Ausblick 2025: Was datenschutzrechtlich auf uns zukommt
2024 war ein aufregendes Jahr im Bereich des Datenschutzes und auch das Jahr 2025 wird aus datenschutzrechtlicher Sicht erneut spannend. Eine neue Regierung, künstliche Intelligenz (KI), die Umsetzung der NIS2-Richtlinie oder neue Regeln zu Einwilligungserklärungen bringen eine veränderte rechtliche Situation mit sich. Dieser Beitrag beleuchtet die wichtigsten Themen, die das Datenschutzrecht im Jahr 2025 prägen werden.
Neuerungen durch Künstliche Intelligenz
Mit der Verabschiedung der KI-Verordnung rückt die Regulierung von KI-Systemen in den Fokus. Grundsätzlich werden die Regeln erst 24 Monate nach Inkrafttreten vollständig anwendbar. Die erste Umsetzungsfrist endet jedoch schon Anfang Februar, sodass ab dann die Verbote für bestimmte KI-Praktiken zu beachten sind. Dazu zählt etwa die biometrische Echtzeit-Fernüberwachung in öffentlichen Räumen zur Strafverfolgung oder das Social Scoring. Auch Verhaltenskodizes müssen bis zum 01.05.2025 ausgearbeitet sein. Ab August müssen Anbieter von allgemeinen KIs zudem verschiedene Dokumentations- und Informationspflichten beachten.
In diesem Zusammenhang bleibt auch spannend, wie die Aufsicht durch die Bundesnetzagentur (BNetzA) funktionieren wird. In einem Ausblick für 2025 hat die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW) etwa darauf hingewiesen, dass dies datenschutzrechtliche Aspekte unzureichend berücksichtigen würden. Insbesondere bezweifelt sie, ob solch eine Aufgabenübertragung „europarechtlich und verfassungsrechtlich im föderalen Staat überhaupt zulässig“ ist.
Einwilligungsverordnung
Ein weiteres Thema ist die kürzlich vom Bundesrat gebilligte Einwilligungsverordnung, die gegen die Vielzahl an Cookie-Bannern helfen soll. Nutzer sollen ihre Präferenzen künftig über unabhängige Dienste zentral hinterlegen können und dies nur einmal pro Webseite tun müssen. Die Verordnung gilt bereits ab Frühjahr 2025. Dabei ist die Wirksamkeit der Regelung maßgeblich davon abhängig, ob ein vertrauenswürdiger Einwilligungsmanagementdienst überhaupt entwickelt werden wird. Insgesamt hat die Verordnung aber das Potential noch in diesem Jahr die Situation beim Besuchen von Webseiten in Anbetracht von Cookie-Einwilligungen erheblich angenehmer zu gestalten.
Umsetzung der NIS2-Richtlinie
Mit der NIS2-Richtlinie hat die EU einen rechtlichen Rahmen geschaffen, der darauf abzielt, die Cybersicherheit in der EU zu stärken, indem Unternehmen und öffentliche Stellen verpflichtet werden, ein höheres Sicherheitsniveau zu gewährleisten. Die Umsetzungsfrist für die Mitgliedsstaaten, eine Durchführungsverordnung zu erlassen, endete am 17.10.2024. Da solche Vorgaben in Deutschland und etlichen anderen Ländern bislang fehlen, hat die EU-Kommission ein Vertragsverletzungsverfahren eingeleitet. Nichtsdestotrotz ist von einer baldigen Verabschiedung auszugehen, die für Unternehmen mit neuen Meldepflichten und höheren Sicherheitsstandards einhergehen wird.
Elektronische Patientenakte für alle
Zudem wird ab 2025 die elektronische Patientenakte (ePA) in Deutschland für alle gesetzlich Versicherten eingeführt. Ziel ist es, den Datenaustausch zwischen Patienten und Gesundheitsakteuren zu vereinfachen und den Einsatz von Gesundheitsdaten zu Forschungszwecken zu vereinfachen. Kritik kam jedoch jüngst auf, da aktuelle Sicherheitsvorkehrungen noch nicht ausreichend seien. Die LDI NRW regt deshalb dazu an, darüber nachzudenken, einen Widerspruch gegen die Einrichtung zu erheben, der spätere auch wieder zurückgezogen werden könne, wenn sich die ePA bewährt hat.
Neue Gesetzesinitiativen
Mit den am 23.02.2025 anstehenden Bundestagswahlen hat die Bundesdatenschutzbeauftragte, Louisa Specht-Riemenschneider, eine datenschutzpolitische Agenda (abrufbar hier) veröffentlicht. Darin stellt sie auch über das Jahr 2025 hinausgehende datenschutzrechtliche Forderungen an den Gesetzgeber, um die digitale Transformation grundrechtssensibel zu gestalten. Hierzu zählt die Etablierung eines eigenständigen Digitalministerium. Daneben fordert sie europäische digitale Souveränität, inklusive des Aufbaus sicherer Cloud-Umgebungen, die ohne Datenübertragungen in Drittstaaten auskommen. Zudem drängt sie weiter auf ein horizontales Forschungsdatengesetz. Zuletzt plädiert die BfDI auf detaillierte Regelungen „für das Training und die Anwendung von KI [die] nicht allein auf […] Interessenabwägungen“ zu stützen seien.
Mit der neuen Legislaturperiode ist auch zu erwarten, dass alte Themen wie die Vorratsdatenspeicherung und das Sicherheitspaket neuen Aufschwung bekommen. Parallel hierzu diskutierten die Mitgliedstaaten im EU-Rat weiter über die Einführung der zuvor bereits vermehrt gescheiterten Chatkontrolle. Auf europäischer Ebene wird aktuell auch ein Digital Fairness Act geplant, der insbesondere den Einsatz von Dark Patterns verhindern soll.
Fazit
Das Jahr 2025 wird erneut ein spannendes Jahr für den Datenschutz. Die Herausforderungen reichen von der Regulierung neuer Technologien wie KI über die Umsetzung vereinfachter Regelungen für Einwilligungsbanner bis hin zur Stärkung der digitalen Souveränität. Ein integrativer Ansatz, der Innovation und Grundrechtsschutz miteinander verbindet, wird entscheidend sein. Zudem sollten Unternehmen sich frühzeitig auf die bevorstehenden Änderungen einstellen, um die gesetzlichen Anforderungen reibungsfrei umsetzen zu können. Wir als Externe Datenschutzbeauftragte stehen Ihnen hierbei auch in diesem Jahr wieder zur Seite.