Javascript is required
logo-dastralogo-dastra

Dastra Insights: Was war im November in Sachen Datenschutz und KI los?

Dastra Insights: Was war im November in Sachen Datenschutz und KI los?
Leïla Sayssa
Leïla Sayssa
4 Dezember 2025·4 Lesezeit

Haben Sie genug von allgemeinen Newslettern, die Ihre tatsächlichen Anliegen nur oberflächlich behandeln?

Dastra Insights bietet Ihnen ein Monitoring rechtlicher und regulatorischer Entwicklungen, das speziell für Datenschutzbeauftragte, Anwälte und Datenschutzfachleute konzipiert ist.

Jeden Monat gehen wir über eine einfache Zusammenfassung hinaus: Wir wählen etwa zehn Entscheidungen, Nachrichten oder Positionen aus, die konkrete Auswirkungen auf Ihre Aufgaben und Ihre Organisationen haben.

Gezielte, nützliche Überwachung, die auf den realen Gegebenheiten des Datenschutzes und der KI basiert.

Hier finden Sie unsere Auswahl für November 2025:

Omnibus-Projekt: Die Kommission ebnet den Weg für eine erhebliche Vereinfachung des europäischen Digitalrechts

Am 19. November 2025 hat die Europäische Kommission ihre Initiative mit der Bezeichnung „Digital Omnibus“ vorgestellt – ein umfassendes Maßnahmenpaket zur Vereinfachung und Modernisierung des regulatorischen Rahmens für digitale Aktivitäten in Europa, von der DSGVO über das KI-Gesetz (AI Act) bis hin zur ePrivacy-Richtlinie und Cybersicherheitsvorschriften.

Das Ziel: Wettbewerbsfähigkeit steigern, administrative Komplexität verringern und die von Fachleuten erwarteten Klarstellungen liefern.

Zu den vorgeschlagenen Anpassungen gehören:

  • Aufschub der Verpflichtungen aus dem KI-Gesetz für Hochrisikosysteme (nun geplant für Dezember 2027)
  • Gezielte Änderungen der DSGVO
  • Vereinfachung der Cookie-Einwilligung
  • Einrichtung einer zentralen Anlaufstelle (One-Stop-Shop) für die Meldung von Cybersicherheitsvorfällen.

Dieses Maßnahmenpaket muss noch vom Europäischen Parlament und vom Rat geprüft werden, markiert jedoch bereits einen Wendepunkt im europäischen Digitalrecht.

DMA und DSGVO: Veröffentlichung gemeinsamer Leitlinien durch Kommission und EDPB

Das EDPB und die Europäische Kommission haben ihre ersten gemeinsamen Leitlinien veröffentlicht, um das Zusammenspiel zwischen Digital Markets Act (DMA) und DSGVO zu klären.

Ziel: Compliance vereinfachen, Anwendungskonsistenz verbessern und Rechtssicherheit für Gatekeeper, Nutzerunternehmen, Begünstigte und betroffene Personen schaffen.

Die Leitlinien erläutern insbesondere:

Wie Gatekeeper die Anforderungen an spezifische Wahlmöglichkeit und gültige Einwilligung (Art. 5 Abs. 2 DMA) bei Kombination oder Wiederverwendung personenbezogener Daten erfüllen müssen.

Umsetzung von Verpflichtungen zu Datenübertragbarkeit, Zugriffsanfragen, Vertrieb Drittanbieter-Apps und Interoperabilität von Messaging-Diensten unter Einhaltung der DSGVO.

Eine öffentliche Konsultation läuft bis 4. Dezember 2025; Beiträge werden veröffentlicht, der Endtext gemeinsam verabschiedet.

EDPB: Stakeholder-Konsultation zu Anonymisierung und Pseudonymisierung

Das EDPB organisiert eine Multi-Stakeholder-Veranstaltung zu Anonymisierungs- und Pseudonymisierungsmethoden, da aktuelle Entscheidungen (SRB vs. EDPS, Meta) gängige Praktiken unterlaufen haben.

Ziele: Erwartungen der Behörden klären, nachweislich verlässliche Techniken identifizieren, EDPB-Leitlinien aktualisieren.

Behörden erkennen Spannungen zwischen Innovation, KI und DSGVO-Einhaltung und harmonisieren nationale Ansätze.

Angemessenheitsentscheidung Brasilien: EDPB verabschiedet Stellungnahme

Am 4. November 2025 hat der EDPB einstimmig seine Stellungnahme zum Entwurf einer Angemessenheitsentscheidung für Brasilien (Art. 45 DSGVO) verabschiedet.

Bei Annahme können europäische Organisationen personenbezogene Daten ohne zusätzliche Übermittlungsinstrumente nach Brasilien übermitteln.

Der EDPB hebt starke Übereinstimmung von LGPD und DSGVO, EuGH-Rechtsprechungskonsistenz sowie Wirksamkeit brasilianischer Garantien hervor, fordert aber Klärung zu DSFA, Transparenzlimits und Weiterübermittlungen.

Vereinigtes Königreich: ICO konsultiert zu neuem Untersuchungsansatz

Die ICO hat eine öffentliche Konsultation zu Leitlinien für Verfahren bei Verdacht auf Verstöße gegen UK GDPR oder Data Protection Act 2018 eingeleitet.

Der Entwurf regelt auch neue Befugnisse nach Data (Use and Access) Act 2025 (z. B. Anforderung von Berichten).

Themen: Kriterien für Einleitung, Ablauf, Entscheidungen (Verwarnung, Rüge, Geldbuße, Unterlassungsanordnung) sowie gütliche Einigungen. Konsultation bis 23. Januar 2026.

Direktmarketing: EuGH klärt Rechtsgrundlage

Im Urteil Inteligo Media SA vom 13. November 2025 stellt der EuGH klar: Art. 13 Abs. 2 ePrivacy-Richtlinie (in Deutschland: § 7 UWG u. a.) ist alleinige Rechtsgrundlage für E-Mail-Marketing – kein zusätzlicher Art. 6 DSGVO nötig.

Praxis: Einwilligung bleibt nutzbar, aber Verantwortliche müssen dies explizit angeben; Verarbeitungsverzeichnis, Hinweise und Policies aktualisieren.

Capita: Datenpanne betrifft 6,6 Millionen Menschen

Die ICO verhängte gegen Capita eine £14-Mio.-Strafe für einen Cyberangriff 2023 mit Diebstahl von Daten (Renten-, HR-, Kunden- und sensible Daten) von 6,6 Mio. Personen.

Mängel: Fehlende TOMs, Ignorieren kritischer Alerts (58 Std.), keine Pen-Tests, ungebremste Lateralbewegung. Ursprünglich £45 Mio., reduziert durch Kooperation.

Die CNIL bestrafte Condé Nast Publications (Vanity Fair) mit €750.000 für anhaltende Verstöße gegen Art. 82 französisches Datenschutzgesetz (Cookies/Tracker).

Inspektionen 2023/2025 nach NOYB-Beschwerde 2019 zeigten: Consent-Cookies vor Wahl, unklare Infos, defekte Reject-/Withdraw-Funktionen.

CNIL: Nationale Umfrage DPO und KI 2025

Die CNIL startet eine Umfrage zur Rolle von DPOs bei KI-Nutzung in französischen Organisationen.

Fragen: Tätigkeitsumfang, Herausforderungen, benötigte Tools/Schulungen. DPOs müssen bei personenbezogenen Daten einbezogen werden, KI-VO-Kompetenzen ergänzen DSGVO-Prinzipien. Nehmen Sie bis 15. Dezember 2025 teil.

Ungarn: Nationales KI-Gesetz verabschiedet

Ungarn ergänzt die KI-Verordnung (AI Act) durch nationales Recht mit sektorspezifischen Pflichten, erweiterter Transparenz und Verwaltungsstrafen.

KI und EuGH: Vorabfrage C-245/25 zu Unfallsimulation

EuGH prüft, ob Virtual Crash 4.0 (KI-Software für Gutachten) Hochrisiko-KI (Anhang III Nr. 8 AI Act) ist; Themen: Erklärbarkeit (Art. 86), faire Verfahren (Art. 19 EUV).

Kommission: Verhaltenskodex zur Kennzeichnung KI-generierter Inhalte

Arbeitsgruppe entwickelt freiwilligen Kodex (Wasserzeichen, Metadata, Warnhinweise) für Transparenz bei Deepfakes etc.; erste Version Anfang 2026.

Data Act: Entwurf Mustervertragsklauseln

Nicht bindende MCT für obligatorischen/voluntären Datenaustausch und SCC für Cloud-Switching (Exit, Termination, Continuity); Übersetzung in EU-Sprachen in 3–4 Monaten.

Über den Autor
Dastronaut
Leïla Sayssa
Abonnieren Sie unseren Newsletter

Wir senden Ihnen gelegentlich E‑Mails, um Sie über Neuigkeiten und Weiterentwicklungen unserer Lösung auf dem Laufenden zu halten

* Sie können sich jederzeit von unserem Newsletter abmelden