Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.
Der Inhalt im Überblick
- IT-Sicherheit: BSI-Lagebericht 2025 sieht weiter angespannte Lage
- Google stellt Privacy Sandbox größtenteils ein
- Weitere News zu Datenschutz und IT
- BFH zu automatisierten Entscheidungen, Personenbezug und Umfang von Auskunftsansprüchen
- VG Berlin zur gemeinsamen Verantwortlichkeit im Lettershop-Verfahren
- Weitere wichtige Meldungen
IT-Sicherheit: BSI-Lagebericht 2025 sieht weiter angespannte Lage
Der BSI-Lagebericht 2025 zeigt, dass die IT-Bedrohungslage in Deutschland unverändert hoch bleibt – insbesondere durch Ransomware, Angriffe auf kritische Infrastrukturen, wachsende Angriffsflächen und fehlende Sicherheitsressourcen, vor allem bei KMU und Verbrauchenden. Trotz Erfolgen bei der Zerschlagung krimineller Netzwerke fordert das BSI alle gesellschaftlichen Akteure auf, ihr Cybersicherheitsbewusstsein zu schärfen und 2026 den Schutz digitaler Angriffsflächen deutlich zu verbessern.
Bedeutung für die Praxis:
- Der BSI-Lagebericht zeigt, dass viele Unternehmen ihre Cybersicherheitslage überschätzen und dadurch erhebliche Risiken übersehen. Für Datenschutzverantwortliche bedeutet das, regelmäßig kritisch nachzufragen und passgenaue Unterstützung aus dem eigenen Haus aktiv anzubieten.
Hilfreiche Links:
- BSI-Lagebericht online
- E-Mail-Sicherheit: Neue Empfehlungen vom BSI für Unternehmen
- Meldung von Sicherheitslücken – Risiko für die „Guten“
Google stellt Privacy Sandbox größtenteils ein
Google beendet den Großteil seiner Privacy-Sandbox-Technologien, setzt aber weiterhin auf Drittanbieter-Cookies, ausgewählte APIs und einen interoperablen Attribution-Standard, während viele ursprünglich als datenschutzfreundlich beworbene Funktionen mangels Nutzen und Akzeptanz eingestellt werden. Weitergeführt werden nur wenige Elemente wie CHIPS, FedCM und Maßnahmen zum Schutz von First-Party-Daten, während zentrale Ansätze wie Topics, Protected Audience und mehrere Privacy-APIs vollständig abgeschaltet werden.
Bedeutung für die Praxis:
- Google verabschiedet sich weitgehend von der Privacy Sandbox und kehrt ohne Ersatztechnik zu klassischen Drittanbieter-Cookies zurück, was Unternehmen wieder stärker auf Einwilligungen und klare Datenschutzhinweise verpflichtet.
Hilfreiche Links:
- Aktuelle Pläne für Privacy-Sandbox-Technologien
- Google Chrome: Der Browser im Datenschutz-Check
- Third Party Cookies: Auch Google Chrome sagt Tschüss
Weitere News zu Datenschutz und IT
- OpenAI informiert seine Nutzer über Sicherheitsvorfall | golem.de
- Schweiz: Datenschützer empfehlen breites Cloud-Verbot für Behörden | heise.de
- „App-Tracking ablehnen“: Apple-Funktion wird immer kritischer beäugt | heise.de
- KI zwischen Glauben und Wissen | golem.de
- BSI veröffentlicht Stand-der-Technik-Bibliothek auf GitHub | bsi.bund.de
BFH zu automatisierten Entscheidungen, Personenbezug und Umfang von Auskunftsansprüchen
Der Bundesfinanzhof stellte klar, dass Betroffene nach Art. 15 DSGVO umfassende Auskunft über alle sie betreffenden personenbezogenen Daten erhalten müssen, auch wenn sie diese bereits kennen, nicht jedoch über abstrakte Verarbeitungsschritte oder technische Formeln ohne Personenbezug. Da das Finanzamt keine vollständige Auskunft erteilt und dies auch nicht eindeutig bestätigt hatte, muss das Finanzgericht nun erneut prüfen, welche Daten und Kopien bereitzustellen sind.
Bedeutung:
- Der Bundesfinanzhof liefert eine klar strukturierte und praxisnahe Prüfung des Auskunftsanspruchs nach Art. 15 DSGVO, die sich hervorragend zur vertieften Auseinandersetzung mit dem Thema eignet. Besonders bedeutsam sind die Hinweise zur erforderlichen Vollständigkeitserklärung des Auskunftsschuldners in den Randnummern 39 ff.
Hilfreiche Links:
- BFH, Urteil vom 09. September 2025, IX R 26/22
- Auskunftsrecht nach DSGVO: Was steht Betroffenen zu?
- Auskunftserteilung durch ein Self-Service-Tools?
VG Berlin zur gemeinsamen Verantwortlichkeit im Lettershop-Verfahren
Im zugrunde liegenden Fall ging es um die Frage, ob ein Berliner Theater für eine von einer Adresshändlerin durchgeführte Werbeaktion datenschutzrechtlich mitverantwortlich war. Das VG Berlin (Urteil vom 14.10.2025, 1 K 74/24) entschied, dass keine gemeinsame Verantwortlichkeit bestand, da das Theater zwar die Zielgruppe festlegte, jedoch nicht in die eigentliche Verarbeitung der Adressdaten eingriff; die volle datenschutzrechtliche Verantwortung lag daher allein bei der Adresshändlerin.
Bedeutung:
- Das Urteil verdeutlicht, dass kommissionsähnliche Dienstleistungen unter Umständen eine Auslagerung datenschutzrechtlicher Verantwortlichkeit ermöglichen können, deren Sinnhaftigkeit jedoch stets anhand des Einzelfalls zu prüfen ist. Als strategische Option, vor allem in Hilfsprozessen, sollte dieser Ansatz nicht vorschnell ausgeschlossen werden.
Hilfreiche Links:
- VG Berlin, Urteil vom 14.10.2025, 1 K 74/24
- Die gemeinsame Verantwortlichkeit im Sinne der DSGVO
- Art. 26 DSGVO: Vertragsinhalte und Form
Weitere wichtige Meldungen
- EuGH-Urteil zur Geschlechtsidentität
Der Europäische Gerichtshof (EuGH) hat entschieden, dass die Berichtigung des Geschlechtseintrags nach Art. 16 DSGVO nicht von einem Nachweis operativer Eingriffe abhängig gemacht werden darf, sondern die gelebte Geschlechtsidentität und ein ärztliches Attest als ausreichender Nachweis genügen. Damit stärkt das Gericht das Recht auf Selbstbestimmung und den Schutz personenbezogener Daten, indem Behörden verpflichtet werden, die Angaben der betroffenen Personen zu respektieren und zu korrigieren.
EuGH, Urteil vom 03.03.3025 – Rs. C-247/23 - CNIL-Studie zur Monetarisierung personenbezogener Daten
Die CNIL-Studie zeigt, dass eine wachsende Zahl französischer Nutzer bereit ist, für Online-Dienste ohne gezielte Werbung zu bezahlen, wobei etwa 60 % grundsätzlich offen für solche Angebote sind. Gleichzeitig bestehen jedoch weiterhin Bedenken hinsichtlich des Datenschutzes und der Transparenz bei der Nutzung persönlicher Daten durch Online-Plattformen.
Studie der CNIL - Bayerische Landesbeauftragte für den Datenschutz hat seinen 34. Tätigkeitsbericht veröffentlicht
Der 34. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz (2024) hebt die Herausforderungen und Entwicklungen beim Datenschutz in Bayern hervor, insbesondere im Bereich Digitalisierung, Künstliche Intelligenz und den Schutz sensibler Daten, etwa bei Kindern und im Gesundheitswesen. Der Bericht betont die Notwendigkeit klarer gesetzlicher Regelungen und einer stärkeren Sensibilisierung für Datenschutz in allen gesellschaftlichen Bereichen, um die Rechte der Bürgerinnen und Bürger zu sichern.
34. Tätigkeitsbericht des Bayern LfD
