Das Bundeskabinett hat am 11. Februar 2026 das KI–Marktüberwachungs- und Innovationsförderungs-Gesetz (KI-MIG) beschlossen.
Die EU hat es mit der KI-Verordnung (EU) 2024/1689 – dem sogenannten AI Act (auf Deutsch KI- VO) – erlassen. Darüber haben wir schon berichtet und bieten Seminare zu diesem Thema an. Der AI Act regelt aber nicht, welche Behörde zur Überwachung oder der Verhängung von Sanktionen zuständig ist oder – und vielleicht am Wichtigsten: An wen wende ich mich mit Fragen? Dies wird jetzt in dem KI-MIG geregelt. Das Gesetz wird vermutlich noch im zweiten Quartal dieses Jahres verabschiedet werden.
Zur Erinnerung der Fahrplan für die KI Regelungen
Seit 2. Februar 2025 gilt das Verbot bestimmter KI-Praktiken und es gilt die KI-Kompetenzpflicht (Art. 4 KI-VO). Seit dem 2. August 2025 gelten Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (z.B. Large Language Models). Ab 2. August 2026 wird die Verordnung vollständig anwendbar – dann greifen auch die Pflichten für Hochrisiko-KI-Systeme.
Aber noch einmal: Das KI-MIG ändert an Ihren Pflichten nichts – die Pflichten sind in der KI- VO geregelt.
Die Zuständigkeiten nach dem KI-MIG
Das KI-MIG klärt eine Frage, die seit zwei Jahren diskutiert wird: Wer ist in Deutschland für die Aufsicht über KI-Systeme zuständig? Die Antwort: „Es kommt darauf an“. Aber es gibt einen zentralen Anlaufpunkt.
Zentrale Zuständigkeit bei der Bundesnetzagentur
Die Bundesnetzagentur (BNetzA) wird zur zentralen Koordinierungsstelle für alles, was mit der KI-Verordnung zu tun hat und hat hierzu das „Koordinierungs- und Kompetenzzentrum für die KI-Verordnung“ (KoKIVO (wer denkt sich solche Abkürzungen aus?) eingerichtet. Das KoKIVO dient der Sammlung von Know-how, soll für einheitliche Rechtsauslegung sorgen und für Unternehmen einen KI-Service-Desk anbieten. Man wird abwarten müssen.
Daneben wird es eine „Unabhängige KI-Marktüberwachungskammer“ (UKIM) geschaffen, die für besonders sensible Bereiche der Anwendung von KI zuständig ist – Biometrie, Strafverfolgung, Migration, Grenzkontrolle.
Wenn Sie KI- Systeme für regulierte Branchen betreiben oder anbieten (Finanzwesen, Medizin, kritische Infrastruktur), müssen Sie zusätzlich die Anforderungen der jeweiligen Sektoraufsicht (BAFIN, etc.) im Blick haben.
Die Datenschutzbehörden wollten die KI-Aufsicht selbst übernehmen und warnen nun vor Doppelzuständigkeiten, weil KI-Systeme fast immer auch personenbezogene Daten verarbeiten. In der Praxis werden sich die Unternehmen jetzt mit beiden Behörden auseinandersetzen müssen – BNetzA für die KI-Verordnung, Datenschutzaufsicht für die DSGVO.
Sanktionen
Die KI-Verordnung sieht erhebliche Bußgeldrahmen vor. Das KI-MIG regelt die nationale Durchsetzung. Aber wie realistisch ist das Risiko für ein „IT-KMU“?
Art. 99 der KI-Verordnung sieht drei Stufen vor:
- Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes für den Einsatz verbotener KI-Praktiken.
- Bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes für Verstöße gegen die Anforderungen an Hochrisiko-KI-Systeme und andere wesentliche Pflichten.
- Bis zu 7,5 Mio. EUR oder 1,5 % des weltweiten Jahresumsatzes für die Bereitstellung falscher oder unvollständiger Informationen an Behörden.
Für KMUs und Startups gelten reduzierte Höchstbeträge – es ist jeweils der niedrigere der beiden Werte maßgeblich. Das ist ein kleines Zugeständnis, aber bei einem Unternehmen mit 5 Mio. EUR Jahresumsatz sind 3 % immer noch 150.000 EUR.
Das KI-MIG: Ordnungswidrigkeiten nach deutschem Recht
§ 15 KI-MIG-E regelt, dass Verstöße gegen die KI-Verordnung als Ordnungswidrigkeiten geahndet werden. Die Zuständigkeit liegt bei den jeweiligen Marktüberwachungsbehörden, also in den meisten Fällen bei der BNetzA. Über § 30 OWiG können auch gegen juristische Personen Geldbußen verhängt werden.
Daneben schafft das KI-MIG mit § 8 ein Beschwerdemanagementsystem: Jeder – Privatpersonen wie Unternehmen – kann mutmaßliche Verstöße gegen die KI-Verordnung bei der BNetzA melden. Das ist ein niedrigschwelliger Einstieg in die Durchsetzung und bedeutet: Auch Wettbewerber können Beschwerden einreichen.
Meine Einschätzung
Ähnlich wie im Rahmen der DSGVO wird es länger dauern, bis die Behörden sich selbst organsiert haben. Und wie bei der DSGVO wird es eher um Beratung und Sensibilisierung gehen als um Sanktionen gegenüber KMUs.
Das heißt aber nicht, dass Sie die Sache ignorieren sollten. Drei Risiken sind real:
Erstens, das Beschwerderisiko: Ein unzufriedener Kunde oder ein Wettbewerber meldet bei der BNetzA, dass Ihr KI-System die Transparenzpflichten nicht einhält. Die Behörde muss dem nachgehen.
Zweitens, das Haftungsrisiko: Unabhängig von Bußgeldern können Verstöße gegen die KI-Verordnung zivilrechtliche Haftung auslösen – gegenüber Kunden, Nutzern oder Dritten. Insbesondere in Kombination mit der neuen Produkthaftungsrichtlinie, die parallel kommt.
Drittens, das Reputationsrisiko: Gerade für IT-Unternehmen, die KI-Lösungen verkaufen, ist Vertrauen ein Geschäftsmodell. Ein öffentlich gewordener Verstoß gegen die KI-Verordnung wirkt sich direkt auf die Kundenbeziehung aus.
Accountability
Das Unsägliche ist wieder die von EU stammende Idee der Accountability also der Pflicht, durch Dokumentationen zu belegen, dass man sich mit den Gesetzen auseinandergesetzt hat, die bestimmte Risiken beherrschbar machen wollen. Ich gebe noch einmal das Beispiel: Nach der Straßenverkehrsordnung haftet, wer falsch links abbiegt und dabei erwischt wird. Nach der Accountability muss man erst eine Dokumentation anfertigen, die sich ausführlich mit den Gefahren des Linksabbiegens befasst und dann darf man losfahren (und links abbiegen).
Wir kommen in anderen Blogs dazu, was das für Sie bedeutet.
