Webversion - abmelden - Profil aktualisieren

vatmcmsheader
dsgvoheader

Datenschutz-Update (10/2025)

,

mit der heutigen Ausgabe unseres Datenschutz-Updates wollen wir Sie wieder über die aktuellen Entwicklungen im Datenschutzrecht informieren. Wie immer gehen wir auf aktuelle Urteile und Entscheidungen der Aufsichtsbehörden ein und berichten über die neuesten Veröffentlichungen der zuständigen Behörden und Gremien.

Viel Spaß bei der Lektüre wünschen Ihnen.

abstand
Philippe Heinzke
abstand
abstand
Reemt Matthiesen
abstand
abstand
Dr. Frederic Ufer
abstand


I. Neues aus den Datenschutzbehörden und Aktuelles

1. Data Act seit dem 12. September 2025 anwendbar

2. EDPB: Leitlinien zum DSA und der DSGVO

3. Referentenentwurf: KI-Marktüberwachungs- und Innovationsförderungsgesetz

4. DSK: Anwendungshinweise zu Datenübermittlungen an Drittländer bei wissenschaftlicher Forschung zu medizinischen Zwecken

II. Neue DSGVO-Bußgelder

1. Polen: Bußgeld in Höhe von EUR 4,3 Mio. wegen fehlender Rechtsgrundlagen

2. Estland: Bußgeld in Höhe von EUR 3 Mio. wegen unzureichender TOM

3. Finnland: Bußgeld in Höhe vom EUR 1,8 Mio. wegen unzureichender TOM

4. Frankreich: Bußgeld in Höhe von EUR 100.000 wegen Nichteinhaltung datenschutzrechtlicher Prinzipien

5. Spanien: Bußgeld in Höhe von EUR 5.400 wegen unzureichender AVV

III. Aktuelles aus der Rechtsprechung

1. EuG: Klage auf Nichtigerklärung des Rahmens für die Übermittlung personenbezogener Daten zwischen der EU und den USA abgewiesen

2. EuGH: Präzisierung des Begriffs der personenbezogenen Daten

3. EuGH: Negative Gefühle als immaterieller Schaden

4. Generalanwalt: Schlussanträge zu Art. 12 und Art. 82 DSGVO

5. BAG: Zum Schadensersatz bei nicht erfüllten Auskunftspflichten

6. LG Lübeck: EuGH-Vorlage zu Art. 82 DSGVO

IV. CMS Blog-Beiträge und Weiteres

 

I. Neues aus den Datenschutzbehörden und Aktuelles

1. Data Act seit dem 12. September 2025 anwendbar
Seit dem 12. September 2025 gelten die Pflichten des Data Act, aber in Deutschland stecken die nationalen Umsetzungsgesetze noch im Entwurfsstadium. Der Data Act soll einen umfassenden Rechtsrahmen schaffen, der den Zugang zu und die Nutzung von Daten unionsweit harmonisiert. Unter anderem haben Nutzer von IoT-Produkten einen Anspruch auf Zugriff auf die durch die Nutzung ihrer Produkte und Services erzeugten Daten. Die EU-Kommission hat passend zu dem Stichtag ein aktualisiertes FAQ zum Data Act veröffentlicht. Auch wir geben in einem Blog-Beitrag einen aktuellen Überblick über den Stand der Umsetzung: Data Act: Ab 12. September 2025 gelten die Pflichten verbindlich. Zudem erfahren Sie alles Wichtige in unserer Videoserie zu den wichtigsten Regelungen des Data Acts

2. EDPB: Leitlinien zum DSA und der DSGVO
Der Europäische Datenschutzausschuss (European Data Protection Board (EDPB)) hat im September dieses Jahres Leitlinien zum Zusammenspiel zwischen dem Gesetz über digitale Dienste (Digital Services Act (DSA)) und der Europäischen Datenschutz-Grundverordnung (DSGVO) verabschiedet, da der DSA einige Bestimmungen aufweist, die die Verarbeitung personenbezogener Daten durch Anbieter von Vermittlungsdiensten vorsehen. Die Leitlinien sollen bei der Auslegung und Anwendung helfen, wie die DSGVO im Zusammenhang mit den Verpflichtungen im Rahmen des DSA angewendet werden sollte. Weitere Leitlinien zum Zusammenspiel des Gesetzes über digitale Märkte (Digital Markets Act (DMA)) und der DSGVO sowie der KI-Verordnung (AI Act) und den EU-Datenschutzgesetzen sollen folgen.

3. Referentenentwurf: KI-Marktüberwachungs- und Innovationsförderungsgesetz

Am 12. September 2025 ist der neue Entwurf für ein "KI-Marktüberwachungs- und Innovationsförderungsgesetz" (KI-MIG) erschienen und knüpft an den Entwurf aus dem letzten Jahr an. Das KI-MIG gibt Hinweise, wie Deutschland die Aufsichtsstruktur und die Behördenorganisation zur Umsetzung der KI-Verordnung gestalten könnte. Für alle Bereiche ohne bestehende oder gesetzlich zugewiesene Aufsichtsbehörde, wird die Bundesnetzagentur die zuständige Marktüberwachungsbehörde und notifizierende Behörde. Zudem sind Vorschriften zur Zusammenarbeit und Kooperation der zuständigen Marktaufsichtsbehörden und die Beteiligung weiterer Behörden vorgesehen. Dies betrifft u.a. insbesondere die nationalen Datenschutzbehörden. Diese sehen den Entwurf kritisch und äußern dies in diversen Pressemitteilungen: Hier beispielhaft die Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit.

4. DSK: Anwendungshinweise zu Datenübermittlungen an Drittländer bei wissenschaftlicher Forschung zu medizinischen Zwecken
Im September 2025 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Anwendungshinweise zu den Anforderungen an Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken veröffentlicht. Die Anwendungshinweise beziehen sich auf verschiedene rechtliche Grundlagen für die Übermittlung personenbezogener Daten wie Gesundheitsdaten oder in Biomaterialien enthaltene personenbezogene Daten an Drittländer und geben den Verantwortlichen Prüfungsschritte zur Beurteilung internationaler Forschungsvorhaben an die Hand.

II. Neue DSGVO-Bußgelder

Verschaffen Sie sich einen Überblick über die Bußgeldpraxis der Datenschutzbehörden mit der 6. Ausgabe unseres Enforcement Tracker Reports 2025.

1. Polen: Bußgeld in Höhe von EUR 4,3 Mio. wegen fehlender Rechtsgrundlagen
Die polnische Datenschutzbehörde hat gegen eine Bank im August 2025 eine Geldbuße in Höhe von EUR 4.323.250,00 verhängt. Der Verantwortliche hatte die Ausweisdokumente aller Kunden und potenziellen Kunden ohne ausreichende Rechtsgrundlage gescannt. Der Verantwortliche begann mit der Umsetzung dieses Vorgehens nach Einführung eines Gesetzes zur Bekämpfung der Geldwäsche. Allerdings hatte der Verantwortliche versäumt, die Notwendigkeit der Datenverarbeitung in jedem Einzelfall zu prüfen.

2. Estland: Bußgeld in Höhe von EUR 3 Mio. wegen unzureichender TOM
In Estland hat die Datenschutzbehörde im September dieses Jahres ein DSGVO-Bußgeld in Höhe von EUR 3 Mio. ausgesprochen. Der Verantwortliche hatte es versäumt, angemessene technische und organisatorische Maßnahmen (TOM) zur Gewährleistung der Datensicherheit zu ergreifen. Dies führte zu einer Datenpanne, von der die personenbezogenen Daten von 750.000 Personen betroffen waren, darunter Kinder und andere schutzbedürftige Gruppen.

3. Finnland: Bußgeld in Höhe vom EUR 1,8 Mio. wegen unzureichender TOM
Ebenfalls im September hat die finnische Datenschutzbehörde gegen ein Unternehmen eine Geldbuße in Höhe von EUR 1,8 Mio. verhängt. Aufgrund eines Softwarefehlers konnten sich Kunden des Verantwortlichen in die Bankkonten anderer Kunden einloggen, was zu finanziellen Verlusten führte.

4. Frankreich: Bußgeld in Höhe von EUR 100.000 wegen Nichteinhaltung datenschutzrechtlicher Prinzipien
Ein DSGVO-Bußgeld in Höhe von EUR 100.000,00 verhängte die französische Datenschutzbehörde im September dieses Jahres aufgrund von als Rauchmelder getarnten Überwachungskameras, die der Mitarbeiterüberwachung dienten, nachdem es in dem betreffenden Unternehmen zu mehreren Daten-Diebstählen gekommen war. Die Kameras wurden ohne Rücksprache mit dem Datenschutzbeauftragten und außerhalb des bestehenden Überwachungssystems installiert. Nach dem Abbau der "Testkameras" blieben SD-Karten mit Aufzeichnungen erhalten, was einen Datenschutz-Verstoß darstellt, den der Verantwortliche der Datenschutzbehörde nicht gemeldet hat.

5. Spanien: Bußgeld in Höhe von EUR 5.400 wegen unzureichender AVV
Die spanische Datenschutzbehörde hat ein DSGVO-Bußgeld in Höhe von EUR 5.400 ausgesprochen. Der Verantwortliche hat einen Auftragsverarbeiter eingesetzt und es versäumt, eine ausreichende Auftragsverarbeitungsvereinbarung (AVV) abzuschließen. Das ursprüngliche Bußgeld in Höhe von EUR 9.000 wurde aufgrund der sofortigen Zahlung und des Eingeständnisses der Verantwortung herabgesetzt.

III. Aktuelles aus der Rechtsprechung

1. EuG: Klage auf Nichtigerklärung des Rahmens für die Übermittlung personenbezogener Daten zwischen der EU und den USA abgewiesen
Das Gericht der Europäischen Union (EuG) hat die Klage auf Nichtigerklärung des EU-Angemessenheitsbeschlusses zur Übermittlung personenbezogener Daten zwischen der EU und den USA abgewiesen (Entscheidung vom 3. September 2025 – T-553/23). Es bestätigte, dass die USA zum Zeitpunkt des Beschlusses ein angemessenes Datenschutzniveau gewährleisteten. Der Data Protection Review Court (DPRC) wurde vom Gericht als unabhängig und mit ausreichenden Garantien für seine Mitglieder bewertet. Die Kommission überwacht allerdings fortlaufend die Einhaltung des Rechtsrahmens und kann bei Änderungen einschreiten.

2. EuGH: Präzisierung des Begriffs der personenbezogenen Daten
Mit Urteil vom 4. September 2025 hat der Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C-413/23 P die Bedeutung des Begriffs der personenbezogenen Daten im Zusammenhang mit der Übermittlung pseudonymisierter Daten an Dritte präzisiert. Der EuGH stellt in seiner Entscheidung klar, dass pseudonymisierte Daten nicht automatisch für alle Empfänger als personenbezogen gelten. Ihre Einordnung hänge vielmehr davon ab, ob Dritte den Betroffenen mit vertretbarem Aufwand identifizieren können. Die maßgebliche Perspektive für die Beurteilung der Identifizierbarkeit sei dabei die der datenverarbeitenden Stelle zum Zeitpunkt der Datenerhebung. Wesentlich seien dabei stets die Umstände im Einzelfall. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ordnet das Urteil als "weiteren Meilenstein in einer stark umstrittenen Rechtsfrage" ein.

3. EuGH: Negative Gefühle als immaterieller Schaden
Auf eine Vorlage des Bundesgerichtshofs (BGH, Beschluss vom 26. September 2023 – VI ZR 97/22) hat der EuGH mit Urteil vom 4. September 2025 (C-655/23) ausgeführt, dass der Begriff "immaterieller Schaden" im Sinne von Art. 82 DSGVO die negativen Gefühle umfassen könne, welche die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet wie z.B. Sorge oder Ärger und welche durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorgerufen werden. Allerdings setze dies dem EuGH zufolge voraus, dass die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des jeweiligen DSGVO-Verstoßes empfindet. Nicht zu berücksichtigen in der Bemessung der Höhe des Betrages sei der Grad des Verschuldens.

In dem zugrundliegenden Fall ging es um die irrtümliche Weiterleitung von Bewerberdaten an einen unbeteiligten Dritten durch eine Bank im Rahmen eines Bewerbungsprozesses. Zudem erfolgte keine unverzügliche Mitteilung an den Bewerber über die fehlerhafte Weiterleitung. Der Kläger machte in dem Verfahren geltend, nicht nur einen abstrakten Kontrollverlust über die Daten erlitten zu haben, sondern dass diese an die dritte, mit ihm bekannte und in derselben Branche tätige Person gelangt seien. In der ersten Instanz sprach das LG Darmstadt (Urteil vom 26. Mai 2020 – 13 O 244/19) dem Betroffenen noch einen Betrag in Höhe von EUR 1.000 zu, während das OLG Frankfurt a.M. (Urteil vom 2. März 2022 – 13 U 206/20) die Klage als darauffolgende Instanz abwies.

4. Generalanwalt: Schlussanträge zu Art. 12 und Art. 82 DSGVO
Mit Beschluss vom 31. Juli 2024 (42 C 434/23) hat das AG Arnsberg dem EuGH diverse Fragen zu Art. 82 DSGVO vorgelegt. Die Vorlagefragen betreffen Art. 12 Abs. 5 S. 2 und Art. 82 Abs. 1 DSGVO. Dem Verfahren zugrunde liegt eine Feststellungsklage des Verantwortlichen gegen den Betroffenen wegen Geltendmachung des Schadensersatzanspruchs gemäß Art. 82 DSGVO aufgrund nicht erfüllten Auskunftsverlangens. Der Verantwortliche verweigerte die Auskunft wegen Rechtsmissbrauchs gemäß Art. 12 Abs. 5 S. 2 lit. b) DSGVO, da der Betroffene einen Newsletter abonnierte, um zwei Wochen später Auskunft und daraufhin Schadensersatz zu verlangen. Seit dem 18. September 2025 liegen in der Sache die Schlussanträge des Generalanwalts vor.

Dieser spricht sich dafür aus, Art. 12 Abs. 5 S. 2 DSGVO dahin auszulegen, dass "ein erster Auskunftsantrag, der […] bei einem Verantwortlichen gestellt wird, als "exzessiv" eingestuft werden kann, wenn Letzterer anhand aller relevanten Umstände des Einzelfalls nachweist, dass die betroffene Person eine Missbrauchsabsicht verfolgt, wobei eine solche Absicht festgestellt werden kann, wenn diese Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, um diesen Auskunftsantrag stellen und anschließend Schadenersatz verlangen zu können". Allerdings könnte eine solche Forderung nicht allein aus dem Grund als "exzessiv" eingestuft werden, weil öffentlich zugängliche Informationen darauf schließen lassen, dass der Betroffene in einer Vielzahl anderer Fälle bei Verletzungen des Datenschutzrechts sein Recht auf Schadenersatz gegenüber einem Verantwortlichen geltend gemacht hat.

Art. 82 DSGVO ist dem Generalanwalt zufolge dahingehend auszulegen, dass der betroffenen Person aufgrund eines Verstoßes gegen die DSGVO entstandene Schäden "auch dann ersatzfähig sind, wenn sie nicht infolge einer Verarbeitung personenbezogener Daten dieser Person verursacht wurden". Ob der EuGH der Einschätzung des Generalanwalts folgen wird, bleibt abzuwarten.

5. BAG: Zum Schadensersatz bei nicht erfüllten Auskunftspflichten
Das Bundesarbeitsgericht (BAG) hat mit Urteil vom 5. Juni 2025 (8 AZR 117/24) die Entscheidung der Vorinstanz des Landesarbeitsgerichts (LAG) Düsseldorf (Urteil vom 10. April 2024 – 12 Sa 1007/23) bestätigt und entschieden, dass in dem betreffenden Fall ein Schadensersatz gemäß Art. 82 DSGVO wie von der Vorinstanz zugesprochen ausreichend sei. In dem vom BAG zu beurteilenden Sachverhalt ging es um eine nicht ordnungsgemäß erteilte Information an einen abgelehnten Bewerber. Der potenzielle Arbeitgeber hatte aufgrund einer Recherche in einer Suchmaschine von dessen (nicht rechtskräftiger) strafrechtlicher Verurteilung erfahren, ihn aber nicht hierüber informiert. Der Kläger habe dem BAG zufolge keinen Schaden nachgewiesen, der über die bereits durch die Vorinstanz zugesprochenen EUR 1.000 hinausgehe.

6. LG Lübeck: EuGH-Vorlage zu Art. 82 DSGVO
In der Vielzahl der Verfahren, in denen Kläger von einem Mobilfunkunternehmen Schadensersatz gemäß Art. 82 DSGVO wegen der Weitergabe von Positivdaten an eine Auskunftei fordern, ist es nun zu einer Vorlage an den EuGH gekommen. Während die meisten nationalen Gerichte die Klagen bisher unter der Annahme abwiesen, dass die Weitergabe von Art. 6 Abs. 1 lit. f) DSGVO gedeckt oder jedenfalls kein Schaden entstanden sei, legte das LG Lübeck legte dem EuGH mit Beschluss vom 4. September 2025 (15 O 12/24) die Frage vor, ob Art. 6 Abs. 1 lit. f) DSGVO auf diese Fälle Anwendung findet und ob diese Vorschrift dahingehend auszulegen ist, dass sie "die Übermittlung von Positivdaten von Mobilfunkunternehmen an privatrechtlich organisierte Auskunfteien ohne Einwilligung der Betroffenen jedenfalls dann nicht zu rechtfertigen vermag, wenn die Auskunfteien die übermittelten Daten sodann auch zur Profilbildung (Scoring) verwenden."

Eine weitere Vorlagefrage des LG Lübeck betrifft Art. 82 DSGVO. Das LG möchte vom EuGH wissen, ob Art. 82 Abs. 1 und 2 DSGVO dahingehend auszulegen ist, dass ein Kontrollverlust auch dann vorliegen kann, "wenn Positivdaten ohne Einwilligung des Betroffenen von Mobilfunkunternehmen an privatrechtlich organisierte Auskunfteien übermittelt und dort frühestens nach deutlich über einem Jahr gelöscht wurden und der betroffene Verbraucher bei Vertragsschluss auf die Datenübermittlung hingewiesen wurde". In den Verfahren hat also nun der EuGH zu entscheiden. Zunächst bleiben die Schlussanträge des Generalanwalts abzuwarten.

IV. CMS Blog-Beiträge und Weiteres

1. Veranstaltung am 16. Oktober 2025 in Berlin: CMS IMI 2025: Intellectual Property, Media & Innovation u.a. zum Data Act und der DSGVO.

2. Webinar-Reihe: Cyber Compliance Trilogie: NIS2, DORA & CRA.

3. OLG Köln: KI-Training mit Nutzerdaten ist zulässig.

4. Data Act: Ab 12. September 2025 gelten die Pflichten verbindlich.

5. EuGH: Keine Abweichung von DSGVO-Standards durch Betriebsvereinbarung.

6. Unsere Übersicht zur Rechtsprechung zum DSGVO-Schadensersatz wurde aktualisiert: DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) (cmshs-bloggt.de).

7. Auf CMSdigitallaws.com können Sie mit dem Volltext und den verlinkten Erwägungsgründen der DSGVO in deutscher und englischer Sprache arbeiten.

8. Mit unseren CMS Blog-Serien zu Künstlicher Intelligenz und zum Weltraumrecht bleiben Sie zu allen relevanten Themen auf diesen Gebieten auf dem Laufenden.

9. CMS Client Academy | Künstliche Intelligenz – Grundlagen | E-Learning und CMS Client Academy | Einführung in den Datenschutz | E-Learning.

Verband der Anbieter im Digital- und Telekommunikationsmarkt e. V.
Frankenwerft 35 • 50667 Köln • Tel.: +49 (0) 221 / 37677-25 • E-Mail: vatm@vatm.de