Jahresausblick im Datenschutz- und E-Commerce-Recht: Das bringt 2025
Falls die Fülle an neuen Gesetzen und Anforderungen Sie im letzten Jahr nicht genug gefordert hat, müssen Sie sich keine Sorgen machen - denn auch 2025 stehen uns wieder so einige Neuerungen bevor.
Wir möchten Ihnen einen Ausblick geben, welche Änderungen in den nächsten 12 Monaten (voraussichtlich) auf uns zukommen und bis wann Sie bestimmte Dinge umgesetzt haben müssen. Relevant sind die Themen insbesondere für Online-Unternehmen.
Wir wissen, dass die Flut von Verordnungen, Gesetzen und Ähnlichem im IT-Recht und Datenschutz durchaus erst einmal überfordern und die Freude am Unternehmertum trüben kann. Neben dem Tagesgeschäft den Überblick zu behalten, kann schwer sein und auch die Umsetzung erfordert oft einiges an Aufwand.
Wir haben in diesem Beitrag für Sie die wichtigsten Entwicklungen im Bereich IT-Recht Datenschutz zusammengefasst – damit Sie sich schon jetzt darauf einstellen können, was künftig ggf. auf Sie zukommt.
1. IT-Recht
1.1 CSRD – Verpflichtende Nachhaltigkeitsinformationen
Seit dem ersten Januar dieses Jahres ist die „Corporate Sustainability Reporting Directive (CSRD)“ in Kraft getreten. Diese hat zum Ziel, große Unternehmen zu nachhaltigerem Handeln bei ökologischen, sozialen und Governance-Themen (ESG) anzuhalten.
Unter anderem sind Nachhaltigkeitsberichte zu erstellen (und prüfen zu lassen). Wer physische Produkte anbietet, ist künftig strengeren Informationspflichten über verwendete Materialien, Produktionsbedingungen, CO2-Emissionen sowie ökologischen und sozialen Auswirkungen unterworfen.
Unternehmen sind für die Einhaltung dieser Anforderungen entlang der Lieferkette verantwortlich.
1.2 Neue Vorgaben für KI-basierte Systeme
Wenn Sie künstliche Intelligenz (KI) herstellen, vertreiben oder einsetzen (etwa für Produktempfehlungen), treten dieses Jahr neue Pflichten in Kraft. Die KI-Verordnung der EU schreibt u.a. vor:
- Kennzeichnungspflicht bei automatisierten Entscheidungen,
- Zusätzliche Transparenz bei der Datenverarbeitung,
- KI-Kompetenz Schulungen Ihrer Mitarbeitenden.
Tipp: Passen Sie Ihre Prozesse rechtzeitig an, um Sanktionen zu vermeiden und fragen Sie uns nach unserer Richtlinie zum Einsatz von KI im Unternehmen.
1.3 Neue Pflicht zur Barrierefreiheit
Bislang waren nur öffentliche Akteure verpflichtet – ab dem 29. Juni dieses Jahres werden auch private Unternehmen in die Pflicht genommen: Digitale Produkte und Dienstleistungen für Verbraucher:innen müssen zunehmend barrierefrei werden. Anbieter:innen müssen sicherstellen, dass ihre Angebote den neuen Barrierefreiheitsanforderungen aus dem Barrierefreiheitsstärkungsgesetz und der dazugehörigen Verordnung entsprechen.
Das betrifft z.B. Software, Online-Shops oder elektronische Kommunikationsdienste. Erforderliche Maßnahmen können etwa sein:
- gut lesbare Texte und einfache Sprache,
- Alternativen zu Bildern (wie Alt-Texte oder Vorlesefunktionen),
- einfache Navigation,
- Unterstützung von Screenreadern.
Tipp: Beauftragen Sie einen Check Ihrer Website auf Barrierefreiheit, soweit Sie von dieser Verpflichtung betroffen sind.
1.4 Neue Produktsicherheits-VO und Produkthaftungsregelungen
Hand in Hand gehen diese beiden Rechtsakte, welche wohl erst gegen Ende dieses Jahres richtig Fahrt aufnehmen werden:
Zum einen soll die „Produktsicherheits-Verordnung“ – wie der Name schon sagt – die Anforderungen an die Sicherheit von Produkten verbessern. Wirtschaftsakteur:innen müssen sicherstellen, dass ihre Produkte sicher sind, bevor sie auf den Markt kommen. „Sicher“ meint dabei vor Verletzung, aber auch etwa vor Integritätsschäden wie Cyberangriffen. Sicherheitsprüfungen sind zu dokumentieren. Diese ist bereits in Kraft.
Zum anderen führt die neue „Produkthaftungs-Richtlinie“ neue Regelungen zur Haftung für digitale Produkte und Dienstleistungen ein. Dabei sind auch KI-Systeme ausdrücklich eingeschlossen. Hersteller:innen haften für Schäden, die durch fehlerhafte Software oder Sicherheitsmängel entstehen, auch wenn diese erst nach dem Verkauf auftreten. Die neue Richtlinie löst dabei eine alte bestehende Produkthaftungs-Richtlinie ab. Sie tritt erst 2026 in Kraft, sollte aber schon jetzt nicht unbeachtet bleiben.
1.5 Die E-Rechnung kommt – Das Wachstumschancengesetz
Bereits seit dem ersten Januar in Kraft ist dagegen das „Wachstumschancengesetz“. Dabei geht es darum, wie Unternehmen einander Rechnungen stellen. Im B2B-Bereich wird die Rechnungsstellung danach künftig anders verlaufen als bisher.
Unternehmen werden nach und nach dazu verpflichtet, elektronische Rechnungen auszustellen (ZUGFeRD-Format und xRechnung). Teilweise wird auch der Versand von Rechnungen per Post und unter engen Voraussetzungen auch digital als PDF noch zulässig sein. Übergangsvorschriften erleichtern die Umsetzung.
1.6 Cyber Resilience Act
Der „Cyber Resilience Act“ hat die Cybersicherheit von Produkten mit digitalen Elementen zum Ziel, wobei mit letzterem Hardwareprodukte mit vernetzten Funktionen wie auch reine Softwareprodukte (Besonderheiten für Open Source Software sind vorgesehen) gemeint sind.
Er schreibt Hersteller:innen Mindestanforderungen an die Cybersicherheit vor, deren Einhaltung zu prüfen ist. Hierbei wird es Konformitätsverfahren und Produktzertifizierungen geben. Des Weiteren sieht die Verordnung Meldepflichten bei Sicherheitsvorfällen vor. Diese Pflichten treffen die Hersteller:innen maßgeblich während eines mindestens fünfjährigen „Unterstützungszeitraums“, dessen konkrete Dauer sich maßgeblich an der Lebensdauer des Produkts orientiert.
Einführer:innen und Händler:innen können ebenfalls von (weniger weitgehenden) Pflichten betroffen sein.
1.7 NIS2
Die NIS2-Richtlinie stellt erweiterte Anforderungen an die Cybersicherheit für Unternehmen – insbesondere im Bereich kritischer Infrastrukturen. Betroffen sind maßgeblich Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz und einer Bilanzsumme von über 10 Millionen Euro.
Die Richtlinie verpflichtet zu strengeren Sicherheitsmaßnahmen und schnellen Meldepflichten bei Sicherheitsvorfällen und gibt etwa für typische Sicherheitsrisiken und Schwachstellenmanagement einen Rahmen vor.
Wieder sind Unternehmen entlang der Lieferkette verpflichtet.
1.8 DORA
Die Eu-Verordnung DORA verpflichtet Finanzinstitute und deren IT-Dienstleister:innen, robuste IT-Systeme gegen Cyberbedrohungen zu implementieren und ist nunmehr seit Januar diesen Jahres in Kraft.
Beinhaltet Anforderungen wie regelmäßige Penetrationstests, Überwachungssysteme und umfassende Berichterstattung zur Sicherstellung der digitalen Betriebsstabilität.
Mehr zu DORA lesen sie hier: DORA – auch für IT-Dienstleister relevant!
2. Datenschutz
2.1 „Neue“ Anforderungen aus der EU – DSA, DMA und DGA
Mit dem EU-Digital Services Act (DSA), dem Digital Markets Act (DMA) und dem Data Governance Act (DGA) sind neue Regelungen in Kraft, die Ihre Datenverarbeitung und Online-Services betreffen. Auch wenn man sie fast schon wieder als „alte Hasen“ bezeichnen kann, sind sie höchstrelevant:
- DSA (Digital Services Act): Wenn Sie digitale Plattformen betreiben, stehen strengere Transparenzpflichten an, etwa zur Herkunft von Werbung und zu algorithmischen Entscheidungen, sowie zur Verantwortung für rechtsverletzende Inhalte. Das deutsche Umsetzungsgesetz („Digitale Dienste Gesetz“ „DDG“) ist ebenfalls bereits in Kraft getreten.
- DMA (Digital Markets Act): Dieser betrifft die Regulierung großer Online-Marktplätze und Online-Plattformen („Gatekeeper“) hinsichtlich Transparenz und Regelungen des fairen Wettbewerbs und wird daher für die allermeisten unserer Mandant:innen nicht direkt relevant werden.
- DGA (Data Governance Act): Der sichere Umgang mit sensiblen Daten (egal ob personenbezogen oder nicht) wird neu geregelt, vor allem bei der Nutzung von Datentreuhandmodellen.
- DA (Data Act): Die Pflichten aus dem Data Act werden großteils ab September diesen Jahres gelten. Dieser betrifft die Nutzung von (auch nicht personenbezogenen) Daten und deren Interoperabilität.
Tipp: Überprüfen Sie Ihre Datenschutzerklärungen und Vertragsverhältnisse mit Dienstleister:innen auf diese neuen Anforderungen.
2.2 Neue Anforderungen an Cookie-Banner
Das Cookie-Banner bleibt ein Dauerbrenner, auch wenn die Hoffnung besteht, dass die Verwaltung bald leichter zu bewältigen sein wird. Die EU plant weiterhin strengere Vorgaben für Cookie-Banner. Verbraucher:innen sollen übersichtlicher und einfacher entscheiden können, welche Daten sie teilen. Für Sie ist daher unbedingt zu beachten:
- Klare Sprache und weniger Fachjargon.
- Kein Zwang zur Zustimmung – echte Wahlmöglichkeiten sind Pflicht.
- Der „Ablehnen“-Button MUSS genauso gut sichtbar sein wie der Button „Alle akzeptieren“.
Tipp: Prüfen Sie jetzt Ihre Cookie-Banner und Datenschutzerklärungen.
3. Warum ist es wichtig, dass Sie diese Regelungen beachten?
Nicht eingehaltene Vorschriften können teuer werden. Bußgelder und Abmahnungen kommen immer häufiger vor. Sie lassen sich jedoch durch rechtzeitige Anpassungen vermeiden. Wenn Sie sich schon jetzt informieren, können Sie entspannt Umsetzungsmaßnahmen planen.
Wir sind für Sie da
Als Expert:innen für IT-Recht und Datenschutz begleiten wir Sie bei der Umsetzung der neuen Regelungen.
Dazu bieten wir Ihnen allgemeine und individuelle Beratung und spezielle Pakete wie
- Rechtssichere Überarbeitung Ihrer Website und rechtlichen Dokumente
- Prüfung von E-Commerce- und Datenschutzprozessen.
Wir freuen uns, Sie zu unterstützen! Sprechen Sie uns gern auf einem unserer Kanäle an.
Wir helfen Ihnen beim Datenschutz
Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.
Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.
Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden.
Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/
Ihre Ansprechperson
Melanie Schwamberger
Lesen Sie hier weiter:

Die 30 wichtigsten Fragen und Antworten zur DSGVO
Ist Ihr IT-Unternehmen datenschutzrechtlich professionell aufgestellt? In diesem E-Book finden Sie die 30 wichtigsten Fragen und Antworten zur DSGVO!

Unsere DSGVO-Checkliste für IT-Unternehmen
Was muss Ihr IT-Unternehmen tun, um DSGVO-konform aufgestellt zu sein? Wir erklären es Ihnen!
Unsere Top-Artikel:
- Preisanpassungsklauseln wirksam vereinbaren
- Konfliktsituationen: Fünf Tipps zum richtigen Verhalten
- Was sind „EULA“, und wer braucht sie eigentlich?
- Regelungen zur Freistellung bei Verletzung von Rechten Dritter in IT-Verträgen – was soll das?
- AGB-Änderungen im laufenden Vertrag – Teil 1: Voraussetzungen