Mit dem Gesetz zur Änderung des Verbrauchervertrags- und des Versicherungsvertragsrechts sowie zur Änderung des Behandlungsvertragsrechts vom 03.02.2026 wurden weitreichende Änderungen des Bürgerlichen Gesetzbuchs beschlossen.

Für Online-Händler ist damit insbesondere die Änderung des § 356a BGB relevant.

Die Vorschrift namens „Elektronische Widerrufsfunktion bei Fernabsatzverträgen“ besagt dass bei Fernabsatzverträgen, die über eine Online-Benutzeroberfläche geschlossen werden, der Unternehmer folgendes sicherzustellen hat:

• der Verbraucher kann auf der Online-Benutzeroberfläche durch das Nutzen einer Widerrufsfunktion eine Widerrufserklärung abgeben
• Die Widerrufsfunktion ist gut lesbar mit „Vertrag widerrufen“ oder einer anderen gleichbedeutenden eindeutigen Formulierung beschriftet
• Die Widerrufsfunktion muss während des Laufs der Widerrufsfrist auf der Online-Benutzeroberfläche ständig verfügbar, hervorgehoben platziert und für den Verbraucher leicht zugänglich sein
• In oder mit der Widerrufserklärung müssen ohne Weiteres die in Absatz 2 benannten Informationen enthalten bzw. bestätigt werden
• Die Widerrufsfunktion muss ermöglichen die Widerrufserklärung an den Unternehmer mittels einer Bestätigungsfunktion zu übermitteln
• Die Bestätigungsfunktion muss mit der Angabe „Widerruf bestätigen“ oder mit einer anderen gleichbedeutenden eindeutigen Formulierung beschriftet sein
• Die Eingangsbestätigung (mit dem Inhalt der Widerrufserklärung nach Absatz 2 sowie das Datum und die Uhrzeit ihres Eingangs) muss auf einem dauerhaften Datenträger unverzüglich an den Verbraucher übermittelt werden.

Die DIN 66399, die für die datenschutzkonformen Löschung von Daten und Datenträgern herangezogen wird, wurde ersatzlos gestrichen.

Anstelle der deutschen Norm gilt nun die internationale Norm ISO/IEC 21964. Diese ist im Wesentlichen inhaltsgleich zur bisherigen DIN-Norm.

Dokumente, die auf die Norm verweisen, sollten korrigiert werden. Dies betrifft insbesondere das Löschkonzept sowie Auftragsverarbeitungsverträge.

In einer Pressemitteilung vom 20.11.2025 hat die Datenschutzkonferenz ihre Reformvorschläge zur Verbesserung des gesetzlichen Datenschutzes von Kindern erklärt.

Die Datenschutzkonferenz oder DSK, Abkürzung für Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. 

In ihrer Pressemitteilung hat diese zehn Änderungen genannt. Diese Änderungen der DSGVO betreffen vor allem die Rechtfertigung zur Verarbeitung von Daten. Es soll nach dem Vorschlag der DSK nicht mehr möglich sein, dass Kinder sensible Daten, wie Gesundheitsdaten preisgeben dürfen oder Einwilligungen in Profiling und für Werbung auf der Grundlage von Persönlichkeits- oder Nutzerprofilen der Kinder erteilen können. Darüber hinaus soll es ihnen nicht möglich sein in Verarbeitungen einwilligen zu können, bei denen Entscheidungen vollständig automatisiert getroffen werden.

Beim Thema soziale Netzwerke schlägt die DSK kein Verbot vor, wie es in anderen Ländern bereits durchgesetzt wurde, sondern lediglich datenschutzfreundlichere Voreinstellungen und Systemgestaltung.

Das Amtsgerichts Düsseldorf entschied am 19.8.2025 über eine Klage wegen fehlender Information gem. der Datenschutzgrundverordnung.

Das Unternehmen schrieb im Internet eine vakante Stelle aus, auf die sich der Kläger bewarb. Aus diesem Bewerbungsverfahren erging ein Rechtsstreit. Für den Prozess gab das Unternehmen den Kläger in einer Suchmaschine ein, informierte den Kläger aber nicht über eine derartige Datennutzung.

Das Gericht stellt zunächst fest, dass die Internetrecherche eine Datenverarbeitung im Sinne des Art. 4 Nr. 2 DSGVO darstellt. Dafür ist ausreichend, dass der Name der Person in eine Suchmaschine wie Google eingegeben wird. Jede weitere Verwendung dieser gesuchten Informationen, zum Beispiel zur Verwendung im Bewerbungsverfahren oder in Schriftsätzen an ein Gericht stellt eine weitergehende Verarbeitung der Daten dar (Art. 4 Nr. 2 DSGVO). Abgesehen von der Rechtmäßigkeit dieses Vorgangs, hätte das Unternehmen unstreitig über diese Datenverarbeitung informieren müssen. Dem Kläger wurden 250 Euro Schadenersatz zugesprochen.

Die EU-Kommission arbeitet derzeit intensiv daran, mehrere Gesetze, die teils erst in jüngerer Vergangenheit erlassen wurden, abzuschwächen. Damit soll angeblich bürokratischer Aufwand für die Wirtschaft und Bürger reduziert werden. Faktisch schwächt dies aber auch die Rechte der Bürger.

Die Umsetzungsfristen der KI-Verordnung sollen bspw. nun dynamisch gelten und KI-Modelle sollen fortan einfacher mit personenbezogenen Daten trainiert werden dürfen. Die Maßnahmen sollen dazu beitragen, dass die EU in Sachen KI nicht weiter abgehängt wird.

Der Begriff der „personenbezogenen Daten“ soll im Gesetz definiert werden. Hier beruft sich der Gesetzgeber auf ein Urteil des EuGH. Jedoch werden einige - vom EuGH vorgegebenen - wichtigen Details, zur Beurteilung, ob ein Personenbezug vorliegt oder nicht, weggelassen.

Die Kommission möchte darüber hinaus die Betroffenenrechte für die Bürger einschränken. Anträge auf Auskunft, Berichtigung und Löschung sollen abgelehnt werden dürfen, sofern sie „missbräuchlich“ sind. Dies ist im Falle des Auskunftsrechts bereits jetzt möglich. Jedoch war bisher ein Auskunftsersuchen nicht rechtsmissbräuchlich, wenn mit der Auskunft andere, als Datenschutzzwecke verfolgt wurden. Dies soll sich mit der Gesetzesänderung ändern. Dies könnte aber dazu führen, dass Verantwortliche die Ansprüche mit fadenscheinigem Missbrauchsverdacht erst einmal vermehrt ablehnen.

Darüber hinaus soll die Schwelle, wann eine Datenschutzverletzung an die Datenschutzaufsichtsbehörden zu melden sind, erhöht werden. Demnach müssten nur noch Datenschutzverletzungen mit einem „hohen Risiko“ für die Rechte und Freiheiten der betroffenen Personen gemeldet werden.

Auch beim Thema Cookies soll sich etwas ändern. Einmal getätigte Ablehnung von Tracking-Cookies müssten sechs Monate lang gespeichert und in der Zeit nicht erneut abgefragt werden dürfen. Dies klingt erstmal gut, Experten beklagen jedoch, dass dies eher Chaos als Klarheit bringt.

Es bleibt abzuwarten, ob der EU Rat diese Vorschläge nun durchwinkt und ob Europa im Bereich KI durch die vermeintliche Entbürokratisierung aufholt.

Der EuGH entschied in der Rechtssache C-655/23 über die Thematik der unbefugten Offenlegung von personenbezogenen Daten des Betroffenen an einen Dritten sowie ein daraus resultierender Anspruch auf Ersatz des immateriellen Schadens und Unterlassung von Fehlversendungen. In einem Bewerbungsverfahren, bei welchem Nachrichten über das für den Bewerbungsprozess genutzte Online-Karrierenetzwerk versendet werden, wollte die Mitarbeiterin eine Nachricht mit der Ablehnung der Gehaltsvorstellungen an den Bewerber senden. Fälschlicherweise ging die Nachricht jedoch an einen unbeteiligten Dritten, einem früheren Arbeitskollegen des Bewerbers, aus derselben Branche wie dem hier in Rede stehenden Unternehmen. Durch den Fehlversandt und Veröffentlichung seiner Gehaltsvorstellungen empfand der Betroffene eine Schmach und befürchtete einen Wettbewerbsnachteil.

Der EuGH musste im Urteil klären, ob die DSGVO und welche Norm genau einen Anspruch darauf verleiht, dass der Verantwortliche eine Wiederholung dieser Verarbeitung unterlässt. Zweitens wollte das Gericht wissen, ob wie im deutschen Recht eine Wiederholungsgefahr vorliegen muss und anhand welcher Merkmale ein „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO festgestellt werden kann, sowie ob der Grad des Verschuldens des Verantwortlichen bei der Bemessung der Höhe des Schadensersatzes zu berücksichtigen ist.

Der EuGH entschied, dass die DSGVO keine eigene Bestimmung enthält, die dem Betroffenen ein Recht einräumt präventiv gegen rechtswidrige Verarbeitungen vorzugehen. Es dürfen die nach innerstaatlichem Recht bereits bestehenden Rechtsbehelfe genutzt werden (in DE: §§ 823 BGB i.V.m. § 1004 BGB).

Es wurde erneut entschieden, dass der bloße Verstoß gegen die DSGVO nicht ausreicht, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen. Es müssen drei kumulative Voraussetzungen erfüllt werden, um den Anspruch zu begründen. Negative Gefühle wie z. B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst“, die es als „allgemeines Lebensrisiko“ einstuft, können jedoch ausreichen, um das Vorliegen eines „immateriellen Schadens“ zu begründen. Vorausgesetzt es wird ordnungsgemäß nachgewiesen, dass solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen die DSGVO empfindunden wurden.

Der Grad des Verschuldens des Schädigers spielt für die Höhe der Entschädigung des immateriellen Schadens jedoch keine Rolle (Entschädigung soll Ausgleichsfunktion statt Abschreckungs- oder Schadensfunktion haben). Die Haltung und die Beweggründe des Verantwortlichen dürfen nicht berücksichtigt werden dürfen

Wenn Verantwortliche in Krankenhäusern, Arztpraxen oder auch ambulanten medizinischen Einrichtungen wie einer Psycho- oder Logopädie Videoüberwachungsanlagen betreiben möchten ist dies nur erlaubt, wenn die Videoüberwachung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht schwerer wiegen.

Die Erforderlichkeit ist dann gegeben, wenn keine milderen Maßnahmen ergriffen werden können und wenn der Verantwortliche belegen kann, dass ein Szenario, welches mit der Videoüberwachung verhindert werden soll, bereits vorher einmal eingetreten ist.

Auch das Anbringen von Hinweisschildern auf eine Videoüberwachung allein führt nicht dazu, dass eine illegale Videoüberwachung legal wird.

Videoüberwachungen in medizinischen Einrichtungen können nur im besonderen Ausnahmefall erfolgen- Dies ist beispielsweise der Fall, wenn eine besonders hohe, über dem allgemeinen Lebensrisiko liegende Gefahr für die Begehung von Straftaten besteht und alle milderen Mittel vorher ausgeschöpft wurden (z.B.. Schließfächer, manuell zu betätigende Türöffner für die Praxis,).

Werden Mitarbeiterbereiche bewacht gelten zudem nochmal besondere Vorschriften. Eine dauerhafte Videoüberwachung der Arbeitsplätze oder Bereiche, in denen sich Beschäftigte über längere Zeit aufhalten, ist generell unzulässig. Ebenso eine Videoüberwachung zum Zwecke der Verhaltens- und Leistungskontrolle. Eine Vorbeugung von Straftaten durch Beschäftigte darf auch nicht durch eine Videoüberwachung erfolgen. Dies bedarf eines konkreten Anhaltspunktes und darf nur zeitlich und personenbegrenzt erfolgen, wenn gleich effektiven Maßnahmen zuvor erfolglos eingesetzt wurden und eine Abwägung zwischen den widerstreitenden Interessen durchgeführt wurde.

Erhält ein Unternehmen Briefsendungen auf denen „nur“ die Abteilung vermerkt ist, können die Briefe bedenkenlos geöffnet werden.

Wenn neben dem Firmennamen auch ein Mitarbeitername genannt ist, dient dies lediglich dazu, die interne Verteilung zu erleichtern. Eine Postsendung, die im Empfängerfeld mit dem Namen des Unternehmens und dem Namen des Mitarbeiters gekennzeichnet ist, darf vom Arbeitgeber geöffnet werden. Im Urlaubs- oder Krankheitsfall darf ein solcher Brief auch direkt an die Vertretung weitergeleitet und dort geöffnet werden.

Sobald auf dem Umschlag neben dem Namen des Adressaten also zusätzlich der Hinweis „vertraulich“, „persönlich“, „privat“ oder „ausschließlich“ versehen ist, darf nur der Empfänger selbst den Brief öffnen und lesen.

Gleiches gilt für Postsendungen, die an die/den Datenschutzbeauftrage/n adressiert sind. Auch wenn die Postsendung z.B. nur den Hinweis „Datenschutz“ enthält, sollte dieser vorsichtshalber nur vom Datenschutzbeauftragen geöffnet werden.

Öffnen Sie dennoch eine solche Sendung, liegt ein Verstoß gegen das Briefgeheimnis vor. In einem solchen Fall, drohen Ihnen strafrechtliche Konsequenzen (§ 202 StGB). Verstöße gegen das Postgeheimnis können gemäß § 206 StGB mit einer Geld- oder Freiheitsstrafe geahndet werden. Das Postgeheimnis gilt auch innerhalb unseres Unternehmens. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort.

Verarbeitet ein Mitarbeiter, ohne Veranlassung des Arbeitgebers, personenbezogene Daten (z.B. Abfragen von Daten aus Datenbank) stellt dies eine unrechtmäßige Verarbeitung dar. Der Mitarbeiter kann dafür als Verantwortlicher angesehen werden, wenn er den Datenschutzverstoß bewusst und gewollt ohne aufgabenbezogene Veranlassung begangen hat. Hier spricht man von einem sogenannten Mitarbeiterexzess. Der Mitarbeiter entzieht sich der Leitung und Aufsicht seiner Vorgesetzten und entscheidet allein über Zwecke und Mittel der Verarbeitung.

Personenbezogene Daten dürfen nicht einfach nur interessehalber abgerufen oder angeschaut werden. In dem Falle der letztlich vor dem OLG Stuttgart behandelt wurde, wurde gegen den Mitarbeiter nicht nur ein Bußgeld verhängt. Eine solche Pflichtverletzung kann auch arbeitsrechtliche Konsequenzen nach sich ziehen.

Derzeit erhalten Unternehmen E-Mails die angeblich von der Industrie- und Handelskammer (IHK) stammen. In dieser Mail wird das Unternehmen aufgefordert, die Unternehmensdaten bei den deutschen Industrie- und Handelskammern umgehend zu aktualisieren. Andernfalls drohten eine Vertragskündigung mit der IHK.

Bitte klicken Sie keinesfalls auf den Link "Daten aktualisieren", und geben Sie erst recht auf der Zielseite keine Daten ein. Diese Mail stammt nicht aus der IHK-Organisation und sollte umgehend gelöscht werden.