Datenschutzrecht: 2026 steht im Zeichen richtungsweisender Entscheidungen

Für den AWV-Arbeitskreis „Datenschutz und Informationssicherheit“ war 2025 ein bewegtes Jahr. Zwar gab es aufgrund des Regierungswechsels hinsichtlich neuer Gesetzgebungsverfahren zunächst wenige Themen, bei denen unterstützt und beraten werden konnte. Doch hat allein der Europäische Gerichtshof (EuGH) mit richtungsweisenden Entscheidungen und Interpretationen Leitplanken bei der Verarbeitung personenbezogener Daten verstärkt, beziehungsweise neu eingezogen.

Maßgebliche Entscheidungen des EuGH

So betonte der EuGH in seiner Entscheidung vom 9. Januar 2025 (C-394/23), welche Anforderungen es an die Prüfung der Erforderlichkeit bei Vertragserfüllung und Interessenswahrung gibt, und stellte auch klar, dass er davon ausgeht, dass die Erfüllung der Informationspflichten hinsichtlich der Angabe der berechtigten Interessen auch eine Rechtmäßigkeitsvoraussetzung der Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DSGVO ist. Auch wenn sich der EuGH noch nicht dezidiert mit Fragen zur Künstlichen Intelligenz befasst hat, lassen sich aus seiner Entscheidung zu „Dun & Bradstreet Austria“ vom 27. Februar 2025 (C-203/21) doch seine Erwartungen an die Erklärbarkeit der involvierten Logik bei automatisierten Entscheidungen ableiten. Zum Jahresende hin nahm der EuGH auch am 4. September 2025 im Verfahren C-413/23 Stellung. Dabei ging es um die Frage, inwieweit ein für die abgebende Einheit pseudonymes Datum auch für die empfangende Entität ein anonymes oder pseudonymes Datum sein kann. Zu den Fragen der Haftungsfreistellung von Plattformbetreibern, wie bei Online-Marktplätzen, äußerte er sich am 2. Dezember 2025 (im Verfahren C-492/23) und stellte fest, unter welchen Bedingungen auch Plattformbetreiber zu einer eigenen und neuen datenschutzrechtlichen Verantwortlichkeit werden können.

Regulatorische Entwicklungen

Doch nicht nur diese Entscheidungen des EuGH können und werden bei Überlegungen zu regulatorischen Anpassungen diskutiert werden. Auf europäischer Seite hat der Vorschlag „Omnibus IV“ vom 21. Mai 2025 das Ziel, vor allem Erleichterungen für KMU bei der DSGVO zu erreichen. Insbesondere der Omnibus VII, der auch als „Digitaler Omnibus“ bezeichnet wird und am 19. November vorgestellt wurde, befasst sich auf europäischer Bühne mit Anpassungen in der DS-GVO. Einerseits sollen diese Änderungen zu einer Entbürokratisierung beitragen, andererseits aber auch rechtliche Sicherheit bei der Verarbeitung personenbezogene Daten vor dem Hintergrund technischer Entwicklungen sicherstellen.

Die Diskussion dazu hat gerade erst begonnen. Es ist daher davon auszugehen, dass die Gesetzgeber 2026 auf nationaler Ebene datenschutzgesetzliche Vorhaben angehen werden. Dies ergibt sich sowohl aus dem Sofortprogramm der Bundesregierung, die ein Beschäftigtendatenschutzgesetz in Aussicht stellt, als auch aus den Beschlüssen der Ministerpräsidentenkonferenz vom 4. Dezember, in der auch eine sogenannte „Vereinfachung des Datenschutzrechts“ in Aussicht gestellt wird, die über Änderungen im Bundesdatenschutzgesetz umzusetzen sind. Der Arbeitskreis 4.3 Datenschutz und Informationssicherheit wird sich mit all diesen Vorschlägen in seinen Sitzungen befassen und mit den Mitgliedern ggf. entsprechende Stellungnahme erarbeiten. Datengetriebene Geschäftsmodelle sind ebenso wie die Datenverarbeitung zur Umsetzung gesetzlicher oder vertraglicher Erforderlichkeiten in der Wirtschaft und Verwaltung nicht mehr hinwegzudenken. Hier sieht der Arbeitskreis seine Aufgabe im Jahr 2026: Wir wollen die Ziele des Gesetzgebers, durch aufwandsminimierte Umsetzungsvorschläge, über Gespräche und Stellungnahmen unterstützen.

Veröffentlichung des Arbeitskreises

Seine Fähigkeit mit praxisnahen und leicht verständlichen Hinweisen bei der Umsetzung rechtlicher Vorgaben zu unterstützten, hat der AK mit einer Aktualisierung der Broschüre „Webseiten rechtskonform gestalten“ unter Beweis gestellt. Mit ihr können die rechtlichen Anforderungen an Webseiten und Apps, die sich aus datenschutzrechtlicher Regulatorik ergeben, umgesetzt werden.

→ zur kostenfreien Publikation „Websites rechtskonform gestalten”

Mitglieder des Arbeitskreises

Aber wie jeder Arbeitskreis lebt auch der AK 4.3 vom Engagement und der Mitwirkungsbereitschaft der Teilnehmenden. Hier ist den Mitgliedern des Arbeitskreises zu danken, die immer wieder die Bereitschaft zeigten an Gesprächsrunden und Stellungnahmen mitzuwirken. Wir freuen uns auch 2026 auf neue, interessierte Mitglieder, die uns helfen, das Grundrechtsthema Datenschutz an der Schnittstelle zwischen Wirtschaft und Verwaltung in einem angemessenen Umfang zu platzieren.