Zum Inhalt springen Zur Navigation springen
Datenschutz – Jahresrückblick 2025 – Teil 2

Datenschutz – Jahresrückblick 2025 – Teil 2

Artikel von Anqi Chen·17. Dezember 2025

Weiter geht unsere Reise durch das Datenschutzjahr 2025. In diesem Teil blicken wir auf die Monate April bis Juni – eine Phase, in der europäische KI-Regulierung an Kontur gewann, Gerichte wichtige Akzente setzten und mehrere Entscheidungen weit über Einzelfälle hinaus Wirkung entfalteten. Vom KI-Rechtsrahmen über Rekordbußgelder bis hin zu Weichenstellungen im Online-Werbung: Wir fassen die wichtigsten Entwicklungen zusammen.

April – KI-Verbote, Trainingsdaten und Fragen der Anonymität

Die Umsetzung der KI-Verordnung wurde im April weiter vorangetrieben. Die Europäische Kommission hatte bereits im Februar Leitlinien zu den Verbotspraktiken nach Art. 5 KI-VO veröffentlicht. Das Büro für Künstliche Intelligenz, das mit der Begleitung der Implementierung beauftragt ist, erläuterte diese Regelungen im April in einem Webinar. Es wurde klargestellt, dass sich die Verbote nicht auf „verbotene KI-Systeme“ als solche beziehen, sondern auf bestimmte unzulässige Praktiken. Beispiele wie das Scraping von großer Menge an Gesichtsbildern zum Aufbau biometrischer Datenbanken verdeutlichen, wie KI-VO und DSGVO parallel greifen: Während die KI-VO bestimmte Nutzungsformen untersagt, knüpft die DSGVO an die Verarbeitung personenbezogener Daten an. Trotz unterschiedlicher Systematik führen beide Regelwerke häufig zu ähnlichen Ergebnissen.

Auch die Diskussion um die Nutzung personenbezogener Daten für Trainingszwecke von KI-Systemen gewann an Bedeutung. Viele Anbieter verwenden eingegebene Daten nicht nur zur Aufgabenerfüllung, sondern auch zur Weiterentwicklung ihrer Modelle – in der Regel ohne tragfähige Rechtsgrundlage. Weder eine Einwilligung noch ein berechtigtes Interesse greift hier verlässlich, und technische Maßnahmen wie Mandantentrennung oder Pseudonymisierung ersetzen keine Rechtmäßigkeit. Unternehmen müssen deshalb genau hinschauen, ob Trainingsprozesse deaktiviert sind und vertraglich klarstellen, dass personenbezogene Daten nicht in Modellupdates einfließen.

Beachtung fand zudem ein Urteil des OLG Hamburg zur Frage, ob Online-Marktplätze einen Gastzugang anbieten müssen. Das Gericht stellte klar, dass ein verpflichtendes Kundenkonto nicht generell gegen die DSGVO verstößt – vorausgesetzt, es ist für die Vertragsabwicklung erforderlich und die Datenverarbeitung bleibt auf das notwendige Maß beschränkt. Im entschiedenen Fall sah das OLG diese Erforderlichkeit gegeben, da ein erheblicher Teil der Bestellungen nicht mit dem Marktplatz selbst, sondern mit zahlreichen Dritthändlern abgewickelt wird und ein Kundenkonto den Prozess strukturell erleichtert. Ein Gastzugang ist damit kein Automatismus, doch Ausnahmen müssen gut begründet und datensparsam gestaltet sein. Der Europäische Datenschutzausschuss (EDPB) bestätigte später, dass eine Account-Pflicht nur in eng begrenzten Ausnahmefällen zulässig ist – etwa bei Abonnementmodellen. In den meisten Fällen müssen Händler weiterhin einen Einkauf ohne Registrierung ermöglichen. Diese Empfehlungen schärfen die Erforderlichkeitsprüfung und bestätigen die bislang von den Aufsichtsbehörden vertretene Linie.

Ebenfalls im April befassten wir uns erneut mit dem Thema Anonymität. Die DSGVO folgt eindeutig der relativen Theorie: Entscheidend ist, ob eine Re-Identifizierung mit „nach allgemeinem Ermessen wahrscheinlichen Mitteln“ möglich ist. Die aktuelle Rechtsprechung zu dynamischen IP-Adressen, Fahrzeug-Identifikationsnummern oder dem TC-String bestätigt diesen Ansatz, zeigt aber auch, wie komplex seine Anwendung in der Praxis ist. Anonymität ist daher keine feste Größe, sondern muss stets einzelfallbezogen und im Lichte technischer Entwicklungen neu bewertet werden.

Ein Urteil des OLG Köln sorgte für Aufmerksamkeit: Die bisher verbreitete Praxis von Auskunfteien, erledigte Zahlungsstörungen noch Jahre nach dem Forderungsausgleich zu speichern, hält das Gericht für problematisch. Ab dem Zeitpunkt des Tilgungsnachweises fehlt es an einer tragfähigen Rechtsgrundlage; die Daten sind zu löschen. Verbandsinterne Speicherregeln ändern daran nichts. Sollte sich diese Rechtsansicht durchsetzen, müssten Auskunfteien ihre Speicherpraxis grundlegend anpassen – mit erheblichen Auswirkungen für Verbraucher und die Branche.

Mai – KI-Kompetenz, globale Datentransfers und arbeitsrechtliche Fragen

Im Mai präzisierte die EU-Kommission erstmals, was Unternehmen unter „KI-Kompetenz“ im Sinne von Art. 4 KI-VO verstehen müssen. Der FAQ-Katalog definiert Mindestanforderungen an Wissen über Funktionsweise, Risiken und Einsatzkontexte von KI-Systemen – auch bei niedrigschwelligen Tools. Obwohl die Marktüberwachung erst 2026 beginnt, ist klar: Unternehmen müssen frühzeitig in Schulungen und klare Zuständigkeiten investieren.

Auch die Bundesrechtsanwaltskammer (BRAK) meldete sich zu Wort und forderte strikte Kennzeichnungspflichten für KI-generierte Inhalte – einschließlich privat oder ehrenamtlich erstellter Texte, Bilder und Deepfakes. Den Einsatz von Emotionserkennungssystemen bewertet die BRAK besonders kritisch; zugleich warnt sie vor missbräuchlicher Rechtsdurchsetzung.

Parallel dazu zeigte sich, wie anspruchsvoll der Einsatz von KI-gestützten Produktivitätstools im Unternehmensalltag ist. Microsoft Copilot greift über den Microsoft Graph auf sämtliche Inhalte zu, auf die Nutzer selbst Zugriff haben – von E-Mails über Dokumente bis hin zu Chats. Besonders kritisch sind Connected Experiences, Plugins sowie das Webinhalts-Plugin, bei denen Microsoft teilweise als eigener Verantwortlicher agiert und Datenverarbeitungen außerhalb des DPA stattfinden. Unklare Datenflüsse, fehlende Transparenz über Verarbeitungszwecke und schwache Berechtigungskonzepte können zu ungewollter Offenlegung sensibler Daten, fehlerhaften KI-Ausgaben oder sogar meldepflichtigen Datenschutzvorfällen führen. Unternehmen sollten daher strikte Berechtigungskonzepte, Purview-Labeling und klare Plugin-Restriktionen umsetzen.

Ebenfalls im Arbeitskontext geriet der Umgang mit Gesundheitsdaten in den Fokus. Das Arbeitsgericht Duisburg stellte klar – wenig überraschend –, dass bereits die Mitteilung „XY ist krank“ ein Gesundheitsdatum nach Art. 9 DSGVO darstellt. Ohne Rechtsgrundlage kann Schadensersatz auslösen. Arbeitgeber müssen daher genau prüfen, welche Abwesenheitsinformationen wirklich erforderlich und zulässig sind.

Ein zentrales Thema war zudem das Rekordbußgeld der irischen Datenschutzbehörde: 530 Mio. € gegen TikTok wegen unzulässiger Datenübermittlungen nach China. Obwohl SCCs abgeschlossen und TIA durchgeführt wurden, sah die Behörde kein mit der DSGVO vergleichbares Schutzniveau – insbesondere aufgrund weitreichender Zugriffsbefugnisse chinesischer Sicherheitsbehörden. Der Anbieter konnte trotz umfangreicher Sicherheitsprogramme nicht belegen, dass staatliche Zugriffe wirksam ausgeschlossen werden können. Der Fall zeigt: Für internationale Datentransfers reichen vertragliche Maßnahmen nicht aus, wenn das Drittlandsrecht die Schutzmechanismen faktisch unterläuft. Unternehmen müssen daher TIA-Ergebnisse ernst nehmen, zusätzliche Maßnahmen glaubhaft umsetzen und die Drittlandrisiken kontinuierlich prüfen.

Die von der DPC angeordneten Maßnahmen – einschließlich der Aussetzung der China-Übermittlungen – wurden im November jedoch vom Irish High Court vorläufig außer Vollzug gesetzt. Das Gericht sah die Gefahr eines irreparablen Schadens für das Unternehmen, sollte die Umsetzung vor Abschluss des Hauptverfahrens verlangt werden. Zugleich bewertete es das kurzfristige Risiko für die Grundrechte der EWR-Nutzer als gering. Auffällig ist die auferlegte Transparenzpflicht: Die Plattform muss sämtliche EWR-Nutzer über das laufende Verfahren informieren. Eine inhaltliche Überprüfung der DPC-Entscheidung steht weiterhin aus.

Juni – KI-Compliance weiterhin im Fokus, Online-Werbung unter Druck und Rekordbußgelder

Der Juni begann mit einem Paukenschlag: Das Brüsseler Marktgericht bestätigte die Datenschutzverstöße von TCF 2.0, dem zentralen Einwilligungsstandard der Online-Werbung. Obwohl die Branche inzwischen auf TCF 2.2 setzt, bleiben die grundlegenden Probleme bestehen. Transparenz, Einwilligungsqualität und Verantwortlichkeiten sind weiterhin unklar – und die Rechtslage damit alles andere als stabil. Für Publisher und Werbenetzwerke bedeutet das: Die Zukunft personalisierter Werbung bleibt unsicher.

Auch abseits von TCF blieb Online-Werbung ein Thema. Meta sorgte international für Aufmerksamkeit, nachdem in den USA erstmals Werbeanzeigen in WhatsApp eingeführt wurden. Zwar sollen diese vorerst nur im Status-Bereich erscheinen, doch erneut stellen sich Fragen zu Profilbildung, Tracking und den Einstellungen im Meta-Accounts-Center. Da ein direkter Opt-out nicht vorgesehen ist, dürfte eine Einführung in Europa zu weiteren datenschutzrechtlichen Diskussionen führen.

Wie hoch die Anforderungen an wirksame Einwilligungen inzwischen liegen, zeigte zudem das VG Hannover. Das VG Hannover stellte – wenig überraschend – klar, dass „Zustimmen“ und „Ablehnen“ im Cookie-Banner gleichwertig, sofort sichtbar und ohne zusätzliche Klicks erreichbar sein müssen. Jede Form des Nudging – etwa optische Hervorhebungen – beeinträchtigt die Freiwilligkeit und macht die Einwilligung unwirksam. Zudem dürfen technische Tools wie der Google Tag Manager erst nach einer aktiven Zustimmung geladen werden. Das Urteil reiht sich in eine Serie vergleichbarer Entscheidungen ein und verdeutlicht: Bei Cookie-Bannern gilt faktisch eine Null-Toleranz-Linie. Das muss natürlich nicht direkt zu einem Bußgeld führen, allerdings sollten Unternehmen vorgewarnt sein.

Für weitere Schlagzeilen sorgte ein neues Rekordbußgeld: Vodafone erhielt ein Bußgeld von 45 Mio. Euro – das höchste, das je in Deutschland verhängt wurde. Ausschlaggebend waren rechtswidrige Datenverarbeitungen in Partneragenturen, die zu manipulierten Verträgen führten, sowie gravierende Schwachstellen im Authentifizierungsverfahren, über die Angreifer Kunden-Accounts übernehmen konnten. Dass Vodafone das Bußgeld akzeptierte und unmittelbar zahlte, wertete die Aufsicht als kooperatives Verhalten.

KI-Compliance gehörte weiterhin zu den beherrschenden Themen. Die DSK veröffentlichte im Juni eine neue Orientierungshilfe zum datenschutzkonformen Einsatz von KI. Entlang der vier Projektphasen – Design, Entwicklung, Einführung und Betrieb – zeigt sie, wie die sieben Ziele des Standard-Datenschutzmodells praktisch umzusetzen sind: von klaren Regeln und dokumentierten Datenquellen über strikte Datenminimierung im Training bis hin zu datenschutzfreundlichen Voreinstellungen und laufender Qualitätskontrolle. Die Leitlinie macht deutlich: Datenschutz muss bei KI-Systemen von Anfang an technisch mitgedacht und während des gesamten Lebenszyklus aktiv überwacht werden.

Soweit Teil 2 unseres datenschutzrechtlichen Jahresrückblicks 2025. Morgen folgt der Rückblick auf Teil 3 – die Monate Juli bis September.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.