Das neue KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) klärt, welche Behörde für KI-Systeme in Deutschland zuständig ist. Für Unternehmen wird es wichtiger, genau zuzuordnen, welche Behörde für welche KI-Anwendung zuständig ist – denn das kann je nach Bereich variieren. Beispiel: In einer Bank ist für KI-gestützte Kreditvergabe meist die BaFin zuständig, für KI im Personalbereich dagegen die Bundesnetzagentur. Worauf Sie jetzt achten müssen, erfahren Sie hier.
Das KI-MIG – Was steckt dahinter?
Das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) legt fest, wie die EU-KI-Verordnung („AI Act“) in Deutschland umgesetzt wird. Der AI Act regelt, was bei KI-Systemen erlaubt ist. Das KI-MIG ergänzt diese Vorgaben und definiert insbesondere, wer für Kontrolle und Ansprechpartner bei KI-Fragen zuständig ist.
Welche Behörden bleiben zuständig?
Verwaltungszuständigkeiten – Bestehende Strukturen gelten weiter:
Die bisherigen Aufsichtsbehörden für Produktsicherheit, Medizinprodukte, Datenschutz und andere Bereiche sind weiterhin für ihre jeweiligen Zuständigkeitsbereiche verantwortlich. Der AI Act und das KI-MIG ersetzen diese Behörden nicht, sondern fügen eine neue, KI-spezifische Aufsichtsebene hinzu. Unternehmen müssen sich darauf einstellen, dass sie beim Inverkehrbringen oder internen Nutzung von KI-Systemen künftig sowohl mit ihren bestehenden Aufsichtsbehörden als auch mit zusätzlichen KI-Behörden interagieren werden.
Was ändert sich mit dem KI-MIG?
Nicht nur die Technik zählt: Unternehmen müssen künftig nachweisen, dass alle Prozesse rund um KI – inkl. Dokumentation, Datenschutz, Arbeitssicherheit – stimmen. Im Medizinbereich bleiben die bisherigen Pflichten (MDR, Datenschutz, Risikomanagement, Rückverfolgbarkeit) bestehen. Das KI-MIG zeigt, an welche Behörde Sie sich für welche Anwendung wenden.
Bei Medizinprodukten bleibt in Deutschland in der Regel das BfArM zuständig, je nach Einsatz kann jedoch auch die Bundesnetzagentur verantwortlich sein. Das KI-MIG sorgt für Klarheit, welche Behörde für Kontrolle zuständig und Ansprechpartner rund um KI in Ihrem Unternehmen ist.
- Mehr Behörden, mehr Verantwortung: Je nach Branche und Anwendung sind verschiedene Aufsichtsbehörden zuständig. Für allgemeine KI-Themen ist es meist die Bundesnetzagentur, im Finanzwesen die BaFin, bei Medizinprodukten das BfArM, im Medienbereich die Landesmedienanstalten. Für Datenschutz bleibt wie bisher die jeweilige Datenschutzbehörde zuständig.
- Produktaufsicht und KI-Compliance greifen ineinander: Für jedes KI-Produkt oder jede Anwendung müssen Sie prüfen, welche Vorschriften aus Produktsicherheit, Medizinprodukterecht, Datenschutz und KI-Recht parallel gelten und welche Behörde wofür zuständig ist. Prüfen Sie, wann eine Meldung oder Dokumentation erforderlich ist.
- Behörden haben umfassende Kontrollen: Sie dürfen Quellcode einsehen und Geschäftsräume betreten. Besonders im Medizinbereich sind Prüfungen oft unangekündigt und umfassend.
- Das Mapping wird Pflicht: Dokumentieren Sie frühzeitig, welche Behörde für welches System zuständig ist. So können Sie im Ernstfall schnell Nachweise erbringen und Konflikte vermeiden.
- Compliance und Organisation sind genauso wichtig wie die Technik: Durch die bewusste Aufteilung der Zuständigkeiten im KI-MIG können mehrere Behörden – etwa Datenschutz, Marktüberwachung oder sektorale Aufsicht – dasselbe KI-System parallel und unabhängig prüfen. Das Koordinierungs- und Kompetenzzentrum (KoKIVO) bei der Bundesnetzagentur koordiniert die Zusammenarbeit, kann Überschneidungen bei Kontrollen aber nicht vollständig verhindern. Unternehmen sollten deshalb interne Verwendungsarten von KI-Systemen, Zuständigkeiten und Informationsflüsse klar regeln, um auf parallele Prüfungen vorbereitet zu sein oder sie zu vermeiden.
Was gilt es jetzt zu beachten?
- Prüfen Sie nicht nur das KI-System selbst, sondern auch den jeweiligen Einsatzbereich: Ein und dasselbe System kann je nach Einsatzgebiet von unterschiedlichen Behörden kontrolliert werden – etwa BaFin für Kreditvergabe, Bundesnetzagentur im HR-Bereich. Für jeden Einsatzbereich separat klären, welche Behörde zuständig ist:
- Allgemeine KI-Aufsicht: Bundesnetzagentur
- Sektorspezifische Aufsicht: z. B. BaFin (Finanzwesen), BfArM (Medizinprodukte), Landesmedienanstalten (Medien)
- Datenschutzaufsicht: zuständige Datenschutzbehörde (Bund oder Land)
- Produktsicherheitsaufsicht: bisherige Marktüberwachungsbehörden
- Dokumentieren Sie klar, wer Ansprechpartner ist. Halten Sie fest, wo Nachweise zu führen sind.
- Richten Sie interne Prozesse so aus, dass Sie auf behördliche Prüfungen und Produktrückrufe vorbereitet sind.
- Suchen Sie bei Unsicherheiten frühzeitig Kontakt zu Behörden oder holen Sie externe Beratung ein.
Fazit
Das KI-MIG bringt keine Revolution, aber sorgt für mehr Übersicht – besonders für Unternehmen. Ein strukturiertes Mapping zwischen Ihren Produkten und den zuständigen Behörden wird noch wichtiger. Produkte, Compliance und Organisation müssen gemeinsam betrachtet werden: Mit dem KI-MIG wird die Landkarte der Behörden neu gezeichnet – die alte Straßenverkehrsordnung für Produktsicherheit und Medizinprodukte gilt weiter. Wer beides kennt, ist auf dem richtigen Weg.
Die wichtigsten Punkte haben wir im Onepager verlinkt – den finden Sie hier.
