Aus Sicht eines Datenschutzbeauftragten ist es immer spannend auf ein neues Kalenderjahr zu blicken und zu überlegen mit welchen Veränderungen zu rechnen ist. Jedoch ist es nicht einfach diese vorherzusehen und vorherzusagen, denn gerade die Rechtsprechungen der Gerichte sind oftmals eine Wundertüte. 😉 In diesem Blogbeitrag wagen wir eine erste Prognose mit was im Jahr 2026 im Datenschutz zu rechnen ist und sind gespannt, ob unser individueller Ausblick Realität wird.
Im Jahr 2026 ist wie in den vergangenen Jahren auch von einer Weiterentwicklung des Datenschutzrechts auszugehen – dabei bleibt die Europäische-Datenschutzgrundverordnung (DSGVO) auch weiterhin der zentrale Rechtsrahmen. Dieser wird jedoch zunehmend durch sekundäre europäische Rechtsakte, Leitlinien der europäischen und nationalen Aufsichtsbehörden sowie Rechtsprechung des Europäischen Gerichtshofs (EuGH) konkretisiert und ergänzt werden. In welchen Themenbereichen diese schwerpunktmäßig im Jahr 2026 erfolgt, lässt sich nur erahnen. Es ist jedoch davon auszugehen, dass die Rahmenbedingungen zukünftig noch stärker von einer praxis- und risikoorientierten Auslegung geprägt sein werden. Im Kontext der verschiedenen Rechtsakte ist zu erwarten, dass die Anforderungen an Transparenz, Rechenschaftspflicht und Risikoorientierung auch weiterhin steigen dürften. Was gerade Betroffenen im Datenschutz entgegen kommen wird.
Im Rahmen der „Digital-Omnibus-Initiative“ plant die Europäische Kommission zukünftig Teile der DSGVO zu ändern – etwa Definitionen und praktische Anwendungsfälle – um Bürokratie zu senken und damit Verantwortlichen mehr Zeit für Innovation zu ermöglichen. Hierzu ist geplant u.a. neue Erlaubnistatbestände, zum Beispiel zum KI-Training zu schaffen und Meldepflichten zu verlängern und auf das Wesentliche zu beschränken. Dazu hat die Europäische Kommission am 19. November 2025 ein umfangreiches Digitalpaket vorgelegt. Der Vorschlag für die Digital-Omnibus-Verordnung sieht die Änderung elf bestehender Rechtsakte (darunter u.a. AI-Act, Data Act sowie Cybersicherheitsnormen) vor. Hier bleibt die weitere Entwicklung im Jahr 2026 abzuwarten und damit auch die Frage inwieweit es zu einer Vereinfachung für Verantwortliche kommt.
Für das Jahr 2026 werden aus unserer Sicht insbesondere folgende Verordnungen und Gesetze maßgeblichen Einfluss auf die Ausgestaltung der datenschutzrechtlichen Vorgaben in Deutschland haben: der AI-Act (Anforderungen an den Einsatz Künstlicher Intelligenz und den Umgang mit personenbezogenen Daten in KI-Systemen), der Data Act und der Data Governance Act (Regelung des Zugangs, der Nutzung und der Weitergabe von Daten) und der Digital Services Act (DSA) und der Digital Markets Act (DMA) (Auswirkungen auf Plattformbetreiber und datengetriebene Geschäftsmodelle). Darüber hinaus erwarten wir zudem Wechselwirkungen mit angrenzenden Regelungswerken aus dem IT-Sicherheitsrecht (z. B. der NIS-2-Richtlinie).
Gesellschaftlich ist davon auszugehen, dass auch weiterhin das Bewusstsein der Betroffenen für den Schutz ihrer personenbezogenen Daten steigt. Hierbei ist aus unserer Perspektiver insbesondere der Einsatz von Künstlicher Intelligenz in Verbindung mit automatisierten Entscheidungen und Überwachungstechnologien maßgeblich. Gerade auch die Rechtsprechungen im Jahr 2024 und 2025 zum Auskunftsrecht haben hier den Weg für Betroffene für mehr Transparenz geebnet. Politisch ist im Jahr 2026 weiterhin mit einem Spannungsfeld zwischen Datenschutz, Sicherheitsinteressen, Bürokratieabbau und wirtschaftlicher Wettbewerbsfähigkeit zu rechnen. Insbesondere werden hier auch die europäische Souveränitätsbestrebungen im Datenraum den regulatorischen Rahmen für Verantwortliche beeinflussen. Wirtschaftlich sind Verantwortliche auch im kommenden Jahr gefordert, Datenschutz mit Innovationsfähigkeit und Effizienz in Einklang zu bringen. Parallel dazu dürfen Verantwortliche erwarten, dass das Thema Datenschutz vermehrt im Kontext von Cybersicherheit und technologischer Innovation betrachtet wird. Datenschutz wird damit noch stärker als Bestandteil der Compliance- und IT-Sicherheitsstrukturen verstanden werden, was dafür sorgt, dass Datenschutz als Teil der eigenen Risikomanagementstrategie betrachtet und bearbeitet werden muss.
Relevante Themen aus dem Jahr 2025 werden auch im Jahr 2026 aus unserer Sicht von zentraler Bedeutung sein. Der Einsatz von Künstlicher Intelligenz und damit verbunden die Nutzung von automatisierten Entscheidungsprozessen erfordert auch weiterhin eine intensive Auseinandersetzung mit datenschutzrechtlichen Grundsätzen. Die steigenden Anforderungen an technische und organisatorische Maßnahmen und Sicherheit in Verbindung mit der konstant zunehmenden Bedrohung durch Cyberangriffe rücken den Schutz personenbezogener Daten in den Fokus unternehmerischer Entscheidungen. Verantwortliche dürfen daher auch zukünftigt den Bereich „Datenschutz“ nicht isoliert betrachten, sondern müssen diesen als integralen Bestandteil der digitalen Transformation und des Risikomanagements verstehen und auch in den kommenden Jahren fortlaufend weiterentwickeln.
.. es bleibt also weiterhin spannend 😉
Bildquelle: Foto von Artem Sapegin auf Unsplash