Das Jahr 2025 war ein turbulentes Jahr für den Datenschutz in Europa und Deutschland. Der renommierte c't-Podcast "Auslegungssache" – den ich Ihnen wärmstens ans Herz legen möchte – hat in seiner Jahresrückblick-Episode gemeinsam mit c't-Redakteur Holger Bleich, heise-Justiziar Joerg Heidrich und Rechtsanwältin Anna Cardillo (Partnerin bei MYLE, Berlin) eine kritische Bilanz gezogen. Die zentrale Erkenntnis: Der Datenschutz steht unter zunehmendem politischem und wirtschaftlichem Druck.
Ich versuche ich die wichtigsten Entwicklungen zusammen zu fassen und einzuordnen – denn diese Themen werden auch 2026 die Agenda von Unternehmen, Rechtsabteilungen und Compliance-Verantwortlichen bestimmen.
Politischer Gegenwind: Datenschutz als Sündenbock der Entbürokratisierung
Eine der brisantesten Entwicklungen des Jahres 2025 war der gemeinsame Beschluss von Bundeskanzler und Ministerpräsidenten zur Staatsmodernisierung im Dezember. Die geplanten Maßnahmen zielen auf eine drastische "Verschlankung" der Datenschutz-Durchsetzung ab:
Die geplante Abschaffung des betrieblichen Datenschutzbeauftragten stellt einen massiven Eingriff dar. Nach dem Willen der Bundesregierung soll § 38 Abs. 1 BDSG aufgehoben werden, wodurch nur noch die deutlich abstrakteren Vorgaben aus Art. 37 DSGVO greifen würden. Die Anforderungen der DSGVO blieben ja bestehen – es fehle dann nur die Person, die sich konkret darum kümmert. Von Entbürokratisierung zu sprechen, ist dann eher irreführend.
Die praktischen Konsequenzen für Unternehmen wären erheblich: Während bisher in Deutschland bereits ab 20 regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigten Personen ein Datenschutzbeauftragter zu benennen war, würde künftig nur noch die europäische Regelung gelten. Diese greift erst bei "Kerntätigkeiten" mit "umfangreicher regelmäßiger systematischer Überwachung" oder "umfangreicher Verarbeitung besonderer Kategorien von Daten" – Begriffe, die erhebliche Rechtsunsicherheit mit sich bringen.
EU-US-Datentransfers: Das Damoklesschwert über dem Data Privacy Framework
Beim transatlantischen Datenschutzabkommen herrscht nach Einschätzung der Podcast-Experten große Unsicherheit. Zwar hat ein US-Gericht im Mai 2025 das EU-US Data Privacy Framework zunächst bestätigt, doch die Ankündigung von US-Präsident Donald Trump, dem Datenschutzabkommen de facto die Grundlage zu entziehen, schwebt wie ein Damoklesschwert über den EU-US-Datentransfers.
Besonders problematisch: Trump hat die demokratischen Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) zum Rücktritt aufgefordert. Dieses unabhängige Kontrollgremium ist jedoch eine zentrale Säule des Data Privacy Frameworks. Ohne seine Überwachungsfunktion könnte die EU-Kommission das Abkommen für unwirksam erklären.
Meine Empfehlung für Unternehmen: Bereiten Sie sich bereits jetzt auf alternative Rechtsgrundlagen für US-Datentransfers vor. Prüfen Sie Standardvertragsklauseln (SCCs) und führen Sie Transfer Impact Assessments (TIAs) durch – auch wenn das Data Privacy Framework formal noch gilt.
Das Rechtsgutachten der Universität zu Köln zur "US-Rechtslage zum weltweiten Datenzugriff durch US-Behörden bei Nutzung von Cloud-Diensten" vom 21. März 2025 ist eine lesenswerte Übersicht zu diesem Spezialthema und zeigt den Umgang von US-Behörden auch mit Daten aus Deutschland auf.
Millionen-Bußgelder: Die Aufsichtsbehörden zeigen Zähne
Das Jahr 2025 brachte einige der höchsten DSGVO-Bußgelder seit Inkrafttreten der Verordnung:
TikTok: 530 Millionen Euro für Datentransfers nach China
Die irische Datenschutzbehörde (DPC) verhängte im Mai 2025 ein Rekordbußgeld von 530 Millionen Euro gegen TikTok wegen unzulässiger Übermittlung europäischer Nutzerdaten nach China.
Der Fall zeigt exemplarisch die Herausforderungen bei Drittlandstransfers:
- Fernzugriff gilt als Datenübermittlung: Mitarbeitende von TikTok in China konnten per Remote-Zugriff auf EU-Daten zugreifen – dies wurde von der DPC als Datenübermittlung ins Drittland gewertet.
- Standardvertragsklauseln reichen nicht aus: Trotz SCCs und Transfer Impact Assessments kam die DPC zu dem Schluss, dass kein angemessenes Schutzniveau gewährleistet war.
- Chinesische Gesetze als Problem: Das National Intelligence Law und das Cybersecurity Law Chinas ermöglichen weitreichende staatliche Zugriffe ohne transparente Verfahren.
Vodafone: 45 Millionen Euro – Rekordbußgeld in Deutschland
Die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) verhängte im Juni 2025 das höchste jemals in Deutschland ausgesprochene Bußgeld: 45 Millionen Euro gegen Vodafone.
Die Strafe teilt sich auf zwei gravierende Verstöße auf:
- 15 Millionen Euro wegen mangelhafter Kontrolle von Auftragsverarbeitern (Art. 28 Abs. 1 DSGVO): Vodafone hatte externe Partneragenturen unzureichend überprüft. In der Folge kam es zu betrügerischen Aktivitäten – fingierte Verträge wurden abgeschlossen und bestehende Verträge ohne Zustimmung geändert.
- 30 Millionen Euro wegen Sicherheitslücken** (Art. 32 Abs. 1 DSGVO): Schwachstellen im Authentifizierungsprozess bei der Kombination von Online-Portal und Hotline ermöglichten unbefugten Zugriff auf eSIM-Profile[13][14][16].
Die Lehre für Unternehmen: Die Runde im Podcast sieht darin ein wichtiges Signal, dass Unternehmen ihre Dienstleister sorgfältiger überwachen müssen. Die Verantwortung endet nicht bei der Beauftragung – die laufende Kontrolle ist Pflicht. Insofern sind Kontrollprozesse zu etablieren, um derartige Bußgelder zu vermeiden.
EuGH-Urteil "Russmedia": Plattformen in der Haftungsfalle
Eine der folgenreichsten Gerichtsentscheidungen des Jahres 2025 ist das EuGH-Urteil im Fall "Russmedia" (C-492/23) vom 2. Dezember 2025. Das Urteil könnte das Ende des bewährten "Providerprivilegs" bedeuten und Plattformbetreiber künftig zu präventiven Kontrollen zwingen.
Kernaussagen des Urteils:
- Hosting-Anbieter sind datenschutzrechtlich mitverantwortlich für von Nutzern eingestellte Inhalte – auch ohne Einflussnahme auf die konkreten Inhalte.
- Die Haftungsprivilegierung aus der E-Commerce-Richtlinie bzw. dem Digital Services Act schließt die Verantwortlichkeit nach DSGVO nicht aus.
- Plattformen müssen vor der Veröffentlichung prüfen, ob eine wirksame Einwilligung der betroffenen Person vorliegt.
Die Podcast-Experten zeigen sich besorgt: Dies könnte faktisch zu einer umfassenden Überwachungspflicht durch Upload-Filter führen und das bisherige "Notice-and-Take-Down"-Prinzip aushebeln. Für Betreiber von Plattformen, Marktplätzen und Foren bedeutet dies erhebliche technische, organisatorische und rechtliche Herausforderungen.
Das Omnibus-Paket: DSGVO-Reform durch die Hintertür?
Zum Jahresende präsentierte die EU-Kommission ihr "Digitales Omnibus-Paket" zur Vereinfachung der Digitalgesetzgebung. Während im Podcast der Justiziar von c´t, Joerg Heidrich, durchaus pragmatische Erleichterungen erkennt, befürchtet Holger Bleich eine Aufweichung des Datenschutzes zugunsten der Industrie – etwa beim Training von KI-Modellen mit Nutzerdaten. Beides valide Argumente, so dass man letztlich abwarten muss, welcher der beiden "Effekte" (eher) zum tragen kommt.
Wesentliche geplante Änderungen an der DSGVO:
Verarbeitung sensibler Daten für KI
Die Verarbeitung sensibler Daten (Gesundheit, Ethnie, politische Meinung) soll im Rahmen der Entwicklung und des Betriebs von KI-Systemen ausdrücklich zugelassen werden – sofern strenge technische und organisatorische Schutzmaßnahmen bestehen (Art. 9 Abs. 2 lit. k neu). Dies wird als Verschiebung der DSGVO hin zu mehr Innovationsfreundlichkeit verstanden.
Risikobasierte Meldepflichten
Statt jeder Datenschutzverletzung mit "Risiko" binnen 72 Stunden müsste künftig nur noch eine Verletzung mit "hohem Risiko" binnen 96 Stunden gemeldet werden – über einen zentralen Meldekanal.
Vereinfachte Dokumentationspflichten
Künftig sollen nur noch Unternehmen mit mehr als 750 Beschäftigten Verarbeitungsverzeichnisse führen müssen. Kleine und mittlere Unternehmen würden davon befreit, sofern sie keine Daten mit "hohem Risiko" verarbeiten.
Cookie-Regelungen in der DSGVO
Die bislang in der E-Privacy-Richtlinie geregelten Cookie-Vorschriften sollen in die DSGVO integriert werden. Einwilligungen sollen mit einem Klick möglich und über Browser- oder Systemeinstellungen zentral steuerbar sein.
Fazit: Schwierige Zeiten für den Datenschutz
Das Fazit der Podcast-Runde fällt eher pessimistisch aus: Der Datenschutz stehe vor schwierigen Zeiten. Die Gemengelage aus politischem Druck, wirtschaftlichen Interessen und geopolitischen Spannungen setzt die DSGVO unter Beschuss. Dem kann ich mich nur anschließen, denn nachdem ich diesen Überblick recherchiert hatte, kamen mir durchaus Bedenken, ob dem Datenschutz ausreichend politische Verantwortung gegenübersteht.
Meine Handlungsempfehlungen für Unternehmen:
1. Datenschutzorganisation stärken, nicht schwächen:
Auch wenn die Benennungspflicht für Datenschutzbeauftragte fallen sollte – die materiellen Anforderungen der DSGVO bleiben. Überlegen Sie, ob ein freiwilliger Datenschutzbeauftragter oder externer Berater nicht sogar mehr Sinn macht als eine Vakanz.
2. US-Datentransfers kritisch prüfen:
Bereiten Sie Plan B vor, falls das Data Privacy Framework kollabiert. Dokumentieren Sie Ihre Transfer Impact Assessments und prüfen Sie Alternativen wie EU-Hosting.
3. Auftragsverarbeiter konsequent kontrollieren:
Die Vodafone-Entscheidung zeigt: Die Aufsichtsbehörden nehmen Verantwortliche in die Pflicht. Implementieren Sie strukturierte Kontrollmechanismen und dokumentieren Sie diese.
4. Plattform-Betreiber aufgepasst:
Wenn Sie nutzergenerierte Inhalte hosten, müssen Sie nach dem Russmedia-Urteil Ihre Verantwortlichkeit neu bewerten. Prüfen Sie präventive Kontrollmechanismen und Joint-Controller-Agreements.
5. KI-Projekte datenschutzkonform gestalten:
Die geplanten DSGVO-Änderungen im Omnibus-Paket könnten Erleichterungen bringen – verlassen Sie sich aber nicht darauf. Implementieren Sie bereits jetzt robuste Schutzmaßnahmen.
6. Bleiben Sie informiert:
Der c't-Podcast "Auslegungssache" erscheint alle 14 Tage und bietet fundierte, praxisnahe Analysen aktueller Rechts-, Technik- und Datenschutz-Entwicklungen. Eine absolute Hörempfehlung für alle, die beim Datenschutz auf dem Laufenden bleiben wollen, ohne seitenlange Fachliteratur zu wälzen.
Ausblick 2026
Die Entwicklungen des Jahres 2025 werden auch 2026 nachwirken. Mit der Umsetzung von NIS2 in Deutschland (seit Dezember 2025 in Kraft), den weiteren Verhandlungen zum Omnibus-Paket und möglichen Änderungen beim Data Privacy Framework bleibt es spannend. Hinzu kommen die Implementierungspflichten aus der KI-Verordnung und dem Data Act.
Als Interim Legal Manager und Compliance Officer unterstütze ich Unternehmen dabei, diese komplexen Herausforderungen zu meistern – pragmatisch, wirtschaftsnah und rechtssicher. Sprechen Sie mich gerne an, wenn Sie Unterstützung bei der Implementierung robuster Compliance- und Datenschutz-Frameworks, der Bewältigung regulatorischer Anforderungen oder der Optimierung Ihrer Legal Operations benötigen.