[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"article_59959":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":11,"nbDownloads":12,"excerpt":13,"lang":14,"url":15,"intro":16,"featured":4,"state":17,"author":18,"authorId":19,"datePublication":23,"dateCreation":24,"dateUpdate":25,"mainCategory":26,"categories":41,"metaDatas":47,"imageUrl":48,"imageThumbUrls":49,"id":57},true,"**Sind Sie es leid, von allgemeinen Newslettern zu bekommen, die Ihre tatsächlichen Herausforderungen nur oberflächlich behandeln?** Dastra bietet Ihnen Dastra Insights, eine rechtliche und regulatorische Watch, die speziell für Datenschutzbeauftragte (DPOs), Rechtsanwält:innen sowie Datenschutz‑ und KI‑Fachleute konzipiert ist.\n\n🎯 Eine gezielte, nützliche Watch, die in der realen Praxis des Datenschutzes und der KI verankert ist.\n\nHier unsere Auswahl für **März 2026:**\n\n## **Scraping beruflicher Daten: Einstellung des CNIL‑Verfahrens gegen Kaspr**\n\nDie CNIL kündigte die [Einstellung des gegen Kaspr eingeleiteten Verfahrens an,](https://www.cnil.fr/fr/cloture-de-linjonction-prononcee-lencontre-de-la-societe-kaspr) eines Unternehmens, das auf die Extraktion von Kontaktdaten spezialisiert ist.\n\nZur Erinnerung: Kaspr bot ein Tool an, mit dem berufliche Informationen (E‑Mails, Telefonnummern) aus LinkedIn‑Profilen abgerufen wurden, häufig ohne Wissen der betroffenen Personen.\n\nIm Jahr 2023 hatte die CNIL gegen das Unternehmen eine Sanktion verhängt, insbesondere wegen:\n\n- Erhebung von Daten ohne gültige Rechtsgrundlage,\n- unterlassener Information der Betroffenen,\n- unzureichender Löschfristen.\n\nSie hob zudem hervor, dass die Betroffenen vernünftigerweise nicht mit einer derartigen Weiternutzung ihrer LinkedIn‑Daten hätten rechnen können, wodurch eine Berufung auf das berechtigte Interesse weiter untergraben wurde.\n\nDiese Entscheidung bestätigt die Position der CNIL zu Scrap­ing‑ und Datenanreicherungs‑Tools: Die bloße Online‑Zugänglichkeit von Daten reicht nicht aus, um deren Weiternutzung zu rechtfertigen.\n\nDie Einstellung des Verfahrens bedeutet, dass Kaspr die von der Aufsichtsbehörde erwarteten Abhilfemaßnahmen umgesetzt hat.\n\n## **Digitale Gesundheitsdienste: Finanz‑Sanktionsregime durch das Dekret vom 3. März 2026 präzisiert**\n\nDas Dekret Nr. 2026‑153 vom 3. März 2026 ergänzt den für digitale Gesundheitsdienste geltenden Rahmen durch die Einführung eines spezifischen finanziellen verwaltungsrechtlichen Sanktionsregimes.\n\n> Dieses neue Regime ersetzt die unter der DSGVO vorgesehenen Sanktionen nicht, sondern ergänzt sie. Akteure können somit sowohl Sanktionen der CNIL nach der DSGVO als auch spezifischen verwaltungsrechtlichen Sanktionen nach dem Gesundheitsrecht ausgesetzt sein.\n\n**Gestärkte verwaltungsrechtliche Sanktionsbefugnis**\n\nDas Dekret präzisiert die Bedingungen, unter denen die zuständige Verwaltungsbehörde finanzielle Sanktionen gegen Akteure verhängen kann, die den für digitale Gesundheitsdienste geltenden Verpflichtungen nicht nachkommen.\n\nBetroffen sind insbesondere Anbieter digitaler Gesundheitsdienste sowie alle Akteure, die an der Verarbeitung von Gesundheitsdaten oder an der Erbringung solcher Dienste beteiligt sind.\n\n**Eindeutig benannte Verstöße**\n\nDas Dekret umreißt die Arten von Verstößen, die sanktionierbar sind, insbesondere:\n\n- Nichteinhaltung der Anforderungen an Datensicherheit und Vertraulichkeit,\n- Einsatz von Lösungen, die nicht den Anforderungen an die Hosting‑Standards für Gesundheitsdaten (HDS) entsprechen,\n- Nichteinhaltung der auf digitale Gesundheitsdienste anwendbaren Referenzrahmen.\n\nDiese Klarstellung trägt zur rechtlichen Absicherung von Kontrollen bei und reduziert Interpretationsspielräume für die Akteure.\n\nDas Dekret verlangt erhöhte Wachsamkeit hinsichtlich der Konformität der eingesetzten Lösungen, insbesondere in Bezug auf HDS‑Hosting, sowie die Angleichung an anwendbare sektorale Referenzrahmen.\n\nEs sieht vor, dass verwaltungsrechtliche Sanktionen bis zu **300.000 € betragen können, ein Betrag, der bei Wiederholungstat auf 1 Mio. € erhöht werden kann.**\n\n## **Gezielte Werbung: Conseil d'État bestätigt 40‑Mio.-€‑Sanktion gegen Criteo**\n\nMit einer Entscheidung vom 4. März 2026 wies der [Conseil d'État die Berufung von Criteo gegen die 2023 von der CNIL verhängte Sanktion im Bereich personalisierter Werbung zurück.](https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2026-03-04/482872) Diese Entscheidung bestätigt endgültig die gegen das französische Adtech‑Unternehmen verhängte Geldbuße von 40 Mio. €.\n\nZur Erinnerung: Die CNIL hatte fünf DSGVO‑Verstöße festgestellt:\n\n- Unfähigkeit von Criteo, eine gültige Einwilligung nachzuweisen,\n- Mängel bei der Information der Betroffenen,\n- Verletzung des Auskunftsrechts,\n- Verstöße im Zusammenhang mit dem Widerruf von Einwilligungen und Löschungen,\n- unzureichende Vereinbarungen zur gemeinsamen Verantwortlichkeit mit seinen Partnern.\n\nDie Entscheidung des Conseil d'État geht über eine bloße Zurückweisung hinaus:\n\nSie bestätigt zunächst, dass ein Akteur wie Criteo als Mitverantwortlicher für das Setzen von Cookies auf Partnerseiten qualifiziert werden kann und anschließend als Verantwortlicher für die weitere Nutzung der erhobenen Daten zu Zwecken der zielgerichteten Werbung. Sie erinnert ferner daran, dass pseudonymisierte Daten solange personenbezogene Daten bleiben, wie Personen ohne unverhältnismäßigen Aufwand identifizierbar sind.\n\n**Entscheidend: Ein Akteur kann sich nicht hinter seinen Partnern verstecken, um seiner Nachweispflicht für die Gültigkeit der Einwilligung zu entgehen.**\n\nDer Conseil d'État stellt klar, dass bei verarbeitungen mit mehreren Akteuren die vertragliche Aufgabenzuordnung nicht ausreicht: Diese Zuordnung muss vollständig sein, der operativen Realität entsprechen und die effektive Einhaltung der DSGVO‑Pflichten ermöglichen.\n\n## **Cybersicherheit: gemeinsame Stellungnahme von EDPB und EDPS zur Überarbeitung des Cybersecurity Act**\n\nDer Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) veröffentlichten [eine gemeinsame Stellungnahme zu den Vorschlägen zur Überarbeitung des Cybersecurity Act.](https://www.edps.europa.eu/system/files/2026-03/edpb_edps_jointopinion_202604_on_the_cybersecurity_act_2_proposals_en.pdf)\n\nDiese Stellungnahme ist Teil der Stärkung des europäischen Zertifizierungsrahmens für Cybersicherheit, insbesondere für digitale Dienste und kritische Infrastrukturen.\n\n**Gestärkte Verzahnung von Cybersicherheit und Datenschutz**\n\nBeide Behörden betonen die Notwendigkeit, Kohärenz zwischen den Zielen der Cybersicherheit und den Anforderungen der DSGVO sicherzustellen.\n\nSie erinnern daran, dass Zertifizierungsschemata sich nicht auf rein technische Aspekte beschränken dürfen, sondern Datenschutzprinzipien vollständig integrieren müssen, insbesondere Datenminimierung, Sicherheit der Verarbeitung und Privacy by Design.\n\n> ⚠️ Zertifizierungen allein können keinen Nachweis der DSGVO‑Einhaltung darstellen.\n\nSie fordern eine Klarstellung der Rollen zwischen den beteiligten Behörden, um Kompetenzüberschneidungen zu vermeiden, und betonen insbesondere die Notwendigkeit, Datenschutzbehörden in die Definition und die Überwachung von Zertifizierungsschemata einzubeziehen, vor allem wenn diese die Verarbeitung personenbezogener Daten betreffen.\n\n**Fokus auf Transfers und systemische Risiken**\n\nDie Stellungnahme hebt Fragen im Zusammenhang mit Datenübermittlungen hervor, insbesondere im Kontext kritischer digitaler Dienste. Die Behörden empfehlen, diese Risiken in Zertifizierungsschemata zu integrieren, indem beispielsweise potenzieller Zugriff durch Einrichtungen außerhalb der Europäischen Union berücksichtigt wird.\n\nGenerell fordern sie einen risikobasierten Ansatz, der die Identifizierung potenzieller Auswirkungen auf die Rechte und Freiheiten natürlicher Personen ermöglicht. Konkret betont die Stellungnahme, dass Zertifizierungen nicht auf rein technische Kriterien (Robustheit, Verfügbarkeit, Resilienz) beschränkt sein dürfen, sondern auch die Art der verarbeiteten Daten, die verfolgten Zwecke und die Nutzungskontexte der Systeme berücksichtigen müssen.\n\n> Dies impliziert insbesondere, die Risiken für die betroffenen Personen bereits im Vorfeld zu identifizieren.\n\n## **Luxemburg: Aufhebung der 746‑Mio.-€‑Geldbuße gegen Amazon durch das Verwaltungsgericht**\n\n[Mit einem im März 2026 verkündeten Urteil](https://justice.public.lu/fr/actualites/2026/03/arret-cour-administrative-amazon.html) bestätigte das luxemburgische Verwaltungsgericht die Aufhebung der 2021 von der Nationalkommission für Datenschutz (CNPD) gegen Amazon verhängten Geldbuße in Höhe von 746 Mio. €, im Zusammenhang mit der Datenverarbeitung für Zwecke der zielgerichteten Werbung.\n\nDiese Sanktion, die höchste jemals in Europa auf Basis der DSGVO verhängte, stützte sich vor allem auf Verstöße hinsichtlich der Rechtsgrundlage der Verarbeitung und der Transparenzpflichten im Zusammenhang mit der Nutzung von Daten zur Werbepersonalisierung.\n\n**Strenge Anforderungen an die Darlegungslast**\n\nStreitpunkt war die rechtliche Einordnung der von Amazon im Kontext Verhaltens‑/Behavioral Advertising durchgeführten Verarbeitungstätigkeiten. Die CNPD hatte angenommen, dass diese Verarbeitungstätigkeiten auf keiner gültigen Rechtsgrundlage beruhten, insbesondere mangels DSGVO‑konformer Einwilligung.\n\nUnter Anwendung der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) infolge zweier Urteile vom 5. Dezember 2023 (Fälle 'DEUTSCHE WOHNEN' und 'NACIONALINIS', C‑807/21 und C‑683/21) obliegt es der Aufsichtsbehörde, das Vorliegen eines Verschuldens zu analysieren, das entweder in vorsätzlichem Handeln oder in Fahrlässigkeit des Verantwortlichen gegenüber den festgestellten DSGVO‑Verstößen bestehen kann.\n\nDas Verwaltungsgericht bestätigt die Analyse des Verwaltungstribunals, indem es feststellt, dass die von der CNPD behaupteten Verstöße nicht hinreichend nachgewiesen wurden.\n\nDas Urteil unterstreicht die hohen Anforderungen an die Aufsichtsbehörde, die in präziser und gut begründeter Weise die Charakterisierung der behaupteten Verstöße und die Anforderungen des Artikels 83 darlegen muss, was ein stringentes verwaltungsrechtliches Begründen der Sanktionsentscheidung voraussetzt.\n\nTatsächlich hatte die CNPD keine hinreichend genaue Zweitanalyse vorgenommen, wie es die vom EuGH aufgestellten Grundsätze vorsehen, namentlich die Auswahl der angemessensten Maßnahme aus dem breiten Spektrum der zur Verfügung stehenden Sanktionen nach der jeweils anwendbaren Regelung.\n\nDas Gericht stellte daher die Analyse der CNPD in Frage und hob Mängel in der Nachweisführung der Verstöße gegen die anwendbare Regelung hervor.\n\n## **Deutschland: Regierung bereitet Entwurf zur Schließung von Lücken bei der Ahndung pornografischer Deepfakes vor**\n\nDeutschland gab die Vorbereitung eines Gesetzentwurfs zu digitaler Gewalt, insbesondere gegen pornografische Deepfakes, bekannt. Zu diesem Zeitpunkt liegt noch kein konsolidierter Text vor, doch die Bundesregierung bestätigte ihre Absicht, strafrechtliche Lücken im Umgang mit pornografischen Deepfakes und allgemein sexualisierter bildbasierter Gewalt zu schließen. Der angekündigte Rahmen soll zudem die Identifizierung von Tätern erleichtern, den Zugang zu Kontoinhaberdaten ermöglichen und in bestimmten Fällen auch die Sperrung von Konten auf richterliche Anordnung erlauben.\n\nDiese Ankündigung erfolgt vor dem Hintergrund eines nach wie vor unvollständigen europäischen Rahmens. Der AI Act sieht zwar Transparenzpflichten für künstlich erzeugte oder manipulierte Inhalte, einschließlich Deepfakes, vor, ist jedoch allein nicht ausreichend, um den speziellen Fall nicht‑einvernehmlicher sexueller Inhalte zu adressieren. Aus diesem Grund unterstützte das Europäische Parlament im März 2026 eine Änderung des Textes, um sogenannte 'Nudification'‑Systeme zu verbieten, die in der Lage sind, sexuell explizite oder intime Bilder einer realen, identifizierbaren Person ohne deren Einwilligung zu erzeugen.\n\nDiese Entwicklung ist in zweierlei Hinsicht interessant.\n\n- Erstens verdeutlicht sie die anhaltende Lücke zwischen technologischer Entwicklung und bestehendem Recht. Obwohl Opfer digitaler Gewalt und Deepfakes nicht schutzlos sind, erscheint das Strafrecht noch nicht ausreichend angepasst, um diese neuen Anwendungsformen wirksam zu erfassen und Täter zu sanktionieren.\n- Zweitens beleuchtet sie weiterreichende Defizite in der Wirksamkeit rechtlicher Abhilfen. Über die strafrechtliche Dimension hinaus existieren zivilrechtliche Mechanismen, insbesondere bei Verletzung von Persönlichkeitsrechten, mit der Möglichkeit, Abhilfe und Schadenersatz zu erlangen. In der Praxis bleibt deren Durchsetzung jedoch begrenzt, vor allem aufgrund der Schwierigkeiten bei der Identifizierung der Täter.\n\nDer deutsche Gesetzentwurf zielt genau darauf ab, diese Hindernisse zu beseitigen, indem er den Zugang zu den für Rechtsdurchsetzung und Durchsetzung von Rechten erforderlichen Informationen erleichtert und damit insgesamt das Rechtsschutzpotenzial der Betroffenen stärkt.","\u003Cp>\u003Cstrong>Sind Sie es leid, von allgemeinen Newslettern zu bekommen, die Ihre tatsächlichen Herausforderungen nur oberflächlich behandeln?\u003C/strong> Dastra bietet Ihnen Dastra Insights, eine rechtliche und regulatorische Watch, die speziell für Datenschutzbeauftragte (DPOs), Rechtsanwält:innen sowie Datenschutz‑ und KI‑Fachleute konzipiert ist.\u003C/p>\n\u003Cp>🎯 Eine gezielte, nützliche Watch, die in der realen Praxis des Datenschutzes und der KI verankert ist.\u003C/p>\n\u003Cp>Hier unsere Auswahl für \u003Cstrong>März 2026:\u003C/strong>\u003C/p>\n\u003Ch2 id=\"scraping-beruflicher-daten-einstellung-des-cnilverfahrens-gegen-kaspr\">\u003Cstrong>Scraping beruflicher Daten: Einstellung des CNIL‑Verfahrens gegen Kaspr\u003C/strong>\u003C/h2>\n\u003Cp>Die CNIL kündigte die \u003Ca href=\"https://www.cnil.fr/fr/cloture-de-linjonction-prononcee-lencontre-de-la-societe-kaspr\" rel=\"nofollow\">Einstellung des gegen Kaspr eingeleiteten Verfahrens an,\u003C/a> eines Unternehmens, das auf die Extraktion von Kontaktdaten spezialisiert ist.\u003C/p>\n\u003Cp>Zur Erinnerung: Kaspr bot ein Tool an, mit dem berufliche Informationen (E‑Mails, Telefonnummern) aus LinkedIn‑Profilen abgerufen wurden, häufig ohne Wissen der betroffenen Personen.\u003C/p>\n\u003Cp>Im Jahr 2023 hatte die CNIL gegen das Unternehmen eine Sanktion verhängt, insbesondere wegen:\u003C/p>\n\u003Cul>\n\u003Cli>Erhebung von Daten ohne gültige Rechtsgrundlage,\u003C/li>\n\u003Cli>unterlassener Information der Betroffenen,\u003C/li>\n\u003Cli>unzureichender Löschfristen.\u003C/li>\n\u003C/ul>\n\u003Cp>Sie hob zudem hervor, dass die Betroffenen vernünftigerweise nicht mit einer derartigen Weiternutzung ihrer LinkedIn‑Daten hätten rechnen können, wodurch eine Berufung auf das berechtigte Interesse weiter untergraben wurde.\u003C/p>\n\u003Cp>Diese Entscheidung bestätigt die Position der CNIL zu Scrap­ing‑ und Datenanreicherungs‑Tools: Die bloße Online‑Zugänglichkeit von Daten reicht nicht aus, um deren Weiternutzung zu rechtfertigen.\u003C/p>\n\u003Cp>Die Einstellung des Verfahrens bedeutet, dass Kaspr die von der Aufsichtsbehörde erwarteten Abhilfemaßnahmen umgesetzt hat.\u003C/p>\n\u003Ch2 id=\"digitale-gesundheitsdienste-finanzsanktionsregime-durch-das-dekret-vom-3.marz-2026-prazisiert\">\u003Cstrong>Digitale Gesundheitsdienste: Finanz‑Sanktionsregime durch das Dekret vom 3. März 2026 präzisiert\u003C/strong>\u003C/h2>\n\u003Cp>Das Dekret Nr. 2026‑153 vom 3. März 2026 ergänzt den für digitale Gesundheitsdienste geltenden Rahmen durch die Einführung eines spezifischen finanziellen verwaltungsrechtlichen Sanktionsregimes.\u003C/p>\n\u003Cblockquote>\n\u003Cp>Dieses neue Regime ersetzt die unter der DSGVO vorgesehenen Sanktionen nicht, sondern ergänzt sie. Akteure können somit sowohl Sanktionen der CNIL nach der DSGVO als auch spezifischen verwaltungsrechtlichen Sanktionen nach dem Gesundheitsrecht ausgesetzt sein.\u003C/p>\n\u003C/blockquote>\n\u003Cp>\u003Cstrong>Gestärkte verwaltungsrechtliche Sanktionsbefugnis\u003C/strong>\u003C/p>\n\u003Cp>Das Dekret präzisiert die Bedingungen, unter denen die zuständige Verwaltungsbehörde finanzielle Sanktionen gegen Akteure verhängen kann, die den für digitale Gesundheitsdienste geltenden Verpflichtungen nicht nachkommen.\u003C/p>\n\u003Cp>Betroffen sind insbesondere Anbieter digitaler Gesundheitsdienste sowie alle Akteure, die an der Verarbeitung von Gesundheitsdaten oder an der Erbringung solcher Dienste beteiligt sind.\u003C/p>\n\u003Cp>\u003Cstrong>Eindeutig benannte Verstöße\u003C/strong>\u003C/p>\n\u003Cp>Das Dekret umreißt die Arten von Verstößen, die sanktionierbar sind, insbesondere:\u003C/p>\n\u003Cul>\n\u003Cli>Nichteinhaltung der Anforderungen an Datensicherheit und Vertraulichkeit,\u003C/li>\n\u003Cli>Einsatz von Lösungen, die nicht den Anforderungen an die Hosting‑Standards für Gesundheitsdaten (HDS) entsprechen,\u003C/li>\n\u003Cli>Nichteinhaltung der auf digitale Gesundheitsdienste anwendbaren Referenzrahmen.\u003C/li>\n\u003C/ul>\n\u003Cp>Diese Klarstellung trägt zur rechtlichen Absicherung von Kontrollen bei und reduziert Interpretationsspielräume für die Akteure.\u003C/p>\n\u003Cp>Das Dekret verlangt erhöhte Wachsamkeit hinsichtlich der Konformität der eingesetzten Lösungen, insbesondere in Bezug auf HDS‑Hosting, sowie die Angleichung an anwendbare sektorale Referenzrahmen.\u003C/p>\n\u003Cp>Es sieht vor, dass verwaltungsrechtliche Sanktionen bis zu \u003Cstrong>300.000 € betragen können, ein Betrag, der bei Wiederholungstat auf 1 Mio. € erhöht werden kann.\u003C/strong>\u003C/p>\n\u003Ch2 id=\"gezielte-werbung-conseil-detat-bestatigt-40mio.-sanktion-gegen-criteo\">\u003Cstrong>Gezielte Werbung: Conseil d'État bestätigt 40‑Mio.-€‑Sanktion gegen Criteo\u003C/strong>\u003C/h2>\n\u003Cp>Mit einer Entscheidung vom 4. März 2026 wies der \u003Ca href=\"https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2026-03-04/482872\" rel=\"nofollow\">Conseil d'État die Berufung von Criteo gegen die 2023 von der CNIL verhängte Sanktion im Bereich personalisierter Werbung zurück.\u003C/a> Diese Entscheidung bestätigt endgültig die gegen das französische Adtech‑Unternehmen verhängte Geldbuße von 40 Mio. €.\u003C/p>\n\u003Cp>Zur Erinnerung: Die CNIL hatte fünf DSGVO‑Verstöße festgestellt:\u003C/p>\n\u003Cul>\n\u003Cli>Unfähigkeit von Criteo, eine gültige Einwilligung nachzuweisen,\u003C/li>\n\u003Cli>Mängel bei der Information der Betroffenen,\u003C/li>\n\u003Cli>Verletzung des Auskunftsrechts,\u003C/li>\n\u003Cli>Verstöße im Zusammenhang mit dem Widerruf von Einwilligungen und Löschungen,\u003C/li>\n\u003Cli>unzureichende Vereinbarungen zur gemeinsamen Verantwortlichkeit mit seinen Partnern.\u003C/li>\n\u003C/ul>\n\u003Cp>Die Entscheidung des Conseil d'État geht über eine bloße Zurückweisung hinaus:\u003C/p>\n\u003Cp>Sie bestätigt zunächst, dass ein Akteur wie Criteo als Mitverantwortlicher für das Setzen von Cookies auf Partnerseiten qualifiziert werden kann und anschließend als Verantwortlicher für die weitere Nutzung der erhobenen Daten zu Zwecken der zielgerichteten Werbung. Sie erinnert ferner daran, dass pseudonymisierte Daten solange personenbezogene Daten bleiben, wie Personen ohne unverhältnismäßigen Aufwand identifizierbar sind.\u003C/p>\n\u003Cp>\u003Cstrong>Entscheidend: Ein Akteur kann sich nicht hinter seinen Partnern verstecken, um seiner Nachweispflicht für die Gültigkeit der Einwilligung zu entgehen.\u003C/strong>\u003C/p>\n\u003Cp>Der Conseil d'État stellt klar, dass bei verarbeitungen mit mehreren Akteuren die vertragliche Aufgabenzuordnung nicht ausreicht: Diese Zuordnung muss vollständig sein, der operativen Realität entsprechen und die effektive Einhaltung der DSGVO‑Pflichten ermöglichen.\u003C/p>\n\u003Ch2 id=\"cybersicherheit-gemeinsame-stellungnahme-von-edpb-und-edps-zur-uberarbeitung-des-cybersecurity-act\">\u003Cstrong>Cybersicherheit: gemeinsame Stellungnahme von EDPB und EDPS zur Überarbeitung des Cybersecurity Act\u003C/strong>\u003C/h2>\n\u003Cp>Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) veröffentlichten \u003Ca href=\"https://www.edps.europa.eu/system/files/2026-03/edpb_edps_jointopinion_202604_on_the_cybersecurity_act_2_proposals_en.pdf\" rel=\"nofollow\">eine gemeinsame Stellungnahme zu den Vorschlägen zur Überarbeitung des Cybersecurity Act.\u003C/a>\u003C/p>\n\u003Cp>Diese Stellungnahme ist Teil der Stärkung des europäischen Zertifizierungsrahmens für Cybersicherheit, insbesondere für digitale Dienste und kritische Infrastrukturen.\u003C/p>\n\u003Cp>\u003Cstrong>Gestärkte Verzahnung von Cybersicherheit und Datenschutz\u003C/strong>\u003C/p>\n\u003Cp>Beide Behörden betonen die Notwendigkeit, Kohärenz zwischen den Zielen der Cybersicherheit und den Anforderungen der DSGVO sicherzustellen.\u003C/p>\n\u003Cp>Sie erinnern daran, dass Zertifizierungsschemata sich nicht auf rein technische Aspekte beschränken dürfen, sondern Datenschutzprinzipien vollständig integrieren müssen, insbesondere Datenminimierung, Sicherheit der Verarbeitung und Privacy by Design.\u003C/p>\n\u003Cblockquote>\n\u003Cp>⚠️ Zertifizierungen allein können keinen Nachweis der DSGVO‑Einhaltung darstellen.\u003C/p>\n\u003C/blockquote>\n\u003Cp>Sie fordern eine Klarstellung der Rollen zwischen den beteiligten Behörden, um Kompetenzüberschneidungen zu vermeiden, und betonen insbesondere die Notwendigkeit, Datenschutzbehörden in die Definition und die Überwachung von Zertifizierungsschemata einzubeziehen, vor allem wenn diese die Verarbeitung personenbezogener Daten betreffen.\u003C/p>\n\u003Cp>\u003Cstrong>Fokus auf Transfers und systemische Risiken\u003C/strong>\u003C/p>\n\u003Cp>Die Stellungnahme hebt Fragen im Zusammenhang mit Datenübermittlungen hervor, insbesondere im Kontext kritischer digitaler Dienste. Die Behörden empfehlen, diese Risiken in Zertifizierungsschemata zu integrieren, indem beispielsweise potenzieller Zugriff durch Einrichtungen außerhalb der Europäischen Union berücksichtigt wird.\u003C/p>\n\u003Cp>Generell fordern sie einen risikobasierten Ansatz, der die Identifizierung potenzieller Auswirkungen auf die Rechte und Freiheiten natürlicher Personen ermöglicht. Konkret betont die Stellungnahme, dass Zertifizierungen nicht auf rein technische Kriterien (Robustheit, Verfügbarkeit, Resilienz) beschränkt sein dürfen, sondern auch die Art der verarbeiteten Daten, die verfolgten Zwecke und die Nutzungskontexte der Systeme berücksichtigen müssen.\u003C/p>\n\u003Cblockquote>\n\u003Cp>Dies impliziert insbesondere, die Risiken für die betroffenen Personen bereits im Vorfeld zu identifizieren.\u003C/p>\n\u003C/blockquote>\n\u003Ch2 id=\"luxemburg-aufhebung-der-746mio.-geldbusse-gegen-amazon-durch-das-verwaltungsgericht\">\u003Cstrong>Luxemburg: Aufhebung der 746‑Mio.-€‑Geldbuße gegen Amazon durch das Verwaltungsgericht\u003C/strong>\u003C/h2>\n\u003Cp>\u003Ca href=\"https://justice.public.lu/fr/actualites/2026/03/arret-cour-administrative-amazon.html\" rel=\"nofollow\">Mit einem im März 2026 verkündeten Urteil\u003C/a> bestätigte das luxemburgische Verwaltungsgericht die Aufhebung der 2021 von der Nationalkommission für Datenschutz (CNPD) gegen Amazon verhängten Geldbuße in Höhe von 746 Mio. €, im Zusammenhang mit der Datenverarbeitung für Zwecke der zielgerichteten Werbung.\u003C/p>\n\u003Cp>Diese Sanktion, die höchste jemals in Europa auf Basis der DSGVO verhängte, stützte sich vor allem auf Verstöße hinsichtlich der Rechtsgrundlage der Verarbeitung und der Transparenzpflichten im Zusammenhang mit der Nutzung von Daten zur Werbepersonalisierung.\u003C/p>\n\u003Cp>\u003Cstrong>Strenge Anforderungen an die Darlegungslast\u003C/strong>\u003C/p>\n\u003Cp>Streitpunkt war die rechtliche Einordnung der von Amazon im Kontext Verhaltens‑/Behavioral Advertising durchgeführten Verarbeitungstätigkeiten. Die CNPD hatte angenommen, dass diese Verarbeitungstätigkeiten auf keiner gültigen Rechtsgrundlage beruhten, insbesondere mangels DSGVO‑konformer Einwilligung.\u003C/p>\n\u003Cp>Unter Anwendung der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) infolge zweier Urteile vom 5. Dezember 2023 (Fälle 'DEUTSCHE WOHNEN' und 'NACIONALINIS', C‑807/21 und C‑683/21) obliegt es der Aufsichtsbehörde, das Vorliegen eines Verschuldens zu analysieren, das entweder in vorsätzlichem Handeln oder in Fahrlässigkeit des Verantwortlichen gegenüber den festgestellten DSGVO‑Verstößen bestehen kann.\u003C/p>\n\u003Cp>Das Verwaltungsgericht bestätigt die Analyse des Verwaltungstribunals, indem es feststellt, dass die von der CNPD behaupteten Verstöße nicht hinreichend nachgewiesen wurden.\u003C/p>\n\u003Cp>Das Urteil unterstreicht die hohen Anforderungen an die Aufsichtsbehörde, die in präziser und gut begründeter Weise die Charakterisierung der behaupteten Verstöße und die Anforderungen des Artikels 83 darlegen muss, was ein stringentes verwaltungsrechtliches Begründen der Sanktionsentscheidung voraussetzt.\u003C/p>\n\u003Cp>Tatsächlich hatte die CNPD keine hinreichend genaue Zweitanalyse vorgenommen, wie es die vom EuGH aufgestellten Grundsätze vorsehen, namentlich die Auswahl der angemessensten Maßnahme aus dem breiten Spektrum der zur Verfügung stehenden Sanktionen nach der jeweils anwendbaren Regelung.\u003C/p>\n\u003Cp>Das Gericht stellte daher die Analyse der CNPD in Frage und hob Mängel in der Nachweisführung der Verstöße gegen die anwendbare Regelung hervor.\u003C/p>\n\u003Ch2 id=\"deutschland-regierung-bereitet-entwurf-zur-schliessung-von-lucken-bei-der-ahndung-pornografischer-deepfakes-vor\">\u003Cstrong>Deutschland: Regierung bereitet Entwurf zur Schließung von Lücken bei der Ahndung pornografischer Deepfakes vor\u003C/strong>\u003C/h2>\n\u003Cp>Deutschland gab die Vorbereitung eines Gesetzentwurfs zu digitaler Gewalt, insbesondere gegen pornografische Deepfakes, bekannt. Zu diesem Zeitpunkt liegt noch kein konsolidierter Text vor, doch die Bundesregierung bestätigte ihre Absicht, strafrechtliche Lücken im Umgang mit pornografischen Deepfakes und allgemein sexualisierter bildbasierter Gewalt zu schließen. Der angekündigte Rahmen soll zudem die Identifizierung von Tätern erleichtern, den Zugang zu Kontoinhaberdaten ermöglichen und in bestimmten Fällen auch die Sperrung von Konten auf richterliche Anordnung erlauben.\u003C/p>\n\u003Cp>Diese Ankündigung erfolgt vor dem Hintergrund eines nach wie vor unvollständigen europäischen Rahmens. Der AI Act sieht zwar Transparenzpflichten für künstlich erzeugte oder manipulierte Inhalte, einschließlich Deepfakes, vor, ist jedoch allein nicht ausreichend, um den speziellen Fall nicht‑einvernehmlicher sexueller Inhalte zu adressieren. Aus diesem Grund unterstützte das Europäische Parlament im März 2026 eine Änderung des Textes, um sogenannte 'Nudification'‑Systeme zu verbieten, die in der Lage sind, sexuell explizite oder intime Bilder einer realen, identifizierbaren Person ohne deren Einwilligung zu erzeugen.\u003C/p>\n\u003Cp>Diese Entwicklung ist in zweierlei Hinsicht interessant.\u003C/p>\n\u003Cul>\n\u003Cli>Erstens verdeutlicht sie die anhaltende Lücke zwischen technologischer Entwicklung und bestehendem Recht. Obwohl Opfer digitaler Gewalt und Deepfakes nicht schutzlos sind, erscheint das Strafrecht noch nicht ausreichend angepasst, um diese neuen Anwendungsformen wirksam zu erfassen und Täter zu sanktionieren.\u003C/li>\n\u003Cli>Zweitens beleuchtet sie weiterreichende Defizite in der Wirksamkeit rechtlicher Abhilfen. Über die strafrechtliche Dimension hinaus existieren zivilrechtliche Mechanismen, insbesondere bei Verletzung von Persönlichkeitsrechten, mit der Möglichkeit, Abhilfe und Schadenersatz zu erlangen. In der Praxis bleibt deren Durchsetzung jedoch begrenzt, vor allem aufgrund der Schwierigkeiten bei der Identifizierung der Täter.\u003C/li>\n\u003C/ul>\n\u003Cp>Der deutsche Gesetzentwurf zielt genau darauf ab, diese Hindernisse zu beseitigen, indem er den Zugang zu den für Rechtsdurchsetzung und Durchsetzung von Rechten erforderlichen Informationen erleichtert und damit insgesamt das Rechtsschutzpotenzial der Betroffenen stärkt.\u003C/p>\n","Dastra Insights : Que s'est-il passé en mars ?","Rechtliche und regulatorische Überwachung, speziell zugeschnitten auf Datenschutzbeauftragte, Rechtsberater sowie Datenschutz- und KI-Fachleute.",1560,9,"Dastra Insights: Was ist im März passiert?",0,null,"de","dastra-insights-was-ist-im-marz-passiert","Rechts- und Regulierungs‑Monitoring, speziell konzipiert für Datenschutzbeauftragte (DPOs), Rechtsanwälte sowie Fachleute für Datenschutz und KI.","Published",{"id":19,"displayName":20,"avatarUrl":21,"bio":13,"blogUrl":13,"color":13,"userId":19,"creationDate":22},2986,"Maëva Vidal","https://static.dastra.eu/tenant-3/avatar/2986/maeva-min-min-min-150.png","2022-09-05T13:22:36","2026-04-08T10:01:00","2026-04-08T10:01:20.8221776","2026-04-08T10:04:39.3366629",{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":32},2,"Blog","A list of curated articles provided by the community","article","#28449a",[33,36,39],{"lang":34,"name":28,"description":35},"fr","Une liste d'articles rédigés par la communauté",{"lang":37,"name":28,"description":38},"es","Una lista de artículos escritos por la comunidad",{"lang":14,"name":28,"description":40},"Eine Liste von Artikeln, die von der Community verfasst wurden",[42],{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":43},[44,45,46],{"lang":34,"name":28,"description":35},{"lang":37,"name":28,"description":38},{"lang":14,"name":28,"description":40},[],"https://static.dastra.eu/content/1e2edd35-50ed-4c29-9343-2af4b32065b9/dastra-insights-original.png",[50,51,52,53,54,55,56],"https://static.dastra.eu/content/1e2edd35-50ed-4c29-9343-2af4b32065b9/dastra-insights-1000.webp","https://static.dastra.eu/content/1e2edd35-50ed-4c29-9343-2af4b32065b9/dastra-insights.webp","https://static.dastra.eu/content/1e2edd35-50ed-4c29-9343-2af4b32065b9/dastra-insights-1500.webp","https://static.dastra.eu/content/1e2edd35-50ed-4c29-9343-2af4b32065b9/dastra-insights-800.webp","https://static.dastra.eu/content/1e2edd35-50ed-4c29-9343-2af4b32065b9/dastra-insights-600.webp","https://static.dastra.eu/content/1e2edd35-50ed-4c29-9343-2af4b32065b9/dastra-insights-300.webp","https://static.dastra.eu/content/1e2edd35-50ed-4c29-9343-2af4b32065b9/dastra-insights-100.webp",59959]