Das deutsche KI-Gesetz kommt — und der Mittelstand schaut zu
Am 20. März hat der Bundestag erstmals über das KI-Marktüberwachungs- und Innovationsförderungsgesetz beraten. Es soll den EU AI Act in Deutschland umsetzen. Vier Monate bleiben. Die Frage ist nicht mehr ob, sondern wie gut Deutschland vorbereitet ist.
Der EU AI Act gilt seit August 2024 — aber ohne nationale Durchführungsgesetze bleibt er zahnlos. Kein Bußgeld, keine Aufsicht, keine Anlaufstelle. Genau diese Lücke soll das KI-MIG schließen: Es regelt, wer in Deutschland überwacht, wer berät und wer bestraft.
Am 2. August 2026 müssen die Strukturen stehen. Die erste Lesung im Bundestag fand am 20. März statt, drei Tage später folgte eine öffentliche Anhörung im Digitalausschuss. Der Zeitplan ist ambitioniert — manche würden sagen: zu ambitioniert.
Was das Gesetz regelt
Das KI-MIG ist kein neues KI-Gesetz. Es schreibt keine zusätzlichen Regeln, die über den EU AI Act hinausgehen — die Bundesregierung betont ausdrücklich: keine deutschen Sonderverschärfungen. Was es regelt, sind die Spielregeln der Umsetzung:
Die Bundesnetzagentur wird zur zentralen Marktüberwachungsbehörde. Innerhalb der Behörde entsteht ein neues Koordinierungszentrum — das KoKIVO —, das alle beteiligten Stellen auf Bundes- und Landesebene zusammenführen soll. Für sektorspezifische Fragen bleiben Fachbehörden zuständig: die BaFin für Finanzdienstleistungen, das BSI für IT-Sicherheit, und so weiter.
Klingt strukturiert. In der Praxis warnen Sachverständige allerdings vor einem „Behörden-Ping-Pong" — mit potenziell hundert beteiligten Stellen. Für ein Unternehmen, das wissen will, an wen es sich wenden soll, ist das keine gute Nachricht.
Der Wettbewerb, den Deutschland nicht ignorieren kann
Während der Bundestag über Zuständigkeiten berät, bewegen sich die USA und China in einem anderen Tempo.
Die USA haben am selben Tag — dem 20. März — ein nationales KI-Rahmenwerk vorgestellt. Sieben Säulen, die Bundesrecht über einzelstaatliche Regulierung stellen sollen. Der Ansatz ist klar: Innovation beschleunigen, Fragmentierung vermeiden, KI-Unternehmen nicht ausbremsen. Ob das aufgeht, ist offen. Aber die Richtung ist eindeutig.
China reguliert ebenfalls — aber mit einem entscheidenden Unterschied: Dort ist Regulierung ein Steuerungsinstrument für industriepolitische Ziele, nicht eine Reaktion auf gesellschaftliche Bedenken. KI-Unternehmen werden staatlich gefördert und gleichzeitig in Leitplanken gelenkt, die nationale Interessen bedienen.
Europa verfolgt einen dritten Weg: Regulierung als Wertesystem. Transparenz, Grundrechte, menschliche Aufsicht. Das ist im Grundsatz richtig — aber es hat seinen Preis. Jede Woche, die ein Unternehmen mit Compliance-Fragen verbringt statt mit Produktentwicklung, ist eine Woche, die der Wettbewerb in den USA oder China für etwas anderes nutzt.
Die Frage ist nicht, ob Europa regulieren soll. Die Frage ist, ob die Umsetzung so schlank und klar sein kann, dass sie den Vorsprung nicht vergrößert.
Was das für den Mittelstand bedeutet
Große Konzerne haben Rechtsabteilungen, Compliance-Teams und externe Berater. Sie werden den EU AI Act umsetzen — aufwendig vielleicht, aber machbar. Die eigentliche Bewährungsprobe ist der Mittelstand.
Ein Maschinenbauer mit 200 Mitarbeitern, der KI-gestützte Qualitätskontrolle einsetzt. Ein Versicherungsmakler, der automatisierte Risikoeinschätzungen nutzt. Ein Personaldienstleister, dessen Software Bewerbungen vorsortiert. Sie alle könnten unter die Hochrisiko-Kategorie fallen — und stehen vor denselben Pflichten wie ein DAX-Konzern: technische Dokumentation, Risikomanagementsystem, menschliche Aufsicht, Genauigkeitsnachweise.
Das KI-MIG sieht zwei Instrumente vor, die hier helfen sollen:
KI-Reallabore — geschützte Testumgebungen, in denen Unternehmen innovative KI-Anwendungen unter realen Bedingungen erproben können, bevor sie den vollen regulatorischen Anforderungen unterliegen. Mindestens eines muss die Bundesnetzagentur einrichten.
Ein KI-Service-Desk — eine zentrale Anlaufstelle, die besonders kleinen und mittleren Unternehmen Orientierung bieten soll. Welche Pflichten gelten für mich? Ist mein System Hochrisiko? An wen muss ich mich wenden?
Auf dem Papier klingt das vernünftig. In der Praxis hängt alles davon ab, wie schnell und wie konkret diese Angebote verfügbar sind. Wenn der Service-Desk am 2. August 2026 noch keine Telefonnummer hat, hilft er niemandem.
Was jetzt sinnvoll ist
Unternehmen, die KI einsetzen, sollten nicht auf das fertige Gesetz warten. Die inhaltlichen Anforderungen stehen bereits im EU AI Act — das KI-MIG ändert daran nichts. Was sich lohnt:
Erstens: Ein internes KI-Inventar anlegen. Welche Systeme laufen, wer ist Anbieter, wer ist Betreiber im Sinne der Verordnung? Diese Unterscheidung ist wichtiger als sie klingt — sie bestimmt, welche Pflichten bei wem liegen.
Zweitens: Die Risikoklasse der eigenen Systeme prüfen. Die Liste der Hochrisiko-Anwendungen im EU AI Act ist konkret — Kreditvergabe, Personalauswahl, Versicherungs-Underwriting, kritische Infrastruktur. Wer hier KI einsetzt, weiß zumindest, woran er ist.
Drittens: KI-Kompetenz aufbauen. Die Pflicht, dass Mitarbeitende, die mit KI-Systemen arbeiten, angemessene Kenntnisse besitzen, gilt bereits seit Februar 2025. Das ist keine zukünftige Anforderung — das ist geltendes Recht.
Die Bußgelder kennen keine Unternehmensgröße: Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Für einen Mittelständler kann schon die kleinste Stufe existenzbedrohend sein.
Einordnung
Deutschland macht keinen Sonderweg — das ist die gute Nachricht. Die 1:1-Umsetzung des EU AI Act vermeidet zusätzliche Hürden. Die schlechte Nachricht: Die Umsetzung selbst droht an ihrer eigenen Komplexität zu scheitern. Hundert Behörden, föderale Zuständigkeiten, ein Zeitplan, der kaum Spielraum lässt.
Für den Mittelstand bleibt das Dilemma dasselbe wie beim Datenschutz vor acht Jahren: Die Regeln gelten für alle gleich, aber die Ressourcen sind es nicht. Wer sich jetzt vorbereitet, hat einen Vorsprung. Wer wartet, bis der Service-Desk antwortet, könnte zu spät dran sein.