📋 Redaktionshinweis (Stand: Februar 2026): Das Bundeskabinett hat den KI-MIG-Entwurf im Februar 2026 beschlossen. Das parlamentarische Verfahren (Bundestag und Bundesrat) läuft aktuell noch. Die Grundstruktur gilt als gesetzt; Details können sich bis zur endgültigen Verabschiedung noch ändern. Wir aktualisieren diesen Artikel laufend.
Ab dem 2. August 2026 gelten in Deutschland verbindliche Regeln für den Einsatz Künstlicher Intelligenz – und die Aufsichtsbehörde steht bereits fest. Sind Sie und Ihr Unternehmen vorbereitet?
Das Bundeskabinett hat im Februar 2026 den Entwurf des KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG) beschlossen. Es ist Deutschlands nationale Umsetzung des EU AI Act und regelt, wer KI-Systeme hierzulande überwacht, welche Bußgelder drohen und wie Unternehmen Innovation rechtssicher vorantreiben können. Dieser Artikel erklärt, was hinter dem KI-MIG steckt, welche Pflichten konkret auf Sie zukommen – und welche Chancen das Gesetz bietet.
Was ist das KI-MIG?
Der EU AI Act (Verordnung EU 2024/1689) ist seit August 2024 in Kraft. Er legt europaweit einheitliche Regeln für Entwicklung, Vertrieb und Betrieb von KI-Systemen fest – nach einem Risikomodell in vier Kategorien: verboten, Hochrisiko, begrenztes Risiko und minimales Risiko. Die Vollanwendung dieser Regeln tritt am 2. August 2026 in Kraft.
Das KI-MIG ist nicht ein weiteres KI-Gesetz, sondern das nationale Durchführungsgesetz zum EU AI Act. Es beantwortet eine einzige, aber entscheidende Frage: Welche deutschen Behörden überwachen die Einhaltung? Denn der EU AI Act schreibt vor, dass jeder Mitgliedsstaat bis August 2025 mindestens eine Marktüberwachungsbehörde und eine notifizierende Behörde benennen muss. Deutschland hat diese Frist verfehlt – der Kabinettsbeschluss kam erst im Februar 2026, knapp sechs Monate zu spät.
Die neue Aufsichtsstruktur: Wer kontrolliert was?
Das KI-MIG setzt auf einen hybriden Ansatz: Es baut auf bestehenden Behördenstrukturen auf, statt eine neue Mammutbehörde zu schaffen. Das spart Bürokratie – führt aber auch zu einem Aufsichtsmosaik, das Unternehmen kennen sollten.
Die Bundesnetzagentur als Zentrum
Die Bundesnetzagentur (BNetzA) übernimmt eine dreifache Rolle: Sie wird zentrale Marktüberwachungsbehörde für alle Bereiche ohne sektorspezifische Aufsicht, notifizierende Behörde, die Konformitätsbewertungsstellen akkreditiert, sowie Koordinierungs- und Kompetenzzentrum (KoKIVO) für alle anderen KI-Behörden in Deutschland.
Konkret ist die BNetzA zuständig für KI-Einsatz in besonders sensiblen Bereichen: Biometrie, kritische Infrastrukturen, KI am Arbeitsplatz und in Bildungseinrichtungen sowie in Justiz, Migration und Asyl. Außerdem betreibt sie das geplante KI-Reallabor, in dem Unternehmen KI-Systeme in einer geschützten Umgebung testen können.
Sektorale Behörden bleiben zuständig
Für regulierte Branchen bleibt der bekannte Ansprechpartner erhalten – das Prinzip One-Stop-Shop. Die folgende Übersicht zeigt, welche Behörde für welchen Bereich zuständig ist:
| Bereich | Zuständige Behörde |
|---|---|
| Finanzdienstleistungen | BaFin |
| Cybersicherheit | BSI |
| Datenschutz | BfDI / Landesdatenschutzbehörden |
| Wettbewerb | Bundeskartellamt |
| Alle anderen Bereiche | Bundesnetzagentur |
Für KI-Modelle mit allgemeinem Verwendungszweck (sogenannte GPAI-Modelle wie GPT-4 oder Claude) ist nicht Deutschland, sondern das EU AI Office in Brüssel zuständig.
Unabhängige Marktüberwachungskammer (UKIM)
Für besonders heikle Hochrisiko-KI-Systeme – etwa in der Strafverfolgung oder im Migrationsbereich – richtet das KI-MIG eine eigenständige Unabhängige Marktüberwachungskammer (UKIM) bei der Bundesnetzagentur ein. Sie agiert vollständig unabhängig, kann aber auf die Ressourcen der BNetzA zurückgreifen und berichtet jährlich an den Bundestag, erstmals für 2026.
Welche Pflichten treffen Unternehmen?
Das KI-MIG selbst enthält keine neuen materiellen Pflichten für Unternehmen – diese stehen im EU AI Act. Das Gesetz regelt die Aufsicht. Dennoch müssen Unternehmen jetzt handeln, denn der Countdown zur Vollgeltung des AI Act läuft.
Was bereits gilt
Seit Februar 2025 sind KI-Systeme mit unakzeptablem Risiko verboten. Dazu zählen unter anderem staatliches Social Scoring, manipulative Subliminal-Techniken und biometrische Echtzeit-Überwachung im öffentlichen Raum (mit engen Ausnahmen).
Was ab August 2026 gilt
Ab dem 2. August 2026 gelten die vollständigen Anforderungen des EU AI Act. Unternehmen müssen dann Transparenzpflichten für KI-Systeme mit begrenztem Risiko erfüllen (z.B. müssen Chatbots als solche erkennbar sein), Hochrisiko-KI-Systeme dokumentieren, Risikomanagementsysteme einführen und menschliche Aufsicht gewährleisten, Vorfallmeldepflichten gegenüber der BNetzA einhalten sowie Nachweise über Konformitätsbewertungen bereithalten.
Für besonders leistungsfähige GPAI-Modelle (ab 10²⁵ FLOPs Trainingsaufwand) gelten bereits seit August 2025 eigene Transparenz-, Dokumentations- und Testnachweispflichten.
Die Bußgeldstruktur
Das KI-MIG verankert die Sanktionen des EU AI Act in deutsches Recht. Zum Vergleich: Die DSGVO-Bußgelder liegen bei maximal 4% des Jahresumsatzes – der EU AI Act geht bei verbotenen Systemen deutlich darüber hinaus:
| Verstoß | Maximale Strafe |
|---|---|
| Verbotene KI-Praktiken | 35 Mio. € oder 7% des Jahresumsatzes |
| Verstöße gegen Hochrisiko-Anforderungen | 15 Mio. € oder 3% des Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | 7,5 Mio. € oder 1% des Jahresumsatzes |
Für KMU und Start-ups gilt jeweils der niedrigere Betrag.
Praxisbeispiel: Zwei typische Unternehmensszenarien
Szenario 1: HR-Tool mit KI-gestützter Bewerberanalyse
Ein mittelständisches Unternehmen nutzt eine KI-Software, die Lebensläufe bewertet und Kandidaten rankt. Dieses System fällt unter die Hochrisiko-Kategorie (Beschäftigung, Personalmanagement). Ab August 2026 braucht das Unternehmen ein Risikomanagementsystem, Dokumentation des Algorithmus, menschliche Letztentscheidung und eine technische Datei für die Behörde. Zuständige Aufsichtsbehörde: Die Bundesnetzagentur (Bereich Arbeit).
Szenario 2: Kundenservice-Chatbot
Ein E-Commerce-Unternehmen setzt einen KI-Chatbot ein, der Kundenanfragen beantwortet. Dieses System fällt unter begrenztes Risiko. Die einzige Pflicht ab August 2026: Kunden müssen erkennbar wissen, dass sie mit einer Maschine kommunizieren. Kein Behördenaufwand, keine Dokumentationspflicht – aber ein klar sichtbarer Hinweis ist Pflicht.
Chancen: KI-Reallabor und Innovation
Das KI-MIG ist nicht nur Bürokratie. Es bietet auch konkrete Chancen für Unternehmen, die KI-Innovationen entwickeln wollen. Das geplante KI-Reallabor (Regulatory Sandbox) ermöglicht es Unternehmen, neue KI-Systeme in einer geschützten Umgebung zu erproben – mit behördlicher Begleitung und temporären Ausnahmen von bestimmten Anforderungen. Für Start-ups und KMU kann das ein erheblicher Vorteil sein: Sie erhalten frühzeitig Rechtssicherheit und können Produkte marktreif entwickeln, bevor sie der vollen Regulierung unterliegen.
Bundesdigitalminister Karsten Wildberger betont den innovationsoffenen Ansatz: Das Gesetz soll europäische Vorgaben ohne zusätzliche nationale Auflagen umsetzen. Im Vergleich zu anderen EU-Ländern, die noch keine Aufsichtsstrukturen benannt haben, schafft Deutschland damit früh Planungssicherheit für Unternehmen.
Kritik und offene Fragen
Das KI-MIG ist nicht unumstritten. Die Datenschutzkonferenz (DSK) hat sich öffentlich gegen die Bundesnetzagentur als zentrale Marktüberwachungsbehörde ausgesprochen – und für die Datenschutzbehörden als natürlichere Wahl plädiert, da KI-Regulierung eng mit Datenschutz verknüpft ist.
Kritiker bemängeln außerdem das Aufsichtsmosaik: Wenn für ein KI-System im Finanzbereich die BaFin zuständig ist, für den Datenschutzaspekt desselben Systems aber die Datenschutzbehörde und für grundlegende KI-Fragen die BNetzA, entstehen Abgrenzungsprobleme. Offen ist auch, ob die Bundesnetzagentur über das nötige KI-Fachwissen verfügt oder dieses rasch aufbauen kann – bislang reguliert sie Telekommunikation, Post und Energie.
To-Do-Checkliste: Was Unternehmen jetzt tun müssen
| Aufgabe | Frist | Priorität |
|---|---|---|
| KI-Systeme im Unternehmen inventarisieren | Sofort | 🔴 Hoch |
| Risikoklassifizierung aller KI-Systeme nach EU AI Act | Q1 2026 | 🔴 Hoch |
| Chatbots und KI-Interfaces mit Transparenzhinweis versehen | Vor Aug. 2026 | 🟡 Mittel |
| Hochrisiko-Systeme: Risikomanagementsystem einführen | Vor Aug. 2026 | 🔴 Hoch |
| Technische Dokumentation für Hochrisiko-KI erstellen | Vor Aug. 2026 | 🔴 Hoch |
| Zuständige Behörde für eigene KI-Systeme identifizieren | Q2 2026 | 🟡 Mittel |
| Meldeprozesse für KI-Vorfälle definieren | Vor Aug. 2026 | 🟡 Mittel |
| NIS2/DORA-Compliance mit AI-Act-Anforderungen abgleichen | Laufend | 🟢 Niedrig |
Fazit: Jetzt handeln, bevor die Uhr abläuft
Das KI-MIG ist der fehlende Baustein zwischen dem EU AI Act und dem deutschen Markt. Es schafft Klarheit, wer in Deutschland KI beaufsichtigt – mit der Bundesnetzagentur im Mittelpunkt und einem Netz sektoraler Behörden drumherum. Das Gesetz selbst fügt keine neuen Pflichten hinzu, macht aber die Vollgeltung des EU AI Act ab August 2026 real und vollstreckbar.
Für Unternehmen gilt: Wer NIS2 und DSGVO bereits ernst nimmt, hat eine gute Ausgangsposition. Die Strukturen für Risikoklassifizierung, Dokumentation und Vorfallmeldung sind ähnlich. Wer jedoch noch kein KI-Inventar angelegt hat, sollte das jetzt nachholen – denn die sechs Monate bis August 2026 reichen für eine strukturierte Compliance nicht aus, wenn man heute erst anfängt.
Ihr nächster Schritt: Führen Sie in Ihrem Unternehmen einen KI-Audit durch. Welche Systeme nutzen Sie? Welcher Risikokategorie gehören sie an? Und wer ist intern verantwortlich für KI-Compliance? Die Antworten auf diese drei Fragen sind die Grundlage für alles Weitere.
