Jahresrückblick im Datenschutz 2025

Das Jahr 2025 war auch im Datenschutz ein Jahr voller neuer Herausforderungen und Anpassungen.

Inhaltsverzeichnis

Ansprüche an den Datenschutz steigen auch durch neue Technologien

Das Jahr im Datenschutz geht zu Ende und es ist Grund genug für uns an dieser Stelle noch einmal einen Blick auf unterschiedliche Entwicklungen zurückzuwerfen.

Vor allem die rasante Entwicklung im Bereich Künstlicher Intelligenz (KI) und KI-Verordnung (KI-VO oder AI Act) haben Unternehmen und Organisationen jeglicher Branchen und Größen dabei auch im Datenschutz vor neue Herausforderungen gestellt.

Auswirkung von KI auf den Datenschutz

Gerade die unterschiedlichen neue KI-Systeme, die immer mehr auch in den Arbeitsalltag von Unternehmen und Organisationen Einzug halten, stellen auch für den Datenschutz insofern eine Herausforderung dar, dass sie die Anpassung an Anforderung und Umsetzung des Datenschutzes immer wieder erweitern.

Bei der Einführung von neuen Systemen muss daher auch immer die Einhaltung des Datenschutzes geprüft werden und die Sicherheit für personenbezogene Daten erhöht werden.

KI-VO umsetzen

Seit Februar 2025 müssen Unternehmen und Organisationen die in der neuen EU-KI-Verordnung (KI-VO, auch AI Act genannt) festgelegte Schulungspflicht umsetzen. Diese Verordnung regelt den rechtssicheren und verantwortungsvollen Umgang mit Künstlicher Intelligenz stufenweise. Bereits jetzt verpflichtet die KI-VO alle Anbieter und Betreiber von KI-Systemen dazu, ihre Mitarbeiter angemessen zu schulen.

Die KI-VO ist das erste umfassende Regelwerk der EU zum Einsatz von Künstlicher Intelligenz und stellt den Schutz personenbezogener Daten betroffener Personen in den Mittelpunkt. Sie verbietet unter anderem Systeme, die auf manipulativen Techniken oder unzulässigen Bewertungen persönlicher Eigenschaften beruhen, sowie bestimmte Praktiken zur biometrischen Erfassung und zur Vorhersage künftiger Straftaten mittels Profiling. Ziel ist es, neue Risiken und Gefahren im Zusammenhang mit KI-Anwendungen zu begrenzen.

Schulungspflicht laut KI-VO

Die Verordnung unterscheidet klar zwischen Anbietern und Betreibern von KI-Systemen: Anbieter entwickeln oder vertreiben KI-Systeme, während Betreiber diese im betrieblichen Kontext anwenden. Beide Gruppen sind verpflichtet, dafür zu sorgen, dass sämtliche Mitarbeitende, die mit KI arbeiten, über die erforderliche Kompetenz im Umgang mit diesen Systemen verfügen. Ein konkretes Niveau dieser „KI-Kompetenz“ wird zwar nicht exakt definiert, die Verantwortung liegt aber eindeutig bei Unternehmen und Organisationen.

Werden KI-Lösungen im Unternehmen genutzt, ist eine gezielte Schulung der Mitarbeitenden unerlässlich. Nur so lässt sich sicherstellen, dass diese Systeme verantwortungsvoll, gesetzeskonform und datenschutzgerecht eingesetzt werden. Unternehmen müssen daher interne Abläufe anpassen und für eine nachweisbare Qualifikation ihrer Teams im Bereich Künstliche Intelligenz sorgen.

BLOG-TIPP: KI-VO SCHULUNGSPFLICHT – DATENSCHUTZ UMSETZEN

Cyber-Attacken, Bußgelder und Schadensersatz

Auch das Jahr 2025 machte deutlich, dass Cyberattacken weiterhin auch ein großes Problem für den Datenschutz darstellen. Die Zahl der Angriffe steigt weiterhin und trifft alle Unternehmen und Organisationen unabhängig von Branchen und Größen. Die IT-Sicherheit ist daher weiterhin ein wichtiger Baustein, um den Datenschutz umzusetzen.

Bußgelder und Schadensersatz-Ansprüche kommen auf den Schaden, welcher durch Angriffe verursacht wird, noch obendrauf, so dass diese eine große Belastung für Verantwortliche werden kann.

BLOG-TIPP: ERNEUTE CYBER-ATTAKE AUF STADT IN NRW

Mitarbeiterschulungen und Awareness

Viele Angriffe auf Daten und somit auf personenbezogene Daten und Betroffene werden durch Phishing, Social Engineering oder andere Angriffe erste möglich, aber auch durch unzureichende Updates von Systemen oder den unsachgemäßen Umgang mit Daten.

Mitarbeiterschulungen und Awareness im Umgang mit den Vorgaben im Datenschutz stellen daher weiterhin eine wichtige Maßnahme zur Umsetzung des Datenschutzes dar. Dies wurde auch 2025 weiterhin deutlich.

BLOG-TIPP: DATENSCHUTZ PRAKTISCH UMSETZEN – WARUM DIE MITARBEITER DABEI SO WICHTIG SIND

Neuerungen der GoBD-Richtlinien 2025

Die GoBD („Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“) geben klare Vorgaben für die digitale Buchführung von Unternehmen und Organisationen. Ziel ist es, eine vollständige, richtige, zeitgerechte, geordnete und unveränderbare Dokumentation aller steuerrelevanten Daten sicherzustellen. Seit 2020 wurden die Richtlinien mehrfach überarbeitet – zuletzt 2025 –, um aktuelle Entwicklungen insbesondere im Bereich der Digitalisierung und elektronische Rechnungsstellung zu berücksichtigen.

Die GoBD gelten für sämtliche Unternehmen, Freiberufler und Organisationen, die steuerlich relevante Informationen elektronisch erfassen oder speichern. Zu den wichtigsten Anforderungen zählen die Nachvollziehbarkeit und Nachprüfbarkeit von Geschäftsvorfällen, die Unveränderbarkeit und Vollständigkeit der Daten sowie deren zeitgerechte Erfassung und sichere Aufbewahrung. Eine saubere Dokumentation der eingesetzten Systeme, Abläufe und Sicherungsmaßnahmen ist Pflicht.

Im Zuge der letzten Anpassungen erhielten insbesondere elektronische Dokumente und E-Rechnungen ein stärkeres Gewicht: Sie müssen im Originalformat revisionssicher archiviert werden; für strukturierte XML-Dateien bei der E-Rechnung entfällt die Pflicht zur zusätzlichen bildhaften Kopie, sofern alle gesetzlichen Vorgaben erfüllt sind. Die technischen und organisatorischen Prozesse rund um die Archivierung, Prüfung und Bereitstellung von Daten – etwa beim mittelbaren Datenzugriff für Betriebsprüfungen – wurden für mehr Klarheit und Rechtssicherheit präzisiert.

Für Unternehmen bedeutet das: Sie müssen ihre IT-Systeme, Buchhaltungsprozesse und Verfahrensdokumentationen regelmäßig überprüfen und auf den neuesten Stand bringen. Die Mitarbeitenden sollten in neue Prozesse und Systeme eingebunden und geschult werden, damit sämtliche Anforderungen an die GoBD-Compliance eingehalten werden und Schwachstellen im digitalen Buchführungsprozess vermieden werden.

BLOG-TIPP: NEUERUNGEN DER GOBD-RICHTLINIEN 2025

Automatisierte Verarbeitung

Die Datenschutz-Grundverordnung (DS-GVO) gibt betroffenen Personen zahlreiche Rechte, um sie bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Besonders Artikel 22 DS-GVO nimmt Unternehmen und Organisationen in die Pflicht, wenn es um automatisierte Entscheidungen einschließlich Profiling geht. Demnach dürfen Entscheidungen, die rechtliche Wirkung entfalten oder Betroffene erheblich beeinträchtigen, nicht ausschließlich automatisiert getroffen werden. Ein menschliches Eingreifen und die Überprüfung solcher Entscheidungen sind verpflichtend vorgesehen, um Benachteiligungen und Intransparenz zu verhindern.

BLOG-TIPP: AUTOMATISIERTE ENTSCHEIDUNGEN UND PROFILING UND DER DATENSCHUTZ

Keine automatisierte Einzelentscheidungen

Automatisierte Einzelentscheidungen sind laut DS-GVO grundsätzlich verboten, sofern keine expliziten Ausnahmen greifen. Zulässig sind sie lediglich, wenn sie für einen Vertragsabschluss notwendig sind, die betroffene Person ausdrücklich eingewilligt hat oder nationale beziehungsweise unionsweite Regelungen dies unter bestimmten Voraussetzungen erlauben. Unternehmen müssen dabei sicherstellen, dass Betroffene transparent über die automatisierte Entscheidungsfindung informiert werden, eine Überprüfung durch eine natürliche Person verlangen können sowie weitere Rechte wie Widerspruch oder Korrektur wahrnehmen dürfen.

Für eine praxisgerechte Umsetzung sind Unternehmen gefordert, alle eingesetzten Algorithmen und Entscheidungsprozesse nachvollziehbar zu dokumentieren sowie technische und organisatorische Schutzmaßnahmen zu etablieren. Darüber hinaus sollten Mitarbeiter und Betroffene regelmäßig geschult werden, um Datenschutzverstöße auszuschließen und die Rechte der Betroffenen zu stärken. Insbesondere bei risikobehafteten Verfahren wie automatisierten Entscheidungen oder Profiling ist die Durchführung einer Datenschutz-Folgenabschätzung vorgeschrieben, damit Risiken im Vorfeld erkannt und minimiert werden.

KI wird auch in 2026 eine wichtige Rolle spielen

Bei der derzeitigen Entwicklung werden neue Technologien, wie KI und KI-gestützte Systeme auch 2026 eine wichtige Rolle im Datenschutz spielen. Dabei wird es wichtiger den je sein, alle nötigen Maßnahmen regelmäßig zu überprüfen und anzupassen, um den Datenschutz ausreichend umzusetzen.

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.

Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot. Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

Markiert in
Teilen auf
Dennis Manz
Dennis Manz

Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.

Ähnliche Beiträge

Anfrage