Welche Themen werden Verantwortliche in den Bereichen Datenschutz, Informationssicherheit und künstliche Intelligenz (KI) im Jahr 2026 besonders beschäftigen? Was sind die größten technischen, rechtlichen und organisatorischen Herausforderungen? Wo werden die Aufsichtsbehörden besonders hinschauen? Welche neuen Anforderungen ergeben sich durch aktuelle Gerichtsurteile?
Meine Kolleginnen und Kollegen – die Experten der activeMind AG und von activeMind.legal Rechtsanwälte – geben ihre Einschätzungen ab und wagen ihre persönliche Prognose für Compliance, Datenschutz, Informationssicherheit und künstliche Intelligenz im Jahr 2026.
David Weihbrecht
Rechtsanwalt
„KI ist im Alltag angekommen – KI-Regulierung noch nicht.“
Die Nutzung von Tools, die auf künstlicher Intelligenz basieren, hat sich weitgehend etabliert. Ob ChatGPT, Gemini oder Claude – verschiedene KI-Modelle wurden im letzten Jahr bei zahlreichen unserer Kunden eingeführt und werden intensiv genutzt. Die Auswirkungen spüren wir direkt in Projekten, für die komplette Prozesse, Verträge und interne Regelungen neu gedacht werden. Schon bei der Auswahl, welches Modell oder Tool geeignet ist, sind unternehmensspezifische Anforderungen zu berücksichtigen. Dabei müssen die Lösungen ein effizienteres Arbeiten ermöglichen und praktikabel sein, während die Rechte und Freiheiten der betroffenen Personen geschützt und die gesetzlichen Vorgaben eingehalten werden.
Für den Datenschutz gibt es dafür inzwischen verschiedenste Handreichungen und Orientierungshilfen, die uns als wichtige Auslegungshilfe dienen. Im Hinblick auf die KI-Verordnung (AI Act) gelten seit dem 2. Februar 2025 Verbote für bestimmte KI-Praktiken, wie Social-Scoring, manipulative Dark Patterns oder die Ableitung von Emotionen am Arbeitsplatz. Besonders in Bereichen wie der Personalabteilung, in denen viele oder sensible Daten verarbeitet werden, müssen Verarbeitungen, die von KI-Tools übernommen werden, intensiv analysiert werden, um Risiken verlässlich einzuschätzen und effektiv zu reduzieren.
Im November 2025 schlug die EU-Kommission bereits gezielte Anpassungen der KI-Verordnung vor – unter anderem längere Übergangsfristen für Hochrisiko-Systeme und Vereinfachungen, um Überschneidungen mit DSGVO und Data Act zu reduzieren und mehr Unternehmen zu entlasten. Viele Anforderungen an künstliche Intelligenz sollen damit geändert und zeitlich um etwa ein bis eineinhalb Jahre nach hinten verschoben werden, bevor sie am 2. August 2026 überhaupt anwendbar würden.
Tipp für 2026: Für unsere KI-, Datenschutz-, und Compliance-Praxis bedeutet das: KI ist ein Treiber effizienter Arbeit, die rechtssicher in den Arbeitsalltag integriert werden muss. Die Zeit bis zur breiteren Anwendbarkeit der Regelungen der KI-Verordnung sollte genutzt werden, um gewünschte Modelle, Tools und Managementsysteme so auszuwählen und aufzusetzen, dass sie sowohl den regulatorischen Vorgaben als auch den praktischen Bedürfnissen des Unternehmens gerecht werden.
Dr. Evelyne Sørensen
Wirtschaftsjuristin
„Internationale Datentransfers bleiben im Wandel“
Im Jahr 2025 wurden weltweit zahlreiche neue Datenschutzgesetze erlassen und eingeführt (etwa Indien und dem Vereinigten Königreich) oder bestehende Regelungen überarbeitet (wie in Brasilien, Südkorea und China). Für global agierende Unternehmen bedeutet das: Sie müssen sich laufend auf neue und geänderte Anforderungen einstellen, um internationale Datentransfers rechtssicher zu gestalten. Compliance wird komplexer, da neben der DSGVO auch nationale Vorgaben berücksichtigt werden müssen.
Ein zentrales Thema bleibt das EU-US Data Privacy Framework (DPF), das als Mechanismus für rechtssichere Datentransfers in die USA dient. Die Datenschutzkonferenz (DSK) bestätigt, dass das DPF derzeit genutzt werden kann, ebenso das Gericht der Europäischen Union. Dennoch bleibt es unter Beobachtung, da mögliche Klagen die Stabilität gefährden könnten.
Für internationale Datentransfers besonders relevant sind auch im Jahr 2026 die neuen EDPB-Leitlinien zu Art. 48 DSGVO, die klarstellen, dass Datenzugriffe durch Drittstaatbehörden nur auf Basis völkerrechtlicher Abkommen zulässig sind. Unternehmen müssen daher interne Prozesse für Behördenanfragen neu definieren. Damit wird auch deutlich: Bei internationalen Datentransfers reicht es nicht, nur die rechtliche Grundlage zu prüfen. Die EDPB-Leitlinien betonen, dass zusätzlich Transfer Impact Assessments (TIAs) verpflichtend sind für alle Transfers in Länder ohne Angemessenheitsbeschluss und müssen dokumentierte Risikoanalysen sowie ergänzende Schutzmaßnahmen wie Verschlüsselung enthalten. Dabei müssen rechtliche, vertragliche und technische Schutzmechanismen geprüft, dokumentiert und regelmäßig aktualisiert werden
Tipp für 2026: Wer seine internationalen Datentransfers dokumentiert hat, Standarddatenschutzklauseln (SCCs) konsequent implementiert, Transfer Impact Assessments als festen Bestandteil des Compliance-Prozesses etabliert und klare Abläufe für Behördenanfragen aus Drittstaaten definiert, minimiert nicht nur rechtliche Risiken bei Drittlandtransfers, sondern schafft auch Vertrauen bei Kunden und Geschäftspartnern.
Michael Plankemann
Rechtsanwalt
„NIS2 und das geänderte BSIG fordern 2026 viele Unternehmen heraus“
Die europäische NIS2-Richtlinie ist seit dem 6. Dezember 2025 über das deutsche NIS2-Umsetzungsgesetz verbindlich – ohne weitere Umsetzungsfrist! Damit wird Cybersicherheit für viele Unternehmen von einer sehr sinnvollen, aber immerhin freiwilligen Maßnahme ab sofort zu einer verbindlichen gesetzlichen Anforderung als NIS2-Compliance.
Besonders betroffen sind mittelgroße und große Unternehmen aus kritischen oder wichtigen Sektoren wie Energie, Gesundheitswesen, Transport, Digitalinfrastruktur, Industrie oder Entsorgung, sofern sie die entsprechenden Schwellenwerte erreichen. Es werden viele Organisationen angesprochen, die bisher gar nicht oder nur ganz am Rande vom IT-Sicherheitsrecht betroffen waren.
Tipp: Mit unserem NIS2-Check ermitteln Sie, ob Ihr Unternehmen betroffen ist.
Im Mittelpunkt von NIS2 bzw. dem geänderten BSI-Gesetz steht das systematische Risikomanagement. Unternehmen müssen nachweisbar geeignete technische und organisatorische Sicherheitsmaßnahmen etablieren, also etwa starke Authentifizierungsverfahren, Verschlüsselung, Backup- und Wiederanlaufkonzepte, ein strukturiertes Notfall- und Krisenmanagement und Maßnahmen zur Absicherung von Lieferketten.
Ergänzend schreibt NIS2 verbindliche Meldungen für erhebliche Sicherheitsvorfälle gegenüber den zuständigen Behörden vor. Eine Registrierung ist für einige Organisationen grundsätzliche Pflicht und voraussichtlich ab dem 6. Januar 2026 beim BSI möglich.
Deutlich verschärft wird auch die persönliche Verantwortung des Managements: Geschäftsleitungen müssen Sicherheitsstrategien verabschieden, deren Umsetzung überwachen und sich regelmäßig berichten lassen. Dafür sind NIS-Geschäftsleitungsschulungen unumgänglich. Bei Pflichtverletzungen drohen nicht nur dem Unternehmen hohe Bußgelder, sondern auch die ganz persönliche Haftung.
Für Unternehmen bedeutet dies: Jetzt prüfen, ob NIS2 anwendbar ist und falls ja, sofort mit der Umsetzung beginnen.
Tipp für 2026: Betroffene Unternehmen beginnen im Idealfall mit einer NIS2-Gap-Analyse, um konkreten Handlungsbedarf zu ermitteln und priorisieren.
Nicole Quirke
Juristin
„Compliance-Management ist Vertrauenssache“
Compliance-Management klingt oft nur nach noch mehr Regelungen und On-top-Verwaltungsaufwand. Dabei geht es doch um etwas ganz Wesentliches: Verantwortung übernehmen, Regeln einhalten, Risiken vermeiden, Chancen nutzen und Vertrauen schaffen.
Jede Organisation hat Verpflichtungen – gesetzliche Verpflichtungen (wie z.B. aus der DSGVO), interne Richtlinien und ethische Standards. Auch vertragliche und normative (Selbst-)Verpflichtungen können dazu zählen. Diese bestehenden Verpflichtungen sind die Basis für alles und geben den Rahmen vor, in dem sich die Organisation bewegt.
Genauso entscheidend ist es zu analysieren, wo innerhalb dieses Rahmens die größten Risiken liegen. Nur wer die Risiken für seine Organisation kennt, kann sie wirksam managen.
Nichts anderes macht Compliance-Management.
Compliance schafft zudem auch Chancen. Regeln und Richtlinien geben Mitarbeitenden Sicherheit im Arbeitsalltag. Sie wissen, was erlaubt ist und was nicht, indem klare Regeln und faire Prozesse geschaffen werden. Vertrauen, Eigenverantwortung und Integrität sind damit eine echte Chance für Motivation und Entwicklung. Organisationen, die klare Regeln leben, gewinnen zudem Vertrauen bei Kunden, Geschäftspartnern und Interessenten.
Dies zeigt auf, dass ein Compliance-Managementsystem nicht nur effizient, sondern auch strategisch wesentlich ist: Es schafft Struktur, mindert Risiken, dokumentiert Nachweise, ist der Treiber für kontinuierliche Verbesserung und steht für Vertrauen, Stabilität und nachhaltiges Wachstum.
Tipp für 2026: Ein Compliance-Management lässt sich auch in bereits bestehende Managementsysteme integrieren. Nutzen Sie hierfür bereits bestehende Strukturen, wenn etwa Ihr Informationssicherheits-Managementsystem (ISMS) schon nach ISO 27001 zertifiziert ist.
Christian Wegeler
Wirtschaftsjurist
„Mitarbeiterkompetenz als Schlüssel für Datenschutz, Informationssicherheit und KI-Compliance“
Auch im Jahr 2026 wird wieder deutlich werden: Die beste technische Sicherheitsmaßnahme verliert an Wirksamkeit, wenn die Menschen in einer Organisation nicht über das nötige Wissen und die angemessene Sensibilisierung verfügen. Mitarbeiter bleiben, unabhängig von Branche oder Unternehmensgröße, ein zentraler Faktor für die Einhaltung von Datenschutz, Informationssicherheit und den verantwortungsvollen Einsatz von künstlicher Intelligenz. Die zunehmende Regulierung, insbesondere durch die KI-Verordnung, verstärkt diese Bedeutung weiter.
Ein besonderer Fokus liegt auch 2026 auf der sogenannten Kompetenzpflicht nach Art. 4 der KI-Verordnung. Diese verpflichtet Organisationen dazu sicherzustellen, dass Mitarbeiter über die notwendigen Fähigkeiten verfügen, KI zu verstehen, deren Funktionsweise kritisch zu hinterfragen und sie verantwortungsvoll einzusetzen. Hintergrund dieser Pflicht ist klar: KI durchdringt immer stärker die operativen Prozesse, von automatisierten Analysen über Text- und Bildgenerierung bis hin zu Entscheidungsunterstützung. Nur wer über ausreichende KI-Kompetenz verfügt, kann die Chancen nutzen, Risiken erkennen und gesetzliche Vorgaben einhalten. Fehlende Kompetenz führt schnell zu Fehlentscheidungen, übermäßiger Abhängigkeit von technischen Systemen oder einem unbemerkten Verstoß gegen regulatorische Anforderungen.
Auch im Datenschutz und der Informationssicherheit zeigt sich unverändert, wie entscheidend gut geschulte Mitarbeiter sind. Viele Datenschutzvorfälle entstehen nicht durch gezielte Angriffe, sondern durch Unachtsamkeit, mangelndes Bewusstsein oder Unkenntnis. Phishing-E-Mails, unsichere Passwörter, falsche Datenweitergaben oder unachtsamer Umgang mit sensiblen Informationen zählen weiterhin zu den häufigsten Risikofaktoren. Unternehmen, die ihre Mitarbeiter nicht regelmäßig schulen, setzen sich erhöhten Bußgeldern, Reputationsschäden und operativen Störungen aus und gefährden letztlich auch ihre Compliance.
Um Organisationen hierbei zu unterstützen, bieten wir seit Jahren praxisorientierte Online-Schulungen über activeMind.academy an. Bereits verfügbar sind Kurse zu Datenschutz, Informationssicherheit und KI-Grundlagen, jeweils mit aktuellem Rechtsbezug, anschaulichen Praxisfällen und regelmäßigen Updates.
Für 2026 entwickeln wir mit unseren Experten zusätzliche Schulungsprogramme, die insbesondere aktuelle und zukünftige rechtliche Anforderungen vertiefen.
Tipp für 2026: Angesichts der fortschreitenden technologischen Entwicklung sollten Organisationen frühzeitig sicherstellen, dass ihre Mitarbeiter die notwendigen Fähigkeiten erwerben, nicht nur, um gesetzlichen Pflichten zu entsprechen, sondern auch, um Innovationen sicher und verantwortungsvoll voranzutreiben. Wer 2026 in Datenschutz, Informationssicherheit und KI-Compliance gut aufgestellt sein will, kommt an kontinuierlicher Mitarbeiterschulung nicht vorbei.
Martin Röleke
Rechtsanwalt
„Mehr DSGVO wagen – ein Plädoyer“
Anfang November 2025 hat das zunächst geleakte (Digital-) Omnibus IV Paket der EU-Kommission nochmals mächtig Staub aufgewirbelt – und das nicht nur unter Datenschützern.
Die geplante Reform soll insbesondere KMU bezüglich bürokratischer Pflichten, insbesondere aus der DSGVO, entlasten und zudem eine pragmatischere Lösung für Datennutzungen, insbesondere im Bereich KI, fördern.
Initiativen zu Bürokratieabbau und Deregulierung wurden bereits in der Vergangenheit vielfach durch politische Entscheidungsträger beschworen. Die im Anschluss stattfindende Debatte bleibt die gleiche. Das in unseren nationalen und europäischen Grundrechten verbriefte Wertefundament wird gegen eine vermeintliche Technologiefeindlichkeit und einer unterstellten Überregulierung im digitalen Raum gegeneinander ausgespielt. Die Metaebene der Diskussion wird selten erreicht und daher nur unzureichend adressiert – die digitale Souveränität Europas in Zeiten einer zunehmend multipolaren Ordnung.
Und damit einhergehend die Stärkung der politischen Einflusssphäre in Form eines zu Recht regulierten, europäischen Datenbinnenmarktes als Gegengewicht zum Ausverkauf der Rechte europäischer Zivilgesellschaften. In der Debatte um Entbürokratisierung findet der Mehrwert der Regulatorik immer seltener Beachtung. Der Schutz der Individualrechte, insbesondere dasjenige auf informationelle Selbstbestimmung als unverrückbarer Grundpfeiler des allgemeinen Persönlichkeitsrechts, ist aber wichtiger denn je.
Gemeint ist insbesondere der gesellschaftliche Konnex hin zu mehr digitaler Souveränität auch des Einzelnen, gefördert durch eine (nationale) Politik, die ihren Staatsauftrag als einen Bildungsauftrag anerkennt, uns alle befähigen zu wollen, souveräne Entscheidungen in der digitalen Welt treffen zu können. Und dass auf europäischer Ebene vollendete Tatsachen geschaffen werden, die es Unternehmen ermöglichen, souveräne Entscheidungen auch bei der Anschaffung von datengetriebener Technologie treffen zu können.
Die apodiktisch vorgetragene kollektive Angst wirtschaftlich nicht mit dem Big Business auf der Weltbühne mitspielen zu können und den globalen Anschluss bei digitalen Geschäftsmodellen zu verpassen, schränkt uns in unserem Handlungsspielraum weiter ein. Europa muss die Initiative politischen Handels durch ein Mehr an Grundrechtschutz zurückgewinnen. Das dies durchaus funktioniert, hat nicht zuletzt die DSGVO als weltweiter Exportschlager unter Beweis gestellt – Bildungsauftrag erfüllt.