Tätigkeitsberichte der Behörden 2025: Was sich ändert und worauf Sie achten müssen
Wir haben die aktuellen Tätigkeitsberichte der Datenschutzbehörden in Deutschland und Österreich aus dem Jahr 2025 analysiert und dabei sechs zentrale Themen identifiziert, die für Sie als kleines oder mittelständisches Unternehmen besonders wichtig sind.
1. Weniger Bürokratie bei der Dokumentation
Es gibt gute Nachrichten: Auf EU-Ebene wird daran gearbeitet, die bürokratischen Hürden für Sie zu senken. Die Europäische Kommission schlägt Vereinfachungen vor, die insbesondere eine Erleichterung Ihrer Aufzeichnungspflichten nach Art. 30 Abs. 5 DSGVO betreffen, also das Verzeichnis von Verarbeitungstätigkeiten.
Die Datenschutzbehörden unterstützen dieses Ziel, um Ihr Unternehmen konkret zu entlasten. Wichtig bleibt aber: Weniger Bürokratie bedeutet nicht weniger Verantwortung. Ihre wichtigsten Verarbeitungstätigkeiten, Dienstleister, Rechtsgrundlagen und Schutzmaßnahmen sollten weiterhin nachvollziehbar dokumentiert sein.
2. Hersteller in die Pflicht nehmen: Entlastung für Sie
Aktuell tragen Sie als Anwender die datenschutzrechtliche Verantwortung für die IT-Produkte, die Sie nutzen, obwohl Sie kaum Einfluss auf deren Technik oder Voreinstellungen haben.
Die Datenschutzkonferenz (DSK) fordert deshalb, dass Hersteller und Anbieter von IT-Diensten gesetzlich stärker in die Pflicht genommen werden. Wenn Hersteller Data Protection by Design wirksam umsetzen müssten, könnten Sie Standardlösungen unkomplizierter und rechtssicherer einsetzen. Das wäre eine substanzielle Entlastung für viele kleinere Unternehmen, die keine eigene große IT- oder Rechtsabteilung haben.
3. Die Bedrohung durch Cyberkriminalität
Ihr Unternehmen ist ein zunehmendes Ziel von Cyberkriminalität wie Ransomware-Angriffen und Phishing. Im Gegensatz zu Großkonzernen agieren Sie oft mit stark begrenzten IT-Ressourcen bei der Reaktion auf Vorfälle.
Das Fehlen von Log-Dateien und unzureichende Offline-Backups erschweren die Wiederherstellung nach einem Angriff massiv. Die Datenschutzbehörden reagieren darauf mit niedrigschwelligen Präventionsangeboten, etwa Projekten zur Stärkung der Cyberresilienz, um Ihre Datensicherheit zu verbessern.
Für Sie heißt das konkret: Prüfen Sie, ob Backups wirklich offline oder unveränderbar gespeichert werden, ob Wiederherstellungen getestet wurden und ob im Ernstfall klar ist, wer welche Entscheidung trifft.
4. Ihr Vorteil: Regionale Datenschutzaufsicht bleibt
Die Länderbehörden setzen sich in der politischen Debatte für die Beibehaltung föderaler Strukturen ein. Das kommt Ihnen zugute.
Als Teil der über 99 Prozent der Unternehmen in Deutschland, die KMU oder Freiberufler sind, profitieren Sie enorm von der Nähe, der Erreichbarkeit und der lokalen Expertise regional verankerter Datenschutzaufsichtsbehörden. Eine Zentralisierung würde Ihren Zugang zu niederschwelliger Beratung vor Ort erschweren.
5. Künstliche Intelligenz: Rechtsgrundlagen und Compliance
Beim Einsatz und Training von KI-Systemen in Ihrem Unternehmen stellen sich Fragen zu Rechtsgrundlagen und Compliance. Die Datenschutzbehörden berücksichtigen dabei Ihre wirtschaftlichen Entfaltungsmöglichkeiten, die auch in der neuen KI-Verordnung besonders betont werden.
Diskutiert wird unter anderem, inwiefern Sie sich auf das berechtigte Interesse berufen können, um personenbezogene Daten für KI-Training oder KI-gestützte Prozesse zu verarbeiten. Gleichzeitig sind Sie gefordert, sich frühzeitig mit neuen Pflichten vertraut zu machen, etwa der Schulung der KI-Kompetenzen Ihrer Beschäftigten.
Praktisch bedeutet das: Erfassen Sie, welche KI-Tools genutzt werden, welche Daten dort eingegeben werden, wer Ergebnisse prüft und welche Mitarbeitenden eine Einweisung benötigen.
6. Herausforderungen im Alltag: Betroffenenrechte und Webseiten-Compliance
Sie stoßen im operativen Alltag häufig auf technische und organisatorische Schwierigkeiten bei der DSGVO-Umsetzung. Betroffenenanfragen, etwa Auskunfts- oder Löschersuchen, werden bei kleineren Unternehmen oft von nicht ausreichend geschultem Personal oder direkt von der Geschäftsführung bearbeitet. Das führt schnell zu Fehlern und Beschwerden.
Auch Ihr Internetauftritt ist eine Hürde: Viele Unternehmen nutzen Baukastensysteme und haben technische Probleme, Vorgaben wie Cookie-Einwilligungen oder Transportverschlüsselung korrekt umzusetzen. Dadurch sind Sie stark mit komplexen Anforderungen an Tracking, Dokumentation und Drittanbieterintegration belastet.
Was Sie jetzt konkret tun sollten
Aus den Berichten ergibt sich kein Grund zur Panik, aber ein klarer Arbeitsauftrag. Besonders sinnvoll sind jetzt diese Schritte:
- Verzeichnis von Verarbeitungstätigkeiten prüfen und auf die wesentlichen Prozesse konzentrieren.
- IT-Dienstleister, Standardsoftware und Cloud-Dienste auf Datenschutzvoreinstellungen prüfen.
- Backups, Log-Dateien und Notfallabläufe für Cyberangriffe testen.
- KI-Nutzung im Unternehmen erfassen und Regeln für Eingaben, Prüfung und Freigabe festlegen.
- Betroffenenanfragen mit klaren Zuständigkeiten, Fristen und Vorlagen organisieren.
- Webseite auf Cookie-Einwilligungen, Tracking, Drittanbieter und Transportverschlüsselung prüfen.
Fazit
Die aktuellen Tätigkeitsberichte zeigen eine klare Richtung: Datenschutz soll für KMU praxistauglicher werden, bleibt aber ein Führungsthema. Ihr Unternehmen kann von weniger Bürokratie und stärkerer Herstellerverantwortung profitieren. Gleichzeitig wachsen die Anforderungen an Cyberresilienz, KI-Compliance, Betroffenenrechte und saubere Webseitenprozesse.
Wer diese Themen jetzt strukturiert angeht, reduziert Risiken und gewinnt zugleich Klarheit im Alltag.
Quellen und Orientierung
Weitere Informationen finden Sie bei der Datenschutzkonferenz (DSK), in der DSK-Entschließung DSGVO-Reform: IT-Hersteller in die Verantwortung nehmen, beim Tätigkeitsbericht der österreichischen Datenschutzbehörde sowie auf der EU-Seite zu KI-Kompetenz nach dem EU AI Act.