Der Oktober bringt eine Fülle an datenschutzrechtlichen Neuerungen, die Unternehmen in Deutschland und der EU direkt betreffen. Mit dem Inkrafttreten des EU-Data Act, mehreren richtungsweisenden Urteilen des Europäischen Gerichtshofs (EuGH) und neuen Bußgeldern gegen internationale Tech-Konzerne wird deutlich: Datenschutz bleibt ein dynamisches und komplexes Feld.
1. Der EU-Data Act: Mehr Datenzugang, neue Pflichten
Seit dem 12. September 2025 gilt die Verordnung (EU) 2023/2854 – der sogenannte Data Act. Ziel ist es, die Nutzung von Daten aus vernetzten Produkten und Dienstleistungen zu erleichtern und die Datensouveränität zu stärken. Unternehmen müssen künftig:
- auch nicht-personenbezogene Daten teilen,
- neue Vertragstypen wie den Datennutzungsvertrag und den Bereitstellungsvertrag implementieren,
- Schnittstellen für den Datenzugang bereitstellen,
- Geschäftsgeheimnisse kennzeichnen und schützen.
In Deutschland liegt bislang nur ein Referentenentwurf zur Umsetzung vor – konkrete Sanktionen und Zuständigkeiten sind noch offen.
2. Thema des Monats: Mitarbeiterexzess und Zweckbindung
Auch bei internen Datenschutzverstößen besteht Handlungsbedarf. Der Newsletter thematisiert den sogenannten Mitarbeiterexzess – etwa wenn Beschäftigte aus Neugier auf Daten zugreifen, die sie dienstlich nicht benötigen. Solche Handlungen verstoßen gegen die Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO. Unternehmen müssen klären:
- Wann wird das Verhalten dem Unternehmen zugerechnet?
- Wer haftet im Fall eines Datenschutzverstoßes?
3. EuGH-Urteile: Pseudonymisierung, Unterlassung und USA-Datenübermittlung
a) Pseudonymisierte Daten bleiben personenbezogen
Der EuGH stellt klar: Auch pseudonymisierte Daten können personenbezogen bleiben, wenn der Empfänger über Mittel zur Re-Identifizierung verfügt. Unternehmen müssen daher auch bei pseudonymisierten Daten die Informationspflichten nach Art. 13 DSGVO beachten.
b) Kein DSGVO-Unterlassungsanspruch ohne Löschantrag
Ein Unterlassungsanspruch gegen zukünftige DSGVO-Verstöße besteht nicht automatisch. Nationale Regelungen können solche Ansprüche jedoch ermöglichen.
c) Datenübermittlung in die USA bleibt zulässig
Der EuGH bestätigt den Angemessenheitsbeschluss der EU-Kommission vom Juli 2023. Die Kritik an der Unabhängigkeit des US-Datenschutzgerichts (DPRC) wurde zurückgewiesen.
4. BGH: Kein Schadensersatz bei hypothetischem Risiko
Der BGH entschied, dass ein hypothetisches Risiko der missbräuchlichen Datenverwendung keinen Schadensersatzanspruch nach Art. 82 DSGVO begründet. Es bedarf eines nachweisbaren immateriellen Schadens und eines Kausalzusammenhangs zum Verstoß.
5. Weitere Urteile und Entwicklungen
- OLG München: E-Mail-Hosting-Anbieter müssen keine Auskunft über Nutzerdaten geben – sie fallen nicht unter das TDDDG.
- LG Lübeck: Legt dem EuGH Fragen zur Datenübermittlung an die SCHUFA vor – insbesondere zur Verwendung von Positivdaten und deren Einfluss auf Score-Werte.
- Datenschutzaufsichtsbehörden: Kritik an der geplanten Übertragung der KI-Kontrolle an die Bundesnetzagentur – Grundrechtsschutz müsse gewahrt bleiben.
- Microsoft: Neue Datenschutzdokumente für MS365 im Service Trust Portal veröffentlicht – inklusive Toolkits und Mustertexte.
- Frankreich: Bußgelder gegen Google (325 Mio. €) und Shein (150 Mio. €) wegen Cookie-Verstößen und Inbox-Werbung ohne Einwilligung.
Call-to-Action: Was Unternehmen jetzt tun sollten
🔍 Prüfen Sie, ob Ihr Unternehmen vom Data Act betroffen ist – insbesondere bei vernetzten Produkten und digitalen Dienstleistungen.
📑 Aktualisieren Sie Ihre Datenschutzkonzepte, insbesondere im Hinblick auf Mitarbeiterzugriffe und interne Compliance.
📚 Informieren Sie sich regelmäßig über neue Urteile und regulatorische Entwicklungen – z. B. durch Newsletter wie den von .
🛡️ Sichern Sie sich rechtlich ab, indem Sie Ihre Verträge, Datenschutzerklärungen und technischen Maßnahmen auf den neuesten Stand bringen.
