Executive Summary
Was 2026 von früheren Jahren unterscheidet: Die Regulierungswellen treffen nicht nacheinander ein, sondern gleichzeitig. AI Act, Cyber Resilience Act, neue Produkthaftungsrichtlinie, CBAM, Entgelttransparenzrichtlinie, ISO-Revision – Unternehmen müssen sich auf mehreren Fronten gleichzeitig bewegen. Nicht die Einzelverpflichtung ist das eigentliche Risiko, sondern das Zusammentreffen.
Für Unternehmen stellt sich damit nicht mehr die Frage, ob das eigene Rechtskataster vorhanden ist. Die entscheidende Frage lautet: Ist seine Struktur dieser Kultivierung gewachsen – und kann die Organisation nachweisen, dass sie relevante Entwicklungen systematisch erfasst, bewertet und umgesetzt hat?
Dieser Report gibt einen strukturierten Ausblick auf die regulatorischen Entwicklungen der nächsten 24 Monate. Er benennt die wichtigsten Handlungsfelder, zeigt, welche Änderungen besonders relevant werden – und was Unternehmen konkret vorbereiten sollten.
1. Das Umfeld: Regulierung als Dauerzustand
Regulierung war lange ein Ausnahmeereignis. Ein neues Gesetz, ein neuer Erlass – und dann Jahre der Ruhe. Diese Logik gilt nicht mehr.
Was sich strukturell verändert hat: Gesetze entstehen auf mehr als vier Ebenen gleichzeitig – EU-Verordnungen, nationale Umsetzungsgesetze, Landesrecht, technische Regelwerke und Branchenstandards. Dazu noch standortspezifische Regelungen. Jede dieser Ebenen hat ihren eigenen Rhythmus. Und alle zusammen erzeugen ein Netz aus Abhängigkeiten, das sich täglich verändert. Dazu kommen dann noch Konkretisierungen durch Gerichte auf nationaler und EU-Ebene.
Für Unternehmen bedeutet das: Die Frage ist nicht mehr „Was gilt heute?“, sondern „Was gilt morgen – und übernächsten Monat?“
Ebene | Beispiele | Änderungsfrequenz |
EU-Verordnungen | DSGVO, EUDR, NIS2, AI Act, CRA | Hoch |
Nationale Gesetze | LkSG, HinSchG, EnEfG, ProdHaftG | Mittel bis hoch |
Landesrecht | Bauordnungen, Immissionsschutz | Mittel |
Technische Normen | ISO 9001:2026, ISO 14001, ISO 50001 | Zyklusgebunden |
Branchenstandards | IATF 16949, BaFin-Vorgaben | Variabel |
2. Die wichtigsten Regulierungsfelder 2026–2027
Feld 1: ISO-Revision 2026 – Neue Anforderungen an das Rechtskataster
Die ISO 9001 und ISO 14001, die meistgenutzten Managementsystemnormen in Deutschland, werden 2026 revidiert. Die Revision ist kein kosmetisches Update – sie verändert den inhaltlichen Bewertungsmaßstab in Audits.
Was sich ändert:
- Klimaaspekte werden ausdrücklich in das Unternehmensumfeld einbezogen. Das Rechtskataster muss entsprechende Rechtsbereiche (Klimaschutzgesetz, Energieeffizienzgesetz, CO₂-Bepreisung) aktiv erfassen.
- Qualitätskultur, ethisches Verhalten und Lieferketten-Resilienz werden inhaltlich geschärft und stärker mit ESG-Anforderungen verknüpft.
- Prozesstransparenz und Nachvollziehbarkeit werden stärker gewichtet. Auditoren werden künftig nicht nur fragen: „Haben Sie das Gesetz gesehen?“ – sondern: „Können Sie dokumentieren, wie Sie es bewertet und umgesetzt haben?“
- Excel-basierte Rechtskataster stoßen hier an eine strukturelle Grenze: Tägliche Änderungen, laufende Nachweispflichten und Risikoeinschätzungen lassen sich händisch nicht mehr skalieren.
Was Unternehmen jetzt vorbereiten sollten:
Wer seine ISO-Zertifizierung nach dem neuen Standard führen möchte, sollte den Scope seines Rechtskatasters bereits heute erweitern – insbesondere um die Bereiche Energie, Klima und Lieferkette. Die Übergangsfrist läuft – aber die ersten Audits nach neuem Standard kommen früher als viele erwarten.
Feld 2: Governance & Haftung – Die Geschäftsleitung rückt in den Fokus
Mehrere aktuelle Rechtsentwicklungen weisen unabhängig voneinander in dieselbe Richtung: Haftung verschiebt sich auf die Leitungsebene – und zwar nicht erst dann, wenn ein konkreter Regelverstoß vorliegt, sondern bereits dann, wenn die Organisationsstruktur unzureichend war.
Drei relevante Entwicklungen:
- EuGH, 5. Dezember 2023 (C-807/21):Bußgelder nach Art. 83 DSGVO können unmittelbar gegen juristische Personen verhängt werden, ohne dass eine individuell handelnde Person identifiziert werden muss. Die Organisationseinheit steht im Zentrum der Verantwortung.
- BGH, 11. Februar 2025 (KZR 74/23) & OLG Frankfurt, 21. Oktober 2025:Die Regressfähigkeit von Bußgeldern gegenüber Geschäftsleitern ist erstinstanzlich bejaht worden. Die endgültige Klärung auf europäischer Ebene steht noch aus – die Richtung ist eindeutig.
- 38 NIS2UmsuCG: Die Verantwortung der Geschäftsleitung für Informationssicherheit ist ausdrücklich gesetzlich normiert. Delegation ist nicht möglich – Letztverantwortung bleibt.
Der gemeinsame Nenner: Bewertet wird nicht mehr nur individuelles Fehlverhalten, sondern die Qualität der organisatorischen Strukturen. § 130 OWiG verlangt Angemessenheit der Aufsichtsmaßnahmen – das Rechtskataster ist ein zentrales Element dieser Strukturantwort.
Was Unternehmen jetzt vorbereiten sollten:
Prüfen Sie, ob Ihr Rechtskataster als Governance-Instrument belastbar ist – nicht nur als Dokumentenablage. Können Sie im Ernstfall nachweisen, dass Änderungen erkannt, bewertet und umgesetzt wurden?
Feld 3: Informationssicherheit – NIS2 und der Cyber Resilience Act
Informationssicherheit ist 2026 kein IT-Thema mehr – es ist ein Führungsthema mit handfesten Haftungsfolgen. Zwei Regelwerke prägen die nächsten 24 Monate.
NIS2:
§ 38 NIS2UmsuCG normiert die persönliche Verantwortung der Geschäftsleitung. Schulungen sind Pflicht, Haftung ist nicht delegierbar. Auditoren prüfen zunehmend, ob das Rechtskataster die relevanten IT-Sicherheitsanforderungen abbildet – und ob Änderungen zeitnah erkannt wurden.
Cyber Resilience Act (CRA) – die nächste Welle:
Ab September 2026 greifen erste CRA-Meldepflichten verbindlich. Aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle müssen der EU-Behörde ENISA oft innerhalb von 24 Stunden gemeldet werden. Ab Dezember 2027 müssen alle neuen Produkte mit digitalen Elementen – also vernetzte Hardware, Software, IoT-Geräte – die vollständigen CRA-Anforderungen erfüllen.
Was das konkret bedeutet:
- Hersteller und Importeure vernetzter Produkte müssen Sicherheitsanforderungen bereits in der Entwicklungsphase dokumentieren.
- Sicherheitsupdates müssen über die gesamte Produktlebensdauer bereitgestellt werden – bei manchen Produktkategorien bis zu fünf Jahre.
- Schwachstellenmanagement wird zur Dauerpflicht, nicht zur einmaligen Maßnahme.
- Das erzeugt permanente Prozesskosten und Dokumentationspflichten, die im Rechtskataster strukturell abgebildet sein müssen.
Was Unternehmen jetzt vorbereiten sollten:
Klären Sie, ob Ihre Produkte unter den CRA fallen. Wenn ja: Beginnen Sie jetzt mit dem Aufbau der erforderlichen Dokumentations- und Meldeprozesse – der Dezember 2027 ist näher, als er erscheint. Stellen Sie zudem sicher, dass Ihr Rechtskataster NIS2-relevante Anforderungen nicht nur listet, sondern Verantwortlichkeiten, Maßnahmen und den Umsetzungsstand dokumentiert.
Was das für Compliance-Verantwortliche bedeutet:
Feld 4: KI-Compliance – Der EU AI Act wird operativ
Ab August 2026 gelten zentrale Pflichten des EU AI Act verbindlich – auch für den Mittelstand. Was bisher als abstraktes Regulierungsprojekt wahrgenommen wurde, wird operativ.
Was gilt ab wann:
- Seit Februar 2025: KI-Kompetenz aller Mitarbeitenden, die mit KI-Systemen arbeiten, ist bereits Pflicht. Dokumentation und Schulungsnachweise werden erwartet.
- Ab August 2026: Verbote für inakzeptable KI-Risiken gelten vollständig. Governance- und Transparenzpflichten für General Purpose AI (GPAI) greifen.
- Ab August 2027: Vollständige Pflichten für Hochrisiko-KI-Systeme.
Wer betroffen ist:
Der AI Act betrifft nicht nur KI-Anbieter – sondern alle Unternehmen, die KI-Systeme einsetzen, die als „hochriskant“ eingestuft werden. Dazu zählen unter anderem:
- KI-gestützte Personalentscheidungen (Recruiting, Leistungsbewertung)
- KI in der Kreditvergabe und Bonitätsprüfung
- KI-Systeme in sicherheitskritischen Produktionsprozessen
- KI-gestützte Entscheidungen mit Auswirkungen auf Grundrechte
Was das für Compliance bedeutet:
Unternehmen müssen Risikoklassifizierungen für ihre KI-Systeme dokumentieren, Governance-Strukturen aufbauen und Schulungsnachweise führen. Compliance-Kosten für Hochrisiko-KI werden auf 10–20% der KI-Investitionen geschätzt. Das Rechtskataster muss AI-Act-Anforderungen als eigenes Rechtsgebiet abbilden – mit zugeordneten Verantwortlichkeiten und Umsetzungsstand.
Was Unternehmen jetzt vorbereiten sollten:
Inventarisieren Sie Ihre KI-Systeme und bewerten Sie deren Risikoklasse. Starten Sie mit dem Aufbau der Governance-Dokumentation, bevor der Auditdruck entsteht. KI-Kompetenzschulungen sind heute bereits Pflicht – prüfen Sie, ob Sie das belegen können.
Feld 5: Neue Produkthaftungsrichtlinie – Umsetzung bis Dezember 2026
Die EU-Produkthaftungsrichtlinie (RL 2024/2853/EU) ersetzt das Produkthaftungsgesetz von 1985 vollständig. Die nationale Umsetzung muss bis 9. Dezember 2026 erfolgen. Das ist eine der tiefgreifendsten Verschiebungen im Produktrecht seit Jahrzehnten.
Was sich fundamental ändert:
- Software, KI-Systeme und digitale Dienste gelten als Produkte – und damit als haftungsrelevant, auch wenn sie keinen physischen Schaden verursachen.
- Datenverluste gelten als ersatzfähige Schäden – das ist neu und betrifft alle Unternehmen mit digitalen Produkten oder Serviceangeboten.
- Beweiserleichterung für Geschädigte: Bei „fehlertypischen Schäden“ gilt eine Kausalitätsvermutung. Unternehmen müssen aktiv nachweisen, dass ihr Produkt nicht fehlerhaft war.
- Erweiterter Haftungskreis: Neben Herstellern haften nun auch Importeure, bevollmächtigte Vertreter und – unter bestimmten Bedingungen – Online-Marktplätze.
- Verjährungsfrist verlängert: Ansprüche können nun bis zu 25 Jahre geltend gemacht werden, wenn sich Schäden erst spät manifestieren.
Was das für den Mittelstand bedeutet:
Viele mittelständische Unternehmen unterschätzen ihre Betroffenheit, weil sie sich nicht als „Produkthersteller im klassischen Sinne“ verstehen. Wer jedoch Software in Produkte integriert, digitale Dienstleistungen anbietet oder vernetzte Komponenten liefert, ist unmittelbar betroffen.
Was Unternehmen jetzt vorbereiten sollten:
Prüfen Sie, welche Ihrer Produkte und Dienstleistungen unter die neue Richtlinie fallen. Dokumentieren Sie Produktsicherheitsprozesse, Testprotokolle und Risikoanalysen systematisch – denn im Streitfall liegt die Beweislast zunehmend beim Unternehmen, nicht beim Geschädigten.
Feld 6: Lieferkette & Produktcompliance – EUDR und LkSG
Zwei Regelwerke stehen im Mittelpunkt der nächsten 24 Monate: Die EU-Entwaldungsverordnung (EUDR) und das Lieferkettensorgfaltspflichtengesetz (LkSG).
Was die EUDR bedeutet:
Unternehmen, die Produkte in Verkehr bringen, die mit bestimmten Rohstoffen (Soja, Rinderfleisch, Palmöl, Holz, Kautschuk, Kakao, Kaffee) in Verbindung stehen, müssen Sorgfaltspflichten nachweisen. Betroffen sind nicht nur Direktimporteure – auch viele verarbeitende Mittelständler, die diese Rohstoffe in ihrer Lieferkette haben, ohne es explizit zu wissen.
Ein konkretes Beispiel: Ein Produktionsbetrieb, der Dichtungen aus Naturkautschuk verarbeitet, fällt unter die EUDR – ohne dass dies typischerweise im Rechtskataster erfasst ist, weil die Verknüpfung zwischen Produktbeschreibung und Gesetzesanforderung manuell nicht hergestellt wird.
Was Unternehmen jetzt vorbereiten sollten:
- Überprüfen Sie Ihre Produktbeschreibungen und Lieferketten auf EUDR-Relevanz.
- Stellen Sie sicher, dass Ihr Rechtskataster die Verbindung zwischen eingesetzten Materialien und zugehörigen Verordnungen systematisch herstellt.
Feld 7: CBAM – CO₂-Grenzausgleich mit vollem Kostengewicht ab 2026
Seit 1. Januar 2026 ist CBAM, der CO₂-Grenzausgleichsmechanismus der EU, vollständig wirksam. Importeure bestimmter Produktgruppen müssen nun tatsächliche CO₂-Zertifikate erwerben – die Übergangsphase mit reiner Berichtspflicht ist beendet.
Betroffene Produktgruppen (Stand 2026):
Stahl und Aluminium, Zement, Düngemittel, Strom, Wasserstoff sowie ausgewählte chemische Vorprodukte. Die EU plant eine stufenweise Ausweitung auf nachgelagerte Produkte ab 2028.
Was das konkret bedeutet:
- Kosten können je nach Importvolumen und CO₂-Intensität schnell in den fünf- bis sechsstelligen Bereich gehen.
- Erhöhte Melde- und Dokumentationspflichten entlang der gesamten Lieferkette – Lieferanten müssen CO₂-Fußabdrücke ihrer Produkte nachweisen.
- Das Rechtskataster muss CBAM als eigenständiges Compliance-Thema abbilden – mit klaren Zuständigkeiten zwischen Einkauf, Finanz und Legal.
Was Unternehmen jetzt vorbereiten sollten:
Prüfen Sie, ob Ihre Importströme unter CBAM fallen. Klären Sie, welche Lieferanten Ihnen die erforderlichen CO₂-Daten liefern können – und welche nicht. Das ist zugleich eine Lieferantenqualifikationsfrage.
Feld 8: EU-Entgelttransparenzrichtlinie – Umsetzungsfrist 7. Juni 2026
Bis 7. Juni 2026 muss Deutschland die EU-Entgelttransparenzrichtlinie in nationales Recht umsetzen. Das bestehende Entgelttransparenzgesetz (EntgTranspG) wird erheblich verschärft.
Was sich ändert:
- Unternehmen ab 100 Mitarbeitenden müssen strukturierte Informationen zu Entgeltgefällen bereitstellen und auf Anfrage Auskunft geben.
- Berichtspflichten über das unternehmensweite Entgeltgefälle zwischen Frauen und Männern werden ausgeweitet.
- Beweislastumkehr: Bei einem nachgewiesenen Entgeltgefälle muss der Arbeitgeber nachweisen, dass der Unterschied sachlich gerechtfertigt ist.
- Klagen von Arbeitnehmenden werden vereinfacht.
Was das für das Rechtskataster bedeutet:
Die Überschneidung von Arbeitsrecht, Datenschutz und Compliance wird hier besonders komplex. Zuständigkeiten liegen verteilt zwischen HR, Legal und Datenschutzbeauftragtem. Wenn das Rechtskataster diese Schnittmenge nicht abbildet, entstehen blinde Flecken.
Was Unternehmen jetzt vorbereiten sollten:
Starten Sie jetzt mit der Analyse Ihrer Gehaltsstrukturen – nicht erst nach der Umsetzung. Klären Sie, wer intern für die Berichtspflichten verantwortlich ist, und dokumentieren Sie die Zuständigkeit im Rechtskataster.
Feld 9: Data Act – Datenzugang als neue Compliance-Pflicht
Der EU Data Act ist seit September 2025 vollständig in Kraft. Ab September 2026 gilt die Pflicht zum „access by design“ auch für neu auf den Markt gebrachte Produkte.
Was der Data Act verlangt:
Wer vernetzte Produkte oder damit verbundene digitale Dienste anbietet, muss Nutzern und – unter bestimmten Bedingungen – Dritten strukturierten Zugang zu generierten Daten ermöglichen. Das betrifft:
- Hersteller vernetzter Maschinen und Geräte (IoT)
- Anbieter digitaler Dienste und Plattformen
- Unternehmen, die cloudbasierte Services erbringen
Was das konkret bedeutet:
- Verträge mit Nutzern und Drittparteien müssen angepasst werden.
- Technische Schnittstellen für den Datenzugang müssen eingerichtet und dokumentiert sein.
- Verstöße können in Deutschland mit bis zu 500.000 € geahndet werden.
Was Unternehmen jetzt vorbereiten sollten:
Klären Sie, welche Ihrer Produkte und Dienste Daten generieren – und ob Sie die erforderlichen Datenzugangsrechte bereits eingeräumt haben. Integrieren Sie den Data Act als eigenständiges Rechtsgebiet in Ihr Rechtskataster, insbesondere mit Blick auf die Überschneidungen mit der DSGVO
Feld 10: ESG & Nachhaltigkeitsberichterstattung
Die CSRD entfaltet ihre Wirkung schrittweise – und zieht erhebliche mittelbare Anforderungen nach sich. Das EU-Omnibus-Paket hat zwar Erleichterungen gebracht (Schwellenwert: ab 1.000 Mitarbeitende und >50 Mio. € Umsatz), aber diese sollten nicht als Freifahrtschein missverstanden werden.
Was in den nächsten 24 Monaten relevant wird:
- Unternehmen, die als Zulieferer großer Konzerne tätig sind, geraten über Lieferkettenpflichten in den Scope der CSRD – auch wenn sie selbst nicht berichtspflichtig sind.
- Die ersten CSRD-Berichte großer Unternehmen erscheinen 2026 und machen Lieferkettentransparenz sichtbar – mit direktem Druck auf mittelständische Zulieferer.
- Übergangsfristen laufen 2026 und 2027 ab. Wer erst dann beginnt, hat strukturell zu wenig Zeit.
Was Unternehmen jetzt vorbereiten sollten:
Klären Sie frühzeitig, ob und über welche Lieferkettenverflechtungen ESG-Berichtspflichten auf Sie zukommen. Das ist keine Frage der Größe – sondern der Lieferantenstruktur
Bereitet Sie Ihr bestehendes Rechtskataster schon heute auf diese Veränderungen vor?
Gerne zeige ich Ihnen, wie ein KI-gestütztes Rechtskataster diese Entwicklungen bereits heute abbildet – und wo in Ihrem Setup möglicherweise strukturelle Lücken bestehen.
Im Blogbeitrag Teil 2 zeige ich auf, wann was greift. Wer besonders betroffen ist. Und was Unternehmen jetzt konkret vorbereiten sollten.
