IT-Recht 2026: Daten, KI und Cybersecurity – Was Unternehmen jetzt wissen müssen

Das IT-Recht entwickelt sich 2026 mit bemerkenswerter Dynamik weiter. Drei Regulierungsstränge prägen das Jahr: der Data Act entfaltet seine praktische Wirkung, die KI-Verordnung wird konkret, und das Cybersicherheitsrecht erhält mit dem NIS-2-Umsetzungsgesetz und dem Cyber Resilience Act ein neues Fundament. Hinzu kommen wegweisende Gerichtsentscheidungen – insbesondere zum Urheberrecht beim KI-Training. Für Unternehmen bedeutet das: Wer seine IT-Verträge, Datenstrategien und Compliance-Strukturen nicht rechtzeitig anpasst, riskiert nicht nur Bußgelder, sondern auch Wettbewerbsnachteile.

Was bedeutet der Data Act für den Umgang mit Produktdaten?

Der Data Act gilt seit September 2025 und stellt Unternehmen vor handfeste Herausforderungen. Hersteller vernetzter Produkte müssen Nutzern und berechtigten Dritten Zugang zu den generierten Daten gewähren – doch was genau unter „Produktdaten“ fällt, bleibt rechtlich umstritten. In der Literatur werden insbesondere vier Problemfelder identifiziert: die Abgrenzung zwischen direkter Zugänglichmachung und indirektem Bereitstellungsanspruch, die Frage, ob auch nur physisch vernetzbare Produkte erfasst sind, und der Schutz von Geschäftsgeheimnissen bei der Datenweitergabe.

Für Cloud-Anbieter sind die Regelungen zum Cloud Switching in Kapitel VI des Data Act von besonderer Bedeutung. Neue Pflichten erleichtern den Anbieterwechsel, wobei die Bundesnetzagentur (BNetzA) als Aufsichtsbehörde telekommunikationsrechtliche Durchsetzungsmechanismen ins Datenrecht einbringt. Bestehende Datenlizenzen sollten dringend überprüft werden – insbesondere mit Blick auf die Abgrenzung zwischen „Zugang“ und „Nutzung“, den Geschäftsgeheimnisschutz sowie die Vertragsklausel-Anforderungen nach Art. 13 und Art. 25 Data Act. Positiv ist: Für Bestandsverträge besteht nach überwiegender Auffassung keine Rückwirkungs- und damit keine unmittelbare Anpassungspflicht.

Welche konkreten Pflichten bringt die KI-Verordnung für 2026?

Die KI-Verordnung (AI Act) tritt schrittweise in Kraft und wird 2026 in weiten Teilen unmittelbar anwendbar. Bereits seit Februar 2025 gelten die Anforderungen an KI-Kompetenz in der Geschäftsleitung nach Art. 4 KI-VO. Ab August 2026 greifen die zentralen Vorschriften für Hochrisiko-KI-Systeme, einschließlich Konformitätsbewertung und umfassender Dokumentationspflichten. Hinzu kommen Transparenzpflichten für KI-generierte Inhalte, wobei eine Redaktionsausnahme greift, wenn Inhalte menschlicher Überprüfung unterzogen wurden und eine natürliche oder juristische Person die redaktionelle Verantwortung trägt.

Auf nationaler Ebene hat das Bundesministerium für Digitales einen Referentenentwurf des KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG) vorgelegt. Die BNetzA soll als zentrale Marktüberwachungsbehörde fungieren, mit Sonderzuständigkeiten etwa der BaFin für den Finanzsektor. Unternehmen, die KI-Projekte durch externe „Integratoren“ umsetzen lassen, sollten deren Rolle unter der KI-Verordnung vertraglich klar regeln.

Wie steht es um das Urheberrecht beim KI-Training?

Das Urteil des LG München I vom 11. November 2025 (Az. 42 O 14139/24) hat für erhebliches Aufsehen gesorgt. In dem Verfahren der GEMA gegen OpenAI stellte das Gericht fest, dass die „Memorisierung“ urheberrechtlich geschützter Liedtexte in Sprachmodellen eine Vervielfältigung im Sinne des § 16 UrhG darstellt. Entscheidend: Die Text-and-Data-Mining-Schranke des § 44b UrhG schützt nicht automatisch das KI-Training mit geschützten Werken. Wenn beim Training nicht nur Informationen extrahiert, sondern Werke vervielfältigt werden, greift die Schranke nicht.

Parallel dazu hat der EuGH ein Vorabentscheidungsersuchen zur Frage erhalten, ob die Wiedergabe von Pressetexten in Chatbot-Antworten eine öffentliche Wiedergabe darstellt. Auch das Recht an der eigenen Stimme ist betroffen: Das LG Berlin II hat entschieden, dass die KI-Nachahmung eines Synchronsprechers in das allgemeine Persönlichkeitsrecht eingreift. Und das AG Köln hat die anwaltliche Verantwortung für KI-generierte Schriftsätze unterstrichen – ein Verstoß gegen § 43a III BRAO liegt vor, wenn ein Schriftsatz nicht existente Fundstellen enthält.

Was ändert sich bei der Cybersicherheit?

Mit dem NIS-2-Umsetzungsgesetz, das der Bundestag am 13. November 2025 verabschiedet hat, wird das BSI zur zentralen Cybersicherheitsbehörde mit erweiterten Befugnissen – sowohl als Aufsichtsbehörde für betroffene Unternehmen als auch als CISO der Bundesverwaltung. Das Gesetz tritt am Tag nach seiner Verkündung in Kraft, ohne weitere Übergangsfrist. Geschäftsleitungen treffen übrigens persönliche Schulungspflichten im Bereich IT-Sicherheit.

Daneben etabliert der Cyber Resilience Act erstmals horizontal geltende Cybersicherheitsanforderungen für Produkte mit digitalen Elementen. Vernetzte Produkte – von Heimkameras über Kühlschränke bis hin zu Spielzeug – müssen künftig nach dem „Secure by Design“-Prinzip entwickelt werden. Die Hauptpflichten gelten ab Dezember 2027, doch Hersteller sollten bereits jetzt ihre Lieferketten auf die neuen SBOM-Anforderungen (Software Bill of Materials) vorbereiten. Ergänzend soll das KRITIS-Dachgesetz einen bundes­einheitlichen Mindeststandard für den physischen Schutz kritischer Infrastrukturen schaffen.

Wie müssen IT-Verträge angepasst werden?

Die Regulierungsdichte wirkt sich unmittelbar auf die Vertragsgestaltung aus. Bei der agilen Softwareentwicklung mit KI-Tools setzen sich zunehmend Hybridmodelle durch: Ein MVP wird als Festpreis-Meilenstein vereinbart, die anschließende Weiterentwicklung erfolgt auf Time-&-Material-Basis mit Budgetobergrenzen. Release-basierte Budgets und halbjährliche Vertrags-Reviews ermöglichen Planungssicherheit bei gleichzeitiger Flexibilität. Besonders wichtig sind dabei klare Regelungen zur KI-Tool-Nutzung und den daraus resultierenden (bzw. nicht-resultierenden) IP-Rechten.

Im Bereich der Datenlizenzverträge erfordert der Data Act eine sorgfältige Differenzierung zwischen Rohdaten, angereicherten Daten und Insights sowie präzise Nutzungszweckdefinitionen. Für KI-Entwicklungsverträge stellen sich neue Fragen der Risikoallokation bei autonomen Systemen und Agentic AI, der Haftungsverteilung bei KI-generierten Rechtsverletzungen und der Compliance-Verpflichtungen nach dem AI Act.

Auch die Rechtsprechung zu AGB-Klauseln in IT-Verträgen bleibt relevant: Preisanpassungsklauseln in Abo-Verträgen ohne Preissenkungsverpflichtung sind unwirksam, und Leistungsbeschränkungsklauseln in Streaming-AGB unterfallen der Inhaltskontrolle. Bemerkenswert ist zudem, dass WhatsApp-Textnachrichten die gewillkürte Schriftform nach § 127 II BGB wahren können – Sprachnachrichten hingegen nicht.

Was sollten Unternehmen jetzt konkret tun?

Die Herausforderung liegt weniger in einzelnen Rechtsakten als in deren Zusammenspiel: Data Act, AI Act, NIS-2, Cyber Resilience Act und DSGVO müssen koordiniert umgesetzt werden. Ein strukturiertes Daten-Audit ist der erste Schritt – welche Daten fallen unter den Data Act, und wer hat Zugangsrechte? Parallel dazu sollten Unternehmen eine KI-Governance aufbauen, bevor die externen Anforderungen vollumfänglich greifen: interne Richtlinien für den KI-Einsatz, Dokumentation der verwendeten Systeme und klare Verantwortlichkeiten.

Das bestehende Vertragsportfolio sollte systematisch auf Compliance geprüft werden – insbesondere IT- und Datenverträge, Lizenzmodelle und Entwicklungsvereinbarungen. Bei der Cybersicherheit gilt es, die Anforderungen bis zum Subunternehmer durchzudeklinieren. Und nicht zuletzt müssen Management und operative Teams für die neuen Rechtspflichten sensibilisiert werden – die Schulungspflicht für Geschäftsleitungen nach der NIS-2-Richtlinie ist dabei nur der Anfang.

Wie gehen Sie in Ihrem Unternehmen mit den neuen Daten- und KI-Compliance-Anforderungen um? Welche Vertragsmodelle funktionieren bei Ihnen in der agilen KI-gestützten Softwareentwicklung?