Ein Blick hinter die Kulissen: Datenschutz-Ausblick auf 2026 mit Herrn Michael Will
15.12.2025
Zusammenfassung
Zum Jahresabschluss führte Dr. Sebastian Kraska am 9. Dezember 2025 ein Gespräch mit Herrn Michael Will, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht.
5 Minuten Lesezeit
Zum Jahresabschluss führte Dr. Sebastian Kraska am 9. Dezember 2025 ein Gespräch mit Herrn Michael Will, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht. Anlass genug, um die wichtigsten Einordnungen und Impulse aus erster Hand in diesem Beitrag zusammenzufassen.
EuGH und außer-europäische Datentransfers
Besonders im Fokus standen aktuelle Unsicherheiten bei internationalen Datentransfers: Zum Latombe-Verfahren des EuGH gibt es aktuell keine Prognose, wann der EuGH in der Sache entscheiden wird. Angesprochen auf die Executive Order 14086 sagte Herr Will, dass diese formal weiterhin gilt, da keine offizielle Aufhebung dokumentiert wurde. Die allgemeine politische Gemengelage führe zu spürbaren Herausforderungen in den transatlantischen Datentransfers. Maßgeblich für den Moment sei der Angemessenheitsbeschluss der Europäischen Kommission; empfehlenswert sei zudem der ergänzende Rückgriff auf EU-Standardverträge für internationale Datentransfers. Auch der viel diskutierte Begriff der digitalen Souveränität bleibe unscharf. Internationale Beispiele von der Schweizer Cloud-Debatte über die Stellungnahme Hessens zu MS365 bis zur Polizeisoftware in Bayern zeigen, dass die Thematik über Datenschutz hinausgeht und Fragen der Resilienz, Abhängigkeiten und Eignerstrukturen umfasst. Unternehmen empfiehlt er deshalb, das Thema konsequent in ihrer Risikosteuerung zu verankern. Risiken zu kategorisieren, Subunternehmer und Datenflüsse genau zu kennen und vertragliche Alternativen vorzubereiten, ganz im Sinne eines realistischen „Plan B“.
SRB-Urteil – Anonymisierung von personenbezogenen Daten
Einen weiteren Schwerpunkt bildete das SRB-Urteil des EuGH zur Pseudonymisierung und Anonymisierung. Herr Will betonte eine situationsabhängige Betrachtung des Urteils, wodurch die Praxis durch die Entscheidung des EuGH eher komplexer werde. Auch die EDPB-Leitlinien zur Pseudonymisierung seien hilfreich. Den Vorschlag der EU-Kommission, Anonymisierung ausdrücklich in der DSGVO zu verankern, bewertete er eher zurückhaltend. Angesprochen auf die Frage zur Personenbezogenheit von IP-Adressen wurde diskutiert, dass aus seiner Sicht weiterhin eine differenzierte Betrachtung erforderlich sei.
Datenschutzrechtliche Rahmenbedingungen im Zusammenhang mit KI-Nutzung
Beim Thema KI wurde auf die zentrale Bedeutung von Art. 22 DSGVO als grundlegende Norm verwiesen, die zahlreiche KI-bezogene Fragen berühre. Die Kommissionsvorschläge, das berechtigte Interesse als generelle Grundlage zum Training von KI-System zu etablieren und zugleich Art. 22 aufzuweichen, seien echte Paradigmenwechsel. Die Datenschutz-Aufsichtsbehörden sehen hier Anpassungsbedarf bei den Vorschlägen der EU-Kommission.
Prüfung von Auftragsverarbeitern
Mit Blick auf die Prüfung von Auftragsverarbeitern wurde die EDPB-Opinion hervorgehoben. Nach Ansicht der Aufsichtsbehörden seien Verantwortliche gefordert, Auftragsverarbeiter einschließlich der Unterauftragnehmer vollständig mit in ihrer bestehenden Dokumentation zu erfassen. Erst auf dieser Basis ließen sich weitere Prüfungen fallbezogen durchführen. Anlässlich zur aktuellen Diskussion um Microsoft 365 zeigte er sich zurückhaltend optimistisch: Die hessische Bewertung und das begleitende Toolkit seien eine erfreuliche Weiterentwicklung, allerdings aus seiner Sicht eher als gelbes, statt als grünes Licht zu bewerten.
Checkliste Cyberfestung – 10 Punkte für mehr Datenschutz
Besonders ans Herz legte er die Initiative „Cyberfestung Bayern“, die zehn grundlegende Maßnahmen für IT-Sicherheit beschreibt. Das Papier bildet die gerade für viele mittelständische Unternehmen relevanten Informationssicherheitsmaßnahmen ab und bietet vor allem einen praktikablen Baukasten, der ein hohes Basissicherheitsniveau ermöglicht, ohne neue Komplexität aufzubauen.
Ausblick auf das Datenschutzjahr 2026
Abschließend wurde ein Ausblick auf das kommende Datenschutzjahr 2026 skizziert. Die anstehenden EU-Reformen seien nicht nur politisch, sondern auch aus datenschutzrechtlicher Sicht extrem streitbefangen. Im anstehenden BDSG-Reformprozess sei wichtig, die beteiligten Interessen und rechtlichen Rahmenbedingungen sauber auszutarieren (hierzu auch ein Antrag aus Bayern). Denkbar wäre im Bereich der Aufsichtsbehörden z.B. auch die Bündelung bestimmter Spezialmaterien (z.B. den Bereich Automotive in Bayern, Baden-Württemberg und Niedersachen). Eine mögliche Reduktion der Bestellvoraussetzungen eines Datenschutzbeauftragten rein auf das durch die DSGVO vorgegebene Niveau bewertete er kritisch. Auch Fragen des Beschäftigtendatenschutzes könnten 2026 wieder stärker in den Fokus rücken. Für das „Coordinated Enforcement Framework“ beteilige man sich derzeit an der Ausarbeitung des Prüfkataloges zum Thema Informationspflichten.
Fazit
Das Webinar mit Herrn Will zeigte deutlich: Die datenschutzrechtlichen Herausforderungen nehmen in ihrer rechtlichen, politischen als auch technischen Komplexität zu. Gleichzeitig lieferte er klare Orientierungspunkte: Risikosteuerung stärken, Transparenz schaffen, internationale Entwicklungen aufmerksam verfolgen und die Grundlagen der IT-Sicherheit ernst nehmen.
Für Unternehmen bedeutet das: Datenschutz bleibt nicht nur Pflicht, sondern strategische Chance, Resilienz aufzubauen und technologische Entwicklungen verantwortungsvoll zu nutzen.
Autor: Phillip Hetzschold
