KI-MIG ist beschlossen: Die Aufsicht ist nun klar

Das Bundeskabinett hat am 11. Februar 2026 das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) beschlossen. Damit steht fest, welche Behörden in Deutschland für die Umsetzung des EU AI Act zuständig sind. Für kleine und mittlere Unternehmen bedeutet das vor allem eines: Endlich gibt es Klarheit.

Worum es beim KI-MIG geht

Der EU AI Act gilt als EU-Verordnung unmittelbar in allen Mitgliedstaaten. Was er jedoch nicht regelt: Welche nationale Behörde für Aufsicht, Beratung und Sanktionen zuständig ist. Diese Lücke schließt das KI-MIG. Es benennt die zuständigen Behörden, regelt deren Zusammenarbeit und definiert die Bußgeldvorschriften bei Verstößen.

Eigentlich hätte Deutschland diese Strukturen bereits bis August 2025 etablieren müssen. Die vorgezogene Bundestagswahl verzögerte den Prozess. Mit dem gestrigen Kabinettsbeschluss ist der Weg nun frei für das parlamentarische Verfahren in Bundestag und Bundesrat.

BNetzA wird zentrale Anlaufstelle

Für die private Wirtschaft wird die Bundesnetzagentur zur zentralen Marktüberwachungsbehörde. Das gilt insbesondere für Unternehmen, die KI-Systeme einsetzen oder bereitstellen und nicht bereits einer sektorspezifischen Aufsicht unterliegen.

Der Gesetzgeber verfolgt dabei einen hybriden Ansatz. Bestehende Aufsichtsstrukturen bleiben erhalten: Die BaFin überwacht Hochrisiko-KI im Finanzsektor, die etablierten Produktaufsichtsbehörden bleiben für ihre jeweiligen Bereiche zuständig. Für alle anderen Fälle greift die BNetzA. Unternehmen behalten damit ihre gewohnten Ansprechpartner, sofern diese bereits existieren.

KoKIVO als Service-Zentrum

Bei der Bundesnetzagentur entsteht das Koordinierungs- und Kompetenzzentrum für die KI-Verordnung, kurz KoKIVO. Es bündelt KI-Expertise und stellt diese anderen Behörden zur Verfügung. Für Unternehmen relevanter ist jedoch eine andere Funktion: Der bereits aktive KI-Service-Desk richtet sich gezielt an kleine und mittlere Unternehmen sowie Start-ups.

Zusätzlich sieht das KI-MIG KI-Reallabore vor. Diese Testumgebungen ermöglichen es, innovative KI-Anwendungen unter vereinfachten regulatorischen Bedingungen zu erproben. KMU und Start-ups mit Sitz in der EU erhalten dabei vorrangigen Zugang. Das ist ein klares Signal: Der Gesetzgeber will Regulierung und Innovation verbinden, nicht gegeneinander ausspielen.

Kein zusätzlicher nationaler Aufschlag

Ein wichtiges Detail des Gesetzentwurfs: Deutschland verzichtet auf zusätzliche nationale Anforderungen über den EU AI Act hinaus. Das Digitalministerium betont ausdrücklich die innovationsoffene Umsetzung. Für Unternehmen heißt das: Wer die EU-Verordnung erfüllt, erfüllt auch die deutschen Anforderungen. Es gibt keinen nationalen Sonderweg mit verschärften Regeln.

Das unterscheidet den KI-Bereich von manchen anderen Regulierungsfeldern, wo deutsche Umsetzungsgesetze zusätzliche Hürden aufbauten. Die Botschaft ist klar: Compliance-Aufwand soll sich auf das europäisch Vorgeschriebene beschränken.

Was das für die Praxis bedeutet

Mit dem KI-MIG verschwindet eine wesentliche Unsicherheit. Die Frage, an wen sich ein mittelständisches Unternehmen bei KI-Compliance-Fragen wenden kann, hat nun eine Antwort. Das ändert jedoch nichts an den inhaltlichen Anforderungen des EU AI Act selbst.

Die Pflicht zur KI-Kompetenz nach Artikel 4 gilt bereits seit Februar 2025. Verbotene KI-Praktiken sind ebenfalls längst untersagt. Die umfassenden Pflichten für Hochrisiko-KI-Systeme greifen ab dem 2. August 2026. Wer bis dahin keine Übersicht über seine KI-Systeme hat, keine Risikoklassifizierung durchgeführt und keine entsprechenden Prozesse etabliert hat, gerät in Zeitnot.

Jetzt handeln statt abwarten

Die Aufsichtsstruktur steht. Die Fristen laufen. Was fehlt, ist bei vielen Unternehmen die interne Vorbereitung. Der erste Schritt bleibt dabei unverändert: Ein vollständiges KI-Register aufbauen. Ohne Transparenz über die eigenen KI-Systeme lässt sich weder die Risikoklasse bestimmen noch eine sinnvolle Compliance-Strategie entwickeln.

Ein systematischer Erfassungsprozess identifiziert nicht nur offensichtliche KI-Anwendungen, sondern auch eingebettete KI-Funktionen in bestehender Software und nicht genehmigte Schatten-KI. Darauf aufbauend folgt die Risikoklassifizierung, die den weiteren Compliance-Aufwand bestimmt.

Der Kabinettsbeschluss ist keine Entwarnung. Er ist das Signal, dass es jetzt ernst wird. Das NADOVO Framework bietet einen strukturierten Pfad von der Bestandsaufnahme bis zum kontinuierlichen Monitoring. Die Behördenstruktur ist geklärt. Die Verantwortung für die eigene KI-Compliance liegt weiterhin beim Unternehmen selbst.

Über den Autor

Jochen Stier ist AI Compliance Experte mit über 20 Jahren Erfahrung in Prozessmanagement und IT Service Management. Er unterstützt deutsche KMUs dabei, die Anforderungen des EU AI Act systematisch und pragmatisch umzusetzen. Sein 5-Phasen Framework NADOVO verbindet regulatorische Anforderungen mit praktischer Umsetzbarkeit, ohne Enterprise-Budgets oder komplexe Tools.