Zurück zur Übersicht
22.01.2026 Fachbeitrag

EU-Digitalrecht 2026: Welche Änderungen sind auf nationaler Ebene zu erwarten?

Update Datenschutz Nr. 230

Mit dem Jahr 2026 tritt das Digitalrecht in Deutschland in eine entscheidende Umsetzungsphase ein. Während auf europäischer Ebene zahlreiche digitale Verordnungen erstmals ihre volle praktische Wirkung entfalten (wir berichteten in Datenschutzupdate Nr. 223), rücken auf nationaler Ebene insbesondere Fragen des Vollzugs, der institutionellen Zuständigkeiten und der administrativen Umsetzung in den Vordergrund. Der deutsche Gesetzgeber und die zuständigen Behörden stehen vor der Aufgabe, europäische Vorgaben in funktionierende Aufsichts-, Verwaltungs- und Verfahrensstrukturen zu überführen und zugleich punktuelle nationale Anpassungen vorzunehmen. Prägend sind dabei unter anderem die geplante Novellierung des Bundesdatenschutzgesetzes, die nationale Durchsetzung des Data Act sowie neue Kooperations- und Meldepflichten im Bereich der digitalen Strafverfolgung und Cybersicherheit. Hinzu treten weitreichende Vorhaben der Verwaltungsdigitalisierung, die digitale Identitäten, Registermodernisierung und staatliche Plattformstrukturen betreffen und faktisch neue rechtliche Anforderungen schaffen. Der folgende Beitrag gibt einen Überblick über die zentralen Entwicklungen des deutschen Digitalrechts im Jahr 2026 und ordnet deren praktische Bedeutung für Unternehmen ein.

I. Datenschutz und Datenverarbeitung

Im Bereich des Datenschutzrechts zeichnet sich für das Jahr 2026 auf nationaler Ebene insbesondere eine punktuelle, aber rechtlich bedeutsame Weiterentwicklung des Bundesdatenschutzgesetzes (BDSG) ab. Anlass hierfür sind nicht zuletzt die jüngeren Entscheidungen des EuGH zum Scoring durch Wirtschaftsauskunfteien (SCHUFA-Rechtsprechung), die den Anwendungsbereich von Art. 22 DSGVO präzisiert und den bisherigen nationalen Regelungsansatz in Frage gestellt haben. Zugleich bestehen weiterhin Auslegungsunsicherheiten im Zusammenspiel zwischen der DSGVO und dem nationalen Ausführungsrecht, insbesondere im Hinblick auf zulässige nationale Konkretisierungen.

Im Fokus der geplanten BDSG-Novelle steht dabei vor allem der Umgang mit automatisierten Entscheidungsprozessen und Bonitätsbewertungen („Scoring“), der seit Jahren Gegenstand rechtlicher und politischer Kontroversen ist. Der EuGH hat mit seinem Urteil vom 7. Dezember 2023 klargestellt, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts durch eine Auskunftei eine „automatisierte Entscheidung“ im Sinne von Art. 22 Abs. 1 DSGVO darstellen kann, sofern dieser Wert für die Entscheidung eines Dritten – etwa über die Gewährung eines Kredits – maßgeblich ist. Damit unterfällt das Scoring als solches grundsätzlich dem Verbot automatisierter Einzelentscheidungen, sofern keine der eng auszulegenden Ausnahmen des Art. 22 Abs. 2 DSGVO greift.

Vor diesem Hintergrund beabsichtigt die Bundesregierung, das BDSG um einen neuen § 37a zu ergänzen, der Scoring-Verfahren und vergleichbare automatisierte Bewertungen neu regeln soll. Ziel ist es, eine eigenständige nationale Rechtsgrundlage für zulässige automatisierte Entscheidungsfindungen im Sinne von Art. 22 Abs. 2 Buchst. b DSGVO zu schaffen und dabei insbesondere Anforderungen an zulässige Datenkategorien, Transparenz, Entscheidungslogik sowie an angemessene Schutzmaßnahmen näher zu konkretisieren. Die geplante Regelung soll damit ausdrücklich an die vom EuGH gezogenen Grenzen anknüpfen und zugleich einen praktikablen Rahmen für datengetriebene Geschäftsmodelle bieten.

Die geplanten Regelungen knüpfen eng an die Vorgaben der DSGVO an und nutzen die dort vorgesehenen Öffnungsklauseln, ohne den unionsrechtlichen Rahmen zu verlassen. Gleichzeitig besteht weiterhin das Risiko, dass nationale Sonderregelungen zu einer erhöhten Komplexität führen, insbesondere für Unternehmen, die datengetriebene Geschäftsmodelle in mehreren Mitgliedstaaten betreiben.

II. Data Act & Datenzugang

Auch der Data Act rückt auf nationaler Ebene zunehmend in den Fokus der praktischen Anwendung. Zwar gilt die Verordnung unmittelbar und einheitlich in allen Mitgliedstaaten, ihre tatsächliche Wirkung hängt jedoch maßgeblich von der nationalen Durchsetzung und der Ausgestaltung der Aufsichtsstrukturen ab. In Deutschland ist die Zuständigkeitsverteilung zwischen Bundes- und Landesbehörden bislang noch nicht abschließend geklärt und Gegenstand laufender Abstimmungen. Offen ist insbesondere, welche Behörden für die Durchsetzung der neuen Datenzugangsrechte federführend zuständig sein sollen und wie sich diese Zuständigkeiten zu bestehenden datenschutzrechtlichen Aufsichtsmechanismen verhalten.

Von besonderer Bedeutung ist, dass zentrale Pflichten des Data Act, insbesondere die Verpflichtung zur nutzerfreundlichen Bereitstellung von Produkt- und Dienstdaten, ab September 2026 auch für neu in Verkehr gebrachte vernetzte Produkte verbindlich gelten (wir berichteten). Damit wird der Datenzugang nicht mehr nur als vertragliche oder organisatorische Frage behandelt, sondern als technisch zu gewährleistende Produkteigenschaft. Für Hersteller und Anbieter bedeutet dies, dass Anforderungen an Datenzugang und Datenportabilität bereits in Entwicklungs- und Designprozesse integriert werden müssen.

Auf nationaler Ebene wird sich 2026 zeigen, inwieweit die zuständigen Behörden in der Lage sind, die neuen Zugangsrechte effektiv durchzusetzen und zugleich Überschneidungen mit bestehenden Datenschutz- und Regulierungsregimen sachgerecht aufzulösen. Für Unternehmen entsteht dadurch ein zusätzlicher Koordinationsbedarf, da datenrechtliche Compliance künftig nicht mehr allein entlang der DSGVO, sondern zunehmend auch entlang sektorenübergreifender Datenzugangsregeln zu organisieren ist.

III. Digitale Strafverfolgung und Sicherheit

Im Bereich der digitalen Strafverfolgung und Sicherheit ist das Jahr 2026 in Deutschland vor allem durch vorbereitende Umsetzungs- und Anpassungsmaßnahmen geprägt. Maßgeblich sind hierbei insbesondere die E-Evidence-Verordnung, die ab August 2026 unionsweit anwendbar ist (wir berichteten), sowie die europäische Cybersicherheitsregulierung, insbesondere im Umfeld der NIS-2-Richtlinie und des Cyber Resilience Act. Diese Regelwerke verändern sowohl den Zugriff auf elektronische Beweismittel als auch die Anforderungen an den Umgang mit Sicherheitsvorfällen und digitalen Risiken.

Für die nationale Ebene ergeben sich daraus vor allem Anpassungsbedarfe im Strafverfahrensrecht und in der behördlichen Praxis. Strafverfolgungsbehörden müssen neue Instrumente zur grenzüberschreitenden Sicherung und Herausgabe elektronischer Daten einbinden, während zugleich klare Zuständigkeiten und Verfahrensabläufe innerhalb der föderalen Sicherheitsarchitektur zu etablieren sind. Unternehmen geraten dabei stärker in eine vermittelnde Rolle zwischen Ermittlungsinteressen und dem Schutz personenbezogener Daten.

Von praktischer Bedeutung ist insbesondere die zunehmende Einbindung privater Anbieter digitaler Dienste in Ermittlungs- und Sicherungsmaßnahmen. Die E-Evidence-Verordnung ermöglicht es Strafverfolgungsbehörden künftig, Diensteanbieter unmittelbar und grenzüberschreitend zur Herausgabe oder Sicherung elektronischer Beweismittel zu verpflichten, teilweise mit sehr kurzen gesetzlichen Umsetzungsfristen. Für betroffene Unternehmen bedeutet dies einen erheblich gesteigerten organisatorischen und rechtlichen Handlungsdruck, da entsprechende Anordnungen kurzfristig geprüft, technisch umgesetzt und zugleich datenschutzrechtlich eingeordnet werden müssen. Parallel hierzu führen nationale Umsetzungsmaßnahmen im Bereich der Cybersicherheit dazu, dass Meldepflichten bei Sicherheitsvorfällen und Schwachstellen weiter konkretisiert werden.

IV. Verwaltungsdigitalisierung 

Auch die Verwaltungsdigitalisierung bildet einen weiteren zentralen Schwerpunkt des deutschen Digitalrechts. Anders als klassische Regulierungsakte richtet sie sich nicht primär an Unternehmen, entfaltet jedoch erhebliche mittelbare rechtliche Wirkungen, indem sie neue digitale Zugangs-, Identifikations- und Verfahrensstandards etabliert. Maßgeblich sind hierbei insbesondere die nationale Umsetzung der Europäischen Digitalen Identitäts-Wallet, die Fortführung der Registermodernisierung sowie der Aufbau einheitlicher technischer Basisstrukturen für digitale Verwaltungsleistungen.

Mit Blick auf die Einführung der Digitalen Identitäts-Wallet steht 2026 vor allem die Schaffung der rechtlichen und organisatorischen Voraussetzungen im Vordergrund. Dazu zählen Fragen der Zuständigkeit, der Sicherheitsarchitektur, der Zertifizierung beteiligter Akteure sowie der Anbindung bestehender Verwaltungs- und Unternehmensprozesse. Auch wenn die verpflichtende Bereitstellung der Wallet erst ab Ende 2026 greift, werden bereits im Laufe diesen Jahres wesentliche Weichenstellungen vorgenommen, die den künftigen Einsatz digitaler Identitäten in Verwaltung und Wirtschaft prägen.

Parallel hierzu schreitet die Registermodernisierung weiter voran. Der schrittweise Anschluss zentraler Register und die Umsetzung des Once-Only-Prinzips führen dazu, dass Datenabrufe zwischen Behörden zunehmend automatisiert erfolgen. Dies wirft nicht nur technische, sondern auch datenschutz- und organisationsrechtliche Fragen auf, insbesondere im Hinblick auf Transparenz, Zugriffskontrollen und die Verantwortlichkeit für Datenqualität. Ergänzt wird dies durch den Aufbau sogenannter Basisdienste und Plattformstrukturen, die im Rahmen eines „Deutschland-Stacks“ bundeseinheitliche Standards für digitale Verwaltungsleistungen setzen sollen.

V. Handlungsempfehlungen für Unternehmen

Vor dem Hintergrund der dargestellten Entwicklungen sollten Unternehmen das Jahr 2026 nutzen, um ihre bestehenden Digital-Compliance-Strukturen gezielt auf nationale Umsetzungs- und Vollzugsfragen auszurichten. Im Mittelpunkt steht dabei weniger die Einführung völlig neuer Prozesse als vielmehr die Anpassung bestehender Abläufe an konkretisierte nationale Anforderungen und neue behördliche Schnittstellen. Insbesondere dort, wo europäische Vorgaben durch nationale Regelungen, Verwaltungspraxis oder Aufsichtsstrukturen ergänzt werden, steigt der Bedarf an klaren Zuständigkeiten und belastbaren internen Verfahren.

Im Datenschutzbereich empfiehlt es sich, bestehende datenbasierte Bewertungs- und Entscheidungsverfahren, insbesondere Scoring-Modelle und vergleichbare automatisierte Prozesse, im Hinblick auf mögliche nationale Konkretisierungen frühzeitig zu überprüfen. Auch im Kontext des Data Act sollten Unternehmen ihre Produkt- und Datenarchitekturen daraufhin analysieren, ob Datenzugangsrechte technisch und organisatorisch hinreichend abgebildet sind und ob Schnittstellen zu Nutzern und Behörden praktikabel ausgestaltet sind.

Darüber hinaus gewinnen vorbereitende Maßnahmen im Bereich der digitalen Strafverfolgung und Cybersicherheit an Bedeutung. Unternehmen sollten sicherstellen, dass behördliche Anfragen zu elektronischen Daten sowie Meldungen von Sicherheitsvorfällen innerhalb kurzer Fristen rechtssicher bearbeitet werden können. Gerade für kleine und mittlere Unternehmen, die häufig über begrenzte personelle und technische Ressourcen verfügen, ist es dabei entscheidend, die Anforderungen frühzeitig zu bündeln und pragmatisch in bestehende Compliance- und Risikomanagementstrukturen zu integrieren.

VI. Fazit und Ausblick

Das Jahr 2026 markiert für das deutsche Digitalrecht weniger einen Neubeginn als vielmehr eine Phase der praktischen Bewährung bestehender Regelwerke. Im Vordergrund stehen die nationale Konkretisierung, der Vollzug und die organisatorische Umsetzung europäischer Vorgaben sowie einzelner nationaler Anpassungen, insbesondere im Datenschutzrecht. Zugleich gewinnt die Verwaltungsdigitalisierung als faktischer Regelungsrahmen an Bedeutung und prägt zunehmend die rechtlichen Rahmenbedingungen für Unternehmen. Für die Praxis wird entscheidend sein, inwieweit es gelingt, neue Pflichten, behördliche Anforderungen und digitale Schnittstellen kohärent und handhabbar auszugestalten.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

20.01.2026
Digitalrecht im Wandel: Was das EU-Mercosur Abkommen jetzt für Unternehmen bedeutet
15.01.2026
Neue Entscheidung aus Luxemburg bricht bestehende Grundsätze in der Plattformhaftung auf
09.01.2026
Auswirkungen der Rechtswidrigkeit einer anfänglichen Verarbeitung personenbezogener Daten auf die Weiterverarbeitung durch einen anderen Verantwortlichen
09.01.2026
EuGH verneint Provider-Privileg bei DSGVO-Verstößen: „Russmedia“ erhöht Pflichten für Plattformbetreiber
07.01.2026
EU-Digitalrecht 2026: Die wichtigsten Neuerungen im Überblick
22.12.2025
AI ACT: Wie müssen Unternehmen KI-generierte Inhalte kennzeichnen?
15.12.2025
EU Kommission veröffentlicht FAQ zur EmpCo Richtlinie
02.12.2025
EU-DIGITALRECHT: Welche Rechtspflichten treffen zukünftig Anbieter von SaaS-Diensten (Software as a Service)?
02.12.2025
Wettbewerbszentrale klagt erneut gegen Amazon – Welche Auswirkungen könnte dies auf die Plattformhaftung haben?
27.11.2025
Digital Omnibus: Welche Änderungen im Datenschutz (DSGVO) sind zu erwarten?
14.11.2025
Bundestag verabschiedet NIS2-Umsetzungsgesetz – Was Unternehmen jetzt wissen und tun müssen
14.11.2025
Eine neue Facette im Coaching-Recht: Ist die Nichtigkeit von Coaching-Verträgen verfassungswidrig?

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.