KI-Regulierung in Deutschland
Was KMU jetzt über den EU AI Act und das neue deutsche KI-Gesetz (KI-MIG) wissen müssen — kompakt, verständlich und mit konkreten Handlungsempfehlungen.
EU AI Act: Der europäische Rahmen
Der EU AI Act ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Er ordnet KI-Systeme in Risikoklassen ein und leitet daraus Pflichten ab — von der Dokumentation bis zum Verbot. Betroffen sind nicht nur Entwickler, sondern auch Unternehmen, die KI-Systeme einsetzen oder integrieren.
Die zentralen Risikoklassen:
- Verboten: Social Scoring, unterschwellige Manipulation, biometrische Echtzeit-Überwachung (bereits seit Februar 2025)
- Hochrisiko: KI in HR, Kreditvergabe, kritischer Infrastruktur, Bildung — strenge Pflichten ab August 2026
- Begrenztes Risiko: Chatbots, Deepfakes — Transparenzpflichten (Kennzeichnung)
- Minimales Risiko: Spamfilter, Empfehlungssysteme — keine besonderen Auflagen
KI-MIG: Die deutsche Umsetzung
Das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) ist das deutsche Begleitgesetz zum EU AI Act. Kabinettsbeschluss war am 11. Februar 2026, die parlamentarische Beratung läuft. Ziel: Verabschiedung vor der Sommerpause 2026.
Was das KI-MIG regelt:
- Bundesnetzagentur als zentrale KI-Behörde: Koordiniert die Marktüberwachung, nimmt Beschwerden entgegen und übernimmt Auffangzuständigkeit, wenn keine Fachbehörde zuständig ist
- KI-Service Desk: Seit Juli 2025 aktiv — bietet einen Compliance-Kompass, Praxisinfos und regelmäßige Veranstaltungen (KI-Café) für Unternehmen
- KI-Reallabore: Testumgebungen unter vereinfachten Bedingungen, bevorzugt für KMU und Start-ups
- Bußgelder: Bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes. Persönliche Geschäftsführerhaftung möglich
Zeitachse: Was gilt wann?
Alle Unternehmen, die KI einsetzen, müssen sicherstellen, dass Mitarbeiter über ausreichende KI-Kompetenz verfügen (Art. 4 EU AI Act).
Verbotene KI-Praktiken (Social Scoring, manipulative Systeme) dürfen nicht mehr eingesetzt werden.
Dokumentation, Risikomanagement, menschliche Aufsicht und Konformitätsbewertung für Hochrisiko-KI-Systeme. Das ist die zentrale Deadline für die meisten Unternehmen.
Der Digital Omnibus der EU könnte die Hochrisiko-Fristen auf Ende 2027 verschieben. Stand heute ist August 2026 die verbindliche Deadline.
Was KMU jetzt tun sollten
Sie müssen nicht alles auf einmal umsetzen. Aber Sie sollten wissen, wo Sie stehen. Drei Schritte helfen bei der Orientierung:
1. KI-Kompetenz sicherstellen
Die KI-Kompetenzpflicht gilt bereits seit Februar 2025. Dokumentieren Sie, welche Mitarbeiter mit KI arbeiten und wie sie geschult werden. Das muss kein aufwändiges Programm sein — aber es muss nachweisbar sein.
2. KI-Systeme inventarisieren und einordnen
Erstellen Sie eine Übersicht aller KI-Systeme, die Sie einsetzen oder planen. Ordnen Sie jedes System einer Risikoklasse zu. Bei Hochrisiko-Systemen: Frühzeitig mit Dokumentation und Risikomanagement beginnen.
3. Governance-Grundlagen schaffen
Definieren Sie Verantwortlichkeiten: Wer entscheidet über KI-Einsatz? Wer kontrolliert? Wer dokumentiert? Ein schlankes Rollenmodell reicht für den Anfang — wichtig ist, dass es existiert und gelebt wird.
Hilfsangebote und Ressourcen
- BNetzA KI-Service Desk: Kostenlose Orientierung zu Compliance-Fragen, Compliance-Kompass und regelmäßige Veranstaltungen
- KI-Reallabore: Testumgebungen für innovative KI-Anwendungen unter vereinfachten regulatorischen Bedingungen
- BAFA-Förderung: KI-Beratung für KMU kann über das BAFA-Förderprogramm mit bis zu 50 % bezuschusst werden — vorausgesetzt, der Berater ist BAFA-registriert
- EU AI Act Explorer: Online-Tool zur Selbsteinschätzung der Risikoklasse
Unsicher, ob Ihr Unternehmen betroffen ist?
Im kostenlosen 30-Minuten-Erstgespräch klären wir gemeinsam, wo Sie stehen und was die sinnvollsten nächsten Schritte sind.
Erstgespräch vereinbarenStand: Februar 2026. Diese Seite wird bei relevanten Änderungen aktualisiert.