Deutschland hat jetzt ein eigenes KI-Gesetz. Am 11. Februar 2026 hat das Bundeskabinett das KI-MIG (KI-Marktüberwachungs- und Innovationsförderungsgesetz) beschlossen. Das Gesetz übersetzt die EU-KI-Verordnung in konkretes deutsches Recht mit konkreten Zuständigkeiten. Die Bundesnetzagentur wird zur zentralen KI-Aufsichtsbehörde. Die BaFin übernimmt die Aufsicht über KI im Finanzsektor. Das Bundeskartellamt wird bei wettbewerbsrelevanten Fragen eingebunden.

Für Unternehmen in Deutschland ist das keine abstrakte Brüsseler Politik mehr. Das KI-MIG benennt echte Behörden mit echten Durchsetzungsbefugnissen, richtet einen KI-Service-Desk für Compliance-Fragen ein und schafft Reallabore, in denen Unternehmen KI-Systeme unter Aufsicht testen können. Das Gesetz muss noch durch Bundestag und Bundesrat, aber der Kabinettsentwurf steht.

Hier ist, was sich konkret ändert.

Weiterlesen: EU AI Act 2026: Was Unternehmen bis August umsetzen müssen

Wer beaufsichtigt was: Die deutsche KI-Aufsichtslandschaft

Das KI-MIG schafft keine neue Mega-Behörde. Stattdessen verteilt es die KI-Aufsicht auf bestehende Regulierer, mit der Bundesnetzagentur (BNetzA) als Zentrale. Bundesdigitalminister Dr. Karsten Wildberger formulierte es so: “Wir bauen keine zusätzliche bürokratische Behörde auf, sondern nutzen bestehende Strukturen.”

Bundesnetzagentur: Die zentrale Koordinierungsstelle

Die BNetzA übernimmt vier Rollen gleichzeitig:

  • Marktüberwachungsbehörde für KI-Systeme, für die kein sektorspezifischer Regulierer zuständig ist
  • Notifizierende Behörde, die Konformitätsbewertungsstellen akkreditiert
  • Zentrale Kontaktstelle für die Europäische Kommission und das EU AI Office
  • Beschwerdestelle, bei der jeder nicht-konforme KI-Systeme melden kann

In der Praxis deckt die BNetzA damit das breiteste Feld ab: biometrische Systeme, KI in kritischen Infrastrukturen, Bildungs-KI, Arbeitsplatz-KI, öffentliche Verwaltung und Strafverfolgung. Wenn Ihr KI-System nicht eindeutig in den Zuständigkeitsbereich eines anderen Regulierers fällt, ist die BNetzA Ihre Anlaufstelle.

Die Behörde fängt nicht bei null an. Sie beaufsichtigt bereits die Umsetzung des Digital Services Act für Plattformen wie Meta, YouTube und TikTok. Das KI-Team baut auf dieser Infrastruktur auf.

BaFin: KI im Finanzsektor

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird zur Marktüberwachungsbehörde für Hochrisiko-KI-Systeme im regulierten Finanzbereich. Kreditscoring-Algorithmen, Versicherungstarifmodelle, Betrugserkennungssysteme und algorithmischer Handel fallen unter die BaFin-Aufsicht.

Das ist relevant, weil Finanz-KI bereits durch MaRisk (Mindestanforderungen an das Risikomanagement) und BAIT (Bankaufsichtliche Anforderungen an die IT) reguliert wird. Das KI-MIG fügt die spezifischen Anforderungen der EU-KI-Verordnung hinzu, aber Unternehmen im Finanzsektor haben es mit einem Regulierer zu tun, der ihren Technologie-Stack bereits versteht.

KoKIVO: Die Koordinierungszentrale

Das KI-MIG richtet das KoKIVO ein (Koordinierungs- und Kompetenzzentrum für die KI-Regulierung), angesiedelt bei der Bundesnetzagentur. Das Zentrum koordiniert alle KI-bezogenen Regierungsaktivitäten und liefert branchenspezifische Orientierungshilfen.

Das KoKIVO betreibt auch den KI-Service-Desk: eine erste Anlaufstelle, bei der Unternehmen, insbesondere KMU und Start-ups, Compliance-Fragen stellen und praktische Hilfe bekommen können. Kein Durchsetzungsorgan, sondern eine regulatorische Beratungsstelle.

Bestehende Fachbehörden behalten ihre Zuständigkeit

Für KI in Produkten, die bereits unter EU-Harmonisierungsrecht fallen, bleiben die bestehenden sektorspezifischen Behörden zuständig. Medizinprodukte-KI bleibt beim BfArM. Maschinen-KI bleibt bei den Produktsicherheitsbehörden. Das KI-MIG vermeidet bewusst Zuständigkeitskonflikte.

Fristen: Was wann passiert

Die EU-KI-Verordnung tritt stufenweise in Kraft, und das KI-MIG folgt demselben Zeitplan.

DatumWas passiert
2. Februar 2025Verbote für KI-Praktiken mit unakzeptablem Risiko bereits in Kraft
Juli 2025KI-Service-Desk gestartet; Leitlinien zur KI-Kompetenz veröffentlicht
2. August 2026Pflichten für Hochrisiko-KI-Systeme durchsetzbar; Transparenzregeln für alle KI-Systeme
2. August 2027Verlängerte Frist für Hochrisiko-KI in Produkten unter bestehendem EU-Harmonisierungsrecht

Der 2. August 2026 ist das Datum, das die meisten Unternehmen rot markieren sollten. Ab diesem Tag muss jedes Hochrisiko-KI-System in Deutschland den vollen Anforderungskatalog der EU-KI-Verordnung erfüllen: Risikomanagementsysteme, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Genauigkeits- und Robustheitsstandards sowie Cybersicherheitsmaßnahmen.

Deutschland hat die ursprüngliche EU-Frist vom 2. August 2025 zur Benennung nationaler Behörden verpasst. Deshalb durchläuft das KI-MIG den parlamentarischen Prozess im Eilverfahren. Das Gesetz braucht noch die Zustimmung von Bundestag und Bundesrat, aber der parteiübergreifende Konsens für innovationsfreundliche Regulierung macht eine Blockade unwahrscheinlich.

Weiterlesen: Singapurs Agentic AI Governance Framework: Was der erste globale Leitfaden richtig macht

Die Innovationsseite: Reallabore und Fördermaßnahmen

Das “I” in KI-MIG steht für Innovationsförderung, und das Gesetz enthält konkrete Maßnahmen jenseits reiner Compliance-Pflichten.

KI-Reallabore

Die Bundesnetzagentur richtet Reallabore ein, in denen Unternehmen innovative KI-Anwendungen unter vereinfachten Bedingungen testen können. Die Regeln:

  • Niedrige Zugangshürden
  • Digitalisierte Antragsverfahren
  • Verbindliche Rückmeldung innerhalb von 30 Tagen, ob die KI-Anwendung den Anforderungen entspricht

Der letzte Punkt ist entscheidend. Statt monatelang zu rätseln, ob das eigene KI-System als Hochrisiko eingestuft wird, bekommt man innerhalb eines Monats eine belastbare regulatorische Auskunft. Für Start-ups, die schnell iterieren, beseitigt das eine massive Unsicherheitsquelle.

Bis August 2026 muss Deutschland mindestens ein operatives KI-Reallabor haben. Die EU-KI-Verordnung fordert das in allen Mitgliedstaaten, aber das KI-MIG geht weiter und definiert die Betriebsparameter.

Unterstützung für KMU und Start-ups

Über die Reallabore hinaus schreibt das KI-MIG gezielte Schulungs- und Vernetzungsmaßnahmen für kleine und mittlere Unternehmen vor. Der KI-Service-Desk richtet sich speziell an Unternehmen ohne eigene Regulierungsabteilung. Das ist kein Nebensache: Der deutsche Mittelstand stellt 99 % aller Unternehmen, und viele setzen KI ein, ohne dedizierte Compliance-Teams zu haben.

Weiterlesen: Fachkräftemangel und KI-Agenten: Warum Deutschlands fehlende Arbeitskräfte kein Technologieproblem sind

Bußgelder: Die Zahlen, die zählen

Das KI-MIG übernimmt den Bußgeldrahmen der EU-KI-Verordnung direkt. Keine deutschen Sonderrabatte.

Art des VerstoßesMaximales Bußgeld
Einsatz verbotener KI-Praktiken (Social Scoring, manipulative Systeme)35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes
Nicht-Einhaltung der Hochrisiko-KI-Pflichten15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes
Falsche Angaben gegenüber Behörden7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes

Für KMU und Start-ups gilt jeweils die niedrigere Obergrenze (Festbetrag oder Prozentsatz). Ein Unternehmen mit 10 Millionen Euro Umsatz riskiert maximal 300.000 Euro für Hochrisiko-Verstöße, nicht 15 Millionen. Schmerzhaft genug, aber verhältnismäßig.

Die Durchsetzungsfrage bleibt offen: Das KI-MIG hat über 1.000 Änderungsvorschläge durchlaufen. Der Bußgeldrahmen blieb unangetastet, aber die praktische Frage ist, wie aggressiv die Bundesnetzagentur im ersten Jahr durchsetzen wird. Deutsche Regulierer setzen erfahrungsgemäß zunächst auf Verwarnungen und Nachbesserungsfristen. Bei der DSGVO kamen nennenswerte Bußgelder erst 18 bis 24 Monate nach Inkrafttreten.

Was Unternehmen jetzt tun sollten

Wenn Sie in Deutschland KI-Systeme betreiben, sind das die konkreten Schritte bis August 2026.

1. Zuständige Behörde identifizieren

Ordnen Sie jedes KI-System der richtigen Aufsichtsbehörde zu. Finanzdienstleistungen: BaFin. Regulierte Produkte (Medizinprodukte, Maschinen): bestehender Produktregulierer. Alles andere: Bundesnetzagentur. Den eigenen Regulierer zu kennen, bevor die Durchsetzung beginnt, heißt Fragen über den richtigen Kanal stellen zu können.

2. KI-Service-Desk nutzen

Der Desk ist seit Juli 2025 in Betrieb. Wenn Sie unsicher sind, ob Ihr KI-System als Hochrisiko gilt, fragen Sie. Eine dokumentierte regulatorische Auskunft vor Beginn der Durchsetzung schafft eine belastbare Compliance-Position. Kostenlos, und genau dafür gedacht.

3. Reallabor-Platz beantragen

Wenn Sie eine neuartige KI-Anwendung entwickeln und die regulatorische Einordnung unklar ist, bewerben Sie sich für das KI-Reallabor-Programm. Die 30-Tage-Rückmeldegarantie liefert schneller Klarheit als jedes externe Rechtsgutachten.

4. KI-Inventar erstellen

Falls Sie noch nicht jedes KI-System erfasst haben, das Ihr Unternehmen entwickelt, einkauft oder einsetzt: jetzt anfangen. Einschließlich Drittanbieter-KI in SaaS-Tools, CRM-Systemen und Analytics-Plattformen. Viele Unternehmen entdecken drei- bis fünfmal mehr KI-Systeme als erwartet, sobald sie über die eigene Entwicklungsabteilung hinausschauen.

Weiterlesen: KI-Agent-Wildwuchs: Warum die Hälfte Ihrer Agenten keine Aufsicht hat

5. Betriebsrat einbeziehen

Das KI-MIG ändert nicht die deutschen Mitbestimmungsgesetze, aber der Einsatz von KI am Arbeitsplatz löst bestehende Mitbestimmungsrechte nach dem Betriebsverfassungsgesetz aus. Wenn Ihr KI-System die Leistung von Beschäftigten überwacht, Bewerbungen sichtet oder Entscheidungen automatisiert, die Arbeitsbedingungen betreffen, hat der Betriebsrat Mitbestimmungsrechte. Beginnen Sie dieses Gespräch, bevor die Compliance-Frist zusätzlichen Druck erzeugt.

Deutschland im europäischen Vergleich

Deutschland ist nicht das erste Land, das handelt. Frankreich hat die CNIL (Datenschutzbehörde) benannt und ein eigenes KI-Büro innerhalb der Direction Generale des Entreprises eingerichtet. Italien hat die Agenzia per l’Italia Digitale beauftragt. Spanien hat mit AESIA bereits im Dezember 2023 eine komplett neue KI-Behörde gegründet.

Deutschlands Ansatz fällt aus zwei Gründen auf. Erstens: Der bewusste Verzicht auf eine neue Behörde. Die “schlanke Regulierung” nutzt die bestehende Infrastruktur der Bundesnetzagentur, was schnellere Betriebsbereitschaft verspricht. Zweitens: Das verbindliche Reallabor mit 30-Tage-Rückmeldepflicht ist konkreter als das, was die meisten anderen Mitgliedstaaten bisher angekündigt haben.

Das Risiko liegt in der Koordinierung. Die Verteilung der KI-Aufsicht auf BNetzA, BaFin, Bundeskartellamt und Landesdatenschutzbehörden schafft Komplexität. Das KoKIVO soll regulatorische Fragmentierung verhindern, aber ob das in der Praxis funktioniert, muss sich zeigen.

Häufig gestellte Fragen

Was ist das KI-MIG?

Das KI-MIG (KI-Marktüberwachungs- und Innovationsförderungsgesetz) ist Deutschlands nationales Umsetzungsgesetz für die EU-KI-Verordnung. Am 11. Februar 2026 vom Bundeskabinett beschlossen, benennt es die Bundesnetzagentur als zentrale KI-Aufsichtsbehörde, die BaFin für Finanz-KI und richtet Reallabore sowie einen KI-Service-Desk ein.

Wer ist Deutschlands KI-Aufsichtsbehörde?

Die Bundesnetzagentur ist unter dem KI-MIG Deutschlands zentrale KI-Aufsichtsbehörde. Sie fungiert als Marktüberwachungsbehörde, notifizierende Behörde, EU-Kontaktstelle und Beschwerdestelle. Die BaFin beaufsichtigt KI im Finanzsektor, bestehende Fachbehörden behalten ihre Zuständigkeit für KI in regulierten Produkten.

Welche Bußgelder drohen unter dem KI-MIG?

Das KI-MIG übernimmt die Bußgeldstufen der EU-KI-Verordnung: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken, 15 Millionen Euro oder 3 % für Verstöße gegen Hochrisiko-Pflichten, 7,5 Millionen Euro oder 1 % für falsche Angaben gegenüber Behörden. KMU und Start-ups unterliegen proportional niedrigeren Obergrenzen.

Wann tritt das KI-MIG in Kraft?

Das KI-MIG wurde am 11. Februar 2026 vom Bundeskabinett beschlossen und muss noch durch Bundestag und Bundesrat. Die zentrale Compliance-Frist ist der 2. August 2026, ab dem Hochrisiko-KI-Pflichten und Transparenzanforderungen in Deutschland durchsetzbar werden.

Was sind KI-Reallabore?

KI-Reallabore sind regulatorische Sandkästen der Bundesnetzagentur, in denen Unternehmen innovative KI-Anwendungen unter vereinfachten Bedingungen testen können. Sie bieten niedrige Zugangshürden, digitalisierte Verfahren und verbindliche regulatorische Rückmeldung innerhalb von 30 Tagen. Deutschland muss bis August 2026 mindestens ein operatives Reallabor haben.

Das KI-MIG ist die bedeutendste deutsche KI-Regulierung. Wir verfolgen Compliance-Entwicklungen in ganz Europa. Abonnieren Sie unseren Newsletter.