Datenrecht.at

Das Parlamentarische Datenschutzkomitee (PDK), Österreichs zweite Datenschutz-Aufsichtsbehörde neben der DSB, hat gemäß § 35e Abs. 3 in Verbindung mit § 23 DSG bis zum 31. März eines jeden Jahres einen Tätigkeitsbericht zu erstellen. Dieser wurde nun hier (pünktlich) veröffentlicht: Dokument öffnen (PDF)

Ein von Dr. TJ McIntyre im Auftrag des Europäischen Datenschutzausschusses (EDSA) ​verfasster Bericht (pdf) analysiert, wie Datenschutz-Aufsichtsbehörden die Rechtsgrundlage des berechtigten Interesses gemäß Art 6 Abs 1 lit f DSGVO in der Praxis auslegen. Die Fallstudie untersucht zahlreiche grenzüberschreitende Entscheidungen, die Themen wie Betrugsprävention, Direktmarketing und Bonitätsprüfungen abdecken. Ein zentraler Fokus liegt dabei auf dem Drei-Stufen-Test, mit dem die Zulässigkeit, Erforderlichkeit und Abwägung der auf berechtigte Interessen gestützte Datenverarbeitungen bewertet wird. Der Bericht verdeutlicht zudem häufige Fehler von Unternehmen, insbesondere mangelnde Transparenz oder unzureichende Dokumentation der Interessenabwägung. Abschließend werden Herausforderungen bei der grenzüberschreitenden Rechtsdurchsetzung sowie das komplexe Zusammenspiel mit der E-Privacy-Richtlinie erörtert.

Mit dem im November 2025 von der Europäischen Kommission vorgelegten Vorschlag einer „Digital-Omnibus-Verordnung zur KI“ sollen spezifische Umsetzungsprobleme der KI-VO (AI Act) adressiert, der regulatorische Aufwand reduziert und der Zeitplan für die Anwendung bestimmter Vorschriften angepasst werden - aber auch dieser Vorschlag muss durch das europäische Gesetzgebungsverfahren. Hier gibt es nun wichtige Entwicklungen:

Sowohl der Rat der Europäischen Union als auch die federführenden Ausschüsse des Europäischen Parlaments haben nun ihre Verhandlungspositionen formuliert. Der Europäische Rat hat am 13. März 2026 seine allgemeine Ausrichtung (Verhandlungsmandat) festgelegt. Der Rat unterstützt die grundsätzliche Stoßrichtung des Kommissionsvorschlags zur Entbürokratisierung, nimmt jedoch wesentliche juristische Präzisierungen und Ergänzungen vor:

• Verbindliche Anwendungsfristen: Statt einer an die Verfügbarkeit von Normen geknüpften Frist fordert der Rat fixe Stichtage für die verzögerte Anwendbarkeit der Vorschriften für Hochrisiko-KI-Systeme. Diese sollen ab dem 2. Dezember 2027 für eigenständige Hochrisiko-KI-Systeme und ab dem 2. August 2028 für in Produkte eingebettete Hochrisiko-KI-Systeme gelten.
• Ausweitung der Verbotsnormen: Das Mandat des Rates sieht ein neues Verbot für KI-Praktiken vor, die nicht einvernehmliche sexuelle und intime Inhalte (sogenannte Deepfakes) oder Darstellungen von sexuellem Kindesmissbrauch generieren.
• Datenschutz und Bias-Korrektur: Bei der Verarbeitung besonderer Kategorien personenbezogener Daten zum Zweck der Erkennung und Korrektur von Verzerrungen (Bias) hat der Rat den strikten Maßstab der unbedingten Notwendigkeit wieder in den Text aufgenommen.
• Registrierungspflichten: Die Pflicht zur Registrierung in der EU-Datenbank wurde für Anbieter von Nicht-Hochrisiko-KI-Systemen durch den Rat wiederhergestellt..

Am 18. März 2026 nahmen die Ausschüsse für Binnenmarkt (IMCO) und bürgerliche Freiheiten (LIBE) ihren gemeinsamen Bericht zum Vorschlag an. Die Position der Parlamentarier deckt sich in wesentlichen Punkten mit der des Rates, setzt jedoch eigene wirtschafts- und verbraucherschutzrechtliche Akzente:

• Konvergenz bei Fristen und Verboten: Die Ausschüsse schließen sich den vom Rat geforderten festen Fristen (Dezember 2027 und August 2028) für Hochrisiko-Systeme an. Ebenso befürworten sie das spezifische Verbot von sogenannten „Nudifier“-Systemen, die ohne Einwilligung der betroffenen echten Personen explizite sexuelle Bilder erstellen oder manipulieren.
• Markierungspflichten: Im Hinblick auf die Übergangsfristen zur Einhaltung der Vorschriften für Wasserzeichen (Kennzeichnung von KI-generierten Inhalten) schlagen die Abgeordneten eine verkürzte Frist bis zum 2. November 2026 vor, statt der von der Kommission angedachten Verlängerung bis Februar 2027.
• Ausnahmen für KMU und SMCs: Um europäische Unternehmen beim Wachstum zu unterstützen, billigten die Ausschüsse die Ausweitung vereinfachter Dokumentationspflichten auf kleine Unternehmen mit mittlerer Marktkapitalisierung (Small Mid-Cap Enterprises, SMCs).
• Kohärenz mit sektorspezifischem Recht: Ein zentrales Anliegen der Ausschüsse ist die Vermeidung regulatorischer Doppelbelastungen. Verpflichtungen aus dem KI-Gesetz sollen für Produkte, die bereits sektoralen EU-Rechtsvorschriften (wie z. B. für Medizinprodukte oder Maschinensicherheit) unterliegen, weniger streng ausfallen.

Ausblick und nächste Verfahrensschritte
Bevor die finalen Kompromisse zum Gesetzestext ausgehandelt werden können, bedarf es noch der formellen Bestätigung des parlamentarischen Mandats. Die Abstimmung über das Verhandlungsmandat der IMCO- und LIBE-Ausschüsse im Plenum des Europäischen Parlaments ist für den 26. März 2026 vorgesehen.

Trilog-Verhandlungen: Mit der formellen Billigung durch das Parlament können unmittelbar die interinstitutionellen Trilog-Verhandlungen zwischen dem EU-Rat, dem Europäischen Parlament und der EU-Kommission beginnen. Laut Kai Zenner ist das Inkrafttreten für Anfang August 2026 geplant. Wohlgemerkt sind die (separat) vorgeschlagenen Änderungen der DSGVO (und anderer Rechtsakte) davon nicht umfasst, hier könnte es erst Ende 2026/Anfang 2027 zu einer Einigung kommen.

Der Europäische Gerichtshof hat am 19.3. 2026 in der Rs Brillen Rottler (C-526/24) ein Urteil zu rechtsmissbräuchlichen Auskunftsanträgen gefällt.

Sachverhalt:
Ein Nutzer abonnierte den Newsletter eines Optikers und stellte 13 Tage später einen Auskunftsantrag. Das Unternehmen verweigerte die Auskunft unter Verweis auf öffentliche Berichte, wonach der Nutzer systematisch Newsletter abonniere, um Auskunft zu verlangen und anschließend Schadenersatz zu fordern.

Kernaussagen des Urteils:
Auch ein erstmaliges Auskunftsbegehren nach Art 15 DSGVO kann gem Art 12 Abs 5 DSGVO als exzessiv und missbräuchlich eingestuft werden, allerdings ist der Begriff „exzessive Anträge“ eng auszulegen und der Nachweis des exzessiven Charakters vom Verantwortlichen zu erbringen.
Ein Missbrauch liegt vor, wenn der Antrag nicht zur Überprüfung der Datenverarbeitung gestellt wird, sondern in der Absicht, “künstlich” die Voraussetzungen für Schadenersatz zu schaffen. Öffentlich zugängliche Informationen über systematische Auskunftsanträge und Schadenersatzforderungen der auskunftsbegehrenden Person können vom Verantwortlichen dabei als Beweis für diese Absicht mitberücksichtigt werden.
Die bloße Verletzung des Auskunftsrechts nach Art 15 DSGVO kann einen Schadenersatzanspruch nach Art 82 Abs 1 DSGVO begründen, auch ohne dass eine unrechtmäßige Datenverarbeitung stattgefunden hat. Der immaterielle Schaden umfasst zwar grundsätzlich den Kontrollverlust über eigene Daten - führt die betroffene Person diesen Kontrollverlust jedoch durch ihr eigenes Verhalten absichtlich herbei, um die Voraussetzungen für einen Schadenersatz zu schaffen, entfällt der Anspruch, da sie selbst die entscheidende Ursache gesetzt hat (Unterbrechung des Kausalzusammenhangs).

Am 19.3.2026 hat der Europäische Datenschutzausschuss (EDPB) den Startschuss für seine diesjährige koordinierte Prüfmaßnahme (Coordinated Enforcement Framework - CEF) gegeben. Nachdem im vergangenen Jahr das Recht auf Löschung geprüft wurde, rückt 2026 ein neues, für uns alle hochrelevantes Thema in den Fokus: die Einhaltung der Transparenz- und Informationsverpflichtungen unter der DSGVO.

Was bedeutet das aus österreichischer Sicht?
Die österreichische Datenschutzbehörde (DSB) hat bereits bestätigt, dass sie sich auch im Jahr 2026 an dieser europaweit zwischen 25 Datenschutzbehörden koordinierten Maßnahme beteiligen wird. Für Verantwortliche heißt es daher aufpassen: Die Behörde wird demnächst gezielt Verantwortliche aus unterschiedlichen Sektoren kontaktieren - erfahrungsgemäß mit einem detaillierten Fragebogen. Nähere Details zum genauen Vorgehen in Österreich wird die DSB zu einem späteren Zeitpunkt noch bekannt geben.

Warum gerade Transparenz?
Die DSGVO stellt durch die Artikel 12, 13 und 14 sicher, dass betroffene Personen darüber informiert werden, wenn ihre Daten verarbeitet werden. Dieses Recht auf Information ist ein Kernelement der Transparenz und sorgt dafür, dass Betroffene mehr Kontrolle über ihre personenbezogenen Daten behalten. Art 12 Abs 1 DSGVO, der Ausdruck des Transparenzgrundsatzes ist, soll laut EuGH gewährleisten, dass die betroffene Person in die Lage versetzt wird, die an sie gerichteten Informationen in vollem Umfang zu verstehen (EuGH 4.5.2023, C‑487/21, Rn 38; 11.7.2024, C‑757/22, Rn 56 ff).

Wie geht es weiter?
In der zweiten Jahreshälfte 2026 werden die teilnehmenden Behörden ihre gesammelten nationalen Erkenntnisse austauschen und aggregieren. Ziel ist es, tiefere Einblicke in die praktische Umsetzung der Informationspflichten zu gewinnen und einen gemeinsamen Bericht zu erstellen. Dieser wird schließlich vom EDPB verabschiedet und soll gezielte Folgemaßnahmen sowohl auf nationaler als auch auf EU-Ebene ermöglichen.

Gemeinsam mit Michael Löffler habe ich in der Fachzeitschrift für Wirtschaftsrecht ecolex einen Beitrag zum aktuellen Thema “Aufzeichnung und Transkription von Online-Konferenzen” verfasst. Bei der Aufnahme bzw Transkription von Online-Konferenzen stellen sich naturgemäß Fragen zur rechtskonformen Datenverarbeitung, insbesondere zur DSGVO und zum AI Act - unser Beitrag beleuchtet neben diesen Kernthemen auch Aspekte des Persönlichkeitsschutzes (§ 16 ABGB; §§ 77 f UrhG), das TKG 2021, streift das Strafrecht und gibt am Ende Praxistipps. Der Aufsatz ist hier (paywall) abrufbar.

Der Europäische Datenschutzausschuss (EDSA) hat im März seine jährliche Maßnahme im Rahmen des Coordinated Enforcement Framework (CEF) für das Jahr 2025 eingeleitet. Nach dem Schwerpunkt auf dem Recht auf Auskunft im Jahr 2024 rückt in diesem Jahr die Umsetzung des Rechts auf Löschung (Recht auf Vergessenwerden) gemäß Artikel 17 DSGVO in den Fokus – nicht zuletzt, da das Recht auf Löschung zu den am häufigsten ausgeübten Betroffenenrechte zählt und Gegenstand von Beschwerden durch Betroffene ist.

32 Datenschutzbehörden in ganz Europa, darunter auch die österreichische Datenschutzbehörde (DSB), beteiligen sich an dieser Initiative im Jahr 2025. Die teilnehmenden Behörden werden Verantwortliche aus verschiedenen Sektoren kontaktieren und entweder Untersuchungen einleiten oder bestehende Ermittlungen weiterführen. Die DSB hat unter Hinweis auf den CEF-Schwerpunkt Ende März 2025 bekannt gegeben, dass sie amtswegige Prüfverfahren gegen Landespolizeidirektionen eingeleitet hat, wobei ein besonderer Fokus auf der Umsetzung des Rechts auf Löschung (sowie den Modalitäten zur Ausübung von Betroffenenrechten) liegt.

Im Rahmen der koordinierten Aktion werden die Datenschutzbehörden prüfen, wie die für die Verarbeitung Verantwortlichen mit eingegangenen Löschungsanträgen umgehen und darauf reagieren. Kerninstrument der gemeinsamen Initiative ist ein europaweit abgestimmter Fragebogen zur Umsetzung des Rechts auf Löschung durch Verantwortliche. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat hier die wesentlichen Inhalte des Fragebogens zur Mittel zur Selbstkontrolle zur Implementierung des Art 17 DSGVO veröffentlicht.

Die Ergebnisse dieser Initiative sollen im Rahmen des EDSA analysiert und in einem Bericht publiziert werden.

Alle im Bereich des Datenschutzrechts tätige Personen sollten die Entwicklungen im Rahmen des CEF 2025 aufmerksam verfolgen, da die Ergebnisse wichtige Erkenntnisse und möglicherweise Anpassungen für die Prozesse von Verantwortlichen mit sich bringen können. Zudem ist zu empfehlen, auf Basis des veröffentlichten Fragebogens bereits jetzt eine „Selbstevaluierung“ vorzunehmen.

(Von mir verfasster Blogbeitrag, zuerst erschienen bei https://researchinstitute.at/cef-2025-koordinierte-durchsetzung-des-rechts-auf-loeschung-gestartet/) 

Die deutsche Datenschutzkonferenz hat vor kurzem die aktualisierte “Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von digitalen Diensten (OH Digitale Dienste)” in der Version 1.2 veröffentlicht.

Grundsätzlich ist gemäß § 25 Abs. 1 Satz 1 TDDDG die Speicherung von Informationen in der Endeinrichtung von Nutzenden oder der Zugriff auf solche Informationen, die bereits in der Endeinrichtung gespeichert sind, nur mit Einwilligung der Endnutzer:innen zulässig (siehe in Österreich § 165 Abs 3 TKG 2021 und diese FAQ der österreichischen Datenschutzbehörde). Die OH enthält u.a. Ausführungen zur Anforderungen an die Einwilligung vor dem Setzen von Cookies und eine Abgrenzung der Anwendungsbereiche des TDDDG [Anm: entsprechend den Vorgaben der ePrivacyRL) und der DSGVO. Die Orientierungshilfe ergänzt laut DSK die im Oktober 2024 in finaler Fassung veröffentlichten EDSA Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive.