Datenschutzwoche

#214

CNIL veröffentlicht Übersicht zu genehmigten Zertifizierungen und Verhaltensregeln in Europa

Die Commission nationale de l'informatique et des libertés (CNIL) hat am 14.01.2026 zwei Übersichtskarten veröffentlicht, welche die Zertifizierungen und Verhaltenskodizes (Code of Conducts) auflisten, die von den nationalen Aufsichtsbehörden oder vom Europäischen Datenschutzausschuss (EDSA) seit dem Inkrafttritt der DSGVO genehmigt wurden.

Zertifizierungen (Art. 42 DSGVO) und Verhaltenskodizes (Art. 40 DSGVO) sind die zentralen operativen Compliance-Instrumente der DSGVO. Zertifizierung ermöglichen den Nachweis, dass Verarbeitungsvorgänge (bspw. innerhalb eines Produkts oder Dienstleistung) die DSGVO-Kriterien erfüllen. Verhaltenskodizes sind konkrete sektorspezifische Regeln, die von Berufsverbänden oder -vereinigungen entwickelt werden und die dortigen Praktiken vereinheitlichen.

Land Hessen: Bußgeldverfahren im Datenschutzrecht sollen an die Amtsgerichte verwiesen werden

Ein Gesetzesantrag des Landes Hessen (“Entwurf eines Gesetzes zur Effektivierung des Bußgeldverfahrens” – BR-Drucksache 722/25) vom 03.12.2025 sieht vor, sämtliche Bußgeldverfahren im Datenschutzrecht an die Amtsgerichte zu verweisen. Der Vorschlag würde zu einer spürbaren Veränderung des Ablaufs von Bußgeldverfahren führen. Der Antrag wurde in der Bundesratssitzung vom 19.12.2025 behandelt.

Internationale Nachrichten

Europa: Der französische EU-Abgeordnete Philippe Latombe hat wie angekündigt Rechtsmittel gegen die Entscheidung des EuG vom 03.09.2025 (Az. T-553/23) eingelegt. Das EuG hatte seine Klage auf Nichtigerklärung des Angemessenheitsbeschlusses nach Art. 45 DSGVO für die USA abgewiesen. Nun entscheidet der EuGH über das Rechtsmittel (Rechtsmittelbegründung inzwischen hier abrufbar unter dem Aktenzeichen C-703/25 P).
Frankreich: Die Commission nationale de l'informatique et des libertés (CNIL) hat am 30.12.2025 ein Bußgeld in Höhe von 3,5 Millionen Euro gegen ein Unternehmen, das personenbezogene Daten von Mitgliedern seines Treueprogramms u.a. ohne gültige Zustimmung an ein soziales Netzwerk zu Werbezwecken übermittelt hatte, verhängt. Bei der Bemessung des Bußgelds berücksichtigte die CNIL insbesondere die große Anzahl an Betroffenen von mehr als 10 Millionen Personen.
Europa: Der Europäische Datenschutzausschuss (EDSA) hat die Empfehlungen 1/2026 über Anträge zur Genehmigung von Binding Corporate Rules (Art. 47 DSGVO) für Auftragsverarbeiter und deren erforderliche Elemente und Grundsätze veröffentlicht. Die öffentliche Konsultationsphase endet am 02.03.2026.
Europa: Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) haben in einer gemeinsamen Stellungnahme die Straffung der Umsetzung des KI-Gesetzes durch den „Digitalen Omnibus“-Vorschlag der EU-Kommission grundsätzlich unterstützt. In Bezug auf die Verwendung besonderer Kategorien personenbezogener Daten zur Erkennung und Korrektur von Verzerrungen (Vorschlag für Art. 4a) schlagen EDSA und EDSB vor, dies auf Situationen zu begrenzen, in denen das Risiko nachteiliger Auswirkungen einer solchen Verzerrung als hinreichend schwerwiegend angesehen wird.

Aktuelle Gerichtsentscheidungen

OLG Saarbrücken, Urteil vom 17.12.2025, Az. 5 U 65/24: Ein Kontrollverlust bei Daten scheidet aus, wenn der Geschädigte zum Zeitpunkt des schädigenden Ereignisses die Kontrolle über seine Daten nicht mehr innehatte, weil er diese schon zuvor durch seinen eigenen Entschluss, sie mit dem Risiko ihrer unkontrollierten Verbreitung zu vergleichbaren Zwecken im Internet weiterzugeben, freiwillig aufgegeben hatte. Die Feststellung einer Schadensersatzpflicht hinsichtlich eines Schadens nach einem Scraping-Vorfall kommt nicht in Betracht, wenn der Vorfall fünf Jahre zurückliegt und der Anspruchsteller zuvor die Kontrolle über die Daten aufgegeben hatte. Ein Unterlassungsanspruch besteht nicht, wenn der Kläger durch eigene Einstellungen die Verarbeitung seiner personenbezogenen Daten verhindern kann.
BGH, Urteil vom 18.12.2025, Az. I ZR 97/25: Die längstmögliche Speicherungsdauer von Daten über Zahlungsstörungen, die private Wirtschaftsauskunfteien durch Einmeldungen ihrer Vertragspartner sammeln, um sie zur Grundlage von Bonitätsbeurteilungen zu machen, wird nicht durch die Löschungsfrist von Eintragungen anderer Art über die jeweilige Forderung im öffentlichen Register – hier im Schuldnerverzeichnis – vorgegeben. Verhaltensregeln im Sinn von Art. 40 DSGVO können im Interesse der Rechtssicherheit und auch mit Blick auf das von Wirtschaftsauskunfteien betriebene Massengeschäft als Orientierung für die nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO vorzunehmende Interessenabwägung herangezogen werden, soweit sie typisiert zu einem angemessenen Interessenausgleich führen – wie das bei der vom Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum 1. Januar 2025 genehmigten Ziffer IV.1. Buchst. b der Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien grundsätzlich der Fall ist – und die Besonderheiten des Einzelfalls bei der konkret vorzunehmenden Interessenabwägung hinreichend berücksichtigt werden.
OLG München, Urteile vom 18.12.2025, Az. 14 U 881/25 e, 14 U 1314/25 e und 14 U 2300/25 e: In einer Reihe von Entscheidungen hat das OLG München die Höhe eines Schadensersatzanspruchs aus Art. 82 DSGVO mit 250 EUR, 500 EUR und 750 EUR beziffert. Den Verfahren lagen jeweils datenschutzrechtswidrige Verarbeitungen durch eine Plattform-Betreiberin zugrunde, in welchen personenbezogene Daten über verschiedene Tools (z.B. Pixel-Technologien) auf Drittwebsiten erhoben und dem jeweiligen Nutzerkonto zugeordnet wurden.
VG Wiesbaden, Urteil vom 19.12.2025, Az. 6 K 788/20.WI: Das Gericht verpflichtet den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) zur Einschreitung mit aufsichtsrechtlichen Mitteln gegen die SCHUFA Holding AG. Dem Verfahren, welches zwischenzeitlich mit Vorabentscheidungsersuchen beim EuGH lag und entschieden wurde (Urteil vom 07.12.2023, Az. C-634/21), lag die Konstellation zugrunde, dass die SCHUFA einen speziell für eine Bank erstellten Scorewert nur unzureichend gegenüber der Betroffenen beauskunftet hat. Nun muss HBDI unter Ergreifung aufsichtsbehördlicher Mittel zusehen, dass die SCHUFA ihrer Pflicht aus Art. 15 Abs. 1 lit. h DSGVO nachkommt.

Neues aus den Aufsichtsbehörden

Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg: Der LfDI teilt auf seiner Website mit, dass im Zeitraum 25.12.2025 bis 14.01.2026 aufgrund von technischen Problemen keine Online-Meldungen eingegangen sind und bittet um erneute Einreichung. Online-Beschwerden seien von dem Vorfall nicht betroffen.
Datenschutzkonferenz: Die Datenschutzkonferenz hat eine Orientierungshilfe zur Zusammenarbeit mehrerer Aufsichtsbehörden im Rahmen von § 5 GDNG (Version 1.0, Stand Dezember 2025) veröffentlicht. Die Ausführungen dienen als Hilfestellung in Anzeigeverfahren bei gemeinsamen Vorhaben der Gesundheitsforschung mehrerer Verantwortlicher nach § 5 GDNG, die unterschiedlichen staatlichen Aufsichtsbehörden unterliegen.
Datenschutzkonferenz: Die Datenschutzkonferenz hat eine Orientierungshilfe zu ausgewählten Fragestellungen des neuen Onlinezugangsgesetzes (Version 1.1, Stand Dezember 2025) sowie einen Standardisierten Prüfprozess zu datenschutzrechtlichen Anforderungen bei EfA-Onlinediensten nach Onlinezugangsgesetz (Stand Dezember 2025) veröffentlicht.
Datenschutzkonferenz: Die DSK trifft sich am 29.01.2026 zur ersten Zwischenkonferenz im Jahr 2026 in Berlin. Mit der Veröffentlichung neuer Entschließungen oder Beschlüsse im Nachgang kann gerechnet werden.

Weitere Ausgaben