Am 11. Februar 2026 hat das Bundeskabinett den Entwurf des KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG) beschlossen. Damit setzt Deutschland die Vorgaben der europäischen KI-Verordnung vom 2. August 2024 um und legt zugleich die maßgeblichen Aufsichtsstrukturen fest. Das Thema KI-Regulierung nimmt somit hierzulande konkrete Gestalt an.
DSGVO und KI‑Verordnung greifen ineinander
Die Tatsache, dass die Bundesnetzagentur als zentrale Aufsichtsbehörde fungieren soll, schafft zumindest institutionelle Klarheit, auch wenn die Entscheidung gegen eine stärkere Rolle der Datenschutzbehörden durchaus kritisch zu sehen ist. Denn gerade die enge Verzahnung von KI-Regulierung und Datenschutz stellt Unternehmen in der Praxis vor große Herausforderungen. Zum Hintergrund: Die europäische KI-Verordnung gilt zwar unmittelbar in allen Mitgliedstaaten, doch ohne die nationale Aufsichtsstruktur fehlte bislang der verbindliche Rahmen für ihre Durchsetzung. Mit dem KI-MIG wird deutlich, dass Unternehmen ihre KI-Systeme nicht isoliert betrachten können. Wer bereits heute personenbezogene Daten mit KI-Systemen verarbeitet, muss die Anforderungen der DSGVO und der KI-Verordnung parallel erfüllen. Die Überschneidungen sind erheblich – von der Risikobewertung über Transparenzpflichten bis hin zur lückenlosen Dokumentation.
Aktuell unterschätzen viele Unternehmen noch, wie weitreichend die Pflichten der KI-Verordnung sind. So verlangt die risikobasierte Klassifizierung eine sorgfältige Analyse, ob eingesetzte oder geplante KI-Systeme als Hochrisiko-Anwendung einzustufen sind. Gerade im Personalwesen, in dem KI-gestützte Bewerbermanagementsysteme bereits zum Alltag gehören, greifen ab August 2026 die strengen Anforderungen an Konformitätsbewertung und technische Dokumentation, sofern diese Systeme unter die Hochrisiko-Kategorien des AI Act fallen. Wer erst dann mit den Vorbereitungen beginnt, wird den Zeitplan kaum einhalten können. Die vorgesehenen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes zeigen zudem, dass es sich nicht um eine symbolische Regulierung handelt.
Doppelregulierung versus Praxis
Die Kritik aus der Industrie an Doppelregulierung und hohem bürokratischen Aufwand ist nachvollziehbar. Gleichzeitig zeigt die Erfahrung mit der DSGVO: Unternehmen, die regulatorische Anforderungen frühzeitig in ihre Governance, ihr Risikomanagement und ihre internen Prozesse integrieren, gewinnen langfristig an Effizienz und Rechtssicherheit. Sie sind besser aufgestellt als jene, die auf Nachbesserungen des Gesetzgebers gewartet haben. Dieser Ansatz gilt umso mehr für die KI-Verordnung, deren Anforderungen sich sinnvoll mit bestehenden Datenschutzprozessen verbinden lassen. Genau hier liegt also die strategische Aufgabe: Datenschutz, Informationssicherheit, Compliance und KI-Governance dürfen nicht getrennt organisiert werden.
Fazit: Integrierte Umsetzung schafft Rechtssicherheit
KI-Regulierung ist längst kein Zukunftsthema mehr. Mit dem KI-MIG beginnt die Phase der konkreten Durchsetzung. Unternehmen, die die regulatorischen Anforderungen jetzt integriert denken und organisatorisch sauber verankern, verschaffen sich nicht nur Rechtssicherheit, sondern auch einen echten Wettbewerbsvorteil.
