Im Dezember 2025 (KW 50) gibt es eine Reihe kritischer Entwicklungen, die Verantwortliche in Unternehmen und Organisationen aktuell beschäftigen. Von wegweisenden Urteilen zur DSGVO bis hin zu tektonischen Verschiebungen im Online-Tracking und einer weiterhin angespannten IT-Sicherheitslage – die zweite Dezemberhälfte bot wichtige Klarstellungen und neue Herausforderungen.
1. Auskunftsanspruch nach Art. 15 DSGVO: Der BFH sorgt für Klarheit
Ein Urteil des Bundesfinanzhofs (BFH) vom 9. September 2025 liefert eine detaillierte und praxisnahe Prüfung des Auskunftsanspruchs nach Art. 15 DSGVO und ist von großer Bedeutung für die Auseinandersetzung mit diesem zentralen Betroffenenrecht,.
Umfang der Auskunft Der BFH stellte klar, dass Betroffene einen umfassenden Anspruch auf Auskunft über alle sie betreffenden personenbezogenen Daten haben. Entgegen der Auffassung der Vorinstanzen kann sich der Verantwortliche zur Begrenzung dieses Rechts nicht darauf berufen, dass der Betroffene die begehrten Informationen bereits besitzt,. Der Auskunftsanspruch ist eigenständig und dient der Überprüfung der Rechtmäßigkeit der Verarbeitung.
Grenzen des Anspruchs Nicht umfasst vom datenschutzrechtlichen Auskunftsanspruch sind Informationen ohne Personenbezug. Dies betrifft beispielsweise abstrakte Verarbeitungsschritte, allgemeine Arbeitsanweisungen oder die dem Finanzamt zugrunde liegenden Datentabellen und mathematischen Formeln,. Auch eine automatisierte Verarbeitung von Daten im Rahmen einer Außenprüfung stellt noch keine automatisierte Einzelentscheidung im Sinne von Art. 22 DSGVO dar, da stets eine Überprüfung und Umsetzung durch einen Amtsträger erfolgen muss.
Vollständigkeitserklärung Besonders relevant für die Praxis ist der Hinweis des BFH, dass der Auskunftsschuldner eine Erklärung über die Vollständigkeit der erteilten Auskunft abgeben muss,. Ohne diese Erklärung ist der Auskunftsanspruch grundsätzlich nicht erfüllt. Das Aussitzen des Ersuchens oder die unzulässige Verweigerung einer Auskunft kann nach Art. 83 Abs. 5 DSGVO zu hohen Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes führen.
2. Werbetracking: Google kehrt zurück, Apple gerät unter Druck
Im Bereich Online-Tracking und Big Tech gab es im Dezember 2025 bedeutende Entwicklungen:
Googles Privacy Sandbox vor dem Aus Google beendet den Großteil seiner Privacy-Sandbox-Technologien, die ursprünglich als datenschutzfreundliche Alternative konzipiert waren. Viele der zentralen Ansätze wie Topics, Protected Audience und mehrere Privacy-APIs werden vollständig abgeschaltet. Dies bedeutet, dass Google weitgehend zu klassischen Drittanbieter-Cookies zurückkehrt, was Unternehmen wieder stärker auf die Einholung von Einwilligungen und klare Datenschutzhinweise verpflichtet.
Kritik an Apples ATT-Funktion Apples Funktion zur Werbetracking-Einwilligung, die sogenannte App Tracking Transparency (ATT), gerät in Europa zunehmend in die Kritik,. Nach Deutschland, Italien und Frankreich haben nun auch polnische Wettbewerbshüter eine Untersuchung eingeleitet. Der Vorwurf lautet, Apple habe seine Kunden „über das tatsächliche Maß an Datenschutz in die Irre geführt“ und sich gleichzeitig im Werbemarkt Vorteile gegenüber Drittanbietern verschafft. Apple betonte, dass es in eigenen Apps gesammelte Trackingdaten nicht mit Dritten teile und daher nicht unter die ATT-Vorgaben falle. Im Zuge der Untersuchung warnte Apple erneut, dass starker Druck den Konzern dazu zwingen könnte, die Funktion zurückzuziehen, was zum „Nachteil der europäischen Verbraucher“ wäre.
3. IT-Sicherheit: Angespannte Lage und neue BSI-Tools
Der BSI-Lagebericht 2025 beurteilt die IT-Bedrohungslage in Deutschland weiterhin als angespannt,. Die größten Gefahren gehen dem Bericht zufolge von Ransomware, Angriffen auf kritische Infrastrukturen und der mangelnden Absicherung wachsender Angriffsflächen aus,. Das BSI fordert alle gesellschaftlichen Akteure auf, das Cybersicherheitsbewusstsein zu schärfen und 2026 den Schutz digitaler Angriffsflächen deutlich zu verbessern. Die Bedeutung für die Praxis liegt darin, dass viele Unternehmen ihre eigene Cybersicherheitslage überschätzen.
In diesem Kontext hat das BSI am 29. September 2025 seine Stand-der-Technik-Bibliothek auf GitHub veröffentlicht. Die Bibliothek stellt Anforderungen im maschinenlesbaren Format bereit, basierend auf dem internationalen Standard OSCAL. Dies legt den Grundstein für die Weiterentwicklung des Grundschutz++, um das Management von Informationssicherheit zu digitalisieren und Anwendern ein effizienteres Arbeiten mit IT-Sicherheitskonzepten zu ermöglichen.
Aktuelle Datenpanne bei OpenAI Ebenfalls relevant war die Meldung über einen Sicherheitsvorfall bei einem Dienstleister von OpenAI,. Der Webdatenanalyse-Dienstleister Mixpanel wurde Ziel einer Smishing-Attacke (SMS-Phishing), wodurch begrenzte Analysedaten von API-Kunden, darunter auch OpenAI-Nutzer, abflossen,. Betroffen waren Namen, E-Mail-Adressen, grobe Standortdaten, Betriebssystem- und Browser-Informationen sowie Benutzer-IDs von Nutzern, die die OpenAI API verwendet hatten.
4. Internationale Cloud-Bedenken
Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) empfahl eine deutliche Einschränkung der Nutzung internationaler Cloud-Dienste durch eidgenössische Behörden,. Die Experten sehen erhebliche Risiken bei der Auslagerung besonders schützenswerter oder geheimhaltungspflichtiger Personendaten in Public Clouds, insbesondere aufgrund des US Cloud Act,. Der Cloud Act erlaubt US-Behörden die Herausgabe von Kundendaten zu verlangen, selbst wenn diese in Schweizer Rechenzentren gespeichert sind. Die Nutzung ist laut Empfehlung nur zulässig, wenn die Daten vom öffentlichen Organ selbst verschlüsselt werden und der Cloud-Betreiber keinen Zugang zum Schlüssel hat.
Zusammenfassend zeigen die Entwicklungen im Dezember 2025, dass die regulatorische und rechtliche Kontrolle im Bereich Datenschutz und IT-Sicherheit zunimmt. Während Gerichte wie der BFH die Rechte der Betroffenen unmissverständlich stärken, zwingen politische und wettbewerbsrechtliche Verfahren die Tech-Giganten, ihre Tracking-Strategien neu zu bewerten.
