Unser Datenschutz-Update im Dezember 2025

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Dezember 2025.

1. Nachrichten aus der Welt des Datenschutzes

NIS-2 ist da – warum auch Nicht-KRITIS-Unternehmen jetzt handeln müssen

Ab 6.12.2025 tritt das Gesetz zur Umsetzung der NIS-2-Richtlinie in Kraft. Während die Aufmerksamkeit vor allem auf KRITIS-Betreiber:innen gerichtet ist, betrifft die Neuregelung tausende Unternehmen, die direkt nicht unter das Gesetz fallen – insbesondere solche, die Teil von Liefer-, Dienstleistungs- oder IT-Wertschöpfungsketten sind.

Wer für regulierte Unternehmen arbeitet, wird mittelbar selbst reguliert.

Deutlich erweiterter Anwendungsbereich – auch ohne KRITIS-Status

Mit der Umsetzung der NIS-2-Richtlinie wird das BSI-Gesetz (BSIG) grundlegend novelliert. Statt bisher rund 4.500 regulierten Organisationen unterliegen künftig etwa 29.500 Einrichtungen der Aufsicht des BSI.

Neu eingeführt werden die Kategorien:

• „wichtige Einrichtungen“
• „besonders wichtige Einrichtungen“

KRITIS-Betreiber:innen gelten automatisch als besonders wichtige Einrichtungen. Daneben fallen jedoch auch viele privatwirtschaftliche Unternehmen unter das Gesetz, sofern sie:

• in einem der gesetzlich definierten Sektoren tätig sind (z. B. IT-Dienstleistungen, digitale Infrastruktur, Logistik, Produktion, Energie-naher Bereich),
• bestimmte Schwellenwerte hinsichtlich Mitarbeiter:innenzahl, Umsatz oder Bilanzsumme überschreiten.

Unternehmen müssen eigenständig prüfen, ob sie unter NIS-2 fallen. Eine formelle „Benachrichtigung“ durch das BSI erfolgt nicht.

Kernpflichten für besonders wichtige Einrichtungen

Unternehmen, die als wichtige oder besonders wichtige Einrichtungen eingestuft werden, müssen drei Kernpflichten erfüllen:

• Betroffene Unternehmen müssen sich offiziell als NIS-2-Einrichtung beim BSI registrieren.
• Meldepflicht für erhebliche Sicherheitsvorfälle.
• Cyberangriffe, Ausfälle oder Datenpannen mit erheblichen Auswirkungen sind fristgebunden zu melden.
• Pflicht zum Risikomanagement
• Einführung, Umsetzung und Dokumentation von technischen und organisatorischen Sicherheitsmaßnahmen, einschließlich: Incident-Handling, Business-Continuity-Management, Lieferkettensicherheit, Governance- und Verantwortlichkeitsstrukturen

Das BSI sieht einen zweistufigen Registrierungsprozess vor:

Schritt 1: „Mein Unternehmenskonto“ (MUK)

Digitales Verwaltungskonto für juristische Personen, das auf ELSTER-Technologie basiert und die Nutzung von ELSTER-Organisationszertifikaten vorsieht.

Das BSI empfiehlt ausdrücklich, den MUK-Account bis spätestens Ende 2025 anzulegen.

Schritt 2: Registrierung im BSI-Portal

• Start: 6. Januar 2026
• Nutzung des MUK-Kontos
• zentrale Plattform u. a. für: NIS-2-Registrierung und Meldung erheblicher Sicherheitsvorfälle

Bis zur Registrierung gelten Übergangslösungen für Vorfallmeldungen.

NIS-2 betrifft die Geschäftsleitung persönlich

Mit dem am 6. Dezember 2025 in Kraft getretenen NIS-2-Umsetzungsgesetz wird Cybersicherheit erstmals ausdrücklich zur persönlichen Verantwortung der Geschäftsleitung. § 38 BSIG verankert eine geschlossene Verantwortungs- und Haftungskette: Die Geschäftsleitung ist für die Umsetzung und Überwachung der IT-Sicherheitsmaßnahmen verantwortlich (§ 38 Abs. 1), haftet bei Pflichtverstößen gesellschaftsrechtlich (§ 38 Abs. 2) und ist verpflichtet, regelmäßig an Schulungen zur Informationssicherheit teilzunehmen (§ 38 Abs. 3). Diese Schulungspflicht ist kein formaler Selbstzweck, sondern haftungsrelevant – Unwissen schützt nicht. Flankiert wird dies durch empfindliche Bußgelder von bis zu 10 Mio. Euro bzw. bis zu 2 % des weltweiten Konzernumsatzes. Entscheidend ist dabei nicht der Titel, sondern die tatsächliche Leitungsfunktion: Geschäftsführer:innen, Vorstände und weitere organschaftliche Führungspersonen sind gleichermaßen erfasst. Damit wird deutlich: NIS-2 ist kein reines IT- oder Compliance-Thema, sondern ein zentrales Führungs- und Governance-Thema auf Geschäftsleitungsebene.

Flow-Down-Effekt: Warum NIS-2 auch indirekt wirkt

Selbst wenn ein Unternehmen formal nicht unter NIS-2 fällt, ist es häufig faktisch betroffen, weil es Leistungen für regulierte Einrichtungen erbringt. Das betrifft insbesondere:

• IT- und Cloud-Dienstleister:innen
• Software- und SaaS-Anbieter:innen
• Managed Service Provider:innen
• Outsourcing-Partner:innen
• Hersteller:innen mit digital vernetzten Produkten
• Unternehmen mit Zugriff auf sensible Daten oder Systeme

Regulierte Einrichtungen sind künftig verpflichtet, Risiken in ihrer Liefer- und Dienstleistungskette aktiv zu steuern. Das bedeutet in der Praxis:

• strengere Sicherheitsanforderungen in Verträgen,
• Audits und Nachweispflichten,
• detaillierte Fragen zu ISMS, Incident Response und Business Continuity,
• Kündigungs- oder Haftungsrisiken bei unzureichender Cybersicherheit.

Wie Nicht-KRITIS-Unternehmen jetzt aktiv werden sollten

Die formale Registrierungs- und Meldepflicht trifft nicht betroffene Unternehmen nicht, doch die übrigen Pflichten für ein erhöhtes Sicherheitsmanagement werden an sie über Verträge und Compliance-Anforderungen entlang der Lieferkette weitergereicht.

Für Unternehmen außerhalb des klassischen KRITIS-Umfelds bedeutet NIS-2 entsteht Handlungsdruck, um:

• Vertragsverluste durch neue Sicherheitsanforderungen,
• Haftungsrisiken bei Sicherheitsvorfällen,
• Ausschluss aus Ausschreibungen,
• Reputationsschäden gegenüber Kund:innen und Partner:innen zu vermeiden.

Umgekehrt besteht die Chance: Unternehmen mit belastbarem ISMS, klaren Prozessen und dokumentierter Cybersicherheits-Compliance verschaffen sich einen zukünftig einen Wettbewerbsvorteil.

Fazit

Cybersicherheit wird damit flächendeckend zur unternehmerischen Pflicht, nicht nur für Betreiber:innen kritischer Infrastrukturen, sondern für ganze Wertschöpfungsketten. Auch Unternehmen, die sich bislang nicht als reguliert gesehen haben, sollten jetzt prüfen, wo sie mittelbar in der Flow-Down-Kette betroffen sind und wie sie ihre Sicherheits-, Governance- und Dokumentationsstrukturen zukunftsfest aufstellen.

Frankreich: CNIL verhängt 1,5 Mio. Euro Bußgeld gegen American Express wegen Cookie-Verstößen

Die französische Datenschutzaufsichtsbehörde CNIL hat am 27. November 2025 eine Geldstrafe in Höhe von 1,5 Millionen Euro gegen AMERICAN EXPRESS CARTE FRANCE verhängt, die französische Tochtergesellschaft der American-Express-Gruppe. Anlass waren wiederholte Verstöße gegen die datenschutzrechtlichen Vorgaben zur Nutzung von Trackern und Cookies auf der Unternehmenswebsite.

Tracker ohne wirksame Einwilligung

Nach den Feststellungen der CNIL setzte American Express auf seiner Website Tracker ohne gültige Einwilligung der Nutzer:innen ein. In mehreren Fällen wurden Cookies:

• bereits vor Einholung einer Einwilligung gesetzt,
• trotz ausdrücklicher Ablehnung durch Nutzende aktiviert oder
• auch nach einem Widerruf der Einwilligung weiterhin ausgelesen.

Damit verstieß das Unternehmen gegen zentrale Grundsätze des europäischen Datenschutzrechts, wonach nicht technisch notwendige Tracker nur auf Basis einer freiwilligen, informierten und jederzeit widerruflichen Einwilligung zulässig sind.

Bußgeldhöhe: Pflichtverstöße – aber nachträgliche Compliance

Die CNIL betonte, dass die Höhe des Bußgeldes zwei Aspekte berücksichtige:

Einerseits habe American Express mehrere Verpflichtungen zum Schutz der Nutzer:innen missachtet, insbesondere im Hinblick auf die tatsächliche Wirksamkeit von Ablehnungs- und Widerrufsmöglichkeiten. Andererseits habe das Unternehmen zwischenzeitlich Maßnahmen ergriffen, um seine Website an die geltenden datenschutzrechtlichen Vorgaben anzupassen.

Ein Sprecher der französischen American-Express-Gesellschaft erklärte gegenüber der Nachrichtenagentur AFP:

„Wir nehmen die Mahnungen der Datenschutzbehörde sehr ernst und verpflichten uns, die Standards im Datenschutz einzuhalten.“

Aktuelle Debatte auf EU-Ebene

Die EU-Kommission hatte sich im November 2025 dafür ausgesprochen, die bislang allgegenwärtigen Cookie-Banner perspektivisch abzuschaffen. Stattdessen könnten künftig browserbasierte Voreinstellungen genügen, die zentral festlegen, ob und in welchem Umfang Nutzer:innendaten verarbeitet werden dürfen.

Ob und wann dieses Modell tatsächlich umgesetzt wird, ist offen. Klar ist jedoch: Solange die geltenden Regeln bestehen, müssen Unternehmen sie einhalten. Die Entscheidung der CNIL zeigt, dass Verstöße gegen Cookie- und Tracking-Vorgaben weiterhin ein erhebliches Bußgeldrisiko bergen – unabhängig von möglichen Reformüberlegungen auf europäischer Ebene.

Fazit

Das Bußgeld gegen American Express verdeutlicht, dass Cookie-Compliance kein „Randthema“ ist. Ablehnung und Widerruf müssen technisch ebenso wirksam sein wie die Zustimmung selbst. Unternehmen sollten ihre Tracking- und Consent-Mechanismen regelmäßig überprüfen – nicht zuletzt vor dem Hintergrund einer sich wandelnden, aber weiterhin strengen Aufsichtspraxis in Europa.

2. Entscheidungen des Monats

BGH: Haftung für Kontrollverlust und Darknet-Veröffentlichung

Mit Urteil vom 11. November 2025 (Az. VI ZR 396/24) hat der Bundesgerichtshof (BGH) eine Entscheidung gefällt, die die Pflichten der Verantwortlichen beim Einsatz von Auftragsverarbeiter:innen noch einmal betont: Ein Musik-Streaming-Anbieter haftet für ein massives Datenleck, bei dem personenbezogene Daten von Millionen Nutzer:innen im Darknet veröffentlicht wurden. Damit setzt der BGH damit seine strenge Linie zur Haftung bei Datenschutzverstößen konsequent fort.

Der Sachverhalt: Das Datenleck

Bereits im Jahr 2019 kam es beim Anbieter über einen externen Dienstleister zu einem großflächigen Abfluss personenbezogener Daten. Nach öffentlich gewordenen Informationen waren weltweit rund 230 Millionen Nutzerkonten betroffen, darunter zahlreiche Nutzer mit Wohnsitz in Deutschland.

Zu den kompromittierten Daten gehörten unter anderem:

• Name
• E-Mail-Adresse
• Geburtsdatum
• Wohnort
• weitere Profildaten

Die Datensätze wurden im Darknet veröffentlicht und zum Verkauf angeboten. Für viele Betroffene begann damit eine langfristige Phase der Unsicherheit – mit Spam, Phishing-Versuchen und der ständigen Sorge vor Identitätsmissbrauch.

Pflichtverletzungen des Streaming-Anbieters nach Ansicht des BGH

Der BGH stellte mehrere gravierende Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) fest.

Unzureichende Auftragsverarbeitung

Der Anbieter hatte personenbezogene Daten an einen externen Dienstleister übermittelt, ohne die Vorgaben des Art. 28 DSGVO ordnungsgemäß umzusetzen. Insbesondere fehlte es an ausreichenden vertraglichen Sicherungen sowie an wirksamen Kontrollmechanismen.

Zentraler Mangel der Auftragsverarbeitung: Nach Beendigung des Vertragsverhältnisses wurden die Daten nicht gelöscht, sondern verblieben weiterhin beim Auftragsverarbeiter. Diese fortdauernde Speicherung ermöglichte letztlich den späteren Zugriff und die Veröffentlichung im Darknet.

Der BGH stellt hierzu klar (Leitsatz 1):

„Der Verantwortliche hat auch im Zusammenhang mit der Beendigung einer Auftragsverarbeitung den Schutz der Rechte der betroffenen Personen zu gewährleisten. Er hat sicherzustellen, dass – vorbehaltlich etwaiger gesetzlicher Speicherpflichten – keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem vom Verantwortlichen zwecks Auftragserfüllung überlassen wurden. Er hat daher das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt.“

Verletzung der Informationspflichten

Darüber hinaus rügte der BGH, dass der Anbieter die betroffenen Nutzer nicht unverzüglich über das Datenleck informierte, obwohl Art. 34 DSGVO eine schnelle und transparente Benachrichtigung ausdrücklich verlangt.

Immaterieller Schaden nach Art. 82 DSGVO

Bereits der Verlust der Kontrolle über personenbezogene Daten stellt einen ersatzfähigen immateriellen Schaden dar. Ein konkreter Identitätsdiebstahl oder ein finanzieller Schaden ist nicht erforderlich. Entscheidend ist die nachvollziehbare Beeinträchtigung durch den Kontrollverlust und die begründete Furcht vor Missbrauch.

Darknet-Veröffentlichung als besonders schwerwiegend

Tauchen personenbezogene Daten tatsächlich im Darknet auf oder werden für Phishing- und Betrugszwecke genutzt, wie im Fall Deezer, ist der Schaden nach Ansicht des Gerichts besonders gewichtig.

Dazu der zweite Leitsatz des Urteils:

„Verbleiben personenbezogene Daten nach Beendigung des Auftrags beim Auftragsverarbeiter, werden sie dort abgegriffen und im Darknet zum Verkauf angeboten, stellt dies einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar. Ein solcher ist nicht allein deshalb ausgeschlossen, weil die Daten schon zuvor rechtswidrig abgegriffen worden sind.“

Damit erteilt der BGH dem häufigen Einwand eine klare Absage, ein Schaden entfalle wegen früherer oder paralleler Datenlecks. Jeder Datenschutzverstoß bleibt haftungsbegründend.

Keine „versteckte Bagatellgrenze“

BGH: Eine Bagatellgrenze existiert nicht. Auch alltägliche, aber ernsthafte Sorgen – etwa vor Spam, Phishing oder Identitätsmissbrauch – reichen aus, sofern sie objektiv nachvollziehbar sind. Betroffene müssen keinen außergewöhnlichen psychischen Ausnahmezustand darlegen.

Bedeutung für Betroffene und Handlungsempfehlung

Für Betroffene ähnlicher Datenschutzvorfälle eröffnet das Urteil erhebliche Chancen zur Durchsetzung von Schadensersatzansprüchen. Sie sollten insbesondere prüfen (lassen):

• ob ihre E-Mail-Adresse oder andere personenbezogene Daten im Zusammenhang mit Deezer im Darknet veröffentlicht wurden,
• ob und wann Deezer sie über das Datenleck informiert hat,
• ob Ansprüche auf immateriellen Schadensersatz und ggf. auf Feststellung künftiger materieller Schäden bestehen.

Fazit

Das Urteil des BGH stellt klar: Unternehmen können sich nicht hinter externen Dienstleister:innen oder vermeintlich geringen Auswirkungen verstecken.

Werden personenbezogene Daten unrechtmäßig gespeichert, weitergegeben oder im Darknet veröffentlicht, stehen die Rechtswege für eine Entschädigung offen. 

EuGH verschärft Haftung von Online-Marktplätzen für Nutzeranzeigen

Mit Urteil vom 2. Dezember 2025 hat der Europäische Gerichtshof (EuGH) bezüglich Betreiber:innen von Online-Marktplätzen entschieden, dass Plattformbetreiber:innen sich künftig nicht mehr darauf zurückziehen können, lediglich „neutrale Vermittler:innen“ zu sein, wenn Nutzende personenbezogene Daten in Anzeigen veröffentlichen.

Der Ausgangsfall

Anlass der Entscheidung war ein Fall aus Rumänien: Eine Frau war ohne ihr Wissen und ohne ihre Einwilligung in einer Online-Anzeige als Anbieterin sexueller Dienstleistungen dargestellt worden. Die Anzeige enthielt hochsensible personenbezogene Daten – mit gravierenden Folgen für die Betroffene.

Plattformbetreiber als datenschutzrechtlich Verantwortliche

Der EuGH stellte klar, dass Betreiber:innen von Online-Marktplätzen Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO sind, soweit personenbezogene Daten auf ihrer Plattform veröffentlichten Anzeigen verarbeitet werden. Damit trifft sie eine eigenständige datenschutzrechtliche Verantwortung – unabhängig davon, dass die Inhalte von Nutzenden eingestellt werden.

Prüf- und Schutzpflichten vor Veröffentlichung

Besonders weitreichend sind die vom EuGH formulierten Pflichten bereits vor der Veröffentlichung von Anzeigen. Plattformbetreiber:innen müssen durch geeignete technische und organisatorische Maßnahmen:

• Anzeigen identifizieren, die sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten,
• prüfen, ob die inserierende Person identisch mit der betroffenen Person ist,
• die Veröffentlichung verweigern, wenn dies nicht der Fall ist,

es sei denn, die inserierende Person kann eine ausdrückliche Einwilligung der betroffenen Person oder einen sonstigen gesetzlichen Ausnahmetatbestand nachweisen.

Darüber hinaus müssen Betreiber:innen Maßnahmen ergreifen, um zu verhindern, dass Anzeigen mit sensiblen Daten kopiert und auf anderen Websites weiterverbreitet werden.

Bruch mit dem „Notice-and-Take-Down“-Prinzip

Das Urteil sorgt für Diskussionen, weil der EuGH dem Datenschutzrecht ausdrücklich Vorrang vor dem seit Jahrzehnten etablierten „Notice-and-Take-Down“-Verfahren einräumt, das inzwischen auch im Digital Services Act (DSA) verankert ist.

Datenschutzaufsichtsbehörden, etwa aus Hamburg und Berlin, sehen darin eine grundsätzliche Neubestimmung der Verantwortlichkeit von Hosting-Anbieter:innen. Kritische Stimmen – etwa von Heise.de – sprechen hingegen von einer „Dekonstruktion der Neutralität“ von Plattformen und warnen vor kaum praktikablen Haftungsanforderungen.

Ausblick

Welche konkreten technischen und organisatorischen Anpassungen Plattformbetreiber:innen künftig vornehmen müssen, wird maßgeblich von der Aufsichtspraxis der Datenschutzbehörden und weiteren Gerichtsentscheidungen abhängen. Klar ist jedoch bereits jetzt: Das Urteil erhöht den Compliance-Druck erheblich und zwingt Betreiber:innen von Online-Marktplätzen, ihre Prüf- und Schutzmechanismen grundlegend zu überdenken.

Wir helfen Ihnen beim Datenschutz

Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.

Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.

Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. 

Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/

Externer Datenschutzbeauftragter