Der KI-VO-DG-RefE bietet wertvolle Orientierung für die Umsetzung der KI-VO in Deutschland.
Am 1. August 2024 trat die europäische KI-Verordnung (Verordnung (EU) 2024/1689 – KI-VO) in Kraft. Zwar greifen die zentralen Pflichten der KI-VO erst ab dem 2. August 2026 (z.B. für neue Hochrisiko-KI-Systeme und GPAI-Modelle). Die EU-Mitgliedstaaten waren jedoch bereits bis August 2025 verpflichtet, die in der KI-VO vorgesehenen Aufsichtsbehörden zu benennen. Mit etwas Verspätung liegt nun auch in Deutschland mit dem Referentenentwurf für ein Gesetz zur Durchführung der KI-Verordnung vom 4. August 2025 (KI-VO-DG-RefE) ein umfassendes Konzept zur nationalen Umsetzung vor. Die aus Arbeitgebersicht wesentlichen Inhalte des Entwurfs haben wir für Sie im Folgenden zusammengefasst.
Praxishinweis: Eine für Arbeitgeber* wesentliche Pflicht der KI-VO gilt bereits seit dem 2. Februar 2025: Anbieter und Betreiber von KI-Systemen sind nach Art. 4 KI-VO verpflichtet, innerhalb der Belegschaft für ein hinreichendes Maß an KI-Kompetenz zu sorgen.
KI am Arbeitsplatz fällt unter die Zuständigkeit der BNetzA
Der KI-VO-DG-RefE benennt die Bundesnetzagentur (BNetzA) als generelle Marktüberwachungsbehörde. Diese ist für sämtliche Bereiche zuständig, die nicht spezialgesetzlich geregelten Fachaufsichten unterfallen (z.B. dem Kraftfahrt-Bundesamt im Bereich des Straßenverkehrs). Diese allgemeine Zuständigkeit erfasst auch den Einsatz von KI am Arbeitsplatz. Die Gesetzesbegründung stellt ausdrücklich klar, dass der Zuständigkeitsbereich der BNetzA unter anderem die in Anhang III der KI-VO genannten Bereiche „KI am Arbeitsplatz und in Bildungseinrichtungen″ umfasst. Es ist außerdem vorgesehen, dass die BNetzA als zentrale Anlaufstelle i.S.d. Art. 70 Abs. 2 KI-VO dient (§ 6 KI-MIG-RefE). Damit soll sie als zentraler deutscher Ansprechpartner für alle Fragen der Anwendung der KI-VO auf Ebene der Mitgliedstaaten und der Union sowie als Schnittstelle zum EU AI Office fungieren.
Die Benennung der BNetzA als Marktaufsichtsbehörde ist keine Überraschung. Schon vor der gesetzlichen Fixierung im KI-VO-DG-RefE hat die BNetzA gezielt Strukturen geschaffen, um sich als zentrale Kompetenzstelle für KI aufzustellen. Spätestens seit dem Frühjahr 2025 fungiert sie in der Praxis gegenüber Wirtschaft, Verwaltung und Wissenschaft als primäre Ansprechpartnerin für Fragen der KI-Regulierung. So hat die BNetzA beispielsweise im Juni 2025 ein Hinweispapier zur in Art. 4 KI-VO geforderten KI-Kompetenz veröffentlicht und im Juli 2025 einen KI-Service Desk eingerichtet, der als niedrigschwellige Anlaufstelle für regulatorische Fragen im KI-Kontext dient.
BNetzA erhält weitreichende Durchsetzungsbefugnisse
Zur Erfüllung ihrer Funktion als Marktüberwachungsbehörde erhält die BNetzA weitreichende Befugnisse zur Überwachung und Durchsetzung der Vorgaben der KI-VO (§ 11 KI-VO-DG-RefE). Die Behörde wird beispielsweise mit der Befugnis ausgestattet, die Vorlage relevanter Dokumente, technischer Spezifikationen oder Informationen über die Konformität von KI-Systemen zu verlangen. Sie ist zudem ermächtigt, Wirtschaftsakteure aufzufordern, Maßnahmen zu ergreifen, um einen unzulässigen Einsatz von KI abzustellen. Hinzu kommt, dass die BNetzA erforderlichenfalls alle notwendigen Maßnahmen ergreifen kann, um einen unzulässigen KI-Einsatz oder damit verbundene Risiken zu beenden.
Zur nationalen Umsetzung der Bußgelder ist geregelt, dass Verstöße i.S.d. Art. 99 Abs. 3 bis 5 KI-VO als Ordnungswidrigkeiten zu klassifizieren sind (§ 15 KI-VO-DG-RefE). Zuständig für die Verfolgung und Ahndung von Verstößen gegen die KI-VO am Arbeitsplatz ist die BNetzA als Marktüberwachungsbehörde. Ferner ist zu beachten, dass § 30 OWiG nach dem KI-VO-DG-RefE keine Anwendung findet, mit der Folge, dass juristische Personen unmittelbar mit Geldbußen belegt werden können. Hinzu kommt, dass eine Einstellung von Ermittlungen durch die Staatsanwaltschaft i.S.d. § 69 Abs. 4 S. 2 OWiG nur mit Zustimmung der Marktüberwachungsbehörde möglich ist.
Praxishinweis: Aus Arbeitgebersicht sieht der Referentenentwurf mit der BNetzA nunmehr einen klaren staatlichen Ansprechpartner für regulatorische Fragen zum Einsatz von KI-Systemen am Arbeitsplatz (z.B. Recruiting, Personalverwaltung oder Arbeitnehmerüberwachung) vor. Zugleich wird mit der BNetzA aber auch eine Aufsichtsbehörde mit weitreichenden Überwachungs- und Durchsetzungsbefugnissen eingesetzt.
Hinweisgeberschutz wird auf Verstöße gegen die KI-VO ausgeweitet
Darüber hinaus ist eine Erweiterung des Hinweisgeberschutzgesetzes vorgesehen (Art. 2 KI-VO-DG-RefE): Der sachliche Anwendungsbereich in § 2 Abs. 1 HinSchG soll künftig ausdrücklich auch Verstöße gegen die KI-Verordnung als meldefähige Sachverhalte erfassen. Durch diese Ausweitung trägt der deutsche Gesetzgeber Art. 87 KI-VO Rechnung, der die Meldefähigkeit von Verstößen gegen die KI-Verordnung vorsieht. Für Arbeitgeber folgt hieraus die Notwendigkeit, interne Meldestellen und Prozesse um KI-spezifische Falltypen (z.B. unzulässige Praktiken, Defizite bei Hochrisiko-Systemen, Transparenzverstöße) zu erweitern. Diese Ausweitung sollte von Arbeitgebern als Chance verstanden werden. Denn durch transparente und niedrigschwellige interne Meldekanäle kann das Risiko externer Meldungen, beispielsweise gegenüber der BNetzA, über angebliche Verstöße gegen die KI-VO und die damit verbundenen Belastungen (behördliche Prüfungen, Reputationsschäden etc.) reduziert werden.
KI-VO und Sozialgeheimnis
Relevant für Arbeitgeber ist darüber hinaus die im Referentenentwurf enthaltene Anpassung der Regelung zum Sozialgeheimnis. Die Vorgaben der KI-VO sollen auch im Hinblick auf Sozialdaten Anwendung finden (Art. 3 KI-VO-DG-RefE). Hierzu soll in § 35 Abs. 2 SGB I festgelegt werden, dass die Verarbeitung von Sozialdaten durch die Sozialgesetzbücher abschließend geregelt wird, soweit die DSGVO und nun auch die KI-VO keine unmittelbar geltenden Schutzvorschriften enthalten.
Praxishinweis: Diese Erweiterung des § 35 Abs. 2 SGB I unterstreicht, dass bei der Verarbeitung personenbezogener Sozialdaten die Vorgaben der DSGVO und der KI-VO parallel beachtet und eingehalten werden müssen.
Einbindung der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin
Eine zentrale Koordinierungsfunktion bei der staatlichen Aufsicht auf Unionsebene soll die Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA) einnehmen (§ 7 KI-VO-DG-RefE). Nach dem Entwurf hat die jeweils zuständige Marktüberwachungsbehörde die Unterrichtung der Kommission und anderer Mitgliedstaaten bei unionsweit relevanten Vorfällen i.S.d. Art. 79, 81 KI-VO unverzüglich über die BAuA vorzunehmen. Der Hintergrund dieser Zuständigkeitsverteilung ist praktischer Natur: Die BAuA soll diese Rolle ausüben, da derartige Meldungen bereits für viele Rechtsvorschriften der Union über sie erfolgen.
Konsequenzen für Arbeitgeber: Mehr Rechtssicherheit, aber auch höhere Compliance-Anforderungen
Der KI-VO-DG-RefE bringt für Arbeitgeber sowohl Klarheit als auch zusätzliche Compliance-Anforderungen mit sich. Nach dem Entwurf wird mit der BNetzA nunmehr ein konkreter staatlicher Ansprechpartner, aber zugleich auch eine mit ernstzunehmenden Durchsetzungsbefugnissen ausgestattete Aufsichtsbehörde eingerichtet. Zudem werden der Hinweisgeber- und Sozialdatenschutz um Vorgaben zur Einhaltung der KI-VO ergänzt.
Damit steigt für Arbeitgeber der Druck, interne Compliance-Strukturen vor dem Hintergrund der Vorgaben der KI-VO anzupassen und ihre nächsten Schritte bei der operativen Implementierung von KI-Systemen auch unter Compliance-Gesichtspunkten sorgfältig zu steuern. Arbeitgeber, die auf der Basis eines Gesamtkonzepts frühzeitig Inventuren, Governance-Maßnahmen und Schulungen durchführen, sichern sich nicht nur gegen behördliche Prüfungen ab, sondern stärken auch das Vertrauen in der Belegschaft und in der Öffentlichkeit in den verantwortungsvollen Einsatz von KI.
In unserem CMS-Blog halten wir Sie mit unserer Blog-Serie „Künstliche Intelligenz“ fortlaufend zu diesem Thema auf dem Laufenden. Sie können diese Blog-Serie über den RSS-Feed abonnieren und werden von uns über neue Beiträge benachrichtigt. Im Rahmen dieser Blog-Serie sind bereits Beiträge erschienen zu Fragen, was „KI-Systeme“ i.S.d. KI-Verordnung bedeutet oder Themen wie AI-Washing. Weitere Beiträge beschäftigen sich mit der GPAI-Compliance oder mit dem Urteil des OLG Köln: KI-Training mit Nutzerdaten ist zulässig sowie dem Referentenentwurf zum KI-Marktüberwachungs- und Innovationsförderungsgesetz.
Haben Sie Anregungen zu weiteren Themen rund um KI, die in unserer Blog-Serie „Künstliche Intelligenz“ nicht fehlen sollten? Schreiben Sie uns gerne über blog@cms-hs.com.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.