KI-MIG beschlossen: Was das AI-Act-Durchführungsgesetz für Unternehmen bedeutet
KI-MIG beschlossen: Was das AI-Act-Durchführungsgesetz für Unternehmen bedeutet
Am 11. Februar 2026 hat das Bundeskabinett den Entwurf des KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG) beschlossen. Damit hat die abstrakte Diskussion über KI-Regulierung in Deutschland eine konkrete Form angenommen — mit klaren Zuständigkeiten, definierten Fristen und empfindlichen Sanktionen. Für Unternehmen, die KI-Systeme entwickeln, bereitstellen oder einsetzen, beginnt jetzt die Phase der operativen Umsetzung. Wer bis August 2026 keine belastbare AI-Governance-Struktur aufgebaut hat, riskiert nicht nur Bußgelder von bis zu 35 Millionen Euro, sondern auch den Verlust von Marktfähigkeit.
Dieser Artikel ordnet das KI-MIG ein, erklärt die neue Aufsichtsarchitektur, analysiert die Pflichten für verschiedene Unternehmensrollen und gibt konkrete Handlungsempfehlungen für C-Level und Compliance-Verantwortliche.
Was ist das KI-MIG — und warum kommt es jetzt?
Das KI-MIG ist das nationale Durchführungsgesetz zur europäischen KI-Verordnung (EU AI Act), die am 2. August 2024 in Kraft getreten ist. Die EU-Verordnung gilt als Verordnung zwar unmittelbar in allen Mitgliedstaaten, sie überlässt aber wesentliche Durchführungsfragen den nationalen Gesetzgebern: Welche Behörde überwacht den Markt? Wer ist für Bußgelder zuständig? Wie werden Regulatory Sandboxes organisiert? Genau diese Fragen beantwortet das KI-MIG.
Der vollständige Name — KI-Marktüberwachungs- und Innovationsförderungsgesetz — verrät bereits die Doppelstrategie: Das Gesetz soll einerseits die Marktüberwachung organisieren und Verstöße sanktionieren, andererseits Innovation fördern und Unternehmen bei der Umsetzung unterstützen. Bundesdigitalminister Dr. Karsten Wildberger formulierte es bei der Kabinettssitzung so: „Wir setzen europäische Vorgaben maximal innovationsoffen um und schaffen eine schlanke KI-Aufsicht mit klarem Blick auf die Bedarfe der Wirtschaft."
Dass das KI-MIG gerade jetzt kommt, hat einen einfachen Grund: Die EU-KI-Verordnung verpflichtet jeden Mitgliedstaat, bis zum 2. August 2025 mindestens eine notifizierende Behörde und eine Marktüberwachungsbehörde zu benennen. Deutschland hat diese Frist de facto gerissen — erst der Kabinettsbeschluss vom Februar 2026 schafft die gesetzliche Grundlage. Der Entwurf geht nun an Bundesrat und Bundestag. Angesichts der vollständigen Anwendbarkeit des AI Act ab dem 2. August 2026 bleibt wenig Spielraum für parlamentarische Verzögerungen.
Der EU AI Act als Rahmen: Risikostufen und Pflichten im Überblick
Um das KI-MIG zu verstehen, muss man den EU AI Act kennen, dessen nationale Durchführung es regelt. Die europäische KI-Verordnung folgt einem risikobasierten Ansatz, der KI-Systeme in vier Kategorien einteilt. Diese Einordnung entscheidet darüber, welche Pflichten ein Unternehmen treffen.
Verbotene KI-Praktiken umfassen Systeme, die als unvereinbar mit europäischen Grundwerten gelten. Dazu zählen manipulative Techniken, die das Urteilsvermögen von Personen beeinträchtigen, Social-Scoring-Systeme durch Behörden sowie bestimmte Formen biometrischer Echtzeit-Überwachung im öffentlichen Raum. Das Verbot dieser Praktiken gilt bereits seit dem 2. Februar 2025 und wird durch das KI-MIG nun auch national durchsetzbar.
Hochrisiko-KI-Systeme bilden den regulatorischen Schwerpunkt. Hierunter fallen KI-Systeme in sicherheitskritischen Produkten (Medizinprodukte, Maschinen, Fahrzeuge) sowie in sensiblen Anwendungsbereichen wie Personalmanagement, Kreditwürdigkeitsprüfung, Strafverfolgung oder kritischer Infrastruktur. Für diese Systeme gelten umfassende Anforderungen: technische Dokumentation, Risikomanagement, Daten-Governance, Logging, menschliche Aufsicht (Human Oversight) und Konformitätsbewertungen. Die vollständigen Pflichten für Hochrisiko-KI-Systeme werden ab dem 2. August 2026 durchsetzbar.
KI-Systeme mit begrenztem Risiko unterliegen Transparenzpflichten. Chatbots müssen als KI gekennzeichnet werden, Deepfakes müssen als synthetisch generiert erkennbar sein. Diese Pflichten gelten ebenfalls ab August 2026.
KI-Systeme mit minimalem Risiko — etwa Spam-Filter oder KI-gestützte Spielelogik — bleiben weitgehend unreguliert, unterliegen aber einem freiwilligen Verhaltenskodex.
Zusätzlich regelt der AI Act KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI, GPAI) wie Large Language Models. Für deren Anbieter gelten seit dem 2. August 2025 eigene Transparenz- und Dokumentationspflichten. Modelle mit systemischem Risiko — also besonders leistungsfähige Modelle oberhalb bestimmter Schwellenwerte — unterliegen verschärften Anforderungen einschließlich Adversarial Testing und Incident Reporting.
Für Unternehmen, die den AI Act im Kontext der breiteren Regulierungswelle 2026 aus NIS2, DORA, AI Act und CRA betrachten wollen, wird schnell deutlich: Die regulatorischen Anforderungen konvergieren. Wer NIS2 und DORA bereits umsetzt, hat gute Voraussetzungen, auch die KI-Governance effizient zu integrieren.
Die neue Aufsichtsarchitektur: Bundesnetzagentur als zentrale KI-Behörde
Das Herzstück des KI-MIG ist die Festlegung der nationalen KI-Aufsichtsstruktur. Die Bundesregierung hat sich für einen hybriden Ansatz entschieden, der auf bestehenden Strukturen aufbaut und Doppelregulierung vermeiden soll.
Die Bundesnetzagentur als Zentrum
Die Bundesnetzagentur (BNetzA) erhält eine dreifache Rolle: Sie wird zentrales Koordinierungs- und Kompetenzzentrum, Marktüberwachungsbehörde und notifizierende Behörde für KI in Deutschland. Damit bündelt sie die KI-Expertise auf Bundesebene und wird zum zentralen Ansprechpartner für Unternehmen, die KI-Systeme auf den deutschen Markt bringen oder betreiben.
Die Entscheidung für die Bundesnetzagentur war politisch nicht unumstritten. Kritiker verwiesen darauf, dass die Behörde bisher vor allem als Regulierer von Telekommunikation, Post und Energie bekannt ist. Die Bundesregierung argumentiert dagegen, dass die BNetzA bereits über umfangreiche Erfahrung in der Marktüberwachung digitaler Dienste verfügt und sich seit Inkrafttreten des AI Act systematisch KI-Kompetenz aufgebaut hat. Der Bitkom-Präsident Dr. Ralf Wintergerst bezeichnete die Entscheidung als „pragmatischen Ansatz", mahnte aber zugleich, dass die Behörde mit den vorgesehenen rund 60 zusätzlichen Stellen nur dann ihren Aufgaben nachkommen könne, wenn sie selbst umfassend KI einsetze.
Sektorale Zuständigkeiten bleiben erhalten
Neben der BNetzA bleiben bestehende Fachbehörden in ihren jeweiligen Sektoren zuständig. Die BaFin überwacht weiterhin KI-Systeme im Finanzsektor, die Datenschutzbehörden behalten ihre Zuständigkeit für datenschutzrelevante KI-Aspekte, und die Marktüberwachungsbehörden der Länder bleiben für KI in Produkten zuständig, die bereits unter harmonisierte EU-Produktvorschriften fallen.
Das Prinzip dahinter: Unternehmen sollen möglichst bei ihrem bekannten behördlichen Ansprechpartner bleiben (One-Stop-Shop-Prinzip). Ein Medizinproduktehersteller, der ein KI-gestütztes Diagnosesystem entwickelt, wendet sich weiterhin an die für Medizinprodukte zuständige Behörde — die nun aber auch die KI-spezifischen Anforderungen des AI Act mit abdeckt.
Für Finanzinstitute, die KI einsetzen, entsteht damit eine besonders komplexe regulatorische Landschaft: Neben dem AI Act greifen auch DORA-Anforderungen und BaFin-Vorgaben zu KI. Eine integrierte Betrachtung dieser Regelwerke ist unverzichtbar.
KI-Service Desk für KMU und Start-ups
Ein bemerkenswertes Element des KI-MIG ist der geplante KI-Service Desk bei der Bundesnetzagentur. Er soll als niedrigschwellige Anlaufstelle insbesondere für kleine und mittlere Unternehmen sowie Start-ups dienen. Die Idee: Gerade Unternehmen ohne eigene Compliance-Abteilung brauchen praxisnahe Orientierung bei der Einordnung ihrer KI-Systeme und der Umsetzung der Anforderungen. Ob der Service Desk in der Praxis den nötigen Detailgrad und die Reaktionsgeschwindigkeit liefern wird, bleibt abzuwarten — die Erfahrungen mit vergleichbaren Beratungsangeboten bei der DSGVO-Einführung waren durchmischt.
Regulatory Sandboxes: Innovation im rechtssicheren Rahmen
Eines der meistdiskutierten Elemente des EU AI Act sind die sogenannten Regulatory Sandboxes — auf Deutsch: KI-Reallabore. Jeder Mitgliedstaat ist verpflichtet, bis zum 2. August 2026 mindestens ein nationales Reallabor einzurichten. Das KI-MIG weist diese Aufgabe der Bundesnetzagentur zu.
Das Konzept ist so einfach wie ambitioniert: Unternehmen können innovative KI-Anwendungen in einem kontrollierten, rechtssicheren Rahmen entwickeln und testen — unter behördlicher Aufsicht, aber mit reduzierten regulatorischen Hürden. Das Reallabor bietet einen geschützten Raum, in dem neue Technologien erprobt werden können, bevor sie den vollständigen Compliance-Anforderungen des Marktes unterliegen.
Für Unternehmen bieten Regulatory Sandboxes gleich mehrere Vorteile. Erstens schaffen sie Rechtssicherheit in der Entwicklungsphase: Wer im Reallabor testet, kann sich auf behördliche Begleitung und Feedback verlassen, statt im regulatorischen Graubereich zu operieren. Zweitens beschleunigen sie den Marktzugang, weil die im Reallabor gewonnenen Erkenntnisse direkt in die Konformitätsbewertung einfließen können. Drittens ermöglichen sie einen strukturierten Dialog zwischen Innovatoren und Regulierern, der beiden Seiten hilft — den Unternehmen bei der Compliance, den Behörden beim Verständnis neuer Technologien.
Der Bitkom hat in seiner Stellungnahme zum KI-MIG gefordert, dass die Zugangshürden für Reallabore niedrig gehalten werden, die Verfahren vollständig digital ablaufen und eine verlässliche behördliche Antwort innerhalb von 30 Tagen garantiert wird. Ob das KI-MIG diese Anforderungen in der finalen Fassung erfüllen wird, hängt vom parlamentarischen Verfahren ab.
Für Unternehmen, die mit Hochrisiko-KI-Systemen arbeiten oder solche entwickeln, ist die aktive Nutzung von Reallaboren strategisch sinnvoll. Sie ermöglicht es, Compliance-Anforderungen frühzeitig zu validieren und den Markteintritt zu beschleunigen — gerade in Branchen wie Finanzdienstleistungen, Gesundheitswesen oder Mobilität, in denen KI-Innovation und strenge Regulierung aufeinandertreffen.
Sanktionen und Bußgelder: Was bei Verstößen droht
Das KI-MIG übersetzt die im EU AI Act vorgesehenen Sanktionsrahmen in deutsches Verwaltungsrecht. Die Bußgelder orientieren sich an der bekannten Systematik der DSGVO — sind in den Höchstbeträgen aber zum Teil noch schärfer.
Die drei Sanktionsstufen
Verstöße gegen verbotene KI-Praktiken werden am härtesten geahndet: Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Diese Sanktionsstufe betrifft etwa den Einsatz manipulativer KI-Systeme oder verbotene Formen biometrischer Überwachung.
Verstöße gegen die Anforderungen für Hochrisiko-KI-Systeme sowie gegen die Pflichten für GPAI-Modelle können mit bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden. Hierunter fallen etwa fehlende Konformitätsbewertungen, unzureichende technische Dokumentation oder mangelndes Risikomanagement.
Falsche oder irreführende Angaben gegenüber Behörden — etwa in Konformitätserklärungen oder bei Meldepflichten — können Bußgelder von bis zu 7,5 Millionen Euro oder 1 Prozent des Jahresumsatzes nach sich ziehen.
Für KMU gelten reduzierte Obergrenzen
Der AI Act sieht für kleine und mittlere Unternehmen sowie Start-ups reduzierte Bußgeldobergrenzen vor — jeweils den niedrigeren der beiden genannten Beträge (absolut oder umsatzbezogen). Das mildert die finanzielle Bedrohung, ändert aber nichts an den materiellen Pflichten. Auch ein KMU muss seine Hochrisiko-KI-Systeme vollständig dokumentieren und konformitätsbewerten lassen.
Durchsetzbarkeit ab August 2026
Entscheidend für die Praxis: Die Sanktionen werden erst mit der vollständigen Anwendbarkeit des AI Act ab dem 2. August 2026 umfassend durchsetzbar. Für verbotene KI-Praktiken gelten die Verbote und damit auch die Sanktionsmöglichkeiten bereits seit Februar 2025 — bislang fehlte allerdings die nationale Durchsetzungsstruktur. Das KI-MIG schließt diese Lücke.
Parallel setzt sich das Bundesdigitalministerium in Brüssel für Fristverlängerungen bei der Anwendbarkeit der Hochrisiko-Anforderungen ein. Ob und in welchem Umfang solche Verlängerungen gewährt werden, ist derzeit offen. Unternehmen sollten sich auf den August 2026 als verbindlichen Stichtag einstellen — jede Verlängerung wäre ein Bonus, kein Planungsfaktor.
Pflichten nach Rolle: Anbieter, Betreiber, Importeure
Der AI Act differenziert die Pflichten nach der Rolle, die ein Unternehmen in der KI-Wertschöpfungskette einnimmt. Das KI-MIG übernimmt diese Rollenlogik und macht sie national durchsetzbar. Für die strategische Planung in Unternehmen ist es daher entscheidend, die eigene Rolle korrekt zu bestimmen.
Anbieter (Provider)
Anbieter sind Unternehmen, die ein KI-System entwickeln oder entwickeln lassen und unter eigenem Namen auf den Markt bringen. Sie tragen die umfassendsten Pflichten: Risikomanagement, technische Dokumentation, Daten-Governance, Konformitätsbewertung, EU-Konformitätserklärung, CE-Kennzeichnung (bei Hochrisiko-Systemen), Post-Market Monitoring und Incident Reporting. Anbieter müssen zudem ein Qualitätsmanagementsystem etablieren und Aufzeichnungen mindestens zehn Jahre aufbewahren.
Betreiber (Deployer)
Betreiber sind Unternehmen, die KI-Systeme einsetzen — also etwa ein Unternehmen, das ein KI-basiertes Recruiting-Tool eines Drittanbieters nutzt. Betreiber müssen sicherstellen, dass das System gemäß der Gebrauchsanweisung eingesetzt wird, dass die menschliche Aufsicht durch qualifiziertes Personal gewährleistet ist, dass die Eingabedaten dem Verwendungszweck entsprechen und dass sie Auffälligkeiten an den Anbieter und die Behörde melden. Besonders relevant: Betreiber von Hochrisiko-KI-Systemen müssen eine Grundrechte-Folgenabschätzung (Fundamental Rights Impact Assessment) durchführen, bevor sie das System in Betrieb nehmen.
Importeure und Händler
Importeure, die KI-Systeme aus Drittstaaten in den EU-Markt einführen, müssen sicherstellen, dass der Anbieter die Konformitätsbewertung durchgeführt hat und die technische Dokumentation vorliegt. Händler müssen prüfen, dass die CE-Kennzeichnung vorhanden ist. Beide Rollen können unter Umständen zu Anbietern werden — etwa wenn sie ein importiertes KI-System unter eigenem Namen vertreiben oder wesentlich verändern.
Rollenklarheit als erste Compliance-Maßnahme
In der Praxis verschwimmen die Rollen häufig. Ein Unternehmen, das ein vortrainiertes KI-Modell eines Drittanbieters mit eigenen Daten finetuned und als eigenständiges Produkt anbietet, wird zum Anbieter — mit allen damit verbundenen Pflichten. Die erste und wichtigste Compliance-Maßnahme ist daher die systematische Klärung: Welche Rolle nehmen wir bei welchem KI-System ein? Diese Rollenklärung sollte für jedes KI-System im Unternehmen dokumentiert werden.
Übergangsfristen: Der Zeitplan bis zur vollständigen Anwendbarkeit
Die EU-KI-Verordnung wird nicht auf einen Schlag vollständig anwendbar, sondern folgt einem gestaffelten Zeitplan. Für die operative Planung ist dieser Zeitplan entscheidend.
Seit 2. Februar 2025 gelten die Verbote unannehmbar riskanter KI-Praktiken sowie die Anforderungen an die KI-Kompetenz (AI Literacy) gemäß Artikel 4 der Verordnung. Unternehmen müssen sicherstellen, dass alle Mitarbeitenden, die mit KI-Systemen arbeiten, über ein angemessenes Kompetenzniveau verfügen.
Seit 2. August 2025 gelten die Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI). Diese müssen unter anderem technische Dokumentation erstellen, Informationen für nachgeschaltete Anbieter bereitstellen und eine Policy zur Einhaltung des EU-Urheberrechts vorweisen.
Ab 2. August 2026 wird der AI Act vollständig anwendbar — einschließlich aller Hochrisiko-Anforderungen und der nationalen Durchsetzungsmechanismen. Gleichzeitig müssen die Regulatory Sandboxes operativ sein und die Marktüberwachungsbehörden arbeitsfähig.
Ab 2. August 2027 gelten die Anforderungen für Hochrisiko-KI-Systeme, die als Sicherheitskomponenten in Produkte integriert sind, die unter harmonisierte EU-Produktvorschriften fallen (etwa Medizinprodukte, Maschinen oder Spielzeug). Für diese Systeme gibt es also ein zusätzliches Jahr Übergangszeit.
Für bestehende KI-Systeme, die bereits vor dem 2. August 2026 auf dem Markt sind, gelten Übergangsfristen — allerdings nur, wenn sie nicht wesentlich verändert werden. Eine wesentliche Änderung der Zweckbestimmung oder der Funktionsweise löst die vollständigen Compliance-Pflichten aus. Unternehmen sollten daher ihre bestehenden KI-Systeme inventarisieren und prüfen, ob geplante Updates als wesentliche Änderungen zu qualifizieren sind.
Was Unternehmen jetzt konkret tun müssen
Die Zeit bis August 2026 ist kurz. Fünf Monate mögen in der politischen Debatte viel erscheinen — für die Implementierung eines KI-Governance-Frameworks in einem größeren Unternehmen sind sie knapp. Die folgenden Maßnahmen sollten jetzt Priorität haben.
1. KI-Inventar erstellen
Der erste Schritt ist die vollständige Bestandsaufnahme aller KI-Systeme im Unternehmen — sowohl selbst entwickelter als auch eingekaufter. Für jedes System sollte erfasst werden: Verwendungszweck, eingesetzte Daten, Anbieter oder internes Entwicklungsteam, betroffene Personengruppen, Verantwortlicher und — entscheidend — die Risikokategorie nach dem AI Act. Ohne dieses Inventar ist eine gezielte Compliance-Planung unmöglich.
2. Risikokategorien zuordnen
Auf Basis des Inventars müssen alle KI-Systeme in die Risikokategorien des AI Act eingeordnet werden. Diese Zuordnung erfordert juristisches und technisches Verständnis und sollte nicht allein der IT-Abteilung überlassen werden. Empfehlenswert ist ein interdisziplinäres Team aus Legal, Compliance, IT und den jeweiligen Fachbereichen.
3. Governance-Strukturen aufbauen
Unternehmen brauchen klare Verantwortlichkeiten für KI. Das bedeutet: eine definierte KI-Governance-Rolle (etwa ein AI Governance Officer), etablierte Prozesse für die Bewertung und Freigabe neuer KI-Systeme sowie eine Integration der KI-Governance in bestehende Compliance-Strukturen. Wer bereits ein ISMS nach ISO 27001 oder ein Risikomanagement nach DORA betreibt, kann auf diesen Strukturen aufbauen. Die Verknüpfung von NIS2 und KI-Governance bietet hier erhebliche Synergiepotenziale.
4. Technische Dokumentation und Konformitätsbewertung vorbereiten
Für Hochrisiko-KI-Systeme müssen Anbieter umfassende technische Dokumentationen erstellen, die unter anderem die Systemarchitektur, die Trainingsdaten, die Leistungsmetriken und die Ergebnisse des Risikomanagements abdecken. Die Konformitätsbewertung — je nach Anwendungsfall als Selbstbewertung oder durch eine notifizierte Stelle — erfordert Vorlaufzeit. Wer erst im Juli 2026 mit der Dokumentation beginnt, wird den Stichtag absehbar verfehlen.
5. Lieferantenmanagement anpassen
Unternehmen, die KI-Systeme von Drittanbietern beziehen, müssen ihre Beschaffungsprozesse anpassen. Verträge sollten künftig Klauseln enthalten, die den Anbieter zur Einhaltung der AI-Act-Anforderungen verpflichten — einschließlich der Bereitstellung technischer Dokumentation, der Durchführung von Konformitätsbewertungen und der Mitwirkung bei Behördenanfragen. Bestehende Verträge sollten auf Kompatibilität mit den neuen Anforderungen geprüft werden.
6. AI Literacy im Unternehmen sicherstellen
Die seit Februar 2025 geltende Pflicht zur KI-Kompetenz (Artikel 4 AI Act) wird in der Praxis häufig unterschätzt. Unternehmen müssen sicherstellen, dass alle Personen, die mit KI-Systemen arbeiten — von der Entwicklung über den Betrieb bis zur Nutzung —, über ein angemessenes Verständnis der Technologie und ihrer Risiken verfügen. Das betrifft nicht nur technische Teams, sondern auch Fach- und Führungskräfte. Schulungsprogramme sollten dokumentiert und regelmäßig aktualisiert werden.
Das KI-MIG im Kontext der europäischen Regulierungslandschaft
Das KI-MIG steht nicht isoliert. Es ist Teil einer umfassenden europäischen Regulierungswelle, die 2024 begonnen hat und 2026 ihren Höhepunkt erreicht. Neben dem AI Act treten mit NIS2, DORA und dem Cyber Resilience Act (CRA) weitere Regelwerke in Kraft, die alle Unternehmen betreffen, die digitale Technologien einsetzen oder anbieten.
Die Konvergenz dieser Regelwerke ist kein Zufall. Sie spiegelt das europäische Grundverständnis wider, dass digitale Innovation nur auf einer Basis von Sicherheit, Transparenz und Verantwortlichkeit nachhaltig sein kann. Für Unternehmen bedeutet diese Konvergenz: Wer die Regulierung isoliert betrachtet — AI Act hier, NIS2 dort, DORA separat —, vervielfacht seinen Compliance-Aufwand. Wer dagegen eine integrierte Governance-Architektur aufbaut, kann Synergien nutzen und die regulatorischen Anforderungen effizienter erfüllen.
Ein Beispiel: Das Risikomanagement, das der AI Act für Hochrisiko-KI-Systeme fordert, kann in bestehende Risikomanagement-Frameworks integriert werden, die bereits für DORA oder NIS2 aufgebaut wurden. Die technische Dokumentation für KI-Systeme kann an die Sicherheitsdokumentation anknüpfen, die der CRA verlangt. Und die Incident-Reporting-Pflichten des AI Act können in bestehende Meldeprozesse für Sicherheitsvorfälle eingebettet werden.
Wer mehr über das Zusammenspiel dieser Regelwerke erfahren möchte, findet in unserem Pillar-Artikel zur Regulierungswelle 2026 eine umfassende Einordnung.
Kritische Einordnung: Chancen und Risiken des KI-MIG
Das KI-MIG verdient eine differenzierte Bewertung. Auf der Habenseite stehen die klare Benennung von Zuständigkeiten, der Verzicht auf nationale Zusatzanforderungen (Gold-Plating) und der explizite Innovationsauftrag an die Bundesnetzagentur. Die Einrichtung von Reallaboren und eines KI-Service Desks sind richtige Ansätze, um die Regulierung praxistauglich zu gestalten.
Auf der Risikoseite stehen mehrere offene Punkte. Erstens die personelle Ausstattung: 60 zusätzliche Stellen bei der Bundesnetzagentur für die Aufsicht über den gesamten deutschen KI-Markt sind ambitioniert knapp. Zum Vergleich: Die irische Datenschutzbehörde, die als Hauptaufsichtsbehörde für zahlreiche US-Tech-Konzerne in Europa fungiert, wurde für die DSGVO-Durchsetzung massiv aufgestockt — und gilt dennoch als chronisch unterbesetzt.
Zweitens die Frage der Konformitätsbewertung: Hochrisiko-KI-Systeme müssen in vielen Fällen von unabhängigen Prüfstellen (notifizierten Stellen) bewertet werden. Diese Stellen müssen zunächst akkreditiert und notifiziert werden — ein Prozess, der erfahrungsgemäß Monate dauert. Der Bitkom warnt zurecht vor einem Flaschenhals-Effekt, wie er bei der Medizinprodukteverordnung aufgetreten ist und dort Innovationen verzögert hat.
Drittens die Verzögerung: Deutschland ist spät dran. Während andere Mitgliedstaaten ihre Durchführungsgesetze bereits verabschiedet haben oder kurz davor stehen, beginnt in Deutschland erst das parlamentarische Verfahren. Für Unternehmen, die EU-weit agieren, schafft das Unsicherheit — insbesondere bei grenzüberschreitenden KI-Systemen, die in verschiedenen Mitgliedstaaten unterschiedlichen Aufsichtsstrukturen unterliegen könnten.
Handlungsempfehlungen für C-Level und Compliance-Verantwortliche
Die regulatorische Lage ist eindeutig: KI-Governance ist keine optionale Kür mehr, sondern Pflichtprogramm. Für Entscheider ergeben sich daraus drei strategische Imperative.
Erstens: AI Governance auf die Vorstandsagenda setzen. Der AI Act macht KI-Compliance zur Chefsache — nicht nur wegen der Bußgeldhöhen, sondern weil die Pflichten struktureller Natur sind. Risikomanagement, Human Oversight und Konformitätsbewertung lassen sich nicht delegieren, ohne dass das Management die Rahmenbedingungen definiert. Ein professionelles AI-Governance-Framework ist die Grundlage für jeden regelkonformen KI-Einsatz.
Zweitens: Regulierung als Wettbewerbsvorteil begreifen. Unternehmen, die frühzeitig eine belastbare KI-Governance aufbauen, positionieren sich als vertrauenswürdige Partner — gegenüber Kunden, Geschäftspartnern und Regulierern. In einer Welt, in der KI-generierte Inhalte, automatisierte Entscheidungen und algorithmische Systeme zunehmend kritisch hinterfragt werden, wird nachweisbare Compliance zum Differenzierungsmerkmal.
Drittens: Integriert statt isoliert denken. AI Governance gehört nicht in ein Silo, sondern in die bestehende Compliance-Architektur — neben Datenschutz, Informationssicherheit und Risikomanagement. Die regulatorischen Anforderungen aus AI Act, NIS2, DORA und CRA überschneiden sich in wesentlichen Punkten. Eine integrierte AI-Governance-Strategie spart Ressourcen und schafft Konsistenz.
Häufig gestellte Fragen zum KI-MIG
Was ist das KI-MIG und wofür steht die Abkürzung?
KI-MIG steht für KI-Marktüberwachungs- und Innovationsförderungsgesetz. Es ist das deutsche Durchführungsgesetz zur EU-KI-Verordnung (AI Act) und regelt die nationale Aufsichtsstruktur, die Zuständigkeiten der Behörden, das Bußgeldverfahren und die Einrichtung von Regulatory Sandboxes. Das Bundeskabinett hat den Gesetzentwurf am 11. Februar 2026 beschlossen; er durchläuft nun das parlamentarische Verfahren in Bundesrat und Bundestag.
Welche Behörde ist in Deutschland für die KI-Aufsicht zuständig?
Die Bundesnetzagentur wird zentrale Marktüberwachungsbehörde, Koordinierungsstelle und notifizierende Behörde für KI in Deutschland. Daneben bleiben sektorale Fachbehörden in ihren jeweiligen Bereichen zuständig — etwa die BaFin für den Finanzsektor. Unternehmen behalten damit in der Regel ihren bekannten behördlichen Ansprechpartner.
Wie hoch sind die Bußgelder bei Verstößen gegen den AI Act?
Die Bußgelder sind gestaffelt: Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für verbotene KI-Praktiken, bis zu 15 Millionen Euro oder 3 Prozent für Verstöße gegen Hochrisiko-Anforderungen und bis zu 7,5 Millionen Euro oder 1 Prozent für falsche Angaben gegenüber Behörden. Für KMU und Start-ups gelten jeweils die niedrigeren Beträge.
Ab wann gelten die neuen KI-Regeln in Deutschland?
Die Verbote unannehmbar riskanter KI-Praktiken gelten bereits seit Februar 2025. Die vollständigen Anforderungen des AI Act — einschließlich der Hochrisiko-Pflichten — werden ab dem 2. August 2026 durchsetzbar. Für Hochrisiko-KI in harmonisierten Produkten (z. B. Medizinprodukte) gilt eine verlängerte Frist bis August 2027.
Was sind Regulatory Sandboxes und wie können Unternehmen sie nutzen?
Regulatory Sandboxes (KI-Reallabore) sind kontrollierte Testumgebungen, in denen Unternehmen innovative KI-Anwendungen unter behördlicher Aufsicht entwickeln und erproben können — mit reduzierten regulatorischen Hürden. Die Bundesnetzagentur wird mindestens ein nationales Reallabor bis August 2026 einrichten. Unternehmen können sich für die Teilnahme bewerben; die genauen Zugangsvoraussetzungen werden im Rahmen des Gesetzgebungsverfahrens festgelegt.
Sie möchten wissen, wo Ihr Unternehmen beim Thema AI Governance steht und was bis August 2026 zu tun ist? Unsere Experten unterstützen Sie bei der Bestandsaufnahme, der Risikobewertung und dem Aufbau eines AI-Governance-Frameworks, das den Anforderungen des AI Act gerecht wird — pragmatisch, umsetzbar und auf Ihre Branche zugeschnitten.
Kontaktieren Sie uns unverbindlich!
📖 Lesen Sie auch: KI-Compliance als Wettbewerbsfaktor: Wie AI Act & ISO 42001 Ihre Marktposition stärken
📖 Lesen Sie auch: KI-Compliance als Wettbewerbsfaktor: Wie AI Act & ISO 42001 Ihre Marktposition stärken