Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.
Der Inhalt im Überblick
- EDSA: Neue Leitlinien zur Datenverarbeitung für Forschungszwecke
- EDÖB veröffentlicht Vorgaben zu Cookies und Online-Tracking in der Schweiz
- Weitere News zu Datenschutz und IT
- Urteil zur E-Mail-Übermittlung personenbezogener Daten und Auskunftspflichten
- Beschluss zum Rechtsweg bei Schadensersatzansprüchen nach Art. 82 DSGVO
- Weitere wichtige Meldungen
EDSA: Neue Leitlinien zur Datenverarbeitung für Forschungszwecke
Der Europäische Datenschutzausschuss (EDSA) hat am 15.04.2026 neue Leitlinien zur Verarbeitung personenbezogener Daten in der wissenschaftlichen Forschung veröffentlicht. Darin wird nicht nur präzisiert, wann Forschung im Sinne der DSGVO vorliegt, sondern auch erläutert, welche Anforderungen in diesem Zusammenhang gelten. So muss Forschung unter anderem methodisch fundiert und transparent sein sowie auf Erkenntnisgewinn abzielen. Darüber hinaus gilt die Weiterverarbeitung zu Forschungszwecken grundsätzlich als mit dem ursprünglichen Zweck vereinbar, sofern eine geeignete Rechtsgrundlage vorliegt. Für bestimmte Forschungsbereiche wird zudem die Möglichkeit eines sogenannten „Broad Consent“ eingeräumt.
Bedeutung für die Praxis:
- Die Leitlinien bieten einen wichtigen Maßstab für Unternehmen und Forschungseinrichtungen. Sie konkretisieren die Anforderungen an Rechtsgrundlagen, Einwilligungen und Datenminimierung und werden voraussichtlich die Prüfpraxis der Aufsichtsbehörden prägen.
Hilfreiche Links:
- EDSA Guidelines 1/2026 on processing of personal data for scientific research purpose
- Schluss mit dem Account-Zwang? – Neue EDSA-Empfehlungen
- Forschung und Datenschutz: Privilegien der DSGVO
EDÖB veröffentlicht Vorgaben zu Cookies und Online-Tracking in der Schweiz
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat ein Merkblatt zur Nutzung von Cookies und ähnlichen Tracking-Technologien wie Web Beacons, Local Storage und Device Fingerprinting veröffentlicht. Dieses Dokument bietet Websitebetreibern sowohl rechtliche als auch praktische Orientierungshilfen. Im Gegensatz zur EU gilt in der Schweiz das Opt-out-Prinzip: Nutzerinnen und Nutzer müssen transparent über den Einsatz solcher Technologien informiert werden und die Möglichkeit erhalten, der Nutzung zu widersprechen. Eine ausdrückliche Einwilligung ist lediglich in besonderen Fällen erforderlich. Der EDÖB legt dabei besonderen Wert auf klare und verständliche Nutzerinformationen sowie auf einfache Steuerungsmöglichkeiten, etwa durch Cookie-Banner oder Datenschutzeinstellungen.
Bedeutung für die Praxis:
- Für Unternehmen ist insbesondere die Abgrenzung zwischen schweizerischem Opt-out und europäischem Opt-in entscheidend. Sobald die DSGVO anwendbar ist, etwa bei der Ansprache von EU-Nutzern, müssen die strengeren Einwilligungsanforderungen der EU beachtet werden.
Hilfreiche Links:
- Merkblatt zur Verwendung von Cookies und ähnlichen Technologien
- GPS-Tracking bei Kindern: Sicherheit vs. Datenschutz
- Cookies und Datenschutz: Zwischen TDDDG und DSGVO
Weitere News zu Datenschutz und IT
- BSI ist besorgt: Anthropics neues KI-Modell könnte Cyberlandschaft „umwälzen“ | golem.de
- Grenzüberschreitende Cloud-Zugriffe: E-Evidence-Gesetz tritt in Kraft | heise.de
- Digitaler Ausweis kommt 2027 – Mehrheit der Deutschen ahnungslos | heise.de
- Sammelklage gegen Perplexity: Inkognito-Modus schützte nicht vor Datenweitergabe | t3n.de
- Microsofts Copilot »dient ausschließlich Unterhaltungszwecken« – schreibt Microsoft | spiegel.de
- EU-Kommission will Altersnachweis per App | spiegel.de
- BSI: Tipps für ein sicheres Heimnetzwerk | bsi.bund.de
Urteil zur E-Mail-Übermittlung personenbezogener Daten und Auskunftspflichten
Im Verfahren vor dem VG Düsseldorf wurde die Weitergabe des Namens eines Betroffenen per E-Mail durch ein Busunternehmen sowie eine verspätete Auskunft nach Art. 15 DSGVO geprüft. Das Gericht stellte fest, dass die E-Mail-Übermittlung zur Schadensabwicklung gerechtfertigt war und die übliche Transportverschlüsselung ein ausreichendes Schutzniveau nach Art. 32 DSGVO bietet. Eine Ende-zu-Ende-Verschlüsselung war nach Ansicht des Gerichts jedoch nicht erforderlich. Hingegen wurde ein Verstoß wegen der deutlich verspäteten Auskunftserteilung bejaht.
Bedeutung:
- Das Urteil stellt klar, dass bei der Übermittlung nicht sensibler personenbezogener Daten per E-Mail regelmäßig eine Transportverschlüsselung ausreicht und höhere Sicherheitsmaßnahmen nur bei erhöhtem Risiko erforderlich sind. Gleichzeitig verdeutlicht es, dass Auskunftsersuchen zwingend innerhalb der gesetzlichen Fristen zu beantworten sind, da Verzögerungen einen eigenständigen DSGVO-Verstoß darstellen können.
Hilfreiche Links:
- VG Düsseldorf, Urteil vom 02.04.2026 – Az.: 29K7351/23
- DSGVO-Auskunft: Keine vorschnelle Datenlöschung
- EuGH: Neue Maßstäbe für Auskunftsrecht und Schadensersatz
Beschluss zum Rechtsweg bei Schadensersatzansprüchen nach Art. 82 DSGVO
Im Verfahren vor dem VG Düsseldorf machte der Kläger immateriellen Schadensersatz nach Art. 82 DSGVO gegen eine Behörde geltend. Das Gericht entschied, dass der Verwaltungsrechtsweg unzulässig ist und verwies den Rechtsstreit an die ordentlichen Gerichte. Art. 82 Abs. 6 DSGVO regele lediglich die internationale Zuständigkeit, nicht jedoch den innerstaatlichen Rechtsweg. Dieser bestimme sich nach nationalem Recht, wonach Schadensersatzansprüche gegen Behörden vor die Zivilgerichte gehören.
Bedeutung:
- Die Entscheidung stellt klar, dass Schadensersatzansprüche nach Art. 82 DSGVO auch gegen Behörden vor den Zivilgerichten geltend zu machen sind. Art. 82 Abs. 6 DSGVO enthält keine Vorgaben zum innerstaatlichen Rechtsweg, sodass es bei der Aufspaltung zwischen verwaltungsgerichtlichem Rechtsschutz und zivilrechtlichen Schadensersatzklagen bleibt.
Hilfreiche Links:
- VG Düsseldorf, Beschluss vom 23.03.2026 – Az: 29 K 2876/26
- OLG Hamm: Abtretung von Schadensersatz möglich
- Löschung, Unterlassen und Schadensersatz: Neues vom EuGH
Weitere wichtige Meldungen
- EDSA veröffentlicht DPIA-Template zur Konsultation
Der European Data Protection Board hat ein europaweites Standard-Template für Datenschutz-Folgenabschätzungen zur öffentlichen Konsultation gestellt. Ziel ist eine einheitlichere und harmonisierte Anwendung in der EU. Die Konsultation läuft bis zum 09.06.2026. Nach Abschluss soll das Template von den Aufsichtsbehörden übernommen bzw. als kompatibles „Meta-Template“ genutzt werden. Unternehmen können es bereits jetzt verwenden und Feedback einreichen.
EDPB DPIA Template vom 14.04.2026 - GPDP verhängt Geldbuße in Höhe von EUR 17 Mio. wegen unzulässigem Transfer von Kundendaten
Die italienische Datenschutzbehörde GPDP hat gegen eine große italienische Bank eine Geldbuße in Höhe von 17 Mio. € wegen unzulässigem Profiling und fehlender Rechtsgrundlage für die automatisierte Übertragung von ca. 2,4 Mio. Kund:innen auf eine digitale Tochterbank verhängt. Zusätzlich wurden Verstöße gegen Transparenz- und Informationspflichten gerügt.
GPDP, Beschluss vom 12.03.2026 - BSI veröffentlicht neue C5-Version 2026 für Cloud-Sicherheitsanforderungen
Das Bundesamt für Sicherheit in der Informationstechnik hat einen aktualisierten Cloud Computing Compliance Criteria Catalogue (C5:2026) veröffentlicht. Der Standard für Cloud-Sicherheitsprüfungen wurde unter anderem um Themen wie Container-Management, Post-Quanten-Kryptographie und Confidential Computing erweitert. Darüber hinaus sind EU- und internationale Standards wie EUCS, ISO 27001:2022 und NIS2 nun stärker integriert.
BSI Cloud Computing Compliance Criteria Catalogue
