Lange war Deutschland bei einer einfachen Frage ohne klare Antwort: Wer setzt die EU-KI-Verordnung hier eigentlich durch? Seit dem 11. Juni 2026 gibt es eine: Der Bundestag hat das nationale Umsetzungsgesetz beschlossen und die Bundesnetzagentur zur zentralen KI-Aufsicht bestimmt. Das Kernstück trägt das Kürzel KI-MIG.
Damit endet eine lange Hängepartie – aber das Gesetz ist Stand 26. Juni 2026 noch nicht in Kraft. Wir erklären, was das KI-MIG regelt, wer künftig was beaufsichtigt, welche Fristen und Bußgelder gelten und was das für regulierte Unternehmen in Bau, Gesundheit, Recht und Finanzen heißt.
Was ist das KI-MIG?
Das KI-MIG ist das „KI-Marktüberwachungs- und Innovationsförderungsgesetz" – Artikel 1 des „Gesetzes zur Durchführung der Verordnung (EU) 2024/1689". Es setzt die EU-KI-Verordnung in deutsches Recht um und regelt vor allem, welche Behörden KI in Deutschland beaufsichtigen. Der Bundestag beschloss es am 11. Juni 2026; die Zustimmung des Bundesrats stand am 26. Juni 2026 noch aus.
Wichtig zur Einordnung: Das KI-MIG ist kein eigenständiges Gesetz, sondern der zentrale Artikel eines Mantelgesetzes. Die EU-KI-Verordnung gilt als Verordnung unmittelbar; die Mitgliedstaaten müssen aber die nationale Durchsetzung organisieren – Behörden benennen, Verfahren regeln, Sanktionen ausgestalten. Genau das leistet das KI-MIG. Es schafft also nicht die materiellen Pflichten neu, sondern die Infrastruktur, mit der diese Pflichten in Deutschland durchgesetzt werden.
Das unterscheidet diesen Beitrag bewusst von unserer Betreiber-Checkliste zu den Transparenzpflichten nach Artikel 50: Dort geht es um die EU-Ebene – welche Pflichten ab dem 2. August 2026 gelten. Hier geht es um die nationale Ebene – wer sie beaufsichtigt und durchsetzt.
Wer beaufsichtigt künstliche Intelligenz in Deutschland?
Zentrale Stelle wird die Bundesnetzagentur – als Marktüberwachungs- und notifizierende Behörde und als Koordinierungs- und Kompetenzzentrum (KoKIVO). „Zentral" heißt aber nicht „ausschließlich": Die eigentliche Marktüberwachung bleibt teils bei sektoralen Fachbehörden, soweit Aufgaben nicht anderen Fachbehörden zugewiesen sind. Für bestimmte grundrechtssensible Hochrisiko-Systeme entsteht zusätzlich eine unabhängige KI-Marktüberwachungskammer.
Das Bundestags-Textarchiv formuliert es nüchtern: Die Bundesnetzagentur werde „als Marktüberwachungsbehörde für die Einhaltung der KI-Verordnung benannt, soweit diese Aufgabe nicht anderen Fachbehörden zugewiesen" sei. Die zugespitzte Lesart „zentrale Marktüberwachungsbehörde", die durch viele Schlagzeilen ging – etwa bei heise online –, trifft die Stoßrichtung, verdeckt aber das hybride Modell: Produkt- und sektorspezifische Aufsicht bleibt dort, wo bereits Fachkompetenz sitzt.
Das Koordinierungs- und Kompetenzzentrum (KoKIVO)
Innerhalb der BNetzA richtet das KI-MIG das Koordinierungs- und Kompetenzzentrum für die KI-Verordnung (KoKIVO) ein. Es bündelt behördenübergreifend Expertise und koordiniert die Zusammenarbeit der zuständigen nationalen Marktüberwachungs- und notifizierenden Behörden – damit horizontale Rechtsfragen einheitlich beantwortet werden und nicht jede Fachbehörde eine eigene Linie fährt. Da das Gesetz noch nicht in Kraft ist, spricht die BNetzA hier von vorgesehenen Strukturen.
Die unabhängige KI-Marktüberwachungskammer
Für bestimmte – besonders grundrechtssensible – Hochrisiko-KI-Systeme soll bei der BNetzA eine unabhängige, weisungsfreie KI-Marktüberwachungskammer entstehen. Sie hat drei Mitglieder unter Vorsitz des BNetzA-Präsidenten und überwacht unter anderem Biometrie in der Strafverfolgung, Grenz- und Migrationskontrolle sowie Justiz und Demokratie. Es geht ausdrücklich nur um bestimmte Hochrisiko-Systeme; die Masse bleibt bei den Fachbehörden. Die naheliegende Begründung – die Grundrechtssensibilität dieser Anwendungen – folgt der Logik der EU-Verordnung; als wörtliche Aussage des Bundestags ist sie nicht belegt.
KI-Service-Desk für Unternehmen
Daneben betreibt die Bundesnetzagentur einen KI-Service-Desk als Anlaufstelle für Unternehmen – gedacht vor allem für kleine und mittlere Unternehmen und Start-ups, die Fragen zur Einstufung, Dokumentation und Konformität ihrer KI-Systeme haben. Der Service-Desk ist eine Funktion der BNetzA insgesamt, nicht des KoKIVO.
Ab wann gilt was? Fristen und Übergangszeiten
Laut Bundesnetzagentur greift die Marktüberwachung ab dem 2. August 2026 für Hochrisiko-KI nach Anhang III und ab dem 2. August 2027 nach Anhang I. Diese Termine markieren, ab wann die Marktüberwachungs-Zuständigkeit für Hochrisiko-Systeme formal besteht – nicht zwangsläufig, ab wann die überwachten materiellen Pflichten selbst gelten; Letztere verschiebt der weiter unten erläuterte Digital Omnibus voraussichtlich auf den 2. Dezember 2027 (Anhang III) und 2. August 2028 (Anhang I). Die EU-Frist zur Behördenbenennung – der 2. August 2025 nach Art. 70 der KI-Verordnung – war da längst verstrichen. Deutschland war also rund ein Jahr spät dran, was nicht zuletzt am Regierungswechsel 2025 lag; der Regierungsentwurf wurde erst am 11. Februar 2026 im Kabinett beschlossen.
Konkret verlangt Art. 70 Abs. 2 der KI-Verordnung, dass die Mitgliedstaaten bis zum 2. August 2025 öffentlich machen, wie ihre zuständigen Behörden und zentralen Anlaufstellen elektronisch erreichbar sind. Diese Benennung – das, was das KI-MIG nun liefert – ist Teil der Governance-Schicht der Verordnung.
Der Digital Omnibus verschiebt die Hochrisiko-Pflichten – nicht den Aufsichtstermin
Eine häufige Verwechslung lohnt die Klarstellung: Der EU „Digital Omnibus on AI" verschiebt nach der vorläufigen Trilog-Einigung vom 7. Mai 2026 die materiellen Hochrisiko-Pflichten – für eigenständige Systeme (Anhang III) auf den 2. Dezember 2027 und für in regulierte Produkte eingebettete Systeme (Anhang I) auf den 2. August 2028. Der Governance-Termin 2. August 2026 – Behördenbenennung, Transparenzpflichten nach Art. 50, Sanktionsbefugnisse bei KI mit allgemeinem Verwendungszweck – bleibt davon unberührt. Genau diese Behördenbenennung muss das KI-MIG liefern; sie wird vom Omnibus nicht entlastet.
Auch der Omnibus selbst ist Stand 26. Juni 2026 noch nicht endgültig in Kraft: Das EU-Parlament hat den Text am 16. Juni 2026 angenommen (423 dafür, 57 dagegen, 174 Enthaltungen); die förmliche Annahme durch den Rat war für den 29. Juni 2026 vorgesehen, danach folgt die Veröffentlichung im Amtsblatt. Und er verschiebt Fristen, schafft aber keine Pflichten ab.
Welche Bußgelder drohen – und wer setzt sie?
Das KI-MIG selbst legt national nur eine Buße fest: bis zu 50.000 Euro für bestimmte im KI-MIG geregelte Pflichtverstöße (§ 15) – darunter Mitwirkungs- und Auskunftspflichten sowie die Betreiberpflicht, betroffenen Personen die Erläuterung nach Art. 86 KI-VO zu ermöglichen. Die bekannten Höchstgrenzen – bis 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes, 15 Mio. / 3 %, 7,5 Mio. / 1 % – stammen direkt aus der EU-KI-Verordnung (Art. 99), nicht aus dem deutschen Gesetz. Die Verwechslung ist verbreitet, aber teuer in der Argumentation: „Deutschland verhängt Bußgelder bis 35 Mio. Euro" wäre schlicht falsch.
| Verstoß | Rechtsgrundlage | Höchstbuße |
|---|---|---|
| Verstoß gegen bestimmte nationale Pflichten (§ 15 KI-MIG, z. B. Mitwirkungs-/Auskunftspflichten, Art.-86-Erläuterung) | KI-MIG (Deutschland) | bis zu 50.000 Euro |
| Verbotene KI-Praktiken (Art. 5 KI-VO) | KI-Verordnung Art. 99 (EU) | bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes |
| Verstöße gegen sonstige Anbieter-/Betreiberpflichten | KI-Verordnung Art. 99 (EU) | bis zu 15 Mio. Euro oder 3 % des weltweiten Jahresumsatzes |
| Falsche, unvollständige oder irreführende Auskünfte an Behörden | KI-Verordnung Art. 99 (EU) | bis zu 7,5 Mio. Euro oder 1 % des weltweiten Jahresumsatzes |
Nur die erste Zeile setzt das deutsche KI-MIG selbst; die Zeilen zwei bis vier setzt unmittelbar die EU-KI-Verordnung (Art. 99). Für die Praxis heißt das: Die national gestaltbare Stellschraube ist klein, das eigentliche Risiko liegt in der unmittelbar geltenden EU-Verordnung.
Ist das KI-MIG schon in Kraft?
Stand 26. Juni 2026: nein. Der Bundestag hat das Gesetz am 11. Juni 2026 beschlossen – in der vom Ausschuss für Digitales geänderten Fassung, mit den Stimmen von CDU/CSU und SPD, gegen die Stimmen von AfD, Bündnis 90/Die Grünen und Die Linke. Doch der Bundesrat muss noch zustimmen. Die nächste reguläre Bundesrats-Plenarsitzung ist der 10. Juli 2026. Bis dahin ist das KI-MIG ein beschlossener, aber nicht in Kraft getretener Gesetzentwurf.
Diese Einordnung ist wichtig, weil sie oft verkürzt wird. Wer heute schreibt, Deutschland habe ein KI-Aufsichtsgesetz, übertreibt den Status. Korrekt ist: Der Bundestag hat beschlossen; die letzte Hürde – der Bundesrat – steht noch aus. Wir halten das dateModified dieses Beitrags ehrlich und empfehlen, vor verbindlichen Entscheidungen den tagesaktuellen Stand zu prüfen.
Was bedeutet das KI-MIG für regulierte Unternehmen?
Für datensensible Branchen – Bau, Gesundheit, Recht, Finanzen – heißt das KI-MIG vor allem zweierlei: Es gibt künftig klar adressierbare Aufsichts- und Anlaufstellen (Bundesnetzagentur, KoKIVO, KI-Service-Desk), und Hochrisiko-Pflichten verlangen Dokumentation, Nachvollziehbarkeit und Auditierbarkeit. Wer KI lokal und nachvollziehbar betreibt, kann genau diese Nachweise leichter erbringen.
Das ist kein Zufall, sondern Architektur. Eine grounded KI-Plattform auf eigener Hardware protokolliert, welche Daten in eine Antwort eingeflossen sind, hält Zugriffe berechtigungsbewusst und macht jede Nutzung im Audit-Trail nachvollziehbar – die technische Belegbasis, die eine Marktüberwachungsbehörde im Zweifel sehen will. Wer Datenflüsse zudem im Haus hält (siehe Sicherheit & Datenhoheit), reduziert die Angriffsfläche und die Zahl der Stellen, an denen Dokumentation überhaupt erst entstehen muss. Das gilt branchenübergreifend – vom Bauwesen bis zur Klinik, wo dieselbe Logik greift: sensible Daten, die das Haus nicht verlassen dürfen.
Zur Klarheit: Lokalaise ist Enabler, keine Rechts- oder Compliance-Beratung. Ob und wie Ihre KI-Systeme als Hochrisiko einzustufen sind und welche Pflichten daraus folgen, klären Sie mit Ihrer Rechtsabteilung und gegebenenfalls der zuständigen Aufsicht.
Ihre nächsten Schritte
Drei Fragen helfen, die eigene Position zum KI-MIG einzuordnen:
- Einstufung: Wissen Sie, welche Ihrer KI-Systeme nach der EU-Verordnung als Hochrisiko (Anhang III) gelten könnten – und damit künftig der Marktüberwachung unterliegen?
- Nachweis: Können Sie heute belegen, welche Daten in eine KI-Antwort eingeflossen sind, wer Zugriff hatte und wie das System konfiguriert ist?
- Datenhoheit: Verlassen sensible Daten für die KI-Nutzung Ihr Haus – und wenn ja, ist das mit Ihren Dokumentations- und Vertraulichkeitspflichten vereinbar?
Wo Sie zögern, lohnt der genauere Blick. In einer kurzen Demo zeigen wir Ihnen, wie eine lokale, berechtigungsbewusste KI nachvollziehbare Antworten liefert – und die Nachweise, die eine künftige Aufsicht sehen will, von vornherein mitschreibt.
Häufige Fragen
Fazit
Das KI-MIG benennt die Aufsicht, die EU-KI-Verordnung setzt die materiellen Pflichten: Die Bundesnetzagentur wird zentrale, aber nicht alleinige Marktüberwachungsbehörde, flankiert von Fachbehörden, dem KoKIVO und einer unabhängigen Marktüberwachungskammer. Stand 26. Juni 2026 ist das Gesetz beschlossen, aber noch nicht in Kraft – die Zustimmung des Bundesrats steht aus. Für regulierte Unternehmen heißt das: Es gibt bald klar adressierbare Anlauf- und Aufsichtsstellen, und Hochrisiko-Pflichten verlangen Dokumentation und Nachvollziehbarkeit. Wer KI lokal und auditierbar betreibt, kann diese Nachweise leichter erbringen. Dieser Beitrag ist Einordnung, keine Rechtsberatung.
Geschrieben von
Marius Gill
CTO @ Lokalaise
