#Datenschutz #Jahresbericht #2025

30.12.2025

Externen Druckfaktoren (Regulatorik, Technologie,

Im Jahr 2025 sind folgende TOP-Themen zu erwähne, die ganz im Zeichen einer Konvergenz von Regulierung und Technologie standen: 

  • EU AI Act (KI-Verordnung): Seit Februar 2025 greifen die ersten Verbote für "unannehmbare Risiken" (z. B. Social Scoring). Für KMU war 2025 das Jahr der Inventur. Denn Unternehmen mussten klären, ob genutzte KI-Tools (auch Chatbots auf Websites) als "Hochrisiko" eingestuft werden. Auch hier war wieder die Prämisse der DSGVO, die Transparenzpflicht. Nutzer müssen wissen, wenn sie mit einer KI kommunizieren oder von ihr generierte Inhalte sehen.
  • BDSG-Reform & Entbürokratisierung: In Deutschland wurde das BDSG-Änderungsgesetz wirksam. Ein zentrales Thema war die Diskussion um die Bestellpflicht für Datenschutzbeauftragte (DSB). Doch auch 2025 ist der Status geblieben, auch wenn es starke Bestrebungen der Bundesregierung gab, die Schwelle zur DSB-Bestellung zu flexibilisieren, um kleine, mittlere Unternehmen zu entlasten.
  • M365 und die notwendigen "Hausaufgaben": Microsoft hat seit der Ablehnung von M365 durch die DSK im Jahr 2022 seine Mängel sukzessive beseitigt und die technischen und vertraglichen Grundlagen für M365 angepasst. Doch, obwohl man den Eindruck nach der Presse-Veröffentlichung des hessischen Landesdatenschutzbeauftragten vom 14.11.2025 bekommen konnte, dass M365 nun allgemein freigegeben wäre, ist wichtig zu beachten, dass M365 zwar nicht per se illegal aber auch legal nutzbar ist. Wer die Standardeinstellungen übernimmt, handelt aus Sicht der Aufsichten datenschutzwidrig. Deshalb sind verschiedene Konfigurationseinstellungen zu beachten. Unternehmen sollten umgehend mit dem unterzeichnenden Datenschutzbeauftragten Kontakt aufnehmen, wenn Sie M365 im Einsatz haben.    
  • NIS2 & IT-Sicherheit: Die Umsetzung der NIS2-Richtlinie in deutsches Recht hat die Anforderungen an die Cybersicherheit massiv verschärft. Auch wenn viele Unternehmen nicht direkt als "wichtige Einrichtungen" gelten, wurden sie als Teil der Lieferkette von ihren Kunden (Großunternehmen) zur Einhaltung strenger Sicherheitsstandards gezwungen. Aus diesem Grund ist unser DSordner darauf vorbereitet.

Es wurden "Compliance by Design" Vorgaben für digitale Angebote (Webshops / Websites) zur Pflicht, wie:

  • Abschaltung der europäischen Online-Streitbeilegungs (OS-Plattform): Unternehmen mussten Impressum, AGB und Datenschutzhinweise, wie bereits im Jahr 2024 überarbeiten. Ein falsche oder toter Link könnte theoretisch als irreführend abgemahnt werden. Deshalb sollten Unternehmen mit mehr als zehn Mitarbeitende in Deutschland nach dem §36 VSBG informieren, ob an der Streitschlichtung nach dem nationalen Verbraucherschlichtung teilnehmen oder nicht. (Wenn Sie hierzu eine Formulierung benötigen, geben Sie bitte Bescheid). 
  • Barrierefreiheit (BFSG): Seit Juni 2025 müssen Webshops barrierefrei sein. D.h. das Userinterface (UX/UI) muss auf rein visuelle CaptCha's aus Datenschutzrelevanz verzichten.
  • Consent Management:Aufsichtsbehörden gingen gegen "Dark Patterns" vor. Dark Patterns sind sogenannte cookie-walls, die das Ablehnen von Cookies erschweren und zu Einwilligungen "verleiten". Maßnahmen für Unternehmen beinhalteten die Überprüfung im Rahmen von Website-Analysen und die Umstellung von "Ablehnen"-Buttons auf der ersten und somit einer gleichwertigen Ebene. 
  • KI-Chatbots: Wenn Unternehmen einen KI-Bot z.B. in der Kommunikation mit Webseiten-Besuchern nutzen, muss aus Transparenzgründen dies gekennzeichnet werden und ein Update der Datenschutzerklärung erfolgen.
  • Tracking: Ein weiterer wichtiger Punkt der Aufsichtsbehörden 2025 war der verstärkte Fokus auf "Server-Side-Tracking" zur Vermeidung von Drittanbieter-Cookies. Das bedeutet, dass Unternehmen die Rechtsgrundlage dieses Trackings festlegen mussten, was meistens ohne Einwilligung nicht rechtskonform möglich war.  

 Damit waren die Schwerpunkte der Aufsichtsbehörden (DSK / EDSA) gesetzt: Fairneß, Daten-Souveränität (Cloud-Diensten, Fairneß und Transparenz und die KI-Governance. Erwähnenswerte Bußgeldverfahren sind die folgenden Vorfälle:

  • Calnoga (Frankreich): 80.000 € wegen Nutzung von Datenbrokern ohne wirksame Einwilligung der Betroffenen. Wichtig: Beachtenswert ist dieses Warnsignal, beim Zukauf von Leads!
  • Mittelständische Banken/Versicherer: Mehrere Bußgelder im fünf- bis sechsstelligen Bereich wegen mangelhafter Auskunftserteilung (Art. 15 DSGVO). Die Behörden sanktionieren "Verschleppungstaktiken" nun deutlich härter.
  • Web-Scraping: Erste Bußgelder gegen Unternehmen, die öffentlich zugängliche Profildaten automatisiert für Marketingzwecke ausgelesen haben. Ebenfalls wichtig bei der Neukundengewinnung!

Zusammengefassend kann man festhalten, dass Datenschutz weiterhin ein kontinuierliches Verbesserungsprojekt ist, dass immer mehr sämtliche Neukunden- und Personalmarketingaspekte berührt und durch die neuen gesetzlichen Vorgaben aus der EU das Risikobewusstsein bezüglich der Informations- und IT-Sicherheit im Blick behält. 

 

Quelle: Bild / Zusammenfassung Gemini / redaktionell überarbeitet von www.b-in.de 

Zurück


Zurück
empty