Neben dem EU AI Act entwickelt Deutschland ein eigenes nationales KI-Gesetz: das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG). Anfang 2026 hat der Gesetzentwurf das Bundeskabinett passiert und geht nun in den parlamentarischen Prozess.
Was regelt das KI-MIG – und was bedeutet es für Unternehmen in Deutschland?
Was das KI-MIG regelt
Das KI-MIG ist kein eigener Rechtsrahmen neben dem EU AI Act, sondern ein nationales Umsetzungs- und Ergänzungsgesetz. Es regelt drei Hauptbereiche:
1. Marktüberwachung und nationale Zuständigkeiten Das KI-MIG benennt die zuständigen deutschen Behörden für die Umsetzung und Durchsetzung des EU AI Act. Die Bundesnetzagentur wird als Leitstelle für die GPAI-Aufsicht bestätigt, weitere Behörden (z.B. das BSI für Cybersicherheitsaspekte, die Bundesdatenschutzbehörde für Datenschutzfragen) werden in einem Koordinierungsrahmen verankert.
2. Innovationsförderung Das „IF" im Namen steht für Innovationsförderung: Das KI-MIG schafft Rechtssicherheit für KI-Reallabore – also kontrollierte Testumgebungen, in denen Unternehmen neue KI-Anwendungen erproben können, ohne sofort alle regulatorischen Anforderungen vollständig erfüllen zu müssen. Das ist primär für größere Unternehmen und Forschungseinrichtungen relevant.
3. Beschwerdemechanismus und Sanktionen Das KI-MIG legt fest, wie Bürger und Unternehmen Beschwerden über KI-Systeme einreichen können, und definiert die nationalen Sanktionsprozesse in Ergänzung zu den EU-Vorgaben.
Was sich für KMU ändert – und was nicht
Was sich ändert:
Durch das KI-MIG werden die nationalen Ansprechpartner für Fragen zur KI-Compliance klarer definiert. Für KMU, die Fragen zur EU AI Act-Konformität haben, gibt es damit klarere Anlaufstellen – auch wenn die Mehrheit der Anfragen weiterhin an die bestehenden Datenschutzbehörden oder Berufsverbände gerichtet werden.
Was sich nicht ändert:
Die grundlegenden Pflichten bleiben dieselben. Art. 4 (KI-Kompetenzpflicht) gilt weiterhin. Verbotene KI-Praktiken nach Art. 5 des EU AI Act bleiben verboten. Die Hochrisiko-Anforderungen, die ab August 2026 vollständig gelten, werden durch das KI-MIG nicht aufgeweicht.
Die KI-Beauftragten-Frage
Im Zusammenhang mit dem KI-MIG wird in Fachkreisen diskutiert, ob ein KI-Beauftragter (ähnlich dem Datenschutzbeauftragten) für bestimmte Unternehmensgruppen verpflichtend wird. Das KI-MIG sieht dies nicht als allgemeine Pflicht vor – es gibt keine generelle Verpflichtung zur Bestellung eines KI-Beauftragten für alle Unternehmen.
Was es gibt: Eine faktische Notwendigkeit für Unternehmen, die Hochrisiko-KI einsetzen. Ohne interne Zuständigkeit und Kompetenz lassen sich die Dokumentations- und Aufsichtspflichten kaum erfüllen. Ob das ein dedizierter Beauftragter sein muss oder eine kombinierte Rolle (z.B. Datenschutzbeauftragter mit KI-Erweiterung), hängt vom Unternehmen ab.
Zeitlinie
| Schritt | Zeitpunkt |
|---|---|
| Kabinettsbeschluss | Februar 2026 |
| Parlamentarische Beratung (erster Durchgang) | Frühjahr 2026 |
| Bundestagsabstimmung (geplant) | Herbst 2026 |
| Inkrafttreten | Ende 2026 / Anfang 2027 |
Die Zeitlinie ist ein Richtwert – parlamentarische Verfahren verlaufen selten exakt wie geplant.
Was KMU jetzt tun sollten
Das KI-MIG ändert nichts an den bereits geltenden Anforderungen. Was KMU jetzt tun sollten – unabhängig vom parlamentarischen Verfahren:
- KI-Inventar: Welche KI-Systeme werden eingesetzt?
- Art. 4-Schulungen: Noch nicht durchgeführt? Jetzt nachholen.
- KI-Richtlinie: Interne Regeln für den KI-Einsatz schriftlich festhalten
- Hochrisiko-Check: Betreffe ich Anhang III des EU AI Act?
Diese vier Schritte schaffen die Basis – egal wie das KI-MIG letztlich ausgestaltet wird.
ScaleWise unterstützt KMU in Bayern bei der EU AI Act- und KI-MIG-konformen Gestaltung ihres KI-Einsatzes. Schulungen nach Art. 4 mit Zertifikat, BAFA-gefördert, persönlich in Niederbayern und Mittelfranken.