Das neue BDSG 2025 – Änderungen, Pflichten und Bußgelder im Überblick

Seit dem 1. Juli 2025 gilt das überarbeitete Bundesdatenschutzgesetz (BDSG-neu). Die Neufassung bringt in mehreren zentralen Bereichen Veränderungen, die Unternehmen unmittelbar betreffen. Sie soll die Datenschutz-Grundverordnung (DSGVO) besser in deutsches Recht einbetten und die datenschutzrechtliche Praxis vereinheitlichen.

Die wichtigsten Neuerungen betreffen:

  • die Pflicht zur Benennung eines Datenschutzbeauftragten (DSB),

  • den Umgang mit automatisierten Entscheidungen (Scoring),

  • die Koordination mit den Aufsichtsbehörden,

  • und den Beschäftigtendatenschutz.

Im Folgenden zeigen wir, was sich geändert hat, was bleibt – und was Unternehmen konkret tun müssen.

1. Datenschutzbeauftragte – Pflicht ab 10 Personen, neue Anforderungen und erweiterte Pflichten für Unternehmen

Was war bisher?

Die Pflicht zur Benennung eines DSB bestand erst ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten.

Was ist neu?

Die Neuregelung in § 38 Abs. 1 Satz 1 BDSG-neu senkt die Schwelle zur Benennungspflicht eines Datenschutzbeauftragten von bisher 20 auf nun 10 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Die Pflicht ergibt sich in Verbindung mit Art. 37 Abs. 1 lit. b und c DSGVO. Relevant sind dabei auch freie Mitarbeitende und Teilzeitkräfte, wenn sie regelmäßig Zugriff auf personenbezogene Daten haben. Die Schwelle wurde gesenkt: Bereits ab 10 Personen, die regelmäßig mit personenbezogenen Daten arbeiten, ist ein Datenschutzbeauftragter zu benennen (§ 38 BDSG-neu i. V. m. Art. 37 DSGVO). Dazu zählen auch Teilzeitkräfte und freie Mitarbeitende.

Was bedeutet das für Unternehmen?

Unternehmen müssen prüfen, ob sie der Benennungspflicht unterliegen – auch unter Berücksichtigung externer Kräfte. Der oder die Datenschutzbeauftragte muss gemäß Art. 37 Abs. 5 DSGVO „aufgrund seiner beruflichen Qualifikation und insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis“ geeignet sein. Zusätzlich regelt § 38 Abs. 2 BDSG-neu, dass die Benennung schriftlich zu erfolgen hat und dem oder der DSB die zur Aufgabenerfüllung erforderlichen Ressourcen zur Verfügung zu stellen sind. Der oder die DSB muss über fundierte Kenntnisse im Datenschutzrecht und der IT-Sicherheit verfügen, unabhängig arbeiten können und in alle datenschutzrelevanten Prozesse eingebunden sein. Diese Anforderungen müssen nachweislich erfüllt und dokumentiert sein.

Warum ein externer DSB empfehlenswert ist

Viele kleinere Unternehmen können die erforderliche Unabhängigkeit und Fachkenntnis intern nicht sicherstellen. 

Externe DSBs – besonders mit juristischer Qualifikation – bieten hier wesentliche Vorteile:

  • keine Interessenkonflikte,

  • Fachwissen und Erfahrung sofort verfügbar,

  • regelmäßige Fortbildung inklusive,

  • sichere und dokumentierte Kommunikation mit Behörden,

  • klare Kostenstruktur und geringe Haftungsrisiken.

Mögliche Sanktionen

Fehlt ein bestellter oder qualifizierter DSB, drohen Bußgelder zwischen 10.000 € und 50.000 €. In besonders schwerwiegenden Fällen können nach Art. 83 DSGVO bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes fällig werden.

2. Scoring und automatisierte Entscheidungen – Transparenz ist Pflicht

Was war bisher?

Automatisierte Entscheidungen waren zulässig, sofern ein berechtigtes Interesse bestand. Über die Kriterien der Bewertung mussten Betroffene nur eingeschränkt informiert werden.

Was ist neu?

Mit § 31 BDSG-neu wird die Verarbeitung von personenbezogenen Daten zum Zweck der Bewertung von Verhaltensweisen, Leistungen oder Wahrscheinlichkeiten einer natürlichen Person („Scoring“) konkretisiert. Dies betrifft insbesondere Bonitätsprüfungen, automatisierte Ablehnungen in Bewerbungsverfahren oder Online-Bewertungen.

Neu ist, dass das Bewertungsverfahren offen zu legen ist, einschließlich:

  • Herkunft der verwendeten Daten,

  • Kriterien der Bewertung,

  • mathematisch-statistische Verfahren,

  • sowie Informationen über die Möglichkeit menschlicher Eingriffe (Art. 22 Abs. 3 DSGVO). die Transparenz bei automatisierten Entscheidungen erheblich ausgeweitet. Betroffene müssen darüber informiert werden:

  • dass eine automatisierte Entscheidung erfolgt,

  • welche Daten in das Verfahren einfließen,

  • wie die Gewichtung aussieht,

  • und welche Folgen sich daraus ergeben.

Darüber hinaus muss die Möglichkeit bestehen, die Entscheidung von einem Menschen überprüfen zu lassen.

Was Unternehmen jetzt tun müssen

  • Offenlegung der Bewertungslogik dokumentieren,

  • Datenschutzerklärungen entsprechend anpassen,

  • interne Prozesse für die manuelle Überprüfung etablieren,

  • Mitarbeitende im Umgang mit Anfragen schulen.

Mögliche Sanktionen

Wer seiner Informationspflicht nicht nachkommt, riskiert Bußgelder von bis zu 300.000 €. Bei systematischen oder vorsätzlichen Verstößen: bis zu 20 Mio. € oder 4 % des weltweiten Umsatzes.

3. Aufsichtsbehörden – Neue Strukturen, klare Reaktionspflichten

Was war bisher?

Zuständig waren die Landesdatenschutzbehörden mit weitgehend eigener Handhabung. Die Zusammenarbeit untereinander war nicht immer effizient.

Was ist neu?

Gemäß § 17 Abs. 1 und 2 BDSG-neu wird der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) mit erweiterten Koordinationsbefugnissen ausgestattet. Die Neuregelung soll sicherstellen, dass grenzüberschreitende oder grundsätzliche Verfahren einheitlich behandelt werden und landesweite Verfahren zügiger verlaufen. Zudem sollen Unternehmen schneller über aufsichtsbehördliche Maßnahmen informiert werden. (BfDI) übernimmt koordinierende Aufgaben gegenüber den Landesbehörden. Die Verfahren sollen vereinheitlicht und beschleunigt werden. Unternehmen müssen sich auf verbindlichere Fristen und intensivere Prüfungen einstellen.

Was Unternehmen konkret tun sollten

  • Ansprechpartner für Datenschutzanfragen klar definieren,

  • Fristen (meist 4 Wochen) für Rückmeldungen sicherstellen,

  • Zugriff auf relevante Unterlagen vorbereiten,

  • Zusammenarbeit mit Behörden offen und strukturiert gestalten.

Mögliche Sanktionen

Unternehmen, die auf Anfragen nicht reagieren oder bewusst verzögern, müssen mit Bußgeldern von 10.000 € bis 100.000 € rechnen. Auch hier droht bei grober Pflichtverletzung der DSGVO-Rahmen bis 2 % des Jahresumsatzes.

4. Beschäftigtendatenschutz – Neue Pflichten für HR und Führungskräfte

Was war bisher?

§ 26 BDSG regelte die Datenverarbeitung im Beschäftigungskontext allgemein, ohne konkrete Vorgaben zu Einwilligung, Löschfristen oder sensiblen Daten.

Was ist neu?

Der neue § 26 BDSG-neu konkretisiert die Rechtsgrundlagen der Datenverarbeitung im Beschäftigungskontext. Neben der Einwilligung als Ausnahmefall (§ 26 Abs. 2 BDSG-neu) erlaubt § 26 Abs. 1 Satz 1 BDSG-neu die Datenverarbeitung, wenn sie zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Neu sind insbesondere:

  • Präzisierung der Anforderungen an Einwilligungen (freiwillig, informiert, jederzeit widerrufbar, schriftlich),

  • ausdrückliche Anforderungen beim Umgang mit Gesundheitsdaten (§ 22 Abs. 1 BDSG-neu),

  • verbindliche Löschfristen für Bewerberdaten (i. d. R. 6 Monate nach Abschluss des Verfahrens).

  • Einwilligungen müssen freiwillig, informiert und jederzeit widerrufbar sein,

  • Gesundheitsdaten dürfen nur in engen Ausnahmefällen verarbeitet werden,

  • Bewerbungsunterlagen sind ohne Einwilligung spätestens nach sechs Monaten zu löschen.

Was Unternehmen jetzt umsetzen sollten

  • Datenschutzzentrale HR-Dokumentation anlegen,

  • neue Einwilligungsformulare einführen,

  • Löschkonzepte technisch umsetzen (z. B. automatische Erinnerungen),

  • regelmäßige Schulungen für Personalverantwortliche durchführen.

Beispiel aus der Praxis

Ein mittelständisches Unternehmen speichert Bewerbungen standardmäßig zwei Jahre lang – ohne Einwilligung. Die Datenschutzaufsicht verhängt ein Bußgeld von 15.000 € und fordert ein vollständiges Löschkonzept.

Mögliche Bußgelder

Die Bußgelder liegen zwischen 5.000 € und 50.000 €, bei systematischer Nichtbeachtung auch hier bis zu 20 Mio. € oder 4 % des Jahresumsatzes.

 

Fazit: Jetzt prüfen, dokumentieren und externe Expertise nutzen

Mit dem neuen BDSG 2025 konkretisiert der Gesetzgeber zentrale DSGVO-Vorgaben und erhöht die Anforderungen für Unternehmen deutlich. Die Vorschriften sind nun verbindlicher formuliert, Fristen strenger – und die Behördenaufsicht schärfer aufgestellt.

Unsere Empfehlung:

  • Prüfen Sie, ob die DSB-Pflicht Sie betrifft – und beauftragen Sie idealerweise eine:n externen, juristisch qualifizierten DSB.

  • Aktualisieren Sie Ihre Prozesse bei automatisierten Entscheidungen und Scoring.

  • Organisieren Sie klare interne Abläufe für Behördenanfragen.

  • Modernisieren Sie den Beschäftigtendatenschutz – insbesondere bei Einwilligung, Dokumentation und Löschung.

Wer jetzt handelt, reduziert nicht nur Bußgeldrisiken – sondern sichert Vertrauen und Transparenz im Umgang mit personenbezogenen Daten.

Autorin des Beitrags

Anahita Lotfi
▪️Juristin
▪️Externe Datenschutzbeauftragte
▪️Fachexpertin auf dem Gebiet der Cyberkriminalität und KI
▪️Unternehmensberaterin für StartUp & KMU
▪️Gründerin von LEXAL LAW \ CONSULTINGS

Lesen Sie auch