Datenschutz­woche

Bundesrat nimmt umfassend zum „Digitalen Omnibus“ Stellung

In einer umfassenden Stellungnahme hat der Bundesrat zum „Digitalen Omnibus“ der EU-Kommission Position bezogen (Beschluss des Bundesrates vom 27.03.2026, BR-Drs. 34/26). In 50 Randnummern geht der Bundesrat detailliert auf die Regelungsvorschläge der EU-Kommission ein und begrüßt das Reformvorhaben. Der Bundesrat sieht darüber hinaus weiteren Anpassungsbedarf.

Ausgewählte Positionen bzw. Standpunkte des Bundesrates:

• Bei der Änderung der Definition personenbezogener Daten sieht der Bundesrat die Gefahr erhöhter Rechtsunsicherheit, wenn die Einordnung stärker als bisher von subjektiven Gegebenheiten abhängen soll; gerade auch bei arbeitsteiligen Verarbeitungen könne sich der Entlastungseffekt ins Gegenteil verkehren (Nr. 13).
• Der Bundesrat erachtet es als überprüfenswert, das Recht auf Auskunft dahingehend zu beschränken, dass dieses gegenüber einem Verantwortlichen nur einmal binnen zwei Jahren kostenfrei geltend gemacht werden kann. Zudem sollte erwogen werden, personenbezogene Daten, welche der Betroffene selbst zur Verfügung gestellt hat, vom Auskunfts- und Kopienanspruch auszunehmen (Nr. 16).
• In Bezug auf die datenschutzrechtliche Hersteller- und Anbieterverantwortung erachtet der Bundesrat grundlegende DSGVO-Änderungen für notwendig; in einem ersten Schritt sollten zumindest die Artikel 24 und 25 DSGVO auf Auftragsverarbeiter ausgeweitet werden (Nr. 27 und 28).
• Hinsichtlich Art. 9 DSGVO fordert der Bundesrat in Abs. 2 einen neuen Ausnahmetatbestand zur Vertragsdatenverarbeitung und allgemein die Einschränkung, dass der Schutz besonderer Kategorien personenbezogener Daten nur dann gelten soll, wenn mit der Verarbeitung sensible Datenkategorien abgeleitet werden sollen (Nr. 32 und 33).
• Für Entwicklungszwecke autonomer Fahrsysteme sieht der Bundesrat weitreichenden Anpassungsbedarf, um die Innovationsfähigkeit zu gewährleisten. Insbesondere fordert der Bundesrat eindeutige Regelungen, bspw. um de-facto nicht erfüllbare Anforderungen (Einwilligungserfordernis von Bild- und Videodaten von Dritten) zu vermeiden und eine Berücksichtigung vulnerabler Gruppen bei der Entwicklung solcher Systeme für den Zweck eines hohen Maßes an Verkehrssicherheit zu ermöglichen (Nr. 47).

Tätigkeitsberichte 2025: Beschwerdezahlen und Beratungsbedarf steigen

In der 13. Kalenderwoche haben zahlreiche Landesdatenschutzbehörden in Deutschland ihren Tätigkeitsbericht für das Jahr 2025 veröffentlicht. Als Hauptgrund für den Zuwachs an Beschwerden erkennen die Aufsichtsbehörden die vermehrte Nutzung von KI-Anwendungen durch die Beschwerdeführenden. Auch die Anzahl der Meldungen an Datenpannen steigt. Der Beratungsbedarf nimmt weiterhin zu.

Dr. Juliane Hundert (Sachsen): „Sachsens Bürgerinnen und Bürgern ist der Schutz ihrer Privatsphäre wichtiger denn je. Sie haben im zurückliegenden Jahr häufiger als jemals zuvor eine Datenschutzbeschwerde eingereicht. Insgesamt erhielt ich über 1.600 Eingaben. Das entspricht einem Rekordanstieg von 29 Prozent gegenüber dem Vorjahr.“

Tobias Keber (Baden-Württemberg): „Uns erreichen sehr viele Beschwerden, die wir sukzessive und nach Kräften bearbeiten. Dass die Menschen ihr Recht nutzen und sich an uns wenden, zeigt, dass sie die technologische Entwicklung nicht als naturgegeben und damit unveränderbar hinnehmen, sondern Wert darauf legen, dass ihre Rechte gewahrt bleiben. Datenschutz schützt Menschen und trägt wesentlich dazu bei, dass Menschen neuen Technologien vertrauen. Wir bieten Behörden und Unternehmen mit Handreichungen, Checklisten und rechtlichen Einordnungen Hilfestellungen. Wo nötig, greifen wir ein und wirken darauf hin, dass rechtswidriges Handeln eingestellt und die Rechte und Freiheiten der Bürgerinnen und Bürger gewahrt werden.“

Thomas Fuchs (Hamburg): „Die digitale Transformation ist immer stärker KI-getrieben. Aber was wir beobachten, ist nicht nur Fortschritt. Viele Unternehmen nutzen KI, um Kundenservice abzubauen, statt ihren Service zu verbessern. Wir sehen es an den Beschwerden, die in Rekordzahl bei uns eingehen. Der Datenschutz entwickelt sich zur Schnittstelle von Verbraucherschutz und KI-Aufsicht.“

Internationale Nachrichten

Europa: One-Stop-Shop case digest des Europäischen Datenschutzausschusses zur Rechtsgrundlage Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO.

Europa: Der Europäische Datenschutzausschuss hat die Aktion „Coordinated Enforcement Framework“ (CEF) für 2026 gestartet. Nach der koordinierten Maßnahme zum Recht auf Löschung im Jahr 2025 wird der Fokus des CEF in diesem Jahr auf der Einhaltung der Transparenz- und Informationsverpflichtungen der DSGVO liegen.

Spanien: Die spanische Datenschutzaufsichtsbehörde (AEPD) hat im März 2026 ein Bußgeld i.H.v. 950.000 EUR gegen ein Unternehmen für digitale Identität und Altersüberprüfung verhängt. Die Behörde hat u.a. Verstöße gegen Art. 9 DSGVO wegen der unrechtmäßigen Verarbeitung biometrischer Daten sowie Art. 7 DSGVO wegen ungültiger Einwilligungsmechanismen festgestellt.

Italien: Die italienische Datenschutzaufsichtsbehörde GPDP hat einem Unternehmen, welches eine Plattform für Kleinanzeigen betreibt, mit einem Bußgeld i.H.v. 5.000 EUR sanktioniert. Auslöser waren zwei Anzeigen, die die Telefonnummer und Arbeitsplatz einer Betroffenen enthielten und im (unzutreffenden) Kontext von Massagen, sexuellen Dienstleistungen und weiteren intimen Informationen durch einen Dritten geschaltet wurden. Nach der Rechtsprechung des EuGH (Urteil vom 02.12.2025, Rs. C 492-23 „Russmedia“ (siehe dazu auch DatenschutzWoche Ausgabe 211) ist der Betreiber für Anzeigen auf seiner Website mitverantwortlich. Die Aufsichtsbehörde sanktionierte die fehlende Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten sowie unzureichende technisch-organisatorische Maßnahmen zur Verhinderung der Veröffentlichung von personenbezogenen Daten Dritter.

Aktuelle Gerichtsentscheidungen

BGH, Urteil vom 24.02.2026, Az. VI ZR 430/24 (Volltext): Revisionsurteil zu den Voraussetzungen der Geltendmachung von Ansprüchen aus Art. 15 DSGVO aus abgetretenem Recht sowie in gewillkürter Prozessstandschaft.

OLG Stuttgart, Urteil vom 25.02.2026, Az. 4 U 342/25 (Volltext): Zum Auskunftsanspruch nach Art. 15 DSGVO gegen einen gerichtlichen Sachverständigen.

Neuigkeiten aus den Aufsichtsbehörden:

Bundesbeauftragte für den Datenschutz und die Informationssicherheit: Start der Ausschreibung für das neue strukturierte Beratungsformat ReguLab für bundesunmittelbare gesetzliche Kranken- und Pflegekassen (auch gemeinsam mit Dienstleistern), die innovative datenbasierte Anwendungen entwickeln.

Datenschutzkonferenz: Pressemitteilung zur 2. Zwischenkonferenz im Jahr 2025 - Ankündigung zur Erarbeitung von Handlungsempfehlungen für die Digitalisierung der Verwaltung.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: Vorstellung des 34. Tätigkeitsberichts für das Jahr 2025.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg: Vorstellung des 41. Tätigkeitsberichts für das Jahr 2025.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg: Der LfDI hat best practices für Verantwortliche zur Umsetzung des Rechts auf Löschung (Art. 17 DSGVO) aus dem CEF 2025 Abschlussbericht zusammengestellt.

Sächsische Datenschutz- und Transparenzbeauftragte: Tätigkeitsbericht für das Jahr 2025.

Kirchliche Datenschutzaufsicht der ostdeutschen Bistümer und des Katholischen Militärbischofs: 10. Tätigkeitsbericht für das Jahr 2025 der KDSA Ost.

Der Hessische Beauftrage für Datenschutz und Informationsfreiheit: Der HBDI informiert per Pressemitteilung über gestiegene Fallzahlen und eine damit einhergehende steigende Überlast der Behörde.

Der Bayerische Landesbeauftragte für den Datenschutz: Update zur Aktuellen Kurz-Information 18 nach Aufhebung der Meldepflicht aus § 83a SGB X.