Der neue Referentenentwurf des Bundesministeriums für Digitales und Verkehr (BMDV) zur nationalen KI-Verordnung sorgt für heftige Diskussionen. Vor allem Datenschützer melden sich zu Wort – sie befürchten eine Aushöhlung bestehender Datenschutzstandards zugunsten wirtschaftlicher Interessen.
Einordnung des Entwurfs: Was will das BMDV regeln?
Vor dem Hintergrund der im März 2024 vom Europäischen Parlament verabschiedeten KI-Verordnung (EU AI Act) hat das BMDV einen nationalen Gesetzentwurf zur Umsetzung und Ergänzung vorgestellt. Ziel ist es, klare Rahmenbedingungen für den Einsatz von Künstlicher Intelligenz in Wirtschaft, Verwaltung und Forschung zu schaffen. Während die EU-Verordnung auf Hochrisiko-KI-Systeme, Transparenzpflichten und Marktüberwachungsmechanismen fokussiert, soll die deutsche Regelung ergänzend strukturelle und organisatorische Details der Aufsicht festlegen.
Der über 90-seitige Entwurf skizziert unter anderem die Einrichtung einer zentralen KI-Aufsichtsbehörde, regelt Zuständigkeiten der Bundesländer und führt neue Melde- und Dokumentationspflichten für Anbieter von KI-Systemen ein. Gleichzeitig wird der Handlungsspielraum der Datenschutzaufsichtsbehörden bei KI-bezogenen Themen deutlich eingeschränkt – und genau das ruft Kritik hervor.
Datenschutzaufsichtsbehörden schlagen Alarm
Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz DSK) äußerten in einer gemeinsamen Stellungnahme im Juli 2025 deutliche Bedenken. Ihrer Auffassung nach missachtet der Entwurf die föderale Kompetenzverteilung und schwächt die Datenschutzgrundrechte massiv.
Streitpunkt ist unter anderem die vorgesehene Rolle der geplanten KI-Aufsicht, die laut Entwurf auch datenschutzrelevante Prüfungen übernehmen soll. Die DSK sieht hierin einen klaren Verstoß gegen die Datenschutz-Grundverordnung (DSGVO), wonach allein die Datenschutzbehörden für Fragen des personenbezogenen Datenschutzes zuständig sind.
Marit Hansen, Landesdatenschutzbeauftragte von Schleswig-Holstein und aktive Stimme in der DSK, betont in ihrer Analyse: „Die Trennung zwischen technischer Regulierung und datenschutzrechtlicher Aufsicht ist kein formaler Selbstzweck – sie stellt sicher, dass Grundrechte nicht durch politische oder wirtschaftliche Erwägungen kompromittiert werden.“
Gefahr für das Vertrauen in KI-Lösungen
Die möglichen Konflikte und Kompetenzüberschneidungen könnten laut Experten das Vertrauen in KI-Technologien untergraben. Gerade in Bereichen wie biometrischer Gesichtserkennung, algorithmischer Entscheidungsunterstützung in der Personalverwaltung oder dem Gesundheitssektor ist Datenschutz essenziell für die gesellschaftliche Akzeptanz.
Eine repräsentative Bitkom-Umfrage von Mai 2025 ergab, dass 82 % der Deutschen den Einsatz von KI in sensiblen Bereichen wie Justiz, Polizei oder Gesundheitswesen nur dann befürworten, wenn höchste Datenschutzmaßnahmen garantiert sind (Quelle: Bitkom Research 2025).
Hinzu kommen Bedenken hinsichtlich der Transparenz und Nachvollziehbarkeit von KI-Entscheidungen. Laut einer Studie des AlgorithmWatch-Instituts aus dem Frühjahr 2025 fordern 77 % der Befragten eine verpflichtende Offenlegung der verwendeten Datensätze bei KI-Systemen im öffentlichen Sektor.
Wirtschaft vs. Grundrechte? Eine schwierige Balance
Das BMDV verteidigt den Entwurf als wichtigen Meilenstein für die Wettbewerbsfähigkeit des KI-Standorts Deutschland. Es argumentiert, dass zu viele Schnittstellen zwischen verschiedenen Aufsichtsbehörden zu unklaren Zuständigkeiten, Verzögerungen und Innovationshemmnissen führen könnten.
Für die deutsche Wirtschaft stehen insbesondere Rechtssicherheit und Ressourcenschonung im Vordergrund. Der Digitalverband Bitkom begrüßt die Zentralisierung, warnt jedoch zugleich vor unklaren Haftungsregelungen und fordert mehr Klarheit bei Hochrisikoanwendungen.
Dennoch stellt sich die Frage, inwieweit eine effiziente Innovationspolitik mit robusten Grundrechtsschutz vereinbar ist. Ein zu stark an wirtschaftlichen Zielen orientiertes Regelwerk könnte den menschenzentrierten Ansatz der EU-KI-Verordnung konterkarieren.
Stimmen aus Wissenschaft und Zivilgesellschaft
Zahlreiche zivilgesellschaftliche Organisationen und Rechtsexperten stellen sich hinter die Position der Datenschutzbehörden. So mahnt der Chaos Computer Club (CCC) in seiner Stellungnahme eine klare Trennung der Aufsichtsstrukturen an, um „Willkür und Machtkonzentration bei der Bewertung sensibler Technologien“ zu vermeiden.
Der Rechtswissenschaftler Prof. Dr. Nikolaus Forgó von der Universität Wien betont gegenüber dem Magazin „netzpolitik.org“: „Die Einhegung von KI kann nur gelingen, wenn die Aufsicht pluralistisch und grundrechtsfreundlich ausgestaltet ist. Es braucht starke Datenschutzinstitutionen mit technischer und rechtlicher Expertise.“
Auch Verbraucherschutzorganisationen wie der vzbv fordern klarere Regeln zur diesbezüglichen Koordination zwischen Datenschutzkontrolle und technischer Zulassung. Nur so könne sichergestellt werden, dass sowohl algorithmische Fairness als auch Datenschutztechnologien in die Praxis implementiert werden.
Praktische Empfehlungen für Unternehmen und Entwickler
Angesichts der regulatorischen Unklarheit und den diskutierten Gesetzesänderungen sind insbesondere Unternehmen und KI-Entwickler gefordert, proaktiv geeignete Maßnahmen zum Datenschutz zu ergreifen:
- Implementieren Sie schon in der Designphase datenschutzfreundliche KI-Architekturen („Privacy by Design“) und führen Sie regelmäßige Risikoanalysen durch.
- Halten Sie klare Dokumentationen über Trainingsdaten, Modellarchitekturen und Entscheidungskriterien vor – auch retrospektiv nachvollziehbar.
- Kommunizieren Sie offen und transparent mit Nutzern über die Funktionsweise Ihrer KI-Systeme und bieten Sie einfache Widerspruchsmöglichkeiten an.
Diese Maßnahmen schützen nicht nur personenbezogene Daten, sondern stärken auch das Vertrauen von Kunden, Partnern und Aufsichtsbehörden.
Ausblick: Wie geht es weiter mit der KI-Regulierung in Deutschland?
Der Entwurf wird im Bundestag voraussichtlich im Herbst 2025 erstmals beraten. Bereits jetzt wird mit erheblichen Nachbesserungen gerechnet – sowohl von Seiten des Bundesrats als auch der Zivilgesellschaft. Mehrere Bundesländer, darunter Baden-Württemberg und Schleswig-Holstein, kündigten an, im Bundesrat kritische Änderungsanträge einzureichen.
Parallel dazu prüft die EU-Kommission, ob nationale Ergänzungen zur europäischen KI-Verordnung mit geltendem Unionsrecht vereinbar sind. Es ist nicht ausgeschlossen, dass der Europäische Gerichtshof (EuGH) einzelne Bestimmungen, insbesondere bei der Kompetenzfrage zwischen KI- und Datenschutzaufsicht, kippen könnte.
Damit zeichnet sich ab: Die nationale Ausgestaltung der KI-Regulierung könnte zu einem juristischen Präzedenzfall mit europaweiter Signalwirkung werden.
Die Debatte um die deutsche KI-Verordnung zeigt eindrucksvoll, wie anspruchsvoll es ist, technologische Zukunftsfähigkeit mit rechtstaatlichen Grundwerten zu vereinbaren. Ein inklusiver, transparenter Gesetzgebungsprozess ist daher essenziell. Diskutieren Sie mit: Welche Kontrollmechanismen braucht eine verantwortungsvolle KI-Aufsicht? Und wie sollte Deutschland den Datenschutz in der digitalen Zukunft gestalten?
