Müde von allgemeinen Newslettern, die nur oberflächlich auf Ihre wirklichen Anliegen eingehen? Dastra Insights bietet rechtliche und regulatorische Überwachung, speziell zugeschnitten für Datenschutzbeauftragte, Rechtsanwälte und Datenschutzfachleute.
Jeden Monat gehen wir über eine reine Zusammenfassung hinaus: Wir wählen etwa zehn Entscheidungen, Nachrichten oder Positionen aus, die konkrete Auswirkungen auf Ihre Aufgaben und Organisationen haben.
🎯 Gezielte, nützliche Überwachung, verankert in den praktischen Realitäten von Datenschutz und KI.
Hier unsere Auswahl für Januar 2026:
Information der Betroffenen: die CNIL verhängt gegen ein Unternehmen eine Geldbuße wegen Übermittlung von Daten an ein soziales Netzwerk zu Werbezwecken ohne Einwilligung
Am 30. Dezember 2025 hat die CNIL eine Geldbuße in Höhe von 3,5 Mio. € verhängt gegen ein Unternehmen, weil es Daten von Mitgliedern seines Treueprogramms an ein soziales Netzwerk zu Zwecken der Werbezielausspielung übermittelt hat, ohne eine gültige Einwilligung einzuholen.
Zur Werbezielausspielung in sozialen Netzwerken erinnert der European Data Protection Board (EDPB) in seinen Guidelines 8/2020 zur Ansprache von Nutzern sozialer Netzwerke, angenommen am 13. April 2021, daran, dass der Targeter als Verantwortlicher zu qualifizieren ist, wenn er „die Zwecke und Mittel der Verarbeitung bestimmt“, indem er personenbezogene Daten der Betroffenen gegenüber dem Anbieter sozialer Medien für Werbezwecke aktiv erhebt, verarbeitet und übermittelt.
Das sanktionierte Unternehmen ist daher als Verantwortlicher für die Verarbeitung im Zusammenhang mit der Datenübermittlung an das soziale Netzwerk anzusehen.
Nach Artikel 6 Absatz 1 der DSGVO ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn sie auf einer der im Regelwerk vorgesehenen Rechtsgrundlagen beruht, insbesondere auf der Einwilligung der betroffenen Person.
Die eingeschränkte Kammer der CNIL stellte fest, dass allein aus den Angaben im Anmeldeformular des Treueprogramms die den Mitgliedern bereitgestellten Informationen nicht ausreichten, um eine informierte Einwilligung in die Übermittlung ihrer Daten an ein soziales Netzwerk für zielgerichtete Werbung zu gewährleisten. Zwar wurden dort elektronische Werbung (per SMS und/oder E‑Mail) zur Bewerbung der Produkte des Unternehmens erwähnt, doch betonte die CNIL, dass zielgerichtete Werbung in einem sozialen Netzwerk eine eigenständige Verarbeitung darstellt, sowohl hinsichtlich ihrer Methoden als auch ihrer Auswirkungen.
Tatsächlich unterscheidet sich die Übermittlung von Daten an einen Dritten, um gezielte Werbeplätze auf einem Netzwerk anzuzeigen, wesentlich vom Versand kommerzieller Mitteilungen per E‑Mail oder SMS, die nicht notwendigerweise eine Datenübermittlung an eine andere Stelle beinhalten. Der spezifische Zweck der zielgerichteten Werbung im sozialen Netzwerk, der die Übermittlung von Daten an dieses Netzwerk erfordert, wurde im Formular den Betroffenen nicht klar genug mitgeteilt.
Folglich hält die CNIL die Betroffenen nicht in der Lage gewesen, die genaue Natur der Verarbeitung, die Empfänger ihrer Daten oder die Konsequenzen dieser Übermittlung zu verstehen. Sie kam zu dem Schluss, dass die eingeholte Einwilligung nicht als spezifisch und informiert gelten könne, was einen Verstoß gegen die Anforderungen der DSGVO darstellt und die Verhängung der Sanktion rechtfertigt.
Sicherheit: die CNIL verhängt gegen FREE und FREE MOBILE insgesamt 42 Mio. € Geldbuße
Am 13. Januar 2026 erließ die CNIL zwei Sanktionsentscheidungen gegen FREE MOBILE und FREE und verhängte Geldbußen in Höhe von jeweils 27 Mio. € und 15 Mio. €, angesichts der Unzulänglichkeit der ergriffenen Maßnahmen zur Gewährleistung der Sicherheit der Daten ihrer Abonnenten.
Nach Artikel 32 Absatz 1 der DSGVO müssen Verantwortlicher und Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko angemessen ist.
Die eingeschränkte Kammer der CNIL erinnert daran, dass die Sicherheitsverpflichtung nach Artikel 32 der DSGVO eine Aufwandspflicht ist, die vom Verantwortlichen verlangt, Maßnahmen zu ergreifen, die angesichts der Merkmale der Verarbeitung die Wahrscheinlichkeit eines Datenverstoßes verringern und gegebenenfalls seine Schwere mindern. Es wird daher nicht erwartet, dass Maßnahmen alle Risiken beseitigen, und das bloße Eintreten eines Vorfalls kennzeichnet nicht automatisch eine Verletzung von Artikel 32.
Gleichwohl bleibt der Verantwortliche verpflichtet, das Risiko von Verstößen zu mindern, ohne jeden Verstoß verhindern zu müssen (EuGH, 25. Januar 2024, C‑687/21, Rn. 39). Folglich kann eine Nichterfüllung der Sicherheitsverpflichtung auch unabhängig vom tatsächlichen Eintritt eines Verstoßes festgestellt werden.
In diesem Fall stellte die CNIL fest, dass:
Das Authentifizierungsverfahren für die Verbindung zu den VPNs der Unternehmen — u. a. für das Telearbeiten der Beschäftigten — nicht ausreichend robust war.
Die implementierten Maßnahmen zur Erkennung auffälliger Verhaltensweisen im Informationssystem unwirksam waren.
Angesichts der Anzahl und Art der verarbeiteten Daten hielt die eingeschränkte Kammer die eingesetzten Sicherheitsmaßnahmen der Unternehmen für nicht angemessen, um die Vertraulichkeit der personenbezogenen Daten der Abonnenten zu gewährleisten.
Marketing: die CNIL startet eine öffentliche Konsultation zum Nachweis der Einwilligung
Die CNIL kündigte die Eröffnung einer öffentlichen Konsultation zum Nachweis der Einwilligung an, in einem Kontext wiederholter Kontrollen und Sanktionen im Zusammenhang mit kommerzieller Werbung, zielgerichteter Werbung und Cookies, mit dem Ziel, eine Empfehlung zum Nachweis der Einwilligung auszuarbeiten.
Diese Initiative fällt unter Artikel 7 Absatz 1 der DSGVO, wonach, wenn die Verarbeitung auf Einwilligung beruht, der Verantwortliche nachweisen können muss, dass die betroffene Person tatsächlich ihre Einwilligung gegeben hat. Diese Nachweispflicht ist Teil des Rechenschaftsgrundsatzes und liegt allein beim Verantwortlichen.
Der Nachweis der Einwilligung beschränkt sich nicht auf das Vorhandensein einer formalen Zustimmung. Er muss feststellen lassen, dass die Einwilligung frei, spezifisch, informiert und eindeutig erfolgte und durch eine eindeutige bestätigende Handlung abgegeben wurde. Andernfalls fehlt der Verarbeitung die rechtliche Grundlage, selbst wenn eine Einwilligung behauptet wird.
Eine solche Empfehlung könnte insbesondere Klarstellungen zu folgenden Punkten enthalten:
die konkreten Beweismittel, die aufzubewahren sind (Zeitstempel, Identität der Person, Erhebungsweg, bereitgestellte Informationen);
die Zuweisung der Beweislast in komplexen Marketingketten (Werbetreibende, Partner, Datenvermittler, gemeinsame Verantwortliche);
die Schnittstellen zur Einholung der Einwilligung, insbesondere dort, wo ihr Design die Nutzer unzulässig lenken könnte.
Cookies und andere Tracker: die CNIL veröffentlicht ihre endgültigen Empfehlungen zur geräteübergreifenden Einwilligung
Die CNIL veröffentlichte ihre endgültigen Empfehlungen zur Einholung von Einwilligungen im Mehrgerätekontext, nach einer Konsultationsphase mit den Interessenvertretern.
Diese Empfehlungen führen die Leitlinien zu „Cookies und anderen Trackern“ fort und zielen darauf ab, auf Praktiken zu reagieren, die in digitalen Umgebungen zunehmend üblich sind.
Heutzutage beschränkt sich die digitale Nutzung nicht mehr auf ein einzelnes Gerät. Derselbe Nutzer kann eine Webseite oder App vom Computer, Smartphone, Tablet oder Smart‑TV aus nutzen.
In diesem Kontext haben einige Akteure versucht, auf einem Gerät eingeholte Einwilligungen wiederzuverwenden, um sie auf andere Geräte desselben Nutzers auszudehnen, insbesondere zu Werbe- oder Reichweitenmessungszwecken.
Diese Praxis wirft eine zentrale Frage auf: Kann die auf einem Gerät erteilte Einwilligung für ein anderes Gerät gültig sein, obwohl sich technische Umgebungen, Schnittstellen und Informationsbedingungen unterscheiden?
Die Empfehlungen der CNIL zielen darauf ab, die Bedingungen, unter denen Einwilligungen geräteübergreifend berücksichtigt werden dürfen, streng zu umrahmen. Sie erinnern daran, dass die Einwilligung der effektiven Kontrolle durch die betroffene Person zuzuordnen bleibt und dass jede Ausdehnung der Einwilligung auf andere Geräte verstärkte Garantien erfordert — sowohl hinsichtlich der bereitgestellten Informationen als auch der eingesetzten technischen Mittel.
Die CNIL fordert damit den Erhalt der Wahlfreiheit des Nutzers und die Vermeidung einer automatischen Verallgemeinerung von Einwilligungen, die diese entwerten könnte.
Diese Empfehlungen liefern einen erwarteten operativen Rahmen in einem Bereich, in dem technische Praktiken dem Recht vorausgeeilt waren.
Cybersicherheit: Vorschlag zur Überarbeitung des Cybersecurity Act
Die Europäische Kommission hat den Weg für eine Überarbeitung des Cybersecurity Act geebnet, der 2019 verabschiedeten Verordnung, um den europäischen Rahmen für Cybersicherheit an ein digital komplexeres und exponierteres Umfeld anzupassen.
Der aktuelle Rahmen
Der Cybersecurity Act strukturierte das europäische Handeln entlang zweier Hauptachsen:
Stärkung der Rolle von ENISA, der EU‑Agentur für Cybersicherheit;
Schaffung eines europäischen Zertifizierungsrahmens für die Cybersicherheit digitaler Produkte, Dienstleistungen und Prozesse.
Ziel war es, ein gemeinsames Vertrauensniveau im Binnenmarkt zu etablieren und gleichzeitig den Mitgliedstaaten einen gewissen Spielraum bei der Umsetzung zu lassen.
Ein grundlegend veränderter Kontext
Seit 2019 haben sich die Bedingungen weiterentwickelt. Cyberangriffe haben zugenommen, digitale Lieferketten wurden länger und technologische Abhängigkeiten, auch in sensiblen Sektoren, haben zugenommen.
Gleichzeitig ist der europäische Rechtsrahmen umfangreicher geworden, namentlich durch NIS 2 und DORA, wodurch die Frage der Kohärenz zwischen den verschiedenen auf die Cybersicherheit anwendbaren Rechtsakten aufgeworfen wird.
Orientierung der Überarbeitung
Die angestrebte Überarbeitung zielt darauf ab, den Cybersecurity Act anzupassen, ohne seine Gesamtstruktur zu verändern. Sie folgt einer Logik der Klarstellung und Verstärkung, insbesondere um:
die Funktionsweise und Verbreitung europäischer Zertifizierungssysteme zu verbessern;
die Rolle von ENISA in einer zunehmend dichten Regulierungslage zu klären;
jüngere Technologien und Verwendungsarten besser abzudecken, die für Wirtschaft und öffentliche Aktivitäten zentral geworden sind.
Die Herausforderung besteht darin, ein hohes Sicherheitsniveau in der Union sicherzustellen und gleichzeitig nationale Divergenzen zu begrenzen.
Ein weiterer Schritt der europäischen Konstruktion
Diese Überarbeitung ist Teil einer breiteren Dynamik zur Strukturierung des europäischen Cybersicherheitsrechts. Sie spiegelt das Bestreben der Institutionen wider, einen gemeinsamen Rahmen zu konsolidieren, der den grenzüberschreitenden Risiken begegnen kann und zugleich die Klarheit der Verpflichtungen für die betroffenen Akteure wahrt.
Sicherheitsvorfall: HubEE, Opfer eines Lecks von 160.000 Dokumenten
HubEE (das Hub d’Échange de l’État) ist eine digitale Plattform, die von der Interministeriellen Direktion für digitale Angelegenheiten (DINUM) betrieben wird und als Dokumentenaustauschnetzwerk zwischen öffentlichen Verwaltungen, Dienstleistungsanbietern und Online‑Diensten dient, die Bürgerinnen und Bürger für Verwaltungsverfahren nutzen. Sie spielt eine zentrale Rolle beim Austausch von Dokumenten aus Online‑Diensten wie denen von service-public.fr, etwa für Anfragen zu Personenstandsurkunden, Sozialakten oder Leistungen und verbindet mehr als 8.000 Gemeinden, mehrere Ministerien und öffentliche Stellen in ihren digitalen Austauschen.
Der Vorfall
Anfang Januar 2026 war HubEE Opfer eines Cyberangriffs, der zur Exfiltration von mindestens 70.000 Akten, bzw. etwa 160.000 Verwaltungsdokumenten führte, von denen einige sensible personenbezogene Daten enthalten, die Nutzer im Rahmen ihrer Online‑Verfahren bereitgestellt hatten.
DINUM entdeckte und band die Eindringung nach dem 9. Januar ein und setzte sofort Eindämmungsmaßnahmen ein, um den Zugriff des Angreifers zu blockieren. Die zuständigen Behörden — namentlich die Nationale Agentur für Cybersicherheit Frankreichs (ANSSI) und die CNIL — wurden informiert, und eine Anzeige wurde bei den zuständigen Gerichten erstattet.
Wichtig ist, dass nicht die Website Service‑Public.fr selbst gehackt wurde, sondern die interne technische Plattform HubEE, die Dokumente zwischen öffentlichen Diensten im Rahmen von Online‑Angeboten übermittelt.
Welche Daten sind betroffen?
Nach den veröffentlichten Informationen können die entwendeten Dokumente Identifikationsmerkmale, Identitätsdaten und Belegdokumente enthalten (z. B. Ausweisdokumente oder Nachweise, die Nutzer im Rahmen ihrer Verfahren vorgelegt haben) und Betroffene somit einem Risiko von Identitätsdiebstahl, Phishing oder sonstiger missbräuchlicher Nutzung aussetzen.
Dieser Vorfall wirft aus datenschutzrechtlicher Sicht mehrere wichtige Fragen auf:
Sicherheit öffentlicher Plattformen: geteilte Plattformen, die große Mengen personenbezogener Daten konzentrieren, müssen besonders hohen Sicherheitsanforderungen unterliegen, um Eindringlinge zu verhindern.
Verpflichtende Meldung: die CNIL wurde gesetzeskonform benachrichtigt, was bei einem personenbezogenen Datenverstoß mit Risiko für die Rechte und Freiheiten der Betroffenen Pflicht ist.
Risiken für die Betroffenen: die Verwertung von Dokumenten mit personenbezogenen Daten kann zu Identitätsdiebstahl, zielgerichteten Phishing‑Kampagnen oder anderweitigen Betrugsfällen führen, wenn solche Informationen öffentlich werden oder von Dritten missbräuchlich genutzt werden.
Spanien: die spanische Behörde (AEPD) aktualisiert ihre DSGVO‑FAQ zur Unterstützung von KMU
Am 21. Januar 2026 hat die spanische Datenschutzbehörde (Agencia Española de Protección de Datos – AEPD) ihre Rubrik „Preguntas frecuentes“ zur DSGVO deutlich aktualisiert, mit dem Ziel, die Bedürfnisse kleiner und mittlerer Unternehmen (KMU), Verantwortlicher und Datenschutzfachleute besser zu bedienen.
Die überarbeitete FAQ enthält nun mehr als 200 Antworten auf die häufigsten Fragen, die wesentliche Themen wie die Pflicht zur Führung von Verarbeitungsverzeichnissen, die Rechtsgrundlagen der Verarbeitung, Informationspflichten und standardisierte Modelle von Einwilligungsformularen für verschiedene Verarbeitungskontexte abdecken.
Die AEPD erklärt, dass diese Aktualisierung Teil ihres Strategieplans 2025–2030 ist, der darauf abzielt, ihre Rolle als Leitfaden und Unterstützer für Organisationen zu stärken, insbesondere für Kleinstunternehmen, KMU, Selbstständige und Verwaltungen. Der Plan will eine praktische, einfache und wirksame DSGVO‑Compliance‑Kultur fördern, indem sofort praktisch nutzbare Instrumente und Ressourcen bereitgestellt werden.
Die überarbeitete FAQ enthält insbesondere:
praktische, zielgerichtete Kategorien zu den Pflichten der Verantwortlichen;
konkrete Beispiele für Verarbeitung und Compliance;
nützliche Vorlagendokumente (Verarbeitungsverzeichnisse, Informationshinweise, Einwilligungsformulare);
Antworten auf die am häufigsten gestellten Fragen von KMU und Datenschutzfachleuten.
Deutschland: Gerichtsentscheidung zur Transparenz von Scores bei Kreditprüfungen
SCHUFA Holding AG ist die wichtigste deutsche Scoring‑Agentur, die finanzielle personenbezogene Informationen zusammenführt und Scoringwerte vergibt, die zur Beurteilung der Rückzahlungswahrscheinlichkeit einer Person herangezogen werden. Diese Scores beeinflussen zentrale Entscheidungen wie Kreditvergaben, Mobilfunkverträge oder Mietvertragsabschlüsse.
Am 19. November 2025 hat die 6. Kammer des Verwaltungsgerichts Wiesbaden ein wichtiges Urteil zur Transparenz von Scoringwerten in einem von einem Verbraucher gegen die SCHUFA angestrengten Verfahren erlassen. Das Gericht entschied, dass die SCHUFA detaillierte und individualisierte Erklärungen zur Berechnung ihrer Scores nach dem Auskunftsrecht des Artikels 15 der DSGVO geben muss.
In diesem Fall:
Die Klägerin hatte 2018 einen Privatkredit beantragt, der abgelehnt wurde, nachdem ein von der SCHUFA übermittelter Score (ca. 86 %) an die Kreditgeber übermittelt worden war.
Sie forderte anschließend von der SCHUFA Erläuterungen zu den berücksichtigten Datenfaktoren und zur konkreten Logik der Score‑Berechnung.
Die SCHUFA antwortete in allgemeinen Begriffen und verwies auf auf ihrer Website verfügbare Informationen, ohne zu erklären, wie ihre personenbezogenen Daten konkret den genauen Score beeinflusst hatten oder warum der Score für sie als „hohes Risiko“ eingestuft worden war.
Das Gericht befand, dass diese Antworten den Anforderungen der DSGVO nicht genügten:
Eine allgemeine Beschreibung der verwendeten Methoden oder der Datentypen reiche nicht aus; die SCHUFA habe anzugeben, welche spezifischen Daten berücksichtigt wurden, deren Gewichtung in der Berechnung und warum das resultierende Ergebnis für diese Person als hohe Ausfallwahrscheinlichkeit interpretiert wurde.
Die Entscheidung des Gerichts stützt sich außerdem auf eine Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) vom 7. Dezember 2023 (C‑634/21), die feststellte, dass die Erstellung eines Scores durch eine Auskunftei eine „automatisierte Entscheidung“ im Sinne des Artikels 22 der DSGVO darstellt, wenn dieser Score von einem Dritten determinierend zur eigenen Vertragsentscheidung genutzt wird.
Südkorea: Verabschiedung eines neuartigen Rechtsrahmens für Künstliche Intelligenz
Am 22. Januar 2026, hat Südkorea offiziell ein ambitioniertes Rahmengesetz zur Künstlichen Intelligenz erlassen, bekannt als das AI Basic Act (Framework Act on the Development of Artificial Intelligence and the Creation of a Foundation for Trust), und zählt damit zu den ersten Ländern weltweit, die ein umfassendes Regulierungspaket für KI eingeführt haben. Diese Initiative ist Teil der nationalen Strategie zur Stärkung der Sicherheit, des Vertrauens und der internationalen Wettbewerbsfähigkeit des KI‑Sektors.
Das Gesetz zielt darauf ab, den Einsatz von KI‑Systemen zu regeln, insbesondere solcher, die als „hochwirksam“ eingestuft werden, also voraussichtlich erhebliche Auswirkungen auf das Leben von Personen, die öffentliche Sicherheit oder sensible Sektoren wie Gesundheit, Verkehr, Trinkwasserversorgung, Finanzwesen oder nukleare Sicherheit haben. Es sieht insbesondere vor:
Verpflichtende menschliche Aufsicht bei hochwirksamen KI‑Anwendungen;
Transparenzpflichten, mit Benachrichtigungen an Nutzer und klarer Kennzeichnung KI‑generierter Inhalte, wenn diese schwer von realen Inhalten zu unterscheiden sind;
Anforderungen an Risikomanagement und Sicherheit für KI‑Betreibende.
Die Regierung gewährt mindestens eine einjährige Übergangsfrist, bevor strenge Sanktionen greifen, um Unternehmen und Start‑ups die Anpassung ihrer Systeme und Praktiken zu ermöglichen. Nach dieser Phase können Organisationen, die beispielsweise die Kennzeichnung KI‑generierter Inhalte nicht einhalten, mit Geldstrafen von bis zu 30 Millionen südkoreanischen Won (ca. 17.400 €) belegt werden.
Während das Gesetz als Mittel präsentiert wird, das öffentliche Vertrauen in KI zu festigen und den Sektor durch einen klaren Rechtsrahmen zu fördern, äußerten mehrere Interessengruppen, insbesondere lokale Start‑ups, Bedenken wegen der Compliance‑Lasten, die sie als teilweise vage oder kostspielig in der Umsetzung ansehen. Einige befürchten, dass diese Anforderungen junge Unternehmen stark belasten und dadurch Innovation behindern oder Entwicklungskosten erhöhen könnten.
Präsident Lee Jae‑myung nahm diese Bedenken zur Kenntnis und plädierte für ein Gleichgewicht zwischen Regulierung und Unterstützung, mit Leitmaßnahmen und Unterstützungsplattformen für Unternehmen während der Übergangszeit.
Cybersicherheitsstandards für KI: ETSI veröffentlicht seine Erwartungen
Das European Telecommunications Standards Institute (ETSI) hat seine Sicherheitserwartungen für KI veröffentlicht, die als grundlegende Referenz für Cybersicherheit für Organisationen dienen sollen, die KI‑Technologien in Europa implementieren.
Diese Standards wurden auf Basis von Leitlinien des UK National Cyber Security Centre (NCSC) und des UK Department for Science, Innovation and Technology (DSIT) entwickelt.
Sie legen Sicherheitserwartungen fest, die für KI‑Werkzeuge vom Design über die Bereitstellung bis hin zur Nutzung gelten.