Top Themen in der KI-Compliance:
Das KI-MIG Gesetz regelt die nationale Umsetzung des EU AI Acts in Deutschland – mit klaren Fristen, Behördenstrukturen und Pflichten für Unternehmen, die einen KI-Beauftragten benötigen oder KI-Systeme einsetzen.
Die AI Act – die weltweit erste umfassende KI-Verordnung – gilt seit August 2024 europaweit. Als EU-Verordnung wirkt er zwar direkt in allen Mitgliedstaaten, doch jedes Land muss eigenständig regeln, welche Behörden die Aufsicht übernehmen und wie Sanktionen national durchgesetzt werden. Genau das leistet für Deutschland das KI-MIG Gesetz.
Der vollständige Name lautet KI-Marktüberwachungs- und Innovationsförderungsgesetz. Laut der offiziellen Pressemitteilung des BMDS hat das Bundeskabinett den Gesetzentwurf am 11. Februar 2026 beschlossen. Anschließend muss er noch Bundestag und Bundesrat passieren, bevor er in Kraft tritt.
Die Bundesregierung setzt dabei auf eine klare Linie: keine deutschen Sonderverschärfungen, kein sogenanntes Gold Plating. Alles, was der AI Act vorschreibt, gilt – aber auch nicht mehr.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenDeutschland setzt auf einen hybriden Ansatz statt auf eine neue Superbehörde. Im Zentrum steht die Bundesnetzagentur (BNetzA) mit einem neu geschaffenen Koordinierungs- und Kompetenzzentrum für die KI-Verordnung, kurz KoKIVO.
Die Bundesnetzagentur übernimmt drei Kernaufgaben:
In regulierten Branchen bleiben die jeweiligen Fachbehörden zuständig. Die BaFin kontrolliert weiterhin KI in Banken und Finanzdienstleistungen, Produktüberwachungsämter sind für eingebettete KI-Systeme verantwortlich. Unternehmen behalten damit ihre bekannten behördlichen Ansprechpartner.
Für besonders sensible staatliche KI-Anwendungen – etwa in der Strafverfolgung oder im Migrationsbereich – wird eine eigene unabhängige Stelle eingerichtet: die UKIM (Unabhängige KI-Kontrollstelle für öffentliche Institutionen). Diese überwacht ausschließlich den staatlichen KI-Einsatz in hochsensiblen Bereichen.
Der AI Act – und damit das KI-MIG Gesetz – unterscheidet KI-Systeme nach ihrem Risikopotenzial. Den vollständigen Regulatory Framework der EU-Kommission finden Sie hier. Vier Kategorien sind für Unternehmen entscheidend:
Verboten: Unzulässige KI-Praktiken Social Scoring durch Behörden, biometrische Echtzeit-Überwachung im öffentlichen Raum, emotionale KI zur Manipulation, Ausnutzung von Schwächen.
Hochrisiko: Strenge Anforderungen KI in Personalentscheidungen, Bildung, Kreditvergabe, kritischer Infrastruktur. Vollständiges Risikomanagement, technische Dokumentation und menschliche Aufsicht erforderlich.
Allzweck-KI (GPAI): Transparenzpflichten Große Sprachmodelle wie GPT-4. Anbieter müssen technische Dokumentation bereitstellen und Urheberrechtsregeln einhalten.
Minimales Risiko: Kaum Aufwand Spam-Filter, KI in Videospielen, einfache Empfehlungssysteme. Freiwillige Verhaltenskodizes, keine gesetzliche Pflicht. Für die meisten Unternehmen in Deutschland ist die Hochrisiko-Kategorie der entscheidende Prüfpunkt.
Eine vollständige Übersicht aller Kategorien von KI-Systemen zeigt, wer KI-Systeme zur Personalauswahl, zur Kreditbewertung oder in sicherheitskritischen Umgebungen einsetzt und muss ab dem 2. August 2026 vollständig compliant sein.
Alle relevanten Termine für Ihre Compliance-Planung im Überblick.
Datum | Was gilt ab dann? | Betroffen |
|---|---|---|
1. Aug. 2024 | AI Act tritt in Kraft | Alle EU-Unternehmen |
2. Feb. 2025 | Verbote für unzulässige KI-Praktiken gelten | Alle Unternehmen mit KI-Einsatz |
2. Feb. 2025 | KI-Kompetenzpflicht (Art. 4 AI Act) aktiv | Alle KI-nutzenden Mitarbeitenden |
11. Feb. 2026 | Bundeskabinett beschließt KI-MIG Gesetz | Deutschland |
2. Aug. 2026 | Vollständige Geltung des AI Acts – inkl. Hochrisiko-KI-Pflichten | Alle Anbieter & Betreiber von Hochrisiko-KI |
Artikel 4 des AI Acts ist bereits seit dem 2. Februar 2025 in Kraft – und wird von vielen Unternehmen unterschätzt. Er verpflichtet alle Organisationen dazu, sicherzustellen, dass alle Personen, die mit KI-Systemen arbeiten, über angemessene KI-Kenntnisse verfügen.
Das klingt vage – und ist es bewusst. Der Gesetzgeber hat keine Stundenzahl oder Zertifizierungspflicht definiert. Was zählt, sind drei Faktoren:
Praktisch bedeutet das: Wer in seinem Unternehmen KI einsetzt – sei es ein Chatbot im Kundenservice, ein KI-gestütztes Recruiting-Tool oder automatisierte Kreditentscheidungen – muss jetzt handeln. Eine strukturierte KI-Kompetenz-Schulung hilft, interne Richtlinien aufzubauen und eine klare KI-Governance zu etablieren – keine Kür, sondern Pflicht.
Die Sanktionsstruktur des AI Acts orientiert sich bewusst an der DSGVO – wer die Datenschutz-Grundverordnung kennt, erkennt das Muster sofort. KI-Compliance wird genauso ernst genommen wie Datenschutz.
Für KMU und Start-ups sieht die Verordnung abgestufte Obergrenzen vor. Die prozentualen Umsatzgrenzen greifen immer dann, wenn sie niedriger sind als die absoluten Maximalbeträge. Trotzdem: Auch für mittelständische Unternehmen sind diese Summen keine Kavaliersdelikte.
Die Frage ist nicht mehr, ob Sie sich auf das KI-MIG Gesetz und den AI Act vorbereiten müssen. Sie lautet: Wie schnell können Sie es tun? Drei Sofortmaßnahmen sind entscheidend:
Unternehmen, die bereits DSGVO-Strukturen aufgebaut haben, haben einen klaren Startvorteil. Viele Prozesse – etwa die Datenschutz-Folgenabschätzung oder bestehende Datenschutzschulungen – lassen sich direkt auf KI-Compliance übertragen. KI-Compliance ist kein Neustart, sondern eine Erweiterung bestehender Strukturen. Das BSI zu KI-Sicherheit bietet ergänzende Orientierung für technische Schutzmaßnahmen.
Unser spezialisiertes KI Audit unterstützt Sie bei der Bewertung und Steuerung von KI-Systemen in Ihrem Unternehmen – für rechtskonforme und verantwortungsvolle AI Governance.
Der AI Act ist eine EU-Verordnung und gilt direkt in allen Mitgliedstaaten – er definiert die inhaltlichen Anforderungen an KI-Systeme, Verbote und Pflichten. Das KI-MIG Gesetz ist Deutschlands nationales Durchführungsgesetz: Es legt fest, welche deutschen Behörden die Aufsicht übernehmen, wie Sanktionen vollzogen werden und welche Innovationsförderung Unternehmen erhalten. Inhaltlich fügt das KI-MIG nichts Neues hinzu – es setzt den AI Act eins zu eins um.
Das Bundeskabinett hat den Gesetzentwurf am 11. Februar 2026 beschlossen. Er muss noch durch Bundestag und Bundesrat. Der entscheidende Stichtag für Unternehmen ist der 2. August 2026: Ab dann gilt der AI Act vollumfänglich – insbesondere die Pflichten für Hochrisiko-KI-Systeme. Einige Regelungen, wie das Verbot unzulässiger KI-Praktiken und die Kompetenzpflicht nach Art. 4, gelten bereits seit dem 2. Februar 2025.
Betroffen sind grundsätzlich alle Unternehmen, die KI-Systeme in der EU anbieten oder einsetzen – unabhängig davon, ob der Anbieter seinen Sitz in der EU hat. Besonders relevant ist das Gesetz für Unternehmen, die Hochrisiko-KI-Systeme nutzen, etwa in Personalentscheidungen, Kreditvergabe, Bildung oder kritischer Infrastruktur. Aber auch jedes Unternehmen, das KI-Tools im Arbeitsalltag einsetzt, ist durch die Kompetenzpflicht (Art. 4) betroffen.
Hochrisiko-KI-Systeme sind KI-Anwendungen, die erhebliche Auswirkungen auf die Rechte und die Sicherheit von Menschen haben können. Dazu zählen laut Anhang III des AI Acts unter anderem: KI in der Personalauswahl und -bewertung, in der Kreditwürdigkeitsprüfung, im Bildungsbereich (z. B. automatisierte Prüfungsbewertung), in kritischen Infrastrukturen (Energie, Wasser, Verkehr) sowie KI-gestützte Entscheidungen in der Strafverfolgung oder im Asylverfahren.
Artikel 4 des AI Acts verpflichtet Unternehmen sicherzustellen, dass alle Personen, die mit KI-Systemen arbeiten, über angemessene KI-Kenntnisse verfügen. Die Anforderungen variieren je nach Rolle (Entwickler, Entscheider, Nutzer) und Risikograd des KI-Systems. Es gibt keine vorgeschriebene Stundenzahl oder Zertifizierung – aber Unternehmen müssen nachweisen können, dass sie aktiv Schulungsmaßnahmen ergriffen haben. Diese Pflicht gilt bereits seit dem 2. Februar 2025.
Die Bundesnetzagentur wird durch das KI-MIG zur zentralen Koordinierungsstelle für KI-Aufsicht in Deutschland. Sie richtet das Koordinierungs- und Kompetenzzentrum KoKIVO ein, betreibt einen KI Service Desk als Anlaufstelle für Unternehmen und übernimmt die Marktüberwachung, wo keine spezialisierte Fachbehörde zuständig ist. In regulierten Branchen bleiben die jeweiligen Sektorbehörden (z. B. BaFin, BfArM) weiterhin die primären Ansprechpartner.
Profitieren Sie von der Expertise unserer TÜV-zertifizierten KI-Experten, die Ihnen als externer KI-Beauftragter zur Seite stehen.
Wir begleiten Unternehmen dabei, Künstliche Intelligenz rechtssicher, transparent und verantwortungsvoll einzusetzen – digital, praxisnah und zu fixen Konditionen. Ob Risikobewertung nach EU AI-Act oder in der Schulung Ihrer Mitarbeitenden – Wir sorgen dafür, dass der Einsatz von KI-Systemen in Ihrem Unternehmen den regulatorischen Vorgaben entspricht und rechtliche Risiken minimiert werden.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen