[datensicherheit.de, 12.06.2026] In seiner Stellungnahme vom 11. Juni 2026 ging der Digitalverband Bitkom e.V. auf die für diesen Abend im Bundestag geplante Verabschiedung des Durchführungsgesetzes zum „EU AI Act“ ein. Dieses soll unter anderem festlegen, welche Behörden in Deutschland künftig für die Umsetzung, die Aufsicht und Unterstützung von Unternehmen zuständig sind. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, begrüßt in ihrem Kommentar die damit verbundene Rechtssicherheit für Unternehmen und betont indes, dass die eigentliche Bewährungsprobe demnach noch im Verhalten der Bundesländer liegen wird.

Foto: Bitkom e.V.

Susanne Dehmel zur Verabschiedung im Bundestag: Das ist eine gute Nachricht für alle Unternehmen, die KI entwickeln oder einsetzen, und jetzt mehr Rechtssicherheit erhalten!

Lange erwarteter Rechtsrahmen zur Umsetzung des europäischen „AI Act“

„Deutschland bekommt heute den lange erwarteten Rechtsrahmen für die Umsetzung des europäischen ,AI Act’. Das ist eine gute Nachricht für alle Unternehmen, die KI entwickeln oder einsetzen, und jetzt mehr Rechtssicherheit erhalten!“, so Dehmel.

• Mit diesem Bundestagsbeschluss werde fortan insbesondere feststehen, wer in Deutschland wofür zuständig ist.

Die Bundesnetzagentur als zentrale Stelle in einem Verbund mit weiteren Behörden zu benennen, sei angesichts der komplexen deutschen Zuständigkeiten „ein pragmatischer Schritt“.

Warnung vor uneinheitlicher Auslegung des Durchführungsgesetzes zum „EU AI Act“

Die eigentliche Bewährungsprobe komme aber erst noch – nämlich die einheitliche Umsetzung über alle 16 Bundesländer hinweg. „Wenn die Bundesländer nicht an einem Strang ziehen, droht bei bestimmten KI-Systemen ein ,Flickenteppich’“, warnt Dehmel.

• Dies gelte zum Beispiel dann, wenn eine Künstliche Intelligenz (KI) in öffentlichen Stellen der Länder eingesetzt wird, ohne zentral von der Bundesnetzagentur überwacht zu werden. Die Bundesnetzagentur müsse ihre Koordinierungsfunktion deshalb auch tatsächlich ausüben können – und zwar mit verbindlichen Mechanismen und einheitlichen Vollzugshinweisen.

„Andernfalls bekommen wir bei KI statt einer gemeinsamen deutschen Linie 16 unterschiedliche Auslegungen. Das wäre das Gegenteil dessen, was der ,AI Act’ mit europaweiter Harmonisierung erreichen will. Dem müssen die Bundesländer bei den nun folgenden Umsetzungsschritten von Beginn an entgegenwirken!“, gibt Dehmel abschließend zu bedenken.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Susanne Dehmel: Mitglied der Geschäftsleitung KI & Daten Bitkom e.V.

Deutscher Bundestag
2./3. Lesung / Digitales / Abstimmung über die Verordnung über künstliche Intelligenz

datensicherheit.de, 08.05.2026
KI-Omnibus: Bitkom-Kommentar zu Kompromiss bei EU-Trilog-Verhandlungen über AI Act der EU / Begrüßt wird die Vermeidung der KI-Doppelregulierung – aber eben noch nicht in allen notwendigen Bereichen

datensicherheit.de, 21.04.2026
EU AI ACT: TÜV-Verband fordert einheitliche Rahmenbedingungen für industrielle KI / Künstliche Intelligenz (KI) auf dem Sprung in die physische Welt der Maschinen, Robotik und Geräte

datensicherheit.de, 12.02.2026
AI Act: Durchführungsgesetz beschlossen / Das Durchführungsgesetz zum „EU AI Act“ legt unter anderem fest, welche Behörden in Deutschland künftig für die Umsetzung, die Aufsicht und Unterstützung von Unternehmen zuständig sind

[datensicherheit.de, 01.04.2026] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat am 1. April 2026 eine kritische Stellungnahme zum Referentenentwurf aus dem Bundesministerium des Innern (BMI) für ein Durchführungsgesetz zur EU-Cyberresilienz-Verordnung abgegeben: DerTeleTrusT hält eine „deutliche Nachschärfung“ des vorliegenden Entwurfs für erforderlich.

TelTrusT mahnt verlässliche personelle, technische und organisatorische BSI-Ausstattung an

Der BMI-Referentenentwurf greife die durch den „Cyber Resilience Act“ (CRA) erforderlichen nationalen Regelungen zwar im Grundsatz auf –

• dieser bleibe in seiner derzeitigen Fassung jedoch in zentralen Punkten hinter den praktischen und rechtlichen Anforderungen zurück.

Die vorgesehene Aufgabenbündelung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sei nur dann tragfähig, wenn dessen personelle, technische und organisatorische Ausstattung verlässlich und dauerhaft abgesichert werde. „Daran fehlt es bislang!“

TelTrusT-Plädoyer für substanziell ausgebautes und praxisnahes Unterstützungskonzept für Unternehmen

Besonders kritisch seien die zu weit gefasste Ausnahmeregelung für die Notifizierung von Konformitätsbewertungsstellen ohne Akkreditierung, die unzureichend konkretisierten Unterstützungsleistungen für Wirtschaftsakteure sowie die unklare Ausgestaltung des Reallabors für Cyberresilienz.

• In allen drei Bereichen bestehe die Gefahr, „dass der Entwurf formale Strukturen schafft, ohne deren praktische Wirksamkeit belastbar sicherzustellen“.

Der TeleTrusT hält daher eine „deutliche Nachschärfung des Entwurfs“ für erforderlich. Notwendig seien insbesondere eine verlässliche Finanzierung und Ausstattung des BSI und der Deutschen Akkreditierungsstelle (DAkkS), enge und klare Voraussetzungen für Ausnahmen von der akkreditierungsbasierten Notifizierung, ein substanziell ausgebautes und praxisnahes Unterstützungskonzept für Unternehmen sowie transparente und nachvollziehbare Regelungen zum Reallabor.

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V.
Ziele und Nutzen Bundesverband IT-Sicherheit e.V. (TeleTrusT)

TeleTrusT Bundesverband IT-Sicherheit e.V.
Arbeitsgruppe „IT-Sicherheitsrecht“ – RA Karsten U. Bartels, LL.M., HK2 Rechtsanwälte

TeleTrusT Bundesverband IT-Sicherheit e.V., 01.04.2026
Stellungnahme zum BMI-Referentenentwurf des Durchführungsgesetzes zur Cyberresilienz-Verordnung

Bundesministerium des Innern, 18.03.2026
Verordnung: Gesetzesentwurf zur Durchführung der Verordnung (EU) 2024/2847 (Cyberresilienz-Verordnung) / Gesetz zur Durchführung der Cyberresilienz-Verordnung

Bundesministerium des Innern, 18.03.2026
Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyberresilienz-Verordnung)

datensicherheit.de, 21.03.2026
Cyber Resilience Act: BSI hat Vorsitz der AdCo CRA / Die Rolle der Vorsitzenden wurde Anna Schwendicke, BSI-Referatsleiterin „Marktaufsicht“, im Rahmen der Sitzung der AdCo CRA am 19. März 2026 in Athen übertragen

datensicherheit.de, 06.04.2025
CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln / Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden

datensicherheit.de, 22.11.2024
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle / ONEKEY warnt vor höchster Gefahr für Hersteller vernetzter Geräte, Maschinen und Anlagen, deren Produkte Open-Source-Software enthalten

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

[datensicherheit.de, 12.02.2026] Laut einer Meldung des Digitalverbands Bitkom e.V. wurde vom Bundeskabinett am 11. Februar 2026 das Durchführungsgesetz zum „EU AI Act“ beschlossen. Dieses legt demnach unter anderem fest, welche Behörden in Deutschland künftig für die Umsetzung, die Aufsicht und Unterstützung von Unternehmen zuständig sind. Der Bitkom-Präsident, Dr. Ralf Wintergerst, geht in seiner aktuellen Stellungnahme auf die Ambivalenz des Durchführungsgesetzes ein – er beschreibt ein Spannungsfeld zwischen Innovation einerseits und Bürokratie andererseits.

Foto: Bitkom

Dr. Ralf Wintergerst: Plädoyer für innovationsfreundliche KI-Reallabore

„AI Act“ trifft in Deutschland auf bestehende komplexe Behördenstruktur

Wintergerst kommentiert: „Mit dem Durchführungsgesetz entscheidet sich, ob der ,AI Act’ in Deutschland zum Innovations- oder zum Bürokratieprojekt wird.“ Der „AI Act“ treffe in Deutschland auf eine bestehende komplexe Behördenstruktur mit breit verteilten Zuständigkeiten auf Bundes- und Landesebene sowie für einzelne Branchen.

• Die Bundesnetzagentur als zentrale Stelle in einem Verbund mit weiteren zuständigen Behörden zu benennen, sei nun „ein pragmatischer Ansatz“.

Die Bündelung von Zuständigkeiten und die behördenübergreifende Zusammenarbeit müssten jetzt allerdings „schnell, effizient und verlässlich funktionieren“. Zudem gelte es, die zuständigen Behörden so aufzustellen, „dass Beratung, Koordinierung und Marktüberwachung effektiv möglich sind“.

Abschreckendes Beispiel „Medizinprodukteverordnung“ – bei „AI Act“-Umsetzung darf sich Innovationsbehinderung nicht wiederholen

Die zuständigen Behörden brauchten schlanke Strukturen, effiziente Prozesse und müssten dazu selbst auch umfassend Künstliche Intelligenz (KI) einsetzen, um ihren Aufgaben nachzukommen. „Nur dann kann es gelingen, mit den etwas mehr als 60 zusätzlichen Mitarbeiterinnen und Mitarbeitern den umfassenden Aufgaben nachzukommen!“

• Ohne den Einsatz von KI und ausreichende Ressourcen werde aus Regulierung schnell Stillstand – die vorgesehenen Prüfstellen dürften nicht zum Flaschenhals werden. Wintergerst führt aus: „Unternehmen müssen KI-Systeme, die nach dem ,AI Act’ als besonders risikoreich gelten, in vielen Fällen von unabhängigen Stellen prüfen und bestätigen lassen. Diese Stellen müssen vorab von behördlicher Seite anerkannt werden. Kommt es hier zu langen Wartezeiten, werden KI-Innovationen in sensiblen Bereichen ausgebremst. Das wäre genau das, was wir zum Beispiel bei der ,Medizinprodukteverordnung’ erlebt haben.“ Diese habe Innovationen ausgebremst und dem Patientenwohl geschadet.

Vergleichbares dürfe sich bei der „AI Act“-Umsetzung nicht wiederholen. Ergänzend könnten auch innovationsfreundliche KI-Reallabore den Unternehmen helfen, neue Lösungen anzubieten – „mit niedrigen Zugangshürden, schlanken digitalen Verfahren und einer verlässlichen Antwort innerhalb von 30 Tagen“.

Weitere Informationen zum Thema:

bikom
Über uns

bitkom
Dr. Ralf Wintergerst: Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

Bundesministerium für Digitales und Staatsmodernisierung, 12.09.2025
Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008 / Gesetz zur Durchführung der KI-Verordnung

DATEV magazin, 11.02.2026
Künstliche Intelligenz / Bundesregierung beschließt Durchführungsgesetz zur KI-Verordnung

datensicherheit.de, 31.07.2025
Ein Jahr AI Act: eco mahnt rechtssichere Rahmenbedingungen und politischen Gestaltungswillen an / Vor einem Jahr, am 1. August 2024, ist der europäische „AI Act“ in Kraft getreten – laut eco ein historischer Meilenstein für die globale KI-Regulierung und Grundlage, um KI „Made in Europe“ zum Erfolgsmodell zu machen

datensicherheit.de, 05.02.2025
AI Act der EU verbietet bestimmte KI-Systeme und verpflichtet zur -Kompetenz / Die neue Regelung setzt das Verbot bestimmter KI-Systeme durch und legt Anforderungen an die -Kenntnisse der Beschäftigten fest

datensicherheit.de, 04.02.2025
„AI Act“: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft / Eigentlich sollte der „AI Act“ für Rechtssicherheit in Europa sorgen – aktuell droht das genaue Gegenteil, so die Bitkom-Kritik

datensicherheit.de, 03.02.2025
AI Act: eco-Kommentar zum Inkrafttreten – nationale Gesetzgebung muss Vision und Praxis vereinen! / Ab dem 2. Februar 2025 verbietet der „AI Act“ Manipulation durch KI, „Social Scoring“ und biometrische Fernidentifikation in Echtzeit

datensicherheit.de, 28.05.2024
Schatten-KI und EU AI Act: Unternehmen müssen sich den Herausforderungen zeitnah stellen / Philipp Adamidis nimmt Stellung zu Aspekten der erfolgreichen KI-Transformation