Zum Inhalt springen
🇩🇪 KI-MIG

KI-MIG Deutschland: Das deutsche KI-Gesetz

Das KI-MIG setzt den EU AI Act in Deutschland um. Es benennt die Bundesnetzagentur als zentrale Aufsichtsbehörde und regelt Bußgelder, Zuständigkeiten und KI-Reallabore.

Im Slack diskutieren EU AI Act High-Risk
🛡️ DSGVO-konform
⚖️ EU AI Act Ready
🇩🇪 Hosted in Germany
🔒 ISO 27001
🏛️ BSI C5

KI-MIG: Was ist das deutsche KI-Durchführungsgesetz?

Das KI-MIG (offiziell: „Gesetz zur Durchführung der Verordnung (EU) 2024/1689 und zur Änderung weiterer Vorschriften") ist das deutsche Begleitgesetz zum EU AI Act. Es regelt die nationale Umsetzung der europäischen KI-Verordnung — insbesondere die Frage, welche Behörden zuständig sind, wie Bußgelder verhängt werden und wie KI-Reallabore (Regulatory Sandboxes) organisiert werden.

Wichtig zu verstehen: Der EU AI Act ist eine EU-Verordnung und gilt direkt in allen Mitgliedstaaten — anders als EU-Richtlinien muss er nicht erst in nationales Recht umgesetzt werden. Das KI-MIG ergänzt den EU AI Act um die nationalen Regelungen, die die Verordnung den Mitgliedstaaten überlässt.

💡 Auf den Punkt: Der EU AI Act definiert die Regeln, das KI-MIG bestimmt, wer in Deutschland diese Regeln durchsetzt und wie Verstöße geahndet werden. Die Bundesnetzagentur wird zur zentralen KI-Aufsichtsbehörde.

Entstehung und Gesetzgebungsverfahren

Das KI-MIG hat einen bemerkenswerten gesetzgeberischen Weg hinter sich:

Datum Meilenstein
Aug 2024 EU AI Act tritt in Kraft
Nov 2024 Erster Referentenentwurf des KI-MIG aus dem BMDV
Jan 2025 Kabinettsentwurf beschlossen (noch unter der vorherigen Regierung)
Mär 2025 Überarbeitung nach Koalitionsvertrag der neuen Regierung
Mai 2025 1. Lesung im Bundestag
Jun 2025 Verabschiedung im Bundestag und Bundesrat

Die neue Bundesregierung hat im Koalitionsvertrag betont, Deutschland als „KI-Standort" stärken zu wollen, und den Ansatz „Innovation vor Regulierung" verfolgt. Das KI-MIG spiegelt diesen Ansatz wider — es setzt den EU AI Act 1:1 um, ohne national strengere Regeln zu schaffen.

Die Bundesnetzagentur als KI-Aufsichtsbehörde

Die zentrale institutionelle Entscheidung des KI-MIG ist die Benennung der Bundesnetzagentur (BNetzA) als Marktüberwachungsbehörde für KI-Systeme. Diese Wahl ist nicht zufällig:

Warum die Bundesnetzagentur?

  • Erfahrung mit Technologie-Regulierung: Die BNetzA reguliert bereits Telekommunikation, Energie und Post — sie hat Expertise in der Regulierung komplexer technischer Systeme
  • Bestehende Infrastruktur: Die BNetzA verfügt über eine etablierte Verwaltungsstruktur mit Sitz in Bonn und Außenstellen
  • Unabhängigkeit: Als Bundesoberbehörde hat die BNetzA eine gewisse Unabhängigkeit von politischer Einflussnahme
  • Internationale Vernetzung: Die BNetzA ist in europäischen Regulierungsnetzwerken aktiv eingebunden

Aufgaben der Bundesnetzagentur im KI-Bereich

Das KI-MIG weist der BNetzA folgende Aufgaben zu:

  1. Marktüberwachung: Überwachung der Einhaltung des EU AI Act durch Anbieter und Betreiber von KI-Systemen in Deutschland
  2. Notifizierende Behörde: Benennung und Überwachung von Konformitätsbewertungsstellen (Notified Bodies) für High-Risk KI
  3. Bußgeldverhängung: Ahndung von Verstößen gegen den EU AI Act
  4. KI-Reallabore: Einrichtung und Aufsicht von Regulatory Sandboxes
  5. Beratung: Leitlinien und Unterstützung für Unternehmen, insbesondere KMU
  6. EU-Koordination: Zusammenarbeit mit dem europäischen KI-Büro (AI Office) und den Aufsichtsbehörden anderer Mitgliedstaaten
  7. Beschwerdemanagement: Entgegennahme und Bearbeitung von Beschwerden über KI-Systeme
📌 Abgrenzung: Die BNetzA ist für die KI-Regulierung zuständig, nicht für den Datenschutz. Für datenschutzrechtliche Fragen bei KI-Systemen bleiben die Datenschutzbehörden (BfDI und Landesdatenschutzbehörden) zuständig — parallel zur BNetzA. Für DSGVO-Fragen bei KI gelten also weiterhin die bekannten Zuständigkeiten.

Zuständigkeiten: Bund, Länder und Sektorbehörden

Das KI-MIG regelt eine differenzierte Zuständigkeitsverteilung:

Behörde Zuständigkeit Beispiel
Bundesnetzagentur Allgemeine KI-Marktüberwachung High-Risk KI nach Annex III, GPAI-Modelle
BfDI / Landesbehörden Datenschutz bei KI DSGVO-Konformität, DSFA
BaFin KI im Finanzsektor KI-gestützte Kreditentscheidungen
BfArM / PEI KI als Medizinprodukt KI-Diagnosesysteme
BAuA KI am Arbeitsplatz KI-gestützte Arbeitssicherheitssysteme
Landesdatenschutz KI in Landesbehörden KI in Polizei, Schulen, Verwaltung

Diese Aufteilung bedeutet: Unternehmen können je nach KI-Anwendung mit mehreren Behörden gleichzeitig zu tun haben. Ein KI-System im Gesundheitswesen beispielsweise unterliegt der BNetzA (KI-Regulierung), den Datenschutzbehörden (DSGVO) und dem BfArM (Medizinproduktrecht).

💬

KI-MIG in der Praxis?Tauschen Sie sich mit Compliance-Experten über die praktische Umsetzung des KI-MIG aus.

Community beitreten →

Bußgelder und Sanktionen

Die Bußgeldrahmen des EU AI Act sind erheblich — das KI-MIG übernimmt diese direkt:

Verstoß Bußgeld (max.) Oder % des Umsatzes
Verbotene KI-Praktiken (Art. 5) 35 Mio. € 7% des weltweiten Jahresumsatzes
High-Risk-Anforderungen 15 Mio. € 3% des weltweiten Jahresumsatzes
Falsche Angaben gegenüber Behörden 7,5 Mio. € 1% des weltweiten Jahresumsatzes
KMU / Start-ups Verhältnismäßig niedrigere Obergrenzen (der niedrigere der beiden Beträge gilt)

Wichtig: Die Bußgelder gelten pro Verstoß. Bei mehreren nicht-konformen KI-Systemen können sich die Beträge multiplizieren. Die BNetzA wird bei der Bemessung die Schwere, Dauer und Häufigkeit des Verstoßes, die Größe des Unternehmens und vorherige Verstöße berücksichtigen.

KI-Reallabore (Regulatory Sandboxes)

Ein zentrales Element des KI-MIG sind die KI-Reallabore — kontrollierte Testumgebungen, in denen Unternehmen innovative KI-Systeme entwickeln und testen können:

Was sind KI-Reallabore?

KI-Reallabore bieten eine kontrollierte Umgebung, in der:

  • Innovative KI-Systeme unter Aufsicht der BNetzA getestet werden können
  • Temporäre regulatorische Erleichterungen gewährt werden können
  • Unternehmen praktische Erfahrung mit Compliance-Anforderungen sammeln
  • Regulierer Erkenntnisse über neue Technologien gewinnen

Wer kann teilnehmen?

  • KMU und Start-ups haben bevorzugten Zugang
  • Auch größere Unternehmen können teilnehmen
  • Forschungseinrichtungen und Universitäten
  • Öffentliche Einrichtungen, die KI erproben wollen

Vorteile der Teilnahme

  • Direkter Dialog mit der Aufsichtsbehörde
  • Frühzeitige Klärung von Compliance-Fragen
  • Möglichkeit, KI-Systeme vor dem Markteintritt zu testen
  • Reduziertes regulatorisches Risiko

Pflichten für Unternehmen nach KI-MIG

Das KI-MIG konkretisiert die Pflichten des EU AI Act für den deutschen Kontext. Hier die wichtigsten Handlungsfelder:

1. KI-Systeme klassifizieren

Jedes Unternehmen muss seine KI-Systeme gemäß der Risikopyramide des EU AI Act klassifizieren:

  • Führen Sie ein KI-Inventar aller eingesetzten und entwickelten KI-Systeme
  • Prüfen Sie, ob Systeme unter die High-Risk-Kategorien fallen
  • Dokumentieren Sie die Klassifizierung und Begründung

2. Registrierung in der EU-Datenbank

Anbieter und Betreiber von High-Risk KI-Systemen müssen diese in der EU-Datenbank registrieren (Art. 49 EU AI Act). Die BNetzA überwacht die Einhaltung dieser Pflicht in Deutschland.

3. Meldepflichten

Bei schwerwiegenden Vorfällen mit KI-Systemen bestehen Meldepflichten gegenüber der BNetzA:

  • Schwerwiegende Vorfälle müssen unverzüglich gemeldet werden
  • Die BNetzA leitet ggf. Informationen an andere Behörden weiter
  • Bei grenzüberschreitenden Vorfällen koordiniert die BNetzA mit dem AI Office

4. Beschwerdemanagement

Betroffene Personen können Beschwerden über KI-Systeme bei der BNetzA einreichen. Unternehmen sollten interne Beschwerdeprozesse einrichten, um proaktiv handeln zu können.

Verhältnis zum EU AI Act

Das Zusammenspiel von EU AI Act und KI-MIG folgt einem klaren Muster:

Regelungsbereich Geregelt durch
Risikokategorien und Verbote EU AI Act (direkt geltend)
High-Risk-Anforderungen (Art. 9–15) EU AI Act (direkt geltend)
Transparenzpflichten EU AI Act (direkt geltend)
GPAI-Modell-Regeln EU AI Act (direkt geltend)
Zuständige Behörden KI-MIG
Bußgeldverfahren KI-MIG
KI-Reallabore KI-MIG
Behördenkoordination KI-MIG
Datenschutz bei KI DSGVO (parallel geltend)

KI-MIG und DSGVO: Parallele Regulierung

Ein kritischer Aspekt für Unternehmen: KI-MIG (bzw. EU AI Act) und DSGVO gelten parallel. Das bedeutet:

  • Die DSGVO regelt den Schutz personenbezogener Daten, die von KI verarbeitet werden
  • Der EU AI Act / KI-MIG reguliert das KI-System als solches
  • Beide Regelwerke müssen gleichzeitig eingehalten werden
  • Für Datenschutzfragen bleiben die Datenschutzbehörden zuständig, für KI-Regulierung die BNetzA

Praxiskonsequenz: Unternehmen benötigen sowohl eine DSFA nach DSGVO als auch ein Risikomanagementsystem nach EU AI Act (Art. 9). Die Dokumentation kann sich überschneiden, aber die Anforderungen sind nicht identisch.

On-Premise-Vorteil im KI-MIG-Kontext

On-Premise-LLM-Deployment bietet auch im Kontext des KI-MIG systematische Vorteile:

KI-MIG / EU AI Act Anforderung Cloud-KI On-Premise LLM
KI-Inventar ⚠️ Intransparente Modell-Updates ✅ Vollständige Versionskontrolle
Registrierung EU-Datenbank ⚠️ Anbieter-Abhängigkeit ✅ Eigenständige Registrierung
Vorfallmeldung an BNetzA ⚠️ Eingeschränkte Einsicht ✅ Volle Transparenz über Vorfälle
Audit durch BNetzA ⚠️ Cloud-Anbieter-Kooperation nötig ✅ Direkte Auditfähigkeit
Datensouveränität ⚠️ Daten bei Drittanbieter ✅ 100% in eigener Infrastruktur
KI-Reallabor-Teilnahme ⚠️ Eingeschränkte Anpassbarkeit ✅ Volle Kontrolle über Testumgebung

Handlungsempfehlungen für Unternehmen

Basierend auf den KI-MIG-Anforderungen empfehlen wir folgende Schritte:

📋 Sofort (Q3/Q4 2025)

  • ☐ KI-Inventar erstellen: Alle eingesetzten KI-Systeme erfassen
  • ☐ Risikoeinstufung durchführen: High-Risk-Prüfung für jedes System
  • ☐ Prüfen, ob verbotene KI-Praktiken (Art. 5) vorliegen
  • ☐ KI-Verantwortlichen benennen (intern)
  • ☐ Kontakt zur BNetzA aufbauen, Informationsangebote nutzen

📋 Kurzfristig (2026)

  • ☐ Transparenzpflichten umsetzen: Chatbot-Kennzeichnung, KI-Labels
  • DSGVO-Compliance für KI-Systeme sicherstellen
  • ☐ Mitarbeiterschulungen zu KI-Regulierung durchführen (Art. 4)
  • DSFA für KI-Systeme durchführen
  • ☐ Teilnahme an KI-Reallabor evaluieren

📋 Mittelfristig (2027)

  • ☐ High-Risk-Compliance vollständig umsetzen (Annex III)
  • ☐ Konformitätsbewertung durchführen
  • ☐ Registrierung in EU-Datenbank
  • ☐ Post-Market-Monitoring einrichten
  • ☐ Vorfallmeldeprozesse etablieren

Fazit: Das KI-MIG als Chance für deutsche Unternehmen

Das KI-MIG schafft Rechtsklarheit für den KI-Einsatz in Deutschland. Die Benennung der Bundesnetzagentur als zentrale Anlaufstelle vereinfacht die Orientierung — auch wenn die Parallelität von KI-Regulierung und Datenschutz weiterhin Herausforderungen birgt.

Für Unternehmen, die auf On-Premise-LLM-Lösungen setzen, bietet das KI-MIG keine Nachteile — im Gegenteil: Die Anforderungen an Transparenz, Kontrolle und Auditfähigkeit lassen sich mit lokaler Infrastruktur deutlich einfacher erfüllen als mit Cloud-Abhängigkeiten.

Nächste Schritte: Lesen Sie unseren High-Risk KI-Systeme Guide für die konkreten technischen Anforderungen, den DSGVO & KI Leitfaden für die Datenschutzperspektive oder starten Sie mit unserem Ollama Enterprise Guide für den technischen Einstieg in On-Premise LLM.

Häufig gestellte Fragen: KI-MIG Deutschland

Was ist das KI-MIG?

Das KI-MIG (Gesetz zur Durchführung der Verordnung (EU) 2024/1689 und zur Änderung weiterer Vorschriften) ist das deutsche Durchführungsgesetz zum EU AI Act. Es regelt die nationale Umsetzung der europäischen KI-Verordnung und bestimmt die zuständigen Behörden, Bußgeldvorschriften und organisatorischen Strukturen für die KI-Regulierung in Deutschland.

Wer ist die zuständige Behörde für KI in Deutschland?

Die Bundesnetzagentur (BNetzA) ist die zentrale Marktüberwachungsbehörde für KI-Systeme in Deutschland. Sie fungiert als „notifizierende Behörde" im Sinne des EU AI Act und ist zuständig für die Überwachung der Einhaltung der KI-Verordnung, die Benennung von Konformitätsbewertungsstellen und die Zusammenarbeit mit dem europäischen KI-Büro (AI Office).

Ab wann gilt das KI-MIG?

Das KI-MIG wurde im Juni 2025 vom Bundestag verabschiedet. Die Regelungen treten parallel zu den Fristen des EU AI Act in Kraft: Verbotene KI-Praktiken gelten bereits seit Februar 2025 (direkt aus dem EU AI Act), Transparenzpflichten ab August 2026, High-Risk-Anforderungen ab August 2027. Das KI-MIG ergänzt die direkt geltende EU-Verordnung um nationale Zuständigkeiten und Verfahren.

Welche Bußgelder drohen nach dem KI-MIG?

Die Bußgelder richten sich nach dem EU AI Act und können bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes betragen — für die schwerwiegendsten Verstöße (verbotene KI-Praktiken). Für Verstöße gegen High-Risk-Anforderungen gelten bis zu 15 Millionen Euro oder 3% des Umsatzes. Für falsche Angaben bis zu 7,5 Millionen Euro oder 1%. Für KMU gelten verhältnismäßig niedrigere Bußgeldobergrenzen.

Müssen KMU das KI-MIG beachten?

Ja, das KI-MIG gilt grundsätzlich für alle Unternehmen, die KI-Systeme in Deutschland anbieten oder betreiben. Allerdings sieht der EU AI Act erleichterte Bedingungen für KMU und Start-ups vor: vereinfachte Dokumentationspflichten, reduzierte Gebühren für Konformitätsbewertungen und Zugang zu KI-Reallaboren (Regulatory Sandboxes). Die Bundesnetzagentur wird zudem Leitlinien und Unterstützungsangebote speziell für KMU bereitstellen.

Was sind KI-Reallabore (Regulatory Sandboxes)?

KI-Reallabore sind kontrollierte Testumgebungen, in denen Unternehmen innovative KI-Systeme unter Aufsicht der Bundesnetzagentur entwickeln und testen können — mit temporären Ausnahmen von bestimmten regulatorischen Anforderungen. Der EU AI Act verpflichtet die Mitgliedstaaten, solche Sandboxes einzurichten. Deutschland plant mehrere Reallabore, die insbesondere KMU und Start-ups den Einstieg in KI erleichtern sollen.

Wie unterscheidet sich das KI-MIG vom EU AI Act?

Der EU AI Act ist eine EU-Verordnung und gilt direkt in allen Mitgliedstaaten — er muss nicht in nationales Recht umgesetzt werden. Das KI-MIG ergänzt den EU AI Act um nationale Regelungen, die der EU AI Act den Mitgliedstaaten überlässt: die Benennung zuständiger Behörden (Bundesnetzagentur), die konkrete Ausgestaltung von Bußgeldverfahren, die Einrichtung von KI-Reallaboren und die Koordination zwischen Bundes- und Landesbehörden.

KI-Regulierung in Deutschland diskutieren

Vernetzen Sie sich mit Compliance-Verantwortlichen und IT-Leitern, die KI-MIG und EU AI Act umsetzen.

Kostenlos Slack beitreten →