Geschrieben am 28.01.2025 von:
Julia Hohage
Legal Consultant | Diplom-Wirtschaftsjuristin (FH)
zum Profil
Kontaktiere mich:
+49 (0) 6232 – 100119 44
E-Mail senden
Der Datenschutz hat kein gutes Image, das zeigen Umfragen von Branchen- und Wirtschaftsverbänden immer wieder. Häufig wird der Datenschutz als Hindernis wahrgenommen, als Kostenfaktor gesehen oder als Belastung empfunden. Dabei gerät jedoch regelmäßig aus dem Blick, worum es beim Datenschutz eigentlich geht: Um den Schutz eines Grundrechtes, das Recht auf informationelle Selbstbestimmung. Ist dieses in Zeiten von internationalen Konflikten, antidemokratischen Bewegungen und der fortschreitenden Digitalisierung nicht wichtiger denn je? Die Antwort liegt auf die Hand. Daher stellt sich die Frage: Was macht es so schwierig, Datenschutz umzusetzen – was sind die größten Herausforderungen? Und wie können Verantwortliche damit umgehen? Im folgenden Rückblick auf das Jahr 2024 und Ausblick auf das Jahr 2025 gehen wir auf diese Fragen ein.
Eine Analyse der Herausforderungen bei der Umsetzung des Datenschutzes – genauer: der Datenschutz-Grundverordnung (DS-GVO) – und entsprechende Lösungsansätze finden sich beispielsweise im 2. Bericht der EU-Kommission über die Evaluation der DS-GVO, der 2024 veröffentlicht wurde. So sollen unter anderem die Leitlinien des Europäischen Datenschutz-Ausschusses (EDSA) verständlicher und praxisorientierter gestaltet werden. Die aktuelle Leitlinie des EDSA für kleine und mittlere Unternehmen erfüllt diese Anforderungen bereits – eine Entwicklung, die zu begrüßen ist.
Solche Hilfestellungen sind auch dringend notwendig: Eine Vielzahl von europäischen Rechtsakten, die im Zuge der europäischen Digitalstrategie verabschiedet wurden oder noch werden, sind zu beachten. 2024 fanden erstmals die Vorschriften des Digital Services Act (DSA) Anwendung, der auf nationaler Ebene durch das Digitale-Dienste-Gesetz (DDG) und das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) umgesetzt wurde (wir haben hier darüber berichtet). Die KI-Verordnung, die den Einsatz von künstlicher Intelligenz regelt, trat ebenfalls in Kraft. Erste Vorschriften aus der KI-Verordnung sind bereits ab dem 02. Februar 2025 anzuwenden (mehr dazu findest du in diesem Beitrag). Es fällt selbst ausgewiesenen Expertinnen und Experten schwer, den Überblick über die Umsetzungsfristen, Pflichten und Wechselwirkungen der zahlreichen Rechtsakte zu behalten. Und auch, wenn die DS-GVO dem Gesetzestext nach in den europäischen Rechtsakten oft „unberührt“ bleibt, kommt der Datenschutz bei der Verarbeitung personenbezogener Daten immer mit ins Spiel. An dieser Stelle darf jedoch nicht außer Acht gelassen werden, dass die Regelungen auch zum Ziel haben, einen einheitlichen Rechtsrahmen zu schaffen und die Digitalisierung dadurch zu fördern (z.B. durch den geplanten European Data Health Space, EDHS).
Doch nicht nur die europäischen Rechtsakte, sondern auch die Entscheidungen des Europäischen Gerichtshofes (EuGH) waren und sind von großer Relevanz: So bestätigte der EuGH beispielsweise in mehreren Urteilen 2024 seine weite Auslegung von Gesundheitsdaten, was in der Praxis regelmäßig zu Problemen führt. Verantwortliche sollten daher immer prüfen, ob die verarbeiteten Daten möglicherweise Gesundheitsdaten darstellen, da in diesem Fall strengere Anforderungen gelten.
In Folge der europäischen Rechtsakte und Rechtsprechung ist der nationale Gesetzgeber an verschiedenen Stellen gefordert, nachzubessern. Doch einige dringend erforderliche Neuregelungen stehen nach wie vor aus, was zusätzlich für Rechtsunsicherheit sorgt: So bleibt beispielsweise zu hoffen, dass die längst überfällige Neuregelung des Beschäftigendatenschutzes in der nächsten Legislaturperiode endlich umgesetzt wird. Auch die Umsetzungsgesetze zur zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit („NIS-2-Richtlinie“) und zur KI-Verordnung stehen 2025 an. Mehr Informationen zur NIS-2-Richtlinie und zur Informationssicherheit findest du in unserem separaten Rück- und Ausblick zum Thema.
Du siehst, viele Herausforderungen aus dem Jahr 2024 werden uns auch 2025 weiter beschäftigen – und neue hinzukommen. Es ist beispielsweise fraglich, ob das Abkommen zwischen den USA und der EU (EU.-US. Data Privacy Framework) weiter Bestand haben wird. Es ist Grundlage für den Angemessenheitsbeschluss der EU-Kommission, der den Transfer von personenbezogenen Daten in die USA gemäß Art. 45 DS-GVO ohne weitere Vorkehrungen ermöglicht. Verantwortliche sind gut beraten, sich auf dieses Risiko einzustellen.
Politik, staatliche Institutionen und Aufsichtsbehörden sind hingegen gefordert, ihren zugewiesenen Handlungsspielraum zu nutzen, den Datenschutz durch klare Regelungen, eine einheitliche Auslegung und gute Kommunikation zu verbessern. Dies gilt für die DS-GVO, aber auch andere Rechtsakte wie die KI-Verordnung.
Und wie können Verantwortliche diese Herausforderungen nun bewältigen?
Eine gut aufgestellte Datenschutz-Organisation ist die Grundlage: Auf dieser Basis ist es nicht nur möglich, die Pflichten aus der DS-GVO zu erfüllen, sondern auch Synergie-Effekte mit Verpflichtungen aus anderen Vorschriften zu realisieren – zum Beispiel bei den Schulungspflichten. Es ist wichtig, Datenschutz im Kontext zu betrachten, möglichst praktikabel umzusetzen und bei den aktuellen Entwicklungen auf dem Laufenden zu bleiben. Dann klappt es auch mit dem guten Image.
Wir helfen dir dabei!