Datenschutzwoche
EU-Kommission: Angemessenheitsbeschluss für Brasilien veröffentlicht
Die Europäische Kommission erweitert die Liste der Länder, für die ein Angemessenheitsbeschluss nach Art. 45 DSGVO besteht. Mit Durchführungsbeschluss (EU) 2026/179 vom 26.01.2026 zählt nun auch Brasilien zu denjenigen Drittländern, in welche personenbezogene Daten vereinfacht übermittelt werden können. Das durch die brasilianische Rechtsordnung und das Datenschutzgesetz „Lei Geral de Proteção de Dados“ vermittelte Schutzniveau ist dem der EU gleichwertig.
Die Entscheidung ist Teil einer umfassenderen Freihandelspartnerschaft, die die EU mit Brasilien und anderen lateinamerikanischen Ländern geschlossen hat. Der Startschuss für das Verfahren erfolgte im September 2025. Wie bei den anderen 16 Angemessenheitsbeschlüssen wird die EU-Kommission das Abkommen alle vier Jahre überprüfen.
BlnBDI kritisiert Vorschläge der EU-Kommission zur Reform der DSGVO
Anlässlich des Europäischen Datenschutztags vom 28.01.2026 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Meike Kamp die DSGVO-Reformvorschläge der EU-Kommission im Digital Omnibus in deutlichen Worten kritisiert: “Die EU-Kommission rüttelt an den Grundpfeilern des Datenschutzes“. Nach ihrer Ansicht berühren die geplanten Änderungen an der Definition personenbezogener Daten den Kernbereich des Datenschutzes und gehen weit über die Rechtsprechung des Europäischen Gerichtshofs hinaus. Es sei beispielsweise zu befürchten, dass durch den Änderungsvorschlag viele Datenverarbeitungen im Kontext der Online-Werbung künftig nicht mehr unter das Datenschutzrecht fallen könnten. Stattdessen sprach Kamp sich für eine Stärkung von Verfahren der Pseudonymisierung und auch Anonymisierung aus.
Internationale Nachrichten
- Europa: Der Europäische Datenschutzausschuss (EDSA) hat am 23.01.2026 seine beiden FAQ zum EU-U.S. Data Privacy Framework für European Individuals, European Businesses und Aufsichtsbehörden jeweils in der Version 2.0 veröffentlicht.
- Frankreich: Die Commission nationale de l'informatique et des libertés (CNIL) hat ein Bußgeld i.H.v. 42 Millionen Euro gegen den zweitgrößten französischen Internet- und Telekomanbieter Free verhängt. Bei einem Cyberangriff im Oktober 2024 hatten Angreifer Datensätze von bis zu 24 Millionen Betroffenen entwendet. Die CNIL sanktioniert mit dem Bußgeld unzureichende technisch-organisatorische Maßnahmen des Anbieters (nicht ausreichende Authentifizierungsmethoden mittels der eingesetzten VPN-Systeme und unwirksame interne Erkennungssysteme) sowie die anschließende mangelhafte Information der Betroffenen. Das Bußgeld teilt sich in 24 Millionen Euro gegen Free Mobile und 15 Millionen Euro gegen Free auf.
- Frankreich: Die Commission nationale de l'informatique et des libertés (CNIL) hat am 29.01.2026 über ein Bußgeld gegen die französische Arbeitsagentur (France Travail) informiert. Bei einem Cyberangriff auf die Systeme der Agentur im Jahr 2024 waren Datensätze von bis zu 43 Millionen Arbeitssuchenden der vergangenen 20 Jahre entwendet worden. Die Sanktion betraf die mangelhaften technisch-organisatorischen Maßnahmen.
- Europa: Die EU-Kommission hat am 28.01.2026 den Durchführungsbeschluss (EU) 2026/179 vom 26.01.2026 für den Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO für Brasilien veröffentlicht.
Aktuelle Gerichtsentscheidungen
VGH Mannheim, Urteil vom 22.12.2025, Az. 2 S 112/25: Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO ist der einschlägige Erlaubnistatbestand für Beherberger, Betreiber von Campingplätzen oder Hafenanlagen sowie andere Private, denen Meldepflichten für die Erhebung und Veranlagung der Kurtaxe auferlegt werden. Die Erfüllung einer rechtlichen Pflicht trifft auch dann zu, wenn die Erhebung einem öffentlichen Zweck dient. Auch Verordnungen und Satzungen, wie die gegenständlich zu beurteilende Kurtaxesatzung (erlassen auf Grundlage des Kommunalabgabengesetzes Baden-Württemberg), können die rechtliche Verpflichtung begründen.
VG Osnabrück, Urteil vom 13.01.2026, Az. 7 A 6/24: Ein Auskunftsanspruch nach Art. 15 DSGVO muss grundsätzlich keinen Stichtag benennen. Der Anspruch bezieht sich dann auf den Zeitpunkt des Eingangs des Antrags beim Verantwortlichen (amtlicher Leitsatz). In dem der Entscheidung zugrundeliegenden Sachverhalt hatte die Verantwortliche und Beklagte den Betroffenen und Kläger um die Benennung eines Stichtags gebeten, zu welchem die Auskunft erfolgen solle.
Neuigkeiten aus den Aufsichtsbehörden:
- Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg: Der LfDI weist auf seiner Website darauf hin, dass bei der anstehenden Landtagswahl im März 2026 erstmals die Verordnung über die Transparenz und das Targeting politischer Werbung (TTPW-VO) Anwendung findet, und stellt eine Hilfestellung für politische Akteure zur Verfügung.
- Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: Die BfDI hat zum Jahresbeginn das neue Beratungsangebot „ReguLab“ gestartet. Das Programm mit „Sandbox“-Ansatz hat zum Ziel, gemeinsame Lösungen für datenschutzrechtliche Herausforderungen bei datenbasierten Innovationen zu entwickeln.
- Bayerischer Landesbeauftragte für den Datenschutz: Der BayLDA befasst sich in seiner Kurz-Information 65 vom 15.01.2026 mit gemeinsamen Dateiablagen oder Austauschverzeichnissen, weil diese häufig eine Quelle von Datenpannen darstellen. Die Kurz-Information enthält Hinweise, die bei der Vorbeugung helfen sollen.
- Berliner Beauftragte für Datenschutz und Informationsfreiheit: EU-Kommission rüttelt an den Grundpfeilern des Datenschutzes, Pressemitteilung vom 28.01.2026.