Das Jahr 2025 wird für den europäischen Datenschutz zur Zeitenwende. Die DSGVO bildet zwar weiterhin das rechtliche Fundament, doch das regulatorische Gefüge hat sich massiv verdichtet.
Ein komplexes Zusammenspiel aus KI-Verordnung, verschärften Cybersicherheitsvorgaben, erweiterten Lieferkettenanforderungen und neuen Regeln für die Datenökonomie definiert die Compliance-Landschaft neu.
Diese Entwicklung zwingt Unternehmen erstmals dazu, Datenschutz, Informationssicherheit und Governance als untrennbare Einheit zu begreifen. Gerade Berufsgeheimnisträger, Beratungsunternehmen und mittelständische Betriebe in Deutschland und der Schweiz stehen vor der Aufgabe, ihre bestehenden Strukturen grundlegend zu modernisieren – eine Herausforderung, die gleichzeitig Chancen zur Professionalisierung birgt.
Am 12. Juli 2024 hat die Europäische Union mit der Veröffentlichung des AI-Acts (KI-Verordnung) im Amtsblatt Geschichte geschrieben. Diese Verordnung schafft einen eigenständigen Rechtsrahmen für künstliche Intelligenz, dessen Bedeutung durchaus mit der seismischen Wirkung der DSGVO vergleichbar ist. Die Umsetzung erfolgt stufenweise und begann bereits im Februar 2025 mit ersten verbindlichen Verboten: Social Scoring, invasive biometrische Überwachung und KI-Systeme, die "angreifbare" (vulnerable) Gruppen manipulieren könnten, werden untersagt.
Der August 2025 markierte den nächsten Meilenstein. Dann griffen die Regelungen für General Purpose AI und Basismodelle – mit erheblichen Transparenzpflichten, detaillierten Dokumentationsanforderungen und obligatorischen Risikoanalysen. Die Jahre 2026 und 2027 bringen schließlich die vollständige Regulierung von Hochrisiko-KI: Biometrische Identifikation, KI-gestützte Personalentscheidungen, automatisierte Kreditbewertungen und KI in kritischen Infrastrukturen unterliegen dann strengsten Auflagen.
Entscheidend ist das Verhältnis zwischen AI-Act und DSGVO: Beide Regelwerke ergänzen sich, schaffen aber auch neue Schnittstellen mit gegenseitigen Abhängigkeiten. Während die DSGVO weiterhin Transparenz, Datenqualität und Zweckbindung regelt und Datenschutz-Folgenabschätzungen einfordert, verlangt der AI-Act zusätzlich die systematische Prüfung von Trainingsdaten auf Verzerrungen, lückenlose Risikodokumentation und nachvollziehbare Erklärungen komplexer KI-Entscheidungen. Die DSGVO behält ihre Bedeutung überall dort, wo personenbezogene Daten im Spiel sind – der AI-Act fokussiert sich auf technische Robustheit und Systemsicherheit.
Eine explizite Schulungspflicht fehlt im AI-Act zwar, doch faktisch müssen Verantwortliche ihre Kompetenz nachweisen: Sie müssen die technischen Grundlagen ihrer KI-Systeme verstehen, Risiken bewerten und wirksame Kontrollmechanismen implementieren können. Für den Mittelstand bedeutet das konkret: Der verlässliche Umgang mit KI-Ergebnissen, die Einschätzung ihrer Zuverlässigkeit und das kontinuierliche Monitoring von Fehlerquellen werden zur Pflichtaufgabe – nicht nur für Entwickler, sondern für alle Anwender und Compliance-Verantwortlichen.
Quelle: Verordnung 2024/1689
Mit der NIS2-Richtlinie etabliert Europa einen harmonisierten Sicherheitsrahmen, der das Schutzniveau digitaler Dienste und kritischer Infrastrukturen radikal anhebt. Die Reichweite überrascht: Neben klassischen Sektoren wie Energie, Wasser, Gesundheit und Transport fallen nun auch IT-Dienstleister, Cloud-Anbieter, Entsorgungsbetriebe, Lebensmittelproduzenten, Forschungseinrichtungen und weite Teile der Fertigungsindustrie unter die Regulierung. Zahlreiche Unternehmen sehen sich erstmals formellen Cybersicherheitsanforderungen gegenüber.
NIS2 verlangt die strukturierte Identifikation, Bewertung und kontinuierliche Reduktion von Cybersicherheitsrisiken durch technische und organisatorische Maßnahmen. Das Spektrum reicht von Netzwerksicherheit über Zugriffskontrolle und Backup-Strategien bis zu Verschlüsselung und Anomalie-Monitoring. Besonders brisant: Die Meldepflicht für erhebliche Sicherheitsvorfälle binnen kürzester Fristen und die systematische Überprüfung von Lieferkettenrisiken. Im datenschutzrechtlichen Kontext wirkt NIS2 direkt auf Artikel 32 DSGVO ein – die Anforderungen an die Sicherheit der Verarbeitung steigen 2025 merklich.
Die Digital Operational Resilience Regulation (DORA) geht seit dem 17. Januar 2025 noch weiter. Sie verpflichtet Banken, Versicherungen, Wertpapierfirmen und deren IT-Dienstleister zur umfassenden Dokumentation und regelmäßigen Überprüfung ihrer digitalen Widerstandsfähigkeit. Incident-Meldungen in engen Zeitfenstern, detaillierte Risikomanagementprozesse, verpflichtende Penetrationstests und präzise Outsourcing-Vorgaben prägen das neue Regelwerk. Die Überschneidungen zur DSGVO sind offensichtlich – gerade im Finanzsektor werden personenbezogene Daten mit hohem Schadenspotenzial verarbeitet. Bestehende Auftragsverarbeitungsverträge, technische Schutzmaßnahmen und Cloud-Architekturen müssen den erweiterten Standards genügen.
Quellen:
NIS2: Richtlinie 2022/2555
DORA: Verordnung 2022/2554
Die Corporate Sustainability Due Diligence Directive (CSDDD) etabliert umfassende menschenrechtliche und umweltbezogene Sorgfaltspflichten für europäische Unternehmen. Obwohl Datenschutz nicht im Zentrum der Richtlinie steht, entstehen deutliche Auswirkungen auf die datenschutzrechtliche Praxis – besonders für Organisationen mit komplexen internationalen Lieferketten oder externen Auftragsverarbeitern.
Die CSDDD zielt primär auf Großunternehmen, erfasst aber kleinere und mittlere Betriebe indirekt über deren Rolle als Zulieferer oder Dienstleister. PwC Switzerland bestätigt diese Einschätzung prägnant: "The CSDDD does not directly cover SMEs. However, SMEs may be subject to due diligence measures as part of larger companies' value chains." Der indirekte Compliance-Druck auf kleinere Marktteilnehmer ist erheblich – Großunternehmen fordern zunehmend belastbare Nachweise zu Datenschutz-Standards, IT-Sicherheit, Dokumentation und Risikoanalysen ihrer Partner.
Aus datenschutzrechtlicher Perspektive gewinnen die Anforderungen an Datensicherheit und Transparenz entlang der gesamten Lieferkette an Bedeutung. Unternehmen müssen dokumentieren, wie personenbezogene Daten geschützt werden, welche technischen und organisatorischen Maßnahmen ihre Dienstleister implementieren und wie Risiken kontinuierlich überwacht werden. Vertragliche Regelungen, einschließlich auditrelevanter Klauseln, werden zum kritischen Erfolgsfaktor.
Quellen:
CSDDD: Directive 2024/1760
PwC Schweiz: The-corporate-sustainability-due-diligence-directive
Der grenzüberschreitende Datenverkehr bleibt auch 2025 eine heikle Angelegenheit. Seit Juli 2023 ermöglicht das EU-U.S. Data Privacy Framework (DPF) wieder Datentransfers in die USA – vorausgesetzt, der Empfänger ist beim U.S. Department of Commerce zertifiziert. Die Erleichterung könnte jedoch temporär sein: Ein mögliches "Schrems III"-Verfahren vor dem Europäischen Gerichtshof hält den transatlantischen Datenaustausch in permanenter Unsicherheit. Kluge Unternehmen verlassen sich daher nicht allein auf das DPF, sondern prüfen ergänzende Schutzmaßnahmen.
Standardvertragsklauseln (SCC) und Transfer Impact Assessments (TIA) bleiben unverzichtbare Instrumente. Die Datenschutzbehörden haben ihre Erwartungen an TIAs kontinuierlich verschärft – oberflächliche Bewertungen reichen längst nicht mehr aus. Gefordert sind nachvollziehbare technische und organisatorische Maßnahmen, die staatliche Zugriffe begrenzen und Cloud-Daten wirksam schützen. Die großen Anbieter – Microsoft, Google, AWS – überarbeiten ihre Architekturen im Zuge der europäischen Souveränitätsdebatte fortlaufend. Diese Änderungen müssen Organisationen zeitnah in ihre Compliance-Dokumentation integrieren.
Quelle: DPF-Zertifikate Data Privacy Framework
Die Einwilligungsverwaltungsverordnung (EinwV) nach Paragraph 26 Absatz 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) revolutioniert das Online-Tracking und Cookie-Management. Sie schafft einen Rahmen für Dienste, die Nutzereinwilligungen zentral speichern und verwalten. Das Ziel: weniger Cookie-Banner-Müdigkeit, mehr Nutzerfreundlichkeit bei gleichzeitiger Datenschutz-Compliance. Websites müssen künftig prüfen, ob bereits eine Einwilligung über akkreditierte Dienste vorliegt – das könnte die Rolle klassischer Cookie-Banner fundamental verändern. Eine automatische Pflicht zur dauerhaften Speicherung jeder Einwilligung entsteht allerdings nicht; die Verordnung regelt lediglich das Zusammenspiel zwischen Diensten und Webseitenbetreibern.
Parallel intensiviert sich der Kampf gegen Dark Patterns. Der Europäische Datenschutzausschuss (EDPB) wertet manipulative oder irreführende Nutzeroberflächen klar als DSGVO-Verstoß. Im Visier: Nudging-Designs, verdeckte Voreinstellungen und optische Hervorhebungen, die Nutzer zur Datenfreigabe drängen. Auch KI-optimierte Einwilligungsverfahren geraten zunehmend unter Behördendruck.
Quellen:
TDDDG: § 26 TDDDG - Einzelnorm
EinwV: BfDI - Kurzmeldungen - Einwilligungsverordnung gilt ab 2025
EDPB Dark Patterns: How to recognise dark patterns in social media platform interfaces
Mit dem Data Act (EU 2023/2854) und dem Data Governance Act (EU 2022/868) hat Europa zwei Grundpfeiler der künftigen Datenökonomie errichtet. Der Data Act verpflichtet Unternehmen, Daten aus vernetzten Produkten zugänglich zu machen und stärkt die Nutzerrechte an IoT-generierten Daten. Gleichzeitig öffnet er Kanäle für die Datenweitergabe an öffentliche Stellen in Notlagen. Die Herausforderung für Unternehmen: personenbezogene und nicht-personenbezogene Daten sauber trennen und Governance-Strukturen so gestalten, dass datenschutzkonforme Verarbeitung gewährleistet bleibt.
Der Data Governance Act definiert Verfahren für Datentreuhänder, Datenaltruismus und interoperable Datenräume. Gesundheitswesen, Mobilität, Industrieproduktion und Smart Cities sehen sich mit neuen Anforderungen an Transparenz, Vertragsgestaltung und technische Interoperabilität konfrontiert. Beide Gesetze transformieren die Art, wie Daten in Europa bereitgestellt, verarbeitet und geteilt werden – sie ergänzen die DSGVO um eine ökonomische Dimension.
Quellen:
Data Act: Verordnung 2023/2854
DGA: Verordnung 2022/868
KI-Technologien im Personalwesen rücken den Beschäftigtendatenschutz ins Zentrum behördlicher Aufmerksamkeit. Automatisierte Entscheidungsprozesse, biometrische Zugangssysteme und KI-gestützte Leistungsbewertungen werfen Grundsatzfragen auf. Paragraph 26 BDSG bleibt zwar die zentrale Rechtsgrundlage für Beschäftigtendaten, doch der Ruf nach grundlegender Reform wird lauter. Die fortschreitende Automatisierung von HR-Prozessen erzeugt Rechtsunsicherheit bei Rechtsgrundlagen, Transparenz und Zweckbindung. Datenschutzbehörden fordern konsequent: klare Dokumentation der Einsatzbereiche, Durchführung von Datenschutz-Folgenabschätzungen und robuste Schutzmaßnahmen für Arbeitnehmer. Die politische Debatte über ein spezifisches Beschäftigtendatenschutzgesetz gewinnt 2025 an Fahrt – der Bedarf an präziseren Regelungen ist offensichtlich.
Quelle: § 26 BDSG - Einzelnorm
Kleinere und mittlere Unternehmen sowie Berufsgeheimnisträger navigieren 2025 durch ein Dilemma: Begrenzte Ressourcen treffen auf exponentiell wachsende regulatorische Anforderungen. Der Umgang mit hochsensiblen Mandanten- oder Patientendaten, die zunehmend in Cloud-Diensten verarbeitet und von KI-Systemen analysiert werden, erfordert höchste Sorgfalt. Indirekte Verpflichtungen durch die CSDDD oder verschärfte Kundenanforderungen erhöhen den Druck zusätzlich.
Die Lösung liegt im Aufbau eines strukturierten Datenschutz- und Informationssicherheitsmanagements, idealerweise basierend auf etablierten Standards wie ISO 27001 oder branchenspezifischen Modellen. Klare Rollenverteilungen, regelmäßige Schulungen, dokumentierte Prozesse und transparente Steuerung technologischer Systeme werden unverzichtbar. Berufsgeheimnisträger müssen darüber hinaus spezifische Risiken wie Vertraulichkeit, Zugriffskontrolle und sichere Kommunikation mit besonderer Präzision adressieren.
2025 markiert keine evolutionäre Anpassung, sondern eine revolutionäre Transformation der Datenschutz- und Technologielandschaft. Unternehmen müssen diese Entwicklungen als Gesamtsystem begreifen und ihre Governance-Architekturen entsprechend neu ausrichten. KI-Compliance, Cybersicherheit, Lieferkettenverantwortung, Datenökonomie und internationale Transfers verschmelzen zu einem integrierten Datenmanagement.
Erfolgreiche Organisationen investieren daher in moderne Datenschutz- und Compliance-Managementsysteme, die Risiken strukturiert bewerten, Verantwortlichkeiten präzise definieren und durch regelmäßige Audits kontinuierlich verbessern. Wer diese Transformation proaktiv gestaltet, sichert nicht nur rechtliche Compliance, sondern stärkt operative Resilienz und Wettbewerbsposition. Die Zukunft gehört jenen, die Datenschutz als strategischen Vorteil begreifen – nicht als regulatorische Last.
2025 ist kein Jahr kleiner Anpassungen — es ist ein Jahr grundlegender struktureller Veränderungen.
Das Jahr 2025 hat eindrucksvoll gezeigt, wie eng Datenschutz, Cybersicherheit und technologische Innovation heute verwoben sind. Als DATA Security GmbH haben wir unsere Kunden durch diese Transformation begleitet und dabei eine zentrale Erkenntnis gewonnen: Erfolgreiche Organisationen verstehen Compliance als integralen Bestandteil ihrer digitalen Strategie, nicht als isolierte Pflichtaufgabe.
Mit diesem umfassenden Jahresrückblick möchten wir Ihnen ein fundiertes Fundament für Ihr Compliance-Management bieten. Die Herausforderungen sind komplex, aber mit strukturiertem Vorgehen und klaren Prioritäten durchaus zu meistern. Wir wünschen einen erfolgreichen Jahresabschluss 2025 und viel Erfolg bei der Gestaltung Ihrer Compliance-Strategie für die Zukunft.
Sollten Sie bei der Navigation durch diese komplexe Compliance-Landschaft Unterstützung benötigen, stehen wir Ihnen gerne als erfahrener Partner zur Seite. Kontaktieren Sie uns unverbindlich für ein Gespräch über Ihre individuellen Anforderungen.
Im Fokus dieses Beitrags steht das Zusammenspiel von DS-GVO und BDSG: Welche Regelungen greifen ineinander, wo bestehen Unterschiede?
Das Bayerische Landesamt für Datenschutzaufsicht führte eine anlasslose Überprüfung von Webseiten bei rund 350 Webseitenbetreibern und 15 Apps durch.
Datenschutzgesetze sind gerade für Berufsgeheimnisträger essentiell, da sie die rechtssichere Verarbeitung sensibler Mandanteninformationen...