KI-MIG: Die Bundesnetzagentur wird ab August 2026 zur deutschen KI-Aufsicht
Der Bundestag hat am 11. Juni 2026 das KI-Marktueberwachungs- und Innovationsfoerderungsgesetz (KI-MIG) beschlossen – passgenau zum EU-Stichtag 2. August 2026. Damit steht fest, welche Behoerde deutsche Unternehmen kontrolliert und welche Bussgelder nach deutschem Recht drohen.
Lange war die Frage offen, wer in Deutschland eigentlich die EU-KI-Verordnung (EU AI Act) durchsetzt. Bruessel schreibt die Regeln – aber wer klingelt beim Mittelstaendler, verlangt technische Dokumentation und verhaengt im Zweifel ein Bussgeld? Mit dem KI-Marktueberwachungs- und Innovationsfoerderungsgesetz, kurz KI-MIG, hat der Bundestag am 11. Juni 2026 die Antwort geliefert. Sie lautet: die Bundesnetzagentur.
Fuer Unternehmen ist das kein abstrakter Verwaltungsakt. Ab dem 2. August 2026 existiert erstmals eine konkrete Behoerde mit konkreten Eingriffsrechten – und Dokumentationsluecken, die bislang niemanden interessierten, werden zum ersten Mal real pruefbar. Dieser Artikel ordnet ein, was das KI-MIG regelt, wer kuenftig kontrolliert, welche Bussgelder gelten und wie sich vor allem KMU jetzt konkret vorbereiten.
Das Wichtigste in vier Punkten: Der Bundestag beschloss das KI-MIG am 11. Juni 2026 (Kabinettsentwurf: 10. Februar 2026). Zentrale Aufsicht wird die Bundesnetzagentur, unterstuetzt durch das Koordinierungs- und Kompetenzzentrum KoKIVO sowie die Sektorbehoerden BaFin, BSI, BfArM und BfDI. Ab dem 2. August 2026 duerfen diese Behoerden Unterlagen anfordern, Systeme testen und Abhilfe verlangen. Der Bussgeldrahmen stammt ueberwiegend aus der EU-Verordnung (bis 35 Mio. € bzw. 7 % Jahresumsatz), ergaenzt um nationale Zusatztatbestaende im KI-MIG.
Warum Deutschland das KI-MIG jetzt durchzieht
Die EU-KI-Verordnung ist bereits seit August 2024 in Kraft und entfaltet ihre Pflichten gestaffelt. Ein zentraler Baustein: Jeder Mitgliedstaat musste bis zum 2. August 2025 mindestens eine nationale Marktueberwachungsbehoerde benennen, die die Verordnung im eigenen Land durchsetzt. Ohne eine solche Behoerde bleibt selbst die schaerfste Verordnung ein Papiertiger – niemand prueft, niemand sanktioniert.
Deutschland hat diese Frist verpasst. Waehrend andere Mitgliedstaaten ihre Zustaendigkeiten frueh regelten, zog sich in Berlin die Ressortabstimmung – Digitalministerium, Wirtschaft, Finanzen und Innen mussten sich einigen, welche bestehende Behoerde die Rolle uebernimmt oder ob eine neue geschaffen wird. Das KI-MIG holt diese Benennung nun nach und regelt zugleich die Durchfuehrung im Detail.
Der Zeitplan im Ueberblick
| Datum | Ereignis |
|---|---|
| 2. August 2025 | EU-Frist zur Benennung nationaler Behoerden – von Deutschland verpasst |
| 10. Februar 2026 | Kabinettsbeschluss zum Entwurf des KI-MIG |
| 20. Maerz 2026 | Erste Lesung im Bundestag |
| 11. Juni 2026 | Bundestag beschliesst das KI-MIG |
| 2. August 2026 | Aufsicht aktiv – Behoerden koennen pruefen und sanktionieren |
Der Termin des Inkrafttretens ist kein Zufall: Zum 2. August 2026 werden die materiellen Vorgaben der KI-Verordnung fuer Hochrisiko-KI und Transparenz (Art. 6 bis 27) verbindlich anwendbar. Das KI-MIG tritt also passgenau zum EU-Enforcement-Stichtag in Kraft – gerade noch rechtzeitig, um handlungsfaehige Behoerden bereitzustellen.
Wer kuenftig kontrolliert
Statt einer einzigen Superbehoerde setzt das KI-MIG auf ein gestaffeltes Modell: eine zentrale Aufsicht, gebuendelte Kompetenz und mehrere sektorale Fachbehoerden. Das klingt komplizierter, als es fuer die meisten Unternehmen ist – fuer den typischen Mittelstaendler ist die Bundesnetzagentur der erste Ansprechpartner.
Bundesnetzagentur als zentrale Aufsicht
Die Bundesnetzagentur (BNetzA) uebernimmt die Rolle der zentralen Aufsichts- und Marktueberwachungsbehoerde. Sie hat Erfahrung mit technischer Regulierung – von der Telekommunikation ueber Energie bis zur Post – und damit einen Apparat, der Konformitaetspruefungen und Marktueberwachung strukturell beherrscht. Fuer die KI-Aufsicht baut sie neue Fachkompetenz auf.
KoKIVO: Kompetenz und Service-Desk
Bei der BNetzA entsteht das KoKIVO – das Koordinierungs- und Kompetenzzentrum fuer die KI-Verordnung. Es buendelt die fachliche Expertise, koordiniert die beteiligten Behoerden und betreibt einen KI-Service-Desk als Anlaufstelle fuer Unternehmen. Gerade fuer KMU ist das relevant: Wer unsicher ist, ob und wie das eigene System reguliert ist, soll hier eine erste Orientierung bekommen.
BaFin und die Sektorbehoerden
Nicht alles landet bei der BNetzA. Fuer Finanzdienstleister – etwa bei der Bewertung von Kreditwuerdigkeit, der Kalkulation von Versicherungspraemien oder der Betrugserkennung – bleibt die BaFin zustaendig. Weitere sektorale Behoerden teilen sich die Aufsicht nach Fachgebiet auf:
- BaFin – KI im Finanz- und Versicherungswesen
- BSI – IT-Sicherheit von Hochrisiko-KI-Systemen
- BfArM – Medizinprodukte mit KI-Komponenten
- BfDI – Datenschutz und biometrische Systeme
Fuer das einzelne Unternehmen bedeutet das: Zuerst pruefen, in welchen Sektor das eigene KI-System faellt. Ein Versicherungs-Tarifrechner mit KI unterliegt der BaFin, ein KI-gestuetztes Diagnosegeraet dem BfArM. Fuer die grosse Mehrheit der branchenneutralen Anwendungen ist die Bundesnetzagentur die richtige Adresse.
Welche Befugnisse die BNetzA erhaelt
Der eigentliche Wendepunkt liegt nicht in der Benennung einer Behoerde, sondern in ihren Eingriffsrechten. Ab dem 2. August 2026 kann die BNetzA – wie jede Marktueberwachungsbehoerde – aktiv werden, sei es auf Beschwerde hin, aus eigener Initiative oder im Rahmen von Stichproben. Die Befugnisse orientieren sich am europaeischen Marktueberwachungsrecht:
- Marktueberwachungsmassnahmen einleiten: Die Behoerde kann ein KI-System gezielt ins Visier nehmen und ein Pruefverfahren eroeffnen.
- Unterlagen anfordern: Anbieter und Betreiber muessen die technische Dokumentation, Konformitaetsnachweise und Logs vorlegen. Wer nichts vorweisen kann, hat ein Problem.
- Systeme testen: Die Behoerde darf das KI-System selbst pruefen – bis hin zu eigenen Tests, um zu verifizieren, ob die dokumentierten Eigenschaften stimmen.
- Abhilfe verlangen: Werden Maengel festgestellt, kann die Behoerde Nachbesserung, Ruecknahme vom Markt oder ein Vertriebsverbot anordnen.
Das Entscheidende: Diese Kontroll- und Schutzmechanismen greifen nicht mehr nur auf dem Papier. Wo ein Unternehmen bisher argumentieren konnte, es habe „schon alles im Griff", verlangt die Behoerde ab August 2026 den Nachweis in Form von Dokumentation, die einer Pruefung standhaelt.
Beispiel: Was ein Auskunftsersuchen konkret bedeutet
Ein mittelstaendischer Personaldienstleister setzt ein KI-System zur Vorsortierung von Bewerbungen ein – ein klassischer Hochrisiko-Anwendungsfall nach Anhang III der KI-Verordnung. Geht bei der BNetzA eine Beschwerde ueber moegliche Diskriminierung ein, kann die Behoerde die technische Dokumentation, die Model Card des eingesetzten Modells, die Risikobewertung und die Betriebsprotokolle anfordern. Das Unternehmen hat dann eine Frist, um vollstaendig und wahrheitsgemaess zu liefern. Fehlen zentrale Nachweise oder sind Angaben irrefuehrend, drohen Bussgelder – unabhaengig davon, ob die urspruengliche Diskriminierungsbeschwerde berechtigt war.
Der Bussgeldrahmen nach deutschem Recht
Hier lohnt eine klare Trennung, denn in der oeffentlichen Debatte werden EU-Recht und nationales Recht oft vermischt. Der Loewenanteil des Bussgeldrahmens stammt direkt aus der EU-KI-Verordnung (Art. 99) und gilt unmittelbar – das KI-MIG regelt vor allem, wer diese Bussgelder verhaengt, und ergaenzt eigene nationale Tatbestaende.
Die EU-Bussgelder (Art. 99 KI-VO)
| Verstoss | Rahmen |
|---|---|
| Verbotene Praktiken (Art. 5) | bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes |
| Sonstige materielle Verstoesse (u. a. Hochrisiko-Betreiberpflichten) | bis 15 Mio. € oder 3 % des weltweiten Jahresumsatzes |
| Falsche / unvollstaendige Angaben gegenueber Behoerden | bis 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes |
Der nationale Zusatztatbestand im KI-MIG
Ueber die EU-Bussgelder hinaus fuehrt das KI-MIG eine eigene nationale Geldbusse ein: bis zu 50.000 Euro fuer die Verletzung der Erlaeuterungs- und Auskunftspflicht (§ 15 Abs. 2 KI-MIG). Diese Grenze bezieht sich – anders als oft verkuerzt dargestellt – konkret auf die Erlaeuterungspflicht gegenueber Betroffenen, also etwa die Pflicht, einer Person eine nachvollziehbare Erklaeuterung zu einer sie betreffenden Entscheidung eines Hochrisiko-KI-Systems zu geben. Es ist kein pauschaler Deckel fuer alle Betreiberpflichten.
Merksatz zur Einordnung: Die grossen Zahlen (35 / 15 / 7,5 Mio. €) sind EU-Recht und gelten unmittelbar. Die 50.000 € sind der genuin deutsche Zusatz aus dem KI-MIG fuer die Erlaeuterungspflicht. Beide Ebenen greifen ab dem 2. August 2026 nebeneinander.
Der praktische Effekt ist unabhaengig von der genauen Hoehe: Dokumentationsluecken werden erstmals real pruefbar und real sanktionierbar. Wer bisher darauf setzte, dass ohnehin niemand kontrolliert, verliert diese Wette zum August 2026.
Was KMU jetzt vorbereiten muessen
Die gute Nachricht fuer den Mittelstand: Der Weg zur Auskunftsfaehigkeit ist strukturiert abarbeitbar. Es geht nicht darum, Jura zu studieren, sondern Ordnung zu schaffen – bevor eine Behoerde sie einfordert. Vier Schritte bilden das Fundament.
1. KI-Inventar erstellen
Der erste Schritt ist die ehrliche Bestandsaufnahme: Welche KI-Systeme sind ueberhaupt im Einsatz? Dazu zaehlen nicht nur offensichtliche Chatbots oder grosse Sprachmodelle (LLM), sondern auch eingebettete Funktionen in Standardsoftware – vom KI-Modul im CRM bis zum automatisierten Scoring in der Buchhaltung. Viele Unternehmen unterschaetzen, wie viele KI-Komponenten sie bereits nutzen.
2. Risikoklassifizierung nach AI Act
Jedes System wird in die Risikologik der Verordnung eingeordnet: verboten, hochriskant, Transparenzpflicht oder minimales Risiko. Nur ein kleiner Teil der Systeme faellt in die Hochrisiko-Kategorie – aber genau dort konzentrieren sich die Pflichten. Diese Klassifizierung entscheidet ueber den gesamten weiteren Aufwand und sollte dokumentiert und begruendet werden.
3. Technische Dokumentation und Logs bereithalten
Fuer Hochrisiko-Systeme verlangt die Verordnung eine umfassende technische Dokumentation, inklusive der automatisch erzeugten Betriebsprotokolle. Diese Nachweise muessen nicht erst bei einem Auskunftsersuchen zusammengesucht werden – sie sollten strukturiert vorliegen. Wer Model Cards und Datenherkunft sauber pflegt, kann einer Pruefung gelassen entgegensehen.
4. Meldeprozesse fuer Fehlfunktionen definieren
Die Verordnung verlangt, schwerwiegende Vorfaelle zu melden. Dafuer braucht es einen internen Prozess: Wer erkennt eine Fehlfunktion, wer bewertet sie, wer meldet an die Behoerde und in welcher Frist? Dieser Prozess sollte einmal sauber definiert und den Verantwortlichen bekannt sein – nicht erst im Ernstfall improvisiert werden.
Praxistipp: Wer eine strukturierte Vorbereitung sucht, findet in unserer EU-AI-Act-Checkliste eine abarbeitbare Schritt-fuer-Schritt-Liste – vom KI-Inventar bis zur Dokumentationsstruktur. Das nimmt der Frist vom 2. August 2026 den Schrecken.
Warum On-Premise die Pruefbarkeit vereinfacht
Ein oft uebersehener Aspekt: Die Architektur, in der ein KI-System betrieben wird, entscheidet massgeblich darueber, wie leicht ein Unternehmen auskunftsfaehig ist. Genau hier spielt On-Premise-KI ihre Staerke aus – nicht als ideologische Frage, sondern als praktischer Vorteil bei der Marktueberwachung.
Audit-Trails bleiben im eigenen Haus
Verlangt die Behoerde Betriebsprotokolle, muessen diese vollstaendig und unveraendert vorliegen. Wer sein KI-System selbst betreibt, hat direkten Zugriff auf saemtliche Logs und Audit-Trails – ohne erst einen US-Cloud-Anbieter um Exporte bitten zu muessen, die moeglicherweise unvollstaendig sind oder nicht im geforderten Format vorliegen.
Auskunftsersuchen ohne Zwischenschicht
Bei Cloud-Diensten liegt entscheidendes Wissen oft beim Anbieter: Wie genau funktioniert das Modell, mit welchen Daten wurde es trainiert, welche Guardrails greifen? Ein Auskunftsersuchen der Behoerde laesst sich dann nur so vollstaendig beantworten, wie der Anbieter Transparenz gewaehrt. Beim Eigenbetrieb entfaellt diese Abhaengigkeit – die technische Dokumentation ist direkt kontrollierbar.
| Pruef-Anforderung | On-Premise | US-Cloud |
|---|---|---|
| Vollstaendige Logs | Direkt im Haus | Von Anbieter-Export abhaengig |
| Technische Dokumentation | Selbst kontrollierbar | Teils Anbieter-Blackbox |
| Auskunftsersuchen bedienen | Ohne Zwischenschicht | Ueber Anbieter-Prozess |
Das heisst nicht, dass Cloud-KI per se nicht regelkonform betrieben werden kann. Aber die Nachweislast liegt beim Unternehmen – und wer die volle Kontrolle ueber Modell, Daten und Protokolle behaelt, kann diese Last strukturell leichter tragen. Wer diese Vorteile fuer den eigenen Betrieb pruefen moechte, findet auf unserer Seite zu den EU-AI-Act-Loesungen 2026 weiterfuehrende Ansaetze.
Fazit und Zeitplan
Mit dem KI-MIG endet die Phase der Unverbindlichkeit. Ab dem 2. August 2026 ist die Aufsicht aktiv, die Bundesnetzagentur handlungsfaehig und der Bussgeldrahmen scharf gestellt. Fuer Unternehmen bedeutet das drei klare Konsequenzen:
- Der Stichtag ist real. Ab dem 2. August 2026 koennen Behoerden Unterlagen anfordern, Systeme testen und Abhilfe verlangen. Die Zeit des Abwartens ist vorbei.
- Governance-Luecken jetzt schliessen. KI-Inventar, Risikoklassifizierung und technische Dokumentation gehoeren vor den Stichtag geordnet – nicht danach unter Zeitdruck.
- Architektur mitdenken. On-Premise-KI ist keine Pflicht, aber eine strukturell pruefbare Architektur, die Auskunftsfaehigkeit erleichtert.
Die Nachricht ist also keine Drohung, sondern ein Weckruf mit klarem Zeitfenster. Wer die kommenden Wochen nutzt, um seine KI-Governance in Ordnung zu bringen, betrachtet den 2. August 2026 nicht als Risiko, sondern als erledigte Hausaufgabe. Bei der Einordnung der eigenen Systeme und der praktischen Umsetzung unterstuetzt Sie unsere Beratung – von der Risikoklassifizierung bis zur pruefsicheren Dokumentation.
Haeufig gestellte Fragen zum KI-MIG
Welche Behoerde kontrolliert mein Unternehmen ab August 2026?
Zentrale Aufsicht ist die Bundesnetzagentur, unterstuetzt durch die KI-Marktueberwachungskammer UKIM und das Kompetenzzentrum KoKIVO. Fuer Finanzdienstleister ist die BaFin zustaendig.
Ab wann kann die Bundesnetzagentur pruefen?
Ab dem 2. August 2026 kann die BNetzA Marktueberwachungsmassnahmen einleiten, Unterlagen anfordern, Systeme testen und bei Maengeln Abhilfe verlangen.
Welche Bussgelder drohen nach dem KI-MIG?
Verstoesse gegen bestimmte Betreiberpflichten bei Hochrisiko-KI koennen bis 50.000 EUR kosten, falsche oder irrefuehrende Angaben gegenueber Behoerden bis zu 7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes.
Was hat das KI-MIG mit dem EU AI Act zu tun?
Das KI-MIG ist das deutsche Durchfuehrungsgesetz, das die Zustaendigkeiten und Sanktionen fuer die Umsetzung des EU AI Act auf nationaler Ebene festlegt.
KI-Governance vor dem 2. August 2026 in Ordnung bringen
Wir bewerten Ihre KI-Systeme, klassifizieren das Risiko nach AI Act und machen Ihre Dokumentation pruefsicher – DSGVO-konform und On-Premise. Kostenlose Erstberatung.