Im zweiten Teil unserer Reihe zum „Recht auf Auskunft“ nach Art. 15 DSGVO wollen wir die derzeitigen Reformvorschläge der EU-Kommission (digitaler Omnibus) sowie einige aktuelle Urteile näher beleuchten. Digitaler Omnibus Über den digitalen Omnibus wird zurzeit kontrovers diskutiert. Nach Meinung einiger Rechtswissenschaftler*innen könnte gar ein Paradigmenwechsel im Datenschutzrecht bevorstehen. Auch beim Auskunftsrecht nach Art. 15 […]
EU-Kommission
Europas Cybersecurity-Paket 2026: Cybersicherheit in Bewegung
Am 20. Januar 2026 hat die EU-Kommission ein neues „Cybersecurity Package“ vorgelegt, das in seiner Stoßrichtung über klassische IT-Sicherheitsregulierung hinausgeht. Das Paket besteht im Wesentlichen aus zwei legislativen Strängen: einem Vorschlag zur Revision des EU Cybersecurity Acts (CSA) als Verordnung COM(2026) 11 – „Proposal for a Regulation for the EU Cybersecurity Act“, inklusive Annexes, und […]
Leitlinien des EDSA zum Zusammenspiel zwischen DMA und DSGVO – Einzelbetrachtung von Kernelementen
Der Europäische Datenschutzausschuss (EDSA) hat im Oktober 2025 gemeinsam mit der EU-Kommission Leitlinien zur einheitlichen Anwendung von DSGVO und Digital Markets Act (DMA) veröffentlicht. Wie in unserem Beitrag vom 18.12. angekündigt, erfolgt in diesem Beitrag eine nähere Betrachtung ausgewählter Kernelemente der EDSA-Leitlinien und ihrer Auswirkungen auf die Praxis. Hierbei ist darauf hinzuweisen, dass der DMA […]
Leitlinien des EDSA zum Zusammenspiel zwischen Digital Markets Act und DSGVO
Im Rahmen der europäischen Digitalstrategie gibt es häufige Berührungspunkte mit der DSGVO, die gerade in der Praxis Probleme bereiten, da nicht klar ist, wie zum Beispiel Pflichten aus dem Digital Markets Act (DMA) datenschutzkonform umgesetzt werden können. Nach Angaben des Europäischen Datenschutzausschusses (EDSA) schützen dabei sowohl die DSGVO als auch der DMA Einzelpersonen in der […]
Digitaler Omnibus der EU-Kommission – für alle was dabei?
Es ist ein wenig Ruhe eingekehrt, seitdem die Europäische Kommission im November ihre neuen Vorschläge ihrer europäischen Digitalstrategie vorgestellt hat. Der große Knall ist ausgeblieben. Vieles, was verkündet wurde, sickerte bereits im Vorfeld durch. Ob das Reformpaket, also die vorgeschlagenen Ideen zur Aktualisierung bestehender Vorschriften für Datenschutz, Datennutzung, künstliche Intelligenz und Cybersicherheit, gemäß des lateinischen […]
Verarbeitungsverzeichnis – Quo vadis?
„Müssen wir bald kein Verarbeitungsverzeichnis mehr führen?“ Diese Frage hatten wir hier im Blog im Juli 2025 gestellt. Damals hatte es erste Berichte über Pläne der EU-Kommission gegeben, Änderungen in der DSGVO bzgl. der Pflicht zur Führung eines Verarbeitungsverzeichnisses vorzunehmen. Auch ein geleakter Gesetzesentwurf war damals schon einsehbar. Aktuell gibt es erneut Berichte über Pläne […]
EU-Kommission wirft Meta und TikTok Verstöße gegen den Digital Services Act vor
Die Europäische Kommission hat gegenüber den Plattformbetreibern Meta (Facebook und Instagram) sowie TikTok vorläufige Verstöße gegen den Digital Services Act (DSA) festgestellt. Im Raum stehen mögliche Bußgelder in Milliardenhöhe. Nach § 74 Abs. 1 des DSA können diese bis zu sechs Prozent des weltweiten Jahresumsatzes betragen. Der DSA als zentraler Baustein für ein sicheres Online-Umfeld […]
Neue EU-Verordnung zu Transparenz und Targeting politischer Werbung – mehr Nachvollziehbarkeit im digitalen Wahlkampf
Seit dem 10. Oktober 2025 gilt in Deutschland die Verordnung (EU) 2024/900 über die Transparenz und das Targeting politischer Werbung (kurz: TTPW-VO). Mit dieser Verordnung verfolgt die Europäische Union das Ziel, politische Werbung in Europa transparenter und nachvollziehbarer zu gestalten. Damit harmonisiert die EU Transparenz- und Sorgfaltspflichten für den Bereich der politischen Kommunikation, insbesondere in […]
Müssen wir bald kein Verarbeitungsverzeichnis mehr führen?
Eine der Kernaufgaben im Datenschutzmanagement zur Umsetzung der DSGVO und gleichzeitig eine der aufwändigsten Aufgaben ist das Führen des Verarbeitungsverzeichnisses nach Art. 30 Abs. 1 DSGVO. In diesem Verzeichnis müssen Unternehmen und Behörden Geschäftsprozesse dokumentieren, in denen personenbezogene Daten verarbeitet werden. Dabei genügt nicht die bloße Auflistung der bestehenden Geschäftsprozesse, sondern es müssen zu jedem […]
Aktualisierung der Musterklauseln für die Beschaffung von KI
Während die EU-Standarddatenschutzklauseln (EU) 2021/914 für Datenübermittlungen in Drittländer (Art. 46 Abs. 2 lit. c DSGVO) hohe Bekanntheit genießen und auch die EU-Standardvertragsklauseln 2021/915 zwischen Verantwortlichen und Auftragsverarbeitern (Art. 28 Abs. 7 DSGVO) gelegentlich in der Praxis eingesetzt werden, hat die EU-Kommission nun eine Überarbeitung weniger bekannter Modellregelungen vorgenommen: Die Mustervertragsklauseln für die Beschaffung von […]
Lieferketten: Entbürokratisierung zu Lasten der Umwelt und Menschenrechte?
Im April 2024 wurde nach zähen Verhandlungen und zahlreichen Kompromissen zwischen den Mitgliedstaaten mit großer Mehrheit im EU-Parlament die europäische Lieferkettenrichtlinie (Corporate Sustainability Due Diligence Directive, CSDDD) verabschiedet. Im Juli 2024 trat die Richtlinie nach Zustimmung des EU-Rats formal in Kraft. Doch nicht einmal ein Jahr später plant die EU-Kommission die Anwendung der Richtlinie und […]
EU-US DPF: Sind unsere Daten in den USA in Gefahr?
Wer einen US-Dienstleister nutzt, muss damit rechnen, dass die Daten entweder auf Servern in den USA verarbeitet werden oder zumindest für US-Behörden zugänglich sind. Dabei sind zwei wesentliche Regelwerke zu beachten: Das EU-US Data Privacy Framework (DPF) und der CLOUD-Act. Der CLOUD-Act, den Präsident Trump 2018 in Kraft setzte, regelt den Datenzugriff von US-Strafverfolgungsbehörden auf Daten […]
HR Data und Non-HR Data im Rahmen des EU-US Data Privacy Frameworks – Was ist zu beachten?
Am 10. Juli 2023 war es endlich soweit: Die EU-Kommission veröffentlichte den lang ersehnten Angemessenheitsbeschluss für die USA. Damit wurde zumindest für die kommenden Jahre eine gewisse Rechtssicherheit für den Datentransfer aus der EU an Unternehmen und Organisationen mit Sitz in den USA geschaffen. Seit der Veröffentlichung dieser Entscheidung ist es wieder vereinfacht möglich, personenbezogene […]
Der Artificial Intelligence Act ist (fast) da
Für diejenigen, die beim Anblick von Kaffee kochenden Robotern unwillkürlich an Science-Fiction-Serien wie Kampfstern bzw. Battlestar Galactica denken, mag diese Szene Unbehagen hervorrufen. Es ist eine Sache, wenn Roboter programmiert werden, um Kaffee zu kochen, aber eine ganz andere, wenn sie sich diese Fähigkeit selbst beibringen. Angesichts der aktuellen Diskussionen über künstliche Intelligenz (KI) in […]
Abschaffung lästiger Cookie-Banner
Jeder Internetbenutzer kennt das Problem – man will schnell eine Webseite aufrufen, zuerst wird jedoch der Zugriff durch das nervige Einwilligungsbanner versperrt. Ursache hierfür ist der Einsatz sog. technisch nicht erforderlicher Cookies, die dazu führen, dass Daten des Betroffenen verarbeitet werden, obgleich sie nicht für das Funktionieren der Webseite essenziell sind. Daher fordert der Gesetzgeber […]