Das Jahr 2026 wird im europäischen und deutschen IT-Recht kein Jahr der großen neuen Überschriften, sondern ein Jahr der Verdichtung und Korrektur. Die in den vergangenen Jahren beschlossenen Bausteine des EU-Digitalrechts beginnen flächendeckend zu wirken. Gleichzeitig versucht die Politik, mit dem Digital-Omnibus-Paket Fehler in der Taktung und Überlappungen zu korrigieren. Dadurch und darüber hinaus sind weitere praktische Änderungen im IT-Recht für Unternehmen und öffentliche Stellen im Jahr 2026 zu erwarten.

Im Zentrum steht zunächst die KI-Regulierung. Nach derzeitigem Stand soll der überwiegende Teil der Vorschriften des AI Acts ab dem 2. August 2026 gelten, insbesondere die Anforderungen an Hochrisikosysteme nach Anhang III, die Transparenzpflichten sowie das Governance-Gerüst mit nationalen Aufsichtsbehörden und einem europäischen AI-Board. Parallel dazu liegt nun der Vorschlag der EU-Kommission für das Digital-Omnibus-Paket vor. Dieser sieht vor, bestimmte Hochrisikopflichten zeitlich zu strecken und ihre volle Anwendbarkeit vom Vorliegen praxistauglicher Compliance-Support-Tools abhängig zu machen.

In der Praxis verschiebt sich damit ein Teil der Last aus dem Jahr 2026 wahrscheinlich in Richtung 2027 und 2028, ohne dass die Grundkonzeption des risikobasierten Ansatzes infrage gestellt würde. Für die IT-Praxis bedeutet das, dass 2026 weniger die unmittelbare Sanktionsdrohung im Vordergrund stehen wird, sondern die Frage, wie sich bestehende KI-Architekturen den kommenden Kategorien zuordnen lassen und wie Governance-Strukturen aussehen müssen, um später auditierbar zu sein.

Daten bereitstellen und übertragen

Direkt mit dem AI Act verwoben ist der Data Act, der seit September 2025 gilt und ab September 2026 erstmals konkret in Produktlebenszyklen hineinwirkt. Die zentrale Pflicht zur Datenbereitstellung für Nutzerinnen und Nutzer greift für vernetzte Produkte und zugehörige Dienste, die nach dem 12. September 2026 in Verkehr gebracht werden. Hersteller und Anbieter von IoT-Plattformen müssen ihre Vertragswerke, API-Strategien und Exportfunktionen so gestalten, dass sie diese Zugangs- und Portabilitätsrechte technisch und organisatorisch abbilden können.

Die Digital-Omnibus-Diskussion zielt auch hier darauf, Dopplungen bei Meldepflichten und Überschneidungen mit anderen Cyberregularien abzufedern, zum Beispiel beim Erfassen und Melden von Vorfällen (Incident Reporting) und dem Recht auf einen Cloud-Wechsel. Für 2026 ist daher weniger mit einer weiteren großen Verordnung zu rechnen, sondern mit Anpassungen an der bestehenden Datenarchitektur und einer ersten Welle von Streitigkeiten rund um die Reichweite der Data-Act-Rechte in B2B-Verträgen.

KI: urheberrechtlich problematisch

Den wohl sichtbarsten juristischen Konflikt an der Schnittstelle von KI und Urheberrecht liefert das Verfahren zwischen GEMA und OpenAI. Das Landgericht München I hat mit Urteil vom 11. November 2025 entschieden, dass OpenAI durch Training und Betrieb seiner Sprachmodelle die Urheberrechte an Liedtexten aus dem GEMA-Repertoire verletzt, weil das Modell diese Texte memorisiert und in weiten Teilen originalgetreu wiedergeben kann. Die Entscheidung verpflichtet OpenAI zu Unterlassung und Schadensersatz und wird europaweit als erstes Grundsatzurteil zum KI-Training auf urheberrechtlich geschützten Inhalten gelesen.

Schon jetzt ist absehbar, dass es nicht bei dieser Instanz bleiben wird. OpenAI hat öffentlich erklärt, Rechtsmittel zu prüfen. Beobachter gehen davon aus, dass 2026 eine Berufung zum Oberlandesgericht München eingereicht wird, die nicht nur die dogmatische Einordnung von Trainingskopien und Modellgewichten adressiert, sondern auch den Maßstab für „Memorisierung“ und die Grenze zwischen zulässiger statistischer Nutzung und unzulässiger Vervielfältigung.

Für die IT- und Content-Industrie ist dieses Berufungsverfahren in zweierlei Hinsicht zentral. Zum einen wird das OLG klären müssen, ob und in welchem Umfang KI-Anbieter detaillierte Nachweise über Trainingsdaten und technische Maßnahmen gegen Memorisation schulden. Zum anderen liegt die Frage nahe, ob bestimmte urheberrechtliche Kernbegriffe wie „Vervielfältigung“, „vorübergehende Vervielfältigung“ oder „öffentliche Wiedergabe“ in einem KI-Kontext unionsrechtlich auslegungsbedürftig sind.

Entscheidungen auf europäischer Ebene erwartet

Beobachter erwarten, dass das Berufungsgericht oder der Bundesgerichtshof als mögliche spätere Revisionsinstanz dem Europäischen Gerichtshof Vorlagefragen stellt und sich damit aus einem deutschen Einzelverfahren ein europäischer Referenzfall für KI-Training entwickelt. 2026 dürften dafür zunächst prozessuale Weichen gestellt und einstweilige Maßnahmen diskutiert werden, während die eigentliche inhaltliche Klärung in die späten Zwanzigerjahre rutschen könnte. Parallel dazu geht die öffentliche Diskussion um einen finanziellen Ausgleich für Urheber für nachteilige Auswirkungen generativer KI auf ihre Tätigkeit weiter.

Parallel zu KI- und Datenrecht verschärfen sich die sicherheitsrechtlichen Anforderungen. Mit dem NIS2‑Umsetzungsgesetz hat der Bundestag Mitte November 2025 das deutsche IT-Sicherheitsrecht grundlegend neu geordnet. Der Bundesrat hat diesem Gesetz bereits zugestimmt. Damit wird die Richtlinie der EU kurzfristig in nationales Recht überführt. Das Gesetz novelliert das BSI‑Gesetz umfassend und weitet den Kreis der betroffenen Unternehmen deutlich über die bisherige KRITIS-Welt hinaus aus.

Für Deutschland gilt damit 2026 als Startjahr für die neuen Melde-, Risikomanagement- und Aufsichtspflichten. Unternehmen, die bislang nicht unter das klassische KRITIS-Regime fielen, stehen jetzt vor der Frage, ob sie unter wichtige oder besonders wichtige Einrichtungen im Sinne des Gesetzes fallen. Inhaltlich bringt das Regime Mindeststandards für technische und organisatorische Maßnahmen, abgestufte Meldepflichten mit engen Fristen und deutlich erweiterte Eingriffsbefugnisse des BSI.

Flankiert wird diese Verschärfung durch den Cyber Resilience Act (CRA), dessen Meldeanforderungen für Sicherheitsvorfälle nach derzeitiger Planung ab Herbst 2026 und dessen weiter gehende Produktanforderungen ab Ende 2027 gelten sollen. Hersteller vernetzter Produkte müssen spätestens 2026 ihre Entwicklungs- und Patchprozesse so organisieren, dass sie die künftige CE-Konformität einschließlich Cybersecurity-Aspekten nachweisen können. Zusammen mit DORA im Finanzsektor und sektorspezifischen Sicherheitsregimen entsteht ein weiter verdichtetes regulatorisches Netz, das IT-Sicherheitsvorfälle nicht mehr nur als Betriebsrisiko, sondern als regulatorisches Ereignis mit Melde-, Dokumentations- und Governance-Folgen behandelt.

Identität im Mittelpunkt

Eine weitere Säule des digitalen Binnenmarkts, die 2026 in der Praxis sichtbar wird, ist die Reform des eIDAS-Rahmens. Mit eIDAS 2.0 wurde 2024 die Grundlage für das European Digital Identity Wallet geschaffen, das nach der neuen Verordnung bis 2026 von allen Mitgliedsstaaten angeboten werden soll. Bürgerinnen und Bürger sollen damit hoheitliche Dokumente wie Ausweise und Führerscheine, aber auch Versicherungsnachweise oder Hochschulzeugnisse digital vorhalten und qualifiziert signieren können.

Für Unternehmen bedeutet das eine neue Identitätsinfrastruktur, die sich in Registrierungs- und Login-Prozesse integrieren lässt, aber auch neue Compliancefragen aufwirft – etwa beim Umgang mit Attributzertifikaten, die zusätzliche Informationen beinhalten, und bei Haftungsfragen im Falle kompromittierter Wallets. In Deutschland fällt die Einführung des Wallets zeitlich mit einer weiteren Reform des elektronischen Rechtsverkehrs zusammen. Ein aktuell laufendes Gesetzgebungsverfahren verschiebt die bislang für Januar 2026 vorgesehenen Pflichttermine für die vollständige E-Akte in der Justiz und zeigt damit, dass die öffentliche Hand dem eigenen Digitalisierungsanspruch weiterhin hinterherläuft.

Die horizontale Regulierung der Plattformökonomie durch Digital Services Act (DSA) und Digital Markets Act (DMA) erreicht 2026 eine neue Phase. Unter dem DSA stehen seit 2024 die besonders großen Plattformen und Suchmaschinen in einem direkten Aufsichtsverhältnis zur Kommission, die erste Untersuchungen zu Empfehlungsalgorithmen, Werbeformaten und dem Umgang mit illegalen Inhalten eingeleitet hat. Ende 2025 ist zudem die delegierte Verordnung zum Forschungsdatenzugang in Kraft getreten, die Wissenschaftlerinnen und Wissenschaftlern erweiterte Rechte zur Datennutzung gegenüber sehr großen Plattformen einräumt.

DSA: erste Sanktionen erwartet

Für 2026 ist damit zu rechnen, dass die ersten Sanktionsentscheidungen zu systemischen DSA-Verstößen den Weg zu den Unionsgerichten finden und Gerichte die noch relativ abstrakten Sorgfalts- und Transparenzpflichten konkretisieren. Der DMA hat bereits 2025 seine Schlagkraft mit hohen Geldbußen gegen Apple und Meta demonstriert, die auch wegen ihrer Lenkungswirkung für die Plattformgestaltung weit über die betroffenen Unternehmen hinaus beachtet werden. Die dagegen angekündigten Klagen der betroffenen Hyperscaler werden das Gericht der Europäischen Union (EuG) in erster und den Europäischen Gerichtshof (EuGH) in letzter Instanz voraussichtlich ab 2026 beschäftigen und die Auslegung zentraler Begriffe des DMA wie „self-preferencing“ (Selbstbevorzugung) oder „anti steering“ (Lenkungsverbot) prägen.

Auch das Datenschutzrecht bleibt 2026 ein dynamisches Feld. Schon jetzt ist die Liste der anhängigen EuGH-Verfahren zu DSGVO-Fragen umfangreich, vom Qualifizieren pseudonymisierter Daten über die Anforderungen an Schadensersatz bis zur Zurechnung gemeinsamer Verantwortlichkeit. Parallel dazu zeichnet sich ein Trend zu Massenverfahren und kollektiven Rechtsdurchsetzungsmodellen ab, die sich insbesondere gegen große Plattformen und datengetriebene Geschäftsmodelle richten.

Der Bundesgerichtshof hat bereits 2025 klargestellt, dass bestimmte Verstöße gegen die DSGVO zugleich lauterkeitsrechtlich verfolgt werden können, also mögliche Verstöße gegen die Regeln eines fairen und ehrlichen Wettbewerbs. Für 2026 ist damit zu rechnen, dass Unterlassungs- und Schadensersatzansprüche aus Datenschutzverstößen zunehmend in Wettbewerbs- und Zivilverfahren verknüpft werden. In Kombination mit dem Digital-Omnibus-Vorschlag, der an einigen Stellen eine flexiblere Nutzung personenbezogener Daten für KI-Training und weniger Cookie-Banner vorsieht, ist absehbar, dass der EuGH und die nationalen Gerichte stärker als Korrektiv in den Blick rücken, wenn der Gesetzgeber das Schutzniveau justiert.

Eine Debatte mit unmittelbarer IT-Relevanz, die 2026 ebenfalls an Fahrt aufnehmen dürfte, betrifft die öffentliche Beschaffung. Unter der Überschrift einer strategischen Industriepolitik und digitaler Souveränität rückt die Vergabe von IT-Leistungen, Cloud-Infrastrukturen und Sicherheitsprodukten ins Zentrum. Die EU-Kommission will die öffentliche Beschaffung umgestalten: Sie soll einfacher und innovationsfreundlicher werden. Für einige Diskussionen dürfte eine mögliche Bevorzugung europäischer Unternehmen sorgen. Damit verbinden sich Forderungen aus Politik und Industrie, Buy-European-Modelle zumindest punktuell zu verankern und beispielsweise die Cloud-Wechselfähigkeit als Vergabekriterium zu kodifizieren. Für IT-Anbieter bedeutet das, dass 2026 Ausschreibungsunterlagen stärker als bisher Fragen der digitalen Souveränität, der Datenlokalisierung und Open-Source-Strategien berücksichtigen werden. Streitigkeiten um die Vereinbarkeit nationaler Buy-European-Konzepte mit den Grundfreiheiten sind absehbar und werden früher oder später den EuGH beschäftigen.

Fazit

2026 wird erneut ein Jahr sein, in dem im IT-Recht viele Weichen gestellt werden. Besonders dabei ist aber, dass das nicht durch neue Paradigmen, sondern durch Umsetzung, behutsamen Bürokratieabbau und die Anpassung bestehender Rechtsakte an veränderte Realitäten wie im Datenschutz geschehen soll. Für die Praxis bedeutet das weniger neue Normtexte und mehr Fokus auf Einzelaspekte. Die KI-Regulierung beispielsweise verschiebt den Schwerpunkt vom „Ob“ zum „Wie“ und macht anhand von Verfahren wie der erwarteten Berufung im Fall GEMA gegen OpenAI sichtbar, wie tief Gerichte künftig in Modellarchitekturen und Trainingsprozesse blicken müssen.

Cybersicherheit wird mit NIS2, CRA und sektorspezifischen Vorgaben zu einem zentralen Governance-Faktor, dessen Missachtung erhebliche rechtliche und wirtschaftliche Folgen haben kann. Gleichzeitig verzahnen Data Act, eIDAS-Wallet und DSA/DMA Datenflüsse, Identitätsmanagement und Plattformstrukturen enger als bisher. Und schließlich könnte die Vereinfachungsagenda der EU-Kommission zwar Prozesse entschlacken, zugleich aber das Schutzniveau im Datenschutz und bei KI spürbar verschieben. Wer 2026 im IT-Recht gestaltend handeln will, muss diese Linien früh erkennen und konsequent in seine Strategie einbetten.

(ur)