Neue KI-Regeln kommen – aber ohne Behörden-Monster

Das Bundeskabinett hat den Entwurf des KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG) beschlossen. Es regelt, wie die Vorgaben aus der europäischen KI-Verordnung in Deutschland umgesetzt werden sollen.

Vorgesehen ist eine möglichst schlanke Struktur, bei der die Überwachung der Verordnung grundsätzlich an bestehende Fach- und Marktaufsichten angebunden werden soll, anstatt eine neue zentrale Sonderbehörde zu schaffen.

Der AfW Bundesverband Finanzdienstleistung begrüßt diesen Ansatz ausdrücklich. Denn für Versicherungsvermittler, Finanzanlagenvermittler sowie Immobiliardarlehensvermittler bedeute die nun gewählte Lösung, dass die KI-Aufsicht voraussichtlich bei den jeweils bereits zuständigen Gewerbeaufsichtsbehörden angesiedelt werde. Bei § 34d GewO seien dies regelmäßig die Industrie- und Handelskammern, bei § 34i und § 34f GewO die landesrechtlich bestimmten Behörden, häufig auch die IHKen oder die Gewerbeämter.

„Es ist richtig, keine zusätzliche Sonderaufsicht für kleine und mittlere Vermittlerunternehmen aufzubauen“, erklärt AfW-Vorstand Norman Wirth. „Die Anbindung an bestehende gewerberechtliche Strukturen ist sachgerecht und vermeidet neue Bürokratie. Gleichzeitig brauchen wir eine bundesweit möglichst einheitliche Auslegung, damit kein Flickenteppich entsteht.“

Die Bundesnetzagentur ist als zentrales Koordinierungs- und Kompetenzzentrum, Marktüberwachungsbehörde und notifizierende Behörde vorgesehen. Sie soll KI-Expertise zur Durchführung der EU-Verordnung bündeln.

Die KI-Verordnung ist im August 2024 in Kraft getreten und gilt unmittelbar in allen Mitgliedstaaten. Sie legt einen einheitlichen Rechtsrahmen für die Entwicklung, das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen in der Union fest.

Erste Vorschriften – insbesondere zu verbotenen KI-Praktiken – sind bereits anwendbar. Weitere zentrale Pflichten greifen stufenweise, unter anderem Transparenzpflichten für bestimmte KI-Systeme sowie umfangreiche Governance-, Dokumentations- und Konformitätsanforderungen für Hochrisiko-KI-Systeme. Die Verordnung folgt einem risikobasierten Ansatz und unterscheidet zwischen unzulässigen, hochriskanten sowie KI-Systemen mit begrenztem oder geringem Risiko.

Der AfW weist darauf hin, dass die KI-Verordnung neben bestehende Regelwerke tritt und diese nicht ersetzt. Insbesondere die Datenschutz-Grundverordnung (DSGVO) bleibe uneingeschränkt anwendbar; zuständig seien hier weiterhin die jeweiligen Landesdatenschutzbehörden. Unternehmen, die KI einsetzten, unterlägen somit parallel sowohl den Anforderungen der KI-Verordnung als auch den datenschutzrechtlichen Vorgaben.

Die KI-Verordnung dürfe nun nicht zu unkoordinierten Mehrfachprüfungen führen, mahnt Wirth. „Wenn Gewerbeaufsicht und Datenschutzaufsicht nebeneinander prüfen, braucht es klare Abgrenzungen und abgestimmte Maßstäbe. Rechtssicherheit ist für unsere Mitglieder entscheidend.“

Das vom Kabinett beschlossene Gesetz wird nun in das parlamentarische Verfahren eingebracht. Ein Inkrafttreten der nationalen Zuständigkeitsregelungen noch im Laufe des Jahres 2026 gilt als wahrscheinlich. Unabhängig davon gelten die materiellen Anforderungen der KI-Verordnung bereits unmittelbar bzw. werden in den kommenden Monaten verbindlich.