Newsletter Technologie & Kommunikation Ausgabe 2 - 2025
Geschrieben von
Liebe Leser:innen,
während Deutschland gespannt auf das Ende der Koalitionsverhandlungen wartet, hat sich auf EU-Ebene wieder einiges getan. Zum einen ist die Verordnung zum Europäischen Gesundheitsdatenraum nun im Amtsblatt veröffentlicht worden. Zum anderen hat der EuGH einige neue Urteile, etwa zum Bonitäts-Scoring oder zum Verantwortlichen kraft Gesetzes nach der DSGVO, gesprochen. Darüber hinaus hat die EU-Kommission Leitlinien zu verbotenen KI-Praktiken zu der seit Februar geltenden KI-Verordnung veröffentlicht.
Diese und weitere News finden Sie im Folgenden. Wir wünschen Ihnen viel Spaß beim Lesen.
Nachrichten
Schlussanträge zur Plattformhaftung und zum Verhältnis zwischen DSGVO und DSA
EuGH-Generalanwalt Szpunar hat sich in seinen Schlussanträgen vom 6.2.2025 zur datenschutzrechtlichen Haftung von Betreibern von Online-Marktplätzen sowie zum Verhältnis zwischen den Haftungsregimen von DSGVO und Digital Services Act (VO (EU) 2022/2065) („DSA") geäußert (Az. C-492/23). Der Generalanwalt ist der Auffassung, die Nutzer selbst seien Verantwortliche für die in den Inseraten verarbeiteten personenbezogenen Daten, der Betreiber des Marktplatzes lediglich Auftragsverarbeiter, wenn er nicht im Eigeninteresse Einfluss auf die Festlegung von Zwecken und Mitteln der Verarbeitung ausübt. Zum Verhältnis der Haftungsregime der DSGVO und des DSA ist der Generalanwalt der Auffassung, dass sich ein nach der DSGVO Verantwortlicher nicht auf die Haftungserleichterung aus Art. 4 DSA berufen könne, sofern es um die Einhaltung der Vorschriften der DSGVO geht. Ein ähnliches Verfahren wird zurzeit auch vor dem BGH geführt, welches nun bis zum Urteil des EuGH ausgesetzt ist (Az. VI ZR 64/24).
Die Schlussanträge des Generalanwalts finden Sie bei Curia.
EU-Kommission veröffentlicht Leitlinien zu verbotenen KI-Praktiken
Die EU-Kommission hat am 4.2.2025 Leitlinien zu verbotenen KI-Praktiken i.S.d. AI Acts (VO (EU) 2024/1689) veröffentlicht. Die Leitlinien beziehen sich auf Art. 5 AI Act, welcher seit dem 2.2.2025 gilt. Sie beinhalten einen Überblick über verbotene KI-Praktiken sowie ausführliche Erklärungen und Beispiele zu den einzelnen verbotenen Praktiken aus Art. 5 AI Act.
Weitere Informationen finden Sie auf heise.de.
EuGH zu den Voraussetzungen des Verantwortlichen kraft Gesetzes
Der EuGH hat am 27.2.2025 ein Urteil zu den Voraussetzungen des „Verantwortlichen kraft Gesetzes“ i.S.d. Art. 4 Nr. 7 Hs. 2 DSGVO verkündet (Az. C-638/23). Nach Ansicht des Gerichtshofs sei eine nationale Regelung, die eine Stelle als Verantwortlichen benennt, jedenfalls erforderlich, dass sie den Umfang der Verarbeitung personenbezogener Daten bestimme und dass die Stelle die ihr gesetzlich vorgegebenen Pflichten erfüllen könne. Wiederum sei nicht erforderlich, dass der Gesetzgeber alle Verarbeitungsvorgänge abschließend aufzähle. Des Weiteren sei nicht erforderlich, dass die Stelle selbst einen Einfluss auf die Entscheidung über die Zwecke und Mittel der Verarbeitung habe.
Das Urteil finden Sie bei Curia.
EuGH: Auskunfteien müssen Informationen über Scoring-Berechnung beauskunften
Der EuGH hat am 27.2.2025 entschieden, dass Betroffene nach Art. 15 Abs. 1 lit. h DSGVO Informationen über die Logik von automatisierten Entscheidungsfindungen, die z.B. von Wirtschaftsauskunfteien zur Berechnung eines Scorewerts und Erstellung von Bonitätsprofilen angewandt werden, verlangen können (Az. C-203/22). Der zugrundeliegende Algorithmus hingegen muss nicht offengelegt werden. Darüber hinaus hat der EuGH entschieden, dass solche Informationen, auch wenn sie nach Ansicht des Verantwortlichen Geschäftsgeheimnisse enthalten sollten, an die zuständige Aufsichtsbehörde oder das zuständige Gericht übermittelt werden müssen, damit diese in Rahmen einer Interessenabwägung den Umfang der Auskunft an den Betroffenen ermitteln können.
Weitere Informationen finden Sie auf heise.de.
EuGH: Höchstdauer der Mindestlaufzeit von Mobilfunkverträgen gilt auch in Folgeverträgen
Der EuGH hat mit Urteil vom 13.2.2025 entschieden, dass sich der Begriff „anfängliche Mindestlaufzeit“ bei Verbraucherverträgen über Telekommunikationsdienste auch auf Folgeverträge bezieht (Az. C-612/23). Art. 105 Abs. 1 des Europäischen Kodex für die elektronische Kommunikation (RL (EU) 2018/1972), in Deutschland umgesetzt in § 56 Abs. 1 TKG, besagt, dass die anfängliche Mindestvertragslaufzeit für Verbraucherverträge über Telekommunikationsdienste 24 Monate nicht überschreiten darf. Nach dem Urteil des EuGH gilt das nicht nur für den Erstvertrag, sondern auch für Folgeverträge zwischen denselben Parteien.
Das Urteil finden Sie bei Curia.
Schlussanträge zum Personenbezug pseudonymisierter Daten
EuGH-Generalanwalt Spielmann hat sich am 6.2.2025 in einem Verfahren zur Datenschutzverordnung für Einrichtungen der EU (VO (EU) 2018/1725) zum Personenbezug pseudonymisierter Daten geäußert (Az. C-413/23 P). Er ist der Auffassung, dass eine Pseudonymisierung grundsätzlich dazu geeignet sein kann, den Personenbezug von Daten zu entfernen und sie somit dem Anwendungsbereich des Datenschutzes zu entziehen. Dies sei jedoch nur dann der Fall, wenn kein oder nur ein insignifikantes Risiko der Re-Identifikation besteht. Damit widerspricht der Generalanwalt der Interpretation des Pseudonymisierungsbegriffes durch den Europäischen Datenschutzbeauftragten (EDSB) und den Europäischen Datenschutzausschusses (EDPB). Ob sich der EuGH dieser Ansicht anschließt, bleibt abzuwarten.
Weitere Informationen finden Sie auf twobirds.com.
EuGH zur Bestimmung der Bußgeldhöhe nach der DSGVO
Der EuGH hat mit Urteil vom 13.2.2025 entschieden, dass der Unternehmensbegriff der DSGVO, an welchem sich die Bußgeldhöhe orientieren kann, gleichzusetzen ist mit dem wettbewerbsrechtlichen Unternehmensbegriff aus Art. 101 und 102 AEUV (Az. C-383/23). Demnach gehöre zum Unternehmen „jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung“.
Weitere Informationen finden Sie auf heise.de.
Verordnung zum EU-Gesundheitsdatenraum im Amtsblatt veröffentlicht
Die Verordnung über den Europäischen Gesundheitsdatenraum (VO (EU) 2025/327) wurde im Amtsblatt der EU veröffentlicht. Der Europäische Gesundheitsdatenraum soll u.a. einen gemeinsamen, EU-weiten Zugang zu elektronischen Gesundheitsdaten schaffen. Dies soll erreicht werden, indem die Verordnung Rahmenbedingungen für Systeme für elektronische Gesundheitsaufzeichnungen (EHR-Systeme) schafft und Regeln für die Primär-(insb. Unterstützung der Gesundheitsversorgung) und Sekundärnutzung (insb. gesundheitsbezogene Forschung und Politikgestaltung) elektronisch verfügbarer Gesundheitsdaten vorgibt.
Die ersten Vorschriften gelten ab dem 26.3.2027.
Weitere Informationen finden Sie auf consilium.europa.eu und der Public Health-Seite der Kommission.
Neue Technische Richtlinie zur Telekommunikationsüberwachung
Seit dem 20.2.2025 gilt die neue Version der Technischen Richtlinie zur Telekommunikationsüberwachung (TR TKÜV). Sie wurde insbesondere an die neuesten ETSI-Standards angepasst und enthält neue Anforderungen an die Verifizierung qualifizierter elektronischer Signaturen.
Weitere Informationen finden Sie auf bundesnetzagentur.de.
Events
IT Law Camp
Wir laden Sie herzlich zum 13. IT LawCamp am 4. April 2025 ein!
Wir kommen 2025 wieder zusammen, um direkt, kreativ und offen über aktuelle Rechtsfragen der Digitalisierung zu sprechen. Im Vordergrund stehen Themen wie Herausforderungen und Learnings bei der Umsetzung des Data Acts, rechtliche Fallstricke der Vertragsgestaltung über KI und der KI-Nutzung, Data Security sowie der Schutz personenbezogener Daten von Kindern im Online-Umfeld.
Mit dabei sind unter anderem Susanne Wallace (ABB) mit einem Vortrag zum Data Act und Linus Klingberg (Deutsche Bahn AG) zur aktuellen EuGH-Rechtsprechung zur Datenminimierung. Außerdem sprechen Anna Hannemann (SAP) zu KI und Steve Ritter (BfDI) zu NIS2-Compliance.
Wann? 04.04.2025, 9:00–17:30
Wo? memox.world, Taunusanlage 9-10, 60329 Frankfurt a. M.
Veröffentlichungen und Vorträge
Simon Assion zum vergangenen Halbjahr im Datenschutzrecht
Unser Partner Dr. Simon Assion hat in der aktuellen Ausgabe der „Neuen Juristischen Wochenschrift“ die relevantesten Ereignisse des letzten halben Jahres aus dem Datenschutzrecht zusammengetragen. Er fasst insbesondere die neuesten EuGH-Entscheidungen zusammen und gibt einen Überblick über die letzten gesetzgeberischen und rechtspolitischen Entwicklungen. [NJW 2025, 629]
Felix Hempel und Lukas Willecke zur Reform des Bundesdatenschutzgesetzes
Unser Associate Dr. Felix Hempel hat sich gemeinsam mit Lukas Willecke in der aktuellen Ausgabe der Zeitschrift „Privacy in Germany“ mit den Reformplänen des Bundesdatenschutzgesetzes aus Unternehmenssicht auseinandergesetzt. Auch wenn der Entwurf aufgrund der Neuwahlen in dieser Form nicht mehr in Kraft treten wird, lassen sich einige Rückschlüsse aus den Bestrebungen für eine künftige Reform unter neuer Regierung ziehen und ein Blick in die Zukunft wagen. [PinG 2025, 79]
Johannes Döveling zu Mobilfunk- und Festnetz-Provider-Verträgen
Unser Associate Dr. Johannes Döveling hat im „Handbuch der IT-Verträge“ Vertragsmuster für den Mobilfunk- und den Festnetz-Provider-Vertrag von Telekommunikationsanbietern mit Endnutzern entworfen und umfassend kommentiert. Die Vertragsmuster setzen unter anderem die mit der jüngsten Novelle des Telekommunikationsgesetzes (TKG) einhergehenden verschärften Vorgaben zum Kundenschutz und zu vorvertraglichen Informationspflichten um. [Redeker (Hrsg.): Handbuch der IT-Verträge]
Philipp Etzkorn zum Vertragsverhältnis von Dateninhaber und Datenempfänger
Unser Associate Philipp Etzkorn hat sich in der Zeitschrift „Computer und Recht“ mit dem Vertragsverhältnis zwischen Dateninhaber und Datenempfänger nach dem EU Data Act beschäftigt. Er weist dabei auf praktische Probleme bei der Umsetzung der Vertragsvorgaben nach dem Data Act hin und gibt Auslegungshilfen zur Vertragsgestaltung. [CR 2025, 114]
Simon Assion und Ruth Boardman zu Pseudonymisierung
Unser Partner Dr. Simon Assion und unsere Partnerin Ruth Boardman haben sich in unserem Bird&Bird-Podcast „Privacy Unpacked“ mit den Leitlinien des EDSA zur Pseudonymisierung auseinandergesetzt. Sie gehen in der Folge auch auf die Schlussanträge des EuGH-Generalanwalts Spielmann in der Rechtssache „Single Resolution Board“ (Az. C-413/23 P) ein, der sich mit der Frage des subjektiven Personenbezugs von Daten auseinandersetzt.
Den Podcast finden Sie auf Spotify, Soudcloud und Youtube. Das Transkript finden sie auf unserer Website.
Neu auf unserer Website
e-Evidence-Rechtsakte: Umsetzungs- und Anwendungscountdown
Deutschland und die EU bekommen ein neues Recht für grenzüberschreitende Ermittlungsmaßnahmen durch Polizei und Strafverfolgungsbehörden. Heute in einem Jahr, am 18. Februar 2026, wird die Umsetzungsfrist der e-Evidence-Richtlinie enden. Außerdem wird in genau anderthalb Jahren, ab dem 18. August 2026, die e-Evidence-Verordnung, anwendbar sein. Beide Rechtsakte werden sich auch auf Unternehmen der IT- und TK-Branche auswirken, denn diese werden zukünftig (vermehrt) mit grenzüberschreitenden Ermittlungsmaßnahmen zu tun bekommen.
The Data Act Compliance Checklist: Is Your Business Ready?
Most of the Data Act’s provisions will take effect on 12 September 2025. The Data Act aims to enhance the EU’s data economy and to foster a competitive data market by establishing rules for accessing and using data, data sharing in different relationships, switching between data processing services and interoperability. The intent of the EU legislative bodies has been to ensure the use of fair, reasonable and non-discriminatory (FRAND) terms and conditions and to guarantee the protection of fundamental rights in the data economy. Now is the time to start preparing for the new obligations.
AI & the Workplace: Navigating Prohibited AI Practices in the EU
Artificial Intelligence is reshaping workplaces, enhancing efficiency, and driving innovation. However, as its role expands, so does the need for robust regulatory safeguards to ensure its responsible use. With a view to increasing legal clarity and ensuring a consistent, effective and uniform application of the AI Act, the EU Commission recently published Guidelines on Prohibited AI Practices, setting out the EU Commission’s interpretation of prohibited AI practices as well as exceptions to the rules.
New EU AI Act guidelines: what are the implications for businesses?
The EU AI Act (2024/1689/EU) entered into force on 1 August 2024 and, among other measures, it prohibits certain AI practices, such as social scoring and predictive policing (Article 5). The European Commission (the Commission) is required to develop various guidelines on the practical implementation of the AI Act (Article 96). The guidelines are intended to promote the consistent application of the AI Act across the EU but they are non-binding; any authoritative interpretation of the AI Act may ultimately only be given by the European Court of Justice. The guidelines have been approved by the Commission but have not yet been officially adopted. The guidelines have potential implications for businesses established both inside and outside the EU.
UK and EU: Data centres - the key issues for businesses
As demand for data processing and storage continues to surge, driven by advancements in AI and other technologies, the construction, secure operation and sustainability of data centres have become focal points for industry stakeholders and the wider global community. There are a number of challenges that arise in the context of data centres, such as increasing pressure to reduce carbon footprint, reduce energy and water usage, and recycle waste heat. Further challenges include new regulatory regimes in the EU and the UK, cyber security and data protection risks, and practical issues around constructing data centres.
Competitiveness Compass outlines vision for Europe’s digital future
An initiative aimed at reinforcing competitiveness as a fundamental principle for the European Union, the Competitiveness Compass, was launched by the European Commission on 29 January. The Competitiveness Compass presents a strategic vision for Europe's future, emphasising the importance of competitiveness in fostering innovation, advancing technology and driving economic growth. Influenced by the report on The Future of European Competitiveness by Mario Draghi, the former European Central Bank President, the Compass outlines three elements to boost competitiveness: bridging the innovation divide, creating a shared roadmap for decarbonisation and competitiveness, and reducing excessive dependencies whilst enhancing security.
Neu auf unserem YouTube-Kanal
How AI is Empowering Lawyers to Upskill - Bird & Bird x Legora (FKA Leya)
