EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Alle Ratgeber
Deutschland

Bundesnetzagentur als KI-Marktaufsicht: Was Unternehmen ab August 2026 erwartet

Zuletzt aktualisiert: Mai 2026·11 min Lesezeit
TL;DR

Das KI-Marktüberwachungs- und Implementierungsgesetz (KI-MIG) bestimmt die Bundesnetzagentur zur federführenden Marktaufsicht für den EU AI Act in Deutschland. Ab 2. August 2026 prüft sie Hochrisiko-Systeme und kann Bussgelder bis 35 Mio. Euro oder 7% des Jahresumsatzes verhängen. Was bei einer Prüfung verlangt wird und wie du dich vorbereitest.

Mit dem KI-Marktüberwachungs- und Implementierungsgesetz (KI-MIG) hat Deutschland im Februar 2026 die nationalen Zuständigkeiten für den EU AI Act festgelegt. Federführend wird die Bundesnetzagentur — bekannt von Telekommunikations- und Energie-Regulierung — auch für KI-Systeme. Was das für Unternehmen ab dem 2. August 2026 konkret bedeutet, klärt dieser Ratgeber.

Was regelt das KI-MIG?

Das KI-MIG ist ein Begleitgesetz zum EU AI Act — es schreibt nichts inhaltlich um, sondern regelt nur die deutsche Umsetzung von Art. 70 EU AI Act (Benennung nationaler Behörden). Inhaltlich gilt unverändert die Verordnung (EU) 2024/1689.

Drei zentrale Festlegungen:

  • Federführende Marktaufsicht: Bundesnetzagentur (BNetzA) — sie koordiniert die deutsche AI-Act-Umsetzung
  • Sektor-spezifische Behörden behalten Mitzuständigkeit: BfDI für Datenschutz-Aspekte, BfArM für Medizin-KI, BAMF für Migrations-KI, BaFin für Finanz-Scoring
  • Notifizierte Stelle (Notified Body): wird über BAM (Bundesanstalt für Materialforschung) zertifiziert

Hinweis: Das KI-MIG bezeichnet die Bundesnetzagentur nicht "KI-Behörde", sondern erweitert ihren Marktaufsichts-Mandat um KI. Operativ wird das aber wie eine eigenständige Aufsicht funktionieren — mit eigenem Referat und Fachpersonal.

Bundesnetzagentur: Welche Aufgaben übernimmt sie konkret?

Die BNetzA wird ab 2. August 2026 fünf Hauptaufgaben haben:

1. Marktüberwachung — Prüfung, ob Hochrisiko-Systeme die EU-AI-Act-Anforderungen erfüllen (Art. 74) 2. Beschwerden entgegennehmen — Bürger und Unternehmen können KI-Systeme melden, die sie für nicht konform halten 3. Anlassbezogene Untersuchungen — bei begründetem Verdacht oder Hinweisen 4. Bussgelder verhängen — bis zu 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes (Art. 99) 5. Anordnungen — Markteinstellungen, Rückrufe, Korrekturmassnahmen

Was bei einer Prüfung verlangt wird

Wenn die BNetzA dein Unternehmen prüft (egal ob anlassbezogen oder durch Stichprobe), erwartet sie folgende Dokumente innerhalb von 30 Tagen:

  • KI-Inventar mit allen eingesetzten KI-Systemen, Klassifikation und Verantwortlichen
  • Konformitätserklärung und technische Dokumentation (Annex IV) für alle Hochrisiko-Systeme
  • Logs der KI-Systeme der letzten 6 Monate (Art. 12)
  • Nachweis menschlicher Aufsicht und Vorfallregister (Art. 14, Art. 73)
  • KI-Literacy-Schulungsnachweise für alle relevanten Mitarbeiter (Art. 4)
  • bei Provider zusätzlich: Risikomanagement-System-Dokumentation (Art. 9), Qualitätsmanagement-Dokumentation (Art. 17), Daten-Governance-Nachweis (Art. 10)

Für Provider ist die EU-Datenbank-Registrierung (Art. 71) Pflicht — wenn sie fehlt, ist das ein eigener Bussgeld-Tatbestand.

Wie du dich auf eine Prüfung vorbereitest

Die operative Realität: Die meisten Prüfungen werden per E-Mail beginnen mit einem strukturierten Fragenkatalog. Du hast dann meist 14 Tage zur Erstantwort und 30 Tage zur Dokumenten-Übermittlung. Wer in der Erstantwort offen, vollständig und kooperativ kommuniziert, hat statistisch deutlich bessere Chancen auf einen milderen Ausgang.

Die fünf Vorbereitungsschritte:

  • KI-Register zentralisieren — eine Stelle, an der alle KI-Systeme dokumentiert sind, mit Klassifikation und Verantwortlichen
  • Dokumenten-Kontaktstelle benennen — wer kann innerhalb 24h alle Compliance-Dokumente bereitstellen?
  • Audit-Trail prüfen — sind Logs lückenlos? Sind menschliche Override-Entscheidungen dokumentiert?
  • Schulungsnachweise sortieren — KI-Literacy-Schulung mit Datum, Teilnehmern, Inhalt — ablagefertig
  • Probelauf — einmal im Quartal eine interne "Mini-Prüfung", in der ein Mitarbeiter so tut, als sei er BNetzA und alles abfragt

Andere Behörden: Wer ist neben der Bundesnetzagentur zuständig?

Das KI-MIG hat eine Mehr-Behörden-Architektur beibehalten — was die Komplexität für Unternehmen erhöht:

  • BfDI (Bundesbeauftragte für Datenschutz) — bei personenbezogenen Daten und automatisierten Entscheidungen, in Verbindung mit DSGVO Art. 22
  • BAMF — bei KI in Asyl- und Migrationsverfahren (Annex III Nr. 7)
  • BfArM — bei Medizin-KI nach Annex I (MDR/IVDR-Schnittstelle)
  • BaFin — bei KI in Kreditscoring und Versicherungen (Annex III Nr. 5)
  • BSI (Bundesamt für Sicherheit in der Informationstechnik) — bei Cybersecurity-Aspekten (Art. 15 EU AI Act × NIS2)

In der Praxis kann das bedeuten: bei einem Hochrisiko-System in der Personalauswahl bist du potenziell gleichzeitig der BNetzA, der BfDI und (bei Migration-Bezug) dem BAMF rechenschaftspflichtig.

Was bei Verstößen droht

Die Bussgelder sind nicht symbolisch:

  • Verbotene KI-Praktiken (Art. 5): bis 35 Mio. Euro oder 7% Jahresumsatz weltweit (das jeweils Höhere)
  • Verstöße gegen Hochrisiko-Pflichten: bis 15 Mio. Euro oder 3% Jahresumsatz
  • Falsche Information an Behörden: bis 7,5 Mio. Euro oder 1% Jahresumsatz
  • KMU-Anpassung: Für Kleinstunternehmen und KMU gilt nach Art. 99 Abs. 6 der niedrigere Betrag (statt der höhere)

FAQ

Die häufigsten Fragen zur Bundesnetzagentur als KI-Aufsicht.

Häufig gestellte Fragen

Wann beginnt die Bundesnetzagentur mit Prüfungen?+

Offiziell ab 2. August 2026 — dem Stichtag für Hochrisiko-Systeme. In der Praxis wird der Aufbau des Referats und die operative Aufnahme von Prüfungen aber wahrscheinlich erst Q4 2026 / Q1 2027 vollständig laufen. Bussgeld-Verfahren werden vermutlich erst ab 2027 spürbar werden.

Werde ich automatisch geprüft oder nur bei Verdacht?+

Beides. Die Bundesnetzagentur wird sowohl Stichproben durchführen (proaktiv) als auch anlassbezogen prüfen — bei Beschwerden, Whistleblowing, Medienberichten oder eskalierten Vorfallmeldungen nach Art. 73. Branchen mit Hochrisiko-KI (HR, Finanzen, Gesundheit, Strafverfolgung) werden überdurchschnittlich häufig geprüft.

Was ist der Unterschied zwischen BNetzA und BfDI bei KI-Prüfungen?+

Die BNetzA prüft die EU-AI-Act-Konformität (technische Dokumentation, Risikomanagement, Konformitätsbewertung). Die BfDI prüft den Datenschutz-Aspekt (DSGVO, automatisierte Entscheidungen Art. 22, DPIA). Bei Hochrisiko-Systemen mit personenbezogenen Daten kannst du beiden gegenüber rechenschaftspflichtig sein.

Muss ich mich bei der Bundesnetzagentur registrieren?+

Als Deployer (Betreiber) nicht. Als Provider eines Hochrisiko-KI-Systems musst du dich in der EU-weiten Datenbank nach Art. 71 registrieren — diese wird von der EU-Kommission betrieben, nicht von der BNetzA. Die BNetzA hat aber Zugriff darauf und nutzt es für ihre Marktaufsicht.

Was kann ich tun, wenn ich mit einer Anordnung der BNetzA nicht einverstanden bin?+

Anordnungen der Bundesnetzagentur sind Verwaltungsakte — du kannst Widerspruch einlegen (innerhalb 1 Monats) und ggf. Klage beim Verwaltungsgericht erheben. In Eilfällen kannst du einstweiligen Rechtsschutz beantragen. Anwaltliche Beratung ist hier ratsam, weil die rechtliche Argumentation auf EU-Ebene (Reg. 2024/1689) geführt werden muss.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Innopulse Consulting GmbH — EU AI Act Compliance

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Mai 2026

Alle RatgeberWissenshub
Bundesnetzagentur EU AI Act 2026 — KI-Aufsicht DE | ai-risk-check.com