Jahresrückblick 2025 und Ausblick 2026

Das Datenschutzrecht im Jahr 2025 war geprägt von verschiedenen Entscheidungen der Gerichte und Behörden zur Auslegung und Anwendung der Bestimmungen der DSGVO. Zentrale Fragestellungen betrafen Schadensersatzansprüche nach Art. 82 DSGVO sowie Auskunftsansprüche nach Art. 15 DSGVO. Auch zur datenschutzrechtlichen Verantwortlichkeit und zum Begriff der Pseudonymisierung wurde geurteilt.

Am 16. Mai 2025 hat mittlerweile zum sechsten Mal unser BRANDI-Datenschutzrechtstag stattgefunden. Diesmal war Herr Prof. Ulrich Kelber, ehemaliger Bundesdatenschutzbeauftragter, zu Gast bei BRANDI. Wir haben uns mit Herrn Prof. Kelber zu aktuellen Fragen und Entwicklungen zum Thema „Datenschutz und Digitalisierung“ ausgetauscht. Der Gastreferent gab im Gespräch mit Rechtsanwälten von BRANDI einen interessanten Einblick in aktuelle Fragen und Entwicklungen im Bereich KI sowie in die Arbeit als Bundesdatenschutzbeauftragter.

Anlässlich des neuen Jahres möchten wir in unserem traditionellen Jahresrückblick die Ereignisse des vergangenen Jahres sowie unsere Schwerpunktthemen in Erinnerung rufen. Schließlich möchten wir auf das neue Jahr 2026 und mögliche Entwicklungen blicken.

Schwerpunktthemen des Datenschutz-Newsletters von BRANDI 

Wir berichten in unserem Datenschutz-Newsletter monatlich über aktuelle Ereignisse aus dem Datenschutzrecht. Zusätzlich informieren wir in einem jeweils ausgewählten datenschutzrechtlichen Schwerpunktthema vertieft über datenschutzrechtliche Themen, wobei wir vertieft auf datenschutzrechtliche Besonderheiten eingehen und unseren Lesern praxisrelevante Hinweise an die Hand geben. Unsere Themenauswahl ist durch aktuelle Fälle aus unserer Beratungspraxis geprägt oder wurde anlässlich gerichtlicher Entscheidungen oder Stellungnahmen der Aufsichtsbehörden getroffen. In unseren diesjährigen Datenschutz-Newslettern haben wir folgende Schwerpunktthemen behandelt:

• Wann ist eine Auskunftsanfrage missbräuchlich?
• Anforderungen an die Barrierefreiheit von Internetseiten
• Löschung von Bewerberdaten
• Datenschutz bei DeepSeek
• Rechtliche und technische Anforderungen an den elektronischen Versand von Rechnungen
• BRANDI-Datenschutzrechtstag zum Thema „Datenschutz und Digitalisierung“
• Datenschutz auf Messen
• Nutzerdaten als Trainingsdaten von KI
• Der Mitarbeiterexzess
• Transkription von Online-Meetings
• GPS-Tracking von Dienstfahrzeugen

Rechtsprechung

Im Folgenden befassen wir uns mit verschiedenen besonders relevanten Gerichtsentscheidungen aus dem Jahr 2025.

In diesem Jahr setzte sich der BGH mehrfach mit datenschutzrechtlichen Schadensersatzansprüchen auseinander. In Anlehnung an die ständige Rechtsprechung des EuGH äußerte sich der BGH im März 2025 erstmals konkret zu der Höhe eines Schadensersatzanspruches (BGH, Urt. v. 28.01.2025 – Az. VI ZR 183/22). Aufgrund der Ausgleichsfunktion seien die tatsächlichen Auswirkungen des Datenschutzverstoßes für die Schadenszumessung entscheidend. In dem zugrundeliegenden Fall bewertete der BGH die vom Berufungsgericht zugesprochene Schadensersatzhöhe von „nur“ 500 Euro trotz tatsächlicher Auswirkungen als angemessen, einklagt hatte die Klägerin einen Betrag in Höhe von 6.000 Euro. Darüber hinaus nahm der BGH auf die Rechtsprechung des EuGH Bezug, nach der schon ein bloßer Kontrollverlust zu einem ersatzfähigen immateriellen Schaden führen kann, und urteilte, dass eine darüberhinausgehende Persönlichkeitsverletzung oder Beeinträchtigung von gewissem Gewicht nicht erforderlich sei (BGH, Urt. v. 11.02.2025 – Az. VI ZR 365/22). Dadurch, dass keine Erheblichkeitsschwelle erreicht werden müsse, könne laut BGH die aus einem unbegründeten SCHUFA-Eintrag rührende Beeinträchtigung der Kreditwürdigkeit in Form einer Kreditkartensperrung durchaus einen immateriellen Schaden darstellen (BGH, Urt. v. 13.05.2025 – Az. VI ZR 67/23). Im Mai 2025 entschied der BGH, dass hingegen ein rein hypothetisches Risiko der missbräuchlichen Verwendung von personenbezogenen Daten durch einen unbefugten Dritten nicht zu einem Schadensersatz führt (BGH, Urt. v. 13.05.2025 - Az. VI ZR 186/22). Der bloße Verstoß gegen die DSGVO sei für die Begründung eines Schadensersatzanspruches nach Art. 82 DSGVO nicht ausreichend, vielmehr würden auch ein materieller oder immaterieller Schaden sowie ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden vorausgesetzt. Der Anspruchssteller müsse nachweisen, dass ihm durch den Verstoß gegen die DSGVO ein Schaden entstanden sei. Dabei könne die durch einen Verstoß ausgelöste Befürchtung eines Betroffenen, seine personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen immateriellen Schaden darstellen; die bloße Behauptung – ohne nachgewiesene negative Folgen – reiche indes nicht aus. Ohne einen Nachweis durch den Kläger bestehe kein haftungsauslösender Kontrollverlust, sondern ein rein hypothetisches Risiko. Zu dieser Thematik entschied der BGH bereits im Januar, dass auch eine unerwünschte Werbe-E-Mail allein noch keinen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auslöse (BGH, Urt. v. 28.01.2025 – Az. VI ZR 109/23). Die Übersendung der Werbe-E-Mail könne zwar als Verstoß gegen die DSGVO zu werten sein, für sich genommen reiche dies aber nicht, um zugleich einen immateriellen Schadensersatz i. S. d. Art. 82 Abs. 1 DSGVO zu begründen. Im Rahmen des streitgegenständlichen Verstoßes hätte dies zumindest vorausgesetzt, dass der Beklagte die Daten des Klägers mit der Übersendung der Werbe-E-Mail zugleich auch Dritten zugänglich gemacht hätte, oder der Kläger seine geäußerte Befürchtung eines Kontrollverlusts substantiiert hätte darlegen können.

Der Bundesfinanzhof (BFH) war mit dem Umfang von Auskunftsansprüchen befasst und entschied im Januar 2025, dass einer Behörde nicht das Recht zustehe, das Auskunftsersuchen eines Betroffenen nach Art. 15 DSGVO mit dem Verweis auf einen unverhältnismäßigen Aufwand zu verweigern und stattdessen lediglich Akteneinsicht zu gewähren (BFH, Urt. v. 14.01.2025 – Az. IX R 25/22). Zwar müsse der Verantwortliche nach Art. 14 Abs. 5 lit. b) Alt. 2 DSGVO seinen Informationspflichten nach der DSGVO nicht nachkommen, wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre. Dies gelte jedoch nur hinsichtlich der Informationspflichten im Sinne von Art. 14 DSGVO und sei nicht analog auf das Auskunftsbegehren anwendbar. Das Auskunftsrecht stehe insbesondere nicht unter dem allgemeinen Vorbehalt der Verhältnismäßigkeit und könne nicht schon deshalb als exzessiv abgelehnt werden, weil die betroffene Person Auskunft zu ihren personenbezogenen Daten begehre, ohne dieses Begehren in sachlicher beziehungsweise zeitlicher Hinsicht einzuschränken. 

In einem Urteil aus September 2025 konkretisierte der EuGH den Begriff der personenbezogenen Daten hinsichtlich der Übermittlung pseudonymisierter Daten an Dritte (EuGH, Urt. v. 04.09.2025 – Az. C-413/23 P). Die Pseudonymisierung sei eine technische und organisatorische Maßnahme und ziele darauf ab, zu verhindern, dass Betroffene ohne zusätzliche Informationen identifiziert werden können. Die verantwortliche Stelle verfüge regelmäßig über zusätzliche Informationen, die eine Zuordnung der Daten zu einer bestimmten Person ermöglichen. Umgekehrt könnten nicht-personenbezogene Daten zu personenbezogenen Daten werden, wenn die verantwortliche Stelle die Daten an eine Person übermittelt, die über entsprechende Mittel oder Informationen verfüge, die eine Identifizierung ermöglichen. Infolgedessen komme es bei der Pseudonymisierung für die Qualifikation als personenbezogenes Datum darauf an, ob der Dritte tatsächlich in der Lage ist, die Pseudonymisierung aufzuheben und einen Personenbezug herzustellen.

Auch die datenschutzrechtliche Verantwortlichkeit war Gegenstand einer diesjährigen Entscheidung des BGH. Dieser entschied in seinem Urteil aus Oktober 2025, dass Arbeitnehmer in der Regel keine Verantwortlichen im Sinne der DSGVO sind (BGH, Beschl. v. 07.10.2025 – Az. VI ZR 294/24). Dabei bezog sich der BGH auf die ständige Rechtsprechung des EuGH, nach der Mitarbeitende des Verantwortlichen regelmäßig auf Grundlage von Weisungen des Verantwortlichen handeln und daher diesem unterstellt sind.

Schließlich wies das Gericht der Europäischen Union (EuG) im September 2025 eine Nichtigkeitsklage gegen den Angemessenheitsbeschluss der Europäischen Kommission, der am 10. Juli 2023 für die Datenübermittlung in die USA erlassen wurde, ab und bestätigte damit ein angemessenes Datenschutzniveau in den USA für den Zeitpunkt des Erlasses des angefochtenen Beschlusses (Pressemitteilung v. 03.09.2025). In seinem Urteil stellte der EuGH zunächst fest, dass die Unabhängigkeit der Mitglieder des US-Datenschutzgerichts (DPRC) durch mehrere Garantien und Bedingungen zur Arbeitsweise des DPRC und zur Ernennung seiner Richter gewährleistet sei. Hinsichtlich der Vorgehensweise von US-Nachrichtendiensten unterliege die Genehmigung einer Sammelerhebung personenbezogener Daten der nachträglichen Überprüfung durch den DPRC und sei unter Beachtung der EuGH-Rechtsprechung ausreichend.

Entwicklungen in der Gesetzgebung

Am 28. Juni 2025 trat das Barrierefreiheitsstärkungsgesetz (BFSG) in Deutschland in Kraft. Das BFSG soll die gleichberechtigte und diskriminierungsfreie Teilhabe von Menschen mit Behinderungen, Einschränkungen und älteren Menschen an bestimmten Produkten und Dienstleistungen, insbesondere auch an Angeboten im E-Commerce, fördern. Hierzu sieht das Gesetz verschiedene Anforderungen an die Gestaltung bestimmter Produkte und Dienstleistungen vor. Das BFSG setzt die EU-Richtlinie über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen vom 17. April 2019 (Richtlinie 2019/882), die die technischen Anforderungen an die Barrierefreiheit sowie die barrierefreien Informationspflichten einheitlich festlegt, um.

Seit dem 1. August 2025 gelten die Regelungen der zweiten Stufe der KI-Verordnung. Diese Regelungen betreffen vor allem den Einsatz von KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI – GPAI). Hierunter fallen etwa häufig genutzte Systeme wie Mistral oder ChatGPT. Außerdem finden seit August 2025 auch die Regelungen zu Sanktionen und zur Organisation des Europäischen Amts für künstliche Intelligenz (AI-Office) Anwendung. Das AI-Office soll zukünftig die Einhaltung der Vorgaben aus der KI-VO für GPAI-Modelle länderübergreifend überwachen und durchsetzen und sich hierfür mit den Aufsichtsbehörden in den EU-Mitgliedsstaaten (in Deutschland der Bundesnetzagentur) abstimmen.

Seit dem 12. September 2025 gilt der Data Act, welcher den Zugang, den Austausch und die Nutzung von Daten fördert. Der Data Act betrifft Hersteller, Dateninhaber und Nutzer von vernetzten Produkten und verbundenen Dienstleistungen. Dabei werden das Recht auf Zugang und Bereitstellung von Daten sowie das Recht auf Weitergabe der Daten an Dritte geregelt. Ferner definiert der Data Act neue verpflichtend abzuschließende Vertragstypen, darunter den Datennutzungsvertrag über die Verarbeitung nicht-personenbezogener Daten (Art. 4 Abs. 13 Data Act), den Bereitstellungsvertrag zwischen Dateninhaber und Datenempfänger (Art. 8 f. Data Act) und den Vertrag zur Erleichterung des Wechsels zwischen Datenverarbeitungsdiensten (Art. 23 ff. Data Act).

Aktivitäten von Aufsichtsbehörden 

Auch im Jahr 2025 haben die Datenschutzaufsichtsbehörden der Mitgliedstaaten der EU unterschiedliche datenschutzrechtliche Themen aufgegriffen. Sowohl die Verhängung von Bußgeldern aufgrund von Datenschutzverstößen als auch die Veröffentlichung von Stellungnahmen und Hinweisen zu ausgewählten Themen standen im Vordergrund.

Bußgelder

Die spanische Datenschutzaufsichtsbehörde (AEPD) hat gegen die Versicherungsgesellschaft Generali España ein Bußgeld in Höhe von 4 Millionen Euro verhängt. Dem lag ein Hackerangriff zugrunde, der seit dem 19. September 2022 bestand und am 5. Oktober 2022 entdeckt wurde. Die Generali España meldete erst im November 2022 einen Angriff auf ihre Systeme. Während des Angriffs hatten Hacker Zugriff auf die Systeme und damit auch auf personenbezogene Daten von ehemaligen Kunden. Bei ihrer Entscheidung hat die Aufsichtsbehörde nicht nur die Datenschutzverstöße berücksichtigt, sondern auch den Umgang der Generali España mit dem Datenschutzvorfall.

Die irische Datenschutzaufsichtsbehörde (DPC) hat am 2. Mai 2025 ein Bußgeld in Höhe von 530 Millionen Euro gegen die TikTok Technology Limited (TikTok) aufgrund der unrechtmäßigen Übermittlung von Daten europäischer Nutzer nach China verhängt. Die DPC stellte fest, dass von chinesischen Servern auf Daten europäischer Nutzer zugegriffen werden konnte. Zunächst gab TikTok an, dass keine Nutzerdaten auf Servern in China gespeichert würden. Später korrigierte sich TikTok dahingehend, dass ein Problem entdeckt worden sei, infolgedessen doch begrenzt EU-Nutzerdaten auf Servern in China gespeichert würden. TikTok habe es nach Ansicht der Aufsichtsbehörde versäumt, das Schutzniveau angemessen zu bewerten und infolgedessen geeignete Schutzmaßnahmen zu treffen. Weiterhin wurde die Datenübermittlung in die Drittstaaten nicht in der Datenschutzerklärung aufgeführt.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat gegen die Vodafone GmbH zwei Geldbußen in Höhe von insgesamt 45 Millionen Euro verhängt. Die Verhängung der Geldbuße erfolgte in Höhe von 15 Millionen Euro, weil das Unternehmen seiner Pflicht zur datenschutzrechtlichen Kontrolle der beauftragten Auftragsverarbeiter nicht in ausreichendem Maße nachkam. Mitarbeiter der Partneragenturen hatten die Möglichkeit – zulasten der betroffenen Kunden – unberechtigt neue Verträge zu erstellen oder bestehende Verträge zu manipulieren. Aufgrund gravierender Sicherheitslücken im Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ und der Kundenhotline wurde eine weitere Geldbuße in Höhe von 30 Millionen Euro verhängt. Die mangelhafte Absicherung ermöglichte es Unbefugten beispielsweise, eSIM-Profile abzurufen.

Die französische Datenschutzbehörde (CNIL) hat ein Bußgeld in Höhe von 325 Millionen Euro gegen Google verhängt. Google blendete in den Postfächern der Gmail-Nutzer Werbung in Form von E-Mails ohne die Einwilligung der Nutzer ein und verstieß nach Ansicht der Behörde damit gegen Art. 34-5 des französischen Telekommunikationsgesetztes (CPCE). Zudem setzte Google bei der Erstellung eines Google-Kontos Cookies, mit denen personalisierte Werbung angezeigt werden konnte. Die Wirksamkeit der eingeholten Einwilligungen sei nach Auffassung der CNIL daran gescheitert, dass Google die Nutzer nicht hinreichend darüber informiert habe, dass man Google-Dienste ohne die Zulassung von Cookies für Werbezwecke nicht nutzen könne.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat ein Bußgeld in Höhe von 492.000 Euro gegen ein Unternehmen aus der Finanzwirtschaft wegen automatisierter Entscheidungen über Kreditkartenanträge verhängt. Mithilfe automatisierter Entscheidungen wurden die Kreditkartenanträge mehrerer Kunden von einem Finanzunternehmen abgelehnt – trotz guter Bonität. Die betroffenen Kunden verlangten eine Begründung für die Ablehnung, woraufhin das Unternehmen seinen datenschutzrechtlichen Informations- und Auskunftspflichten nicht ausreichend nachkam.

Die kroatische Datenschutzbehörde hat ein Bußgeld in Höhe von 4,5 Millionen Euro gegen ein Telekommunikations­unternehmen wegen der unrechtmäßigen Übermittlung personenbezogener Daten an ein Drittland verhängt. Im Zeitraum von April 2022 bis Dezember 2022 wurde die Datenübermittlung an den Auftragsverarbeiter in Serbien noch auf Standardvertragsklauseln gestützt. Nach diesem Datum bestanden keine Standardvertragsklauseln mehr und ein Angemessenheitsbeschluss seitens der EU-Kommission existiert für Serbien nicht. Eine Risikobewertung wurde von dem Unternehmen nicht vorgenommen und die Anmerkungen des Datenschutzbeauftragten wurden ignoriert. Die Datenübermittlung hat gegen Art. 44 i.V.m. Art. 46 Abs. 1 DSGVO verstoßen, welche die Implementierung geeigneter Garantien für die Drittstaatenübermittlung vorschreibt. Zudem wurden die Kunden nicht über die Datenübermittlung in einen Drittstaat informiert.

Stellungnahmen und Hinweise

Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat auf die datenschutzrechtlichen Risiken, die mit der Nutzung des chinesischen KI-Tools DeepSeek verbunden sind, hingewiesen. Es sei derzeit davon auszugehen, dass das Tool die Anforderungen der DSGVO und der KI-Verordnung nicht erfülle. Aus der Datenschutzerklärung des Anbieters ergebe sich etwa, dass alle in das Tool eingespeisten Informationen und Dokumente uneingeschränkt aufgezeichnet, übertragen, gespeichert und analysiert werden. Außerdem weise der Anbieter darauf hin, dass er verpflichtet sei, die Daten auch an den chinesischen Geheimdienst sowie Sicherheitsbehörden weiterzugeben.

Betreffend die Pflicht zur Möglichkeit der Gastbestellung im Onlinehandel konnte der HmbBfDI durch eine beschwerdeunabhängige Prüfung Verbesserungen durchsetzen. Im Januar 2025 hatte der HmbBfDI angesichts eines Beschlusses der DSK, wonach Onlinehändler ihre Kunden grundsätzlich nicht zur Anlage eines Kundenkontos verpflichten dürfen, sondern die Gastbestellung ohne dauerhafte Registrierung ermöglich müssen, relevante Hamburger Onlineshops einer Überprüfung unterzogen. Die Mehrzahl der überprüften Webseiten enthielt entsprechende Optionen. In einem Fall konnte der HmbBfDI nach Aufforderung die Einrichtung der Gastbestellmöglichkeit erreichen.

Die Landesdatenschutzbeauftragte in NRW (LDI) veröffentlichte im Juli 2025 eine Stellungnahme, in der sie erklärt, wann die Verarbeitung von Gesundheitsdaten erlaubt ist und inwieweit Arbeitgeber Einblick in den Gesundheitszustand der bei ihnen Beschäftigten nehmen dürfen. Als Rechtsgrundlage kommen nach Auffassung der LDI NRW insbesondere § 26 Abs. 3 BDSG i.V.m. Art. 9 Abs. 2 lit. b) DSGVO und die Vorschriften aus dem Entgeltfortzahlungsgesetz (EFZG) sowie Art. 6 Abs. 1 S. 1 lit. b) i.V.m. dem Arbeitsvertrag in Betracht. Eine Einwilligung scheide angesichts der Drucksituation in der Regel aus. Zudem seien die Daten getrennt von der Personalakte und den üblichen ärztlichen Arbeitsunfähigkeitsbescheinigungen aufzubewahren.

Die Datenschutzaufsichtsbehörden der Länder haben Kritik an einem aktuellen Gesetzesvorhaben des Bundesministeriums für Digitales und Staatsmodernisierung geübt. Dieses will die Marktüberwachung für bestimmte grundrechtsrelevante Künstliche Intelligenz der Bundesnetzagentur übertragen, obwohl diese Aufgabe nach der KI-Verordnung bereits den Datenschutzaufsichtsbehörden zugewiesen ist. Hierdurch sollen laut des Entwurfs Hemmnisse für Innovationen abgebaut werden. Betroffen sind insbesondere KI-Systeme aus dem Hochrisikobereich, die für Zwecke der Strafverfolgung, das Grenzmanagement sowie die Justiz und Demokratie eingesetzt werden.

Ausblick 2026

Einige Datenschutzthemen aus den Vorjahren werden auch im Jahr 2026 von Bedeutung sein – wie etwa Fragestellungen bezogen auf den Schadensersatzanspruch nach Art. 82 DSGVO sowie die Nutzung verschiedener KI-Tools. Daneben sind auch neue datenschutzrechtliche Themen zu erwarten.

Dem EuGH liegen derzeit zwei Vorabersuchen vor. In einem Verfahren rund um einen „Google-Fonts-Datenschutzverstoß“ legte der BGH im August 2025 dem EuGH unter anderem die Fragen vor, ob ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auch dann vorliegen kann, wenn die betroffene Person einen Datenschutzverstoß des Verantwortlichen bewusst und allein zu dem Zweck der Geltendmachung des Verstoßes herbeiführt, und – falls die erste Frage bejaht wird – ob dies auch dann gilt, wenn gleichartige Verstöße in großer Zahl in automatisierter Weise provoziert werden (BGH, Beschl. v. 28.08.2025 – Az. VI ZR 258/24). Im September 2025 hat der BGH ein Verfahren um die Eigenwerbung des Onlinedienstes Facebook mit der Aussage „kostenlos“ ausgesetzt, um dem EuGH eine Frage zur Auslegung des Begriffs „Kosten“ im Sinne der Richtlinie über unlautere Geschäftspraktiken vorzulegen (BGH, Beschl. v. 25.09.2025 – Az. I ZR 11/20). Die Entscheidungen des EuGH bleiben abzuwarten.

Im November 2025 hat die EU-Kommission ein Digitalpaket veröffentlicht, das einen sogenannten Digitalen Omnibus, eine Strategie für die Datenunion und die Einführung von European Business Wallets umfasst. Mithilfe eines digitalen Omnibusses sollen künftig die bestehenden Vorschriften für Künstliche Intelligenz, Cybersicherheit und Daten vereinfacht werden. Zudem umfasst die Strategie für die Datenunion Maßnahmen zur Erschließung hochwertiger Daten für KI durch Ausweitung des Zugangs zu diesen Daten. Schließlich unterbreitete die Kommission den Vorschlag, mit dem European Business Wallet ein digitales Instrument einzuführen, um unternehmerische Vorgänge zu digitalisieren und damit in Zukunft den Verwaltungsaufwand um jährlich 150 Millionen Euro zu senken.

Über die datenschutzrechtlichen Ereignisse und Herausforderungen, die das Jahr 2026 mit sich bringt, wird das Datenschutzrechtsteam von BRANDI Sie natürlich auch im neuen Jahr auf dem Laufenden halten.