Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.
Der Inhalt im Überblick
EU-Kommission will Cookie-Einwilligungen neu regeln
Die EU-Kommission plant eine Reform der Cookie-Regulierung, um die Anzahl der Einwilligungsbanner zu reduzieren und die Regelungen insgesamt zu vereinfachen. Vorgesehen sind mehr Ausnahmen für technisch notwendige oder „harmlose“ Cookies, und eine Integration der gesetzlichen Vorgaben in der DSGVO, um ein einheitliches, risikobasiertes Vorgehen zu ermöglichen. Während die Werbewirtschaft die Pläne als Bürokratieabbau begrüßt, warnen Datenschützer vor einer Schwächung des Schutzes vor Tracking und Überwachung.
Bedeutung für die Praxis
- Die Reform könnte die Verwaltung von Cookie-Präferenzen erheblich verringern und Unternehmen entlasten. Gleichzeitig könnten neue Unsicherheiten entstehen, insbesondere bei der Abgrenzung „harmloser“ Cookies und im Rahmen einer „risikobasierten Auslegung“. Die Debatte bleibt politisch umstritten, ein Kompromiss ist nicht in Sicht.
Hilfreiche Links
- Wie Brüssel das Cookie-Durcheinander bereinigen will
- Wie müssen Cookie-Banner gestaltet sein?
- TCF 2.0 verstößt gegen DSGVO
Chatkontrolle und kein Ende
Eine geplante Abstimmung zu der Thematik ist kurzfristig von der Tagesordnung des Rats der Justiz- und Innenminister am 14. Oktober gestrichen worden. Zuvor hatte die deutsche Zivilgesellschaft die Debatte so stark aufgeheizt, dass sich zuletzt auch Bundesjustizministerin Stefanie Hubig (SPD) klar gegen die EU-Pläne für eine Massenüberwachung gestellt hatte, und so eine Verlegung der Abstimmung unumgänglich wurde (Zitat: „Anlasslose Chatkontrolle muss in einem Rechtsstaat tabu sein. Private Kommunikation darf nie unter Generalverdacht stehen“).
Bedeutung für die Praxis
- Nun soll zunächst „auf technischer Ebene“, also auf Ebene der Beamten statt der Minister, an einer Lösung gearbeitet werden, um eine gemeinsame Position der Mitgliedstaaten zu erreichen. Über eine solche könnte frühestens im Dezember abgestimmt werden.
Hilfreiche Links
- Urteil des LG Bonn (13 O 39/24) vom 30.04.2025 im Volltext
- Chatkontrolle: Massenüberwachung – Nein danke!
- iMessage und WhatsApp: Sicherheit, Verschlüsselung, rechtliche Entwicklungen
Weitere News zu Datenschutz und IT
- KI verändert Rechtsabteilungen und erhöht Druck auf Kanzleien | lto.de
- Linkedin will auch Deine Daten für seine KI | heise.de
- Mitarbeiter sollen mehr KI nutzen: Microsoft bringt Überwachungs-Tool | winfuture.de
- 5,7 Millionen Qantas-Kunden von Datenklau betroffen | spiegel.de
- Milliarden-Schaden durch Cyberattacken: Was uns verwundbar macht | br.de
- Datenschutzvorfall: Identitätsdaten bei Schufa-Tochter Bonify abgeflossen | heise.de
- Microsoft verschleiert Informationen zum Datenaustausch | golem.de
14 Millionen Pfund Bußgeld wegen unzureichenden Sicherheitsmaßnahmen
Das britische Information Commissioner’s Office (ICO) hat Unternehmen des Geschäftsprozess-Outsourcing-Anbieters Capitas mit einer Geldstrafe von 14 Millionen Pfund belegt. Hintergrund war ein Cyberangriff im März 2023, durch den teils sensible Daten (Rentenunterlagen, Personaldaten, Kundendaten) von über 6 Millionen Betroffenen kompromittiert wurden. Der Angriff wurde durch das Herunterladen einer schädlichen Datei durch einen Mitarbeiter ausgelöst, gefolgt von einer verspäteten Reaktion, die es den Hackern ermöglichte, Schadsoftware zu installieren und fast ein Terabyte an Daten zu stehlen. Die Untersuchung deckte schwerwiegende Sicherheitsmängel bei Capita auf, darunter unzureichende Berechtigungskonzepte, unterbesetzte Sicherheitsabteilungen und fehlende regelmäßige Penetrationstests.
Bedeutung für die Praxis
- Der Fall zeigt, wie wichtig es für Unternehmen ist, proaktiv umfassende Sicherheitsmaßnahmen zu implementieren, um personenbezogene Daten zu schützen. Regelmäßige Überprüfungen und Aktualisierungen der Sicherheitsvorkehrungen sowie eine klare Organisation von Berechtigungen und schnelle Reaktionsfähigkeit auf Sicherheitsvorfälle sind essenziell, um Datenschutzverletzungen weitestgehend ausschließen zu können und hohe Strafen zu vermeiden.
Hilfreiche Links
- Pressemitteilung des ICO zum Bußgeld gegen Capital
- Incident Response – Best Practices für eine effektive Strategie
- Alerts – Die Alarmmeldungen einer IT-Infrastruktur
Substanziierung bei Off-Site-Datenverarbeitung durch „Business-Tools“
Vor dem LG Bonn scheiterte die Klage eines Nutzers gegen eine Internet-Plattform, die teilweise – trotz nicht erteilter Einwilligung – über sog. „Business-Tools“ Off-Site-Daten des Nutzers verarbeitet hatte. Der Kläger hatte unter anderem Unterlassung, Löschung der Daten und Schadensersatz gefordert. Einen Schadensersatzanspruch vermochte das Gericht dem Kläger jedoch nicht zuzustehen, „soweit er nicht vorträgt, worin ein immaterieller Schaden konkret begründet sein soll“. Auch mit seinem Unterlassungs- und Löschungsanspruch scheiterte der Kläger wegen nicht hinreichender Konkretisierung bzw. Substanziierung der betreffenden Klageanträge.
Bedeutung für die Praxis
- Einmal mehr zeigt sich hier die Bedeutung der Darlegungslast in datenschutzrechtlichen Verfahren. Da der Nutzer nicht konkret genug darlegte, welche Datenkategorien betroffen waren, konnte das Gericht nicht erkennen, bezüglich welcher Kategorien der Unterlassungs- oder Löschungsanspruch zuzusprechen wäre. Und für einen immateriellen Schadensersatzanspruch reicht weiterhin die bloße pauschale Behauptung eines DSGVO-Verstoßes oder abstrakter Nachteile nicht aus.
Hilfreiche Links
- Urteil des LG Bonn (13 O 39/24) vom 30.04.2025 im Volltext
- Löschung, Unterlassen und Schadensersatz: Neues vom EuGH
- EuGH zum immateriellen Schadensersatz sowie zur Exkulpation
Weitere wichtige Meldungen
- LG München I: Kein Schadensersatz wegen abstrakter Ängste vor Datenzugriff ausländischer Behörden
Das Landgericht München I hat eine u.a. auf Schadensersatz ausgerichtete Klage (33 O 635/25) abgewiesen. Es argumentierte, die Furcht des Klägers vor möglichen Ermittlungen durch US-Behörden beruhe nicht auf der Datenlokalisation in den USA, sondern auf politischen Entwicklungen unter der Trump-Administration. Zudem verstieß der Klageanspruch nach Ansicht des Gerichts gegen Treu und Glauben (§ 2424 BGB), da der Kläger den beanstandeten Dienst genutzt habe, obwohl ihm bekannt gewesen sei, dass die Beklagte Daten ins Nicht-EU-Ausland überträgt und ein Zugriff durch US-Behörden möglich sei.
LG München I, Endurteil v. 27.08.2025 – 33 O 635/255358 - EuGH-Vorlage des BGH (BGH, Beschl. v. 28.08.2025 – Az.: VI ZR 258/24): DSGVO-Schadensersatz auch bei massenhaft provoziertem Datenschutzverstoß („Google Fonts“)?
Der BGH hat mit o.g. Beschluss dem EuGH Fragen zur Auslegung des DSGVO-Schadensersatzes vorgelegt, nachdem massenhaft Abmahnungen wegen der Einbindung von Google Fonts ohne Einwilligung ausgesprochen wurden. Reicht allein der Verstoß gegen die DSGVO (hier: unbefugte Übermittlung der IP-Adresse) für einen Schadensersatzanspruch aus? Und liegt hier eventuell ein Missbrauch vor, der einen Schadensersatz ausschließt?
BGH, Beschl. v. 28.08.2025 – Az.: VI ZR 258/24 - DSK-Entschließung zur automatisierten Datenanalyse durch Polizeibehörden
Die DSK fordert in ihrer Entschließung vom 17. September 2025, dass automatisierte Datenanalysen durch Polizeibehörden verfassungskonform gestaltet werden müssten. Bestehende gesetzliche Regelungen würden hierfür nicht genügen. Insbesondere betont sie die Risiken intensiver Grundrechtseingriffe durch lernfähige Systeme wie Künstliche Intelligenz und komplexe Datenabgleiche, die auch unbeteiligte Personen betreffen können.
DSK-Entschließung zur automatisierten Datenanalyse - Bundesnetzagentur: Informationen zum Data Act
Die Bundesnetzagentur hat ein umfassendes Informationsangebot zur EU-Datenverordnung („Data Act“) veröffentlicht, das Unternehmen, VerbraucherInnen und Behörden ein Mehr an Planungs- und Rechtssicherheit bieten soll.
Pressemitteilung der Bundesnetzagentur vom 12.09.2025 - KI-VO: Kommission veröffentlicht Entwurf von Leitlinien und Meldevorlagen zu schwerwiegenden KI-Vorfällen
Die KI-VO verpflichtet Anbieter von Hochrisiko-KI-Systemen ab August 2026, schwerwiegende Vorfälle an nationale Behörden zu melden. Hierzu hat die Kommission einen Entwurf von Leitlinien und Meldevorlagen veröffentlicht und die Interessenträger bis zum 07. November um Teilnahme am Konsultationsprozess gebeten.
Leitlinien und Meldevorlagen der Kommission zu schwerwiegenden KI-Vorfällen
