CLOSE

DE

Datenschutz 2025: Alles, was Unternehmen über die neuen Gesetze wissen müssen

In diesem Jahr treten bedeutende Änderungen im Datenschutzrecht in Kraft, die Unternehmen vor neue Herausforderungen stellen. Diese neuen Gesetze und Reformen betreffen sowohl den Umgang mit Unternehmensdaten als auch den Datenschutz von Beschäftigten. Wir werfen einen genaueren Blick auf die wichtigsten Änderungen: den Data Act, das Beschäftigtendatenschutzgesetz und die Reform des Bundesdatenschutzgesetzes (BDSG).

 

1. EU Data Act: Neue Regelungen für den fairen Zugang und die Nutzung von Daten

 

Vor dem EU Data Act gab es keine einheitliche Regelung auf EU-Ebene, die den Zugang zu und die Nutzung von nicht personenbezogenen Daten umfassend regelte. Unternehmen konnten Daten weitgehend proprietär behandeln, was zu Datensilos und eingeschränkter Datenverfügbarkeit führte.

Der EU Data Act, der ab dem 12. September 2025 anwendbar ist, zielt darauf ab, den Zugang zu und die Nutzung von Daten innerhalb der EU zu harmonisieren. Er verpflichtet Hersteller vernetzter Geräte, Nutzern den Zugriff auf die von ihnen generierten Daten zu ermöglichen. Zudem werden klare Regeln für das Teilen von Daten zwischen Unternehmen und öffentlichen Stellen etabliert, um Datenmonopole zu verhindern und Innovationen zu fördern. Die digitale Wirtschaft wächst rasant, und Daten sind zu einem zentralen Wirtschaftsgut geworden. Ohne klare Regelungen besteht die Gefahr von Datenmonopolen, die den Wettbewerb hemmen und Innovationen blockieren.

Das Gesetz umfasst nun mehrere wesentliche Änderungen:

 

  • Datenzugang und faire Nutzung: Bislang war der Zugang zu Daten oft durch unfaire Vertragsbedingungen und intransparente Vereinbarungen eingeschränkt. Ab 2025 gelten klare Regeln für den Zugang zu Daten in verschiedenen Sektoren (B2B, B2C und B2G). Unternehmen dürfen keine unangemessenen Entgelte für den Zugriff auf Daten erheben, und es wird ein Verbot unfairer Klauseln eingeführt. Dies soll verhindern, dass Unternehmen auf Daten zugreifen oder sie weitergeben, ohne klare und faire Bedingungen zu gewährleisten.
  • Cloud-Switching: Eine der wichtigsten Neuerungen betrifft die Cloud-Dienstleister. Der Data Act verpflichtet Anbieter, den Wechsel von einem Cloud-Dienst zu einem anderen zu erleichtern. Dies soll verhindern, dass Unternehmen in einem einzigen Anbieter „gefangen“ sind. Der Gesetzgeber setzt auf Interoperabilität und die Reduzierung von Barrieren, die den Wechsel zu anderen Anbietern verhindern könnten.

 

Handlungsempfehlung für Unternehmen:

Unternehmen sollten ihre aktuellen Verträge mit Cloud-Anbietern und Datendiensten überprüfen und sicherstellen, dass diese den neuen Regeln entsprechen. Achten Sie darauf, dass alle Vereinbarungen zu fairen Preisen und unter klaren Bedingungen abgeschlossen werden. Investieren Sie in Systeme, die den Datenzugriff und -transfer transparenter und effizienter gestalten.

 

2. Beschäftigtendatenschutzgesetz: Klarere Vorgaben zum Schutz von Beschäftigtendaten

 

Der Schutz von Beschäftigtendaten wurde bislang durch allgemeine Datenschutzgesetze wie die DSGVO und das BDSG geregelt. Spezifische Regelungen für den Beschäftigungskontext fehlten jedoch, was zu Rechtsunsicherheiten führte.

Nach ersten Eckpunkten im April 2023 wurde am 8. Oktober 2024 ein 84-seitiger Referentenentwurf für ein eigenständiges Beschäftigtendatenschutzgesetz (BeschDG) vom Bundesministerium für Arbeit und Soziales (BMAS) sowie dem Bundesministerium des Innern und für Heimat (BMI) vorgelegt.

Das neue Beschäftigtendatenschutzgesetz soll klare Vorgaben für den Umgang mit Arbeitnehmerdaten schaffen. Es sieht vor, die Transparenzpflichten der Arbeitgeber und die Einwilligung der Beschäftigten in die Datenverarbeitung zu regeln. Zudem sollen die Bedingungen für die Nutzung neuer Technologien wie Künstliche Intelligenz und Überwachungssysteme am Arbeitsplatz festgelegt werden. Besonders betont wird dabei der Schutz von Daten im Zusammenhang mit KI-Systemen und die Nutzung von Gesundheitsinformationen am Arbeitsplatz:

 

  • Datenverarbeitung: Arbeitgeber müssen sicherstellen, dass die Verarbeitung von Mitarbeiterdaten für spezifische, transparente Zwecke erfolgt. Die Sammlung von Gesundheitsdaten und die Durchführung von Gesundheitschecks unterliegen strengeren Regeln und sind nur in begrenztem Umfang zulässig.
  • Überwachung und Profiling: Der Einsatz von Überwachungsmaßnahmen wie Videoüberwachung oder GPS-Tracking wird nur unter sehr engen Voraussetzungen erlaubt. Auch das Profiling von Mitarbeitern, das oft in der Personalabteilung eingesetzt wird, unterliegt neuen, strengen Regelungen. Arbeitgeber müssen explizit darlegen, wie und warum diese Methoden angewendet werden, und die Mitarbeiter müssen ausdrücklich zustimmen.
  • KI-Transparenz: Eine der wichtigsten Neuerungen betrifft den Einsatz von Künstlicher Intelligenz (KI) am Arbeitsplatz. Arbeitgeber sind nun verpflichtet, ihre Mitarbeiter über den Einsatz von KI-Systemen zu informieren, insbesondere wenn diese Systeme Entscheidungen in Bezug auf die Beschäftigung treffen. Es müssen klare Informationspflichten bestehen, damit Mitarbeiter verstehen, wie ihre Daten verarbeitet werden.

 

Die Notwendigkeit dieser Änderungen ergibt sich aus der zunehmenden Verwendung von KI-Systemen am Arbeitsplatz und der wachsenden Sorge über den Missbrauch personenbezogener Daten.

 

Handlungsempfehlung für Unternehmen:

Obgleich es nach dem Ampel-Aus aktuell fraglich bleibt, ob und in welcher Form die Umsetzung des Gesetzes, zumindest in dieser Version, realisiert wird, sollten Unternehmen schon jetzt sicherstellen, dass alle Systeme zur Datenverarbeitung und Überwachung den neuen Datenschutzanforderungen entsprechen. Besondere Aufmerksamkeit gilt der transparenten Kommunikation mit Mitarbeitern über den Einsatz von KI. Regelmäßige Schulungen und Audits sind erforderlich, um die Compliance zu gewährleisten.

 

3. Reform des Bundesdatenschutzgesetzes (BDSG): Verschärfte Anforderungen für Unternehmen und Behörden

 

Das Bundesdatenschutzgesetz ergänzte die DSGVO und regelte spezifische nationale Datenschutzaspekte. Einige Bereiche blieben jedoch unklar oder unzureichend geregelt, was zu Interpretationsspielräumen führte.

Am 7. Februar 2024 hat das Bundeskabinett einen Gesetzentwurf zur Änderung beschlossen. Dieser Entwurf zielt darauf ab, die Durchsetzung des Datenschutzrechts zu verbessern und mehr Rechtssicherheit zu schaffen, insbesondere im Bereich des Scorings. Der Gesetzentwurf wurde am 15. Mai 2024 erstmals im Bundestag beraten und anschließend an die Ausschüsse überwiesen.

Die Änderungen würden verschärfte Anforderungen für Unternehmen und Behörden mit sich bringen. Erweiterte Rechenschaftspflichten verlangen von Unternehmen, die Einhaltung datenschutzrechtlicher Vorgaben nachzuweisen. Bei Verstößen drohen höhere Bußgelder. Zudem werden die Rechte der Betroffenen gestärkt, etwa durch erweiterte Ansprüche auf Datenlöschung und -übertragbarkeit.

 

Die Reform wird zahlreiche Änderungen bezüglich der Datenschutzpraktiken von Unternehmen und Behörden betreffen:

 

  • Datenschutzaufsicht: Die Datenschutzkonferenz (DSK) wird gestärkt und erhält erweiterte Befugnisse, um Unternehmen bei der Einhaltung der Datenschutzvorgaben besser zu unterstützen. Sie wird als Vertretungsorgan für die unabhängigen Datenschutzbehörden der Länder fungieren und damit eine zentralere Rolle spielen.
  • Schutz von Geschäftsgeheimnissen: Das neue Gesetz stärkt den Schutz von Geschäftsgeheimnissen. Unternehmen müssen sicherstellen, dass vertrauliche Unternehmensdaten vor unbefugtem Zugriff geschützt werden, auch im Hinblick auf externe Dienstleister und Partner.
  • Scoring-Vorgaben: Im Bereich des Scorings, insbesondere in der Kredit- und Bonitätsprüfung, werden die Vorgaben verschärft. Unternehmen müssen sicherstellen, dass ihre Scoring-Modelle datenschutzkonform sind und transparente, nachvollziehbare Methoden verwenden.
  • Erweitertes Auskunftsrecht: Betroffene Personen erhalten ein erweitertes Auskunftsrecht und können detailliertere Informationen über die Verarbeitung ihrer Daten verlangen. Unternehmen müssen sicherstellen, dass sie schnell und präzise auf Auskunftsanfragen reagieren können.

 

Handlungsempfehlung für Unternehmen:

Ähnlich wie beim Beschäftigtendatenschutzgesetz hat die Auflösung des Parlaments auch diese Reform temporär auf Eis gelegt. Unternehmen sollten dennoch ihre Datenschutzrichtlinien aktualisieren und sicherstellen, dass sie den neuen Anforderungen entsprechen, da auch die neue Bundesregierung sehr wahrscheinlich an diesem Projekt festhalten dürfte. Die Einführung eines umfassenden Datenschutz-Management-Systems, das auch die Sicherung von Geschäftsgeheimnissen und die Dokumentation von Scoring-Verfahren umfasst, bleibt somit unerlässlich.

 

Wie VinciWorks Ihnen helfen kann

Die Datenschutzgesetze 2025 stellen Unternehmen vor große Herausforderungen, vornehmlich in Bezug auf den Umgang mit neuen Technologien und den steigenden Anforderungen an die Transparenz und Fairness der Datenverarbeitung. Um sicherzustellen, dass Sie die neuen Vorschriften einhalten und gleichzeitig Ihre Geschäftsziele erreichen, ist es entscheidend, frühzeitig Maßnahmen zu ergreifen.

VinciWorks bietet spezialisierte Compliance-Kurse an, die Ihnen helfen, Ihre Datenschutzpraktiken zu verbessern und Ihre Mitarbeiter auf dem neuesten Stand der rechtlichen Anforderungen zu schulen. Unsere praxisorientierten Programme ermöglichen es Ihnen, Ihre Datenschutzrichtlinien und -verfahren schnell und effizient zu aktualisieren.

Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Sie bei der Umsetzung der neuen Datenschutzgesetze unterstützen können!

How are you managing your GDPR compliance requirements?

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

“In a world older and more complete than ours they move finished and complete, gifted with extensions of the senses we have lost or never attained, living by voices we shall never hear.”

Picture of James

James

VinciWorks CEO, VInciWorks

Spending time looking for your parcel around the neighbourhood is a thing of the past. That’s a promise.

How are you managing your GDPR compliance requirements?

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

How are you managing your GDPR compliance requirements?

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

GDPR added a significant compliance burden on DPOs and data processors. Data breaches must be reported to the authorities within 72 hours, each new data processing activity needs to be documented and Data Protection Impact Assessments (DPIA) must be carried out for processing that is likely to result in a high risk to individuals. Penalties for breaching GDPR can reach into the tens of millions of Euros.

Follow us

LinkedIn

YouTube

Phone

UK 020 8815 9308

Address

20 Grosvenor Place

London

SW1X 7HN

United Kingdom

Email

[email protected]

Experience Exceptional.

Contact us

Library

product

INDUSTRY

Resources

© 2025 VinciWorks

Learning that matters.

Software that works.

Explore
Request a demo

Follow us

LinkedIn
Youtube

Address

20 Grosvenor Place
London
SW1X 7HN
United Kingdom

Phone

UK 020 8815 9308

Email

[email protected]

Experience Excellence.

Contact us

Library

INDUSTRY

product

Resources

ABOUT US

© 2024 VinciWorks