{"id":1009,"date":"2025-12-18T10:43:34","date_gmt":"2025-12-18T09:43:34","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=1009"},"modified":"2025-12-18T10:43:34","modified_gmt":"2025-12-18T09:43:34","slug":"die-regulatorische-welle-rollt-diese-neuen-gesetze-bestimmen-2026","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/12\/18\/die-regulatorische-welle-rollt-diese-neuen-gesetze-bestimmen-2026\/","title":{"rendered":"Die regulatorische Welle rollt: Diese neuen Gesetze bestimmen 2026"},"content":{"rendered":"<p>Das Jahr 2026 wird f\u00fcr Unternehmen und Organisationen in Europa ein Jahr tiefgreifender regulatorischer Ver\u00e4nderungen. Zahlreiche EU-Verordnungen und Richtlinien treten in Kraft oder werden nach Ablauf langer \u00dcbergangsfristen verbindlich anzuwenden sein. Von der Regulierung K\u00fcnstlicher Intelligenz bis hin zu versch\u00e4rften Pflichten f\u00fcr Kritische Infrastrukturen \u2013 die neuen Regeln erfordern von Verantwortlichen und Datenschutzbeauftragten (DSB) schnelle Anpassungen und die Implementierung neuer Prozesse.<\/p>\n<p>Hier ist ein \u00dcberblick \u00fcber die wichtigsten Gesetze und Verordnungen, die 2026 im Fokus stehen:<\/p>\n<h3>1. Die KI-Verordnung (KI-VO): Das neue Rahmenwerk f\u00fcr k\u00fcnstliche Intelligenz<\/h3>\n<p>Die KI-Verordnung (Verordnung (EU) 2024\/1689) etabliert den lang erwarteten Rechtsrahmen f\u00fcr KI-Systeme in Europa. Die allgemeine Anwendbarkeit ist f\u00fcr den <strong>02. August 2026<\/strong> vorgesehen.<\/p>\n<p>Die KI-VO sieht eine gestaffelte Anwendbarkeit vor, wobei einige Verpflichtungen bereits 2025 in Kraft getreten sind (z.B. das Verbot bestimmter KI-Systeme seit 02.02.2025). Unternehmen, die KI entwickeln oder nutzen, m\u00fcssen folgende Schritte einleiten:<\/p>\n<ul>\n<li><strong>Inventur und Klassifizierung:<\/strong> Es muss eine Inventur der genutzten und angebotenen KI-Systeme sowie eine Risikoklassifizierung (insbesondere f\u00fcr Hochrisiko-KI) erfolgen.<\/li>\n<li><strong>Dokumentation und Transparenz:<\/strong> Unternehmen m\u00fcssen die verarbeiteten Daten bzw. die Trainingsdaten der KI-Systeme dokumentieren.<\/li>\n<li><strong>Aufsicht:<\/strong> In Deutschland ist im Zuge des Gesetzentwurfs zur Durchf\u00fchrung der KI-Verordnung (KI-MIG) geplant, eine <strong>\u201eUnabh\u00e4ngige KI-Markt\u00fcberwachungskammer\u201c (UKIM)<\/strong> innerhalb der Bundesnetzagentur einzurichten.<\/li>\n<li><strong>DSB-Relevanz:<\/strong> Die Relevanz f\u00fcr den Datenschutz ist extrem hoch, da KI-Systeme h\u00e4ufig personenbezogene Daten verarbeiten oder diese als Trainingsdaten nutzen.<\/li>\n<\/ul>\n<h3>2. Digitalisierung und Datenfluss: Data Act und eIDAS 2.0<\/h3>\n<p>Zwei Schl\u00fcsselregelungen, die den Datenfluss und die digitale Identit\u00e4t betreffen, sind bereits teilweise oder stehen kurz vor der breiten Anwendbarkeit:<\/p>\n<ul>\n<li><strong>Data Act (Verordnung (EU) 2023\/2854):<\/strong> Das Daten-Gesetz ist bereits seit dem <strong>12. September 2025<\/strong> anzuwenden und gilt unmittelbar in allen Mitgliedstaaten. Das zentrale Ziel ist es, die Daten\u00fcbertragbarkeit und Interoperabilit\u00e4t, insbesondere bei vernetzten Produkten, sicherzustellen. F\u00fcr Unternehmen bedeutet dies die Implementierung von Prozessen zur Dateninventur und die Anpassung von Vertr\u00e4gen.<\/li>\n<li><strong>eIDAS 2.0 \/ EU-ID-Wallet:<\/strong> Die Verordnung (EU) Nr. 2024\/1183 (eIDAS 2.0) ist ebenfalls unmittelbar anwendbar. Das Ziel ist die Schaffung eines EU-ID-Wallets, das ab 2026 von den Mitgliedstaaten angeboten werden soll. Da hierbei umfangreiche, potenziell auch besonders sensible Daten wie biometrische oder Gesundheitsdaten anfallen k\u00f6nnen, ist die Rolle des DSB in betroffenen Unternehmen (z.B. Banken, Versicherungen) sehr hoch.<\/li>\n<\/ul>\n<h3>3. B\u00fcrokratieabbau und die DSGVO-Reformdiskussion<\/h3>\n<p>Auch wenn die Forderungen der verschiedenen Interessengruppen (Zivilgesellschaft, Unternehmen, Wissenschaft) vor einer \u201eTotalreform\u201c der Datenschutz-Grundverordnung (DSGVO) warnten, ist die Reformdiskussion <strong>voll in Fahrt<\/strong>.<\/p>\n<p>Drei Handlungsstr\u00e4nge sind zu unterscheiden:<\/p>\n<ol>\n<li><strong>Die Zusatzverordnung:<\/strong> Eine eigenst\u00e4ndige <strong>\u201eZusatzverordnung zur DSGVO\u201c<\/strong> mit Verfahrensregeln zur besseren europaweiten Abstimmung der Aufsichtsbeh\u00f6rden ist bereits abgeschlossen. Die Verordnung tritt 20 Tage nach Ver\u00f6ffentlichung im EU-Amtsblatt in Kraft und wird 15 Monate sp\u00e4ter anwendbar.<\/li>\n<li><strong>Der Digital-Omnibus:<\/strong> Im Rahmen allgemeiner Bem\u00fchungen zum <strong>B\u00fcrokratieabbau<\/strong> strebt der sogenannte <strong>\u201eDigital-Omnibus IV\u201c<\/strong> begrenzte Ver\u00e4nderungen am Text der DSGVO selbst an. Ein Beispiel ist die geplante \u00c4nderung von Art. 30 Abs. 5 DSGVO: K\u00fcnftig sollen Unternehmen mit weniger als 250 Mitarbeitern das Verzeichnis von Verarbeitungst\u00e4tigkeiten erst dann f\u00fchren m\u00fcssen, wenn die Verarbeitung ein <strong>\u201ehohes Risiko\u201c<\/strong> (statt bisher nur \u201eRisiko\u201c) f\u00fcr die Rechte und Freiheiten der betroffenen Personen birgt.<\/li>\n<li><strong>Vereinfachte Meldepflichten:<\/strong> Ein weiterer Entwurf des \u201eDigital-Omnibus\u201c (COM(2025) 837 final) plant Vereinfachungen bei der Meldepflicht von Datenschutzverletzungen (Art. 33 DSGVO): K\u00fcnftig soll es in vielen F\u00e4llen ausreichen, nur eine Meldung an eine einzige zust\u00e4ndige Beh\u00f6rde vorzunehmen, die dann die anderen betroffenen Beh\u00f6rden informiert.<\/li>\n<\/ol>\n<h3>4. Weitere wichtige Fristen f\u00fcr 2026<\/h3>\n<p>Neben diesen gro\u00dfen Projekten laufen weitere Fristen ab, die zur sofortigen Anpassung von Prozessen verpflichten:<\/p>\n<ul>\n<li><strong>E-Evidence-Verordnung (\u00dcbergangsfrist bis 18.08.2026):<\/strong> Diese Verordnung verpflichtet Unternehmen (insbesondere Telekommunikations-, E-Mail-, Cloud- und Hosting-Anbieter) zur Herausgabe oder Sicherung elektronischer Beweismittel bei grenz\u00fcberschreitenden Ermittlungen innerhalb der EU. Die Fristen zur Bearbeitung sind dabei sehr kurz.<\/li>\n<li><strong>NIS 2 und KRITIS-Dachgesetz (Umsetzung bis sp\u00e4testens Sommer 2026):<\/strong> Unternehmen der Kritischen Infrastrukturen m\u00fcssen die Anforderungen aus der NIS-2-Umsetzung und dem KRITIS-Dachgesetz erf\u00fcllen. Dies umfasst versch\u00e4rfte Meldepflichten, ein umfassendes Risikomanagement f\u00fcr Cybersicherheit und die physische Absicherung der Anlagen.<\/li>\n<li><strong>Produkthaftungsrichtlinie (Umsetzung bis 09.10.2026):<\/strong> Die Richtlinie erweitert den Produktbegriff auf <strong>Software und KI-Systeme<\/strong>. Hersteller und Entwickler haften nun verschuldensunabh\u00e4ngig, falls durch ein fehlerhaftes Produkt (wobei Cybersicherheitsl\u00fccken einbezogen sind) K\u00f6rperverletzung oder Eigentumssch\u00e4den entstehen. Der erweiterte Schadensbegriff umfasst auch den <strong>Verlust oder die Verf\u00e4lschung von Daten<\/strong>.<\/li>\n<\/ul>\n<p><strong>Fazit f\u00fcr Verantwortliche:<\/strong><\/p>\n<p>Die kumulierte Einf\u00fchrung dieser Gesetze stellt eine erhebliche Belastung f\u00fcr die Rechts- und IT-Abteilungen dar. Insbesondere die Verzahnung von KI-Recht, Daten-Zugangsregeln (Data Act) und der Cybersicherheitspflichten (NIS 2) erfordert eine ganzheitliche Betrachtung. Wer 2026 nicht von einer abgelaufenen Frist \u00fcberrascht werden will, sollte die <strong>Inventur aller betroffenen Systeme<\/strong> und die <strong>Implementierung neuer Prozesse<\/strong> jetzt in Angriff nehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das Jahr 2026 wird f\u00fcr Unternehmen und Organisationen in Europa ein Jahr tiefgreifender regulatorischer Ver\u00e4nderungen.&hellip;<\/p>\n","protected":false},"author":1,"featured_media":748,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,4],"tags":[],"class_list":["post-1009","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1009","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=1009"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1009\/revisions"}],"predecessor-version":[{"id":1010,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1009\/revisions\/1010"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/748"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=1009"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=1009"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=1009"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}