Das Jahr 2025 markierte den Beginn der operativen Umsetzung bereits beschlossener Gesetzgebung und stellte damit die Weichen im (europäischen) Datenschutzrecht neu. Die Verabschiedung der KI-Verordnung die Umsetzung der NIS2-Richtlinie sowie die Einführung der elektronischen Gesundheitsakte gestaltete die rechtliche Situation im Bereich des Datenschutzes in vielfältiger Hinsicht um und stellte Unternehmen, Behörden und die Regierung vor neue Herausforderungen.
Gleichzeitig war 2025 von einer politischen Grundsatzdebatte im Bereich des Datenschutzes geprägt: Im Fokus stand dabei der Konflikt zwischen der Wettbewerbsfähigkeit und der Regulierungstiefe zum Schutz (personenbezogener) Daten. Hierauf folgte die Frage, ob die EU inhaltlich nachjustieren muss. In diesem Kontext gewann der sogenannte Digital-Omnibus an Bedeutung. Für den deutschen Rechtraum kündigte die Bundesregierung noch im Dezember eine Gesetzesinitiative zur „Vereinfachungen im Datenschutzrecht“ an.
Das Jahr 2026 lässt daher auf spannende Entwicklungen im Bereich des Datenschutzrechtes blicken:
EU-Datenverordnung (Data Act)
Der Data Act erreicht seine zweite Anwendungsstufe. Ab September 2026 gelten zusätzliche Pflichten für neu in Verkehr gebrachte, vernetzte Produkte und digitale Dienste, z.B. im Hinblick auf den Zugang zu Nutzungsdaten. Das betrifft nicht nur datengetriebene Geschäftsmodelle, sondern auch Produktdesign, Vertragsgestaltung und den Schutz von Geschäftsgeheimnissen.
KI-Verordnung (AI Act)
Bereits seit 2025 gelten etwa die allgemeinen Bestimmungen und Verbote sowie einzelne Transparenzpflichten der KI-Verordnung. Mit dem 2. August 2026 tritt diese nun in Gänze in Kraft und damit auch die umfangreichen Governance-, Dokumentations- und Risikomanagementpflichten für Unternehmen, die Hoch-Risiko-KI-Systeme nutzen.
Allerdings ist derzeit offen, ob diese Pflichten tatsächlich wie geplant ab 2026 Anwendung finden oder ob sie, wie im Rahmen des Digital-Omnibus diskutiert, erst ab 2027 greifen. Für Unternehmen bedeutet dies eine Phase erheblicher Rechtsunsicherheit, in der strategische KI-Compliance dennoch vorbereitet werden muss.
Der KINAST „KI-Beauftragte“
Ihre Lösung für rechtssichere KI-Compliance
NIS2-Richtlinie und -Umsetzungsgesetz
Nach dem Inkrafttreten des NIS2-Umsetzungsgesetzes Ende 2025 wird 2026 zum Jahr der operativen Umsetzung und Aufsichtspraxis. Für die als „wichtige“ und „besonders wichtige Einrichtungen“ erfassten Unternehmen rücken insbesondere die ordnungsgemäße Registrierung beim BSI, funktionierende Meldeprozesse für Sicherheitsvorfälle sowie die tatsächliche Wirksamkeit der Risikomanagementmaßnahmen in den Fokus.
Zugleich gewinnt die Verantwortung der Geschäftsleitung an praktischer Relevanz. Die gesetzlich verankerten Überwachungs- und Schulungspflichten machen Cybersicherheit zu einem festen Bestandteil der Corporate Governance. Darüber hinaus entfaltet NIS 2 2026 erhebliche mittelbare Wirkung entlang der Lieferketten, da regulierte Unternehmen ihre Cybersicherheitsanforderungen zunehmend vertraglich an Dienstleister und Zulieferer weitergeben.
Betroffene Unternehmen sind gehalten, (sofern noch nicht geschehen) 2026 tragfähige Strukturen für Informationssicherheitsmanagement, Incident-Meldungen sowie eine klare Zuordnung von Verantwortlichkeiten auf Leitungsebene zu etablieren.
Cyberresilienz-Verordnung (CRA)
Die Cyberresilienz-Verordnung entfaltet noch vor ihrem geplanten Inkrafttreten 2027 erste praktische Auswirkungen: Bereits ab dem 11. Juni 2026 finden die Bestimmungen über die Notifizierung von Konformitätsbewertungsstellen Anwendung; ab dem 11. September 2026 gelten die ersten Meldepflichten für ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle mit Auswirkungen auf die Sicherheit von Produkten mit digitalen Elementen. Unternehmen, die Software oder vernetzte Produkte anbieten, müssen dann belastbare Prozesse für Schwachstellenmanagement und Incident Response etabliert haben – auch als Grundlage für KI-basierte Produkte.
E-Evidence-Dossier
Ab August 2026 erlaubt die E-Evidence-Verordnung den Strafverfolgungsbehörden in anderen EU-Staaten ansässige Diensteanbieter zur Herausgabe elektronischer Beweismittel zu verpflichten, ohne zuvor den Rechthilfeweg beschreiten zu müssen. Mit der zeitgleich erlassenen E-Evidence-Richtlinie werden die Mitgliedsstaaten verpflichtet, bis zum 18. Februar 2026 die zur Umsetzung erforderlichen Rechts- und Verwaltungsvorschriften zu erlassen. Für Unternehmen, insbesondere Cloud-, Hosting- und Kommunikationsanbieter, entstehen neue Prüf- und Reaktionspflichten. Datenschutz- und berufsrechtliche Schutzmechanismen werden auf die Probe gestellt.
EU-Produkthaftungsrichtlinie
Zum Ende 2026 drohen erweiterte Haftungsrisiken für fehlerhafte KI-Systeme, was die Verzahnung von KI-Compliance, Qualitätsmanagement und Haftungsprävention weiter verstärkt. Bis zum 9. Dezember 2026 muss die EU-Produkthaftungsrichtlinie in nationales Recht umgesetzt werden und gilt für alle Produkte, die nach diesem Stichtag in den Verkehr gebracht werden.
Digital-Omnibus
Nachdem die EU-Kommission Ende 2025 mit dem Digital Omnibus und Digital Omnibus on AI angekündigt hat, bestehende Digitalrechtsakte auf Kohärenz, Umsetzbarkeit und administrative Belastungen zu überprüfen, wird 2026 voraussichtlich das Jahr sein, in dem diese Überprüfung in konkrete legislative Schritte überführt wird. Erwartet wird kein Neubeginn der Digitalregulierung, sondern ein gebündelter Gesetzgebungsprozess, der auf gezielte Anpassungen, Klarstellungen oder die zeitlichen Modifikationen bereits beschlossener Regelwerke abzielt. Bis dahin bleiben die bestehenden Anwendungstermine und Pflichten jedoch maßgeblich.
2026 als Belastungstest für die europäische Digitalregulierung
Während 2025 vor allem der Beginn der Umsetzung war, wird 2026 zum Belastungstest für Unternehmen, Aufsichtsbehörden und den Gesetzgeber selbst. Viele Regelwerke greifen erstmals praktisch, während zugleich politisch über Vereinfachung, Verschiebung oder Nachjustierung diskutiert wird. Unternehmen sind gut beraten, 2026 nicht als bloßen Stichtag zu verstehen, sondern als Jahr, in dem strategische Entscheidungen zu Daten, KI und Compliance getroffen werden müssen.
Fazit
Angesichts der Vielzahl parallel greifender Digitalrechtsakte und der damit verbundenen organisatorischen, technischen und haftungsrechtlichen Anforderungen wird die rechtssichere Umsetzung für viele Unternehmen zur strategischen Daueraufgabe. Unternehmen sind gefordert, rechtliche, technische und organisatorische Anforderungen integriert zu steuern und dauerhaft zu überwachen. Unsere interdisziplinären Teams aus Rechtsanwältinnen und Rechtsanwälten, Datenschutz- und Informationssicherheitsbeauftragten begleiten Unternehmen bei dieser Aufgabe – von der strategischen Einordnung über die Implementierung bis hin zur fortlaufenden Compliance im operativen Betrieb.
Ergänzend bauen wir unser Leistungsangebot – insbesondere im Bereich praxisnaher Schulungs- und Sensibilisierungsformate – weiter aus, um Compliance nicht nur rechtlich abzusichern, sondern nachhaltig im Unternehmen zu verankern. Darüber hinaus wird unser Blogangebot 2026 durch weitere Formate ergänzt, um aktuelle regulatorische Entwicklungen noch differenzierter und praxisnah einzuordnen.
Ihr
Team von datenschutzticker.de
Datenschutzberatung
Ihr Weg zur Datenschutz-Compliance
