Rechtsbeobachtung Nr. 89 – November 2025. 

 

Vereinfachung der europäischen Digitalvorschriften: Was können wir erwarten?

Wie weit wird die Europäische Kommission in ihrem Bestreben gehen, den europäischen Rechtsrahmen zu vereinfachen?

Seit der Veröffentlichung des Draghi-Berichts im September 2024 und in einem turbulenten internationalen Wirtschaftsumfeld hat die europäische Regierung die Maßnahmen zugunsten der Industrie vervielfacht.

Die kürzlich erfolgte Veröffentlichung des „Digital Omnibus“-Pakets soll die Privatwirtschaft hinsichtlich der rechtlichen Beschränkungen im digitalen Sektor beruhigen, was bei der Zivilgesellschaft auf große Bestürzung stößt, da sie eine beispiellose Aushöhlung der Grundrechte befürchtet.

Die Kommission veröffentlichte am 19. November offiziell zwei Vorschläge, den „Digital Omnibus“ und den „Digital Omnibus on AI“, und startete eine Bewertung der digitalen Kompetenzen.

Der Vorschlag zur digitalen Technologie sieht Änderungen sowohl der DSGVO als auch der KI-Verordnung sowie der ePrivacy-Richtlinie vor. Der Text ist komplex; hier einige Kernpunkte.

• • Bezüglich der ePrivacy-Richtlinie

Die Kommission schlägt insbesondere Änderungen an der Cookie-Richtlinie vor. Ziel ist es, die Häufigkeit der Banneranzeige zu reduzieren und Nutzern zu ermöglichen, ihre Einwilligung mit einem einzigen Klick zu erteilen und ihre Präferenzen über die zentralen Einstellungen ihrer Browser und Betriebssysteme zu speichern. Diese Bestimmung gehört zu den am wenigsten umstrittenen.

Der Text sieht außerdem eine einheitliche Meldeschnittstelle vor, die es Unternehmen ermöglicht, alle ihre Meldepflichten für Vorfälle über ein einziges sicheres Portal zu erfüllen, mit dem Ziel, die konkurrierenden Verpflichtungen der NIS2-Richtlinie, der DSGVO und der Verordnung über die digitale operative Resilienz zu vereinfachen.

Für KMU und kleine und mittlere Unternehmen ist eine Lockerung der rechtlichen Verpflichtungen hinsichtlich Dokumentation, Sanktionen und Cloud-Wechselregeln geplant.

• • Bezüglich der DSGVO

Der Vorschlag schränkt die Definition personenbezogener Daten ein, indem er einen subjektiven Ansatz zur Datenidentifizierbarkeit einführt, wodurch bestimmte pseudonyme Daten oder Identifikationsnummern vom Anwendungsbereich der Verordnung ausgeschlossen werden könnten.

Die Definition sensibler Daten würde dahingehend geändert, dass sie sich nur noch auf solche Daten bezieht, die „direkt“ Informationen über Gesundheit, rassische Herkunft usw. offenbaren, wobei die Gefahr besteht, dass solche Daten ausgeschlossen werden, die beispielsweise durch einen Algorithmus abgeleitet werden könnten.

Der Vorschlag sieht außerdem vor, das Recht von Einzelpersonen, Zugang zu ihren Daten zu verlangen, auf „Datenschutzzwecke“ zu beschränken.

Eine neue Definition von „wissenschaftlicher Forschung“ könnte auch zu weitreichenden Ausnahmen von der DSGVO führen, von denen der Privatsektor profitiert: „Forschung, die voraussichtlich Innovationen unterstützt, wie etwa technologische Entwicklung und Demonstration“, könnte somit von den Informations- und Zweckbindungspflichten ausgenommen werden.

Der Vorschlag beinhaltet Änderungen, die eine automatisierte Entscheidungsfindung erleichtern und die Verwendung personenbezogener Daten zum Trainieren und Betreiben von KI-Systemen auf der Grundlage berechtigter Interessen ermöglichen.

Der Text sieht außerdem eine sechsmonatige Übergangsfrist für Artikel 50(2) der KI-Verordnung (Transparenzpflichten) vor.

Das digitale Omnibuspaket bleibt für einen Zeitraum von acht Wochen zur Kommentierung geöffnet, der täglich verlängert wird, bis der Vorschlag in allen EU-Sprachen verfügbar ist, derzeit bis zum 29. Januar 2026.

Der Vorschlag wird dann das ordentliche EU-Gesetzgebungsverfahren im Europäischen Parlament und im Rat durchlaufen, wo er sicherlich Gegenstand lebhafter Debatten sein wird.

Was die DSGVO im Speziellen betrifft, so sind einige Länder offen für eine Überprüfung der Vorschläge der Kommission, während andere, darunter Slowenien, Estland und Österreich, bereits erklärt haben, dass die DSGVO ihrer Ansicht nach „zum jetzigen Zeitpunkt keiner weiteren Änderungen bedarf“.

Der Prozess wird auch die Ansichten des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten einbeziehen; diese beiden Positionen sind zwar nicht bindend, dürften aber die weiteren Diskussionen beeinflussen.

 

Nach einem ersten Bericht, in dem untersucht wurde, ob die Franzosen bereit wären, für Online-Dienste ohne zielgerichtete Werbung zu bezahlen, veröffentlichte die CNIL am 17. November einen zweiten Teil, der sich mit der Haltung der Franzosen zur Monetarisierung ihrer Daten befasste.

65 % der Befragten (%) gaben an, bereit zu sein, ihre Daten zu verkaufen. Die am häufigsten genannte Bewertung lag zwischen 10 und 30 Euro pro Monat; diese Option wurde von 28 % dieser Befragten (%) bevorzugt.

Andererseits wollen 35 % der Befragten ihre Daten unabhängig vom Preis nicht verkaufen und lehnen die Monetarisierung personenbezogener Daten aus Prinzip ab.

In diesem Zusammenhang weist die CNIL darauf hin, dass zwar die Übertragung eines Nutzungsrechts an den eigenen Daten möglich sei, „eine Praxis der ‚Monetarisierung‘ personenbezogener Daten im Sinne der Übertragung von Eigentumsrechten daran jedoch im Rahmen der geltenden Rechtslage nicht möglich ist, da man auf seine Rechte an den eigenen Daten nicht verzichten kann.“

Am 20. November 2025 verhängte die CNIL gegen das französische Unternehmen Conde Nast Publications eine Geldstrafe von 750.000 Euro, weil es gegen geltende Vorschriften bezüglich Cookies verstoßen hatte, die auf den Endgeräten von Nutzern platziert wurden, die die Website "vanityfair.fr" besuchten.

Das Unternehmen hatte bereits 2019 nach einer Beschwerde des Vereins Noyb eine formelle Mitteilung erhalten, der es jedoch nicht nachgekommen war.

Bei der Höhe der Geldstrafe werden die mangelnde Reaktion des Unternehmens, die Anzahl der beteiligten Personen und die verschiedenen Mängel berücksichtigt: das Versäumnis, eine Einwilligung einzuholen, das Versäumnis, die Nutzer zu informieren, und das Versagen der Mechanismen zur Verweigerung und zum Widerruf der Einwilligung.

Am 27. November 2025 verhängte die CNIL außerdem eine Geldbuße von 1,5 Millionen Euro gegen das Unternehmen American Express Carte France wegen Nichteinhaltung der geltenden Vorschriften in Bezug auf Cookies.

Am 26. November veröffentlichte die ANSSI einen Bericht über den Stand der Bedrohung für Mobiltelefone.

Der Bericht hebt die Ausnutzung von Schwachstellen durch Angreifer hervor, die auf Netzwerke, das Betriebssystem oder Anwendungen abzielen können, und identifiziert eine spezifische Bedrohung: Spionage- und Überwachungsoperationen, die von staatlichen Akteuren durchgeführt werden.

Auch Mobiltelefone sind ein Hauptziel für Cyberkriminelle, die durch das Kompromittieren dieser Geräte Geld von ihren Opfern stehlen können.

Mobiltelefone werden auch für private Überwachungs- oder Destabilisierungsoperationen missbraucht.

Der Bericht enthält außerdem Sicherheitsempfehlungen für die Nutzer.

Dazu gehören das regelmäßige Aus- und Wiedereinschalten des Telefons ohne Verwendung der Neustartfunktion, das Vermeiden des Anklickens von Links oder des Öffnens von Dateien in unerwünschten Nachrichten, die Vorsicht beim Öffnen von über QR-Codes übertragenen Links, das Einspielen von Betriebssystem-Updates, das Deaktivieren von WLAN- und Bluetooth-Schnittstellen bei Nichtgebrauch und das Vermeiden der Verbindung mit öffentlichen WLAN-Netzwerken.

 

Europäische Institutionen und Gremien

Am 26. November einigten sich die Vertreter der EU-Mitgliedstaaten auf den Standpunkt des Rates hinsichtlich der Verordnung zur Verhütung und Bekämpfung des sexuellen Missbrauchs von Kindern.

Der Text zielt darauf ab, Unternehmen im digitalen Sektor die Pflicht aufzuerlegen, die Verbreitung von Kinderpornografie und die Anbahnung von Kontakten zu Kindern zu verhindern.

Die zuständigen nationalen Behörden werden die Befugnis haben, Unternehmen zu zwingen, bestimmte Inhalte zu entfernen und den Zugang dazu zu sperren oder, im Falle von Suchmaschinen, bestimmte Suchergebnisse zu entfernen.

Die Verordnung sieht außerdem die Schaffung einer neuen europäischen Agentur vor, des Europäischen Zentrums für Kinderpornografie, das die Mitgliedstaaten und Online-Dienstleister bei der Umsetzung des Gesetzes unterstützen soll.

Der Rat möchte außerdem eine derzeit befristete Maßnahme dauerhaft machen, die es Unternehmen ermöglicht, ihre Dienste freiwillig auf Kindesmissbrauch zu überprüfen.

Obwohl der Text weniger aufdringlich ist als seine Vorgängerversion, wird er von seinen Kritikern dennoch als Angriff auf die Ende-zu-Ende-Verschlüsselung und die Vertraulichkeit der Kommunikation angesehen.

Das Projekt muss noch in Trilogverhandlungen mit der Kommission und dem Europäischen Parlament erörtert werden.

Am 5. Dezember verhängte die Europäische Kommission gegen X eine Geldbuße in Höhe von 120 Millionen Euro, weil das Unternehmen seinen Transparenzpflichten gemäß dem Digital Services Act (DSA) nicht nachgekommen war.

Zu den Mängeln gehören die irreführende Gestaltung der „blauen Validierung“ für verifizierte Konten, die mangelnde Transparenz im Anzeigenverzeichnis und das Versäumnis, Forschern Zugang zu öffentlichen Daten zu gewähren.

In seiner Entscheidung Russ Media vom 2. Dezember stellte der Gerichtshof der Europäischen Union (EuGH) fest, dass ein Marktplatzbetreiber für die Verarbeitung der auf seiner Plattform veröffentlichten Anzeigen verantwortlich ist und vor der Veröffentlichung prüfen muss, ob diese sensible Daten enthalten und ob ihre Verarbeitung mit der DSGVO vereinbar ist.

1/ Der Betreiber eines Marktplatzes ist für die Bearbeitung der veröffentlichten Anzeigen verantwortlich: Mehrere Elemente rechtfertigen diese Einstufung durch den EuGH:

• Die Anzeige ist aufgrund des von der Plattform bereitgestellten Dienstes nur online zugänglich.
• Der Herausgeber verfolgt seine eigenen Ziele, insbesondere kommerzielle und werbliche, und ist nicht auf einen technischen Service beschränkt.
• Es legt die wesentlichen Mittel fest: Präsentation, Dauer der Online-Veröffentlichung, Rubriken, Klassifizierung, Verbreitungsmethoden.
• Somit sind der Betreiber und der Werbetreibende gemeinsam für die Verarbeitung der Werbeanzeigen verantwortlich.

2/ Als Datenverantwortlicher muss der Betreiber die potenziellen Risiken der Datenverarbeitung ermitteln und dem ermittelten Risiko angemessene Maßnahmen und Schutzvorkehrungen treffen: Der EuGH gibt an, dass der Betreiber vorgelagert Folgendes tun muss:

• Erkennen, ob eine Anzeige sensible Daten enthält.
• Prüfen Sie, ob sich diese Daten auf den Werbetreibenden beziehen oder ob für den Werbetreibenden eine Ausnahme gilt, insbesondere eine ausdrückliche Einwilligung der betroffenen Person.
• Die Veröffentlichung wird abgelehnt, wenn diese Bedingungen nicht erfüllt sind.

Als Teil seiner Sicherheitsverpflichtungen muss der Betreiber auch Maßnahmen ergreifen, um das illegale Kopieren und Vervielfältigen von Werbeanzeigen mit sensiblen Daten einzuschränken.

Am 20. November urteilte der EuGH im Fall Policejní prezidium über die Praxis der tschechischen Polizei, biometrische und genetische Daten aller Personen, die im Verdacht stehen, vorsätzliche Straftaten begangen zu haben, zu sammeln und auf unbestimmte Zeit zu speichern.

Ziel war es, festzustellen, ob die europäische „Polizeirichtlinie“ eine Einzelfallprüfung der Notwendigkeit der Aufbewahrung erfordert, ob unbefristete Aufbewahrungsfristen zulässig sind und welche rechtlichen Schutzmaßnahmen die Verarbeitung dieser sensiblen Daten regeln sollten.

Der Gerichtshof sieht kein grundsätzliches Verbot, sondern legt eine Reihe von Bedingungen fest: Der Datenverantwortliche muss alle für die Verarbeitung sensibler Daten geltenden Grundsätze und spezifischen Anforderungen einhalten, und die nationale Gesetzgebung muss angemessene Fristen für eine regelmäßige Überprüfung der zwingenden Notwendigkeit der Aufbewahrung dieser Daten festlegen.

Die Agentur der Europäischen Union für Grundrechte veröffentlichte am 4. Dezember einen Bericht zum Schutz der Grundrechte bei der Nutzung von KI in Hochrisikogebieten. Darin wird ein mangelndes Bewusstsein für diese Rechte hervorgehoben.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

Das Landgericht Wien entschied, dass Klagen gegen einen Datenverantwortlichen, der nicht in der EU ansässig ist, dem Verantwortlichen selbst und nicht dessen Vertreter in der EU zugestellt werden müssen.

Eine Benachrichtigung des Vertreters gemäß Artikel 27 DSGVO ist nicht ausreichend, es sei denn, das nationale Verfahrensrecht sieht diese Möglichkeit vor.

Am 14. November verhängte die kroatische Datenschutzbehörde (APD) eine Verwaltungsstrafe in Höhe von insgesamt 4.500.000,00 EUR gegen einen Telekommunikationsbetreiber in seiner Eigenschaft als Datenverantwortlicher wegen der Übermittlung personenbezogener Daten in ein Drittland unter Verstoß gegen die DSGVO.

Die Übertragung an einen serbischen Subunternehmer erfolgte ohne gültige Rechtsgrundlage und ohne transparente Information der Betroffenen, die Bearbeitung von Kopien der Personalausweise und polizeilichen Führungszeugnisse der Mitarbeiter erfolgte ohne Rechtsgrundlage und ohne angemessene vorherige Überprüfung des Subunternehmers.

Die Internationale Universität Valencia in Spanien wurde mit einer Geldstrafe von 750.000 € belegt, weil sie ohne entsprechende Rechtsgrundlage Gesichtserkennung und KI zur Identifizierung von Prüfungsteilnehmern eingesetzt hatte.

Auch in Spanien verhängte die APD eine Geldstrafe von 30.000 € gegen eine medizinische Klinik wegen Verstoßes gegen Artikel 5(1)(f) der DSGVO, indem sie die Telefonnummern und Gesundheitsdaten von rund 90 Patienten in einer WhatsApp-Gruppe ohne vorherige Einwilligung und ohne angemessene Vertraulichkeitsmaßnahmen offenlegte.

Ein Gericht hat 87 spanischen Medienunternehmen über 480.000.000 € Schadenersatz zugesprochen, nachdem es zu dem Schluss gekommen war, dass Meta personenbezogene Daten, die über seine sozialen Netzwerke gesammelt wurden, illegal genutzt hatte, um detaillierte Nutzerprofile zu erstellen und effektivere personalisierte Werbung als seine Konkurrenten anzubieten, wodurch es sich einen unfairen Wettbewerbsvorteil verschaffte.

Das Gericht kam zu dem Schluss, dass die Verarbeitung personenbezogener Daten ein wichtiger Wettbewerbsfaktor in der digitalen Wirtschaft ist und dass Verstöße gegen die DSGVO einen unlauteren Wettbewerb darstellen können, wenn sie einen erheblichen Vorteil verschaffen.

Die italienische Datenschutzbehörde (APD) hat die Provinz Bozen wegen des illegalen Betriebs eines Netzes von Verkehrsüberwachungskameras mit einer Geldstrafe von 32.000 Euro belegt. Der Provinz fehlte eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten, insbesondere von Kfz-Kennzeichen.

 

Im Vereinigten Königreich haben 73 Akademiker, Juristen, Datenschutzexperten und Vertreter von Nichtregierungsorganisationen in einem Brief an das Unterhaus eine Untersuchung der britischen Datenschutzbehörde (ICO) gefordert, nachdem es insbesondere im Anschluss an den afghanischen Datenskandal zu einem „Zusammenbruch der Durchsetzungsmaßnahmen“ gekommen war.

Sie warnen vor „tiefergreifenderen strukturellen Mängeln“, die über diesen Datenverstoß hinausgehen.

Dies stellte ein besonders schwerwiegendes Informationsleck über Afghanen dar, die vor der Machtübernahme der Taliban im August 2021 mit britischen Streitkräften zusammengearbeitet hatten, und gefährdete das Leben der 100.000 Menschen, deren Namen vom Verteidigungsministerium veröffentlicht worden waren.

Die ICO wird dafür kritisiert, dass sie trotz wiederholter Versäumnisse keine formellen rechtlichen Schritte gegen das Ministerium eingeleitet hat. 

In Argentinien haben einige Gerichte in den letzten Monaten über den Einsatz von KI in Schriftsätzen und Klageschriften von Anwälten entschieden.

Die Fälle betrafen Anwälte, die Rechtsprechungszitate einfügten, die sich aufgrund von KI-Halluzinationen als falsch oder ungenau herausstellten.

Genau wie insbesondere in den Vereinigten Staaten beginnen auch argentinische Gerichte, den Umfang der beruflichen Verantwortung von Anwälten zu bewerten: Selbst wenn sie in gutem Glauben handeln, untergräbt die Einreichung von Schriftsätzen, die nicht existierende Rechtsprechung zitieren, die Grundprinzipien des Berufsstandes, einschließlich Ehrlichkeit, Loyalität und Aufrichtigkeit, wie sie in den Ethikkodizes der verschiedenen argentinischen Gerichtsbarkeiten festgelegt sind.

In den untersuchten Einzelfällen entschieden die Gerichte, keine direkten Sanktionen gegen die Anwälte zu verhängen.

Dennoch hielten sie es für angebracht, die örtlichen Anwaltskammern zu informieren, um das Bewusstsein für die Risiken und Verantwortlichkeiten im Zusammenhang mit dem Einsatz von KI zu schärfen und eine breitere Debatte über den verantwortungsvollen Einsatz von KI in der Rechtspraxis anzustoßen.

Die australische Regierung hat als jüngste einen Fahrplan für KI vorgestellt.

Nach der Prüfung einer sicherheitsorientierten Strategie entschied sich die Regierung letztendlich dafür, Investitionen und die Wirtschaft in den Vordergrund zu stellen.

Anstatt in Hochrisikoumgebungen obligatorische Schutzmaßnahmen einzuführen, wird Australien „auf bestehenden soliden Rechts- und Regulierungsrahmen aufbauen“.

Der am 2. Dezember angekündigte Nationale Plan zielt darauf ab, Australiens Ruf als Investitionsstandort für KI zu stärken und fördert Ziele für einen breiten Einsatz von KI im ganzen Land, insbesondere im öffentlichen Dienst.

Außerdem wird die Rolle des AI Security Institute bei der Erprobung und dem Austausch von Informationen über KI-Fähigkeiten, Risiken und Gefahren beschrieben.

Auch in Australien wird es Kindern und Jugendlichen unter 16 Jahren ab dem 10. Dezember nicht mehr erlaubt sein, soziale Medien zu nutzen.

Plattformen sind verpflichtet, Maßnahmen zur Altersverifizierung umzusetzen.

Bei Nichteinhaltung drohen Geldstrafen von bis zu 28 Millionen Euro.

Auf dieses Verbot könnten weitere folgen: Am 26. November forderte das Europäische Parlament, das Mindestalter für soziale Netzwerke, Videoplattformen und KI-Assistenten in der gesamten Europäischen Union auf 16 Jahre festzulegen, während der Zugang für 13- bis 16-Jährige mit Zustimmung der Eltern weiterhin erlaubt sein soll.

Die Abgeordneten des Europäischen Parlaments brachten zwar ihre Unterstützung für die Kommission hinsichtlich einer europäischen App zur Altersverifizierung und einer europäischen digitalen Identitätsbörse (eID) zum Ausdruck, bestanden aber gleichzeitig darauf, dass die Systeme zur Altersverifizierung die Privatsphäre von Minderjährigen schützen müssten.

In den Vereinigten Staaten sind nur noch zwei von fünf Kommissaren in der Federal Trade Commission (FTC) im Amt.

Ein dritter Rücktritt, nämlich der von Melissa Holyoak, wurde tatsächlich am 17. November 2025 von der FTC bekannt gegeben.

Dieser Rücktritt folgt auf die Entlassung zweier demokratischer Kommissare durch Präsident Trump, sodass nur noch zwei republikanische Kommissare im Amt sind.

Der Oberste Gerichtshof hat sich mit der Angelegenheit befasst, und seine Entscheidung könnte weitreichendere Auswirkungen auf die Befugnisse des Präsidenten gegenüber unabhängigen Behörden haben.           

Reisende aus Ländern wie Großbritannien, Frankreich oder Südkorea, die für das US-Visa Waiver Program in Frage kommen, müssen sich möglicherweise bald einer Überprüfung ihrer Social-Media-Aktivitäten der letzten fünf Jahre unterziehen. Dies geht aus einem Vorschlag hervor, der am 9. Dezember von der US-Zoll- und Grenzschutzbehörde (CBP) eingereicht wurde.

CBP plant außerdem, von den Antragstellern eine lange Liste persönlicher Daten zu verlangen, darunter ihre E-Mail-Adressen der letzten zehn Jahre sowie die Namen, Geburtsdaten, Wohnorte und Geburtsorte ihrer Eltern, Ehepartner, Brüder, Schwestern und Kinder.

Am 13. November 2025 erließ das indische Ministerium für Elektronik und Informationstechnologie die Durchführungsbestimmungen zum Digital Personal Data Protection Act 2023.

Laut der Firma Nishith Desai Associates legen sie die Anforderungen an Transparenz, Einwilligung und Registrierung, die Meldepflichten im Falle einer Datenschutzverletzung, die Rechte der betroffenen Personen und Einzelheiten zum Indian Data Protection Council fest.