Eine umfassende Übersicht über aktuelle und kommende Regulierungen mit Umsetzungsfristen, Betriebsgrößen und Anforderungen für Unternehmen in Deutschland und der EU.
Die digitale Wirtschaft steht vor der größten regulatorischen Welle seit der DSGVO. Bis 2027 treten zahlreiche EU-Verordnungen in Kraft, die nahezu jeden Aspekt digitaler Geschäftsmodelle betreffen – von Cybersicherheit (NIS-2, Cyber Resilience Act) über Künstliche Intelligenz (AI Act) bis hin zu Datenzugang (Data Act) und Produkttransparenz (Digital Product Passport). Besonders kritisch: Das Barrierefreiheitsstärkungsgesetz (BFSG) wird bereits am 28. Juni 2025 verbindlich, während die NIS-2-Richtlinie seit Dezember 2025 sofort gilt und über 30.000 Unternehmen in Deutschland betrifft. Die Umsetzungsfristen sind eng getaktet – Handeln ist jetzt gefordert.
Dieser umfassende Zeitplan bietet klare Orientierung: Chronologische Übersicht aller Stichtage von heute bis 2030, konkrete Angaben zu Betriebsgrößen und Schwellenwerten, Priorisierung nach Dringlichkeit sowie direkte Links zu offiziellen Quellen. Zielgruppen sind Geschäftsführer, Compliance-Teams, IT-Verantwortliche und alle Unternehmen mit E-Commerce, Online-Diensten oder IoT-Produkten. Nutzen Sie diesen Leitfaden als Fahrplan für Ihre Compliance-Strategie – damit Sie rechtzeitig vorbereitet sind und Bußgelder vermeiden.
GESETZE
DE & EU
Die regulatorische Transformation der digitalen Wirtschaft
1.
Zeitplan
Kommende Regulierungen im Zeitplan
Bereits in Kraft
> 2025
>> 2026
>> 2027
2.
DSGVO
Datenschutz-Grundverordnung
- Status: Seit 25. Mai 2018 vollständig in Kraft
- Betriebsgröße: Alle Unternehmen (keine Mindestgröße)
- Datenschutzbeauftragter erforderlich ab:
- 10 Mitarbeiter bei regelmäßiger Verarbeitung besonders sensibler Daten
- 20 Mitarbeiter bei automatisierter Verarbeitung personenbezogener Daten
- Weitere Informationen:
3.
DSA
Digital Services Act
- Status: In Kraft seit 16. November 2022
- Vollständige Anwendbarkeit:
- Für VLOPs/VLOSEs: seit 25. August 2023
- Für alle anderen Dienste: seit 17. Februar 2024
- Betriebsgröße:
- Alle Anbieter digitaler Dienste
- Besondere Pflichten für „Very Large Online Platforms“ (VLOPs) mit ≥45 Mio. monatlichen Nutzern in der EU
- Hauptpflichten:
- Transparenz bei Content-Moderation
- Schutz vor illegalen Inhalten
- Beschwerdemanagementsystem
- Marktplätze: Verifizierung von Händlern
- Weitere Informationen:
- https://digital-strategy.ec.europa.eu/de/policies/digital-services-act-package
- https://www.bundesnetzagentur.de (DSA-Koordinator Deutschland)
4.
NIS-2-Richtlinie
Cybersicherheit
- Status: In Kraft getreten am 6. Dezember 2025
- Gilt sofort (keine Übergangsfrist für Unternehmen)
- Betriebsgröße:
- ≥50 Mitarbeiter ODER
- ≥10 Mio. € Jahresumsatz/Bilanzsumme
- Betroffene Sektoren:
- Kritische Infrastrukturen (Energie, Verkehr, Gesundheit, Wasser, Finanzwesen)
- Wichtige Sektoren (Post, Abfall, Chemikalien, Lebensmittel, IT-Dienste, digitale Anbieter)
- Über 30.000 Unternehmen in Deutschland betroffen
- Hauptanforderungen:
- Risikomanagement für Cybersicherheit
- Meldepflicht bei Sicherheitsvorfällen (24h Erstmeldung, 72h Detailbericht)
- Governance: Geschäftsführung persönlich verantwortlich
- Schulungen für Mitarbeiter
- Strafen: Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
- Weitere Informationen:
5.
BFSG
Barrierefreiheitsstärkungsgesetz
- Stichtag: 28. Juni 2025
- Betriebsgröße: Alle Unternehmen (keine Ausnahmen nach Größe)
- Ausnahmen:
- Kleinstunternehmen (<10 Mitarbeiter UND <2 Mio. € Jahresumsatz) nur wenn „unverhältnismäßige Belastung“
- Dienstleistungen, die bereits vorher erbracht wurden: Übergangsregelung bis 2030
- Betroffene Produkte:
- Computer, Smartphones, Tablets
- E-Book-Reader, Selbstbedienungsterminals (Geldautomaten, Fahrkartenautomaten)
- Telefondienste, audiovisuelle Mediendienste
- Betroffene Dienstleistungen:
- E-Commerce/Online-Shops
- Elektronische Kommunikation
- Bankdienstleistungen
- Personenverkehrsdienste
- Hauptanforderungen:
- WCAG 2.1 Level AA für digitale Inhalte
- Alternativtexte für Bilder
- Tastaturnavigation
- Ausreichende Kontraste
- Vorlesefunktionen
- Barrierefreie Dokumentation
- Weitere Informationen:
6.
AI Act Phase 1
KI-Verordnung
- Inkrafttreten: 1. August 2024
- Verbotene KI-Praktiken: seit 2. Februar 2025
- GPAI-Modelle & Governance: 2. August 2025
- Betriebsgröße: Alle Anbieter und Betreiber von KI-Systemen
- Risikokategorien:
- Verboten: Social Scoring, biometrische Echtzeit-Fernidentifikation im öffentlichen Raum (mit Ausnahmen)
- Hochrisiko (Anhang III): Biometrische Identifikation, kritische Infrastruktur, Bildung, Beschäftigung, Strafverfolgung
- Generative KI (GPAI): Transparenzpflichten, Dokumentation
- Minimales Risiko: Keine spezifischen Anforderungen (nur generelle Transparenz)
- Weitere Informationen:
7.
Data Act Phase 1
Datenportabilität
- Anwendbarkeit: seit 12. September 2025
- Betriebsgröße:
- Hersteller vernetzter Produkte (IoT-Geräte)
- Anbieter verbundener Dienste
- Cloud-Service-Provider
- Hauptpflichten ab September 2025:
- Nutzerrechte: Zugang zu Gerätedaten
- Datenportabilität zwischen Cloud-Anbietern
- Faire Vertragsgestaltung
- Schutz vor unrechtmäßigem Datenzugriff
- Weitere Informationen:
8.
DPP - Batterien
Digital Product Passport
- Start: Ab 2026 (gestaffelt bis 2030)
- Erste Phase (2026/27):
- Industrie- und Automobilbatterien
- Energieintensive Industrieprodukte
- Betriebsgröße:
- Alle Hersteller, Importeure und Händler betroffener Produktgruppen
- Keine Mindestgröße, aber KMU-Unterstützung geplant
- Hauptanforderungen:
- Digitaler Pass mit QR-Code/RFID
- Produktinformationen: Material, Herkunft, CO2-Fußabdruck
- Reparatur- und Recyclinginformationen
- Lieferketten-Transparenz
- Kommende Produktgruppen (2027-2030):
- Textilien (2027-2028)
- Elektronik (2028-2029)
- Möbel (2029-2030)
- Etwa 30 Produktkategorien insgesamt
- Weitere Informationen:
9.
AI Act Phase 2
KI-Verordnung
- Vollständige Anwendbarkeit: 2. August 2026
- Hauptpflichten für Hochrisiko-KI:
- CE-Kennzeichnung
- Konformitätsbewertung
- Risikomanagementsystem
- Datenqualität und -governance
- Technische Dokumentation
- Logging und Nachvollziehbarkeit
- Menschliche Aufsicht
- Robustheit und Cybersicherheit
- Organisatorische Anforderungen:
- Benennung von Bevollmächtigten in der EU
- Qualitätsmanagementsystem
- Post-Market-Monitoring
- Weitere Informationen:
10.
Data Act Phase 2
Design-Pflichten
- Stichtag: 12. September 2026
- „Data Access by Design“: Verpflichtend für ALLE neuen vernetzten Produkte
- Betriebsgröße: Alle Hersteller von IoT-Produkten
- Technische Anforderungen:
- Nutzer müssen Daten direkt abrufen können
- APIs für Datenzugriff bereitstellen
- Echtzeit-Zugriff auf Produktdaten
- Standardisierte Schnittstellen
- Transparenz über gesammelte Daten
- Betroffene Produkte:
- Smart Home Geräte
- Wearables
- Industrielle IoT-Sensoren
- Vernetzte Fahrzeuge
- Medizinische Geräte
- Landwirtschaftliche Maschinen
- Weitere Informationen:
11.
CRA
Cyber Resilience Act – Meldepflichten
- Start Meldepflichten: 11. September 2026
- Betriebsgröße: Alle Hersteller, Importeure und Händler von Produkten mit digitalen Elementen
- Meldepflicht:
- Aktiv ausgenutzte Schwachstellen: innerhalb 24 Stunden
- Schwere Sicherheitsvorfälle: innerhalb 72 Stunden
- Meldung an CSIRT (Computer Security Incident Response Team)
- Weitere Informationen:
12.
AI Act Phase 3
KI-Verordnung
- Übergangsregelung: bis 2. August 2027
- Gilt für: GPAI-Modelle, die VOR Inkrafttreten auf den Markt gebracht wurden
- Weitere Informationen: https://artificialintelligenceact.eu/implementation-timeline/
13.
Cyber Resilience Act
Cyber Resilience Act
- Stichtag: 11. Dezember 2027
- Betriebsgröße:
- Alle Hersteller, Importeure und Händler
- Besondere Unterstützung für KMU, Kleinstunternehmen und Start-ups vorgesehen
- Betroffene Produkte:
- Alle Hardware/Software mit Netzwerkverbindung
- IoT-Geräte
- Router, Firewalls
- Smart Home Produkte
- Industrielle Steuerungssysteme
- Software-Produkte (auch Open Source bei kommerzieller Nutzung)
- Browser, Betriebssysteme
- Risikoklassen:
- Standard: Selbstbewertung, CE-Kennzeichnung
- Klasse I (wichtig): Passwortmanager, VPN, Antivirensoftware
- Klasse II (kritisch): ICS/SCADA, Hypervisoren, PKI-Lösungen, Smart Meter
- Hauptanforderungen:
- Secure by Design (Sicherheit ab Entwicklung)
- Schwachstellen-Management
- Software-Updates (mindestens 5 Jahre)
- CE-Kennzeichnung
- Technische Dokumentation
- Sicherheitshinweise für Nutzer
- EU-Konformitätserklärung
- Konformitätsbewertung:
- Standard-Produkte: Selbstbewertung
- Klasse I/II: Prüfung durch notifizierte Stelle
- Strafen: Bis zu 15 Mio. € oder 2,5% des weltweiten Jahresumsatzes
- Weitere Informationen:
14.
DPP
Digital Product Passport (DPP) – Weitere Phasen
- 2027-2028: Textilien, Bekleidung
- 2028-2029: Elektronik, Haushaltsgeräte
- 2029-2030: Möbel, Chemikalien, weitere Produktgruppen
- Ziel: Bis 2030 fast alle Produkte im EU-Markt mit DPP
