Datenschutz­woche

Neue Zuständigkeit der Datenschutzaufsichtsbehörden

Mit dem Inkrafttreten des Datenverordnungs-Anwendungs-und-Durchsetzungs-Gesetzes (DADG) am 30.05.2026 erhält die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine neue gesetzliche Zuständigkeit. Sie überwacht die Anwendung des sogenannten „Data Act“ (Verordnung (EU) 2023/2854) gegenüber der Wirtschaft und öffentlichen Stellen des Bundes, soweit personenbezogene Daten betroffen sind.

Das DADG regelt die Verteilung der Aufsichtszuständigkeiten zwischen Bundesnetzagentur (BNetzA) und der BfDI. Die BNetzA ist zuständige Behörde für die Anwendung und Durchsetzung des Data Act und zugleich zentrale Anlaufstelle für alle Fragen von Bürger*innen, Unternehmen und öffentlichen Stellen im Zusammenhang mit der Durchführung des Data Act. Die BfDI ergänzt diese Struktur als Datenschutzaufsicht.

BfDI Prof. Dr. Louisa Specht-Riemenschneider: „Der Data Act öffnet neue Räume für innovative Datennutzung. Datenschutz ist dabei ein wichtiger Vertrauensanker. Was Innovation allerdings erschwert, ist Rechtsunsicherheit darüber, wie der Data Act und die Datenschutz-Grundverordnung im konkreten Fall zusammenwirken. Diese Unsicherheit zu minimieren, ist Aufgabe von Gesetzgeber und Aufsicht gleichermaßen. Wir werden daher praxisrelevante Orientierung geben – sowohl für Unternehmen, die mit den neuen Datenrechten arbeiten, als auch für Menschen, die wissen wollen, was mit ihren Daten geschieht. Mit der Bundesnetzagentur arbeiten wir dafür eng und partnerschaftlich zusammen.“

Auch die Landesdatenschutzaufsichtsbehörden erhalten infolge des DADG eine neue Zuständigkeit. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) informiert darüber, dass seine Zuständigkeit in Bezug auf öffentliche Stellen und soweit der Schutz personenbezogener Daten betroffen ist, bestehen bleibt. Konkret definiert der HmbBfDI dafür zwei Fallgruppen: erstens, wenn öffentliche Stellen als Hersteller vernetzter Geräte agieren, und zweitens in den Fällen der Bereitstellung wegen außergewöhnlicher Notwendigkeit nach Art. 14 ff. DA.

Großes Ausmaß des Cyberangriffs auf Abrechnungsdienstleister

Ein massiver Cyberangriff auf den bundesweit tätigen Abrechnungsdienstleister Unimed hat zu einem erheblichen Datenabfluss von Patientendaten geführt. Das saarländische Unternehmen, das nach eigenen Angaben rund 95 Prozent aller deutschen Universitätskliniken sowie mehr als die Hälfte aller Krankenhäuser mit über 600 Betten betreut, wurde Mitte April 2026 Opfer einer Cyberattacke. Obwohl die vollständige Verschlüsselung der internen Systeme durch Sicherheitsmaßnahmen abgewehrt werden konnte, gelang es den Angreifern dennoch, umfangreiche Datenpakete aus einem begrenzten Systembereich zu entwenden.

Das Gesamtausmaß des Vorfalls wurde erst in den vergangenen Wochen sukzessive durch die betroffenen medizinischen Einrichtungen sichtbar. Nach aktuellen Erkenntnissen sind bundesweit deutlich mehr als 100.000 Patient*innen betroffen, hauptsächlich Privatpatient*innen und Selbstzahlende. Die entwendeten Informationen umfassen neben Stammdaten wie Namen, Geburtsdaten und Anschriften zum Teil auch sensible Details zu Kommunikationsvorgängen bei Abrechnungswidersprüchen oder medizinische Diagnosen und andere gesundheitsbezogene Informationen. Zahlreiche Universitätskliniken – darunter Freiburg (rund 54.000 betroffene Personen) und Köln (rund 30.000 betroffene Datensätze) – haben bereits individuelle Datenpannenmeldungen initiiert, die betroffenen Personen informiert und spezielle Kontaktwege für Betroffene eingerichtet. Allein in Baden-Württemberg haben laut dpa inzwischen 17 Krankenhäuser eine Meldung bei der Landesdatenschutzaufsichtsbehörde gemacht.

Mehrere der betroffenen Kliniken erklärten, die Datenübertragung an Unimed unmittelbar nach Bekanntwerden des Vorfalls gestoppt zu haben. Unimed erklärte, die Systeme seien inzwischen wieder vollständig arbeitsfähig. Externe IT-Forensiker hätten die Infrastruktur untersucht und abgesichert. Hinweise darauf, dass sich die Angreifer noch in den Systemen befinden, gebe es Unimed zufolge nicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die zuständigen Landesdatenschutzbehörden warnen Betroffene vor gezielt individuell zugeschnittenen Phishing- oder Erpressungsversuchen. 

 Internationale Nachrichten

• Europa: Die Europäische Kommission Hochrisiko-KI hat am 19.05.2026 einen Entwurf für Leitlinien für die Einstufung von Hochrisiko-KI-Systemen veröffentlicht.

• Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat mit Mitteilung vom 28.05.2026 über ein Bußgeld in Höhe von 5 Millionen Euro gegen das französische Tochterunternehmen eines US-amerikanischen Gesundheitsdaten- und Technologieunternehmens, welches auch in der klinischen Auftragsforschung tätig ist, informiert und damit die Verletzung zahlreicher datenschutzrechtlicher Vorschriften sanktioniert. Das Unternehmen hatte sich auf die Auffassung gestützt, dass Daten in zwei Gesundheitsdatenbanken anonym seien. Dies wies die CNIL zurück mit der Feststellung, dass nach ihrer Ansicht lediglich pseudonyme Daten vorliegen.

• Spanien: Assessment-Tool der Spanischen Datenschutzaufsichtsbehörde (AEPD) für Meldungen anlässlich der Verletzung des Schutzes personenbezogener Daten nach Art. 33 DSGVO. Das Tool „Asesora Brecha“ wird von einem weiteren Tool zu Art. 34 DSGVO ergänzt („Comunica-Brecha RGPD“).

Aktuelle Gerichtsentscheidungen

• BVerfG, Beschluss vom 22.04.2026, Az. 2 BvR 264/26 (Volltext): Unzulässige Verfassungsbeschwerde gegen Entscheidungen der Verwaltungskammer der Evangelischen Kirche von Westfalen und des Verwaltungssenats beim Kirchengerichtshof der Evangelischen Kirche in Deutschland. Die Entscheidung setzt sich mit Fragestellungen der Rechtswegerschöpfung und dem Grundsatz der Subsidiarität (§ 90 Abs. 2 BVerfGG) auseinander sowie mit der Rechtswegeröffnung zu den staatlichen Gerichten bei kircheninternen Kontexten und der Vereinbarkeit der Beschränkung der Prozessvertretung vor Kirchengerichten mit Art. 91 DSGVO.

• ÖBVwG, Urteil vom 23.04.2026, Az. W171 2303402-1/7E: „Alle Cookies akzeptieren“-Button darf im Cookie-Banner nicht optisch hervorgehoben sein.

Neuigkeiten aus den Aufsichtsbehörden:

• Bundesbeauftragte für den Datenschutz und Informationsfreiheit: Neue Zuständigkeit nach Inkrafttreten des Datenverordnungs-Anwendungs-und-Durchsetzungs-Gesetzes (DADG) zur Überwachung des Data Acts gegenüber der Wirtschaft und öffentlichen Stellen des Bundes, soweit personenbezogene Daten betroffen sind.

• Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: Mitteilung zum Data-Act-Durchführungsgesetz.

• Der Bayerische Landesbeauftragte für den Datenschutz: Arbeitspapier zum Thema „Identifizierbarkeit natürlicher Personen“.

• Landesbeauftragte für Datenschutz und Informationsfreiheit NRW: Informationsschreiben des LDI anlässlich eines Cyberangriffs auf einen großen Dienstleister für Fotograf*innen und den daraus folgenden datenschutzrechtlichen Pflichten.

• Sächsische Datenschutz- und Transparenzbeauftragte: Häufige Fragen und Antworten zum Datenschutz in der kommunalpolitischen Gremienarbeit, u. a. zu den Themen Veröffentlichung von Sitzungsunterlagen, Video- und Tonmitschnitte und Informations- und Akteneinsichtsrecht.