Newsletter Technologie & Kommunikation Ausgabe 1 - 2026

Liebe Leser:innen,

Die EU-Kommission hat bereits mit zwei großen neuen Gesetzgebungsvorhaben, dem Digital Networks Act und dem Cybersecurity Act 2, das neue Jahr eröffnet. In Deutschland befasst sich der Gesetzgeber derweil mit der Umsetzung einiger EU-Rechtsakte aus dem vergangenen Jahr, konkret dem e-Evidence-Paket, dem Data Act und der CER-Richtlinie. Darüber hinaus hat der BGH ein wichtiges Urteil zur Mindestlaufzeit von Glasfaserdiensten veröffentlicht.  

Diese und weitere Nachrichten finden Sie im Folgenden. Wir wünschen Ihnen viel Spaß beim Lesen. 

Nachrichten

Bundestag beschließt KRITIS-Dachgesetz

Der Bundestag hat am 29.1.2026 das Gesetz zur Umsetzung der CER-Richtlinie (KRITIS-Dachgesetz) angenommen. Die CER-Richtlinie (EU) 2022/2557 ergänzt die Vorgaben der NIS2-Richtlinie 2022/2555 zur Cybersicherheit wesentlicher und wichtiger Einrichtungen, deren deutsches Umsetzungsgesetz im vergangenen Dezember in Kraft getreten ist, um Vorgaben zur physischen Resilienz kritischer Anlagen.

Weitere Informationen finden Sie auf der Website des Bundestags.

Bundestag beschließt eEvidence-Gesetz

Der Bundestag hat am 29.1.2026 das Gesetz zur Umsetzung und Durchführung des EU-e-Evidence-Pakets beschlossen. Das Gesetz regelt die Durchführung von Europäischen Herausgabe- und Sicherungsanordnungen für Teilnehmerdaten, Identifikationsdaten, Verkehrsdaten und Inhaltsdaten nach der Verordnung (EU) 2023/1543 (e-Evidence-VO). Zudem setzt es die Richtlinie (EU) 2023/1544 (e-EvidenceRL) um, die insbesondere die Benennung von sog. Adressaten vorsieht, die die Anordnungen entgegennehmen und ausführen. Die e-Evidence-Verordnung gilt ab dem 18.8.2026, die relevanten Umsetzungsvorschriften teils bereits ab dem 18.2.2026.

Weitere Informationen finden sie auf heise.de und twobirds.com. Einen umfassenden Überblick zum Thema e-Evidence bietet unsere neue Trending Topics Page in englischer Sprache.

EU-Kommission veröffentlicht Entwurf zum Digital Networks Act

Die EU-Kommission hat am 21.1.2026 ihren ersten offiziellen Entwurf des Digital Networks Act (DNA) veröffentlicht. Mit dieser Verordnung plant die EU, den European Electronic Communications Code (EECC) abzulösen und zentrale Bereiche der Telekommunikationsregulierung weiter zu vereinheitlichen und unmittelbar zu regeln. Mit der „Single Passport Authorisation“ sollen Anbieter von Telekommunikations- (TK-)Diensten und Betreiber von TK-Netzen künftig nur in einem EU-Mitgliedstaat eine Meldepflicht erfüllen müssen. Darüber hinaus trifft der DNA Vorschriften zur Migration von Kupfer- auf Glasfaserkabel. Auch die Vergabe von Funkfrequenzen und die Zulassung von Satellitendiensten soll weiter vereinfacht und teils zentralisiert werden. Des Weiteren werden die Vorschriften zur Netzneutralität aus der VO (EU) 2015/2120 sowie Kundenschutzvorschriften aus der ePrivacy-RL (RL 2002/58/EG) in den DNA übernommen.

Weitere Informationen finden Sie auf twobirds.com (en) sowie auf heise.de.

EU-Kommission veröffentlicht Entwurf eines Cybersecurity Act 2

Die EU-Kommission hat am 20.1.2026 einen Entwurf für eine Neufassung des Cybersecurity Act („CSA2“) veröffentlicht. Neben generellen Anpassungen des Cybersecurity Act an die NIS2-Richtlinie soll der CSA2 einen Rechtsrahmen für eine vertrauenswürdige IKT-Lieferkette einführen. Dieser sieht vor, dass IKT-Komponenten sog. „high-risk supplier“ ausgeschlossen werden. Die Kommission veröffentlicht hierzu eine Liste der Anbieter, die sie als „high-risk supplier“ einstuft. Speziell für in Telekommunikationsnetzen bereits verbaute Komponenten sieht der CSA2 eine Frist zur Entfernung dieser Komponenten von maximal 36 Monaten ab Veröffentlichung dieser Liste vor. Die EU-Kommission kann spezifischere Fristen in Implementierungsrechtsakten vorgeben. Bislang sieht die „EU 5G Toolbox“ vor, dass Mitgliedsstaaten freiwillig Maßnahmen treffen können um das Sicherheitsrisiko ihrer 5G-Infrastruktur durch „high-risk supplier“ zu mindern. Der CSA2 soll dies nun verbindlich einführen und neben Mobilfunk- auch auf Kabel- und Satellitennetzinfrastrukturen ausweiten.

Weitere Informationen finden Sie auf heise.de.

Bundestag berät erstmals über Gesetz zur Durchführung des Data Act

Der Bundestag hat am 16.1.2026 in erster Lesung zum Gesetz zur Durchführung des Data Act beraten. Das Gesetz regelt die nationale Zuständigkeit für die Anwendung und Durchsetzung des Data Act in Deutschland. Prominentes Streitthema sowohl zwischen Bundesrat und Bundesregierung als auch unter den Sachverständigen ist, ob die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gegenüber den Landesdatenschutzbehörden eine Sonderzuständigkeit für Datenschutzfragen im Zusammenhang mit dem Data Act erhalten soll.

Weitere Informationen finden Sie auf der Website des Bundestags.

BGH entscheidet zum Beginn der Vertragslaufzeit für Glasfaserverträge 

Der BGH hat mit Urteil vom 8.1.2026 entschieden, dass die Laufzeit eines Telekommunikationsvertrags i.S.d. § 309 Nr. 9 lit. a BGB nicht erst mit der Bereitstellung des Dienstes, sondern mit dem Vertragsschluss beginnt (Az. III ZR 8/25). Nach Auffassung des BGH ist das Klauselverbot aus § 309 Nr. 9 lit. a BGB auch auf typengemischte Verträge anwendbar, die das Angebot von Telekommunikationsdiensten sowie die erstmalige Herstellung eines Glasfaseranschlusses und dessen Gebrauchsüberlassung zum Gegenstand hat, sofern das Angebot von Telekommunikationsdiensten im Vordergrund stehe. Ob dies auch für Verträge mit Schwerpunkt auf der Gebrauchsüberlassung zutreffe, ließ der BGH offen. Des Weiteren entschied der BGH, dass § 309 Nr. 9 lit. a BGB auch nicht durch § 56 Abs. 1 TKG verdrängt werde. Im Übrigen entschied der BGH, dass für den Beginn der anfängliche Mindestlaufzeit gem. § 56 Abs. 1 TKG ebenfalls auf den Zeitpunkt des Vertragsschlusses abzustellen sei und knüpft damit an seine Entscheidung zur Laufzeit von Folgeverträgen nach § 56 Abs. 1 TKG aus dem Juli 2025 an (Az. III ZR 61/24).

Weitere Informationen finden Sie auf heise.de.

BGH zur Haftung des Verantwortlichen für den Auftragsverarbeiter

Der BGH hat mit Urteil vom 11.11.2025 zur Haftung des Verantwortlichen für Verstöße des Auftragsverarbeiters gegen die DSGVO sowie eigene Haftung für mangelnde Aufsicht über den Auftragsverarbeiter entschieden (Az. VI ZR 396/24). Im konkreten Fall beauftragte ein Unternehmen einen externen Auftragsverarbeiter. Nach Beendigung des Vertrags löschte dieser entgegen eigener Aussage die bei ihm gespeicherten personenbezogenen Daten nicht, sondern überführte sie in eine Testumgebung, aus der sie entweder von unbekannten Hackern abgegriffen oder eigenen Mitarbeitern unbefugt weitergegeben und im Darknet veröffentlicht wurden. Der BGH bejahte einen Schadensersatzanspruch gegen den Verantwortlichen, da er hätte sicherstellen müssen, dass nach Beendigung des Auftragsverarbeitungsverhältnisses keine personenbezogenen Daten mehr beim Auftragsverarbeiter verblieben. Dafür müsse der Verantwortliche zumindest das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beitragen, dass sichergestellt ist, dass der Auftragsverarbeiter seine Löschpflichten erfüllt. Ein bloßes Berufen auf eine vertraglich festgelegte Löschung sei hierfür nicht ausreichend.

Weitere Informationen finden Sie auf otto-schmidt.de.

OLG Düsseldorf bestätigt Urteil zu Peering-Entgelt

Das OLG Düsseldorf hat am 10.2.2026 entschieden, dass der Telekom Deutschland GmbH ein vertraglicher Zahlungsanspruch für Zusammenschaltungsleistungen gegenüber der Meta-Tochter Edge Network Services Ltd.  zusteht (Az. VI-6 U 3/24). Damit bestätigt das OLG das erstinstanzliche Urteil des LG Köln vom 14.5.2024. Zwischen den Parteien bestand Uneinigkeit über das Zustandekommen eines entgeltlichen Vertrags. Der Volltext der Entscheidung war bei Redaktionsschluss noch nicht veröffentlicht.

Weitere Informationen finden Sie auf der Website der Justiz NRW.

Referentenentwurf zur IP-Vorratsdatenspeicherung

Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat am 22.12.2025 einen Entwurf zur Einführung einer Vorratsdatenspeicherung von IP-Adressen veröffentlicht. Der Entwurf sieht für Anbieter von Internetzugangsdiensten eine anlasslose, 3-monatige Pflicht zur Speicherung von IP-Adressen sowie Begleitdaten, die für die Identifizierung des Anschlussinhabers erforderlich sind, vor. Darüber hinaus sieht der Entwurf Verarbeitungsbefugnisse für sonstige Verkehrsdaten zur Umsetzung von Sicherungs- und Herausgabeanordnungen vor.

Weitere Informationen finden Sie auf heise.de und netzpolitik.org.

Events

Save the Date: IT LawCamp 2026 in Frankfurt

Am 24. April 2026 wird Frankfurt wieder zum Treffpunkt für alle, die Tech, IT und Recht zusammen denken. Beim IT LawCamp 2026 sprechen wir über die Themen, die Tech‑Strategien und Rechtsabteilungen jetzt wirklich beschäftigen:

• AI, Data & Regulation – praktische Auswirkungen neuer EU‑Regelwerke und Use Cases
• Cloud, Plattformen & Infrastruktur – souveräne Architekturen & Security
• Tech Contracts & Procurement – vertragliche Modelle für moderne Technologien
• Data Access & Open Source – Chancen, Risiken und operative Herausforderungen

📅 Freitag, 24. April 2026
🕙 09:00–18:00 Uhr
📍 memox Frankfurt Messe, Platz der Einheit 1
👉 Termin direkt im Kalender speichern

Weitere Informationen folgen in Kürze!

Wir freuen uns auf den Austausch mit Entscheider:innen aus Unternehmen, Verwaltung und Tech‑Umfeld – und darauf, gemeinsam einen Blick auf den aktuellen Stand und die Zukunft in Tech, IT & Recht zu werfen.

Veröffentlichungen und Vorträge

Connected Januar

In unserer Connected-Januarausgabe richten wir unseren Blick auf die Entwicklungen, mit denen im Tech&Comms-Bereich 2026 zu rechnen ist. Dabei geht es um das Digitale Omnibuspaket, den Digital Networks Act und den Cyber Security Act 2 auf EU-Ebene, aber auch um die Entwicklungen im 5G-Mobilfunk und bei der Umsetzung der NIS2-Richtlinie in Deutschland.

Für unsere Newsletter anmelden können Sie sich hier.

Feyo Sickinghe, Anthony Rosen, Raoul Grifoni Waterman und Roxane Olivier zum Kommissionsentwurf des Digital Networks Act

Unser Of Counsel Feyo Sickinghe, unser Legal Director Anthony Rosen und unsere Associates Raoul Grifoni Waterman und Roxane Olivier haben sich in einem Webinar mit dem Kommissionsentwurf zum Digital Networks Act auseinandergesetzt. Sie geben zunächst einen Überblick über die Reformpläne und gehen dann auf einige Themen spezifisch ein, insbesondere die Netzneutralität, die harmonisierte Regulierung von Satellitenfunk und die Kupfer-Glasfaser-Migration.

Die Aufzeichnung finden Sie auf twobirds.com.

Pia Ek, Joaquín Munoz, Feyo Sickinghe und Marta Kwiatkowska-Cylke zum Cybersecurity Act 2.0

Unsere Partner Pia Ek und Joaquín Munoz, unser Of Counsel Feyo Sickinghe und unsere Counsel Marta Kwiatkowska-Cylke haben sich in einem Webinar mit dem Entwurf des Cybersecurity Act 2 auseinandergesetzt. Ein besonderer Fokus wird hierbei auf den Rechtsrahmen für eine vertrauenswürdige IKT-Lieferkette.

Die Aufzeichnung finden Sie auf twobirds.com.

Lennard Schüßler, Berend Van Der Eijk, Oriane Zubevic und Ariana Sohrabi zu aktuellen Entwicklungen rund um den Data Act

Unsere Partner Lennard Schüßler und Berend Van Der Eijk sowie unsere Consel Oriane Zubevic und Ariana Sohrabi haben sich in einem Webinar mit den aktuellen Entwicklungen rund um den Data Act auseinandergesetzt. Sie beleuchten insbesondere die nationale Umsetzung des EU-Rechtsakts sowie Standardvertragsklauseln und die Auswirkungen des EU Digital Omnibus-Pakets.

Die Aufzeichnung finden Sie auf twobirds.com.

Nicolas Apelt zur „Indeligo Media“-Entscheidung des EuGH 

Unser Associate Dr. Nicolas Apelt hat sich in der Dezember-Ausgabe der Zeitschrift „GRUR-Prax – Gewerblicher Rechtsschutz und Urheberrecht in der Praxis“ mit einem aktuellen Urteil des EuGH zur Online-Direktwerbung beschäftigt. Er fasst zunächst die Entscheidung des EuGH zusammen und liefert dann Praxishinweise zur Umsetzung des Urteils im Geschäftsalltag. [GRUR-Prax 2025, 844]

Neu auf unserer Website

Videoident nur noch als Fallback: Die EBA setzt auf eIDAS 

Die Identifizierung von Vertragspartnern gehört zu den zentralen Pflichten der Geldwäscheprävention. Neben der klassischen persönlichen Identifizierung haben sich in den vergangenen Jahren digitale Verfahren etabliert, allen voran das Videoidentverfahren. Dabei wird die Identität eines Kunden im Rahmen einer Echtzeit‑Videoübertragung festgestellt, indem Ausweisdokumente visuell geprüft und mit der (digital) anwesenden Person abgeglichen werden. Das Geldwäschegesetz schreibt kein bestimmtes Identifizierungsverfahren vor, sondern verlangt eine zuverlässige Feststellung der Identität im Einklang mit den gesetzlichen Sorgfaltspflichten. 

Weiterlesen

Darf das Finanzamt künftig E-Mails und Chats prüfen?

BFH konkretisiert Anforderungen an den Datenzugriff bei elektronischer Kommunikation (hier E-Mails). 
Während klassische Buchungsbelege wie Rechnungen oder Kontoauszüge unstreitig aufzubewahren sind, bereitet die Behandlung elektronischer Kommunikation – insbesondere von E-Mails – seit Jahren erhebliche Unsicherheit. Der Bundesfinanzhof („BFH“) verschafft mit seinem Beschluss vom 30.04.2025 (XI R 15/23) der Praxis nun etwas mehr Klarheit. Der Beschluss stellt klar, welche E-Mails aufzubewahren sind und inwieweit die Finanzverwaltung im Rahmen einer Außenprüfung auf sie zugreifen darf. Der Beschluss wirkt sich auf die interne Compliance aus und ist ebenso für Betriebsprüfungen von erheblicher Bedeutung.

Weiterlesen

EU Cybersecurity Act Proposal: Key Provisions, Scope, and Implications for Organisations

On 20 January 2026, the European Commission published a comprehensive new Cybersecurity Package including a Proposal for a revised Cybersecurity Act and targeted amendments to the NIS2 Directive.

The original framework of the Cybersecurity Act, adopted in 2019, established the basis for the European Cybersecurity Certification System and strengthened the mandate of the European Union Agency for Cybersecurity (ENISA) as the Union’s technical reference authority. The evolution of the threat landscape in recent years, marked by the rise in attacks targeting critical infrastructure, essential services, and supply chains, together with an increasingly complex geopolitical context, characterised by strategic technological dependencies on third countries and the proliferation of hybrid threats, has highlighted the need to update this framework.

Weiterlesen

Taking the EU AI Act to Practice: Understanding the Draft Transparency Code of Practice

In December of last year, the Chairs of the Working Groups released the First Draft of the Code of Practice on Transparency of AI-Generated Content. While this document serves as a preliminary draft for consultation, it provides the first tangible roadmap for how the transparency obligations under Article 50 of the AI Act will be operationalised. 

Weiterlesen

The Digital Networks Act – Reform of the EU’s telecoms regime

On 21 January 2026, the European Commission published the proposal for a Digital Networks Act (DNA). The DNA is designed to modernise, simplify and harmonise the EU telecoms rules to incentivise investment and provide access to fast, secure and resilient digital infrastructure across the EU. This is critical at a time when the digital connectivity landscape is increasingly dynamic driven by virtualisation and AI with ever increasing demand for fast, reliable, and secure connectivity to support the EU’s digital goals and a truly connected, prosperous society.

The DNA will significantly reform the existing EU telecoms regulatory framework impacting telecoms, infrastructure (mobile, fibre and cloud-based), digital technology and satellite companies and the wider ecosystem.

Weiterlesen

Digital accessibility: what's changing for e-commerce sites since June 2025 - A French perspective

Since 28 June 2025, new European accessibility requirements been shaking up the e-commerce landscape. The European Accessibility Act (“EAA”) now requires e-commerce websites and applications to be accessible to all, in order to create a more inclusive society and facilitate independent living for persons with disabilities.

Weiterlesen

Security, resilience and scam measures – Spain’s telecom regulatory priorities for 2026 

As we enter 2026, Spain’s regulatory agenda is firmly focused on strengthening the security and resilience of telecommunications networks, services and digital infrastructures, while continuing to tackle scam traffic. Key developments for 2026 include the long-delayed transposition of NIS2 into Spanish law, expected to finally take place later this year, and the adoption of a Royal Decree on the Security and Resilience of Electronic Communications Networks and Services and Digital Infrastructures. This Royal Decree seeks to enhance the protection of digital infrastructures in emergency situations by establishing a regulatory framework that classifies telecommunications networks and digital infrastructures—including submarine cables and data centres—as essential services. Its objective is to prevent disruptions to critical services, mitigate the impact of incidents, and ensure the continuity of essential services at all times.

Weiterlesen

Accessibility Alert: Non-conformity and derogation disclosure obligations for operators under the European Accessibility Act

It has now been six months since the accessibility requirements introduced by the laws implementing the European Accessibility Act (Directive 2019/882 on the accessibility requirements for products and services or “EAA”) became binding. The EAA has introduced harmonised accessibility requirements for many popular consumer products and services across each of the 27 EU Member States. For the first time, regulators in each Member State have supervisory and enforcement powers to enforce accessibility rules, such as inquiries, fines, and other penalties, depending on the jurisdiction. Operators (who are manufacturers, importers and distributors of ‘products’, and providers of in-scope ‘services’ covered by the EAA) also have direct obligations, including certain proactive regulatory reporting obligations.

Weiterlesen