Bundestag treibt KI-Marktüberwachungs- und Innovationsförderungs-Gesetz voran: Was der deutsche AI-Act für Wirtschaft und Tech-Szene wirklich bedeutet

Technologie

Bundestag treibt KI-Marktüberwachungs- und Innovationsförderungs-Gesetz voran: Was der deutsche AI-Act für Wirtschaft und Tech-Szene wirklich bedeutet

Welche Tech-Werte profitieren, wenn Deutschland den EU AI Act nun konkret in nationales Recht gießt – und welche Geschäftsmodelle geraten unter Druck? Mit dem KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) legt die Bundesregierung den Rahmen fest, wie Generative KI, Hochrisiko-Systeme und KI-Start-ups künftig reguliert werden. Das verändert die Investment-Story für alles von Cloud-Anbietern über SaaS bis hin zu Robotik – und bringt voraussichtlich Vorteile für regulierungserfahrene Player (große Cloud- und Enterprise-Software-Anbieter) und Compliance-orientierte Mid-Caps, während ungezügelte „Move fast and break things“-Start-ups und Low-Cost-Anbieter ohne Governance an Attraktivität verlieren dürften.

Im Folgenden schauen wir uns an, was der Bundestag aktuell zum KI-MIG diskutiert, welche Rolle die Bundesnetzagentur bekommt, wie Sachverständige das Gesetz bewerten – und was das für die KI-Strategie von Unternehmen, Investoren und Entwicklern konkret bedeutet.

Was ist das KI-MIG und wie fügt es sich in den EU AI Act ein?

Das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) ist das zentrale deutsche Durchführungsgesetz zur EU-Verordnung (EU) 2024/1689, besser bekannt als KI-Verordnung bzw. AI Act. Während die EU-Verordnung unmittelbar gilt, muss jedes Mitgliedsland definieren, welche nationalen Behörden zuständig sind, wie die Aufsicht organisiert wird und wie Bußgelder verhängt werden.

Genau das leistet der Gesetzentwurf der Bundesregierung, der als Bundestagsdrucksache 21/4594 vorliegt und inzwischen im Bundestag in die Fachausschüsse überwiesen wurde. Nach Angaben der Bundesregierung soll das KI-MIG:

  • die national zuständigen Behörden für Marktüberwachung, Notifizierung und Koordinierung benennen,
  • Kooperationsmechanismen zwischen Bundes- und Landesbehörden festlegen,
  • das Bußgeldverfahren und Zuständigkeiten bei Verstößen gegen den AI Act klären,
  • Flankierende Innovationsförderinstrumente („regulatorische Sandboxes“ etc.) verankern.

Die Bundesregierung betont laut ihrer eigenen Darstellung, dass sie die EU-Vorgaben „schlank“ und „innovationsoffen“ umsetzen will, also ohne zusätzliche nationale Auflagen („Gold-Plating“). In der Praxis soll das vor allem bedeuten: möglichst viel Nutzung bestehender Strukturen statt neuer Behörden, klare Zuständigkeiten und eine zentrale Koordinierungsstelle.

Bundesnetzagentur als Dreh- und Angelpunkt der KI-Aufsicht

Der vielleicht wichtigste Punkt des KI-MIG: Die Bundesnetzagentur (BNetzA) wird zur zentralen Marktüberwachungsbehörde für KI-Systeme. Sie ist damit so etwas wie das „Herz“ der deutschen KI-Governance.

Nach dem Gesetzentwurf soll die BNetzA:

  • als Marktüberwachungsbehörde die Einhaltung der KI-Verordnung sicherstellen, soweit andere Fachbehörden (z. B. Bafin, BfArM, KBA) nicht zuständig sind,
  • ein Koordinierungs- und Kompetenzzentrum (KoKIVO) für KI aufbauen, das Expertise bündelt und als Schnittstelle zu EU-Institutionen fungiert,
  • eine unabhängige KI-Marktüberwachungskammer für besonders sensible Hochrisiko-KI-Systeme einrichten,
  • als zentrale Anlauf-, Beratungs- und Beschwerdestelle für Bürger:innen und Unternehmen dienen.

Gerade diese Marktüberwachungskammer ist ein neues, scharfes Instrument. Sie soll sich um Hochrisiko-KI in besonders sensiblen Feldern kümmern, wie etwa:

  • Strafverfolgung und Sicherheitsbehörden,
  • Grenzmanagement,
  • Justiz und demokratische Prozesse.

Damit greift die nationale Umsetzung die Systematik des AI Act auf, der zwischen verbotenen Anwendungen, Hochrisiko-Systemen, Systemen mit Transparenzpflichten und „Low Risk“-Anwendungen unterscheidet. Für Unternehmen mit kritischen KI-Anwendungen im Bereich Sicherheit oder Verwaltung ist diese Kammer der neue, zentrale regulatorische Gegenpart.

Der Gesetzgebungsprozess: Wo steht das KI-MIG im Bundestag?

Politisch ist das KI-MIG kein theoretischer Entwurf mehr, sondern mitten im Verfahren. Das Bundeskabinett hat den Regierungsentwurf am 11. Februar 2026 beschlossen; anschließend ging er an Bundesrat und Bundestag. Der Bundestag hat den Entwurf beraten und insbesondere der Ausschuss für Digitales und Staatsmodernisierung arbeitet intensiv daran.

Bei einer öffentlichen Anhörung dieses Ausschusses im März 2026 wurden Sachverständige aus Wissenschaft, Wirtschaft und Zivilgesellschaft gehört. Ihre Einschätzungen zeigen, dass der grundsätzliche Kurs – Bundesnetzagentur als zentrale Aufsicht, schlanke Umsetzung – überwiegend Zustimmung findet, aber in vielen Details Nachbesserungen gefordert werden.

Parallel veröffentlicht die Bundesregierung über das zuständige Bundesministerium für Digitales und Verkehr (BMDS) detaillierte Informationen zum Gesetzgebungsverfahren und macht deutlich: Die nationale KI-Governance soll bewusst auf bestehenden Aufsichtsstrukturen aufsetzen, um Doppelarbeit zu vermeiden und schneller handlungsfähig zu werden.

Was Fachleute und Datenschutzaufsicht kritisieren

Die Anhörung im Bundestag und begleitende Stellungnahmen zeigen, dass es zwar breite Unterstützung für die Linie „Bundesnetzagentur plus sektorspezifische Behörden“ gibt, aber einige zentrale Kritikpunkte immer wieder auftauchen.

1. Verzahnung mit Datenschutzrecht

Besonders deutlich wurde Prof. Dr. Louisa Specht-Riemenschneider, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Sie begrüßt zwar die klare Struktur des KI-MIG, warnt aber:

Die Struktur sei nur dann wirklich funktionsfähig, wenn Datenschutzaufsicht und Marktüberwachung eng verzahnt arbeiten. Hintergrund: Viele Hochrisiko-KI-Systeme arbeiten mit umfangreichen personenbezogenen Daten, etwa im Beschäftigungskontext, im Finanzsektor oder bei biometrischen Systemen. Ohne konsequente Kooperation drohen:

  • Regulierungslücken zwischen Datenschutzrecht (DSGVO) und KI-Verordnung,
  • Widersprüche in Auflagen und Entscheidungen,
  • ineffiziente Verfahren für Unternehmen, die mit mehreren Behörden gleichzeitig zu tun haben.

Für Unternehmen heißt das: Auch wenn die BNetzA zentrale KI-Aufsicht wird, bleiben Datenschutzbehörden unverändert wichtig – insbesondere bei generativer KI, bei der Nutzer- und Trainingsdaten eine Schlüsselrolle spielen.

2. Fragmentierung durch sektorspezifische Zuständigkeiten

Das KI-MIG setzt bewusst auf sektorspezifische Aufsichten, die in ihren Bereichen bereits regulatorische Erfahrung haben – etwa:

  • BaFin für den Finanzsektor,
  • BfArM für Medizinprodukte,
  • BAuA und andere Fachbehörden für Arbeitsschutz und Produkte.

Viele Sachverständige sehen das als Vorteil, weil dort tiefes Domänenwissen existiert. Gleichzeitig warnen sie vor einem Risiko: Wenn Unternehmen KI-Systeme in mehreren regulierten Bereichen einsetzen, kann es zu unterschiedlichen Interpretationen desselben EU AI Act kommen.

Hier kommt die BNetzA mit ihrem Koordinierungs- und Kompetenzzentrum ins Spiel. Ob sie diese Koordinationsaufgabe in der Praxis leisten kann, hängt stark davon ab, wie gut Ressourcen, Prozesse und Datenflüsse zwischen den Behörden organisiert werden.

3. Ressourcen, Kompetenzen und Geschwindigkeit

Mehrere Expert:innen machen darauf aufmerksam, dass die Ressourcenfrage entscheidend ist. Die AI-Verordnung bringt ein komplexes Pflichtenregime mit sich, inklusive:

  • Risikomanagement,
  • Daten-Governance,
  • technische Dokumentation,
  • Konformitätsbewertung,
  • Monitoring nach Inverkehrbringen.

Dafür braucht die BNetzA KI-Fachwissen, juristische Expertise und technische Prüfinfrastruktur. Die Bundesregierung verspricht einen „schlanken“ Aufbau – die Herausforderung wird sein, diese Schlankheit nicht mit Unterdimensionierung zu verwechseln. Gerade für schnelle Eingriffe bei problematischen Systemen (z. B. diskriminierende Scoring-Algorithmen, fehlerhafte Gesichtserkennung) ist eine ausreichend starke Aufsicht unerlässlich.

Innovationsförderung: Mehr als nur Regulierung?

Interessant ist, dass das KI-MIG bewusst nicht nur Regulierungs-, sondern auch Innovationsförderungs-Gesetz sein will. Auf der Innovationsseite sind u. a. vorgesehen:

  • Regulatorische Sandboxes, in denen Unternehmen KI-Anwendungen unter Aufsicht testen können, bevor sie in den breiten Markt gehen,
  • Unterstützung bei Kompetenzaufbau rund um KI-Compliance und Risikomanagement,
  • eine Rolle der BNetzA als Beratungs- und Orientierungsstelle insbesondere für KMU und Start-ups.

Damit folgt Deutschland einem Trend, der sich auch an anderen Stellen der KI-Politik zeigt: Regulierung und Förderung sollen zusammen gedacht werden. Das passt zu den Dynamiken, die wir bereits bei großen Modellen sehen – etwa bei OpenAI GPT‑5.5, Google Gemini 3.1 Pro oder Anthropic Claude Opus 4.7 – denn ohne klare Regeln und Testfelder riskieren Unternehmen Reputations- und Haftungsschäden, wenn sie die neuesten Modelle ungefiltert in kritischen Bereichen einsetzen.

Neu und oft unterschätzt ist außerdem die KI-Kompetenzpflicht nach Art. 4 KI-VO, die laut Fachkommentierungen bereits seit Februar 2025 gilt. Sie verlangt de facto, dass Organisationen, die KI einsetzen oder verantworten, über angemessene Kenntnisse und Fähigkeiten verfügen. Das wird zum Treiber für:

  • interne Schulungsprogramme,
  • spezialisierte KI-Compliance-Rollen,
  • ein Ökosystem aus Beratungen und Tool-Anbietern, die KI-Governance „as a Service“ liefern.

Drei neue Wissenspunkte, die in der Debatte oft untergehen

1. Die Beschwerdestelle bei der BNetzA als Hebel für zivilgesellschaftlichen Druck

Bürger:innen können laut Gesetzentwurf Beschwerden über mögliche Verstöße gegen die KI-Vorschriften direkt bei der BNetzA einreichen. Diese werden dann an die zuständige Marktüberwachungsbehörde weitergeleitet. Das ist mehr als ein Service-Feature: Es institutionalisiert einen öffentlich-rechtlichen Beschwerdemechanismus, der NGOs, Journalist:innen und Betroffene in die Lage versetzt, problematische KI-Anwendungen systematisch zur Anzeige zu bringen.

Für Unternehmen heißt das: KI-Einsätze mit sozialen oder ethischen Implikationen können schneller öffentlich und regulatorisch relevant werden – ein zusätzlicher Risikofaktor neben Shitstorms und Medienberichten.

2. Hochrisiko-KI in Justiz und demokratischen Prozessen unter besonderer Beobachtung

Die unabhängige KI-Marktüberwachungskammer bei der BNetzA soll gezielt KI-Systeme in Bereichen wie Justiz, Strafverfolgung und demokratische Prozesse überwachen. Damit reagiert der Gesetzgeber auf die Sorge, dass automatisierte Systeme unkontrolliert in Entscheidungsketten eindringen, die für Grundrechte und Demokratie zentral sind.

Für Anbieter von KI-Lösungen für E-Government, Sicherheitsbehörden oder Wahlprozesse heißt das: Diese Märkte werden zwar real, aber mit höchsten Compliance-Anforderungen belegt. Wer hier langfristig bestehen will, braucht von Anfang an auditierbare Modelle, robuste Dokumentation und eine klare Governance.

3. KI-Compliance als Marktsegment mit Skaleneffekten

Das KI-MIG macht deutlich, dass KI-Compliance nicht nur eine Pflicht, sondern auch eine neue Produktkategorie wird. Anbieter, die Tools für:

  • automatisierte Risikoanalysen von KI-Systemen,
  • Monitoring und Logging von Modellen,
  • Dokumentations-Workflows für Konformitätsbewertungen

bereitstellen, haben einen massiven Skalenvorteil: Ein einmal entwickeltes Framework kann bei hunderten Kunden eingesetzt werden, die alle den gleichen EU AI Act und dieselbe nationale Governance umsetzen müssen.

Das stärkt insbesondere B2B-SaaS-Anbieter mit starkem Fokus auf Governance, Risk & Compliance – und schwächt jene, die zwar schnelle KI-Features liefern, aber keine integrierte Compliance-Story haben.

Konsequenzen für Unternehmen: Was sich jetzt konkret ändert

Für Unternehmen in Deutschland (und solche, die KI-Systeme auf dem deutschen Markt anbieten) bedeutet die Umsetzung des AI Act durch das KI-MIG:

  • Klare Ansprechpartner: Die BNetzA und die jeweils zuständigen Fachbehörden werden für Fragen, Registrierung und Aufsicht zuständig – das reduziert Unsicherheit, wer überhaupt zuständig ist.
  • Verbindliche Governance: Für Hochrisiko-KI-Systeme sind Risikomanagement, Daten-Governance, Transparenz und Monitoring keine „Best Practices“ mehr, sondern rechtlich verpflichtend.
  • Bußgelder: Es drohen – AI-Act-konform – hohe Sanktionen bei Verstößen, in der Größenordnung von bis zu 35 Mio. Euro oder einem erheblichen Prozentsatz des weltweiten Jahresumsatzes (je nach Verstoßkategorie).
  • Beschwerde-Risiko: Nutzer:innen erhalten einen formellen Kanal, problematische KI-Systeme anzuzeigen, was auch das Reputationsrisiko erhöht.
  • Mehr Planbarkeit für Innovation: Durch Sandboxes und Beratungsangebote entsteht ein klarer Pfad, wie sich komplexe KI-Projekte mit Aufsicht abstimmen lassen, bevor sie skaliert werden.

Praktisch werden Unternehmen sich auf mehrere Ebenen vorbereiten müssen:

  • Klassifizierung ihrer KI-Systeme nach AI-Act-Risikoebenen,
  • Aufbau oder Anpassung von internen AI-Governance-Strukturen,
  • Dokumentation und technische Nachweisbarkeit von Trainingsdaten, Modellen und Evaluierungen,
  • Integration von KI-Compliance in bestehende GRC-Strukturen (z. B. ISO 27001, Informationssicherheit, Datenschutzmanagement).

Auswirkungen auf die Tech- und KI-Investment-Landschaft

Für die Börse und den VC-Markt ist das KI-MIG mehr als eine juristische Fußnote – es verschiebt die Bewertungslogik für KI-Unternehmen in Europa.

Wahrscheinliche Gewinner

  • Große Cloud-Provider und Hyperscaler, die bereits strenge Compliance-Prozesse implementiert haben, werden durch klarere Regeln eher gestärkt. Ihre „Trust“-Narrative werden zentraler Bestandteil des Verkaufsarguments.
  • Enterprise-SaaS-Anbieter mit Governance-Fokus, z. B. Anbieter von Audit-, Logging- und Compliance-Plattformen, profitieren von neuen Nachfragewellen rund um AI-Risk-Management.
  • RegTech- und KI-Compliance-Start-ups, die Tools für Dokumentation, Risikoanalysen und Monitoring von KI-Lösungen bieten, entstehen als neue Asset-Klasse im Portfolio vieler Fonds.
  • Robotik- und Logistikunternehmen, die früh auf transparente, nachvollziehbare KI-Stacks setzen (z. B. im Umfeld von humanoider Robotik und Logistik-Automation, wie in Deutschland bereits im Rahmen von Initiativen rund um AI-Robotics zu sehen), werden einen Wettbewerbsvorteil haben.

Wahrscheinliche Verlierer

  • „Move fast and break things“-Start-ups, die KI-Produkte ohne klare Governance-Strukturen in kritischen Bereichen platzieren, werden regulatorisch ausgebremst oder mit Bußgeldern belegt.
  • Hersteller von Intransparenz-Modellen, die weder Dokumentation noch Auskunftsfähigkeit liefern, verlieren Marktchancen in regulierten Sektoren.
  • Reine „Feature-Start-ups“, die KI nur als Gimmick ohne belastbares Sicherheits- und Qualitätskonzept anbieten, geraten unter Preisdruck und werden im Enterprise-Segment an Relevanz verlieren.

Zusammenfassend: Das KI-MIG begünstigt langfristig orientierte, compliance-starke Geschäftsmodelle gegenüber schnellen, unregulierten Experimenten. Für Investor:innen verschiebt sich der Fokus von „AI-Hype“ zu „AI plus Governance“.

Am Ende markiert das KI-MIG keinen Bruch, sondern einen nächsten Eskalationsschritt in der Institutionalisierung von KI in Europa: KI wird vom wilden Wachstumsfeld zum regulierten Infrastrukturthema – ähnlich wie Energie, Telekommunikation oder Finanzmärkte.

Vor- und Nachteile für die gesamte Wirtschaft

Vorteile

  • Rechtssicherheit und Planbarkeit: Unternehmen wissen, welche Anforderungen gelten und welche Behörden zuständig sind. Das erleichtert langfristige Investitionsentscheidungen.
  • Vertrauensaufbau bei Kund:innen: Klare Regeln und Aufsicht fördern Akzeptanz von KI – besonders in sensiblen Bereichen wie Medizin, Finanzen oder öffentlicher Verwaltung.
  • Level Playing Field: Alle Anbieter müssen Mindeststandards erfüllen, was „Race to the Bottom“-Strategien (billig, aber unsicher) weniger attraktiv macht.
  • Innovationschancen im Compliance-Segment: Neue Geschäftsfelder entstehen rund um AI-Governance, Auditierung und Zertifizierung.
  • Schutz vor systemischen Risiken: Durch frühzeitige Marktüberwachung sinkt das Risiko großer Skandale, die gesamte Branchen zurückwerfen könnten.

Nachteile

  • Compliance-Kosten, vor allem für KMU: Kleine und mittlere Unternehmen stehen vor erheblichen Aufwänden, um Dokumentation, Governance und Prüfprozesse aufzubauen.
  • Markteintrittsbarrieren: Neue Anbieter müssen anspruchsvolle Auflagen erfüllen, bevor sie Hochrisiko-KI in den Markt bringen können – das kann Innovation verlangsamen.
  • Komplexität der Behördenlandschaft: Trotz BNetzA als zentralem Player können sektorspezifische Zuständigkeiten für Verwirrung sorgen, wenn Unternehmen in mehreren Sektoren aktiv sind.
  • Gefahr der Übervorsicht: Unternehmen könnten aus Angst vor regulatorischen Risiken auf bestimmte innovative Anwendungsfälle verzichten, insbesondere in sensiblen Bereichen.
  • Ungleichgewicht zugunsten großer Player: Konzerne können Compliance besser stemmen als Start-ups – was die Marktkonzentration verstärken könnte.

Wie sich das Thema künftig entwickeln wird

Die Umsetzung des EU AI Act durch das KI-MIG ist kein Endpunkt, sondern der Start eines langfristigen Prozesses. Mehrere Entwicklungen sind absehbar:

  • Feintuning durch Praxisfälle: Die ersten größeren Verfahren und Bußgelder werden Präzedenzfälle schaffen, an denen sich weitere Entscheidungen orientieren. Auslegungsspielräume werden enger.
  • Weiterentwicklung der Aufsichtsstrukturen: Die BNetzA und Fachbehörden werden ihre Kompetenzen schrittweise ausbauen, neue Leitlinien veröffentlichen und technische Prüfkapazitäten stärken.
  • Integration mit anderen Regulierungstrends: KI-Governance wird mit Cybersecurity-, Datenschutz- und Produktsicherheitsrecht enger verschmelzen – etwa bei sicherheitskritischen KI-Systemen, wie sie in Beiträgen zu Sicherheits-KI und Warnungen des EU-Parlaments bereits sichtbar werden.
  • Internationaler Nachahmungseffekt: Der EU AI Act und seine nationale Umsetzung in Deutschland werden als Blaupause für andere Regionen dienen. Für exportorientierte Unternehmen ist das ein Vorteil: Wer EU-Standards erfüllt, hat in vielen Märkten einen Startvorteil.
  • Technische Standardisierung: Es werden sich de-facto-Standards für Modellbewertungen, Logging und Dokumentation etablieren – teilweise getrieben von großen Cloud-Anbietern, teilweise von Standardisierungsgremien und Branchenverbänden.

Für Strateg:innen und Entscheider:innen heißt das: KI-Governance ist kein einmaliges Projekt, sondern ein laufendes Programm. Wer früh investiert, wird regulatorische Änderungen später als Wettbewerbsvorteil nutzen können – statt sie als reinen Kostenblock zu erleben.

Unternehmen sollten das KI-MIG nicht als „weiteres Compliance-Gesetz“ abheften, sondern als Signal lesen, dass KI in Deutschland und Europa dauerhaft zur kritischen Infrastruktur zählt. Wer jetzt robuste Governance-, Audit- und Monitoring-Strukturen aufbaut, schafft nicht nur regulatorische Konformität, sondern baut Vertrauen, Differenzierung und Resilienz auf – und positioniert sich in einem Markt, der mit jeder neuen KI-Generation komplexer und politischer wird.

Ähnliche Beiträge

Kommentar abschicken

Das hast du vielleicht verpasst