Die Bundesnetzagentur (BNetzA) bereitet sich intensiv auf ihre Rolle als zentrale Aufsichts- und Beratungsstelle vor. Die gemeinsam mit dem BMWK veranstaltete jährliche Deutsche Marktüberwachungskonferenz (DMÜK) widmete sich daher in diesem Jahr auch der KI-Verordnung. Denn die europäische KI-Verordnung (KI-VO) stellt Unternehmen vor immense Compliance-Herausforderungen, während die nationale Umsetzung in Deutschland weiterhin durch Kompetenzstreitigkeiten und gesetzgeberische Verzögerungen ausgebremst wird.
BNetzA zur Position als KI-Marktüberwachung
Dieter Penning, Leiter des Referats Deutsches Marktüberwachungsforum (DMÜF) bei der Bundesnetzagentur, stellte auf der Konferenz die spezifischen Herausforderungen und die geplante Aufsichtsstruktur der BNetzA vor.
Die Bundesnetzagentur soll laut Referentenentwurf des Durchführungsgesetzes zur KI-VO eine zentrale Rolle einnehmen. Sie ist als Zentrale Anlaufstelle (Single Point of Contact, SPoC) vorgesehen, welche die Koordination zwischen allen nationalen MÜ-Behörden und der EU-Kommission übernimmt. In Bereichen, in denen es bisher keine Strukturen zur Marktüberwachung gibt (Hochrisiko-KI nach Anhang III), sollen die Aufgaben der Marktüberwachung und Notifizierung an zentraler Stelle bei der BNetzA gebündelt werden. Für Hochrisiko-KI in harmonisierten Sektoren (Anhang I) soll auf die bereits etablierten sektorspezifischen MÜ-Strukturen zurückgegriffen werden, die künftig die Aufgaben nach der KI-VO zusätzlich übernehmen. Die BNetzA ist bereits Marktüberwachungs- und Notifizierungsbehörde für die Funkanlagenrichtlinie (Anhang I).
Um die zahlreichen betroffenen Behörden (Bund und Länder) zu unterstützen, ist die Einrichtung des Koordinierungs- und Kompetenzzentrums für die KI-Verordnung (KoKIVO) bei der BNetzA geplant. Das KoKIVO soll als zentrale Service- und Beratungsstelle fungieren und fachliche sowie technische Expertise bereitstellen.
Die Herausforderung der KI-Standardisierung
Besondere Aufmerksamkeit galt auf der Marktüberwachungskonferenz der Standardisierung. Sogenannte harmonisierte Normen (hEN) sind notwendig, um die technischen Anforderungen der KI-VO zu konkretisieren und Herstellern Rechtssicherheit über Konformitätsvermutungen zu geben. Der Fokus liegt dabei auf zehn Themenfeldern, darunter Risikomanagement, Datenqualität, Cybersicherheit und Konformitätsbewertung. Die BNetzA ist sowohl in nationale Gremien (DIN/DKE NA 043-01-42 GA) als auch in europäische Strukturen (CEN/CENELEC JTC 21) eng eingebunden. Allerdings hinkt der Zeitplan hinterher. Stand September 2025 befinden sich lediglich acht Standards in der Entwicklung, deren Veröffentlichung erst Mitte 2026 bzw. Mitte 2027 erwartet wird.
Bitkom fordert Verschiebung für Hochrisiko-KI
Die Verspätung der hEN schafft immense Rechtsunsicherheit für Unternehmen, die ihre Hochrisiko-KI-Systeme ohne die zugehörigen Standards gesetzeskonform in Verkehr bringen müssen. Der Bitkom e.V. forderte daher auf der Konferenz die Verschiebung des Geltungsbeginns der Hochrisiko-Anforderungen um mindestens 24 Monate.
Ebenso präsentierte der Bitkom e.V. in seinem Vortrag kritische Zahlen. Danach würden 93 Prozent der befragten Unternehmen mit einem hohen oder sehr hohen Aufwand bei der Umsetzung der KI-VO rechnen. Wiederum 56 Prozent erwarten, dass das Gesetz mehr Nachteile als Vorteile bringen wird. Praktisch alle rechnen damit, mindestens ein KI-System in der Hochrisikoklasse des AI Acts zu haben.
Der KINAST „KI-Beauftragte“
Ihre Lösung für rechtssichere KI-Compliance
Aktueller Umsetzungsstand in Deutschland
Evelyn Graß, Leiterin des Referats Künstliche Intelligenz im Bundesministerium für Digitales und Staatsmodernisierung (BMDS), lieferte auf der Konferenz Einblicke in den Referentenentwurf (RefE) des Durchführungsgesetzes (KI-MIG). Graß äußerte sich zum aktuellen Stand des Gesetzgebungsprozessses und arbeitete einzelne Aspekte wie der Aufsichtsstruktur oder der Innovationsförderung heraus.
Obwohl die gesetzliche Frist zur Benennung der zuständigen Behörden bereits am 2. August 2025 abgelaufen ist, befindet sich der Referentenentwurf noch bis zum 10. Oktober 2025 im Prozess der Länder- und Verbändeanhörung. Mit Kabinettsbefassung und parlamentarischem Verfahren sei frühestens Anfang 2026 zu rechnen.
Geplante Koordination der Aufsichtsstruktur
Der RefE soll eine schlanke Struktur aus Nutzerperspektive schaffen und Doppelstrukturen vermeiden, indem bestehende Strukturen genutzt und Aufsichtsaufgaben gebündelt werden. BNetzA soll für Bereiche ohne bestehende Marktüberwachungsstrukturen (Anhang III, z.B. kritische Infrastruktur) als zentrale MÜB und notifizierende Behörde agieren. Eine enge Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist im Bereich Cybersicherheit vorgesehen. Die KI-VO-MÜB soll auch für die Aufsicht nach dem Cyber Resilience Act (CRA) zuständig sein, wobei die Einbindung des BSI über gemeinsame Leitlinien zur Cybersicherheitsprüfung bei Hochrisiko-KI erfolgen soll. Die Ausgestaltung der Zusammenarbeit mit den Datenschutzbeauftragten ist mit dem Ziel einer schlanken und effizienten Einbindung entsprechend der jeweiligen Zuständigkeiten vorgesehen. Die BaFin ist für den Finanzdienstleistungsbereich als MÜB vorgesehen.
Innovationsförderung und Governance-Überprüfung
Der Entwurf hebt die innovationsfördernde Rolle der BNetzA besonders hervor. Die BNetzA soll eine KI-Servicestelle für die Adressaten der KI-VO werden und Sensibilisierungs- und Schulungsmaßnahmen sowie die Vernetzung relevanter Akteure fördern. Zudem ist die Einrichtung und der Betrieb mindestens eines KI-Reallabors bei der BNetzA gesetzlich vorgesehen (§ 13 KI-MIG). Ein Pilotprojekt zur Simulation von KI-Reallaboren startete in Hessen in Kooperation mit der BfDI Dr. Louisa Specht-Riemenschneider und der hessischen Digitalministerin Prof. Dr. Kristina Sinemus bereits im Mai. Zudem sieht der RefE die Evaluierung der festgelegten KI-Governance nach drei Jahren vor, um die Funktionsfähigkeit der geschaffenen Strukturen zu überprüfen und gegebenenfalls nachzusteuern.
KI-Governance als unabdingbare Voraussetzung in der Praxis
Wie diese regulatorischen Anforderungen in der Praxis wirken, zeigte der Vortrag der Drägerwerk AG & Co. KGaA eindrücklich. Dieser zeigte, dass die KI-VO nur einen Teil eines komplexen neuen regulatorischen Umfelds darstellt. Auch die DSGVO, der Data Act und der Cyber Resilience Act (CRA) beeinflussen den Unternehmensalltag. Entscheidend sei die Verankerung einer internen KI-Governance. Diese werde zunehmend im Vertrieb von Produkten zur „conditio sine qua non“ also zur unabdingbaren Voraussetzung. Wie am Beispiel von Einkaufsgemeinschaften für den Vertrieb deutlich wurde, müssen Unternehmen selbst dann detaillierte Informationen zur KI-Governance liefern, wenn KI kein direkter Bestandteil des verkauften Produkts ist.
Zudem widmete sich der Vortrag der Frage der Hochrisiko-Klassifizierung. Am Beispiel eines fiktiven Medizinprodukts wurde diskutiert, ob ein LLM, das lediglich zur Datenerhebung dient und dessen Ergebnisse an ein deterministisches Expertensystem übergeben werden, als Teil der Hochrisiko-KI-Einstufung des Medizinprodukts gilt. Diese Abgrenzungsfragen zeigen den hohen Klärungsbedarf in der Unternehmenspraxis.
Fazit
Die Diskussionen auf der Marktüberwachungskonferenz verdeutlichen den enormen Handlungsbedarf und die bleibende Unsicherheit. Obwohl die BNetzA mit dem KI-Service Desk, dem KI-Kompass und den Vorbereitungen für das KoKIVO proaktiv agiert, besteht aufgrund der fehlenden nationalen Durchführungsgesetzgebung und hEN weiterhin Rechtsunsicherheit. Unternehmen sollten jedoch nicht auf die finale Klärung warten, da Verbote bestimmter KI-Praktiken und die Pflicht zur Sicherstellung der KI-Kompetenz bereits gelten und die Regelungen für General-Purpose AI (GPAI) seit dem 2. August 2025 in Kraft getreten sind. Proaktives Handeln und der Aufbau einer robusten internen KI-Governance sind unerlässlich, um die Compliance sicherzustellen und drohenden Sanktionen entgegenzuwirken. Diese können bei Verstößen gegen verbotene KI-Praktiken bis zu 35.000.000 Euro oder 7 % des weltweiten Jahresumsatzes betragen.
Die KI-Verordnung verlangt nicht nur technische Anpassungen, sondern ein neues Verständnis von Governance und Compliance. KINAST berät Sie praxisnah bei der Einführung von KI-Systemen und unterstützt bei Audits, Risikobewertungen und der Erstellung interner Leitlinien.
Der „KI-Beauftragte“ –
Ihre Lösung für rechtssichere KI-Compliance
Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt.
