Das Jahr 2025 war von hoher regulatorischer und wirtschaftlicher Unsicherheit geprägt. Nationale Gesetzesvorhaben wurden teils durch EU-Initiativen überholt; zum Jahresende zeichneten sich für Unternehmen dennoch spürbare Entlastungen und neue Impulse ab.
Für 2026 sind die folgenden Themen entscheidend – mit direktem Einfluss auf Strategie, Governance und Compliance von Unternehmen.
① Finanz- und Investitionsstandort Deutschland soll zukunftsfit werden
Ein von der Ampelkoalition als Zukunftsfinanzierungsgesetz II angestoßenes Vorhaben wurde unter dem Namen Standortfördergesetz neu eingebracht. Und es bringt erhebliche Chancen für den Finanz- und Investitionsstandort Deutschland. Es kombiniert steuerliche Anreize, digitale Prozesse und die Umsetzung europäischer Vorgaben, um private Investitionen, Innovation und nachhaltiges Wachstum zu stärken. Unter anderem werden rechtssichere Rahmenbedingungen geschaffen, die es Kapitalverwaltungsgesellschaften ermöglichen, gezielt in Infrastruktur und erneuerbare Energien zu investieren.
Das Standortfördergesetz wird von einem Sondervermögen für Infrastrukturvorhaben flankiert, das öffentlicher Investitionen ankurbeln wird und Chancen für Unternehmen unter anderem aus dem Bausektor bereithält.
② ESG-Management bleibt im Fokus
Nach einer langen Hängepartie bringt die Einigung über das Omnibus-I-Paket auf EU-Ebene nun langsam Orientierung und Planungssicherheit für Unternehmen und Investoren. Die Vereinfachungen der Nachhaltigkeitsberichterstattung gehen mit einem deutlich abgeschwächten Anwendungsbereich der Corporate Sustainability Reporting Directive (CSRD) einher. Nur noch große Unternehmen mit 1.000 Mitarbeitenden und 450 Millionen Umsatzerlösen werden nach der geänderten CSRD ihre ESG-Daten gesetzlich verpflichtend erheben und offenlegen müssen. Zugleich wurden auch die Schwellenwerte für die Anwendung der Corporate Sustainability Due Diligence Directive (CSDDD) deutlich erhöht (siehe dazu auch den Beitrag von Bettina Mertgen und Christopher Alexander Blank in Deutscher AnwaltSpiegel, Ausgabe 02/2026). Unternehmen, die aus dem Anwendungsbereich herausfallen, sollten sich jedoch nicht zurücklehnen. Denn ESG-(Risiko-)Management bleibt für Unternehmen ein Wettbewerbsfaktor. Neue Haftungsrisiken folgen zum Beispiel aus Klimaklagen, die sich nicht erst seit dem Fall Lliuya vs. RWE und dem Gutachten des Internationalen Gerichtshofs (IGH) im Aufwind befinden und durch eine unklare Rechtslage befeuert werden. Auch Banken werden weiterhin belastbare ESG-Daten verlangen. Dies wird auch durch das CRD-VI-Umsetzungsgesetz (CRD: Capital Requirements Directive) unterstrichen, das Vorgaben an Banken für das Management von ESG-Risiken gesetzlich im Kreditwesengesetz (KWG) verankert. Zudem bleiben Klimaziele und damit auch Dekarbonisierungsanforderungen für Unternehmen bestehen. Insbesondere durch den erhöhten Energiebedarf aufgrund der gestiegenen KI-Nutzung sind hier neue Herausforderungen hinzugekommen.
③ KI-Compliance und Digital Omnibus
Nach der aktuell gültigen Fassung der europäischen KI-Verordnung greifen ab August 2026 Vorschriften für Hochrisiko-KI-Systeme. Mit dem im November 2025 vorgestellten „Digital Omnibus“ schlägt die EU-Kommission – neben weiteren Vereinfachungsmaßnahmen im Digitalbereich – nun jedoch vor, den Geltungsbeginn dieser Vorschriften an die Verfügbarkeit von Maßnahmen zum Nachweis ihrer Einhaltung (zum Beispiel harmonisierte Normen oder gemeinsame Spezifikationen) zu knüpfen. Werden diese nicht rechtzeitig veröffentlicht, gelten Auffangfristen. Auch bestimmte Transparenzvorgaben für Anbieter und Betreiber von KI-Systemen mit geringem Risiko sollen verschoben werden. Parlament und Rat müssen den Vorschlägen noch zustimmen. Unabhängig vom konkreten Geltungsbeginn der einzelnen Pflichten bleibt die Entwicklung einer KI-Compliancestrategie unmittelbare Organisations- und Führungsaufgabe.
④ Cybersecurity und -resilienz
Mit der deutschen Umsetzung der NIS2-Richtlinie sind Ende 2025 Risikomanagementanforderungen, Meldepflichten und Geschäftsleitungspflichten zur Gewährleistung eines angemessenen Maßes an Cybersicherheit verbindlich geworden. Cybersecurity wird damit endgültig zur Chefsache. Zudem greifen ab September 2026 erste Meldepflichten aus der Cyberresilienz-Verordnung der EU, die erstmals Mindestanforderungen an die Cybersicherheit für vernetzte Produkte festlegt. Im Finanzsektor stärkt der Digital Operational Resilience Act (DORA) die Aufsicht über kritische Dienstleister auf dem Gebiet der Informations- und Kommunikationstechnologie (IKT).
⑤ Erweiterte Produkthaftung und neue Pflichten im E-Commerce
Die nationale Umsetzung der neuen Produkthaftungsrichtlinie der EU wird Ende 2026 zu einer deutlichen Ausweitung der verschuldensunabhängigen Produkthaftung führen. Insbesondere Änderungen der Beweisregeln machen für Hersteller, Importeure, Händler, aber auch Fulfillment-Dienstleister und Onlineplattformen eine Überprüfung ihrer internen Prozesse erforderlich. Im Onlinehandel müssen ab Juni 2026 ein Widerrufsbutton implementiert und ab September 2026 verpflichtende Gewährleistungs- und Garantielabel angezeigt werden. Der Ende 2026 erwartete Entwurf des Digital Fairness Act wird zusätzlich zu einer Ausweitung der Digitalregulierung führen.
