Zum Inhalt springen Zur Navigation springen
Dr. Datenschutz Shortnews im September 2025 – KW 38

Dr. Datenschutz Shortnews im September 2025 – KW 38

Artikel von Dr. Datenschutz·17. September 2025

Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.

Referentenentwurf zur Umsetzung der KI-Verordnung

In Deutschland liegt nun ein Referentenentwurf des Bundesministeriums für Digitales und Staatsmodernisierung (BMDS) vor, der die Umsetzung der KI-VO konkretisiert. Dieser sieht vor, dass die Bundesnetzagentur als zentrale Marktüberwachungsbehörde für KI-Systeme fungiert, während weitere spezialisierte Behörden je nach Anwendungsfall einbezogen werden, wie z.B. die BaFin für Hochrisiko-KI im Finanzbereich. Neu geschaffen werden zudem eine unabhängige Überwachungskammer und ein Kompetenzzentrum bei der BNetzA, um eine einheitliche Umsetzung und Überwachung sicherzustellen.

Bedeutung für die Praxis

  • Das Durchführungsgesetz selbst schafft keine neuen Verpflichtungen für Unternehmen, sondern regelt vor allem die Zuständigkeiten und Zusammenarbeit der Behörden. Hervorzuheben ist die Unabhängigkeit der neuen KI-Marktüberwachungskammer (UKIM) für sensible Anwendungsbereiche. Verstöße gegen die KI-Verordnung werden ausdrücklich in das Hinweisgeberschutzgesetz aufgenommen. Nach drei Jahren ist geplant, die neue Aufsichtsstruktur zu evaluieren und ggf. weiterzuentwickeln.

Hilfreiche Links

Microsoft: Neuer Auftragsverarbeitungsvertrag zum 01.09.2025

Microsoft hat im September ein neues Data Protection Addendum (DPA) veröffentlicht, das wichtige Änderungen zur digitalen Souveränität in der Microsoft Cloud enthält und die vorherige Version vom April 2025 ablöst. Zu den Neuerungen zählen ein Anhang, in dem Microsoft zusichert, behördliche Abschaltanordnungen für öffentliche Einrichtungen rechtlich anzufechten, die Ausweitung der EU-Datengrenze auf den gesamten Europäischen Wirtschaftsraum sowie Regelungen zum Data Act und zur Verantwortlichkeit der Kunden bei Einwilligungen für Telekommunikationsdaten. Das DPA ist das zentrale Datenschutzdokument für Microsoft-Dienste und liegt derzeit nur auf Englisch vor.

Bedeutung für die Praxis

  • Für die meisten Unternehmen werden sich – in Bezug auf eine „normale“ Nutzung von Microsoft-Produkten (MS 365 oder MS Teams) – vermutlich keine nennenswerten Änderungen in der Praxis ergeben, insbesondere die Erweiterung der EU-Datengrenze dürfte keine datenschutzrechtlichen Nachteile mit sich bringen. Abzuwarten bleibt, welche Auswirkungen die Einbeziehung der Regelungen des Data Act haben wird.

Hilfreiche Links

Weitere News zu Datenschutz und IT

  • Warum im Netz Checkboxen für AGB und Datenschutz überflüssig sind | heise.de
  • Meta wertet alle Fotos auf dem Smartphone aus – so schalten Sie das ab | stern.de
  • BSI – Wie kann ich meine IT zuhause absichern? | bsi.bund.de
  • Verwirrung um „erweiterten Datenschutz“ bei Whatsapp: Was ist das? | rnd.de
  • Adblocker: Mehr problematische Werbung trotz Schutzversprechen | telepolis.de

EuGH: Pseudonymisierte Daten und der Personenbezug

Der EuGH stellte klar, dass pseudonymisierte Daten personenbezogene Daten darstellen und dass persönliche Meinungen oder Sichtweisen untrennbar mit der Person verbunden sind, die sie äußert. Gleichzeitig könne eine Pseudonymisierung von Daten aber dazu führen, dass diese nicht mehr als personenbezogen gelten, sofern technische und organisatorische Maßnahmen eine Identifizierung wirksam verhindern. Pseudonymisierte Daten sind daher nicht für jede Stelle als personenbezogene Daten zu betrachten. Denn die Pseudonymisierung kann andere Stellen als den Verantwortlichen tatsächlich an einer Identifizierung der betroffenen Person hindern. Die Informationspflicht besteht im Rechtsverhältnis zwischen der betroffenen Person und dem Verantwortlichem jedoch unabhängig davon, ob es sich aus Sicht von Dritten aufgrund der Pseudonymisierung um personenbezogene Daten handelte oder nicht.

Bedeutung für die Praxis

  • Die Erwägungen, die hier im Zusammenhang mit Art. 15 Abs. 1 der Verordnung (EU) 2018/1725 angestellt werden, lassen sich auf die DSGVO übertragen, da der Begriff der „personenbezogenen Daten“ im Wesentlichen mit der in Art. 4 Nr. 1 DSGVO enthaltenen Definition übereinstimmt. Pseudonymisierte Daten stellen grundsätzlich personenbezogene Daten dar und unterliegen den allgemeinen datenschutzrechtlichen Vorgaben. Für die Identifizierbarkeit ist dabei jedoch auf die jeweilige Perspektive abzustellen.

Hilfreiche Links

EuGH: Immaterieller Schadensersatz im Datenschutz

Ein Bewerber verklagte die Quirin Privatbank AG auf Unterlassung und Schadensersatz, nachdem seine personenbezogenen Daten versehentlich an einen Dritten weitergeleitet wurden. Der EuGH entschied, dass der immaterielle Schadensersatz nach Art. 82 Abs. 1 DSGVO auch negative Gefühle wie Sorge oder Ärger umfassen kann, sofern diese nachweislich durch den Verstoß verursacht wurden. Der Grad des Verschuldens ist für die Höhe des Schadensersatzes aber unerheblich. Ein daneben bestehender Anspruch auf Unterlassung dürfe dabei nicht zur Minderung des Schadensersatzes führen, da beide Ansprüche unterschiedliche Funktionen erfülle.

Bedeutung für die Praxis

  • Der EuGH präzisiert mit seiner Entscheidung weiter die Grenzen von immateriellen Schadenersatzansprüchen. Bei der Prüfung der Ansprüche von Betroffenen bei DSGVO-Verstößen ist außerdem – neben Schadensersatz – auch die Geltendmachung von Unterlassungsansprüche zu berücksichtigen, zumindest wenn auch die Löschung von Daten bereits verfolgt wurde.

Hilfreiche Links

Weitere wichtige Meldungen

  • EDSA nimmt „Helsinki Statement“ an
    Am 2. Juli 2025 hat der (EDSA) in Helsinki das „Helsinki Statement“ angenommen. Die Erklärung enthält konkrete Maßnahmen zur Stärkung der DSGVO-Anwendung, insbesondere für kleine und mittlere Unternehmen. Ziel ist es, die Einhaltung der Datenschutzvorgaben zu erleichtern, Innovation verantwortungsvoll zu fördern und die Wettbewerbsfähigkeit in Europa zu unterstützen.
    Stellungnahme des EDSA vom 02.07.2025
  • SDTB: Neue Informationsoffensive für besseren Schutz der eigenen Daten in Sachsen
    Die SDTB hat eine neue Kampagne zum Schutz der eigenen Daten ins Leben gerufen. Im Mittelpunkt stehen die Sensibilisierung und Schutzmaßnahmen bei der Verarbeitung persönlicher Informationen.
    Pressemitteilung SDTB
  • OLG Schleswig: Abweisung Eilantrag gegen Meta
    Das OLG Schleswig hat den Eilantrag gegen die Verarbeitung personenbezogener Daten für KI-Trainingszwecke durch Meta mangels Dringlichkeit abgewiesen.
    OLG Schleswig, Beschluss vom 12.08.2025
  • LG München I: Rechtsverstoß durch automatische Antwort-E-Mail
    Das Gericht entschied, dass eine im Impressum angegebene E-Mail-Adresse tatsächlich für die Kontaktaufnahme geeignet sein muss; eine automatische Antwort, die auf andere Kommunikationswege verweist, genügt den gesetzlichen Anforderungen nicht. Nach § 5 Abs. 1 Nr. 2 DDG bleibt die Angabe einer funktionierenden E-Mail-Adresse verpflichtend und kann nicht durch Support-Portale oder andere Kommunikationsmittel ersetzt werden.
    LG München I, Endurteil vom 25.02.2025 – 33 O 3721/24
Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Ich habe mal ein paar Fragen zu dem Pseudonymisierungsurteil:
    Hatte der EuGH nicht zuvor schon festgestellt, dass eine IP-Adresse oder eine Fahrzeugidentifikationsnummer personenbezogen ist, weil (sinngemäß) es ausreicht, dass IRGENDEINE Stelle den Personenbezug herstellen kann?
    Wie verträgt sich das denn jetzt mit dem neuen Urteilsspruch?
    Kann man jetzt also argumentieren, dass IP-Adresse und FIN nicht mehr FÜR ALLE Stellen personenbezogen sind? In den allermeisten Fällen lässt sich der Personenbezug einer IP-Adresse nur bei der betreffenden Firma/Privatperson oder dem Provider herausfinden. Würde die IP-Adresse für alle anderen Stellen dann jetzt aus dem Anwendungsbereich der DSGVO herausfallen?

    • Vielen Dank für Ihre Frage. Ihre Feststellung zur früheren Rechtsprechung ist richtig. Relevant sind dabei die von Ihnen genannten Urteile, sowie das hiesige Urteil in Verbindung mit der abweichenden Auffassung der Vorinstanz (EuG).

      Ausgangspunkt des Meinungsstreits ist seit jeher die Unterscheidung zwischen der Theorie des absoluten Personenbezugs und der Theorie des relativen Personenbezugs. Das EuG (Gericht der Europäischen Union) legt in seiner hier relevanten Entscheidung ein relatives Verständnis zugrunde, indem es feststellt, dass für eine Stelle personenbezogene Daten, die in pseudonymisierter Form an einen Dritten übermittelt werden, für diesen Dritten keinen Personenbezug aufweisen, wenn der Dritte nicht über die Mittel zur Identifizierung der betroffenen Person verfügt. Das EuG vertrat also einen relativen Ansatz beim Personenbezug. Der Europäische Gerichtshof hat diese Sichtweise des EuG aufgehoben und einen absoluten (oder objektiven) Ansatz bestätigt. Die Eigenschaft „personenbezogen“ ist eine objektive Eigenschaft der Daten selbst. Diese Eigenschaft geht nicht dadurch verloren, dass die Daten an einen Dritten übermittelt werden, der die Person möglicherweise nicht identifizieren kann. Es kommt darauf an, ob Mittel existieren, die vom Verantwortlichen nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die bei ihm befindlichen Daten mit den Zusatzinformationen einer anderen Person so zu verknüpfen, dass ihm eine Identifikation der betroffenen Person gelingt.

      Beide Gerichte stimmen zwar zu, dass die „Identifizierbarkeit“ einer Person das entscheidende Kriterium für den Personenbezug ist. Die Definition, was „identifizierbar“ bedeutet und aus wessen Perspektive dies zu beurteilen ist, unterscheidet sich dagegen fundamental.
      Das EuG meint: Die Identifizierbarkeit wird aus der subjektiven Sicht des Datenverantwortlichen/-empfängers beurteilt.
      Der EuGH meint (früher wie heute): Die Daten bleiben personenbezogen, da objektiv die Möglichkeit der Identifizierung durch Dritte fortbesteht.

      Für IP-Adressen heißt das nach Ansicht des EuGH:
      Die (hypothetische) Möglichkeit des Anbieters, bei Cyberattacken die Informationen des Users vom Internetanbieter zu erlangen und die Strafverfolgung einzuleiten, und sei es über den Umweg über die zuständige Behörde, lässt der EuGH ursprünglich ausreichen, um einen Personenbezug anzunehmen

      Für FIN-Nummern bedeutet das:
      FIN-Nummern stellen „als solche keine „personenbezogenen“ Daten“ dar – für denjenigen, der bei vernünftiger Betrachtung über Mittel verfügt, die es ermöglichen, sie einer bestimmten Person zuzuordnen, jedoch schon. Weil mit der FIN-Nummer der Halter des KFZ verknüpft ist, handelt es sich bei der FIN um ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO, sofern derjenige, der Zugang zur FIN hat, über Mittel verfügen könnte, die es ihm ermöglichen, die FIN zur Identifizierung des Halters des Fahrzeugs, auf das sich die FIN bezieht, zu nutzen.

      (Genau hier hört aber die Prüfung des EuGH auf:
      „…die FIN [ist ein personenbezogenes Datum], wenn die unabhängigen Wirtschaftsakteure bei vernünftiger Betrachtung über Mittel verfügen können, die es ermöglichen, die FIN einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen – was zu prüfen Sache des vorlegenden Gerichts ist –, für diese Wirtschaftsakteure sowie mittelbar für die Fahrzeughersteller, die die FIN bereitstellen, ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO dar, selbst wenn die FIN für sich genommen für die Fahrzeughersteller kein persönliches Datum darstellt, insbesondere dann nicht, wenn das Fahrzeug, dem sie zugewiesen wurde, nicht einer natürlichen Person gehört.“)

      Auch nach dem jüngsten Urteil hat sich also die Auffassung des EuGH nicht geändert. Eine neue Argumentation hingehend zu einem relativen Verständnis ist demnach leider nicht möglich.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.