KI ist längst kein reines IT-Thema mehr. Mit dem EU AI Act hat Europa erstmals ein verbindliches Gesetz für Künstliche Intelligenz geschaffen — und Deutschland zieht mit dem KI-MIG nach. Wer KI entwickelt, einsetzt oder in Produkte integriert, muss verstehen, was das konkret bedeutet.

> Alle wichtigsten Regeln auf einen Blick: Unser kostenloses KI-Recht Factsheet gibt dir einen kompakten Überblick über EU AI Act, DSGVO und Urheberrecht — inklusive interaktivem Compliance-Selbstcheck.

Inhaltsverzeichnis

Titelbild des Artikels

Was ist der EU AI Act?

Abschnittsbild des Artikels

Der EU AI Act ist die weltweit erste umfassende KI-Verordnung. Sie gilt EU-weit und tritt schrittweise in Kraft — die wichtigsten Regelungen werden ab August 2026 verbindlich anwendbar.

Das Ziel: KI-Systeme sollen sicher, transparent und grundrechtskonform sein. Dabei verfolgt die Verordnung einen risikobasierten Ansatz. Je höher das Risiko eines KI-Systems, desto strengere Anforderungen gelten.

Die vier Risikoklassen im Überblick

Unannehmbares Risiko — verboten Systeme, die grundlegende Rechte verletzen. Dazu zählen etwa Social Scoring durch Behörden oder manipulative KI, die Schwächen ausnutzt.

Hohes Risiko — strenge Pflichten KI in sensiblen Bereichen wie Personalentscheidungen, Kreditvergabe, Bildung oder medizinische Diagnose. Hier gelten umfangreiche Dokumentations-, Test- und Aufsichtspflichten.

Begrenztes Risiko — Transparenzpflichten Chatbots, KI-generierte Bilder oder Deepfakes müssen als solche erkennbar sein.

Minimales Risiko — kaum Anforderungen KI-Spamfilter, Empfehlungssysteme oder einfache Automatisierungen — hier gelten keine besonderen Vorgaben.

Was ist das KI-MIG?

Möchten Sie das konkret auf Ihren Betrieb anwenden?

Kostenlos Termin buchen
Justin Kollautz Justin Kollautz KI Spezialist · Wurzelwerk

Das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) ist das deutsche Umsetzungsgesetz zum EU AI Act. Der Kabinettsbeschluss fiel im Februar 2026, die Verabschiedung durch den Bundestag wird vor August 2026 erwartet.

Das KI-MIG regelt:

  • Welche deutschen Behörden für die Marktüberwachung zuständig sind
  • Wie Beschwerden zu KI-Systemen eingereicht werden können
  • Wie KI-Reallabore (sog. Regulatory Sandboxes) eingerichtet werden
  • Wie Unternehmen und KMU bei der Umsetzung unterstützt werden

Die Bundesnetzagentur als zentrale KI-Behörde

Die Bundesnetzagentur übernimmt im KI-MIG eine Schlüsselrolle:

  • Marktüberwachungsbehörde — kontrolliert verbotene Praktiken und Hochrisiko-Systeme
  • Notifizierende Behörde — benennt und akkreditiert Prüfstellen
  • Beschwerdestelle — Anlaufpunkt für Bürger und Unternehmen
  • KoKIVO — ein internes Koordinierungs- und Kompetenzzentrum für die KI-Verordnung

Sektorspezifische Behörden wie die BaFin bleiben für ihre Branchen zuständig.

Was bedeutet das für Unternehmen konkret?

Die Pflichten unter dem EU AI Act richten sich nach der Rolle, die ein Unternehmen im KI-Wertschöpfungsprozess einnimmt — als Anbieter, Betreiber, Händler oder Einführer.

Schritt 1: Risikobewertung

Der erste und wichtigste Schritt: Prüfen, welcher Risikoklasse das eigene KI-System zuzuordnen ist. Das bestimmt alle weiteren Pflichten.

Schritt 2: Rolle bestimmen

Unternehmen können verschiedene Rollen innehaben — oft gleichzeitig:

| Rolle | Bedeutung | |---|---| | Anbieter | Entwickelt und vermarktet ein KI-System | | Betreiber | Setzt ein bestehendes KI-System ein | | Händler | Vertreibt KI-Systeme ohne wesentliche Modifikation | | Einführer | Bringt KI-Systeme aus Drittländern in die EU |

Je nach Rolle gelten unterschiedliche Pflichten.

Pflichten bei Hochrisiko-KI-Systemen

Wer ein Hochrisiko-System entwickelt oder betreibt, muss unter anderem:

  • Ein Risikomanagementsystem einrichten und fortlaufend betreiben
  • Qualität der Trainings- und Testdaten sicherstellen (relevant, repräsentativ, fehlerfrei)
  • Eine technische Dokumentation erstellen und aktualisieren
  • Ein Qualitätsmanagementsystem einrichten
  • Log-Daten fortlaufend speichern und aufbewahren
  • Eine EU-Konformitätserklärung ausstellen
  • Das System in der EU-Datenbank registrieren
  • Menschliche Aufsicht sicherstellen

Was KMU jetzt tun sollten

Kleine und mittlere Unternehmen (KMU) sind vom EU AI Act genauso betroffen wie Großkonzerne — sobald sie KI-Systeme in regulierten Bereichen einsetzen oder entwickeln.

Viele mittelständische Unternehmen glauben, der AI Act betreffe nur Technologiekonzerne. Das stimmt nicht. Wer KI für Bewerbungsauswahlverfahren, automatisierte Kreditentscheidungen oder KI-gestützte Produktionsprozesse nutzt, kann bereits im Hochrisiko-Bereich liegen.

Empfehlungen:

1. Inventar erstellen — Welche KI-Systeme werden eingesetzt oder geplant? 2. Risikobewertung durchführen — In welche Risikoklasse fallen diese Systeme? 3. Prozesse anpassen — Welche Dokumentations- und Aufsichtspflichten entstehen? 4. Mitarbeitende schulen — Wissen zu Transparenzpflichten und Kennzeichnungsregeln aufbauen 5. Rechtsberatung einholen — Besonders bei Hochrisiko-Systemen oder Unsicherheit bei der Einordnung

> Das vollständige Compliance-Bild — EU AI Act, DSGVO und Urheberrecht kompakt zusammengefasst — findest du in unserem KI-Recht Factsheet. Mit interaktivem Selbstcheck für dein Unternehmen.

Schematische Übersicht

FAQ: EU AI Act & KI-MIG

Gilt der EU AI Act auch für kleine Unternehmen?

Ja. Die Verordnung gilt für alle Unternehmen, die KI-Systeme in der EU anbieten oder betreiben — unabhängig von der Unternehmensgröße. KMU erhalten jedoch besondere Unterstützungsangebote und erleichterte Anforderungen in bestimmten Bereichen.

Ab wann müssen Unternehmen compliant sein?

Die Verbote für KI mit unannehmbarem Risiko gelten seit Februar 2025. Die Anforderungen für Hochrisiko-Systeme werden schrittweise bis August 2026 verbindlich.

Was ist ein KI-Reallabor?

Ein regulatorisches Testfeld, in dem Unternehmen innovative KI-Systeme unter Aufsicht der Behörden erproben können — ohne alle regulatorischen Anforderungen sofort vollständig erfüllen zu müssen. Das KI-MIG verpflichtet Deutschland zur Einrichtung mindestens eines solchen Reallabors.

Was passiert bei Verstößen gegen den EU AI Act?

Bußgelder bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Die Höhe richtet sich nach der Art des Verstoßes und der Risikoklasse des betroffenen KI-Systems.

Fazit

Der EU AI Act ist kein abstraktes Brüsseler Bürokratieprojekt. Er verändert konkret, wie Unternehmen KI entwickeln, einsetzen und kommunizieren dürfen. Das KI-MIG schafft dafür die deutsche Umsetzungsstruktur — mit der Bundesnetzagentur als zentraler Anlaufstelle.

Wer jetzt handelt, ist besser vorbereitet als der Wettbewerb.

Nächster Schritt: Lade unser kostenloses KI-Recht Factsheet herunter — mit Compliance-Selbstcheck und Prompt-Entscheidungsflow für den Alltag.

Weiterlesen in der KI-Recht-Serie:

Mehr aus dem Wurzelwerk-Blog: