Am 13. November 2025 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C‑654/23 – „Inteligo Media“ für mehr Klarheit in der umstrittenen Frage gesorgt, unter welchen Voraussetzungen Unternehmen informative Newsletter mit werblichen Elementen ohne ausdrückliche Einwilligung versenden dürfen. Die Entscheidung betrifft nicht nur die Auslegung des Begriffs „Direktwerbung“ nach der ePrivacy-Richtlinie, sondern auch das Verhältnis […]
Januar 2026
Haftung für Drittanbieter-Cookies: Nicht nur der Website-Betreiber in der Verantwortung
Cookies – eine unendliche Geschichte. Spätestens seit DSGVO und TDDDG gilt: Ohne ausdrückliche Einwilligung geht bei nicht-essenziellen Cookies nichts. Diesmal im Fokus: die Frage, ob auch Drittanbieter haften, selbst wenn sie nicht Betreiber der Websitesind. Mit dieser Frage beschäftigte sich jüngst das Oberlandesgericht Frankfurt am Main (OLG Frankfurt) und hat mit seinem Urteil vom 11. […]
KRITIS-Dachgesetz: Überblick, parlamentarischer Stand und fachliche Kritik
Mit dem KRITIS-Dachgesetz setzt Deutschland die europäische CER-Richtlinie (EU 2022/2557) um (wir berichteten). Ziel ist es, die kritischen Einrichtungen gegenüber physischen, organisatorischen und hybriden Bedrohungen resilienter zu machen. Während die NIS-2-Umsetzung primär die Cybersicherheit adressiert, soll das KRITIS-Dachgesetz einen sektorübergreifenden Rahmen für physische und organisatorische Resilienz schaffen. Nach mehreren Entwurfsfassungen befindet sich das Gesetz nun […]
Datenschutz in der Schulsozialarbeit: Schweigepflicht gilt auch für Namen von Schüler*innen
Die Zusammenarbeit zwischen Lehrkräften, Schulleitung und Schulsozialarbeit ist ein zentraler Bestandteil schulischer Unterstützung. Gleichzeitig unterliegt diese Kooperation strengen datenschutzrechtlichen Vorgaben, insbesondere wenn Schülerinnen und Schüler personenbezogene oder besonders sensible Informationen offenbaren. Der zugrunde liegende Fall aus dem siebten Tätigkeitsbericht des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) verdeutlicht die rechtlichen Rahmenbedingungen und zeigt […]
Europas Cybersecurity-Paket 2026: Cybersicherheit in Bewegung
Am 20. Januar 2026 hat die EU-Kommission ein neues „Cybersecurity Package“ vorgelegt, das in seiner Stoßrichtung über klassische IT-Sicherheitsregulierung hinausgeht. Das Paket besteht im Wesentlichen aus zwei legislativen Strängen: einem Vorschlag zur Revision des EU Cybersecurity Acts (CSA) als Verordnung COM(2026) 11 – „Proposal for a Regulation for the EU Cybersecurity Act“, inklusive Annexes, und […]
Vertrauen ist gut, Kontrolle ist besser!
Dieser Leitsatz gilt ganz besonders beim Einsatz von Auftragsverarbeitern. Auch wenn externe Dienstleister gem. Art. 28 DSGVO zur Einhaltung des Auftragsverarbeitungsvertrags vertraglich verpflichtet sind, bedeutet das nicht, dass sich der Verantwortliche zurücklehnen kann. Letztlich sind es seine Daten, für die er Sorge zu tragen hat und Verantwortung übernehmen muss. Ein Urteil des Bundesgerichtshofs vom 11. […]
Mehr Beschwerden dank oder wegen KI?
Die KI-Systeme werden nicht nur immer beliebter, sondern hinsichtlich der Beantwortung von Anfragen bzw. der Interaktion mit Menschen vermeintlich auch immer besser. Mittlerweile sind auf den meisten Smartphones und mobilen Endgeräten die bekannten KI-Systeme mit entsprechenden Sprachmodellen von Meta AI, Google Gemini oder ChatGPT (OpenAI) integriert bzw. von den Nutzer*innen installiert worden. Ferner setzen die […]
Compliance-Lektionen aus Niedersachsen
Ein langjähriger Mitarbeiter der niedersächsischen Justizverwaltung soll nach Berichten des NDR über einen Zeitraum von fast neun Jahren hinweg öffentliche Gelder in Höhe von 1,4 Millionen Euro unrechtmäßigerweise abgeführt haben. Demnach sollen sich Unregelmäßigkeiten in Abrechnungen und Zahlungen über einen längeren Zeitraum angesammelt haben, bis sie im Zuge einer internen Prüfung im Jahr 2024 auffielen. […]
Schadensersatz wegen unzulässiger Verarbeitung biometrischer Daten während einer Prüfungsüberwachung
Über den Einsatz von Überwachungstools im Rahmen von Online-Prüfungen an Universitäten hatten wir vor allem während der Corona-Pandemie (hier) und auch im europäischen Ländervergleich berichtet (hier). Das Thüringer Oberlandesgericht (OLG) hat nun in seinem Urteil vom 13.10.2025 (Az.: 3 U 885/24) entschieden, dass die Verarbeitung biometrischer Daten im Rahmen von Online-Prüfungen ohne ausdrückliche Einwilligung der […]
§ 5c EnWG: Neuerungen für Strom- und Gasnetzbetreiber sowie Energieanlagenbetreiber
Das NIS-2-Umsetzungsgesetz, das im Dezember 2025 in Kraft getreten ist, hatte als Artikelgesetz Auswirkungen auf verschiedene andere Gesetze. Für das Energiewirtschaftsgesetz (EnWG) ergaben sich die Neuerungen aus Artikel 17. Mit der Novellierung des EnWG gibt es für Strom- und Gasnetzbetreiber, Energieanlagenbetreiber sowie akkreditierte Zertifizierungsstellen wichtige Änderungen, denn die vormaligen Regelungen aus § 11 Abs. 1a–1g […]
Neuer Dienst zur Einwilligungsverwaltung gem. § 26 TDDDG jetzt verfügbar
Über die Consentbanner-Flut, die damit verbundene Click-Fatigue und Dienste zur Einwilligungsverwaltung gem. § 26 Telekommunikations-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) sowie die damit verbundenen rechtlichen Herausforderungen hatten wir zuletzt in unserem Blog hier berichtet. Mittlerweile hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) den ersten Dienst zur Einwilligungsverwaltung anerkannt und in das offizielle Register aufgenommen. Das Register der […]
NIS-2 in Deutschland – ein neuer Ordnungsrahmen für Informationssicherheit
Mit dem NIS-2-Umsetzungsgesetz und der Novellierung des BSI-Gesetzes (BSIG) ist die NIS-2-Richtlinie seit dem 06.12.2025 in deutsches Recht überführt. Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ wurde am 13.11.2025 vom Bundestag beschlossen, am 21.11.2025 durch den Bundesrat gebilligt und am 05.12.2025 im Bundesgesetzblatt verkündet. Damit wandelt […]
Die KI-VO – mehr Regulierung, weniger Orientierung? Was ist verboten?
In der europäischen Wirtschaft wird die relativ neue KI-Verordnung viel diskutiert. Viele Unternehmen kritisieren, dass die Regeln kompliziert und schwer verständlich seien. Ein Blick in den Verordnungstext, insbesondere in Artikel 5 Absatz 1, zeigt, warum diese Kritik aufkommt. Der Text ist komplex und juristisch formuliert, was für Laien oft wie ein Buch mit sieben Siegeln […]
Verwendung von Benutzernamen: Schadensersatz und Datensparsamkeit
Handelt es sich bei einem Benutzernamen, der im Onlinekontext verwendet wird, um ein personenbezogenes Datum? Mit dieser Frage hat sich das Oberlandesgericht (OLG) Frankfurt im Zusammenhang mit einer Schadensersatzforderung gegen den Betreiber des sozialen Netzwerks Facebook befasst (OLG Frankfurt, Urteil vom 09.05.2025, Az.: 6 U 53/24). Konkret ging es um die Veröffentlichung von Informationen aus […]
Leitlinien des EDSA zum Zusammenspiel zwischen DMA und DSGVO – Einzelbetrachtung von Kernelementen
Der Europäische Datenschutzausschuss (EDSA) hat im Oktober 2025 gemeinsam mit der EU-Kommission Leitlinien zur einheitlichen Anwendung von DSGVO und Digital Markets Act (DMA) veröffentlicht. Wie in unserem Beitrag vom 18.12. angekündigt, erfolgt in diesem Beitrag eine nähere Betrachtung ausgewählter Kernelemente der EDSA-Leitlinien und ihrer Auswirkungen auf die Praxis. Hierbei ist darauf hinzuweisen, dass der DMA […]
1 2