Zurück zur Übersicht
23.02.2026 Fachbeitrag

Deutsches Durchführungsgesetz zur KI-VO (KI-MIG)

Update Datenschutz Nr. 235, Update IP, Media & Technology Nr. 136

Mit der Verordnung (EU) 2024/1689 über künstliche Intelligenz (KI-VO) hat die Europäische Union im Sommer 2024 erstmals einen umfassenden Rechtsrahmen für Entwicklung, Inverkehrbringen und Einsatz von KI-Systemen geschaffen. Während die materiellen Anforderungen an KI-Systeme unmittelbar aus der Verordnung folgen (wir berichteten in Datenschutzupdate Nr. 185, 208), sind die Mitgliedstaaten verpflichtet, die nationale Aufsichts- und Durchsetzungsstruktur auszugestalten. Hierzu hat die Bundesregierung nach einem Referentenentwurf vom 12. September 2025 (wir berichteten) nun am 11. Februar 2026 den Regierungsentwurf für ein Gesetz zur Marktüberwachung und Innovationsförderung von künstlicher Intelligenz (KI-MIG) vorgelegt.

Der Entwurf regelt insbesondere die Zuständigkeit der Marktüberwachungsbehörden, ihre Zusammenarbeit sowie die nationale Ausgestaltung des Bußgeldverfahrens. Zugleich setzt er Akzente bei der Innovationsförderung, etwa durch die Einrichtung eines KI-Reallabors und koordinierender Kompetenzstrukturen. Auch wenn das Durchführungsgesetz keine neuen materiellen Pflichten für Unternehmen begründet, wird die künftige Aufsichtspraxis maßgeblich durch die nun vorgeschlagene Behördenarchitektur geprägt werden.

Im Folgenden stellen wir die zentralen Inhalte des Regierungsentwurfs dar und zeigen auf, welche strukturellen Weichenstellungen Unternehmen bereits jetzt im Blick behalten sollten.

I. Hintergrund und Zielsetzung

Die KI-VO gilt als EU-Verordnung unmittelbar in allen Mitgliedstaaten und schafft dabei einen einheitlichen Rechtsrahmen mit risikobasiertem Ansatz, der abgestufte Anforderungen von Transparenzpflichten bis hin zu umfassenden Vorgaben für Hochrisiko-KI-Systeme vorsieht.

Trotz ihrer unmittelbaren Geltung bedarf die KI-VO einer nationalen Flankierung. Die Mitgliedstaaten sind insbesondere verpflichtet zu bestimmen, welche Behörden für die Anwendung und Durchsetzung zuständig sind, wie Marktüberwachung und Notifizierung organisatorisch ausgestaltet werden, welche Stellen Bußgeldverfahren führen und Beschwerden bearbeiten und wie bestehende – etwa föderale – Verwaltungsstrukturen in die neue Aufsichtsarchitektur eingebunden werden.

Genau hier setzt der nun beschlossene Regierungsentwurf des KI-MIG an. Er konkretisiert die behördliche Zuständigkeitsverteilung, regelt Kooperationsmechanismen und schafft die verfahrensrechtlichen Grundlagen für Sanktionen. Zugleich verfolgt der Entwurf das Ziel, eine innovationsfreundliche und ressourcenschonende Umsetzung der KI-VO sicherzustellen und bestehende sektorspezifische Expertise systematisch einzubinden.

II. Zentrale Inhalte

1. Bundesnetzagentur als zentrale Marktüberwachungsbehörde

Kernstück des Entwurfs ist die Benennung der Bundesnetzagentur als zentrale Marktüberwachungsbehörde für die Einhaltung der KI-VO, soweit keine spezialgesetzlichen Zuständigkeiten greifen (§ 2 Abs. 1 KI-MIG). Damit entscheidet sich der Gesetzgeber für ein weitgehend zentralisiertes Modell mit einer klaren bundesweiten Anlaufstelle für KI-bezogene Aufsichtsfragen.

Die Begründung des Entwurfs stellt dabei ausdrücklich auf Effizienz- und Kohärenzgesichtspunkte ab: Eine Zersplitterung der Zuständigkeiten soll vermieden, divergierende Auslegungen der KI-VO verhindert und knappe KI-Fachkompetenzen gebündelt werden. Zugleich knüpft die Wahl der Bundesnetzagentur an deren zunehmende Rolle als Digitalaufsichtsbehörde an.

Für Unternehmen bedeutet dies: In allen nicht ausdrücklich Sektor bezogenen Konstellationen wird die Bundesnetzagentur künftig primärer Ansprechpartner für Fragen der Marktüberwachung, für aufsichtsrechtliche Maßnahmen sowie für die Durchsetzung von Pflichten nach der KI-VO sein.

Zur Unterstützung dieser zentralen Rolle sieht der Entwurf die Einrichtung eines Koordinierungs- und Kompetenzzentrums (KoKIVO) bei der Bundesnetzagentur vor (§ 5 KI-MIG). Das KoKIVO soll die Abstimmung zwischen den beteiligten Behörden strukturieren, Fachwissen bündeln und eine einheitliche Anwendung der KI-VO sicherstellen.

2. Sektorale Zuständigkeiten

Trotz der zentralen Rolle der Bundesnetzagentur bleibt es in bestimmten Bereichen bei bestehenden Aufsichtsstrukturen. Behörden, die bereits nach unionsrechtlichen Harmonisierungsrechtsvorschriften als Marktüberwachungsbehörden tätig sind, übernehmen diese Funktion auch für KI-Systeme, die mit den jeweiligen Produkten in Zusammenhang stehen (§ 2 Abs. 2 KI-MIG).

Dies betrifft insbesondere regulierte Produktsektoren wie etwa Maschinen, Medizinprodukte, Kraftfahrzeuge oder andere durch Anhang I der KI-VO erfasste Bereiche. Ziel ist es, bestehende sektorspezifische Expertise zu nutzen und Unternehmen keine vollständig neuen Aufsichtsstrukturen zuzumuten.

Eine besondere Regelung gilt zudem für den Finanzsektor: Für KI-Systeme, die in unmittelbarem Zusammenhang mit regulierten Finanzdienstleistungen stehen – etwa im Bereich Kreditwürdigkeitsprüfung, Bonitätsbewertung oder versicherungsmathematischer Risikobewertung –, soll die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als Marktüberwachungsbehörde zuständig sein. Damit wird die KI-Aufsicht in die bestehende Finanzmarktaufsicht integriert.

Auch föderale Besonderheiten werden berücksichtigt: Soweit KI-Systeme von öffentlichen Stellen der Länder in Verkehr gebracht oder verwendet werden, obliegt die Marktüberwachung den jeweils nach Landesrecht bestimmten Behörden. Der Entwurf wahrt damit die föderale Kompetenzordnung und integriert die Länder in die neue Aufsichtsarchitektur. An dieser Stelle könnte dann aber eine Zersplitterung der Kompetenzen und eine unterschiedliche Auslegung einzelner Punkte der KI-VO entstehen.

3. Innovationsförderung: KI-Reallabor und Testmöglichkeiten

Neben der Marktüberwachung setzt der Entwurf ausdrücklich auf innovationsfördernde Instrumente. Die Bundesnetzagentur soll insbesondere für die Einrichtung und den Betrieb eines nationalen KI-Reallabors zuständig sein. Dieses Instrument knüpft an die Vorgaben der KI-VO an, die den Mitgliedstaaten die Schaffung regulatorischer Reallabore nahelegt.

Das KI-Reallabor soll Unternehmen – insbesondere auch Start-ups und KMU – die Möglichkeit eröffnen, KI-Systeme unter behördlicher Begleitung zu entwickeln und zu testen. Ziel ist es, regulatorische Anforderungen frühzeitig zu klären und Innovationen nicht durch Rechtsunsicherheiten zu hemmen.

Darüber hinaus sieht der Entwurf Testmöglichkeiten für Hochrisiko-KI-Systeme vor. Diese sollen es erlauben, bestimmte Systeme unter kontrollierten Bedingungen zu erproben und regulatorische Fragestellungen vor einem breiten Markteinsatz zu adressieren. Die für die Behandlung und Einstufung solcher Systeme geplanten Leitlinien stehen leider noch aus, obwohl die KI-VO diese bis zum 2. Februar 2026 fordert.

III. Was bedeutet das für Unternehmen?

Auch wenn das KI-MIG keine neuen materiellen Pflichten schafft, markiert es einen wichtigen Übergang von der normativen Ebene der KI-VO zur praktischen Durchsetzung in Deutschland. Unternehmen sollten die nun konkretisierte Aufsichtsarchitektur zum Anlass nehmen, ihre internen Strukturen und Prozesse strategisch zu überprüfen.

1. Zuständigkeitsanalyse frühzeitig durchführen

Zunächst empfiehlt sich eine sorgfältige Analyse der künftigen behördlichen Zuständigkeit. Je nach Geschäftsmodell kann entweder die Bundesnetzagentur als zentrale Marktüberwachungsbehörde, eine bereits bestehende sektorspezifische Marktaufsicht oder im Finanzsektor die BaFin zuständig sein. Gerade bei technologieoffenen Plattformmodellen oder Konzernstrukturen mit unterschiedlichen Produktlinien kann es zu parallelen Zuständigkeiten kommen. Eine frühzeitige Klärung erleichtert spätere Abstimmungen mit den Behörden erheblich und reduziert das Risiko von Verzögerungen in Genehmigungs- oder Prüfprozessen.

2. KI-Governance an die neue Aufsichtsstruktur anpassen

Darüber hinaus sollten Unternehmen ihre KI-Governance an die neue Durchsetzungsrealität anpassen. Die KI-VO verlangt von den Anbietern bereits ein strukturiertes Risikomanagement, umfassende Dokumentationspflichten und ein System zur Überwachung nach dem Inverkehrbringen von Hochrisiko-KI-Systemen. Aber auch die Betreiber solcher Systeme treffen einige Pflichten, wie etwa Überwachungs- und Informationspflichten.

Mit der nun klar definierten Aufsichtsstruktur steigt die Wahrscheinlichkeit koordinierter Prüfungen und sektorenübergreifender Abstimmungen zwischen Behörden. Es empfiehlt sich daher, interne Zuständigkeiten eindeutig zu definieren, Schnittstellen zwischen Datenschutz, Produktsicherheitsrecht, IT-Sicherheit und regulatorischer Compliance systematisch abzubilden und bestehende Kontrollmechanismen auf ihre Belastbarkeit zu überprüfen.

3. Reallabor- und Testmöglichkeiten prüfen

Zugleich sollten die vorgesehenen innovationsfördernden Instrumente strategisch bewertet werden. Das geplante KI-Reallabor eröffnet die Möglichkeit, neue oder regulatorisch komplexe KI-Anwendungen unter behördlicher Begleitung zu testen. Für Unternehmen mit innovativen Hochrisiko-Systemen kann dies ein geeignetes Instrument sein, um frühzeitig Rechtssicherheit zu erlangen und regulatorische Anforderungen in die Produktentwicklung zu integrieren. Eine bewusste Einbettung solcher Testphasen in die Entwicklungsstrategie kann nicht nur Risiken minimieren, sondern auch Investitionsentscheidungen absichern.

4. Vorbereitung auf Aufsichts- und Bußgeldverfahren

Schließlich empfiehlt sich eine strukturierte Vorbereitung auf mögliche Aufsichts- und Bußgeldverfahren. Klare interne Prozesse für den Umgang mit behördlichen Anfragen, definierte Eskalationsmechanismen sowie abgestimmte Kommunikationsstrategien sind zentrale Bausteine eines belastbaren Compliance-Systems. Angesichts der vorgesehenen Evaluierungen der Behördenstruktur auf nationaler und europäischer Ebene ist zudem ein fortlaufendes Monitoring der weiteren Rechtsentwicklung angezeigt. Man kann davon ausgehen, dass Bußgelder niedriger ausfallen, wenn man dokumentieren kann, sich zumindest bemüht zu haben, die bestehenden Anforderungen zu erfüllen.

IV. Fazit und Ausblick

Mit dem KI-MIG schafft der Gesetzgeber die organisatorischen Voraussetzungen für die wirksame Durchsetzung der KI-VO in Deutschland. Die materiellen Pflichten ergeben sich weiterhin unmittelbar aus der europäischen Verordnung; maßgeblich für die Praxis wird jedoch die nun vorgesehene Behördenarchitektur mit der Bundesnetzagentur als zentraler Marktüberwachungsbehörde und klar definierten sektoralen Zuständigkeiten.

Der Regierungsentwurf vom 11. Februar 2026 wird nun in das parlamentarische Gesetzgebungsverfahren eingebracht. Nach Beratung im Bundestag und Befassung des Bundesrates ist angesichts der unionsrechtlichen Fristen mit einem zügigen Abschluss zu rechnen. Größere strukturelle Änderungen erscheinen derzeit eher unwahrscheinlich.

Unternehmen sollten die weitere Entwicklung aufmerksam begleiten und ihre KI-Compliance bereits jetzt an der absehbaren Aufsichtsstruktur ausrichten. Mit Inkrafttreten des KI-MIG wird die Durchsetzung der KI-VO in Deutschland konkretisiert und damit auch die aufsichtsrechtliche Praxis spürbar an Dynamik gewinnen.

Als PDF herunterladen
Datenschutz & Datenrecht
IP, Media & Technology
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Dominik Eickemeier
Köln

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Dominik Eickemeier
Köln

Weitere Artikel

19.02.2026
NIS-2: Registrierungspflicht bis zum 6. März 2026 – Jetzt handeln!
13.02.2026
Neuer Widerrufsbutton: Was Unternehmen bis zum 19. Juni 2026 umsetzen müssen
12.02.2026
„Mogelpackungen“ – Alles nur heiße Luft oder handfestes Risiko?
11.02.2026
28. Regime für innovative Unternehmen: Wie ein optionaler EU Rahmen Gründung und Skalierung erleichtern soll
26.01.2026
EU-Datenräume im Aufbruch: Was Unternehmen jetzt rechtlich wissen müssen
22.01.2026
EU-Digitalrecht 2026: Welche Änderungen sind auf nationaler Ebene zu erwarten?
20.01.2026
Digitalrecht im Wandel: Was das EU-Mercosur Abkommen jetzt für Unternehmen bedeutet
15.01.2026
Neue Entscheidung aus Luxemburg bricht bestehende Grundsätze in der Plattformhaftung auf
09.01.2026
Auswirkungen der Rechtswidrigkeit einer anfänglichen Verarbeitung personenbezogener Daten auf die Weiterverarbeitung durch einen anderen Verantwortlichen
09.01.2026
EuGH verneint Provider-Privileg bei DSGVO-Verstößen: „Russmedia“ erhöht Pflichten für Plattformbetreiber
07.01.2026
EU-Digitalrecht 2026: Die wichtigsten Neuerungen im Überblick
22.12.2025
AI ACT: Wie müssen Unternehmen KI-generierte Inhalte kennzeichnen?

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.