„Alle Jahre wieder…“ – So beginnt eines der wohl schönsten und bekanntesten Kinderweihnachtslieder. Außerdem ist es mittlerweile auch gute Tradition geworden, dass wir im Dezember einen kurzen Rückblick auf das vergangene Jahr werfen, also eben auch alle Jahre wieder. Im ersten Teil unseres Jahresrückblick 2025 wollen wir uns den Monaten Januar bis Juni 2025 widmen. Neben unseren Einzelbeiträgen spazieren wir natürlich über das gesamte Jahr hinweg durch die Datenschutz-Grundverordnung.
Januar
In den ersten Januartagen des Jahres sorgten allem vorab zwei Urteile für Aufsehen. In seinem Urteil vom 8. Januar 2025 hat das Gericht der Europäischen Union (EuG) die Europäische Kommission aufgrund einer rechtswidrigen Datenübermittlung in die USA (konkret an Amazon Web Services – AWS) zu einem Schadenersatz in Höhe von 400€ verurteilt (Rs. T-354/22). Zudem beschäftigte sich der Europäische Gerichtshof (EuGH) in seinem Urteil vom 9. Januar 2025 (Rs. C-394/23) mit dem berechtigten Interesse nach Abwägung (Art. 6 Abs. 1 UAbs. 1 lit f) DS-GVO) sowie mit den Anschlussfragen, in welchem Umfang über die Interessenabwägung informiert werden muss und welche Auswirkungen eine fehlende Information auf die Datenverarbeitung hat. Mit dem zweiten Urteil haben wir uns hier auseinandergesetzt.
Während die Evaluierung der Datenschutz-Grundverordnung noch auf sich warten lässt, gab es bereits eine Reform des Datenschutzes der evangelischen Kirche, über die wir berichtet haben. Allerdings sei noch erwähnt, dass die EKD-Synode bereits im November 2024 beschlossen und mit Wirkung zum 1. Mai 2025 ihre Wirkung entfaltet hat.
Abseits von den inhaltlichen Themen war im Januar dieses Jahres für die Datenschutzwelt vor allem das Ableben von Jürgen Taeger ein zentrales und trauriges Thema. Wir haben in unserem Block ebenfalls einen Nachruf verfasst.
Februar
Im Februar gab es mal wieder Anlass sich mit den Fragen rund um Datentransfers in die USA und konkret mit dem EU-U.S. Data Privacy Framework hier und hier zu beschäftigten. Daneben spielte auch der Evergreen, die E-Mail-Verschlüsselung eine Rolle. Schuld ist das Urteil des Oberlandesgericht (OLG) Schleswig-Holstein vom 18. Dezember 2024 (Az. 12 U 9/24). Das OLG entschied in der Sache, dass die Sicherheitsmaßnahmen (hier: Transportverschlüsselung) nicht für den konkreten Fall der E-Mail-Kommunikation angemessen und ausreichend gewesen sei. Alles zum Nachlesen in unserem Beitrag.
März
Wie derzeit die Politik, beschäftigen auch wir uns mit der Rolle des Datenschutzbeauftragten (DSB). In unserem ersten Beitrag widmen wir uns der Vertraulichkeit des DSB. Hintergrund: Gemäß Art. 38 Abs. 5 DS-GVO ist der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Doch was bedeutet das konkret? Die Antwort gibt es hier. Anschließend gehen auch wir der Frage nach: Was wird aus der Pflicht zur Benennung eines Datenschutzbeauftragten? Die Frage ist für die Umsetzung des Datenschutzrechtes in den verantwortlichen Stellen äußert praxisrelevant.
Die Informationssicherheit kommt bei uns keines Falles zu kurz. Wir befassen uns mit den Anforderungen der Informationssicherheit auf Auslandsreisen und setzen uns mit dem Fakt auseinander, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) nunmehr als Zertifizierungsstelle nach dem (Rechtsakt zur Cybersicherheit), auch „Cybersecurity Act“ (CSA) fungiert.
In einem weiteren Beitrag betrachten wir eine Schnittstelle zwischen IT-Sicherheit und Datenschutz, konkret welche Erlaubnisnorm trägt, wenn die Umsetzung technischer und organisatorischer Maßnahmen – z. B. nach der NIS-2-Richtlinie – die Verarbeitung personenbezogener Daten fordert. Außerdem hat auch die Sächsische Datenschutz-Aufsichtsbehörde ihren Tätigkeitsbericht für das Jahr 2024 im März veröffentlicht, welchen wir natürlich auch in einem Beitrag betrachtet haben.
April
Im April knüpfen wir an das Thema der Verarbeitung personenbezogener Daten zur Sicherstellung von IT-Sicherheit bzw. Datensicherheit an. Dieses Mal richten wir mit unserem Beitrag den Blick auf Art. 32 DS-GVO.
Wie eingangs bereits angeteasert steht auch eine Reform der Datenschutz-Grundverordnung in Rede. Mit Blick auf die lange Entstehungsgeschichte, wurde in Fachkreisen immer wieder spekuliert, die Europäische Kommission habe in Bezug auf die DS-GVO Angst, die Büchse der Pandora zu öffnen. Doch zwischenzeitlich scheint die Europäische Kommission erkannt zu haben, dass die fortschreitende Digitalregulierung in der Europäischen Union sich zu einem Standortproblem entwickeln könnte. Dass die DS-GVO in den kommenden Jahren eine Anpassung erfährt, wird demnach immer wahrscheinlicher.
Mai
In Fortsetzung der Beiträge aus März und April befassen wir uns auch im Mai mit dem Thema der Sicherheitsanforderungen als Rechtspflicht, der Beitrag befasst sich mit weitergehenden Fragen rund um Art. 32 DS-GVO. Ebenso schauen wir bei Art. 6 Abs. 1 DS-GVO schauen wir einmal genauer hin und fragen uns: Was steht eigentlich in Art. 6 Abs. 1 UAbs. 2 DS-GVO? Diese Norm kann ebenfalls Auswirkungen im Bereich IT- und Cybersicherheit für öffentliche Stellen bzw. Behörden haben.
Juni
Ein anderes datenschutzrechtlich sehr bedeutsames und für die Praxis relevantes Thema adressieren wir im Juni: Anforderungen bei dem Einsatz von KI-Systemen – in einem ersten Beitrag „Datenschutzrechtliche Transparenzanforderungen bei Nutzung von KI“. Neben den Transparenzanforderungen nach der KI-Verordnung kann auch die Datenschutz-Grundverordnung spezifische Regelungen zur Transparenz im Zusammenhang mit einem Einsatz Künstlicher Intelligenz bereithalten. Art. 13 Abs. 2 lit. f) DS-GVO normiert die Bereitstellung von aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer automatisierten Entscheidungsfindung.
Eine weitere für die Praxis bedeutende Norm ist Art. 82 DS-GVO. Hier wird der datenschutzrechtliche Schadenersatzanspruch normiert. So kann es möglicherweise Schadenersatz wegen verspäteter Auskunftserteilung geben.
Last but not least widmet sich ein Beitrag einem Urteil zu Cookie-Banner und Google Tag Manager des Verwaltungsgerichtes Hannover (VG Hannover, Urt. v. 19.3.2025, Az. 10 A 5385/22). In dem Urteil trifft das Gericht konkrete Aussagen zur Ausgestaltung von Lösungen zum Einwilligungsmanagement auf Internetseiten („Cookie-Banner“) sowie zur Einwilligungsbedürftigkeit des Google Tag Manager.
… und in der kommenden Woche geht es weiter mit unserem Jahresrückblick mit den Monaten Juli bis Dezember 2025!
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
