Bundestagspräsidentin Julia Klöckner hat den ukrainischen Präsidenten Wolodymyr Selenskyj am Montag, 15. Dezember, zu einem Gespräch im Reichstagsgebäude empfangen. Die Ankündigung Selenskyjs, Wege für die Durchführung von Wahlen in der Ukraine zu eröffnen, sendet für die Bundestagspräsidentin das "klare Signal, dass sein Land selbst unter den extremen Belastungen des Krieges an rechtsstaatlichen Verfahren und demokratischer Verantwortung festhalten will".

Im Deutschen Bundestag hat Bundestagspräsidentin Julia Klöckner heute den ukrainischen Präsidenten, Wolodymyr Selenskyj, zu einem Gespräch empfangen. Die beiden Politiker hatten sich an gleicher Stelle bereits im Mai dieses Jahres ausgetauscht. Im Mittelpunkt des jetzigen Treffens stand das Thema von Neuwahlen in der Ukraine – der ukrainische Präsident hatte sich unter bestimmten Bedingungen dafür offen gezeigt. Julia Klöckner: „Es ist ein beeindruckendes Zeugnis demokratischer Standhaftigkeit und politischer Selbstbehauptung, wie das ukrainische Parlament selbst unter den Bedingungen des Krieges weiter tagt, debattiert und entscheidet. Auch wir als Deutscher Bundestag leisten mit materieller Unterstützung einen Beitrag dazu, die Arbeitsfähigkeit der Werchowna Rada zu sichern. Die nun erfolgte Ankündigung von Präsident Selenskyi, Wege für die Durchführung von Wahlen zu eröffnen, unterstreicht die Entschlossenheit der Ukraine, ihre demokratische Ordnung zu bewahren. Der Präsident sendet damit das klare Signal, dass sein Land selbst unter den extremen Belastungen des Krieges an rechtsstaatlichen Verfahren und demokratischer Verantwortung festhalten will. Zugleich ist unbestreitbar, dass Wahlen im Kriegszustand enorme Herausforderungen mit sich bringen. Die Bereitschaft, sich diesen dennoch zu stellen, verdeutlicht abermals: Die Ukraine verteidigt in diesem Krieg nicht nur ihr eigenes Territorium, sondern auch zentrale Prinzipien unseres gemeinsamen Wertefundaments. Ein starker, souveräner und demokratischer ukrainischer Staat ist Voraussetzung auch für die Stabilität und Sicherheit in Deutschland und Europa. Jeden Friedensvorschlag werden wir daher daran messen, ob er die Souveränität und Freiheit der Ukraine schützt. Ich rufe alle Partner auf: Stehen wir weiter fest an der Seite der Ukraine – nicht zögerlich, sondern entschlossen.“ Im Rahmen des Treffens kündigte die Bundestagspräsidentin an, kommendes Jahr in die Ukraine reisen zu wollen.

Zunächst war vieles unklar, nun wird immer mehr über die mutmaßlichen Pläne für einen Anschlag in Niederbayern bekannt. An einer Stelle widersprechen sich Generalstaatsanwaltschaft und Innenminister.

Weiterlesen

Nach monatelangen Ermittlungen heißt es, Südkoreas Ex-Präsident habe sein Ende 2024 ausgerufenes Kriegsrecht schon länger geplant – und wollte dafür wohl auch eine militärische Krise anzetteln.

Weiterlesen

AfD-Mann Matthias Moosdorf soll einen Parteikollegen im Reichstagsgebäude mit Hitlergruß und schneidigem "Hackenschlag" begrüßt haben. Die Staatsanwaltschaft erhebt nun Anklage, nachdem der Bundestag Moosdorfs Immunität aufgehoben hat.

Das Jahr 2025 war geprägt von dynamischen Entwicklungen im europäischen und deutschen Datenschutzrecht. Neue gesetzliche Initiativen und regulatorische Anpassungen, insbesondere im Bereich der EU-Digitalregulierung und der Nutzung von Künstlicher Intelligenz (KI), haben die datenschutzrechtlichen Rahmenbedingungen maßgeblich verändert. Auch die nationale Gesetzgebung und die politischen Neuerungen in Deutschland stellen die Weichen Richtung Datenökonomie. 

Dieser Beitrag beleuchtet die wichtigsten Entwicklungen des vergangenen Jahres.

Neues zur EU-Digitalregulierung

Im November dieses Jahres hat die Europäische Kommission ihren sog. „Digital Omnibus“-Entwurf veröffentlicht. Dieser zielt darauf ab, das System der europäischen Digitalregulierung u.a. im Hinblick auf die Rahmenwerke zu Daten, KI, Cybersicherheit und Plattformen zu vereinfachen, ohne die Schutzmaßnahmen zu verringern. Änderungen sind u.a. mit Blick auf die EU Datenschutz-Grundverordnung (DSGVO), den Data Governance Act und die KI-Verordnung zu erwarten. Unter anderem soll die seit dem 2. Februar 2025 geltende Pflicht von Anbietern bzw. Betreibern zur Vermittlung von KI-Kompetenz gegenüber in ihrem Auftrag KI-Systeme nutzende Personen entfallen. Stattdessen sollen die EU-Kommission und die Mitgliedsstaaten diese Verantwortung im Sinne einer gesamtpolitischen Aufgabe tragen. 

Zudem soll die Anwendbarkeit der Vorschriften zu wichtigen Transparenzpflichten für Anbieter und Betreiber von KI-Systemen mit geringem Risiko und zu Hochrisiko-KI-Systemen zeitlich nach hinten verlegt werden. Diese Fristen laufen im Jahr 2026 (mehr dazu erfahren Sie hier: KI-Verordnung – neue Übergangsfristen und deutsche Marktaufsicht).

Data Act seit dem 12. September 2025 anwendbar

Seit dem 12. September 2025 gelten die Pflichten des Data Act verbindlich. Der Data Act soll einen umfassenden Rechtsrahmen schaffen, der den Zugang zu und die Nutzung von Daten unionsweit harmonisiert. Unter anderem haben Nutzer* von IoT-Produkten einen Anspruch auf Zugriff auf die durch die Nutzung ihrer Produkte und Services erzeugten Daten. 

Die EU-Kommission hat im Jahr 2025 außerdem den Abschlussbericht der Expertengruppe zum B2B-Datenaustausch und zu Cloud-Computing-Verträgen veröffentlicht („Final Report of the Expert Group on B2B data sharing and cloud computing contracts“). Besonders relevant sind hier die nicht-bindenden Mustervertragsklauseln (MCT) für verschiedene Szenarien (z.B. Dateninhaber an Nutzer) und die Standardvertragsklauseln (SCC) der Kommission für die wesentlichen Aspekte von Cloud-Computing-Verträgen (z.B. Wechsel und Kündigung) nach Art. 41 Data Act, die nun öffentlich verfügbar sind.

In Deutschland befinden sich die nationalen Gesetze zur Durchführung im Entwurfsstadium (Datenverordnung-Anwendungs-und-Durchsetzungs-Gesetz (DADG)). Die Bundesnetzagentur (BNetzA) soll dabei zentrale Aufsichtsbehörde für die Anwendung und Durchsetzung des Data Act sein. Auch zu anderen weiteren Daten-Themen möchte die in diesem Jahr neu gewählte Regierung aus CDU/CSU und SPD tätig werden.

Datenschutz und -nutzung unter der in diesem Jahr neu gewählten Bundesregierung

Am 9. April 2025 wurde der Koalitionsvertrag  bekannt, der einige Ausführungen zum Datenschutz und zur Datennutzung enthält: Die Koalitionsparteien setzen sich eine Entbürokratisierung und Reform des Datenschutzes zum Ziel. Zugleich soll die Datennutzung nach dem BDSG zugunsten von Innovation und Forschung vereinfacht werden. Auch die bereits von der EU angestrebte Daten-Ökonomie fand ihren Weg in den Koalitionsvertrag: Um einen starken Digitalstandort zu schaffen, sollen eine „Kultur der Datennutzung und des Datenteilens“ etabliert und Datenschätze gehoben werden. Sofern sachgemäß stellt der Koalitionsvertrag in Aussicht, dass eine Grundlage geschaffen werde, um Regelwerke in einem Datengesetzbuch zusammenzufassen.

KI weiter Top-Thema

Auch das Thema KI hat sich die 2025 gewählte Bundesregierung auf die Fahnen geschrieben. Sie möchte Deutschland zur „KI-Nation“ machen und ins Zentrum ihrer wirtschafts- und technologiepolitischen Strategie rücken. Geplant seien u.a. massive Investitionen, eine nationale Gigafactory sowie der Aufbau von Reallaboren. Zwar möchte die Bundesregierung auf Innovationsoffenheit setzen, gleichzeitig bestehen bei dem Einsatz von KI datenschutzrechtliche Vorgaben, die es zu berücksichtigen gilt, insbesondere in Bereichen, in denen sensible Daten betroffen sind. Die finale Umsetzung bleibt abzuwarten. 

Zum Thema KI wird auch der Gesetzgeber tätig. Am 12. September 2025 ist z.B. der Entwurf für ein „KI-Marktüberwachungs- und Innovationsförderungsgesetz“ (KI-MIG) erschienen. Dieser knüpft an einen Entwurf aus dem letzten Jahr an. Das KI-MIG gibt Hinweise, wie Deutschland die Aufsichtsstruktur und die Behördenorganisation zur Umsetzung der KI-Verordnung gestalten könnte. Für alle Bereiche ohne bestehende oder gesetzlich zugewiesene Aufsichtsbehörde, wird die BNetzA die zuständige Marktüberwachungsbehörde und notifizierende Behörde. Zudem sind Vorschriften zur Zusammenarbeit und Kooperation der zuständigen Marktaufsichtsbehörden und die Beteiligung weiterer Behörden vorgesehen. Dies betrifft u.a. insbesondere die nationalen Datenschutzbehörden. Diese sehen das Gesetzesvorhaben kritisch und äußern dies in diversen Pressemitteilungen: Hier beispielhaft die Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit.

Doch nicht nur Bundesregierung und Gesetzgeber treibt das Thema KI um. Wie schon in den Vorjahrenbewegt der Einsatz von KI die gesamte Datenschutzszene. Aus den Datenschutzbehörden bekommen Verantwortliche hierzu allerlei Leitlinien und Hilfsmittel an die Hand.

Leitlinien für das Risikomanagement von Systemen mit KI

Zum Schutz personenbezogener Daten hat der Europäische Datenschutzbeauftragte European Data Protection Supervisor (EDPS)) am 11. November 2025 Leitlinien für das Risikomanagement von Systemen mit KI veröffentlicht. Die Leitlinien sollen Einblicke und praktische Empfehlungen bieten, damit häufige technische Risiken im Zusammenhang mit KI-Systemen identifiziert und gemildert werden können. Die Leitlinien des EDPS bieten eine Checkliste für jede Phase im KI-Entwicklungszyklus.

Orientierungshilfe zu datenschutzrechtlichen Besonderheiten generativer KI-Systeme mit RAG-Methode

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat Version 1.0 ihrer Orientierungshilfe zu datenschutzrechtlichen Besonderheiten generativer KI-Systeme mit Retrieval Augmented Generation (RAG)-Methode veröffentlicht. RAG-Systeme kombinieren große Sprachmodelle mit gezieltem Zugriff auf eigene Wissensquellen, um kontextbezogene Antworten zu liefern und die Genauigkeit sowie Verlässlichkeit des KI-Outputs zu erhöhen, z.B. unternehmensinterne Chatbots, die auf aktuelle Geschäftsdaten zugreifen. Unternehmen und Behörden können hiermit die Vorteile moderner KI nutzen und gleichzeitig Risiken für die Betroffenenrechte verringern, sofern Transparenz, Zweckbindung und Betroffenenrechte gewahrt bleiben. Datenschutzrechtliche Herausforderungen wie Transparenz und die Bewertung einzelner Verarbeitungen bleiben jedoch bestehen und erfordern laufende technische und organisatorische Maßnahmen (TOM).

KI und Datenschutz vor dem OLG Köln: Training von KI mit Nutzerdaten zulässig

Auch vor den Gerichten spielt das Thema KI bereits eine wichtige Rolle. Im Mai dieses Jahres hat z.B. das OLG Köln im Eilverfahren eine wichtige Entscheidung zum Thema KI-Training und Datenschutz getroffen (OLG Köln, Urteil vom 23. Mai 2025 – 15 UKl 2/25). In dem Verfahren wies das OLG einen Antrag der Verbraucherzentrale NRW zurück, der Meta die angekündigte Nutzung öffentlich geteilter Facebook- und Instagram-Daten volljähriger Nutzer zum Training eines Large-Language-Modells (LLM) untersagen sollte. Die Verbraucherzentrale monierte u.a. Verstöße gegen die DSGVO sowie gegen das Verbot der Datenzusammenführung gemäß Art. 5 Abs. 2 lit. b) Digital Markets Act (DMA) und verlangte Unterlassung. Das OLG Köln wies den Antrag zurück und hielt die Datenverarbeitung insbesondere wegen des Verfolgens eines legitimen Zwecks nach Art. 6 Abs. 1 Unterabs. 1 lit. f) DSGVO für zulässig.

Das Jahr 2025 hielt weitere wichtige Entscheidungen aus der Rechtsprechung zum Datenschutz bereit

Die nationalen und internationalen Gerichte haben sich im Jahr 2025 wieder umfangreich mit der DSGVObefasst und in vielen relevanten Verfahren Entscheidungen gefällt. Nicht jedes Verfahren kam jedoch damit schon zu einem Abschluss. Nachdem das Gericht der Europäischen Union (EuG) die Klage auf Nichtigerklärung des EU-Angemessenheitsbeschlusses zur Übermittlung personenbezogener Daten zwischen der EU und den USA mit Entscheidung vom 3. September 2025 (T-553/23) abwies und bestätigte, dass die USA zum Zeitpunkt des Beschlusses ein angemessenes Datenschutzniveau gewährleisteten, steht nun fest, dass in der Sache der Gerichtshof der Europäischen Union (EuGH) entscheiden wird. Der EU-Abgeordnete und Kläger in der Sache Latombe hat Rechtsmittel zum EuGH gegen die Entscheidung des EuG eingelegt. Die Rechtssache Latombe ./. Kommission ist nun unter dem Aktenzeichen C-703/25 P beim EuGH anhängig. Bemerkenswert an der Entscheidung des EuG ist, dass das Gericht nicht über die Zulässigkeit, namentlich die Klagebefugnis des Klägers, entschieden, sondern diese Frage ausdrücklich offen gelassen und ausschließlich zur Begründetheit der Klage entschieden hat. Die Klagebefugnis ist in diesem Verfahren fraglich, da hier eine Einzelperson gegen einen Angemessenheitsbeschluss vorgeht. Der Datentransfer in die USA bleibt damit ein Dauerbrenner und die Entscheidung des EuGH in der Sache (hinsichtlich Zulässigkeit und Begründetheit der Klage) abzuwarten.

EuGH präzisiert Begriff der personenbezogenen Daten

In der Rechtssache C-413/23 P hat der EuGH Anfang September dieses Jahres den Begriff der personenbezogenen Daten im Zusammenhang mit der Übermittlung pseudonymisierter Daten an Dritte präzisiert. Der EuGH stellte in der Entscheidung klar, dass pseudonymisierte Daten nicht automatisch für alle Empfänger als personenbezogen gelten. Die Einordnung hänge vielmehr davon ab, ob Dritte den Betroffenen mit vertretbarem Aufwand identifizieren können. Maßgebliche Perspektive für die Beurteilung der Identifizierbarkeit sei dabei die der datenverarbeitenden Stelle zum Zeitpunkt der Datenerhebung, wobei stets die Umstände im Einzelfall zu beachten bleiben.

Verantwortlichkeit des Betreibers einer Online-Marktplatz-Website im Sinne des Art. 4 Nr. 7 DSGVO

Besonders beachtenswert ist das Urteil des EuGH vom 2. Dezember 2025 (C-492/23). In diesem hat der EuGH entschieden, dass der Betreiber einer Online-Marktplatz-Website für die Verarbeitung von personenbezogenen Daten verantwortlich ist, die in den auf seiner Plattform veröffentlichten Anzeigen enthalten sind. Den Verantwortlichen treffe insbesondere auch vor der Veröffentlichung die Pflicht, jene Anzeigen zu identifizieren, die sensible Daten enthalten, und zu überprüfen, ob der Inserent wirklich mit der Person übereinstimmt, deren Daten in der Anzeige enthalten sind, oder ob dieser über die ausdrückliche Einwilligung der betroffenen Person verfügt. Liegt eine solche Einwilligung nicht vor, ist die Veröffentlichung der Anzeige zu verweigern. Die genannten Pflichten sind dem EuGH zufolge durch geeignete TOM zu gewährleisten. 

Diese Entscheidung des EuGH hat weitreichende Bedeutung für Betreiber von Online-Marktplätzen, da es ihre datenschutzrechtlichen Pflichten erheblich ausweitet und klare Vorgaben für den Umgang mit (sensiblen) personenbezogenen Daten macht. Damit setzt der EuGH neue Standards für die Kontrolle und Prävention auf digitalen Plattformen und erhöht die Anforderungen an TOM.

Wichtig für Newsletter: EuGH entscheidet zum sog. „Soft Opt-In“

Außerdem hat der EuGH Ende des Jahres mit Urteil vom 13. November 2025 (C‑654/23) eine wichtige Entscheidung zur Zulässigkeit von Newslettern im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung, dem sog. „Soft Opt-In“ gefällt. Zum einen legt der EuGH den Begriff der „Direktwerbung“ weit aus, sodass eine E‑Mail-Adresse auch dann „im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung“ erhalten wurde, wenn der Service für den Nutzer kostenlos erfolgt, aber über diesen weitere kostenpflichtige Services bestellt werden können. Dasselbe gelte, wenn der Service durch Werbung finanziert ist. Zum anderen hat der EuGH in diesem Fall entschieden, dass insbesondere die zur Verarbeitungsgrundlage aus Art. 6 DSGVO, finden keine (parallele) Anwendung zu Art. 13 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation findet, da diese die DSGVO als speziellere Norm verdrängt. Die in Art. 6 Abs. 1 DSGVO vorgesehenen Voraussetzungen für die Rechtmäßigkeit der Verarbeitung sollen dem EuGH zufolge nicht gelten, wenn der Verantwortliche die E‑Mail-Adresse eines Nutzers verwendet, um ihm eine unerbetene Nachricht gemäß Art. 13 Abs. 2 Datenschutzrichtlinie für elektronische Kommunikation zu senden. Art. 13 der sog. ePrivacy-Richtlinie wurde in Deutschland in § 7 UWG umgesetzt.

Befugnis von Verbraucherschutzverbänden und Mitbewerbern zur Verfolgung von Datenschutzverstößen in wettbewerbsrechtlicher Klage

Der BGH hat mit Urteil vom 27. März 2025 (I ZR 186/17) entschieden, dass ein Social-Media-Anbieter gegen Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 lit. c) und lit. e) DSGVO verstößt, da dieser die Nutzer nicht ausreichend über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form sowie über die Rechtsgrundlage für die Verarbeitung und die Empfänger der persönlichen Daten informiert hatte. Dies stellt dem BGH zufolge einen wettbewerbsrechtlichen Verstoß gemäß § 5a Abs. 1 UWG dar, der von Verbraucherschutzverbänden vor den Zivilgerichten verfolgt werden kann.

An demselben Tag hat der BGH in zwei weiteren Entscheidungen (I ZR 222/19, I ZR 223/19) festgestellt, dass Apotheker, die auf einer Online-Plattform Medikamente vertreiben, gegen datenschutzrechtliche Bestimmungen verstoßen, wenn sie ohne ausdrückliche Einwilligung der Kunden deren Bestelldaten erheben und nutzen. Bei den Bestelldaten handelt es sich dem BGH zufolge um Gesundheitsdaten im Sinne des Art. 9 DSGVO. Diese Verstöße können laut BGH von konkurrierenden Apothekern mittels wettbewerbsrechtlicher Klagen verfolgt werden. Das Gericht bestätigte, dass Art. 9 Abs. 1 DSGVO eine Marktverhaltensregelung im Sinne von § 3a UWG darstellt.

Übermittlung sog. Positivdaten an Auskunftei zulässig

Zuletzt hat eine Vielzahl von Verfahren die Gerichte beschäftigt, in denen die Kläger wegen der Weitergabe personenbezogener Daten durch ein Telekommunikationsunternehmen an eine Auskunftei Schadensersatz nach Art. 82 DSGVO von dem Telekommunikationsunternehmen verlangten. Die Mehrzahl der Klagen wurde unserer Auswertung zufolge mangels DSGVO-Verstoßes (und/oder mangels Schadens) abgewiesen, da die meisten Gerichte die Verarbeitung als von Art. 6 Abs. 1 Unterabs. 1 lit. f) DSGVO gedeckt ansahen. 

Diese Einschätzung bestätigte der BGH mit Urteil vom 14. Oktober 2025 (VI ZR 431/24). In dem durch den BGH zu entscheidenden Verfahren ging es zwar nicht um Schadensersatzansprüche gemäß Art. 82 DSGVO (dazu sogleich), wohl aber um die Zulässigkeit der Datenverarbeitung. Geklagt hatte in dem Verfahren kein Betroffener, sondern ein Verbraucherverband, der sich gegen die Übermittlung der Positivdaten gewandt hat. Dessen Unterlassungsklage wurde von der Vorinstanz abgewiesen, was der BGH nunmehr bestätigte. Der BGH sieht die Übermittlung der zum Identitätsabgleich erforderlichen Stammdaten der Verbraucher sowie die Übermittlung der Information, dass ein Vertragsverhältnis begründet oder beendet wurde, an die Auskunftei gemäß Art. 6 Abs. 1 Unterabs. 1 lit. f) DSGVO als gerechtfertigt an. Rechtfertigendes Interesse der Beklagten sei eine hinreichende Betrugsprävention. Diese Entscheidung des BGH wird auch Auswirkungen auf die Schadensersatzverfahren in ähnlichen Sachverhalten haben.

DSGVO-Schadensersatz weiter eines der Top-Themen vor den Gerichten

Auch im Jahr 2025 hat das Thema Schadensersatz gemäß Art. 82 DSGVO die Gerichte beschäftigt. Von den circa 180 Verfahren, die wir im Jahr 2025 in unsere Übersicht zur Rechtsprechung zu Art. 82 DSGVOaufgenommen haben, wurden unserer Auswertung zufolge im bisherigen Verlauf des Jahres 2025 ca. 120 Klagen abgewiesen. Bei den zugesprochenen Schadensersatzansprüchen beläuft sich die Summe des zu leistenden Betrags je nach Einzelfall auf EUR 100 bis EUR 5.000.

Am 28. Januar 2025 entschied der BGH beispielsweise, dass die Zusendung einer Werbe-Mail ohne Einwilligung des Empfängers keinen Anspruch auf Schadensersatz auslöst (VI ZR 109/23). Laut BGH ließ sich aus dem Vortrag des Klägers für das Berufungsgericht nicht ableiten, dass diesem durch die unbefugte Nutzung seiner E‑Mail-Adresse ein immaterieller Schaden entstanden sei. Es wurde weder ein Kontrollverlust festgestellt noch konnte die von dem Kläger geäußerte Befürchtung eines solchen ausreichend substantiiert werden.

Ebenfalls am 28. Januar 2025 (VI ZR 183/22) hat der BGH zu der Übermittlung von Daten an eine Auskunftei durch ein Telekommunikationsunternehmen entschieden. Zu dem Zeitpunkt der Übermittlung war der geltend gemachte Zahlungsanspruch zwischen den Parteien strittig. Im Rahmen einer Widerklage gegen den geltend gemachten Anspruch auf Zahlung machte die betroffene Person DSGVO-Schadensersatzansprüche geltend. Die Entscheidung des BGH betraf in erster Linie die Höhe des Schadensersatzes. Obwohl das OLG bei seiner Entscheidung auf eine abschreckende Funktion des Art. 82 DSGVO abstellte, die dieser Vorschrift mit reiner Ausgleichsfunktion nicht zukommt, wirke sich dies dem BGH zufolge jedoch nicht zum Nachteil der Beklagten aus. Insgesamt sei ein Schadensersatzanspruch in Höhe von EUR 500 angemessen.

Negative Gefühle als immaterieller Schaden

Auf eine Vorlage des BGH (Beschluss vom 26. September 2023 – VI ZR 97/22) hat der EuGH mit Urteil vom 4. September 2025 (C-655/23) ausgeführt, dass der Begriff „immaterieller Schaden“ im Sinne von Art. 82 DSGVO die negativen Gefühle umfassen könne, welche die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet wie z.B. Sorge oder Ärger und welche durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorgerufen werden. Allerdings setze dies dem EuGH zufolge voraus, dass die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des jeweiligen DSGVO-Verstoßes empfindet. Nicht zu berücksichtigen in der Bemessung der Höhe des Betrages sei der Grad des Verschuldens.

In dem zugrundeliegenden Fall ging es um die irrtümliche Weiterleitung von Bewerberdaten an einen unbeteiligten Dritten durch eine Bank im Rahmen eines Bewerbungsprozesses. Zudem erfolgte keine unverzügliche Mitteilung an den Bewerber über die fehlerhafte Weiterleitung. Der Kläger machte in dem Verfahren geltend, nicht nur einen abstrakten Kontrollverlust über die Daten erlitten zu haben, sondern dass diese an die dritte, mit ihm bekannte und in derselben Branche tätige Person gelangt seien. In der ersten Instanz sprach das LG Darmstadt (Urteil vom 26. Mai 2020 – 13 O 244/19) dem Betroffenen noch einen Betrag in Höhe von EUR 1.000 zu, während das OLG Frankfurt a.M. (Urteil vom 2. März 2022 – 13 U 206/20) die Klage als darauffolgende Instanz abwies.

Schadensersatz bei nicht erfüllten Auskunftspflichten wegen Recherche in einer Suchmaschine

Das Bundesarbeitsgericht (BAG) hat mit Urteil vom 5. Juni 2025 (8 AZR 117/24) unter Bestätigung der Entscheidung der Vorinstanz des Landesarbeitsgerichts (LAG) Düsseldorf (Urteil vom 10. April 2024 – 12 Sa 1007/23) entschieden, dass in dem betreffenden Fall Schadensersatz gemäß Art. 82 DSGVO wie von der Vorinstanz zugesprochen ausreichend sei. 

In dem vom BAG zu beurteilenden Sachverhalt ging es um eine nicht ordnungsgemäß erteilte Information an einen abgelehnten Bewerber. Der potentielle Arbeitgeber hatte aufgrund einer Recherche in einer Suchmaschine von dessen (nicht rechtskräftiger) strafrechtlicher Verurteilung erfahren, ihn hierüber aber nicht informiert. Der Kläger habe dem BAG zufolge keinen Schaden nachgewiesen, der über die bereits durch die Vorinstanz zugesprochenen EUR 1.000 hinausgehe. Schadensersatzansprüche von Beschäftigten bei Datenschutzverstößen sind immer wieder Thema in der Rechtsprechung und werden auch 2026 relevant bleiben.

2026: Es bleibt spannend zum DSGVO-Schadensersatz

In der Vielzahl der Verfahren, in denen Kläger von einem Mobilfunkunternehmen Schadensersatz gemäß Art. 82 DSGVO wegen der Weitergabe von Positivdaten an eine Auskunftei fordern, ist es 2025 zu einer Vorlage an den EuGH gekommen. Während die meisten nationalen Gerichte die Klagen bisher unter der Annahme abwiesen, dass die Weitergabe von Art. 6 Abs. 1 Unterabs. 1 lit. f) DSGVO gedeckt oder jedenfalls kein Schaden entstanden sei, legte das LG Lübeck dem EuGH mit Beschluss vom 4. September 2025 (15 O 12/24) die Frage vor, ob die Vorschrift auf diese Fälle Anwendung findet und ob diese Vorschrift dahingehend auszulegen ist, dass sie „die Übermittlung von Positivdaten von Mobilfunkunternehmen an privatrechtlich organisierte Auskunfteien ohne Einwilligung der Betroffenen jedenfalls dann nicht zu rechtfertigen vermag, wenn die Auskunfteien die übermittelten Daten sodann auch zur Profilbildung (Scoring) verwenden.“

Eine weitere Vorlagefrage des LG Lübeck betrifft Art. 82 DSGVO. Das LG möchte vom EuGH wissen, ob Art. 82 Abs. 1 und 2 DSGVO dahingehend auszulegen ist, dass ein Kontrollverlust auch dann vorliegen kann, „wenn Positivdaten ohne Einwilligung des Betroffenen von Mobilfunkunternehmen an privatrechtlich organisierte Auskunfteien übermittelt und dort frühestens nach deutlich über einem Jahr gelöscht wurden und der betroffene Verbraucher bei Vertragsschluss auf die Datenübermittlung hingewiesen wurde“. In dem anhängigen Verfahren (C-594/25) hat nun der EuGH zu entscheiden.

Enforcement Tracking: DSGVO-Bußgelder überschreiten EUR 5 Mrd.-Grenze

Laut der neuesten Ausgabe des CMS Enforcement Tracker Reports 2025 wurden im untersuchten Zeitraum bis zur redaktionellen Deadline am 1. März 2025 insgesamt 2.560 Bußgelder erfasst. Dies sind fast 160 Bußgelder mehr als im vorherigen Untersuchungszeitraum. Das durchschnittliche Bußgeld lag im gesamten Berichtszeitraum des CMS Enforcement Tracker Reports in allen Ländern bei etwa EUR 2,36 Mio. Zudem überschritt die Summe der Bußgelder bereits im Frühjahr des Jahres erstmals die Marke von EUR 5 Mrd. und belief sich zu diesem Zeitpunkt auf rund EUR 5,65 Mrd. Einige der höchsten Einzelbußgelder des Jahres kommen hierbei auf zwischen EUR 125 Mio. bis EUR 530 Mio.

Europaweite Prüfung zum Recht auf Löschung und Thema der koordinierten Aktion 2026

Nachdem in diesem Jahr das Recht auf Löschung nach Art. 17 DSGVO Gegenstand der koordinierten Aktion der Datenschutzbehörden war, hat der EDPB am 14. Oktober 2025 das Thema der koordinierten Aktion 2026 bekannt gegeben. Diese wird die Einhaltung der Transparenz- und Informationspflichten gemäß Art. 12 bis Art. 14 DSGVO betreffen. Diese Vorschriften der DSGVO stellen u.a. sicher, dass betroffene Personen informiert werden, wenn ihre Daten verarbeitet werden. Ziel der koordinierten Aktionen ist die Bewertung der Umsetzung der DSGVO durch Unternehmen und Behörden. Zudem möchten die Datenschutzbehörden hierdurch einen Überblick über bewährte Vorgehensweisen von Verantwortlichen gewinnen. Der Bericht zu den Ergebnissen der koordinierten Aktion 2025 zum Recht auf Löschung soll zeitnah folgen.

Das Jahr 2025 hat gezeigt: Das Datenschutzrecht ist geprägt von Dynamik und Anpassung an neue technische Entwicklungen. Die Rechtsprechung des EuGH und der nationalen Gerichte haben die Anforderungen an den Nachweis immaterieller Schäden und die Auslegung zentraler DSGVO-Bestimmungen konkretisiert. Die steigende Zahl und Höhe der Bußgelder unterstreichen die wachsende Bedeutung des Datenschutzes für Unternehmen. Insgesamt bleibt das Datenschutzrecht weiterhin ein spannendes und sich stetig entwickelndes Feld.

In diesem Blog-Beitrag haben wir die wichtigsten Meldungen des Jahres aus unserem quartalsweise versendeten Newsletter für Sie aufbereitet und zusammengefasst. Sie können den Newsletter hier abonnieren.

Das könnte Sie auch interessieren: NIS2 & CRA: neue Cybersicherheitspflichten ab 2026.

*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Der Beitrag Das Datenschutzjahr 2025 erschien zuerst auf CMS Blog.

Weniger Strafen, weniger Drogendelikte: Die Justiz verurteilte 2024 rund 632.000 Menschen. Besonders auffällig: der Rückgang bei Verstößen gegen das Betäubungsmittelgesetz.

Weiterlesen