Gesetzesänderungen 2026: Worauf Banken und Finanzinstitute achten müssen

Dez. 18, 2025

Gesetzesänderungen 2026

Zwischen Innovation und Pflicht

Das Jahr 2026 bringt zahlreiche neue gesetzliche Anforderungen auf EU- und nationaler Ebene mit sich. Insbesondere für nach dem Geldwäschegesetz (GwG) verpflichtete Unternehmen – allen voran Banken und Finanzdienstleister – stehen bedeutende Änderungen bevor.

In diesem Artikel geben wir Ihnen einen Überblick über die wichtigsten Änderungen im Jahr 2026 sowie Handlungsempfehlungen für Ihr Unternehmen.

eIDAS 2.0: EU-Digitale Identitäts-Wallet in Deutschland ab 02.01.2027 

Quellen [1][2]

eIDAS 2.0: EU-Digitale Identitäts-Wallet in Deutschland ab 02.01.2027Mit der aktualisierten eIDAS-Verordnung (EU) 2024/1183 wird der bestehende europäische Rahmen für digitale Identitäten weiterentwickelt und um die EU-Digitale Identitäts-Wallet ergänzt. Die Mitgliedstaaten müssen spätestens bis Ende 2026 mindestens eine EU-weit kompatible Wallet bereitstellen. In Deutschland ist die Einführung bzw. der bundesweite Rollout zum 02.01.2027 vorgesehen.

Die European Digital Identity Wallet (EUDI-Wallet) ist ein digitales Identitäts-Wallet (typischerweise als App), mit dem Nutzer amtliche Identitätsdaten sowie Nachweise verifizierter Attribute (z. B. Führerschein, Studien-/Ausbildungs- oder Berufsqualifikationen) sicher speichern, verwalten und bei Bedarf grenzüberschreitend gegenüber Behörden oder privaten Anbietern vorlegen können. Die Nutzung der Wallet ist freiwillig.

Akzeptanzpflicht ab 2027: Was auf Banken zukommt

Für Banken und andere Verpflichtete bedeutet dies zweierlei: Zum einen eröffnet die digitale Identitäts-Wallet neue Möglichkeiten im KYC- und Onboarding-Prozess. Bürger können damit etwa bei der Kontoeröffnung digital ihre Identität oder einzelne Attribute (wie Alter oder Wohnsitz) nachweisen, was Prozesse effizienter gestaltet und grenzüberschreitende Identifikationen erleichtert.

Zum anderen werden bestimmte Branchen – darunter Banken, Kreditinstitute, E-Geld- und Zahlungsdienstleister – ab Dezember 2027 gesetzlich verpflichtet sein, die EU-Wallets als Identitätsnachweis zu akzeptieren. Das heißt, spätestens zu diesem Zeitpunkt muss z.B. eine Bank die Vorlage von Ausweisdaten über die Wallet annehmen können, wenn Kunden dies wünschen.

Technische und organisatorische Vorbereitung

Banken sollten frühzeitig die Einführung der EUDI-Wallet verfolgen und technische Voraussetzungen prüfen, um diese bis 2027 in ihre Prozesse einzubinden. Insbesondere im Online-Banking und digitalen Onboarding könnten Integrationen sinnvoll sein.

EU KI-Verordnung: Stufenweise Anwendung bis 2026

Quellen [3][4][5][6]

EU KI-Verordnung: Stufenweise Anwendung bis 2026 Die KI-VO EU 2024/1689 ist im August 2024 in Kraft getreten und sieht einen gestuften Anwendungszeitplan vor. Der allgemeine Geltungsbeginn ist der 2. August 2026, einzelne Pflichten greifen jedoch bereits früher.

Frühphase: Verbote und Grundpflichten seit 2025

Seit dem 2. Februar 2025 sind KI-Systeme mit unvertretbarem Risiko EU-weit verboten. Dazu zählen manipulative oder diskriminierende Anwendungen. Anbieter und Betreiber müssen zudem erste KI-Kompetenzen, Schulungen und interne Kontrollprozesse nachweisen. Banken dürfen z.B. keine KI einsetzen, die Kunden unbemerkt beeinflusst, und sollten frühzeitig Nutzungsrichtlinien etablieren.

Ausweitung auf General Purpose AI seit 2025

Seit dem 2. August 2025 gelten neue Anforderungen für KI-Systeme mit allgemeinem Verwendungszweck, etwa große Sprachmodelle. Anbieter müssen Transparenz- und Sicherheitsauflagen erfüllen, z.B. Kennzeichnung KI-generierter Inhalte und Maßnahmen gegen Verzerrungen. Finanzinstitute, die solche Modelle einsetzen (z.B. Chatbots), müssen diese Pflichten in ihre Prozesse integrieren.

Vollanwendung und Hochrisiko-KI ab 2026

Ab dem 2. August 2026 ist die KI-VO vollständig anzuwenden. Hochrisiko-KI – etwa in Kreditwürdigkeitsprüfungen, Scoring oder Betrugserkennung – darf nur betrieben werden, wenn umfangreiche Anforderungen erfüllt sind (u.a. Risikobewertung, Dokumentation, menschliche Aufsicht). Banken sollten bis dahin ihre KI-Anwendungen inventarisieren und Compliance-Maßnahmen umsetzen.

Verlängerte Frist für bestimmte regulierte Systeme

Für einige bereits anderweitig regulierte Hochrisiko-KI-Systeme (z.B. im Finanzaufsichtsrecht) gilt eine verlängerte Übergangsfrist bis August 2027. Damit reagiert die EU auf branchenspezifische Umsetzungsaufwände.

Sanktionen und Handlungsempfehlung

Verstöße gegen die KI-VO können mit Bußgeldern bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes geahndet werden.

Finanzinstitute sollten jetzt eine KI-Compliance-Strategie entwickeln: Verbotene Praktiken sofort abstellen, Hochrisiko-KI identifizieren, Governance- und Kontrollstrukturen aufbauen und Mitarbeiter schulen. Transparenzpflichten, insbesondere bei generativer KI, sollten frühzeitig umgesetzt werden, um die Anforderungen bis 2026 sicher zu erfüllen.

EU-Digital-Omnibus: Geplante Entlastungen für Digitalregulierung

Quellen [5][7][8]

EU-Digital-Omnibus: Geplante Entlastungen für Digitalregulierung Die EU-Kommission hat im November 2025 ein sogenanntes Digital-Omnibus-Paket vorgestellt. Ziel ist es, bestehende Digitalgesetze zu vereinfachen und den Compliance-Aufwand zu senken, ohne Datenschutz und Grundrechte zu schwächen.

Vereinfachungen bei KI- und Datenregulierung

Der Entwurf sieht technische Anpassungen u.a. am AI Act, der DSGVO, der ePrivacy-Regelung und dem Data Act vor. So sollen bestimmte Pflichten für Hochrisiko-KI zeitlich verschoben werden – etwa eine Verlängerung der Umsetzungsfrist bis Ende 2027. Unternehmen erhielten damit mehr Vorlauf für die Einführung konformer KI-Systeme.

Zudem wird diskutiert, unter welchen Bedingungen personenbezogene Daten für KI-Training genutzt werden dürfen. Künftig könnte hierfür in bestimmten Fällen das berechtigte Interesse ausreichen, sofern alle DSGVO-Schutzmechanismen eingehalten werden. Das wäre insbesondere für datenintensive KI-Anwendungen relevant.

Entlastungen bei Cookies und Meldepflichten

Im Bereich ePrivacy plant die Kommission, Cookie-Regeln zu entschlacken, um Einwilligungsbanner zu reduzieren. Gleichzeitig sollen Meldepflichten bei Datenschutz- und Cybervorfällen harmonisiert werden, etwa durch längere Fristen und ein zentrales EU-Meldeportal. Davon würden insbesondere Finanzunternehmen profitieren, die mehreren Meldepflichtregimen unterliegen.

Zeitplan und Einordnung

Das Digital-Omnibus-Paket ist noch nicht beschlossen; eine Verabschiedung wird frühestens 2026 erwartet. Änderungen im Gesetzgebungsprozess sind wahrscheinlich. Klar ist jedoch: Die EU strebt Vereinfachung, keine Deregulierung an.

Kurzfristig besteht kein Handlungsbedarf. Banken und Versicherer sollten die Entwicklungen jedoch aufmerksam verfolgen, da die geplanten Maßnahmen mittelfristig Compliance-Kosten senken könnten. Bis zur tatsächlichen Umsetzung gilt weiterhin: bestehende Digital- und Datenschutzvorgaben vollständig einhalten.

DORA ersetzt BAIT bis Ende 2026

Quellen [9][10][11]

DORA ersetzt BAIT bis Ende 2026 Die EU-Verordnung DORA (EU) 2022/2554 ist seit dem 17. Januar 2025 anwendbar und schafft einen EU-weit einheitlichen Rechtsrahmen für die digitale operationale Resilienz von Finanzunternehmen. In Deutschland werden die BAIT im Zuge der DORA-Umsetzung bis zum 31. Dezember 2026 noch herangezogen und danach aufgehoben. Ab 2025 ist DORA für die in ihren Anwendungsbereich fallenden Unternehmen der maßgebliche aufsichtsrechtliche Referenzrahmen für IT/IKT-Themen; ab 2027 erfolgt die IT-Aufsicht insoweit primär nach DORA, wobei daneben allgemeine organisations- und aufsichtsrechtliche Vorgaben (z. B. aus KWG/MaRisk) weiterhin gelten.

Zentrale Anforderungen der DORA

DORA verpflichtet Finanzunternehmen zu einem ganzheitlichen IKT-Risikomanagement. Dazu gehören klare Governance-Strukturen, regelmäßige Risikoanalysen sowie Maßnahmen zur Informationssicherheit.

Ein weiterer Schwerpunkt sind Resilienz- und Sicherheitstests, etwa Penetrationstests und Notfallübungen. Größere Institute können zudem zu Threat-Led Penetration Tests (TLPT) verpflichtet werden.

Auch das Management von IKT-Drittanbietern wird deutlich verschärft: Institute müssen alle relevanten Dienstleister erfassen, Risiken bewerten und Ausstiegsstrategien dokumentieren. Kritische IKT-Anbieter unterliegen künftig sogar einer direkten EU-Aufsicht.

Ergänzend führt DORA harmonisierte Meldepflichten für schwerwiegende IKT-Vorfälle ein, mit kurzfristigen Erstmeldungen und Folgeberichten an die Aufsicht.

Übergangsregelungen bis 2027

Während DORA seit dem 17. Januar 2025 EU-weit gilt und für die von ihr erfassten Finanzunternehmen den zentralen Rahmen für IKT-Risikomanagement, Vorfallsmeldungen, Tests und IKT-Drittparteienrisiken bildet, werden in Deutschland weitere KWG-regulierte Institute teils erst ab dem 1. Januar 2027 in den (vereinfachten) DORA-Rahmen einbezogen. Die BAIT werden für den verbleibenden Anwendungsbereich bis zum 31. Dezember 2026 weiter herangezogen und danach aufgehoben; daneben bleiben jedoch allgemeine nationale Organisations- und Aufsichtsanforderungen weiterhin relevant.

Richtig umgesetzt bietet DORA nicht nur Compliance, sondern auch mehr Stabilität und Vertrauen in digitale Prozesse.

NIS2: Neue Cybersicherheitsregeln ab 2026

Quellen [12][13][14][15][18][20]

NIS2: Neue Cybersicherheitsregeln ab 2026 Mit der EU-Richtlinie NIS2 (EU) 2022/2555 wurde der europäische Rahmen für Cybersicherheit deutlich verschärft. In Deutschland ist das Gesetz zur Umsetzung der NIS-2-Richtlinie nach Verkündung im Bundesgesetzblatt am 6. Dezember 2025 in Kraft getreten. Seitdem gelten für die von NIS2 erfassten Unternehmen die neuen Pflichten. Das Gesetz überführt die europäischen Vorgaben in deutsches Recht, was neue, weitreichende Cybersicherheits-Compliance-Pflichten für viele Unternehmen mit sich bringt, einschließlich Meldepflichten an das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Deutlich erweiterter Anwendungsbereich

NIS2 weitet den Kreis der verpflichteten Unternehmen massiv aus. In Deutschland sind nun rund 30.000 Organisationen betroffen. Banken, Zahlungsverkehrssysteme und Finanzmarktinfrastrukturen zählen ausdrücklich zu den wesentlichen Einrichtungen. Auch viele IT-Dienstleister von Banken fallen künftig unter die Regelungen. Faktisch sind damit nahezu alle Kreditinstitute NIS2-pflichtig.

Betroffene Unternehmen müssen sich bis spätestens März 2026 beim BSI registrieren und ein wirksames Cyber-Risikomanagement etablieren. Gefordert sind technische und organisatorische Sicherheitsmaßnahmen nach dem Stand der Technik sowie eine klare Verantwortlichkeit der Geschäftsleitung.

Besonders anspruchsvoll sind die Meldepflichten bei Cybervorfällen:
– Erstmeldung innerhalb von 24 Stunden,
– Zwischenbericht nach 72 Stunden,
– Abschlussbericht binnen 30 Tagen.

Bußgelder können bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes betragen.

Verhältnis zu DORA

DORA ist nach Art. 1 Abs. 2 DORA als sektorspezifischer EU-Rechtsakt im Sinne von Art. 4 NIS2 einzuordnen. Damit gilt für DORA-adressierte Finanzunternehmen: Soweit DORA Anforderungen an das IKT-/Cybersicherheitsrisikomanagement und die Meldung erheblicher IKT-bezogener Vorfälle regelt, haben diese Vorgaben Vorrang und werden durch die entsprechenden Pflichten der nationalen NIS2-Umsetzung im BSIG in diesen Bereichen nicht zusätzlich überlagert.

Institute sollten zeitnah prüfen, ob sie als besonders wichtige oder wichtige Einrichtung in den Anwendungsbereich von NIS2 fallen. Soweit anwendbar, haben die Registrierung beim BSI sowie belastbare Incident-Response- und Meldeprozesse Priorität. Weiter macht NIS2 Cybersicherheit zur Leitungsaufgabe: Das Management die Umsetzung überwachen und kann hierfür verantwortlich sein.

GwG-Meldeverordnung: Neue Standards ab März 2026

Quellen [16][17][19]

GwG-Meldeverordnung: Neue Standards ab März 2026 Zum 1. März 2026 tritt die GwG-Meldeverordnung (GwGMeldV) in Kraft. Sie standardisiert erstmals Form und Inhalt von Geldwäsche-Verdachtsmeldungen an die FIU und soll Meldequalität und Auswertbarkeit deutlich verbessern.

Verdachtsmeldungen müssen künftig ausschließlich elektronisch über das FIU-Portal goAML erfolgen. Zulässig sind Webformulare oder XML-Dateien; andere Übermittlungswege entfallen. Anlagen sind in maschinenlesbarem Format beizufügen. Bislang fehlten verbindliche Detailvorgaben zur Form, Mindestinhalten und Datenstruktur. Die GwG-Meldeverordnung trägt damit wesentlich zur Meldungsqualität bei und vereinfacht damit die Verarbeitung bei der FIU.

Einheitliche Mindestangaben in jeder Meldung

Die Verordnung definiert einen verbindlichen Katalog an Pflichtangaben, darunter:

  • Angaben zur meldenden Stelle,
  • standardisierte Meldegründe,
  • relevante Kundendaten (inkl. wirtschaftlich Berechtigter),
  • eine nachvollziehbare Sachverhaltsschilderung sowie
  • erforderliche Unterlagen als Anlagen.

Alle relevanten KYC-Informationen müssen im Meldungsfall verfügbar sein.

Auswirkungen auf Prozesse, IT und Haftung

Für Institute bedeutet die GwGMeldV erheblichen Anpassungsbedarf in IT und Organisation. Interne Systeme müssen die geforderten Daten strukturiert bereitstellen, idealerweise per Schnittstelle zu goAML.

Zudem steigt das Haftungsrisiko bei Meldefehlern: Wer künftig eine Verdachtsmeldung nicht, nicht rechtzeitig, unvollständig oder unrichtig abgibt, kann nach § 56 GwG mit Bußgeld belegt werden. Durch die nun präzisen Vorgaben wird dieser Ordnungswidrigkeitstatbestand schärfer konturiert. Institute müssen also Sorge tragen, dass Meldungen formal korrekt erfolgen, sonst gelten sie als nicht abgegeben.

Empfehlung für Verpflichtete

Verpflichtete Unternehmen sollten die Zeit bis März 2026 dringend nutzen, um sich auf die neuen Meldepflichten vorzubereiten. Konkret heißt das: goAML-Registrierung sicherstellen (viele Banken sind bereits registriert, aber z.B. neu Verpflichtete wie Rechtsanwälte mussten sich bis Ende 2024 registrieren), internes Reporting-System auf XML umstellen und Mitarbeiter (v.a. Geldwäschebeauftragte und Compliance) intensiv schulen.

Zudem sollten KYC-Prozesse auf Lücken geprüft werden: Alle Angaben, die künftig in Meldungen verlangt sind, müssen im Kundenstamm oder den Transaktionsdaten vorhanden sein – falls nicht, sind die internen Due-Diligence-Anforderungen zu erhöhen.

Schließlich ist ein Workflow für umfangreiche Anhänge vorzubereiten. Relevante Unterlagen sollten elektronisch vorliegen und leicht abrufbar sein. Durch diese Vorbereitungen können Institute ab 2026 Verdachtsfälle effizient, vollständig und fristgerecht melden, was einerseits zur Vermeidung von Bußgeldern beiträgt und andererseits die FIU in die Lage versetzt, Geldwäscheverdachtsmeldungen schneller auszuwerten, ein Gewinn für alle Beteiligten.

Fazit

Für GwG-Verpflichtete, insbesondere Banken, zeichnen sich 2026 bedeutende regulatorische Weichenstellungen ab. Europa forciert die digitale Identität und schafft mit der KI-VO und NIS2 neue Rahmen für Zukunftstechnologien und Cybersicherheit. Gleichzeitig sollen durch den Digital-Omnibus bestehende Regeln praxisnäher gestaltet werden, was mittelfristig Erleichterungen bringen kann. Weiter sorgen DORA und die GwG-Meldeverordnung für mehr Einheitlichkeit und Strenge in der Finanz-IT und der Geldwäscheprävention.

Für Institute heißt das unterm Strich: Proaktiv handeln statt abwarten. Die beschriebenen Änderungen erfordern teils lange Vorlaufzeiten; seien es IT-Integrationen (für Wallets, goAML), neue Kontrollprozesse (für KI und Cyber-Risiken) oder kulturelle Umstellungen (Cybersecurity als Führungsaufgabe).

Die Konsequenzen bei Nicht-Einhaltung – hohe Bußgelder, haftende Geschäftsleiter, Reputationsschäden – machen klar, dass Compliance keine Option, sondern Pflicht ist. Wer jedoch frühzeitig investiert, kann auch Vorteile ziehen: zum Beispiel aus effizienteren Abläufen (digitale Identitäten, standardisierte Meldungen) oder aus Wettbewerbsvorsprung durch resilientere und vertrauenswürdige Systeme.

Erstellen Sie für Ihr Institut eine Regulatory Roadmap 2026, welche die genannten Themen umfasst. Priorisieren Sie nach Umsetzungsterminen und nach Impact.

So navigieren Sie Ihr Haus sicher durch das Regulierungsjahr 2026 und stärken zugleich Ihre Compliance-Kultur nachhaltig.

Quellen

[1] EU Digital Identity Wallet – Wikipedia

[2] The EU Digital Identity Wallet: What companies need to know | Arthur Cox LLP
[3] AI Act | Shaping Europe’s digital future

[4] Long awaited EU AI Act becomes law after publication in the EU’s Official Journal | White & Case LLP

[5] EU to delay ‚high risk‘ AI rules until 2027 after Big Tech pushback | Reuters

[6] The EU AI Act: What it means for your business | EY – Switzerland

[7] EU AI Act, GDPR, and Digital Laws Changes Proposed | Crowell & Moring LLP

[8] Simpler EU digital rules and new digital wallets to save billions for businesses and boost innovation | Shaping Europe’s digital future

[9] BAIT / DORA | Deutsche Bundesbank

[10] DORA has been in use since January 17, 2025

[11] DORA: BaFin announces simplifications for the first-time audit

[12] Bundestag beschließt NIS-2-Gesetz | RÖDL

[13] NIS2-Gesetz in Kraft: Compliance-Wende für 30.000 deutsche Firmen

[14] Zu Nikolaus: NIS2-Umsetzungsgesetz tritt in Kraft | heise online

[15] Who does NIS2 apply to? | Securepoint

[16] New GwGMeldV: Changes March 2026 | PayTechLaw.com

[17] Neue Vorgaben für Geldwäsche-Verdachtsmeldungen gelten ab 1.3.2026 | Bundesrechtsanwaltskammer

[18] GwGMeldV 2026: Was ändert sich bei Geldwäscheverdachtsmeldungen?

[19] Neue Vorgaben für Geldwäsche-Verdachtsmeldungen ab 1.3.2026 …

[20] https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/NIS-2-DORA/NIS-2-DORA_node.html?utm

Titelfoto von Tingey Injury Law Firm auf Unsplash
Teile des Textes wurden mit ChatGPT erstellt.

Lisa Roczniewski