Mit dem Beschluss des KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG) hat der Deutsche Bundestag einen entscheidenden Schritt zur Umsetzung der europäischen KI-Verordnung (EU AI Act) vollzogen. Während der AI Act als europäische Verordnung unmittelbar in allen Mitgliedstaaten gilt, regelt das KI-MIG die nationale Aufsichtsstruktur und legt fest, welche Behörden künftig für die Überwachung und Durchsetzung verantwortlich sind.
Für Unternehmen bedeutet dies vor allem eines: Die Zeit der reinen Vorbereitung ist vorbei. Spätestens mit den ab August 2026 geltenden, weitreichenden Pflichten müssen Organisationen ihre eingesetzten KI-Systeme lückenlos kennen, rechtlich bewerten und risikokonform betreiben. Gerade für mittelständische Unternehmen (KMU) ist jetzt der strategisch richtige Zeitpunkt, eine strukturierte KI-Compliance aufzubauen.
Zuständigkeiten statt neuer Pflichten
Ein häufiges Missverständnis in der Praxis besteht darin, dass das nationale KI-MIG neue materielle Anforderungen an die Unternehmen schaffen würde. Tatsächlich stammen die verbindlichen Pflichten, Haftungsrisiken und Systemkategorisierungen ausschließlich aus dem europäischen Gesetzeswerk, dem AI Act.
Das deutsche Durchführungsgesetz regelt stattdessen die administrative Infrastruktur im Hintergrund:
Die Bundesnetzagentur übernimmt die zentrale Rolle
Eine der wesentlichsten strukturellen Neuerungen des Gesetzes ist die Bündelung umfassender Kompetenzen bei der Bundesnetzagentur (BNetzA). Diese fungiert künftig als die übergeordnete, zentrale Marktüberwachungsbehörde, sofern keine spezialgesetzlichen Zuständigkeiten für andere Einrichtungen greifen.
Daneben bleiben etablierte, branchenspezifische Bundesbehörden in ihren jeweiligen Fachdisziplinen zuständig:
- Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Zuständig für alle KI-Systeme im hochregulierten Finanz- und Bankensektor.
- Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM): Verantwortlich für KI, die als Medizinprodukt oder in Verbindung mit solchen eingesetzt wird.
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Die erste Adresse für die Bewertung technologischer Cybersicherheitsrisiken.
- Datenschutzaufsichtsbehörden: Die Landes- und Bundesbeauftragten für den Datenschutz bleiben für alle datenschutzrechtlichen und persönlichkeitsrechtlichen Kernbereiche zuständig.
Diese zersplitterte föderale Struktur birgt erhebliche Herausforderungen. Wirtschaftsverbände warnen bereits vor Rechtsunsicherheiten, falls identische KI-Systeme von unterschiedlichen Landesdatenschutzbehörden oder Bundesämtern abweichend ausgelegt und sanktioniert werden. Für Unternehmen ist eine rechtssichere, präzise interne Dokumentation und Klassifizierung daher unverzichtbar.
Interaktiver Betroffenheits-Check
Setzt Ihr Unternehmen bereits KI-Lösungen ein oder plant deren Implementierung?
Wählen Sie ein typisches Anwendungsfeld aus, um die rechtliche Einordnung und Pflichtenstruktur gemäß AI Act und KI-MIG direkt einzusehen:
KI-gestützte Bewerberauswahl
Systeme, die im HR-Bereich zur Filterung von Bewerbungen oder zur Evaluierung von Personal eingesetzt werden, gelten rechtlich als Hochrisiko-KI. Hier greifen strengste Anforderungen: Aufbau eines Risikomanagement-Systems, präzise technische Dokumentation, Protokollierungspflichten sowie die Durchführung einer datenschutzrechtlichen und grundrechtlichen Folgenabschätzung.
Transparenz und Datenschutz im unauflöslichen Fokus
Besonders praxisrelevant für fast jedes mittelständische Unternehmen sind die verschärften Transparenzpflichten des EU AI Acts. Wer Chatbots, KI-gestützte Sprachassistenten oder personalisierte, automatisierte Systeme direkt im Kundenkontakt einsetzt, muss Nutzer unmissverständlich und proaktiv darüber informieren, dass sie mit einer künstlichen Intelligenz kommunizieren. Auch KI-generierte Medienerzeugnisse (Bilder, Texte, Videos) müssen automatisiert als solche gekennzeichnet werden.
Parallel dazu gilt: Der AI Act ersetzt die DSGVO nicht. Beide Gesetzeswerke greifen lückenlos ineinander. Sobald personenbezogene Daten verarbeitet werden – was bei fast allen modernen Systemen im HR-, Vertriebs- oder Analysemarkt der Fall ist –, müssen sämtliche Grundsätze des Datenschutzes lückenlos eingehalten werden.
Typische datenschutzrechtliche Fragestellungen, die zwingend vor der Inbetriebnahme geklärt sein müssen:
- Verbleiben schützenswerte Unternehmens- und Kundendaten lokal oder fließen sie unbemerkt in externe Trainingsdatenpools großer Systemanbieter ab?
- Besteht eine tragfähige Rechtsgrundlage für das KI-gestützte Daten-Processing?
- Wurden technische und organisatorische Schutzmaßnahmen (TOM) wie Anonymisierung oder Pseudonymisierung konsequent integriert?
Ihre Roadmap zur KI-Governance
Nutzen Sie diese interaktive Checkliste, um den aktuellen Stand Ihrer KI-Governance zu bewerten. Haken Sie erledigte Schritte ab und verfolgen Sie Ihren Fortschritt:
Vollständige und transparente Erfassung aller im Unternehmen genutzten, erprobten oder geplanten KI-Anwendungen.
Einstufung jedes identifizierten Systems in die Risikoklassen des EU AI Acts (Inakzeptabel, Hochrisiko, Transparenz, Minimal).
Verbindliche Leitlinien für Mitarbeitende zur sicheren, geschäftlichen Verwendung von generativer KI (z.B. Verbot von sensiblen Daten-Prompts).
Durchführung erforderlicher Datenschutz-Folgenabschätzungen (DSFA) sowie Absicherung der Betroffenenrechte.
Regelmäßige Trainings zur KI-Kompetenz („AI Literacy“) gemäß gesetzlicher Verpflichtung zur Risikominimierung.
Häufig gestellte Fragen (FAQ) zum KI-MIG & AI Act
Der europäische EU AI Act regelt die materiell-rechtlichen Pflichten, d.h. welche Sicherheitsvorgaben, Transparenzregeln und Risikoklassen für KI-Systeme gelten. Das deutsche KI-MIG schafft die hierfür notwendige staatliche Infrastruktur, indem es festlegt, welche nationalen Behörden (wie die Bundesnetzagentur) die Einhaltung kontrollieren, Anträge bearbeiten und Sanktionen bei Pflichtverletzungen aussprechen.
Ja, absolut. Ein weit verbreiteter Irrtum ist, dass der AI Act nur KI-Entwickler betrifft. Als sogenannter „Deployer“ (Betreiber), der fertige KI-Lösungen von Drittanbietern im Arbeitsumfeld oder Kundenkontakt nutzt, treffen Sie weitreichende Pflichten. Dazu gehören unter anderem Transparenz- und Kennzeichnungspflichten, die Einhaltung von Nutzungsanweisungen und die datenschutzrechtliche Absicherung.
Der EU AI Act sieht drakonische Bußgelder vor, die das Niveau der DSGVO nochmals übersteigen. Je nach Schwere des Verstoßes (z.B. der Einsatz einer verbotenen KI) können Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes verhängt werden. Das deutsche KI-MIG ergänzt dies um gezielte, nationale Straf- und Bußgeldvorschriften für verfahrensbezogene Verstöße gegenüber den Aufsichtsbehörden.
Nein, im Gegenteil. Die KI-Compliance baut nahtlos auf der bestehenden Datenschutz-Infrastruktur auf. Sobald ein KI-System personenbezogene Daten verarbeitet, müssen die Regelungen der DSGVO und des AI Acts parallel angewendet werden. Die Einbindung Ihres Datenschutzbeauftragten in die KI-Governance-Struktur ist daher dringend empfohlen, um Synergieeffekte zu nutzen und Doppelarbeit zu vermeiden.
Bereiten Sie Ihr Unternehmen sicher auf die regulatorische Zukunft vor
Die rechtssichere Einführung von KI-Systemen im Einklang mit dem AI Act und dem neuen KI-MIG erfordert eine fundierte und präzise Abstimmung von Technik, Prozessen und Datenschutzrecht. Als Ihr externer Datenschutzbeauftragter begleitet Sie die Janus Datenschutz GmbH kompetent bei der Risikobewertung, beim Aufbau Ihrer KI-Governance-Richtlinien und bei der sicheren Schulung Ihres Teams.
JETZT kostenloses Erstgespräch vereinbaren
