Unser Datenschutz-Update im Oktober 2025

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Oktober 2025.

1. Nachrichten aus der Welt des Datenschutzes

AI Act Service Desk FAQ: Die Europäische Kommission liefert praxisnahe Orientierung

Die Europäische Kommission hat ein neues Referenzdokument zum EU AI Act veröffentlicht: die AI Act Service Desk FAQ. Auf über hundert Fragen bietet die Sammlung praxisnahe Antworten zur Umsetzung des KI-Gesetzes – direkt basierend auf Rückmeldungen aus den AI-Pact-Webinaren von Unternehmen, Jurist:innen und politischen Entscheidungsträger:innen.

Zentrale Auslegungshilfe

Das Dokument gilt als zentrale Auslegungshilfe für die Anwendung des AI Acts. Es erklärt, welche Systeme unter die Verordnung fallen, wie der Umsetzungszeitplan bis 2027 aussieht und was genau unter einem KI-System oder KI-Modell zu verstehen ist – einschließlich der Abgrenzung von Allzweck-KI (General-Purpose AI). Zudem werden Pflichten für Hochrisiko-KI, verbotene Praktiken sowie Einblicke in den Verhaltenskodex für Allzweck-KI und die neuen Regulierungssandkästen erläutert.

Die FAQ nennt auch technische Schwellenwerte (10²³ und 10²⁵ FLOPs), die zur Einstufung von Modellen mit systemischem Risiko dienen.

Die FAQ sollen stetig weiterentwickelt und regelmäßig aktualisiert werden. Sie bieten eine verlässliche Quelle für die praktische Auslegung des europäischen KI-Gesetzes darstellt.

DSK veröffentlicht Orientierungshilfe zu RAG-Systemen

Die Datenschutzkonferenz (DSK) hat eine neue Orientierungshilfe zum Einsatz von KI-Systemen mit Retrieval Augmented Generation (RAG) veröffentlicht. Auf 18 Seiten erhalten Unternehmen und Behörden praxisnahe Hinweise, wie sich RAG datenschutzkonform einsetzen lässt.

RAG-Systeme erweitern große Sprachmodelle um den gezielten Zugriff auf interne Wissensquellen. Statt nur auf den Prompt zu reagieren, ruft das System relevante Dokumentpassagen aus den eigenen Daten ab und bezieht sie in die Antwort ein. Das soll Genauigkeit und Nachvollziehbarkeit erhöhen, Halluzinationen reduzieren und beim lokalen Einsatz Datenschutz by Design sowie digitale Souveränität fördern. Typische Anwendungsfelder sind interne Chatbots oder wissenschaftliche Assistenzsysteme.

Gleichzeitig betont die DSK, dass RAG kein Freifahrtschein für datenschutzwidrig trainierte Sprachmodelle ist. Transparenz, Zweckbindung und Betroffenenrechte müssen auch bei RAG-Systemen gewährleistet bleiben. Verantwortliche sollten den Einsatz im Einzelfall prüfen und technische sowie organisatorische Maßnahmen regelmäßig anpassen.

Die Orientierungshilfe bietet damit eine Grundlage für Unternehmen, um Innovation und Datenschutz beim Einsatz moderner KI-Systeme in Einklang zu bringen.

2. Entscheidungen des Monats

AG Nürnberg zur DSGVO: Kein Schadensersatz ohne echten Schaden – und wann Einwilligungen trotz Vertragskopplung wirksam sind

Das Amtsgericht Nürnberg (Urteil vom 09.07.2025 – 22 C 1423/25) hat ein Urteil zur Wirksamkeit datenschutzrechtlicher Einwilligungen und zu den Grenzen von Schadensersatzansprüchen nach Art. 82 DSGVO gefällt. Auch in diesem Fall betont das Gericht: Wer DSGVO-Schadensersatz will, muss einen konkret-individuellen Schadennachweisen – bloßes Unbehagen oder Kontrollverlustgefühle reichen nicht.

Sachverhalt

Ein Privatkunde – selbst Wirtschaftsberater – schloss einen Mobilfunkvertrag ab und akzeptierte dabei ein Datenschutzmerkblatt. Dieses erlaubte die Weitergabe sogenannter Positivdaten (also Informationen über reguläre Vertragsabschlüsse ohne Zahlungsstörungen) an eine Wirtschaftsauskunftei zur Betrugsprävention.

Der Kunde verlangte später 1.500 Euro Schadensersatz nach Art. 82 DSGVO und wollte die Datenweitergabe untersagen lassen. Seine Begründung: Die Einwilligung sei nicht freiwillig gewesen und habe seine Rechte verletzt. Das Gericht wies die Klage vollständig ab.

1. Kein Schadensersatz ohne konkreten Schaden

Der Kläger konnte keinen tatsächlichen, individuell spürbaren Schaden nachweisen.
Das Gericht machte deutlich, dass bloße Verunsicherung oder ein Gefühl des Kontrollverlusts nicht ausreichen, um einen Schadensersatzanspruch nach Art. 82 DSGVO zu begründen.„Bloße Verunsicherung oder abstrakte Kontrollverlustgefühle genügen nicht.“

Kritisch äußerte sich das Gericht außerdem zur anwaltlichen Argumentation in dem Fall. Es sei „mehr als fraglich“, ob die Klage überhaupt individuell aufgebaut und formuliert wurde. Sollten standardisierte Textbausteine verwendet worden sein, könnten künftige Verfahren strafrechtliche Konsequenzen nach sich ziehen.

Kernaussagen:

• Kein Schadensersatz ohne konkret nachweisbaren Schaden.
• Subjektives Unbehagen genügt nicht.
• Gerichte erwarten eine individualisierte Begründung des Anspruchs.

2. Freiwilligkeit der Einwilligungen trotz Vertragskopplung 

Ein weiterer zentraler Punkt betrifft die Freiwilligkeit von Einwilligungen nach Art. 7 DSGVO. Häufig wird diskutiert, ob Einwilligungen noch freiwillig sind, wenn sie mit einem Vertragsabschluss verknüpft sind.

Das Gericht stellte klar: Ein Koppelungsverbot existiert nicht absolut. Entscheidend sei, ob eine unangemessene Drucksituation besteht.

Im konkreten Fall sah das Gericht keine solche Situation, denn es gab keine Monopolstellung oder Alternativlosigkeit. Dem Kläger standen andere Anbieter mit ähnlichen Vertragsbedingungen zur Verfügung. Weiterhin war die Einwilligung klar formuliert, transparent und zweckgebunden.

Zusammenfassung:

• Keine pauschale Unwirksamkeit bei Vertragskopplung.
• Freiwilligkeit entfällt nur bei faktischem Zwang oder Alternativlosigkeit.
• Transparenz und Verständlichkeit sichern Wirksamkeit.

3. Datenweitergabe an Auskunfteien zur Betrugsprävention kann zulässig sein

Das Gericht bestätigte zudem die Rechtmäßigkeit der Datenübermittlung an Wirtschaftsauskunfteien auf Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO.

Die Übermittlung von Positivdaten sei erforderlich und verhältnismäßig, um Betrug im Telekommunikationsbereichzu verhindern.
Das Gericht verwies auf reale Missbrauchsszenarien – etwa massenhafte Vertragsabschlüsse zum Zwecke des Weiterverkaufs subventionierter Smartphones.

Zusammenfassung:

• Positivdaten können zur Betrugsprävention übermittelt werden.
• Wirtschaftliche Interessen dürfen Datenschutzinteressen überwiegen, wenn Maßnahmen verhältnismäßig sind.
• Bezug auf OLG Düsseldorf (Urteil v. 31.10.2024 – I-20 U 51/24).

4. Kein Anspruch auf Unterlassung oder Feststellung künftiger Schäden

Da die Datenweitergabe rechtmäßig war und die Einwilligung später wirksam widerrufen wurde, bestand kein Unterlassungsanspruch. Ein Widerruf wirkt nur für die Zukunft – deshalb bleibt die vergangene Verarbeitung rechtmäßig.

Auch der Antrag auf Feststellung künftiger Schäden scheiterte mangels konkreter Anhaltspunkte.

Fazit: Realitätsnahes Datenschutzverständnis statt Prinzipienreiterei

Das Urteil des AG Nürnberg stellt klar, dass eine Einwilligung auch bei Vertragskopplung wirksam ist, so lange keine Zwangssituation besteht. Unternehmen sollten immer darauf achten, den Einwilligungstext und die Informationen zur Datenverarbeitung klar und transparent zu formulieren.

LAG München: Einsichtsrecht statt Kopie bei Auskunftsanspruch

Unternehmen fürchten Auskunftsansprüche von Mitarbeiter:innen, weil in der Folge ein unübersehbarer Berg an Kopien erforderlich werden kann, die im Rahmen des Auskunftsanspruch der Mitarbeiterin/des Mitarbeiters übermittelt werden müssen. Oft besteht Unsicherheit, wann und in welchem Umfang Kopien erstellt werden müssen.

Das Landesarbeitsgericht München hat mit Urteil vom 12. Juni 2025 (Az. 2 SLa 70/25) entschieden, dass Beschäftigte nach einer internen Compliance-Untersuchung keinen Anspruch auf eine vollständige Kopie des Untersuchungsberichts nach Art. 15 DSGVO haben. Stattdessen besteht lediglich ein Recht auf Einsicht, soweit der Bericht personenbezogene Daten enthält. Das Urteil schafft wichtige Klarheit an der Schnittstelle von Datenschutz, Hinweisgeberschutz und Arbeitsrecht.

Auskunft ja – Kopie nein

Im konkreten Fall wollte eine leitende Angestellte nach einer internen Untersuchung eine Kopie des gesamten Abschlussberichts erhalten. Das LAG München lehnte dies ab:
Art. 15 DSGVO gewährt Auskunft über personenbezogene Daten, aber keinen Anspruch auf die Herausgabe kompletter Dokumente, die auch rechtliche Bewertungen oder Aussagen Dritter enthalten.
Der Zweck des Auskunftsrechts – die Kontrolle über die eigenen Daten – werde bereits durch die Einsichtnahme erfüllt. Nur wenn eine Einsicht nicht ausreicht, könne ausnahmsweise ein Anspruch auf Kopien bestehen.

Arbeitsrechtliches Einsichtsrecht 

Das Gericht stützte die Entscheidung zusätzlich auf das arbeitsrechtliche Einsichtsrecht (§ 83 BetrVG, § 26 SprAuG). Der Bericht sei Teil der Personalakte, da er Informationen über Verhalten und Leistung enthalte.
Ein vollständiger Ausschluss mit Hinweis auf Geschäftsgeheimnisse oder Hinweisgeberschutz sei nicht gerechtfertigt – diese Interessen könnten durch Schwärzungen oder Anonymisierung gewahrt werden.

Was das Urteil für die Praxis bedeutet

• Abgrenzung: Art. 15 DSGVO umfasst keine pauschale Herausgabe kompletter interner Berichte.
• Einsicht statt Kopie: Beschäftigte können relevante Daten einsehen, müssen aber keine vollständigen Akten erhalten.
• Schutz von Hinweisgeber:innen: Arbeitgeber:innen dürfen sensible Angaben schützen, müssen aber Transparenz gewährleisten.
• Interne Prozesse: Compliance- und HR-Abteilungen sollten interne Untersuchungen so dokumentieren, dass personenbezogene Daten zugänglich, aber Dritte geschützt bleiben.

VW verstößt teils gegen Datenschutz bei Aufarbeitung des Dieselskandals – Gericht bestätigt drei Verwarnungen

Das Verwaltungsgericht Hannover hat am 5. Juni 2025 entschieden (VG Hannover, Urteil vom 5. Juni 2025, Az. 10 A 4017/23) , dass drei von fünf Verwarnungen des Landesdatenschutzbeauftragten Niedersachsen (LfD) gegen Volkswagen wegen Datenschutzverstößen im Zusammenhang mit der Aufarbeitung des Dieselskandals rechtmäßig sind. Zwei Verwarnungen wurden aufgehoben. Damit bestätigt das Gericht teilweise die datenschutzrechtliche Kritik an VWs Umgang mit Beschäftigtendaten im Rahmen interner Compliance- und Überwachungsverfahren. 

Hintergrund: Monitorship nach US-Vergleichen

Nach Vergleichen mit US-Behörden zur Aufarbeitung des Dieselskandals führte VW ein sogenanntes Monitorship durch, um die eigenen Compliance-Strukturen zu verbessern. Ein ehemaliger US-Generalstaatsanwalt fungierte dabei als unabhängiger Monitor. Der Landesdatenschutzbeauftragte sah mehrere Datenschutzverstöße und sprach fünf Verwarnungen aus.

Gericht hebt zwei Verwarnungen auf

Das Gericht entschied, dass zwei Verwarnungen unzulässig waren:

1. Namensliste an den Monitor: VW hatte eine Liste mit 22 Beschäftigten weitergegeben. Das Gericht sah die Interessenabwägung als fehlerfrei an und bewertete das Risiko für die Betroffenen als gering.
2. E-Mail-Übermittlung pseudonymisierter Daten: VW nutzte lediglich Transportverschlüsselung statt Ende-zu-Ende-Verschlüsselung. Da keine Klarnamen übermittelt wurden und die Daten ausreichend pseudonymisiert waren, war diese Übertragungsart laut Gericht ausreichend sicher.

Drei Verwarnungen bleiben bestehen

Die übrigen drei Verwarnungen hielten der gerichtlichen Prüfung stand:

• Unzureichende Information der Beschäftigten: VW habe Mitarbeitende nicht ausreichend darüber informiert, dass personenbezogene und pseudonymisierte Daten im Rahmen des Monitorships verarbeitet wurden. Das bloße Einstellen allgemeiner Informationen im Intranet reiche nicht aus, um die Informationspflichten nach Art. 13 DSGVO zu erfüllen.
• EPA-Auditierung: Auch bei einer späteren Prüfung durch die US-Umweltbehörde (EPA) habe VW Beschäftigtendaten ohne ausreichende Information übermittelt. Das Gericht sah hierin ebenfalls eine Zweckänderung und einen Verstoß gegen die DSGVO.
• Fehlendes Verarbeitungsverzeichnis: Zu Beginn der EPA-Auditierung habe VW kein eigenes Verzeichnis der Verarbeitungstätigkeiten geführt. Obwohl dies nachträglich nachgeholt wurde, durfte der LfD eine Verwarnung aussprechen, um den Datenschutzverstoß deutlich zu machen.

Fazit für Unternehmen:

Das Urteil zeigt: Auch Großkonzerne müssen bei internationalen Compliance-Prozessen strikte datenschutzrechtliche Transparenz wahren. Gerade auch ein gepflegtes bzw. aktuell gehaltenes Verfahrensverzeichnis sollte von Unternehmen ernst genommen werden. Neue Verarbeitungsprozesse müssen sich im Verfahrensverzeichnis (evtl. sogar ein eigens dafür erstelltes) widerspiegeln. 

3. Das schreiben die Anderen zum Datenschutz

• Referentenentwurf zum Data Act-Durchführungsgesetz im Kabinett beschlossen
• Datenschutz & DSGVO: Fotos von Veranstaltungen veröffentlichen

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Wir helfen Ihnen beim Datenschutz

Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.

Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.

Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. 

Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/

Externer Datenschutzbeauftragter

Externer Datenschutzbeauftragter