Nachdem wir uns in der vergangenen Woche im Rahmen des ersten Teils unseres alljährlichen Jahresrückblicks den Monaten Januar bis Juni gewidmet haben, werfen wir heute einen Blick auf die Monate Juli bis Dezember.
Juli
In den sommerlichen Tagen des Jahres wandten wir uns zunächst zwei relevanten Veröffentlichungen der Bundesnetzagentur sowie des Bundesverband IT-Sicherheit e. V. (TeleTrust) zu. Unter dem Titel „KI-Kompetenzen nach Artikel 4 KI-Verordnung“ veröffentlichte zunächst die Bundesnetzagentur ein Hinweispapier, welches wir im Rahmen unseres Blog-Beitrages „Bundesnetzagentur äußert sich zu KI-Kompetenz“ näher betrachteten. Weiterhin setzten wir uns aufgrund der aktualisierten Fassung der „Handreichung zum Stand der Technik in der IT-Sicherheit“ des TeleTrust mit der Begrifflichkeit des Standes der Technik sowie den wesentlichen Inhalten der Handreichung auseinander – nachzulesen in unserem Beitrag „Zum aktuellen Stand der Technik“.
Ebenfalls im Juli, genauer gesagt am 17. Juli 2025, entschied das Verwaltungsgericht Köln (Az. 13 K1419/23), dass das Bundespresseamt – entgegen des Bescheids des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), seine Facebook-Fanpage zu Zwecken der Öffentlichkeitsarbeit weiterhin betreiben dürfe. Die Hintergründe zum Verfahren und Urteil können in unserem Beitrag „Verwaltungsgericht Köln zu Facebook-Fanpages“ nachgelesen werden. Im August wurde gegen das Urteil Berufung eingelegt.
August
Weiter ging es im August mit der Einordnung von zahlreichen Veröffentlichungen der Datenschutzkonferenz. Hierbei thematisierten wir die „Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen“, die Entschließungen „Confidential Computing“ und „Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit“ sowie das Positionspapier „Datenschutz bei der Terminverwaltung durch Heilpraxen“, welches auch für andere Branchen eine gute Orientierung darstellen kann.
Auch das Ende Juli durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Whitepaper zu „Bias in der künstlichen Intelligenz“ stellten wir im Rahmen eines Blog-Beitrages vor.
September
Statt eines Herbstes der Reformen stand uns ein September der Urteilsbesprechungen bevor. Im Rahmen des Beitrages „Darf § 26 BDSG nun doch nicht mehr angewendet werden?“ ordneten wir zunächst das Urteil des Bundesarbeitsgerichts vom 8. Mai 2025 (8 AZR 209/21) ein und klärten die Frage, welche konkreten Auswirkungen das Urteil auf den Beschäftigtendatenschutz hat.
Anschließend widmeten wir uns der Entscheidung des Gerichts der Europäischen Union vom 3. September 2025 (T-553/23) hinsichtlich des Data Privacy Frameworks (DPF). Auch wenn dieses Urteil zunächst bestätigt, dass die USA zum Zeitpunkt des Erlasses des DPF ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten, wird hierdurch ebenfalls deutlich, dass mit zugrunde legen eines anderen zeitlichen Bezugspunktes hierzu jederzeit auch ein anderslautendes Urteil gefällt werden könnte. Insofern bleibt es bei dem bisherigen Resümee unserer Beiträge zu diesem Thema: Verantwortliche sollten sich zumindest einen möglichen Plan B ohne Data Privacy Framework zurechtlegen.
Und da aller guten Dinge bekanntlich drei sind, widmeten wir uns ebenfalls dem Urteil des Europäischen Gerichtshofs vom 4. September 2025 (C-413/23 P) bezüglich der Reichweite des Begriffs personenbezogener Daten. Ergebnis: Es lebe der relative Personenbezug! Im Rahmen einer Datenübermittlung kommt es beispielsweise entscheidend auf die Mittel an, welche potenziellen Empfängern zur Verfügung stehen, um bestimmten zu können, ob es sich um personenbezogene Daten handelt und damit auch für den Empfänger der Anwendungsbereich des Datenschutzrechts eröffnet ist – oder nicht.
Oktober
Der Cyber Resilience Act (CRA) ist nicht nur ein weiterer europäischer Rechtsakt, sondern die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Grund genug für uns, diesem Thema zu Beginn des Herbstes einen eigenen Blog-Beitrag zu widmen. Denn auch wenn die wesentlichen Anforderungen erst ab Dezember 2027 gelten, wird eine zentrale Norm des CRA bereits im Herbst 2026 anwendbar.
Weiter stellten wir die Inhalte einer vorläufigen Handreichung des BSI zur Schulungspflicht der Geschäftsleitung nach NIS2 dar. Grundlage hierfür bildet § 38 Abs. 3 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG): „Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.“ Welche konkreten Anforderungen sich hieraus für die Praxis ergeben, können Sie unserem Blog-Beitrag entnehmen.
November
Und sprachen wir im Oktober noch vom Entwurf des BSIG und verfolgten bis dahin den scheinbar nicht endenden Prozess zur Etablierung eines NIS2-Umsetzungsgesetzes, war es nun am 13. November 2025 endlich so weit: Der Bundestag verabschiedet die Umsetzung der NIS2-Richtlinie in Deutschland durch das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“.
Und auch bei uns stand der Monat November ganz im Zeichen der IT-Sicherheit und daran unmittelbar angrenzender Themenbereiche: Beginnend bei der Frage, was zu tun ist, wenn plötzlich das E-Mail-Konto kompromittiert ist und wie derartigen Fällen vorgebeugt werden kann, über die Broschüre des BSI zum Business Continuity Management für KMU, bis hin zur aktuellen Lage der IT-Sicherheit in Deutschland 2025.
Nahezu unbemerkt passierten in diesem November der IT-Sicherheit jedoch auch neue Verfahrensregelungen für die Durchsetzung der DS-GVO den Rat der Europäischen Union: Dieser verabschiedete am 17. November 2025 einen neuen Rechtsakt zur Beschleunigung der Bearbeitung grenzüberschreitender Datenschutzbeschwerden. Dieser wird 15 Monate nach Inkrafttreten und somit im ersten Quartal 2027 anwendbar.
Dezember
Aber fest steht auch: Dies wird nicht die letzte Änderung im Kontext der DS-GVO gewesen sein. Der digitale Omnibus, mit dem die Europäische Kommission in Bezug auf die Digitalregulierung deutlich zurückrudern möchte (eigentlich ein untypisches Verhalten für einen Omnibus), wird kommen. Wann und wie genau ist noch unklar. Was das konkret für die DS-GVO bedeuten könnte, thematisierten wir Anfang Dezember in unserem Blog-Beitrag „Warten bis der Bus kommt“.
Dem aber nicht genug. Wie aus einer Besprechung des Bundeskanzlers mit den Regierungschefinnen und Regierungschefs der Länder vom 4. Dezember 2025 hervorgeht, soll die Pflicht zur Benennung des Datenschutzbeauftragten gemäß § 38 Abs. 1 BDSG abgeschafft werden. In Maßnahme 160 heißt es hierzu: „Der Bund wird bis zum 31.12.2026 eine Aufhebung des § 38 Abs. 1 BDSG einbringen und damit die Pflicht zur Bestellung von Datenschutzbeauftragten im nichtöffentlichen Bereich auf die Regelung in Art. 37 DSGVO beschränken.“ Die Frage, ob diese Maßnahme tatsächlich zu einer Entbürokratisierung führt, kann bereits jetzt verneint werden.
Im Hinblick auf solche Entwicklungen kann das Jahr gar nicht schnell genug zu Ende gehen… In diesem Sinne beenden wir nun unseren Jahresrückblick für das Jahr 2025 und erwarten mit Spannung die Entwicklungen, die das kommende Jahr in den Bereichen Datenschutz und Informationssicherheit bereithalten wird. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als Leserinnen und Leser unseres Blogs auch in diesem Jahr begleitet und uns Feedback zu unseren Beiträgen gegeben haben.
Wir wünschen Ihnen nun ein besinnliches Weihnachtsfest im Kreise Ihrer Liebsten sowie
einen guten und gesunden Start in das Jahr 2026!
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
