Alle Artikel
News 13. Juli 2026 10 Min. Lesezeit

KI-MIG: Die Bundesnetzagentur wird ab August 2026 zur deutschen KI-Aufsicht

Der Bundestag hat am 11. Juni 2026 das KI-Marktueberwachungs- und Innovationsfoerderungsgesetz (KI-MIG) beschlossen – passgenau zum EU-Stichtag 2. August 2026. Damit steht fest, welche Behoerde deutsche Unternehmen kontrolliert und welche Bussgelder nach deutschem Recht drohen.

KI-Aufsicht in Deutschland ab 2. August 2026
EU AI Office
Bruessel · KI-Verordnung
Bundesnetzagentur
Zentrale KI-Aufsicht & Marktueberwachung
KoKIVO
Kompetenz & Service-Desk
BaFin
Finanzdienstleister
BSI · BfArM · BfDI
Sektorbehoerden
Pruef-Befugnisse
Unterlagen anfordern
Systeme testen
Maengel → Abhilfe
Bussgeld bis 35 Mio. €

Lange war die Frage offen, wer in Deutschland eigentlich die EU-KI-Verordnung (EU AI Act) durchsetzt. Bruessel schreibt die Regeln – aber wer klingelt beim Mittelstaendler, verlangt technische Dokumentation und verhaengt im Zweifel ein Bussgeld? Mit dem KI-Marktueberwachungs- und Innovationsfoerderungsgesetz, kurz KI-MIG, hat der Bundestag am 11. Juni 2026 die Antwort geliefert. Sie lautet: die Bundesnetzagentur.

Fuer Unternehmen ist das kein abstrakter Verwaltungsakt. Ab dem 2. August 2026 existiert erstmals eine konkrete Behoerde mit konkreten Eingriffsrechten – und Dokumentationsluecken, die bislang niemanden interessierten, werden zum ersten Mal real pruefbar. Dieser Artikel ordnet ein, was das KI-MIG regelt, wer kuenftig kontrolliert, welche Bussgelder gelten und wie sich vor allem KMU jetzt konkret vorbereiten.

Das Wichtigste in vier Punkten: Der Bundestag beschloss das KI-MIG am 11. Juni 2026 (Kabinettsentwurf: 10. Februar 2026). Zentrale Aufsicht wird die Bundesnetzagentur, unterstuetzt durch das Koordinierungs- und Kompetenzzentrum KoKIVO sowie die Sektorbehoerden BaFin, BSI, BfArM und BfDI. Ab dem 2. August 2026 duerfen diese Behoerden Unterlagen anfordern, Systeme testen und Abhilfe verlangen. Der Bussgeldrahmen stammt ueberwiegend aus der EU-Verordnung (bis 35 Mio. € bzw. 7 % Jahresumsatz), ergaenzt um nationale Zusatztatbestaende im KI-MIG.

Warum Deutschland das KI-MIG jetzt durchzieht

Die EU-KI-Verordnung ist bereits seit August 2024 in Kraft und entfaltet ihre Pflichten gestaffelt. Ein zentraler Baustein: Jeder Mitgliedstaat musste bis zum 2. August 2025 mindestens eine nationale Marktueberwachungsbehoerde benennen, die die Verordnung im eigenen Land durchsetzt. Ohne eine solche Behoerde bleibt selbst die schaerfste Verordnung ein Papiertiger – niemand prueft, niemand sanktioniert.

Deutschland hat diese Frist verpasst. Waehrend andere Mitgliedstaaten ihre Zustaendigkeiten frueh regelten, zog sich in Berlin die Ressortabstimmung – Digitalministerium, Wirtschaft, Finanzen und Innen mussten sich einigen, welche bestehende Behoerde die Rolle uebernimmt oder ob eine neue geschaffen wird. Das KI-MIG holt diese Benennung nun nach und regelt zugleich die Durchfuehrung im Detail.

Der Zeitplan im Ueberblick

Datum Ereignis
2. August 2025 EU-Frist zur Benennung nationaler Behoerden – von Deutschland verpasst
10. Februar 2026 Kabinettsbeschluss zum Entwurf des KI-MIG
20. Maerz 2026 Erste Lesung im Bundestag
11. Juni 2026 Bundestag beschliesst das KI-MIG
2. August 2026 Aufsicht aktiv – Behoerden koennen pruefen und sanktionieren

Der Termin des Inkrafttretens ist kein Zufall: Zum 2. August 2026 werden die materiellen Vorgaben der KI-Verordnung fuer Hochrisiko-KI und Transparenz (Art. 6 bis 27) verbindlich anwendbar. Das KI-MIG tritt also passgenau zum EU-Enforcement-Stichtag in Kraft – gerade noch rechtzeitig, um handlungsfaehige Behoerden bereitzustellen.

Wer kuenftig kontrolliert

Statt einer einzigen Superbehoerde setzt das KI-MIG auf ein gestaffeltes Modell: eine zentrale Aufsicht, gebuendelte Kompetenz und mehrere sektorale Fachbehoerden. Das klingt komplizierter, als es fuer die meisten Unternehmen ist – fuer den typischen Mittelstaendler ist die Bundesnetzagentur der erste Ansprechpartner.

Bundesnetzagentur als zentrale Aufsicht

Die Bundesnetzagentur (BNetzA) uebernimmt die Rolle der zentralen Aufsichts- und Marktueberwachungsbehoerde. Sie hat Erfahrung mit technischer Regulierung – von der Telekommunikation ueber Energie bis zur Post – und damit einen Apparat, der Konformitaetspruefungen und Marktueberwachung strukturell beherrscht. Fuer die KI-Aufsicht baut sie neue Fachkompetenz auf.

KoKIVO: Kompetenz und Service-Desk

Bei der BNetzA entsteht das KoKIVO – das Koordinierungs- und Kompetenzzentrum fuer die KI-Verordnung. Es buendelt die fachliche Expertise, koordiniert die beteiligten Behoerden und betreibt einen KI-Service-Desk als Anlaufstelle fuer Unternehmen. Gerade fuer KMU ist das relevant: Wer unsicher ist, ob und wie das eigene System reguliert ist, soll hier eine erste Orientierung bekommen.

BaFin und die Sektorbehoerden

Nicht alles landet bei der BNetzA. Fuer Finanzdienstleister – etwa bei der Bewertung von Kreditwuerdigkeit, der Kalkulation von Versicherungspraemien oder der Betrugserkennung – bleibt die BaFin zustaendig. Weitere sektorale Behoerden teilen sich die Aufsicht nach Fachgebiet auf:

  • BaFin – KI im Finanz- und Versicherungswesen
  • BSI – IT-Sicherheit von Hochrisiko-KI-Systemen
  • BfArM – Medizinprodukte mit KI-Komponenten
  • BfDI – Datenschutz und biometrische Systeme

Fuer das einzelne Unternehmen bedeutet das: Zuerst pruefen, in welchen Sektor das eigene KI-System faellt. Ein Versicherungs-Tarifrechner mit KI unterliegt der BaFin, ein KI-gestuetztes Diagnosegeraet dem BfArM. Fuer die grosse Mehrheit der branchenneutralen Anwendungen ist die Bundesnetzagentur die richtige Adresse.

Welche Befugnisse die BNetzA erhaelt

Der eigentliche Wendepunkt liegt nicht in der Benennung einer Behoerde, sondern in ihren Eingriffsrechten. Ab dem 2. August 2026 kann die BNetzA – wie jede Marktueberwachungsbehoerde – aktiv werden, sei es auf Beschwerde hin, aus eigener Initiative oder im Rahmen von Stichproben. Die Befugnisse orientieren sich am europaeischen Marktueberwachungsrecht:

  1. Marktueberwachungsmassnahmen einleiten: Die Behoerde kann ein KI-System gezielt ins Visier nehmen und ein Pruefverfahren eroeffnen.
  2. Unterlagen anfordern: Anbieter und Betreiber muessen die technische Dokumentation, Konformitaetsnachweise und Logs vorlegen. Wer nichts vorweisen kann, hat ein Problem.
  3. Systeme testen: Die Behoerde darf das KI-System selbst pruefen – bis hin zu eigenen Tests, um zu verifizieren, ob die dokumentierten Eigenschaften stimmen.
  4. Abhilfe verlangen: Werden Maengel festgestellt, kann die Behoerde Nachbesserung, Ruecknahme vom Markt oder ein Vertriebsverbot anordnen.

Das Entscheidende: Diese Kontroll- und Schutzmechanismen greifen nicht mehr nur auf dem Papier. Wo ein Unternehmen bisher argumentieren konnte, es habe „schon alles im Griff", verlangt die Behoerde ab August 2026 den Nachweis in Form von Dokumentation, die einer Pruefung standhaelt.

Beispiel: Was ein Auskunftsersuchen konkret bedeutet
Ein mittelstaendischer Personaldienstleister setzt ein KI-System zur Vorsortierung von Bewerbungen ein – ein klassischer Hochrisiko-Anwendungsfall nach Anhang III der KI-Verordnung. Geht bei der BNetzA eine Beschwerde ueber moegliche Diskriminierung ein, kann die Behoerde die technische Dokumentation, die Model Card des eingesetzten Modells, die Risikobewertung und die Betriebsprotokolle anfordern. Das Unternehmen hat dann eine Frist, um vollstaendig und wahrheitsgemaess zu liefern. Fehlen zentrale Nachweise oder sind Angaben irrefuehrend, drohen Bussgelder – unabhaengig davon, ob die urspruengliche Diskriminierungsbeschwerde berechtigt war.

Der Bussgeldrahmen nach deutschem Recht

Hier lohnt eine klare Trennung, denn in der oeffentlichen Debatte werden EU-Recht und nationales Recht oft vermischt. Der Loewenanteil des Bussgeldrahmens stammt direkt aus der EU-KI-Verordnung (Art. 99) und gilt unmittelbar – das KI-MIG regelt vor allem, wer diese Bussgelder verhaengt, und ergaenzt eigene nationale Tatbestaende.

Die EU-Bussgelder (Art. 99 KI-VO)

Verstoss Rahmen
Verbotene Praktiken (Art. 5) bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
Sonstige materielle Verstoesse (u. a. Hochrisiko-Betreiberpflichten) bis 15 Mio. € oder 3 % des weltweiten Jahresumsatzes
Falsche / unvollstaendige Angaben gegenueber Behoerden bis 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes

Der nationale Zusatztatbestand im KI-MIG

Ueber die EU-Bussgelder hinaus fuehrt das KI-MIG eine eigene nationale Geldbusse ein: bis zu 50.000 Euro fuer die Verletzung der Erlaeuterungs- und Auskunftspflicht (§ 15 Abs. 2 KI-MIG). Diese Grenze bezieht sich – anders als oft verkuerzt dargestellt – konkret auf die Erlaeuterungspflicht gegenueber Betroffenen, also etwa die Pflicht, einer Person eine nachvollziehbare Erklaeuterung zu einer sie betreffenden Entscheidung eines Hochrisiko-KI-Systems zu geben. Es ist kein pauschaler Deckel fuer alle Betreiberpflichten.

Merksatz zur Einordnung: Die grossen Zahlen (35 / 15 / 7,5 Mio. €) sind EU-Recht und gelten unmittelbar. Die 50.000 € sind der genuin deutsche Zusatz aus dem KI-MIG fuer die Erlaeuterungspflicht. Beide Ebenen greifen ab dem 2. August 2026 nebeneinander.

Der praktische Effekt ist unabhaengig von der genauen Hoehe: Dokumentationsluecken werden erstmals real pruefbar und real sanktionierbar. Wer bisher darauf setzte, dass ohnehin niemand kontrolliert, verliert diese Wette zum August 2026.

Was KMU jetzt vorbereiten muessen

Die gute Nachricht fuer den Mittelstand: Der Weg zur Auskunftsfaehigkeit ist strukturiert abarbeitbar. Es geht nicht darum, Jura zu studieren, sondern Ordnung zu schaffen – bevor eine Behoerde sie einfordert. Vier Schritte bilden das Fundament.

1. KI-Inventar erstellen

Der erste Schritt ist die ehrliche Bestandsaufnahme: Welche KI-Systeme sind ueberhaupt im Einsatz? Dazu zaehlen nicht nur offensichtliche Chatbots oder grosse Sprachmodelle (LLM), sondern auch eingebettete Funktionen in Standardsoftware – vom KI-Modul im CRM bis zum automatisierten Scoring in der Buchhaltung. Viele Unternehmen unterschaetzen, wie viele KI-Komponenten sie bereits nutzen.

2. Risikoklassifizierung nach AI Act

Jedes System wird in die Risikologik der Verordnung eingeordnet: verboten, hochriskant, Transparenzpflicht oder minimales Risiko. Nur ein kleiner Teil der Systeme faellt in die Hochrisiko-Kategorie – aber genau dort konzentrieren sich die Pflichten. Diese Klassifizierung entscheidet ueber den gesamten weiteren Aufwand und sollte dokumentiert und begruendet werden.

3. Technische Dokumentation und Logs bereithalten

Fuer Hochrisiko-Systeme verlangt die Verordnung eine umfassende technische Dokumentation, inklusive der automatisch erzeugten Betriebsprotokolle. Diese Nachweise muessen nicht erst bei einem Auskunftsersuchen zusammengesucht werden – sie sollten strukturiert vorliegen. Wer Model Cards und Datenherkunft sauber pflegt, kann einer Pruefung gelassen entgegensehen.

4. Meldeprozesse fuer Fehlfunktionen definieren

Die Verordnung verlangt, schwerwiegende Vorfaelle zu melden. Dafuer braucht es einen internen Prozess: Wer erkennt eine Fehlfunktion, wer bewertet sie, wer meldet an die Behoerde und in welcher Frist? Dieser Prozess sollte einmal sauber definiert und den Verantwortlichen bekannt sein – nicht erst im Ernstfall improvisiert werden.

Praxistipp: Wer eine strukturierte Vorbereitung sucht, findet in unserer EU-AI-Act-Checkliste eine abarbeitbare Schritt-fuer-Schritt-Liste – vom KI-Inventar bis zur Dokumentationsstruktur. Das nimmt der Frist vom 2. August 2026 den Schrecken.

Warum On-Premise die Pruefbarkeit vereinfacht

Ein oft uebersehener Aspekt: Die Architektur, in der ein KI-System betrieben wird, entscheidet massgeblich darueber, wie leicht ein Unternehmen auskunftsfaehig ist. Genau hier spielt On-Premise-KI ihre Staerke aus – nicht als ideologische Frage, sondern als praktischer Vorteil bei der Marktueberwachung.

Audit-Trails bleiben im eigenen Haus

Verlangt die Behoerde Betriebsprotokolle, muessen diese vollstaendig und unveraendert vorliegen. Wer sein KI-System selbst betreibt, hat direkten Zugriff auf saemtliche Logs und Audit-Trails – ohne erst einen US-Cloud-Anbieter um Exporte bitten zu muessen, die moeglicherweise unvollstaendig sind oder nicht im geforderten Format vorliegen.

Auskunftsersuchen ohne Zwischenschicht

Bei Cloud-Diensten liegt entscheidendes Wissen oft beim Anbieter: Wie genau funktioniert das Modell, mit welchen Daten wurde es trainiert, welche Guardrails greifen? Ein Auskunftsersuchen der Behoerde laesst sich dann nur so vollstaendig beantworten, wie der Anbieter Transparenz gewaehrt. Beim Eigenbetrieb entfaellt diese Abhaengigkeit – die technische Dokumentation ist direkt kontrollierbar.

Pruef-Anforderung On-Premise US-Cloud
Vollstaendige Logs Direkt im Haus Von Anbieter-Export abhaengig
Technische Dokumentation Selbst kontrollierbar Teils Anbieter-Blackbox
Auskunftsersuchen bedienen Ohne Zwischenschicht Ueber Anbieter-Prozess

Das heisst nicht, dass Cloud-KI per se nicht regelkonform betrieben werden kann. Aber die Nachweislast liegt beim Unternehmen – und wer die volle Kontrolle ueber Modell, Daten und Protokolle behaelt, kann diese Last strukturell leichter tragen. Wer diese Vorteile fuer den eigenen Betrieb pruefen moechte, findet auf unserer Seite zu den EU-AI-Act-Loesungen 2026 weiterfuehrende Ansaetze.

Fazit und Zeitplan

Mit dem KI-MIG endet die Phase der Unverbindlichkeit. Ab dem 2. August 2026 ist die Aufsicht aktiv, die Bundesnetzagentur handlungsfaehig und der Bussgeldrahmen scharf gestellt. Fuer Unternehmen bedeutet das drei klare Konsequenzen:

  • Der Stichtag ist real. Ab dem 2. August 2026 koennen Behoerden Unterlagen anfordern, Systeme testen und Abhilfe verlangen. Die Zeit des Abwartens ist vorbei.
  • Governance-Luecken jetzt schliessen. KI-Inventar, Risikoklassifizierung und technische Dokumentation gehoeren vor den Stichtag geordnet – nicht danach unter Zeitdruck.
  • Architektur mitdenken. On-Premise-KI ist keine Pflicht, aber eine strukturell pruefbare Architektur, die Auskunftsfaehigkeit erleichtert.

Die Nachricht ist also keine Drohung, sondern ein Weckruf mit klarem Zeitfenster. Wer die kommenden Wochen nutzt, um seine KI-Governance in Ordnung zu bringen, betrachtet den 2. August 2026 nicht als Risiko, sondern als erledigte Hausaufgabe. Bei der Einordnung der eigenen Systeme und der praktischen Umsetzung unterstuetzt Sie unsere Beratung – von der Risikoklassifizierung bis zur pruefsicheren Dokumentation.

Haeufig gestellte Fragen zum KI-MIG

Welche Behoerde kontrolliert mein Unternehmen ab August 2026?

Zentrale Aufsicht ist die Bundesnetzagentur, unterstuetzt durch die KI-Marktueberwachungskammer UKIM und das Kompetenzzentrum KoKIVO. Fuer Finanzdienstleister ist die BaFin zustaendig.

Ab wann kann die Bundesnetzagentur pruefen?

Ab dem 2. August 2026 kann die BNetzA Marktueberwachungsmassnahmen einleiten, Unterlagen anfordern, Systeme testen und bei Maengeln Abhilfe verlangen.

Welche Bussgelder drohen nach dem KI-MIG?

Verstoesse gegen bestimmte Betreiberpflichten bei Hochrisiko-KI koennen bis 50.000 EUR kosten, falsche oder irrefuehrende Angaben gegenueber Behoerden bis zu 7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes.

Was hat das KI-MIG mit dem EU AI Act zu tun?

Das KI-MIG ist das deutsche Durchfuehrungsgesetz, das die Zustaendigkeiten und Sanktionen fuer die Umsetzung des EU AI Act auf nationaler Ebene festlegt.

KI-Governance vor dem 2. August 2026 in Ordnung bringen

Wir bewerten Ihre KI-Systeme, klassifizieren das Risiko nach AI Act und machen Ihre Dokumentation pruefsicher – DSGVO-konform und On-Premise. Kostenlose Erstberatung.