Dr. Datenschutz Shortnews im November 2025 – KW48

Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.

„Digitaler Omnibus“: EU-Kommission plant umfassende Datenschutz und KI-Reform

Die EU-Kommission arbeitet an einem „Digitalen Omnibus“, mit dem zentrale Regelwerke wie die DSGVO und die KI-Verordnung überarbeitet werden sollen. Ziel ist es, Überschneidungen zu bereinigen, Bürokratie zu verringern und die digitale Wettbewerbsfähigkeit Europas zu stärken. Zu den geplanten Änderungen gehören unter anderem die Erlaubnis, KI-Systeme auf Basis des berechtigten Interesses mit personenbezogenen Daten zu trainieren, eine präzisere Definition pseudonymisierter Daten, sowie eine mögliche Umstellung beim Cookie-Tracking von Opt-in auf Opt-out. Darüber hinaus sollen der Schutz sensibler personenbezogener Daten gelockert, die Aufsicht über KI zentralisiert und kleine sowie mittlere Unternehmen (KMU) durch reduzierte Dokumentationspflichten entlastet werden.

Bedeutung für die Praxis:

• Die Reform könnte Unternehmen mehr Flexibilität und weniger bürokratischen Aufwand bringen. Besonders KMU dürften von den geplanten Erleichterungen profitieren. Lockerungen bei Einwilligungspflichten und Tracking könnten zudem die Datenschutzprozesse grundlegend verändern. Allerdings könnte der Schutz sensibler Daten schwächer ausfallen. Unternehmen müssen daher sorgfältig abwägen, wie sie die neuen Regelungen umsetzen.

Hilfreiche Links:

• Europäische Kommission, Vorschlag vom 24.10.2024 Digital Omnibus Regulation Proposal
• Im Zeichen des Omnibus: Der IAPP Europe DPC 2025
• KI-Kompetenz im Unternehmen: Updates von der EU-Kommission

NIS-2-Umsetzung: Bundestag beschließt Cybersicherheitsgesetz

Der Bundestag hat das Gesetz zur Umsetzung der NIS-2-Richtlinie beschlossen, mit dem das IT-Sicherheitsrecht modernisiert und der Anwendungsbereich deutlich ausgeweitet wird. Betroffen sind künftig nicht nur klassische Kritische Infrastrukturen, sondern auch zahlreiche weitere „wichtige“ und „besonders wichtige“ Einrichtungen aus Wirtschaft und öffentlicher Verwaltung. Diese müssen umfangreiche technische und organisatorische Sicherheitsmaßnahmen umsetzen, sich beim BSI registrieren und erhebliche Sicherheitsvorfälle binnen kurzer Fristen melden. Das BSI erhält dabei eine Schlüsselrolle als Aufsichtsbehörde und übernimmt zugleich als „CISO Bund“ die Koordination der Cybersicherheit in der Bundesverwaltung.

Bedeutung für die Praxis:

• Viele Unternehmen, die sich bislang nicht als Teil der kritischen Versorgungslandschaft verstanden haben, fallen nun erstmals unter die neuen Vorgaben. Sie müssen kurzfristig prüfen, ob sie als „wichtige“ oder „besonders wichtige Einrichtung“ eingestuft werden und ob ihre bestehenden Informationssicherheitsmaßnahmen, Prozesse und Meldewege den erweiterten Anforderungen genügen. Für Datenschutz- und Compliance-Verantwortliche bedeutet dies, die NIS-2-Anforderungen eng mit bestehenden ISMS- und Datenschutzstrukturen wie IT-Grundschutz und DSGVO zu verzahnen.

Hilfreiche Links:

• BSI – Presse – NIS-2-Umsetzung: Bundestag beschließt Cybersicherheitsgesetz
• NIS-2: Vereinfachung der Meldewege für IT- und Datenschutzvorfälle
• ISMS: Dienstleistermanagement dient Cybersicherheit

Urteil zur Urheberrechtsverletzung bei Verwendung bekannter Lieder durch ChatGPT

Das LG München entschied, dass OpenAI für Urheberrechtsverletzungen haftet, wenn ChatGPT auf Anfrage bekannte Liedtexte ausgibt, die zuvor zum Training genutzt wurden. Die Speicherung und Wiedergabe der Texte durch das KI-Modell gilt als Vervielfältigung und öffentliches Zugänglichmachen im Sinne des Urheberrechts. Ausnahmeregelungen wie Zitatrecht greifen laut Gericht nicht. OpenAI haftet unmittelbar als Betreiber und kann sich nicht auf die Rolle eines reinen Infrastrukturproviders zurückziehen.

Bedeutung für die Praxis:

• Das Gericht erkennt ausdrücklich an, dass Inhalte im Modell „fortbestehen“, wenn sie später reproduzierbar sind. Diese Argumentation lässt sich auch auf personenbezogene Daten übertragen. Solange eine Reproduzierbarkeit möglich bleibt, gelten solche Daten im Sinne der DSGVO nicht als gelöscht. Unternehmen müssen daher tragfähige Rechtsgrundlagen für Trainingsdaten schaffen, klare Zweckbindungen definieren und technische Maßnahmen ergreifen, um die Memorisation und Reproduzierbarkeit personenbezogener Daten zu verhindern oder zumindest zu minimieren.

Hilfreiche Links:

• LG München, Urteil vom 11.11.2025 – Az.: 42 O 14139/24
• ChatGPT in der Wissenschaft – Pilotprojekt an der Uni Hamburg
• How to promt: KI bedienen leicht gemacht

Urteil zur Newsletter-Direktwerbung bei Gratis-Accounts

Der EuGH hat entschieden, dass auch bei kostenlosen Nutzerkonten die E-Mail-Adresse für Newsletter-Direktwerbung genutzt werden darf, sofern der Nutzer im Rahmen der Kontoerstellung die Möglichkeit hatte, der Werbung zu widersprechen (Soft-Opt-in). Eine zusätzliche datenschutzrechtliche Grundlage nach Art. 6 DSGVO ist in diesen Fällen nicht erforderlich.

Bedeutung für die Praxis:

• Das Urteil schafft Klarheit für Anbieter, die kostenlose Accounts mit werblichen Newslettern kombinieren. Unternehmen können die Bestandskundenausnahme auch dann in Anspruch nehmen, wenn Nutzer keinen kostenpflichtigen Vertrag abgeschlossen haben. Entscheidend ist, dass die gesetzlichen Voraussetzungen des Soft-Opt-in eingehalten werden – insbesondere eine klare Widerspruchsmöglichkeit besteht und die Werbung sich auf eigene, ähnliche Produkte oder Dienstleistungen bezieht.

Hilfreiche Links:

• EuGH, Urteil vom 13.11.2025 – Az. C-654/23
• Fallstricke bei der Umsetzung von Werbewidersprüchen
• Alles über das Double-Opt-In-Verfahren