KI-Marktüberwachungsgesetz (KI-MIG): Folgen für Unternehmen

KI-Marktüberwachungsgesetz (KI-MIG): Folgen für Unternehmen

Am 11. Februar 2026 hat das Bundeskabinett mit dem Entwurf des KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG) einen entscheidenden Meilenstein für die Regulierung Künstlicher Intelligenz in Deutschland gesetzt. Das Gesetz dient der Durchführung der europäischen KI-Verordnung und legt fest, wie die Aufsicht über KI-Systeme hierzulande strukturiert wird. Ziel der Bundesregierung ist dabei eine innovationsfreundliche und bürokratiearme Umsetzung, die den Wirtschaftsstandort stärken soll, ohne zusätzliche nationale Hürden aufzubauen. Doch klappt das?

Inhalt

  1. Die neue Aufsichtsstruktur: Ein hybrider Ansatz
  2. Unterstützung für KMU und Start-ups
  3. Sanktionen und Bußgelder
  4. Rechtssicherheit im Schatten fehlender Standards
  5. Der Kompetenzstreit der Datenschutzaufsichtsbehörden
  6. Schlussfolgerungen für Unternehmen
  7. Fazit

Die neue Aufsichtsstruktur: Ein hybrider Ansatz

Die Bundesregierung setzt bei der Marktüberwachung auf einen sogenannten hybriden Ansatz, um Doppelstrukturen zu vermeiden und bestehende Expertise zu nutzen. Die Bundesnetzagentur (BNetzA) fungiert dabei als zentrales Koordinierungs- und Kompetenzzentrum (KoKIVO) sowie als zentrale Anlaufstelle für die Europäische Union. Während die BNetzA KI-Expertise bündelt und in neuen Bereichen ohne bestehende Marktüberwachung einschreitet, bleiben etablierte Sektor-Behörden wie die BaFin für den Finanzbereich oder das BSI für Cybersicherheitsfragen zuständig. Für den sensiblen Bereich der Strafverfolgung und bestimmte Hochrisiko-Anwendungen wird zudem eine völlig unabhängige KI-Marktüberwachungskammer bei der Bundesnetzagentur eingerichtet.

Diese Struktur soll Doppelarbeiten vermeiden, birgt jedoch das Risiko neuer Abgrenzungskonflikte, insbesondere da die Landesdatenschutzbehörden weiterhin die Aufsicht über öffentliche Stellen der Länder behalten. Kritiker befürchten zudem, dass die zentrale Rolle der BNetzA die föderale Eigenstaatlichkeit berühren könnte. Denn damit greift eine Bundesbehörde nun auch in die Überwachung von Landesverwaltungen und der Landespolizei ein.

Unterstützung für KMU und Start-ups

Ein Kernaspekt des KI-MIG ist die aktive Förderung von Innovationen, um Unternehmen den rechtskonformen Einsatz von KI zu erleichtern. Die Bundesnetzagentur erhält den Auftrag, mindestens ein KI-Reallabor zu errichten, in dem innovative Anwendungen in einem rechtssicheren Rahmen unter realen Bedingungen erprobt werden können. Speziell für kleine und mittlere Unternehmen (KMU) sowie Start-ups wird ein KI-Service Desk als niedrigschwellige Anlaufstelle geschaffen. Ergänzend dazu sind Schulungs- und Vernetzungsangebote vorgesehen, die den Wissensaufbau im gesamten KI-Ökosystem fördern sollen.

Sanktionen und Bußgelder

Das KI-Marktüberwachungsgesetz regelt zudem die erforderlichen Vorschriften für Bußgeldverfahren, wobei die Marktüberwachungsbehörden Verstöße gegen die KI-Verordnung sanktionieren können. Während sich die wesentlichen Pflichten und deren Sanktionierung direkt aus der EU KI-Verordnung ergeben, präzisiert das KI-MIG nationale Zuständigkeiten für Ordnungswidrigkeiten. Sofern es sich um spezifische verfahrensrechtliche Verstöße handelt, ist mit Geldbußen von bis zu fünfzigtausend Euro zu rechnen. Flankierend dazu wird das Hinweisgeberschutzgesetz angepasst, sodass auch Meldungen über Verstöße gegen die KI-Verordnung unter den gesetzlichen Schutz für Whistleblower fallen.

Rechtssicherheit im Schatten fehlender Standards

Trotz des politischen Ziels der Innovationsförderung bleibt die praktische Umsetzung für Unternehmen von erheblichen Unsicherheiten geprägt. Ein zentrales Problem stellt der Rückstand bei der Standardisierung dar, da harmonisierte europäische Normen für Hochrisiko-KI-Systeme teilweise erst Mitte 2026 oder 2027 erwartet werden. Ohne diese technischen Standards müssen Unternehmen ihre Konformität eigenständig nachweisen, was laut Wirtschaftsverbänden die Compliance-Kosten massiv in die Höhe treibt. Der Zeitplan ist zudem äußerst ambitioniert, da die gesetzliche Frist zur Benennung der Aufsichtsbehörden eigentlich bereits im August 2025 abgelaufen war. Der nun vorliegende Entwurf muss erst noch das parlamentarische Verfahren durchlaufen.

Der „KI-Beauftragte“ -

Ihre Lösung für rechtssichere KI-Compliance

Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt. 

Jetzt unverbindliches Angebot anfordern

Der Kompetenzstreit der Datenschutzaufsichtsbehörden

Ein wesentlicher Streitpunkt bleibt weiterhin also die Einordnung der Datenschutzbehörden, die im ursprünglichen Referentenentwurf zugunsten einer neu zu schaffenden Unabhängigen KI-Marktüberwachungskammer (UKIM) bei der BNetzA zurückgestellt wurden. Landesdatenschutzaufsichtsbehörden kritisieren, dass dies die Vorgaben der KI-Verordnung missachten könnte, die für grundrechtssensible Bereiche wie die Strafverfolgung eigentlich die Expertise von Datenschutzaufsichtsbehörden vorsieht.

Diese institutionelle Entscheidung gegen eine stärkere Rolle der Datenschützer wird für Unternehmen zur Herausforderung. Denn Sie sind es, die die Anforderungen der DSGVO und der KI-Verordnung parallel erfüllen und zwischen verschiedenen Aufsichtskulturen navigieren müssen. Die Gefahr einer uneinheitlichen Rechtsauslegung bleibt somit trotz der Schaffung des Koordinierungszentrums bestehen.

Schlussfolgerungen für Unternehmen

Für Unternehmen bedeutet das KI-MIG in erster Linie Klarheit über ihre behördlichen Ansprechpartner, da bekannte Aufsichtsstrukturen weitgehend erhalten bleiben. Dennoch dürfen Unternehmen trotz des laufenden Gesetzgebungsverfahrens nicht abwarten. Wesentliche Verbote bestimmter KI-Praktiken und die Pflicht zur KI-Kompetenz gelten bereits seit 2025 unmittelbar. Weitere Pflichten kommen 2026 hinzu.

Der wichtigste Schritt besteht nun in der Etablierung einer integrierten KI-Governance, die Datenschutz, Informationssicherheit und Compliance nicht getrennt voneinander betrachtet. Es empfiehlt sich, frühzeitig eine Risikoklassifizierung aller eingesetzten Systeme vorzunehmen und die Beratungsangebote beispielsweise des KI-Service Desks wahrzunehmen. Insbesondere im Personalwesen sollten Betriebe ihre Systeme auf Hochrisiko-Eigenschaften analysieren, da hier ab August 2026 strenge Dokumentations- und Transparenzpflichten greifen, deren Missachtung hohe Bußgelder nach sich ziehen kann.

Fazit

Das KI-Marktüberwachungsgesetz (KI-MIG) definiert den institutionellen Rahmen der deutschen KI-Aufsicht, beseitigt jedoch nicht die materiell-rechtlichen Herausforderungen für Unternehmen. Die eigentliche Komplexität liegt weniger in der Zuständigkeitsverteilung als in der praktischen Umsetzung der europäischen Vorgaben unter Bedingungen unvollständiger Standardisierung und paralleler Aufsichtskulturen. Rechtssicherheit entsteht daher nicht automatisch durch gesetzliche Strukturentscheidungen, sondern durch belastbare unternehmensinterne Governance.

Während die BNetzA zur digitalen Superbehörde aufsteigt, müssen Unternehmen die strategische Aufgabe bewältigen, komplexe europäische Vorgaben in ihre bestehenden Prozesse einzubauen. KI-Governance muss interdisziplinär gedacht und frühzeitig implementiert werden. Die parallele Einhaltung von KI-Verordnung, DSGVO, Produktsicherheitsrecht und branchenspezifischen Vorgaben erfordert klare Verantwortlichkeiten, belastbare Dokumentationsprozesse und eine konsistente Risikoklassifizierung sämtlicher eingesetzter oder entwickelter Systeme. Wer hier strukturiert vorgeht, reduziert nicht nur Haftungs- und Bußgeldrisiken, sondern schafft zugleich Investitions- und Planungssicherheit.

Wir beraten Unternehmen umfassend bei der rechtssicheren Implementierung von KI-Systemen. Dies umfasst insbesondere die regulatorische Einordnung und Risikoklassifizierung nach der KI-Verordnung, die Entwicklung und Implementierung belastbarer KI-Governance-Strukturen, die Verzahnung mit Datenschutz- und Informationssicherheitsanforderungen sowie die Erstellung praxisnaher Richtlinien und Dokumentationskonzepte. Darüber hinaus begleiten wir Unternehmen in behördlichen Verfahren, unterstützen bei internen Compliance-Audits und übernehmen auf Wunsch die Funktion eines externen KI-Beauftragten.

KI-Compliance aus einer Hand

Künstliche Intelligenz rechtssicher nutzen & entwickeln
  • KINAST KI-Beratung 
  • KINAST externer KI-Beauftragter
  • KINAST KI-Kompetenz-Schulungen
Jetzt unverbindliches Angebot anfordern

Das könnte Sie auch interessieren..

Im Trend

KI-Marktüberwachungsgesetz (KI-MIG): Folgen für Unternehmen
KI-Marktüberwachungsgesetz (KI-MIG): Folgen für Unternehmen
Analysiert KI bald Gerichtsurteile?
Analysiert KI bald Gerichtsurteile?
Europas große Antwort auf digitale Risiken: der Cyber Resilience Act
Europas große Antwort auf digitale Risiken: der Cyber Resilience Act 
Der erste Entwurf des EU-Verhaltenskodex zur Kennzeichnung von Deepfakes und KI-Texten
Der erste Entwurf des EU-Verhaltenskodex zur Kennzeichnung von Deepfakes und KI-Texten