Mit dem KI-MIG erhält Deutschland eine klare Aufsichtsstruktur für KI-Systeme im Unternehmenseinsatz – mit weitreichenden Befugnissen und empfindlichen Bußgeldern für Unternehmen.
Das Bundeskabinett hat den Gesetzentwurf am 11. Februar 2026 beschlossen (BT-Drs. 21/4594). Am 23. März 2026 fand eine öffentliche Sachverständigenanhörung im Digitalausschuss statt, in der unter anderem die Zuständigkeitsverteilung, die Unabhängigkeit der Aufsicht und die Ressourcenausstattung der Bundesnetzagentur diskutiert wurden. Der Bundesrat hat im April 2026 eine Stellungnahme mit Änderungsvorschlägen vorgelegt (BT-Drs. 21/5143).
Am 11. Juni 2026 hat der Bundestag das Gesetz in der vom Digitalausschuss geänderten Fassung (BT-Drs. 21/6407) beschlossen. Die Koalitionsfraktionen CDU/CSU und SPD stimmten dafür; die Oppositionsfraktionen AfD, Bündnis 90/Die Grünen und Die Linke stimmten dagegen.
Die Zustimmung des Bundesrates steht noch aus. Nach Zustimmung und Verkündung tritt das Gesetz am Tag nach der Verkündung in Kraft. Mit Blick auf den Stichtag 2. August 2026 für die allgemeine Anwendbarkeit der KI-VO ist Eile geboten.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenAls Beratungsunternehmen für Datenschutz und Informationssicherheit begleiten wir seit Jahren KMU beim Aufbau belastbarer Compliance-Strukturen – als externe Datenschutzbeauftragte, als externe Informationssicherheitsbeauftragte und bei der Einführung von Managementsystemen nach ISO 27001 oder TISAX. Doch mit der zunehmenden Digitalisierung und dem Einzug von KI in betriebliche Abläufe lässt sich keines dieser Themen mehr isoliert betrachten. Datenschutz, Informationssicherheit und KI-Compliance greifen immer stärker ineinander – und genau das zeigt sich auch an der neuen Aufsichtsstruktur.
Für die Durchsetzung der DSGVO gibt es die Datenschutzbehörden. Für die europäische KI-Verordnung wird es künftig die Bundesnetzagentur sein. Das Gesetz, das diese Zuständigkeit regelt, heißt KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) – und es steht kurz vor dem Abschluss.
Hintergrund: Die europäische KI-Verordnung (Verordnung (EU) 2024/1689) ist seit August 2024 in Kraft und wird ab dem 2. August 2026 in weiten Teilen unmittelbar anwendbar. Die inhaltlichen Anforderungen – Verbote, Hochrisiko-Einstufung, Transparenzpflichten – stehen damit fest. Was bislang fehlte, war die nationale Durchführung: Welche Behörde beaufsichtigt, wer koordiniert, wer sanktioniert? Genau das regelt das KI-MIG.
Das KI-MIG schafft keine neuen materiellen Pflichten für Unternehmen. Sämtliche inhaltlichen Anforderungen – Verbote, Hochrisiko-Einstufung, Transparenzpflichten, Risikomanagement – ergeben sich unmittelbar aus der KI-VO selbst. Das KI-MIG regelt stattdessen die organisatorische Seite: Wer beaufsichtigt, wer koordiniert, wer sanktioniert.
Kernstück des KI-MIG ist die Bestimmung der Bundesnetzagentur (BNetzA) als zentrale Marktüberwachungsbehörde, Anlaufstelle und Beschwerdestelle für KI-Systeme in Deutschland. Bei der BNetzA wird das Koordinierungs- und Kompetenzzentrum für die KI-Verordnung (KoKIVO) eingerichtet. Es bündelt KI-Expertise, unterstützt andere Behörden bei komplexen Entscheidungen und stellt einen KI-Service-Desk als erste Anlaufstelle für Unternehmen bereit.
Bei der Risikobewertung ist eine Unterscheidung wichtig, die häufig übersehen wird: Die KI-VO und das KI-MIG regeln ausschließlich behördliche Bußgelder. Daneben besteht das allgemeine Haftungsrecht unverändert fort. Trifft ein KI-System eine fehlerhafte Entscheidung – etwa eine unberechtigte Kreditablehnung, eine diskriminierende Vorauswahl im Recruiting oder ein fehlerhaftes Diagnose-Ergebnis –, können Betroffene zivilrechtliche Ansprüche geltend machen. Die Grundlage dafür liefern das nationale Delikts- und Produkthaftungsrecht, nicht die KI-VO.
In einem solchen Verfahren wird die Frage, ob das Unternehmen seine Sorgfaltspflichten erfüllt hat, zum zentralen Prüfpunkt. Eine lückenlose KI-Compliance-Dokumentation – Risikobewertungen, Konformitätsnachweise, Schulungsnachweise – ist dann das wichtigste Beweismittel. Wer ordentlich dokumentiert, schützt sich nicht nur vor Bußgeldern, sondern auch vor Schadensersatzansprüchen.
Verstoß | Bußgeldrahmen | Zuständige Behörde (DE) | Hinweis |
|---|---|---|---|
Verstöße gegen die Transparenz- und Kennzeichnungspflichten nach Art. 50 KI-VO | Bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes | Bundesnetzagentur | Je nachdem, was höher ist |
Kein klarer Hinweis darauf, dass eine Person mit einem KI-System interagiert | Bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes | Bundesnetzagentur | Gilt z. B. für Chatbots |
Nicht gekennzeichnete synthetische oder manipulierte Inhalte | Bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes | Bundesnetzagentur | Etwa bei Deepfakes oder KI-generierten Medien |
Nicht gekennzeichnete KI-Inhalte zu Themen von öffentlichem Interesse | Bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes | Bundesnetzagentur | Formulierung enger am Normzweck |
Das KI-MIG verfolgt einen sogenannten hybriden Ansatz. Das bedeutet: Wo bereits sektorale Aufsichtsstrukturen bestehen, bleiben diese erhalten. Die BaFin bleibt für KI im Finanzsektor zuständig, die Landesmedienanstalten für KI im Medienbereich, das BfArM für Medizinprodukte. Nur dort, wo bisher keine spezifische KI-Aufsicht existiert – etwa bei Hochrisiko-KI nach Anhang III der KI-VO im Bereich HR, Bildung oder allgemeine Verwaltung –, übernimmt die Bundesnetzagentur selbst die Marktüberwachung.
Für Unternehmen bedeutet das: Der bekannte behördliche Ansprechpartner bleibt in den meisten Fällen erhalten. Neu hinzu kommt die zentrale Koordinierungsfunktion der BNetzA, die insbesondere bei behördenübergreifenden Fragestellungen für einheitliche Rechtsauslegung sorgen soll.
Wichtig zu wissen: Ein und dasselbe KI-System kann je nach Einsatzbereich von unterschiedlichen Behörden beaufsichtigt werden. Wer etwa eine KI-Lösung sowohl für die interne Personalauswahl als auch für die Kreditprüfung einsetzt, hat es im Zweifel mit der Bundesnetzagentur und der BaFin zu tun. Eine klare interne Zuordnung ist daher unverzichtbar.
Durch das KI-MIG in Verbindung mit der KI-VO erhalten die Marktüberwachungsbehörden weitreichende Befugnisse. Sie können unter anderem:
Besonders relevant für den Mittelstand: Betreiber von Hochrisiko-KI-Systemen, die eine Entscheidung über eine natürliche Person treffen (etwa im Bereich Personalwesen oder Kreditvergabe), müssen diese Entscheidung auf Antrag nachvollziehbar erläutern. Ein Verstoß gegen diese Erläuterungspflicht kann mit bis zu 50.000 Euro geahndet werden (§ 15 Abs. 2 KI-MIG).
Das KI-MIG passt auch das Hinweisgeberschutzgesetz (HinSchG) an: Verstöße gegen die KI-VO werden künftig ausdrücklich in den sachlichen Anwendungsbereich des HinSchG aufgenommen. Mitarbeitende, die Verstöße gegen KI-Vorschriften melden, genießen damit denselben Schutz wie bei Meldungen zu Datenschutz- oder Geldwäscheverstößen.
Für Unternehmen, die bereits eine interne Meldestelle nach dem HinSchG betreiben, bedeutet das: Die bestehenden Prozesse müssen um KI-spezifische Meldetatbestände erweitert werden. Schulen Sie die Personen, die Ihre Meldestelle betreuen, entsprechend. Wer über eine externe Meldestelle (eMSB) verfügt, sollte prüfen, ob der Dienstleister diese Erweiterung abbildet.
Hinweis: Der sogenannte Digital Omnibus, über den das EU-Parlament im März 2026 sein Verhandlungsmandat verabschiedet hat, sieht vor, die Hochrisiko-Pflichten nach Anhang III erst sechs Monate nach Verfügbarkeit harmonisierter Standards greifen zu lassen – spätestens am 2. Dezember 2027. Für KI-Komponenten in Produkten nach Anhang I gilt die Auffangfrist 2. August 2028. Diese Fristverlängerungen sind noch nicht beschlossen, sollten aber in der Planung berücksichtigt werden.
Datum | Meilenstein |
|---|---|
01.08.2024 | KI-Verordnung (EU) 2024/1689 tritt in Kraft |
02.02.2025 | Verbotene KI-Praktiken (Art. 5 KI-VO) und KI-Kompetenzpflicht (Art. 4 KI-VO) gelten |
02.08.2025 | Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) gelten |
11.02.2026 | Kabinettsbeschluss KI-MIG |
11.06.2026 | Bundestag beschließt das KI-MIG |
Ausstehend | Zustimmung des Bundesrates |
02.08.2026 | KI-VO wird allgemein anwendbar (Hochrisiko-KI, Transparenzpflichten) |
Spätestens 02.12.2027 | Hochrisiko-Pflichten (Anhang III) nach Digital Omnibus (falls verabschiedet) |
Während viele Unternehmen auf den August 2026 schauen, übersehen sie, dass ein zentrales Risiko bereits besteht: Die KI-Kompetenzpflicht nach Art. 4 KI-VO gilt seit dem 2. Februar 2025. Unternehmen, die ihre Mitarbeitenden noch nicht geschult haben, befinden sich bereits im Zustand der Nicht-Erfüllung.
Das praktische Problem dahinter ist die sogenannte Schatten-KI: Mitarbeitende nutzen öffentlich zugängliche KI-Werkzeuge wie ChatGPT, Gemini oder Copilot für Arbeitsaufgaben, ohne dass das Unternehmen davon weiß oder Regeln dafür aufgestellt hat. In der Praxis führt das zu konkreten Problemen:
Die Kombination aus unmittelbar geltender KI-VO und dem KI-MIG als nationalem Durchführungsrahmen bedeutet: Die Aufsichtsbehörden werden handlungsfähig. Unternehmen sollten nicht abwarten, bis die erste Behördenanfrage eingeht, sondern sich proaktiv vorbereiten.
Neben der Aufsicht enthält das KI-MIG auch ein Innovationselement: Die Bundesnetzagentur soll KI-Reallabore (Regulatory Sandboxes) einrichten, in denen Unternehmen neue KI-Anwendungen unter vereinfachten Bedingungen testen können. Der Zugang soll niedrigschwellig und digitalisiert sein.
Besonders interessant für Unternehmen ist die vorgesehene Genehmigungsfiktion: Reicht ein Unternehmen einen Testplan ein und erhält innerhalb von 30 Tagen keine gegenläufige Rückmeldung der Behörde, gilt der Test unter Realbedingungen als genehmigt. Das schafft Planungssicherheit und vermeidet lange Genehmigungsverfahren.
Gerade für KMU, die innovative KI-Anwendungen entwickeln, bieten die Reallabore eine Möglichkeit, frühzeitig Rechtssicherheit zu erlangen – noch bevor eine Konformitätsbewertung abgeschlossen ist. Gleichzeitig liefert das behördliche Feedback konkrete Hinweise, an welchen Stellen nachgebessert werden muss. Das reduziert das Risiko, am Markt vorbei zu entwickeln.
Das KI-MIG bringt keine neuen Pflichten, aber es bringt die Behörden in Stellung, die bestehende Pflichten durchsetzen. Die zentrale Rolle der Bundesnetzagentur, die klare Zuständigkeitsverteilung und die empfindlichen Bußgeldrahmen machen deutlich: Unternehmen, die KI einsetzen, brauchen eine belastbare Governance-Struktur.
Dabei geht es nicht nur um Bußgelder. Wer seine KI-Compliance nicht im Griff hat, riskiert auch zivilrechtliche Haftung, den Verlust von Geschäftsgeheimnissen durch unkontrollierte KI-Nutzung und Meldungen über das Hinweisgebersystem. Ein aktuelles KI-Inventar, dokumentierte Schulungen, eine betriebliche KI-Richtlinie und klare Verantwortlichkeiten sind keine Kür mehr – sie sind die Grundlage, um auf behördliche Anfragen, zivilrechtliche Ansprüche und interne Meldungen vorbereitet zu sein.
Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Stand der Informationen: Juni 2026. Die Zustimmung des Bundesrates zum KI-MIG steht zum Redaktionsschluss noch aus.
Profitieren Sie von der Expertise unserer TÜV-zertifizierten KI-Experten, die Ihnen als externer KI-Beauftragter zur Seite stehen.
Wir begleiten Unternehmen dabei, Künstliche Intelligenz rechtssicher, transparent und verantwortungsvoll einzusetzen – digital, praxisnah und zu fixen Konditionen. Ob Risikobewertung nach EU AI-Act oder in der Schulung Ihrer Mitarbeitenden – Wir sorgen dafür, dass der Einsatz von KI-Systemen in Ihrem Unternehmen den regulatorischen Vorgaben entspricht und rechtliche Risiken minimiert werden.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Hubspot Embedded Content. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Hubspot Meetings. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen