Rechtsbeobachtung Nr. 87 – September 2025. 

 

Fünf Jahre nach dem Brexit: Ein Blick auf die Situation im Vereinigten Königreich.

Seit dem Austritt des Vereinigten Königreichs aus der Europäischen Union hat sich das britische Datenschutzrecht langsam, aber sicher vom europäischen Rechtsrahmen entfernt.

Während auf beiden Seiten des Ärmelkanals ein Trend zur Vereinfachung der Standards zu beobachten ist, liegt das Vereinigte Königreich der Europäischen Union voraus.

Nach dem Brexit wurde der Data Protection Act 2018 (DPA) geändert, um weiterhin mit der „UK GDPR“, der britischen Version der DSGVO, die am 1. Januar 2021 in Kraft trat, komplementär zu sein.

Das Vereinigte Königreich hat außerdem die Datenschutz- und Telekommunikationsverordnung (PECR) übernommen, die die europäische ePrivacy-Richtlinie umsetzt.

Der Data Use and Access Act (DUAA), der am 19. Juni 2025 verabschiedet wurde, stellt eine umfassende Reform des britischen Datenschutzgesetzes dar.

Es modifiziert und ergänzt sowohl die britische DSGVO als auch das BDSG und die PECR und stellt einen strategischen Wendepunkt dar, an dem sich Großbritannien von einer auf fundamentale Rechte ausgerichteten Vision hin zu einem pragmatischeren und innovationsfreundlichen Ansatz entwickelt.

Die Hauptziele sind:

• Vorschlag einer breiteren Rechtsgrundlage für „anerkannte berechtigte Interessen“ für bestimmte Verarbeitungstätigkeiten, einschließlich Archivierung im öffentlichen Interesse, der öffentlichen Sicherheit oder der Besteuerung;
• Unternehmen die Möglichkeit geben, die Antwortzeit für Zugriffsanfragen auszusetzen,
• Die Regeln für Cookies vereinfachen;
• Erleichterung internationaler Datentransfers;
• Innovationen bei digitalen Diensten und KI fördern, indem der Rahmen für automatisierte Entscheidungen gelockert wird;
• „Datenschutz durch Technikgestaltung“ bei digitalen Diensten, die sich an Kinder richten, einführen
• Um die Implementierung einer digitalen Identität zu ermöglichen,
• Die Regeln für Polizei und Nachrichtendienste vereinfachen.

Allerdings weisen einige auf die Risiken dieser Reformen hin, insbesondere auf die Schwächung der individuellen Rechte.

Im Bereich der automatisierten Entscheidungsfindung verweisen sie beispielsweise auf das Fiasko der Ergebnisse der A-Level-Prüfungen 2020, bei denen irrelevante Noten durch einen Algorithmus vergeben wurden, sowie auf die Fehler in den Betrugserkennungsinstrumenten des Ministeriums für Arbeit und Pensionen (DWP), die zu zahlreichen Schäden für die Betroffenen führten.

Das von der Regierung Anfang Oktober angekündigte Projekt zur digitalen Identität hat einen Sturm der Entrüstung ausgelöst; Millionen britischer Bürger haben eine Petition unterzeichnet, in der sie den Rückzug des Projekts fordern.

Seit einigen Jahren drängt die britische Regierung auch auf die Einführung von Mechanismen, die den Zugriff auf die verschlüsselten Inhalte der Kommunikation ermöglichen: Die öffentliche Diskussion konzentriert sich auf umstrittene technische Ansätze wie das „Client-Side Scanning“.

Es sei darauf hingewiesen, dass die Europäische Union derzeit ein verwandtes Thema erörtert: Der CSAR-Vorschlag zur Verhütung und Bekämpfung von sexuellem Missbrauch an Kindern steht am 14. Oktober erneut auf der Tagesordnung des Europäischen Rates.

Dieser Vorschlag, der die Möglichkeit vorsieht, die Kommunikation auf dem Endgerät des Nutzers zu scannen, bevor sie gesendet wird, wird von vielen Wissenschaftlern und Vertretern der Zivilgesellschaft als ineffektiv und besonders gefährlich für die Grundrechte und die Verschlüsselung selbst angesehen.

Die Europäische Union strebt derzeit auch eine Vereinfachung des Rechtsrahmens für Daten durch ihr „digitales Omnibuspaket“ an.

Die Kommission hat einen Aufruf zur Einreichung von Beiträgen gestartet, der am 14. Oktober endet. Die Beiträge decken Bereiche der Datenschutzgesetzgebung ab, darunter Regelungen zu Cookies und anderen Tracking-Technologien, die Meldung von Cybersicherheitsvorfällen sowie bestimmte Aspekte des Rechts über künstliche Intelligenz.

Im Hinblick auf die DSGVO geht es beispielsweise um die Beschränkung der Registerpflicht auf Organisationen mit mehr als 500 Beschäftigten, im Vergleich zur derzeitigen Grenze von 250. Die Europäische Union stellt die Kernprinzipien der Verordnung derzeit nicht in Frage.

Auf beiden Seiten des Ärmelkanals beziehen sich die angekündigten Vorteile für die Industrie auf die Reduzierung der Kosten für die Einhaltung von Vorschriften.

Die Kosten der Reformumsetzung selbst, die Kosten von Fehlern oder Streitigkeiten sowie die Kosten für das Verbrauchervertrauen sind jedoch weniger gut absehbar. Dieses Argument wurde auch im Rahmen des von der Europäischen Kommission Mitte Juli organisierten „Umsetzungsdialogs“ vorgebracht. Die Privatwirtschaft gab an, in die Einhaltung der Vorschriften investiert zu haben und dass eine allgemeine Wiederöffnung insbesondere im Hinblick auf internationale Datentransfers Unsicherheit schaffen könnte.

Das Nutzen-Risiko-Verhältnis der britischen Reformen und ihre Auswirkungen auf internationale Partnerschaften sowie, noch entscheidender, auf die Aufrechterhaltung des Angemessenheitsbeschlusses Großbritanniens bei der EU sind bis heute ungewiss.

Der Entwurf des Angemessenheitsbeschlusses der Europäischen Kommission spricht sich jedoch dafür aus, das Schutzniveau des Vereinigten Königreichs anzuerkennen.

Allerdings muss sie dem Europäischen Datenschutzausschuss zur Stellungnahme vorgelegt und im Rat erörtert werden.

Hoffen wir, dass die endgültige Entscheidung hinsichtlich der berücksichtigten Kriterien angesichts der sich daraus ergebenden Änderungen des britischen Rechts besonders transparent ausfallen wird.

Dies erscheint unerlässlich, um künftig sowohl für europäische Unternehmen als auch für solche mit Sitz außerhalb der EU ausreichende Rechtssicherheit zu gewährleisten.

 

      

Am 18. September 2025 verhängte die CNIL gegen das Unternehmen Samaritaine SAS eine Geldstrafe von 100.000 Euro, weil es Kameras im Lagerbereich des Geschäfts versteckt hatte.

Diese Kameras waren als Rauchmelder getarnt und konnten Ton aufzeichnen.

Die CNIL hat darauf hingewiesen, dass ein Arbeitgeber in Ausnahmefällen versteckte Kameras installieren darf, sofern ein angemessenes Gleichgewicht zwischen dem verfolgten Ziel (dem Schutz von Eigentum und Personen) und dem Schutz der Privatsphäre der Arbeitnehmer hergestellt wird.

Ein solches System könnte beispielsweise genehmigt werden, sofern es sich um ein temporäres System handelt, das erst nach einer dokumentierten Analyse seiner Vereinbarkeit mit der DSGVO und unter Berücksichtigung außergewöhnlicher Umstände eingesetzt wird.

In diesem Fall meldete das Unternehmen zwar die in den Reserven begangenen Diebstähle und erklärte, dass es sich bei dem System um eine temporäre Lösung handele, führte jedoch keine vorherige Analyse der DSGVO-Konformität durch und dokumentierte auch nicht den temporären Charakter der Installation.

Die CNIL hat außerdem mehrere Beiträge veröffentlicht, die sich mit der Verwaltung inaktiver Konten von Fachleuten aus der audiovisuellen und Videospielbranche, mit Videogeräten in Schulen und mit der Geolokalisierung von Kindern befassen.

Die Nationalversammlung verabschiedete den Gesetzentwurf zur Cybersicherheitsresilienz am 9. September in einem Sonderausschuss. 

Philippe Latombe, Vorsitzender des Ausschusses, ließ einen Änderungsantrag verabschieden, der darauf abzielte, die Ende-zu-Ende-Verschlüsselung in Artikel 16 bis zu verankern: „Es kann Verschlüsselungsdienstleistern, einschließlich qualifizierter Vertrauensdiensteanbieter, nicht auferlegt werden, technische Vorrichtungen zu integrieren, die darauf abzielen, die Sicherheit von Informationssystemen und elektronischer Kommunikation absichtlich zu schwächen, wie z. B. Master-Entschlüsselungsschlüssel oder andere Mechanismen, die einen nicht einwilligungsfähigen Zugriff auf geschützte Daten ermöglichen.“

Dieser Text, der die europäischen Richtlinien NIS2, DORA und REC in französisches Recht umsetzt, dürfte zu einer deutlichen Steigerung des allgemeinen Niveaus der Cybersicherheit führen.

 

Europäische Institutionen und Gremien

Am 10. September hielt Ursula von der Leyen eine Rede zur Lage der Union, in der sie bekräftigte, dass Europa souverän bei der Festlegung seiner eigenen Regeln und Standards bleiben werde, und wies damit die transatlantische Kritik zurück.

Am selben Tag unterzeichneten 39 führende Vertreter der europäischen Industrie und Verbände die Europäische Erklärung zu KI und Technologie und verpflichteten sich damit, in die technologische Souveränität Europas zu investieren.

Frau von der Leyen bekräftigte die wichtigsten Prioritäten der KI-Strategie der EU, darunter die künftige Regulierung der Cloud- und KI-Entwicklung, die Initiative „Quantum Sandbox“ und bedeutende Investitionen in europäische KI-„Gigafabriken“.

Die künftige Regulierung der Cloud- und KI-Entwicklung könnte Maßnahmen zur Datensouveränität und Lokalisierung umfassen, die mit der künftigen Datenstrategie der Union übereinstimmen.

Der Kommissionspräsident hob außerdem die Ziele der Vereinfachung der europäischen Regulierung hervor und betonte die jüngsten Reformvorschläge, die sich auf den Datenschutz auswirken könnten, wie etwa die Reduzierung der Pflichten zur Führung von Datenregistern und die Vereinfachung der Meldepflichten für Vorfälle in der digitalen Gesetzgebung.

Zum Schluss ging sie auf das Thema der Online-Sicherheit von Kindern ein und kündigte an, dass die Kommission bis Ende des Jahres Expertenrat einholen werde, möglicherweise mit Inspiration durch den australischen Ansatz bei der Einschränkung sozialer Medien.

Die Datenschutzverordnung (Datenschutzgesetz) trat am 12. September 2025 in Kraft.

Dieser Text gibt Nutzern vernetzter Produkte (Unternehmen oder Privatpersonen, die ein solches Produkt besitzen, mieten oder leasen) mehr Kontrolle über die von ihnen generierten Daten und erhält gleichzeitig Anreize für diejenigen, die in Datentechnologien investieren.

Es definiert außerdem die allgemeinen Bedingungen für Situationen, in denen ein Unternehmen rechtlich verpflichtet ist, Daten mit einem anderen Unternehmen zu teilen.

Der Europäische Datenschutzausschuss hat Leitlinien zum Zusammenspiel zwischen der Verordnung über digitale Dienste und der DSGVO veröffentlicht, die bis Ende Oktober zur öffentlichen Konsultation offenstehen.

Der Europäische Gerichtshof hat die Europäische Kommission angewiesen, einer Person, die in einer Pressemitteilung des Europäischen Amtes für Betrugsbekämpfung (OLAF) genannt wurde, eine Entschädigung in Höhe von 50.000 € zu zahlen.

Obwohl in der Pressemitteilung kein Name genannt wurde, ermöglichten Hinweise im Kontext die Identifizierung des Forschers. Der betreffende Fall, OC gegen Kommission [C-479/22 P], wurde im jüngsten Fall EDPS gegen SRB zitiert, der nun starke Reaktionen hinsichtlich des Umfangs der identifizierbaren Natur personenbezogener Daten hervorruft.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

In Deutschland urteilte das Bundesarbeitsgericht, dass ein Unternehmen die personenbezogenen Daten eines Mitarbeiters unrechtmäßig an die Muttergesellschaft weitergegeben hatte, um eine Software zur Personalverwaltung zu testen.

Diese Übermittlung konnte nicht durch ein berechtigtes Interesse gerechtfertigt werden, da fiktive Daten ausgereicht hätten. Das Gericht sprach dem Arbeitnehmer 200 € Schadensersatz für seelisches Leid zu.

In Österreich urteilte ein Gericht, dass das Auskunftsrecht einer betroffenen Person mit deren Tod erlischt und nicht auf einen Rechtsnachfolger übergeht. Das Gericht hob damit eine Entscheidung der Datenschutzbehörde auf, die eine Verletzung des Auskunftsrechts nach dem Tod der betroffenen Person im Beschwerdeverfahren betraf.

Die österreichische Verbraucherschutzorganisation VSV hat in Österreich und Deutschland eine Sammelklage gegen Meta eingereicht und fordert Schadensersatz in Höhe von bis zu 5.000 Euro für Personen über 18 Jahren. Die Klage betrifft Metas professionelle Tools, die laut VSV zur „illegalen Überwachung“ des Privatlebens von Nutzern eingesetzt werden.

Die belgische Datenschutzbehörde hat den Besitzer eines Studentenwohnheims mit einer Geldstrafe von 9.700 € belegt, weil er illegal ein Videoüberwachungssystem betrieben hatte, das weder zum Schutz des Eigentums noch zur Überwachung der Einhaltung der Hausordnung erforderlich war und für das kein berechtigtes Interesse oder die Durchführung des Mietvertrags gerechtfertigt war.

Die spanische Datenschutzbehörde (APD) hat gegen ein Unternehmen, das die von einer öffentlichen Behörde erhobenen personenbezogenen Daten von Selbstständigen ohne Rechtsgrundlage verarbeitet hat, eine Geldbuße in Höhe von 1.800.000 € verhängt.

Sie war der Ansicht, dass die spanische Steuerbehörde (AEAT) zwar rechtlich befugt sei, bestimmte Daten an die Handelskammer weiterzugeben, die anschließende Übermittlung an das Unternehmen Camerdata und die Verwendung dieser Daten für kommerzielle und Marketingzwecke jedoch keine gültige Rechtsgrundlage hätten.

Das von dem Unternehmen geltend gemachte berechtigte Interesse wog nicht die Risiken für die Rechte und Freiheiten der Arbeitnehmer auf, deren Daten offengelegt worden waren.

In Estland wurde das Pharmaunternehmen Allium UPI mit einer Geldstrafe von 3.000.000 € belegt, weil es keine angemessenen technischen und organisatorischen Maßnahmen, wie beispielsweise die Multi-Faktor-Authentifizierung, umgesetzt hatte, was zu einer Datenschutzverletzung führte, von der 750.000 Menschen, darunter Kinder und schutzbedürftige Gruppen, betroffen waren.

In Finnland verhängte die APD eine Geldstrafe von 1.800.000 € gegen eine Bank (S-Pankki Oyj), weil diese keine ausreichenden technischen und organisatorischen Maßnahmen im Zusammenhang mit einer neuen Anmeldefunktion in ihrer Anwendung umgesetzt hatte, was dazu führte, dass Kunden unbefugt auf die Konten anderer Kunden zugreifen konnten.

Die italienische Datenschutzbehörde (APD) entschied, dass Kundinnen das Recht haben, ihre Einwilligung zur Verwendung ihres Bildes in der Werbung eines Unternehmens zu widerrufen. Sie stellte klar, dass der Widerruf unabhängig von etwaigen negativen wirtschaftlichen Folgen für den Verantwortlichen möglich ist.

Mit der Abstimmung im Senat am 17. September ist Italien das erste europäische Land, das ein Gesetz zur künstlichen Intelligenz verabschiedet hat.

Nach der Festlegung des Rahmens allgemeiner Grundsätze widmet das Gesetz wichtigen Sektoren wie Arbeit, Gesundheit und Justiz besondere Aufmerksamkeit.

Es regelt auch die Nutzung von KI durch Minderjährige und enthält strafrechtliche Bestimmungen.

Die niederländische Datenschutzbehörde (DPA) führt derzeit in Zusammenarbeit mit den Datenschutzbehörden Italiens, Luxemburgs und Ungarns eine Untersuchung darüber durch, wie vernetzte Fernsehgeräte personenbezogene Daten verarbeiten.

Der Bericht weist insbesondere darauf hin, dass vernetzte Fernseher während der Installation, im täglichen Gebrauch, im Standby-Modus und sogar im ausgeschalteten Zustand eine erhebliche Datenmenge senden und dass sie in einem undurchsichtigen Internet-Ökosystem operieren, an dem verschiedene Parteien beteiligt sind: Hersteller, Betriebssystemanbieter, Anwendungsentwickler usw.

Er weist darauf hin, dass Nutzern oft keine andere Wahl bleibt, als Datenschutzrichtlinien zu akzeptieren, und dass es ihnen schwerfällt, die für die Datenverarbeitung Verantwortlichen zu identifizieren.

Vorinstallierte Anwendungen (die sich manchmal nicht entfernen lassen) werfen Fragen hinsichtlich Datenminimierung und Benutzerrechten auf.

Nach dem Start von Apertus AI, dem Schweizer Open-Source-Chat, ist ein weiteres bedeutendes Open-Source-Modell für maschinelles Lernen entstanden, das von einer öffentlichen Institution in Europa unterstützt wird: TildeOpen LLM.

Hierbei handelt es sich um ein fundamentales linguistisches Modell, das die Schwächen bestehender Sprachwissenschaftsmodelle in Bezug auf nordische und osteuropäische Sprachen, die derzeit unterrepräsentiert sind, ausgleichen soll.

Dieses 30 Milliarden Parameter umfassende Modell wurde mit Mitteln der Europäischen Kommission entwickelt und auf dem Supercomputer LUMI trainiert.

Diese beiden Modelle haben erklärt, dass sie die europäische Verordnung über KI erfüllen.

 

 

Die 47. Generalversammlung zum Thema Datenschutz, die im vergangenen September in Seoul stattfand, bekräftigte, dass Datenschutz und Datensicherheit entscheidende Themen sind, mit denen sich die Welt heute auseinandersetzen muss.

Die jährliche Veranstaltung bringt Regulierungsbehörden sowie Unternehmen und Organisationen aus aller Welt zusammen.

Zwanzig Datenschutzbehörden verabschiedeten bei dieser Gelegenheit eine gemeinsame Erklärung, um einen verlässlichen Governance-Rahmen für vertrauenswürdige KI zu schaffen.

Sie plädieren dafür, Datenschutzprinzipien bereits in der Entwurfsphase zu integrieren, eine solide Daten-Governance zu etablieren und das Risikomanagement vorausschauend zu gestalten.

Die Erklärung hebt zudem die zunehmende Komplexität der Datenverarbeitung in diesem Kontext hervor und unterstreicht die Vielfalt der beteiligten Akteure sowie die Notwendigkeit eines dem technologischen Fortschritt angepassten Regulierungsrahmens.

In den Vereinigten Staaten hat ein „Shutdown“ erhebliche Konsequenzen in Bezug auf den Datenschutz.

Einige Bundesbehörden sind nahezu vollständig stillgelegt, darunter die Federal Trade Commission (FTC), die Hauptbehörde, die für die Durchsetzung des Datenschutzes zuständig ist.

Innerhalb der FTC ist das Büro für Verbraucherschutz am stärksten von den erzwungenen Entlassungen betroffen.

Außer in Fällen, in denen der Schaden als extrem schwerwiegend eingestuft wird, werden Verbraucherschutzangelegenheiten ausgesetzt, unabhängig davon, ob es sich um Voruntersuchungen, Verwaltungsverfahren oder Klagen vor Bundesgerichten handelt.

US-Nutzer von ChatGPT Plus, Pro und Free können jetzt direkt über die Etsy-Verkaufsplattform einkaufen, und viele weitere Verkäufer werden in Kürze ebenfalls verfügbar sein.

Dies bedeutet für ChatGPT wie auch für andere agentenbasierte KI-Systeme, dass der Benutzer Dritten Zugriff auf seine persönlichen Daten, insbesondere auf Bankdaten, gewährt, mit allen damit verbundenen Problemen der Datensicherheit.