Preise
Login
Demo vereinbaren
Risikoklassifizierung von KI-Anwendungsfällen - AI Act Best Practices
Zum Webinar anmelden

Datenschutz-Trends 2026: Was Unternehmen jetzt wissen müssen

Datenschutz bleibt auch 2026 ein zentrales Thema für Unternehmen, Verbraucher:innen und Gesetzgeber. Auf europäischer Ebene treibt der Gesetzgeber mit zwei Omnibus-Verordnungen weitreichende Anpassungen des AI Acts, des Data Acts und der DSGVO voran. Gleichzeitig sind auch auf nationaler Ebene Veränderungen absehbar: In Deutschland ist eine Überarbeitung des Bundesdatenschutzgesetzes (BDSG) geplant.

In diesem Beitrag gibt Ihnen Dennis Kurpierz einen Überblick über die wichtigsten Entwicklungen im Datenschutz 2026, die Unternehmen im Blick behalten sollten.
22. Dezember 2025
9 Minuten
Liste mit den Top Trends im Datenschutz 2026
von Dennis Kurpierz, Co-Founder & COO

Entwicklungen im Datenschutz 2026

Was der MPK-Beschluss für Datenschutz & Datenregulatorik in Deutschland bedeutet

Am 4. Dezember 2025 beschlossen Bund und Länder im Rahmen der Ministerpräsidentenkonferenz (MPK) eine umfassende Agenda zur Modernisierung des Staates. Ziel ist es, Verwaltung und Regulierung schneller, digitaler und weniger bürokratisch zu gestalten.

Wichtige Eckpunkte für den Datenschutz 2026:

  • Reform der Datenschutzaufsicht
    Für den nicht-öffentlichen Bereich soll bis Ende 2027 die Aufgabenverteilung in der Datenschutzaufsicht neu geregelt werden. Im Fokus steht eine stärkere Bündelung von Kompetenzen, etwa bei der BfDI oder ausgewählten Landesaufsichtsbehörden.
  • Aufhebung der DSB-Bestellungspflicht nach § 38 Abs. 1 BDSG
    Bis zum 31.12.2026 ist eine Gesetzesinitiative vorgesehen, die die Pflicht zur Bestellung eines Datenschutzbeauftragten im nicht-öffentlichen Bereich auf die Vorgaben der DSGVO (Art. 37 DSGVO) beschränkt. Die bislang strengere deutsche Sonderregelung im BDSG würde damit entfallen.
  • Anonymisierung und Pseudonymisierung im Kontext des KI-Trainings und –Einsatzes
    Bis spätestens Ende 2027 soll eine neue BDSG-Regelung vorgeschlagen werden, die öffentlichen Stellen die Anonymisierung oder Pseudonymisierung personenbezogener Daten für KI-Training und -Einsatz erlaubt – zumindest übergangsweise, bis entsprechende Anpassungen auf EU-Ebene erfolgen.

Hier finden Sie den Beschluss der MPK.

Die Omnibus-Verordnung für die DSGVO

Der Vorschlag für eine digitale Omnibus-Verordnung befindet sich im fortgeschrittenen EU-Gesetzgebungsverfahren und wird derzeit von Parlament und Rat geprüft. Neben dem Data Act betrifft er insbesondere auch zentrale Regelungen der DSGVO.

Mögliche DSGVO-Änderungen mit Relevanz für die Unternehmenspraxis:

  • Engere Definition personenbezogener Daten
    Daten sollen nur noch dann als personenbezogen gelten, wenn der jeweilige Verantwortliche Personen realistisch identifizieren kann und nicht mehr, wenn dies nur theoretisch durch Dritte möglich wäre.
  • Erleichterte Verarbeitung sensibler Daten für KI
    Für die Entwicklung und den Betrieb von KI-Systemen sollen neue Ausnahmen geschaffen werden, die auch besondere Kategorien personenbezogener Daten betreffen.
  • Einschränkungen von Betroffenenrechten (v. a. Auskunft)
    Auskunfts- und Zugangsrechte sollen begrenzt oder verweigert werden können, etwa bei missbräuchlicher Nutzung.
  • Vereinfachte oder entfallende Informationspflichten
    In bestimmten Konstellationen sollen Datenschutzhinweise nicht mehr oder nur in vereinfachter Form bereitgestellt werden müssen.
  • Lockerungen bei automatisierten Entscheidungen & Profiling
    Die bestehenden Schutzmechanismen sollen flexibler ausgestaltet werden, insbesondere im KI-Kontext.
  • Änderung der Meldepflichten bei Datenschutzverletzungen
    Die Meldefrist soll auf 96 Stunden verlängert und ein zentraler „Single Entry Point“ für Meldungen aus mehreren Rechtsakten (NIS2, DSGVO, DORA, eIDAS, CRA) geschaffen werden.
  • Erleichterungen bei Datenschutz-Folgenabschätzungen
    Black- und Whitelists für DSFA sollen künftig europaweit zentral durch den EDPB erstellt werden.

Eine detaillierte rechtliche Analyse der geplanten Änderungen bietet der englischsprachige Bericht von noyb.

Entwicklungen in der AI-Governance 2026

AI Act und Leitlinien für die Umsetzung des AI Acts

Mit dem bereits geltenden AI Act treten am 2. August 2026 die Pflichten für Hochrisiko-KI-Systeme nach Anhang III sowie die Transparenzpflichten nach Art. 50 in Kraft. Die geplante Omnibus-Verordnung zum AI Act könnte diese Zeitplanung jedoch noch verschieben.

Die EU-Kommission hat Ende 2025 erste Leitlinien veröffentlicht. Für 2026 werden weitere Konkretisierungen erwartet, insbesondere für Anbieter und Betreiber von Hochrisiko-KI.

Hinweis: bei caralegal halten wir für Sie umfangreiche Ressourcen wie Webinare zur Umsetzung des AI Acts und speziell für Hochrisiko-KI-Betreiber bereit.

Omnibus-Verordnung für den AI Act

Auch für den AI Act liegt ein Omnibus-Vorschlag vor, der aktuell im Gesetzgebungsverfahren geprüft wird. Eine verbindliche Zeitplanung existiert noch nicht, ein Inkrafttreten vor Q3 2026 gilt jedoch als realistisch. Mögliche Änderungen für die Unternehmenspraxis:
  • Wegfall der Art. 4 AI-Literacy-Pflicht für Unternehmen Die Verantwortung für KI-Kompetenz soll primär bei der EU-Kommission und den Mitgliedstaaten liegen, nicht mehr unmittelbar bei Unternehmen.
  • Neue Rechtsgrundlage für die Bias-Korrektur von KI Unter bestimmten Voraussetzungen sollen sensible Daten (Art. 9 DSGVO) zur Korrektur von Verzerrungen in KI-Systemen genutzt werden dürfen.
  • Wegfall der Registrierungspflicht für bestimmte Hochrisiko-KI-Systeme Systeme, die unter eine Ausnahmeregelung nach Art. 6 Abs. 3 AI Act fallen, sollen nicht mehr in einer EU-Datenbank registriert werden müssen.
  • Friständerung für den Start der Pflichten für Hochrisiko-KI-Systeme Pflichten sollen erst greifen, wenn ausreichende Leitlinien vorliegen, spätestens jedoch im Dezember 2027 (Anhang III) bzw. August 2028 (Anhang I).
  • Vereinfachtes Nachweispflichten für SME und SMC Unternehmen mit weniger als 750 Mitarbeitenden und unterhalb definierter Umsatz- bzw. Bilanzschwellen sollen reduzierte Dokumentations- und Qualitätsmanagement-Pflichten erhalten.
  • Schonfrist für „Watermarking” von KI-Ausgaben Die Kennzeichnungspflicht für bestimmte KI-Ausgaben nach Art. 50 Abs. 2 soll erst im Dezember 2027 in Kraft treten.

Ausblick auf die caralegal-Produktinnovationen 2026

caralegal unterstützt Sie auch 2026 dabei, datenrechtliche Anforderungen effizient und praxisnah umzusetzen.

Weiterentwicklung bestehender Flows mit Fokus auf Informationssicherheit

Alle bestehenden Module der caralegal-Plattform – Privacy Flow, AI Flow, Risk Flow sowie Audit & Vendor Flow – werden kontinuierlich weiterentwickelt und funktional ausgebaut.

Auch 2026 sind zahlreiche Initiativen geplant, die unseren OneFlow-Ansatz weiter stärken. Unser Ziel ist es, Silos zwischen einzelnen Compliance-Themen weiter aufzulösen, End-to-End-Prozesse zu fördern und nachhaltige Effizienzgewinne für unsere Kunden zu realisieren. Dabei werden auch Regularien im Informationssicherheitsbereich verstärkt abgebildet.

Geschäftsprozesse durch Case Management und KI-Assistenz unterstützen

Im Jahr 2026 legen wir einen klaren Fokus auf die noch engere Verzahnung von Fachbereichen und Regulatory Departments. Durch den gezielten Ausbau unserer Case-Management-Funktionalitäten schaffen wir eine zentrale, gemeinsame Arbeitsgrundlage für alle beteiligten Rollen entlang datenrechtlich relevanter Prozesse.

Fachbereiche und Rechtsexpert:innen erhalten strukturierte, kontextbezogene Informationen genau zum richtigen Zeitpunkt. Ergänzend dazu stellen wir für komplexe Sachverhalte einen KI-basierten Assistenten bereit, der insbesondere Fachbereiche unterstützt, etwa bei der Einordnung regulatorischer Fragestellungen, der Aufbereitung relevanter Informationen und der effizienten Vorbereitung rechtlicher Bewertungen.

Mehr kundenspezifische Anpassugnen durch intelligente Workflow-Engines

Um caralegal noch besser in die bestehende IT-Landschaft unserer Kunden einzubetten, erweitern wir 2026 die Möglichkeiten zur individuellen Workflow-Orchestrierung. Intelligente Workflow-Engines ermöglichen eine flexible Abbildung unternehmensspezifischer Prozesse über Systeme, Abteilungen und Rollen hinweg.

Dadurch lassen sich regulatorische Anforderungen passgenau in operative Abläufe integrieren, manuelle Schnittstellen reduzieren und Automatisierungspotenziale gezielt nutzen.

Fazit für den Datenschutz 2026

Datenschutz bleibt auch 2026 ein zentraler Erfolgsfaktor für Unternehmen, jedoch unter veränderten Vorzeichen. Mit den geplanten Omnibus-Verordnungen auf EU-Ebene sowie der angekündigten Reform des BDSG in Deutschland verschiebt sich der regulatorische Fokus spürbar: weg von rein formalen Pflichten, hin zu stärker risikobasierten, differenzierten Anforderungen.

Für Unternehmen bedeutet das nicht weniger Verantwortung, sondern das Erschließen neuer Spielräume bei gleichzeitig höherer Komplexität. Wer die anstehenden Änderungen frühzeitig einordnet, Datenschutz- und KI-Governance zusammendenkt und seine Prozesse entsprechend anpasst, kann regulatorische Risiken reduzieren und sich zugleich strategische Vorteile sichern.

caralegal unterstützt Sie dabei, diese Entwicklungen einzuordnen und Datenschutz- sowie KI-Compliance effizient und praxisnah in Ihre Unternehmensabläufe zu integrieren.

Sie wollen keine spannenden Neuigkeiten mehr verpassen? Mit unserem caralegal Newsletter halten wir Sie stets  auf dem neuesten Stand in punkto datenrechtlicher Compliance.

Auf dieser Seite
Primary Item (H2)

Über den Autor

Dennis Kurpierz
Co-Founder & COO von caralegal
Dennis Kurpierz ist Mitgründer und Chief Operating Officer von caralegal und kennt durch seine langjährige Erfahrung als Senior Consultant und Lead Project Manager bei der ISiCO Datenschutz GmbH die Kundenbedürfnisse sowie Pain Points und Herausforderungen im Datenschutzmanagement. Als Product Owner setzt er dieses Fachwissen in der Produktentwicklung von caralegal um.
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

Diesen Beitrag teilen

Teilen Sie die interessantesten Neuigkeiten aus der Welt 
des Datenrechts mit FreundInnen und KollegInnen.
linked-in-logo

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:
Illustration zur zentralen und dezentralen Datenschutzorganisation im Konzern
Zentral oder dezentral? So gelingt Datenschutz im Konzern
Mehr erfahren
Symbolgrafik für Datenschutz- und Risikomanagement
Risikomanagement im Datenschutz: Der 5 Schritte-Praxisleitfaden
Mehr erfahren
Symbolbild für Datenschutz im Marketing
Datenschutz im Marketing: Der kompakte Leitfaden
Mehr erfahren

Dafür fehlt mir
die Zeit caralegal

caralegal live testen
In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung
We make the legal way the lighter way
Wir glauben, dass Verordnungen dazu da sind, die Welt zu lenken. Nicht sie auszubremsen. Deshalb verändern wir, wie Unternehmen datenrechtliche Anforderungen erfüllen: intuitiv, dank intelligenter Technologie.
Wissen sichern - keine News mehr verpassen
Jetzt Newsletter abonnieren
Zum Newsletter anmelden
Unsere Partner
© 2025 caralegal GmbH
DatenschutzerklärungImpressum
Cookie-Einstellungen