Datenschutz-Update (04/2026)
,
mit der heutigen Ausgabe unseres Datenschutz-Updates wollen wir Sie wieder über die aktuellen Entwicklungen im Datenschutzrecht informieren. Wie immer gehen wir auf aktuelle Urteile und Entscheidungen der Aufsichtsbehörden ein und berichten über die neuesten Veröffentlichungen der zuständigen Behörden und Gremien.
Viel Spaß bei der Lektüre wünschen Ihnen.
|
|

Philippe Heinzke
|

Reemt Matthiesen
|

Dr. Frederic Ufer
|
|
Neues aus den Datenschutzbehörden und Aktuelles
1. EDPB und EDPS: Gemeinsame Stellungnahme zum Digitalen Omnibus
Nachdem die EU-Kommission im November 2025 ihren sog. "Digitalen Omnibus"-Entwurf veröffentlicht hat, der darauf abzielt, das System der europäischen Digitalregulierung u.a. im Hinblick auf die Rahmenwerke zu Daten, Künstlicher Intelligenz (KI), Cybersicherheit und Plattformen zu vereinfachen, haben der Europäische Datenschutzausschuss (European Data Protection Board (EDPB)) und der Europäische Datenschutzbeauftragte (European Data Protection Supervisor (EDPS)) eine gemeinsame Stellungnahme zu dem Entwurf abgegeben. Die deutschen Datenschutzaufsichtsbehörden haben als Teil des EDPB an dieser Stellungnahme mitgewirkt. EDPB und EDPS äußern erhebliche Bedenken hinsichtlich einiger der von der EU-Kommission vorgeschlagenen Änderungen, die insb. das Schutzniveau beeinträchtigten, zu Rechtsunsicherheit führen und die Anwendung der DSGVO erschweren könnten.
Unter anderem der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat die geäußerten Bedenken einer Pressemitteilung vom 11. Februar 2026 unterstrichen. Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit wird in einer Pressemitteilung vom 11. Februar 2026 deutlich: "[…] Die vorgeschlagenen Änderungen an der Definition personenbezogener Daten berühren […] zentrale Grundpfeiler des Datenschutzes und würden dazu führen, dass künftig weniger Daten als bislang als personenbezogen gelten. Das könnte es künftig auch erschweren, Werbe-Tracking und Nutzerverfolgung im Internet zu begrenzen […]".
2. EU-Kommission: Studie zur Interoperabilität von Datenverarbeitungsdiensten
Am 23. Februar 2026 hat die EU-Kommission Ergebnisse der Studie zur Interoperabilität von Datenverarbeitungsdiensten veröffentlicht. Diese Studie soll u.a. die Veröffentlichung der ersten offenen Spezifikationen und harmonisierten Standards vorbereiten, welche die im Data Act festgelegten Anforderungen erfüllen. Entwickelt wurde u.a. eine Bewertungsmethodik. Die Studie enthält zudem Empfehlungen für Bereiche, in denen neue Standards entwickelt werden könnten.
3. EU-Kommission: Angemessenheitsbeschlüsse mit Brasilien
Die Europäische Kommission hat Ende Januar 2026 gemeinsam mit Brasilien Angemessenheitsbeschlüsse zur gegenseitigen Bestätigung eines vergleichbaren Datenschutzniveaus angenommen. Diese sollen den freien Datenfluss ohne zusätzliche Anforderungen zwischen der EU und Brasilien ermöglichen und den Handel mit dem südamerikanischen Land stärken. Auch die Funktionsweise dieses Angemessenheitsbeschlusses wird die Kommission nach vier Jahren überprüfen. Angemessenheitsbeschlüsse bestehen darüber hinaus u.a. für Argentinien, Kanada, Japan und die USA.
4. EDPB: Erklärung zu KI-generierten Bildsprachen und zum Schutz der Privatsphäre
Am 23. Februar 2026 gab der EDPB bekannt, dass dessen Vorsitzende im Namen des EDPB eine gemeinsame Erklärung der Global Privacy Assembly zu KI-generierten Bildsprachen und zum Schutz der Privatsphäre unterzeichnet hat. Die Unterzeichnenden erinnern Organisationen, die KI-Content-Generierungssysteme entwickeln und nutzen, daran, dass dies im Einklang mit den rechtlichen Rahmenbedingungen, einschließlich der DSGVO, erfolgen müsse.
5. EDPB: Arbeitsprogramm 2026 bis 2027
Der EDPB hat sein "Work Programme 2026 – 2027" vorgelegt. Das auf vier Säulen basierende Programm konzentriert sich auf (1) die Verbesserung der Harmonisierung und Förderung der Einhaltung der DSGVO, (2) die Stärkung einer gemeinsamen Durchsetzungskultur und einer wirksamen Zusammenarbeit der Datenschutzbehörden, (3) die Gewährleistung des Datenschutzes in einer sich laufend weiter entwickelnden digitalen und regulatorischen Landschaft und möchte (4) einen Beitrag zum globalen Dialog über Datenschutz leisten. Der EDPB wird unter anderem weiterhin Checklisten, Vorlagen, Leitlinien und Tools bereitstellen (u.a. zur Anonymisierung und Pseudonymisierung oder zum Verhältnis von DSGVO und KI-VO), bestehende Leitlinien updaten, Themen wie generative KI und Datenscraping im Blick behalten und den internationalen Dialog mit Drittstaaten fördern.
6. EDPB: Report zur koordinierten Aktion 2025
Nachdem im letzten Jahr das Recht auf Löschung nach Art. 17 DSGVO Gegenstand der koordinierten Aktion der Datenschutzbehörden war, hat der EDPB im Februar 2026 den dazugehörigen Report verabschiedet. Ziel der jährlichen koordinierten Aktionen der Datenschutzaufsichtsbehörden ist die Bewertung der Umsetzung der DSGVO durch Befragung von Unternehmen. Zudem möchten die Datenschutzbehörden einen Überblick über bewährte Vorgehensweisen von Verantwortlichen gewinnen. Bei der Umsetzung von Art. 17 DSGVO fehle es dem Bericht zufolge teilweise an ausreichenden Informationen oder angemessenen internen Verfahren zur Bearbeitung von Betroffenenanfragen. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich mit Pressemitteilung vom 18. Februar 2026 zu den Ergebnissen geäußert und berichtet, dass sich in Deutschland 60 Unternehmen, Behörden bzw. sonstige Organisationen zu dem im Rahmen der Aktion übersendeten Fragebogen geäußert haben. Die DSK bestätigt die Erkenntnisse aus dem Report und macht auf das Fehlen interner Schulungen und bestehende Rechtsunsicherheiten aufmerksam. In Deutschland hatten sich die Datenschutzaufsichtsbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) beteiligt.
Die koordinierte Aktion in diesem Jahr wird die Transparenz- und Informationspflichten gemäß Art. 12 bis Art. 14 DSGVO betreffen.
7. Bundestag: Data-Act-Durchführungsgesetz
Der Bundestag hat das Data-Act-Durchführungsgesetz (DADG) beschlossen, mit dem die Bundesnetzagentur (BNetzA) als zuständige Behörde und somit zentrale Anlaufstelle bestimmt wird. Für Unternehmen besonders wichtig: Die datenschutzrechtliche Aufsicht bei privatwirtschaftlichen Belangen erhält die/der BfDI. Die Zustimmung des Bundesrats zum DADG steht noch aus.
8. Bundesrat: Keine Einwendungen gegen Daten-Governance-Gesetz
Der Bundesrat hat beschlossen, gegen den Gesetzentwurf für das Daten-Governance-Gesetz (DGG) keine Einwendungen zu erheben. Das DGG enthält nationale Durchführungsbestimmungen für den seit 2023 als Verordnung unmittelbar in den Mitgliedstaaten geltenden Data Governance Act (DGA). Ziel ist die Schaffung eines nationalen Rahmens für die Weiterverwendung geschützter Daten der öffentlichen Hand, für Datenvermittlungsdienste sowie für datenaltruistische Organisationen. Das DGG enthält Bestimmungen zu Zuständigkeiten und Sanktionen. Zuständige Behörden werden in Deutschland die BNetzA und das Statistische Bundesamt sein.
9. Hamburg: Fragenkatalog zur DSGVO-Interessenabwägung
Anfang des Jahres hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit einen Fragenkatalog zur Bestimmung des berechtigten Interesses in deutscher und englischer Sprache veröffentlicht. Der 15-seitige Fragenkatalog soll Unternehmen dabei unterstützen, ihr Interesse an einer Datenverarbeitung mit den Rechten und Interessen der betroffenen Person abzuwägen.
|
|
Neue DSGVO-Bußgelder
1. Frankreich: Bußgeld in Höhe von EUR 27 Mio. wegen unzureichender TOM
Ein Bußgeld in Höhe von EUR 27 Mio. verhängte die französische Datenschutzbehörde im Januar dieses Jahres gegen ein Mobilfunkunternehmen wegen unzureichender technischer und organisatorischer Maßnahmen (TOM), die einen Datenabfluss ermöglichten. In diesem Fall wurde ein unzureichendes Authentifizierungsverfahren eingesetzt. Zudem informierte der Verantwortliche die Betroffenen nicht ausreichend.
2. Frankreich: Bußgeld in Höhe von EUR 15 Mio. wegen unzureichender TOM
Die französische Datenschutzbehörde hat außerdem im Januar 2026 ein Bußgeld in Höhe von EUR 15 Mio. ebenfalls wegen unzureichender TOM, die aufgrund eines unzureichenden Authentifizierungsverfahrens eine Datenpanne ermöglichten, verhängt. Auch in diesem Fall wurden die Betroffenen nicht hinreichend informiert.
3. Frankreich: Bußgeld in Höhe von EUR 5 Mio. wegen unzureichender TOM
Ebenfalls in Frankreich hat die Datenschutzbehörde im Januar dieses Jahres ein weiteres DSGVO-Bußgeld in Höhe von EUR 5 Mio. gegen die französische Agentur für Arbeit ausgesprochen wegen unzureichender TOM zur Gewährleistung der Informationssicherheit, die einen Cyberangriff ermöglichten. Hierdurch flossen die personenbezogenen Daten von über 38 Mio. Betroffenen ab.
4. Schweden: Bußgeld in Höhe von EUR 565.000 wegen unzureichender TOM
In Schweden belief sich das wegen unzureichender TOM verhängte Bußgeld auf EUR 565.000. Auch in diesem Fall war der Verantwortliche Adressat einer Cyberattacke, gegen deren Angriffsmethode dieser nicht geschützt war. In der Folge flossen personenbezogene Daten von über 2,1 Mio. Personen ab und wurden im Darknet veröffentlicht.
|
|
Aktuelles aus der Rechtsprechung
1. EuGH: Auskunft und Schadensersatz
Auf eine Vorlage aus Deutschland hat sich der Gerichtshof der Europäischen Union (EuGH) zum Auskunftsrecht aus Art. 15 DSGVO und zum Schadensersatzanspruch gemäß Art. 82 DSGVO geäußert und geurteilt, dass ein Antrag auf Auskunft über die eigenen personenbezogenen Daten als missbräuchlich eingestuft und zurückgewiesen werden kann, wenn der Antrag allein in der Absicht gestellt wird, anschließend Schadensersatz wegen eines angeblichen DSGVO-Verstoßes zu fordern (Urteil vom 19. März 2026 – C-526/24). In dem vorliegenden Fall, der vor dem AG Arnsberg landete, hatte sich der Betroffene zu einem Newsletter eines Unternehmens angemeldet und später Auskunft und Schadensersatz gefordert. Das verantwortliche Unternehmen wies den Antrag als missbräuchlich und exzessiv zurück, weil aus Medienberichten, Blog-Beiträgen und Berichten von Kanzleien ersichtlich sei, dass sich der Antragsteller systematisch zu Newslettern anmelde mit dem Ziel, Auskunft und Schadensersatz zu fordern.
Der EuGH stellte nunmehr klar, dass ein Antrag auf Auskunft nach Art. 15 DSGVO exzessiv und rechtsmissbräuchlich sein kann, wenn der Antrag nicht gestellt wurde, um sich der Datenverarbeitung bewusst zu werden und um die Rechtmäßigkeit der Datenverarbeitung zu überprüfen, sondern in der Absicht, „künstlich die Voraussetzungen für die Erlangung von Schadensersatz nach der DSGVO zu schaffen“. Hierbei seien die Umstände des Einzelfalls zu berücksichtigen, zum Beispiel wenn der Betroffene die Daten freiwillig zur Verfügung gestellt hat und zu welchem Zweck, das sonstige Verhalten des Betroffenen (wie beispielsweise die o.g. öffentlich einsehbaren Berichte) sowie die Zeit, die zwischen Zurverfügungstellung und Auskunftsverlangen verstrichen sei. Der EuGH betont zudem erneut, dass die betroffene Person, die Schadensersatz fordert, nachweisen muss, dass ihr tatsächlich ein entsprechender Schaden entstanden ist. Sofern das eigene Verhalten des Betroffenen schadensursächlich ist, könne dieser auch keinen DSGVO-Schadensersatz verlangen. Das Verfahren liegt nun zur erneuten Entscheidung beim AG Arnsberg.
2. EuGH: Zulässigkeit einer Klage gegen verbindlichen Beschluss des EDPB
Der EuGH hat außerdem entschieden, dass ein Beschluss des EDPB, der verbindliche Bußgelder für WhatsApp Ireland vorsieht, vor den Gerichten der EU angefochten werden kann, insb. handele es sich bei einem solchen Beschluss nicht um eine bloße Zwischenmaßnahme (Urteil vom 10. Februar 2026 – C-97/23 P). Der EuGH-Entscheidung war eine Entscheidung des Gerichts der EU (EuG) vorausgegangen. Das EuG hatte in dieser die gegen den Beschluss gerichtete Nichtigkeitsklage als unzulässig abgewiesen. Folge des EuGH-Urteils ist nun, dass das EuG in der Sache über die Klage entscheiden muss.
3. BGH: Zu Informationen zum Beitragsverlauf als personenbezogene Daten
Mit Urteil vom 18. Dezember 2025 hat der BGH entschieden, dass Informationen zum Beitragsverlauf eines privaten Krankenversicherungsvertrags nur personenbezogene Daten im Sinne des Art. 15 Abs. 1 DSGVO i.V.m. Art. 4 Nr. 1 DSGVO darstellen, wenn eine Verknüpfung der Daten mit einer bestimmten Person besteht (Urteil vom 18. Dezember 2025 – I ZR 97/25). Dies setzt voraus, dass die Person auf Grundlage dieser Informationen identifiziert ist oder werden kann. Nicht ausreichend sei dem BGH zufolge, dass die Informationen einen Sachverhalt betreffen, der Auswirkungen auf eine bestimmte Person hat. In diesem durch den BGH zu entscheidenden Fall ging es um Informationen zu Zeitpunkt und Höhe eines alten und neuen Beitrags für jede stattgefundene Beitragsanpassung durch die Versicherung, zum Zeitpunkt von erfolgten Tarifwechseln unter Angabe des Herkunfts- und Zieltarifs und zum Zeitpunkt erfolgter Tarifbeendigungen, zu denen der Betroffene gemäß Art. 15 DSGVO Auskunft verlangt hatte. Der BGH hat aber zugleich betont, dass dem Auskunftsanspruch nicht entgegensteht, dass der Betroffene datenschutzfremde Motive verfolge, wie zum Beispiel die Vorbereitung eines Rechtsstreits, in dem etwaig zu viel geleistete Beiträge von der Versicherung zurück gefordert werden sollten. Fälle wie dieser beschäftigten die Rechtsprechung seit einiger Zeit. Der BGH hat nun insoweit für Klärung umstrittener Fragen zur DSGVO gesorgt und die Sache an die vorherige Instanz zurückverwiesen.
4. Neues zum DSGVO-Schadensersatz
Das Thema Werbung unter Einsatz sog. Business Tools spaltet hinsichtlich eines Anspruchs auf Schadensersatz nach Art. 82 DSGVO derzeit die deutsche Rechtsprechung. Während einige Landgerichte, darunter zum Beispiel das LG Ellwangen (Urteil vom 5. Dezember 2025 – 6 O 80/25) und das LG Magdeburg (Urteil vom 7. August 2025 – 10 O 74/24) noch Schadensersatzansprüche abgelehnt hatten, sprechen einige Gerichte den Klägern bis zu EUR 5.000 zu, darunter zum Beispiel das LG Lübeck (Urteil vom 27. November 2025 – 15 O 15/24) und das LG Leipzig (Urteil vom 15. August 2025 – 05 O 1939/24). In diesen Fällen wandten sich die Kläger gegen die Verwendung der Business Tools des beklagten Betreibers einer Social-Media-Plattform und verlangten u.a. Schadensersatz wegen unbefugter Werbung. Die vergleichsweise hohen Schadensersatzansprüche, die zugesprochen wurden, begründeten die Gerichte mit einem Kontrollverlust, bei dem das digitale Privatleben in besonders umfangreicher und kaum zu überblickender Weise wiederholt betroffen sei. Zuletzt hatten auch das OLG Dresden in vier Verfahren Schadensersatz in Höhe von jeweils EUR 1.500 und das OLG Jena in Höhe von EUR 3.000 zugesprochen. In unserer Rechtsprechungsübersicht zu Art. 82 DSGVO halten wir Sie zu diesen Themen stets auf dem Laufenden: DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen.
|
|
Verband der Anbieter im Digital- und Telekommunikationsmarkt e. V.
Frankenwerft 35 • 50667 Köln • Tel.: +49 (0) 221 / 37677-25 • E-Mail: vatm@vatm.de
|
|
|