News & Fachbeiträge
Unsere kurzen Fachbeiträge bieten klare Einblicke in komplexe Themen. Informieren Sie sich hier in Kürze über Gesetzesänderungen, Urteile und Praktiken im Datenschutz.
Aktuelles aus der Datenschutzwelt
Neue EDPS‑Guidance zur Risikosteuerung von KI‑Systemen
Am 11. November 2025 hat der Europäische Datenschutzbeauftragte (EDPS) die Guidance for Risk Management of Artificial Intelligence Systems veröffentlicht, die praktische Empfehlungen zur Identifikation, Bewertung und Minderung technischer Risiken bei der Nutzung von künstlicher Intelligenz bietet. Diese Guidance richtet sich in erster Linie an EU‑Institutionen, Körperschaften, Ämter und Agenturen (EUIs), die als verantwortliche Stellen KI‑gestützte Systeme entwickeln, beschaffen oder einsetzen. Sie verfolgt das Ziel, Risiken nicht nur für personenbezogene Daten, sondern auch für grundlegende Rechte und Freiheiten systematisch zu adressieren und Datenverantwortliche bei der rechtskonformen Steuerung und Überwachung von KI‑Prozessen zu unterstützen. Die Veröffentlichung erfolgt in Ausübung der datenschutzrechtlichen Aufsichtskompetenz des EDPS und steht in engem methodischen Zusammenhang mit etablierten Risikomanagementstandards wie der ISO 31000:2018, ist jedoch rechtlich eigenständig und unabhängig von anderen europäischen Regelwerken wie dem EU AI Act.
EuGH-Urteil zu Werbe-E-Mails ohne Einwilligung (C-654/23)
Der Europäische Gerichtshof hat im Rechtssache C-654/23 am 13. November 2025 ein wegweisendes Urteil zur Zulässigkeit von Newsletter-Versand ohne vorherige Einwilligung gefällt. Die Entscheidung klärt das Verhältnis zwischen DSGVO und ePrivacy-Richtlinie und präzisiert die Voraussetzungen, unter denen elektronische Direktwerbung auch ohne eine ausdrückliche Einwilligung zulässig ist. Das Urteil ist für Unternehmen relevant, die im Rahmen einer bestehenden Kundenbeziehung Newsletter oder werbliche Informationsangebote versenden. Die Grundsätze der unzulässigen Direktwerbung bleiben davon unberührt, ebenso wie die Pflicht zur eindeutigen Einwilligung in Fällen ohne Kundenbezug.
Digital Omnibus und neue EU-Digitalregulierung
Die Europäische Union treibt die Digitalisierung des Binnenmarktes konsequent voran und ergänzt bestehende Regelwerke mit neuen Vorschriften, die Transparenz, Verbraucherschutz und Datenverantwortung stärken sollen. Der sogenannte Digital Omnibus ist ein Rahmenwerk, das Unternehmen verpflichtet, bestimmte Datenverarbeitungen nachvollziehbar zu dokumentieren und den Betroffenen umfassendere Rechte einzuräumen. Aufbauend auf der DSGVO, der ePrivacy-Richtlinie und dem Digital Services Act (DSA) erweitert der Digital Omnibus die bestehenden Pflichten um spezielle Berichtspflichten, Informationspflichten und Prüfmechanismen. Die Zielsetzung ist eine höhere Rechtssicherheit, ein harmonisierter Binnenmarkt für digitale Dienste und ein gestärktes Vertrauen der Verbraucherinnen und Verbraucher in digitale Produkte und Plattformen.
Elektronische Patientenakte (ePA) für alle gesetzlich Versicherten
Seit dem 1. Oktober 2025 ist die Nutzung der elektronischen Patientenakte (ePA) für alle gesetzlich Versicherten verpflichtend. Ziel der ePA ist es, medizinische Daten zentral, digital und interoperabel verfügbar zu machen, um die Qualität der Patientenversorgung zu erhöhen, Doppeluntersuchungen zu vermeiden und die Kommunikation zwischen Ärzten, Krankenhäusern, Apotheken und weiteren Leistungserbringern zu verbessern. Darüber hinaus eröffnet die ePA neue Möglichkeiten für eine datenbasierte Versorgung, Versorgungsforschung und Qualitätskontrolle, während gleichzeitig der Datenschutz und die Datensicherheit im Gesundheitswesen höchste Priorität genießen. Für Unternehmen im Gesundheitssektor sowie IT-Dienstleister ergeben sich umfassende organisatorische und technische Anpassungen, die frühzeitig geplant und umgesetzt werden müssen.
EU & Brasilien – auf dem Weg zum Angemessenheitsbeschluss
Die Europäische Kommission hat im Herbst 2025 den Entwurf eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO für Brasilien veröffentlicht. Das südamerikanische Land verfügt mit der Lei Geral de Proteção de Dados (LGPD) über ein Datenschutzgesetz, das sich in Struktur und Systematik eng an den Anforderungen der DSGVO orientiert. Brasilien ist zudem ein zentraler Akteur in der globalen Digitalwirtschaft, weshalb dieser Beschluss für viele Unternehmen unmittelbare praktische Relevanz hätte.
Gerichtsurteil: Keine Entschädigung für „hypothetische Schäden“ – Was bedeutet das für Betroffene und Unternehmen?
Das Urteil markiert eine klare Zäsur: Ein bloßer DSGVO-Verstoß begründet noch keinen Schadenersatzanspruch – es braucht einen nachweisbaren, konkreten Schaden. Für Betroffene bedeutet das eine höhere Hürde bei der Durchsetzung ihrer Rechte, für Unternehmen hingegen mehr Sicherheit vor rein hypothetischen Klagen. Die Balance zwischen effektivem Rechtsschutz und Vermeidung von Missbrauch bleibt damit ein kontroverses Thema. Klar ist aber: Während die Schwelle für private Entschädigungsansprüche steigt, bleiben die Anforderungen an Datenschutz und Compliance unverändert hoch. Unternehmen sind gut beraten, weiterhin auf konsequente Rechtskonformität zu setzen – nicht nur wegen möglicher Klagen, sondern vor allem im Hinblick auf die Aufsichtsbehörden, deren Eingriffsbefugnisse vom Urteil unberührt bleiben.
Aufsicht im Visier: Datenschutzbehörden nehmen kleine Unternehmen stärker ins Visier
Einleitung Während die Datenschutzaufsicht in den letzten Jahren vorrangig international agierende Großunternehmen ins Visier genommen hat, zeigt sich im Jahr 2025 ein klarer Perspektivwechsel. Zunehmend geraten auch kleine und mittlere
KI & Datenschutz: Die neue Orientierungshilfe der DSK bringt Klarheit
Künstliche Intelligenz (KI) verändert nicht nur Geschäftsmodelle, sondern auch Prozesse, Entscheidungsstrukturen und das Verhältnis zwischen Mensch und Maschine. Mit der rasanten Verbreitung von KI-Systemen – insbesondere durch generative Modelle wie Chatbots oder Sprachgeneratoren – rücken Fragen des Datenschutzes immer stärker in den Fokus. Unternehmen, Entwickler:innen und Behörden stehen vor der Herausforderung, innovative Systeme rechtskonform und verantwortungsvoll zu gestalten.
Die im Juni 2025 veröffentlichte Orientierungshilfe der Datenschutzkonferenz (DSK) setzt genau hier an: Sie bietet eine strukturierte, praxisnahe Anleitung für die datenschutzkonforme Umsetzung von KI-Systemen – vom ersten Konzept bis zum laufenden Betrieb.
NIS2-Umsetzungsgesetz verzögert sich – Handlungsbedarf für Unternehmen bleibt bestehen
Einordnung: Relevanz der NIS2-Richtlinie Mit der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (kurz: NIS2) verfolgt die Europäische Union das Ziel, die Widerstandsfähigkeit gegenüber
