Datenschutz­woche

NIS-2-Umsetzungsgesetz in Kraft getreten

Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ wurde am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht. Eine Frist bis zum Inkrafttreten der Regelungen existiert praktisch nicht. Bereits ab dem 6. Dezember sind die neuen Cybersicherheitsanforderungen für die betroffenen Unternehmen vollumfänglich anwendbar. Ziel des Gesetzes ist es, das Cybersicherheitsniveau in Deutschland zu erhöhen und die Widerstandsfähigkeit kritischer und wichtiger Unternehmen gegen IT-Sicherheitsvorfälle zu stärken. Nach Angaben des Bundesinnenministeriums sind mehr als 30.000 Unternehmen betroffen.

Das Gesetz gilt für insgesamt 18 Wirtschaftssektoren, darunter Energie, Transport, Gesundheit, digitale Infrastruktur und öffentliche Verwaltung. Betroffene Unternehmen sind künftig verpflichtet, ein strukturiertes Risikomanagement für IT-Sicherheit einzuführen, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren und erhebliche Sicherheitsvorfälle zu melden. Zudem wird die Verantwortung für Cybersicherheitsmaßnahmen ausdrücklich der Geschäftsleitung zugewiesen. Diese kann bei Verstößen haftbar gemacht werden.

Betroffene Einrichtungen stehen damit kurzfristig vor der Aufgabe, ihre IT-Sicherheitsstrukturen zu überprüfen und an die neuen gesetzlichen Vorgaben anzupassen, um Rechtsverstöße und mögliche Sanktionen zu vermeiden. Angesichts des sehr kurzfristigen Inkrafttretens stellt die Umsetzung die Unternehmen vor erhebliche organisatorische und technische Herausforderungen.

EuGH-Grundsatzurteil zur Verantwortlichkeit nach der DSGVO

Am 2. Dezember 2025 hat der Europäische Gerichtshof (EuGH) ein Grundsatzurteil über die datenschutzrechtliche Verantwortung von Betreibern von Online-Marktplätzen gefällt. In dem Verfahren ging es um die Frage, ob Plattformbetreiber für personenbezogene Daten haften, die Nutzende in Anzeigen veröffentlichen. Anlass war ein Fall aus Rumänien, in dem eine Frau ohne ihr Wissen und ohne ihre Einwilligung in einer Anzeige als Anbieterin sexueller Dienstleistungen dargestellt worden war.

Der EuGH hat klargestellt, dass Betreiber von Online-Marktplätzen hinsichtlich der Verarbeitung personenbezogener Daten, die in auf dem Online-Marktplatz veröffentlichten Anzeigen enthalten sind, als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO anzusehen sind. 

Sie sind vor der Veröffentlichung der Anzeigen und mittels geeigneter technischer und organisatorischer Maßnahmen verpflichtet:

• Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 dieser Verordnung enthalten, zu identifizieren,
• zu prüfen, ob es sich bei der inserierenden Person um diejenige Person handelt, deren sensible Daten in dieser Anzeige enthalten sind, und, wenn dies nicht der Fall ist,
• deren Veröffentlichung zu verweigern, es sei denn, die inserierende Person kann nachweisen, dass die betroffene Person ausdrücklich in die Veröffentlichung der fraglichen Daten auf diesem Online-Marktplatz eingewilligt hat oder dass eine andere Ausnahme vorliegt.

Zudem sind die Betreiber eines Online-Marktplatzes verpflichtet, geeignete technische und organisatorische Schutzmaßnahmen zu treffen, um zu verhindern, dass dort veröffentlichte Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, kopiert und auf anderen Websites unrechtmäßig veröffentlicht werden.

Das Urteil schlägt europaweit hohe Wellen, weil der EuGH dem Datenschutzrecht Vorrang vor dem seit 25 Jahren etablierten „Notice-and-Take-Down“-Verfahren gegeben hat, das mittlerweile im „Digital Services Act“ verankert ist. Die Datenschutzaufsichtsbehörden aus Hamburg und Berlin sehen darin eine grundsätzliche Weichenstellung für die Verantwortlichkeit von Hosting-Anbietern. Heise.de spricht von einer „Dekonstruktion der Neutralität“ und „absurden Haftungsregeln“. In welchem Umfang Plattformbetreiber ihre technischen und organisatorischen Prozesse anpassen müssen, wird sich auch durch die Praxis der Datenschutzaufsichtsbehörden sowie durch kommende Gerichtsentscheidungen zeigen.

Internationale Nachrichten

• Europa: Der Europäische Datenschutzausschuss (EDPB) hat neue Empfehlungen zum Einsatz verpflichtender Nutzerkonten auf E-Commerce-Websites veröffentlicht. Viele Anbieter verlangen vor dem Kauf die Erstellung eines Accounts und begründen dies mit organisatorischen oder wirtschaftlichen Interessen. Nach Auffassung des EDPB kann dies jedoch zusätzliche Risiken für die Rechte und Freiheiten der Nutzenden mit sich bringen. Die Leitlinien erläutern, unter welchen Voraussetzungen eine Account-Pflicht mit der DSGVO vereinbar ist, etwa bei Abonnementdiensten oder exklusiven Angeboten. In vielen Fällen sei eine Pflicht jedoch nicht gerechtfertigt. Stattdessen empfiehlt der EDPB, Gästen auch ohne Konto Einkäufe zu ermöglichen.
• Frankreich:  Am 27. November 2025 hat die französische Datenschutzbehörde CNIL eine Geldstrafe in Höhe von 1,5 Millionen Euro gegen AMERICAN EXPRESS CARTE FRANCE verhängt, die französische Tochtergesellschaft der American-Express-Gruppe. Grund hierfür waren Verstöße gegen die gesetzlichen Vorgaben zur Nutzung von Trackern und Cookies. Nach Angaben der CNIL wurden auf der Website des Unternehmens Tracker ohne gültige Einwilligung gesetzt, teilweise trotz ausdrücklicher Ablehnung durch Nutzende, oder auch nach dem Widerruf der Zustimmung weiter ausgelesen.

Aktuelle Gerichtsentscheidungen:  

• OLG Brandenburg, Beschluss vom 05.11.2025, Az. 1 U 16/25 (GRUR-RS 2025, 31288): Auskunft gegenüber Rechtsanwälten – Der Klägerin steht die begehrte Auskunft nach Maßgabe von § 15 DSGVO nicht zu, da sich der im Rahmen eines Mandatsverhältnisses zu sichernde Geheimnisschutz als vorrangig erweist, Art. 23 Abs. 1 DSGVO i.V.m. §§ 29 Abs. 1 S. 2 BDSG, 43a Abs. 2 BRAO. Die begehrte Auskunft unterfällt dem Anwaltsgeheimnis. Es ist weder ersichtlich, dass es sich um offenkundige Tatsachen handeln würde, noch handelt es sich um solche Tatsachen, die ihrer Bedeutung nach keiner Geheimhaltung bedürften. Der Umstand, dass sich die Beklagte – teilweise – auf eine „Selbstveröffentlichung“ der Klägerin beruft, lässt nicht den Schluss zu, die Klageforderung beziehe sich auf offenbarungspflichtige offenkundige Tatsachen. Offenkundiges lässt sich nicht mehr offenbaren.
• LG Lübeck, Urteil vom 27.11.2025, Az. 15 O 15/24 (juris): Schadenersatz – Im Rahmen der nach § 287 ZPO vorzunehmenden Schadensschätzung sind im Rahmen des Art. 82 DSGVO allgemein die Art, Schwere, Dauer des Verstoßes, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägung mit einzubeziehen. [...] Daran gemessen erachtet die Kammer hier einen Schadensersatzbetrag von 5.000 EUR für angemessen. Es handelt sich bei dem festgestellten Datenschutzverstoß um eine schwere Verletzung des Rechts auf informationelle Selbstbestimmung, da das gesamte, höchstpersönliche Internetnutzungsverhalten betroffen ist. Dabei handelt es sich auch nicht nur um eine punktuelle, zeitlich begrenzte rechtswidrige Maßnahme der Beklagten, sondern um einen großen, mehrjährigen Dauerverstoß gegen grundlegende Rechte nach der DSGVO. Dieser Verstoß betraf auch Daten, die einen hohen Marktwert haben.
• EuGH, Urteil vom 02.12.2025, Rs. C‑492/23 (Volltext): Verantwortlichkeit von Online-Marktplatz-Betreibern – Art. 5 Abs. 2 und die Art. 24 bis 26 DSGVO sind dahin auszulegen, dass der Betreiber eines Online-Marktplatzes als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der personenbezogenen Daten, die in Anzeigen enthalten sind, die auf seinem Online-Marktplatz veröffentlicht werden, verantwortlich ist. Er ist verpflichtet, vor der Veröffentlichung der Anzeigen und mittels geeigneter technischer und organisatorischer Maßnahmen, Anzeigen, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten, zu identifizieren und zu prüfen. Bei der Prüfung ist festzustellen, ob es sich bei der inserierenden Person, die im Begriff ist, eine solche Anzeige zu platzieren, um diejenige Person handelt, deren sensible Daten in dieser Anzeige enthalten sind. Ist dies nicht der Fall, ist die Veröffentlichung zu verweigern, es sei denn, die inserierende Person kann nachweisen, dass die betroffene Person im Sinne von Art. 9 Abs. 2 Buchst. a DSGVO ausdrücklich in die Veröffentlichung der fraglichen Daten auf diesem Online-Marktplatz eingewilligt hat oder dass eine der anderen in Art. 9 Abs. 2 Buchst. b bis j vorgesehenen Ausnahmen erfüllt ist. 

Neuigkeiten aus den Aufsichtsbehörden: 

• Datenschutzaufsicht Berlin: „EuGH-Urteil in der Rechtssache Russmedia: Weichenstellung für die Verantwortlichkeit von Hosting-Anbietern“– Mitteilung vom 02.12.2025
• Datenschutzaufsicht Baden-Württemberg: „LfDI: Neue Adresse ab 22.12.2025“– Mitteilung vom 02.12.2025
• Datenschutzaufsicht Rheinland-Pfalz: „Mainzer Erklärung veröffentlicht: Sechs Empfehlungen für eine sichere und erfolgreiche elektronische Patientenakte“– Mitteilung vom 03.11.2025
• Datenschutzaufsicht Hamburg: „Festliche Grüße mit Bedacht versenden: Datenschutz-Knigge für Weihnachts- und Neujahrspost“– Mitteilung vom 04.12.2025
• Datenschutzaufsicht Baden-Württemberg: „Gratulationen zu Jubiläen im Amtsblatt“– Mitteilung vom 04.12.2025
• Datenschutzaufsicht Nordrhein-Westfalen: „Dreiste Praktiken – Landesdatenschützerin verhängt Bußgeld von 300.000 Euro gegen Telekommunikationsunternehmen“– Mitteilung vom 05.12.2025
• Datenschutzaufsicht Hessen: „HBDI und DGIM veröffentlichen Leitfaden für Datenschutz in der medizinischen Forschung“– Mitteilung vom 05.12.2025
• Datenschutzaufsicht Baden-Württemberg: „Stellungnahme des LfDI zur Kritik der Stadt Tübingen“– Mitteilung vom 05.12.2025