Webversion - abmelden - Profil aktualisieren

vatmcmsheader
dsgvoheader

Datenschutz-Update (12/2025)

,

mit der heutigen Ausgabe unseres Datenschutz-Updates wollen wir Sie wieder über die aktuellen Entwicklungen im Datenschutzrecht informieren. Wie immer gehen wir auf aktuelle Urteile und Entscheidungen der Aufsichtsbehörden ein und berichten über die neuesten Veröffentlichungen der zuständigen Behörden und Gremien.

Viel Spaß bei der Lektüre wünschen Ihnen.

abstand
Philippe Heinzke
abstand
Reemt Matthiesen
abstand
Dr. Frederic Ufer
 
 

Inhalt

Neues aus den Datenschutzbehörden und Aktuelles

Neue DSGVO-Bußgelder

Aktuelles aus der Rechtsprechung

CMS Blog-Beiträge und Weiteres


 
 

 

Neues aus den Datenschutzbehörden und Aktuelles

1. EU-Kommission: Digitaler Omnibus


Die Europäische Kommission hat im November dieses Jahres ihren sog. "Digitalen Omnibus"-Entwurf veröffentlicht, der darauf abzielt, das System der europäischen Digitalregulierung u.a. im Hinblick auf die Rahmenwerke zu Daten, Künstlicher Intelligenz (KI), Cybersicherheit und Plattformen zu vereinfachen, ohne die Schutzmaßnahmen zu verringern. Auch im Hinblick auf u.a. die DSGVO und den Data Governance Act sind hier Änderungen zu erwarten. Einen Überblick über die Auswirkungen des Digitalen Omnibus finden Sie hier. Zudem soll die KI-Verordnung angepasst werden. Einen Überblick über die wichtigsten geplanten Änderungen an der KI-Verordnung erhalten Sie hier. Der Europäische Datenschutzausschuss (European Data Protection Board (EDPB)) und der Europäische Datenschutzbeauftragte (European Data Protection Supervisor (EDPS)) kündigten an, eine gemeinsame Stellungnahme abgeben zu wollen.

2. EDPS: Leitlinien für das Risikomanagement von Systemen mit KI

Am 11. November 2025 hat der EDPS Leitlinien für das Risikomanagement von Systemen mit KI veröffentlicht. Die Leitlinien sollen Einblicke und praktische Empfehlungen bieten, damit häufige technische Risiken im Zusammenhang mit KI-Systemen identifiziert und gemildert werden können. Ziel ist, den Schutz personenbezogener Daten zu unterstützen. Die Leitlinien des EDPS bieten eine Checkliste für jede Phase im KI-Entwicklungszyklus.

3. EDPB: Thema der koordinierten Aktion 2026

Nachdem in diesem Jahr das Recht auf Löschung nach Art. 17 DSGVO Gegenstand der koordinierten Aktion der Datenschutzbehörden war, hat der EDPB am 14. Oktober 2025 das Thema der koordinierten Aktion 2026 bekannt gegeben. Diese wird die Einhaltung der Transparenz- und Informationspflichten gemäß Art. 12 bis Art. 14 DSGVO betreffen. Diese Vorschriften der DSGVO stellen u.a. sicher, dass betroffene Personen informiert werden, wenn ihre Daten verarbeitet werden. Ziel der koordinierten Aktionen ist eine Bewertung der Umsetzung der DSGVO durch Unternehmen und Behörden. Zudem möchten die Datenschutzbehörden hierdurch einen Überblick über bewährte Vorgehensweisen von Verantwortlichen gewinnen.

4. EDPB: Empfehlungen zur rechtlichen Grundlage für die Anschaffung von Benutzerkonten auf E-Commerce-Websites

Der EDPB hat im Dezember dieses Jahres die Empfehlungen 2/2025 zur rechtlichen Grundlage für die Anschaffung von Benutzerkonten auf E-Commerce-Websites vorgelegt. Diese sind Gegenstand einer öffentlichen Konsultation. Der EDPB empfiehlt, dass E-Commerce-Websites ihren Nutzern in der Regel erlauben sollten, auch ohne Kontoerstellung einzukaufen, beispielsweise über einen Gastmodus. Die verpflichtende Erstellung eines Benutzerkontos ist laut EDPB nur in wenigen Ausnahmefällen gerechtfertigt – etwa bei Abonnements oder exklusiven Angeboten. Ziel ist es, datensparsame und DSGVO-konforme Prozesse zu fördern und eine benutzerfreundliche Gestaltung des Online-Handels zu gewährleisten.

5. DSK: Orientierungshilfe zu datenschutzrechtlichen Besonderheiten generativer KI-Systeme mit RAG-Methode

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat Version 1.0 ihrer Orientierungshilfe zu datenschutzrechtlichen Besonderheiten generativer KI-Systeme mit Retrieval Augmented Generation (RAG)-Methode veröffentlicht. RAG-Systeme kombinieren große Sprachmodelle mit gezieltem Zugriff auf eigene Wissensquellen, um kontextbezogene Antworten zu liefern und die Genauigkeit sowie Verlässlichkeit des KI-Outputs zu erhöhen, z.B. unternehmensinterne Chatbots, die auf aktuelle Geschäftsdaten zugreifen. Unternehmen und Behörden können hiermit die Vorteile moderner KI nutzen und gleichzeitig Risiken für die Betroffenenrechte verringern, sofern Transparenz und Zweckbindung gewahrt bleiben. Datenschutzrechtliche Herausforderungen wie Transparenz und die Bewertung einzelner Verarbeitungen bleiben jedoch bestehen und erfordern laufende technische und organisatorische Maßnahmen (TOM).

6. Sachsen-Anhalt: Checkliste für Datenschutz- und Datensicherheitsstandards

Art. 40 Abs. 4 DSA verpflichtet Anbieter sehr großer Online-Plattformen oder sehr großer Online-Suchmaschinen auf begründetes Verlangen des Koordinators für digitale Dienste am Niederlassungsort innerhalb einer angemessenen Frist zugelassenen Forschern, die die Anforderungen des Art. 40 Abs. 8 DSA erfüllen, Zugang zu Daten zu gewähren u.a. zum ausschließlichen Zweck der Durchführung von Forschungsarbeiten. Art. 40 Abs. 8 DSA stellt dabei die Anforderungen an die Sicherheit personenbezogener Daten auf, die Forschende zu erfüllen haben. Die Landesbeauftragte für den Datenschutz Sachsen-Anhalt stellt zu diesen Anträgen auf Datenzugang eine Checkliste für die Datenschutz- und Datensicherheitsstandards zur Verfügung, die eine Hilfestellung für die Gewährleistung der Einhaltung der datenschutzrechtlich zu beachtenden Anforderungen leisten soll.


 
 

 

Neue DSGVO-Bußgelder

Verschaffen Sie sich einen Überblick über die Bußgeldpraxis der Datenschutzbehörden mit der 6. Ausgabe unseres CMS Enforcement Tracker Reports 2025.

1. Kroatien: Bußgeld in Höhe von EUR 4,5 Mio. wegen Nichteinhaltung der allgemeinen Prinzipien der Datenverarbeitung

In Kroatien hat die Datenschutzbehörde im November dieses Jahres ein DSGVO-Bußgeld in Höhe von EUR 4,5 Mio. ausgesprochen – u.a. wegen fehlender Standardvertragsklauseln (SCC). Der Verantwortliche hat persönliche Kundendaten an einen Verarbeiter in der Republik Serbien übertragen, wobei die Transfers vom 16. April 2020 bis spätestens 27. Dezember 2022 auf SCC basierten. Nach diesem Datum wurden die Übertragungen ohne SCC oder gleichwertige Schutzmaßnahmen fortgesetzt, obwohl für Serbien keine Angemessenheitsentscheidung vorliegt. Dem Verantwortlichen wurden darüber hinaus weitere DSGVO-Verstöße zur Last gelegt, wie z.B. eine unterlassene Risikobewertung für den Transfer sowie die unterlassene Information der Betroffenen.

2. Niederlande: Bußgeld in Höhe von EUR 2,7 Mio. wegen fehlender Rechtsgrundlagen

Ein DSGVO-Bußgeld in Höhe von EUR 2,7 Mio. verhängte die niederländische Datenschutzbehörde im Oktober dieses Jahres. Der Verantwortliche, ein Unternehmen, das die Kreditwürdigkeit von Einzelpersonen bestimmt und diese Informationen verkauft, verarbeitete personenbezogene Daten ohne ausreichende rechtliche Grundlage. Der Verantwortliche hat es zudem versäumt, die betroffenen Personen über die Verarbeitung ihrer Daten zu informieren.

3. Frankreich: Bußgeld in Höhe von EUR 1,5 Mio. wegen fehlender Rechtsgrundlagen

Die französische Datenschutzbehörde hat Ende November 2025 ein Bußgeld in Höhe von EUR 1,5 Mio. wegen fehlender Rechtsgrundlagen gegen einen Kreditkartenanbieter verhängt. Der Verantwortliche verwendete auf seiner Website übermäßige Cookies. Zudem versäumte der Verantwortliche, die betroffenen Personen ausreichend darüber zu informieren.



 
 

 

Aktuelles aus der Rechtsprechung

1. EuGH: Verantwortlichkeit des Betreibers einer Online-Marktplatz-Website im Sinne des Art. 4 Nr. 7 DSGVO

Der Gerichtshof der Europäischen Union (EuGH) hat entschieden, dass der Betreiber einer Online-Marktplatz-Website für die Verarbeitung von personenbezogenen Daten verantwortlich ist, die in den auf seiner Plattform veröffentlichten Anzeigen enthalten sind (EuGH, Urteil vom 2. Dezember 2025 – C-492/23). Den Verantwortlichen treffe insbesondere auch vor der Veröffentlichung die Pflicht, jene Anzeigen zu identifizieren, die sensible Daten enthalten, und zu überprüfen, ob der Inserent wirklich mit der Person übereinstimmt, deren Daten in der Anzeige enthalten sind, oder ob dieser über die ausdrückliche Einwilligung der betroffenen Person verfügt. Liegt eine solche Einwilligung nicht vor, ist die Veröffentlichung der Anzeige zu verweigern. Die genannten Pflichten sind dem EuGH zufolge durch geeignete TOM zu gewährleisten. Die unabhängigen Datenschutzbeauftragten von Berlin und Hamburg haben die Entscheidung des EuGH in einer Pressemitteilung begrüßt und geben eine Einordnung des Falls vor dem Hintergrund der DSGVO und des DSA. Diese Entscheidung des EuGH hat weitreichende Bedeutung für Betreiber von Online-Marktplätzen, da es ihre datenschutzrechtlichen Pflichten erheblich ausweitet und klare Vorgaben für den Umgang mit (sensiblen) personenbezogenen Daten macht. Damit setzt der EuGH neue Standards für die Kontrolle und Prävention auf digitalen Plattformen und erhöht die Anforderungen an TOM.

2. EuGH: Zum sog. "Soft Opt-In"

Mit Urteil vom 13. November 2025 in der Rechtssache C‑654/23 hat der EuGH eine wichtige Entscheidung zur Zulässigkeit von Newslettern im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung, dem sog. "Soft Opt-In" gefällt. Zum einen legt der EuGH den Begriff der "Direktwerbung" weit aus, sodass eine E-Mail-Adresse auch dann "im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung" erhalten wurde, wenn der Service für den Nutzer kostenlos erfolgt, aber über diesen weitere kostenpflichtige Services bestellt werden können. Dasselbe gelte, wenn der Service durch Werbung finanziert ist. Zum anderen hat der EuGH in diesem Fall entschieden, dass insbesondere die Voraussetzungen zur Verarbeitungsgrundlage aus Art. 6 DSGVO keine (parallele) Anwendung zu Art. 13 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation finden, da diese die DSGVO als speziellere Norm verdrängt. Die in Art. 6 Abs. 1 DSGVO vorgesehenen Voraussetzungen für die Rechtmäßigkeit der Verarbeitung sollen dem EuGH zufolge nicht gelten, wenn der Verantwortliche die E‑Mail-Adresse eines Nutzers verwendet, um ihm eine unerbetene Nachricht gemäß Art. 13 Abs. 2 Datenschutzrichtlinie für elektronische Kommunikation zu senden. Art. 13 der sog. ePrivacy-Richtlinie wurde in Deutschland in § 7 UWG umgesetzt.

3. EuGH: Klage auf Nichtigerklärung des Rahmens für die Übermittlung personenbezogener Daten zwischen der EU und den USA

Nachdem das Gericht der Europäischen Union (EuG) die Klage auf Nichtigerklärung des EU-Angemessenheitsbeschlusses zur Übermittlung personenbezogener Daten zwischen der EU und den USA mit Urteil vom 3. September 2025 (T-553/23) und u.a. dem Hinweis, dass die USA zum Zeitpunkt des Beschlusses ein angemessenes Datenschutzniveau gewährleisteten, abgewiesen hat, steht nun fest, dass in der Sache der EuGH entscheiden wird. Der EU-Abgeordnete und Kläger in der Sache Latombe hat Rechtsmittel zum EuGH gegen die Entscheidung des EuG eingelegt. Die Rechtssache Latombe ./. Kommission ist nun unter dem Aktenzeichen C-703/25 P beim EuGH anhängig. Bemerkenswert an der Entscheidung des EuG ist, dass das Gericht nicht über die Zulässigkeit, namentlich die Klagebefugnis des Klägers, entschieden, sondern diese Frage ausdrücklich offen gelassen und ausschließlich zur Begründetheit der Klage entschieden hat. Die Klagebefugnis ist in diesem Verfahren fraglich, da hier eine Einzelperson gegen einen Angemessenheitsbeschluss vorgeht. Abzuwarten bleibt, wie der EuGH zur Zulässigkeit und zur Begründetheit der Klage entscheiden wird.

4. BGH: Zulässigkeit der Übermittlung sog. Positivdaten an SCHUFA

Zuletzt hat eine Vielzahl von Verfahren die Gerichte beschäftigt, in denen die Kläger wegen der Weitergabe personenbezogener Daten durch ein Telekommunikationsunternehmen an eine Auskunftei Schadensersatz nach Art. 82 DSGVO von dem Telekommunikationsunternehmen verlangten. Die Mehrzahl der Klagen wurde mangels DSGVO-Verstoßes und/oder mangels Schadens abgewiesen (vgl. hier in unserem Blog). Vielmehr sahen die meisten Gerichte die Verarbeitung von Art. 6 Abs. 1 Unterabs. 1 lit. f) DSGVO gedeckt.

Diese Einschätzung bestätigte der Bundesgerichtshof (BGH) nun mit Urteil vom 14. Oktober 2025 (VI ZR 431/24). In dem durch den BGH zu entscheidenden Verfahren ging es zwar nicht um Schadensersatz gemäß Art. 82 DSGVO, wohl aber um die Zulässigkeit der Datenverarbeitung. Geklagt hatte in dem Verfahren kein Betroffener, sondern ein Verbraucherverband, der sich gegen die Übermittlung der Positivdaten gewandt hat. Dessen Unterlassungsklage wurde von der Vorinstanz abgewiesen, was der BGH bestätigte. Der BGH sieht die Übermittlung der zum Identitätsabgleich erforderlichen Stammdaten der Verbraucher sowie die Übermittlung der Information, dass ein Vertragsverhältnis begründet oder beendet wurde, an die Auskunftei gemäß Art. 6 Abs. 1 Unterabs. 1 lit. f) DSGVO als gerechtfertigt an. Rechtfertigendes Interesse der Beklagten sei eine hinreichende Betrugsprävention. Diese Entscheidung des BGH wird Auswirkungen auf die Schadensersatzverfahren in ähnlichen Sachverhalten haben.

5. VG Berlin: Keine gemeinsame Verantwortlichkeit von Unternehmer und Adresshändlerin im sog. Lettershop-Verfahren

Mit Urteil vom 14. Oktober 2025 (1 K 74/24) hat das VG Berlin entschieden, dass ein Unternehmen, für das eine Adresshändlerin im sog. Lettershop-Verfahren Direktwerbung versendet und wofür der Werbetreibende zwar Kundenkategorien vorgibt, aber keinen Zugriff auf die genutzten Adressen erhält, datenschutzrechtlich für die Datenverarbeitung in Gestalt des Auswählens und Verwendens der Adressdaten nicht gemeinsam mit dem Adresshändler gemäß Art. 4 Nr. 7 und Art. 26 Abs. 1 S. 1 DSGVO verantwortlich ist.

6. Rückblick zum DSGVO-Schadensersatz

Auch dieses Jahr hat der Schadensersatz gemäß Art. 82 DSGVO die Gerichte beschäftigt. In den knapp 180 in unsere Übersicht aufgenommenen Verfahren wurden unserer Auswertung zufolge im bisherigen Verlauf des Jahres 2025 ca. 120 Klagen abgewiesen. Bei den zugesprochenen Schadensersatzansprüchen beläuft sich der zu leistende Betrag auf EUR 100 bis EUR 5.000.



 
 

 

CMS Blog-Beiträge und Weiteres

1. NIS2 & CRA: neue Cybersicherheitspflichten ab 2026

2. Digitalisierung des Finanzsektors 2026: FiDA, ESAP, DORA

3. KI-Kompetenz und Haftung der Geschäftsleitung nach KI-VO

4. Neue Podcast-Folge: 

DSGVO im Arbeitsverhältnis: Schadensersatz & Betriebsrat

5. Unsere Übersicht zur Rechtsprechung wurde aktualisiert: 

DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen

6. CMS Legal AI Incubator | Legal-AI-Startups gesucht

7. Auf CMSdigitallaws.com können Sie mit dem Volltext und den verlinkten Erwägungsgründen der DSGVO in deutscher und englischer Sprache arbeiten.

8. eLearnings in der CMS Client Academy: Künstliche Intelligenz – GrundlagenIT-Compliance nach NIS2 für die Geschäftsleitung und Einführung in den Datenschutz

9. KI-Webinar: Aktuelle Rechtsprechung zu künstlicher Intelligenz - 2026

10. Unser Jahresrückblick: Das Datenschutzjahr 2025



Verband der Anbieter im Digital- und Telekommunikationsmarkt e. V.
Frankenwerft 35 • 50667 Köln • Tel.: +49 (0) 221 / 37677-25 • E-Mail: vatm@vatm.de