Datenschutzwoche

#216

Erster Dienst zur Einwilligungsverwaltung geht an den Start

Nach einem „Silent Release“ Ende 2025 ist der erste anerkannte Dienst zur Einwilligungsverwaltung seit Ende Januar 2026 offiziell veröffentlicht. Der sogenannte „Consenter“ wurde durch die Bundesbeauftragte für Datenschutz und Informationsfreiheit mit Wirkung zum 17.10.2025 auf Grundlage der Rechtsverordnung nach § 26 Abs. 2 TDDDG anerkannt (siehe DatenschutzWoche Ausgabe 150 vom 09.09.2024) und seitdem im öffentlichen Register geführt.

Das Tool ermöglicht die zentrale Aussteuerung und automatische Beantwortung von individuellen Cookie-Präferenzen. Eine manuelle Auswahl je einzelner Website soll damit überflüssig werden. Solche Dienste werden daher auch als „Personal Information Management Systems“ (PIMS) bezeichnet. Das Browser-Plug-In ist aktuell nur für den Chrome-Browser von Google verfügbar; Safari und Firefox sollen zeitnah folgen. Daneben bietet das Tool weitere Funktionen, etwa für die Erstellung von Einwilligungsbannern durch Website-Betreiber.

Vorabentscheidungsverfahren aus Belgien zur Vereinbarkeit eines Steuerabkommens mit Unionsrecht

Der belgische Marktgerichtshof hat mit Beschluss vom 26.11.2025 dem EuGH im Wege eines Vorabentscheidungsverfahrens nach Art. 267 AEUV insgesamt dreizehn Vorlagefragen zur Vereinbarkeit eines belgisch-US-amerikanischen FATCA-Abkommens (Foreign Account Tax Compliance Act) aus dem Jahr 2014 mit Unionsrecht vorgelegt. Das Abkommen regelt die Übermittlung von Finanzkonteninformationen an US-Steuerbehörden.

Ein Teil der Vorlagefragen befasst sich mit der Vereinbarkeit des Abkommens mit der EU-Datenschutzrichtlinie 95/46/EG sowie der Fortgeltung des Abkommens vor dem Hintergrund von Art. 96 DSGVO. Ein weiterer Fragenkomplex betrifft Kapitel V der DSGVO, u.a. die Vereinbarkeit mit dem EU-U.S. Data Privacy Framework.

Internationale Nachrichten

Niederlande: Das niederländische Justizministerium informiert mit einem Schreiben an das niederländische Parlament über einen Vorfall bei der niederländischen Datenschutzbehörde und dem Justizrat. Hintergrund ist eine Sicherheitslücke bei einer eingesetzten Unified Endpoint Management-Anwendung.
Belgien: Vorabentscheidungsverfahren nach Art. 267 AEUV des belgischen Marktgerichtshof zu Fragen der Vereinbarkeit eines FATCA-Abkommens (Foreign Account Tax Compliance Act) mit europäischem Datenschutzrecht (Beschluss vom 26.11.2025, Kopie abrufbar bei der Autorité de protection des données (APD)).
Schweiz: Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖP) hat anlässlich des Internationalen Datenschutztages seine Position zur Transparenz bei der Verarbeitung personenbezogener Daten im Zusammenhang mit generativer KI bekräftigt. Als notwendige Voraussetzung für das Recht auf informationelle Selbstbestimmung müssen Betroffene insbesondere erkennen können, ob sie es mit einer KI zu tun haben und wie die personenbezogenen Daten ihrer Prompts verwendet werden könnten.
Frankreich: Die Commission nationale de l'informatique et des libertés (CNIL) hat ihr Arbeitsprogramm 2026-2028 vorgestellt und dabei ihre Tätigkeitsschwerpunkte benannt.

Aktuelle Gerichtsentscheidungen

BGH, Urteil vom 10.12.2025, Az. II ZR 132/24: Ein Vereinsmitglied hat ein berechtigtes Interesse an der Mitteilung der E-Mail-Adressen der anderen Vereinsmitglieder, wenn es mit diesen im Vorfeld einer Mitgliederversammlung Kontakt aufnehmen will, um auf deren Abstimmungsverhalten Einfluss zu nehmen.
OLG Hamm, Hinweisbeschluss vom 22.01.2026, Az. 10 U 10/25: Ein Anspruch auf Unterlassung der Mitteilung von automatisiert erstellten Scorewerten durch eine Auskunftei besteht nicht, wenn keine maßgeblich von dem Scorewert geleitete Entscheidung vorliegt. Im Verfahren hatte der Kläger lediglich pauschal vorgetragen, dass ihm bedingt durch das Scoring der Abschluss zahlreicher Verträge verwehrt worden sei, ohne dies mit einem auf einen konkreten Sachverhalt bezogenen Tatsachenvortrag darzulegen.
VG Berlin, Urteil vom 09.10.2025, Az. VG 1 K 607/22: Das Auskunftsverweigerungsrecht des § 40 Abs. 4 S. 2 BDSG gilt nur für Auskunftspflichtige persönlich und steht juristischen Personen nicht zu. Letztere können sich selbst nicht strafbar machen und das Festsetzen einer Geldbuße gegen sie enthält – für den Schutz vor Selbstbezichtigung wesentlich – weder einen Schuldvorwurf noch eine ethische Missbilligung. Beschäftigte und Leitungspersonen eines Unternehmens können sich folglich auf das Auskunftsverweigerungsrecht nur dann berufen, wenn ihnen persönlich strafrechtliche Verfolgung oder ein Bußgeld drohen, d.h., das Auskunftsersuchen muss sich auf das konkrete Verhalten der auskunftspflichtigen Person beziehen, welches möglicherweise eine Straftat oder Ordnungswidrigkeit darstellt.
OLG Dresden, Urteile vom 03.02.2026, Az. 4 U 196/25, 4 U 292/25, 4 U 293/25, 4 U 296/25: Der 4. Zivilsenat des OLG Dresden hat am 03.02.2026 in vier Parallelverfahren zu den sog. „Meta Business-Tools“ den Meta Konzern zur Zahlung von immateriellem Schadensersatz nach Art. 82 Abs. 1 DSGVO in Höhe von jeweils 1.500 € sowie zur Unterlassung der Weiterverarbeitung hiermit gewonnener personenbezogener Daten verurteilt. Die Urteile sind rechtskräftig, da eine Revision nicht zugelassen wurde.

Neues aus den Aufsichtsbehörden

Datenschutzkonferenz: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat auf ihrer Zwischenkonferenz am 29. Januar 2026 in Berlin mit einem einstimmigen Entschluss den Gesetzgeber aufgefordert, eine rechtliche Grundlage für den Betrieb des Polizeiprojekts P20-Datenhaus zu schaffen.
Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz: Der LfDI hat eine Ausschreibung für innovative Digitalprojekte veröffentlicht. Mit der „Datenschutz-Sandbox“ sollen innovative digitale Anwendungen frühzeitig bei ihrer datenschutzkonformen Ausgestaltung unterstützt werden, um bestehende Unsicherheiten in rechtlicher und technischer Hinsicht abzubauen (zur Projektwebsite). Das Projekt wird vom Bundesministerium für Forschung, Technologie und Raumfahrt (BMFTR) gefördert und mit der Universität Bayreuth umgesetzt.
Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern: Der LfDI MV Sebastian Schmidt hat am 03.02.2026 seinen 20. Tätigkeitsbericht für das Jahr 2024 vorgelegt. In der Pressemitteilung betont Schmidt u.a. die rückläufige Anzahl von Datenpannenmeldungen sowie den deutlichen Anstieg von Beschwerden und Nachfragen zum Thema Videoüberwachung.
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: Die BfDI bietet zum dritten Mal Plätze beim Girls Day an. Mädchen ab der 7. Klasse können sich am 23. April 2026 Einblicke in die technischen Bereiche und Aufgaben der Behörde verschaffen.

Weitere Ausgaben