EU AI ACT
April 29, 2026
Deutschland hat gehandelt – und zwar schneller als erwartet. Mit dem KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) rückt die Bundesnetzagentur in eine Rolle, die vor zwei Jahren noch kaum jemand für sie vorgesehen hätte: erste nationale KI-Regulierungsbehörde der Bundesrepublik. Für Unternehmen bedeutet das: Die AI Act Regulierungsbehörde ist keine abstrakte Zukunftsvision mehr. Sie ist Realität – mit Fristen, Bußgeldern und konkreten Compliance-Pflichten für Hochrisiko-KI. Wer jetzt noch abwartet, spielt ein gefährliches Spiel.
Am 11. Februar 2026 hat das Bundeskabinett das KI-MIG beschlossen. Damit ist die Frage, wer in Deutschland die Aufsicht über KI-Systeme führt, offiziell beantwortet: die Bundesnetzagentur (BNetzA). Die Entscheidung kam nicht aus dem Nichts. Die EU-KI-Verordnung – besser bekannt als AI Act – verpflichtet alle Mitgliedstaaten, eine nationale Marktüberwachungsbehörde zu benennen. Deutschland hat diesen Schritt lange abgewogen und sich schließlich für eine Lösung entschieden, die Konsequenz und Pragmatismus verbindet.
Die Bundesnetzagentur ist keine unbekannte Größe. Sie reguliert Telekommunikation, Post, Energie und Eisenbahn. Sie kennt das Geschäft mit komplexen Technologiemärkten, grenzüberschreitenden Akteuren und konkurrierenden Interessen. Dass ausgerechnet sie nun auch die AI Act Regulierungsbehörde wird, ist weniger überraschend als es auf den ersten Blick wirkt – und deutlich weniger riskant als eine Neugründung auf der grünen Wiese.
Bundesdigitalminister Karsten Wildberger hat die Entscheidung mit dem Versprechen verbunden, europäische Vorgaben „maximal innovationsoffen“ umzusetzen. Was das konkret bedeutet, wird sich in den kommenden Monaten zeigen. Die Formulierung klingt nach politischer Schutzimpfung gegen Kritik aus der Wirtschaft – und ist gleichzeitig eine Selbstverpflichtung, die die BNetzA im Blick behalten wird. Semantisch passt dazu unser Hintergrund Wie KI-Regulierungen die Chancen für die deutsche Wirtschaft beeinflussen könnten.
Meine Einschätzung dazu ist klar: Eine schlanke Aufsichtsbehörde ist besser als gar keine. Aber „schlank“ darf nicht zum Deckmantel für zahnlose Kontrolle werden. Der AI Act hat scharfe Bußgelder vorgesehen – und sie werden nur dann abschreckend wirken, wenn eine Behörde sie auch tatsächlich verhängt. Die BNetzA muss beweisen, dass sie diese Rolle ausfüllen kann.
Für Unternehmen ist die institutionelle Entscheidung zunächst eine Orientierungshilfe. Wer bisher nicht wusste, an wen er sich bei Fragen zur Hochrisiko-KI Compliance wenden soll, hat jetzt eine klare Adresse. Das ist mehr wert, als es klingt. Regulierungsunklarheit kostet Geld – und Nerven. Semantisch passt dazu unser Hintergrund Stressfreier KI-Einsatz im Unternehmen:.
Das KI-Marktüberwachungs- und Innovationsförderungsgesetz ist kein eigenständiges Regelwerk, das den AI Act ersetzt. Es ist das nationale Umsetzungsinstrument, das den EU-Rechtsrahmen in deutsches Verwaltungshandeln überführt. Das klingt technisch – hat aber erhebliche praktische Konsequenzen.
Das KI-MIG legt fest, dass die BNetzA als zentrale Koordinationsstelle fungiert, ohne dabei die sektorale Expertise anderer Behörden zu verdrängen. Die BaFin bleibt zuständig für KI-Anwendungen im Finanzsektor. Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) behält seine Zuständigkeit bei medizinischen KI-Systemen. Das klingt nach Behördendschungel, ist aber tatsächlich eine vernünftige Lösung – denn ein One-Size-fits-all-Ansatz würde domänenspezifisches Wissen ignorieren.
Zentral ist das sogenannte Koordinierungs- und Kompetenzzentrum (KoKIVO), das die BNetzA aufbaut. Dieses Zentrum soll als One-Stop-Shop für Unternehmen fungieren: Interpretationshilfen geben, Leitlinien entwickeln und die Kommunikation zwischen sektoralen Behörden koordinieren. Wer eine Frage zur Klassifizierung seines KI-Systems hat, soll hier eine erste, verbindliche Orientierung bekommen – ohne durch vier verschiedene Behörden jonglieren zu müssen.
Was das Gesetz offenlässt, ist ebenfalls relevant: Die genaue Ausgestaltung von Prüfverfahren, die konkreten Meldepflichten für bestimmte Systemkategorien und die operative Ausgestaltung der Regulierungssandboxen sind noch nicht abschließend definiert. Unternehmen, die jetzt mit der Umsetzung beginnen, müssen in einigen Bereichen mit Interpretationsspielräumen umgehen – was sowohl Chance als auch Risiko bedeutet.
Besonders kritisch ist die Frage der Doppelzuständigkeiten. Wenn ein KI-System im medizinischen Bereich eingesetzt wird und dabei personenbezogene Daten verarbeitet, greift potenziell das BfArM, die Datenschutzbehörde und die BNetzA. Hochrisiko-KI Compliance kann in solchen Fällen schnell zu einem Koordinierungsmarathon werden. Das KoKIVO soll diese Schnittstellen glätten – ob es das kann, ist eine offene Frage.
Der AI Act arbeitet mit einem risikobasierten Stufenmodell. Vier Kategorien: verbotene KI-Praktiken, Hochrisiko-KI-Systeme, KI-Systeme mit begrenztem Risiko und KI-Systeme mit minimalem Risiko. Für die große Mehrheit der Unternehmen ist die zweite Kategorie die relevanteste – und die aufwendigste.
Hochrisiko-KI-Systeme sind solche, die in Anhang III des AI Acts gelistet sind oder die in kritischen Infrastrukturen, Bildung, Beschäftigung, wesentlichen Dienstleistungen, Strafverfolgung, Migration oder Rechtspflege eingesetzt werden. Die Liste ist lang und – das muss man fair sagen – gelegentlich interpretationsbedürftig. Ein KI-gestütztes Bewerbungsmanagementsystem fällt darunter. Ein automatisiertes Kreditscoring-Tool ebenfalls. Eine KI, die Mitarbeitende überwacht und deren Produktivität bewertet, auch.
Hochrisiko-KI Compliance bedeutet konkret: Risikomanagement-System einrichten, Daten-Governance-Prozesse dokumentieren, technische Dokumentation erstellen, Protokollierungspflichten erfüllen, Transparenzanforderungen gegenüber Nutzern umsetzen, menschliche Aufsicht sicherstellen, Robustheit und Genauigkeit nachweisen, Konformitätsbewertung durchführen, CE-Kennzeichnung anbringen und das System in der EU-Datenbank registrieren.
Das ist kein Spaziergang. Wer glaubt, das lasse sich nebenbei erledigen, hat den Regulierungsrahmen nicht gelesen. Gerade für mittelständische Unternehmen, die KI-Systeme einsetzen, ohne eine eigene Compliance-Abteilung zu haben, wird dieser Aufwand eine echte Herausforderung. Die gute Nachricht: Die BNetzA und das KoKIVO sind ausdrücklich auch als Beratungsinstanz gedacht. Die schlechte Nachricht: Die Frist wartet nicht auf vollständige Orientierung.
Besonders relevant ist die Frage der Lieferkette. Wer ein KI-System nicht selbst entwickelt, sondern von einem Drittanbieter einkauft, ist nicht automatisch aus der Pflicht entlassen. Als sogenannter Deployer – also als Betreiber eines Hochrisiko-KI-Systems – trägt man eigene Verantwortung für Überwachung, Transparenz gegenüber Betroffenen und die Meldung schwerwiegender Vorfälle. Das ist eine oft unterschätzte Dimension der Hochrisiko-KI Compliance.
Der AI Act sieht Bußgelder vor, die an die Struktur der DSGVO erinnern, aber in Teilen darüber hinausgehen. Verstöße gegen Verbote – etwa der Einsatz von Echtzeit-Biometrie zur Massenüberwachung oder Social-Scoring-Systeme – können mit bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes geahndet werden. Verstöße gegen Hochrisiko-KI-Anforderungen kosten bis zu 15 Millionen Euro oder drei Prozent des Umsatzes. Falsche Angaben gegenüber Behörden schlagen mit bis zu 7,5 Millionen Euro oder einem Prozent des Umsatzes zu Buche. Semantisch passt dazu unser Hintergrund CES 2026 in Las Vegas: Was die Tech-Messe über die KI-Zukunft verrät.
Der Vergleich mit der DSGVO ist naheliegend, aber vorsichtig zu genießen. Die DSGVO hat in Deutschland jahrelang Bußgelder eher verhalten ausgeschöpft – mit Ausnahmen wie dem Berliner Datenschutzbeauftragten gegen H&M. Der AI Act bringt eine neue Behörde, neue politische Erwartungen und einen europäischen Koordinationsrahmen mit sich, der auf einheitliche Durchsetzung drängt. Es wäre naiv zu glauben, die BNetzA werde mit gleicher Zurückhaltung agieren wie manche Datenschutzaufsicht in den ersten DSGVO-Jahren.
Hinzu kommt die Wechselwirkung mit der DSGVO selbst. Die AI Act Regulierungsbehörde kooperiert mit den Datenschutzbehörden. Wer bei einer Hochrisiko-KI-Prüfung auffliegt, riskiert automatisch auch eine datenschutzrechtliche Prüfung – und umgekehrt. Das addiert Bußgeldrisiken, die sich potenziell überlagern. Unternehmen, die personenbezogene Daten in Hochrisiko-KI-Systemen verarbeiten, sitzen buchstäblich zwischen zwei Regulierungsregimen.
Was bedeutet das praktisch? Compliance ist kein optionales Nice-to-have mehr. Sie ist Risikomanagement. Ein Unternehmen mit 50 Millionen Euro Jahresumsatz, das ein nicht konformes Hochrisiko-KI-System betreibt, kann theoretisch mit 1,5 Millionen Euro Bußgeld konfrontiert werden. Das ist existenzbedrohend für viele Mittelständler. Das ist keine Übertreibung – das ist Gesetzestext.
Ein Kernelement des KI-MIG und des AI Acts sind die Regulierungssandboxen. Bis zum 2. August 2026 muss Deutschland mindestens eine solche Testumgebung einrichten – das ist gesetzliche Pflicht. Regulierungssandboxen erlauben es Unternehmen, innovative KI-Systeme unter kontrollierten Bedingungen zu erproben, bevor alle regulatorischen Anforderungen vollständig erfüllt sein müssen.
Klingt gut. Ist es auch – mit Einschränkungen. Erstens: Sandboxen sind kein Freifahrtschein für unkontrolliertes Experimentieren. Die BNetzA überwacht den Prozess. Zweitens: Der Zugang ist begrenzt und wird nach Kriterien vergeben, die noch nicht abschließend definiert sind. Drittens: Wer in einer Sandbox entwickelt, muss trotzdem alle gewonnenen Erkenntnisse dokumentieren und bleibt nach Ablauf des Sandbox-Zeitraums den regulären Anforderungen unterworfen.
Dennoch: Für Unternehmen, die an der Grenze zwischen Hochrisiko und nicht-Hochrisiko operieren oder die neue KI-Anwendungen in regulierten Sektoren entwickeln, sind Sandboxen eine echte Möglichkeit. Sie bieten direkten Kontakt zur Regulierungsbehörde, Rechtssicherheit im Erprobungszeitraum und die Chance, Compliance-Anforderungen frühzeitig zu verstehen – nicht rückwirkend nachzurüsten.
Meine Empfehlung: Wenn Ihr Unternehmen ein KI-System entwickelt oder plant, das in die Hochrisiko-Kategorie fallen könnte, prüfen Sie jetzt die Sandbox-Teilnahme. Die frühe Beteiligung an solchen Prozessen hat historisch einen klaren Vorteil gebracht – nicht weil die Regulierung gnädiger wird, sondern weil man versteht, was sie wirklich erwartet, bevor man Fehler begeht, die teuer werden.
Die Bundesregierung hat die Sandbox-Pflicht explizit in ihren Umsetzungsplan aufgenommen. Wer das bisher nicht auf dem Radar hatte, sollte es dringend nachholen.
Die BNetzA ist die AI Act Regulierungsbehörde – aber sie ist nicht allein. Das hybride Modell, das das KI-MIG festschreibt, bedeutet: Sektorale Fachkompetenz bleibt dort, wo sie hingehört. Die BNetzA koordiniert, die Fachbehörden entscheiden in ihren Bereichen.
Für den Finanzsektor heißt das: Die BaFin bleibt erste Anlaufstelle für KI-Systeme in Banken, Versicherungen und bei Zahlungsdienstleistern. Wer ein KI-gestütztes Kreditscoring-System betreibt, hat es primär mit der BaFin zu tun – und sekundär mit der BNetzA, wenn es um übergreifende AI-Act-Fragen geht. Das klingt nach Doppelarbeit, ist aber eigentlich die vernünftigste Lösung: Die BaFin kennt Finanzrisiken. Die BNetzA kennt KI-Marktüberwachung. Beide brauchen einander.
Im medizinischen Bereich ist das BfArM zuständig. KI-Systeme, die als Medizinprodukte klassifiziert werden, unterliegen ohnehin der EU-Medizinprodukteverordnung (MDR) – der AI Act schichtet sich darüber. Diese Doppelung ist nicht trivial. Unternehmen im Digital-Health-Bereich müssen beide Regulierungsrahmen gleichzeitig erfüllen, was erhebliche Ressourcen bindet.
Für Arbeitgeber, die KI zur Personalauswahl oder -überwachung einsetzen, wird die Gemengelage noch komplexer: Arbeitnehmerrechte, DSGVO, Betriebsverfassungsgesetz und AI Act greifen ineinander. Die Datenschutzbehörden der Länder bleiben für datenschutzrechtliche Fragen zuständig, die BNetzA koordiniert die KI-spezifischen Aspekte.
Kritisch gesehen: Dieses Modell birgt das Risiko der Verantwortungsdiffusion. Wenn drei Behörden beteiligt sind und keine abschließend entscheidet, entstehen Lücken. Das KoKIVO soll diese Lücken schließen – aber ein Kompetenzzentrum ist nur so gut wie seine tatsächliche Weisungsbefugnis. Hier wird man die ersten Praxisfälle abwarten müssen, um zu sehen, ob die Koordination funktioniert oder ob Unternehmen zwischen den Stühlen landen.
Eine der drängendsten Fragen für Unternehmen ist die Schnittstelle zwischen AI Act und Datenschutz-Grundverordnung. Beide Regime sind nicht deckungsgleich, aber sie überlappen sich erheblich – und das an genau den Stellen, die für Hochrisiko-KI-Systeme besonders relevant sind.
Die DSGVO kennt das Instrument der Datenschutz-Folgenabschätzung (DPIA). Der AI Act fordert für Hochrisiko-Systeme eine Konformitätsbewertung. Beide Verfahren prüfen ähnliche Fragen: Welche Risiken entstehen durch den Einsatz des Systems? Wie werden diese Risiken gemindert? Was passiert mit personenbezogenen Daten? In vielen Fällen werden Unternehmen diese Verfahren parallelisieren oder integrieren müssen – sonst droht doppelter Aufwand ohne doppelten Erkenntnisgewinn.
Besonders relevant ist die Zweckbindung von Trainingsdaten. Wenn ein Hochrisiko-KI-System mit personenbezogenen Daten trainiert wurde, stellt sich die Frage, ob die ursprüngliche Einwilligung oder Rechtsgrundlage auch den KI-Trainingszweck abdeckt. Das ist keine akademische Frage – es ist eine, die Unternehmen bei der Beschaffung und Aufbereitung von Trainingsdaten heute schon beachten müssen.
Die Widerspruchsrechte, die Betroffenen nach DSGVO zustehen, überschneiden sich mit den Transparenzrechten, die der AI Act für KI-gestützte Entscheidungen vorschreibt. Wenn ein Algorithmus über eine Bewerbung oder einen Kredit entscheidet, hat die betroffene Person Anspruch auf Auskunft – sowohl nach DSGVO als auch nach AI Act. Unternehmen müssen sicherstellen, dass ihre Systeme diese Auskünfte tatsächlich liefern können.
Hochrisiko-KI Compliance ohne DSGVO-Compliance zu denken, ist schlicht nicht möglich. Wer eines vernachlässigt, riskiert, gegen beide zu verstoßen. Die gute Nachricht: Wer bereits robuste DSGVO-Prozesse hat, hat einen Vorsprung – aber keinen Freifahrtschein.
Abstrakte Regulierung nutzt nichts, wenn nicht klar ist, was sie im Betriebsalltag bedeutet. Hier ist, was Unternehmen jetzt angehen müssen – ohne Aufschub, ohne Warten auf weitere Klarstellungen.
Schritt 1: KI-Inventar erstellen. Dokumentieren Sie alle KI-Systeme, die Ihr Unternehmen einsetzt oder plant einzusetzen. Das klingt banal, ist aber in vielen Unternehmen nicht systematisch gemacht. Auch zugekaufte Softwareprodukte mit KI-Komponenten müssen erfasst werden. Ohne vollständiges Inventar kein vollständiges Risikobild.
Schritt 2: Risikoklassifizierung durchführen. Für jedes KI-System im Inventar muss bewertet werden: Fällt es unter eine verbotene Praxis? Ist es Hochrisiko? Hat es begrenztes oder minimales Risiko? Die Klassifizierung ist nicht immer eindeutig – hier lohnt sich frühzeitiger Kontakt zum KoKIVO der BNetzA.
Schritt 3: Hochrisiko-KI Compliance-Roadmap entwickeln. Für alle Hochrisiko-Systeme müssen die regulatorischen Anforderungen systematisch erfüllt werden: Risikomanagement-System, Datendokumentation, technische Spezifikation, Audit-Protokolle, Konformitätsbewertung, CE-Kennzeichnung, EU-Datenbankregistrierung. Das ist ein Projekt – kein Tagesgeschäft.
Schritt 4: DSGVO-Integration prüfen. Bestehende Datenschutz-Folgenabschätzungen sollten darauf geprüft werden, ob sie die AI-Act-relevanten Fragen bereits abdecken oder ob sie erweitert werden müssen. In den meisten Fällen wird eine Aktualisierung notwendig sein.
Schritt 5: Transparenzpflichten umsetzen. Betroffene müssen wissen, wenn sie mit einem Hochrisiko-KI-System interagieren. Informationspflichten, Widerspruchsmöglichkeiten und Auskunftsrechte müssen in Prozesse und Systeme eingebaut werden – nicht als Nachgedanke, sondern als Kernfunktion.
Schritt 6: Lieferkette prüfen. Alle KI-Systeme, die zugekauft werden, müssen auf ihre Compliance geprüft werden. Fordern Sie von Anbietern entsprechende Nachweise. Als Deployer tragen Sie Mitverantwortung – das lässt sich nicht vollständig vertraglich wegdelegieren.
Schritt 7: Interne Governance aufbauen. Wer ist in Ihrem Unternehmen für KI-Compliance zuständig? Wenn die Antwort niemand ist, ist das Ihr erstes Problem. Benennen Sie einen KI-Compliance-Verantwortlichen, klären Sie Berichtslinien und etablieren Sie einen internen Review-Prozess für neue KI-Projekte.
Schritt 8: Kontakt zur BNetzA aufnehmen. Das KoKIVO ist ausdrücklich als Beratungsinstanz gedacht. Nutzen Sie diese Möglichkeit – nicht nur im Krisenfall, sondern proaktiv. Wer frühzeitig mit der AI Act Regulierungsbehörde kommuniziert, hat im Zweifelsfall einen Informationsvorteil gegenüber denen, die erst reagieren, wenn ein Verfahren läuft.
Regulierung schafft Fehlerquellen – besonders in der Frühphase, wenn Leitlinien noch nicht vollständig ausgearbeitet sind. Diese Fehler beobachte ich bereits häufig, und sie sind vermeidbar.
Fehler 1: Abwarten. Viele Unternehmen warten auf finale Leitlinien, bevor sie handeln. Das ist riskant. Die Grundanforderungen des AI Acts stehen fest. Was noch konkretisiert wird, sind Details – nicht die strukturellen Verpflichtungen. Wer damit wartet, ein Inventar zu erstellen, bis alle Grautöne ausgeleuchtet sind, wird zu spät fertig.
Fehler 2: Unterschätzen, was als Hochrisiko zählt. Die Liste der Hochrisiko-Anwendungen ist breiter als viele denken. KI zur Personalauswahl? Hochrisiko. KI zur Kreditbewertung? Hochrisiko. KI zur Priorisierung von Notfalleinsätzen? Hochrisiko. Viele Unternehmen glauben, sie seien nicht betroffen – und liegen falsch.
Fehler 3: Compliance als IT-Thema behandeln. Die Anforderungen des AI Acts sind nicht rein technisch. Sie sind organisatorisch, rechtlich und ethisch. Compliance ist Führungsaufgabe, nicht Abteilungsthema. Wenn das Management die Verantwortung delegiert und sich nicht selbst damit beschäftigt, entstehen blinde Flecken, die teuer werden können.
Fehler 4: DSGVO und AI Act getrennt behandeln. Beide Regime laufen parallel – und sie müssen koordiniert angegangen werden. Getrennte Compliance-Projekte, die nicht miteinander sprechen, produzieren Doppelarbeit und Widersprüche.
Fehler 5: Anbieterverantwortung überschätzen. Wer ein KI-System einkauft, statt es selbst zu entwickeln, ist nicht automatisch aus der Pflicht. Der AI Act unterscheidet zwischen Entwicklern (Providers) und Betreibern (Deployers) – beide tragen Verantwortung. Deployer müssen sicherstellen, dass Systeme wie vorgesehen eingesetzt werden, Betroffene informiert werden und Vorfälle gemeldet werden.
Die Benennung der BNetzA als AI Act Regulierungsbehörde war überfällig, wenn man den europäischen Vergleich heranzieht. Viele EU-Mitgliedstaaten haben ihre nationalen Zuständigkeiten früher festgelegt. Deutschland hat lange diskutiert – das KI-MIG ist das Ergebnis dieser Debatte, kein schneller Schuss.
Die nationalen Umsetzungspläne der EU-Mitgliedstaaten zeigen ein heterogenes Bild: Frankreich setzt auf eine Stärkung der CNIL als Datenschutzbehörde mit erweiterten KI-Kompetenzen. Die Niederlande experimentieren mit einer dezentralen Zuständigkeitsstruktur. Deutschland hat sich für das hybride Modell mit BNetzA als Koordinatorin entschieden – was in der Theorie das Beste aus beiden Welten vereint, in der Praxis aber Koordinationsaufwand bedeutet.
Die europäische Dimension ist dabei nicht zu unterschätzen. Der AI Act ist EU-Recht. Die Durchsetzung muss europaweit konsistent sein. Das European AI Office in Brüssel koordiniert die nationalen Behörden. Wer als Unternehmen grenzüberschreitend agiert, hat es potenziell mit mehreren nationalen Aufsichtsbehörden zu tun – auch wenn das KoKIVO als One-Stop-Shop dienen soll.
Positiv zu bewerten: Deutschland hat mit dem KI-MIG ein Gesetz geschaffen, das explizit auch Innovationsförderung im Namen trägt. Das ist kein Zufall. Die politische Botschaft ist: Regulierung ja, Innovationsbremse nein. Ob dieser Balanceakt gelingt, hängt von der Umsetzung ab – nicht vom Gesetzestitel.
Was fehlt, ist Tempo bei der operativen Ausstattung. Die BNetzA braucht Personal, Expertise und digitale Infrastruktur, um ihre neue Rolle ausfüllen zu können. Eine Behörde, die mit dem Regulieren von Energiepreisen beschäftigt ist und nebenbei KI-Marktüberwachung betreiben soll, braucht echte Ressourcen – nicht nur einen Gesetzestext, der ihr die Zuständigkeit zuweist.
Abstraktion ist das Feind des Verstehens. Deshalb drei konkrete Szenarien, die zeigen, wie die neuen Regeln tatsächlich auf Unternehmen wirken.
Szenario 1: Der Mittelständler mit KI-gestütztem Recruiting. Ein Fertigungsunternehmen mit 800 Mitarbeitenden hat vor zwei Jahren ein KI-Tool zur Vorauswahl von Bewerbungen eingeführt. Das Tool analysiert Lebensläufe und erstellt Rankings. Dieses System fällt unter Hochrisiko-KI (Annex III, Punkt 4: Beschäftigung und Arbeitnehmer). Das Unternehmen muss jetzt: Risikomanagement dokumentieren, Betroffene (Bewerber) über den KI-Einsatz informieren, menschliche Aufsicht über die Entscheidungen sicherstellen, das System in der EU-Datenbank registrieren und eine Konformitätsbewertung durchführen. Wer das bisher nicht gemacht hat, hat möglicherweise bereits einen Verstoß – auch wenn die Vollstreckung noch nicht läuft.
Szenario 2: Das Fintech-Startup mit KI-Kreditscoring. Ein junges Unternehmen bietet Kleinkredite über eine App an und nutzt ein ML-Modell zur Bonitätsbewertung. Hochrisiko-KI? Eindeutig ja. Zuständig: primär die BaFin, koordiniert über die BNetzA. Das Startup muss Konformitätsbewertung, Transparenzpflichten gegenüber Kreditnehmern und Registrierung nachweisen. Zusätzlich gelten DSGVO-Pflichten für die verarbeiteten Finanzdaten. Das ist eine doppelte Compliance-Last, die ein typisches Startup oft nicht auf dem Radar hat. Sandbox-Teilnahme könnte hier sinnvoll sein.
Szenario 3: Der Softwareanbieter für Krankenhäuser. Ein Unternehmen verkauft eine KI-gestützte Software zur Priorisierung von Behandlungen in Notaufnahmen. Medizinisches Hochrisiko-KI-System, Überschneidung mit MDR, BfArM und AI Act. Die Dokumentationspflichten sind hier besonders umfangreich. Gleichzeitig sind die Konsequenzen von Fehlern real: Wenn das System falsch priorisiert, sind Menschenleben betroffen. Hier wird die BNetzA als AI Act Regulierungsbehörde besonders genau hinschauen – und das zu Recht.
Das Koordinierungs- und Kompetenzzentrum (KoKIVO) ist das operative Herzstück der BNetzA als AI Act Regulierungsbehörde. Es soll Interpretationshilfen geben, Leitlinien entwickeln, zwischen sektoralen Behörden vermitteln und als One-Stop-Shop für Unternehmen dienen. Das sind hohe Erwartungen an eine Einheit, die gerade erst aufgebaut wird.
Was man realistischerweise erwarten kann: Grundlegende Orientierung bei Klassifizierungsfragen, Weiterleitung an zuständige Fachbehörden, Informationen zu Sandbox-Programmen und Leitlinien zur Dokumentationsstruktur für Hochrisiko-KI Compliance. Was man nicht erwarten sollte: individuelle Rechtsberatung, schnelle Antwortzeiten in der Aufbauphase und verbindliche Vorabregelungen, die einen vor späteren Prüfungen schützen.
Das KoKIVO wird initial personell begrenzt sein. Wer eine komplexe Einzelfallfrage hat, wird wahrscheinlich nicht sofort eine abschließende Antwort bekommen. Das ist kein Vorwurf – es ist die Realität einer neuen Behördenstruktur. Deshalb gilt: Anwaltliche und beraterische Expertise parallel nutzen. Das KoKIVO als erste Orientierung, nicht als Ersatz für spezialisierte Compliance-Beratung.
Mittelfristig wird das KoKIVO wahrscheinlich eine wichtige Informationsquelle werden. Wenn es Leitlinien herausgibt, die die Klassifizierungsfragen konkretisieren, wird das viele der aktuell noch offenen Interpretationsfragen beantworten. Bis dahin: Dokumentieren Sie alle Entscheidungen und ihre Begründungen sorgfältig. Im Zweifelsfall zählt der nachvollziehbare Prozess mehr als das perfekte Ergebnis.
Die Debatte um KI-Regulierung läuft häufig in den gleichen Bahnen: hier die Innovationslobby, die vor Überregulierung warnt; dort die Bürgerrechtsorganisationen, die strengere Kontrollen fordern. Diese Polarisierung ist produktiv, wenn sie Debatten schärft – und kontraproduktiv, wenn sie Kompromisse verhindert.
Der AI Act ist kein perfektes Dokument. Kein Gesetz ist das. Aber er ist ein ernsthafter Versuch, KI-Entwicklung in einem Rahmen zu ermöglichen, der Grundrechte schützt ohne Innovation zu lähmen. Das risikobasierte Modell – minimal-riskante KI weitgehend unreguliert, Hochrisiko-KI streng kontrolliert – ist konzeptionell vernünftig.
Die eigentliche Frage ist die der Verhältnismäßigkeit in der Durchsetzung. Wenn die BNetzA als AI Act Regulierungsbehörde die kleinen Mittelständler genauso hart trifft wie die Technologieriesen, ohne Rücksicht auf ihre unterschiedlichen Ressourcen, dann verfehlt die Regulierung ihr Ziel. Wenn sie andersherum große Plattformen mit Samthandschuhen anfasst, weil deren Lobbyisten besser vernetzt sind, ist das eine Niederlage für das Prinzip der Rechtssicherheit.
Das KI-MIG hat den Begriff „Innovationsförderung“ bewusst in den Titel aufgenommen. Das ist ein Signal – aber Signale allein genügen nicht. Die Regierung hat der BNetzA Aufsicht für KI übertragen – jetzt muss die Behörde beweisen, dass sie diese Aufgabe mit Augenmaß ausführt: konsequent bei echten Risiken, kooperativ bei Unklarheiten, transparent in ihren Entscheidungen.
Und Unternehmen? Die müssen aufhören, Regulierung als Feind zu sehen, und anfangen, sie als Wettbewerbsparameter zu verstehen. Wer Hochrisiko-KI Compliance früher und besser umsetzt als die Konkurrenz, hat einen echten Marktvorteil – gerade gegenüber Anbietern aus Ländern ohne vergleichbare Standards. Das ist kein Trost, aber es ist eine Realität, die sich auszahlen kann.
Die Zeitachse des AI Acts ist nicht linear – verschiedene Verpflichtungen greifen zu verschiedenen Zeitpunkten. Unternehmen müssen diese Staffelung kennen und ihren Compliance-Plan entsprechend strukturieren.
Februar 2025: Verbote für bestimmte KI-Praktiken in Kraft getreten. Wer Social-Scoring-Systeme, manipulative KI-Techniken oder nicht autorisierte Biometrie-Datenbanken betreibt, ist seit diesem Datum rechtswidrig unterwegs.
August 2025: Anforderungen für allgemeine KI-Modelle (GPAI) anwendbar. Anbieter von Basismodellen wie großen Sprachmodellen haben seit diesem Zeitpunkt spezifische Transparenz- und Dokumentationspflichten.
August 2026: Regulierungssandboxen müssen eingerichtet sein. Vollständige Anwendbarkeit der Hochrisiko-KI-Anforderungen für neue Systeme.
August 2027: Hochrisiko-KI-Systeme, die unter bestehende Produktsicherheitsgesetze fallen (z.B. Medizinprodukte, Maschinen), müssen vollständig konform sein.
Diese Staffelung ist kein Grund zur Entspannung. Gerade die Frist bis August 2026 ist näher als sie wirkt, wenn man bedenkt, dass Konformitätsbewertungen, Dokumentationssysteme und EU-Datenbankregistrierungen Zeit brauchen. Wer im Januar 2026 mit der Planung beginnt, hat weniger als acht Monate für einen Prozess, der erfahrungsgemäß länger dauert als erwartet.
Hochrisiko-KI Compliance ist kein Sprint. Es ist ein strukturiertes Projekt, das Ressourcen, interne Abstimmung und externe Expertise braucht. Die Unternehmen, die jetzt bereits mit dem Inventar beginnen, werden im Sommer 2026 nicht panisch nacharbeiten müssen.
Die Bundesnetzagentur ist ernannt. Das KI-MIG ist beschlossen. Die Fristen laufen. Die AI Act Regulierungsbehörde hat ihre Arbeit aufgenommen – ob Ihr Unternehmen dafür bereit ist oder nicht.
Was bleibt, ist eine strukturelle Verschiebung, die größer ist als eine einzelne Compliance-Aufgabe. KI-Systeme werden reguliert – dauerhaft, europaweit, mit ernstzunehmenden Konsequenzen. Das verändert, wie Unternehmen KI beschaffen, entwickeln und einsetzen. Es verändert Lieferketten, Vertragsstrukturen und interne Zuständigkeiten. Wer das als vorübergehenden Aufwand behandelt, der sich irgendwann erledigt, hat die Lage falsch eingeschätzt.
Hochrisiko-KI Compliance wird nicht einfacher werden – aber vertrauter. Die ersten Leitlinien des KoKIVO werden Klarheit schaffen. Die ersten Prüfverfahren werden zeigen, worauf die BNetzA tatsächlich schaut. Die ersten Bußgelder werden Maßstäbe setzen.
Die entscheidende Frage, die Sie sich heute stellen sollten, ist nicht: „Bin ich schon konform?“ Die Antwort ist in den meisten Fällen: wahrscheinlich nicht vollständig. Die entscheidende Frage ist: Habe ich einen Plan, der mich bis zu den relevanten Fristen in eine vertretbare Position bringt – und ist jemand in meinem Unternehmen persönlich dafür verantwortlich, diesen Plan umzusetzen?
Wenn diese Frage noch keine klare Antwort hat, ist der nächste Schritt nicht die Lektüre weiterer Artikel. Es ist das Gespräch mit Ihrer Rechtsabteilung, Ihrem IT-Team und – wenn nötig – einem externen Compliance-Berater. Jetzt. Nicht nach der nächsten Regulierungsdiskussion in Brüssel.
