Datenschutz­woche

Der Omnibus kommt – und zwar schneller und größer als erwartet

Die EU-Kommission plant eine umfassende Reform des europäischen Digitalrechts. Unter dem Titel „Digitaler Omnibus“ sollen am 19. November zwei Gesetzespakete vorgestellt werden, die mehrere bestehende Rechtsakte – darunter die Datenschutzgrundverordnung (DSGVO), die Datenverordnung (Data Act) und die KI-Verordnung (AI Act) – anpassen und vereinfachen sollen. Erst im September hatte die EU-Kommission Anspruchsgruppen und Öffentlichkeit zu Stellungnahmen eingeladen.

Netzpolitik.org veröffentlichte zwei Dokumente mit konkrete Vorschlägen der EU-Kommission zum „Digitalen Omnibus“. Diese stellen einen Zwischenstand dar. Die Pläne zur Umstrukturierung des Digitalrechts umfassen mehr als 200 Seiten. Die Änderungen betreffen grundlegende Normen und Definitionen der DSGVO. Nach ersten Einschätzungen führen die Vereinfachungen zu einer deutlichen Schwächung bestehender Datenschutz- und Verbraucherrechte. Ziel ist laut Kommission weniger Bürokratie und mehr Rechtssicherheit für Unternehmen. Eine Bestätigung der Dokumente steht noch aus. 

NIS-2 vor der Umsetzung

Mehr als ein Jahr nach Fristablauf am 17. Oktober 2024 steht die nationale Umsetzung der NIS-2-Richtlinie nun bevor. Am Donnerstag, dem 13. November 2025, stimmt der Bundestag nach einer halbstündigen Debatte darüber ab. Der Innenausschuss wird eine Beschlussempfehlung zum Gesetzentwurf „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung” abgeben. Die Debatte kann am 13. November ab 14:05 Uhr live im Stream mitverfolgt werden.

Die NIS-2-Richtlinie zielt darauf ab, ein hohes Cybersicherheitsniveau in der gesamten EU sicherzustellen, und betrifft Einrichtungen in wesentlichen Sektoren, darunter öffentliche elektronische Kommunikationsdienste, IKT-Verwaltungsdienste und digitale Dienste.

Noch im Mai dieses Jahres hatte die EU-Kommission die zweite Stufe des Vertragsverletzungsverfahrens gegen Deutschland und 18 weitere Mitgliedsstaaten eingeleitet, da die Vorschriften aus Art. 41 der Richtlinie nicht fristgerecht und vollständig umgesetzt worden waren. 

Bayern will in die Microsoft Cloud

Laut unveröffentlichten Dokumenten des zuständigen bayerischen Finanzministeriums, die der Redaktion des c’t-Magazins exklusiv vorliegen sollen, plant die Bayerische Staatsregierung, bis Ende 2025 einen Vertrag mit Microsoft über die Nutzung von Microsoft 365 für alle staatlichen Behörden abzuschließen. Der sogenannte „Bayernvertrag“ soll eine zentrale Lösung schaffen und künftig auch Kommunen offenstehen.

Kritik kommt von nationalen IT-Verbänden und Open-Source-Unternehmen, die in offenen Briefen vor Lizenzkosten in Milliardenhöhe und dem Verlust digitaler Souveränität warnen. Sie verweisen auf Alternativen wie die europäische Open-Source-Plattform OpenDesk, die beim Internationalen Strafgerichtshof (IStGH) Microsoft ersetzen soll. Das Finanzministerium betont hingegen, man prüfe derzeit Fragen des Datenschutzes, der IT-Sicherheit und der technischen Umsetzung. Konkrete Angaben zu Kosten, Vertragsdauer oder Alternativen machte es bislang nicht.

Der Einsatz von Microsoft-Lösungen in öffentlichen Einrichtungen steht international zunehmend in der Kritik. Der IStGH kündigte kürzlich an, Microsoft-Software aus Sicherheitsgründen ersetzen zu wollen, nachdem die USA den E-Mail-Account des Chefanklägers Karim Khan sperren ließen.

Auch im Nachbarland Österreich ist die Nutzung von Microsoft 365 Education an Schulen aktuell Gegenstand von Debatten. Die nationale Datenschutzaufsichtsbehörde hat zuletzt entschieden, dass die Nutzung von Microsoft 365 an einer Schule eine Verletzung des Auskunfts- und Informationsrechts darstellt. Ursache sei unter anderem die unrechtmäßige Verarbeitung personenbezogener Daten durch den Verantwortlichen. 

In Brüssel zeichnet sich hingegen ein anderes Bild ab. Nach intensiven Verhandlungen erklärte der Europäische Datenschutzbeauftragte (EDPS) die Nutzung von Microsoft 365 durch die EU-Kommission inzwischen für datenschutzkonform. EDPS-Chef Wojciech Wiewiórowski sprach von einem „bedeutenden Erfolg“ und einem „starken Signal für konstruktive Zusammenarbeit“.

Internationale Nachrichten

• Frankreich: Um Menschen die Wahrung ihrer postmortalen Persönlichkeitsrechte zu erleichtern, hat die CNIL ein Innovations- und Zukunftspapier veröffentlicht. Darin befasst sie sich mit dem Weiterleben von Daten nach dem Tod der damit verbundenen Person. Neben der postmortalen Datenverwaltung geht es darin auch um sogenannte Conversational Agents nach dem Vorbild Verstorbener.
• Italien: In den letzten Wochen berichteten italienische Medien über angeblich überhöhte Ausgaben und Gehälter bei der nationalen Aufsichtsbehörde. Die Ausgaben für Repräsentation, die Organisation von Veranstaltungen, Werbung und Dienstreisen sollen im Jahr angeblich auf fast eine halbe Million Euro angestiegen sein. Nun hat sich die Datenschutzaufsicht selbst zu Wort gemeldet. Bevor sie detailliert auf die jeweiligen Zahlen eingeht, stellt sie klar: „Dabei handelt es sich um Daten, die sowohl methodisch als auch inhaltlich eine offensichtliche Verzerrung darstellen.“
• Irland: Die irische Datenschutzaufsichtsbehörde DPC hat sich zu LinkedIns Plan geäußert, personenbezogene Daten von Nutzerinnen und Nutzern aus dem EWR zum Training eigener generativer AI-Modelle zu nutzen. Nach einer eingehenden Prüfung stellte die DPC mehrere Datenschutzrisiken fest und empfahl Änderungen. LinkedIn passte daraufhin seine Pläne an, verringerte den Umfang der verwendeten Daten, verbesserte die Transparenz und verstärkte Schutzmaßnahmen für Minderjährige sowie sensible Inhalte. Innerhalb von fünf Monaten muss LinkedIn nun einen Bericht über die Wirksamkeit dieser Maßnahmen vorlegen. Die DPC hat die Verarbeitung nicht genehmigt, sieht aber derzeit keinen weiteren Handlungsbedarf und wird die DSGVO-Konformität weiterhin überwachen.
• EDPD: Der Europäische Datenschutzausschuss (EDPB) hat am 5. November 2025 seine Stellungnahme zum Entwurf der Europäischen Kommission für einen Angemessenheitsbeschluss zu Brasilien veröffentlicht. Der Beschluss soll den freien Datenverkehr zwischen der EU und Brasilien ermöglichen, wenn ein gleichwertiges Datenschutzniveau gewährleistet ist. Der EDPB bestätigt eine enge Übereinstimmung des brasilianischen Datenschutzrechts (LGPD) mit der DSGVO und dem EU-Recht, fordert jedoch Klarstellungen zu Transparenzbeschränkungen, Weiterübermittlungen und Datenschutz-Folgenabschätzungen.

Aktuelle Gerichtsentscheidungen

• AG Sonneberg, Urteil vom 16.01.2025, Az. 5 C 171/24 (GRUR-RS 2025, 25415): Rechtsgrundlagen – Grundsätzlich darf ein Gutachter Daten nach DSGVO für sein familienpsychologisches Gutachten erheben. Denn er ist nicht nur berechtigt, sondern einzelgesetzlich zur Begutachtung verpflichtet (§ 407 ZPO). Die Verarbeitung personenbezogener Daten unterliegt zwar grundsätzlich einem Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass die Verarbeitung von Daten solange und soweit illegitim ist, als kein gesetzlicher Rechtfertigungsgrund greift oder eben eine Einwilligung der betroffenen Person vorliegt, wie aus dem Gefüge des Art. 6 DSGVO deutlich wird. Für Sachverständige besteht eine rechtliche Pflicht zur Erstellung von Gutachten nach § 30 Abs. 1 FamFG i.V.m. § 407 ZPO. Insofern greift Art. 6 Abs. 1 S. 1 lit. c) DS-GVO als Rechtfertigungsgrund; eine Einwilligung in die Verarbeitung ist damit nicht erforderlich.
• LG Berlin II, Urteil vom 20.8.2025, Az. 2 O 202/24 (GRUR-RR 2025, 472): Recht an der eigenen Stimme – In Rechtsprechung und Literatur ist anerkannt, dass das allgemeine Persönlichkeitsrecht auch das Recht an der eigenen Stimme umfasst, auch wenn es – anders als der Bildnisschutz gem. §§ 22 ff. KUG – spezialgesetzlich nicht geregelt ist. [...] In dieses Recht hat der Beklagte dadurch eingegriffen, dass er eine KI-erzeugte Nachahmung der Stimme des Klägers genutzt hat, um von ihm hergestellte Videos zu vertonen und anschließend zu verbreiten.
• OLG Dresden, Urteil vom 09.09.2025, Az. 4 U 464/25 (juris): Schadenersatz – Das Hochladen eines Lichtbildes mit personenbezogenen Daten des Betroffenen auf einer Anzeigeplattform im Internet kann einen datenschutzrechtlichen Kontrollverlust begründen.
• OLG Dresden, Beschluss vom 16.09.2025, Az. 4 U 634/25 (juris): Videoüberwachung – Unabhängig von einer nachgewiesenen Betroffenheit kann eine Videoüberwachung einen unzulässigen Eingriff in das allgemeine Persönlichkeitsrecht darstellen, wenn aufgrund konkreter Umstände die Befürchtung, überwacht zu werden, nachvollziehbar und verständlich erscheint (Überwachungsdruck). Der bloße Überwachungsdruck löst jedoch keinen datenschutzrechtlichen Schadensersatzanspruch aus. Er kann aber den Anspruch auf eine Geldentschädigung begründen, wenn die Kamera über einen längeren Zeitraum installiert ist und der Eindruck erweckt wird, auch der Privatsphärebereich werde von der Kamera erfasst.
• VG Berlin, Urteil vom 23.09.2025, Az. 1 K 334/23 (juris): Verarbeitung ohne Rechtsgrundlage – Eine Verletzung des allgemeinen Persönlichkeitsrechts (bzw. des Rechts am eigenen Bild) von Polizeibeamten und Dritten kann ebenso wie ein Verstoß gegen das Rechtfertigungserfordernis des Art. 6 DSGVO im Ausgangspunkt eine polizeirechtliche Gefahr begründen.
• OLG Dresden, Urteil vom 07.10.2025, Az. 4 U 884/24 (juris): Recht auf Auskunft – Der von einem Bonitätsinformationssystem erfasste Betroffene hat Anspruch auf eine individualisierte Darlegung der Verfahren und Grundsätze, die bei der Verarbeitung konkret angewandt wurden; der Verweis auf allgemein gehaltene Informationen, die über eine Website abgerufen werden können, genügt nicht.

Neuigkeiten aus den Aufsichtsbehörden

• Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: „Mehrheit der Nutzerinnen und -nutzer wünscht sich mehr Kontrolle über ihre Daten – erster Cookie-Manager in Deutschland anerkannt“– Mitteilung vom 04.11.2025
• Datenschutzaufsicht Baden-Württemberg: „Web-Talk: Informationsfreiheit in der digitalen Welt“– Mitteilung vom 05.11.2025
• Datenschutzaufsicht Baden-Württemberg: „ONKIDA: Aktualisierte Übersicht zu KI und Datenschutz“– Mitteilung vom 06.11.2025
• Datenschutzaufsicht Rheinland-Pfalz: „ePA für alle – Daten für alle? Veranstaltung zu den Potenzialen und Risiken der elektronischen Patientenakte mit großer Resonanz“– Mitteilung vom 06.11.2025