Datenschutz-Wende: Gerichte bremsen Behörden, Unternehmen atmen auf

Eine Woche voller Paukenschläge hat die europäische Datenschutzlandschaft grundlegend verändert. Die Kombination aus personellen Wechseln an der Spitze, wegweisenden Gerichtsurteilen und neuen Regeln zwingt deutsche Unternehmen zu agilen Compliance-Strategien.

Angesichts der dynamischen Rechtslage und neuer KI-Vorgaben ist eine fundierte Wissensbasis für Unternehmen unerlässlich. Dieser kostenlose Leitfaden bietet Ihnen eine kompakte Zusammenfassung der EU-KI-Verordnung mit allen relevanten Anforderungen und Fristen. EU-KI-Verordnung kompakt: Jetzt kostenlos als E-Book sichern

BfDI-Chefin tritt überraschend zurück

Die deutsche Datenschutzaufsicht steht vor einem Führungswechsel. Prof. Dr. Louisa Specht-Riemenschneider, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), hat am 17. März aus gesundheitlichen Gründen ihren Rücktritt angekündigt. Sie bleibt jedoch im Amt, bis der Bundestag einen Nachfolger bestimmt. Diese Übergangsphase ist heikel, denn die Bundesregierung muss wichtige Weichen stellen: Geplante GDPR-Reformen und neue Regeln für den KI-Einsatz in der Verwaltung stehen auf der Agenda. Die rechtzeitige Besetzung der Spitzenposition ist entscheidend, um Deutschlands Gewicht in der europäischen Datenschutz-Debatte zu wahren – gerade jetzt, wo die EU ihre digitale Strategie vorantreibt.

EuGH stoppt missbräuchliche „GDPR-Hopping“-Klagen

Ein Urteil des Europäischen Gerichtshofs (EuGH) vom 19. März bringt deutschen Unternehmen spürbare Erleichterung. Der Gerichtshof entschied, dass Unternehmen DSGVO-Auskunftsersuchen schon beim ersten Mal ablehnen dürfen, wenn diese offensichtlich nur dazu dienen, Schadensersatzansprüche zu konstruieren. Dieses als „GDPR-Hopping“ bekannte Vorgehen hatte vor allem Online-Händler und digitale Vermarkter mit automatisierten Massenanträgen geplagt. Das Urteil (Rechtssache C-526/24) bestätigt, dass Firmen bei „offensichtlich unbegründeten oder exzessiven“ Anfragen gemäß Artikel 12 DSGVO eine Gebühr verlangen oder die Bearbeitung verweigern können. Juristen sehen darin ein wirksames Mittel gegen erpresserische Abmahnungen, warnen aber: Die Beweislast für den Missbrauch liegt weiterhin beim Unternehmen.

Mega-Bußgelder kippen: Verfahrensfehler schwächen Aufseher

Die Schlagkraft europäischer Datenschutzbehörden hat einen Dämpfer erhalten. Gerichte hoben Mitte März zwei der höchsten DSGVO-Bußgelder der Geschichte auf. In Rom wurde eine Strafe in Höhe von 15 Millionen Euro gegen OpenAI annulliert. Zuvor hatte bereits ein Verwaltungsgericht in Luxemburg eine Rekordstrafe von 746 Millionen Euro gegen Amazon gekippt. Doch Vorsicht: Die Urteile sind kein Freibrief für laxeren Datenschutz. Im Amazon-Fall bestätigte das Gericht ausdrücklich, dass das Unternehmen gegen Einwilligungspflichten verstoßen hatte. Die Strafe fiel allein wegen verfahrenstechnischer Fehler der Aufsichtsbehörde CNPD. Diese hatte nicht hinreichend geprüft, ob der Verstoß vorsätzlich oder fahrlässig war. Die Botschaft an Unternehmen ist klar: Die inhaltlichen Vorgaben der DSGVO bleiben streng, die Behörden müssen aber fehlerfrei arbeiten.

Während Behörden Verfahrensfehler korrigieren, müssen Unternehmen ihre eigene Dokumentation lückenlos pflegen, um Bußgelder von bis zu 2% des Jahresumsatzes zu vermeiden. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und zeitsparend. Kostenlose Excel-Vorlage für das Verarbeitungsverzeichnis herunterladen

Reformdruck: KI-Gesetz und „Digitaler Omnibus“ stehen an

Während die Gerichte entscheiden, arbeitet die Politik an der Zukunft des Datenschutzes. Die EU-Kommission treibt ihr Reformpaket „Digitaler Omnibus“ voran, das DSGVO, Data Act und KI-Gesetz harmonisieren soll. Ziel ist weniger Bürokratie bei hohem Verbraucherschutz. In Deutschland hat die Datenschutzkonferenz (DSK) unter Vorsitz von Prof. Dr. Tobias Keber bereits konkrete Vorschläge für eine DSGVO-Novelle vorgelegt. Sie will die Rechte der Betroffenen stärken und die Herstellerhaftung für „Privacy-by-Design“ verschärfen, zugleich aber den Aufwand für kleine und mittlere Unternehmen senken. Parallel laufen die Vorbereitungen für das KI-Gesetz, dessen Kernregeln ab August 2026 gelten. Die Aufsichtsbehörden drängen bereits auf strenge Vorgaben für KI-Systeme, darunter dokumentierte Interessenabwägungen und technische Schutzvorkehrungen.

Was bedeutet das für deutsche Unternehmen? Die Compliance-Abteilungen müssen wendig bleiben. Die neue BfDI-Spitze wird den nationalen Kurs für Jahre prägen. Das EuGH-Urteil erlaubt es, Ressourcen von der Abwehr missbräuchlicher Anfragen auf substanzielle Datenschutzmaßnahmen zu verlagern. Und angesichts der verschärften Aufsicht bei KI-Projekten gilt mehr denn je: Wer digitale Innovationen vorantreibt, darf die Compliance nicht vernachlässigen. Datenschutz wird zum entscheidenden factor für Vertrauen und unternehmerische Verantwortung.

boerse | 68954197 |