Neue Aufsicht, neue Pflichten: KI-Regulierung wird operativ relevant

Ein Statement von Alexander Ingelheim, CEO und Mitgründer von Proliance , zum KI-Marktüberwachungs- und Innovationsförderungsgesetz

Am 11. Februar 2026 hat das Bundeskabinett den Entwurf des KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG) verabschiedet. Damit setzt Deutschland die europäische KI-Verordnung vom 2. August 2024 in nationales Recht um und schafft zugleich die zuständigen Aufsichtsstrukturen. Kurz gesagt: Die Regulierung von KI ist in Deutschland nicht mehr abstrakte Zukunftsmusik, sondern bekommt ein klares organisatorisches Fundament.

Dass die Bundesnetzagentur als zentrale Aufsichtsbehörde vorgesehen ist, sorgt zunächst für institutionelle Klarheit. Gleichzeitig kann man kritisch hinterfragen, warum die Datenschutzbehörden keine stärkere Rolle erhalten. Denn in der Praxis werden KI-Regulierung und Datenschutz kaum voneinander zu trennen sein – genau hier liegt für viele Unternehmen die eigentliche Herausforderung.

Die europäische KI-Verordnung gilt zwar bereits unmittelbar in allen Mitgliedstaaten. Ohne eine nationale Aufsichtsstruktur fehlte jedoch bislang ein verbindlicher Rahmen für Kontrolle und Durchsetzung. Mit dem KI-MIG ändert sich das nun spürbar. Unternehmen müssen ihre KI-Systeme ganzheitlich betrachten – nicht isoliert als Innovationsprojekt, sondern als reguliertes System mit klaren rechtlichen Anforderungen.

Wer heute personenbezogene Daten mithilfe von KI verarbeitet, bewegt sich gleichzeitig im Anwendungsbereich der Datenschutz-Grundverordnung und der Verordnung über künstliche Intelligenz. Die Überschneidungen sind erheblich: von der Risikobewertung über Transparenzpflichten bis hin zu umfassenden Dokumentationsanforderungen. Unternehmen, die diese beiden Regelwerke getrennt behandeln, riskieren doppelte Arbeit, Inkonsistenzen – und vor allem Zeitverlust. Wer sie dagegen zusammendenkt, schafft nicht nur Rechtssicherheit, sondern auch strategische Klarheit für den nachhaltigen Einsatz von KI.

Viele Unternehmen unterschätzen aktuell noch, wie weitreichend die Pflichten der KI-Verordnung sind. Die risikobasierte Klassifizierung verlangt eine sorgfältige Analyse, ob eingesetzte oder geplante KI-Systeme als Hochrisiko-Anwendung einzustufen sind. Gerade im Personalwesen, wo KI-gestützte Bewerbermanagementsysteme längst Alltag sind, greifen ab August 2026 die strengen Anforderungen an Konformitätsbewertung und technische Dokumentation, sofern diese Systeme unter die Hochrisiko-Kategorien des AI Act fallen. Wer erst dann mit der Vorbereitung beginnt, wird den Zeitplan kaum einhalten können. Die vorgesehenen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes zeigen zudem, dass es sich nicht um symbolische Regulierung handelt.

Die Kritik aus der Industrie an Doppelregulierung und hohem bürokratischen Aufwand ist nachvollziehbar. Gleichzeitig zeigt die Erfahrung mit der DSGVO: Unternehmen, die regulatorische Anforderungen frühzeitig strukturiert in Governance, Risikomanagement und interne Prozesse integrieren, gewinnen langfristig Effizienz und Rechtssicherheit und sind besser aufgestellt als jene, die auf Nachbesserungen des Gesetzgebers gewartet haben. Dieser Ansatz gilt umso mehr für die KI-Verordnung, deren Anforderungen sich sinnvoll mit bestehenden Datenschutzprozessen verbinden lassen. Genau hier liegt also die strategische Aufgabe: Datenschutz, Informationssicherheit, Compliance und KI-Governance dürfen nicht getrennt organisiert werden.

Fazit:

KI-Regulierung ist längst kein Zukunftsthema mehr. Mit dem KI-MIG beginnt die Phase der konkreten Durchsetzung. Unternehmen, die jetzt die regulatorischen Anforderungen integriert denken und organisatorisch sauber verankern, verschaffen sich nicht nur Rechtssicherheit – sondern einen echten Wettbewerbsvorteil.