Datenschutz­woche

EU-Staaten einigen sich auf gemeinsame Position der sog. Chatkontrolle-Verordnung

Im Mai 2022 hatte die EU-Kommission den Entwurf einer Verordnung zur Bekämpfung sexueller Gewalt an Kindern vorgelegt. Demnach sollten Online-Dienste wie Hosting-Provider und Messenger dazu verpflichtet werden, die Verbreitung von Darstellungen solcher Handlungen zu verhindern, Grooming zu erkennen und entsprechende Inhalte zu melden. Der Verordnungsentwurf wurde unter dem Schlagwort „Chatkontrolle” bekannt und als Werkzeug „anlasslosen Massenüberwachung“ scharf kritisiert.

Nach jahrelangen Verhandlungen hat sich der EU-Rat nun auf ein teilweises Mandat für Gespräche mit dem Parlament geeinigt. Die verpflichtende Durchleuchtung privater Kommunikation („Chatkontrolle”) wurde gestrichen. Stattdessen setzt der Rat auf ein System aus Risikobewertung und -klassifizierung von Diensten sowie auf Präventionsmaßnahmen. Auch die Regelungen zu verpflichtenden Erkennungsanordnungen wurden entfernt.

Kritik an den freiwilligen Kontrollmöglichkeiten, den Altersüberprüfungen und den vorgesehenen Sperr- und Löschanordnungen besteht weiterhin. Zudem soll die bisher befristete Ausnahmeregelung für freiwillige Scans dauerhaft ins Recht übernommen werden. Diese Fragen werden in den anstehenden Trilog-Verhandlungen zwischen Rat, Parlament und Kommission entschieden.

Stiftung Datenschutz legt Rechtsgutachten zum Schutz der Daten Minderjähriger vor

„Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz“, heißt es in der DSGVO. In der Praxis sind jedoch viele Fragen ungeklärt. Deshalb veröffentlicht die Stiftung Datenschutz jetzt kostenfrei ein Rechtsgutachten, in dem Rechtsanwältin Dr. Diana Ettig die aktuelle Rechtslage analysiert. Das Gutachten gibt auf Basis der bestehenden Rechtslage und unter Berücksichtigung der Rechtsprechung sowie der Veröffentlichungen von Aufsichtsbehörden belastbare Handlungsempfehlungen für die Praxis. Der Schwerpunkt liegt auf der Verarbeitung personenbezogener Daten im ehrenamtlichen Engagement und in Vereinen.

Das Thema steht auch im Mittelpunkt des DatenTags am 21. Januar 2026.

Internationale Nachrichten

• Frankreich: Die französische Datenschutzaufsicht CNIL hat am 20. November 2025 gegen LES PUBLICATIONS CONDE NAST, Betreiber von vanityfair.fr, eine Geldstrafe von 750.000 Euro verhängt. Grund waren unzulässige Cookie-Praktiken, darunter das Setzen von Cookies ohne vorherige Einwilligung, unklare Informationen und fehlerhafte Ablehnungs- und Widerrufsmechanismen.
• Schweiz: Die Konferenz der schweizerischen Datenschutzbeauftragten hat eine Resolution zur Auslagerung von Datenbearbeitungen erlassen. Demnach erklärt privatim anhand von fünf Punkten, warum sie die Auslagerung von besonders schützenswerten oder einer gesetzlichen Geheimhaltungspflicht unterstehenden Personendaten in SaaS-Lösungen von großen internationalen Anbietern durch öffentliche Organe in den meisten Fällen (wie namentlich M365) für unzulässig hält.

Aktuelle Gerichtsentscheidungen

• LG München I, Urteil vom 07.08.2025, Az. 6 S 5046/25 (BeckRS 2025, 31923): Rechtsgrundlage – Nach Art. 6 Abs. 1 b DSGVO ist die Verarbeitung und damit auch die Weitergabe von Daten rechtmäßig, wenn sie für die Erfüllung eines Vertrages, deren Vertragspartei die betroffene Person ist, erforderlich sind. Das ist anzunehmen, wenn der Auskunftsberechtigte bei vernünftiger Betrachtung auf die Datenverwendung zur Erfüllung der Pflichten oder zur Wahrnehmung der Rechte aus dem Vertragsverhältnis angewiesen ist. So liegt es im vorliegenden Fall. Der Kläger benötigt die Auskunft zur Wahrnehmung seiner Rechte aus der Schuldverschreibung.
• VG Berlin, Urteil vom 09.10.2025, Az. 1 K 463/22 (juris): Recht auf Auskunft – Anders als die Klägerin meint, fallen solche Daten, die sich auf mehrere Personen beziehen, nicht von vornherein aus der Definition des Art. 4 Nr. 1 DSGVO oder dem Auskunftsrecht nach Art. 15 DSGVO heraus. Hierfür gibt es keinerlei Anhaltspunkte in den Erwägungsgründen zur DSGVO oder ihren sonstigen Bestimmungen. [...] Dem Auskunftsrecht des Beschwerdeführers konnte die Klägerin auch nicht entgegengehalten, dass er mit seinem auf Art. 15 DSGVO gestützten Begehren offenbar zivilrechtliche und/oder strafrechtliche Schritte gegen die Person, die seine Identität missbraucht hatte, anstrengen wollte. Der Antragsteller muss seinen Antrag nach Art. 15 Abs. 1 DSGVO nicht begründen, was zugleich bedeutet, dass er auch nicht zurückgewiesen werden kann, wenn mit ihm ein anderer Zweck verfolgt wird als der, von der Verarbeitung Kenntnis zu nehmen und deren Rechtmäßigkeit zu überprüfen.
• Bundesgerichtshof, Urteil vom 11.11.2025, Az. VI ZR 396/24 (Volltext): Auftragsverarbeiter – Verbleiben personenbezogene Daten nach Beendigung des Auftrags beim Auftragsverarbeiter, und werden sie dort abgegriffen und im Darknet zum Verkauf angeboten, stellt dies einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar. Ein solcher ist nicht allein deshalb ausgeschlossen, weil die Daten schon zuvor rechtswidrig abgegriffen worden waren.
• Verwaltungsgerichtshof Baden-Württemberg, Beschluss vom 11.11.2025, Az. 14 S 1906/25 (juris): Datenspeicherung – Nutzer von „Mein Justizpostfach“ haben keinen Anspruch darauf, dass in das Postfach eingestellte Dokumente dort dauerhaft gespeichert bleiben. Sie haben insbesondere keinen Anspruch darauf, dass die Betreiber auf die im Mai 2025 angekündigte Vorgehensweise, künftig alle empfangenen und gesendeten MJP-Nachrichten, die älter als 90 Tage sind, automatisch zu löschen, verzichten.
• VG Berlin, Urteil vom 11.11.2025, Az. VG 1 K 525/23 (BeckRS 2025, 32197): Recht auf Beschwerde – Mit der Zusage der Prüfung der Eingabe des Klägers (Betroffener) und der genauen Benennung der hierfür erforderlichen weiteren Informationen und der erklärten Bereitschaft des Klägers, diese umgehend nachzuliefern, hat die Beklagte (Datenschutzaufsichtsbehörde) die Erfüllung des mit dem Klageantrag geltend gemachten Anspruch aus Art. 57 Abs. 1 Buchst. f) DSGVO auf Einleitung und Betreiben eines Beschwerdeverfahrens verbindlich und kurzfristig in Aussicht und den Kläger dadurch klaglos gestellt. Das Rechtsschutzbedürfnis für den Antrag auf gerichtliche Entscheidung ist dadurch entfallen.
• ArbG Düsseldorf, Urteil vom 14.11.2025, Az. 11 Ca 3035/25 (BeckRS 2025, 32075): Auskunft – Zwar können exzessive Anträge auch dann vorliegen, wenn diese nicht häufig wiederholt worden sind. Sinn und Zweck der Datenschutzgrundverordnung ist es insoweit, den Betroffenen überhaupt erst die Möglichkeit zu verschaffen zu erfahren, was mit ihren Daten geschieht. Es begegnet grundsätzlichen Bedenken, diese Rechte einzuschränken, alleine, weil eine Person viele Verfahren führt oder auch nur deshalb, weil – was hier nicht unterstellt werden soll – die Bewerbungen nur der Vorbereitung von Schadensersatzprozessen dienen. Auch dann bestünde grundsätzlich ein nachvollziehbares Interesse daran zu erfahren, was mit den Daten geschieht, wobei es eines nachvollziehbaren Interesses nicht einmal bedürfte. Zudem würde dies Missbrauchsmöglichkeiten eröffnen, welchen die DSGVO gerade entgegenwirken soll.

Neues aus den Aufsichtsbehörden 

• Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: „Sicher. Digital. Rechtsstaatlich: Polizei 20/20 und Datenschutz im Dialog“– Mitteilung vom 25.11.2025
• Datenschutzaufsicht Thüringen: „Ein Jahr im Sinne der Transparenz beim TLfDI – Wichtige Signale für mehr Transparenzbewusstsein gesetzt!“– Mitteilung vom 26.11.2025
• Datenschutzaufsicht Brandenburg: „49. IFK: Entschließung zur Transparenz privat finanzierter Forschung“– Mitteilung vom 26.11.2025