2025 war ein Jahr, das Compliance-Verantwortliche spürbar auf Trab gehalten hat. Mehrere neue Regelwerke traten in Kraft oder wurden konkretisiert – allen voran im Bereich Künstliche Intelligenz und Informationssicherheit. Parallel dazu sorgten Urteile sowie hohe Bußgelder für Sichtbarkeit und Handlungsdruck. Die Anforderungen an Verantwortliche wurden dadurch weiter verschärft – bei gleichzeitig steigender Erwartung nach Effizienz und rechtssicherer Digitaltransformation.
Mit diesem Blogbeitrag schauen wir zurück auf wichtige Entwicklungen des Jahres 2025 – und wagen einen Ausblick auf das, was Unternehmen 2026 erwartet.
Inhalte in diesem Beitrag
Viertes Bürokratieentlastungsgesetz (BEG IV)
Urteil zur Cookie-Einwilligung
Urteil zur Verwendung von Nutzerdaten für KI-Training
Urteil zur Informationspflicht nach Art. 14 DSGVO
Rechtswidrige Datenverarbeitung und schwache Authentifizierung
Neue Gesetze in 2025
Viertes Bürokratieentlastungsgesetz (BEG IV)
Pünktlich zum 1. Januar 2025 trat ein Gesetz in Kraft, das den Datenschutz auf den ersten Blick nicht wirklich tangierte – das Vierte Bürokratieentlastungsgesetzes (BEG IV). Bei näherer Betrachtung lenkte es jedoch mit der Anpassung der gesetzlich vorgeschriebenen Aufbewahrungsfristen für Buchungsbelege von zehn auf acht Jahre den Blick auf ein meist unliebsames, aber wichtiges Thema: Das Löschkonzept. Ein schöner Anlass, bestehende Konzepte noch einmal zu überprüfen, anzupassen oder endlich zu finalisieren.
KI-Verordnung
Im Februar und August 2025 traten erste Regelungsabschnitte der KI-Verordnung (AI Act) in Kraft. Besonders relevant war die Einführung konkreter Verbote (etwa manipulativer KI) und transparenzbezogener Pflichten. Für alle Unternehmen kam außerdem eine neue Schulungspflicht für Mitarbeitende hinzu, die mit KI-Systemen arbeiten.
Damit wurde endgültig klar: Der Einsatz von KI ist nicht länger ein rein technisches Innovationsthema, sondern es rückt zunehmend in den Compliance- und Managementbereich hinein. Daher haben viele Unternehmen im vergangenen Jahr interne Richtlinien zum Einsatz von KI eingeführt.
„Digitaler Omnibus“
Zugleich gab es Bewegung in der europäischen Digitalpolitik: Mit einem im November 2025 vorgelegten Entwurf eines Rechtsänderungspakets – informell als „digitaler Omnibus“ bezeichnet – plant die Europäische Kommission Anpassungen an mehreren bereits geltenden Gesetzen. Darunter finden sich Änderungen an der Datenschutz-Grundverordnung, dem AI Act sowie an Regelungen zum Tracking und zur Verarbeitung nicht-personenbezogener Daten im Kontext des Data Acts. Ziel ist laut der EU-Kommission eine Vereinfachung und Vereinheitlichung.
NIS2-Richtlinie
Zum Jahresende wurde außerdem das nationale Umsetzungsgesetz zur NIS2-Richtlinie beschlossen. Jedoch reagierten IT- und Informationssicherheitsverantwortliche schon deutlich früher auf die verschärften Sicherheitsanforderungen: Unternehmen überarbeiteten ihre Risikoanalysen, erweiterten ihre Meldeprozesse und dokumentierten Schutzmaßnahmen gezielter – nicht zuletzt aufgrund gestiegener Anforderungen durch interne Revision und Geschäftspartner.
Gerichtsurteile in 2025
Neben neuen Gesetzen gab es im Jahr 2025 auch einige gerichtliche Entscheidungen, die in datenschutzrechtlichen Fragestellungen für Klarheit sorgten.
Urteil zur Cookie-Einwilligung
Im März 2025 bestätigte das Verwaltungsgericht Hannover klare Anforderungen an die Gestaltung von Cookie-Bannern auf Websites. Kritisiert wurde im konkreten Fall ein Cookie-Banner eines Verlagshauses, bei dem Nutzerinnen und Nutzer durch visuelle Gestaltungselemente gezielt zur Zustimmung gedrängt wurden. Auf erster Ebene befanden sich nur die Möglichkeiten, zuzustimmen oder zu den Einstellungen zu wechseln. Damit wurde der „Zustimmen“-Button hervorgehoben und die Ablehnungsoption hinter mehrere Klicks versteckt. Das Gericht sah darin eine unzulässige Beeinflussung der Entscheidungsfreiheit („Nudging“) und stellte klar: Eine freiwillige Einwilligung im Sinne der DSGVO liegt nur vor, wenn Auswahloptionen gleichwertig präsentiert werden.
Ein weiterer zentraler Punkt betraf den Einsatz des Google Tag Managers: Nach Auffassung des Gerichts handelt es sich bei dessen Verwendung nicht um eine technisch zwingend erforderliche Maßnahme im Sinne von § 25 Abs. 2 TDDDG. Weder diene der Einsatz unmittelbar der Bereitstellung eines vom Nutzer ausdrücklich gewünschten Dienstes, noch sei er für das technische Funktionieren der Website notwendig. Vielmehr verfolge der Einsatz vorrangig das Interesse der Websitebetreiber, Drittanbieterdienste komfortabel zu verwalten und Skripte zentral zu steuern.
Das Gericht betonte, dass die Integration externer Inhalte nicht zwingend über den Google Tag Manager erfolgen müsse – eine direkte Einbindung über eigene Skripte oder der Einsatz datenschutzschonender Alternativen sei technisch ohne Weiteres möglich.
Für Unternehmen ergibt sich daraus eine klare Konsequenz: Cookie-Management muss fair und transparent ausgestaltet sein – ohne versteckte Auswahlhürden oder manipulatives Design. Die Überprüfung bestehender Consent-Management-Tools wurde damit wiederholt ein Pflichtpunkt auf der Datenschutz-Agenda.
Urteil zur Verwendung von Nutzerdaten für KI-Training
Im Mai 2025 traf das Oberlandesgericht Köln im Eilverfahren eine Entscheidung zum Einsatz öffentlich geteilter Nutzerdaten für das Training großer KI-Sprachmodelle (LLMs). Im Mittelpunkt stand die Frage, ob ein Plattformbetreiber wie Meta personenbezogene Inhalte, die von Nutzerinnen und Nutzern öffentlich in sozialen Netzwerken gepostet wurden, ohne ausdrückliche Einwilligung für das Training von KI-Modellen verwenden darf.
Das Gericht betonte in seiner Entscheidung, dass die Verarbeitung öffentlich zugänglicher Beiträge (z. B. Kommentare, Fotos, Videos) grundsätzlich auf das berechtigte Interesse nach Art. 6, Abs 1. lit. f) DSGVO des Unternehmens gestützt werden könne. Kern der Betrachtung war damit die hierfür erforderliche Interessenabwägung. Nach Auffassung des Gerichts hatte Meta dabei glaubhaft gemacht, dass es keine andere sinnvolle Alternative gebe, um ihre Interessen ebenso wirksam zu erreichen.
Nutzerinnen und Nutzer, die Inhalte öffentlich sichtbar posten, müssten außerdem mit einer weiteren Verarbeitung und bestimmten Formen der Nutzung rechnen – insbesondere, wenn Plattformbetreiber dies rechtzeitig transparent machen und Widerspruchs- sowie Schutzmöglichkeiten einräumen.
Die Entscheidung verdeutlicht, dass sich im Spannungsfeld zwischen Datenschutzgrundsätzen und Trainingsbedarf moderner KI-Modelle neue Auslegungen etablieren könnten. Ob sich die Kölner Linie auch in späteren Verfahren oder vor dem EuGH durchsetzen wird, bleibt abzuwarten.
Urteil zur Informationspflicht nach Art. 14 DSGVO
Das Bundesarbeitsgericht (BAG) bestätigte am 5. Juni 2025 ein bereits im April 2024 vom Landesarbeitsgericht Düsseldorf gefälltes Urteil. Im konkreten Fall ging es um eine Internetrecherche zu einem Bewerber.
Aus dem Urteil ging hervor, dass Internet-Recherchen zu Bewerbern grundsätzlich zulässig seien, wenn ein konkreter Anlass besteht und ein unmittelbarer Bezug zur Eignung der Stelle vorliegt. Zur anlasslosen Recherche äußerte sich das Gericht nicht. Im Fall des öffentlichen Dienstes durfte eine (nicht rechtskräftige) Betrugsverurteilung zur Eignungsprüfung herangezogen werden. Unabhängig davon seien jedoch die Informationspflichten nach Art. 14 DSGVO strikt einzuhalten.
Wegen unzureichender Information sprach das Gericht dem Betroffenen 1.000 Euro immateriellen Schadensersatz zu. Das BAG, das in zweiter Instanz urteilte, schloss sich diesem Urteil an. Damit steigt die Bedeutung systematischer Informationspflichten in HR- und insbesondere Bewerbungsprozessen.
Bußgelder in 2025
In 2025 gab es zwei besonders hohe Bußgelder für Konzerne, aus denen aber auch kleinere Unternehmen lernen können. Die folgenden zwei Urteile dienten im vergangenen Jahr als Anreiz, Verträge mit Dienstleistern und die zugehörige Dokumentation noch einmal zu überprüfen und nachzubessern – insbesondere bei Datenübermittlungen in Drittländern.
Unzulässiger Datentransfer
Die irische Datenschutzbehörde verhängte ein Rekordbußgeld von 530 Mio. Euro gegen TikTok wegen unzureichend abgesicherter internationaler Datentransfers nach China – trotz Standardvertragsklauseln und Transfer Impact Assessment. Der Fall zeigt: Formale Verträge reichen bei Drittlandübermittlungen ohne echte Schutzmechanismen nicht aus.
Rechtswidrige Datenverarbeitung und schwache Authentifizierung
Ein deutsches Telekommunikationsunternehmen musste außerdem 45 Mio. Euro Bußgeld zahlen – wegen rechtswidriger Datenverarbeitungen durch Partneragenturen und gravierender Schwächen in der Authentifizierung, die Kontoübernahmen durch Unbefugte ermöglichten.
Ausblick auf 2026 – Konsolidierung und neue Chancen
Viele der regulatorischen Veränderungen der letzten Monate entfalten 2026 erstmals Wirkung in der Praxis oder treten endgültig in Kraft. Insbesondere im Bereich der Künstlichen Intelligenz müssen ab diesem Jahr weitere zentrale Artikel der KI-Verordnung beachtet werden – darunter Regelungen zum Risikomanagement, Registrierung und Nachweispflichten für sogenannte Hochrisiko-KI. Unternehmen, die KI-Lösungen zur Auswahl, Bewertung oder Steuerung einsetzen, werden künftig noch detailliertere Risikoanalysen und Transparenzmechanismen umsetzen müssen.
Ein weiteres Augenmerk liegt auf der konkreten Ausgestaltung der NIS2-Anforderungen durch die nationalen Aufsichtsbehörden. Viele Details zu Meldepflichten und -fristen, technischen Mindeststandards und Zuständigkeiten können erst jetzt – nach Inkrafttreten des Umsetzungsgesetzes – verbindlich bewertet und umgesetzt werden. Eine Priorität wird die stärkere Verankerung von Cybersicherheitsmaßnahmen und Vorfallreaktionsplänen auch in den verantwortlichen Fachbereichen sein, nicht nur in der IT.
Für Unternehmen könnten durch die vorgeschlagenen Anpassungen im Zuge des „digitalen Omnibus“ potenziell neue Gestaltungsspielräume entstehen, aber auch interne Koordinationsaufwände. Wann und welche Änderungen tatsächlich Umsetzung finden, bleibt in 2026 abzuwarten.
Spannend wird es auch hinsichtlich der Bestellpflicht der/des Datenschutzbeauftragten. Die Bundesregierung diskutiert aktuell, die Vorschrift zur Benennung eines Datenschutzbeauftragten (§ 38 BDSG) wegfallen zu lassen oder die Mitarbeiteranzahl, ab der die Bestellpflicht besteht, von 20 auf 50 anzuheben. Mit der Folge, dass viele Unternehmen künftig keinen Datenschutzbeauftragten mehr benennen müssten.
Datenschutzverbände und Fachkreise sehen diese Entwicklung kritisch. Denn auch wenn die Pflicht zur Benennung möglicherweise wegfällt, bleibt ein professionell strukturiertes Datenschutzmanagement unverzichtbar.
Was jetzt zu tun ist
Für Unternehmen ergibt sich nun die Notwendigkeit, bestehende Datenschutz- und Sicherheitsstrukturen an die neuen Rahmenbedingungen anzupassen. Zentrale Aufgaben sollten daher auch in 2026 folgende sein:
- Überarbeitung des Verzeichnisses von Verarbeitungstätigkeiten bei neuen, KI-gestützten Prozessen
- Aktualisierung von Richtlinien und Betriebsvereinbarungen, z. B. zum Einsatz intelligenter Systeme
- Intensivierung der Dienstleisterkontrolle – insbesondere hinsichtlich KI-gestützter Leistungen und Datentransfer in Drittländer
- Integration von NIS-2-relevanten Prozessen in das Datenschutz- bzw. Informationssicherheitsmanagement
Neben regulatorischer Pflicht rückt 2026 die Sicherheitskultur noch stärker in den Fokus: Schulungen und die Definition von Verantwortlichkeiten spielen eine Schlüsselrolle, um Datenschutz und IT-Sicherheit konsequent im Arbeitsalltag zu verankern. Dazu gehört die fortlaufende Mitarbeitersensibilisierung für Risiken beim Einsatz von KI-Tools, aber auch die Schulung der Geschäftsleitung und weiteren Führungskräften, um risikobasierte und informierte Entscheidungen zu treffen.
Compliance-Software für integrierte Managementsysteme
Die zunehmende Regulierung rund um Datenschutz, IT-Sicherheit und KI erfordert nicht nur Kompetenz, sondern vor allem Struktur. Manuelle Tabellen, dezentrale Ablagen oder isolierte Lösungen reichen 2026 nicht mehr aus, um Prozesse effizient und rechtskonform zu steuern. Gefragt sind integrierte Werkzeuge, die Anforderungen aus DSGVO, NIS-2 und dem AI Act vereinen.
Moderne, softwarebasierte Managementsysteme bieten genau diese Funktionen: Sie verbinden Dokumentation, Risikobewertung und Aufgabenverfolgung in einer zentralen Plattform. Damit wachsen Managementsysteme, die auf verschiedenen Gesetzen beruhen – wie Datenschutz und Informationssicherheit – in der Umsetzung zusammen.
Gerne begleiten wir Sie mit unserer Softwarelösung DPMS hin zu einem strukturierten Compliance-Management.
Testen Sie unsere Compliance-Software 14 Tage kostenlos oder vereinbaren Sie einen unverbindlichen Demo-Termin, wenn Sie sich für unser Paket „DPMS-Server“ interessieren.
👉 Beratungstermin vereinbaren
👉 Kostenlose Testphase für Unternehmen
👉 Kostenlose Testphase für externe Berater