Datenschutz­woche

Vereinfachung der Digitalgesetzgebung: Kommission legt Omnibus-Paket vor

Die Europäische Kommission hat ein umfassendes Maßnahmenpaket vorgestellt, das Unternehmen in der EU entlasten und die Innovationsbedingungen verbessern soll. Kernpunkte sind ein „digitaler Omnibus“ zur Straffung von Regeln für Künstliche Intelligenz, Cybersicherheit und Daten, eine Strategie für eine europäische Datenunion sowie die Einführung sogenannter European Business Wallets.

Die Vorschläge zielen insbesondere darauf ab, Meldepflichten zu bündeln, KI-Regeln praxisnäher zu gestalten und kleinere Unternehmen von unnötigem Verwaltungsaufwand zu entlasten. Vorgesehen ist zudem ein einheitlicher Meldepunkt für Cybersicherheitsvorfälle sowie eine Modernisierung der Cookie-Regeln, die weniger Banner und zentral steuerbare Einwilligungen ermöglichen soll.

Die neue Strategie für die Datenunion soll den Zugang zu hochwertigen Daten für KI erleichtern, unter anderem durch Data Labs, ein Data-Act-Helpdesk und Maßnahmen zur Stärkung der europäischen Datensouveränität. Mit den European Business Wallets sollen Unternehmen künftig eine europaweit einheitliche digitale Identität nutzen können, um Dokumente sicher zu erstellen, zu signieren und grenzüberschreitend auszutauschen.

Datenschutzexpert:innen diskutieren die Vorschläge kontrovers. So kommentiert Heise: „Indirekt will sie Bürgerrechte einschränken, indem sie der datengetriebenen Ökonomie freiere Hand lässt.“ Der österreichische Datenschutzaktivist Max Schrems schreibt: „Dies ist der größte Angriff auf die digitalen Rechte der Europäer seit Jahren. Wenn die Kommission erklärt, dass sie 'die höchsten Standards aufrechterhält', ist das schichtweg falsch. Die Vorschläge der Kommission würden diese Standards untergraben. (…) Diese Änderung ist ein klarer Verstoß gegen die Charta und die Rechtsprechung des EuGH.“

Dagegen schreibt Tim Wybitul bei Beck-aktuell: „Der aktuelle Entwurf zum Digital Omnibus ist mehr technische Reform als politische Kehrtwende. Er ordnet Definitionen, schärft Transparenz, und er integriert das KI-Regime etwas besser als bislang mit dem Datenschutzrecht. Für Unternehmen bringt das ein wenig mehr Klarheit, aber keine Absenkung der Schutzanforderungen. Für Betroffene erhöht es die Chance, Verarbeitungsvorgänge besser zu verstehen und Rechte wirksam wahrzunehmen. Die pauschale Alarmierung, der Datenschutz werde ausgehöhlt, erscheint überzogen. Der Entwurf ist mit seinen Zielen rechtspolitisch nachvollziehbar.“ Ähnlich auch Professor Hoeren in der MMR-Aktuell: „Insgesamt verfolgt der Digital-Omnibus einen strikt technischen Anpassungsansatz ohne Änderung der Schutzniveaus. Er beseitigt Doppelregulierung, reduziert Verfahrensaufwand, verbessert die Kohärenz des digitalen Ordnungsrahmens und schafft eine klare, konsistente Infrastruktur für Daten-, Datenschutz-, Plattform-, KI- und Sicherheitsrecht.“

So auch Juraprofessor Hennemann in der FAZ: „Der Ansatz zielt vollkommen zu Recht nicht nur auf kosmetische Korrekturen, sondern wagt substantielle Verbesserungen und setzt dabei auch bei dem verkrusteten Datenschutzrecht an. Die Vorschläge verschlanken den Normbestand, bauen bürokratische Hemmnisse ab und zeugen von der Bereitschaft zur Selbstkritik.“

Dem Branchenverband Bitkom gehen die Änderungen nicht weit genug. Dazu erklärt Bitkom-Präsident Dr. Ralf Wintergerst: „Dieses digitale Omnibus-Paket ist nicht ausreichend, um Europas Regulierungsdschungel zu lichten. Die angekündigten Änderungen bringen zwar einige Erleichterungen für die Unternehmen, damit Europa digital wettbewerbsfähig und souverän wird, reicht der jetzige Vorschlag aber nicht aus. Wir dürfen es nicht bei vielfach kosmetischen Korrekturen belassen. Die EU braucht viel mehr Mut, Bürokratie und Überregulierung drastisch zu reduzieren und vor allem widersprüchliche Regeln konsequent zu streichen.“

CNIL-Studie zur Monetarisierung personenbezogener Daten

Die französische Datenschutzaufsichtsbehörde CNIL hat 2.082 Personen nach ihren Einstellungen zur Nutzung ihrer personenbezogenen Daten und zu Einwilligungsentscheidungen im Kontext personalisierter Werbung befragt, insbesondere dazu, ob kostenpflichtige Abonnements als datenschutzfreundliche Alternative zu werbefinanzierten Diensten wahrgenommen werden.

Die Ergebnisse zeigen: Mehr als die Hälfte der Befragten (56 %) bezahlt bereits für Video-on-Demand-Dienste, im Durchschnitt 20 Euro pro Monat. Deutlich geringer ist der Anteil zahlender Nutzer bei Audiodiensten (27 %) und Videospielen (18 %). Bei Gesundheits- und Fitness-Tracking, generativer KI, Online-Nachrichten und sozialen Netzwerken liegt die Zahl der Abonnenten zwar unter 10 %, doch 24 bis 33 % der Befragten geben an, dass sie diese Dienste bezahlen oder bezahlen würden. Hier existiert großes Potenzial für datenschutzfreundliche Bezahlangebote. Ein signifikanter Anteil wäre bereit, für „kostenlose“ Dienste zu zahlen, wenn dadurch der Einsatz personalisierter Werbung entfällt.

Gleichzeitig zeigt die Umfrage einen zweiten Trend: Die Mehrheit der Befragten (65 %) wäre grundsätzlich bereit, ihre Daten zu verkaufen. Die am häufigsten genannte Vergütung liegt zwischen 10 und 30 Euro pro Monat (28 %). Nur 6 % würden ihre Daten für weniger als 1 Euro freigeben, während 14 % mehr als 200 Euro monatlich verlangen würden. Demgegenüber lehnen 35 % der Befragten den Verkauf ihrer Daten kategorisch ab.

Trotz dieser Unterschiede zeigt die Umfrage insgesamt ein wachsendes Bewusstsein für Datenschutz und informationelle Selbstbestimmung. Bis zu 48 % der Internetnutzer wären bereit, von werbefinanzierten Angeboten zu einem bezahlten, datenschutzfreundlicheren Zugang ohne personalisierte Werbung zu wechseln. Je nach Dienst würden sie dafür durchschnittlich 5,50 bis 9 Euro pro Monat investieren. Ökonomische Modelle zeigen zudem, dass ein theoretischer Marktpreis für personenbezogene Daten einer Person bei rund 40 Euro pro Monat liegen könnte. Dieser Wert ergibt sich aus der Schnittmenge von Zahlungsbereitschaft der Nutzer und Kaufbereitschaft von Unternehmen.

Die Ergebnisse verdeutlichen: Datenschutz ist längst nicht mehr nur ein regulatorisches Thema, sondern entwickelt sich zu einem wirtschaftlich relevanten Faktor und zu einem zentralen Kriterium für digitale Geschäftsmodelle. Diese oben dargelegte Diskrepanz verweist auf einen grundlegenden Wandel im digitalen Ökosystem. Viele bislang werbefinanzierte und somit scheinbar kostenlose Dienste basierten auf der intensiven Nutzung personenbezogener Daten. Vor diesem Hintergrund zeigt die Umfrage ein wachsendes Bewusstsein für Datenschutz und informationelle Selbstbestimmung. Mit dem Aufkommen neuer Bezahlmodelle wird dieser Umstand für viele sichtbarer.

DSK legt Reformvorschläge für verbesserten Datenschutz von Kindern vor

Zum Internationalen Tag der Kinderrechte hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zehn Vorschläge zur gezielten Stärkung des Kinderdatenschutzes in der DSGVO veröffentlicht. Hintergrund ist die besondere Schutzbedürftigkeit Minderjähriger im digitalen Raum: Kinder können Risiken datengetriebener Dienste häufig nicht einschätzen und verfügen nur eingeschränkt über die Fähigkeit, ihre Rechte wahrzunehmen.

Die DSK fordert unter anderem ein ausdrückliches Verbot personalisierter Werbung, die sich an Kinder richtet, strengere Vorgaben zur Zweckänderung der Datennutzung, mehr Schutz bei Beratungs- und Gesundheitsdiensten sowie klare Regelungen zu automatisierten Entscheidungen. Auch datenschutzfreundliche Voreinstellungen, kindgerechte Systemgestaltung und eine stärkere Berücksichtigung von Risiken für Kinder bei Datenschutzverletzungen und Folgenabschätzungen gehören zu den Forderungen.

Internationale Nachrichten

• Italien: Die italienische Datenschutzaufsichtsbehörde hat gegenüber der Banco Bilbao Vizcaya Argentaria SA eine Geldbuße in Höhe von 100.000 Euro verhängt. Ein Kunde hatte die Herausgabe von Callcenter-Aufzeichnungen verlangt, um einen betrügerischen Transfer über 10.000 Euro anzufechten. Die Bank stellte die Mitschnitte jedoch erst nach Ablauf der 30-Tage-Frist des Art. 15 DSGVO bereit. Bei der Bußgeldhöhe berücksichtigte der die Behörde den Umsatz, die Kooperation und fehlende Vorverstöße.
• Finnland: Die finnische Datenschutzaufsichtsbehörde hat gegenüber der S-Bank eine Geldbuße in Höhe von 1,8 Millionen Euro verhängt. Grund war eine schwerwiegende Sicherheitslücke: Durch einen Softwarefehler konnten sich Kundinnen und Kunden über Monate hinweg mit den Zugangsdaten anderer Personen in das Onlinebanking einloggen. Ein großer Teil der Kundschaft war betroffen. Die Behörde stellte Verstöße gegen Art. 5, 25 und 32 DSGVO fest, da die Bank die neue Login-Funktion unzureichend getestet und Hinweise auf Anomalien ignoriert hatte. Bei der Bußgeldhöhe berücksichtigte die Aufsicht eine frühere Rüge und eine parallele Sanktion der Finanzaufsicht.
• Finnland: Die finnische Datenschutzaufsichtsbehörde hat gegenüber der Aktia Bank eine Geldbuße in Höhe von 865.000 Euro wegen Mängeln in der starken elektronischen Authentifizierung verhängt. Nach einer technischen Änderung im Januar 2023 konnten sich Nutzer*innen kurzzeitig mit ihren Onlinebanking-Zugangsdaten in externe Dienste einloggen und dabei die persönlichen Daten anderer Kund*innen einsehen. Rund 350 Personen waren mit teilweise hochsensiblen Informationen aus Versicherungen, Gesundheitsdiensten und Behörden betroffen. Die Aufsicht stellte Verstöße gegen Art. 5, 25 und 32 DSGVO fest, da die Bank die Änderung unzureichend geplant, implementiert und getestet hatte.
• Spanien: Ein spanisches Handelsgericht in Madrid hat Meta Platforms Ireland Limited zur Zahlung von 479 Mio. Euro an 87 spanische Digital-Medienhäuser wegen „unlauterer Konkurrenz“ verurteilt. Meta hatte zwischen 2018 und 2023 Nutzerdaten ohne gültige Einwilligung zur gezielten Werbung verwendet und damit einen Wettbewerbsvorteil gegenüber etablierten Medienunternehmen erlangt. Das Urteil stützt sich auf Verstöße gegen die EU‑Datenschutzgrundverordnung (DSGVO) und spanisches Wettbewerbsrecht.

Aktuelle Gerichtsentscheidungen

• LG Aachen, Urteil vom 17.03.2025, Az. 15 O 88/24 (juris): Einwilligung – Eine Einwilligung im Rechtssinne setzt die Willensbekundung einer Person voraus, welche ohne jeden Zweifel als Einwilligung zu werten ist. Eine wirksame Einwilligung kann daher nur in einem aktiven Verhalten einer Person liegen. Die bloße Untätigkeit stellt dem gegenüber auch dann keine Einwilligung dar, wenn die Einwilligung bereits voreingestellt markiert ist und diese Voreinstellung stehengelassen wird.
• KG Berlin, Beschluss vom 14.08.2024, Az. 20 U 73/23 (GRUR-RS 2024, 50354): Verantwortlicher – Da in der Praxis immer einzelne natürliche Personen handeln, ist zu ermitteln, wem das Handeln zuzurechnen ist, den handelnden Personen oder der Organisation, für die sie tätig werden. Grundsätzlich gehören einzelne Personen, Abteilungen und Dezernate zu der Organisationseinheit. Es ist der Rechtsträger als Verantwortlicher heranzuziehen und nicht einzelne handelnde Personen. Nachfolgend: BGH, Beschluss vom 07.10.2025, Az. VI ZR 297/24: Nichtzulassungsbeschwerde zurückgewiesen.

Neuigkeiten aus den Aufsichtsbehörden: 

• Datenschutzaufsicht Berlin: „Schulungen für Vereine, Start-ups und Kleinunternehmen“ – Mitteilung vom 18.11.2025
• Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: „Wie 6G-Mobilfunk datenschutzfreundlich wird“ – Mitteilung vom 18.11.2025
• Datenschutzaufsicht Hessen: „Der Hessische Datenschutzbeauftragte begrüßt die Datenschutzleitlinie für die Landesverwaltung“ – Mitteilung vom 19.11.2025
• Datenschutzaufsicht Thüringen: „49. Informationsfreiheitskonferenz tagt in Erfurt – Der TLfDI lädt ein!“ – Mitteilung vom 20.11.2025
• Datenschutzaufsicht Mecklenburg-Vorpommern: „Medienscouts MV - junge Perspektiven auf Künstliche Intelligenz“ – Mitteilung vom 24.11.2025
• Datenschutzaufsicht Sachsen: „Onlineseminar am 27.11.2025 »Private Kameras – Was ist bei der Videoüberwachung im Wohnumfeld erlaubt?«“