← Alle Artikel anzeigen

  • August 15, 2025

GDPR-Durchsetzung im Jahr 2025: Verschärfte Kontrolle von DSARs, Recht auf Löschung und Altersüberprüfung

Ein proaktiver Leitfaden für Unternehmen, die sich in der sich entwickelnden Landschaft des europäischen Datenschutzes und der Einhaltung von Vorschriften bewegen.

Ab 2025 wird die europäische Datenschutzlandschaft durch eine fortgesetzte und verstärkte Konzentration auf die wichtigsten Rechte des Einzelnen und den Schutz schutzbedürftiger Personen gekennzeichnet sein. Die Europäischer Datenschutzausschuss (EDPB)die die Anwendung der Datenschutz-Grundverordnung in der EU/im EWR vereinheitlicht, sowie die nationalen Datenschutzbehörden in ganz Europa verstärken aktiv ihre Durchsetzungsbemühungen. Zu den wichtigsten Bereichen, die bis 2025 unter die Lupe genommen werden, gehören:

  1. Anträge auf Zugang zu personenbezogenen Daten (DSAR): Sicherstellung, dass Organisationen auf Anfragen von Einzelpersonen nach ihren personenbezogenen Daten (Artikel 15 DSGVO) rechtzeitig, korrekt und vollständig reagieren.
  2. Recht auf Löschung (das "Recht auf Vergessenwerden"): Überprüfung, ob Organisationen personenbezogene Daten tatsächlich löschen, wenn Einzelpersonen dies beantragen und wenn die rechtlichen Voraussetzungen für eine Löschung (Artikel 17 DSGVO) erfüllt sind.
  3. Verfahren zur Altersüberprüfung: Dies gilt insbesondere für Online-Dienste, -Anwendungen und -Plattformen, die auf Kinder oder Minderjährige (Personen unter 18 Jahren, wobei die Altersgrenze für die Einwilligung von Mitgliedstaat zu Mitgliedstaat unterschiedlich ist, in der Regel 13-16 Jahre) ausgerichtet sind oder von diesen genutzt werden könnten. Mit dieser Prüfung soll sichergestellt werden, dass eine altersgerechte Gestaltung und solide Altersüberprüfungsmechanismen vorhanden sind, um die Daten von Kindern zu schützen.

Das übergreifende Thema dieses regulatorischen Spotlights ist die Effizienz, Genauigkeit und Einhaltung der gesetzlichen Grenzwerte von Organisationen bei der Handhabung dieser kritischen Datenschutzrechte. Diese proaktive Haltung spiegelt die ausgereifte Durchsetzung der Datenschutz-Grundverordnung wider, die über die anfängliche Sensibilisierung hinausgeht und zu einer konkreten operativen Einhaltung führt.

Warum dies für Unternehmen von großer Bedeutung ist

Der verstärkte Fokus auf die Einhaltung von Vorschriften führt direkt zu einem erhöhten Risiko für Unternehmen, die bei der Einhaltung von Vorschriften versagen. Die Folgen der Nichteinhaltung werden immer gravierender und häufiger:

  • Erhöhte Geldbußen und Durchsetzungsmaßnahmen:
    • DSARs und Löschung: Verzögerungen bei der Beantwortung von DSARs, die Bereitstellung unvollständiger Daten oder das Versäumnis, personenbezogene Daten auf eine gültige Anfrage hin unverzüglich und effektiv zu löschen, haben immer wieder zu erheblichen Geldstrafen und anderen Durchsetzungsmaßnahmen geführt. Jüngste Trends bei der Durchsetzung durch führende Regulierungsbehörden, wie die Büro des Informationsbeauftragten (ICO) im Vereinigten Königreichdie Irische Datenschutzkommission (DPC)und verschiedene Deutsche Datenschutzbehörden (z. B. Hamburg, Berlin)zeigen eine klare Bereitschaft, Verstöße gegen DSAR und Löschung zu ahnden. Diese Bußgelder haben eine starke abschreckende Wirkung und unterstreichen die Ernsthaftigkeit, mit der diese Rechte betrachtet werden.
    • Altersüberprüfung: Die Nichteinhaltung der Anforderungen an die Altersüberprüfung, insbesondere bei der Verarbeitung von Kinderdaten, wird als schwerer Verstoß angesehen. Dies fällt häufig unter die allgemeineren Grundsätze des "Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen" (Artikel 25 DSGVO) und den besonderen Schutz von Kinderdaten (Erwägungsgrund 38, Artikel 8 DSGVO). Die Aufsichtsbehörden prüfen zunehmend, wie Unternehmen das Alter von Nutzern bestimmen und überprüfen, um eine gültige Einwilligung in die Datenverarbeitung zu gewährleisten (falls zutreffend) und um zu verhindern, dass Kinder auf ungeeignete Inhalte oder Dienste zugreifen.
  • Rufschädigung und Vertrauensverlust:
    • Abgesehen von finanziellen Sanktionen kann ein falscher Umgang mit den grundlegenden Rechten der betroffenen Personen oder ein mangelnder Schutz der Daten von Kindern zu einem schweren Imageschaden führen. Öffentliche Empörung, negative Medienberichterstattung und ein erheblicher Vertrauensverlust bei den Verbrauchern können sich langfristig negativ auf den Markenwert und die Kundenbindung auswirken.
  • Komplexe technische und rechtliche Schwellenwerte:
    • Altersüberprüfung: Unternehmen, die online Daten von Kindern sammeln, stehen vor der komplexen Herausforderung, nachzuweisen, dass ihre Methoden zur Altersüberprüfung den nationalen gesetzlichen Standards entsprechen. Diese Standards können variieren (z. B. Mindestalter für die Online-Zustimmung), und die Technologien zu ihrer Umsetzung reichen von identitätsbasierten Lösungen (die offizielle Dokumente erfordern) bis hin zu verhaltensbasierten Rückschlüssen. Die Sicherstellung, dass diese Methoden sowohl effektiv sind als auch die Privatsphäre schützen, ist ein heikles Gleichgewicht.
    • Recht auf Löschung: Die effektive Implementierung automatischer Löschsysteme erfordert ein tiefes Verständnis der Lebenszyklen von Daten, vernetzten Systemen, Backups und Archivierungsprozessen. Es geht nicht einfach darum, eine Löschtaste zu drücken, sondern sicherzustellen, dass die Daten an allen relevanten Stellen bereinigt werden und dass der Löschvorgang überprüfbar ist.

Empfohlene Maßnahmen zur proaktiven Einhaltung der Vorschriften

Um die Risiken zu mindern und eine solide Einhaltung der Vorschriften in diesen kritischen Bereichen zu gewährleisten, sollten Unternehmen proaktiv die folgenden Maßnahmen ergreifen:

  1. Bewertung und Rationalisierung der DSAR-Arbeitsabläufe:
    • Prozess-Mapping: Führen Sie eine gründliche Überprüfung und Kartierung Ihres derzeitigen DSAR-Bearbeitungsprozesses vom Eingang der Anfrage bis zur endgültigen Antwort durch. Ermitteln Sie Engpässe, manuelle Berührungspunkte und Bereiche, die für Fehler oder Verzögerungen anfällig sind.
    • Automatisierungswerkzeuge: Investieren Sie in spezielle DSAR-Verwaltungssoftware oder Plattformen zur Einhaltung des Datenschutzes und setzen Sie diese ein. Diese Tools können die Entgegennahme von Anfragen, die Identitätsprüfung, die Datenermittlung, die Schwärzung und die Erstellung von Antworten automatisieren und so die Effizienz und Genauigkeit erheblich verbessern.
    • Engagierte Teams/Ressourcen: In größeren Organisationen sollten Sie spezielle Datenschutz- oder Compliance-Teams mit klaren Rollen und Verantwortlichkeiten für das DSAR-Management einrichten oder ermächtigen. Stellen Sie sicher, dass sie über die notwendigen Schulungen und Ressourcen verfügen.
    • Klare Richtlinien: Entwicklung und Verbreitung interner Richtlinien und Verfahren für die Bearbeitung von DSAR, einschließlich Zeitplänen, Kommunikationsvorlagen und Eskalationspfaden.
  2. Implementierung robuster Löschsysteme und -protokolle:
    • Automatisierte Löschungsmechanismen: Entwerfen und implementieren Sie nach Möglichkeit Systeme zur automatischen Löschung von Daten, die mit den Grundsätzen der Datenschutz-Grundverordnung ("Recht auf Vergessenwerden") in Einklang stehen. Dazu gehört, dass Systeme so konfiguriert werden, dass Daten automatisch gelöscht werden, wenn die Aufbewahrungsfrist abläuft oder ein gültiger Antrag auf Löschung eingeht.
    • Daten-Lebenszyklus-Management: Integrieren Sie Löschprozesse in Ihr breiteres Rahmenwerk für das Datenlebenszyklusmanagement. Verstehen Sie, wo sich alle personenbezogenen Daten befinden (einschließlich Backups, Archive und Drittverarbeiter) und stellen Sie sicher, dass Löschanfragen in Ihrem gesamten Ökosystem verbreitet werden.
    • Protokollierung und Prüfpfade: Führen Sie umfassende Protokolle und Prüfpfade für alle Löschvorgänge. Diese Dokumentation ist für den Nachweis der Einhaltung der Vorschriften gegenüber den Aufsichtsbehörden von entscheidender Bedeutung, da sie beweist, dass die Daten tatsächlich als Reaktion auf Anfragen oder Aufbewahrungsrichtlinien gelöscht wurden.
    • Technische und organisatorische Maßnahmen: Stellen Sie sicher, dass technische und organisatorische Maßnahmen ergriffen werden, um Daten sicher zu löschen und eine versehentliche Wiederherstellung zu verhindern.
  3. Einsatz wirksamer Instrumente und Strategien zur Altersüberprüfung:
    • Risikobewertung: Führen Sie eine gründliche Prüfung durch, um festzustellen, ob Ihr Dienst wahrscheinlich von Kindern in Anspruch genommen wird und ob Sie deren personenbezogene Daten verarbeiten.
    • Altersgerechtes Design: Umsetzung der Grundsätze des "eingebauten Datenschutzes", um sicherzustellen, dass bei Diensten, die wahrscheinlich von Kindern genutzt werden, die Datenschutzeinstellungen standardmäßig auf die höchste Stufe eingestellt sind und die Datenerfassung auf ein Minimum reduziert wird.
    • Technologien zur Verifizierung: Erkundung und Einsatz geeigneter Instrumente zur Altersüberprüfung unter Berücksichtigung des Kontexts und des Risikos. Die Optionen umfassen:
      • Selbstdeklaration mit deutlichen Warnhinweisen: Für risikoarme Dienstleistungen.
      • AI-basierte Schätzung: Analyse von Gesichtsmerkmalen oder Stimmmustern (mit Datenschutzgarantien).
      • Identitätsbasierte Überprüfung: Anforderung von amtlichen Dokumenten oder Identitätsprüfungen durch Dritte für Dienstleistungen mit hohem Risiko.
      • Wissensbasierte Authentifizierung: Fragen stellen, die nur ein Erwachsener beantworten kann.
    • Einhaltung der gesetzlichen Schwellenwerte: Achten Sie unbedingt darauf, dass die von Ihnen gewählte Methode zur Altersüberprüfung den spezifischen nationalen gesetzlichen Schwellenwerten für das Alter der Einwilligung zur Datenverarbeitung (Artikel 8 DSGVO) in den Mitgliedstaaten entspricht, in denen sich Ihre Nutzer befinden.
    • Ansätze zur Wahrung der Privatsphäre: Bevorzugen Sie Altersüberprüfungsmethoden, die die Erhebung zusätzlicher personenbezogener Daten auf ein Minimum reduzieren und den Grundsatz der Datenminimierung beachten.
  4. Umfassende Ausbildung und Schulung des Personals:
    • Funktionsübergreifende Ausbildung: Regelmäßige, gezielte Schulungen für alle Mitarbeiter, die mit personenbezogenen Daten umgehen oder mit betroffenen Personen zu tun haben. Dazu gehören Teams in den Bereichen Support, Recht, Marketing, IT, Technik und Produktentwicklung.
    • Wichtige Anforderungen und Fristen: Sicherstellen, dass die Mitarbeiter die strengen Fristen für die Beantwortung von DSARs und Löschanträgen, die spezifischen Anforderungen für gültige Anträge und die Verfahren für die Eskalation komplexer Fälle kennen.
    • Schutz der Daten von Kindern: Informieren Sie Ihre Mitarbeiter über die besonderen Überlegungen bei der Verarbeitung von Kinderdaten, die Bedeutung der Altersüberprüfung und die Grundsätze der altersgerechten Gestaltung.
    • Rollen und Zuständigkeiten: Legen Sie die Rollen und Zuständigkeiten für den Datenschutz innerhalb der Organisation klar fest und befähigen Sie die Mitarbeiter, als wirksame Hüter personenbezogener Daten zu agieren.

Indem sie diese Bereiche proaktiv angehen, können Organisationen nicht nur die Einhaltung der sich entwickelnden GDPR-Durchsetzungslandschaft sicherstellen, sondern auch ihren Ruf als vertrauenswürdige und verantwortungsvolle Datenhandler im Jahr 2025 und darüber hinaus stärken.

Offizielle Quellen und weiterführende Literatur:

  • Allgemeine Datenschutzverordnung (GDPR) - Verordnung (EU) 2016/679:
    • Artikel 15 (Recht auf Auskunft durch die betroffene Person)
    • Artikel 17 (Recht auf Löschung "Recht auf Vergessenwerden")
    • Artikel 8 (Bedingungen für die Zustimmung des Kindes zu Diensten der Informationsgesellschaft)
    • Artikel 25 (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen)
    • Offizieller Text der Datenschutzgrundverordnung - EUR-Lex
  • Europäischer Datenschutzausschuss (EDPB) - Leitlinien:
    • Der EDPB gibt wichtige Leitlinien heraus, die detaillierte Auslegungen und bewährte Verfahren für die Einhaltung der DSGVO enthalten. Suchen Sie nach Leitlinien zu folgenden Themen:
      • Recht auf Zugang
      • Recht auf Löschung
      • Altersgerechter Design-Code / Datenschutz für Kinder
    • EDPB-Leitlinien und -Empfehlungen
    • Achten Sie insbesondere auf EDPB-Leitlinien zur Altersüberprüfung oder zum Datenschutz für Kinder, da diese häufig aktualisiert werden, um neuen Herausforderungen Rechnung zu tragen.
  • Nationale Datenschutzbehörden (z. B. ICO, DPC, CNIL, deutsche Datenschutzbehörden):

  • Wir können Ihnen helfen, FADP-konform zu werden!

Fachkundige Beratung, erschwingliche Lösungen und ein nahtloser Weg zur Einhaltung der Vorschriften

Nehmen Sie Kontakt auf

Was meinen Sie dazu?

Verwandte Einblicke

  • Verwandte Artikel
Regulatorisches Spotlight: FTC ergreift mutige Maßnahmen gegen Sicherheitsmängel bei Bildungseinrichtungen
Wie 10 Millionen Kinderdaten durch Sicherheitsmängel gefährdet wurden
Künstliche Intimität: Unerwartete Wege der KI-Nutzung und Verbindung
Bewertung der rechtlichen Risiken und datenschutzrechtlichen Herausforderungen der virtuellen Begleitung
Die wichtigsten Erkenntnisse aus dem WEF Global Cybersecurity Outlook 2026
Navigieren im Schnittpunkt von KI, Datenschutz und globalen Compliance-Rahmenbedingungen in einer Ära der Hyperkonnektivität