KI-MIG: Deutsche Manager haften jetzt persönlich für Künstliche Intelligenz

Die Geschäftsführung haftet mit bis zu 35 Millionen Euro und dem eigenen Privatvermögen für KI-Systeme. Das sieht der neue Gesetzentwurf der Bundesregierung vor, der die EU-KI-Verordnung in deutsches Recht gießt. Ab August 2026 wird die Aufsicht scharfgeschaltet.

Ein neues „GDPR-Moment“ für die Vorstandsetagen

Der Entwurf zum KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) geht weit über die reine Benennung von Aufsichtsbehörden hinaus. Er etabliert ein Haftungsregime, das an die Schärfe der Datenschutz-Grundverordnung (DSGVO) erinnert – und sie teilweise übertrifft. Die zentrale Aufsicht liegt bei der Bundesnetzagentur, die ein neues KI-Kompetenzzentrum (KoKIVO) einrichtet.

Rechtsexperten warnen: Die Verantwortung für KI-Systeme liegt beim „Betreiber“, also in der Unternehmenspraxis beim Management. Bei Verstößen gegen Pflichten für Hochrisiko-KI drohen Geldbußen von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes. Für den Einsatz verbotener KI-Anwendungen verdoppeln sich die Strafen auf bis zu 35 Millionen Euro oder sieben Prozent. Anders als in den Anfängen der DSGVO wird die Aufsicht von Tag eins an operativ und durchsetzungsstark agieren – gestützt auf die bestehende Infrastruktur der Bundesnetzagentur.

Die Kernbotschaft des Gesetzes: Compliance ist nicht vollständig delegierbar. Technische Aufgaben können ausgelagert werden, die Überwachungspflicht verbleibt jedoch beim Vorstand. Ein Organisationsverschulden kann zu persönlicher Haftung der Geschäftsführer führen, wenn sie keine angemessenen Kontrollsysteme implementieren.

Für Geschäftsführer und Compliance-Verantwortliche, die sich jetzt auf die EU‑KI-Regeln vorbereiten müssen, gibt es einen kompakten Umsetzungsleitfaden: Das kostenlose E‑Book erklärt Risikoklassifizierung, Dokumentationspflichten und welche technischen sowie organisatorischen Maßnahmen jetzt wichtig sind. Praktische Checklisten unterstützen bei KI-Inventuren und beim Aufbau prüfungsfester Compliance-Prozesse. Kostenlosen KI-Verordnung-Leitfaden herunterladen

Die gefährliche Lücke: Unternehmen handeln im Blindflug

Die Lage wird durch eine entscheidende Unsicherheit verschärft. Die Europäische Kommission hat eine Frist verpasst: Bis zum 2. Februar 2026 hätte sie Leitlinien zu Artikel 6 der KI-Verordnung veröffentlichen müssen. Dieser Artikel definiert, welche Systeme als „hochriskant“ eingestuft werden – die Kategorie mit den umfangreichsten Compliance-Pflichten.

Diese Verzögerung schafft eine gefährliche Regulierungslücke. Unternehmen müssen sich bis zum Stichtag im August 2026 vorbereiten, haben aber keine offiziellen Interpretationshilfen aus Brüssel. Compliance-Strategen raten daher zu einem Sicherheits-first-Ansatz: Zweifelhafte Systeme sollten vorläufig als Hochrisiko-KI behandelt werden. Das Management muss heute risikobasierte Entscheidungen treffen, die auf künftigen regulatorischen Auslegungen beruhen – eine Situation, die umfassende Dokumentation aller Schritte unabdingbar macht.

Doppelte Last: KI-Verordnung trifft auf DSGVO

Die neuen KI-Pflichten kommen nicht allein. Sie verschränken sich mit der bereits geltenden DSGVO und schaffen eine doppelte Compliance-Last. Die Daten, mit denen KI-Modelle trainiert werden, müssen weiterhin den Prinzipien der Datenminimierung und Zweckbindung genügen. Datenschutzbehörden prüfen bereits jetzt KI-Trainingsdatensätze nach DSGVO-Maßstäben.

Eine Verletzung der KI-Vorschriften kann somit gleichzeitig einen DSGVO-Verstoß darstellen. Ein „Doppelbestrafungs“-Szenario ist denkbar: Ein Unternehmen könnte für denselben Vorstand unter beiden Regimen belangt werden. Vorstände werden aufgefordert, die Silos zwischen ihren Datenschutzbeauftragten und neuen KI-Governance-Teams aufzubrechen, um eine einheitliche Strategie zu entwickeln.

Finanzbranche im Dreifach-Stress – Mittelstand überfordert?

Für den Finanzsektor kommt eine dritte Ebene hinzu: Seit Januar 2026 gilt bereits der Digital Operational Resilience Act (DORA) für die operative Widerstandsfähigkeit. Banken und Versicherungen müssen nun das Dreigestirn aus DSGVO, DORA und KI-Verordnung navigieren.

Marktbeobachter verzeichnen bereits einen Boom bei RegTech-Lösungen und Rechtsberatung. Verbände des Mittelstands zeigen sich besorgt. Der KI-MIG soll zwar innovationsfreundlich sein, doch die Dokumentationspflichten könnten kleinere Unternehmen ohne eigene Compliance-Abteilungen überfordern. Steht die deutsche KI-Innovation damit vor einem Bürokratie-Kollaps?

Countdown bis August: Von der Experimentier- zur Compliance-Phase

Der Zeitplan ist ambitioniert. Der KI-MIG-Entwurf durchläuft nun Bundestag und Bundesrat; das finale Gesetz soll vor der Sommerpause stehen. Gleichzeitig tickt die Uhr unaufhaltsam auf den 2. August 2026 zu, an dem die meisten Pflichten für Hochrisiko-KI wirksam werden.

Experten prognostizieren eine turbulente Übergangsphase. Unternehmen, die KI bisher als „Laborexperiment“ betrachtet haben, müssen ihre Prozesse rasch professionalisieren. Die kommenden Monate werden eine Welle von KI-Inventuren sehen, bei der jedes algorithmische System im IT-Bestand erfasst und bewertet wird. Die Botschaft des Gesetzgebers an das Management ist eindeutig: Unwissenheit schützt nicht vor Haftung. Die Einhaltung von Daten- und KI-Rechten ist zur Kernaufgabe der Unternehmensführung geworden – mit dem Privatvermögen der Verantwortlichen als potenziellem Pfand.