Entwicklungen im Datenrecht

Dass auf dem Gebiet des Datenschutzes und der Datennutzung auf nationaler, europäischer und internationaler Ebene derzeit viel Bewegung ist, zeigt die Zusammenfassung der aktuellen Entwicklungen im September:
EU Data Act anwendbar
Seit dem 12.09.2025 gilt der EU Data Act unmittelbar in allen Mitgliedstaaten. Er ist als EU-Verordnung ausgestaltet und soll Daten besser nutzbar machen. Hersteller von vernetzten Geräten (z. B. Smart-TVs, Autos, IoT-Devices) und Anbieter von Datenverarbeitungsdiensten (z. B. Cloud-Anbieter) müssen den Nutzern nun offenlegen, welche Daten von ihnen gesammelt werden und wie sie kostenlos darauf zugreifen können. Auch die Weitergabe der Daten an Dritte, etwa für Reparaturzwecke, soll erleichtert werden. Unternehmen sind verpflichtet, transparente Datenverträge zu gestalten und Cloud-Anbieter müssen Interoperabilität und Anbieterwechsel ermöglichen. Der Data Act schränkt jedoch nicht den personenbezogenen Datenschutz ein – vielmehr bleiben die Vorschriften der DSGVO maßgeblich. Bei der Weitergabe von Daten an Dritte ist dies, z. B. bei der vertraglichen Ausgestaltung der technisch-organisatorischen Maßnahmen, zu berücksichtigen. Unternehmen sollten bei der Vertragsgestaltung auch den Schutz von Geschäftsgeheimnissen im Blick behalten, z. B. durch entsprechende Geheimhaltungsvereinbarungen.
Neue EDSA-Leitlinien zum Zusammenspiel von DSGVO und DSA
Der Europäische Datenschutzausschuss (EDSA) hat am 12.09.2025 neue Leitlinien veröffentlicht, die das Zusammenspiel zwischen der Datenschutz-Grundverordnung (DSGVO) und dem Digital Services Act (DSA) erläutern. Sie bieten praktische Hinweise für Plattformen wie soziale Netzwerke, Marktplätze und App-Stores, die personenbezogene Daten verarbeiten. Ziel ist eine einheitliche Auslegung und Anwendung beider Regelwerke. Bis zum 31.10.2025 können Stellungnahmen zu den Leitlinien eingereicht werden. Den entsprechenden Link und die Leitlinien selbst finden Sie hier.
EuG bestätigt EU-US-Datentransferabkommen
Mit Urteil vom 03.09.2025 (Az. T-553/23) hat das Gericht der Europäischen Union (EuG) das EU-US Data Privacy Framework (DPF) bestätigt. Es erkennt ein angemessenes Datenschutzniveau in den USA an und weist Bedenken zur Unabhängigkeit des US-Datenschutzgerichts (DPRC) zurück. Damit besteht vorerst wieder mehr Rechtssicherheit für transatlantische Datenübermittlungen. Die EU-Kommission bleibt jedoch zur fortwährenden Prüfung der Verhältnisse in den USA verpflichtet.
Pläne zur Bündelung der Datenschutzaufsicht
Der Koalitionsvertrag sieht die Zentralisierung der Datenschutzaufsicht bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vor. Am 15.09.2025 haben das BMWE und das BMI dazu ein erstes Werkstattgespräch veranstaltet, an dem sich Wirtschaftsverbände, darunter die DIHK, beteiligt haben. Die Bündelung der Datenschutzaufsicht wird vom Großteil der Wirtschaft befürwortet, der sich dadurch eine einheitlichere Interpretation der DSGVO und des BDSG erhofft und damit ein höheres Maß an Rechtssicherheit. Teile der Wirtschaft betonten aber auch den Vorteil der Beibehaltung lokaler Ansprechpartner.
EuGH-Entscheidungen
  • EuGH v. 04.09.2025 (C-413/23 P) zu pseudonymisierten Daten:
    Der EuGH entschied, dass persönliche Meinungen per se einen Personenbezug aufweisen.
    Zudem fielen pseudonymisierte Daten nicht automatisch aus dem Schutzbereich der DSGVO heraus: Vielmehr gälten für den Verarbeiter, der sie re-identifizieren könne, dieselben Anforderungen wie für die Verarbeitung personenbezogener Daten.
  • EuGH v. 04.09.2025 (C-655/23) zum immateriellen Schadensersatz:

    Für einen Schadensersatzanspruch nach Art. 82 DSGVO können laut Urteil des EuGH bereits immaterielle Schäden in Form von negativen Gefühlen wie Ärger, Sorge oder Scham ausreichen. Dabei gibt es keine Bagatellgrenze. Der/die Betroffene muss jedoch die Kausalität zwischen Datenverstoß und immateriellem Schaden nachweisen.