Im Jahr 2025 stehen im Datenschutz bedeutende Entwicklungen an, die sowohl Unternehmen als auch Verbraucher betreffen. Wir haben für Sie die wichtigsten Neuerungen zum Thema Datenschutz zusammengefasst.
Inkrafttreten des EU-KI-Verordnung (AI Act):
Teile des EU-KI-Verordnung treten 2025 in Kraft. Das Gesetz klassifiziert KI-Technologien nach Risikokategorien und legt entsprechende Anforderungen fest, um eine verantwortungsvolle Entwicklung und Nutzung von KI in der EU zu fördern.
Die Verordnung können Sie hier einsehen: https://ai-act-law.eu/de/
Die EU-KI-Verordnung (EU AI Act) enthält keine explizite, umfassende Schulungspflicht für alle Unternehmen, die KI-Systeme einsetzen. Dennoch ergeben sich aus den allgemeinen Anforderungen des Gesetzes indirekte Schulungspflichten, insbesondere für Organisationen, die KI-Systeme entwickeln, nutzen oder in den Verkehr bringen.
Was Sie hierbei beachten sollten, werden wir in einem separaten Artikel genauer betrachten.
Lieferkettensicherheit und Datenschutz:
Die gestiegene Bedeutung von Lieferkettensicherheit und Datenschutz wird durch verschiedene neue gesetzliche Vorgaben unterstrichen. Insbesondere das EU-Lieferkettengesetz (offiziell: Richtlinie über die Sorgfaltspflichten von Unternehmen im Bereich der Nachhaltigkeit) spielt hier eine entscheidende Rolle. Dieses Gesetz wurde 2023 verabschiedet und wird ab 2025 schrittweise für Unternehmen in Kraft treten.
Die neuen Verordnungen verlangen von Unternehmen, dass sie bei der Auswahl von Lieferanten sicherstellen, dass Datenschutz und Informationssicherheit über die gesamte Lieferkette hinweg gewährleistet sind. Regelmäßige Sicherheitsüberprüfungen und Audits werden hierbei an Bedeutung gewinnen.
Ab 2025 müssen Unternehmen also strenger auf Datenschutz und Sicherheit in der Lieferkette achten. Sie sollten Lieferanten sorgfältig auswählen, deren Datenschutzkonformität durch Audits und vertragliche Vereinbarungen sicherstellen sowie Risiken durch regelmäßige Überprüfungen minimieren. Transparenz und Nachverfolgbarkeit in der Lieferkette sind essenziell, unterstützt durch Technologien wie Blockchain und Datenverschlüsselung. Interne Schulungen und die Sensibilisierung von Lieferanten stärken das Bewusstsein für die neuen Anforderungen. Unternehmen sollten zudem Lieferketten-Governance-Richtlinien anpassen, Krisenmanagement-Strategien entwickeln und globale Datenschutzgesetze beachten, um rechtliche Risiken zu vermeiden und die Sicherheit zu erhöhen.
Diese gesetzlichen Änderungen stellen eine Herausforderung, aber auch eine Chance dar, langfristig Vertrauen bei Partnern und Kunden aufzubauen.
Das Gesetz können Sie unter folgendem Link einsehen: https://www.gesetze-im-internet.de/lksg/
Weitere Informationen zur Verabschiedung des Lieferkettengesetzes können Sie der Webseite des Bundestags entnehmen unter: https://www.bundestag.de/dokumente/textarchiv/2021/kw23-de-lieferkettengesetz-845608
Entwicklungen im transatlantischen Datentransfer - EU-U.S. Data Privacy Framework (DPF):
Mit dem EU-U.S. Data Privacy Framework (DPF) wurde 2023 ein neuer Angemessenheitsbeschluss für Datentransfers in die USA eingeführt. Dieses freiwillige Rahmenwerk ermöglicht es Unternehmen, personenbezogene Daten aus der EU in die USA in Übereinstimmung mit den EU-Datenschutzgesetzen zu übertragen. Unternehmen, die am DPF teilnehmen möchten, müssen sich beim U.S. Department of Commerce selbst zertifizieren und die Datenschutzgrundsätze des Frameworks einhalten.
Es ist wichtig zu beachten, dass die rechtliche Landschaft im Bereich Datenschutz dynamisch bleibt. In den USA gibt es Bestrebungen, ein umfassendes Bundesdatenschutzgesetz zu verabschieden, um die derzeitige Vielfalt an staatlichen Datenschutzgesetzen zu harmonisieren. bislang nicht erfolgreich gewesen, sodass Unternehmen weiterhin die unterschiedlichen staatlichen Vorschriften berücksichtigen müssen. Bislang sind diese Bemühungen nicht erfolgreich gewesen, sodass Unternehmen weiterhin die unterschiedlichen staatlichen Vorschriften berücksichtigen müssen.
Für Unternehmen ist es daher entscheidend, die Entwicklungen sowohl auf europäischer als auch auf US-amerikanischer Seite genau zu verfolgen und ihre Datenschutzpraktiken entsprechend anzupassen, um die Einhaltung der geltenden Vorschriften sicherzustellen.
Losgelöst von dieser möglichen Entwicklung, bestehen weiterhin Zweifel, ob das Datenschutzniveau für EU-Bürger in den USA ausreichend ist. Es bleibt abzuwarten, ob das DPF einer Überprüfung durch den Europäischen Gerichtshof standhält.
Falls Sie überprüfen möchten, ob sich das von Ihnen in Anspruch genommene Unternehmen nach DPF hat zertifizieren lassen, können Sie dies unter folgendem Link: https://www.dataprivacyframework.gov/
Neue Regelungen zum Cookie-Banner
Die neue Regelung auf Grundlage des § 26 Absatz 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) stellt eine wichtige Veränderung im Umgang mit Cookies und der Einwilligung der Nutzer dar. Bisher mussten Nutzerinnen und Nutzer bei jedem Besuch einer Website oder bei jedem erneuten Laden der Seite ihre Einwilligung zu Cookies erneut abgeben – ein Prozess, der als lästig empfunden wurde und zu User Frustration führte. Die neue Verordnung ermöglicht nun eine dauerhafte Speicherung der Zustimmung der Nutzer für die Verwendung von Cookies, was einige Vorteile sowohl für die Nutzer als auch für die Website-Betreiber bietet.
Die Pressemitteilung des Bundesministeriums für Digitales und Verkehr hierzu können Sie hier einsehen: https://bmdv.bund.de/SharedDocs/DE/Pressemitteilungen/2024/073-wissing-wir-wollen-die-cookie-flut-reduzieren.html
Fazit
Die genannten Entwicklungen erfordern von Unternehmen eine proaktive Anpassung ihrer Datenschutzstrategien, um den neuen gesetzlichen Anforderungen gerecht zu werden und das Vertrauen ihrer Kunden zu sichern.