Digital BusinessIT-Recht und Datenschutz09.10.2025 Newsletter
Fokus IT&C – 3. Quartal 2025
Die regulatorische Dynamik bleibt hoch: In dieser Ausgabe geben wir einen kompakten Überblick zu aktuellen Entwicklungen im IT-Recht und Datenschutz – von der NIS-2-Umsetzung und der neuen KI-Verordnung über Leitlinien zum Zusammenspiel von DSA und DSGVO bis hin zum jüngsten EuG-Urteil zum EU-US Data Privacy Framework. Erfahren Sie, was Unternehmen jetzt wissen und beachten sollten.
1. NIS-2-Umsetzungsgesetz im Parlament – Umsetzung noch dieses Jahr?!
3. Haftungsverschärfung für KI-Systeme: Ein Ausblick
4. Leitlinien zum Zusammenspiel zwischen DSA und DSGVO
5. Datentransfers in die USA nach EuG-Urteil weiter zulässig
1. NIS-2-Umsetzungsgesetz im Parlament – Umsetzung noch dieses Jahr?!
Der Entwurf des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) ist nun im Parlament angekommen. Nach der ersten Beratung am 11. September 2025 wurde der Entwurf zur weiteren Beratung in die Ausschüsse überwiesen, zudem hat der Bundesrat eine Stellungnahme zum Gesetzesentwurf veröffentlicht. Das NIS2UmsuCG basiert auf dem Entwurf der Bundesregierung vom 30. Juli 2025 (wir berichteten über die Vorversionen [Verweis]). Die Anforderungen der NIS-2-Richtlinie werden überwiegend im neu gefassten Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG-E) abgebildet. Bestehende Branchenregulierungen bleiben weiterhin in den jeweiligen „gewohnten“ Gesetzen, wie etwa dem Telekommunikationsgesetz (TKG) oder dem Energiewirtschaftsgesetz (EnWG), geregelt. Ziel der Umsetzung ist es, europaweit einheitliche Mindeststandards für die Cybersicherheit zu schaffen und so das Schutzniveau für kritische Infrastrukturen sowie für wichtige und besonders wichtige Einrichtungen zu erhöhen.
1.1 Neue Ausnahme vom Anwendungsbereich beibehalten
Die neugefasste Ausnahme von der Betroffenheit in § 28 Abs. 3 BSIG-E bleibt bestehen (wir berichteten am 14. Juli 2025 [Verweis]). Nach der Neufassung werden Unternehmen, die zwar eine regulierte Tätigkeit ausüben, dennoch nicht vom BSIG-E erfasst, wenn diese Tätigkeit als „vernachlässigbar” einzustufen ist. Wann dies im Einzelfall zutrifft, bleibt weiterhin unklar. Allerdings ist nach der Gesetzesbegründung Folgendes zu berücksichtigen:
„Bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind. Damit wird im Einzelfall vermieden, dass eine nur geringfügige Nebentätigkeit zu einer unverhältnismäßigen Identifizierung als wichtige oder besonders wichtige Einrichtung führt. Mögliche Anhaltspunkte für diese Bewertung können etwa die Anzahl der in diesem Bereich tätigen Mitarbeiter, der durch diese Geschäftstätigkeit erwirtschaftete Umsatz oder die Bilanzsumme für diesen Bereich sein. Ein Indiz, dass es sich nicht um eine vernachlässigbare Geschäftstätigkeit handelt, kann ihre Nennung in einem Gesellschaftervertrag, einer Satzung oder einem vergleichbaren Gründungsdokument der Einrichtung sein. Entscheidend ist dabei unter Berücksichtigung aller relevanten Anhaltspunkte das Gesamtbild der betreffenden Geschäftstätigkeit im Lichte der Gesamtgeschäftstätigkeit der Einrichtung.“.
Vor diesem Hintergrund hat der Bundesrat in seiner Stellungnahme (zu § 28 Abs. 5 BSIG-E) hervorgehoben, dass das Merkmal „vernachlässigbar“ enger zu verstehen ist als eine Einordnung als bloße Nebentätigkeit. Insoweit bleibt abzuwarten, ob der Gesetzgeber weitere Klarstellungen im Gesetzgebungsverfahren in der Gesetzesbegründung aufnehmen wird.
1.2 Zentrale Begrifflichkeiten werden nicht definiert
Neben der fehlenden Klarheit, wann von einer vernachlässigbaren Tätigkeit auszugehen ist, bleiben weitere Unklarheiten im BSIG-E bestehen.
Zentrale Begrifflichkeiten wie der Herstellerbegriff oder der Anbieterbegriff werden weder vom BSIG-E noch von der NIS-2-Richtlinie legal definiert. Es droht eine erhebliche Zersplitterung der Rechtsanwendung, wenn diese Begriffe nicht einheitlich in der EU ausgelegt werden.
Dies führt zudem dazu, dass die Feststellung der eigenen Betroffenheit eine genaue Prüfung erfordert und oftmals externen Rat benötigt.
1.3 Bußgeldhöhe unverändert
Auch an den im BSIG-E festgelegten Bußgeldhöhen hat sich nichts geändert. So kann ein Verstoß gegen die Verpflichtungen aus dem BSIG-E mit einem Bußgeld von bis zu EUR 10 Millionen geahndet werden (§ 65 Abs. 5 BSIG-E). Darüber hinaus kann das Bußgeld für besonders wichtige Einrichtungen mit einem Gesamtumsatz von mehr als EUR 500 Millionen auf bis zu 2% des Gesamtumsatzes steigen (§ 65 Abs. 6 BSIG-E).
1.4 Fazit und Ausblick
Mit einem Inkrafttreten bis Ende 2025/Anfang 2026 ist zu rechnen.
Das Inkrafttreten des neuen BSIG ist damit in greifbarer Nähe. Unternehmen sollten bereits jetzt prüfen, ob sie von den neuen Regelungen betroffen sind, und entsprechende Maßnahmen einleiten. Übergangsfristen sieht das BSIG-E nur vereinzelt vor.
Christian Saßenbach
2. Umsetzung der KI-Verordnung in Deutschland – Referentenentwurf des Durchführungsgesetzes veröffentlicht
Im August 2024 ist die Verordnung über Künstliche Intelligenz (KI‑VO) in Kraft getreten und findet nun schrittweise Anwendung. Allgemeine Vorschriften etwa zu verbotenen KI-Praktiken und KI-Kompetenz gelten bereits seit Februar 2025. Seit dem 2. August 2025 finden auch die Vorschriften zu KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI, GPAI) und Sanktionen wie Bußgeldern Anwendung.
2.1 Hintergrund
Während die KI‑VO die sachlichen Regelungen für den Einsatz von KI‑Systemen innerhalb der EU vorgibt, obliegt es den Mitgliedstaaten, zentrale Fragen zur Einrichtung von Aufsichtsbehörden zu klären. Bis zum 2. August 2025 sind die Mitgliedstatten verpflichtet, eine Marktüberwachungsbehörde sowie eine notifizierende Behörde einzurichten. Darüber hinaus müssen sie nationale Vorschriften zu Sanktionen wie Bußgeldern erlassen und Maßnahmen zur Förderung von Innovationen im Bereich der Künstlichen Intelligenz umsetzen.
In Deutschland wird hierfür ein Gesetz zur Durchführung der KI‑VO (DurchführungsG KI-VO) erlassen. Am 11. September 2025 hat das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) einen Referentenentwurf vorgelegt, der als Grundlage für die Länder- und Verbändeanhörung dient. Das DurchführungsG KI-VO in der Fassung des Referentenentwurfs regelt folgende Kernaspekte:
Zentrale Rolle der Bundesnetzagentur
Die Bundesnetzagentur (BNetzA) übernimmt zentrale Aufgaben als Marktüberwachungsbehörde und notifizierende Behörde:
- Marktüberwachung: Die BNetzA ist für die Überwachung der KI‑VO verantwortlich. Die Maßnahmen der Marktüberwachung beziehen sich auf Hochrisiko-KI-Systeme gemäß Art. 6 der KI‑VO. Die BNetzA führt u.a. stichprobenartige Prüfungen von KI-Systemen durch, überprüft technische Unterlagen wie Konformitätserklärungen und überwacht Tests an Hochrisiko-KI-Systemen außerhalb von Reallaboren.
- Notifizierung: Die BNetzA ist zudem notifizierende Behörde im Rahmen des sog. „New Legislative Frameworks“ (NLF) der EU. Nach der KI-VO bezeichnet Notifizierung die offizielle Mitteilung an die EU-Kommission und die anderen EU-Mitgliedstaaten, dass eine Konformitätsbewertungsstelle als solche geprüft und benannt worden ist. Entsprechend benennt die BNetzA die Stellen, die die Konformität von KI-Systemen mit der KI‑VO überprüfen. Die Regelungen für die Notifizierung von Konformitätsbewertungsstellen für Hochrisiko-KI-Systeme (nach den Anhängen I und III Nr. 1 der KI-VO) gelten seit dem 2. August 2025.
- Zentrale Anlaufstelle: Die BNetzA fungiert als Ansprechpartnerin für die EU-Kommission, die Mitgliedstaaten und die Öffentlichkeit. Zudem ist sie zentrale Beschwerdestelle bei möglichen Verstößen gegen die KI-VO. Jede natürliche oder juristische Person kann Beschwerde bei einer Marktüberwachungsbehörde einreichen, wenn sie Grund zu der Annahme hat, dass ein Verstoß gegen die Vorschriften der KI‑VO vorliegt (Art. 85 KI-VO).
2.2 Hybride Ansatz der Behördenstruktur
Der Referentenentwurf des DurchführungsG KI-VO benennt neben der BNetzA andere Marktüberwachungsbehörden für bestimmte Sektoren, sofern dort andere Marktüberwachungs- und Aufsichtsstrukturen bestehen. Diese Behörden übernehmen auch die Notifizierung in den jeweiligen Sektoren, sofern dies im Referentenentwurf vorgesehen ist.
- Harmonisierte Bereiche: Behörden, die für die in Anhang I Abschnitt A der KI‑VO genannten Vorschriften zuständig sind, übernehmen auch die KI-spezifischen Aufgaben mit Blick auf die Marktüberwachung und Notifizierung. Bei Medizinprodukte oder Maschinen.
- Finanzdienstleistungen: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ist Marktüberwachungsbehörde, wenn das Inverkehrbringen, die Inbetriebnahme oder der Einsatz eines KI‑Systems in direktem Zusammenhang mit der Erbringung von Finanzdienstleistungen durch ein beaufsichtigtes Finanzunternehmen steht.
- Cyberresilienz: Für Hochrisiko-KI-Systeme aus Anhang III Nr. 1 der KI‑VO ist die Marktüberwachungsbehörde zuständig, die gemäß der Cyberresilienz-Verordnung (Cyber Resilience Act) benannt wird. Bis dahin übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Aufgaben. Das BSI fungiert zugleich als notifizierende Behörde.
Der hybride Ansatz vermeidet Doppelstrukturen. Sofern keine anderen (sektorspezifischen) Aufsichtsstrukturen bestehen, bleibt die BNetzA zuständige Marktüberwachungsbehörde.
2.3 Keine Zuständigkeit der Datenschutzbehörden
Im Verlauf des Gesetzgebungsverfahrens wurde kontrovers diskutiert, welche Behörde die Aufgabe der Marktüberwachung und Notifizierung übernehmen soll. Besonders die Datenschutzbehörden standen dabei im Mittelpunkt der Debatte. Der Referentenentwurf betont, dass eine möglichst einheitliche Anwendung der KI-VO entscheidend für Rechtssicherheit, eine grenzüberschreitende einheitliche Rechtanwendung und die Förderung von Innovationen ist. Die Kompetenzen auf 17 Datenschutzbehörden zu verteilen, würde diesem Ziel entgegenstehen. Zudem bestehe die Gefahr, dass sich die Datenschutzbehörden zu stark auf datenschutzrechtliche Themen konzentrieren, was einer optimalen Innovationsförderung entgegenstehen könnte. Schließlich bestehe ein Mangel an KI-Fachkräften. Würden verschiedene Aufsichtsbehörden um die vorhandenen Ressourcen konkurrieren, wäre dies unwirtschaftlich.
2.4 Einrichtung eines Koordinierungs- und Kompetenzzentrums
Die BNetzA wird ein Koordinierungs- und Kompetenzzentrum (KoKIVO) für die KI‑VO einrichten. Dieses soll:
- die Arbeit der zuständigen Behörden unterstützen und koordinieren,
- eine einheitliche horizontale Auslegung der KI‑VO sicherstellen und
- die Entwicklung von Verhaltenskodizes für die freiwillige Anwendung bestimmter Anforderungen auf alle KI-Systeme (Art. 95 Abs. 2 KI‑VO) fördern.
Die aufsichtsbehördliche KI-Expertise wird zentral beim KoKIVO gebündelt und bei Bedarf anderen Behörden zur Verfügung gestellt.
2.5 Innovationsförderung
Die BNetzA soll Innovationen durch verschiedene Maßnahmen fördern:
- Bereitstellung von Informationen und Anleitungen zur Umsetzung der KI‑VO, insbesondere für KMU und Start-ups,
- Durchführung von Sensibilisierungs- und Schulungsmaßnahmen,
- Förderung des Wissensaustauschs und der Vernetzung der relevanten Akteure,
- Einrichtung eines KI-Reallabors, das Tests unter Realbedingungen ermöglicht und KMU sowie Start-ups bevorzugten Zugang bietet.
2.6 Sanktionen
Bei Verstößen gegen die KI‑VO kann die zuständige Marktüberwachungsbehörde Bußgelder verhängen (Art. 95 KI-VO). In diesen Fällen richtet sich das Bußgeldverfahren grundsätzlich nach dem Gesetz über Ordnungswidrigkeiten (OWiG). Im Allgemeinen regeln die §§ 17, 31 OWiG die maximale Höhe und den Eintritt der Verjährung von Bußgeldern. Diese Vorschriften finden bei Bußgeldern nach der KI-VO keine Anwendung, da die KI‑VO den Rahmen etwaiger Geldbußen abschließend regelt. Gegen öffentliche Stellen wie Behörden können – wie bereits bei DSGVO-Verstößen der öffentlichen Hand – keine Bußgelder verhängt werden.
2.7 Ausblick
Der Referentenentwurf des DurchführungsG KI-VO befindet sich nun in die Länder- und Verbändeanhörung, sodass Änderungen im Detail noch möglich sind. Die Ergebnisse der Anhörung sowie das endgültige Durchführungsgesetz bleiben abzuwarten. Ungeachtet dessen steht bereits fest, dass die BNetzA eine zentrale Rolle bei der Überwachung der KI-VO übernehmen wird. Die geplante aufsichtsbehördliche One-Stop-Shop dürfte ein Vorteil für Unternehmen sein. Zugleich bleiben in bestimmten Sektoren spezialisierte Fachbehörden zuständig, was insbesondere bei komplexen Fach- und branchenspezifischen Fragen sinnvoll erscheint. Der koordinierte Austausch zwischen den Behörden über die BNetzA wird insoweit eine wichtige Funktion erfüllen. Wir halten Sie über die weiteren Entwicklungen des DurchführungsG zur KI‑VO auf dem Laufenden.
Valentino Halim
3. Haftungsverschärfung für KI-Systeme: Ein Ausblick
Die zunehmende Verbreitung von KI-Systemen bringt nicht nur technologische Fortschritte, sondern auch neue rechtliche Herausforderungen mit sich. Die KI-Verordnung („KI-VO“) schafft zwar keine neuen zivilrechtlichen Haftungstatbestände für Entwickler oder Nutzer von KI-Systemen. Sie stellt jedoch umfassende Anforderungen an die Entwicklung und Nutzung, insbesondere von Hochrisiko-KI-Systemen, und beeinflusst damit die Verkehrsanschauung sowie den Sorgfaltsmaßstab beim Vertrieb und der Anwendung von KI. Die Regelungen für Hochrisiko-KI-Systeme nach der KI-VO gelten überwiegend ab August 2026; spätestens ab August 2027 sind diese ausnahmslos zu berücksichtigen. Das Haftungsregime für KI wird zudem ab dem 9. Dezember 2026 durch die neue Produkthaftungsrichtlinie erweitert, die den Produktbegriff des Produkthaftungsgesetzes auf Software – einschließlich KI-Systemen – erstreckt.
3.1 Einfluss der KI-VO auf den Mangelbegriff
Die KI-VO legt Entwicklern von Hochrisiko-KI-Systemen in den Art. 8 ff. ein strenges Pflichtenprogramm auf. Die Art. 8 bis 15 KI-VO enthalten zahlreiche Anforderungen, die bei der Entwicklung solcher Systeme zu beachten sind. So muss ein Hochrisiko-KI-System beispielsweise über eine Protokollierungsfunktion (Art. 12 KI-VO) und eine geeignete Mensch-Maschine-Schnittstelle verfügen (Art. 14 KI-VO). Darüber hinaus muss das Hochrisiko-KI-System hinreichend robust sein, um sogenannten Poisoning Attacks, also Manipulationen der Eingabedaten, standzuhalten.
Betreiber sollten sich die Einhaltung dieser Anforderungen von Entwicklern der Hochrisiko-KI-Systeme vertraglich zusichern lassen. Werden die genannten Anforderungen nicht erfüllt, entspricht das Hochrisiko-KI-System im Falle einer klaren vertraglichen Regelung nicht der vereinbarten Beschaffenheit, sodass dem Nutzer Gewährleistungsrechte zustehen.
Die Anforderungen der KI-VO beeinflussen aber auch unabhängig von vertraglichen Regelungen die Haftung des Entwicklers von KI-Systemen. Denn ein KI-System, das nicht die produktsicherheitsrechtlichen Anforderungen der KI-VO erfüllt, darf häufig nicht eingesetzt werden und wäre infolgedessen mangelhaft.
3.2 Produkthaftung
Der Hersteller eines Produkts haftet nach § 1 Abs. 1 S. 1 ProdHaftG, wenn durch einen Fehler seines Produkts ein Mensch getötet oder verletzt wird oder eine zum Privatgebrauch bestimmte Sache beschädigt wird.
Nach aktueller Gesetzeslage ist umstritten, ob und inwieweit Software – und damit auch KI-Systeme – unter den Produktbegriff nach § 2 ProdHaftG fällt. Die Rechtsprechung bejaht die Produkteigenschaft von Software allenfalls, wenn sie eine Sachsubstanz aufwies, etwa durch die Verkörperung auf einem Datenträger. Die neue Produkthaftungsrichtlinie erweitert den Produktbegriff in Art. 4 Nr. 1 nun ausdrücklich auch auf Software und damit auf KI-Systeme. Erfasst werden damit sowohl KI-Systeme, die in andere Produkte eingebettet sind, beispielsweise in autonome Fahrzeuge, als auch „Stand-alone“-KI-Systeme. Lediglich Open-Source-Software ist vom Anwendungsbereich der Produkthaftungsrichtlinie ausgenommen.
Ausgangspunkt ist die Haftung des Softwareherstellers für Schäden durch Fehler der KI. Der Importeur von KI-Systemen wird jedoch in die Haftung einbezogen, wenn der Softwarehersteller außerhalb der EU sitzt (Art. 8 Abs. 1 lit. c) i) Produkthaftungsrichtlinie). Dies birgt Haftungsrisiken für EU-Vertriebspartner von Herstellern von KI-Systemen in Drittländern.
Die Richtlinie bringt außerdem Nachweis- und Darlegungserleichterungen für die von KI-Systemen Geschädigten: Der Hersteller muss nach Art. 9 in seinem Besitz befindliche Beweismittel offenlegen, sofern der Geschädigte seinen Ersatzanspruch substantiiert vorgetragen hat. Kommt der Hersteller dieser Pflicht nicht nach, wird die Fehlerhaftigkeit seines Produkts zugunsten des Geschädigten vermutet (Art. 10 Abs. 2 lit. a Produkthaftungsrichtlinie).
3.3 Handlungsbedarf
Unternehmen, die KI-Systeme entwickeln, vertreiben oder nutzen, sollten angesichts der ab August 2026 geltenden Vorgaben der KI-VO für Hochrisiko-KI-Systeme sowie der bis Dezember 2026 von den Mitgliedstaaten in nationales Recht umzusetzenden Produkthaftungsrichtlinie bereits jetzt eine effektive AI Governance etablieren. Erfahrungsgemäß ist dabei insbesondere eine enge Zusammenarbeit zwischen den technischen Fachbereichen und der Rechtsabteilung entscheidend, damit der gesamte Entwicklungsprozess von KI-Systemen – von der Konzeption über die Entwicklung bis hin zur Marktreife und dem Vertrieb – kontinuierlich rechtlich begleitet wird. Nur durch die Implementierung klarer Prozesse und Verantwortlichkeiten kann gewährleistet werden, dass sämtliche regulatorischen Anforderungen, insbesondere jene für Hochrisiko-KI-Systeme gemäß Art. 8 ff. KI-VO, eingehalten werden. Anderenfalls drohen neben vertraglichen Gewährleistungs- und Haftungsansprüchen auch erhebliche Risiken nach dem Produkthaftungsgesetz.
Dr. Axel Grätz
4. Datentransfers in die USA nach EuG-Urteil weiter zulässig
Das erstinstanzliche Gericht der Europäischen Union (EuG) hat eine Nichtigkeitsklage eines Mitglieds der französischen Nationalversammlung, Philippe Latombe, mit Urteil vom 3. September (Az. T-553/23 – Latombe v Commission) abgewiesen. Der Kläger wollte erreichen, dass das Gericht das EU-US Data Privacy Framework („DPF“) für unwirksam erklärt. Das DPF ermöglicht es europäischen Unternehmen derzeit, personenbezogene Daten ohne größere Hürden aus der EU und dem EWR in die USA zu übermitteln. Das EuG folgt diesem Anliegen nicht und begründete seine Entscheidung unter anderem damit, dass die mit dem DPF in den USA eingeführten Rechtsbehelfsverfahren für betroffene EU-Bürger eine ausreichende Unparteilichkeit und Unabhängigkeit gewährleisten. Damit hat das EuG einen Rückfall in die aus der Vergangenheit bekannten Zeiten großer Rechtsunsicherheit bei Datentransfers in die USA vorerst verhindert. Es ist jedoch bereits absehbar, dass sich auch der EuGH nochmals mit der Wirksamkeit des DPF beschäftigen wird – mit ungewissem Ausgang.
4.1 Hintergrund
Nach dem Urteil „Schrems II“ des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 wurden Übermittlungen personenbezogener Daten in die USA auf Grundlage des EU-US Privacy Shield für unzulässig erklärt. Bereits zuvor hatte der EuGH mit dem „Schrems I“-Urteil vom 6. Oktober 2015 das Safe-Harbor-Abkommen aufgehoben. Infolge des Wegfalls des Privacy Shield wurden Datentransfers in die USA deutlich erschwert. So mussten Unternehmen seitdem vor jeder Übermittlung ein Transfer Impact Assessment (TIA) durchführen. Dabei sind sowohl rechtliche als auch praktische Risiken im Empfängerland zu bewerten, und übermittelnde Unternehmen mussten unter Umständen zusätzliche technische Schutzmaßnahmen treffen.
Am 10. Juli 2023 trat mit dem DPF ein neuer Angemessenheitsbeschluss der EU-Kommission für Datentransfers in die USA in Kraft. Zuvor hatte die damalige US-Regierung eine Executive Order unterzeichnet, welche den US-Rechtsrahmen im Bereich der Nachrichtendienste änderte. Sie begrenzt Zugriffe auf personenbezogene Daten durch US-Nachrichtendienste auf das für nationale Sicherheitszwecke notwendige und verhältnismäßige Maß, wobei die Handlungen dieser Dienste nach der Executive Order durch das Privacy and Civil Liberties Oversight Board (PCLOB) überwacht werden. Außerdem wurde ein neues Rechtsbehelfsverfahren geschaffen, das es EU-Bürgern ermöglicht, sich bei Datenschutzverstößen durch US-Nachrichtendienste an eine unabhängige und unparteiische Beschwerdestelle, den Data Protection Review Court (DPRC), zu wenden.
4.2 Das Urteil des EuG
In seinem Urteil vom 3. September 2025 hat das EuG die Klage von Herrn Latombe gegen das DPF vollständig abgewiesen. Latombe hatte argumentiert, dass das Abkommen nicht mit europäischen Grundrechten und der Datenschutz-Grundverordnung (DSGVO) vereinbar sei. Er bemängelte insbesondere eine angeblich fehlende Unparteilichkeit und Unabhängigkeit des DPRC sowie eine faktische Ermöglichung einer Massenüberwachung von EU-Bürgern.
Das EuG erkannte dementgegen jedoch keine Verletzung des Rechts auf wirksamen Rechtsschutz. Es stellte fest, dass das in den USA eingerichtete DPRC ein ausreichend unabhängiges und unparteiisches Kontrollorgan sei – obwohl das DPRC nicht durch ein Gesetz, sondern durch eine Executive Order geschaffen wurde.
Auch das Argument des Klägers, dass das DPF letztlich eine Massenerhebung von Daten durch US-Geheimdienste ermögliche, überzeugte das EuG nicht. Zwar könnten US-Behörden auch ohne vorherige richterliche Genehmigung auf personenbezogene Daten von EU-Bürgern zugreifen, jedoch sei die Datenerhebung durch präzise gesetzliche Vorgaben begrenzt, auf legitime Zwecke beschränkt und unterliege einer nachträglichen Kontrolle durch ausreichend unabhängige Gremien wie das DPRC.
4.3 Fazit und Ausblick
Für europäische Unternehmen ist es eine gute Nachricht, dass das DPF in Kraft bleibt, da es für die Übermittlung personenbezogener Daten in die USA – ein Thema, das nahezu alle europäischen Unternehmen betrifft – eine rechtssichere Grundlage bietet. Gleichzeitig dürfte die dem Urteil des EuG zugrundeliegende Klage nicht der letzte Versuch bleiben, das DPF zu Fall zu bringen. Zunächst besteht die Möglichkeit, dass Herr Latombe Berufung vor dem EuGH gegen die Entscheidung des EuG einlegt. Zudem hat die von Max Schrems, dem Initiator der beiden Schrems-Urteile des EuGH, geleitete NGO „none of your business“ (NOYB) bereits angekündigt, ebenfalls gegen das DPF vorgehen zu wollen. Je nach gewählter Verfahrensart könnten die Erfolgsaussichte tatsächlich höher einzuschätzen sein als bei der Klage von Herrn Latombe, da das EuG bei der Bewertung der von ihm erhobenen Nichtigkeitsklage ausschließlich den Zeitpunkt des Erlasses des dem DPF zugrundliegenden Angemessenheitsbeschlusses berücksichtigen durfte. Politische Entscheidungen der Trump-Administration, insbesondere die Entlassung mehrerer Mitglieder des PCLOB, blieben daher außen vor. Wir empfehlen Unternehmen daher weiterhin, die weitere Entwicklung aufmerksam zu verfolgen.
Marco Degginger
5. Leitlinien zum Zusammenspiel zwischen DSA und DSGVO
Am 12. September 2025 hat der Europäische Datenschutzausschuss (EDSA) Leitlinien zum Zusammenspiel zwischen dem Digital Services Act (DSA) und der Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Die Leitlinien sollen zu einer einheitlichen und kohärenten Auslegung und Anwendung des DSA und der DSGVO beitragen, da einige Bestimmungen des DSA die Verarbeitung personenbezogener Daten durch Vermittlungsdienste betreffen und Verweise auf Konzepte und Definitionen der DSGVO enthalten. Im Fokus stehen insbesondere datenschutzrechtliche Anforderungen bei der Bekämpfung illegaler Inhalte und der Umsetzung von Transparenzpflichten, bei Werbe- und Profilingaktivitäten sowie bei Maßnahmen zum Schutz von Minderjährigen.
Mit seiner Rolle als unabhängige Behörde der EU, die das Ziel verfolgt, eine einheitliche Anwendung der Datenschutzvorschriften sicherzustellen, vertritt der EDSA naturgemäß eine datenschutzfreundliche Position, die sich auch im generellen Tenor der Leitlinien widerspiegelt. Die Leitlinien haben zwar keinen rechtsverbindlichen Charakter, dienen jedoch als maßgebliche Orientierungshilfe für Praktiker, Unternehmen und Behörden. Sie bieten klare Handlungsempfehlungen, um die Anforderungen des DSA und der DSGVO in Einklang zu bringen und rechtliche Risiken zu minimieren.
5.1 Normverhältnis
Der EDSA stellt zunächst klar, dass der DSA nicht als lex specialis zu den allgemeinen Vorschriften für die Verarbeitung personenbezogener Daten nach der DSGVO zu verstehen ist. Vielmehr stehen beide Rechtsakte der EU im Hierarchieverhältnis auf einer Ebene. Anbieter von Vermittlungsdiensten unter dem DSA müssen bei der Umsetzung der Vorgaben des DSA daher auch die Pflichten der DSGVO beachten und die Vorgaben beider Rechtsakte in einer kompatiblen und kohärenten Weise umsetzen.
5.2 Verarbeitung personenbezogener Daten auf Grundlage des DSA
Bestimmungen des DSA können als Rechtsgrundlage für die Datenverarbeitung nach der DSGVO dienen. Dies ist insbesondere dann der Fall, wenn der DSA den Diensteanbietern Pflichten auferlegt, zu deren Erfüllung die Verarbeitung personenbezogener Daten im Sinne von Art. 6 Abs. 1 S. 1 lit. c DSGVO erforderlich ist. So kann etwa Art. 28 DSA für Anbieter von Online-Plattformen eine solche Rechtsgrundlage darstellen, soweit diese geeignete und verhältnismäßige Maßnahme zum Schutz von Minderjährigen ergreifen.
Eine Verarbeitung personenbezogener Daten unter dem DSA kann auf Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Hier nennt der EDSA z. B. Datenverarbeitungen im Rahmen freiwilliger Untersuchungen zur Erkennung, Feststellung und Entfernung rechtswidriger Inhalte gem. Art. 7 DSA.
Das Vorliegen eines Erlaubnistatbestandes nach der DSGVO entbindet den Diensteanbieter jedoch nicht davon, bei der Verarbeitung der Daten die allgemeinen Grundsätze der DSGVO einzuhalten. Insbesondere muss der Diensteanbieter das Prinzip der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO beachten und die Informationspflichten nach Art. 13 und 14 DSGVO einhalten.
5.3 Transparenzpflichten
Sowohl der DSA als auch die DSGVO enthalten Transparenzbestimmungen. Ergänzend zu den allgemeinen Regelungen der DSGVO in den Art. 12 ff., sieht der DSA anlassbezogene Transparenzpflichten vor. So enthalten Art. !4 Abs. 1 und Art. 15 Abs. 1 lit. c und e DSA zusätzliche Transparenzanforderungen für Diensteanbieter hinsichtlich ihrer Richtlinien, Verfahren, Maßnahmen und Tools, die zum Zwecke der Moderation von Inhalten eingesetzt werden. Weitere Transparenzbestimmungen finden sich in Art. 17 DSA, für den Fall einer Beschränkung des Dienstes, oder in Art. 26 Abs. 1 DSA bei der Darstellung von Werbung. Dabei ergänzen sich die Transparenzvorschriften und stehen nicht in Widerspruch zueinander. Die allgemeinen Transparenzvorgaben der DSGVO zur Datenverarbeitung dürften im Regelfall aber nicht genügen, um die spezifischen und anlassbezogenen Transparenzpflichten des DSA zu erfüllen.
5.4 Automatisierte Entscheidungen
Ein weiteres Spannungsfeld bieten automatisierte Entscheidungen (insbesondere das Profiling), die gem. Art. 22 Abs. 1 DSGVO grundsätzlich verboten sind. Diensteanbieter, die dem Anwendungsbereich des DSA unterliegen, greifen in der Praxis häufig auf solche Instrumente zurück – etwa im Rahmen von Untersuchungen nach rechtswidrigen Inhalten (Art. 7 DSA), bei der Bearbeitung von Meldungen über rechtswidrige Inhalte (Art. 16 f. DSA) oder beim Einsatz von Empfehlungssystemen (Art. 27 DSA). Darüber hinaus erhält der DSA in Art. 26 eigenständige Regelungen zum Ausspielen von Werbung, einschließlich eines Verbotes der Anzeige von Werbung, die auf Profiling unter Verwendung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO beruht (vgl. Art. 26 Abs. 3 DSA).
Die DSGVO hält in Art. 22 Abs. 2 lit. a bis c drei Rechtfertigungsgründe bereit, in denen eine automatisierte Entscheidungsfindung – auch im Anwendungsbereich des DSA – zulässig ist. Neben der Einwilligung der betroffenen Person (lit c.) dürfte dabei insbesondere die Zulässigkeit aufgrund von Rechtsvorschriften (lit. b) in der Praxis bedeutsam sein. Auch hier befreit die Zulässigkeit der automatisierten Entscheidungsfindung nach der DSGVO den Diensteanbieter nicht von der Pflicht zur Erfüllung der spezifischen Transparenzanforderungen des DSA (etwa Art. 26 Abs. 1 DSA) oder der allgemeinen Transparenzpflichten der DSGVO zur automatisierten Entscheidungsfindung (Art. 13 Abs. 2 lit. f DSGVO).
5.5 Schutz von Minderjährigen
Ein zentrales Ziel des DSA ist der Schutz von Minderjährigen im Internet. Nach Art. 28 Abs. 1 DSA sind Anbieter von Online-Plattformen, die für Minderjährige zugänglich sind, verpflichtet, geeignete und verhältnismäßige Maßnahmen zu ergreifen, um ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen zu gewährleisten. Art. 28 Abs. 3 DSA stellt dabei klar, dass die Anbieter nicht verpflichtet sind, zusätzliche personenbezogene Daten zu verarbeiten, um festzustellen, ob der Nutzer minderjährig ist. Der EDSA empfiehlt in diesem Zusammenhang, dass Anbieter von Online-Plattformen insbesondere Altersüberprüfungsmechanismen vermeiden sollten, die eine eindeutige Online-Identifizierung des Nutzes ermöglichen. Zudem sollten sie das konkrete Alter oder die Altersspanne des Nutzers nicht infolge ihres Altersüberprüfungsverfahrens schätzen, verifizieren oder dauerhaft speichern.
5.6 Fazit
DSA und DSGVO finden parallel Anwendung und ergänzen einander. Die Einhaltung der Anforderungen des einen Rechtsakts bedeutet jedoch nicht automatisch, dass auch die Vorgaben des jeweils anderen Rechtsakts erfüllt sind. Insbesondere im Hinblick auf Transparenz- und Informationspflichten kann es erforderlich sein, sowohl aus datenschutzrechtlicher Sicht als auch nach den spezifischen Vorgaben des DSA entsprechende Informationen bereitzustellen. Die Grundprinzipien der DSGVO – wie die Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit – sind jedoch in jedem Fall auch bei der Umsetzung der Anforderungen des DSA zu beachten.
Die Leitlinien des EDSA sind nun Gegenstand einer öffentlichen Konsultation. Interessenträger haben bis zum 31. Oktober 2025 Gelegenheit zur Stellungnahme.
Tobias Kollakowski
Marco Degginger
Junior PartnerRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 365
M +49 162 1313 994
Christian Saßenbach
LL.M. (Norwich), CIPP/E
Junior PartnerRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 115
M +49 151 1765 2240