Thought Leadership
Wer KI-Systeme einsetzt und personenbezogene Daten verarbeitet, muss künftig gleich zwei Regelwerke parallel erfüllen und viele Unternehmen haben das Ausmaß dieser Pflichten noch nicht verstanden. Die Zeit zum Vorbereiten wird knapp.
Am 11. Februar 2026 beschloss das Bundeskabinett den Entwurf des KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG). Damit setzt Deutschland die Vorgaben der europäischen KI-Verordnung vom 2. August 2024 um und legt zugleich die maßgeblichen Aufsichtsstrukturen fest. Das Thema KI-Regulierung nimmt also hierzulande konkrete Gestalt an.
Die Tatsache, dass die Bundesnetzagentur als zentrale Aufsichtsbehörde fungieren soll, schafft zumindest institutionelle Klarheit – auch wenn die Entscheidung gegen eine stärkere Rolle der Datenschutzbehörden durchaus kritisch zu sehen ist. Denn gerade die enge Verzahnung von KI-Regulierung und Datenschutz wird für Unternehmen in der Praxis zur zentralen Herausforderung. Zum Hintergrund: Die europäische KI-Verordnung gilt zwar unmittelbar in allen Mitgliedstaaten, doch ohne die nationale Aufsichtsstruktur fehlte bislang der verbindliche Rahmen für die Durchsetzung.
DSGVO und KI-Verordnung: Doppelte Pflicht für Unternehmen
Mit dem KI-MIG wird nun deutlich, dass Unternehmen ihre KI-Systeme nicht isoliert betrachten können. Wer bereits heute personenbezogene Daten mit KI-Systemen verarbeitet, muss die Anforderungen der DSGVO und der KI-Verordnung parallel erfüllen. Die Überschneidungen sind hier erheblich – von der Risikobewertung über Transparenzpflichten bis hin zur lückenlosen Dokumentation.
Viele Unternehmen unterschätzen aktuell noch, wie weitreichend die Pflichten der KI-Verordnung sind. Die risikobasierte Klassifizierung verlangt eine sorgfältige Analyse, ob eingesetzte oder geplante KI-Systeme als Hochrisiko-Anwendung einzustufen sind. Gerade im Personalwesen, wo KI-gestützte Bewerbermanagementsysteme längst Alltag sind, greifen ab August 2026 die strengen Anforderungen an Konformitätsbewertung und technische Dokumentation, sofern diese Systeme unter die Hochrisiko-Kategorien des AI Act fallen. Wer erst dann mit der Vorbereitung beginnt, wird den Zeitplan kaum einhalten können. Die vorgesehenen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes zeigen zudem, dass es sich nicht um symbolische Regulierung handelt.
Wer jetzt wartet, riskiert den Zeitplan
Die Kritik aus der Industrie an Doppelregulierung und hohem bürokratischen Aufwand ist nachvollziehbar. Gleichzeitig zeigt die Erfahrung mit der DSGVO: Unternehmen, die regulatorische Anforderungen frühzeitig strukturiert in Governance, Risikomanagement und interne Prozesse integrieren, gewinnen langfristig Effizienz und Rechtssicherheit und sind besser aufgestellt als jene, die auf Nachbesserungen des Gesetzgebers gewartet haben. Dieser Ansatz gilt umso mehr für die KI-Verordnung, deren Anforderungen sich sinnvoll mit bestehenden Datenschutzprozessen verbinden lassen. Genau hier liegt also die strategische Aufgabe: Datenschutz, Informationssicherheit, Compliance und KI-Governance dürfen nicht getrennt organisiert werden.
Fazit: KI-Regulierung ist längst kein Zukunftsthema mehr. Mit dem KI-MIG beginnt die Phase der konkreten Durchsetzung. Unternehmen, die jetzt die regulatorischen Anforderungen integriert denken und organisatorisch sauber verankern, verschaffen sich nicht nur Rechtssicherheit – sondern einen echten Wettbewerbsvorteil.
