Illustration mit EU-Buch, Schild, Verzweigung zu Säulengebäude und Fabrik sowie Akten.
Digital Business & Future 28.06.2026

Die KI-Aufsicht in Deutschland hat jetzt eine Adresse

6 Min. Lesezeit

Am 11. Juni 2026 hat der Bundestag das KI-MIG verabschiedet. Damit ist eine Frage geklärt, die seit dem Frühjahr offen war: Wer beaufsichtigt in Deutschland eigentlich den EU AI Act. Die Antwort heißt Bundesnetzagentur. Für mittelständische Betriebe ist das die erste belastbare Adresse, seit der AI Act anfängt, Pflichten zu verteilen.

Das Wichtigste in Kürze

  • Der Bundestag hat zugestimmt: Mit dem KI-Marktüberwachungs- und Innovationsförderungsgesetz, kurz KI-MIG, regelt Deutschland die nationale Aufsicht für den EU AI Act. Im April war diese Stelle noch im Aufbau.
  • Eine zentrale Adresse, viele bekannte: Die Bundesnetzagentur koordiniert, während die sektoralen Aufsichten wie die BaFin ihre Zuständigkeiten behalten. Für Betriebe bleibt der gewohnte Ansprechpartner.
  • Der Stichtag steht: Ab dem 2. August 2026 greifen die Pflichten für Hochrisiko-KI. Wer KI einsetzt, sollte bis dahin wissen, in welche Kategorie seine Anwendung fällt.

Verwandt:EU AI Act greift seit 6. April 2026: Was Mittelstands-Tech-Teams jetzt bis August klären müssen  /  Schatten-KI im Mittelstand: Was die heimliche Nutzung verrät

Was das KI-MIG entscheidet

Ein Gesetz mit dem Namen KI-Marktüberwachungs- und Innovationsförderungsgesetz klingt nach genau der Bürokratie, die es eigentlich vermeiden will. Der Inhalt ist nüchterner und für die Praxis wichtiger. Das KI-MIG legt fest, wer in Deutschland kontrolliert, ob Unternehmen die Vorgaben des EU AI Act einhalten. Diese Frage war lange unbeantwortet.

Im April sah die Lage anders aus. Wer damals wissen wollte, an wen er sich wendet, bekam keine klare Auskunft. Die zuständige Behörde war angekündigt, aber noch nicht eingesetzt. Genau das beschreibt der Beitrag EU AI Act greift seit 6. April 2026: Was Mittelstands-Tech-Teams jetzt bis August klären müssen. Mit dem Bundestagsbeschluss vom 11. Juni ist aus der Ankündigung ein verabschiedetes Gesetz geworden, das nun den Bundesrat passiert. An den Pflichten selbst ändert das nichts. An der Frage, wer sie durchsetzt, ändert es alles.

Wer jetzt wofür zuständig ist

Die Bundesnetzagentur wird zentrale Koordinierungsstelle, Marktüberwachungsbehörde und notifizierende Stelle. Das klingt nach einer einzigen großen Instanz, ist aber bewusst anders gebaut. Die Behörde koordiniert, prüft aber nicht alles selbst. Bestehende sektorale Aufsichten behalten ihre Bereiche, die BaFin etwa für den Finanzsektor.

Was ist das KI-MIG?

Das KI-Marktüberwachungs- und Innovationsförderungsgesetz ist das deutsche Gesetz zur Durchführung des EU AI Act. Es bestimmt die zuständigen Aufsichtsbehörden, regelt die Marktüberwachung für KI-Systeme und gibt der Bundesnetzagentur einen Auftrag zur Innovationsförderung mit. Es setzt den AI Act national um und benennt die zuständigen Behörden.

Für Unternehmen ist dieses Modell die gute Nachricht in der Sache. Wer bisher mit der BaFin zu tun hatte, hat es weiter mit der BaFin zu tun. Die Bundesnetzagentur sorgt im Hintergrund dafür, dass die Auslegung einheitlich bleibt und nicht jede Behörde den AI Act anders liest. Das nennt sich One-Stop-Shop. Praktisch heißt es, dass der bekannte Ansprechpartner bleibt.

Vier Dinge, die ein Mittelständler jetzt klären sollte

Die eigentliche Arbeit liegt im eigenen Betrieb. Vier Punkte entscheiden, ob der 2. August zum Routinetermin oder zur Hektik wird.

  1. Welche KI nutzen wir wirklich? Nicht die offizielle Liste zählt, sondern die tatsächliche Nutzung. Tools, die Teams ohne Freigabe einsetzen, fallen trotzdem unter die Regeln. Eine ehrliche Bestandsaufnahme ist der erste Schritt, sonst beaufsichtigt man eine Liste statt der Realität.
  2. In welche Risikoklasse fällt der Einsatz? Der AI Act unterscheidet nach Risiko. Die meisten Mittelstandsanwendungen sind kein Hochrisiko, aber das muss man wissen statt vermuten. Die Einordnung entscheidet über den Aufwand.
  3. Wer ist intern verantwortlich? Solange KI-Compliance niemandem gehört, gehört sie im Zweifel der Geschäftsführung. Eine benannte Person mit Mandat ist günstiger als ein Haftungsfall.
  4. Stimmt die Dokumentation? Wer KI-Systeme einkauft, braucht die Konformitätsnachweise der Anbieter. Diese jetzt einzufordern ist leichter als kurz vor einer Prüfung.

Keiner dieser Punkte verlangt ein großes Projekt. Sie verlangen eine Stunde Ehrlichkeit darüber, was im Betrieb tatsächlich läuft.

Was die Aufsicht dem Mittelstand anbietet

Das KI-MIG enthält neben den Aufsichtsregeln einen ausdrücklichen Innovationsauftrag für die Bundesnetzagentur. Vorgesehen ist ein KI-Service-Desk als niedrigschwellige Anlaufstelle, gedacht vor allem für kleinere Unternehmen und Start-ups. Dazu kommen soll ein Reallabor, in dem sich KI-Anwendungen in einem rechtssicheren Rahmen testen lassen, bevor sie in den Markt gehen.

2. August
2026 greifen die Pflichten für Hochrisiko-KI. Bis dahin sollte jeder Betrieb wissen, in welche Risikoklasse seine Anwendungen fallen.
Quelle: EU AI Act, Anwendungsbeginn Hochrisiko-Systeme

„Wir bauen keine zusätzliche Behörde mit Wasserkopf auf.“

Karsten Wildberger, Bundesminister für Digitales und Staatsmodernisierung

Den Ernst der Sache nimmt das Gesetz trotzdem nicht zurück. Der AI Act sieht für verbotene Praktiken Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes vor, bei anderen Verstößen entsprechend weniger. Diese Zahlen sind für einen Mittelständler theoretisch und werden es in der Praxis meist auch bleiben. Wichtiger ist der Reputationsschaden, wenn eine eingesetzte KI nachweislich gegen die Regeln verstößt. Genau davor schützt die unaufgeregte Vorarbeit aus dem vorigen Abschnitt.

Ob der Beratungsanspruch hält, zeigt sich erst im Betrieb. Ob aus dem Service-Desk mehr wird als eine FAQ-Seite, entscheidet sich daran, ob dort jemand wirklich abnimmt, wenn ein Mittelständler anruft. Die Idee ist richtig. Eine Aufsicht, die auch berät, gibt Unternehmen einen Grund, früh auf sie zuzugehen. Für den Mittelstand ist diese Anlaufstelle damit der interessantere Teil des Gesetzes.

Häufige Fragen

Was ist das KI-MIG genau?

Das KI-Marktüberwachungs- und Innovationsförderungsgesetz ist das deutsche Durchführungsgesetz zum EU AI Act. Es benennt die zuständigen Aufsichtsbehörden und regelt die Marktüberwachung für KI-Systeme in Deutschland.

An wen wendet sich ein Mittelständler bei KI-Fragen?

Die Bundesnetzagentur ist die zentrale Stelle und betreibt einen KI-Service-Desk für kleinere Unternehmen. In regulierten Branchen bleibt zusätzlich die bisherige Fachaufsicht zuständig, etwa die BaFin im Finanzsektor.

Ab wann gelten die Pflichten?

Der EU AI Act wird am 2. August 2026 für Hochrisiko-KI allgemein anwendbar. Verbotene Praktiken gelten bereits seit Februar 2025, Regeln für allgemeine KI-Modelle seit August 2025.

Ist mein KI-Einsatz automatisch Hochrisiko?

In den meisten Mittelstandsfällen nicht. Hochrisiko betrifft klar definierte Bereiche wie Personalauswahl oder kritische Infrastruktur. Die Einordnung sollte trotzdem dokumentiert vorliegen, nicht nur vermutet werden.

Was bringt das Reallabor der Bundesnetzagentur?

Im Reallabor lassen sich KI-Anwendungen in einem rechtssicheren Rahmen erproben, bevor sie produktiv gehen. Das senkt das Risiko, eine Lösung zu bauen, die später nicht zulassungsfähig ist.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

Bildquelle: KI-generiert (Juni 2026)

Auch verfügbar in

Ein Magazin der evernine media GmbH
Das Entscheider-Magazin für den DACH-Mittelstand DEENFRES
Newsletter