1. Neue Barrierefreiheitsanforderungen für Produkte und Dienstleistungen
von Johannes Berchtold, LL.M.
Ab dem 28. Juni 2025 gilt das Barrierefreiheitsstärkungsgesetz (BFSG) und setzt den European Accessibility Act in Deutschland um. Das BFSG verpflichtet Wirtschaftsakteure sicherzustellen, dass bestimmte Produkte und Dienstleistungen – darunter Webshops, Geldautomaten und Bankdienstleistungen – barrierefrei zugänglich sind.
Fazit: Unternehmen sollten frühzeitig prüfen, ob sie betroffen sind, und Maßnahmen zur Umsetzung der Barrierefreiheitsanforderungen einleiten.
2. Abschaffung der Europäischen Plattform für Online-Streitbeilegung
von Dr. Alexander Hardinghaus, LL.M.
Als Folge der Annahme der Verordnung EU 2024/3228 wird die Verordnung (EU) Nr. 524/2013 aufgehoben und die Europäische Plattform zur Online-Streitbeilegung („OS-Plattform“) zum 20. Juli 2025 eingestellt.
Bereits seit dem 20. März 2025 können Verbraucher keine Beschwerden mehr über die OS-Plattform einreichen. Allerdings entfallen die Informationspflichten für Online-Händler und Online-Marktplätze betreffend die OS-Plattform erst mit Ablauf des 19. Juli 2025.
Fazit: Hinweise auf die OS-Plattform auf Webseiten, in Emails und/oder in allgemeinen Geschäftsbedingungen müssen ab dem 20. Juli 2025 komplett entfernt werden.
3. EuGH: Geschlechtsidentität nicht erforderlich für Erwerb eines Zugtickets
von Sven Schonhofen, LL.M.
Der EuGH hat mit Urteil vom 9. Januar 2025 (Rechtssache C-394/23) entschieden, dass die verpflichtende Angabe der Anrede (Herr oder Frau) beim Onlineerwerb von Zugtickets gegen den Grundsatz der Datenminimierung verstößt. Die Personalisierung der geschäftlichen Kommunikation anhand der Geschlechtsidentität sei weder objektiv unerlässlich für die Erfüllung eines Schienentransportvertrags noch durch berechtigte Geschäftsinteressen gerechtfertigt.
Fazit: Das Urteil zeigt auf, dass Unternehmen prüfen müssen, ob Pflichtangaben in ihren Formularen wirklich zwingend erforderlich sind. Hinsichtlich der Anrede müssen sie gegebenenfalls geschlechtsneutrale Angaben verwenden.
4. EuGH: Umfassende datenschutzrechtliche Informationspflichten bei automatisierten Einzelentscheidungen
von Lukas Willecke
In seinem Urteil vom 3. März 2025 (Rechtssache C-203/22) entschied der EuGH, dass Verantwortliche den betroffenen Personen umfassende Informationen über das Verfahren und die Grundsätze geben müssen, die bei automatisierten Einzelentscheidungen (z.B. Kreditscoring) angewendet wurden.
Art. 15 Abs. 1 lit. h) DSGVO gibt der betroffenen Person das Recht, eine Erklärung über die Funktionsweise der automatisierten Entscheidungsfindung zu erhalten, der sie unterworfen wurde, sowie über das Ergebnis dieser Entscheidung. Die Erklärung muss es der betroffenen Person ermöglichen, die automatisierte Entscheidung zu verstehen, damit sie ihre Rechte, insbesondere nach Artikel 22 Abs. 3 DSGVO, wirksam ausüben kann. In dieser Erklärung muss jedoch nicht der Bewertungsalgorithmus selbst offengelegt werden.
Fazit: Die Entscheidung des EuGH betrifft nicht nur das Kreditscoring, sondern sämtliche automatisierten Einzelentscheidungen. Verantwortliche sollten prüfen, ob die von ihnen bereitgestellten Informationen umfassend und verständlich sind.
5. EuGH: Zulässigkeit der Verarbeitung personenbezogener Daten in Betriebsvereinbarungen
von Elisa Saier
Der EuGH hat mit Urteil vom 19. Dezember 2024 (Rechtssache C-65/23) entschieden, dass eine Betriebsvereinbarung Regelungen zur Datenverarbeitung im Beschäftigungskontext festlegen kann. Diese Regelungen der Betriebsvereinbarung müssen die Anforderungen der Vorschriften zur Verarbeitung personenbezogener Daten nach Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1, 2 DSGVO erfüllen, insbesondere in Bezug auf die Erforderlichkeit und den Schutz personenbezogener Daten von Beschäftigten. Der EuGH entschied außerdem, dass nationale Gerichte befugt sind, die Erforderlichkeit der Datenverarbeitung umfassend zu überprüfen, auch wenn diese durch Betriebsvereinbarung festgelegt wurde.
Fazit: Das Urteil stärkt den Schutz personenbezogener Daten von Beschäftigten, indem es sicherstellt, dass im Rahmen von Betriebsvereinbarungen alle relevanten DSGVO-Bestimmungen eingehalten werden müssen und eine umfassende gerichtliche Kontrolle auch bei bestehender Betriebsvereinbarungen möglich ist.
6. OLG Hamm: Kein Schadensersatz ohne Nachweis eines Kontrollverlust
von Dr. Hannah von Wickede
Das OLG Hamm hat mit Urteil vom 29. November 2024 (Az.: 25 U 25/24) als eines der ersten Oberlandesgerichte nach der vielbeachteten BGH-Entscheidung vom Herbst letzten Jahres (BGH, Urteil vom 18. November 2024 – Az.: VI ZR 10/24) klargestellt, dass Betroffene eines Scraping-Vorfalls keinen Schadensersatz nach der DSGVO erhalten, sofern sie keinen konkreten Kontrollverlust über ihre Daten nachweisen können. Nachzuweisen ist nämlich, dass die Kläger die Hoheit über ihre Daten nicht schon vor dem Scraping-Vorfall verloren hatten. Andernfalls ist ein Schadensersatz wegen eines Kontrollverlusts schon deshalb ausgeschlossen.
Fazit: Auch oder gerade nach der klägerfreundlichen Entscheidung des BGH bleibt die Nachweispflicht der Kläger bezüglich des Vorliegens des geltend gemachten Kontrollverlusts wesentlich für die Erfolgsaussichten von Schadensersatzklagen nach Art. 82 DSGVO.
7. VG Wiesbaden: Fehlende Datenschutzfolgenabschätzung beeinträchtigt materielle Zulässigkeit der Datenverarbeitung nicht
von Dr. Thomas Fischl
Das VG Wiesbaden hat mit Urteil vom 18. Dezember 2024 (Az.: 6 K 1563/21.WI) entschieden, dass eine nicht oder fehlerhaft durchgeführte Datenschutzfolgenabschätzung (DSFA) die materielle Zulässigkeit der Verarbeitung personenbezogener Daten nicht beeinträchtigt. Die DSFA selbst ist nach Art. 35 Abs. 1 DSGVO nur erforderlich, wenn eine Verarbeitung voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Jedoch steht dies in keinem Zusammenhang zur materiellen Zulässigkeit der Verarbeitung an sich, welche sich nach Art. 6 Abs. 1 DSGVO richtet. In dem Verfahren ging es um die Frage, ob ein Betroffener einen Anspruch auf Ausstellung eines Personalausweises ohne die Aufnahme von Fingerabdrücken hat – dies lehnt das VG ab.
Fazit: Das VG zeigt hier klar auf, dass für die materielle Rechtmäßigkeit der Verarbeitung nur Art. 6 Abs. 1 DSGVO relevant ist. Dennoch sollte die Pflicht zur DSFA nicht vernachlässigt werden, da Verstöße mit erheblichen Bußgeldern geahndet werden können.
8. OLG Karlsruhe: Strenge Anforderungen an die Speicherung personenbezogener Daten zur Rechtsverteidigung
von Joana Becker
Das OLG Karlsruhe entschied in seinem Urteil vom 15. Januar 2025 (Az.: 14 U 150/23), dass die Beklagte personenbezogene Daten der Klägerin, die im Zusammenhang mit der vorübergehenden Deaktivierung ihres Accounts gespeichert wurden, löschen muss. Die Ausnahme zur Löschpflicht gemäß Art. 17 Abs. 3 e) DSGVO greift nicht, wenn die Möglichkeit einer weiteren Klage nur abstrakt und unwahrscheinlich ist. Das Gericht stellte klar, dass eine abstrakte Möglichkeit einer zukünftigen Klage nicht ausreicht, um Daten weiterhin zu speichern.
Fazit: Das Urteil des OLG Karlsruhe setzt eine sehr enge Grenze für die Speicherung personenbezogener Daten zur Rechtsverteidigung. Dies könnte in der Praxis dazu führen, dass Unternehmen wichtige Beweismittel löschen müssen, obwohl ein tatsächlicher Bedarf zur Aufbewahrung besteht, etwa um sich in unvorhersehbaren rechtlichen Auseinandersetzungen zu verteidigen.
9. VG Bremen: Nachweis der Datenlöschung nach DSGVO
von Tim Sauerhammer
Das VG Bremen entschied mit Urteil vom 17. Dezember 2024 (Az.: 4 K 2298/23), dass Unternehmen nach Art. 5 Abs. 2 DSGVO detaillierte Nachweise über die Löschung personenbezogener Daten erbringen müssen und die pauschale Angabe, dass die Daten aus einer Excel-Tabelle gelöscht worden seien, nicht ausreicht. Vielmehr ist anzugeben, wann exakt die Löschung erfolgte, welche Dateibezeichnung und welchen Umfang die Daten hatten, der exakt zu benennende Speicherort und welche Software-Versionen (etwa mit Cloudspeichermöglichkeiten) zur Nutzung der Dateien im Einsatz waren und was mit Daten in einem evtl. vorhandenen Backup geschehen ist.
Fazit: Ein strukturiertes Löschkonzept ist essenziell, um den Nachweis der Löschung zu gewährleisten und datenschutzrechtlichen Anforderungen gerecht zu werden.
10. OLG Dresden: Bewertungsplattform muss Identität von Bewertenden nicht immer offenlegen
von Friederike Wilde-Detmering, M.A.
Das OLG Dresden hat mit Urteil vom 17. Dezember 2024 (Az.: 4 U 744/24) entschieden, dass eine Plattform für Arbeitgeberbewertungen die Identität eines Bewerters nicht offenlegen muss, wenn die Bewertung zulässig ist und keine rechtswidrigen Inhalte enthält. Das klagende Unternehmen hatte die Löschung einer negativen Bewertung verlangt, die es als Schmähkritik und unwahr ansah. Das Gericht sah die Bewertung jedoch als von der Meinungsfreiheit gedeckt an und hielt die von der Plattform vorgelegten Nachweise für ein Arbeitsverhältnis des Bewerters für ausreichend.
Fazit: Kläger erhalten nicht ohne Weiteres Auskunft über Bewertende, insbesondere, wenn ein der Bewertung zugrundeliegendes Verhältnis nachgewiesen wurde und die Bewertung kein Rechte verletzt.
11. Einführung eines überarbeiteten Verhaltenskodex in das Gesetz über digitale Dienste
von Florian Schwind
Am 20. Januar 2025 wurde der überarbeitete Verhaltenskodex zur Bekämpfung rechtswidriger Hassreden im Internet („Code of Conduct+“, verfügbar hier) in den Rechtsrahmen des Gesetzes über digitale Dienste (Digital Services Act – „DSA“) integriert. Der Code of Conduct+ baut auf dem bereits 2016 verabschiedeten Verhaltenskodex auf und stärkt den Umgang von Online-Plattformen mit rechtswidriger Hassrede – gemäß der Definition des EU- oder des mitgliedstaatlichen Rechts. Der Code of Conduct+ enthält Verpflichtungen wie die Festlegung transparenter Nutzungsbedingungen oder die Einführung wirksamer Melde- und Abhilfeverfahren.
Fazit: Organisationen, die Anbieter einer sehr großen Online-Plattform oder Suchmaschine sind, können sich als Maßnahme zur Risikominderung gemäß Art. 35 des DSA an den freiwilligen Code of Conduct+ halten.
12. OLG Köln: Strenge Vorgaben beim Kündigungsbutton
von Dr. Carsten Dobler
Mit Urteil vom 10. Januar 2025 (Az.: 6 U 62/24) hat das OLG Köln entschieden, dass das Bestätigungsfeld beim Online-Kündigungsbutton nicht erst nach Eingabe der zwecks Identifikation des Verbrauchers abgefragten Daten, sondern unmittelbar eingeblendet werden muss, nachdem Verbraucher über die Kündigungsschaltfläche auf die Bestätigungsseite gelangt sind. Das Gericht betonte, dass die gesetzgeberische Konzeption und der Wortlaut von § 312k Abs. 2 S. 3 Nr. 1 und Nr. 2 BGB ein lediglich zweistufiges Verfahren vorsehen: Die auf einer Website vorzuhaltende Kündigungsschaltfläche müsse zu einer Bestätigungsseite führen, auf der die erforderlichen Angaben gemacht werden können und eine Bestätigungsschaltfläche sofort sichtbar sei. Andernfalls bestehe die Gefahr, dass Verbraucher von der Ausübung ihres Kündigungsrechts unzulässig abgehalten werden, da ihnen nicht klar sei, wie viele Schritte bis zur Kündigung erforderlich seien.
Fazit: Die gesetzlichen Anforderungen an den Kündigungsbutton werden streng ausgelegt und lassen wenig Spielraum.
Lesehinweise zum IT und Datenschutzrecht
von Sven Schonhofen, LL.M.
- Neue Digitalgesetze 2025 – mehr auf unserem Blog
- Künstliche Intelligenz
- AI Office: Lebendes Repository zur Förderung des Lernens und des Austauschs über KI-Kompetenz
- EU Kommission: Leitlinien zu verbotenen Praktiken der künstlichen Intelligenz
- EU Kommission: Leitlinien zur Definition von KI-Systemen
- EDSA: Stellungnahme zu KI-Modellen
- EDSA: AI Privacy Risks & Mitigations LLMs
- CNIL: AI Sheets
- OECD: Geistiges Eigentum und Künstliche Intelligenz hinsichtlich gescrapten Daten
- EU Kommission: Aktualisiertes FAQ zum Data Act
- EDSA:
- Berlin Group - Internationale Arbeitsgruppe für Datenschutz in der Technologie
- Datenschutzbehörde NRW: Private Videoüberwachung
- CNIL: TIA Leitfaden
- BayLfD: Arbeitspapier „Der Sozialdatenschutz unter der Datenschutz-Grundverordnung“
EU-Datenstrategie: Bleiben Sie auf dem Laufenden zu Data Act, AI Act, Digital Services Act, NIS2, Cyberresilliance Act, European Health Space mit unserer Blogreihe.
Freuen Sie sich außerdem auf unsere Blogreihe "Tech Litigation News", in der wir spannende Einblicke und Analysen zu aktuellen Themen der Plattform- und Datenschutz-Litigation präsentieren.
Hören Sie sich den Reed Smith Podcast, Tech Law Talks, an. In unserem Podcast besprechen unsere Tech und Data Anwälte regelmäßig aktuelle Themen aus den Bereichen Datenschutz, Datensicherheit, Risikomanagement, IP, Social Media und mehr.
AI Explained ist unsere Reihe von Videos und Podcasts zum Thema künstliche Intelligenz, die Perspektiven zum Einsatz von KI in vielen Sektoren/Branchen und Rechtsordnungen bieten. Wir befassen uns mit den wichtigsten Herausforderungen, Chancen, Risiken und Vorschriften in den verschiedenen Sektoren.
Um immer aktuelle Informationen zu bekommen, besuchen Sie unseren Blog Technology Law Dispatch.
Nehmen Sie an unserem Webinar „European Data Strategies 2.0 – Navigating the Evolving Regulatory Landscape” am 28. Mai 2025 teil. Dieses Webinar behandelt die wichtigsten Entwicklungen in den Bereichen Künstliche Intelligenz, Data Governance, Datenschutz, Cybersicherheit und Compliance seit unserer letzten Veranstaltung im Jahr 2024. Sie können sich hier anmelden.
