Jahresrückblick 2025: Datenschutz, Informationssicherheit und Compliance im Wandel
2025 war ein Jahr, in dem Datenschutz, Informationssicherheit und Compliance nicht nur Schlagworte waren. Neue Gesetze wie das NIS2-Umsetzungsgesetz, der geplante „digitale Omnibus“, Risiken der Künstlichen Intelligenz, digitale Souveränität, und nicht zuletzt die fast schon vergessene Bundestagswahl 2025 haben Unternehmen und öffentliche Stellen beschäftigt. Dieser Jahresrückblick ordnet die wichtigsten Entwicklungen ein – und zeigt, was das ganz praktisch für Ihre Compliance-Strategie bedeutet.
Das Jahr begann politisch mit der Bundestagswahl. Diese lieferte aus Sicht von Datenschutz und Informationssicherheit eher diffuse Signale. Fast alle Parteien sprachen von Entbürokratisierung und Bündelung der Datenschutzaufsicht, bleiben aber bei der konkreten Ausgestaltung auffallend unkonkret. Auch ist im Laufe des Jahres– sicherlich auch der geopolitischen Lage geschuldet – bisher diesbezüglich wenig passiert.
NIS2UmsuCG verabschiedet oder: Stärkere Regulierung der Informationssicherheit
Wer 2025 in der IT- und Compliance-Welt unterwegs war, brauchte gute Nerven. Zunächst dauerte es lange, aber zu guter Letzt hat der Gesetzgeber mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) den Rahmen für Cybersicherheit in Deutschland verschärft,sodass mehr Unternehmen in den Geltungsbereich fallen. Das NIS2UmsuCG betrifft Risikomanagement, Schwachstellen- und Krisenmanagement, Meldeprozesse und insbesondere die Sicherheit der Lieferkette.
Daher ist eine nachhaltige Sicherheitskultur umso wichtiger; diese entwickelt sich nicht durch einmalige Maßnahmen, sondern durch wiederkehrende, verständliche und spannende Kommunikation. Auch sollten Mitarbeitende vom Management motiviert werden, offen über Fehler, Gefahren und Risiken zu sprechen („Fehlerkultur“).
Digitale Souveränität oder: Gefahren durch die Abhängigkeit von den USA
Ein zentrales Learning 2025: Digitale Souveränität ist kein Buzzword mehr, sondern eine wichtige Management-Aufgabe. Die starke Abhängigkeit von Hyperscalern kollidiert zunehmend mit europäischem Datenschutzrecht und dem Anspruch, geschäftskritische Daten unter eigener Kontrolle zu behalten.
Nicht erst seit der zweiten Präsidentschaft von Donald Trump rücken Ressourcen, Bodenschätze und Datenströme noch stärker in den Fokus. In einer zunehmend digitalisierten Welt wird die Frage nach der Kontrolle über eigene Daten und die Abhängigkeit von Technologien immer drängender. Die Drohgebärden von Donald Trump gegenüber Firmen wie Amazon, Apple, Google, Meta und Microsoft machen die Sache nicht besser. Zudem setzt Trump im Außenpolitischen auf Druck, so dass Technologie zur Verhandlungsmasse wird oder werden kann.
Digitaler Omnibus oder: Der Versuch der Neuregulierung von Datenschutz und KI
Zuletzt schob die EU mit dem geplanten „digitalen Omnibus“ eine weitreichende Reform für Datenschutz und KI-Regulierung an. Kernidee: Digitalgesetze bündeln, Bürokratie abbauen – faktisch aber auch Schutzstandards bei DSGVO, Cookie-Tracking und KI-Training spürbar lockern. Aus Compliance-Sicht ist das ein zweischneidiges Schwert: Ja, Prozesse könnten einfacher werden – aber der Druck, intern klare Leitplanken für Fairness, Transparenz und Betroffenenrechte zu setzen, steigt massiv.
Künstliche Intelligenz oder: Hype-Thema und Cyberbedrohung
Gleichzeitig haben KI-Technologien die Bedrohungslandschaft verändert. Cyberkriminelle nutzen generative KI, um täuschend echte Phishing-Mails, Deepfake-Anrufe oder Social-Engineering-Kampagnen zu produzieren. Diskriminative KI hilft ihnen, Schwachstellen schneller aufzuspüren, Patches zu analysieren und Angriffe zu automatisieren. Unternehmen, die KI selbst breit einsetzen, laufen zusätzlich Gefahr, unbemerkt Verzerrungen, Diskriminierung oder schlicht falsche Entscheidungen zu produzieren – mit entsprechenden Haftungs- und Reputationsrisiken.
Hinzu wurde das Phänomen der „Schatten-IT“ (bzw. Schatten-KI) wieder größer, also die Nutzung von Software oder Cloud-Diensten, die außerhalb der offiziellen IT-Infrastruktur eines Unternehmens verwendet werden. Oft entstehen diese Parallelstrukturen, weil die offiziellen Systeme als unflexibel, langsam oder nicht ausreichend bedarfsgerecht wahrgenommen werden.
Wenn Mitarbeitende eigenständig Cloud-Dienste, KI-Anwendungen oder mobile Apps einsetzen, entstehen unkontrollierte Datenströme, die außerhalb der Sichtbarkeit und Kontrolle der IT-Abteilung liegen. Dies kann dazu führen, dass personenbezogene oder andere vertrauliche Daten ohne ausreichende Sicherheitsmaßnahmen verarbeitet werden. Zudem sind Schatten-KI-Anwendungen häufig nicht auf die spezifischen Anforderungen des Unternehmens abgestimmt und können sensible Informationen an externe Server übertragen.
Ausblick
In der heutigen digitalen Welt sind Cyberangriffe allgegenwärtig und entwickeln sich ständig weiter. Auch die Regulierung dieser Themen wird immer umfassender. Daher muss Compliance auch Teil der gesamten Unternehmensstrategie sein, um Wettbewerbsvorteile, Arbeitsfähigkeit und letztendlich auch die Zukunftsfähigkeit des Unternehmens und der Arbeitsplätze zu schützen. Verankern Sie Verantwortlichkeiten klar, investieren Sie in digitale Souveränität und fördern Sie eine Sicherheitskultur in Ihrer Organisation
