Gerade jetzt, in der Woche des Datenschutzes (27.–31. Januar), wird eines klar: Datenschutz ist weit mehr als ein administratives Muss – er ist ein Schlüssel zu Vertrauen und langfristigem Erfolg.

Tatsächlich gehen Datenschutz und Datensicherheit Hand in Hand mit Cybersicherheit. Wichtige Gesetze wie die Datenschutz-Grundverordnung (DSGVO) unterstreichen nicht nur die Notwendigkeit, die Datenschutzrechte Ihrer Kunden zu wahren, sondern auch ihre sensibelsten personenbezogenen Daten (PII) durch modernste Technologien wie Verschlüsselung zu schützen. Kampagnen wie die Data Privacy Week sind mehr als nur jährliche Veranstaltungen ­ sie sollten als Aufforderung zum Handeln verstanden werden, um Datensicherheit und Datenschutz zu einer Priorität zu machen.

Das vergangene Jahr hat eindrucksvoll gezeigt, wie ernst Behörden und Gerichte den Datenschutz nehmen. Neue Gesetze, wichtige Gerichtsurteile und neue Technologie- und Bedrohungstrends setzen die Rahmenbedingungen für 2025.

Was geschah im Jahr 2024?

Einige empfindliche Geldstrafen und Vergleiche

Dazu gehören:

  • 310 Mio. EUR DSGVO-Bußgeld für LinkedIn, weil das Unternehmen es versäumt hatte, von den Nutzern eine formelle Zustimmung zur Verarbeitung von Daten Dritter einzuholen.
  • 294 Mio. EUR DSGVO-Bußgeld für Uber wegen unzureichender Sicherung der in den USA gespeicherten Fahrerdaten.
  • Eine DSGVO-Geldbuße in Höhe von 91 Mio. EUR für Meta wegen der Speicherung von Nutzerpasswörtern im Klartext.
  • Ein Vergleich in Höhe von 1,4 Milliarden Dollar zwischen Meta und dem Bundesstaat Texas wegen der unrechtmäßigen Erhebung und Verwendung biometrischer Daten von Bürgern.

Wichtige Gerichtsentscheidungen

Bedeutende Entscheidungen des Gerichtshofs der Europäischen Union (EuGH) werden große Auswirkungen auf die in der EU tätigen Organisationen haben. Dazu gehören:

  • Die Rechtssache Lindenpotheke, in der der EuGH entschied, dass Unternehmen ihre Konkurrenten wegen Verstößen gegen die DSGVO nach dem Recht des unlauteren Wettbewerbs verklagen können. Mit demselben Urteil wurde die Definition von Gesundheitsdaten erweitert.
  • Das Urteil in der Rechtssache C-621/22, in dem der EuGH das „berechtigte Interesse“ als Rechtsgrundlage für die Verarbeitung personenbezogener Daten klarstellte, sofern die Unternehmen strenge Datenschutzmaßnahmen einhalten.

Weitere Gesetze zur Cybersicherheit

Im Jahr 2024 wurden unter anderem folgende Gesetze verabschiedet oder weiterentwickelt:

  • Die NIS2-Richtlinie, durch die mehr Organisationen der kritischen Infrastruktur strengeren Cybersicherheitskontrollen unterworfen werden und deren Geltungsbereich auch Unternehmen der Lieferkette einschließt. 
  • Der Cyber Resilience Act (CRA), der eine Reihe strenger Sicherheitsanforderungen für in der Region verkaufte Hard- und Software vorschreibt
  • Der Cyber Solidarity Act (CSA), der den Mitgliedstaaten dabei helfen soll, groß angelegte Bedrohungen der Cybersicherheit besser zu erkennen, sich darauf vorzubereiten und darauf zu reagieren.Globale KI-Governance-Bemühungen

Dazu gehören:

Wenn Sie mehr darüber erfahren möchten, wie Ihr Unternehmen bestimmte Vorschriften einhalten kann, besuchen Sie die Seite Cybersecurity Compliance for Businessvon ESET .

Was können Sie für 2025 erwarten?

Die Auswirkungen vieler dieser Ereignisse werden bis 2025 und darüber hinaus spürbar sein. Neue Gesetze und längerfristige Trends in der Bedrohungslandschaft erhöhen bereits jetzt die Komplexität und Dringlichkeit für Sicherheits- und Compliance-Teams. Bereiten Sie sich vor auf:

Mehr Datenschutzgesetze

In den letzten Jahren wurden zahlreiche neue Datenschutzgesetze auch außerhalb der EU verabschiedet, darunter das kanadische C-27-Gesetz, die britische Data (Use and Access) Bill und nicht weniger als acht Datenschutzgesetze auf US-Bundesstaatenebene in Delaware, Iowa, Nebraska, New Hampshire, New Jersey, Tennessee, Minnesota und Maryland. Insgesamt werden diese Maßnahmen dazu beitragen, das Bewusstsein für Datenschutzrechte zu schärfen und diese Rechte gesetzlich zu verankern, und sie werden den Weg für die Durchsetzung der Vorschriften ebnen. Das Endergebnis wird höchstwahrscheinlich sein, dass der Druck auf die Compliance-Teams und die Unternehmensleitung zunimmt, die Datenschutzmaßnahmen zu verbessern.

Mehr Durchsetzung

Es ist auch zu erwarten, dass die Aufsichtsbehörden ihre Muskeln spielen lassen, wenn die 2024 verabschiedeten Gesetze greifen und verschiedene Anforderungen in Kraft treten. Das EU-KI-Gesetz sieht zum Beispiel vor:

  • Ein Verbot von KI-Systemen, die unannehmbare Risiken darstellen (einschließlich Social Scoring und ungezieltes Scraping von Gesichtsdaten), ab dem 2. Februar, 
  • Anforderungen an KI-Modelle für allgemeine Zwecke, die am 2. August in Kraft treten und die Entwickler von generativer KI (GenAI) dazu verpflichten, systemische Risiken zu bewerten und zu mindern sowie Cybersicherheitsmaßnahmen zu dokumentieren.

Mehr Bedrohungen und mehr Datenschutzrisiken

In 2023 erreichten die öffentlich gemeldeten Datenschutzverletzungen in den USA ein Rekordniveau, wobei über 353 Millionen Endnutzer von Identitätsdiebstahl betroffen waren. KI-Tools, gestohlene Zugangsdaten und dienstleistungsbasierte Angebote werden sich im Untergrund der Cyberkriminalität weiter ausbreiten. Es ist mit einer Flut von relativ ausgefeilten Cyberangriffen zu rechnen, die unvorbereitete Sicherheitsteams überraschen könnten. Insbesondere GenAI wird die Qualität von Social-Engineering-Kampagnen und das Aufspüren von verwundbaren und ungeschützten IT-Ressourcen verbessern.

Unternehmen, die es versäumen, ihre Sicherheitsvorkehrungen im Einklang mit bewährten Verfahren zu verbessern, laufen Gefahr, von den Datenschutzbehörden weltweit unter die Lupe genommen zu werden.

Bedrohungsakteure machen sich neue Gesetze zunutze

Wie nach der Einführung der Datenschutz-Grundverordnung könnten Cyberkriminelle die Androhung rechtlicher Maßnahmen nutzen, um ihre Opfer durch Erpressung zur Zahlung zu zwingen. NIS2-Strafen könnten beispielsweise bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen. Es ist auch möglich, dass Cyberkriminelle ihre Aufmerksamkeit auf Organisationen richten, die nicht unter die Richtlinie fallen. Dies gilt beispielsweise für kleinere Unternehmen.

KI schafft Herausforderungen für die Einhaltung von Datenschutzbestimmungen

KI-Systeme müssen mit riesigen Datenmengen trainiert werden. Manchmal stammen diese Daten aus dem Internet, manchmal aus bestehenden Kundenkonten. Dies kann zu potenziellen Datenschutzproblemen führen, wenn die Zustimmung nicht eindeutig eingeholt wurde (wie LinkedIn im Vereinigten Königreich feststellte). Undurchsichtige KI-Systeme können es Unternehmen auch erschweren, personenbezogene Daten zu löschen oder zu korrigieren, wenn sie von den Nutzern dazu aufgefordert werden. Mehrere US-Bundesstaaten arbeiten bereits an KI-Gesetzen nach dem Vorbild von Colorado.

Was ist als nächstes zu tun?

Vor diesem Hintergrund könnte 2025 ein entscheidendes Jahr für Sicherheits- und Compliance-Teams werden. Stellen Sie sicher, dass Sie dem Spiel voraus sind, indem Sie:

  • · Behalten Sie den Überblick über relevante regulatorische und gesetzliche Änderungen und verstehen Sie die Compliance-Anforderungen, die für Ihr Unternehmen gelten. 
  • · Verbessern Sie die Datensicherheit in Übereinstimmung mit den Best Practices der Branche.
  • Stellen Sie sicher, dass die Datenverantwortlichen im Unternehmen klar identifiziert sind, und ein solides Berichtssystem einrichten, das die Rollen und Verantwortlichkeiten aller Beteiligten festlegt.
  • Führen Sie vor der Einführung neuer Produkte oder Dienstleistungen (z. B. eines neuen KI-Tools) eine Datenschutz-Folgenabschätzung (DPIA) durch und implementieren Sie auf der Grundlage der DPIA angemessene Schutzmaßnahmen.
  • · Überwachen Sie die Leistung, überprüfen Sie die Sicherheitsprotokolle und gehen Sie Bereiche an, die Aufmerksamkeit erfordern.

Datenschutz kann oft als Belastung empfunden werden. Er sollte jedoch als Chance gesehen werden. Er bietet Ihrem Unternehmen die Möglichkeit, die Loyalität und das Vertrauen Ihrer Kunden zu stärken und das Risiko finanzieller und rufschädigender Verstöße zu verringern. Betrachten Sie das Jahr 2025 aus diesem Blickwinkel, und die nächsten 12 Monate könnten Ihnen die Tür zu neuen Geschäftsmöglichkeiten öffnen.