SStrategie[02_20]

KI-MIG: Was das neue KI-Gesetz für dein Unternehmen bedeutet

Deutschlands Umsetzung der EU-KI-Verordnung — Fristen, Pflichten und was du jetzt tun musst

Auf einen Blick

  • Das KI-MIG setzt den EU AI Act in deutsches Recht um — die Bundesnetzagentur wird zur zentralen KI-Aufsichtsbehörde mit neuem Koordinierungszentrum (KoKIVO)
  • Bestimmte KI-Praktiken sind bereits seit dem 2. Februar 2025 verboten — darunter Social Scoring, biometrische Kategorisierung und Emotionserkennung am Arbeitsplatz
  • Ab dem 2. August 2026 gelten die Pflichten für Hochrisiko-KI — bei Verstößen drohen Bußgelder bis 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes, einschließlich persönlicher Haftung der Geschäftsführung

Das solltest du tun

  1. 1KI-Inventar erstellen: Alle KI-Systeme im Unternehmen erfassen und nach Risikoklasse einordnen — idealerweise in den nächsten 2-4 Wochen
  2. 2Gap-Analyse durchführen: Bestehende Prozesse gegen die neuen Anforderungen prüfen und Compliance-Lücken identifizieren
Relevant für:
CEOComplianceRechtsabteilung

Am 11. Februar 2026 hat das Bundeskabinett das KI-MIG beschlossen — das KI-Marktüberwachungs- und Innovationsförderungsgesetz. Hinter dem sperrigen Namen verbirgt sich nichts Geringeres als die nationale Umsetzung des EU AI Act, der weltweit ersten umfassenden KI-Regulierung.

Für Unternehmen bedeutet das: Die Zeit der abstrakten Brüsseler Regulierung ist vorbei. Ab jetzt gibt es eine deutsche Aufsichtsbehörde, konkrete Fristen und empfindliche Strafen — einschließlich persönlicher Haftung für Geschäftsführer und Vorstände. Wer KI einsetzt, muss jetzt handeln.

Was ist das KI-MIG?

Der EU AI Act (offiziell: EU-Verordnung 2024/1689) legt europaweit fest, wie Künstliche Intelligenz entwickelt und eingesetzt werden darf. Als EU-Verordnung gilt er zwar direkt in allen Mitgliedstaaten — aber jedes Land muss selbst regeln, wer die Einhaltung überwacht und wie Verstöße geahndet werden.

Genau das tut das KI-MIG für Deutschland. Es beantwortet drei Kernfragen:

Wer überwacht?
Die Bundesnetzagentur (BNetzA) als zentrale KI-Aufsicht
Wie wird durchgesetzt?
Bußgelder, Marktüberwachung und persönliche Haftung
Wie wird Innovation gefördert?
KI-Reallabore (Sandboxes) und Innovationsförderung
Wichtig zu verstehen: Das KI-MIG erfindet keine neuen Regeln. Es macht die bestehenden EU-Regeln in Deutschland vollstreckbar. Die eigentlichen Pflichten kommen aus dem EU AI Act — das KI-MIG sorgt dafür, dass jemand ihre Einhaltung kontrolliert.

Die wichtigsten Fristen

Der EU AI Act tritt nicht auf einen Schlag in Kraft, sondern stufenweise. Einige Fristen sind bereits verstrichen — andere stehen unmittelbar bevor:

Bereits aktiv

2. Februar 2025 — Verbotene KI-Praktiken

Bestimmte KI-Anwendungen sind seit diesem Datum EU-weit verboten. Wer sie trotzdem einsetzt, verstößt bereits jetzt gegen geltendes Recht.

In 5 Monaten

2. August 2025 — Regeln für Allzweck-KI

Pflichten für Anbieter von "General Purpose AI" wie ChatGPT, Claude oder Gemini. Betrifft vor allem die großen KI-Unternehmen, nicht die Nutzer dieser Tools.

Kritische Frist

2. August 2026 — Hochrisiko-KI-Pflichten

Die wichtigste Frist für Unternehmen: Alle Pflichten für Hochrisiko-KI-Systeme werden durchsetzbar. Betrifft KI in Personalwesen, Kreditvergabe, Versicherungen, Bildung und kritischer Infrastruktur.

Ab 2027

2. August 2027 — Vollständige Geltung

Alle verbleibenden Pflichten gelten. Ab dann ist der EU AI Act vollständig durchsetzbar — ohne Ausnahmen oder Übergangsfristen.

Achtung: Zwischen heute und dem 2. August 2026 liegen nur noch wenige Monate. Wer jetzt noch kein KI-Inventar hat und nicht weiß, welche Risikoklasse seine Systeme betrifft, ist bereits im Rückstand.

Was bereits verboten ist

Seit dem 2. Februar 2025 sind bestimmte KI-Praktiken in der gesamten EU verboten. Diese Verbote gelten bereits heute — nicht erst ab 2026 oder 2027. Die wichtigsten:

Social Scoring

KI-Systeme, die das Verhalten von Menschen über längere Zeit bewerten und daraus einen "Vertrauensscore" ableiten — vergleichbar mit dem chinesischen Sozialkreditsystem. Verboten, wenn daraus Nachteile für die Betroffenen entstehen.

Biometrische Kategorisierung

KI, die aus biometrischen Daten (Gesicht, Stimme, Gang) auf sensible Merkmale wie Religion, politische Überzeugung oder sexuelle Orientierung schließt. Selbst wenn das System nur intern genutzt wird.

Emotionserkennung am Arbeitsplatz

KI-Systeme, die in Unternehmen oder Bildungseinrichtungen Emotionen aus Gesichtsausdrücken, Stimme oder Körpersprache ableiten. Das betrifft beispielsweise Tools, die in Bewerbungsgesprächen "Stresslevel" oder "Ehrlichkeit" messen wollen.

Biometrische Echtzeit-Überwachung

Gesichtserkennung in Echtzeit im öffentlichen Raum — zum Beispiel Kameras, die automatisch Personen in Fußgängerzonen identifizieren. Enge Ausnahmen für Strafverfolgung bestehen, aber für Unternehmen ist dies ausnahmslos verboten.

Praxis-Check: Prüfe, ob dein Unternehmen KI-gestützte Bewerbungstools, Mitarbeiter-Monitoring oder Kundenbewertungssysteme einsetzt. Einige dieser Tools könnten unter die verbotenen Praktiken fallen — auch wenn der Anbieter das anders darstellt.

Wer überwacht? Die neue KI-Aufsicht

Das KI-MIG weist die zentrale Rolle der Bundesnetzagentur (BNetzA) zu — der Behörde, die bereits Telekommunikation und Energie reguliert. Innerhalb der BNetzA wird ein neues Koordinierungs- und Kompetenzzentrum eingerichtet: das KoKIVO.

Aufgaben der neuen KI-Aufsicht

Marktüberwachung: Kontrolle, ob KI-Systeme die Regeln einhalten
Bußgeldverfahren: Verhängung von Strafen bei Verstößen
Koordination: Abstimmung mit anderen deutschen Behörden und der EU
Innovation: Einrichtung von KI-Reallaboren (Regulatory Sandboxes)

In bestimmten Branchen behalten die bisherigen Fachaufsichten ihre Zuständigkeit: Die BaFin bleibt für KI im Finanzsektor zuständig, das Bundesinstitut für Arzneimittel und Medizinprodukte für KI-basierte Medizinprodukte. Das KoKIVO bei der BNetzA koordiniert diese Zuständigkeiten übergreifend.

Was droht bei Verstößen?

Der EU AI Act sieht ein dreistufiges Bußgeldsystem vor, das sich an der DSGVO orientiert — aber teilweise deutlich darüber hinausgeht:

Verbotene KI-Praktiken

Höchste Stufe
Bis zu 35 Mio. EUR oder 7 % des Jahresumsatzes

Für den Einsatz verbotener KI-Systeme (Social Scoring, verbotene Biometrie etc.). Der jeweils höhere Betrag gilt.

Hochrisiko-KI-Verstöße

Mittlere Stufe
Bis zu 15 Mio. EUR oder 3 % des Jahresumsatzes

Für Verstöße gegen Pflichten bei Hochrisiko-KI-Systemen — etwa fehlende Risikobewertung, mangelnde Dokumentation oder unzureichende menschliche Aufsicht.

Informationspflichten

Untere Stufe
Bis zu 7,5 Mio. EUR oder 1 % des Jahresumsatzes

Für falsche oder unvollständige Angaben gegenüber Aufsichtsbehörden.

Persönliche Haftung der Geschäftsführung

Geschäftsführer und Vorstände haften persönlich für die Einhaltung der KI-Regulierung in ihrem Unternehmen. Das bedeutet: Bußgelder können nicht nur gegen das Unternehmen, sondern auch gegen die verantwortlichen Personen verhängt werden. Ähnlich wie bei der DSGVO kann Unwissenheit nicht als Entschuldigung gelten — die Geschäftsleitung muss sicherstellen, dass KI-Systeme rechtskonform eingesetzt werden.

Zum Vergleich: Die DSGVO sieht maximal 20 Mio. EUR oder 4 % des Jahresumsatzes vor. Der EU AI Act geht mit 35 Mio. EUR und 7 % des Umsatzes für verbotene Praktiken deutlich darüber hinaus.

Einordnung

Die 3-Phasen-Checkliste zur Compliance

Was können Unternehmen konkret tun, um sich auf die neuen Pflichten vorzubereiten? Die folgende Checkliste gibt einen pragmatischen Fahrplan — von der Bestandsaufnahme bis zur laufenden Umsetzung.

1

KI-Inventar erstellen

Zeitrahmen: 2-4 Wochen

  • +Alle KI-Systeme erfassen, die im Unternehmen genutzt werden — auch eingebettete KI in bestehender Software (z. B. KI-Features in CRM, HR-Tools oder Buchhaltung)
  • +Jedes System nach Risikoklasse einordnen: verboten, hochriskant, begrenztes Risiko oder minimales Risiko
  • +Verantwortlichkeiten klären: Wer ist für welches KI-System zuständig?
  • +Prüfen, ob bereits verbotene Praktiken im Einsatz sind (seit Feb. 2025 strafbar)
2

Gap-Analyse durchführen

Zeitrahmen: 2-3 Wochen

  • +Bestehende Dokumentation gegen die EU-AI-Act-Anforderungen prüfen: Gibt es Risikobewertungen? Ist die menschliche Aufsicht gewährleistet?
  • +Datenschutz-Überlappungen identifizieren: Wo greifen DSGVO und AI Act gleichzeitig?
  • +Lieferanten befragen: Können deine KI-Anbieter die nötigen Nachweise liefern (Konformitätserklärung, technische Dokumentation)?
  • +Compliance-Lücken priorisieren nach Risiko und Fristdringlichkeit
3

Umsetzung starten

Zeitrahmen: Laufend

  • +Governance-Struktur aufbauen: KI-Verantwortliche benennen, Prozesse für Risikobewertung und Monitoring definieren
  • +Mitarbeitende schulen: Der EU AI Act verlangt ausdrücklich "ausreichende KI-Kompetenz" (Art. 4) bei allen Personen, die mit KI arbeiten
  • +Dokumentation aufbauen: Risikomanagement, Datenqualität, Transparenzpflichten und Protokolle der menschlichen Aufsicht
  • +Monitoring einrichten: Regelmäßige Überprüfung und Aktualisierung, da sich Standards und Interpretationen noch entwickeln

Innovation trotz Regulierung

Bundesdigitalminister Volker Wissing bezeichnete das KI-MIG als "maximal innovationsfreundlich" mit einer "schlanken KI-Aufsicht". Tatsächlich enthält das Gesetz mehrere Elemente, die gezielt Innovation fördern sollen:

KI-Reallabore (Regulatory Sandboxes)

Unternehmen können innovative KI-Systeme in einer kontrollierten Umgebung testen, bevor sie die volle Regulierung durchlaufen müssen. Die BNetzA soll diese Reallabore einrichten und begleiten.

Schlanke Aufsicht

Keine neue Behörde, sondern Integration in die bestehende Bundesnetzagentur. Das soll Bürokratie reduzieren und vorhandene Expertise nutzen.

Verhältnismäßigkeit bei KMU

Für kleine und mittlere Unternehmen sowie Start-ups sollen die Bußgelder verhältnismäßig angewendet werden. Das entbindet nicht von den Pflichten, aber reduziert das finanzielle Risiko.

Innovationsförderung als Auftrag

Schon im Namen des Gesetzes steht "Innovationsförderung". Die BNetzA soll nicht nur kontrollieren, sondern aktiv den sicheren Einsatz von KI-Innovationen unterstützen.

Kritiker sehen das anders: Die harmonisierten technischen Standards, nach denen Unternehmen ihre KI-Systeme bewerten sollen, liegen noch nicht vollständig vor. Branchenverbände fordern deshalb eine Übergangsfrist von 24 Monaten nach Veröffentlichung der Standards, bevor Bußgelder verhängt werden. Die Bundesregierung hat diesem Wunsch bisher nicht entsprochen.

Sonderfall Finanzsektor: Banken und Finanzdienstleister stehen vor einer dreifachen Regulierungsbelastung: DSGVO, DORA (Digital Operational Resilience Act, seit Januar 2025 in Kraft) und jetzt der EU AI Act. Die Integration dieser drei Regelwerke in ein konsistentes Compliance-Framework ist eine der größten Herausforderungen für die Branche.

Was das für dich bedeutet — 3 konkrete nächste Schritte

1

Diese Woche: Verantwortlichkeit klären

Bestimme eine Person in deinem Unternehmen, die das Thema KI-Compliance federführend verantwortet. Das kann der Datenschutzbeauftragte sein, muss es aber nicht. Wichtig ist: Es gibt eine klare Zuständigkeit — nicht "alle irgendwie".

2

In den nächsten 4 Wochen: KI-Inventar erstellen

Liste alle KI-Systeme auf, die in deinem Unternehmen genutzt werden. Denke dabei nicht nur an ChatGPT — sondern auch an KI-Features in CRM-Systemen, HR-Software, Buchhaltungsprogrammen und Marketing-Tools. Ordne jedes System einer Risikoklasse zu.

3

Bis Q2 2026: Gap-Analyse und Umsetzungsplan

Prüfe die identifizierten Hochrisiko-Systeme gegen die konkreten Anforderungen des EU AI Act. Erstelle einen Maßnahmenplan mit Verantwortlichkeiten und Fristen. Beziehe deine KI-Anbieter aktiv ein — sie müssen die nötige Dokumentation liefern können.

Fazit

Das KI-MIG macht die abstrakte EU-Regulierung in Deutschland konkret und durchsetzbar. Die Botschaft ist klar: KI-Regulierung ist keine Zukunftsmusik mehr, sondern geltendes Recht.

Die gute Nachricht: Wer bereits DSGVO-Compliance ernst nimmt, hat eine solide Grundlage. Viele Prozesse — Risikobewertung, Dokumentation, Datenschutz-Folgenabschätzung — lassen sich auf KI-Compliance übertragen. Die schlechte Nachricht: Das allein reicht nicht. Der EU AI Act bringt eigenständige Anforderungen mit, die über den Datenschutz hinausgehen.

Unternehmen, die jetzt handeln, verschaffen sich einen doppelten Vorteil: Sie vermeiden Bußgelder und Haftungsrisiken — und sie bauen gleichzeitig das Vertrauen ihrer Kunden, Mitarbeitenden und Partner in den verantwortungsvollen Umgang mit KI auf.

Quellen

Bundesministerium für Digitales: Kabinettsbeschluss KI-MIG (11. Februar 2026)EU-Verordnung 2024/1689 — AI Act Volltext (EUR-Lex)Bundesnetzagentur: KI-Aufsicht und KompetenzzentrumAI Act Explorer — Durchsuchbare Fassung der EU-KI-Verordnung

Weiterlesen

Strategie

Context Engineering: Warum KI den richtigen Kontext braucht

Vom Wissen über alles zum Wissen über die eine Sache, die entscheidend ist.

Strategie

Skill-Matrix 2026: Welche Kompetenzen dein Team jetzt braucht

Der evidenzbasierte Fahrplan für KI-Kompetenzaufbau im Unternehmen.

Zurück zu Strategie
Anmelden
DownloadsEinstellungenRessourcenÜber den Kompass