Dr. Datenschutz Shortnews im Januar 2026 – KW04

Artikel von Dr. Datenschutz·21. Januar 2026

Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.

Der Inhalt im Überblick

NIS-2-Umsetzungsgesetz in Kraft getreten: Cybersicherheit rückt in den Fokus
US CLOUD Act: BMI-Gutachten zu Zugriffen auf Cloud-Daten
Weitere News zu Datenschutz und IT
Urteil zu Informationspflichten beim Einsatz von Bodycams
Urteil zu biometrischem Proctoring bei Online-Prüfungen
Weitere ergangene Urteile

NIS-2-Umsetzungsgesetz in Kraft getreten: Cybersicherheit rückt in den Fokus

Am 5. Dezember 2025 wurde das NIS-2-Umsetzungsgesetz im Bundesgesetzblatt verkündet. Es setzt die europäische NIS-2-Richtlinie in deutsches Recht um und bringt eine grundlegende Neufassung des BSI-Gesetzes mit sich. Die Anforderungen an die Cybersicherheit werden deutlich ausgeweitet und betreffen nun auch große Teile des Mittelstands. Neben einem erweiterten Adressatenkreis sieht das Gesetz unter anderem verbindliche Vorgaben zum Risikomanagement, verschärfte Meldepflichten bei Sicherheitsvorfällen, erweiterte Aufsichtsbefugnisse des BSI sowie ein umsatzbezogenes Bußgeldsystem vor. Zudem wird die Verantwortung für die Umsetzung der Cybersicherheitsmaßnahmen ausdrücklich auf die Geschäftsleitung verlagert.

Bedeutung für die Praxis:

Unternehmen sollten zeitnah prüfen, ob sie unter den erweiterten Anwendungsbereich des NIS-2-Umsetzungsgesetzes fallen, da die neuen Pflichten deutlich über den bisherigen KRITIS-Kreis hinausgehen. Ist dies der Fall, sind bestehende Maßnahmen zur IT- und Informationssicherheit an einen risikoorientierten Ansatz anzupassen und formale Anforderungen wie Registrierungs- und Meldepflichten umzusetzen. Besonders relevant ist dabei die Rolle der Geschäftsleitung, die künftig unmittelbar für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen verantwortlich ist und bei Verstößen persönlich in die Haftung geraten kann.

Hilfreiche Links:

US CLOUD Act: BMI-Gutachten zu Zugriffen auf Cloud-Daten

Ein von der Universität zu Köln im Auftrag des Bundesinnenministeriums erstelltes Gutachten hat eine neue Debatte über den Zugriff US-amerikanischer Behörden auf Cloud-Daten ausgelöst. Das Gutachten kommt zu dem Ergebnis, dass US-Behörden auf Grundlage des CLOUD Act, des Stored Communications Act und von FISA 702 weitreichende Zugriffsrechte auf Cloud-Daten haben können, selbst wenn diese in europäischen Rechenzentren gespeichert sind. Maßgeblich ist nach US-Recht nicht der Speicherort, sondern die Kontrolle über die Daten, sodass auch europäische Tochtergesellschaften US-amerikanischer Anbieter betroffen sein können.

Bedeutung für die Praxis:

Für Unternehmen und Datenschutzverantwortliche unterstreicht das Gutachten die anhaltenden rechtlichen Unsicherheiten beim Einsatz von US-Cloud-Diensten. Es weist darauf hin, dass auch bei der Datenverarbeitung innerhalb der EU mögliche Zugriffe durch Drittstaaten in die Risikobewertung einzubeziehen sind. Dies gilt insbesondere im Rahmen von Transfer Impact Assessments oder Datenschutz-Folgenabschätzungen, um die DSGVO-Compliance nachvollziehbar zu dokumentieren und geeignete Schutzmaßnahmen zu ergreifen.

Hilfreiche Links:

Weitere News zu Datenschutz und IT

EU plant Ausweitung der Passagierdatenspeicherung | heise.de
Warum wir uns immer bereitwilliger überwachen lassen | zeit.de
Interrail meldet Datenleck: Auch Ausweisdaten betroffen | heise.de
BSI checkt E-Mail-Programme | heise.de
Datenschutzkonferenz kritisiert Pläne der EU-Kommission | netzpolitik.org

Urteil zu Informationspflichten beim Einsatz von Bodycams

Der EuGH entschied in einem Verfahren gegen ein schwedisches Beförderungsunternehmen, dass beim Einsatz von Bodycams gegenüber gefilmten Fahrgästen die Informationspflichten nach Art. 13 DSGVO gelten. Fahrgäste seien die unmittelbare Quelle der erhobenen Bilddaten, unabhängig davon, ob sie sich der Aufzeichnung bewusst sind, sodass Art. 14 DSGVO nicht anwendbar ist. Die Informationspflicht kann dabei in einem gestuften Verfahren erfüllt werden, indem zunächst die wesentlichen Informationen etwa über Hinweisschilder bereitgestellt und weitergehende Angaben auf einer zweiten, leicht zugänglichen Ebene zur Verfügung gestellt werden.

Bedeutung:

Das Urteil bestätigt die bisherige Praxis zur Videoüberwachung und schafft Rechtssicherheit für den Einsatz von Bodycams. Verantwortliche können sich bei direkter Erfassung von Personen nicht auf Ausnahmen nach Art. 14 DSGVO berufen, sondern müssen die Transparenzanforderungen des Art. 13 DSGVO erfüllen. Gleichzeitig erleichtert die Zulässigkeit eines gestuften Informationskonzepts die praktische Umsetzung der Informationspflichten, insbesondere für Unternehmen im Beförderungs- und Sicherheitsbereich.

Hilfreiche Links:

Urteil zu biometrischem Proctoring bei Online-Prüfungen

Das OLG Thüringen entschied, dass der Einsatz automatisierter Gesichtserkennung bei Online-Prüfungen an der Universität Erfurt rechtswidrig war. Die Verarbeitung biometrischer Daten stellt einen tiefen Eingriff in das Recht auf Privatsphäre und informationelle Selbstbestimmung dar und ist nur bei ausdrücklicher, freiwilliger Einwilligung zulässig. Eine solche lag nicht vor, da die Teilnahme an den Prüfungen für das Vorankommen im Studium alternativlos war. Auch die Übermittlung der Daten ins Drittland und die pauschale Kontrolle der Studierenden wurden kritisch bewertet.

Bedeutung:

Das Urteil unterstreicht die Bedeutung des Schutzes personenbezogener und biometrischer Daten bei digitalen Prüfungsformaten. Hochschulen und andere Institutionen müssen sicherstellen, dass Überwachungsmaßnahmen nur auf Basis informierter Einwilligung erfolgen und keine tiefgreifenden Eingriffe in die Privatsphäre darstellen. Die Entscheidung hat darüber hinaus Relevanz für andere Kontexte, wie etwa die Überwachung am Arbeitsplatz, und verdeutlicht, dass der Einsatz solcher Technologien rechtlich streng geprüft werden muss.

Hilfreiche Links:

Weitere ergangene Urteile

DSGVO-Beschwerderecht nach Todesfall
Das OVG Rheinland-Pfalz entschied, dass das Recht auf Beschwerde gemäß Art. 77 DSGVO ein höchstpersönliches Recht ist, das mit dem Tod des Betroffenen erlischt. Die Witwe konnte die Rechte ihrer verstorbenen Ehefrau nicht geltend machen, da die DSGVO nur natürliche Personen schützt. Eine Vererbung oder Ausweitung der Betroffenenrechte ist nicht vorgesehen.
OVG Rheinland-Pfalz, Urteil vom 28.11.2025 –10 A 11059/23
Schadensersatzanspruch gegenüber Finanzbehörden wegen Datenschutzverstößen
Der BFH stellte klar, dass eine Klage auf Schadensersatz wegen Verstößen gegen die DSGVO gegenüber einer Finanzbehörde unzulässig ist, wenn der Behörde nicht zuvor Gelegenheit gegeben wurde, über den geltend gemachten Anspruch zu entscheiden. Eine unmittelbare Klage ohne vorherige Befassung des Finanzamts ist mangels Beschwer unzulässig.
BFH, Beschluss vom 15.09.2025 – IX R 11/23
HmbBfDI veröffentlicht Fragenkatalog zur Interessenabwägung nach DSGVO
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat einen umfassenden Fragenkatalog (LIA – Legitimate Interests Assessment) veröffentlicht, der Verantwortliche bei der Bestimmung und Dokumentation ihres berechtigten Interesses unterstützt. Der Leitfaden führt Schritt für Schritt durch die Feststellung des berechtigten Interesses, die Erforderlichkeit der Verarbeitung, die Abwägung der Rechte der Betroffenen sowie die Dokumentation und regelmäßige Überprüfung.
HmbBfDI, LIA-Fragenkatalog
Leitfaden zum Datenschutz in der medizinischen Forschung
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) und die Deutsche Gesellschaft für Innere Medizin e.V. (DGIM) haben gemeinsam einen Leitfaden veröffentlicht, der die datenschutzrechtlichen Anforderungen in der medizinischen Forschung erläutert. Anhand von Fallbeispielen, etwa zum Einsatz von KI und zur Qualitätssicherung, werden datenschutzkonforme Lösungsansätze vorgestellt. Zudem behandelt der Leitfaden Themen wie die Anonymisierung von Daten und mögliche Rechtsgrundlagen für die Verarbeitung nicht-anonymisierter Daten.
HBDI/DGIM, Leitfaden für Forschende in der Medizin

- Bodycam
  Bodycams: Wie müssen Datenschutz-Hinweise erteilt werden?Urteil·22. Januar 2026
- Private Nutzung von Bodycams und der DatenschutzFachbeitrag·12. Oktober 2020
- Bodycam-Aufnahmen der Bundespolizei bei Cloud-Diensten von AmazonFachbeitrag·7. März 2019
Mehr zum Thema
- Cloud
  Cloud-Switching unter dem Data ActFachbeitrag·15. Dezember 2025
- Schatten-IT stoppen: DSGVO-Risiken von SaaS im ISMS steuernFachbeitrag·26. September 2025
- Fehlkonfiguration von Webservern – Wie kommt es zu Datenlecks?Fachbeitrag·14. Juni 2024
Mehr zum Thema
- NIS2
  NIS-2 gilt: Was Sie jetzt zur Geschäftsleitungsschulung wissen müssenFachbeitrag·12. Dezember 2025
- Was Unternehmen aus dem CrowdStrike-Vorfall lernen könnenFachbeitrag·15. August 2025
- Zero Trust: Ein Paradigmenwechsel in der SicherheitFachbeitrag·7. Februar 2025
Mehr zum Thema
- USA
  „Hey Copilot, buche mir ein Hotelzimmer“ – Copilot Actions bald im EWR verfügbar?News·23. Oktober 2025
- Dr. Datenschutz Shortnews im Oktober 2025 – KW 40News·2. Oktober 2025
- Dr. Datenschutz Shortnews im August 2025 – KW32News·6. August 2025
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.