Neues Jahr, neue Pflichten: Datenschutz-Checkliste für 2025

Einleitung

Das Jahr 2025 hat begonnen, und mit ihm kommen neue Herausforderungen und Regelungen im Bereich des Datenschutzes. Unternehmen müssen sich nicht nur mit den bestehenden Anforderungen der DSGVO auseinandersetzen, sondern auch auf neue gesetzliche Vorgaben reagieren, die durch technologische Fortschritte und gesellschaftliche Entwicklungen notwendig geworden sind. Dieser Blogbeitrag gibt Ihnen eine umfassende Checkliste an die Hand, um sicherzustellen, dass Ihr Unternehmen datenschutzrechtlich auf dem neuesten Stand ist.

Inhaltsverzeichnis

Aktualisierung der Datenschutzrichtlinien

Die Datenschutzrichtlinien Ihres Unternehmens sollten regelmäßig überprüft und aktualisiert werden, um den aktuellen gesetzlichen Anforderungen zu entsprechen. Im Jahr 2025 gibt es besondere Neuerungen im Zusammenhang mit KI-Systemen und Datennutzung, die eine Anpassung erforderlich machen können.

Maßnahmen:

  • Prüfung der Konformität: Analysieren Sie Ihre Datenschutzrichtlinien im Hinblick auf die neuesten Anforderungen der EU (z.B. Data Act, Cyber Resilience Act) und nationalen Gesetzesänderungen.
  • Integration von KI-Richtlinien: Stellen Sie sicher, dass Ihre Richtlinien klare Regelungen zum Einsatz von KI und automatisierten Entscheidungsprozessen enthalten, insbesondere hinsichtlich Transparenz und Nachvollziehbarkeit. Leitlinien zur KI-Nutzung
  • Anpassung an branchenspezifische Vorgaben: Berücksichtigen Sie sektorspezifische Datenschutzregeln, beispielsweise im Gesundheits- oder Finanzsektor (z.B. DORA).

Mitarbeiterschulungen

Schulungen sind essenziell, um sicherzustellen, dass alle Mitarbeiter mit den aktuellen Datenschutzanforderungen vertraut sind. Daher sollte auch diese an die veränderten Vorgaben und Datenverarbeitungen angepasst werden.

Maßnahmen:

  • Pflichtschulungen für neue Mitarbeiter: Entwickeln Sie Onboarding-Programme, die Datenschutzschulungen beinhalten, um neue Mitarbeiter direkt auf den neuesten Stand zu bringen und wichtige interne Regelungen vermitteln.
  • Workshops mit praxisnahen Beispielen: Organisieren Sie Workshops, die typische Datenschutzverletzungen simulieren und praktische Lösungsansätze vermitteln. Tipps für Angriffssimulationstrainings
  • Regelmäßige Auffrischungskurse: Planen Sie jährliche Auffrischungskurse, um Mitarbeiter über neue Entwicklungen und Vorschriften zu informieren.

Umgang mit Künstlicher Intelligenz (KI)

Im Jahr 2025 werden KI-Systeme immer mehr in den Alltag integriert und erleichtern viele Aspekte des täglichen Lebens. Sie unterstützen bei der Arbeit, im Haushalt und in der Freizeit. Gleichzeitig sind sie eine neue Herausforderungen für den Datenschutz, da sie große Mengen an personenbezogenen Daten verarbeiten und speichern. Daher ist es wichtiger denn je, Datenschutzrichtlinien zu beachten und kontinuierlich anzupassen.

Einsatz von KI-Systemen

Erste Teile der KI-Verordnung werden im Laufe 2025 zur Anwendung kommen. Ebenso auch neue Vorschriften zur Nutzung von KI-Systemen, die speziell auf automatisierte Entscheidungsfindung und Profiling abzielen. Diese Neuerungen verlangen eine strenge Kontrolle und Dokumentation solcher Prozesse.

Maßnahmen:

  • Erstellung eines Inventars: Erfassen Sie alle KI-Systeme, die in Ihrem Unternehmen verwendet werden, und dokumentieren Sie deren Einsatzzwecke.
  • Risikobewertung: Führen Sie eine detaillierte Analyse der potenziellen Risiken durch KI-Systeme durch, insbesondere im Hinblick auf Diskriminierung oder Fehlentscheidungen. Empfehlungen zur Risikobewertung
  • Erklärbarkeit der KI: Implementieren Sie Mechanismen, um sicherzustellen, dass die Entscheidungen von KI-Systemen für Endnutzer nachvollziehbar sind.
  • Schulung von Beschäftigten: Entwickeln Sie Trainings und Schulungen, um Ihren Beschäftigten den Umgang mit KI, sowie deren Risiken nahe zu bringen. Beschäftigte sollten dabei nicht nur ein ausreichendes Maß an KI-Kompetenz nachweisen können, sondern auch in der Lage sein, Entscheidungen und Ergebnisse einer KI kritisch bewerten zu können.

Datenschutz-Folgenabschätzung (DSFA)

Eine DSFA ist obligatorisch, wenn KI-Technologien ein hohes Risiko für die Rechte und Freiheiten betroffener Personen darstellen.

Maßnahmen:

  • Schritt-für-Schritt-Analyse: Erstellen Sie einen detaillierten Plan zur Durchführung der DSFA, der die Beschreibung der Verarbeitungsvorgänge, die Bewertung von Risiken und die Definition von Maßnahmen umfasst. Leitlinien zur DSFA
  • Einhaltung von Leitlinien: Orientieren Sie sich an den Empfehlungen der nationalen Aufsichtsbehörden und des European Data Protection Board (EDPB).
  • Einbindung von Experten: Ziehen Sie Datenschutzspezialisten hinzu, um eine fundierte Bewertung der KI-Systeme sicherzustellen.

Umsetzung des Data Act

Der Data Act tritt im September 2025 in Kraft und regelt den Zugang und die Nutzung von Daten, die von vernetzten Produkten generiert werden, oder wie mit Cloud-Daten verfahren werden darf.

Datenzugang und -nutzung

Der Data Act legt fest, wie Unternehmen Daten von Kunden, Partnern oder Drittanbietern nutzen dürfen. Er bietet eine klare Struktur für den Datenaustausch, insbesondere in der Zusammenarbeit mit anderen Unternehmen oder Institutionen.

Maßnahmen:

  • Entwicklung einer Datenstrategie: Definieren Sie klare Regeln für die Nutzung und Weitergabe von Daten innerhalb Ihres Unternehmens und an Drittparteien. Hintergrundinformationen zum Data Act
  • Zugriffsrechte: Etablieren Sie ein Berechtigungskonzept, das regelt, wer in Ihrem Unternehmen Zugriff auf welche Daten hat.
  • Verarbeitungstransparenz: Dokumentieren Sie, wie Daten innerhalb Ihres Unternehmens verarbeitet werden, und stellen Sie sicher, dass dies den Vorgaben des Data Act entspricht.

Vertragsprüfung mit Dienstleistern

Prüfen Sie bestehende Verträge mit Dienstleistern, um sicherzustellen, dass diese den Anforderungen des Data Act entsprechen.

Maßnahmen:

  • Vertragsänderungen: Aktualisieren Sie Dienstleister-Verträge, um Regelungen zu Datenzugriff, Nutzung und Löschung einzufügen.
  • Kontrollmechanismen: Implementieren Sie Maßnahmen, um die Einhaltung dieser Regelungen durch Dienstleister zu überprüfen.

Cloud-Switching

Der Data Act zielt darauf ab, technische und vertragliche Hindernisse zu beseitigen, um einen „Vendor Lock-In“ zu verhindern. Dies soll die Interoperabilität und Flexibilität für Nutzer verbessern. Cloud Switching bezeichnet dabei die Fähigkeit, problemlos zwischen verschiedenen Cloud-Anbietern zu wechseln oder von Cloud-Diensten zu internen IT-Lösungen zu migrieren.

Maßnahmen:

  • Prüfung der Anwendbarkeit: Prüfen Sie, ob sie Dienste bereitstellen oder nutzen, die unter die Cloud-Switching-Vorgaben fallen.
  • Vertragsänderungen: Aktualisieren Sie Dienstleister-Verträge, um Regelungen zum Cloud-Switching und Kündigungsfristen an die Vorgaben anzupassen.
  • Interoperabilität und Datenportabilität: Ermitteln Sie, welche Standards genutzt werden können, um Daten mit anderen Anbietern auszutauschen. Kunden sollten ihre Daten einfach und sicher von einem Anbieter zum anderen übertragen können.
  • Wechselunterstützung: Anbieter haben den Wechsel zu unterstützen. Prüfen Sie, welche Ressourcen hierfür erforderlich sind und planen Sie diese ein.

Technische und organisatorische Maßnahmen

Der deutsche Gesetzgeber hat es nicht geschafft, innerhalb der Umsetzungsfristen die NIS-2 Richtlinie der EU umzusetzen. Die NIS-2 Richtlinie soll das Niveau der Cybersicherheit in der Europäischen Union erhöhen. Mit auslaufen der Umsetzungsfrist im Oktober 2024 gilt die Richtlinie auch ohne nationales Gesetz unmittelbar. Durch NIS-2 wird der Geltungsbereich erweitert. Nicht nur kritische Infrastrukturen, sondern auch wichtige Sektoren wie Lebensmittelversorgung, Chemie und Forschung sowie digitale Dienste wie Suchmaschinen und Online-Marktplätze sind hinzugekommen.

Zusätzlich wurde 2024 der Cyber Resilience Act (CRA) verabschiedet und regelt Anforderungen an die Cybersicherheit von vernetzten Produkten. Erste Regelungen finden ab 2026 Anwendung, und sollten bereits jetzt geplant und vorbereitet werden.

Datensicherheit

Der Schutz personenbezogener Daten vor unbefugtem Zugriff oder Missbrauch bleibt eine Kernaufgabe.

Maßnahmen:

  • Zertifizierung: Prüfen sie erforderliche Zertifizierungspflichten, die sich aus NIS-2 und CRA ergeben und bringen Sie diese in Ihre Sicherheitsstruktur ein.
  • Verschlüsselung: Implementieren Sie Verschlüsselungsmechanismen für gespeicherte und übertragene Daten. Empfehlungen zur Datensicherheit
  • Multi-Faktor-Authentifizierung/Passkey: Erhöhen Sie die Sicherheit durch den Einsatz von Multi-Faktor-Authentifizierung oder Passkey für sensible Systeme.
  • Zero-Trust: Bauen Sie Ihre Infrastruktur im Rahmen der Zero-Trust Prinzipen auf. Zero Trust ist ein Sicherheitskonzept, das davon ausgeht, dass kein Benutzer, Gerät oder Netzwerk von Natur aus vertrauenswürdig ist, und daher kontinuierliche Überprüfung und Authentifizierung aller Zugriffe erfordert.
  • Notfallpläne: Entwickeln Sie Notfallpläne für den Fall von Datenpannen und testen Sie diese regelmäßig.
    Prüfen Sie insbesondere, ob die erweiterten Meldepflichten und -fristen aus den Richtlinien eigehalten werden können.

Dokumentation

Eine umfassende Dokumentation aller datenschutzrelevanten Prozesse ist unerlässlich.

Maßnahmen:

  • Verzeichnis von Verarbeitungstätigkeiten: Erfassen Sie alle Verarbeitungstätigkeiten, einschließlich Zweck, Rechtsgrundlage und beteiligter Systeme.
  • Audit-Trails: Führen Sie Audit-Trails, um Nachweise für die Einhaltung von Datenschutzanforderungen bereitzustellen.
  • Risikoanalysen: Führen Sie regelmäßige Risikoanalysen für Business-Prozesse, Datenverarbeitungen und Ihre IT-Infrastruktur durch. Entwickeln Sie erforderliche Gegenmaßnahmen für identifizierte Risiken. Berücksichtigen Sie hierbei auch die Interessen relevanter Stakeholder wie betroffene Personen, Kunden, Behörden, Investoren etc.

Rechte der Betroffenen

Auskunftsrechte

Betroffene haben das Recht, Informationen über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Der Data Act schafft hierbei zusätzliche Regelungen, wie diese Rechte wahrgenommen werden können.

Maßnahmen:

  • Standardisierte Prozesse: Entwickeln Sie einheitliche Verfahren zur Bearbeitung von Auskunftsanfragen, einschließlich klarer Zeitpläne und Verantwortlichkeiten.
  • Selbstauskunfts-Portale: Prüfen Sie die Erforderlichkeit zur Implementierung eines Selbstauskunfts-Portals, über die Betroffene direkt Anfragen stellen und Daten einsehen können.

Datenlöschung

Das Recht auf Löschung personenbezogener Daten ist ein zentraler Bestandteil der DSGVO. Viele Aufbewahrungspflichten enden mit dem Ende eines Kalenderjahres.
Es ist an der Zeit den Frühjahrsputz auch auf ihre Daten auszuweiten.

Insbesondere durch das 4. Bürokratieentlastungsgesetz haben sich zentrale Aufbewahrungspflichten aus dem Handelsgesetzbuch und der Abgabenordnung verändertet. Zusätzlich wurde die Pflicht zur Dokumentation inländischer Beherbergungen aufgehoben.

Maßnahmen:

  • Prüfung bestehender Löschregeln: Prüfen Sie, ob bestehende Löschregeln durch die gesetzlichen Änderungen anzupassen sind.
  • Automatisierte Löschprozesse: Setzen Sie Systeme ein, die Daten nach Ablauf der gesetzlichen Aufbewahrungsfristen automatisch löschen.
  • Löschprotokolle: Dokumentieren Sie alle Löschvorgänge, um diese bei Bedarf nachweisen zu können.

Fazit

Das Jahr 2025 bringt zahlreiche neue Pflichten im Bereich Datenschutz mit sich. Die Umsetzung dieser Checkliste wird Ihrem Unternehmen helfen, die neuen Anforderungen zu erfüllen und gleichzeitig das Vertrauen Ihrer Kunden und Partner zu stärken. Bleiben Sie proaktiv, aktualisieren Sie Ihre Datenschutzmaßnahmen und stellen Sie sicher, dass Ihr Unternehmen bestens auf die Zukunft vorbereitet ist.

Haben Sie Fragen?

Sie haben Fragen zu unserem Artikel oder benötigen Unterstützung bei der Durchführung einer Interessenabwägung? Nehmen Sie einfach Kontakt mit uns auf. Wir helfen Ihnen gerne weiter.

Kontakt aufnehmen

Ihr Partner für Datenschutz!

Lassen Sie uns gemeinsam Ihre Datenschutzlösungen umsetzen – effizient, sicher und individuell. Kontaktieren Sie uns jetzt für Ihre erste Beratung!

Kontakt aufnehmen