innern (BMI) bzw. dem Digitalministerium (BMDV); die Datenschutz-Aufsicht wird durch die Datenschutzkonferenz (DSK) koordiniert. Stand 2026 ist die Zuordnung im Fluss — Anbieter müssen die zuständige Behörde je Sektor und Land ermitteln.
Steve Baka
Föderale und sektorale Struktur
Deutschland setzt den AI Act nicht über eine zentrale KI-Aufsicht um, sondern über das bestehende föderale Marktüberwachungsgefüge: Bund und Länder teilen sich die Zuständigkeiten. Sektoral zuständig sind etwa das BSI (IT-Sicherheit, kritische Infrastruktur), die BAFin (Finanzdienstleistungen), das BVL/BfArM (Medizinprodukte), die Bundesnetzagentur (Netze), die Gewerbeaufsichtsämter der Länder (Arbeitsschutz) und die Datenschutzaufsichten (BfDI, Landesdatenschutzbeauftragte). Das BMI/BMDV steuert die KI-Politik, das Kanzleramt die Digitalstrategie. Für Anbieter bedeutet das: je nach Sektor und Bundesland können mehrere Behörden zuständig sein.
KI-Durchführungsgesetz und Benennung
Die nationalen Durchführungs- und Sanktionsregeln (Bußgeldhöhe, Verfahren, Behördenbenennung, Beschwerdestellen) werden in einem KI-Durchführungsgesetz festgelegt. Der AI Act verpflichtet die Mitgliedstaaten, bis zum 2. August 2025 (Art. 70 Abs. 3) Marktüberwachungsbehörden zu benennen und die Sanktionsbefugnisse auszugestalten. Die nationale Umsetzung bestimmt auch, ob eine zentrale „Single Entry Point"-Stelle geschaffen wird und wie der Behördenmix koordiniert wird. Stand 2026 ist die finale Struktur noch nicht vollständig konsolidiert.
Datenschutzkonferenz und Schnittstellen
Die Datenschutzkonferenz (DSK) — der Zusammenschluss der deutschen Datenschutzaufsichten — koordiniert die DSGVO- und AI-Act-Schnittstelle (besondere Datenkategorien, Art. 22 DSGVO, Grundrechte-Folgenabschätzung Art. 27 AI Act). Eng verbunden sind das BfDI (Bundesebene) und die Landesdatenschutzbeauftragten. Für Anbieter ist die Mitwirkung des Datenschutzbeauftragten bei der Datenschutz-Folgenabschätzung (Art. 35 DSGVO, Art. 10/27 AI Act) ein zentraler Prüfpunkt. Weitere Schnittstellen: NIS2 (Cybersicherheit), AGG (Diskriminierung), Produkthaftung.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesdatenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. KI-Politik und Beratung in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Gibt es in Deutschland eine zentrale KI-Aufsicht?
Nein. Die Aufsicht folgt der föderalen/sektoralen Struktur: BSI (IT-Sicherheit), BAFin (Finanzen), Länderbehörden etc. Die Benennung nach AI Act erfolgt über das KI-Durchführungsgesetz (Stand 2026 im Fluss).
Welches Ministerium ist für KI zuständig?
KI-Politik liegt beim BMI/BMDV (Digitalministerium). Sektoraufsichten bleiben bei ihren Fachbehörden. Die Datenschutzkonferenz (DSK) koordiniert die DSGVO-Schnittstelle.
Welche nationalen Gesetze ergänzen den AI Act?
Das KI-Durchführungsgesetz (Sanktionen, Behördenbenennung), NIS2-Umsetzung, AGG, Produkthaftungsrecht und die sektoralen Fachgesetze (BSI-Gesetz, KWG etc.).
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.