Der Bundestag hat am Donnerstag, 11. September 2025, erstmals einen Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (21/1501) beraten. Im Anschluss an die einstündige erste Lesung wurde die Vorlage zur weiteren Beratung an die Ausschüsse überwiesen. Die Federführung liegt beim Innenausschuss. 

Regierung: Die Bedrohungslage ist angespannt

Da Deutschland eine große Wirtschaftsnation in Europa und eine strategische Drehscheibe der Nato sei, hätten die „Feinde unseres Wohlstandes und unserer Demokratie unseren Cyberraum im Visier“, sagte die Parlamentarische Staatssekretärin im Bundesministerium des Innern, Daniela Ludwig (CSU), zu Beginn der Debatte. Die Bedrohungslage sei angespannt, die Cyberangriffe nähmen weiter zu – „von Kriminellen wie auch von ausländischen Nachrichtendiensten“. Hacker erpressten Konzerne, Krankenhäuser und Kommunen. Sie könnten „ganze Infrastrukturen lahmlegen“. 

Daher, so Ludwig, sei es höchste Zeit zu handeln. Mit der Umsetzung der NIS2-Richtlinie werde ein deutlich höheres Sicherheitsniveau für die Wirtschaft und die Bundesverwaltung erreicht. Die Richtlinie sehe Mindestanforderungen an organisatorische und technische Maßnahmen sowie Meldepflichten über Sicherheitsvorfälle vor. Betroffen davon seien künftig mehr Unternehmen in mehr Wirtschaftsbereichen. Statt jetzt 4.500 Unternehmen seien es in der Zukunft mehr als 30.000.

AfD: Gesetzliche Mindeststandards unausweichlich

Steffen Janich (AfD) kündigte die Zustimmung seiner Fraktion zu der Vorlage an. Gesetzliche Mindeststandards für den Schutz des Cyberraums seien unausweichlich, befand er. Zwar führe deren Implementierung bei den Unternehme zu höheren Kosten und mehr Bürokratie. Wer dies ablehne müsse sich aber fragen lassen, „ob ihm das Risiko einer Insolvenz seines Unternehmens wirklich lieber ist“. 

Janich verwies darauf, dass schon unter der Ampel-Koalition die NIS2-Umsetzung geplant war, dies aber nach dem Koalitions-Aus nicht mehr umsetzbar gewesen sei. Das Gute daran sei, dass die Unternehmen nun fast ein Jahr mehr Zeit hatten, um die notwendige Registrierung vorzubereiten. Dass Unternehmen mit weniger als 50 Mitarbeitern „von dem Bürokratieaufwuchs verschont bleiben“, sei zu begrüßen, so der AfD-Abgeordnete. Auch diese Unternehmen sollten aber die IT-Sicherheit ihrer Netzwerke ernst nehmen.

SPD: IT-Sicherheit ist kein technisches Detail

Die Cyberangriffe seien kein Randphänomen und die Bedrohungslage sehr real, sagte Johannes Schätzl (SPD). Laut dem Branchenverband Bitkom verursachten die Angriffe bei den Unternehmen in Deutschland jährlich einen Schaden in Höhe von 260 Milliarden Euro. IT-Sicherheit sei kein technisches Detail, sondern eine Frage der öffentlichen Sicherheit, betonte er. Genauso wie auf Feuerwehr und Polizei zurückgegriffen werde, müsse man auch auf eine digitale Feuerwehr zurückgreifen können, „die Angriffe verhindert, erkennt und bestenfalls abwehren kann“. 

Im parlamentarischen Verfahren werde noch über einige Punkte zu reden sein, so Schätzl. Es müsse darüber gesprochen werden, „wie wir das Bundesamt für die Informationssicherheit (BSI) noch mehr stärken können“ und wie weit der Anwendungsbereich des Gesetzes gezogen werden soll. „Egal wie stark wir die Tresortür vorne noch verstärken: Wenn die Nebeneingangstür offenbleibt, haben wir in der IT-Sicherheit wenig gewonnen“, sagte der SPD-Abgeordnete.

Grüne kritisieren „entkernte“ Vorlage

Konstantin von Notz (Bündnis 90/Die Grünen) konstatierte: „Im Bereich der IT-Sicherheit brennt die Hütte seit Jahren lichterloh.“ Die Lage sei deshalb so schlimm, weil man 15 Jahre das Digitale als Neuland verbrämt habe und als einzige Antwort auf die komplexen Sicherheitsherausforderungen im digitalen Zeitalter „immer mit der Vorratsdatenspeicherung um die Ecke kommt“, sagte der Grünenabgeordnete an die Union gewandt. Damit müsse Schluss sein. 

Notz wies daraufhin, dass die Grünen schon in der vergangenen Legislaturperiode auf eine Umsetzung der NIS-Richtlinie gedrängt hätten. Nach dem Bruch der Ampel sei man auf die Union zugekommen, die sich aber der staatspolitischen Verantwortung entzogen habe. Nun komme von der aktuellen Bundesregierung eine „völlig entkernte Vorlage“. Es gebe kein Schwachstellenmanagement und auch keine Aufnahme der öffentlichen Verwaltung in den KRITIS-Bereich, bemängelte er.

Linke fordert dynamische Fehlerkultur

Donata Vogtschmidt (Die Linke) kritisierte ebenfalls, dass „ausgerechnet der Staat selbst versucht, sich aus der Cybersicherheit zurückzuziehen“. Einen IT-Grundschutz solle es laut Entwurf nur noch für das Kanzleramt und die Ministerien geben – nicht aber für die übrige Bundesverwaltung. 

Selbst diese „laschen Anforderungen“ sollen laut Vogtschmidt dem BSI erst nach fünf statt nach drei Jahren nachgewiesen werden müssen. „Mit dynamischer Fehlerkultur und Lernprozessen hat das herzlich wenig zu tun“, befand die Linken-Abgeordnete. Und das, obwohl die Bundesverwaltung bei Vernachlässigung nicht einmal die Bußgelder fürchten müsse, die anderen Bereichern bei Verstößen auferlegt würden.

Union: Der Gesetzentwurf ist ein Anfang

Marc Henrichmann (CDU/CSU) ging auf den Vorwurf der Grünen ein. Die Ampel-Regierung habe sich beim Versuch der NIS2-Umsetzung in ideologischen Debatten untereinander „komplett verloren“. Nach dreieinhalb Jahren, „auf den letzten Drücker“, als die Union guten Willens gewesen sei, hätten die Grünen so viele Veränderungen in das Gesetz eingebaut „und die ganze Wirtschaft auf Links gedreht“. So könne man aber keine Gesetze machen, befand Henrichmann. 

Der vorliegende Gesetzentwurf sei ein Anfang, „aber noch nicht rund“, so der Unionsabgeordnete. Es reiche nicht aus, nur die Bundesministerien und das Kanzleramt miteinzubeziehen. Auch die nachgeordneten Behörden des Bundes müssten erfasst werden. Schließlich sei das schwächste Glied einer Kette entscheidend dafür, „ob sie reißt und wie groß der Schaden wird“. Dabei gehe es auch um eine Vorbildwirkung. „Wie will ich Mittelständlern und Unternehmen erklären, dass sie entsprechende Vorkehrungen treffen müssen, die für Bürokratie sorgen und Geld kosten, während der Bund sagt, er macht es nicht, weil es zu teuer ist“, sagte er. 

Vorgaben aus Brüssel

Die Nis-2-Richtlinie setzt unter anderem strengere Sicherheitsanforderungen voraus, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Ziel ist nach Regierungsangaben die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten Europäischen Union „ein hohes gemeinsames Cybersicherheitsniveau“ sicherzustellen.

Entsprechend der unionsrechtlichen Vorgaben soll der mit dem IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert werden. Zusätzlich sollen entsprechende Vorgaben für die Bundesverwaltung eingeführt werden. Der Entwurf sieht vor, dass der Anwendungsbereich ausgeweitet und neue Einrichtungskategorien eingeführt werden. Zudem soll die bislang einstufige Meldepflicht bei Sicherheitsvorfällen durch ein dreistufiges Melderegime ersetzt werden. Das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll im Hinblick auf Aufsichtsmaßnahmen erweitert werden. Darüber hinaus soll in der Bundesverwaltung ein zentraler Koordinator (CISO Bund) für Maßnahmen zur Informationssicherheit in deren Einrichtungen etabliert werden. Dieser soll auch die Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement unterstützen.

Laut der Bundesregierung hat die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft identifiziert. Die Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe sei eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, heißt es weiter. Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich „die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen“, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen, heißt es im Entwurf.

Für den Bundeshaushalt entstehen durch das Gesetz bei der Bundesverwaltung einmalige Ausgaben in Höhe von rund 59 Millionen Euro sowie bis zum Jahr 2029 laufende jährliche Ausgaben in Höhe von durchschnittlich rund 212 Millionen Euro. Der Wirtschaft sollen einmalig 2,2 Milliarden Euro sowie laufend 2,3 Milliarden Euro jährlich an Kosten entstehen. Mehrausgaben für Länder und Kommunen sind nicht vorgesehen. 

Stellungnahme des Bundesrates

Der Bundesrat begrüßt die geplante Umsetzung der NIS-2-Richtlinie, fordert aber zahlreiche Nachbesserungen vor allem bei der Einbindung der Länder und bei Entbürokratisierung, Umsetzbarkeit und beim Verbraucherschutz. Die Bundesregierung lehnt diese Forderungen mehrheitlich ab, wie aus der Stellungnahme des Bundesrates (21/2072) hervorgeht. 

Unter anderem fordert die Länderkammer für eine bessere Bekämpfung von Fake-Shops und den Schutz von Verbrauchern, Domain-Namen-Registrierungsdaten vollständig in der Datenbank vorzuhalten sowie einen Echtzeit-Zugriff auf Registrierungsdaten durch berechtigte Stellen. Weiter fordert der Bundesrat, die Länder sollten explizit in Unterstützungsaufgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) aufgenommen werden und die Informationsaustausch- und Meldeplattform sollte für die Länder geöffnet werden. Damit Meldeverfahren vollständig digital und medienbruchfrei über eine Online-Plattform laufen, schlagen die Länder Online-Formulare des BSI vor, die gleichzeitig Meldungen nach NIS-2 und Datenschutz-Grundverordnung (DSGVO) ermöglichen. 

Zwei kleinere Änderungsvorschläge will die Bundesregierung prüfen, wie aus ihrer Gegenäußerung hervorgeht. (hau/lbr/vom/13.10.2025)

Der Bundestag hat am Donnerstag, 6. November 2025, den Gesetzentwurf der Bundesregierung „zur Umsetzung der Richtlinie (EU) 2022 / 2557 und zur Stärkung der Resilienz kritischer Anlagen“ (Kritis-Dachgesetz, 21/2510) in erster Lesung beraten. Nach der Debatte überwiesen die Abgeordneten den Entwurf dem federführenden Innenausschuss zur weiteren Beratung. 

Dobrindt: Sind Ziel hybrider Kriegsführung

Bundesinnenminister Alexander Dobrindt (CSU) betonte in der ersten Lesung, das Ziel und die Aufgabe des Kritis-Dachgesetzes sei es, „aus der kritischen Infrastruktur eine krisensichere Infrastruktur“ zu machen. Mit dem geplanten Gesetz sende die Koalition in einer Zeit der wachsenden hybriden Bedrohungen eine klare Botschaft, so Dobrindt. Das Kritis-Dachgesetz sorge dafür, dass Betreiber kritischer Infrastrukturen Resilienzmaßnahmen vornehmen und etwaige Vorfälle melden müssten. Sicherheit sei kein „garantierter Zustand“, sondern eine ständige Aufgabe, die die Wirtschaft, den Staat, Länder und Kommunen gemeinschaftlich betreffe, so Dobrindt.

„Deutschland befindet sich nicht im Krieg, aber wir sind Ziel einer hybriden Kriegsführung“, sagte Dobrindt weiter. Die Lage sei klar, die „Zeitenwende“ müsse nun auch in der inneren Sicherheit stattfinden. Das Kritis-Dachgesetz gehöre zu einem „Dreiklang zum Schutz unseres Landes“: Dieser bestehe daneben aus der derzeit debattierten Umsetzung der Nis2-Richtlinie im Bereich Cybersicherheit und Initiativen zur Stärkung des Bevölkerungsschutzes. Dazu gehörten umfassende Investitionen, beispielsweise in das THW oder das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, sagte der Minister. 

Union sieht Optimierungspotenzial

Das betonte auch Sebastian Schmidt (CDU/CSU), der jedoch auf Optimierungspotenzial bei der Harmonisierung hinwies. 

So müsse sichergestellt werden, dass die Anforderungen mit den Vorgaben in der Nis2-Gesetzgebung abgestimmt seien, sagte Schmidt. Harmonisierung sei die Voraussetzung für eine praktikable Umsetzung und einen echten Mehrwert.

SPD: Gesetz fehlt die soziale Dimension

Mit dem Entwurf werde erstmals ein gemeinsamer rechtlicher Rahmen geschaffen, um kritische Infrastruktur zu definieren und besser zu schützen, sagte Rasha Nasr (SPD). Nötig sei ein Staat, der vorbereitet ist, statt erst dann zu reagieren, wenn etwas passiert. „Resilienz ist Daseinsvorsorge“, betonte sie und kündigte ebenfalls Änderungswünsche am Gesetzentwurf an. 

Der Gesetzentwurf sei aktuell noch zu technisch und ihr fehle eine soziale Dimension. Die Menschen seien das Rückgrat der kritischen Infrastruktur und müssten mehr eingebunden werden, betonte sie. Zudem brauche es mehr Fairness in puncto Bürokratie. Kleine Betriebe dürften nicht an den Kosten scheitern, sagte Nasr.

AfD: Entwurf ist unausgegoren

Schärfere Kritik kam von AfD-Politiker Steffen Janich. Der Schutz der kritischen Infrastruktur sei „dringend geboten“, der Gesetzentwurf sei jedoch „unausgegoren“. Es entstünden erhebliche Belastungen für die Wirtschaft und die Kommunen. Dabei sei unklar, welche finanzielle Mehraufwendungen genau entstehen. Hier müsse die Bundesregierung nachschärfen, so Janich. 

Er kritisierte weiter, dass der Blick des Gesetzes „stark nach Brüssel gehe“ und forderte, dass die Bundesregierung selbst imstande sein sollte, zu entscheiden, welche kritische Einrichtung von besonderer Bedeutung ist.

Grüne: Brauchen echte Offensive gegen hybride Bedrohung

Marcel Emmerich (Bündnis 90/Die Grünen) betonte, dass es eine echte Offensive gegen hybride Bedrohungen brauche. Wer das Land schützen wolle, dürfe keine weitere Zeit verlieren. Er bewerte es positiv, dass der Nationale Sicherheitsrat zusammengekommen sei und sich einen Plan überlegt habe.

Gleichzeitig sei eine Beteiligung des Parlaments nötig, denn „eine Strategie ist noch keine Maßnahme und kein Gesetz“, sagte Emmerich. Aktuell erlebe man in der Gesetzgebung ein sicherheitspolitisches Nebeneinander „ohne Takt und Tempo“, das nicht strategisch sei, kritisierte Emmerich. In Richtung des Innenministers fügt er hinzu: „Im Verwaltungsmodus oder im Schlafwagen wird das nicht gelingen.“ 

Linke fordern mehr parlamentarische Kontrolle

Clara Bünger (Die Linke) übte deutliche Kritik. Der Entwurf schütze die kritische Infrastruktur nicht wirksam, sagte sie und führte an, dass es beispielsweise keine regelmäßigen Überprüfungen der Maßnahmen gebe. Die höchste Strafe betrage zudem 500.000 Euro: „Das ist in den meisten Fällen günstiger als die Schutzmaßnahme selbst“, sagte sie. 

Zudem drücke sich Schwarz-Rot um das Festlegen von Mindestanforderungen, die nicht nur von Fachleuten, sondern auch von der Richtlinie selbst gefordert würden. Stattdessen gebe die Bundesregierung die Verantwortung an das Innenministerium weiter und entziehe sich der parlamentarischen Kontrolle. Nötig sei jedoch eine regelmäßige Überprüfung, „und zwar hier im Bundestag“, sagte Bünger.

Gesetzentwurf der Bundesregierung

Mit dem Gesetzesvorhaben soll die Richtlinie (EU) 2022 / 2557 über die Resilienz kritischer Einrichtungen, die sogenannte CER-Richtlinie, in nationales Recht umgesetzt werden. Durch bundeseinheitliche Regelungen für den physischen Schutz kritischer Infrastrukturen will die Bundesregierung die Resilienz der Wirtschaft und dadurch auch die Versorgungssicherheit der Bevölkerung stärken. 

Das KRITIS-Dachgesetz macht Vorgaben zur Identifizierung von Betreibern kritischer Anlagen und kritischen Einrichtungen mit besonderer Bedeutung für Europa sowie Vorgaben zur Registrierung von Betreibern kritischer Anlagen. Es zielt zudem auf die Etablierung von nationalen Risikoanalysen und Risikobewertungen für kritische Dienstleistungen und die gesetzliche Verankerung wesentlicher nationaler Anforderungen für Resilienzmaßnahmen von Betreibern kritischer Anlagen ab. Außerdem ist die Einführung eines Meldewesens für Vorfälle geplant. (lbr/hau/06.11.2025)

Zeit: Montag, 13. Oktober 2025, 15 Uhr
Ort: Berlin, Paul-Löbe-Haus, Sitzungssaal 4 600

An dem von der Bundesregierung vorgelegten Gesetzentwurf zur Umsetzung der NIS-2-Richtline (21/1501) gibt es aus Sicht der zu einer öffentlichen Anhörung des Innenausschusses am Montag, 13. Oktober 2025, geladenen Sachverständigen Nachbesserungsbedarf. 

Ziel der Regelung ist es laut Bundesregierung, die Widerstandskraft von Staat und Wirtschaft gegen Cyberangriffe „deutlich zu erhöhen“. Die Richtlinie setzt unter anderem strengere Sicherheitsanforderungen voraus, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Vorgesehen ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten Europäischen Union „ein hohes gemeinsames Cybersicherheitsniveau“ sicherzustellen. 

Viele Behörden nicht in Regelung einbezogen

Hauptkritikpunkt bei der Anhörung war, dass lediglich Bundesministerien und das Bundeskanzleramt in die Regelung miteinbezogen werden sollen – nicht aber die nachgeordneten Behörden des Bundes und auch nicht die kommunale Ebene. Auch beim Schwachstellenmanagement gebe es Mängel, hieß es. 

Ferdinand Gehringer von der Konrad-Adenauer-Stiftung sagte während der Anhörung: Wenn die öffentliche Verwaltung der Länder und Kommunen nicht in den Geltungsbereich des Umsetzungsgesetzes einbezogen werden, blieben zentrale Bereiche staatlicher Handlungsfähigkeit – insbesondere in der Daseinsvorsorge und im Verwaltungsvollzug – ohne verbindliche Cybersicherheitsanforderungen. Diese Ebenen seien jedoch entscheidend für die Aufrechterhaltung grundlegender staatlicher Funktionen. 

Laut Gehringer ist es „mehr als erforderlich“, im Interesse einer umfassenden Erhöhung der Sicherheit und Resilienz das NIS-2-Umsetzungsgesetz und das KRITIS-Dachgesetz viel stärker aufeinander abzustimmen und die beiden Umsetzungsprozesse weitergehend zu harmonisieren.

„Fragmentierung der Sicherheitsarchitektur wird verfestigt“

Einen koordinierten Ansatz „mit einheitlicher Abwehrstrategie, gemeinsamen Lagebildern und abgestimmten Standards auf allen Verwaltungsebenen“ forderte Sabine Griebsch, Management Director bei GovThings. Nur so könne ein geschlossenes Schutzschild gegen Cyberangriffe aufgebaut werden. 

Griebsch ging auf die Nicht-Einbeziehung von Kommunen in den Anwendungsbereich der NIS-2-Richtlinie ein. Der Verweis auf föderale Zuständigkeiten und die Bemühungen, Überschneidungen zu vermeiden, erschienen zwar auf den ersten Blick pragmatisch. Allerdings überwiegen aus ihrer Sicht die Nachteile einer Nicht-Einbeziehung der Kommunen deutlich, da keine Alternativen aufzeigt würden, wie auf anderem Wege für IT-Sicherheit in Kommunen gesorgt werden soll. So würde die bestehende Fragmentierung der Sicherheitsarchitektur in Deutschland verfestigt.

Experte: Länderverwaltung möglichst einbeziehen

Dr. Sven Herpig, Leiter Cybersecurity Policy and Resilience bei Interface, sagte, der aktuelle Entwurf verzichte weiterhin darauf, den Umgang mit Schwachstellen für IT-Sicherheits-, nachrichtendienstliche oder polizeiliche Zwecke durch die Bundes- und Landesbehörden klar zu regeln. Die diesbezüglichen Änderungen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) trügen daher nur zur Fragmentierung und Rechtsunsicherheit bei, „ohne einen umfassenden Ansatz zur Stärkung der IT-Sicherheit zu leisten“. 

Auch Herpig schlug eine nochmalige Prüfung vor, ob eine Ausweitung des Geltungsbereichs auf die Einrichtungen der Länderverwaltungen umsetzbar ist, da seiner Auffassung nach davon die IT-Sicherheit in Deutschland „sehr wahrscheinlich profitieren würde“.

„Raum für Vulnerabilität und Rechtsunsicherheit“

Aus Sicht von Prof. Dr. Dennis-Kenji Kipker von der Universität Bremen scheitert der Entwurf daran, dass er uneinheitliche, fragmentierte Regelungen schaffe, „die die Informationssicherheit in Teilen zwar stärken, in der Fläche jedoch Raum für erhebliche Vulnerabilitäten und Rechtsunsicherheit lassen“. Konkret bemängelte er mit Blick auf die Rolle des BSI, dass die Fragen rund um die Verbesserung dessen Unabhängigkeit bereits seit mehreren Jahren erörtert würden, gleichwohl aber keine nennenswerten Fortschritte ersichtlich seien. 

Nach wie vor fehlten zudem klare Regelungen für ein staatliches Schwachstellenmanagement, wie mit gemeldeten Sicherheitsinformationen umgegangen wird. Eine gesetzliche Klarstellung zur unverzüglichen Schließung von ermittelten Schwachstellen ist laut Kenji Kipker „nicht nur wünschenswert, sondern dringend geboten“.

Experte: Gesetz schwächt Cybersicherheit

Professor Timo Kob von der HiSolutions AG ging auf die „unsägliche Ausnahme der nachgeordneten Behörden“ ein. Er verwies darauf, dass Ausnahme nicht den Verzicht auf eine Erhöhung der Anforderungen bedeute, sondern ein Absenken der Anforderungen darstelle. „Statt Cybersicherheit zu stärken, schwächt das Gesetz sie sogar“, urteilte Kob. Seit 2017 seien die Ministerien und nachgeordneten Behörden verpflichtet, den IT-Grundschutz umzusetzen. Der Umsetzungsstand nach acht Jahren sei erschütternd, so Kob. 

Mit Blick auf das neue Digitalisierungsministerium, sagte er, wenn man nun hoffentlich bei der Digitalisierung vorankommt, aber gleichzeitig bei der Sicherheit stehenbleibt oder gar zurückfällt sei klar, was passieren werde. „Jede Einsparung an Sicherheit ist de facto eine Sabotage an den Digitalisierungsplänen, weil diese entweder unsicher betrieben werden oder die nötigen Schutzmaßnahmen in den Projekten finanziert und zeitaufwändig umgesetzt werden müssten“, sagte er. 

„Wirtschaft braucht Rechtssicherheit“

Felix Kuhlenkamp vom IT-Branchenverband Bitkom machte deutlich, dass die Wirtschaft schnellstmöglich Rechtssicherheit brauche. Je mehr Zeit Deutschland bei der Umsetzung braucht, desto größer werde die Unsicherheit für betroffene Unternehmen – gerade im Vergleich zu anderen Mitgliedstaaten mit bereits abgeschlossener Umsetzung. Schon jetzt, so Kuhlenkamp, zeigten sich unterschiedliche Anforderungsniveaus in Europa, die grenzüberschreitende Tätigkeiten erschweren. Eine eins zu eins Umsetzung der europäischen Vorgaben ohne zusätzliches nationales „Goldplating“ sei nicht nur eine Frage der Praktikabilität, sondern auch der Wettbewerbsfähigkeit. 

Der aktuelle Entwurf löse viele Herausforderungen jedoch weiterhin nicht, sagte er. Mit ihm werde kein konsistentes Sicherheitsniveau innerhalb der Bundesverwaltung erreicht. Unklar bleibe auch, welche Unternehmen künftig konkret vom Gesetz erfasst sind. 

Standards im öffentlichen und im privaten Sekor 

Der Standard, den die nachgeordneten Behörden einhalten sollen, sei zu niedrig, womit die Richtlinie nicht korrekt umgesetzt sei, sagte Prof. Dr. Meinhard Schröder von der Universität Passau. Es stelle sich zudem die Frage, warum für den öffentlichen Sektor andere Standards gelten sollen als für private Einrichtungen. 

Zum Thema Schwachstellenmanagement sagte Schröder, das BSI dürfte laut dem Entwurf scannen, ob bei Einrichtungen bekannte Schwachstellen vorliegen, „was sicher gut ist“. Nicht geregelt sei aber, wie mit Sicherheitslücken umzugehen ist, von denen das BSI oder eine andere Stelle der Bundesverwaltung zufällig erfährt. Hier müsse dafür gesorgt werden, dass solche Meldungen nicht aus Angst vor Strafe unterbleiben. Andererseits müsse im Einklang mit den Vorgaben des Bundesverfassungsgerichts geregelt werden, „wann die Hersteller über Schwachstellen informiert werden müssen und wann der Staat das Wissen für eigene legitime Zwecken nutzen darf“. (hau/14.10.2025)

Der Bundestag hat am Donnerstag, 13. November 2025, nach halbstündiger Debatte den Gesetzentwurf der Bundesregierung „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (21/1501, 21/2072, 21/2146 Nr. 1.11) in der vom Innenausschuss geänderten Fassung (21/2782) angenommen. Dafür stimmten CDU/CSU, AfD und SPD, dagegen Bündnis 90/Die Grünen. Die Linke enthielt sich. Zum Gesetzentwurf hatte der Haushaltsausschuss einen Bericht gemäß Paragraf 96 der Geschäftsordnung des Bundestages zur Finanzierbarkeit (21/2783) vorgelegt.

Erstmals beraten wurde ein Antrag der Fraktion Bündnis 90/Die Grünen mit dem Titel „Deutschland resilient machen – Für einen ganzheitlichen Schutz unserer kritischen Infrastruktur“ (21/2725). Er wurde zur weiteren Beratung an die Ausschüsse überwiesen. Federführend ist der Innenausschuss. 

Gesetzentwurf der Bundesregierung

Die NIS-2-Richtlinie der EU setzt unter anderem strengere Sicherheitsanforderungen voraus, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Ziel ist nach Regierungsangaben die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten Europäischen Union „ein hohes gemeinsames Cybersicherheitsniveau“ sicherzustellen.

Entsprechend der unionsrechtlichen Vorgaben wird der mit dem IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert. Zusätzlich werden Vorgaben für die Bundesverwaltung eingeführt. 

Dreistufiges Melderegime

Vorgesehen ist, dass der Anwendungsbereich ausgeweitet wird und neue Einrichtungskategorien eingeführt werden. Zudem wird die bislang einstufige Meldepflicht bei Sicherheitsvorfällen durch ein dreistufiges Melderegime ersetzt. Das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird im Hinblick auf Aufsichtsmaßnahmen erweitert. 

Darüber hinaus wird in der Bundesverwaltung ein zentraler Koordinator (CISO Bund) für Maßnahmen zur Informationssicherheit in deren Einrichtungen etabliert. Dieser soll auch die Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement unterstützen.

Erhöhung der Resilienz der Wirtschaft

Laut Bundesregierung hat die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft identifiziert. Die Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe sei eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, heißt es weiter. 

Für das Informationssicherheitsmanagement in der Bundesverwaltung hätten sich „die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen“, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen, heißt es im Entwurf. 

Antrag der Grünen

„Deutschland resilient machen – Für einen ganzheitlichen Schutz unserer kritischen Infrastruktur“ lautet der Titel eines Antrags der Fraktion Bündnis 90/Die Grünen (21/2725 ). Darin forderte die Fraktion die Bundesregierung auf, den Entwurf für ein Kritis-Dachgesetz vorzulegen, das „einen effektiven und einheitlichen Kritis-Schutz schafft, der die EU-Vorgaben für die physische und digitale Sicherheit vereinheitlicht, Betreiber kritischer Anlagen künftig nur noch durch das Dachgesetz und die dazugehörige Rechtsverordnung bestimmt und Deutschland insbesondere durch das Schaffen von einheitlichen Mindeststandards, Risikoanalysen und ein Störungsmonitoring insgesamt widerstandsfähiger gegen Krisen und Angriffe macht“.

Dabei sollte die Bundesregierung dem Antrag zufolge sicherstellen, dass in dieser Gesetzesvorlage eine einheitliche Meldestelle für die Betreiber kritischer Anlagen geschaffen sowie das nationale IT-Sicherheitsrecht systematisiert wird und einheitliche IT-Sicherheitsstandards für Bund und Länder gelten. Auch sollten mit dem Entwurf nach dem Willen der Fraktion die öffentliche Verwaltung in den Schutzbereich aufgenommen und Bereichsausnahmen für die Bundesverwaltung gestrichen werden. Des Weiteren plädierte die Fraktion dafür, mit dem Gesetzentwurf unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Unabhängigkeit zu stärken und den Bundestag „in den Definitionsrahmen einer Kritischen Infrastruktur“ aufzunehmen.

Ferner drang die Fraktion darauf, dass „die zahlreichen kleinen und mittleren Unternehmen, die durch die Absenkung von Schwellenwerten neu unter den Kritis-Schutz fallen und die gesetzgeberischen Vorgaben umzusetzen haben, bestmöglich beraten werden“. Die Bundesregierung wurde dabei zugleich aufgefordert, ein „One-Stop-Shop“-Verfahren zu implementieren, bei dem sich der Betreiber nur an eine Aufsichtsbehörde wenden muss. (lbr/sto/hau/13.11.2025)

Zum Gesetzesvorhaben der Bundesregierung zur Stärkung der physischen Sicherheit kritischer Anlagen haben Experten eine Reihe von Einwänden. Das zeigte sich am Montag, 1. Dezember 2025, bei einer Anhörung im Innenausschuss. Es ging um einen Gesetzentwurf der Bundesregierung „zur Umsetzung der Richtlinie (EU) 2022 / 2557 und zur Stärkung der Resilienz kritischer Anlagen“ (21/2510) sowie um einen Antrag der Fraktion Bündnis 90/Die Grünen mit dem Titel „Deutschland resilient machen – Für einen ganzheitlichen Schutz unserer kritischen Infrastruktur“ (21/2725).

Kritik am Regierungsentwurf

Manuel 'HonkHase' Atug, Gründer und Sprecher der AG Kritis, meinte, auch mit dem aktuellen Entwurf zum Kritis-Dachgesetz bleibe Deutschland weiterhin peinlich hinter dem Ziel zurück, das sich aus den EU-Vorgaben zu defensiver physischer Resilienz und Cyberresilienz ergebe. Die Verantwortlichen für die Sicherheit in Deutschland scheinen nach seiner Ansicht mit Vorsatz keine Handlungen aus den hybriden Gefährdungen der letzten Monate ableiten zu wollen. Dem Bundesinnenministerium warf er vorsätzliche Arbeitsverweigerung und damit vorsätzliche Gefährdung von Menschenleben vor.

Alexander Averhoff vom Deutschen Städte- und Gemeindebund erklärte, Resilienzstrategien, umfassende Prävention und effektiver Bevölkerungsschutz seien große Herausforderungen für die Kommunen und die Betreiber kritischer Infrastruktur. Er sehe kritisch, dass im Gesetzentwurf aber „die Kommunen komplett raus“ seien. Die vorgesehenen Umsetzungsfristen seien den Kommunen zu kurz. Sie wünschten sich eine Verlängerung auf 24 Monate. Bund und Länder müssten den Kommunen angemessene finanzielle Mittel bereitstellen.

Ergänzung des IT-Sicherheitsrechts

Mathias Böswetter vom  Bundesverband der Energie- und Wasserwirtschaft (BDEW) befand, der Gesetzentwurf schaffe erstmals einen sektorenübergreifenden Rechtsrahmen für den physischen Schutz kritischer Anlagen und ergänze damit das bestehende IT-Sicherheitsrecht für die kritischen Infrastrukturen. Dieses Ziel begrüße sein Verband ausdrücklich. 

Insbesondere die wirtschaftliche Umsetzung der Maßnahmen sei entscheidend für eine nachhaltige Resilienzsteigerung bei den kritischen Infrastrukturen und eine gesamtgesellschaftliche Aufgabe. Wirtschaft und Gesellschaft seien auf eine wirtschaftliche Versorgung mit Energie und Wasser sowie eine gesicherte Abwasserentsorgung angewiesen. Der Bund dürfe die Betreiber bei der akuten Drohnenbedrohung nicht allein lassen. Drohnenabwehr müsse hoheitliche Aufgabe bleiben.

Transparenzpflichten neu bewerten

Sylvia Borcherding von der 50Hertz Transmission GmbH wies darauf hin, dass der aktuelle Rechtsrahmen die Betreiber kritischer Infrastruktur in zahlreichen Verfahren zur umfassenden Offenlegung von Planungs- und Infrastrukturunterlagen verpflichte. Häufig müssten detaillierte Karten, technische Parameter, Standortinformationen, Leitungs- und Trassenverläufe sowie Infrastrukturen öffentlich zugänglich gemacht werden. Hier bestehe ein dringender gesetzgeberischer Handlungsbedarf, der durch das Kritis-Gesetzgebungsvorhaben nicht angegangen werde. 

Die bestehenden Transparenzpflichten seien im Lichte der aktuellen Bedrohungslage neu zu bewerten und anzupassen. Sie wünsche sich klare Regelungen für Finanzierung und Kosten, so Borcherding. Sie forderte einen bundesweit einheitlichen Rahmen zur Anerkennung und Refinanzierung von Resilienzkosten.

Unterstützung von Industrie und Mittelstand

Prof. Dr. Clemens Gause vom Verband für Sicherheitstechnik legte dar, für große Konzerne sei die Umsetzung des Kritis-Dachgesetzes ein Kraftakt, für viele kleine und mittlere Unternehmen indes nicht umsetzbar, weil es an finanziellen Mitteln mangele. Diese Unternehmen bildeten aber das Rückgrat der deutschen Wirtschaft und seien zunehmend ein Schlüssel zur Inneren Sicherheit, auch im Operationsplan Deutschland der Bundeswehr. 

Sein Verband fordere die Bundesregierung und die Abgeordnete auf, klare Maßnahmen zur Unterstützung der Industrie und des Mittelstands zu ergreifen. Dazu zählte er neben zinsgünstigen KfW-Krediten gezielte Steuerentlastungen sowie direkte Förderprogramme. Er regte an, die Sicherheitswirtschaft als Wirtschaftsfaktor in Deutschland nach vorne zu bringen.

„Kleine und mittlere Betriebe nicht überlasten“ 

Dr. Jürgen Harrer von der Universität der Bundeswehr in München erklärte, der Gesetzentwurf sei mit den gesetzten Schwerpunkten grundsätzlich auf dem richtigen Weg. Neben den bereits vorhandenen Mindeststandards im Bereich der digitalen Sicherheit würden nun endlich auch Mindeststandards für den Bereich der physischen Sicherheit kritischer Infrastrukturen formuliert. 

Der Gesetzentwurf könne dazu beitragen, die Resilienz der Kritis-Betriebe und damit auch die Resilienz der Wertschöpfungs- und Lieferketten der deutschen Wirtschaft zu stärken. Harrer warf einen Blick auf die Kosten. Kleine und mittlere Betriebe dürften nicht überlastet werden. Unterstützungen etwa durch Sonderkredite oder Sonderabschreibungen hielt er für sinnvoll.

„Digitale und physische Sicherheit bündeln“

Prof. Dr. Dennis-Kenji Kipker (Universität Bremen), Research Director der cyberintelligence.institute GmbH in Frankfurt am Main, nannte den Entwurf des Kritis-Dachgesetzes einen wichtigen, aber bislang unvollständigen Schritt hin zu einem kohärenten Schutz kritischer Infrastruktur. So sei eine einheitliche und integrierte Kritis- und IT-Sicherheitsarchitektur vonnöten. Das nationale IT-Sicherheitsrecht sei bislang fragmentiert und vielfach nicht hinreichend aufeinander abgestimmt. 

Die Einbeziehung der öffentlichen Verwaltung in den Schutzbereich müsse konsequent fortgeführt werden. Die bisherige Ausklammerung weiter Teile der Bundesverwaltung sowie der Landes- und Kommunalverwaltungen führe zu systematischen Schutzlücken und einem uneinheitlichen Resilienzniveau. Er machte sich stark für ein Kritis-Dachgesetz, das digitale und physische Sicherheit bündele. Dadurch sollten Doppelstrukturen vermieden werden.

Schnittstellenprobleme und Doppelstrukturen

Kerstin Petretto vom Bundesverband der Deutschen Industrie (BDI) monierte, dass es keine Abgrenzung der Zuständigkeiten zwischen den beteiligten Aufsichtsbehörden gebe. Insbesondere die Rolle der Bundesländer bleibe unklar. Da sie auch abseits des Kritis-Dachgesetzes über Regelungskompetenzen verfügten, drohten Schnittstellenprobleme und Doppelstrukturen. 

Sie kritisierte, dass ein erheblicher Teil der Bundesverwaltung vom Gesetz ausgenommen und Landesverwaltungen erst gar nicht adressiert worden seien. Infrastrukturen im Kritis-Sektor Staat und Verwaltung unterlägen damit keinen Anforderungen. Sie seien jedoch wie Unternehmen physischen Risiken ausgesetzt. Petretto beanstandete, dass die neuen Bedrohungen nicht adressiert würden. Im Zusammenhang mit Drohnenüberflügen sprach sie von einer Rechtslücke.

Kommunale Finanzausstattung

Christian Stuffrein vom Deutschen Landkreistag, der auch für den Deutschen Städtetag sprach, begrüßte, dass verbindliche nationale Regeln für Betreiber kritischer Infrastrukturen geschaffen werden sollen. Problematisch sei, dass im Gesetzentwurf der Bundesregierung der Bereich Staat und Verwaltung im Geltungsbereich fehle. Er müsse in die Auflistung der Kritis-Sektoren aufgenommen werden. 

Die Städte und Landkreise forderten eine angemessene kommunale Finanzausstattung und laufende Finanzierung zur Stärkung der Resilienz. Eine Finanzierung durch Anhebung der Kommunalabgaben sei nicht sachgerecht. Der Schwellenwert von 500.000 versorgten Einwohnern sei viel zu hoch. Damit würde das Gesetz keine Anwendung für Einrichtungen in der deutlichen Mehrheit der Kommunen enthalten. Denkbar sei der vom Bundesrat eingebrachte Schwellenwert von 150.000 versorgten Einwohnern. (fla/01.12.2025)

Die im vergangenen Jahr beschlossene Krankenhausreform soll nach dem Willen der Bundesregierung an einigen Stellen nachjustiert werden. Ihr Gesetzentwurf „zur Anpassung der Krankenhausreform“ (Krankenhausreformanpassungsgesetz, 21/2512) wurde am Mittwoch, 12. November 2025, in erster Lesung im Bundestag beraten. Nach der Debatte wurde der Entwurf an den federführenden Gesundheitsausschuss zur weiteren Beratung überwiesen. 

Ebenfalls dem Gesundheitsausschuss überwiesen werden sollen ein Antrag der Fraktion Bündnis 90/Die Grünen mit dem Titel „Kindergesundheit stärken – Versorgung umfassend verbessern und nachhaltig finanzieren“ (21/2721) sowie ein Antrag der Linksfraktion mit dem Titel „Vorhaltungen der Krankenhäuser verlässlich finanzieren – Ausgliederung sämtlicher Personalkosten aus den Fallpauschalen“ (21/2707). 

Gesetzentwurf der Bundesregierung

Die Regelungen aus dem Krankenhausversorgungsverbesserungsgesetz (KHVVG) würden praxisgerecht fortentwickelt, heißt es im Entwurf für das Krankenhausreformanpassungsgesetz. Die grundsätzlichen Ziele der Reform – mehr Qualität und Effizienz in der Versorgung – sollen dabei gewahrt bleiben.

Zur Sicherstellung der Versorgung insbesondere im ländlichen Raum sind erweiterte Ausnahmen und Kooperationsmöglichkeiten für Krankenhäuser vorgesehen. Die Landesbehörden sollen künftig im Einvernehmen mit den Krankenkassen darüber entscheiden können, ob Ausnahmen erforderlich sind. Dabei sollen sie nicht mehr an die ursprünglich vorgesehenen Erreichbarkeitsvorgaben gebunden sein.

Leistungsgruppen sollen von 65 auf 61 reduziert werden

Für abrechnungsfähige Leistungen der Krankenhäuser gelten weiterhin Qualitätskriterien mit Mindestanforderungen. Jedoch werden die entsprechenden Leistungsgruppen von 65 auf 61 reduziert. Zudem sind Ausnahmeregelungen für die Zuweisung von Leistungsgruppen vorgesehen. So werden die Regelungen zur Förderung der Spezialisierung in der Onkochirurgie angepasst. Der Gemeinsame Bundesausschuss (G-BA) kann künftig für einzelne Indikationsbereiche eine niedrigere Fallzahlgrenze für die Auswahl von Krankenhäusern festlegen, die onkochirurgische Leistungen erbringen. Damit soll eine flächendeckende Versorgung ermöglicht werden.

Die Einführung der sogenannten Vorhaltevergütung wird um ein Jahr verschoben. Die mit der Krankenhausreform eingeführten Zuschläge und Förderbeträge sollen ebenfalls ein Jahr später in Kraft treten. Die geltenden Zuschläge für die Pädiatrie und Geburtshilfe werden in der Folge um ein Jahr verlängert. Die Jahre 2026 und 2027 werden, was die Vorhaltevergütung betrifft, als budgetneutral eingestuft. Die Konvergenzphase soll 2028 und 2029 folgen. Ab 2030 soll die Vorhaltevergütung voll finanzwirksam werden.

Bundesmittel aus dem Sondervermögen Infrastruktur und Klimaneutralität

Geändert und erweitert wird zudem die Finanzierung des Bundesanteils am Krankenhaustransformationsfonds (KHTF), mit dem über zehn Jahre (2026 bis 2035) der Krankenhausstrukturwandel abgesichert werden soll. Vorgesehen waren 50 Milliarden Euro, die jeweils zur Hälfte von Bund und Ländern getragen werden sollten. Der Bundesanteil sollte dabei aus Mitteln der Gesetzlichen Krankenversicherung (GKV) gespeist werden.

Nun sind für den Fonds Bundesmittel vorgesehen aus dem Sondervermögen Infrastruktur und Klimaneutralität. Um die Länder zu entlasten, will der Bund auch die geplanten Jahrestranchen von bis zu 2,5 Milliarden Euro aufstocken. Von 2026 bis 2029 sollen jeweils 3,5 Milliarden Euro gezahlt werden, 2030 bis 2035 jeweils 2,5 Milliarden Euro. Insgesamt erhöht der Bund damit seine Beteiligung um vier Milliarden auf 29 Milliarden Euro. Aus den Fondsmitteln sollen künftig auch Universitätskliniken gefördert werden können. (pk/hau/12.11.2025)

Zeit: Mittwoch, 17. Dezember 2025, 17.30 bis 19.30 Uhr
Ort: Berlin, Marie-Elisabeth-Lüders-Haus, Sitzungssaal 3 101

Gesundheitsverbände unterstützen im Grundsatz das Vorhaben der Bundesregierung, die Krankenhausreform „praxisgerecht“ fortzuentwickeln, fordern aber Nachbesserungen an wichtigen Stellen des Krankenhausreformanpassungsgesetzes (KHAG) (21/2512, 21/3056). So werden beispielsweise neue Vorgaben für die Kooperation von Krankenhäusern gefordert und eine veränderte Finanzierungssystematik. Die Sachverständigen äußerten sich am Mittwochabend, 17. Dezember 2025, in einer Anhörung des Gesundheitsausschusses über den Gesetzentwurf sowie in schriftlichen Stellungnahmen.

„Verwässerung der Krankenhausreform“ befürchtet

Der Spitzenverband der Gesetzlichen Krankenversicherung (GKV) warnte nachdrücklich vor einer Verwässerung der Krankenhausreform. Mit dem neuen Gesetz drohten die angestrebten Ziele nicht erreicht zu werden. Vor allem die weitreichenden Ausnahmeregelungen für die Länder eröffneten die Möglichkeit, Qualitätskriterien auszuhebeln. Kooperationen zwischen Krankenhäusern und mit niedergelassenen Ärzten könnten grundsätzlich sinnvoll sein. Der Entwurf öffne jedoch die Tür für nahezu unbegrenzte Kooperationen ohne hinreichende Qualitätsprüfungen. Was den Krankenhaustransformationsfonds (KHTF) angehe, fehle es an klaren Vorgaben für eine zielgerichtete und priorisierte Mittelvergabe. Damit drohe eine Verteilung nach dem Gießkannenprinzip.

Die Ärztegewerkschaft Marburger Bund erklärte, enttäuschend sei, dass der Entwurf bei der Vorhaltevergütung nur eine Fristverlängerung vorsehe. Solange die Vorhaltevergütung fallzahlabhängig sei, bleibe sie in ihrer Konstruktion fehlerhaft. Durch die Komplexität der Abrechnung entstehe eine erhebliche zusätzliche Dokumentationslast. Erforderlich sei eine grundlegende Anpassung der Finanzierungssystematik. Auch die Mindestvorhaltezahlen für die Leistungsgruppen entsprächen keiner wissenschaftlichen Evidenz.

DKG: Vorhaltefinanzierung ist problematisch

Dringenden Nachbesserungsbedarf sieht auch die Deutsche Krankenhausgesellschaft (DKG), die darauf hinwies, dass der Gesetzentwurf aus ihrer Sicht im Bundesrat zustimmungsbedürftig ist. Das KHAG greife wie das vorherige Krankenhausversorgungsverbesserungsgesetzes (KHVVG) massiv in die Krankenhausplanung ein, die Ländersache sei. Der Verband hält zudem die Vorhaltefinanzierung für problematisch. Die Verschiebung sei keine Lösung. Die Vorhaltefinanzierung sollte vollständig ausgesetzt und ein fallzahlunabhängiges Alternativkonzept entwickelt werden. In ihrer jetzigen Ausgestaltung sei die Vorhaltefinanzierung ungeeignet, um die wirtschaftliche Situation bedarfsnotwendiger Krankenhäuser nachhaltig zu sichern. 

Unverzichtbar sei, mit der neuen Krankenhausplanung die Besonderheiten von Fachkliniken zu berücksichtigen, damit sie in vollem Umfang an der Krankenhausversorgung teilnehmen könnten. Grundlegenden Nachbesserungsbedarf weise zudem der Leistungsgruppenkatalog mit den Qualitätskriterien auf.

Zentralisierung und Spezialisierung der Krankenhausversorgung 

Nach Ansicht des AOK-Bundesverbandes können die geplanten Änderungen die Konstruktionsfehler nicht beseitigen. Angesichts des Fachkräftemangels müsse die Zentralisierung und Spezialisierung der Krankenhausversorgung weiter das Ziel sein, das nicht durch Ausnahmeregelungen ausgehebelt werden dürfe. Der Verband forderte eine fallzahlunabhängige Vorhaltefinanzierung und dazu die Einführung einer bedarfsorientierten Finanzierung auf Basis von Planfallzahlen. 

Die Verschiebung der Vorhaltefinanzierung sollte genutzt werden, um ein Bedarfsbemessungsinstrument zu entwickeln. Das jetzt vorgesehene System auf Basis von Ist-Fallzahlen berge zu viele Fehlanreize und könne zu ökonomisch motivierten Behandlungsentscheidungen führen. Ferner müssten Webfehler bei der Ausgestaltung der sektorenübergreifenden Versorgungseinrichtungen behoben werden. So sollte auf eine verpflichtende Vorhaltung von stationären Leistungen verzichtet werden.

Situation von Kinderabteilungen und regionale Besonderheiten

Die Deutsche Gesellschaft für Kinder- und Jugendmedizin (DGKJ) zeigte sich irritiert über die ersatzlose Streichung der Leistungsgruppe 47 „Spezielle Kinder- und Jugendmedizin“. In einem Fachgutachten sei für die Erhaltung der Leistungsgruppe plädiert worden, um die spezialärztliche Versorgung von schwer und chronisch kranken Kindern und Jugendlichen sicherzustellen. In den vergangenen Jahren seien bereits viele Kinderabteilungen geschlossen worden. Anders als in der Erwachsenenmedizin bestehe somit kein weiterer Konzentrationsbedarf.

Der Deutsche Caritasverband und die Katholischen Krankenhäuser mahnten mehr Rücksicht auf die Belange kleiner Versorger an. Ohne eine stärkere Berücksichtigung regionaler Besonderheiten, der Versorgungsrealitäten sowie einer Verzahnung der Krankenhausreform mit der Notfallreform und einer erforderlichen Krisen-Resilienz-Strategie für Krankenhäuser drohe ein struktureller Abbau von Krankenhausangeboten, der die flächendeckende Versorgung gefährde. Die Verbände bemängelten unter anderem unzureichende Ausnahmereglungen, starre Strukturvorgaben sowie eine untaugliche Vorhaltevergütung.

Warnung vor Abschaffung von Leistungsgruppen

In der Anhörung machten mehrere Sachverständige deutlich, dass aus ihrer Sicht an den Qualitätsvorgaben im Wesentlichen festgehalten werden sollte. Kritisiert wurden zu viele Ausnahmen und der Verzicht auf bestimmte Spezialkompetenzen in Leistungsgruppen. So kritisierte der Einzelsachverständige Prof. Dr. Christian Karagiannidis von der Universität Witten/Herdecke, die nunmehr geplanten Ausnahmen konterkarierten das Ziel der Reform, zu mehr Qualität und Patientensicherheit zu kommen. 

Er warnte nachdrücklich vor der Abschaffung von Leistungsgruppen in den Bereichen Kinder- und Jugendmedizin sowie Infektiologie. Damit werde das fatale Signal ausgesendet, dass diese Fachrichtungen künftig keine Rolle mehr spielten. Auch die geplante Ambulantisierung stoße bei schwierigen Fällen in der Praxis an ihre Grenzen. (pk/17.12.2025)

Auf die Umsetzung von EU-Vorgaben zum Datenzugang und zur Datennutzung zielen zwei Gesetzentwürfe der Bundesregierung ab, die der Bundestag am Freitag, 16. Januar 2026, erstmals beraten hat. Sowohl der Gesetzentwurf „zur Durchführung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828“ (21/2998, 21/3508) als auch der angekündigte „Entwurf eines Gesetzes zur Durchführung der EU-Verordnung über europäische Daten-Governance“ (Daten-Governance-Gesetz, 21/3544) wurden im Anschluss an die einstündige Debatte in die Ausschüsse überwiesen überwiesen. Bei den weiteren Beratungen übernimmt der Ausschuss für Digitales und Staatsmodernisierung die Federführung.

Minister: Daten sind die Grundlage für Wohlstand

Digitalminister Karsten Wildberger (CDU) betonte, dass das Heben von Datenschätzen für Industrie, Mittelstand, aber auch Verbraucher ein großer Gewinn sei. „Daten sind die Grundlage für Wohlstand, Wachstum und Jobs“, sagte Wildberger. Viel zu oft lägen sie dort, wo sie entstehen – hinter einer Wand, betonte er. Genau hier setzten die EU-Verordnungen an, die Vertrauen und Ordnung schafften, für mehr Fairness beim Zugriff sorgten und Kooperationen einfacher machten, sagte der Minister mit Blick auf vernetzte Produkte, Maschinen und auch die Cloud. 

Im Vordergrund stünden klare Zuständigkeiten und die Beratung von Unternehmen und öffentlichen Stellen. „Vertrauen ist die Währung der Datenökonomie“, betonte er und verwies darauf, dass Bürokratie nicht der Preis für Innovation sein dürfe. Die beiden nationalen Gesetzentwürfe übersetzten daher die europäischen Vorgaben „innovationsfreundlich und ohne Goldplating“. Wildberger kündigte an, auch die Umsetzung in der Praxis im Auge behalten zu wollen.

Union: Ein fairer Zugang ist entscheidend

Zuspruch zum Vorhaben kam auch von Ronja Kemmer (CDU/CSU): Die Bedeutung der Nutzung von Daten sei unumstritten. 

Die geplanten Gesetze verbesserten die Grundlage für eine moderne und souveräne Datenökonomie in Deutschland und Europa, sagte Kemmer. Entscheidend dabei seien ein fairer Zugang, klare Verantwortung und praktikable Strukturen.

AfD: Regelungen schaffen neue Bürokratie 

Scharfe Kritik an den EU-Vorgaben übte Prof. Dr.-Ing. Michael Kaufmann (AfD). Er sprach von einem „Brüsseler Moloch“ und kritisierte, dass die EU-Verordnungen längst geltendes Rechte seien und die nationalen Parlamente die EU-Vorlagen nur noch abnickten. „Die Souveränität gehört zurück in die Hände der Nationalstaaten und der Bürger“, sagte Kaufmann.

 Er sehe unter anderem, dass der Data Act es Behörden erlaube, den Zugang zu Daten zu erzwingen - etwa bei Notlagen wie Naturkatastrophen oder Pandemien. „Spätestens hier sollten bei jedem freiheitsliebenden Bürger die Alarmglocken schrillen“, warnte er. Die geplanten Regelungen schafften zudem neue Bürokratie, sorgten für erhebliche Kosten für die Steuerzahler und entzögen der Wirtschaft dringend benötigte Fachkräfte, kritisierte er.

SPD: Ein gutes digitalpolitisches Regelwerk

Dr. Carolin Wagner (SPD) sagte in Richtung AfD, diese verweigere sich der Aufgabe, eigene Vorschläge zu entwickeln und ziehe stattdessen „Horrorszenarien“ auf. Die Datengesetze nannte sie ein „zentrales Versprechen Europas“. Der Data Act sei ein gutes digitalpolitisches Regelwerk, das Datenschutz, Innovation und Wettbewerb in ein sorgfältiges Gleichgewicht bringe. Es dürfe nicht vergessen werden, wie hart um die europäischen Regelwerke gerungen wurde, erinnerte Wagner. 

Ihre Fraktion sei bereit für Harmonisierungen und Klarstellungen in den europäischen Regelwerken. Zentrale Schutzmaßnahmen und digitale Grundrechte dürften jedoch nicht relativiert werden, sagte sie mit Blick auf den digitalen Omnibus. Wagner regte an, im parlamentarischen Verfahren darauf zu achten, dass die Bundesnetzagentur während der gesamten Dauer eines Beschwerdeverfahren als Ansprechpartner gelte.

Grüne: Datennutzung ist geopolitische Machtfrage

Jeanne Dillschneider (Bündnis 90/Die Grünen) bezeichnete die Nutzung von Daten als „eine große geopolitische Machtfrage unserer Zeit.“ Das beginne bei Datenkabeln in der Tiefsee, gehe über die Satellitenkommunikation im All und betreffe aber auch digitale Daten, die eine vernetzte Insulinpumpe oder ein Blutdruckmesser erheben. „Wir erzeugen unaufhörlich Daten - in Autos, Smartphones oder auch Smart Homes“, sagte die Digitalpolitikerin und nannte diese „Machtinstrumente“. 

Ihre Verfügbarkeit und ihr Schutz seien daher nicht nur eine Frage der Regulierung, sondern auch die eines starken europäischen Marktes, betonte sie. „Der Data Act gibt uns Menschen ein Stück Entscheidungsmacht über erzeugte Daten zurück“, sagte sie weiter. Mit Blick auf die Gesetzentwürfe kritisierte Dillschneider, dass die nationale Durchführung darüber entscheide, ob diese den Bedarfen der Unternehmen und der Gesellschaft gerecht werden. So brauche die Bundesnetzagentur ausreichend Ressourcen. Die bisher veranschlagten Mittel halte sie nicht für ausreichend.

Linke fordert Transparenz und Kontrolle

Sonja Lemke (Die Linke) kritisierte, dass der Data Act rein wirtschaftlich gedacht sei und Nutzerinnen und Nutzern nicht das Recht gebe, vollständig über diese Daten zu verfügen. So könnten sie die Hersteller nicht von der Erhebung der Daten ausschließen und diese nur bei sich verarbeiten lassen. „So bleiben die meisten IoT-Geräte kleine Spione im Wohnzimmer“, sagte Lemke. 

Hinsichtlich des Data Governance Acts monierte sie, dass ein Rechtsanspruch auf Bereitstellung bestimmter Daten als Open Data fehle. Ein solcher könne dafür sorgen, dass Transparenz gelebt werde. Hier bremse die schwarz-rote Koalition, die kein Interesse an Transparenz und öffentlicher Kontrolle habe, kritisierte Lemke. Auch sie wies darauf hin, dass die Bundesnetzagentur immer mehr Aufgaben zugewiesen bekomme, die entsprechenden Stellen aber nicht im Haushalt hinterlegt seien. 

Erster Gesetzentwurf der Bundesregierung 

Der Entwurf für das Data-Act-Durchführungsgesetz (21/2998) dient der Umsetzung der EU-Verordnung 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung. Der Data Act enthält Bestimmungen mit dem Ziel, in unterschiedlichen Lebensbereichen Daten mehr und besser nutzen zu können. Er ist EU-weit am 12. September 2025 in großen Teilen direkt anwendbares Recht geworden, schreibt die Bundesregierung im Entwurf.

Ziel des Gesetzes sei es, die EU-Vorgaben durch nationale Verfahrens-, Zuständigkeits- und Sanktionsregelungen zu ergänzen. Die Datenverordnung schaffe einen harmonisierten Rahmen dafür, „wer unter welchen Bedingungen berechtigt ist, Produktdaten oder verbundene Dienstdaten zu nutzen“, heißt es darin weiter. Nationale Vorgaben würden insbesondere für die behördliche Aufsicht, die Zusammenarbeit der zuständigen Stellen sowie die Durchsetzung des Rechtsrahmens benötigt.

Bundesnetzagentur als zuständige Behörde benannt

Wie die Bundesregierung weiter ausführt, soll die Bundesnetzagentur als zuständige Behörde benannt werden. Mit Artikel 1 des Gesetzes werde sie zur zentralen Anlaufstelle für Fragen der Durchführung, Aufsicht und Durchsetzung.

Die Behörde soll unter anderem Beschwerden bearbeiten, Ablehnungen von Datenzugangsgesuchen an die EU-Kommission melden, Streitbeilegungsstellen zulassen und die Weitergabe von Daten an Forschungseinrichtungen fördern. Der Entwurf regelt zudem die Zusammenarbeit der Bundesnetzagentur mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie mit sektoralen Behörden. Vorgesehen sind detaillierte Verfahrensregelungen: Die Bundesnetzagentur soll unter anderem Ermittlungen führen, Auskünfte verlangen, vorläufige Anordnungen treffen und Zwangsgelder bis zu 500.000 Euro verhängen können.

Stellungnahme des Bundesrates

Der Bundesrat fordert in seiner Stellungnahme (21/3508) zu dem Gesetzentwurf eine Reihe von Änderungen. Seine Vorschläge betreffen unter anderem eine stärkere föderale Zuständigkeitsverteilung, Konkretisierungen bei der Datenschutzaufsicht und eine bessere Ausstattung der Bundesnetzagentur. Die vorgeschlagenen Änderungen stoßen bei der Bundesregierung überwiegend auf Ablehnung, einzelne Vorschläge will diese prüfen.

Im Zentrum steht die vorgesehene Zuständigkeit der Bundesnetzagentur für die Prüfung von Datenzugangsverlangen auch dann, wenn Landesbehörden betroffen sind. Der Bundesrat fordert, diese Zuständigkeit ausdrücklich auszunehmen. Andernfalls widerspräche die Regelung föderalen Ordnungsprinzipien, da Landesbehörden der Kontrolle durch entsprechend benannte Stellen der Länder unterliegen müssten. Die Bundesregierung erläutert hierzu, die Bündelung der Aufgaben bei der Bundesnetzagentur diene der Effizienz; den angesprochenen Teilaspekt wolle sie jedoch prüfen.

Länderkammer warnt vor einer Doppelaufsicht

Weiter wendet sich der Bundesrat in der Stellungnahme gegen die geplante alleinige Zuständigkeit der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bei der Überwachung personenbezogener Daten. Die Länderkammer warnt vor einer Doppelaufsicht, parallelen Gerichtsverfahren und divergierenden Entscheidungen. Die Bundesregierung stimmt dem Vorschlag in ihrer Gegenäußerung nicht zu und hält dem entgegen, dass die Datenverordnung nationale Zuständigkeitsregelungen erlaube und eine Sonderzuständigkeit des Bundes zur raschen fachlichen Klärung beitrage.

Darüber hinaus regt der Bundesrat ergänzende Regelungen zur Zusammenarbeit mit den Datenschutzaufsichtsbehörden der Länder an sowie die Streichung der vorgesehenen Gesamtentscheidung der Bundesnetzagentur, um effektiven Rechtsschutz zu gewährleisten. Beide Forderungen weist die Bundesregierung zurück und verweist unter anderem auf EU-rechtliche Vorgaben.

Schließlich fordert der Bundesrat eine ausreichende Mittelausstattung der Bundesnetzagentur. Die Bundesregierung führt aus, die Bedarfe seien neu bewertet worden; ein höherer Ressourcenbedarf werde gegebenenfalls in künftigen Haushaltsverfahren geprüft.

Zweiter Gesetzentwurf der Bundesregierung 

Mit der EU-Verordnung 2022/868 vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der EU-Verordnung 2018/1724 (Daten-Governance-Rechtsakt) seien einheitliche Vorschriften geschaffen worden, um die Entwicklung eines Datenbinnenmarktes und einer auf den Menschen ausgerichtete, vertrauenswürdige und sichere Datengesellschaft und -wirtschaft voranzutreiben, schreibt die Bundesregierung. Um die Verpflichtungen aus dem Daten-Governance-Rechtsakt vollständig und bundeseinheitlich zu erfüllen, seien gesetzliche Durchführungsbestimmungen erforderlich, heißt es weiter. 

Wie es im Entwurf des Daten-Governance-Gesetzes (21/3544) heißt, gilt der Daten-Governance-Rechtsakt seit dem 24. September 2023 unmittelbar in allen Mitgliedstaaten. Ziel des Gesetzes sei es, einen nationalen Rahmen für die Weiterverwendung geschützter Daten der öffentlichen Hand, für Datenvermittlungsdienste und für datenaltruistische Organisationen zu schaffen. Als zuständige Behörden werden die Bundesnetzagentur sowie das Statistische Bundesamt festgelegt. Die Netzagentur soll unter anderem für die Anmeldung, Überwachung und Beaufsichtigung von Datenvermittlungsdiensten sowie für die Registrierung und Kontrolle datenaltruistischer Organisationen zuständig sein. Das Statistische Bundesamt wird als zentrale Informationsstelle benannt und soll öffentliche Stellen bei der Entscheidung über die Weiterverwendung geschützter Daten unterstützen.

Behördenkooperation und elektronische Kommunikation

Im Entwurf enthalten sind zudem umfangreiche Regelungen zur behördlichen Zusammenarbeit, zur elektronischen Kommunikation sowie zu Gebühren und Bußgeldern. Ergänzend enthalten sind Bußgeldvorschriften, mit denen Verstöße gegen den Daten-Governance-Rechtsakt sanktioniert werden können. Die Geldbußen könnten je nach Tatbestand bis zu 500.000 Euro betragen, führt die Bundesregierung aus.

Zu den finanziellen Auswirkungen schreibt die Bundesregierung, dass bei der Bundesnetzagentur jährliche Mehrkosten von rund 1,13 Millionen Euro entstünden, unter anderem für zusätzliches Personal und Sachaufwand. Für das Statistische Bundesamt werde ein jährlicher Personalaufwand von rund 5,1 Millionen Euro sowie ein einmaliger Umstellungsaufwand von rund 14,6 Millionen Euro für die Jahre 2026 bis 2029 veranschlagt. Für die Verwaltung ändere sich der jährliche Erfüllungsaufwand um rund acht Millionen Euro.(lbr/16.01.2026)

Zeit: Mittwoch, 28. Januar 2026, 13.40 bis 15.15 Uhr
Ort: Berlin, Marie-Elisabeth-Lüders-Haus, Sitzungssaal 3.101

Der Entwurf für das Data-Act-Durchführungsgesetz (21/2998, 21/3508) ist bei Sachverständigen, die am Mittwoch, 28. Januar 2026, zu einer öffentlichen Anhörung des Ausschusses für Digitales und Staatsmodernisierung geladenen waren, auf Zuspruch wie auf Detailkritik gestoßen. Kritik wurde insbesondere an unklaren Begriffen und Rechtsunsicherheiten, aber auch an strukturellen Schwächen in der Aufsichtsarchitektur und der Kohärenz des Datenschutzes geäußert. 

Der Gesetzentwurf dient der Umsetzung der EU-Verordnung 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung. Der Data Act enthält Bestimmungen mit dem Ziel, in unterschiedlichen Lebensbereichen Daten mehr und besser nutzen zu können. Ziel des Gesetzes ist es laut Bundesregierung, die EU-Vorgaben durch nationale Verfahrens-, Zuständigkeits- und Sanktionsregelungen zu ergänzen. So soll die Bundesnetzagentur (BNetzA) als zuständige Behörde benannt und zur zentralen Anlaufstelle für Fragen der Durchführung, Aufsicht und Durchsetzung werden. Der Entwurf regelt zudem die Zusammenarbeit der BNetzA mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie mit sektoralen Behörden. 

Auswirkungen auf die deutsche Wirtschaft

Prof. Dr. David Bomhard von der Aitava Rechtsanwaltsgesellschaft (auf Vorschlag der Fraktion CDU/CSU eingeladen) betonte in seiner Stellungnahme, dass der Gesetzgeber vor der Herausforderung stehe, die negativen Auswirkungen des Data Acts auf die deutsche Wirtschaft abzufedern. Es sei aktuell oft unklar, wie der Data Act auszulegen ist: Der Gesetzgeber verlange mehr Verbindlichkeit, als er selbst schaffe, sagte Bomhard. Notwendig seien vor allem eine Behörde, die mit Augenmaß tätig werde, sowie verbindliche Leitlinien. Er regte an, dass der Gesetzgeber die BNetzA verpflichten könne, Praxisleitfäden zu entwickeln. 

Bomhard verwies auch auf offene Punkte und Rechtsunsicherheiten, etwa bei der Anordnung von Maßnahmen durch die Bundesnetzagentur, um die Einhaltung des Data Act sicherzustellen oder bei der Festsetzung von Zwangsgeldern. So brauche es eine Begrenzung im Ordnungswidrigkeiten-Katalog auf ausgewählte Pflichten, die für die Schutzzwecke des Data Acts essenziell seien.

„Ermöglichung statt Sanktionierung“

Dr. Michael Dose (BDI, eingeladen auf Vorschlag der Unionsfraktion) betonte, eine zeitnahe Verabschiedung sei entscheidend, damit betroffenen Akteuren notwendige behördliche Ansprechpartner bei der praktischen Implementierung der neuen Vorgaben zur Verfügung stünden. Im Vordergrund stehen müsse die Beratung und Unterstützung der Anwendungspraxis. So müsse aus seiner Sicht das Motto lauten: „Ermöglichung statt Sanktionierung.“ Die Sonderzuständigkeit der BfDI für Datenschutzfragen sei richtig, sagte Dose weiter. Er formulierte den Wunsch, den Fokus darauf zu richten, wie eine starke Datenwirtschaft in Europa aufgebaut werden könne.

Auch Oliver Süme vom Verband der Internetwirtschaft (eingeladen auf Vorschlag der SPD-Fraktion) berichtete von einer „schwierigen Gemengelage“ in der Praxis. Je klarer die Zuständigkeiten, je kohärenter die Auslegung des Data Acts, umso einfacher sei es für die Wirtschaft, in der Praxis damit umzugehen, sagte Süme. Es gebe zudem viele branchenspezifischen Unsicherheiten, die Know-how und Personal erforderten. Daher sei es unerlässlich, dass die BNetzA finanziell und personell so ausgestattet werde, dass sie ihre neuen Aufgaben wirksam erfüllen könne, betonte er.

Rechtliche und praktische Fragen

Florian Glatzner vom Verbraucherzentrale Bundesverband (eingeladen auf Vorschlag der Fraktion Die Linke) wies auf rechtliche und praktische Fragen hin: In der Praxis sei eine trennscharfe Abgrenzung zwischen Datenverarbeitungen im Kontext des Data Acts und sonstigen Datenverarbeitungen nach der DSGVO häufig nicht möglich. Eine mögliche Folge für Verbraucher sei, dass es einerseits komplizierter und andererseits zunehmend unklarer werde, an wen sie sich in welchem Fall wenden können. In seiner Stellungnahme betonte der Verband zudem, dass die vorgesehene Rolle der BNetzA als zentrale Anlaufstelle tragfähig ausgestaltet werden müsse. Das Beschwerdeverfahren müsse klar, transparent und verbraucherorientiert ausgestaltet werden. Dazu gehöre etwa, dass Beschwerdeführer über wesentliche Verfahrensschritte von der BNetzA unterrichtet würden. 

Prof. Dr. Boris Hollas (HTW Dresden, auf Vorschlag der Fraktion der AfD) sprach von „zahlreichen unbestimmten Rechtsbegriffen“ und von zusätzlicher Bürokratie, die entstehe. Die Abgrenzung, welche Produkte als vernetzte Produkte anzusehen sind, sei zudem schwierig. Hollas wies auf die Gefahr hin, dass Produkte gar nicht - oder verzögert - auf den Markt gelangten. Er plädierte dafür, das Gesetz deutlich zu vereinfachen. Mindestens brauche es ein zweijähriges Moratorium bei der Anwendung der Bußgeldvorschriften, um eine Rechtsprechung zur Datenverordnung zu entwickeln und Unternehmen die Möglichkeit zu geben, sich daran anzupassen. Angesichts der Zuständigkeit der BfDI sowie der Landesdatenschutzbehörden in Bezug auf personenbezogene Daten sprach sich Hollas dafür aus, diesen Behörden auch die Zuständigkeit für die Anwendung und Durchsetzung der Datenverordnung zu übertragen. Die Zuständigkeit der BNetzA könne dazu führen, dass sich mehrere Behörden mit dem gleichen Sachverhalt befassten und es zu Kompetenzstreitigkeiten komme.

Fragen zur Vertragsrechtsdurchsetzung

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann (eingeladen auf Vorschlag der Grünen-Fraktion), betonte, der Entwurf werde weder der verfassungsrechtlichen Zuständigkeitsverteilung zwischen Bund und Ländern noch den Vorgaben des Artikels 37 des Data Acts vollständig gerecht. Ausschließlich die Datenschutzaufsichtsbehörden verfügten über die fachrechtliche Expertise zur abschließenden Bewertung, auch der Datenzugangsansprüche, betonte Kugelmann. Es sei zudem nicht richtig, die Komplexität im Rahmen von Durchführungsgesetzen noch zu erhöhen. Auch Kugelmann wies darauf hin, dass der Entwurf zu Abgrenzungsschwierigkeiten, weiterer Zersplitterung und zu doppelten beziehungsweise dreifachen Aufsichtszuständigkeiten für einen zusammenhängenden Sachverhalt führen könne. 

Der Sachverständige Prof. Dr. Martin Schmidt-Kessel (Universität Bayreuth, auf Vorschlag der Fraktion CDU/CSU eingeladen) begrüßte hingegen die Bestimmung der BNetzA als zuständige Behörde. Es handele sich um die erfahrenste Behörde im Bereich allgemeiner Vertragsrechtsdurchsetzung. Der Data Act liege klar „auf der Linie des BGB“, sagte Schmidt-Kessel weiter. Er wies zudem darauf, dass neue Geschäftsmodelle grundsätzlich mit Rechtsunsicherheit einhergingen. Bußgeldrechtlich müsse mit Augenmaß vorgegangen werden, betonte er weiter.

Experte: Fragmentierung der Datenschutzaufsicht möglich

Auch Prof. Dr. Herbert Zech vom Weizenbaum-Institut (auf Vorschlag der SPD-Fraktion) betonte, das Durchführungsgesetz dürfe nicht zu einer weiteren Fragmentierung der Datenschutzaufsicht führen. Das Ziel einer einheitlichen Anwendung datenschutzrechtlicher Maßstäbe sei ausdrücklich zu begrüßen. Faktisch entstehe jedoch eine zusätzliche, sektorale Datenschutzaufsicht auf Bundesebene. Gleichgelagerte Datenschutzfragen könnten damit, je nach Bezug zum Data Act, unterschiedlich beantwortet werden. Eine tragfähige Lösung liege in der „strukturierten Koordination“. In puncto Sanktionskompetenzen sehe er die objektive Zuständigkeit von zwei Bundesbehörden für die Verfolgung von Ordnungswidrigkeiten kritisch. Hier sei eine klarere Abgrenzung oder ein verbindlicher Koordinierungsmechanismus sinnvoll, sagte Zech.

Der Präsident der Bundesnetzagentur, Klaus Müller, berichtete von positivem Feedback aus dem Markt zum bisherigen Informationsangebot seiner Behörde. Die BNetzA plane bereits Leitlinien, um Unklarheiten zu beseitigen. Ziel sei es, dass Daten möglichst frei fließen können, betonte Müller. 

Andreas Hartl, Stellvertreter der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, verwies darauf, dass eine gute Zusammenarbeit zwischen BNetzA und BfDI entscheidend sei. Der aktuelle Entwurf stelle „eine gute Grundlage“ für eine möglichst gute Durchsetzung. Man tue alles, um schnell vorbereitet zu sein und gut mit den Landesdatenschutzbehörden zusammenzuarbeiten, betonte er. (lbr/28.01.2026)