Anwaltskanzlei Ferner Alsdorf (Rechtsanwalt für Strafrecht & IT-Recht)

Mit dem am 10. Juni 2026 vom Ausschuss für Digitales und Staatsmodernisierung zur Annahme empfohlenen und sodann beschlossenen Gesetz zur Durchführung der Verordnung (EU) 2024/1689 schafft der Bund die nationale Vollzugsarchitektur für den AI Act. Kernstück des Artikelgesetzes ist Artikel 1, mit dem das KI-Marktüberwachungs- und Innovationsförderungs-Gesetz (KI‑MIG) geschaffen wird und das die Bundesnetzagentur (BNetzA) zur zentralen Marktüberwachungsbehörde, Anlaufstelle und Beschwerdestelle bestimmt … und zugleich ein verschachteltes System sektoraler und föderaler Zuständigkeiten konserviert.

Ausgangslage und Regelungsauftrag

Die Verordnung (EU) 2024/1689 ist am 1. August 2024 in Kraft getreten und gilt im Grundsatz unmittelbar ab dem 2. August 2026; sie verfolgt einen risikobasierten Ansatz mit Verboten bestimmter Praktiken, besonderen Anforderungen an Hochrisiko-KI-Systeme und Transparenzpflichten. Als unmittelbar geltende Verordnung bedarf sie keiner Umsetzung, wohl aber der Durchführung: Jeder Mitgliedstaat musste bis zum 2. August 2025 mindestens eine notifizierende und mindestens eine Marktüberwachungsbehörde – darunter eine zentrale Anlaufstelle – benennen und Sanktionsvorschriften erlassen. Diese Frist hat Deutschland verfehlt; der Regierungsentwurf datiert erst vom 9. März 2026 (Drs. 21/4594), die Beschlussempfehlung vom 10. Juni 2026 (Drs. 21/6407).

Der Gesetzgeber beschränkt sich bewusst auf das unionsrechtlich Gebotene: Mit Artikel 1 werden die zuständigen Behörden benannt, ihre Aufgaben geregelt sowie Kooperations- und Bußgeldverfahrensvorschriften erlassen, während die Artikel 2 bis 4 das Hinweisgeberschutzgesetz, das SGB I und das Finanzdienstleistungsaufsichtsgesetz anpassen. Bemerkenswert ist die ausdrückliche Feststellung, dass für Wirtschaft und Bürger durch das Durchführungsgesetz kein zusätzlicher Erfüllungsaufwand entsteht, weil sämtliche materiellen Pflichten bereits aus der unmittelbar geltenden Verordnung folgen. Das ist dogmatisch korrekt und zugleich rechtspolitisch entlastend, verschiebt es doch die Belastungsdebatte konsequent auf die Verordnungsebene.

Zentralisierung bei der BNetzA

Die zentrale ordnungspolitische Weichenstellung liegt in § 2 Abs. 1 KI-MIG: Die Bundesnetzagentur ist die zuständige Marktüberwachungsbehörde, soweit das Gesetz nichts anderes bestimmt – ein Auffangtatbestand, der hauptsächlich die Bereiche des Anhangs III der Verordnung erfasst. Flankierend wird die BNetzA zentrale Anlaufstelle nach Art. 70 Abs. 2 (§ 6), zentrale Beschwerdestelle nach Art. 85 (§ 8) und Trägerin des Koordinierungs- und Kompetenzzentrums (§ 5). Diese Bündelung begründet der Entwurf mit dem Ziel einheitlicher Auslegung, der Vermeidung von Doppelstrukturen und der Knappheit an KI-Fachkräften.

Die gewählte Lösung kombiniert die Nutzung bestehender Strukturen mit einer neuen zentralen Zuständigkeit; die CDU/CSU-Fraktion betonte im Ausschuss, man bündele Kompetenzen und nutze bestehende Strukturen, „statt neue Bürokratie zu erfinden“. Darin liegt die eigentliche industriepolitische Pointe: Der Gesetzgeber konzipiert die BNetzA zur deutschen Digitalaufsichtsbehörde im Werden.

Sektorales und föderales Zuständigkeitsgeflecht

So klar der Grundsatz, so verschachtelt die Ausnahmen: § 2 KI-MIG erhält die in vollharmonisierten Produktbereichen bereits etablierten Marktüberwachungsbehörden (Anhang I Abschnitt A), überträgt der BaFin die Aufsicht über KI-Systeme im direkten Zusammenhang mit regulierter Finanztätigkeit eines in 25 Nummern aufgezählten Kreises beaufsichtigter Unternehmen und weist die Aufsicht über KI-Systeme öffentlicher Stellen der Länder den nach Landesrecht zuständigen Behörden zu. Letzteres ist wegen der Eigenstaatlichkeit der Länder verfassungsrechtlich zwingend.

Hinzu treten Sonderzuständigkeiten für die Medienaufsicht – zum Schutz der Medienfreiheit verbleibt die Aufsicht über Mediendiensteanbieter bei den staatsfernen Landesbehörden (§ 2 Abs. 8) – sowie ein Einvernehmensvorbehalt zugunsten des BMF bei KI-Einsatz in Abgabenangelegenheiten, der das Steuergeheimnis (Art. 108 GG) wahrt (§ 2 Abs. 7). Die Beschlussempfehlung ergänzt diesen Vorbehalt um die Versorgungsanstalt des Bundes und der Länder (VBL) als vorkonstitutionelle Anstalt in Mischverwaltung und nimmt Versicherungsvermittler nach §§ 34d ff. GewO aus der allgemeinen Finanzaufsichtsregel heraus, indem sie diese der BNetzA zuweist. Dieses Geflecht ist der Preis für die Schonung gewachsener Aufsichtsstrukturen – die AfD-Fraktion sprach im Ausschuss von einer Verantwortung, die „auf sechs Bundesbehörden und 16 Behörden der Bundesländer“ aufgeteilt werde, und sah das Ziel einer bürokratiearmen Umsetzung verfehlt; auch der Bundesrat rügte „Doppelstrukturen und Zersplitterung“.

Unabhängige KI-Marktüberwachungskammer

Dogmatisch und grundrechtlich am anspruchsvollsten ist die in § 4 KI-MIG errichtete KI-Marktüberwachungskammer. Sie wird nach § 2 Abs. 5 für besonders sensible Hochrisiko-KI-Systeme zuständig – namentlich für Biometrie (Anhang III Nr. 1), soweit für Strafverfolgung, Grenzmanagement, Justiz und Demokratie eingesetzt, sowie für Strafverfolgung, Migration/Asyl/Grenzkontrolle und Rechtspflege/demokratische Prozesse (Anhang III Nr. 6, 7 und 8). Hintergrund ist die unionsrechtliche Vorgabe, für diese Bereiche eine Behörde zu benennen, welche die Unabhängigkeitsanforderungen der Art. 41 bis 44 der Richtlinie (EU) 2016/680 erfüllt.

Der Gesetzgeber wählt bewusst nicht die Datenschutzbehörden, sondern eine „völlig unabhängige“ Kammer innerhalb der BNetzA: Sie hat drei Mitglieder, den Vorsitz führt der Präsident der BNetzA, die Vizepräsidenten sind Beisitzer; sie handelt weisungsfrei und legt dem Bundestag jährlich (erstmals für 2026, jeweils zum 31. März) einen Tätigkeitsbericht vor (§ 4 Abs. 1 bis 4). Diese Personalunion ist die offene Flanke der Konstruktion: Die Fraktion Die Linke rügte im Ausschuss, die Personalunion zwischen Kammer und BNetzA-Präsidium dürfte die unionsrechtlichen Unabhängigkeitsanforderungen nicht erfüllen. Ob die institutionelle Nähe zur weisungsgebundenen Restbehörde dem Unabhängigkeitsanspruch in der Praxis genügt, wird die Kommission und gegebenenfalls der EuGH zu beurteilen haben; die Bedenken sind nicht von der Hand zu weisen.

Begrüßenswert klar ist hingegen die Kompetenzabgrenzung in § 4 Abs. 5: Die Kammer prüft nicht die materiellen und formellen Einsatzvoraussetzungen im Einzelfall nach Art. 5 Abs. 2 und 3 sowie Art. 26 Abs. 10 der Verordnung, weil diese bereits justizieller Kontrolle unterliegen. Das vermeidet eine Doppelung von Marktüberwachung und richterlicher Kontrolle und respektiert die Unabhängigkeit der Justiz.

V. Bußgeldsystematik und strafverfahrensrechtliche Verzahnung

Aus wirtschaftsstrafrechtlicher Sicht sind die Bußgelder das eigentliche Herzstück: Der Bund stützt die Bußgeldvorschriften in Teil 5 ausdrücklich auf die konkurrierende Gesetzgebungskompetenz; § 1 KI-MIG verweist hinsichtlich der Bußgelder auf Art. 99 Abs. 1 der Verordnung. Dogmatisch sind dabei zwei Sanktionsschichten zu unterscheiden.

Die erste Schicht bildet § 15 KI-MIG, der eigenständige nationale Ordnungswidrigkeitentatbestände für solche Pflichtverstöße schafft, die die Verordnung selbst nicht mit Geldbuße bewehrt – erfasst werden vorsätzliche oder fahrlässige Verstöße gegen Informations- und Dokumentationspflichten (Art. 21), die unterlassene oder fehlerhafte Grundrechte-Folgenabschätzung nach Art. 27, Informationspflichten gegenüber notifizierenden Behörden (Art. 45) sowie die unterlassene Erläuterung gegenüber betroffenen Personen nach Art. 86 (§ 15 Abs. 2). Diese nationalen Tatbestände sind nach § 15 Abs. 3 auf eine Geldbuße bis zu 50.000 Euro gedeckelt. Die zweite Schicht sind die Verstöße nach Art. 99 Abs. 3 bis 5 der Verordnung selbst, deren – erheblich höhere – Bußgeldrahmen unmittelbar gelten und die § 16 lediglich verfahrensrechtlich flankiert.

Die Regelungstechnik des § 16 ist für die Verteidigungspraxis bedeutsam. Das OWiG gilt nur entsprechend, und zwar gerade nicht vollständig: § 17 OWiG (Bußgeldrahmen), auch i.V.m. § 30 Abs. 3 OWiG, sowie § 30 Abs. 1 und 2 OWiG zur Verbandsgeldbuße sind ausdrücklich ausgeschlossen, weil das europäische Sanktionenrecht des Art. 99 KI-VO insoweit abschließend und vorrangig ist. Damit verdrängt das Unionsrecht die vertrauten Zumessungs- und Zurechnungsmechanismen des deutschen Verbandssanktionenrechts – die Adressierung des Unternehmens folgt unmittelbar der Verordnung, nicht § 30 OWiG. § 16 Abs. 2 erklärt über § 46 OWiG die allgemeinen Gesetze über das Strafverfahren, namentlich StPO und GVG, für sinngemäß anwendbar und modifiziert § 69 Abs. 4 Satz 2 OWiG dahin, dass die Staatsanwaltschaft das Verfahren im Zwischenverfahren nur mit Zustimmung der den Bußgeldbescheid erlassenden Marktüberwachungsbehörde einstellen kann. Das verschiebt das prozessuale Gewicht spürbar zur Behörde und ist mit der primärrechtlich verankerten Unabhängigkeit der Marktüberwachung begründet.

Zwei weitere Festlegungen verdienen Hervorhebung. Zum einen erfasst die Sanktionierung entsprechend Art. 99 Abs. 7 lit. i KI-VO sowohl Vorsatz als auch Fahrlässigkeit, wobei die bloß fahrlässige Begehung erst auf der Zumessungsebene Berücksichtigung findet. Zum anderen werden gegen Behörden und sonstige öffentliche Stellen i.S.d. § 2 Abs. 1 und 2 BDSG nach § 17 Abs. 2 (i.V.m. Art. 99 Abs. 8 KI-VO) keine Geldbußen verhängt. Das ist eine bewusste Privilegierung des Staates, die rechtspolitisch angreifbar bleibt, weil sie gerade den grundrechtssensiblen hoheitlichen KI-Einsatz von der schärfsten Sanktion freistellt. Zuständige Verwaltungsbehörden i.S.d. § 36 Abs. 1 Nr. 1 OWiG sind nach § 17 Abs. 1 die jeweiligen Marktüberwachungs- und notifizierenden Behörden für ihren Geschäftsbereich – auf Bundesebene also primär die BNetzA, auf Länderebene die jeweils zuständigen Stellen.

Bergleitend stellt Artikel 2 durch Ergänzung des § 2 Abs. 1 HinSchG klar, dass Verstöße gegen die KI-Verordnung dem Hinweisgeberschutz unterfallen – eine für interne Compliance und Whistleblowing praktisch hochrelevante Anbindung an die Richtlinie (EU) 2019/1937. Eine über das Ordnungswidrigkeitenrecht hinausgehende eigenständige Strafnorm, etwa für Deepfake-Persönlichkeitsverletzungen, hat der Gesetzgeber demgegenüber bewusst nicht geschaffen.

Befugnisse und Innovationsförderung

Teil 3 stattet die Marktüberwachungsbehörden mit den Befugnissen aus Art. 14 und 16 der Verordnung (EU) 2019/1020 aus und schränkt für Nachschau außerhalb der Geschäftszeiten ausdrücklich das Grundrecht der Unverletzlichkeit der Wohnung (Art. 13 GG) ein (§ 11 Abs. 3). Praktisch bedeutsam ist § 11 Abs. 7: Widerspruch und Klage gegen Entscheidungen im Funkanlagen-, Medizinprodukte- und BaFin-Bereich haben keine aufschiebende Wirkung – ein vollziehbarkeitsrechtlicher Hebel, der die Verteidigung im einstweiligen Rechtsschutz vor § 80 Abs. 5 VwGO drängt. Teil 4 verpflichtet die BNetzA zur Errichtung mindestens eines KI-Reallabors nach Art. 57/58 der Verordnung (§ 13) und gewährt Forschungseinrichtungen und Hochschulen vorrangigen Zugang – ein bewusster Brückenschlag zwischen Aufsicht und Innovation.

Deutsches KI-Gesetz: Ausblick

Die Grundentscheidung für eine zentrale, fachlich gebündelte Aufsicht bei der BNetzA ist tragfähig und entspricht dem Verordnungsziel einheitlicher Rechtsanwendung; sie spiegelt die zutreffende Einsicht, dass der AI Act im Kern Produktregulierung ist. Zugleich offenbart das Gesetz drei Sollbruchstellen: Die Unabhängigkeit der Kammer steht und fällt mit der Personalunion zur weisungsgebundenen BNetzA-Spitze. Die Ressourcenfrage bleibt prekär: rund 43 neue Planstellen und etwa 49 Mio. Euro jährlicher Erfüllungsaufwand stehen einer rasant wachsenden Materie gegenüber, und die Länder erhalten unter Verweis auf Art. 104a GG keinen finanziellen Ausgleich.

Schließlich erkauft die Schonung bestehender Strukturen die Zersplitterung der Zuständigkeiten. Für die anwaltliche Beratung folgt daraus, dass die Bestimmung der zuständigen Behörde zur eigenständigen Vorfrage jeder Compliance- und Verteidigungsstrategie wird. Hinzu tritt die hier korrigierte Erkenntnis, dass die Sanktionsverteidigung sich auf ein unionsrechtlich überlagertes OWiG-Regime einzustellen hat: Der Ausschluss von § 17 und § 30 OWiG, der Vorrang der Bußgeldrahmen des Art. 99 KI-VO und das Zustimmungserfordernis der Behörde bei der Verfahrenseinstellung verschieben das prozessuale Kräfteverhältnis spürbar zugunsten der Marktüberwachung.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Aufgewachsen zwischen Strafakten und Quellcode ist Rechtsanwalt Jens Ferner Fachanwalt für Strafrecht und IT-Recht. Er verteidigt Mandanten in komplexen und sensiblen Strafverfahren, insbesondere an der Schnittstelle von Digitalisierung und Strafrecht mit klaren Spezialisierungen im Cybercrime, Wirtschaftsstrafrecht, Jugendstrafrecht und Sexualstrafrecht.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht, IT-Arbeitsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• KI unter Verschluss: US-Exportkontrolle stoppt Anthropics Fable 5 und Mythos 5 – 13. Juni 2026
• Deutschland bekommt ein KI-Gesetz: Bündelung der nationalen KI-Aufsicht bei der Bundesnetzagentur – 13. Juni 2026
• Recherche ohne Beweislast: Warum Presse auch unbegründete Werturteile fällen darf – 12. Juni 2026