Klarheit für Verantwortliche durch Praxishilfen und Stärkung der Rechte der Bürgerinnen und Bürger mit klaren Positionen der Datenschutzaufsichtsbehörden

Auch im Jahr 2025 waren der Europäische Datenschutzausschuss (EDSA) und die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK)  aktiv und produktiv darin, mittels Leitlinien, Positionierungen, Entschließungen und Orientierungshilfen den Schutz personenbezogener Daten zu stärken – insbesondere im Bereich neuer Technologien, wissenschaftlicher Forschung sowie zum Zusammenspiel der Datenschutz-Grundverordnung zu anderen Digital-Rechtsakten. Stets wird dabei das  Ziel verfolgt, Orientierung für die Verantwortlichen zu bieten und gleichzeitig den hohen Schutzstandard für die Datenschutz-Grundrechte der Bürgerinnen und Bürger in Europa aufrechtzuerhalten. 

Herausgehobene Beiträge des EDSA

Das Jahr 2025 ist als Transformationsjahr des Datenschutz- und Digitalrechts zu verstehen. Die in den vergangenen Jahren wirksam gewordenen Digitalrechtsakte wurden nunmehr durch die konkrete  Anwendung mit Leben gefüllt. Durch die Erarbeitung sogenannter „Interplay Guidelines“ schaffte der EDSA Klarheit zum Zusammenspiel, zu Überschneidungen und erforderlichen Abgrenzungen zwischen der Datenschutz-Grundverordnung und den Digitalrechtsakten. Zwei Leitlinien konnte der EDSA dieses Jahr fertigstellen: 

• Joint Guidelines on the Interplay between the Digital Markets Act and the General Data Protection Regulation vom 9. Oktober 2025 

  Die Leitlinien erläutern, wie die Pflichten des DMA – insbesondere für Gatekeeper – mit den Datenschutzanforderungen der DS-GVO zusammenwirken und tragen damit dazu bei, Maßnahmen zur Erfüllung des DMA – etwa im Bereich des Datenzugangs – im Einklang mit dem geltenden Datenschutzrecht umzusetzen.

• Guidelines 3/2025 on the Interplay between the DSA and the GDPR vom 12. September 2025 

  Die Leitlinien bieten Orientierung für Plattformen und andere Diensteanbieter, um Transparenz- und Moderationspflichten unter Wahrung datenschutzrechtlicher Grundsätze umzusetzen.

Fortentwicklung der Arbeitsweise des EDSA: Das Helsinki Statement vom 3. Juli 2025

In Helsinki hat der EDSA seine Arbeitsweise, die Praxistauglichkeit seiner Ergebnisse und den Austausch mit Stakeholdern unter die Lupe genommen und kam zu dem Ergebnis: Hier ist eine Fortentwicklung notwendig, um mit den aktuellen technologischen und regulatorischen Herausforderungen Schritt zu halten. The Helsinki Statement des EDSA bekennt sich zu mehr Klarheit, Unterstützung und Engagement. Es verfolgt dabei den klaren Grundrechtsansatz, dass Datenschutz Grundlage für Innovation, Wettbewerbsfähigkeit und wertebasierte digitale Wirtschaft in Europa ist. Damit dies sichergestellt wird, sollen praxisgerechte Anwendungshilfen erarbeitet und der frühzeitige Dialog mit den relevanten Akteuren intensiviert werden.

Arbeiten der Datenschutzkonferenz für eine datenschutzkonforme Forschung und Anwendung von KI

Die Datenschutzkonferenz hat wertvolle Anwendungshilfen erarbeitet, um den Verantwortlichen im Bereich der Forschung und Innovation und bei der Anwendung neuer Technologien Handlungssicherheit zu bieten.

Insbesondere im Bereich der Künstlichen Intelligenz wurde die Orientierungshilfe Datenschutzrechtliche Besonderheiten generativer KI-Systeme mit RAG-Methode sowie die Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen verabschiedet, um eine datenschutzkonforme Anwendung von KI-Systemen zu fördern. 

Das Ziel der Verbesserung der Rechtssicherheit für Forschungseinrichtungen, die grenzüberschreitend unter Wahrung eines hohen Datenschutzniveaus zusammenarbeiten, verfolgen die Anwendungshinweise zu den Anforderungen an Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken sowie die Empfehlungen für Informationspflichten bei Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken.

Datenschutz und Jugendschutz

Mit konkreten Empfehlungen zur Verbesserung des Schutzes von Kindern in der Datenschutz-Grundverordnung will die DSK den Schutz dieser besonders vulnerablen Gruppe fördern. Dazu verabschiedete die DSK einen Zehn-Punkte-Plan zur Verbesserung des gesetzlichen Datenschutzes von Kindern. Darin fordert die DSK unter anderem ein Verbot von personalisierter Werbung und kindgerechte Voreinstellungen in Sozialen Netzwerken.

Positionierung der DSK für eine grundrechtsorientierte digitale Zukunft

Eine klare Haltung zur demokratiesichernden und grundrechtsschützenden Funktion der Datenschutzaufsichtsbehördenformulierte die DSK im März 2025 als Antwort auf die Koalitionsverhandlungen. In der Positionierung Eckpunkte für eine freiheitliche und grundrechtsorientierte digitale Zukunft forderte die DSK gegenüber der (damals zukünftigen) Bundesregierung, Digitalisierung konsequent an Grund- und Freiheitsrechten auszurichten und damit eine menschenzentrierte Datennutzung zu ermöglichen, die Demokratie, Meinungsfreiheit und informationelle Selbstbestimmung auch im digitalen Raum sichert. In den fünf Bereichen „Datenschutzgesetzgebung“, „Sicherheitsarchitektur“, „Zusammenspiel der EU-Digitalrechtsakte“, „KI, Forschung und Innovation“ und „Datensouveränität“ zeigte sie konkreten Handlungsbedarf auf. 

Den Grundrechtsschutz im Sicherheitsbereich hat demgegenüber die Entschließung Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit im Fokus. Sie formuliert grundlegende Leitlinien für das Verhältnis von Sicherheit, Freiheit und Datenschutz. Starker Datenschutz ist dabei kein Selbstzweck, sondern ein wesentliches Element des Rechtsstaats und die Voraussetzung für Sicherheit und Freiheit.

Ausblick: Reform des Europäischen Datenschutz-und Digitalrechts

Ende 2025 werfen die großen Themen des kommenden Jahres bereits ihre Schatten voraus. Mit Veröffentlichung der Vorschläge der EU-Kommission zur Anpassung der Datenschutz-Grundverordnung, der KI-Verordnung und weiterer Digitalrechtsakte (Digital Omnibus IV) hat die EU-Kommission teils weitreichende Änderungen vorgeschlagen, die Auswirkungen auf den Schutz der Privatsphäre und personenbezogener Daten haben werden. Sowohl der EDSA als auch die DSK befassen sich vertieft mit den Änderungen. Erste Positionen wurden in der 110. Datenschutzkonferenz in Berlin verabschiedet. Eine gemeinsame Stellungnahme des EDSA und des EDSB wird voraussichtlich im Januar 2026 verabschiedet werden. Es besteht die Sorge, dass im Rahmen des Omnibusverfahrens nicht genügend Zeit für die Diskussion der vorgeschlagenen Änderungen besteht, insbesondere für solch fundamentalen Anpassungsvorschläge wie die Änderung der Definition von personenbezogenen Daten. Es wird wichtig sein, diesen Diskurs eng, konstruktiv, geeint und schnell zu begleiten – dazu stehen wir bereit!

Mit dem vierten Webinar zum Thema „Künstliche Intelligenz“ ist die gemeinsam vom LfDI und dem in Mainz ansässigen Biotechnologie-Unternehmen BioNTech im Jahr 2025 initiierte Webinar-Reihe „Biotechnologie goes Datenschutz“ im Dezember zu Ende gegangen. In der letzten Ausgabe befassten sich Expert:innen des LfDI und von BioNTech mit diversen Fragen rund um die vielfältigen Einsatzmöglichkeiten KI-basierter Anwendungen im Alltag eines Biotechnologie-Unternehmens. 

Die Webinar-Reihe war ein großer Erfolg: Mehr als 1000 Mal wurden die Aufzeichnungen der vier Veranstaltungen seit März 2025 gestreamt oder heruntergeladen. Der LfDI sieht darin seinen Ansatz bestätigt, bei der Vermittlung datenschutzrechtlicher Inhalte und der Behandlung damit zusammenhängender aktueller Themen auf kooperative Formate zu setzen, die einen interdisziplinären Austausch unterstützen. 

Die Aufzeichnungen der vier jeweils rund einstündigen Webinare können jederzeit auf unserer Webseite abgerufen werden – kostenfrei und ohne Anmeldung.

Am 20. November fand in den Räumen der Kreisverwaltung Mayen-Koblenz das Netzwerktreffen der behördlichen Datenschutzbeauftragten rheinland-pfälzischer Kommunalverwaltungen statt. Rund 60 Teilnehmerinnen und Teilnehmer nutzten die Gelegenheit, sich über aktuelle Entwicklungen und Herausforderungen im Datenschutz auszutauschen.

Das etablierte Format ist seit 2007 fester Bestandteil des Angebots des LfDI Rheinland-Pfalz und ein wichtiger Baustein in der Wissensvermittlung datenschutzrechtlicher Fragestellungen. Zugleich bietet das Treffen wertvolle Einblicke in die Praxis und ermöglicht einen direkten Austausch über aktuelle und künftige Entwicklungen in den Kommunen.

Bei der Gestaltung der Tagesordnung standen insbesondere die von den Teilnehmenden im Vorfeld eingebrachten Themen im Mittelpunkt. Deutlich wurde erneut, dass Fragen rund um die Verwaltungsdigitalisierung einen zentralen Teil der täglichen Arbeit der Datenschutzbeauftragten ausmachen. Diskutiert wurden unter anderem die Auswirkungen des Onlinezugangsgesetzes (OZG), der Einsatz Künstlicher Intelligenz sowie die damit verbundenen datenschutzrechtlichen Herausforderungen. Auch klassische Themen wie das Auskunftsrecht nach Artikel 15 der Datenschutz-Grundverordnung und die aktuellen rechtlichen Entwicklungen hierzu wurden vertiefend behandelt.

Darüber hinaus gab es einen Rückblick auf die im vergangenen Jahr durchgeführte Umfrage zum kommunalen Datenschutzmanagement. Die unter Mitwirkung von mehr als einhundert Kommunalverwaltungen gewonnenen Erkenntnisse sollen dazu genutzt werden, die Personalbedarfsempfehlungen für kommunale Datenschutzbeauftragte in Kürze zu aktualisieren. Erste Überlegungen hierzu wurden im Rahmen des Netzwerktreffens vorgetragen.

Der Austausch mit der Praxis hat für die aufsichtsbehördliche Arbeit des LfDI große Bedeutung, da er wertvolle Einblicke und eine praxisgerechte Beratung ermöglicht. Davon profitieren sowohl der LfDI als auch Verantwortliche. Im Justizbereich bestehen zudem besondere Anforderungen an den Datenschutz. So sind die justiziellen Tätigkeiten der Gerichte nach Art. 55 Abs. 3 DS-GVO und § 41 Abs. 2 LDSG von der ordentlichen behördlichen Datenschutzaufsicht ausgenommen. Diese Regelung dient dem Schutz der richterlichen Unabhängigkeit, die durch Art. 47 Abs. 2 Satz 1 der Charta der Grundrechte der Europäischen Union, Art. 6 Abs. 1 Satz 1 der Europäischen Menschenrechtskonvention sowie Art. 97 des Grundgesetzes gewährleistet wird.

Am 13. November 2025 behandelte der LfDI im Rahmen einer Schulungsveranstaltung für die behördlichen Datenschutzbeauftragten des Verwaltungs-, Finanz- und Amtsgerichts Neustadt an der Weinstraße Fragen dieser Abgrenzung sowie praxisrelevante Themen wie Datenpannen – etwa den Verlust oder Fehlversand von Akten oder Hacking-Angriffe. Darüber hinaus erhielten die Teilnehmenden einen Überblick über die Reichweite des Auskunftsrechts im Lichte der aktuellen EuGH-Rechtsprechung sowie über neue Entwicklungen, darunter den Einsatz von KI in der Justiz.

Diese Kombination aus Austausch, Vorträgen und praktischen Einblicken machte die Schulung zu einer gewinnbringenden Veranstaltung für alle Beteiligten. 

Podcast-Tipp #1: Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, war kürzlich zu Gast im Podcast DATENSCHUTZ TALK. Mit Podcast-Host Heiko Gossen spricht Prof. Kugelmann, immer orientiert an Praxisfällen, über Löschung, Auskunft, Einwilligung und mehr. Außerdem gibt er einen Einblick in die "Datenschutz-Sandbox".

Podcast-Tipp #2: In der 61. Folge des Podcast #UpdateVerfügbar des Bundesamts für Sicherheit in der Informationstechnik spricht Friedhelm Lorig, Referent für Medienbildung beim LfDI Rheinland-Pfalz, über Datenschutz bei der Mediennutzung von Kindern. Er stellt konkrete Angebote vor, die Eltern und Lehrkräfte dabei unterstützen, die Medienkompetenz von Kindern zu fördern. Zur Podcast-Folge "Datenschutz ist Teamsport digitale Verantwortung stärken" geht es hier. 

Kennen Sie schon Mastodon, die datenschutzfreundliche Alternative zum Kurznachrichtendienst X? Auf https://social.bund.de/@lfdi_rlp gehen wir in den Dialog mit den Nutzerinnen und Nutzern und informieren tagesaktuell über unsere Aktivitäten und Veröffentlichungen. Folgen Sie uns – ganz ohne datenschutzrechtliche Bedenken und Fallstricke.