Stand: 10.07.2026. Der Bundesrat hat heute das deutsche Gesetz zur Durchführung der europäischen Verordnung über Künstliche Intelligenz passieren lassen. Der Bundesrat beschreibt die Bundesnetzagentur als zentrale Marktüberwachungsbehörde und als Anlaufstelle für Bürgerbeschwerden. heise online führte den Beschluss am Nachmittag unter den aktuellen Datenschutzthemen. Für Datenschutzteams ist das kein reines KI-Verwaltungsthema. Es geht um die Frage, wer Beschwerden über riskante Systeme annimmt, wer Verstöße sortiert und wo personenbezogene Daten in KI-Anwendungen praktisch kontrolliert werden.
Die europäische KI-Verordnung, oft AI Act genannt, regelt risikobasierte Anforderungen an KI-Systeme in der EU. Sie soll nicht jede Software gleich behandeln, sondern vor allem dort strengere Pflichten setzen, wo KI Menschen besonders stark beeinflussen kann. Dazu gehören etwa Anwendungen in Beschäftigung, Bildung, kritischer Infrastruktur, öffentlicher Verwaltung oder biometrischer Identifikation. Genau dort berühren KI-Risiken häufig auch Datenschutzfragen, weil personenbezogene Daten verarbeitet, bewertet oder für Entscheidungen genutzt werden.
Warum der Beschluss mehr ist als Behördenorganisation
Nach der Darstellung des Bundesrates soll die Bundesnetzagentur eine zentrale Rolle bei der Marktüberwachung übernehmen. Bei ihr wird ein Koordinierungs- und Kompetenzzentrum eingerichtet. Es soll mit anderen öffentlichen Stellen zusammenarbeiten und Ansprechpartner für europäische Institutionen sein. Das klingt organisatorisch, hat aber praktische Wirkung: Unternehmen bekommen eine zentrale Stelle, an der sich Aufsicht, Beschwerden und Auslegung der KI-Regeln bündeln können.
Für Betroffene ist besonders wichtig, dass die Bundesnetzagentur auch als zentrale Anlauf- und Beschwerdestelle dienen soll. Beschwerden über mögliche Verstöße gegen Vorschriften zur künstlichen Intelligenz sollen an die zuständige Marktüberwachungsbehörde weitergeleitet werden. Damit entsteht ein erster sichtbarer Pfad für Menschen, die ein KI-System für unfair, riskant oder rechtswidrig halten. Für Datenschutzverantwortliche stellt sich sofort die Anschlussfrage: Wann bleibt ein Fall bei der KI-Aufsicht, wann muss eine Datenschutzaufsicht eingebunden werden und wann laufen beide Prüfungen parallel?
Wo Datenschutz und KI-Aufsicht sich berühren
Der Datenschutzkern liegt nicht in jeder KI-Anwendung automatisch gleich stark. Er wird aber deutlich, sobald personenbezogene Daten trainiert, ausgewertet oder für Entscheidungen genutzt werden. Ein Bewerberranking, ein Bonitätsmodell, eine automatisierte Priorisierung im Kundenservice oder ein biometrischer Abgleich am Zugangspunkt können zugleich KI-Risiko und Datenschutzrisiko sein. Dann reicht es nicht, nur technische Modellqualität oder Fehlerquote zu prüfen. Verantwortliche müssen auch Datenbasis, Zweckbindung, Transparenz, Betroffenenrechte und Löschkonzepte sauber erklären können.
Der Bundesrat weist zugleich darauf hin, dass KI-Systeme öffentlicher Stellen der Länder und Kommunen von der Marktüberwachung durch die Bundesnetzagentur ausgenommen sind. Das ist für Unternehmen und öffentliche Auftraggeber ein wichtiger Hinweis, weil Zuständigkeiten nicht überall gleich laufen. Wer KI im öffentlichen Umfeld beschafft, betreibt oder zuliefert, sollte deshalb vor dem Rollout klären, welche Aufsicht für das konkrete System zuständig ist und wie Datenschutzaufsicht, Fachaufsicht und KI-Aufsicht zusammenwirken.
Was Unternehmen jetzt vorbereiten sollten
Der Beschluss macht aus abstrakten KI-Pflichten langsam einen operativen Prüfpfad. Unternehmen sollten ihre KI-Systeme deshalb nicht nur nach Toolnamen inventarisieren, sondern nach Einsatzkontext, Datenarten und Betroffenenwirkung. Entscheidend ist, ob ein System Menschen bewertet, Entscheidungen vorbereitet, sensible Daten nutzt oder in Bereichen eingesetzt wird, in denen Fehlentscheidungen schwer korrigierbar sind.
Praktisch gehört dazu eine Beschwerdelogik im eigenen Haus. Wenn Beschäftigte, Kunden oder Bewerber ein KI-Ergebnis beanstanden, sollte klar sein, wer den Fall annimmt, welche Logs geprüft werden, ob personenbezogene Daten betroffen sind und wann externe Aufsichtsbehörden einzubeziehen sind. Ebenso wichtig ist die Dokumentation gegenüber Anbietern. Wer KI-Module einkauft, braucht belastbare Angaben zu Trainingsdaten, Einsatzgrenzen, menschlicher Kontrolle, Fehlerbehandlung und Änderungen am Modell.
Die neue deutsche KI-Aufsicht wird damit nicht alle Datenschutzfragen ersetzen. Sie macht aber sichtbarer, dass KI-Governance und Datenschutz nicht getrennt geplant werden können. Sobald Bürgerbeschwerden einen offiziellen Weg bekommen, werden interne Lücken schneller auffallen: unklare Zuständigkeiten, fehlende Systemlisten, schwache Anbieterunterlagen oder Datenschutzinformationen, die zwar formal klingen, aber die konkrete KI-Entscheidung nicht erklären. Genau diese Lücken sollten Verantwortliche schließen, bevor der erste Beschwerdefall auf dem Tisch liegt.
Quellen: Bundesrat zur 1067. Sitzung am 10.07.2026 und zum Gesetz zur KI-Aufsicht, heise online mit aktueller Datenschutz-Einordnung am 10.07.2026.
Bildquelle: Eigene DSGVOScan-Grafik, generisches Symbolbild.




