Das Jahr 2026 wird im europäischen und deutschen IT-Recht kein Jahr der großen neuen Überschriften, sondern ein Jahr der Verdichtung und Korrektur. Die in den vergangenen Jahren beschlossenen Bausteine des EU-Digitalrechts beginnen flächendeckend zu wirken. Gleichzeitig versucht die Politik, mit dem Digital-Omnibus-Paket Fehler in der Taktung und Überlappungen zu korrigieren. Dadurch und darüber hinaus sind weitere praktische Änderungen im IT-Recht für Unternehmen und öffentliche Stellen im Jahr 2026 zu erwarten.

Im Zentrum steht zunächst die KI-Regulierung. Nach derzeitigem Stand soll der überwiegende Teil der Vorschriften des AI Acts ab dem 2. August 2026 gelten, insbesondere die Anforderungen an Hochrisikosysteme nach Anhang III, die Transparenzpflichten sowie das Governance-Gerüst mit nationalen Aufsichtsbehörden und einem europäischen AI-Board. Parallel dazu liegt nun der Vorschlag der EU-Kommission für das Digital-Omnibus-Paket vor. Dieser sieht vor, bestimmte Hochrisikopflichten zeitlich zu strecken und ihre volle Anwendbarkeit vom Vorliegen praxistauglicher Compliance-Support-Tools abhängig zu machen.

In der Praxis verschiebt sich damit ein Teil der Last aus dem Jahr 2026 wahrscheinlich in Richtung 2027 und 2028, ohne dass die Grundkonzeption des risikobasierten Ansatzes infrage gestellt würde. Für die IT-Praxis bedeutet das, dass 2026 weniger die unmittelbare Sanktionsdrohung im Vordergrund stehen wird, sondern die Frage, wie sich bestehende KI-Architekturen den kommenden Kategorien zuordnen lassen und wie Governance-Strukturen aussehen müssen, um später auditierbar zu sein.

Daten bereitstellen und übertragen

Direkt mit dem AI Act verwoben ist der Data Act, der seit September 2025 gilt und ab September 2026 erstmals konkret in Produktlebenszyklen hineinwirkt. Die zentrale Pflicht zur Datenbereitstellung für Nutzerinnen und Nutzer greift für vernetzte Produkte und zugehörige Dienste, die nach dem 12. September 2026 in Verkehr gebracht werden. Hersteller und Anbieter von IoT-Plattformen müssen ihre Vertragswerke, API-Strategien und Exportfunktionen so gestalten, dass sie diese Zugangs- und Portabilitätsrechte technisch und organisatorisch abbilden können.

Die Digital-Omnibus-Diskussion zielt auch hier darauf, Dopplungen bei Meldepflichten und Überschneidungen mit anderen Cyberregularien abzufedern, zum Beispiel beim Erfassen und Melden von Vorfällen (Incident Reporting) und dem Recht auf einen Cloud-Wechsel. Für 2026 ist daher weniger mit einer weiteren großen Verordnung zu rechnen, sondern mit Anpassungen an der bestehenden Datenarchitektur und einer ersten Welle von Streitigkeiten rund um die Reichweite der Data-Act-Rechte in B2B-Verträgen.

KI: urheberrechtlich problematisch

Den wohl sichtbarsten juristischen Konflikt an der Schnittstelle von KI und Urheberrecht liefert das Verfahren zwischen GEMA und OpenAI. Das Landgericht München I hat mit Urteil vom 11. November 2025 entschieden, dass OpenAI durch Training und Betrieb seiner Sprachmodelle die Urheberrechte an Liedtexten aus dem GEMA-Repertoire verletzt, weil das Modell diese Texte memorisiert und in weiten Teilen originalgetreu wiedergeben kann. Die Entscheidung verpflichtet OpenAI zu Unterlassung und Schadensersatz und wird europaweit als erstes Grundsatzurteil zum KI-Training auf urheberrechtlich geschützten Inhalten gelesen.

Schon jetzt ist absehbar, dass es nicht bei dieser Instanz bleiben wird. OpenAI hat öffentlich erklärt, Rechtsmittel zu prüfen. Beobachter gehen davon aus, dass 2026 eine Berufung zum Oberlandesgericht München eingereicht wird, die nicht nur die dogmatische Einordnung von Trainingskopien und Modellgewichten adressiert, sondern auch den Maßstab für „Memorisierung“ und die Grenze zwischen zulässiger statistischer Nutzung und unzulässiger Vervielfältigung.

Für die IT- und Content-Industrie ist dieses Berufungsverfahren in zweierlei Hinsicht zentral. Zum einen wird das OLG klären müssen, ob und in welchem Umfang KI-Anbieter detaillierte Nachweise über Trainingsdaten und technische Maßnahmen gegen Memorisation schulden. Zum anderen liegt die Frage nahe, ob bestimmte urheberrechtliche Kernbegriffe wie „Vervielfältigung“, „vorübergehende Vervielfältigung“ oder „öffentliche Wiedergabe“ in einem KI-Kontext unionsrechtlich auslegungsbedürftig sind.

Entscheidungen auf europäischer Ebene erwartet

Beobachter erwarten, dass das Berufungsgericht oder der Bundesgerichtshof als mögliche spätere Revisionsinstanz dem Europäischen Gerichtshof Vorlagefragen stellt und sich damit aus einem deutschen Einzelverfahren ein europäischer Referenzfall für KI-Training entwickelt. 2026 dürften dafür zunächst prozessuale Weichen gestellt und einstweilige Maßnahmen diskutiert werden, während die eigentliche inhaltliche Klärung in die späten Zwanzigerjahre rutschen könnte. Parallel dazu geht die öffentliche Diskussion um einen finanziellen Ausgleich für Urheber für nachteilige Auswirkungen generativer KI auf ihre Tätigkeit weiter.

Parallel zu KI- und Datenrecht verschärfen sich die sicherheitsrechtlichen Anforderungen. Mit dem NIS2‑Umsetzungsgesetz hat der Bundestag Mitte November 2025 das deutsche IT-Sicherheitsrecht grundlegend neu geordnet. Der Bundesrat hat diesem Gesetz bereits zugestimmt. Damit wird die Richtlinie der EU kurzfristig in nationales Recht überführt. Das Gesetz novelliert das BSI‑Gesetz umfassend und weitet den Kreis der betroffenen Unternehmen deutlich über die bisherige KRITIS-Welt hinaus aus.

Für Deutschland gilt damit 2026 als Startjahr für die neuen Melde-, Risikomanagement- und Aufsichtspflichten. Unternehmen, die bislang nicht unter das klassische KRITIS-Regime fielen, stehen jetzt vor der Frage, ob sie unter wichtige oder besonders wichtige Einrichtungen im Sinne des Gesetzes fallen. Inhaltlich bringt das Regime Mindeststandards für technische und organisatorische Maßnahmen, abgestufte Meldepflichten mit engen Fristen und deutlich erweiterte Eingriffsbefugnisse des BSI.

Flankiert wird diese Verschärfung durch den Cyber Resilience Act (CRA), dessen Meldeanforderungen für Sicherheitsvorfälle nach derzeitiger Planung ab Herbst 2026 und dessen weiter gehende Produktanforderungen ab Ende 2027 gelten sollen. Hersteller vernetzter Produkte müssen spätestens 2026 ihre Entwicklungs- und Patchprozesse so organisieren, dass sie die künftige CE-Konformität einschließlich Cybersecurity-Aspekten nachweisen können. Zusammen mit DORA im Finanzsektor und sektorspezifischen Sicherheitsregimen entsteht ein weiter verdichtetes regulatorisches Netz, das IT-Sicherheitsvorfälle nicht mehr nur als Betriebsrisiko, sondern als regulatorisches Ereignis mit Melde-, Dokumentations- und Governance-Folgen behandelt.

Identität im Mittelpunkt

Eine weitere Säule des digitalen Binnenmarkts, die 2026 in der Praxis sichtbar wird, ist die Reform des eIDAS-Rahmens. Mit eIDAS 2.0 wurde 2024 die Grundlage für das European Digital Identity Wallet geschaffen, das nach der neuen Verordnung bis 2026 von allen Mitgliedsstaaten angeboten werden soll. Bürgerinnen und Bürger sollen damit hoheitliche Dokumente wie Ausweise und Führerscheine, aber auch Versicherungsnachweise oder Hochschulzeugnisse digital vorhalten und qualifiziert signieren können.

Für Unternehmen bedeutet das eine neue Identitätsinfrastruktur, die sich in Registrierungs- und Login-Prozesse integrieren lässt, aber auch neue Compliancefragen aufwirft – etwa beim Umgang mit Attributzertifikaten, die zusätzliche Informationen beinhalten, und bei Haftungsfragen im Falle kompromittierter Wallets. In Deutschland fällt die Einführung des Wallets zeitlich mit einer weiteren Reform des elektronischen Rechtsverkehrs zusammen. Ein aktuell laufendes Gesetzgebungsverfahren verschiebt die bislang für Januar 2026 vorgesehenen Pflichttermine für die vollständige E-Akte in der Justiz und zeigt damit, dass die öffentliche Hand dem eigenen Digitalisierungsanspruch weiterhin hinterherläuft.

Die horizontale Regulierung der Plattformökonomie durch Digital Services Act (DSA) und Digital Markets Act (DMA) erreicht 2026 eine neue Phase. Unter dem DSA stehen seit 2024 die besonders großen Plattformen und Suchmaschinen in einem direkten Aufsichtsverhältnis zur Kommission, die erste Untersuchungen zu Empfehlungsalgorithmen, Werbeformaten und dem Umgang mit illegalen Inhalten eingeleitet hat. Ende 2025 ist zudem die delegierte Verordnung zum Forschungsdatenzugang in Kraft getreten, die Wissenschaftlerinnen und Wissenschaftlern erweiterte Rechte zur Datennutzung gegenüber sehr großen Plattformen einräumt.

DSA: erste Sanktionen erwartet

Für 2026 ist damit zu rechnen, dass die ersten Sanktionsentscheidungen zu systemischen DSA-Verstößen den Weg zu den Unionsgerichten finden und Gerichte die noch relativ abstrakten Sorgfalts- und Transparenzpflichten konkretisieren. Der DMA hat bereits 2025 seine Schlagkraft mit hohen Geldbußen gegen Apple und Meta demonstriert, die auch wegen ihrer Lenkungswirkung für die Plattformgestaltung weit über die betroffenen Unternehmen hinaus beachtet werden. Die dagegen angekündigten Klagen der betroffenen Hyperscaler werden das Gericht der Europäischen Union (EuG) in erster und den Europäischen Gerichtshof (EuGH) in letzter Instanz voraussichtlich ab 2026 beschäftigen und die Auslegung zentraler Begriffe des DMA wie „self-preferencing“ (Selbstbevorzugung) oder „anti steering“ (Lenkungsverbot) prägen.

Auch das Datenschutzrecht bleibt 2026 ein dynamisches Feld. Schon jetzt ist die Liste der anhängigen EuGH-Verfahren zu DSGVO-Fragen umfangreich, vom Qualifizieren pseudonymisierter Daten über die Anforderungen an Schadensersatz bis zur Zurechnung gemeinsamer Verantwortlichkeit. Parallel dazu zeichnet sich ein Trend zu Massenverfahren und kollektiven Rechtsdurchsetzungsmodellen ab, die sich insbesondere gegen große Plattformen und datengetriebene Geschäftsmodelle richten.

Der Bundesgerichtshof hat bereits 2025 klargestellt, dass bestimmte Verstöße gegen die DSGVO zugleich lauterkeitsrechtlich verfolgt werden können, also mögliche Verstöße gegen die Regeln eines fairen und ehrlichen Wettbewerbs. Für 2026 ist damit zu rechnen, dass Unterlassungs- und Schadensersatzansprüche aus Datenschutzverstößen zunehmend in Wettbewerbs- und Zivilverfahren verknüpft werden. In Kombination mit dem Digital-Omnibus-Vorschlag, der an einigen Stellen eine flexiblere Nutzung personenbezogener Daten für KI-Training und weniger Cookie-Banner vorsieht, ist absehbar, dass der EuGH und die nationalen Gerichte stärker als Korrektiv in den Blick rücken, wenn der Gesetzgeber das Schutzniveau justiert.

Eine Debatte mit unmittelbarer IT-Relevanz, die 2026 ebenfalls an Fahrt aufnehmen dürfte, betrifft die öffentliche Beschaffung. Unter der Überschrift einer strategischen Industriepolitik und digitaler Souveränität rückt die Vergabe von IT-Leistungen, Cloud-Infrastrukturen und Sicherheitsprodukten ins Zentrum. Die EU-Kommission will die öffentliche Beschaffung umgestalten: Sie soll einfacher und innovationsfreundlicher werden. Für einige Diskussionen dürfte eine mögliche Bevorzugung europäischer Unternehmen sorgen. Damit verbinden sich Forderungen aus Politik und Industrie, Buy-European-Modelle zumindest punktuell zu verankern und beispielsweise die Cloud-Wechselfähigkeit als Vergabekriterium zu kodifizieren. Für IT-Anbieter bedeutet das, dass 2026 Ausschreibungsunterlagen stärker als bisher Fragen der digitalen Souveränität, der Datenlokalisierung und Open-Source-Strategien berücksichtigen werden. Streitigkeiten um die Vereinbarkeit nationaler Buy-European-Konzepte mit den Grundfreiheiten sind absehbar und werden früher oder später den EuGH beschäftigen.

Fazit

2026 wird erneut ein Jahr sein, in dem im IT-Recht viele Weichen gestellt werden. Besonders dabei ist aber, dass das nicht durch neue Paradigmen, sondern durch Umsetzung, behutsamen Bürokratieabbau und die Anpassung bestehender Rechtsakte an veränderte Realitäten wie im Datenschutz geschehen soll. Für die Praxis bedeutet das weniger neue Normtexte und mehr Fokus auf Einzelaspekte. Die KI-Regulierung beispielsweise verschiebt den Schwerpunkt vom „Ob“ zum „Wie“ und macht anhand von Verfahren wie der erwarteten Berufung im Fall GEMA gegen OpenAI sichtbar, wie tief Gerichte künftig in Modellarchitekturen und Trainingsprozesse blicken müssen.

Cybersicherheit wird mit NIS2, CRA und sektorspezifischen Vorgaben zu einem zentralen Governance-Faktor, dessen Missachtung erhebliche rechtliche und wirtschaftliche Folgen haben kann. Gleichzeitig verzahnen Data Act, eIDAS-Wallet und DSA/DMA Datenflüsse, Identitätsmanagement und Plattformstrukturen enger als bisher. Und schließlich könnte die Vereinfachungsagenda der EU-Kommission zwar Prozesse entschlacken, zugleich aber das Schutzniveau im Datenschutz und bei KI spürbar verschieben. Wer 2026 im IT-Recht gestaltend handeln will, muss diese Linien früh erkennen und konsequent in seine Strategie einbetten.

(ur)

Für viele Kinder und Jugendliche ist die Weihnachtszeit weniger besinnlich als belastend: Familiäre Konflikte nehmen zu, Erwartungen steigen. Digitale Angebote wie Krisenchat.de bieten rund um die Uhr anonym und kostenlos Unterstützung – die Anfragen wegen familiärer Konflikte steigen dort an den Feiertagen nach eigenen Angaben um rund 150 Prozent.

heise online hat mit Juliane Pougin, Mitglied der psychologischen Leitung von Krisenchat.de, über diese Belastungen und die Rolle digitaler Hilfe gesprochen. Das Angebot wird unter anderem vom Familienministerium gefördert.

Gegründet während der Coronakrise hat sich Ihr Beratungsangebot zu einer Stütze für unzählige Kinder und Jugendliche entwickelt, was auch mit dem Deutschen Kinderschutzpreis gewürdigt wurde. Welche Reise hat Ihr Projekt seit den Anfängen gemacht?

Juliane Pougin: Wir wurden während der Coronapandemie aus der Initiative von jungen Menschen gegründet, die selbst betroffen waren und in der Krise niemanden mehr erreichten. Wenn wir jetzt fünf Jahre zurückblicken, sehen wir einen Bedarf, den wir uns damals nicht hätten vorstellen können. Kinder und Jugendliche melden sich bei uns in Krisen und sind dankbar, dass immer jemand für sie da ist. Dieser Bedarf ebbt nicht ab. Wir haben monatlich etwa 3800 Beratungen und seit unserer Gründung knapp 200.000 Beratungen durchgeführt. Das zeigt, was für ein enormer Bedarf besteht, den wir oft kaum decken können.

Viele digitale Angebote, wie die Videosprechstunde, haben inzwischen wieder einen Rückgang verzeichnet. Ihr Angebot scheint aber konstant hohen Zuspruch zu haben. Haben Sie da eine Lücke gefüllt?

Ja, für Kinder und Jugendliche sind wir angenehm niederschwellig und passen genau zu ihren Gewohnheiten. Die junge Generation bestellt selbst Pizza per App, um nicht telefonieren zu müssen. Eine chatbasierte Beratung ist also genau das, was sie wollen. Wer sich einmal bei uns meldet, kommt oft wieder – nicht mit demselben Problem, sondern weil er die positive Erfahrung gemacht hat, dass wir helfen. Es ist ein bisschen wie ein Kiosk: Man kommt rein, schildert sein Problem, und wir zeigen, wo im Regal die passende Hilfe zu finden ist. Wir schauen immer, wer vor Ort am besten helfen kann, und beraten entsprechend. Das schätzen die Jugendlichen sehr.

Sie sprechen von der Gen Z. Wie sieht die genaue Altersverteilung aus? Gibt es auch deutlich jüngere oder ältere Nutzer als erwartet?

Unser jüngster Nutzer war neun Jahre alt – man muss natürlich schreiben können, um mit uns zu kommunizieren. Wir beraten bis einschließlich 24 Jahre. Ältere Personen verweisen wir an andere Angebote, da unsere Kernkompetenz bei Kindern und Jugendlichen liegt.

Das Alter und die Authentizität können Sie aufgrund des Datenschutzes aber nicht sicherstellen?

Wir fragen zu Beginn nach dem Alter, um uns auf unser Gegenüber einstellen zu können – mit einer 12-Jährigen schreibt man anders als mit einer 22-Jährigen. Wir gehen dabei von der Ehrlichkeit der Person aus. Wir fragen auch nach dem Namen, mit dem die Person angesprochen werden möchte. Das ist besonders für junge Menschen, die sich als trans erleben, eine wichtige Erfahrung, im gewünschten Geschlecht angesprochen zu werden. Unser System ist pseudonymisiert: Die Berater sehen nur eine fortlaufende Nummer, nicht die Telefonnummer, die tief im System hinterlegt ist. Datenschutz hat bei uns höchste Priorität, dafür haben wir ein eigenes IT-Team.

Was passiert in extremen Fällen, zum Beispiel bei einer akuten Suizidgefahr? Gibt es da Ausnahmen von der Anonymität?

Zwischen 20 und 25 Prozent unserer Anfragen beinhalten suizidale Gedanken. Wir nehmen das sehr ernst und ordnen das Risiko ein. Wenn jemand akut suizidal ist und sich nicht deeskalieren lässt, schaltet sich unsere „Hofbereitschaft“ ein – eine speziell geschulte Sondereinsatzgruppe, die rund um die Uhr verfügbar ist. Nur dieses Team darf den Rettungsdienst oder die Polizei einschalten und kann dafür die Telefonnummer an die Behörden weitergeben. Darüber informieren wir auch auf unserer Website: Wenn es um Leib und Leben geht, besteht ein übergeordneter Notstand. Wir lassen die Jugendlichen dann aber nicht allein, sondern bleiben in Kontakt, bis die Hilfe vor Ort ist.

Kommt es oft zu Falschmeldungen, bei denen Sie die Polizei alarmieren und vor Ort dann doch nichts ist?

Das passiert äußerst selten. Wir sehen solche Meldungen auch nicht als „falschen Alarm“, sondern immer als einen Hilferuf. Spaßanrufe haben wir kaum. Leider gibt es aber auch den umgekehrten, sehr seltenen Fall, dass Hilfe zu spät kommt. Das ist für alle Beteiligten sehr belastend, und wir bieten unseren Mitarbeitenden dafür Supervision an.

Wie äußert sich der erhöhte Bedarf über die Feiertage?

Wenn Familien an den Feiertagen eng aufeinandersitzen, kracht es oft. Unterschiedliche Vorstellungen prallen aufeinander – das macht Kindern und Jugendlichen sehr zu schaffen. Das kann beim Essen losgehen oder bei der Diskussion, was man aus seinem Leben machen will. Für junge Menschen sind das oft größere Krisen, als wir Erwachsene es wahrnehmen. Wir sind dann als Gesprächspartner da, was oft schon entlastend sein kann.

Neben den alltäglichen Familienkonflikten gibt es ja auch das Problem der häuslichen Gewalt, die in Ferienzeiten oft unentdeckt bleibt, weil Kanäle wie die Schule wegfallen. Bemerken Sie das auch?

Absolut. Das haben wir in der Coronazeit erlebt und erleben es auch in den Ferien und an Feiertagen. Wichtige Kanäle, über die so etwas gemeldet wird, fallen weg. Ich bin ein großer Fan von Schulsozialarbeit, die für mich zu den wichtigsten Dingen im Schulsystem gehört. Wenn diese Anlaufstelle fehlt, sind wir ein wichtiger Ansprechpartner.

Stocken Sie über die Feiertage personell auf?

Ja, wir belegen die Schichten enger. Wenn wir einen plötzlichen Anstieg an Anfragen bemerken, können wir über einen internen Kanal schnell weitere Ehrenamtliche aktivieren. Da alles online stattfindet, können sich Helfende auch kurzfristig für zwei oder drei Gespräche einklinken. Unsere Ehrenamtsschichten dauern nur zwei Stunden, was uns sehr flexibel macht.

Kann jeder bei Ihnen ehrenamtlich mithelfen?

Nein, bei uns arbeiten ausschließlich psychosoziale Fachkräfte. Das sind Personen aus den Bereichen Psychologie, Sozialarbeit oder angrenzenden Professionen, da wir es mit der besonders schutzbedürftigen Gruppe der Kinder und Jugendlichen zu tun haben.

Hinweis: In Deutschland finden Sie Hilfe und Unterstützung bei Problemen aller Art, auch bei Fragen zu Mobbing und Suiziden, bei telefonseelsorge.de und telefonisch unter 0800 1110111. Die Nummer gegen Kummer (Kinder- und Jugendtelefon) lautet 116 111. In Österreich gibt es ebenfalls kostenfreie Hilfsangebote, darunter speziell für Kinder der Kindernotruf unter 0800 567 567 sowie Rat auf Draht unter 147. Dieselbe Telefonnummer führt in der Schweiz zu Pro Juventute.

(mack)

Seit dem Sommer veröffentlichen wir jeden Freitag eine aufwendige Filmrezension. Timo Wolters fühlt mit seiner jahrelangen Erfahrung den Film-Discs auf den Zahn und analysiert die Bild- und Tonqualität. c’t-Redakteur Hartmut Gieselmann ergänzt mit seinem filmischen Wissen und fördert so manchen Geheimtipp zutage.

Im Jahresrückblick diskutieren die beiden, welche Filme sie in diesem Jahr besonders beeindruckt haben. Dazu stellen sie auf den folgenden Seiten jeweils ihre drei Lieblinge in fünf Kategorien vor: bester Ton, bestes Bild, beste Restauration, größter Flop und bester Film. Es ist eine breite Auswahl von Arthouse bis Blockbuster, Indie-Perlen und Großproduktionen, manche unbekannt, andere in aller Munde.

Ihr könnt die gesamte Vorstellung als Uplink schauen und parallel die Filmempfehlungen auf den nächsten Seiten nachlesen. Damit möchten wir uns bei allen Lesern bedanken, die die Filmrezensionen hier auf heise.de mit ihrem Interesse und Diskussionsbeiträgen in den vergangenen Monaten so prima unterstützt haben. Schreibt gerne in die Kommentare, welche Filme euch besonders gefallen oder auch missfallen haben. Wir freuen uns auf eine lebendige Diskussion. Mit den wöchentlichen Rezensionen gehts am 9. Januar weiter. Wer vorher noch Lust hat, den Ton seiner Heimkino-Anlage zu optimieren, kann am Donnerstag, den 8. Januar noch ein c’t-Webinar von Hartmut zu dem Thema buchen.