Die aktuellen Entwicklungen im Datenschutzrecht und in der IT-Sicherheit betreffen Unternehmen inzwischen in nahezu allen Bereichen – von KI-Anwendungen über internationale Datenübermittlungen bis hin zu neuen Melde- und Registrierungspflichten. In diesem Update fassen wir die wichtigsten Änderungen aus November 2025 für Sie zusammen. Im Fokus stehen unter anderem geplante Anpassungen von EU-Regelwerken wie DSGVO, NIS2 und Data Act, aktuelle EuGH-Entscheidungen sowie praktische Hinweise für Bewerberdatenschutz, Einwilligungen und interne Prozesse. Ziel ist es, Ihnen einen kompakten Überblick zu geben, damit Sie frühzeitig Handlungsbedarf erkennen und Prioritäten setzen können.
EU-Reformpaket: Digitales Omnibuspaket zu DSGVO, KI & ePrivacy
Die EU-Kommission hat ein „Digitales Omnibuspaket“ vorgestellt, mit dem verschiedene Regelwerke – darunter die DSGVO, die KI-Verordnung, die ePrivacy-Regeln und Datenvorschriften – überarbeitet werden sollen. Während einige Stimmen deutliche Lockerungen im Datenschutz befürchten, versprechen sich andere eine Entlastung von bürokratischem Aufwand. Geplant ist u. a. eine EU-weite Wallet-Lösung für Unternehmen.
NIS2 in deutsches Recht umgesetzt: Registrierungspflicht prüfen
Mit dem NIS2UmsuCG wurden die europäischen NIS2-Vorgaben zur Cybersicherheit in deutsches Recht überführt. Der Kreis der betroffenen Einrichtungen vergrößert sich damit deutlich, viele Unternehmen fallen erstmals unter diese Regulierung. Neben technischen und organisatorischen Sicherheitsanforderungen besteht für betroffene Organisationen eine Registrierungspflicht innerhalb von drei Monaten. Unternehmen sollten deshalb frühzeitig klären, ob sie in den Anwendungsbereich fallen und die regulatorischen Anforderungen in ihre Sicherheits- und Compliance-Planung aufnehmen.
OpenAI & ChatGPT: Auftragsverarbeitungsvertrag nicht vergessen
Wer personenbezogene Daten mit Diensten von OpenAI – etwa ChatGPT oder API-basierten Lösungen – verarbeitet, benötigt in der Regel eine Vereinbarung zur Auftragsverarbeitung mit OpenAI Ireland. Im Newsletter wird aufgezeigt wie eine Vereinbarung mit OpenAI Ireland abgeschlossen werden kann und wie mit unserer Vorlage OpenAI als Dienstleister angelegt werden kann.
Einwilligungsverwaltung: Erster Dienst von der BfDI anerkannt
Mit „Consenter“ wurde erstmals ein Dienst zur übergreifenden Einwilligungsverwaltung von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit anerkannt. Solche Dienste ermöglichen es Nutzerinnen und Nutzern, ihre Einwilligungsentscheidungen zentral zu verwalten, anstatt auf jeder einzelnen Webseite Cookie-Banner bedienen zu müssen. Für Webseitenbetreiber kann dies eine perspektivische Alternative zum klassischen Consent-Banner darstellen. Unternehmen sollten die weitere Entwicklung beobachten, insbesondere hinsichtlich der technischen Umsetzung und der Akzeptanz bei Nutzern.
Data Act: Nationale Durchführungsbestimmungen beschlossen
Für den EU-Data-Act wurden auf nationaler Ebene die notwendigen Durchführungsbestimmungen verabschiedet. Als zentrale Anlaufstelle ist primär die Bundesnetzagentur vorgesehen. Auch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist involviert. Das Bundesministerium für Digitales und Staatsmodernisierung plant nach eigener Aussage eine Umsetzung ohne zusätzliche nationale Verschärfungen.
Falschparker-Meldung: Schadensersatz wegen Foto mit Person
Ein Beschluss des OLG Dresden verdeutlicht erneut, dass auch im Alltag datenschutzrechtliche Vorgaben schnell relevant werden können. Ein Hinweisgeber hatte ein falsch geparktes Fahrzeug fotografiert und an eine Meldeplattform weitergeleitet – auf dem Bild war jedoch auch der Beifahrer zu erkennen. Das Gericht sprach dem Betroffenen Schadensersatz und die Erstattung der Anwaltskosten zu und verlangte die Löschung des Fotos.
EuGH zur Pseudonymisierung: Personenbezug abhängig von der Perspektive
Der EuGH hat klargestellt, dass pseudonymisierte Daten für den Empfänger unter Umständen als nicht personenbezogen gelten können, wenn ihm keine realistischen Mittel zur Re-Identifizierung zur Verfügung stehen. Für den ursprünglichen Verantwortlichen kann derselbe Datensatz gleichzeitig weiterhin personenbezogen bleiben, weil dort zusätzliche Informationen vorhanden sind. Entscheidend sind die technischen und organisatorischen Möglichkeiten, der Aufwand einer Re-Identifizierung sowie das Interesse an einer solchen.
EU-US Data Privacy Framework vorerst bestätigt
Mit einem aktuellen Urteil hat das Gericht der Europäischen Union eine Klage gegen den Angemessenheitsbeschluss zum EU-US Data Privacy Framework abgewiesen. Damit bleibt die Datenübermittlung an nach DPF zertifizierte US-Unternehmen zunächst weiterhin zulässig.
Bewerberdatenschutz: Hinweise und Textbausteine erweitert
Aufgrund aktueller Rechtsprechung und Rückmeldungen aus der Praxis wurden die Datenschutzhinweise für Bewerberinnen und Bewerber überarbeitet. Unter anderem wurde klargestellt. Zudem wurden eigene Informationsblöcke für Hintergrundrecherchen, besondere Prüfungen wie Führungszeugnisse sowie für aktive Personalgewinnung über Plattformen wie LinkedIn oder XING ergänzt. Ziel ist es, Bewerbungsverfahren transparent zu gestalten und gleichzeitig rechtssicher und praxistauglich zu dokumentieren.
Migration von weclapp-Tickets in die Datenschutzsoftware
Um die Historie der Datenschutzdokumentation möglichst vollständig in der aktuellen Datenschutzsoftware verfügbar zu machen, wurden zahlreiche frühere Tickets aus dem bisherigen System weclapp übernommen. Aus den alten Tickets wurden Aufgaben mit entsprechendem Hinweis im Titel, sodass die Herkunft weiterhin nachvollziehbar bleibt. Zusatzinformationen wurden in das Beschreibungsfeld übertragen, Dokumente hingegen separat exportiert. Für Kunden bedeutet dies, dass frühere Vorgänge und Abstimmungen besser im aktuellen System auffindbar sind und die Rechenschaftspflicht einfacher erfüllt werden kann.
Sicherheitsvorfall bei Dienstleister von OpenAI
OpenAI hat über einen Sicherheitsvorfall bei dem eingesetzten Dienstleister informiert, von dem nach aktuellem Stand insbesondere API-Nutzende betroffen sind. Betroffene Organisationen sollten prüfen, ob eine Aktualisierung von Zugangsdaten und API-Keys sinnvoll ist.
Erreichbarkeit des Datenschutzbeauftragten & Dokumentation von Betroffenenrechten
Viele Unternehmen veröffentlichen entweder direkt die Kontaktdaten des externen Datenschutzbeauftragten oder nutzen eine eigene E-Mail-Adresse wie datenschutz@… als primären Kontakt. Beides ist möglich, entscheidend ist, dass Anfragen an den Datenschutzbeauftragten zuverlässig an der richtigen Stelle landen. In der Praxis kommt es zudem immer wieder zu Problemen bei der Dokumentation von Lösch- oder Werbewidersprüchen, was später zu Beschwerden und erhöhtem Aufwand gegenüber Aufsichtsbehörden führt. Eine strukturierte Erfassung entsprechender Anfragen und deren Bearbeitung in der Datenschutzsoftware hilft, Betroffenenrechte fristgerecht zu erfüllen und die Rechenschaftspflicht nach Art. 5 DSGVO nachweisbar umzusetzen.
Datenschutzschulungen über die Datenschutzsoftware organisieren
Die Mitarbeitersensibilisierung wird über die integrierte Schulungsfunktion der Datenschutzsoftware abgewickelt. Unternehmen können dort Beschäftigte zentral zur Schulung einladen oder die Schulung über eine Kennung allgemein zugänglich machen – auch für Personen ohne eigene geschäftliche E-Mail-Adresse. Teilnahmebescheinigungen und Übersichten über absolvierte Schulungen lassen sich automatisiert erstellen. So wird die nachweisbare Sensibilisierung der Beschäftigten deutlich einfacher.
Termine, Hinweisgebersystem, Folgebestandsaufnahme und individuelle Beratung
Kurz vor Weihnachten stellen wir die eingesetzte Software für das Hinweisgeber-System um. Die Melde-Plattform ist an diesen Tagen nur eingeschränkt erreichbar. Betroffene Kunden werden bzw. wurden bereits separat informiert.
Vereinbaren Sie gerne bereits jetzt Ihre Folgebestandsaufnahme für das neue Jahr. Zudem können Sie online Termine für die Klärung von offenen Fragen oder zur gemeinsamen Bearbeitung von Themen vereinbaren.
Hinweis in eigener Sache: Dies ist nur ein automatisch erstellter Auszug aus unserem ausführlichen Kunden-Newsletter. Detaillierte Hintergrundinformationen, Mustertexte und konkrete Umsetzungsvorschläge stellen wir exklusiv unseren Kunden zur Verfügung. Wenn Sie Interesse an einer Betreuung im Datenschutz und in der IT-Sicherheit haben, sprechen Sie uns gerne an.
