Das Jahr 2026 wird für Unternehmen und Organisationen in Europa ein Jahr tiefgreifender regulatorischer Veränderungen. Zahlreiche EU-Verordnungen und Richtlinien treten in Kraft oder werden nach Ablauf langer Übergangsfristen verbindlich anzuwenden sein. Von der Regulierung Künstlicher Intelligenz bis hin zu verschärften Pflichten für Kritische Infrastrukturen – die neuen Regeln erfordern von Verantwortlichen und Datenschutzbeauftragten (DSB) schnelle Anpassungen und die Implementierung neuer Prozesse.
Hier ist ein Überblick über die wichtigsten Gesetze und Verordnungen, die 2026 im Fokus stehen:
1. Die KI-Verordnung (KI-VO): Das neue Rahmenwerk für künstliche Intelligenz
Die KI-Verordnung (Verordnung (EU) 2024/1689) etabliert den lang erwarteten Rechtsrahmen für KI-Systeme in Europa. Die allgemeine Anwendbarkeit ist für den 02. August 2026 vorgesehen.
Die KI-VO sieht eine gestaffelte Anwendbarkeit vor, wobei einige Verpflichtungen bereits 2025 in Kraft getreten sind (z.B. das Verbot bestimmter KI-Systeme seit 02.02.2025). Unternehmen, die KI entwickeln oder nutzen, müssen folgende Schritte einleiten:
- Inventur und Klassifizierung: Es muss eine Inventur der genutzten und angebotenen KI-Systeme sowie eine Risikoklassifizierung (insbesondere für Hochrisiko-KI) erfolgen.
- Dokumentation und Transparenz: Unternehmen müssen die verarbeiteten Daten bzw. die Trainingsdaten der KI-Systeme dokumentieren.
- Aufsicht: In Deutschland ist im Zuge des Gesetzentwurfs zur Durchführung der KI-Verordnung (KI-MIG) geplant, eine „Unabhängige KI-Marktüberwachungskammer“ (UKIM) innerhalb der Bundesnetzagentur einzurichten.
- DSB-Relevanz: Die Relevanz für den Datenschutz ist extrem hoch, da KI-Systeme häufig personenbezogene Daten verarbeiten oder diese als Trainingsdaten nutzen.
2. Digitalisierung und Datenfluss: Data Act und eIDAS 2.0
Zwei Schlüsselregelungen, die den Datenfluss und die digitale Identität betreffen, sind bereits teilweise oder stehen kurz vor der breiten Anwendbarkeit:
- Data Act (Verordnung (EU) 2023/2854): Das Daten-Gesetz ist bereits seit dem 12. September 2025 anzuwenden und gilt unmittelbar in allen Mitgliedstaaten. Das zentrale Ziel ist es, die Datenübertragbarkeit und Interoperabilität, insbesondere bei vernetzten Produkten, sicherzustellen. Für Unternehmen bedeutet dies die Implementierung von Prozessen zur Dateninventur und die Anpassung von Verträgen.
- eIDAS 2.0 / EU-ID-Wallet: Die Verordnung (EU) Nr. 2024/1183 (eIDAS 2.0) ist ebenfalls unmittelbar anwendbar. Das Ziel ist die Schaffung eines EU-ID-Wallets, das ab 2026 von den Mitgliedstaaten angeboten werden soll. Da hierbei umfangreiche, potenziell auch besonders sensible Daten wie biometrische oder Gesundheitsdaten anfallen können, ist die Rolle des DSB in betroffenen Unternehmen (z.B. Banken, Versicherungen) sehr hoch.
3. Bürokratieabbau und die DSGVO-Reformdiskussion
Auch wenn die Forderungen der verschiedenen Interessengruppen (Zivilgesellschaft, Unternehmen, Wissenschaft) vor einer „Totalreform“ der Datenschutz-Grundverordnung (DSGVO) warnten, ist die Reformdiskussion voll in Fahrt.
Drei Handlungsstränge sind zu unterscheiden:
- Die Zusatzverordnung: Eine eigenständige „Zusatzverordnung zur DSGVO“ mit Verfahrensregeln zur besseren europaweiten Abstimmung der Aufsichtsbehörden ist bereits abgeschlossen. Die Verordnung tritt 20 Tage nach Veröffentlichung im EU-Amtsblatt in Kraft und wird 15 Monate später anwendbar.
- Der Digital-Omnibus: Im Rahmen allgemeiner Bemühungen zum Bürokratieabbau strebt der sogenannte „Digital-Omnibus IV“ begrenzte Veränderungen am Text der DSGVO selbst an. Ein Beispiel ist die geplante Änderung von Art. 30 Abs. 5 DSGVO: Künftig sollen Unternehmen mit weniger als 250 Mitarbeitern das Verzeichnis von Verarbeitungstätigkeiten erst dann führen müssen, wenn die Verarbeitung ein „hohes Risiko“ (statt bisher nur „Risiko“) für die Rechte und Freiheiten der betroffenen Personen birgt.
- Vereinfachte Meldepflichten: Ein weiterer Entwurf des „Digital-Omnibus“ (COM(2025) 837 final) plant Vereinfachungen bei der Meldepflicht von Datenschutzverletzungen (Art. 33 DSGVO): Künftig soll es in vielen Fällen ausreichen, nur eine Meldung an eine einzige zuständige Behörde vorzunehmen, die dann die anderen betroffenen Behörden informiert.
4. Weitere wichtige Fristen für 2026
Neben diesen großen Projekten laufen weitere Fristen ab, die zur sofortigen Anpassung von Prozessen verpflichten:
- E-Evidence-Verordnung (Übergangsfrist bis 18.08.2026): Diese Verordnung verpflichtet Unternehmen (insbesondere Telekommunikations-, E-Mail-, Cloud- und Hosting-Anbieter) zur Herausgabe oder Sicherung elektronischer Beweismittel bei grenzüberschreitenden Ermittlungen innerhalb der EU. Die Fristen zur Bearbeitung sind dabei sehr kurz.
- NIS 2 und KRITIS-Dachgesetz (Umsetzung bis spätestens Sommer 2026): Unternehmen der Kritischen Infrastrukturen müssen die Anforderungen aus der NIS-2-Umsetzung und dem KRITIS-Dachgesetz erfüllen. Dies umfasst verschärfte Meldepflichten, ein umfassendes Risikomanagement für Cybersicherheit und die physische Absicherung der Anlagen.
- Produkthaftungsrichtlinie (Umsetzung bis 09.10.2026): Die Richtlinie erweitert den Produktbegriff auf Software und KI-Systeme. Hersteller und Entwickler haften nun verschuldensunabhängig, falls durch ein fehlerhaftes Produkt (wobei Cybersicherheitslücken einbezogen sind) Körperverletzung oder Eigentumsschäden entstehen. Der erweiterte Schadensbegriff umfasst auch den Verlust oder die Verfälschung von Daten.
Fazit für Verantwortliche:
Die kumulierte Einführung dieser Gesetze stellt eine erhebliche Belastung für die Rechts- und IT-Abteilungen dar. Insbesondere die Verzahnung von KI-Recht, Daten-Zugangsregeln (Data Act) und der Cybersicherheitspflichten (NIS 2) erfordert eine ganzheitliche Betrachtung. Wer 2026 nicht von einer abgelaufenen Frist überrascht werden will, sollte die Inventur aller betroffenen Systeme und die Implementierung neuer Prozesse jetzt in Angriff nehmen.
