KI-MIG und Bundesnetzagentur
KI-Compliance

KI-MIG und Bundesnetzagentur

Mit dem KI-MIG erhält Deutschland eine klare Aufsichtsstruktur für KI-Systeme im Unternehmenseinsatz – mit weitreichenden Befugnissen und empfindlichen Bußgeldern für Unternehmen.

Futuristische Visualisierung zu KI und Recht mit Paragraphenzeichen, Waage und digitalen Interface-Elementen

Wo steht das Gesetzgebungsverfahren?

Das Bundeskabinett hat den Gesetzentwurf am 11. Februar 2026 beschlossen (BT-Drs. 21/4594). Am 23. März 2026 fand eine öffentliche Sachverständigenanhörung im Digitalausschuss statt, in der unter anderem die Zuständigkeitsverteilung, die Unabhängigkeit der Aufsicht und die Ressourcenausstattung der Bundesnetzagentur diskutiert wurden. Der Bundesrat hat im April 2026 eine Stellungnahme mit Änderungsvorschlägen vorgelegt (BT-Drs. 21/5143).

Am 11. Juni 2026 hat der Bundestag das Gesetz in der vom Digitalausschuss geänderten Fassung (BT-Drs. 21/6407) beschlossen. Die Koalitionsfraktionen CDU/CSU und SPD stimmten dafür; die Oppositionsfraktionen AfD, Bündnis 90/Die Grünen und Die Linke stimmten dagegen.

Die Zustimmung des Bundesrates steht noch aus. Nach Zustimmung und Verkündung tritt das Gesetz am Tag nach der Verkündung in Kraft. Mit Blick auf den Stichtag 2. August 2026 für die allgemeine Anwendbarkeit der KI-VO ist Eile geboten.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Als Beratungsunternehmen für Datenschutz und Informationssicherheit begleiten wir seit Jahren KMU beim Aufbau belastbarer Compliance-Strukturen – als externe Datenschutzbeauftragte, als externe Informationssicherheitsbeauftragte und bei der Einführung von Managementsystemen nach ISO 27001 oder TISAX. Doch mit der zunehmenden Digitalisierung und dem Einzug von KI in betriebliche Abläufe lässt sich keines dieser Themen mehr isoliert betrachten. Datenschutz, Informationssicherheit und KI-Compliance greifen immer stärker ineinander – und genau das zeigt sich auch an der neuen Aufsichtsstruktur.

Für die Durchsetzung der DSGVO gibt es die Datenschutzbehörden. Für die europäische KI-Verordnung wird es künftig die Bundesnetzagentur sein. Das Gesetz, das diese Zuständigkeit regelt, heißt KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) – und es steht kurz vor dem Abschluss.

Hintergrund: Die europäische KI-Verordnung (Verordnung (EU) 2024/1689) ist seit August 2024 in Kraft und wird ab dem 2. August 2026 in weiten Teilen unmittelbar anwendbar. Die inhaltlichen Anforderungen – Verbote, Hochrisiko-Einstufung, Transparenzpflichten – stehen damit fest. Was bislang fehlte, war die nationale Durchführung: Welche Behörde beaufsichtigt, wer koordiniert, wer sanktioniert? Genau das regelt das KI-MIG.

Was regelt das KI-MIG?

Das KI-MIG schafft keine neuen materiellen Pflichten für Unternehmen. Sämtliche inhaltlichen Anforderungen – Verbote, Hochrisiko-Einstufung, Transparenzpflichten, Risikomanagement – ergeben sich unmittelbar aus der KI-VO selbst. Das KI-MIG regelt stattdessen die organisatorische Seite: Wer beaufsichtigt, wer koordiniert, wer sanktioniert.

Die Bundesnetzagentur als zentrale KI-Aufsicht

Kernstück des KI-MIG ist die Bestimmung der Bundesnetzagentur (BNetzA) als zentrale Marktüberwachungsbehörde, Anlaufstelle und Beschwerdestelle für KI-Systeme in Deutschland. Bei der BNetzA wird das Koordinierungs- und Kompetenzzentrum für die KI-Verordnung (KoKIVO) eingerichtet. Es bündelt KI-Expertise, unterstützt andere Behörden bei komplexen Entscheidungen und stellt einen KI-Service-Desk als erste Anlaufstelle für Unternehmen bereit.

Bußgeld und Zivilhaftung: Zwei getrennte Risiken

Bei der Risikobewertung ist eine Unterscheidung wichtig, die häufig übersehen wird: Die KI-VO und das KI-MIG regeln ausschließlich behördliche Bußgelder. Daneben besteht das allgemeine Haftungsrecht unverändert fort. Trifft ein KI-System eine fehlerhafte Entscheidung – etwa eine unberechtigte Kreditablehnung, eine diskriminierende Vorauswahl im Recruiting oder ein fehlerhaftes Diagnose-Ergebnis –, können Betroffene zivilrechtliche Ansprüche geltend machen. Die Grundlage dafür liefern das nationale Delikts- und Produkthaftungsrecht, nicht die KI-VO.

In einem solchen Verfahren wird die Frage, ob das Unternehmen seine Sorgfaltspflichten erfüllt hat, zum zentralen Prüfpunkt. Eine lückenlose KI-Compliance-Dokumentation – Risikobewertungen, Konformitätsnachweise, Schulungsnachweise – ist dann das wichtigste Beweismittel. Wer ordentlich dokumentiert, schützt sich nicht nur vor Bußgeldern, sondern auch vor Schadensersatzansprüchen.

Verstoß
Bußgeldrahmen
Zuständige Behörde (DE)
Hinweis
Verstöße gegen die Transparenz- und Kennzeichnungspflichten nach Art. 50 KI-VO
Bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes
Bundesnetzagentur
Je nachdem, was höher ist
Kein klarer Hinweis darauf, dass eine Person mit einem KI-System interagiert
Bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes
Bundesnetzagentur
Gilt z. B. für Chatbots
Nicht gekennzeichnete synthetische oder manipulierte Inhalte
Bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes
Bundesnetzagentur
Etwa bei Deepfakes oder KI-generierten Medien
Nicht gekennzeichnete KI-Inhalte zu Themen von öffentlichem Interesse
Bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes
Bundesnetzagentur
Formulierung enger am Normzweck

Hybrider Aufsichtsansatz

Das KI-MIG verfolgt einen sogenannten hybriden Ansatz. Das bedeutet: Wo bereits sektorale Aufsichtsstrukturen bestehen, bleiben diese erhalten. Die BaFin bleibt für KI im Finanzsektor zuständig, die Landesmedienanstalten für KI im Medienbereich, das BfArM für Medizinprodukte. Nur dort, wo bisher keine spezifische KI-Aufsicht existiert – etwa bei Hochrisiko-KI nach Anhang III der KI-VO im Bereich HR, Bildung oder allgemeine Verwaltung –, übernimmt die Bundesnetzagentur selbst die Marktüberwachung.

Für Unternehmen bedeutet das: Der bekannte behördliche Ansprechpartner bleibt in den meisten Fällen erhalten. Neu hinzu kommt die zentrale Koordinierungsfunktion der BNetzA, die insbesondere bei behördenübergreifenden Fragestellungen für einheitliche Rechtsauslegung sorgen soll.

Wichtig zu wissen: Ein und dasselbe KI-System kann je nach Einsatzbereich von unterschiedlichen Behörden beaufsichtigt werden. Wer etwa eine KI-Lösung sowohl für die interne Personalauswahl als auch für die Kreditprüfung einsetzt, hat es im Zweifel mit der Bundesnetzagentur und der BaFin zu tun. Eine klare interne Zuordnung ist daher unverzichtbar.

Welche Befugnisse haben die Aufsichtsbehörden?

Durch das KI-MIG in Verbindung mit der KI-VO erhalten die Marktüberwachungsbehörden weitreichende Befugnisse. Sie können unter anderem:

  • Marktüberwachungsmaßnahmen einleiten und Unternehmen zur Vorlage von Unterlagen, technischer Dokumentation und Konformitätsnachweisen auffordern,
  • KI-Systeme testen und Zugang zu Trainingsdaten, Quellcode und technischen Spezifikationen verlangen,
  • bei festgestellten Mängeln Abhilfemaßnahmen anordnen – bis hin zur Rücknahme vom Markt oder zum Verbot der Bereitstellung,
  • Bußgelder verhängen: bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes bei verbotenen KI-Praktiken, bis zu 15 Mio. Euro oder 3 % bei Verstößen gegen Hochrisiko-Anforderungen, bis zu 7,5 Mio. Euro oder 1 % bei falschen Angaben gegenüber Behörden.

Besonders relevant für den Mittelstand: Betreiber von Hochrisiko-KI-Systemen, die eine Entscheidung über eine natürliche Person treffen (etwa im Bereich Personalwesen oder Kreditvergabe), müssen diese Entscheidung auf Antrag nachvollziehbar erläutern. Ein Verstoß gegen diese Erläuterungspflicht kann mit bis zu 50.000 Euro geahndet werden (§ 15 Abs. 2 KI-MIG).

Hinweisgeberschutz: KI-Verstöße als Meldegrund

Das KI-MIG passt auch das Hinweisgeberschutzgesetz (HinSchG) an: Verstöße gegen die KI-VO werden künftig ausdrücklich in den sachlichen Anwendungsbereich des HinSchG aufgenommen. Mitarbeitende, die Verstöße gegen KI-Vorschriften melden, genießen damit denselben Schutz wie bei Meldungen zu Datenschutz- oder Geldwäscheverstößen.

Für Unternehmen, die bereits eine interne Meldestelle nach dem HinSchG betreiben, bedeutet das: Die bestehenden Prozesse müssen um KI-spezifische Meldetatbestände erweitert werden. Schulen Sie die Personen, die Ihre Meldestelle betreuen, entsprechend. Wer über eine externe Meldestelle (eMSB) verfügt, sollte prüfen, ob der Dienstleister diese Erweiterung abbildet.

Zeitlicher Rahmen: Was gilt bereits, was kommt noch?

Hinweis: Der sogenannte Digital Omnibus, über den das EU-Parlament im März 2026 sein Verhandlungsmandat verabschiedet hat, sieht vor, die Hochrisiko-Pflichten nach Anhang III erst sechs Monate nach Verfügbarkeit harmonisierter Standards greifen zu lassen – spätestens am 2. Dezember 2027. Für KI-Komponenten in Produkten nach Anhang I gilt die Auffangfrist 2. August 2028. Diese Fristverlängerungen sind noch nicht beschlossen, sollten aber in der Planung berücksichtigt werden.

Datum
Meilenstein
01.08.2024
KI-Verordnung (EU) 2024/1689 tritt in Kraft
02.02.2025
Verbotene KI-Praktiken (Art. 5 KI-VO) und KI-Kompetenzpflicht (Art. 4 KI-VO) gelten
02.08.2025
Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) gelten
11.02.2026
Kabinettsbeschluss KI-MIG
11.06.2026
Bundestag beschließt das KI-MIG
Ausstehend
Zustimmung des Bundesrates
02.08.2026
KI-VO wird allgemein anwendbar (Hochrisiko-KI, Transparenzpflichten)
Spätestens 02.12.2027
Hochrisiko-Pflichten (Anhang III) nach Digital Omnibus (falls verabschiedet)

Schatten-KI: Das unterschätzte Sofortrisiko

Während viele Unternehmen auf den August 2026 schauen, übersehen sie, dass ein zentrales Risiko bereits besteht: Die KI-Kompetenzpflicht nach Art. 4 KI-VO gilt seit dem 2. Februar 2025. Unternehmen, die ihre Mitarbeitenden noch nicht geschult haben, befinden sich bereits im Zustand der Nicht-Erfüllung.

Das praktische Problem dahinter ist die sogenannte Schatten-KI: Mitarbeitende nutzen öffentlich zugängliche KI-Werkzeuge wie ChatGPT, Gemini oder Copilot für Arbeitsaufgaben, ohne dass das Unternehmen davon weiß oder Regeln dafür aufgestellt hat. In der Praxis führt das zu konkreten Problemen:

  • Vertrauliche Geschäftsdaten (Verträge, Kalkulationen, Kundendaten) werden in externe KI-Dienste eingegeben und verlassen damit den kontrollierten Datenraum des Unternehmens.
  • Personenbezogene Daten werden ohne Rechtsgrundlage und ohne Datenschutz-Folgenabschätzung an Drittanbieter übermittelt – ein eigenständiger DSGVO-Verstoß.
  • Geschäftsgeheimnisse können ihren Schutzstatus verlieren, wenn keine angemessenen Geheimhaltungsmaßnahmen bestehen (Geschäftsgeheimnisgesetz, § 2 GeschGehG).

Was sollten Unternehmen jetzt tun?

Die Kombination aus unmittelbar geltender KI-VO und dem KI-MIG als nationalem Durchführungsrahmen bedeutet: Die Aufsichtsbehörden werden handlungsfähig. Unternehmen sollten nicht abwarten, bis die erste Behördenanfrage eingeht, sondern sich proaktiv vorbereiten.

  1. KI-Inventar erstellen: Verschaffen Sie sich eine vollständige Übersicht, welche KI-Systeme in Ihrem Unternehmen eingesetzt werden – als Anbieter, Betreiber, Importeur oder Händler. Erfassen Sie dabei auch eingekaufte Software mit KI-Funktionen und intern genutzte Public-AI-Tools. Dokumentieren Sie den jeweiligen Einsatzzweck und die Risikoklasse.
  2. Risikoklassen zuordnen: Stufen Sie jedes erfasste System ein: minimales Risiko, Transparenzpflicht, Hochrisiko oder verbotene Praxis. Nutzen Sie die kostenfreien Selbsteinschätzungstools (KI-Compliance-Kompass) der Bundesnetzagentur, sobald verfügbar, um externe Beratungskosten auf die wirklich komplexen Fälle zu konzentrieren.
  3. Rollen und Zuständigkeiten klären: Legen Sie intern fest, wer für welche KI-Anwendung verantwortlich ist. Benennen Sie einen zentralen Ansprechpartner für behördliche Anfragen. Identifizieren Sie die zuständige Aufsichtsbehörde für jeden Einsatzbereich.
  4. Dokumentation aufbauen: Halten Sie technische Dokumentation, Konformitätsbewertungen, Risikobewertungen und Datenschutz-Folgenabschätzungen für Hochrisiko-KI bereit. Denken Sie daran: Diese Unterlagen schützen Sie nicht nur vor Bußgeldern, sondern dienen auch als Nachweis ordnungsgemäßer Sorgfalt in zivilrechtlichen Haftungsfällen.
  5. KI-Kompetenz sicherstellen: Die Pflicht nach Art. 4 KI-VO gilt bereits. Schulen Sie alle Mitarbeitenden, die KI-Systeme entwickeln, bereitstellen oder einsetzen. Dokumentieren Sie die Schulungen – der Nachweis muss im Prüfungsfall abrufbar sein.
  6. KI-Richtlinie einführen: Regeln Sie verbindlich, welche KI-Werkzeuge im Unternehmen genutzt werden dürfen und unter welchen Bedingungen. Definieren Sie klare Grenzen für den Umgang mit sensiblen Daten. Damit adressieren Sie das Schatten-KI-Risiko und die Datenschutzpflichten in einem Schritt.
  7. Meldestelle erweitern: Prüfen Sie, ob Ihre interne Meldestelle nach dem HinSchG bereits auf KI-Verstöße vorbereitet ist. Falls Sie eine externe Meldestelle (eMSB) nutzen, stimmen Sie die Erweiterung mit Ihrem Dienstleister ab. Eine gut funktionierende interne Meldestelle verhindert, dass sich Mitarbeitende direkt an die Aufsichtsbehörde wenden.
  8. Beschwerde- und Informationsprozesse einrichten: Stellen Sie sicher, dass Betroffene Erläuterungen zu KI-gestützten Entscheidungen erhalten können. Richten Sie einen internen Prozess ein, der Beschwerden bearbeitet, bevor sie bei der Aufsicht landen.

KI-Compliance-Framework visualisiert vier Kernbereiche der AI-Governance von Einsatzkontrolle bis Auditierung

Innovationsförderung: KI-Reallabore

Neben der Aufsicht enthält das KI-MIG auch ein Innovationselement: Die Bundesnetzagentur soll KI-Reallabore (Regulatory Sandboxes) einrichten, in denen Unternehmen neue KI-Anwendungen unter vereinfachten Bedingungen testen können. Der Zugang soll niedrigschwellig und digitalisiert sein.

Besonders interessant für Unternehmen ist die vorgesehene Genehmigungsfiktion: Reicht ein Unternehmen einen Testplan ein und erhält innerhalb von 30 Tagen keine gegenläufige Rückmeldung der Behörde, gilt der Test unter Realbedingungen als genehmigt. Das schafft Planungssicherheit und vermeidet lange Genehmigungsverfahren.

Gerade für KMU, die innovative KI-Anwendungen entwickeln, bieten die Reallabore eine Möglichkeit, frühzeitig Rechtssicherheit zu erlangen – noch bevor eine Konformitätsbewertung abgeschlossen ist. Gleichzeitig liefert das behördliche Feedback konkrete Hinweise, an welchen Stellen nachgebessert werden muss. Das reduziert das Risiko, am Markt vorbei zu entwickeln.

Fazit

Das KI-MIG bringt keine neuen Pflichten, aber es bringt die Behörden in Stellung, die bestehende Pflichten durchsetzen. Die zentrale Rolle der Bundesnetzagentur, die klare Zuständigkeitsverteilung und die empfindlichen Bußgeldrahmen machen deutlich: Unternehmen, die KI einsetzen, brauchen eine belastbare Governance-Struktur.

Dabei geht es nicht nur um Bußgelder. Wer seine KI-Compliance nicht im Griff hat, riskiert auch zivilrechtliche Haftung, den Verlust von Geschäftsgeheimnissen durch unkontrollierte KI-Nutzung und Meldungen über das Hinweisgebersystem. Ein aktuelles KI-Inventar, dokumentierte Schulungen, eine betriebliche KI-Richtlinie und klare Verantwortlichkeiten sind keine Kür mehr – sie sind die Grundlage, um auf behördliche Anfragen, zivilrechtliche Ansprüche und interne Meldungen vorbereitet zu sein.

Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Stand der Informationen: Juni 2026. Die Zustimmung des Bundesrates zum KI-MIG steht zum Redaktionsschluss noch aus.

Beitrag aktualisiert am 29. Juni 2026 – geprüft durch Datenschutzbeauftragter Jörg ter Beek
Externer KI-Beauftragter

Profitieren Sie von der Expertise unserer TÜV-zertifizierten KI-Experten, die Ihnen als externer KI-Beauftragter zur Seite stehen.

Auf Anfrage
Inhalt dieser Seite
Ihre Vorteile mit Cortina Consult in der KI-Compliance

Wir begleiten Unternehmen dabei, Künstliche Intelligenz rechtssicher, transparent und verantwortungsvoll einzusetzen – digital, praxisnah und zu fixen Konditionen. Ob Risikobewertung nach EU AI-Act oder in der Schulung Ihrer Mitarbeitenden – Wir sorgen dafür, dass der Einsatz von KI-Systemen in Ihrem Unternehmen den regulatorischen Vorgaben entspricht und rechtliche Risiken minimiert werden.

KI-Compliance
Jörg ter Beek
Autor dieses Artikels:
Jörg ter Beek
CEO & Datenschutzbeauftragter bei Cortina Consult
Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift

Sie haben Fragen?
– Wir beraten Sie gerne

Jörg ter Beek
Jörg ter Beek
Datenschutzexperte & CEO

Unsere Lösungen