Regulierung

Bundestag verabschiedet KI-Gesetz:
Bundesnetzagentur übernimmt KI-Aufsicht

Am 12. Juni 2026 hat der Bundestag das nationale KI-Umsetzungsgesetz beschlossen. Was die neue Rolle der Bundesnetzagentur für KMU bedeutet und welche Pflichten jetzt gelten.

ATLAS Consulting Redaktion

13. Juni 2026 · 5 Min Lesezeit

gavel

Am 12. Juni 2026 hat der Bundestag das nationale Umsetzungsgesetz für den EU AI Act beschlossen. Deutschland bekommt damit eine zentrale KI-Aufsichtsbehörde: die Bundesnetzagentur. Für Unternehmen, die KI-Systeme einsetzen oder entwickeln, ändert sich zunächst wenig — das Gesetz tritt gestaffelt in Kraft. Wer jedoch jetzt den Überblick verliert, riskiert später teure Anpassungen.

Was der Bundestag am 12. Juni 2026 beschlossen hat

Das verabschiedete Gesetz setzt den EU AI Act in deutsches Recht um und schafft den institutionellen Rahmen für die nationale KI-Aufsicht. Der Beschluss fiel am Abend des 12. Juni 2026. Erklärtes Ziel ist ein „innovationsfreundlicher und bürokratiearmer Rahmen für KI-Anwendungen" — gleichzeitig soll die Bundesnetzagentur als zentrale Anlaufstelle sicherstellen, dass Unternehmen die Vorschriften des EU AI Acts einhalten.

Zu den konkreten Aufgaben der Bundesnetzagentur gehören: Marktaufsicht in Fällen ohne zuständige Fachbehörde, Betrieb eines Koordinierungs- und Kompetenzzentrums für die Zusammenarbeit mit europäischen Institutionen, Beschwerdestelle für Bürgerinnen und Bürger, Compliance-Beratung für Unternehmen sowie der Betrieb mindestens eines KI-Reallabors zur Erprobung neuer Anwendungen vor dem Markteintritt.

Warum das für den Mittelstand zählt

Das Gesetz schafft vor allem Klarheit. Statt sich durch verschiedene EU-Institutionen und Zuständigkeitsgrenzen arbeiten zu müssen, haben Unternehmen jetzt eine definierte Anlaufstelle in Deutschland. Das ist für KMU praktisch wichtiger als für Großkonzerne, die sich eigene Compliance-Abteilungen leisten können.

Drei konkrete Auswirkungen für Mittelständler: Erstens ist die Compliance-Beratung durch die Bundesnetzagentur kostenlos — ein Vorteil gegenüber externen Rechtsberatern. Zweitens können Unternehmen über KI-Reallabors neue KI-Anwendungen unter behördlicher Begleitung testen, bevor sie diese produktiv einsetzen. Drittens machen die Auskunftspflichten gegenüber der Bundesnetzagentur eine interne Dokumentation des KI-Einsatzes nötig, die viele Unternehmen noch nicht haben.

Hochrisiko-KI: Wer ist betroffen?

Für die meisten KMU ist die Einordnung ihres KI-Einsatzes der erste praktische Schritt. Der EU AI Act unterscheidet zwischen verbotenen KI-Praktiken, Hochrisiko-KI-Systemen und Systemen mit begrenztem Risiko. Verboten sind beispielsweise Social Scoring durch öffentliche Behörden und biometrische Massenüberwachung im öffentlichen Raum. Für Hochrisiko-KI — etwa in Recruiting, Kreditvergabe, kritischer Infrastruktur oder Bildung — gelten verschärfte Anforderungen an Transparenz, Dokumentation und menschliche Aufsicht.

Für Unternehmen, die KI ausschließlich für interne Effizienzsteigerung nutzen — etwa Textgenerierung, Zusammenfassungen oder Kundenservice-Chatbots — fallen die meisten Systeme in die Kategorie begrenztes Risiko. Hier sind die Pflichten überschaubar.

Mit der Bundesnetzagentur als KI-Behörde hat Deutschland jetzt eine klare Anlaufstelle — das vereinfacht Compliance für KMU erheblich.

lightbulb

Praxis-Tipp: KI-Reallabors nutzen Die Bundesnetzagentur wird mindestens ein KI-Reallabor betreiben. Unternehmen können dort neue KI-Anwendungen vor dem Markteintritt unter behördlicher Begleitung erproben — besonders wertvoll für Branchen mit erhöhten regulatorischen Anforderungen wie Medizin, Finanzdienstleistungen und Transport. Melden Sie sich frühzeitig an, wenn Sie ein KI-System planen, das in eine Hochrisiko-Kategorie fallen könnte.

Bußgelder und Sanktionen

Das nationale Umsetzungsgesetz sieht Bußgelder von bis zu 50.000 Euro für Verstöße gegen Auskunfts- und Mitwirkungspflichten gegenüber der Bundesnetzagentur vor. Diese Bußgelder betreffen die Zusammenarbeit mit der Behörde — also etwa das Verweigern von Auskünften oder das Nicht-Bereitstellen von Dokumentationen auf Anfrage.

Schwerere Verstöße gegen den EU AI Act selbst — etwa der Einsatz verbotener KI-Praktiken oder das Inverkehrbringen von Hochrisiko-KI ohne Konformitätsbewertung — können europaweit Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes nach sich ziehen. Diese Sanktionen sind im EU AI Act selbst verankert, nicht im deutschen Umsetzungsgesetz.

KI-Risikoklasse	Beispiele aus dem Mittelstand	Wesentliche Pflichten
Verboten	Biometrische Massenüberwachung, Social Scoring	Vollständiges Verbot
Hochrisiko	Bewerberauswahl-KI, Kreditvergabe-KI	Dokumentation, menschliche Kontrolle, Konformitätsbewertung
Begrenztes Risiko	Chatbots, Textgeneratoren, Bildanalyse	Transparenzhinweis, wenn mit Menschen interagiert
Minimales Risiko	KI-Spam-Filter, einfache Automatisierung	Keine zusätzlichen Pflichten

Was Unternehmen jetzt konkret tun sollten

Die wichtigste Sofortmaßnahme ist eine interne Bestandsaufnahme: Welche KI-Systeme nutzen oder entwickeln wir? In welche Risikoklasse fallen sie? Diese Einordnung ist Voraussetzung für alle weiteren Compliance-Schritte und lässt sich in den meisten KMU in einem halben Tag durchführen.

Für Unternehmen, die Hochrisiko-KI einsetzen oder planen — etwa automatisierte Personalentscheidungen oder KI in sicherheitskritischen Prozessen —, empfiehlt sich eine frühzeitige Kontaktaufnahme mit der Bundesnetzagentur, sobald die Compliance-Beratung aufgenommen ist. Das schützt vor späteren Bußgeldern und gibt Planungssicherheit.

Fazit

Das nationale KI-Umsetzungsgesetz ist ein pragmatischer Schritt. Für die meisten KMU, die KI für interne Prozesse nutzen, ändert sich kurzfristig nichts Wesentliches. Die Einrichtung der Bundesnetzagentur als Anlaufstelle ist jedoch eine echte Erleichterung: Statt europäischer Institutionen zu kontaktieren oder teure Rechtsberatung in Anspruch zu nehmen, gibt es jetzt eine deutsche Behörde, die auch für kleinere Unternehmen zugänglich ist.

Mittelfristig wichtiger ist die Vorbereitung auf die gestaffelten Inkrafttretenstermine des EU AI Acts. Wer jetzt eine Bestandsaufnahme macht und seine KI-Systeme dokumentiert, ist gut aufgestellt — unabhängig davon, wann die nächste Übergangsphase beginnt.

ATLAS Consulting unterstützt Mittelständler bei der Einordnung ihrer KI-Systeme nach EU AI Act und bei der Erstellung notwendiger Dokumentationen. Für Unternehmen, die erste Orientierung suchen, bieten wir ein kostenloses Erstgespräch an.

On June 12, 2026, the German Bundestag passed the national implementation act for the EU AI Act. Germany now has a central AI oversight authority: the Federal Network Agency (Bundesnetzagentur). For companies using or developing AI systems, little changes immediately — the law takes effect in stages. But those who lose track now risk expensive adjustments later.

What the Bundestag Decided on June 12, 2026

The passed law transposes the EU AI Act into German law and creates the institutional framework for national AI oversight. The vote took place on the evening of June 12, 2026. The stated goal is an "innovation-friendly and low-bureaucracy framework for AI applications" — while the Federal Network Agency is to ensure that companies comply with the EU AI Act's requirements.

The Federal Network Agency's specific responsibilities include: market supervision in cases without a competent specialist authority, operating a coordination and competency center for collaboration with European institutions, a complaint center for citizens, compliance advice for companies, and operating at least one AI real-world lab for testing new applications before market entry.

Why This Matters for SMEs

The law creates clarity above all. Instead of navigating various EU institutions and jurisdictional boundaries, companies now have a defined point of contact in Germany. This is practically more important for SMEs than for large corporations that can afford dedicated compliance departments.

Three concrete implications for SMEs: First, compliance advice from the Federal Network Agency is free — an advantage over external legal counsel. Second, companies can use AI real-world labs to test new AI applications under official supervision before deploying them productively. Third, disclosure obligations to the Federal Network Agency require internal documentation of AI use that many companies don't yet have.

High-Risk AI: Who Is Affected?

For most SMEs, categorizing their AI use is the first practical step. The EU AI Act distinguishes between prohibited AI practices, high-risk AI systems, and systems with limited risk. Prohibited are, for example, social scoring by public authorities and biometric mass surveillance in public spaces. For high-risk AI — such as in recruiting, lending, critical infrastructure, or education — stricter requirements apply for transparency, documentation, and human oversight.

For companies using AI exclusively for internal efficiency gains — such as text generation, summaries, or customer service chatbots — most systems fall into the limited-risk category. The obligations here are manageable.

With the Federal Network Agency as the AI authority, Germany now has a clear point of contact — this simplifies compliance for SMEs considerably.

lightbulb

Practical Tip: Use AI Real-World Labs The Federal Network Agency will operate at least one AI real-world lab. Companies can test new AI applications there under official supervision before market entry — particularly valuable for sectors with heightened regulatory requirements such as medicine, financial services, and transport. Register early if you are planning an AI system that could fall into a high-risk category.

Fines and Sanctions

The national implementation act provides for fines of up to €50,000 for violations of disclosure and cooperation obligations toward the Federal Network Agency. These fines concern cooperation with the authority — such as refusing to provide information or failing to supply documentation on request.

More serious violations of the EU AI Act itself — such as using prohibited AI practices or placing high-risk AI on the market without a conformity assessment — can attract fines of up to €35 million or seven percent of global annual turnover across Europe. These sanctions are enshrined in the EU AI Act itself, not in the German implementation act.

AI Risk Class	SME Examples	Key Obligations
Prohibited	Biometric mass surveillance, social scoring	Complete ban
High risk	Applicant screening AI, lending AI	Documentation, human control, conformity assessment
Limited risk	Chatbots, text generators, image analysis	Transparency notice when interacting with people
Minimal risk	AI spam filters, simple automation	No additional obligations

What Companies Should Do Now

The most important immediate step is an internal inventory: which AI systems do we use or develop? Which risk class do they fall into? This classification is a prerequisite for all further compliance steps and can be carried out in most SMEs in half a day.

For companies using or planning high-risk AI — such as automated personnel decisions or AI in safety-critical processes — early contact with the Federal Network Agency is advisable once the compliance advisory service is up and running. This protects against later fines and provides planning certainty.

Conclusion

The national AI implementation act is a pragmatic step. For most SMEs using AI for internal processes, nothing significant changes in the short term. The establishment of the Federal Network Agency as a point of contact is, however, a genuine relief: instead of contacting European institutions or seeking expensive legal advice, there is now a German authority that is also accessible to smaller companies.

More important in the medium term is preparing for the EU AI Act's staggered implementation dates. Anyone who takes inventory now and documents their AI systems is well positioned — regardless of when the next transition phase begins.

ATLAS Consulting supports SMEs in classifying their AI systems under the EU AI Act and creating the necessary documentation. For companies seeking initial orientation, we offer a free introductory consultation.