KI-Governance in Deutschland: Bund vs Laender Zustaendigkeit 2026

Die Bundesrepublik Deutschland ist ein Bundesstaat. Das ist fuer Datenschutz und Marktaufsicht keine Verwaltungs-Trivialitaet, sondern strukturpraegend: Zustaendigkeit verteilt sich zwischen Bund und 16 Laendern, koordiniert ueber Konferenzen und Kommissionen. Der EU-AI-Act trifft auf diese foederale Architektur und muss in ihr operationalisiert werden — Stand April 2026 ist die nationale Ausgestaltung nicht abschliessend gesetzlich geregelt.

Dieser Artikel beschreibt die aktuelle Landschaft: welche Bundesministerien zustaendig sind, welche Behoerden Aufsicht ausueben oder ausueben werden, wie BfDI und Landesdatenschutzbeauftragte zusammenwirken, welche Rolle Sektoren-Regulatoren spielen und welche Fragen Stand April 2026 offen sind. Fuer Unternehmen ist das nicht akademisch — es bestimmt, mit welcher Behoerde sie im Audit-, Beschwerde- und Sanktionsfall sprechen.

AI Act + ISO 42001 + BDSG-by-design Knowlee ist neutral gegenueber der finalen Aufsichtsstruktur gebaut: die operativen Compliance-Metadaten (Audit-Trail, Risiko-Klassifikation, Human-in-the-Loop) sind so dokumentiert, dass sie sowohl gegenueber einer zentralen Marktaufsicht als auch gegenueber Sektoren-Regulatoren und Datenschutzaufsichten Bestand haben.

1. Der foederale Rahmen

Artikel 30 Grundgesetz weist die Ausuebung der staatlichen Befugnisse den Laendern zu, soweit das Grundgesetz keine Bundeskompetenz festlegt. Fuer Marktaufsicht im Sinne der EU-Verordnung 2019/1020 ist die Bundeskompetenz eingeraeumt, fuer den Datenschutz teilen sich Bund (BfDI fuer oeffentliche Stellen des Bundes und Telekommunikation/Post) und Laender (Landesdatenschutzbeauftragte fuer alle anderen Bereiche, einschliesslich der gesamten privaten Wirtschaft).

Der AI Act ist eine EU-Verordnung; er gilt unmittelbar. Aber er verlangt von den Mitgliedstaaten die Benennung nationaler Marktaufsichtsbehoerden (Artikel 70) und einer notifizierenden Stelle (Artikel 28). Die nationale Umsetzung dieser Benennung erfolgt in Deutschland ueber ein Bundesgesetz, dessen Verabschiedung Stand April 2026 noch laeuft.

2. Die Bundesministerien

Drei Bundesministerien sind in der nationalen AI-Act-Umsetzung federfuehrend oder mitwirkend:

Bundesministerium fuer Wirtschaft und Klimaschutz (BMWK). Federfuehrend fuer die wirtschaftspolitische Dimension der KI-Strategie und fuer Industriebezug. Zustaendig fuer die Bundesnetzagentur als nachgeordnete Behoerde.

Bundesministerium des Innern und fuer Heimat (BMI). Mitwirkend fuer Sicherheitsaspekte und fuer die innere Sicherheit relevante KI-Anwendungen; zustaendig fuer den BfDI als unabhaengige Bundesoberbehoerde.

Bundesministerium der Justiz (BMJ). Federfuehrend fuer rechtsystematische Fragen und fuer die Schnittstelle zur Verbraucherrechte-Durchsetzung; zustaendig fuer die juristische Kohaerenz der Umsetzung.

Daneben sind Bundesministerien sektorspezifisch betroffen — Verkehr (KBA fuer Fahrzeuge), Gesundheit (BfArM fuer Medizinprodukte), Finanzen (BaFin fuer Finanzaufsicht), Arbeit und Soziales (Bundesagentur fuer Arbeit fuer arbeitsmarktrelevante KI).

3. Die Bundesnetzagentur als zentrale Marktaufsicht?

Stand April 2026 wird die Bundesnetzagentur (BNetzA) als zentrale Marktaufsichtsbehoerde fuer den AI Act gehandelt. Die BNetzA hat 2024 die Koordinierungs- und Beobachtungsstelle fuer kuenstliche Intelligenz eingerichtet und sich personell und strukturell auf diese Rolle vorbereitet.

Argument fuer die BNetzA: bestehende Marktaufsichtskompetenz, etablierte Strukturen, neutrale Positionierung gegenueber Wirtschaftssektoren. Argument dagegen: KI ist ein Querschnittsthema, das Sektoren-Regulatoren mit Fachwissen besser einschaetzen koennen.

Wahrscheinlich wird das nationale Gesetz eine hybride Loesung etablieren: BNetzA als koordinierende Stelle und horizontale Marktaufsicht; Sektoren-Regulatoren (BaFin, BfArM, KBA, BfDI) behalten ihre Zustaendigkeit fuer KI-Systeme in ihrem Sektor. Die Datenschutzaufsicht (BfDI und Landesbehoerden) behaelt ihre eigenstaendige Zustaendigkeit fuer datenschutzrechtliche Aspekte, auch wenn diese in einem KI-System auftreten.

4. Datenschutzaufsicht: BfDI plus 16 Landesbehoerden

Die deutsche Datenschutzaufsicht ist foederal organisiert. Fuer Unternehmen, die ihren Sitz in einem Bundesland haben, ist die jeweilige Landesdatenschutzbehoerde zustaendig:

  • Berlin (BlnBDI), Brandenburg (LDA Brandenburg), Bremen (LfDI Bremen), Hamburg (HmbBfDI)
  • Hessen (HBDI), Mecklenburg-Vorpommern, Niedersachsen (LfD Niedersachsen)
  • Nordrhein-Westfalen (LDI NRW), Rheinland-Pfalz (LfDI RLP), Saarland
  • Sachsen (SDB), Sachsen-Anhalt, Schleswig-Holstein (ULD), Thueringen
  • Baden-Wuerttemberg (LfDI BW), Bayern (BayLDA fuer Privatwirtschaft, BayLfD fuer oeffentlichen Bereich)

Bayern hat als einziges Bundesland zwei Datenschutzaufsichten: das Bayerische Landesamt fuer Datenschutzaufsicht (BayLDA) fuer die Privatwirtschaft und den Bayerischen Landesbeauftragten fuer den Datenschutz (BayLfD) fuer den oeffentlichen Bereich. Das ist historisch gewachsen und bleibt eine Besonderheit.

Der BfDI ist auf Bundesebene zustaendig fuer oeffentliche Stellen des Bundes, Telekommunikation und Post. Er ist nicht "uebergeordnet" gegenueber den Landesbehoerden — die Landesbehoerden sind in ihrem Zustaendigkeitsbereich gleichberechtigt.

Datenschutzkonferenz (DSK). Das Koordinationsgremium, in dem BfDI und alle Landesdatenschutzaufsichten sitzen, abstimmen und gemeinsame Positionen formulieren. DSK-Beschluesse sind nicht juristisch bindend, aber faktisch praegend fuer die Aufsichtspraxis und werden von Gerichten regelmaessig herangezogen.

5. Sektoren-Regulatoren

Bestimmte KI-Systeme fallen zusaetzlich unter sektorspezifische Aufsicht:

BaFin (Bundesanstalt fuer Finanzdienstleistungsaufsicht). KI-Systeme im Finanzsektor — Kreditbewertung, Marktmanipulationsdetektion, Versicherungs-Pricing. BaFin hat 2024-2025 eigene KI-Leitlinien veroeffentlicht; sie kollidieren nicht mit dem AI Act, sondern detailliert ihn fuer den Finanzsektor.

BfArM (Bundesinstitut fuer Arzneimittel und Medizinprodukte). KI-basierte Medizinprodukte unterliegen der Medical-Device-Regulation (MDR) und parallel dem AI Act. Die BfArM ist hier die zentrale Marktaufsicht.

KBA (Kraftfahrt-Bundesamt). KI-Systeme im Fahrzeugkontext (Fahrassistenz, autonome Funktionen) unterliegen Typgenehmigungs-Recht und parallel AI Act.

Bundesagentur fuer Arbeit / BAuA (Bundesanstalt fuer Arbeitsschutz und Arbeitsmedizin). KI-Systeme im Beschaeftigtenkontext beruehren ggf. arbeitsschutzrechtliche Themen.

Bundeskartellamt. Wettbewerbsrechtliche Themen, etwa bei algorithmischer Preissetzung oder Plattform-KI.

Praktisch heisst das: ein Mittelstandsunternehmen, das KI-Bonitaetsbewertung im Mietwohnungsmarkt einsetzt, hat potenziell mit BaFin (sofern Finanzdienstleistung), Landesdatenschutzaufsicht und ggf. der zentralen Marktaufsicht (BNetzA, sofern so bestellt) zu sprechen — und je nach Konstellation mit dem Bundeskartellamt.

6. Wie Bund und Laender zusammenarbeiten

Die foederale Architektur erfordert Koordination, sonst treibt jedes Land eine eigene Auslegung. Drei Foren sind 2026 die wichtigsten:

Datenschutzkonferenz (DSK). Wie oben beschrieben — koordiniert die Datenschutzaufsicht.

Konferenz der Innenminister (IMK). Innere Sicherheit, Polizei-KI, Migration-KI.

Wirtschaftsministerkonferenz (WMK). Wirtschafts- und Industriepolitik, Foerderung von KI-Innovation, Standortfragen.

Daneben gibt es bilaterale Abstimmung zwischen BNetzA, BfDI und Sektoren-Regulatoren in informellen Arbeitskreisen und ueber das EU AI Office in Bruessel. Die Koordination ist in den ersten 18 Monaten nach Inkrafttreten des AI Acts noch im Aufbau.

7. AI Act in der Praxis: was Unternehmen Stand April 2026 wissen muessen

Die zentrale Praxisfrage 2026 lautet: "An wen wende ich mich?"

Die ehrliche Antwort: das ist sektor- und regimeabhaengig.

  • Bei datenschutzrechtlichen Fragen zur eigenen KI-Anwendung: an die Landesdatenschutzbehoerde des Sitzes (oder bei mehreren EU-Niederlassungen an die Lead-Behoerde nach DSGVO-One-Stop-Shop).
  • Bei Marktaufsichtsfragen zur AI-Act-Konformitaet: an die nationale Marktaufsicht — Stand April 2026 wahrscheinlich BNetzA, gesetzlich noch nicht abschliessend bestimmt.
  • Bei Sektor-Themen (Finanzen, Medizin, Verkehr): an den jeweiligen Sektoren-Regulator.
  • Bei Mitbestimmungsfragen im Beschaeftigtenkontext: zunaechst Betriebsrat, dann ggf. Einigungsstelle und Arbeitsgericht.

Vertiefung zur Doppelregulierung: KI-Verordnung und BDSG: wie die zwei Regime ineinandergreifen.

8. Offene Fragen Stand April 2026

Mehrere Punkte sind noch nicht final geregelt:

Notifying Body Strukturen. Welche deutschen Stellen werden als notifizierte Stellen fuer die Konformitaetsbewertung von Hochrisiko-Systemen akkreditiert? Die DAkkS-Akkreditierungen sind teilweise noch in Vorbereitung.

Bussgeldverfahren. Wer setzt im Konflikt zwischen Datenschutzaufsicht und Marktaufsicht durch? Ein integriertes Verfahren ist gewuenscht, aber die rechtliche Architektur ist nicht trivial.

Sektoren-Schnittstellen. Wo BaFin und BNetzA bei KI-Bonitaetsbewertung im Konsumentengeschaeft beide zustaendig sein koennten, ist die Koordinationsregel offen.

KI im oeffentlichen Sektor. Bundesbehoerden, Landesbehoerden, Kommunen — alle setzen KI-Systeme ein. Die Aufsicht ueber den Bund-Land-Kommunal-Mix ist eine eigene Komplexitaetsdimension.

General-Purpose-AI-Modelle. Foundation-Model-Anbieter werden zu erheblichen Teilen ueber das EU AI Office in Bruessel beaufsichtigt; die nationale Komponente ist ergaenzend.

9. ISO 42001 in der Praxis: aufsichtsneutral aufstellen

Eine ISO-42001-Implementierung kann unabhaengig von der finalen Aufsichtsstruktur erfolgen, weil sie Substanz schafft, die fuer jede Aufsicht relevant ist. Das ist 2026 ein bewusster Vorteil: wer auf 42001 setzt, ist auf jeden Aufsichts-Ausgang vorbereitet.

Praktisch heisst das:

  • Das KI-Use-Case-Register dokumentiert pro Use-Case die einschlaegigen Regime (DSGVO, BDSG, AI Act, Sektor-Recht) und die zustaendigen Aufsichten.
  • Audit-Trails sind so strukturiert, dass sie jeder Aufsicht zur Verfuegung gestellt werden koennen.
  • Der Steuerkreis enthaelt Vertretungen aus Datenschutz, IT, Compliance, Recht.

Vertiefung: ISO 42001-Zertifizierung in Deutschland: DAkkS, Zertifizierer, Pfad 2026 und ISO 42001 fuer den Mittelstand: realistische Kosten und 18-Monats-Pfad.

10. Empfehlung 2026

  1. Identifiziere die zustaendigen Aufsichtsbehoerden pro KI-Use-Case dokumentiert. Nicht abstrakt, sondern konkret pro Anwendung.
  2. Pflege Datenschutz-Aufsicht und Sektoren-Regulator-Beziehungen aktiv. Die Aufsicht beobachtet, wer dialogfaehig ist.
  3. Etabliere ISO 42001 als integriertes Managementsystem, das aufsichtsneutral funktioniert.
  4. Beobachte das nationale AI-Act-Umsetzungsgesetz aktiv — die finale Aufsichtsstruktur wird voraussichtlich 2026 verabschiedet.
  5. Bringe Mitbestimmung und Compliance fruehzeitig zusammen, besonders bei KI im Beschaeftigtenkontext.

Knowlee ist als Plattform so gebaut, dass die operativen Compliance-Metadaten gegenueber jeder denkbaren deutschen Aufsichtsstruktur Bestand haben. Das ist die ruhige Variante der KI-Governance: AI Act + ISO 42001 + BDSG-by-design + Mittelstand-realistische Kostenstruktur.

Verwandte Artikel

Conflict of Interest

Knowlee ist eine KI-Workforce-Plattform mit Compliance-by-Design fuer EU-AI-Act-, ISO-42001-, DSGVO- und BDSG-Anforderungen. Dieser Artikel beschreibt einen regulatorischen Kontext, in dem Knowlee selbst Anbieter ist. Faktische Aussagen zu Behoerdenstrukturen und Zustaendigkeiten folgen oeffentlich zugaenglichen Quellen (BfDI, DSK, BMWK, BNetzA, BaFin, BfArM).

Disclaimer

Dieser Beitrag ersetzt keine Rechts- oder Compliance-Beratung. Die nationale Aufsichtsstruktur fuer den AI Act in Deutschland war Stand April 2026 nicht abschliessend gesetzlich geregelt; Aussagen zur erwarteten Rolle der Bundesnetzagentur, zu Sektoren-Aufsichten und zu Schnittstellen sind Einschaetzungen auf Basis oeffentlicher Quellen. Vor verbindlichen Entscheidungen einen qualifizierten Fachanwalt fuer IT-Recht konsultieren. Autor: Matteo Mirabelli, Gruender Knowlee.