Datenschutz­woche

EU Data Act: Regelungen werden schrittweise wirksam

Die seit dem 12. September 2025 geltende „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“, kurz „Datenverordnung“ oder „Data Act“, ist eine europäische Verordnung im Sinne des Art. 288 AEUV. Damit ist sie in allen Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. Ziel der Verordnung ist es, den fairen Zugang zu und die faire Nutzung von Daten zu gewährleisten und gleichzeitig deren wirtschaftliche Verwertbarkeit zu verbessern.

Die Verordnung gilt neben der DSGVO und schafft keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Sind Nutzende zugleich betroffene Person, kann ein Datenbereitstellungsverlangen im Einzelfall als (konkludente) Einwilligung dienen – aber nur, wenn die Anforderungen der DSGVO (informiert, freiwillig, spezifisch, widerruflich, dokumentiert) eingehalten sind. Sind Nutzende nicht gleichzeitig betroffene Person, agieren sie als Verantwortliche und benötigen eine eigene Rechtsgrundlage (in der Regel berechtigtes Interesse oder Vertragserfüllung). Die weiteren Vorgaben der DSGVO müssen ebenfalls beachtet werden. Datensätze, die personenbezogene und nicht personenbezogene Daten enthalten, unterfallen in Gänze der DSGVO (ErwG 34).

Für die Überwachung des Data Acts gemäß Art. 37 Abs. 3 Data Act sind die die Datenschutzaufsichtsbehörden zuständig, sofern personenbezogene Daten verarbeitet werden. Bezüglich der Einhaltung des Data Acts bei der Verarbeitung nicht personenbezogener Daten muss die Bundesregierung noch eine zuständige Behörde benennen. 

Die EU-Kommission hat eine FAQ-Sammlung mit häufig gestellten Fragen zum Data Act bereitgestellt. Über die Schnittstellen von Data Act und DSGVO sprach Carolin Loy vom Bayerischen Landesamt für Datenschutzaufsicht kürzlich in „Datenschutz am Mittag“. Hier geht es zur Aufzeichnung.

Bitkom-Umfrage: Datenschutz als unternehmerische Herausforderung

Laut einer repräsentativen Umfrage des Branchenverbands der deutschen Informations- und Telekommunikationsbranche (Bitkom) unter 603 Firmen mit mindestens 20 Beschäftigten gaben 97 Prozent der Befragten an, dass die Umsetzung der Datenschutzvorgaben mit hohem Aufwand verbunden sei. Bitkom-Präsident Ralf Wintergerst kritisierte die zunehmende Komplexität durch zahlreiche Aufsichtsbehörden und uneinheitliche Auslegungen. Er forderte eine Reduzierung von Dokumentations- und Berichtspflichten sowie eine stärkere Anpassung an technologische Entwicklungen wie Künstliche Intelligenz.

Im Rahmen des am 21. Mai 2025 vorgeschlagenen vierten Omnibus-Pakets plant die EU-Kommission eine Reihe von Vereinfachungen für kleine Unternehmen mit mittlerer Marktkapitalisierung. Darunter sind auch Entlastungen von Vorgaben der Datenschutzgrundverordnung.

Auch die Bundesregierung strebt in der aktuellen Legislaturperiode Vereinfachungen im Datenschutz an. Im Koalitionsvertrag heißt es wörtlich: „Wir nutzen alle vorhandenen Spielräume der DSGVO, um beim Datenschutz für Kohärenz, einheitliche Auslegungen und Vereinfachungen für kleine und mittlere Unternehmen, Beschäftigte und das Ehrenamt zu sorgen.“

Internationale Nachrichten

• Europäischer Datenschutzausschuss (EDPB): Der Europäische Datenschutzausschuss (EDPB) hat Leitlinien zum Zusammenspiel der Datenschutzgrundverordnung (DSGVO) und des Digital Services Act (DSA) verabschiedet. Ziel ist es, eine einheitliche Anwendung beider Regelwerke zu fördern. Der DSA ergänzt die DSGVO, um grundlegende Rechte wie Meinungsfreiheit und Datenschutz im digitalen Raum zu sichern. Betroffen sind vor allem Online-Vermittlungsdienste wie Suchmaschinen und Plattformen. Eine öffentliche Konsultation ist vorgesehen.
• Griechenland: Die griechische Datenschutzbehörde verhängte ein Bußgeld in Höhe von insgesamt 700.000 Euro gegen die Vodafone S.A.: 350.000 Euro wegen mangelhafter Kontrolle von Auftragsverarbeitern, 150.000 Euro wegen Verstößen gegen das nationale Telekommunikationsrecht sowie 200.000 Euro wegen Verletzung des Grundsatzes der Datenrichtigkeit. Erst zu Beginn des Jahres hatte die BfDI Bußgelder in Höhe von 45 Mio. Euro gegen Vodafone verhängt.
• Vereinigtes Königreich: Die britische Datenschutzaufsichtsbehörde ICO (Information Commissioner’s Office) hat Datenschutzverletzungen an Schulen analysiert. Demnach wurden mehr als die Hälfte der 215 gemeldeten Vorfälle durch Schülerinnen und Schüler verursacht. In vielen Fällen nutzten sie schwache oder notierte Passwörter, um Zugang zu den IT-Systemen zu erhalten.

Aktuelle Gerichtsentscheidungen: 

• LG Berlin II, Urteil vom 23.06.2025, Az. 52 O 147/22 (GRUR-RS 2025, 21288): Vertrag als Rechtsgrundlage – Die Beklagte hat keine stichhaltigen Gründe dafür genannt, wieso es im vorgenannten Sinne erforderlich sein sollte, die Voreinstellung ihrer App so einzurichten, dass es erlaubt wird, andere Nutzende „zu finden“, d. h. die Profildaten und Beiträge der Nutzende zu sehen. Die Argumentation der Beklagten, die mit ihrer App beworbene Möglichkeit eines (mit Ausnahme der Volksrepublik China) weltweiten Austausches mit unbekannten Dritten könne nur dann verwirklicht werden, wenn es grundsätzlich alle Nutzende akzeptierten, dass auch ihre eigenen Daten von jedweden Dritten gesehen werden könnten, überzeugt deshalb nicht, weil die Beklagte ihre App auch für eine private Form der Nutzung anbietet.
• OLG München, Hinweisbeschluss vom 21.07.2025, Az. 14 U 1531/25 e (GRUR-RS 2025, 23217): Automatisierte Einzelfallentscheidung – Die Erstellung eines Score-Wertes seitens der Beklagten stellt nur dann eine „automatisierte Entscheidung im Einzelfall“ im Sinne von Art. 22 Abs. 1 DSGVO dar, wenn „von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob Dritte, denen dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründen, durchführen oder beenden“. Zu einer solchen, sich in maßgeblicher Weise auf den seitens der Beklagten übermittelten Wahrscheinlichkeitswert stützenden „Folge-Entscheidung“ seitens Dritter (z.B. eines Kreditgebers) hat der Kläger aber nicht substantiiert vorgetragen.
• AG Düsseldorf, Urteil vom 19.08.2025, Az. 42 C 61/25 (GRUR-RS 2025, 22886): „Googeln“ von Bewerber.innen – Die Beklagte hat vorliegend den Namen des Klägers im Zusammenhang mit einem gerichtlichen Verfahren als Beklagter „gegoogelt“, um Erkenntnisse über dessen Person zu erlangen. Das Gericht hält eine solche Maßnahme im Rahmen einer Rechtsverteidigung zumindest im vorliegenden Fall für sinnvoll und erforderlich, zumal vorliegend die Beklagte hierdurch Erkenntnisse erlangt hat, die möglicherweise für den Ausgang des Verfahrens von Bedeutung sein würden. [...] Dies bedeutet allerdings nicht, dass die Recherche im Geheimen ablaufen darf. [...] Der Kläger hat durch die nicht erfolgte Information gemäß Art. 14 Abs. 1 lit. d DSGVO auch einen immateriellen Schaden erlitten. [...] Das Gericht hält vorliegend allerdings lediglich einen immateriellen Schadensersatz von 250 Eurofür angemessen.
• LG Düsseldorf, Aussetzungsbeschluss vom 29.08.2025, Az. 14e O 108/25 (GRUR-RS 2025, 22869): Immaterieller Schadenersatz – Die Parteien streiten über einen Anspruch des Klägers auf Ersatz immateriellen Schadens gemäß Art. 82 Abs. 1 DSGVO wegen einer Verletzung des Auskunftsrechts nach Art. 15 DSGVO. Diese Frage ist höchstrichterlich noch nicht entschieden und Gegenstand des oben genannten Vorlagebeschlusses. Dort wird mithin eine Rechtsfrage zur Klärung gebracht, die auch für den vorliegenden Rechtsstreit von wesentlicher Bedeutung ist.
• LG Lübeck, Beschluss vom 04.09.2025, Az. 15 O 12/24 (GRUR-RS 2025, 22913): Zulässigkeit der Übermittlung von Informationen von Mobilfunkunternehmen an privatrechtlich organisierte Wirtschaftsauskunfteien – Das Gericht hat das Verfahren ausgesetzt und dem Europäischen Gerichtshof Fragen zur Auslegung der DSGVO vorgelegt. Die zentrale Frage betrifft die Anwendung von Art. 6 Abs. 1 f) DSGVO auf die Übermittlung von Positivdaten durch Mobilfunkunternehmen an Wirtschaftsauskunfteien.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Rheinland-Pfalz: „Zehn Jahre Datenschutz im Wandel“ – Veranstaltungsankündigung für den 10.10.2025
• Datenschutzaufsicht Hessen: „Entscheidendes Urteil des EuGH zur Anonymität von Daten“– Pressemitteilung vom 08.09.2025
• Datenschutzaufsicht Hamburg: „Geltungsbeginn des Data Acts – neue Aufgaben für den HmbBfDI“ – Pressemitteilung vom 09.09.2025
• Datenschutzaufsicht Hamburg: „Eine Brücke zwischen DSGVO und KI-VO – das Diskussionspapier „The Bridge Blueprint“– Pressemitteilung vom 10.09.2025
• Datenschutzaufsicht Baden-Württemberg: „Mehr Datenzugang: Der Data Act ist anwendbar“ – Pressemitteilung vom 11.09.2025
• Datenschutzaufsicht Bayern: „BayLDA übernimmt Durchsetzung neuer Datenrechte“– Pressemitteilung vom 11.09.2025
• Datenschutzaufsicht Nordrhein-Westfalen: „Landesdatenschutzbeauftragte verhängt Bußgeld gegen dreiste Personalvermittlung“– Pressemitteilung vom 12.09.2025
• Datenschutzaufsicht Baden-Württemberg: „Leitlinien zum Zusammenspiel europäischer Regeln zum Digital- und Datenschutzrecht“ – Pressemitteilung vom 12.09.2025