Deutschland setzt den AI Act um: Was das neue KI-Gesetz für Unternehmen bedeutet
Fast zwei Jahre nach Inkrafttreten des europäischen AI Acts schafft Deutschland den nationalen Rechtsrahmen für die Überwachung und Umsetzung der neuen KI-Regeln. Mit dem KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) erhält die Bundesnetzagentur eine zentrale Rolle bei der Kontrolle von Künstlicher Intelligenz. Wirtschaft und Verbände begrüßen zwar die gewonnene Rechtssicherheit, warnen jedoch gleichzeitig vor unterschiedlichen Auslegungen in den Bundesländern und zusätzlicher Bürokratie. Für Unternehmen beginnt damit eine neue Phase im Umgang mit Künstlicher Intelligenz.
Deutschland schließt eine wichtige Lücke
Mit der Verabschiedung des KI-Marktüberwachungs- und Innovationsförderungsgesetzes, kurz KI-MIG, setzt Deutschland die europäische KI-Verordnung, den AI Act, nun auch auf nationaler Ebene um. Während die europäische Verordnung bereits den rechtlichen Rahmen vorgibt, regelt das nationale Gesetz, welche Behörden künftig für Aufsicht, Marktüberwachung und Durchsetzung zuständig sind.
Für viele Unternehmen kommt dieser Schritt nicht überraschend. Seit Inkrafttreten des AI Acts warteten zahlreiche Betriebe darauf, welche Institutionen künftig Ansprechpartner sein werden und wie die neuen Vorgaben praktisch umgesetzt werden sollen. Gerade Unternehmen, die KI-Anwendungen entwickeln oder bereits produktiv einsetzen, benötigen Planungssicherheit, um Investitionen und Entwicklungsprojekte langfristig auszurichten.
Die Bundesregierung verfolgt mit dem KI-MIG das Ziel, einen innovationsfreundlichen und gleichzeitig verlässlichen Rechtsrahmen zu schaffen. Künstliche Intelligenz soll sich in Deutschland wirtschaftlich entfalten können, ohne dabei Sicherheit, Datenschutz oder Grundrechte zu vernachlässigen.
Die Bundesnetzagentur übernimmt eine Schlüsselrolle
Im Mittelpunkt des neuen Gesetzes steht die Bundesnetzagentur.
Sie wird künftig überall dort als Marktüberwachungsbehörde tätig, wo keine spezialisierten Fachbehörden zuständig sind. In Bereichen wie dem Finanzwesen oder der Medizintechnik bleiben bestehende Aufsichtsstrukturen erhalten. Für viele andere Anwendungen übernimmt jedoch künftig die Bonner Behörde die Verantwortung.
Darüber hinaus entsteht innerhalb der Bundesnetzagentur ein neues Koordinierungs- und Kompetenzzentrum. Es soll die Zusammenarbeit zwischen den verschiedenen Behörden organisieren, Fachwissen bündeln und als zentraler Ansprechpartner gegenüber europäischen Institutionen fungieren.
Auch Bürger erhalten künftig eine feste Anlaufstelle. Beschwerden über mögliche Verstöße gegen die Vorschriften des AI Acts können an die Bundesnetzagentur gerichtet und von dort an die zuständigen Fachbehörden weitergeleitet werden.
Ein weiterer Bestandteil des Gesetzes sind sogenannte KI-Reallabore. Dort sollen Unternehmen, Start-ups und Forschungseinrichtungen neue Anwendungen unter behördlicher Begleitung testen können. Ziel ist es, Innovationen zu fördern und gleichzeitig praktische Erfahrungen mit den neuen gesetzlichen Anforderungen zu sammeln.
Der risikobasierte Ansatz bleibt das Herzstück
Das deutsche Umsetzungsgesetz übernimmt den grundlegenden Ansatz des europäischen AI Acts. Nicht jede KI-Anwendung wird gleich behandelt. Stattdessen orientiert sich die Regulierung am möglichen Risiko einer Anwendung.
KI-Systeme mit einem inakzeptablen Risiko sind innerhalb der Europäischen Union bereits verboten. Dazu gehören Anwendungen, die Grundrechte verletzen oder Menschen gezielt manipulieren beziehungsweise eine erhebliche Gefahr für Sicherheit und Gesundheit darstellen.
Für sogenannte Hochrisiko-KI gelten umfangreiche Anforderungen. Dazu zählen beispielsweise Anwendungen in kritischen Infrastrukturen, im Gesundheitswesen, im Personalmanagement oder bei sicherheitsrelevanten Entscheidungen. Entwickler und Betreiber müssen unter anderem umfassende Dokumentationen führen, Risiken bewerten und die Nachvollziehbarkeit ihrer Systeme sicherstellen.
Die meisten kommerziellen Anwendungen bewegen sich jedoch in niedrigeren Risikoklassen. Chatbots, Empfehlungssysteme oder KI-gestützte Bürosoftware unterliegen deutlich geringeren Anforderungen. Für Systeme mit minimalem Risiko gelten überwiegend freiwillige Empfehlungen, etwa hinsichtlich Transparenz und verantwortungsvollem Einsatz.
Gerade dieser risikobasierte Ansatz soll verhindern, dass einfache Alltagsanwendungen unnötig reguliert werden, während gleichzeitig besonders sensible Bereiche streng überwacht werden.
Teil 2:
Zwischen Rechtssicherheit und neuer Bürokratie
Die Verabschiedung des KI-MIG wird von vielen Unternehmen grundsätzlich positiv bewertet. Nach Monaten der Unsicherheit steht nun fest, welche Behörden künftig für die Aufsicht zuständig sind und wie die europäische KI-Verordnung in Deutschland organisatorisch umgesetzt wird.
Gerade für Unternehmen, die bereits heute KI-Anwendungen entwickeln oder einsetzen, schafft dies ein Stück Planungssicherheit. Gleichzeitig macht sich jedoch die Sorge breit, dass der praktische Vollzug deutlich komplizierter werden könnte als der eigentliche Gesetzestext vermuten lässt.
Der Digitalverband Bitkom begrüßt zwar die Benennung der Bundesnetzagentur als zentrale Koordinierungsstelle, warnt jedoch davor, dass die praktische Umsetzung in den Bundesländern auseinanderlaufen könnte. Nach Ansicht des Verbandes muss die Bundesnetzagentur ihre koordinierende Rolle mit verbindlichen Vorgaben wahrnehmen. Andernfalls drohten unterschiedliche Auslegungen des AI Acts in den einzelnen Ländern.
Eine solche Entwicklung hätte erhebliche Folgen. Unternehmen, die bundesweit tätig sind oder KI-Produkte deutschlandweit vertreiben, könnten sich im schlimmsten Fall mit unterschiedlichen Anforderungen verschiedener Landesbehörden auseinandersetzen müssen. Genau das wollte der europäische Gesetzgeber mit einer einheitlichen KI-Verordnung eigentlich vermeiden.
Ähnliche Bedenken äußert auch der KI Bundesverband. Er sieht die Gefahr, dass Unternehmen künftig mit zahlreichen unterschiedlichen Ansprechpartnern und Verwaltungsverfahren konfrontiert werden. Besonders für kleine und mittlere Unternehmen könnte dies zusätzlichen organisatorischen Aufwand bedeuten. Gleichzeitig stellt sich die Frage, ob alle zuständigen Behörden überhaupt ausreichend Personal und technisches Fachwissen besitzen, um die komplexen Anforderungen moderner KI-Systeme beurteilen zu können.
Fehlende Transparenz bleibt ein Kritikpunkt
Neben der organisatorischen Umsetzung gibt es weitere Kritikpunkte.
Mehrere Wissenschaftler und Vertreter der Zivilgesellschaft bemängeln, dass das Gesetz auf einige ursprünglich diskutierte Instrumente verzichtet. So wurde weder ein verpflichtendes Transparenzregister für den Einsatz von KI in Behörden geschaffen noch ein dauerhaft unabhängiger KI-Beirat gesetzlich verankert.
Befürworter solcher Instrumente argumentieren, dass gerade staatliche Stellen beim Einsatz von Künstlicher Intelligenz eine besondere Verantwortung tragen. Bürger sollten nachvollziehen können, wann automatisierte Systeme Entscheidungen vorbereiten oder unterstützen. Gleichzeitig könne ein unabhängiges Expertengremium dazu beitragen, technische Entwicklungen frühzeitig zu bewerten und Gesetzgeber sowie Behörden kontinuierlich zu beraten.
Die Bundesregierung setzt stattdessen zunächst auf die neuen Strukturen innerhalb der Bundesnetzagentur und verweist darauf, dass das Gesetz regelmäßig überprüft und bei Bedarf weiterentwickelt werden soll.
Was Unternehmen jetzt konkret tun sollten
Für Unternehmen bedeutet das KI-MIG keineswegs, dass sämtliche bestehende KI-Anwendungen kurzfristig angepasst werden müssen. Dennoch sollten Betriebe die neuen Regelungen zum Anlass nehmen, den eigenen KI-Einsatz systematisch zu überprüfen.
Dazu gehört zunächst eine Bestandsaufnahme aller eingesetzten KI-Anwendungen. Viele Unternehmen nutzen heute bereits Sprachmodelle, Chatbots oder KI-gestützte Software, ohne dass diese zentral dokumentiert werden. Künftig wird es wichtiger, den Überblick darüber zu behalten, welche Systeme eingesetzt werden, welche Daten verarbeitet werden und welche Risiken damit verbunden sein könnten.
Ebenso empfiehlt sich die Einführung klarer Verantwortlichkeiten innerhalb des Unternehmens. Wer entscheidet über den Einsatz neuer KI-Anwendungen? Wer bewertet mögliche Risiken? Und wer stellt sicher, dass gesetzliche Dokumentationspflichten eingehalten werden?
Besonders größere Unternehmen richten hierfür inzwischen eigene KI-Governance-Strukturen ein. Sie entwickeln interne Leitlinien für den Umgang mit Künstlicher Intelligenz, definieren Freigabeprozesse und schulen ihre Mitarbeiter regelmäßig im sicheren und verantwortungsvollen Einsatz neuer Systeme.
Für kleine und mittlere Unternehmen müssen solche Prozesse nicht zwangsläufig komplex sein. Auch hier können einfache Richtlinien, transparente Verantwortlichkeiten und regelmäßige Schulungen bereits dazu beitragen, rechtliche Risiken deutlich zu reduzieren und den Einsatz von KI langfristig sicher zu gestalten.
Teil 3:
Rechtssicherheit kann zum Standortvorteil werden
Die neuen Vorgaben werden in Teilen der Wirtschaft vor allem als zusätzliche Belastung wahrgenommen. Dokumentationspflichten, Risikobewertungen und interne Kontrollprozesse verursachen zunächst Kosten. Besonders für kleinere Unternehmen besteht die Gefahr, dass fehlende Rechts- und Technikabteilungen den Einstieg in anspruchsvollere KI-Anwendungen erschweren.
Dennoch kann ein verlässlicher Rechtsrahmen auch wirtschaftliche Vorteile bieten. Unternehmen investieren eher in neue Technologien, wenn Zuständigkeiten, Anforderungen und Haftungsrisiken frühzeitig erkennbar sind. Gerade bei KI-Anwendungen in der Industrie, im Gesundheitswesen, im Finanzsektor oder in der öffentlichen Verwaltung ist Vertrauen eine wesentliche Voraussetzung für den Markterfolg.
Deutschland könnte deshalb davon profitieren, wenn die Bundesnetzagentur nicht allein als Kontrollbehörde auftritt, sondern zugleich als fachkundige Anlaufstelle für Unternehmen wahrgenommen wird. Die geplanten Informationsangebote, Beratungsleistungen und Reallabore können insbesondere Start-ups und mittelständischen Betrieben helfen, neue Anwendungen unter realistischen Bedingungen zu erproben.
Der Erfolg des Gesetzes wird daran zu messen sein, ob die Aufsicht verständliche und praxistaugliche Leitlinien entwickelt. Unternehmen benötigen keine allgemeinen Bekenntnisse zu innovationsfreundlicher Regulierung, sondern konkrete Antworten auf praktische Fragen: Wann wird ein KI-System zur Hochrisiko-Anwendung? Welche Unterlagen müssen Betreiber aufbewahren? Wie sind externe Modelle und Cloud-Dienste zu bewerten? Und welche Verantwortung verbleibt beim Unternehmen, wenn eine KI-Lösung von einem Drittanbieter stammt?
Nicht nur Entwickler sind betroffen
Der AI Act richtet sich nicht ausschließlich an Unternehmen, die eigene KI-Modelle entwickeln. Pflichten können auch Anbieter, Importeure, Händler und Betreiber von KI-Systemen treffen.
Damit geraten zahlreiche Unternehmen in den Blick, die Standardsoftware mit integrierten KI-Funktionen einsetzen. Dazu können Systeme im Personalwesen, bei der Kreditprüfung, in der Qualitätskontrolle oder bei der Steuerung kritischer Anlagen gehören.
Für die Einordnung ist daher weniger entscheidend, ob ein Unternehmen selbst Programmcode entwickelt. Maßgeblich sind der Verwendungszweck des Systems, sein mögliches Risiko und die Rolle, die der Betrieb innerhalb der Liefer- und Anwendungskette übernimmt.
Unternehmen sollten sich auch nicht allein auf die Angaben ihrer Softwareanbieter verlassen. Sie müssen prüfen, ob ein System im eigenen Betrieb möglicherweise anders eingesetzt wird als ursprünglich vorgesehen. Aus einer vergleichsweise unkritischen Anwendung kann durch einen veränderten Zweck ein deutlich höheres Risiko entstehen.
Ein Beispiel ist eine KI-Software, die zunächst lediglich Bewerbungsunterlagen sortiert. Wird sie später genutzt, um Kandidaten automatisiert zu bewerten oder aus einem Auswahlverfahren auszuschließen, können strengere Anforderungen greifen.
KI-Kompetenz wird zur unternehmerischen Pflicht
Ein wichtiger Teil der europäischen Regulierung betrifft die Kompetenz der Beschäftigten. Unternehmen sollen dafür sorgen, dass Personen, die KI-Systeme einsetzen oder überwachen, über ausreichende Kenntnisse verfügen.
Dabei geht es nicht darum, sämtliche Mitarbeiter zu Programmierern auszubilden. Beschäftigte sollten jedoch verstehen, welche Grenzen ein KI-System besitzt, wie Ergebnisse überprüft werden müssen und welche Daten nicht ungeprüft eingegeben werden dürfen.
Diese sogenannte KI-Kompetenz ist auch unabhängig von möglichen Sanktionen sinnvoll. Fehlerhafte Eingaben, unkritisch übernommene Antworten oder die Nutzung vertraulicher Informationen in frei zugänglichen KI-Diensten können erhebliche wirtschaftliche und rechtliche Schäden verursachen.
Schulungen sollten deshalb nicht nur rechtliche Grundlagen vermitteln. Ebenso wichtig sind praktische Regeln zum Datenschutz, zur Qualitätskontrolle und zum Umgang mit möglichen Falschaussagen der Systeme.
Der Mittelstand braucht klare und bezahlbare Verfahren
Ob das KI-MIG tatsächlich innovationsfreundlich wirkt, wird sich besonders im Mittelstand zeigen.
Große Konzerne können spezialisierte Teams aus Juristen, Datenschützern, IT-Sicherheitsexperten und KI-Fachleuten aufbauen. Kleinere Unternehmen verfügen meist nicht über vergleichbare Ressourcen. Sie sind auf verständliche Vorgaben, standardisierte Verfahren und erreichbare Ansprechpartner angewiesen.
Die geplanten Reallabore können dabei eine wichtige Funktion erfüllen. Sie sollen Unternehmen ermöglichen, KI-Anwendungen unter Begleitung der Behörden zu entwickeln und zu testen. Entscheidend wird allerdings sein, ob der Zugang tatsächlich niedrigschwellig ist und ob die Angebote auch außerhalb großer Technologiezentren verfügbar sind.
Zudem sollten Leitfäden und Prüfschemata so gestaltet werden, dass Unternehmen ihre Anwendungen ohne umfangreiche externe Beratung zumindest vorläufig einordnen können. Entsteht dagegen ein kompliziertes System aus unterschiedlichen Zuständigkeiten und regional abweichenden Auslegungen, könnte der regulatorische Aufwand gerade jene Betriebe abschrecken, die erstmals in KI investieren wollen.
Der Gesetzentwurf selbst geht von zusätzlichem Verwaltungsaufwand aus. Der Nationale Normenkontrollrat bezifferte den jährlichen Erfüllungsaufwand der Bundesverwaltung auf rund 15,9 Millionen Euro und den der Länder auf etwa 33,1 Millionen Euro. Diese Zahlen betreffen zwar die Verwaltung und nicht unmittelbar die Wirtschaft, zeigen aber, welche personellen und organisatorischen Anforderungen mit der neuen Aufsichtsstruktur verbunden sind.
Der Praxistest beginnt erst jetzt
Mit dem KI-MIG sind die organisatorischen Grundlagen gelegt. Die wichtigsten Fragen werden jedoch erst im praktischen Vollzug beantwortet.
Die Bundesnetzagentur muss Fachwissen für sehr unterschiedliche Technologien und Branchen aufbauen. Gleichzeitig bleiben spezialisierte Bundes- und Landesbehörden zuständig, wenn KI-Systeme in bereits regulierten Bereichen eingesetzt werden. Das Gesetz verfolgt damit einen hybriden Ansatz, der vorhandene Strukturen nutzt und zugleich eine zentrale Koordination schaffen soll.
Dieser Ansatz kann Doppelstrukturen vermeiden. Er birgt jedoch auch die Gefahr unklarer Abgrenzungen. Unternehmen müssen schnell erkennen können, welche Behörde zuständig ist und welche Vorgaben für ihre konkrete Anwendung gelten.
Die Bundesnetzagentur wird deshalb nicht nur kontrollieren, sondern auch moderieren müssen. Ihre wichtigste Aufgabe könnte darin bestehen, zwischen europäischen Vorgaben, Bundesbehörden, Landesaufsichten und Unternehmen eine möglichst einheitliche Anwendungspraxis herzustellen.
Die KI-Verordnung gilt in ihren wesentlichen Teilen grundsätzlich ab dem 2. August 2026. Einzelne Bestimmungen, darunter Verbote bestimmter KI-Praktiken, gelten bereits früher. Damit steigt der Zeitdruck für Behörden und Unternehmen, die notwendigen Strukturen rechtzeitig aufzubauen.
Fazit
Deutschland hat mit dem KI-MIG eine zentrale Lücke bei der Umsetzung des europäischen AI Acts geschlossen. Die Bundesnetzagentur erhält eine Schlüsselrolle, bestehende Fachbehörden bleiben eingebunden und Reallabore sollen Innovationen unterstützen.
Für Unternehmen bedeutet das zunächst mehr Klarheit über Zuständigkeiten. Gleichzeitig entstehen neue Anforderungen an Dokumentation, Risikomanagement, Verantwortlichkeiten und die Schulung von Mitarbeitern.
Ob das Gesetz tatsächlich zu einem innovationsfreundlichen Rahmen führt, entscheidet sich jedoch nicht allein am Wortlaut. Maßgeblich wird sein, ob Bund und Länder eine einheitliche Vollzugspraxis entwickeln und ob die Bundesnetzagentur verständliche, verbindliche und praxistaugliche Orientierung bietet.
Gelingt dies, kann Regulierung Vertrauen schaffen und Investitionen erleichtern. Scheitert die Koordinierung, droht genau jener Flickenteppich, vor dem Wirtschaftsverbände warnen. Der entscheidende Praxistest für das deutsche KI-Gesetz beginnt deshalb erst mit seiner Anwendung.
Quellen:
- Bundesregierung: Umsetzung der europäischen KI-Verordnung und nationale Zuständigkeiten
- Deutscher Bundestag: Gesetzentwurf zum KI-Marktüberwachungs- und Innovationsförderungsgesetz
- Deutscher Bundestag: Angaben zum Erfüllungsaufwand von Bund und Ländern
- Bitkom: Stellungnahme zur nationalen Aufsichtsstruktur und zur Gefahr uneinheitlicher Auslegungen
- KI Bundesverband: Stellungnahme zum Koordinierungszentrum und zur Aufsichtsstruktur
- Academic Society for Artificial Intelligence: Recherche-Tipp zur deutschen Umsetzung des AI Acts und zur Kritik am möglichen föderalen Flickenteppich
Dieser Beitrag von TREND REPORT steht unter der Lizenz Creative Commons Namensnennung – Keine Bearbeitungen 4.0 International, CC BY-ND 4.0.
Lizenz: https://creativecommons.org/licenses/by-nd/4.0/deed.de










