Rechtsanwältin und Expertin für E-Commerce, Wettbewerbsrecht und Vertriebsrecht
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
2026 wird zum Stresstest für digitale Geschäftsmodelle. Viele Regeln, die bislang nach fernen EU-Programmen aussahen, werden dieses Jahr operativ spürbar und treffen direkt Produkt, Marketing, Datenstrategie und IT. Parallel liefert die Rechtsprechung die fehlenden Konturen, an denen sich Compliance künftig messen lassen muss. Wer jetzt noch auf Einzelmaßnahmen und Bannerkosmetik setzt, steuert auf ein Haftungs- und Durchsetzungsrisiko, das sich über mehrere Regime gleichzeitig entfalten kann.
Sind Ihre Prozesse, Verträge und Systeme bereits so aufgestellt, dass Sie 2026 nicht nur reagieren, sondern die neuen Vorgaben aktiv beherrschen? Wir zeigen Ihnen in diesem Beitrag, woran Sie 2026 unbedingt denken müssen.
Der Digital Services Act, das „Gesetz über digitale Dienste“, ist eine EU-Verordnung für Online-Plattformen und digitale Dienste mit dem Ziel, Nutzer besser zu schützen und den Umgang mit illegalen Inhalten und illegalen Produkten zu verbessern. Der DSA gilt gestuft: Für sehr große Online-Plattformen und sehr große Online-Suchmaschinen griff er bereits früher, für alle übrigen erfassten Dienste gilt er vollständig seit dem 17. Februar 2024.
Inhaltlich setzt der DSA stark auf Transparenz und verlässliche Prozesse. Vermittlungsdienste wie Hosting-Anbieter, Online-Marktplätze und soziale Netzwerke müssen unter anderem klare Melde- und Abhilfewege für rechtswidrige Inhalte bereitstellen, Nutzerrechte prozessual absichern und mit Behörden kooperieren. Für "Very Large Online Platforms" gelten verschärfte Anforderungen, etwa zu Risikoanalysen, Risikominderung und unabhängigen Audits.
Besonders praxisrelevant sind die materiellen Leitplanken zur Nutzerbeeinflussung und Werbung. Der DSA adressiert manipulative Interface-Gestaltung („Dark Patterns“) und schränkt zielgerichtete Werbung gegenüber Minderjährigen ein, wenn diese auf Profilbildung beruht. Parallel zieht die EU-Kommission die Durchsetzung an und nutzt ihre Befugnisse gegenüber großen Plattformen zunehmend sichtbar.
Das erste formelle Verfahren wurde gegen X im Dezember 2023 eröffnet. Im Dezember 2025 folgte eine Geldbuße in Höhe von 120 Millionen Euro wegen Verstößen gegen Transparenzpflichten. Für Meta wurden im April 2024 formelle Verfahren zu möglichen DSA-Verstößen bei Facebook und Instagram eingeleitet. Für Shein und Temu setzte die Kommission zunächst auf formelle Auskunftsverlangen und weitere Prüfungen im Rahmen ihrer DSA-Befugnisse.
Handlungsempfehlung:
Unternehmen sollten prüfen, welcher Dienstekategorie sie zuzuordnen sind, und darauf aufbauend Meldeprozesse, Transparenzangaben, Werbekennzeichnungen und interne Zuständigkeiten verbindlich organisieren. Besonders wichtig sind dokumentierte Abläufe, da Aufsichtsbehörden zunehmend Nachweise verlangen.
Der Digital Markets Act richtet sich an große Plattformen, die als sogenannte Gatekeeper den Zugang zwischen Unternehmen und Endnutzern kontrollieren. Er soll faire Wettbewerbsbedingungen sichern und greift vor allem dort ein, wo Gatekeeper eigene Dienste bevorzugen, Geschäftspartner technisch oder vertraglich „einhegen“ oder Daten in einer Weise nutzen, die Abhängigkeiten verstärkt. Typische Themen sind Self-Preferencing, Anti-Steering, Interoperabilität und die Nutzung beziehungsweise Kombination von Daten über Dienste hinweg.
Die Verordnung trat am 1. November 2022 in Kraft. Die EU-Kommission hat am 6. September 2023 erstmals sechs Gatekeeper benannt: Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft. Für diese Unternehmen liefen die zentralen Compliance-Pflichten seit dem 7. März 2024. Weitere Designationen folgten, etwa Apple in Bezug auf iPadOS am 29. April 2024 sowie Booking für Booking.com am 13. Mai 2024. Im April 2025 stellte die Kommission fest, dass Facebook Marketplace nicht länger als Core-Platform-Service einzustufen ist.
Die Kommission verhängte am 23. April 2025 die ersten Bußgelder unter dem DMA. 500 Millionen Euro gegen Apple wegen Verstößen gegen die Anti-Steering-Pflicht und 200 Millionen Euro gegen Meta wegen Verstößen gegen die Pflicht, Endnutzern eine echte Wahl für eine weniger datenintensive Nutzung zu geben. Der DMA sieht Geldbußen von bis zu 10 Prozent des weltweiten Jahresumsatzes vor, bei wiederholten Verstößen bis zu 20 Prozent.
Handlungsempfehlung:
Wenn Sie selbst Gatekeeper sind oder als Business-User von Gatekeeper-Regeln betroffen sind, lohnt ein strukturierter DMA-Check entlang Ihrer zentralen Plattformprozesse. Im ersten Schritt steht die Einordnung, ob ein Dienst als Core-Platform-Service relevant ist und welche Pflichten konkret greifen. Danach sollten Datenflüsse, Ranking und Empfehlungslogiken, Steering-Restriktionen, Zugriffsmöglichkeiten für Business-User und die Gestaltung von Nutzerwahlmöglichkeiten technisch und vertraglich überprüft werden.
Mit dem AI-Act hat die EU erstmals ein verbindliches, horizontal geltendes Regelwerk für den Einsatz von Künstlicher Intelligenz geschaffen. Die Verordnung verfolgt einen risikobasierten Ansatz und knüpft Pflichten nicht an die Technologie an sich, sondern an deren konkrete Einsatzkontexte und Auswirkungen. Ziel ist es, Innovation zu ermöglichen und zugleich Grundrechte, Sicherheit und Marktvertrauen zu schützen.
Der AI-Act unterscheidet dafür mehrere Risikostufen. Bestimmte Praktiken gelten als unannehmbares Risiko und sind vollständig verboten, darunter staatliches Social Scoring oder KI-Systeme, die Menschen durch unterschwellige Techniken manipulieren. Ein besonderer Schwerpunkt liegt auf Hochrisiko-KI, etwa bei biometrischer Identifikation, HR-Systemen für Bewerberauswahl oder KI-gestützten Kreditentscheidungen. Für diese Systeme gelten umfangreiche Anforderungen an Risikomanagement, Datenqualität, Transparenz, menschliche Aufsicht und technische Dokumentation. Vor dem Inverkehrbringen ist eine Konformitätsbewertung durchzuführen, inklusive CE-Kennzeichnung und Registrierung in einer EU-Datenbank.
Daneben regelt die Verordnung den Umgang mit generativer KI und sogenannter General Purpose AI. Anbieter solcher Systeme müssen Systemkarten bereitstellen, Trainingsmethoden offenlegen und urheberrechtliche Schutzmechanismen berücksichtigen. Für KI mit geringem Risiko beschränkt sich die Regulierung im Wesentlichen auf Informationspflichten gegenüber Nutzern.
Die Verordnung ist seit dem 1. August 2024 in Kraft und sieht gestaffelte Übergangsfristen vor. Verbotene Praktiken sind ab Februar 2025 unzulässig, Pflichten für generative KI greifen ab August 2025, die zentralen Hochrisiko-Anforderungen ab August 2026. Für bestehende Systeme gelten verlängerte Übergänge. Sanktionen sind hoch angesetzt und reichen bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes, wobei Anfang 2026 noch keine Bußgeldpraxis existiert.
Handlungsempfehlung:
Unternehmen sollten frühzeitig ein vollständiges KI-Inventar erstellen und jeden Einsatzfall einer Risikoklasse zuordnen. Darauf aufbauend empfiehlt sich der Aufbau einer klaren KI-Governance, etwa durch feste Verantwortlichkeiten oder einen AI-Officer. Technische Dokumentation, Lieferkettenprüfungen bei KI-Anbietern, interne Schulungen und die Nutzung von regulatorischen Sandboxes schaffen die Grundlage, um die Hochrisiko-Phase ab 2026 rechtssicher zu erreichen und Sanktionen zu vermeiden.
Mit dem Data Act gilt erstmals ein umfassender Rechtsrahmen für den Zugang zu und die Nutzung von Daten aus vernetzten Produkten und digitalen Diensten. Die Verordnung zielt darauf ab, Machtasymmetrien bei IoT-Daten abzubauen, Wettbewerb zu fördern und Abhängigkeiten von einzelnen Cloud- und Plattformanbietern zu reduzieren. Im Mittelpunkt stehen Nutzungsrechte an Produkt- und Nutzungsdaten sowie faire Bedingungen für deren Weitergabe.
Nutzer von vernetzten Produkten wie Smartmetern, Maschinen oder Fahrzeugen erhalten ein gesetzlich verankertes Recht auf unverzüglichen, kostenlosen und maschinenlesbaren Zugang zu den durch die Nutzung entstehenden Daten. Diese Daten dürfen auf Wunsch auch an Dritte weitergegeben werden, etwa an Wartungsanbieter oder Analyseunternehmen. Hersteller und Anbieter sind verpflichtet, hierfür geeignete Schnittstellen bereitzustellen, und dürfen den Zugang nicht durch vertragliche oder technische Hürden blockieren. B2B-Verträge unterliegen dabei einer Fairnesskontrolle, um missbräuchliche Beschränkungen des Datenzugangs zu verhindern.
Ergänzend stärkt der Data Act die Wechselmöglichkeiten zwischen Cloud-Anbietern, indem er Gebühren für den Anbieterwechsel untersagt und schrittweise technische Interoperabilität einfordert. In besonderen Notlagen können auch öffentliche Stellen einen zeitlich begrenzten Zugriff auf relevante Daten verlangen.
Der Data Act gilt seit dem 11. Januar 2024, entfaltet seine wesentlichen Pflichten jedoch gestaffelt. Ab September 2025 greifen die Pflichten zum Datenaustausch, ab September 2026 Anforderungen an Design by Default, und ab Januar 2027 das Verbot von pauschalen Cloud-Switching-Gebühren. Für bestehende Verträge gelten Übergangsfristen bis September 2027.
Parallel ergänzt der Data Governance Act den Rahmen, indem er Datenteilung über neutrale Intermediäre und die Nutzung öffentlicher Datenräume fördert. Diese Verordnung gilt bereits seit September 2023, ihre nationale Umsetzung verzögert sich jedoch teilweise.
Handlungsempfehlung:
Prüfen Sie frühzeitig ihre bestehenden Verträge auf data-act-konforme Klauseln und passen Sie diese gegebenenfalls an. Technisch empfiehlt sich die Entwicklung belastbarer APIs und interner Prozesse für Datenzugriffsanfragen, einschließlich Identitäts- und Zweckprüfung. Ein zentrales Data-Compliance-Team hilft, Pflichten aus Data Act und Data Governance Act koordiniert umzusetzen. Insbesondere mittelständische Unternehmen sollten die vorgesehenen Übergangsfristen aktiv nutzen, um technische und organisatorische Anpassungen rechtzeitig vorzubereiten.
Cyberangriffe treffen längst nicht mehr nur klassische kritische Infrastrukturen. Ransomware, Lieferkettenvorfälle und Ausfälle zentraler IT-Dienstleister können Produktion, Logistik, Versorgung und Dienstleistungen in kurzer Zeit lahmlegen. Genau an dieser Stelle setzt die NIS2-Richtlinie an und hebt Cybersicherheit auf ein verbindliches, europaweit harmonisiertes Niveau. Sie gilt für wesentliche Einrichtungen in 18 Sektoren wie Energie oder Gesundheit und für viele „wichtige Einrichtungen“, häufig bereits ab mehr als 50 Beschäftigten oder über 10 Millionen Euro Jahresumsatz.
Inhaltlich verlangt NIS2 ein systematisches Risikomanagement für Informationssicherheit. Dazu gehören technische und organisatorische Maßnahmen, Sicherheitsanforderungen in der Lieferkette, Notfall- und Wiederanlaufkonzepte, regelmäßige Tests der Resilienz sowie klar definierte Prozesse für den Umgang mit Sicherheitsvorfällen. Die Meldepflichten sind eng getaktet: eine erste Meldung innerhalb von 24 Stunden, eine vertiefte Meldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats. Zudem wird die Verantwortung der Geschäftsleitung ausdrücklich adressiert, einschließlich Aufsichtspflichten und möglicher persönlicher Folgen.
Auf EU-Ebene lief die Umsetzungsfrist im Oktober 2024 ab. In Deutschland gilt das NIS2-Umsetzungsgesetz seit dem 6. Dezember 2025, mit einer Registrierungspflicht beim BSI bis zum 6. März 2026 und weiteren Nachweis- und Prüfanforderungen ab 2027. Auch wenn Anfang 2026 noch keine gefestigte Bußgeldpraxis sichtbar ist, sind die möglichen Sanktionen erheblich und reichen bei wesentlichen Einrichtungen bis 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis 7 Millionen Euro oder 1,4 Prozent.
Handlungsempfehlung:
Startpunkt ist eine fundierte Betroffenheitsprüfung und die Einordnung als wesentliche oder wichtige Einrichtung, verbunden mit einem klaren Verantwortlichkeitsmodell bis in die Geschäftsleitung. Anschließend sollte ein NIS2-fähiges Sicherheitsprogramm aufgebaut werden, das Risikoanalyse, Lieferkettenprüfung, Incident Response, Meldewege und Testkonzepte integriert. Parallel sind Registrierung, Nachweisführung und Dokumentation so aufzusetzen, dass sie gegenüber dem BSI belastbar sind. Wer 2026 strukturiert vorbereitet, reduziert operative Ausfallrisiken und schafft Rechtssicherheit, bevor die Aufsicht konsequent durchgreift.
Die ePrivacy-Richtlinie, oft als Cookie-Richtlinie bezeichnet, schützt die Vertraulichkeit elektronischer Kommunikation und setzt klare Leitplanken für Tracking. Für nicht essenzielle Cookies, Tracking-Tools und vergleichbare Zugriffe auf Endgeräte gilt das Opt-in-Prinzip. Zulässig ist die Verarbeitung erst nach einer ausdrücklichen Einwilligung, Ausnahmen gelten nur für technisch notwendige Funktionen. Transparenz über Zwecke und eingesetzte Technologien gehört dabei zum Mindeststandard.
Der geplante Nachfolger als ePrivacy-Verordnung hat sich nicht durchgesetzt. Die EU-Kommission hat den Entwurf am 12. Februar 2025 zurückgezogen, nach Jahren ohne politische Einigung. Stand 2026 werden Cookie-Vorgaben im Zusammenspiel mit der DSGVO und nationalen Umsetzungen wie dem TDDDG weitergeführt. Diskutiert wird eine Lockerung, bei der nicht notwendige Cookies perspektivisch stärker über berechtigte Interessen und ein nachgelagertes Opt-out adressiert werden könnten, ergänzt um maschinenlesbare Präferenzen in Browsern und Betriebssystemen. Der Ausgang bleibt offen, der Trend zeigt eine mögliche Abkehr von Banner-Ritualen hin zu technischen Präferenzsignalen.
Der Regulierungsdruck bleibt damit hoch, auch weil Aufsichtsbehörden Consent-Defizite spürbar sanktionieren und dabei regelmäßig an die Anforderungen an wirksame Einwilligungen und an technische und organisatorische Sicherheit anknüpfen. Aufsichtsbehörden sanktionieren fehlerhafte Consent-Mechanismen inzwischen spürbar, etwa die CNIL mit einem Bußgeld von 1,5 Mio. Euro gegen American Express Carte France wegen Cookie-Verstößen. Auch großskalige Cookie-Verfahren stehen im Raum, unter anderem mit hohen Summen gegen Shein in Frankreich.
Handlungsempfehlung:
Wissen Sie, welche Cookies und Tracker Ihre Webseite und Apps tatsächlich setzen und welche davon wirklich notwendig sind? Der Einstieg gelingt über regelmäßige Cookie-Scans und ein vollständiges Mapping aller eingesetzten Technologien. Danach sollte eine klare Trennung zwischen notwendigen und nicht notwendigen Tools erfolgen, jeweils mit dokumentierter Begründung. Einwilligungsbanner gehören als echtes Opt-in umgesetzt, zweckbezogen, verständlich und jederzeit widerrufbar. Eine Consent-Management-Plattform unterstützt Sie dabei, die Einwilligung technisch zu erzwingen, Nachweise revisionsfest zu protokollieren und Änderungen durch Releases oder neue Marketing-Tools kontrolliert nachzuhalten.
Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz ist die zentrale deutsche Umsetzung der ePrivacy-Vorgaben für Telemedien und elektronische Kommunikation. Im Mittelpunkt steht § 25 TDDDG. Danach benötigt jede Speicherung von Informationen auf Endgeräten oder jeder Zugriff darauf, etwa durch Cookies, Fingerprinting oder vergleichbare Identifikatoren, grundsätzlich eine vorherige, freie und informierte Einwilligung. Ausnahmen kommen nur für technisch notwendige Vorgänge in Betracht, etwa wenn der Zugriff zwingend erforderlich ist, um einen ausdrücklich gewünschten Dienst bereitzustellen. Das Gesetz ist seit Ende 2021 in Kraft und wurde im Mai 2024 in der heutigen Fassung neu gefasst.
Für die Praxis besonders wichtig ist die Reichweite der Verantwortlichkeit. Das OLG Frankfurt hat Ende 2025 klargestellt, dass sich das Verbot aus § 25 TDDDG nicht auf klassische Seitenbetreiber verengt, sondern die Mitwirkung am Setzen von Drittanbieter-Cookies eine eigene Anbieterrolle begründen kann. Damit geraten auch Tech-Anbieter und eingebundene Dienstleister in die Haftung, wenn ihre Technik Cookies ohne wirksame Einwilligung auslöst. Für die Anforderungen an eine wirksame Cookie-Einwilligung bleibt die höchstrichterliche Linie aus Planet49 maßgeblich. EuGH und BGH verlangen eine aktive Einwilligung, voreingestellte Kästchen oder ein bloßes Weitersurfen reichen nicht.
Handlungsempfehlung
Stellen Sie Consent technisch durch, indem nicht notwendige Tags erst nach Zustimmung auslösen und Zwecke klar getrennt sind. Dokumentieren Sie die Einstufung notwendiger Cookies, protokollieren Sie Einwilligungen revisionsfest über eine CMP und prüfen Sie Ihr Setup regelmäßig per Scan, da Updates und neue Marketing-Tools die tatsächliche Cookie-Landschaft schnell verändern.
2026 bündelt die digitale Regulierung zu einem faktischen Gesamtpaket, das nicht mehr in Einzellösungen zerlegt funktioniert. DSA und DMA adressieren Plattformverantwortung und Marktzugang und greifen dort ein, wo Reichweite, Werbung und Nutzersteuerung zum Risiko werden. Der AI-Act zieht klare Linien für KI, insbesondere bei Hochrisiko-Anwendungen und generativen Modellen, und macht Governance, Dokumentation und Lieferkettensicherheit zum Standard. Data Act und Data Governance Act verschieben die Kontrolle über IoT- und Nutzungsdaten, schaffen Rechte auf Zugang und Weitergabe und reduzieren Lock-in-Effekte in der Cloud. NIS2 bringt Cybersicherheit in die Unternehmensleitung und verlangt belastbare Prozesse für Risikomanagement, Lieferketten und Incident Reporting. ePrivacy und das TDDDG bleiben der Rahmen für Tracking und Endgerätezugriffe, mit der praktischen Folge, dass technische Durchsetzung von Consent und dokumentierte Ausnahmen entscheidend sind.
Für Sie heißt das: Die relevanten Pflichten entstehen dort, wo Produkt, Marketing, Datenstrategie und IT zusammenlaufen. Wer Prozesse, Rollen, Verträge und Technik früh konsistent ausrichtet, minimiert nicht nur Bußgeld- und Abmahnrisiken, sondern gewinnt operativ an Steuerbarkeit. Entscheidend ist ein integrierter Ansatz mit klarer Verantwortlichkeit, belastbarer Dokumentation und regelmäßigen Prüfzyklen, statt punktueller Nachbesserungen an Bannern, Texten oder Policies.
Stehen Sie vor der Frage, ob Ihre Plattform-, KI- oder Datenprozesse 2026 bereits „regulatorikfest“ sind? Möchten Sie wissen, ob Ihr Consent-Setup, Ihre Cloud-Verträge oder Ihre Sicherheitsorganisation den neuen Anforderungen standhalten oder geht es konkret um Abmahnrisiken, behördliche Verfahren oder die rechtssichere Gestaltung Ihres Online-Geschäfts?
Unser Team aus Anwälten für Internetrecht bedient eine breite Palette von Dienstleistungen, die speziell auf die rechtlichen Bedürfnisse von Unternehmen und Einzelpersonen im Internet-Bereich zugeschnitten sind. Dazu gehören die Vertragsgestaltung im E-Commerce, wo wir sicherstellen, dass AGB und Vertragsbedingungen rechtssicher und transparent abgefasst sind. Darüber hinaus umfasst die Beratung die Einhaltung des Datenschutzrechts, insbesondere der Datenschutz-Grundverordnung (DSGVO), um die Daten- und Privatsphäre der Kunden zu schützen. Ein weiterer wichtiger Bereich ist der rechtliche Schutz im Online-Handel, der Unternehmen vor Wettbewerbsrechtsverstößen und Abmahnungen schützt. Wir klären Domain- und markenrechtliche Fragen, um Verwechslungen oder Markenrechtsverletzungen zu vermeiden. Unsere Kanzlei berät Sie zudem bei anderen Internetrecht-Rechtsgebieten, wie der Webseiten-Sicherheit und dem Aufbau rechtskonformer Geschäftsmodelle. Abschließend unterstützen wir Sie bei der Abwehr unberechtigter Abmahner-Forderungen und sorgen so für einen umfassenden rechtlichen Service im digitalen Bereich.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?