Industrie 4.0
April 26, 2026
Der EU AI Act definiert den europäischen Rahmen für Künstliche Intelligenz. Doch Deutschland geht mit dem KI-MIG seinen eigenen Weg. Was das für Unternehmen bedeutet – und warum zehn Mitgliedstaaten dagegen protestieren.
Der EU AI Act ist die weltweit erste umfassende Regulierung von Künstlicher Intelligenz auf kontinentaler Ebene. Nach jahrelangen Verhandlungen wurde die Verordnung im Jahr 2024 offiziell verabschiedet. Ihr Inkrafttreten erfolgt gestaffelt: Die Verbote für inacceptable Risiken galten bereits seit Februar 2025. Ab August 2026 werden die Transparenzpflichten für allgemeine KI-Modelle und KI-Systeme vollgültig wirksam.
Das Kernprinzip der Verordnung folgt einem risikobasierten Ansatz. KI-Anwendungen werden in vier Kategorien eingestuft: inacceptable Risiken, die verboten sind; Hochrisiko-Systeme mit strengen Anforderungen; Systeme mit begrenztem Risiko, die Transparenzpflichten unterliegen; und minimale Risiken, die weitgehend frei eingesetzt werden können. Diese Abstufung ist entscheidend für das Verständnis der Regulierung – denn nicht jedes KI-System unterliegt denselben Pflichten.
Besonders relevant für den unternehmerischen Alltag ist die Pflicht zur technischen Dokumentation. Betreiber von Hochrisiko-KI-Systemen müssen nach Artikel 17 des EU AI Act ein Risikomanagement-System unterhalten, ihre Systeme auf Bias und Diskriminierung prüfen und eine Datengovernance sicherstellen. Die Dokumentationspflichten umfassen auch Informationen über den Trainingsdatensatz, die Systemarchitektur und die vorgesehene Verwendung. Für Unternehmen, die bisher keine systematische Dokumentation ihrer KI-Systeme vorgenommen haben, bedeutet dies einen erheblichen Mehraufwand.
Die Verordnung enthält zudem ein Verbot für bestimmte KI-Anwendungen, die als besonders bedenklich eingestuft werden. Dazu gehören Systeme, die unbewusst Verhaltensmanipulation einsetzen, soziale Scoring-Systeme durch Behörden und KI-gestützte biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum zu Strafverfolgungszwecken – mit Ausnahmen für spezifische Zwecke wie die Suche nach vermissten Kindern oder die Abwehr terroristischer Anschläge.
Deutschland hat sich entschieden, die Spielräume des EU AI Act national auszufüllen. Das KI-Medizinprodukte-Informations- und Transparenzgesetz – kurz KI-MIG – ist ein Gesetzentwurf, der spezifische Regelungen für KI-basierte Medizinprodukte schafft und gleichzeitig die nationale Implementierung der EU-Verordnung konkretisiert. Der Entwurf durchlief mehrere Revisionen, bevor er in den parlamentarischen Beratungsprozess ging.
Das Gesetz war politisch umstritten von Beginn an. Während Befürworter argumentierten, dass Deutschland als großer Medizintechnik-Markt spezifische nationale Regelungen benötige, warnten Kritiker vor einer Fragmentierung des europäischen Binnenmarkts. Die Befürchtung: Wenn jedes Mitgliedsland den EU-Rahmen unterschiedlich auslege, entstünden für Unternehmen zusätzliche Compliance-Kosten, die den erhofften Binnenmarktnutzen der Verordnung zunichtemachen würden. Diese Befürchtung ist nicht unbegründet, wie die nachfolgenden Ereignisse zeigen sollten.
Das KI-MIG adressiert in seinem aktuellen Entwurf mehrere Kernbereiche. Erstens schafft es eine nationale Datenbank für KI-basierte Medizinprodukte, die über die europäischen Anforderungen hinausgeht und Hersteller verpflichtet, zusätzliche Informationen über ihre Systeme zu registrieren. Zweitens definiert es erweiterte Transparenzpflichten für Hersteller gegenüber Patienten und medizinischem Personal – über die Mindestanforderungen des EU AI Act hinaus. Drittens enthält es Regelungen zur menschlichen Aufsicht, die ebenfalls über den europäischen Standard hinausgehen.
Ein vierter Bereich betrifft die Meldepflichten bei KI-bezogenen Vorfällen. Während der EU AI Act ein Meldesystem für Fehlfunktionen vorsieht, erweitert das KI-MIG diesen Rahmen um zusätzliche Berichtspflichten gegenüber nationalen Behörden. Kritiker sehen darin eine Überregulierung, die den europäischen Rahmen nicht nur ergänzt, sondern faktisch überlagert.
Im Frühjahr 2026 eskalierte die Debatte auf europäischer Ebene. Zehn Mitgliedstaaten – darunter Frankreich, die Niederlande, Schweden und Belgien – reichten gemeinsam eine formelle Stellungnahme bei der Europäischen Kommission ein. Ihr Vorwurf: Das deutsche KI-MIG führe zu einer regulatorischen Zersplitterung des europäischen Binnenmarkts. Die gemeinsame Erklärung wurde von den Ministerien für Wirtschaft und Digitalisierung der jeweiligen Länder unterzeichnet.
Die Kritik der protestierenden Staaten lässt sich in drei zentrale Punkte gliedern. Erstens schaffe das deutsche Gesetz technische Handelshemmnisse, da Hersteller von KI-Medizinprodukten in anderen EU-Ländern ihre Systeme nicht mehr ohne Weiteres in Deutschland vermarkten könnten. Die nationalen Zusatzanforderungen würden faktisch als nicht-tarifäre Handelsbarrieren wirken – auch wenn sie formal nicht als Zölle oder mengenmäßige Beschränkungen ausgestaltet sind.
Zweitens verstoße das KI-MIG gegen das Prinzip der vollständigen Harmonisierung, das der EU AI Act explizit vorsieht. In Artikel 2 der Verordnung heißt es unmissverständlich, dass die Mitgliedstaaten keine zusätzlichen nationalen Maßnahmen erlassen dürfen, die dem Ziel der Verordnung widersprechen. Die deutschen Regelungen zur erweiterten Datenerfassung und Patienteninformation gingen nach Ansicht der Kritiker über diesen Rahmen hinaus und schafften faktisch neue Anforderungen, die vom EU-Gesetzgeber nicht intendiert waren.
Drittens befürchten die protestierenden Staaten einen Präzedenzfall. Wenn Deutschland als größte Volkswirtschaft der Eurozone nationale Sonderwege gehe, sei zu erwarten, dass auch andere Mitgliedstaaten dem Beispiel folgten. Das Ergebnis wäre ein Flickenteppich aus 27 unterschiedlichen nationalen Implementierungen – genau das Gegenteil dessen, was der EU AI Act erreichen soll. Die Erfahrungen mit der Umsetzung der Datenschutz-Grundverordnung hätten gezeigt, dass divergierende nationale Auslegungen zu erheblichen Compliance-Kosten und Rechtsunsicherheit für grenzüberschreitend tätige Unternehmen führen könnten.
Die protestierenden Staaten forderten die Europäische Kommission auf, ihre Watchdog-Funktion wahrzunehmen und gegen Deutschland vorzugehen. Die Kommission leitete daraufhin ein Pilotverfahren ein, um zu prüfen, ob die deutschen Regelungen mit dem EU-Recht vereinbar sind.
Das Bundeswirtschaftsministerium wies die Kritik zurück. In einer Stellungnahme hieß es, dass das KI-MIG vollständig im Einklang mit dem EU-Recht stehe und lediglich die spezifischen Anforderungen des deutschen Gesundheitsmarkts adressiere. Deutschland habe als bedeutender Markt für Medizintechnik das Recht, aber auch die Pflicht, zusätzliche Schutzmaßnahmen für Patienten zu implementieren. Die nationalen Regelungen würden Bereiche konkretisieren, die der EU AI Act bewusst den Mitgliedstaaten überlasse.
Die Befürworter des Gesetzes verweisen auf die Besonderheiten des deutschen Gesundheitssystems. Die gesetzliche Krankenversicherung, das duale System aus ambulanter und stationärer Versorgung und die hohe Dichte an Krankenhäusern und Arztpraxen schafften spezifische Anforderungen, die einheitliche EU-Regelungen nicht in gleicher Weise abbilden könnten. Die deutsche Gesundheitslandschaft mit ihren über 1.700 Krankenhäusern und rund 160.000 niedergelassenen Ärzten stelle andere Herausforderungen dar als Gesundheitssysteme in kleineren Mitgliedstaaten.
Kritiker aus der Wissenschaft und von Verbraucherschutzorganisationen bemängeln allerdings, dass das KI-MIG in seiner aktuellen Form vor allem die Interessen der deutschen Medizintechnik-Industrie bediene, statt genuine Patientenschutzinteressen in den Vordergrund zu stellen. Sie verweisen auf die engen Verbindungen zwischen Teilen des Ministeriums und Branchenverbänden während des Gesetzgebungsprozesses. Mehrere Stellungnahmen von Verbänden seien nahezu wortgleich in den Gesetzentwurf übernommen worden.
Zudem wird kritisiert, dass der Nutzen der zusätzlichen nationalen Regelungen für Patienten und Verbraucher nicht belegt sei. Eine regulatorische Kosten-Nutzen-Analyse, wie sie für vergleichbare Gesetzesvorhaben standardmäßig durchgeführt werde, liege für das KI-MIG nicht vor. Stattdessen stütze sich die Begründung des Gesetzentwurfs auf allgemeine Verweise auf den Patientenschutz, ohne konkrete Risiken zu benennen, die durch die nationalen Zusatzregelungen adressiert und gemindert werden sollten.
Als Reaktion auf die wachsende Kritik an der regulatorischen Belastung durch den EU AI Act legte die Europäische Kommission im Frühjahr 2026 den sogenannten AI Act Omnibus vor. Dieses legislatorische Paket zielt darauf ab, die Bürokratiekosten für Unternehmen zu reduzieren, ohne dabei den Schutzstandard grundsätzlich zu senken. Die Kommission reagierte damit auf anhaltende Beschwerden aus der Wirtschaft über unverhältnismäßige Compliance-Anforderungen.
Der Omnibus enthält mehrere konkrete Maßnahmen. Erstens wird der Schwellenwert für die Pflicht zur Erstellung einer Konformitätsbewertung angehoben. Kleine und mittlere Unternehmen, die KI-Systeme mit einem geringen Risikoprofil betreiben, profitieren von vereinfachten Dokumentationspflichten. Die Konformitätsbewertung, die bisher für eine Vielzahl von KI-Systemen verpflichtend war, wird nun auf Systeme mit hohem Risiko beschränkt.
Zweitens werden die Fristen für die Implementierung der technischen Standards verlängert – von 24 auf 36 Monate nach Inkrafttreten der jeweiligen Anforderungen. Diese Verlängerung gibt Unternehmen mehr Zeit, ihre Systeme und Prozesse an die neuen Anforderungen anzupassen, ohne dabei den Schutzstandard zu reduzieren. Kritiker halten jedoch dagegen, dass die Verlängerung der Fristen allein nicht ausreiche, solange die zu erfüllenden Anforderungen selbst unklar oder technisch schwer umsetzbar seien.
Drittens enthält der Omnibus eine Safe-Harbour-Regelung für Unternehmen, die in guter Absicht und nach bestem Wissen compliant mit der Verordnung handeln. Solange ein Unternehmen nachweist, dass es angemessene Schritte zur Einhaltung der Anforderungen unternommen hat, sollen Verstöße gegen Dokumentationspflichten nicht mit den vollen Strafen belegt werden, die der AI Act vorsieht. Diese Regelung soll Unternehmen ermutigen, frühzeitig in Compliance zu investieren, anstatt risikobehaftete Implementierungen zu verschleiern.
Viertens wird die Rolle der nationalen Marktaufsichtsbehörden gestärkt, jedoch mit der Anforderung, dass diese eine einheitliche Auslegung der Verordnung gewährleisten. Die Kommission erhält die Befugnis, bei divergierenden Auslegungen zwischen Mitgliedstaaten Schiedsverfahren einzuleiten und verbindliche Leitlinien zu erlassen. Dies soll verhindern, dass der Flickenteppich unterschiedlicher nationaler Auslegungen – wie er beim KI-MIG sichtbar wird – zur neuen Normalität wird.
Eine praktische Unterstützung für Unternehmen, die den Anforderungen des AI Act begegnen wollen, liefert die Gesellschaft für Informatik (GI) seit März 2026 mit ihren Datenschutz-Folgenabschätzungs-Vorlagen (DPIA). Diese Vorlagen konkretisieren die allgemeinen Anforderungen des Artikels 35 der DSGVO und des gleichnamigen Artikel 35 des AI Act für verschiedene Anwendungsfälle, die in der Praxis besonders häufig auftreten.
Eine Datenschutz-Folgenabschätzung ist immer dann erforderlich, wenn ein KI-System voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Die GI-Vorlagen bieten branchenspezifische Templates, die Unternehmen Schritt für Schritt durch den Prüfprozess führen. Dabei werden nicht nur die formalen Anforderungen der Verordnung adressiert, sondern auch technische und organisatorische Maßnahmen vorgeschlagen, die Unternehmen implementieren können.
Die Vorlagen umfassen derzeit Templates für sechs Kernbereiche: KI-gestützte Entscheidungen im Personalwesen, automatische Kreditvergabe und Bonitätsprüfung, Gesichtserkennung im öffentlichen Raum, KI-Systeme in der medizinischen Diagnostik, algorithmische Bewertungssysteme im Bildungsbereich und KI-gestützte Content-Moderation in sozialen Netzwerken. Weitere Templates für zusätzliche Anwendungsbereiche sind in Entwicklung.
Jedes Template enthält standardisierte Checklisten zur Identifikation von Risiken, Musterformulierungen für die Dokumentation und Verweise auf relevante technische Standards. Die GI betont, dass die Vorlagen als Ausgangspunkt dienen und an die spezifischen Gegebenheiten jedes Unternehmens angepasst werden müssen. Eine DPIA nach Schema-F, die lediglich die Pflichtfelder ausfüllt, erfüllt nach Auffassung der Gesellschaft nicht den Zweck der Abschätzung. Entscheidend sei, dass Unternehmen ein tatsächliches Verständnis der Risiken entwickeln und nicht nur einen Dokumentationsakt vollziehen.
Die Nutzung der Vorlagen ist für GI-Mitglieder kostenfrei. Nicht-Mitglieder können die Templates gegen eine Gebühr erwerben. Die GI begründet dies mit dem Aufwand für die Erstellung und Aktualisierung der Vorlagen, der durch Mitgliedsbeiträge und Nutzungsgebühren gedeckt werden soll.
Eine zentrale Rolle bei der Überwachung der KI-Regulierung kommt dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zu. Seit Inkrafttreten der ersten Stufen des EU AI Act führt die Behörde verstärkt Kontrollen bei Unternehmen durch, die KI-Systeme mit hohem Risiko einsetzen. Der BfDI ist dabei unabhängig in seiner Entscheidungsfindung und unterliegt keiner Fachaufsicht durch die Bundesregierung.
Der BfDI hat in seinem Tätigkeitsbericht für 2025 darauf hingewiesen, dass viele Unternehmen noch erheblichen Nachholbedarf bei der Implementierung von Compliance-Strukturen hätten. Insbesondere kleine und mittlere Unternehmen verfügten häufig nicht über die personellen Ressourcen, um die umfangreichen Dokumentationspflichten fristgerecht umzusetzen. Die Behörde kündigte an, Unternehmen bei der Umsetzung durch Informationsmaterialien und Beratungsangebote zu unterstützen, bevor sie zu stärkeren Kontrollmaßnahmen übergehen werde.
Für Unternehmen bedeutet dies, dass die Übergangsfrist bis August 2026 genutzt werden sollte, um bestehende KI-Systeme zu auditieren, die erforderliche Dokumentation zu vervollständigen und interne Prozesse für die kontinuierliche Überwachung einzurichten. Der BfDI hat wiederholt klargestellt, dass er Verstöße, die nach dem Inkrafttreten der Transparenzpflichten im August 2026 festgestellt werden, nicht mit Augenmaß, sondern nach geltendem Recht bewerten werde. Diese Klarstellung richtete sich explizit auch an Unternehmen, die darauf spekulierten, dass die Behörde aus Kapazitätsgründen nur begrenzt kontrollieren könne.
Parallel dazu haben die Landesdatenschutzbehörden der Länder ihre Kontrollkapazitäten ausgebaut. Mehrere Bundesländer haben spezielle KI-Kontrollteams eingerichtet, die sich auf die Prüfung von Hochrisiko-KI-Systemen in ihrem Zuständigkeitsbereich konzentrieren. Die Koordination zwischen den Landesbehörden erfolgt über eine Arbeitsgruppe, die gemeinsame Prüfstandards und Austauschformate entwickelt hat.
Die Frage, die für viele Unternehmen im Raum steht, lautet: Betrifft mich der EU AI Act überhaupt? Die Antwort ist für einen überraschend großen Teil des deutschen Mittelstands ein klares Ja. Schätzungen zufolge sind rund 180.000 mittelständische Unternehmen in Deutschland unmittelbar von den Anforderungen der Verordnung betroffen – entweder als Betreiber von KI-Systemen, als Anbieter von KI-gestützten Produkten oder als Zulieferer für Unternehmen, die ihrerseits Compliance-Pflichten unterliegen.
Die Schwelle zur unmittelbaren Betroffenheit ist dabei niedriger, als viele annehmen. Nach der Definition des EU AI Act gilt ein KI-System als Hochrisiko-System, wenn es in einem der im Anhang III der Verordnung aufgeführten Bereiche eingesetzt wird. Dazu gehören unter anderem: Biometrie und Kategorisierung natürlicher Personen, kritische Infrastrukturen, Bildung und Berufsausbildung, Beschäftigung und Personalmanagement, Zugang zu wesentlichen privaten Diensten und öffentlichen Diensten, Strafverfolgung, Migration, Asyl und Grenzkontrolle sowie Justiz und demokratische Prozesse.
Für den deutschen Mittelstand besonders relevant ist die Kategorie Personalmanagement. Unternehmen, die KI-Systeme für die Mitarbeiterauswahl, Leistungsbewertung oder Einsatzplanung einsetzen, fallen in die Hochrisiko-Kategorie. Das betrifft längst nicht nur große Konzerne – auch mittelständische Unternehmen nutzen zunehmend HR-Software mit algorithmischen Komponenten für Bewerberscreening oder Schichtplanung. Die Marktdurchdringung von HR-Tech-Lösungen mit KI-Komponenten im deutschen Mittelstand wird auf über 40 Prozent geschätzt.
Eine weitere häufig unterschätzte Betroffenheitskategorie ist der Bereich kritische Infrastrukturen. Unternehmen, die in den Sektoren Energie, Wasser, Ernährung, Gesundheit oder Finanzierung tätig sind, setzen zunehmend KI-Systeme ein – etwa für predictive Maintenance, Netzoptimierung oder Betrugserkennung. All diese Anwendungen fallen unter die Hochrisiko-Kategorie, wenn sie die Verfügbarkeit oder Sicherheit der kritischen Infrastruktur beeinflussen können.
Was bedeutet die Regulierung konkret für Unternehmen, die bereits KI einsetzen oder den Einsatz planen? Die Anforderungen lassen sich in vier Kernbereiche gliedern, die jeder Verantwortliche kennen sollte.
Der erste Bereich betrifft die technische Dokumentation. Jedes Hochrisiko-KI-System muss über eine vollständige technische Dokumentation verfügen, die vor Inverkehrbringen erstellt wird und während der gesamten Lebensdauer des Systems aktuell gehalten wird. Diese Dokumentation muss Informationen enthalten über: die Zweckbestimmung des Systems, die Architektur und die Trainingsdaten, die verwendeten Metriken und Schwellenwerte, bekannte und vorhersehbare Risiken sowie Maßnahmen zur Risikominderung. Für viele Mittelständler ist dies Neuland – die Dokumentation von Software war bisher oft nachrangig gegenüber der funktionalen Entwicklung.
Der zweite Bereich betrifft das Risikomanagement. Unternehmen müssen ein dokumentiertes Risikomanagement-Verfahren etablieren, das alle Phasen des KI-System-Lebenszyklus abdeckt – von der Konzeption über die Entwicklung und Produktion bis zur Inbetriebnahme und Wartung. Risiken müssen identifiziert, analysiert, bewertet und durch geeignete Maßnahmen minimiert werden. Dieses Verfahren muss nicht nur existieren, sondern auch tatsächlich gelebt und bei Entscheidungen über KI-Systeme angewendet werden.
Der dritte Bereich betrifft die Transparenz und Information. Nutzer von KI-Systemen müssen darüber informiert werden, dass sie mit einem KI-System interagieren – es sei denn, dies ist aus dem Kontext offensichtlich. Bei Hochrisiko-Systemen müssen zusätzlich Informationen über die Funktionsweise, die verwendeten Daten und die Grenzen des Systems bereitgestellt werden. Diese Informationspflichten sind besonders relevant für Unternehmen, die ihre KI-Systeme an Endkunden vertreiben.
Der vierte Bereich betrifft die menschliche Aufsicht. Hochrisiko-KI-Systeme müssen so konzipiert sein, dass Menschen sie kontrollieren und bei Bedarf übersteuern können. Die Aufsichtsmechanismen müssen in der Praxis funktionsfähig sein – eine rein formale Implementisierung ohne tatsächliche Überwachungskapazitäten genügt nicht. Unternehmen müssen nachweisen können, dass sie tatsächlich in der Lage sind, die Entscheidungen ihrer KI-Systeme zu überprüfen und gegebenenfalls zu korrigieren.
Für Unternehmen, die in Deutschland KI-Systeme betreiben oder entwickeln, stellt sich die Frage, welche Anforderungen nun tatsächlich gelten. Die Antwort ist komplexer als eine einfache Hierarchie zwischen EU-Recht und nationalem Recht.
Grundsätzlich gilt: EU-Recht steht über nationalem Recht. Der EU AI Act als Verordnung ist unmittelbar in allen Mitgliedstaaten geltendes Recht und verdrängt widersprüchliches nationales Recht. Das KI-MIG kann daher nur Regelungen enthalten, die entweder Ergänzungen zum EU-Recht darstellen oder Bereiche regeln, die der EU AI Act ausdrücklich den Mitgliedstaaten überlässt. Die Verordnung selbst enthält in mehreren Artikeln Öffnungsklauseln, die den Mitgliedstaaten Gestaltungsspielräume einräumen.
Das KI-MIG enthält jedoch Regelungen, die über die Mindestanforderungen des EU AI Act hinausgehen – etwa bei der nationalen Datenbank für KI-Medizinprodukte oder bei den erweiterten Patienteninformationen. Für Hersteller und Betreiber von KI-gestützten Medizinprodukten bedeutet dies, dass sie neben den EU-weit geltenden Anforderungen zusätzlich die deutschen Sonderregelungen erfüllen müssen. Dies betrifft insbesondere Unternehmen im Gesundheitssektor, der in Deutschland eine erhebliche volkswirtschaftliche Bedeutung hat.
Diese doppelte Compliance-Last ist ein Kern der Kritik aus den zehn protestierenden Mitgliedstaaten. Für Unternehmen mit Sitz in Deutschland entsteht ein Mehraufwand, der für Wettbewerber in anderen EU-Ländern nicht anfällt. Die Kommission prüft derzeit, ob diese nationalen Zusatzanforderungen mit dem Prinzip des freien Warenverkehrs vereinbar sind. Bis zu einer Klärung bleibt für Unternehmen eine Rechtsunsicherheit bestehen, die bei strategischen Entscheidungen berücksichtigt werden muss.
Es ist dabei wichtig zu verstehen, dass das Verhältnis zwischen EU-Recht und nationalem Recht nicht statisch ist. Der EuGH hat in ständiger Rechtsprechung klargestellt, dass nationale Maßnahmen, die den Zweck und die Wirkung einer EU-Verordnung beeinträchtigen, unangewendet bleiben müssen. Ob das KI-MIG in einzelnen Punkten gegen dieses Prinzip verstößt, wird最终lich der Gerichtshof entscheiden.
Es ist nur eine Frage der Zeit, bis der Streit um das KI-MIG vor dem Europäischen Gerichtshof landet. Die Europäische Kommission hat bereits angekündigt, dass sie die Rechtmäßigkeit der deutschen Regelungen prüfen und gegebenenfalls ein Vertragsverletzungsverfahren einleiten werde. Ein solches Verfahren kann sich über mehrere Jahre erstrecken, bevor es zu einem Urteil kommt.
Ein solches Verfahren würde sich auf mehrere Rechtsfragen konzentrieren. Erstens: Hat Deutschland mit dem KI-MIG gegen die Vollharmonisierungsvorschrift in Artikel 2 des EU AI Act verstoßen? Die Kommission vertritt die Auffassung, dass die nationalen Regelungen über den Spielraum hinausgehen, den die Verordnung den Mitgliedstaaten einräumt. Zweitens: Sind die nationalen Zusatzanforderungen durch die im EU-Recht vorgesehenen Öffnungsklauseln gedeckt? Deutschland argumentiert, dass die Verordnung bewusst Bereiche offen lasse, die national geregelt werden können.
Drittens: Führen die technischen Anforderungen des KI-MIG faktisch zu einer Beeinträchtigung des freien Warenverkehrs? Diese Frage ist besonders relevant, da sie einen wirtschaftspolitischen Aspekt hat, der über die rein rechtliche Bewertung hinausgeht. Wenn nationale Regelungen faktisch dazu führen, dass Waren aus anderen Mitgliedstaaten in Deutschland nicht verkehrsfähig sind, verstößt dies gegen die Grundfreiheiten des EU-Vertrags.
Unabhängig vom Ausgang des Verfahrens wird ein Urteil des EuGH weitreichende Konsequenzen haben – sowohl für Deutschland als auch für andere Mitgliedstaaten, die mit ähnlichen Fragen konfrontiert sind. Sollte der Gerichtshof entscheiden, dass das KI-MIG gegen EU-Recht verstößt, wäre Deutschland verpflichtet, die beanstandeten Regelungen zu ändern oder zu streichen. Unternehmen, die bereits in Compliance-Strukturen nach dem KI-MIG investiert haben, müssten diese dann anpassen.
Angesichts der Unsicherheiten durch den parallelen Rahmen von EU AI Act und KI-MIG sollten Unternehmen einen pragmatischen Ansatz verfolgen. Die Priorität sollte darauf liegen, zunächst die Mindestanforderungen des EU AI Act zu erfüllen und dann zu prüfen, ob zusätzliche nationale Anforderungen relevant sind. Eine Übererfüllung ohne klare rechtliche Grundlage kann unnötige Kosten verursachen und im schlimmsten Fall zu einem compliance-Überhang führen, der Innovationen bremst.
Folgende Schritte sind empfehlenswert für Unternehmen, die KI-Systeme betreiben oder entwickeln:
Erstens: Inventarisierung der eingesetzten KI-Systeme. Unternehmen sollten eine vollständige Liste aller KI-Systeme erstellen, die sie betreiben oder anbieten, und diese nach ihrer Risikokategorie einstufen. Diese Inventarisierung ist die Grundlage für alle weiteren Schritte und sollte regelmäßig aktualisiert werden. Dabei ist es wichtig, nicht nur selbst entwickelte Systeme zu erfassen, sondern auch Systeme, die über externe Anbieter bezogen werden.
Zweitens: Gap-Analyse durchführen. Auf Basis der Inventarisierung sollten Unternehmen prüfen, welche Anforderungen des EU AI Act für ihre Systeme gelten und wo bestehende Prozesse und Dokumentationen Lücken aufweisen. Die GI-Vorlagen für DPIA können hier als Leitstruktur dienen. Die Gap-Analyse sollte konkrete Maßnahmen zur Schließung der identifizierten Lücken benennen.
Drittens: Priorisierung der Maßnahmen. Angesichts der begrenzten Ressourcen, die den meisten mittelständischen Unternehmen zur Verfügung stehen, ist eine strategische Priorisierung unerlässlich. Systeme mit dem höchsten Risikopotenzial und der größten Lücke zu den Anforderungen sollten zuerst adressiert werden. Eine risikobasierte Priorisierung hilft, die verfügbaren Ressourcen optimal einzusetzen.
Viertens: Externe Unterstützung einholen. Die Komplexität der Regulierung – insbesondere in der Schnittstelle zwischen EU-Recht und nationalem Recht – rechtfertigt professionelle Beratung. Spezialisierte Anwaltskanzleien und Beratungsunternehmen bieten Unterstützung bei der Compliance-Umsetzung an. Dabei sollte auf Erfahrung mit dem EU AI Act und idealerweise auch mit dem KI-MIG geachtet werden.
Fünftens: Dokumentation kontinuierlich pflegen. Compliance ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Die Dokumentation von KI-Systemen muss aktuell gehalten werden, Veränderungen müssen nachvollziehbar sein, und die Überwachungsprozesse müssen in den Unternehmensalltag integriert werden. Es empfiehlt sich, Verantwortlichkeiten klar zuzuweisen und regelmäßige Reviews einzuplanen.
Der EU AI Act und das deutsche KI-MIG stellen Unternehmen vor erhebliche Herausforderungen. Die Regulierung ist komplex, die Fristen sind knapp, und die Unsicherheiten über das Zusammenspiel von EU-Recht und nationalem Recht sind groß. Gleichzeitig bietet die Regulierung auch Chancen: Unternehmen, die frühzeitig in Compliance-Strukturen investieren, werden langfristig besser positioniert sein als Wettbewerber, die das Thema vor sich herschieben.
Mit dem Inkrafttreten der Transparenzpflichten im August 2026 rückt der Zeitpunkt näher, ab dem Verstöße geahndet werden können. Für die Mehrheit der rund 180.000 betroffenen mittelständischen Unternehmen in Deutschland ist jetzt der Moment, die Weichen für eine compliance-gerechte Zukunft zu stellen. Dies gilt umso mehr, als dass die Kontrollkapazitäten der Aufsichtsbehörden in den kommenden Monaten weiter ausgebaut werden.
Die europäische Entscheidung über die Rechtmäßigkeit des KI-MIG wird zeigen, ob der deutsche Sonderweg eine dauerhafte Realität bleibt oder ob er als Präzedenzfall für eine stärkere Harmonisierung der nationalen Implementierungen dient. Bis dahin gilt für Unternehmen: Die Anforderungen des EU AI Act als Mindeststandard erfüllen, die Entwicklungen beim KI-MIG aufmerksam verfolgen und bei Bedarf rechtzeitig rechtlichen Rat einholen. Wer jetzt handelt, statt abzuwarten, wird die regulatorischen Herausforderungen als Wettbewerbsvorteil nutzen können.
