Die Bundesnetzagentur wird ab August 2026 zur zentralen KI-Aufsicht in Deutschland. Das hat das Bundeskabinett am 11. Februar 2026 mit dem KI-Marktüberwachungs- und Implementierungsgesetz (KI-MIG) verabschiedet. Damit hat der Mittelstand erstmals eine deutsche Adresse, an die Beschwerden, Anfragen und im Ernstfall Bußgeldbescheide gerichtet werden. Das Gesetz ist die deutsche Umsetzung des EU AI Act und definiert vor allem, wer in Deutschland für was zuständig ist.
Die Konstellation ist für Deutschland untypisch klar. In den meisten anderen EU-Mitgliedsländern wird die KI-Aufsicht auf mehrere Behörden verteilt, was die Zustaendigkeitsfrage komplex macht. Deutschland geht den umgekehrten Weg und macht eine einzige Behörde zur primaeren Anlaufstelle. Das hat Vorteile für Antragsteller und Beschwerdefuehrer. Es bedeutet aber auch, dass alle Prüfungen, Bußgelder und Marktueberwachungsverfahren über denselben Schreibtisch laufen.
Was die Bundesnetzagentur konkret zuständig ist
Drei Aufgaben sind zentral.
Erstens die Marktüberwachung von Hochrisiko-KI-Systemen nach Anhang III EU AI Act. Wer ein KI-System aus den Bereichen HR, Bonitätsprüfung, Bildungsbewertung oder den anderen fünf Anhang-III-Kategorien in Deutschland in Verkehr bringt oder einsetzt, wird von der Bundesnetzagentur kontrolliert. Das umfasst stichprobenartige Prüfungen, Prüfungen aufgrund von Beschwerden und Prüfungen nach Vorfaellen.
Zweitens Bußgeldverfahren. Die Höchststrafen aus Artikel 99 EU AI Act sind heftig: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei Verstößen gegen die Verbote aus Artikel 5. Bei Verstößen gegen Anbieter- oder Anwender-Pflichten der Hochrisiko-KI sind es 15 Millionen Euro oder 3 Prozent. Bei falschen oder irrefuehrenden Auskuenften gegenüber der Behörde 7,5 Millionen Euro oder 1 Prozent. Die höheren der beiden Werte gelten jeweils. KMU und Startups können die niedrigeren Sätze bekommen, das ist in Artikel 99 Absatz 6 explizit vorgesehen.
Drittens das Service Desk. Die Bundesnetzagentur hat schon vor dem Inkrafttreten ein AI Service Desk eingerichtet, das Unternehmen bei Auslegungsfragen berät. Wer unsicher ist, ob sein KI-System unter Anhang III fällt oder welche Dokumentation für Artikel 4 ausreicht, kann dort schriftlich oder telefonisch anfragen. Das ist kein Anwaltsersatz, aber eine niedrigschwellige erste Anlaufstelle.
Daneben gibt es das Koordinationszentrum KoKIVO, das die Zusammenarbeit zwischen Bund, Laendern und sektoralen Aufsichtsbehörden organisiert. Das ist im Hintergrund aktiv. Im Mittelstand wird es erst sichtbar, wenn ein KI-System mehrere Aufsichtsregimes gleichzeitig betrifft, zum Beispiel bei einem Fintech (BaFin plus Bundesnetzagentur) oder einem Medizinprodukt mit KI-Komponente (BfArM plus Bundesnetzagentur).
Was bis 2. August 2026 vorbereitet sein sollte
Drei Schichten an Pflichten sind unterscheidbar.
Schicht eins gilt seit dem 2. Februar 2025: die KI-Kompetenzpflicht aus Artikel 4. Jede Person in der Firma, die KI-Systeme bedient oder ihre Ergebnisse interpretiert, muss über ausreichende KI-Kompetenz verfügen. Das ist KEIN behördlich genormtes Zertifikat, sondern eine Sorgfaltspflicht. Wer sie verletzt, riskiert keine direkten Bußgelder nach Artikel 99, weil Artikel 4 dort nicht gelistet ist. Aber: Bei einem KI-Schaden haftet die Firma, wenn sie keinen Schulungsnachweis vorlegen kann. Zivilrecht, nicht Verwaltungsrecht.
Schicht zwei gilt ab 2. August 2026: die Pflichten für Hochrisiko-KI nach Anhang III. Wer ein solches System nutzt (Anwender), muss menschliche Aufsicht sicherstellen, Logs aufbewahren, Vorfaelle melden, Konformität prüfen und gegebenenfalls eine Datenschutzfolgenabschätzung durchführen. Wer das System anbietet, hat noch deutlich mehr Pflichten: Konformitätsbewertung, technische Dokumentation, CE-Markierung, Registrierung in der EU-Datenbank, Qualitaetsmanagement, Post-Market-Monitoring.
Schicht drei gilt ab 2. August 2027: die Pflichten für KI in regulierten Produkten nach Anhang I. Das betrifft vor allem Maschinenbauer, Medizinproduktehersteller, Spielwarenhersteller. Im typischen B2B-Mittelstand spielt Anhang I selten eine Rolle, aber wer in einer dieser Branchen KI in Produkte integriert, sollte das Datum im Kopf haben.
Was im Alltag vor allem auffällt: Die Bundesnetzagentur erwartet, dass Firmen bis zum Stichtag im August dokumentieren können, welche KI-Systeme sie einsetzen, in welcher Rolle (Anbieter oder Anwender) und welche Kompetenz beim Personal vorhanden ist. Das ist nicht trivial, weil viele Firmen gar nicht wissen, dass sie KI einsetzen. Microsoft Copilot, Google Workspace mit Gemini, ChatGPT-Plus-Accounts, KI-Module im CRM oder in der Buchhaltung sind oft eingekauft, ohne dass eine zentrale Liste existiert.
Wer bei der Bundesnetzagentur Beschwerde einreichen kann
Das ist eine der Änderungen, die im Mittelstand unterschaetzt wird. Beschwerden können einreichen: Mitbewerber, Kunden, Mitarbeiter, Verbraucherverbaende und Branchenverbaende. In den ersten Monaten nach August 2026 ist mit einer Welle an Test-Beschwerden zu rechnen, weil viele Akteure ausprobieren werden, was die Behörde wirklich verfolgt.
Realistisch werden die ersten echten Verfahren nicht gegen einen Bayreuther Mittelständler laufen, sondern gegen die großen US-Anbieter wegen Verstößen gegen Anhang-III-Pflichten oder Artikel-5-Verbote. Das italienische OpenAI-Bußgeld von 15 Millionen Euro aus dem Dezember 2024 ist die Vorlage. Aber die Bundesnetzagentur wird auch mittelstaendische Fälle prüfen, sobald eine konkrete Beschwerde vorliegt.
Wer hier präventiv arbeiten will, hat zwei Hebel. Erstens: Dokumentation. Wer nachweisen kann, welche KI-Systeme im Einsatz sind, wer geschult ist und wer zuständig ist, hat im Beschwerdefall bessere Karten. Zweitens: Schulungsnachweise. Eine Schulung zu KI-Kompetenz nach Artikel 4 kostet je nach Anbieter zwischen 500 und 5.000 Euro pro Mitarbeiter. Wer die Förderung über das Qualifizierungschancengesetz nutzt, bekommt einen großen Teil davon erstattet, bei kleinen Betrieben unter 10 Mitarbeitern bis zu 100 Prozent der Lehrgangskosten plus bis zu 100 Prozent Lohnzuschuss während der Schulung.
Was die Sanktion in der Praxis bedeutet
Die 35-Millionen-Schlagzeile schreckt ab, ist aber für den typischen Mittelstand abstrakt. Realistischer sind drei Szenarien.
Szenario eins: HR-Tool ohne menschliche Aufsicht. Eine Firma nutzt Personio mit KI-Add-on für das Vorsortieren von Bewerbungen, ohne dass ein Mensch die Entscheidung freigibt. Das verstößt gegen die Anwender-Pflicht zur menschlichen Aufsicht bei Hochrisiko-KI. Bußgeld: bis 15 Millionen Euro oder 3 Prozent Welt-Umsatz. KMU-Reduktion möglich.
Szenario zwei: Intransparente KI-Entscheidung gegenüber einem Kunden. Eine Bank lehnt einen Kreditantrag ab, weil der KI-Score schlecht ist, und teilt dem Kunden nicht mit, dass eine KI involviert war. Das verstößt gegen die Transparenzpflichten nach Artikel 50 (gilt ab 2. August 2026). Bußgeld in derselben Stufe.
Szenario drei: Falsche Auskunft gegenüber der Bundesnetzagentur. Im Prüfverfahren werden falsche Angaben zu Datenquellen oder Modellgrundlagen gemacht. Bußgeld bis 7,5 Millionen Euro oder 1 Prozent Welt-Umsatz.
In allen drei Fällen ist die Strafhoehe nach oben gedeckelt, aber der untere Rand ist nicht null. Eine Sanktion im fuenfstelligen Bereich ist auch für einen Mittelständler ein ernsthafter Posten. Hinzu kommt die Reputationswirkung, die im B2B-Geschäft oft schwerer wiegt als das Bußgeld selbst.
Warum die Schulung der wichtigste Hebel bleibt
Die Bundesnetzagentur kann viele Prüfungen anstoßen, aber sie kann nicht jede Firma einzeln auditieren. Der Mittelstand wird vor allem dann auffaellig, wenn etwas schiefgeht. Ein KI-Vorfall, ein Datenleck, eine Mitarbeiter-Beschwerde oder eine Verbraucher-Klage. In jedem dieser Fälle ist die erste Frage der Behörde: Welche Schulung haben die beteiligten Mitarbeiter zu KI?
Wer hier dokumentierte Schulungsnachweise vorlegen kann, hat einen ganz anderen Stand im Verfahren als jemand, der gar keine Schulung gemacht hat. Das gilt unabhängig davon, ob die Schulung intern war, über einen externen Anbieter lief oder als Teil einer abschlussorientierten Weiterbildung mit Bildungsgutschein-Förderung erfolgte. Wichtig ist, dass die Schulung dokumentiert ist und zur Rolle des Mitarbeiters passt.
Die DigiMan-Weiterbildung ist als 720-UE-Maßnahme genau auf diesen Anwendungsfall zugeschnitten. AZAV-Maßnahmenzertifikat 723/0097/2026 (DEKRA), Vollzeit über 16 Wochen, komplett online. Wer als Mitarbeiter im Mittelstand KI-Kompetenz aufbauen will, findet hier ein dokumentierbares Curriculum. Für einen ersten Eindruck gibt es den kostenlosen Schnupperkurs ohne Anmeldebindung.
Aktueller Kontext: Parallel zur Bundesnetzagentur: NIS2 BSI-Prüfungen ab 2026.
Häufige Fragen
Was ist der Unterschied zwischen Bundesnetzagentur und EU AI Office?
Die Bundesnetzagentur ist die deutsche nationale Aufsicht für den Vollzug des EU AI Act. Das EU AI Office in Brüssel ist auf EU-Ebene zuständig für General Purpose AI Models (Modell-Anbieter wie OpenAI, Anthropic, Google) und für EU-weite Koordination. KMU haben in der Regel mit der Bundesnetzagentur zu tun, nicht direkt mit dem AI Office.
Muss ich meine KI-Nutzung bei der Bundesnetzagentur registrieren?
Nein, eine generelle Registrierungspflicht gibt es für Anwender nicht. Anbieter von Hochrisiko-KI-Systemen müssen ihre Systeme in der EU-Datenbank registrieren, das läuft über die EU-Kommission und nicht über die Bundesnetzagentur. Anwender müssen aber intern dokumentieren, welche Hochrisiko-Systeme sie einsetzen.
Wann kommt das KI-MIG durch Bundestag und Bundesrat?
Der Kabinettsbeschluss war am 11. Februar 2026. Beratung in Bundestag und Bundesrat läuft. Die Vollzugskompetenz der Bundesnetzagentur greift mit dem Stichtag des EU AI Act für Hochrisiko-Pflichten am 2. August 2026, unabhängig vom genauen Inkrafttreten des KI-MIG. In der Praxis baut die Behörde ihre Strukturen schon jetzt auf.
Was kostet eine KI-Kompetenz-Schulung für Mitarbeiter?
Je nach Anbieter zwischen 500 und 5.000 Euro pro Mitarbeiter, abhängig von Tiefe und Format. Mit Förderung über das Qualifizierungschancengesetz reduziert sich die Belastung deutlich, bei Kleinbetrieben unter 10 Mitarbeitern bis auf null. Inhouse-Schulungen sind günstiger, brauchen aber eine eigene Curriculum-Dokumentation, die die Aufsicht im Prüfungsfall akzeptiert.
Welche KI-Systeme sind nicht Hochrisiko?
Nicht unter Anhang III fallen: ChatGPT-Nutzung im Büro zum Texten, Marketing-Content-Generierung, Uebersetzungen, einfache Office-Automatisierung, interne Dokumentenanalyse ohne Personenbezug, Forschungs- und Entwicklungsprototypen. Sobald aber Bewerbungen vorsortiert, Bonität bewertet oder Bildungsergebnisse beurteilt werden, greift Anhang III.
Wer bei der Vorbereitung auf den 2. August 2026 unsicher ist, findet unter skill-sprinters.de/termin einen kurzen Telefontermin zur Klärung.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.