Wie bereits in unserem Blogbeitrag im letzten Jahr prognostiziert, zeigt sich immer mehr, dass die Regelung der behördlichen Zuständigkeiten bezüglich der Durchführung und Überwachung der KI-Verordnung (KI-VO) zu einer massiven bürokratischen Mehrbelastung und damit einer Konterkarierung der eigentlichen Regelungsziele der KI-VO führt.
Statt einer schlanken und effizienten behördlichen Aufsicht, scheint es zu einem internen Befugnisstreit zwischen der Datenschutzkonferenz (DSK) und der Bundesnetzagentur (BNetzA) zu kommen. Dies zeigt sich gerade in der aktuellen Stellungnahme der DSK vom 10.10.2025 zum Entwurf eines Gesetzes zur Durchführung der KI-VO (Stand: 11.09.2025).
Position der DSK
Die DSK führt in der Stellungnahme aus, dass der entsprechende Gesetzentwurf zur behördlichen Aufsichtsstruktur zur Durchführung und Überwachung der KI-VO die föderale Zuständigkeitsordnung des Grundgesetzes verkenne und zu Unrecht die Möglichkeiten des Art. 74 Abs. 8 KI-VO zur Übertragung der Zuständigkeit bei gewissen Hochrisiko-KI-Systemen an die Datenschutzaufsichtsbehörden nicht nutze.
Hierdurch würden doppelte Aufsichtsstrukturen aufgebaut und gleichzeitig bereits bestehende Erfahrungen und Strukturen durch die Aufsicht der DSK nicht genutzt. Dies würde zu einer bürokratischen Mehrbelastung führen, die gerade verhindert werden sollte.
Rechtliche Begründung der DSK
Die DSK stellt zunächst darauf ab, dass der Gesetzgeber zu Unrecht nicht von der Möglichkeit des Art. 74 Abs. 8 (i. V. m. Anhang III Nr.1, 6, 7, 8) KI-VO Gebrauch gemacht hätte. Sofern Hochrisiko-KI-Systeme im Kontext von Strafverfolgung, Wahlen, Grenzkontrolle und Justizverwaltung (Art. 74 Abs. 8 i. V. m. Anhang III Nr. 1, 6, 7, 8 KI-VO) eingesetzt würden, könnten Marktüberwachungsbehörden nur bestimmte Behörden sein. Dies seien entweder die Datenschutzaufsichtsbehörden nach der Datenschutz-Grundverordnung (DSGVO) bzw. der JI-Richtlinie oder „jede andere gemäß denselben Bedingungen wie den in Artikel 41 bis 44 der Richtlinie (EU) 2016/680 festgelegte benannte“ Behörde. Der Erwägungsgrund 159 beschreibe dabei die von der KI-VO festgelegten Marktüberwachungsbehörden als die Behörden, die die Befugnisse einsetzen können, „die ihnen mit der Richtlinie (EU) 2016/680 übertragen wurden“. Der Wortlaut spräche daher dafür, dass diese Übertragung in der Vergangenheit hätte erfolgt sein müssen, was lediglich auf die Datenschutzaufsichtsbehörden zuträfe.
Weiterhin verstoße die Übertragung der Aufsichtszuständigkeit an die BNetzA gegen die föderale Zuständigkeitsordnung des Grundgesetzes, da gerade z. B. der Einsatz von KI in den Hochrisikobereichen biometrischer Fernidentifizierungssysteme durch die Polizei, allgemeinen und beruflichen Bildung an staatlichen Schulen und in der Strafverfolgung der ausschließlichen Gesetzgebungs- und Verwaltungskompetenz der Länder zuzurechnen sei. Die BNetzA sei daher nicht zuständig, da ausschließlich Länderbehörden hier eine entsprechende Konformitätsprüfung nach der KI-VO vornehmen könnten.
Einordnung
Zwar ist der DSK durchaus zuzustimmen, sofern diese auf den Erwägungsgrund 159 verweist, der für die Übertragung dieser Befugnisse auf die Datenschutzaufsichtsbehörden spricht. Allerdings ist hier ebenfalls anzumerken, dass die KI-VO nur von einem „sollte“ der Aufgabenübertragung spricht und somit gerade keine Zwangsläufigkeit festschreibt. Auch das Argument, dass eine Befugniszuweisung aufgrund des Wortlauts in der Vergangenheit hätte stattfinden müssen und somit ebenfalls nur die Datenschutzaufsichtsbehörden als Adressaten in Betracht zu ziehen wären, überzeugt nur bedingt. Vielmehr ist dieses Argument wohl eher als reine Förmelei zu betrachten.
Wesentlich überzeugender erscheint dagegen der Verweis der DSK auf die föderale Zuständigkeitsordnung des Grundgesetzes. Die Zuweisung der Aufgaben aus der KI-VO an die BNetzA kann durchaus als unzulässiger Eingriff in den Zuständigkeitsbereich der Länder aufgefasst werden.
Diese Argumentation ist jedoch nicht neu, da die Datenschutzaufsichtsbehörden bereits im Rahmen der Zuständigkeitsverteilung auf die entsprechenden Punkte und gerade die alleinige Zuständigkeit der Datenschutzaufsichtsbehörden bei der Verarbeitung personenbezogener Daten durch KI-Systeme hinwiesen. Trotzdem wurde die BNetzA als Aufsichtsbehörde für die Durchführung der KI-VO benannt, sodass nicht zu erwarten ist, dass die Politik hier noch einmal eine Kehrtwende vollzieht.
Die Stellungnahme verdeutlicht jedoch, dass die Befürchtungen eines Kampfes der Datenschutzbehörden und der BNetzA um Zuständigkeitsverteilung der KI-VO begründet waren. Entgegen der Zielsetzung der KI-VO wird hier eine doppelte Bürokratiestruktur aufgebaut, die die Verwirrung für Unternehmen verstärkt, anstatt diese zu beseitigen. Auch die angekündigten Änderungen an der KI-VO durch die EU-Kommission in Form des „Digital Omnibus on AI“ werden hier wohl kaum für Abhilfe sorgen können, da dadurch zwar eine gewisse Zentralisierung der Aufsicht der Pflichten aus der KI-VO beim „AI Office“ und somit direkt bei der EU-Kommission erreicht wird, dies aber insbesondere für große Online-Plattform-Anbieter und große Suchmaschinenanbieter relevant sein dürfte. Ob hierdurch tatsächlich auch der Streit der nationalen Zuständigkeitsverteilung gelöst werden kann, darf daher zumindest stark bezweifelt werden.
Die europäische Digitalstrategie droht daher zumindest in Deutschland zu einem weiteren Wachstumsbremsklotz zu verkommen und bedroht den bereits stark unter Druck stehenden Industriestandort Deutschland noch weiter. Für Unternehmen bedeutet dies weiteren Beratungsbedarf, da insoweit zu befürchten ist, dass widerstreitende Aussagen der Datenschutzaufsichtsbehörden und der BNetzA bei Verpflichtungen aus der KI-VO getätigt werden, insbesondere sofern personenbezogene Daten verarbeitet werden. Es kann daher nur auf die Notwendigkeit hingewiesen werden frühzeitig im Unternehmen entsprechende Strukturen aufzubauen und so eine professionelle KI-Beratung sicherzustellen.
Aufgrund des meist zeit- und kostenintensiven internen Neuaufbaus kann hier eine externe Beratung oftmals eine bessere Lösung darstellen. Insofern verweisen wir auf unsere eigenen KI-Beratungsangebote. Unsere dort aufgeführten Ansprechpartner stehen Ihnen bei Fragen gerne zur Verfügung.