Gesetze und Verordnungen 2026

1. Data Act

Der Data Act soll den Zugang zu Daten aus vernetzten Produkten und verbundenen Diensten regeln, Datenportabilität sicherstellen und faire Wettbewerbsbedingungen, insbesondere im Cloud-Umfeld, schaffen.

Anwendbar seit: 12.09.2025 (weitere Zeitpunkte gestaffelt)

Betroffene Unternehmen: Hersteller vernetzter Produkte, Anbieter verbundener digitaler Dienste sowie Cloud- und Edge-Computing-Dienste, die Daten in der EU erzeugen, verarbeiten oder bereitstellen.

To-dos:

  • Prüfung, ob das eigene Unternehmen betroffen ist
  • Durchführung einer Dateninventur
  • Implementierung von Prozessen zur Datenübertragbarkeit und Interoperabilität, inkl. zentraler Anlaufstelle und Verfahren für Nutzeranfragen (Achtung: Verarbeitung personenbezogener Daten der Nutzer)
  • Für neue Produkte: Datenzugang by Design ab 12.09.2026
  • Anpassung von Verträgen an faire Vertragsklauseln (keine Haftungsausschlüsse für Vorsatz oder grobe Fahrlässigkeit); ab 12.09.2027 auch für Altverträge
  • Verbot von Switching-Gebühren bei Cloud-Diensten ab 12.01.2027
  • Einrichtung von Behördenzugriffen für definierte Notfallsituationen

Relevanz für Datenschutz: Sehr hoch, neben technischen Daten können auch personenbezogene Daten anfallen.

Mehr Informationen: EU-Verordnung | Referentenentwurf Deutschland

2. Transparenz und Targeting politischer Werbung

Diese Verordnung soll Transparenz schaffen, Missbrauch verhindern und sicherstellen, dass politische Werbung innerhalb der EU klar gekennzeichnet und rechtmäßig erfolgt.

EU-weit anwendbar seit: 10.10.2025

Betroffene Unternehmen: Parteien, Plattformen, Agenturen, Werbewirtschaft sowie alle Unternehmen, die politische Werbung schalten oder veröffentlichen.

To-dos:

  • Beifügung umfangreicher Transparenzerklärungen
  • Sicherstellung, dass personenbezogene Daten nur direkt und ausschließlich zum Zweck politischer Werbung erhoben werden
  • Festlegung und Umsetzung eines Prozesses für ausdrückliche Einwilligungen
  • Ausschluss von Targeting auf Basis von Tracking
  • Sicherstellung, dass keine besonders sensiblen Daten verwendet werden
  • Einrichtung eines direkten Beschwerdeverfahrens für Nutzer

Relevanz für Datenschutz: In betroffenen Unternehmen sehr hoch.

Mehr Informationen: EU-Verordnung | Referentenentwurf Deutschland

3. eIDAS 2.0 / EU-ID-Wallet

Mit eIDAS 2.0 soll eine europaweit einheitliche, sichere digitale Identität geschaffen werden. Die EU-ID-Wallet ermöglicht die digitale Identifizierung und den Austausch qualifizierter Nachweise.

Anwendbarkeit: gestaffelt ab Mitte/Ende 2025, weitere Pflichten ab 2026 bzw. 2027 (Mitgliedstaaten sollen Wallets 2026 bereitstellen)

Betroffene Unternehmen: Öffentliche Stellen, Banken, Versicherungen; alle Unternehmen, die elektronische Identifizierungssysteme anbieten, herstellen oder nutzen 

To-dos:

  • Klärung der Rolle des Unternehmens (Nutzer oder Vertrauensdienstanbieter)
  • Prozess- und IT-Inventur: Welche Prozesse sind betroffen?
  • Registrierung bei zuständiger Stelle, sofern Wallet-Daten abgerufen werden
  • Sicherstellung von Datenminimierung, Datensicherheit und Cybersicherheitsstandards
  • Schulung der Beschäftigten

Relevanz für Datenschutz: Sehr hoch, es können umfangreiche, teils besonders sensible personenbezogene Daten verarbeitet werden.

Mehr Informationen: Übersicht über Durchführungsverordnungen | Übersicht zum Wallet

4. KI-Verordnung (KI-VO / AI Act)

Die KI-Verordnung verfolgt einen risikobasierten Ansatz und soll den Einsatz von KI sicher, transparent und grundrechtskonform gestalten.

Betroffene Unternehmen: KI-Entwickler und KI-Anbieter, bestimmte Anwender mit Hochrisiko (Finanzen, Gesundheitswesen, Personalwesen); alle Unternehmen, die entsprechende KI-Systeme nutzen

Termine:

  • Verbot bestimmter KI-Systeme seit 02.02.2025
  • Schulungspflicht für Beschäftigte seit 02.02.2025
  • Pflichten für Anbieter von General-Purpose-AI-Systemen seit 02.08.2025
  • Allgemeine Anwendbarkeit ab 02.08.2026
  • Erhöhte Produktsicherheitsanforderungen für Hochrisiko-KI ab 02.08.2027

To-dos:

  • Inventur aller KI-Systeme (angeboten und genutzt)
  • Dokumentation der KI-Systeme sowie der verarbeiteten bzw. verwendeten Trainingsdaten
  • Einführung eines Risikomanagements
  • Risikoklassifizierung der KI-Systeme
  • Transparenz gegenüber Anwendern, ggf. Kennzeichnung von KI-Inhalten

Mehr Informationen: Die GPAI-Guidelines | Referentenentwurf Deutschland

5. Kritische Infrastrukturen – NIS-2 & KRITIS-Dachgesetz

Die Regelungen sollen die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber Cyberangriffen und physischen Bedrohungen erhöhen.

Betroffene Unternehmen: Alle Unternehmen, die den KRITIS-Sektoren zugeordnet sind und bestimmte Schwellenwerte überschreiten

To-dos:

  • Prüfung der Betroffenheit (Sektorzugehörigkeit und Schwellenwerte)
  • Umsetzung eines umfassenden Cybersicherheits-Risikomanagements (NIS-2)
  • Einführung von Backup-, Krisen- und Lieferkettenkonzepten
  • Beachtung verschärfter Meldepflichten
  • Umsetzung physischer Sicherheitsmaßnahmen sowie Schulungen und Notfallübungen (KRITIS-Dachgesetz)

Relevanz für Datenschutz: Sehr hoch,  bei Angriffen können personenbezogene Daten betroffen sein; zudem erlaubt der Gesetzentwurf zweckändernde Verarbeitungen durch Behörden.

Mehr Informationen: NIS-2-Umsetzungsgesetz | Entwurf KRITIS-Dachgesetz

6. Verbraucherrechte-Richtlinie

Die Richtlinie stärkt Verbraucherrechte im Fernabsatz und soll den Widerruf von Online-Verträgen vereinfachen.

Anwendung ab: 19.06.2026

Betroffene Unternehmen: Betreiber von Online-Shops 

To-dos:

  • Einbindung verpflichtender Widerrufsbuttons
  • Sicherstellung der leichten Erreichbarkeit des Widerrufbuttons während der gesamten Widerrufsfrist
  • Anpassung von Webseiten und Schnittstellen unter Beachtung formaler Vorgaben

Mehr Informationen: EU-Richtlinie | Diskussionsentwurf des Bundesministeriums der Justiz

7. Cyber Resilience Act (CRA)

Der CRA adressiert Cybersicherheitsrisiken von Produkten mit digitalen Elementen über deren gesamten Lebenszyklus.

Betroffene Unternehmen: Hersteller, Importeure und Händler von Produkten mit digitalen Elementen 

Termine:

  • Meldepflichten ab 11.09.2026
  • Sicherheitsanforderungen für neue Produkte ab 11.12.2027

Relevanz für Datenschutz: Cybersicherheitslücken können Datenschutzverletzungen verursachen.

Mehr Informationen: EU-Verordnung (konsolidiert) 

8. E-Evidence-Verordnung

Die Verordnung regelt den grenzüberschreitenden Zugriff von Strafverfolgungsbehörden auf elektronische Beweismittel innerhalb der EU.

Übergangsfrist bis: 18.08.2026

Betroffene Unternehmen: Telekommunikationsunternehmen, E-Mail-Anbieter, VoIP-Dienste, Messaging-Dienste, Cloud-Dienstleister, Hosting-Provider, Betreiber von Plattformen. Ausschlaggebend ist die Bereitstellung digitaler Dienste innerhalb der EU. 

To-dos:

  • Festlegung interner Zuständigkeiten
  • Verfahren zur rechtlichen Bewertung eingehender Anordnungen
  • Technische Maßnahmen zur Datenidentifikation, -sicherung und -übermittlung
  • Prüfung möglicher Kollisionen mit Drittstaatenrecht
  • Rechtzeitige Einbindung von Auftragsverarbeitern

Relevanz für Datenschutz: Sehr hoch, auch sensible personenbezogene Daten können betroffen sein.

Mehr Informationen: EU-Verordnung | Entwurf der Umsetzung in Deutschland

9. Produkthaftungsrichtlinie (neu)

Die Richtlinie modernisiert das Produkthaftungsrecht und erweitert den Produktbegriff ausdrücklich auf Software und KI-Systeme.

Umsetzung bis: 09.10.2026

Betroffene Unternehmen: Software- und KI-Entwickler bzw. -Hersteller sowie alle Unternehmen, die gewerbsmäßig an der Wertschöpfung des Produkts beteiligt sind 

Kernaussagen:

  • Haftung für fehlerhafte Produkte, auch bei Software und KI
  • Berücksichtigung von Cybersicherheitslücken bei der Fehlerbewertung
  • Haftung auch für Verlust oder Verfälschung von Daten
  • Prüfung und Anpassung von Verträgen sowie Dokumentation von Produktentwicklung und Updates

 Mehr Informationen: EU-Richtlinie