Mit dem Gesetz zur Änderung des Verbrauchervertrags- und des Versicherungsvertragsrechts sowie zur Änderung des Behandlungsvertragsrechts vom 03.02.2026 wurden weitreichende Änderungen des Bürgerlichen Gesetzbuchs beschlossen.

Für Online-Händler ist damit insbesondere die Änderung des § 356a BGB relevant.

Die Vorschrift namens „Elektronische Widerrufsfunktion bei Fernabsatzverträgen“ besagt dass bei Fernabsatzverträgen, die über eine Online-Benutzeroberfläche geschlossen werden, der Unternehmer folgendes sicherzustellen hat:

• der Verbraucher kann auf der Online-Benutzeroberfläche durch das Nutzen einer Widerrufsfunktion eine Widerrufserklärung abgeben
• Die Widerrufsfunktion ist gut lesbar mit „Vertrag widerrufen“ oder einer anderen gleichbedeutenden eindeutigen Formulierung beschriftet
• Die Widerrufsfunktion muss während des Laufs der Widerrufsfrist auf der Online-Benutzeroberfläche ständig verfügbar, hervorgehoben platziert und für den Verbraucher leicht zugänglich sein
• In oder mit der Widerrufserklärung müssen ohne Weiteres die in Absatz 2 benannten Informationen enthalten bzw. bestätigt werden
• Die Widerrufsfunktion muss ermöglichen die Widerrufserklärung an den Unternehmer mittels einer Bestätigungsfunktion zu übermitteln
• Die Bestätigungsfunktion muss mit der Angabe „Widerruf bestätigen“ oder mit einer anderen gleichbedeutenden eindeutigen Formulierung beschriftet sein
• Die Eingangsbestätigung (mit dem Inhalt der Widerrufserklärung nach Absatz 2 sowie das Datum und die Uhrzeit ihres Eingangs) muss auf einem dauerhaften Datenträger unverzüglich an den Verbraucher übermittelt werden.

Die DIN 66399, die für die datenschutzkonformen Löschung von Daten und Datenträgern herangezogen wird, wurde ersatzlos gestrichen.

Anstelle der deutschen Norm gilt nun die internationale Norm ISO/IEC 21964. Diese ist im Wesentlichen inhaltsgleich zur bisherigen DIN-Norm.

Dokumente, die auf die Norm verweisen, sollten korrigiert werden. Dies betrifft insbesondere das Löschkonzept sowie Auftragsverarbeitungsverträge.

In einer Pressemitteilung vom 20.11.2025 hat die Datenschutzkonferenz ihre Reformvorschläge zur Verbesserung des gesetzlichen Datenschutzes von Kindern erklärt.

Die Datenschutzkonferenz oder DSK, Abkürzung für Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. 

In ihrer Pressemitteilung hat diese zehn Änderungen genannt. Diese Änderungen der DSGVO betreffen vor allem die Rechtfertigung zur Verarbeitung von Daten. Es soll nach dem Vorschlag der DSK nicht mehr möglich sein, dass Kinder sensible Daten, wie Gesundheitsdaten preisgeben dürfen oder Einwilligungen in Profiling und für Werbung auf der Grundlage von Persönlichkeits- oder Nutzerprofilen der Kinder erteilen können. Darüber hinaus soll es ihnen nicht möglich sein in Verarbeitungen einwilligen zu können, bei denen Entscheidungen vollständig automatisiert getroffen werden.

Beim Thema soziale Netzwerke schlägt die DSK kein Verbot vor, wie es in anderen Ländern bereits durchgesetzt wurde, sondern lediglich datenschutzfreundlichere Voreinstellungen und Systemgestaltung.

Das Amtsgerichts Düsseldorf entschied am 19.8.2025 über eine Klage wegen fehlender Information gem. der Datenschutzgrundverordnung.

Das Unternehmen schrieb im Internet eine vakante Stelle aus, auf die sich der Kläger bewarb. Aus diesem Bewerbungsverfahren erging ein Rechtsstreit. Für den Prozess gab das Unternehmen den Kläger in einer Suchmaschine ein, informierte den Kläger aber nicht über eine derartige Datennutzung.

Das Gericht stellt zunächst fest, dass die Internetrecherche eine Datenverarbeitung im Sinne des Art. 4 Nr. 2 DSGVO darstellt. Dafür ist ausreichend, dass der Name der Person in eine Suchmaschine wie Google eingegeben wird. Jede weitere Verwendung dieser gesuchten Informationen, zum Beispiel zur Verwendung im Bewerbungsverfahren oder in Schriftsätzen an ein Gericht stellt eine weitergehende Verarbeitung der Daten dar (Art. 4 Nr. 2 DSGVO). Abgesehen von der Rechtmäßigkeit dieses Vorgangs, hätte das Unternehmen unstreitig über diese Datenverarbeitung informieren müssen. Dem Kläger wurden 250 Euro Schadenersatz zugesprochen.

Im Dezember 2025 gab die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) ein Merkblatt zu Verständigungen in datenschutzrechtlichen Verfahren über Geldbußen aus.

Verfahren über Geldbußen, die durch die zuständigen Datenschutzbehörden geführt werden, können in geeigneten Fällen mit einer einvernehmlichen Verständigung (sog. Settlement) beendet und damit verkürzt werden. Es bietet sich vor allem für solche Verfahren an, deren weitere Bearbeitung einen erheblichen Aufwand durch die rechtliche Auseinandersetzung in der Begründung des Bußgeldbescheides, Abgabe an die Staatsanwaltschaft im Hinblick auf umfangreiche Einspruchsbegründungen und Unterstützung des Gerichts und der Staatsanwaltschaft im gerichtlichen Verfahren bedingen würde.

Voraussetzungen sind

1. Es handelt sich um ein nationales Verfahren ohne grenzüberschreitenden Bezug,
2. Es gibt keine abweichenden Vorgaben des EDSA
3. Die Verständigung erfolgt freiwillig
4. Die Beweislage muss dahingehend geprüft sein, ob der bzw. dem Betroffenen die Tat voraussichtlich mit der für eine Verurteilung erforderlichen Wahrscheinlichkeit nachgewiesen werden kann und
5. der Betroffene muss sich im Rahmen der Verständigung geständig einlassen, ebenso für die Zumessung der Geldbuße relevanten Umstände

Die EU-Kommission arbeitet derzeit intensiv daran, mehrere Gesetze, die teils erst in jüngerer Vergangenheit erlassen wurden, abzuschwächen. Damit soll angeblich bürokratischer Aufwand für die Wirtschaft und Bürger reduziert werden. Faktisch schwächt dies aber auch die Rechte der Bürger.

Die Umsetzungsfristen der KI-Verordnung sollen bspw. nun dynamisch gelten und KI-Modelle sollen fortan einfacher mit personenbezogenen Daten trainiert werden dürfen. Die Maßnahmen sollen dazu beitragen, dass die EU in Sachen KI nicht weiter abgehängt wird.

Der Begriff der „personenbezogenen Daten“ soll im Gesetz definiert werden. Hier beruft sich der Gesetzgeber auf ein Urteil des EuGH. Jedoch werden einige - vom EuGH vorgegebenen - wichtigen Details, zur Beurteilung, ob ein Personenbezug vorliegt oder nicht, weggelassen.

Die Kommission möchte darüber hinaus die Betroffenenrechte für die Bürger einschränken. Anträge auf Auskunft, Berichtigung und Löschung sollen abgelehnt werden dürfen, sofern sie „missbräuchlich“ sind. Dies ist im Falle des Auskunftsrechts bereits jetzt möglich. Jedoch war bisher ein Auskunftsersuchen nicht rechtsmissbräuchlich, wenn mit der Auskunft andere, als Datenschutzzwecke verfolgt wurden. Dies soll sich mit der Gesetzesänderung ändern. Dies könnte aber dazu führen, dass Verantwortliche die Ansprüche mit fadenscheinigem Missbrauchsverdacht erst einmal vermehrt ablehnen.

Darüber hinaus soll die Schwelle, wann eine Datenschutzverletzung an die Datenschutzaufsichtsbehörden zu melden sind, erhöht werden. Demnach müssten nur noch Datenschutzverletzungen mit einem „hohen Risiko“ für die Rechte und Freiheiten der betroffenen Personen gemeldet werden.

Auch beim Thema Cookies soll sich etwas ändern. Einmal getätigte Ablehnung von Tracking-Cookies müssten sechs Monate lang gespeichert und in der Zeit nicht erneut abgefragt werden dürfen. Dies klingt erstmal gut, Experten beklagen jedoch, dass dies eher Chaos als Klarheit bringt.

Es bleibt abzuwarten, ob der EU Rat diese Vorschläge nun durchwinkt und ob Europa im Bereich KI durch die vermeintliche Entbürokratisierung aufholt.

Mit dem Registrierungsprozess für ein Google-Konto verstößt Microsoft Datenschutzrecht. Es fehlt an einer freiwilligen und informierten Entscheidung und Einwilligung in die Verarbeitung personenbezogener Daten in Bezug auf Web- & App-Aktivitäten, YouTube-Verlauf und personalisierte Werbung. Bei der sogenannten „Express-Personalisierung“ gibt es keine Möglichkeit die Einwilligung nicht zu erteilen. Auch bei der „manuellen Personalisierung“ kann die Nutzung personenbezogener Daten im Bereich „Personalisierte Werbung“ nicht vollständig abgewählt werden. Zudem gibt es keine transparente Auflistung der Dienste der Beklagten, in welche man einwilligen solle, ebensowenig wie eine Benennung der „Google-Websites“, „Google-Apps” oder „Google Partner“. Zudem nutzt Microsoft das sogenannte „Nudging“ um Verbraucher zu einer bestimmten Handlung hinzuleiten. Darüber hinaus wird das Wort „Personalisierung“ hier für die Zustimmung zur Datenverarbeitung verwendet. Unter Personalisierung versteht man aber im Allgemeinen etwas anderes (deceptive design pattern).

Nach Auffassung des EuGH muss jede Verarbeitung personenbezogener Daten u.a. im Einklang mit den in Art. 5 DSGVO aufgestellten Grundsätzen zur Verarbeitung solcher Daten stehen und die In Art. 6 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllen (EuGH, Urteil vom 11.7.2024 — C-757/22, Rn. 49). Werden Nutzer nicht ausreichend über die Verarbeitung ihrer personenbezogenen Daten informiert oder werden gar zu viele Daten erhoben, die für den angestrebten Zweck nicht erforderlich sind, wird gegen die Anforderungen an die Grundsätze der Datenverarbeitung verstoßen und die Rechte der Nutzer verletzt. So auch im Fall, der vor dem Landgericht Berlin II verhandelt wurde (Az. 15 O 472/22).

Der Europäische Datenschutzausschuss (EDSA) hat das Thema für die fünfte koordinierte Durchsetzungsmaßnahme ausgewählt. Diese wird sich mit der Einhaltung von Transparenz- und Informationspflichten gemäß der DSGVO befassen. Das Recht auf Information aus den Artikeln 12 bis 14 DSGVO ist ein Kernelement der Transparenz und gewährleistet die Kontrolle der Betroffenen über ihre personenbezogenen Daten.

Die teilnehmenden Aufsichtsbehörden der Mitgliedstaaten versenden dazu Fragebögen an Unternehmen und Behörden. Die Ergebnisse werden analysiert, um Förderbedarf festzustellen und gezielt Maßnahmen einzuleiten. Welche Datenschutzbehörden sich dieser Prüfaktion anschließen, wird in den kommenden Wochen bekannt gegeben. Die koordinierte Maßnahme soll im Laufe des Jahres 2026 gestartet werden.

Der EuGH entschied in der Rechtssache C-655/23 über die Thematik der unbefugten Offenlegung von personenbezogenen Daten des Betroffenen an einen Dritten sowie ein daraus resultierender Anspruch auf Ersatz des immateriellen Schadens und Unterlassung von Fehlversendungen. In einem Bewerbungsverfahren, bei welchem Nachrichten über das für den Bewerbungsprozess genutzte Online-Karrierenetzwerk versendet werden, wollte die Mitarbeiterin eine Nachricht mit der Ablehnung der Gehaltsvorstellungen an den Bewerber senden. Fälschlicherweise ging die Nachricht jedoch an einen unbeteiligten Dritten, einem früheren Arbeitskollegen des Bewerbers, aus derselben Branche wie dem hier in Rede stehenden Unternehmen. Durch den Fehlversandt und Veröffentlichung seiner Gehaltsvorstellungen empfand der Betroffene eine Schmach und befürchtete einen Wettbewerbsnachteil.

Der EuGH musste im Urteil klären, ob die DSGVO und welche Norm genau einen Anspruch darauf verleiht, dass der Verantwortliche eine Wiederholung dieser Verarbeitung unterlässt. Zweitens wollte das Gericht wissen, ob wie im deutschen Recht eine Wiederholungsgefahr vorliegen muss und anhand welcher Merkmale ein „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO festgestellt werden kann, sowie ob der Grad des Verschuldens des Verantwortlichen bei der Bemessung der Höhe des Schadensersatzes zu berücksichtigen ist.

Der EuGH entschied, dass die DSGVO keine eigene Bestimmung enthält, die dem Betroffenen ein Recht einräumt präventiv gegen rechtswidrige Verarbeitungen vorzugehen. Es dürfen die nach innerstaatlichem Recht bereits bestehenden Rechtsbehelfe genutzt werden (in DE: §§ 823 BGB i.V.m. § 1004 BGB).

Es wurde erneut entschieden, dass der bloße Verstoß gegen die DSGVO nicht ausreicht, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen. Es müssen drei kumulative Voraussetzungen erfüllt werden, um den Anspruch zu begründen. Negative Gefühle wie z. B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst“, die es als „allgemeines Lebensrisiko“ einstuft, können jedoch ausreichen, um das Vorliegen eines „immateriellen Schadens“ zu begründen. Vorausgesetzt es wird ordnungsgemäß nachgewiesen, dass solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen die DSGVO empfindunden wurden.

Der Grad des Verschuldens des Schädigers spielt für die Höhe der Entschädigung des immateriellen Schadens jedoch keine Rolle (Entschädigung soll Ausgleichsfunktion statt Abschreckungs- oder Schadensfunktion haben). Die Haltung und die Beweggründe des Verantwortlichen dürfen nicht berücksichtigt werden dürfen

Das französische Arbeits-, Beschäftigungs- und Gesundheitsministerium hat rund 3.600 Unternehmen befragt, ob und inwieweit sich die Bestellung eines Datenschutzbeauftragten auf ihre wirtschaftliche Lage auswirkt.

Mithilfe eines Fragebogens wurde ermittelt, welche wirtschaftlichen Vorteile die Anwesenheit eines Datenschutzbeauftragten für Unternehmen hat. Zusätzlich zur Studie wurden Interviews mit Datenschutzbeauftragen durchgeführt, die von der französischen Vereinigung der Datenschutzkorrespondenten vorgeschlagen wurden. Dies sollte die Einschätzungen der Unternehmen in den Fragebögen bestätigen.

Laut der Studienergebnisse haben Unternehmen mit betrieblichen Datenschutzbeauftragten eine deutlich höhere Auftragsquote bei öffentlichen Ausschreibungen, Vorteile bei der Sanktionsvermeidung und der Vermeidung von Datenlecks sowie eine höhere Effizienz der unternehmensinternen Datenverwaltung.

Cyberabgriffe verursachen erhebliche Kosten, denen nachweislich durch die Anwesenheit eines Datenschutzbeauftragten vorgebeugt wird. Bei der Vermeidung von Sanktionen fürchten die Unternehmen aber weniger die Bußgelder, sondern vielmehr die Auswirkungen auf das Ansehen des Unternehmens.

Darüber hinaus wurde ermittelt, dass eine datenschutzgerechte Datenminimierung die Betriebskosten senken und die IT-Sicherheit stärken kann.

Datenschutzbeauftragte berichteten, dass es tendenziell eher in größeren Organisationen möglich ist, Sanktionen und Datenschutzverletzungen zu vermeiden, sowie in denen mit einer positiven Compliance-Haltung. Die in größeren Organisationen beschäftigte DSB erhalten oft mehr Ressourcen für die Aufgaben rund um den Datenschutz.