Welche Themen werden Verantwortliche in den Bereichen Datenschutz, Informationssicherheit und künstliche Intelligenz (KI) im Jahr 2025 besonders beschäftigen? Was sind die größten technischen, rechtlichen und organisatorischen Herausforderungen? Wo werden die Aufsichtsbehörden besonders hinschauen? Welche neuen Anforderungen ergeben sich durch aktuelle Gerichtsurteile?
Experten von activeMind geben ihre Einschätzungen ab und wagen ihre persönliche Prognose für Datenschutz, Informationssicherheit und künstliche Intelligenz im Jahr 2025.
Jure Globocnik
Wirtschaftsjurist
„Die Regulierung künstlicher Intelligenz wird klarer – und KI macht Legal Tech real.“
Unternehmen entwickeln oder verwenden zunehmend Tools, die auf künstlicher Intelligenz (KI) basieren. Derzeit begleiten wir zahlreiche derartige Vorhaben unserer Kunden. Die wohl größte Herausforderung dabei ist es, stets eine Lösung zu finden, die einerseits die Rechte und Freiheiten der Betroffenen schützt und den Datenschutz einhält – und andererseits Innovationen fördert und für die involvierten Unternehmen praktikabel bleibt. Das wird auch im Jahr 2025 prägend sein.
Die vielen Meldungen und Orientierungshilfen der Aufsichtsbehörden, die mittlerweile veröffentlicht wurden, dienen uns dabei als eine wichtige Auslegungshilfe. So wird die Regulierung dieses technologisch so schnell voranschreitenden Gebietes langsam deutlich.
Nach langen Verhandlungen ist im Sommer 2024 zudem die KI-Verordnung (AI Act) als das weltweit erste Gesetz zur Regulierung von KI in Kraft getreten. Unternehmen aus aller Welt lassen nun prüfen, ob sie dem AI Act unterliegen und welche Auswirkungen dies auf sie hat. Das ist auch höchste Zeit, denn ein Teil des AI Acts (verbotene Praktiken) ist bereits ab dem 2. Februar 2025 anwendbar.
KI ändert aber auch unsere Arbeit als Datenschützer. Mithilfe von KI lassen sich zunehmend Auftragsverarbeitungs-Verträge prüfen, Regelungsdokumente automatisiert sichten oder gar Entwürfe solcher Dokumente erstellen. Außerdem kann KI uns Datenschutzexperten bei der Erstellung von Verzeichnissen von Verarbeitungstätigkeiten und bei der Gewährleistung ausreichender technischer und organisatorischer Maßnahmen unter die Arme greifen. Davon werden wir im neuen Jahr sicherlich noch mehr sehen.
Dr. Evelyne Sørensen
Wirtschaftsjuristin
„Datentransfers in die USA sind gerade möglich. Aber wer weiß wie lange noch?“
Seit dem 10. Juli 2023 gilt der neue Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework (DPF), welcher Datentransfers in die USA neu regelt. Die Übermittlung personenbezogener Daten aus der EU an US-Unternehmen, die den DPF-Zertifizierungsprozess durchlaufen haben, sind also ohne weitere Datenschutzmaßnahmen möglich.
Der Europäische Datenschutz-Ausschuss (EDSA) zeigt in einem Bericht vom 4. November 2024, dass der Datenschutz im transatlantischen Bereich noch Verbesserungsbedarf hat. Auch wenn das DPF eine gute Grundlage für sichere Datenübermittlung bietet, bleiben die effektive Überwachung in den USA und der Schutz der Rechte von EU-Bürgern weiterhin eine große Herausforderung.
Somit bestehen weiterhin Zweifel, ob sich das Datenschutzniveau für EU-Bürger in den USA grundsätzlich verbessert hat. Der Angemessenheitsbeschluss steht auf wackligen Füßen. Insbesondere bleibt spannend, ob das DPF einer Überprüfung durch den Europäischen Gerichtshof standhalten kann.
Michael Plankemann
Rechtsanwalt
„Das NIS2-Umsetzungsgesetz lässt auf sich warten. Aber dass es viel zu tun gibt, ist schon klar.“
Deutschland hat die Frist zur Umsetzung der NIS2-Richtlinie am 17. Oktober 2024 verpasst. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) liegt weiterhin nur als Entwurf vor, welcher sich auch in der aktuellsten Version noch heftiger Kritik aus Expertenkreisen ausgesetzt sieht. Vor allem die eigentlich zentrale Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist in der Gesamtbetrachtung noch unklar und es wird befürchtet, dass hiermit Unsicherheiten und Umsetzungsschwierigkeiten angelegt werden. Auch die für nachgeordnete Behörden vorgesehenen Ausnahmen sorgen für Erstaunen. Es ist in der Tat nicht nachvollziehbar, warum bestimmte Behörden im Bereich der Cybersicherheit zurückfallen können sollen.
Für Unternehmen und andere nichtstaatliche Organisationen werden sich aber voraussichtlich keine weiteren Überraschungen mehr ergeben. Deren Pflichten stehen offenbar fest. Im Ergebnis müssen ein taugliches Managementsystem errichtet und geeignete Maßnahmen ergriffen werden, welche sich mit den relevanten Cyberrisiken auseinandersetzen und diesen wirksam begegnen. Unterm Strich wird es für sehr viele Organisationen keinen wesentlich anderen Weg geben, als sich an den Vorgaben der ISO 27001 zu orientieren und ein angemessenes ISMS aufzubauen.
Es bestehen strenge Meldepflichten mit sehr kurzen Fristen und für einige Organisationen wird es auch eine Pflicht zur Registrierung geben. Das Management wird deutlich stärker in die Verantwortung und Haftung genommen.
Achtung: Nach verpasster Frist gilt die Richtlinie in Deutschland nun allerdings unmittelbar, soweit bereits klare und eindeutige Regelungen enthalten sind, die keiner Interpretation mehr durch das nationale Recht bedürfen. Dies bestehende Unklarheit ist unbefriedigend und wie schnell eine neue Regierung mit dem Erlass eines Gesetzes ist, bleibt abzuwarten.
Nicole Quirke
Juristin
„Beim Whistleblowing könnten bald wieder Änderungen anstehen!“
Gut ein Jahr nach Inkrafttreten des Hinweisgeberschutzgesetzes (HinSchG) veröffentlichte die EU-Kommission am 3. Juli 2024 den ersten Bericht über die Umsetzung der EU-Whistleblower-Richtlinie. Der Bericht würdigt u.a. die nationale Umsetzung der Richtlinie in den einzelnen Mitgliedstaaten, führt aber auch aus, dass es Schwachstellen gibt, zum Beispiel im sachlichen Anwendungsbereich, bei den Schutzvoraussetzungen für Hinweisgeber und bei den Maßnahmen gegen Sanktionen und den Maßnahmen zum Schutz gegen Repressalien.
Zudem kritisiert die EU-Kommission, dass einzelne Mitgliedsstaaten (wie auch Deutschland) eine sogenannte Konzernlösung gestatten, wonach Unternehmensgruppen unabhängig von der Beschäftigtenanzahl eine gemeinsame interne Meldestelle einrichten können. Die aus Unternehmenssicht praktikable und ressourcensparende Lösung widerspräche jedoch dem Ziel der Whistleblowing-Richtlinie, wonach es sicherzustellen ist, dass potentielle Hinweisgeber die Meldestelle ohne Umwege nutzen können.
Eine Überprüfung der Richtlinie ist laut EU-Kommission spätestens im Jahr 2026 angedacht. Inwiefern dadurch in Zukunft auch mit Änderungen des HinSchG zu rechnen ist, bliebt also abzuwarten. Schon jetzt sollten Unternehmensgruppen den Kritikpunkt bzgl. der Einrichtung der Meldestelle auf Konzernebene beachten und sicherstellen, dass Meldewege für potentielle Hinweisgeber leicht auffindbar sind und ohne Hürden genutzt werden können.
Christian Wegeler
Wirtschaftsjurist
„Durchsetzung des Datenschutzes wird sich weiter auf den privaten Bereich verlagern.“
Dass die Aufsichtsbehörden für den Datenschutz chronisch überlastet sind, ist seit Inkrafttreten der DSGVO bekannt und weiterhin Tatsache. Proaktives Ungemach droht von den Behörden meist nicht, dafür sind diese zu sehr damit ausgelastet, sich um Beschwerden und andere Vorgänge zu kümmern, deren Bearbeitung das Gesetz vorschreibt.
Bereits seit längerem lässt sich aber feststellen, dass Risiken immer mehr aus privater Richtung entstehen. Diverse Vereinigungen fordern die Beachtung von Datenschutzvorschriften auch über Klagen ein. Vor allem aber werden sich betroffene Personen immer mehr der Hebel bewusst, die der Datenschutz bietet und sind aus unterschiedlichen Beweggründen auch zunehmend bereit, diese Hebel einzusetzen. Die teils sehr verbraucherfreundliche bzw. datenschutzfreundliche Interpretation von Vorgaben durch Behörden und Gerichte verlängert besagte Hebel sogar noch. Wir werden daher voraussichtlich damit rechnen müssen, dass insbesondere die folgenden Fragen künftig häufiger beantwortet werden müssen:
- Werden eingesetzte Auftragsverarbeiter tatsächlich sorgfältig ausgewählt, korrekt beauftragt und dann auch laufend sorgfältig kontrolliert?
- Kommen Verantwortliche auch bei komplexeren Auftragsverarbeitungen mit möglicherweise vielen Subdienstleistern wirklich all ihren Pflichten nach und dies auch ausreichend transparent? Besonders Auskunftsverlangen, die offensichtlich häufiger vor allem deswegen gestellt werden, um Aufwand zu verursachen, könnten durch entsprechende Fokussierung auf Ketten von Empfängern nochmals deutlich unangenehmer werden; erst recht, wenn in diesem Zusammenhang zwingend weitere Problembereiche offengelegt werden müssen. Die allermeisten Organisationen dürften erhebliche Schwierigkeiten haben, irgendetwas Sinnvolles über die Beauftragung und Kontrolle eines bestimmten dritten oder vierten Subdienstleisters sagen zu können und auf welcher Basis hier gegebenenfalls Daten über Landesgrenzen hinweg übertragen wurden, was das Ergebnis einer Risikobetrachtung war und welche zusätzlichen Maßnahmen ergriffen wurden.
- Was praktisch aus der sehr extensiven Stellungnahme des europäischen Datenschutzausschusses zur Interpretation der ePrivacy-Richtlinie wird, muss sich zeigen. Auch hier wäre es aber wohl naiv, dass sich bestimmte Kreise die damit sehr eingeschränkten Möglichkeiten zur Reichweitenanalyse nicht zu Nutze machen.
- Einzig im Bereich der Massenklagen dürfte es zu zumindest keiner weiteren Verschärfung kommen. Die Ansätze durch einzelne Rechtsberater, Datenschutzverstöße zu kommerzialisieren und mögliche Betroffene mit der Aussicht auf teils hanebüchene Schadensersatzsummen zu ködern, bestehen klar und die mögliche Zahl von Betroffenen kann ein empfindlicher Multiplikator für im einzelnen betrachtet verschmerzbare Summen werden. Die Rechtsprechung fordert aber richtigerweise deutlich mehr als eine Standardklage per Serienbrief mit pauschaler Begründung. Der im Einzelfall notwendige Vortrag erzeugt allerdings einen Aufwand, bei dem sich das Modell von Massenklagen möglicherweise schnell nicht mehr rechnet. Hiermit ist aber ausdrücklich nicht gesagt, dass eine wohlbegründete Klage im Einzelfall nicht durchaus Erfolg haben kann und wird.
Martin Röleke
Rechtsanwalt
„Das Beschäftigtendatengesetz steht in den Startlöchern – und könnte trotzdem scheitern“
Für das lang geplante Beschäftigtendatengesetz (BeschDG) liegt seit Oktober 2024 ein Referentenentwurf vor. Dieser bringt zahlreiche neue Herausforderungen für Arbeitgeber, beispielsweise durch erweiterte Pflichten bei der Erforderlichkeitsprüfung und Stärkung der Arbeitnehmerrechte bei der Nutzung von KI-Systemen.
Teils werden in der Praxis länger diskutierte Fragen im BeschDG verankert, wodurch vereinzelt mehr Rechtssicherheit geschaffen wird. Allerdings überwiegt die Umsetzungslast für Arbeitgeber gegenüber den erweiterten Schutzmaßnahmen zugunsten der Beschäftigten, sollte das Gesetz in dieser Form verabschiedet werden.