Rechtsbeobachtung Nr. 90 – Dezember 2025. 

 

Daten, KI, Cybersicherheit: Wer sind die wichtigsten Richtlinien und Vorschriften, die 2026 zu befolgen sind?

Viele in den letzten Jahren verabschiedete Verordnungen treten nun vollständig in Kraft oder erreichen entscheidende Phasen ihrer Umsetzung.

Gleichzeitig kündigen neue Initiativen der Europäischen Kommission, insbesondere das Digital Omnibus und das Digital Fairness Bill, neue regulatorische Anpassungen an, die bestehende Vorschriften ergänzen oder ändern sollen.

Die seit 2018 geltende DSGVO bildet zusammen mit der ePrivacy-Richtlinie, deren Überarbeitung derzeit aufgegeben wurde, bis heute den Grundstein des Datenschutzrahmens.

Die Kommission beabsichtigt, durch ihren Vorschlag eine Vereinfachung vorzunehmen. Omnibus Mehrere Aspekte der DSGVO beziehen sich auf die Entwicklung künstlicher Intelligenz (KI): Sie sieht vor, die Entwicklung und den Betrieb von KI-Systemen als „berechtigtes Interesse“ im Sinne der DSGVO anzuerkennen und eine neue Rechtsgrundlage für die Verarbeitung sensibler Daten einzuführen, die für das Training von KI-Modellen bestimmt sind.

Im weiteren Sinne, Digitaler Omnibus würde den Aufwand für Unternehmen im Bereich der Datenschutzbestimmungen verringern, beispielsweise durch eine Lockerung der Meldeschwelle für Datenschutzverletzungen und durch eine Ausweitung der Fälle, in denen Daten als „anonym“ gelten können.

Die Bestimmungen des Digitalpakets, insbesondere die Verordnung über digitale Märkte (DMA) und die Verordnung über digitale Dienste (DSA), präzisieren die für die digitale Wirtschaft geltenden Regeln und die Verantwortung der Plattformen.

Sie sind seit 2024 in Kraft, und die Kommission begann 2025 mit der Verhängung von Sanktionen.

Die DSA Gilt für sehr große Online-Plattformen (VLOP) und sehr große Online-Suchmaschinen (VLOSE) sowie für alle Vermittler, die ihre Dienste Nutzern mit Sitz in der EU anbieten.

Mehrere Verpflichtungen des DSA überschneiden sich mit denen der DSGVO.

Beispielsweise gibt es ähnliche oder komplementäre Verpflichtungen in Bezug auf „Dark Patterns“, gezielte Werbung auf der Grundlage sensibler Daten oder in Bezug auf Minderjährige, Transparenz, Profiling, Risikoanalyse und Entfernung illegaler Inhalte.

Im Jahr 2025 veröffentlichte der Europäische Datenschutzausschuss (EDPB) Leitlinien zu diesen sich überschneidenden Themen.

Das Hauptziel der DMA Ziel ist es, zu verhindern, dass Technologiekonzerne oder „Gatekeeper“ ihre dominante Stellung ausnutzen.

Einige dieser Verpflichtungen verstärken die im DSA vorgesehenen Verpflichtungen hinsichtlich des Schutzes der Nutzer, insbesondere im Hinblick auf das Profiling.

Die Datenstrategie der EU zielt darauf ab, einen einheitlichen Datenmarkt zu schaffen, Innovationen zu fördern und einen sicheren und effizienten Datenaustausch innerhalb der Europäischen Union zu gewährleisten.

Folgende Texte haben Auswirkungen auf personenbezogene Daten: die Data Governance Regulation (DGA), die Data Regulation (DA), die Regulation of Electronic Transactions (eIDAS) und die Regulation of the European Health Data Space (EHDS). 

Der Omnibusvorschlag der Kommission zielt darauf ab, den Rechtsrahmen in diesem Bereich zu vereinfachen.

Der Text sieht insbesondere die Aufhebung von DGA und die Richtlinie von 2019 über offene Daten.

DER DA würde die zentrale Bezugsquelle bleiben und die wesentlichen Elemente aus den anderen Texten beinhalten.

Neben einer Harmonisierung der Definitionen würden kleine und mittlere Unternehmen (bis zu 750 Beschäftigte) von bestimmten Verpflichtungen befreit.

Die seit dem 12. September 2025 geltende DA sieht vor, dass ein wesentlicher Teil ihrer Verpflichtungen am 12. September 2026 in Kraft tritt: Die Verordnung sieht die Verpflichtung vor, vernetzte Produkte und zugehörige Dienste so zu gestalten, dass Daten, die sich auf die Produkte und zugehörigen Dienste beziehen, standardmäßig für die Benutzer zugänglich sind, und ab September müssen die Hersteller sicherstellen, dass der Zugriff auf Daten technisch von der Produktentwicklungs- und Designphase an gewährleistet ist.

Bezüglich der Vorschriften eIDASAb 2026 sind die Mitgliedstaaten verpflichtet, ihren Bürgern und Unternehmen mindestens eine EU-konforme digitale Identitäts-Wallet zur Verfügung zu stellen, die es den Nutzern ermöglicht, ihre Identitätsdaten, Kennungen und Attribute (Personalausweis, Führerschein, Zahlungsinformationen usw.) sicher zu speichern und diese selektiv an öffentliche Behörden und private Anbieter weiterzugeben.

Auch Unternehmen, Online-Plattformen und administrative Dienstleistungen müssen sich an diese neuen Formen der digitalen Identifizierung und Authentifizierung anpassen.

L'EHDS Das Gesetz trat am 26. März 2025 in Kraft, seine wichtigsten Bestimmungen sind jedoch erst ab März 2029 vollständig anwendbar.

Die KI-RegulierungDie seit August 2024 geltende Regelung wird für Unternehmen ab dem 2. August 2026 maßgeblich.

Einige Verpflichtungen gelten bereits, wie etwa Transparenz bei der Interaktion mit Chatbots oder die Kennzeichnung von KI-generierten Inhalten sowie die Sicherstellung ausreichender KI-Kompetenzen bei Mitarbeitern, die mit KI-Systemen arbeiten.

Ab August sollten jedoch umfassendere Anforderungen für risikoreiche KI-Systeme gelten, die in sensiblen Bereichen wie Personalmanagement, Leistungsbewertung oder dem Zugang zu wichtigen Dienstleistungen eingesetzt werden.

Die Kommission plant jedoch in ihrem Omnibusvorschlag, die Anwendung dieser Regeln bis Dezember 2027 zu verschieben.

Auch hier würden einige Verpflichtungen für kleine und mittlere Unternehmen mit bis zu 750 Beschäftigten vereinfacht.

Im Hinblick auf die Sicherheit möchten wir Folgendes erwähnen: Richtlinie über die Sicherheit von Netzen und Informationssystemen (NIS2) in Kraft seit Oktober 2024, Regulierung der digitalen Betriebsresilienz (DORA) die seit Januar 2025 in Kraft ist, sowie die Verordnung zur Cyberresilienz (CRA)).

Hinsichtlich Letzterem treten die wichtigsten Verpflichtungen der Hersteller von Produkten mit digitalen Elementen am 11. September 2026 in Kraft, einschließlich der Verpflichtung, aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle zu melden.

Die Hersteller müssen daher festgestellte Schwachstellen und Sicherheitsvorfälle, die die Produktsicherheit erheblich beeinträchtigen, innerhalb kürzester Zeit den zuständigen Marktüberwachungsbehörden melden.

Zum Abschluss dieser Liste von Vorschriften erwähnen wir abschließend noch Folgendes: Vorschlag zur Regelung der digitalen Fairness (DFA) Dies dürfte die Komplexität des Rechtsrahmens für Online-Dienstleister weiter erhöhen.

Im Juli 2025 startete die Kommission eine öffentliche Konsultation zu diesem Projekt, das darauf abzielt, „unlautere Geschäftspraktiken“ wie Dark Patterns, süchtig machende Funktionen und missbräuchliche Personalisierung, einschließlich solcher im Zusammenhang mit KI-Agenten, zu bekämpfen.

Wie sieht die Zukunft dieser Vorschläge aus? Die kommenden Monate dürften entscheidend sein: Die zypriotische Ratspräsidentschaft strebt an, bis Ende März oder Anfang April ein Mandat für die Verhandlungen über das Omnibusgesetz mit dem Europäischen Parlament zu erhalten. Dies spiegelt den Wunsch wider, es zu verabschieden, bevor die risikoreichen Anforderungen der KI-Verordnung im August in Kraft treten.

 

Wir weisen auf mehrere bedeutende Sanktionen hin, die die CNIL kurz vor und nach dem Übergang bis 2026 verhängt hat und die alle mit der Datensicherheit zusammenhängen.

Am 13. Januar 2026 verhängte die CNIL (französische Datenschutzbehörde) gegen die Unternehmen Free Mobile und Free Geldbußen in Höhe von 27 Millionen Euro bzw. 15 Millionen Euro. angesichts der Unzulänglichkeit der Maßnahmen, die zur Gewährleistung der Sicherheit der Daten ihrer Abonnenten ergriffen wurden.

Im Oktober 2024 gelang es einem Angreifer, in die Informationssysteme der Unternehmen einzudringen und auf personenbezogene Daten von 24 Millionen Abonnentenverträgen, einschließlich IBANs, zuzugreifen.

Am 22. Dezember 2025 verhängte es gegen das Unternehmen Nexpublica France eine Geldstrafe von 1.700.000 Euro.weil sie keine ausreichenden Sicherheitsmaßnahmen für ihre PCRM-Software, ein Werkzeug zur Verwaltung von Benutzerbeziehungen im Bereich des sozialen Handelns, implementiert hat

Am 11. Dezember 2025 verhängte die Behörde Sanktionen gegen Mobius Solutions Ltd, einen Subunternehmer, der für eine Datenschutzverletzung verantwortlich war, von der Deezer-Nutzer betroffen waren.Wegen Nichteinhaltung der geltenden Unterauftragsregeln wurde eine Geldstrafe von einer Million Euro verhängt: Aufbewahrung von Daten nach Ablauf des Vertrags, unerlaubte Verarbeitung und fehlende Dokumentation der Verarbeitungsvorgänge.

Drei Mitarbeiter des Unternehmens hatten nach Beendigung ihres Vertragsverhältnisses eine Kopie der Daten von mehr als 46 Millionen Deezer-Nutzern behalten und diese damit Sicherheitslücken ausgesetzt, die zur Veröffentlichung der Daten im Darknet führten.

Das Verwaltungsgericht Versailles entschied am 11. Dezember, dass ein Patient ein Krankenhaus nicht auffordern kann, eine medizinische Beurteilung zu korrigieren, da diese eine subjektive Meinung darstellt.

Dieser Grundsatz bleibt auch dann anwendbar, wenn die Diagnose der für die Behandlung verantwortlichen Person von späteren Diagnosen abweicht.

Die Halluzinationen der KI in den Schlussfolgerungen von Juristen werden von Richtern manchmal mit Nachsicht hingenommen; dies ist zumindest die Ansicht des Gerichts von Périgueux in seinem Urteil vom 18. Dezember.

Letztere stellt fest: „(...) dass die vom Antragsteller angeführten, aber in seinen Unterlagen nicht aufgeführten Rechtsprechungsverweise offenbar nicht mit veröffentlichten Entscheidungen übereinstimmen. (...).“

Das Gericht wird daher den Antragsteller und seinen Anwalt auffordern, künftig nachzuweisen, dass die von ihnen über Suchmaschinen oder mithilfe künstlicher Intelligenz gefundenen Informationen keine „Halluzinationen“ sind.

Diese Position steht im Gegensatz zu einer kürzlich ergangenen belgischen Entscheidung, die weiter unten erwähnt wird.

Das Innenministerium wurde Mitte Dezember Opfer eines großangelegten Cyberangriffs.

Der Innenminister bestätigte am Mittwoch, den 17. Dezember, dass die Dienste des Innenministeriums Ziel eines massiven Cyberangriffs geworden seien. Er bezeichnete dies als einen sehr schwerwiegenden Akt, der zur Veröffentlichung von Akten, darunter Strafregistereinträge und Fahndungslisten, geführt habe. Der Cyberangriff erfolgte über die E-Mail-Konten von Ministeriumsmitarbeitern.

Im Bereich der Cyberangriffe ist außerdem darauf hinzuweisen, dass die CNIL in ihrer beschränkten Sitzung vom 18. Dezember 2025 eine Sanktion in Höhe von 5 Millionen Euro gegen France Travail wegen mangelnder Sicherheit forderte, die zu einem Datenleck führte, von dem 36,8 Millionen Menschen betroffen waren.

 

Europäische Institutionen und Gremien

Die EU-Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Anwendung der DSGVO wurde am 12. Dezember veröffentlicht und gilt ab dem 2. April 2027.

Ziel dieses Textes ist es, die verfahrenstechnische Bearbeitung grenzüberschreitender Fälle nach der DSGVO durch die nationalen Datenschutzbehörden zu vereinfachen, die Zusammenarbeit zwischen den Datenschutzbehörden durch strukturierte Verfahren, klarere Rollen und festgelegte Fristen zu verbessern und die Verfahrenssicherungen und die Rechtssicherheit für Beschwerdeführer und Beschuldigte zu stärken, einschließlich des Rechts auf Anhörung, des Zugangs zu Akten und der Wirksamkeit gerichtlicher Rechtsbehelfe.

Die Europäische Kommission veröffentlichte am 17. Dezember ihren ersten Entwurf eines Verhaltenskodex für die Kennzeichnung und Etikettierung von KI-generierten Inhalten.

Das Projekt gliedert sich in zwei Abschnitte.

Der erste Abschnitt behandelt die Regeln für die Kennzeichnung und Erkennung von KI-generierten Inhalten und gilt für Anbieter von generativen KI-Systemen.

• Der zweite Abschnitt umfasst die Kennzeichnung von Deepfakes und bestimmten Texten, die von KI zu Themen von öffentlichem Interesse generiert oder manipuliert werden, und gilt für Anwender von generativen KI-Systemen.

Die Kommission nimmt bis zum 23. Januar Stellungnahmen entgegen, mit dem Ziel, den Kodex bis Juni fertigzustellen.

Am 19. Dezember 2025 gab die Europäische Kommission die Verlängerung der beiden Angemessenheitsbeschlüsse für das Vereinigte Königreich bekannt. Das Abkommen wurde ursprünglich im Jahr 2021 verabschiedet und bekräftigt, dass personenbezogene Daten weiterhin frei zwischen dem Europäischen Wirtschaftsraum und dem Vereinigten Königreich fließen können.

Im Urteil Storstockholms Lokaltrafik (C-422/24) vom 18. Dezember hat der Gerichtshof der Europäischen Union den Begriff der direkten Erhebung personenbezogener Daten präzisiert.

Dieses Gesetz „verlangt von der betroffenen Person nicht, wissentlich Daten bereitzustellen oder eine bestimmte Handlung ihrerseits vorzunehmen. Daher gelten Daten, die durch Beobachtung der Person, von der sie stammen, gewonnen wurden, als direkt von dieser Person erhoben.“

Diese Klarstellungen wirken sich auf den Zeitpunkt und den Umfang der Informationspflicht aus, die nun unverzüglich und umfassender erfolgen muss.

Im konkreten Fall ging es um die Kontrolle eines Fahrscheins durch einen mit einer Körperkamera ausgestatteten Beamten.

Das Gericht schlägt vor, die wichtigsten Informationen auf einem Warnschild anzugeben und weitere Informationen an einem leicht zugänglichen Ort bereitzustellen.

Am 23. Dezember verhängte die Trump-Regierung Sanktionen gegen 5 europäische Staatsangehörige. Als Reaktion auf die kürzlich von der Europäischen Kommission gegen das Unternehmen X gemäß dem Digital Services Act (DSA) verhängte Geldbuße wurde Thierry Breton, ehemaliger EU-Kommissar für die digitale Wirtschaft, sowie mehreren Mitgliedern der Zivilgesellschaft, die für die NGOs HateAid, Center for Countering Digital Hate und The Global Disinformation Index arbeiten, die Einreise in die Vereinigten Staaten verboten.

Washington verurteilt die von der DSA vorgesehenen Moderations-, Melde- und Rechenschaftspflichten der Plattformen, die hier als extraterritoriale Zensurmaßnahmen betrachtet werden.

Am 5. Dezember verhängte die Europäische Kommission gegen X eine Geldbuße in Höhe von 120 Millionen Euro, weil das Unternehmen seinen Transparenzpflichten gemäß dem DSA nicht nachgekommen war.

Zu den Mängeln gehören die irreführende Gestaltung der „blauen Validierung“ für verifizierte Konten, die mangelnde Transparenz im Anzeigenverzeichnis und das Versäumnis, Forschern Zugang zu öffentlichen Daten zu gewähren.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

Mit Beschluss vom 10. November setzte das Landgericht Darmstadt die Gebühren eines Sachverständigen, der KI in großem Umfang zur Erstellung eines gerichtlichen Gutachtens eingesetzt hatte, ohne dies offenzulegen, auf 0 € fest.

Das Gericht nannte folgende Gründe für die Reduzierung der Gebühren:

1. Das Versäumnis, den Einsatz von KI anzugeben, und das Fehlen eines wahren Urhebers stellten einen Verstoß gegen verfahrensrechtliche Pflichten dar.
2. Der Bericht wurde als unbrauchbar eingestuft: fehlende persönliche Überprüfung, sachliche Fehler und offensichtliche Anzeichen für KI-generierten Text.
3. Transparenz und Verantwortlichkeit sind bei Expertenmeinungen unerlässlich.

Das deutsche Gericht in Lübeck sprach einem Kläger 5.000 € Schadensersatz gegen Meta zu, weil das Unternehmen personenbezogene Daten ohne vorherige Einwilligung mittels der Meta Business Tools verarbeitet hatte.

Die Datenübertragung von Websites Dritter an Meta erfolgt unabhängig von der Aktivierung von Meta-Anwendungen durch den Nutzer und der Einholung seiner Einwilligung.

Das Gericht stellte fest, dass Meta gegen Artikel 6 Absatz 1 der DSGVO verstoßen hatte, was zu einer hinreichend konkreten Bedrohung für die betroffene Person führte, die eine begründete Furcht vor dem Missbrauch ihrer personenbezogenen Daten in Form eines Kontrollverlusts erlitt.

In Österreich urteilte der Oberste Gerichtshof am 26. November, dass Meta seinen Nutzern uneingeschränkten Zugriff auf alle ihre personenbezogenen Daten gewähren muss, einschließlich deren Quellen, Empfänger und Verwendungszwecke.

Eine einfache, beispielhafte Liste genügt nicht.

Das Gericht urteilte außerdem, dass personalisierte Werbung und die Verarbeitung (sensibler) personenbezogener Daten von Websites Dritter die Einwilligung der betroffenen Person erfordern.

In einer kürzlich ergangenen belgischen Entscheidung wurden Kläger mit einer Geldstrafe von mehr als 25.000 Euro belegt, weil sie generative KI-Tools zur Abfassung ihrer Berufungsschriften verwendet hatten – ein offenkundiger Verfahrensmissbrauch, eine leichtfertige Berufung und ein missbräuchlicher Rechtsbehelf.

Das Antwerpener Berufungsgericht bemängelt die Produktion von „zusammenhangslosen und völlig sinnlosen“ Argumenten, die auf nicht existierender Rechtsprechung und erfundenen Rechtsquellen beruhen.

Auch in Belgien erteilte die APD einem Unternehmen eine Rüge, weil es im Rahmen eines Einstellungsverfahrens während eines Telefongesprächs Informationen über einen ehemaligen Mitarbeiter an ein anderes Unternehmen unrechtmäßig weitergegeben hatte.

Die APD rügte die beiden Unternehmen außerdem dafür, dass sie nicht auf die Zugangsanfragen der betroffenen Person reagiert hatten.

In Kroatien wurde die AZOP-Bank wegen mehrfacher Verstöße gegen die DSGVO mit einer Geldstrafe von 1.500.000 € belegt.

Die Bank verarbeitete die personenbezogenen Daten von 433.922 Nutzern ohne Rechtsgrundlage, ohne den Nutzern die erforderlichen Informationen zukommen zu lassen, und hatte keine angemessenen technischen und organisatorischen Maßnahmen ergriffen.

 

Die britische Datenschutzbehörde (DPA) hat den Passwortmanager-Anbieter LastPass UK Ltd mit einer Geldstrafe von 1,2 Millionen Pfund belegt, nachdem es 2022 zu einer Datenschutzverletzung gekommen war, bei der die persönlichen Daten von fast 1,6 Millionen britischen Nutzern gefährdet waren.

Die ICO stellte fest, dass LastPass keine ausreichend robusten technischen und Sicherheitsmaßnahmen implementiert hatte, was es einem Hacker letztendlich ermöglichte, unbefugten Zugriff auf die Backup-Datenbank zu erlangen.

Die Vereinigten Staaten haben ihre Forderung nach Zugang zu den nationalen biometrischen Datenbanken der am Visa Waiver Program (VWP) teilnehmenden EU-Länder erneuert und beabsichtigen, noch vor Ende 2026 eine Vereinbarung in dieser Angelegenheit abzuschließen.

Washington fordert diesen Zugang bereits seit 2022 im Rahmen der „Enhanced Border Security Partnerships“ (EBSP) der Vereinigten Staaten und droht mit dem Entzug der Visabefreiung, sollte der Antrag abgelehnt werden.

Das Ausmaß des Zugangs bleibt ungewiss.

Die europäische Position scheint zum jetzigen Zeitpunkt darauf abzuzielen, die Regelung auf Personen zu beschränken, die in die Vereinigten Staaten reisen.

Der Zugriff würde biometrische Daten wie Fingerabdrücke und Gesichtsscans umfassen, aber auch andere sensible Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit oder Daten über die Gesundheit oder das Sexualleben offenbaren, sofern dies notwendig und verhältnismäßig ist, „um Straftaten und terroristische Straftaten zu verhindern oder zu bekämpfen“.

Die europäischen Hauptstädte einigten sich im Dezember darauf, der Europäischen Kommission ein Mandat für die Aushandlung des Rahmens für dieses Abkommen zu erteilen, dessen Einzelheiten von den Mitgliedstaaten festgelegt werden.

In den Vereinigten Staaten hat der Einsatz von KI zur Transkription von Berichten aus Körperkameras der Polizei in Heber City, Utah, zu widersprüchlichen Folgen geführt.

Die auf OpenAIs LLM basierende Software Draft One meldete, dass sich ein Agent in einen Frosch verwandelt hatte.

Die Software hatte tatsächlich den im Hintergrund laufenden Film erkannt, und zwar den Film „Küss den Frosch“.

Abgesehen von der Ironie der Situation wirft dieser Fall Fragen auf, die von Cybernews hervorgehoben werden. „Obwohl das Ziel darin besteht, den Papierkram zu reduzieren, riskieren Beamte durch Fehler wie den in Heber City, noch mehr Zeit mit der Überprüfung von Berichten zu verbringen.“ Eine Untersuchung der Electronic Frontier Foundation (EFF) aus dem letzten Jahr ergab, dass der erste Entwurf „offenbar bewusst so gestaltet wurde, dass Prüfungen vermieden werden, die für öffentliche Rechenschaftspflicht sorgen könnten.“

„Oft ist es unmöglich festzustellen, welche Teile eines Polizeiberichts von einer KI generiert und welche von einem Beamten verfasst wurden.“

Einem Bericht von Privacy Laws & Business zufolge wird der Datenschutz in den Vereinigten Staaten dennoch gestärkt. 19 Bundesstaaten sind dem Beispiel Kaliforniens gefolgt und haben Datenschutzgesetze verabschiedet, die sich häufig auf Fragen im Zusammenhang mit Kindern konzentrieren.

Nur wenige Staaten sind an der Erfassung und Nutzung biometrischer Daten interessiert.

Illinois hatte lange Zeit eine führende Position inne, gefolgt von Texas und dem Bundesstaat Washington.

Es besteht noch immer kein Konsens über neue bundesweite Datenschutzbestimmungen, „aber die FTC hat Durchsetzungsmaßnahmen ergriffen, die Hunderte von Millionen Dollar an Schadensersatz und Geldstrafen in Vergleichen mit großen Online-Unternehmen wie Epic Games, Amazon und Microsoft beinhalten“, oder kürzlich mit Disney Worldwide Services, mit einem Vergleich über 10 Millionen Dollar wegen Verstoßes gegen den Children's Online Protection Act (COPPA).