Newsletter Technologie & Kommunikation Ausgabe 1 - 2025
Written By
Liebe Leser:innen,
der EuGH hat das neue Jahr bereits mit frischen Entscheidungen zur DSGVO eingeläutet. Des Weiteren hat der EDSA neue Leitlinien zur Pseudonymisierung veröffentlicht. Außerdem rückt die Bundestagswahl näher und es klärt sich so langsam das Bild, welche Gesetzesvorhaben erst wieder ein Neustart in der neuen Legislaturperiode erwartet, so etwa die Umsetzungsgesetze zur NIS2- und zur CER-Richtlinie.
Diese und weitere News finden Sie im Folgenden. Wir wünschen Ihnen viel Spaß beim Lesen.
Nachrichten
Entwurf der ePrivacy-Verordnung zurückgezogen
Die EU-Kommission hat endgültig beschlossen, ihren bisherigen Vorschlag der ePrivacy-Verordnung zurückzuziehen. Das Verfahren um die Verordnung, die ursprünglich zeitgleich mit der DSGVO im Jahr 2018 in Kraft treten sollte, ging nur stockend voran, weil über zentrale Themen, wie etwa die Vorratsdatenspeicherung, keine Einigung erzielt werden konnte. Mit dem Rückzug des Vorschlags schafft die Kommission nun die Möglichkeit für einen Neuanfang.
Weitere Informationen finden Sie auf netzpolitik.org.
Gesetzesentwurf zur Durchführung des Data Act veröffentlicht
Das Bundeswirtschaftsministerium (BMWK) und das Bundesverkehrsministerium (BMDV) haben am 7.2.2025 einen Gesetzesentwurf zur Durchführung der Verordnung (EU) 2023/2854 (Data Act) veröffentlicht. Der Entwurf enthält insbesondere Vorschriften zu den Befugnissen des Bundesnetzagentur, die als zuständige Aufsichtsbehörde über die Vorschriften aus dem Data Act ausgewiesen ist. Der Entwurf wird jedoch nicht mehr in dieser Legislaturperiode verabschiedet werden.
Weitere Informationen finden Sie auf der Website des BMWK.
EuGH: Geschlechtsspezifische Anrede nicht erforderlich
Der EuGH hat sich in einem Urteil vom 9.1.2025 (Az. C-394/23) mit der Erforderlichkeit der Verarbeitung von Geschlechtsangaben befasst. Der EuGH hat zunächst entschieden, dass die Angabe einer Anrede zum Zweck der Personalisierung geschäftlicher Kommunikation nicht erforderlich zur Vertragserfüllung sei. Darüber hinaus hat der EuGH entschieden, dass die Verarbeitung der Anrede nicht zur Wahrung berechtigter Interessen rechtmäßig ist, wenn das berechtigte Interesse dem Kunden nicht bei Erhebung mitgeteilt wurde, die Verarbeitung nicht auf das unbedingt notwendige beschränkt ist oder die Interessen des Betroffenen, insbesondere wegen der Gefahr der Diskriminierung, überwiegen.
Weitere Informationen finden Sie auf lto.de und bei Curia.
EuGH zu exzessiven Beschwerdeanfragen
Der EuGH hat am 9.1.2025 ein Urteil (Az. C-416/23) zum Weigerungsrecht von Datenschutzbehörden bei exzessiven Beschwerdeanfragen veröffentlicht. Darin hat der EuGH zum einen entschieden, dass Anfragen nicht allein aufgrund ihrer Anzahl als „exzessiv“ angesehen werden können. Die Behörde müsse darüber hinaus das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweisen. Zum anderen hat der EuGH entschieden, dass im Falle von exzessiven Anfragen die Behörde selbst entscheiden kann, ob sie eine angemessene Gebühr verlangt oder gänzlich verweigert, tätig zu werden. Die Maßnahme müsse aber geeignet, erforderlich und verhältnismäßig sein.
Weitere Informationen finden Sie auf tagesschau.de und beck.de.
EDSA veröffentlicht Leitlinien zur Pseudonymisierung
Der Europäische Datenschutzausschuss hat am 16.1.2025 einen Konsultationsentwurf für Leitlinien zur Pseudonymisierung angenommen. Darin gibt der EDSA Empfehlungen zur sicheren und datenschutzkonformen Umsetzung von Pseudonymisierungsmaßnahmen und arbeitet Anwendungsbereiche für Pseudonymisierungen heraus.
Die Konsultationsphase läuft noch bis zum 28.2.2025.
Weitere Informationen finden Sie auf heise.de und auf der Website des EDSA.
Umsetzungsvorhaben zur NIS2- und CER-Richtlinie gescheitert
Die Gesetzesentwürfe zur Stärkung der Cybersicherheit und der Resilienz kritischer Infrastrukturen werden nicht mehr vor der Bundestagswahl verabschiedet. Die BSIG-Novelle wurde bislang noch nicht im Bundestag beraten, das KRITIS-DachG nur in der 1. Lesung. Vertreter der Regierungsparteien haben nun bestätigt, die Gesetzesvorhaben nicht mehr vor der Bundestagswahl beschließen zu wollen.
Weitere Informationen finden Sie auf heise.de und tagesschau.de.
Endgerätefreiheit auch bei Glasfasernetzen
Die Bundesnetzagentur (BNetzA) hat am 10.1.2025 entschieden, dass Inhaber eines Glasfaseranschlusses nicht verpflichtet sind, das Modem des Netzbetreibers zu nutzen. Netzbetreiber hatten sich dagegen gewehrt, mit der Befürchtung, fehlerhafte oder inkompatible Hardware von Drittanbietern könne die Funktionsfähigkeit des Netzes beeinträchtigen. Die BNetzA hat eine entsprechende Abänderung des § 73 Abs. 1 TKG durch Erlass einer Allgemeinverfügung zugunsten der Netzbetreiber abgelehnt.
Weitere Informationen finden Sie auf heise.de.
EDSA und EDSB veröffentlichen Bericht zur Durchsetzung des Auskunftsrechts
Der EDSA und der EDSB haben am 16.1.2025 ihren Bericht über eine koordinierte Maßnahme zur Durchsetzung des Auskunftsrechts nach Art. 15 DSGVO in der EU beschlossen und veröffentlicht. Die beteiligten Datenschutzbehörden haben im Rahmen der Maßnahme einige Hindernisse für Auskunftsbegehren identifiziert, wie etwa abweichende Vorstellungen über den Umfang der Auskunftspflicht oder erschwerte Bedingungen bei der Anfrage von Auskunftsersuchen. Der Bericht enthält mögliche Lösungsansätze zu den identifizierten Problemen.
Weitere Informationen finden Sie auf heise.de.
Events
IT Law Camp
Wir laden Sie herzlich zum 13. IT LawCamp am 4. April 2025 ein!
Wir kommen 2025 wieder zusammen, um direkt, kreativ und offen über aktuelle Rechtsfragen der Digitalisierung zu sprechen. Im Vordergrund stehen Themen wie Herausforderungen und Learnings bei der Umsetzung des Data Acts, rechtliche Fallstricke der Vertragsgestaltung über KI und der KI-Nutzung, Data Security sowie der Schutz personenbezogener Daten von Kindern im Online-Umfeld.
Mit dabei sind unter anderem Susanne Wallace (ABB) mit einem Vortrag zum Data Act und Linus Klingberg (Deutsche Bahn AG) zur aktuellen EuGH-Rechtsprechung zur Datenminimierung. Außerdem sprechen Anna Hannemann (SAP) zu KI und Steve Ritter (BfDI) zu NIS2-Compliance.
Wann? 04.04.2025, 9:00–17:30
Wo? memox.world, Taunusanlage 9-10, 60329 Frankfurt a. M.
Veröffentlichungen und Vorträge
Lewin Rexin zur Umsetzung der e-Evidence-Richtlinie
Unser Associate Lewin Rexin hat sich in der aktuellen Ausgabe der Zeitschrift „Computer und Recht“ mit dem Gesetzesentwurf zur Umsetzung der e-Evidence-Richtlinie auseinandergesetzt. Er führt darin aus, wie der deutsche Gesetzgeber die Europäische Herausgabeanordnung und die Europäische Sicherungsanordnung nach den neuen EU-Rechtsakten durchsetzen möchte. Er kritisiert hierbei auch die fehlende Anpassung anderer nationale Rechtsakte wie etwa der StPO oder des TDDDG. [CR 2025, 133]
Julian Hunter zum Urteil des OLG Oldenburg zum digitalen Nachlass
Unser Wissenschaftlicher Mitarbeiter Julian Hunter wird künftig zu dem Urteilsbesprechungs-Teil der Zeitschrift „Computer und Recht“ beitragen. In der aktuellen Ausgabe hat er sich mit dem Urteil des OLG Oldenburg zur Vererblichkeit der Nutzungsrechte an einem Social Media-Konto auseinandergesetzt. [CR 2025, R19]
Lena Schäfer zu Datenschutz im KI-Training
Unsere Wissenschaftliche Mitarbeiterin Lena Schäfer hat sich in der „Zeitschrift für Datenschutz“ mit den Praxisfragen eines datenschutzkonformen KI-Trainings auseinandergesetzt. Sie gibt darin einen Überblick über die in Frage kommenden Rechtmäßigkeitstatbestände und stellt die bisher hierzu verfügbaren Praxishinweise der Datenschutzbehörden zusammen. [ZD 2025, 12]
Neu auf unserer Website
DORA nunmehr anwendbar - Wie gut sind der europäische Finanzsektor und seine IT-Dienstleister vorbereitet?
Das Jahr 2024 wird unter anderem als das Jahr umfangreicher Vorbereitungen auf die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor("DORA") in Erinnerung bleiben, die seit dem 17. Januar 2025 Anwendung findet. Da der gesamte Finanzsektor - einschließlich der umfangreichen IT-Dienstleistungsketten - von dem neuen EU-Rahmen für Cybersicherheit im Finanzsektor betroffen ist, wurden die Vorbereitungen intensiv vorangetrieben. Wir werfen einen Blick zurück und nach vorn, wobei wir die die bevorstehenden Herausforderungen und Änderungen bewerten, die sich gerade zu Beginn des Anwendungszeitraums ergeben werden.
Expert group work underway on Data Act standard contractual clauses
The European Data Act requires the Commission, before 12 September 2025, to develop and recommend non-binding model contractual terms (MCTs) on data access and use, including terms on reasonable compensation and the protection of trade secrets. It also obliges the Commission to come forward with non-binding standard contractual clauses (SCCs) for cloud computing contracts to assist parties in drafting and negotiating contracts with fair, reasonable and non-discriminatory contractual rights and obligations.
Shaping the EU’s telecoms landscape in 2025
The next 12 months promise to be a lively for the EU telecom’s landscape with the anticipated review of the European Electronic Communications Code (“EECC”) and a proposal for a Digital Networks Act (“DNA”). In this context, it remains to be seen if the telecoms recommendations from the Draghi report, published in September 2024, will be implemented. The report encourages greater consolidation and movement towards a single EU-wide telecoms market.
European Commission presents draft model contractual terms for access to data
At the end of last year the European Commission organised a series of seminars on the EU’s Data Act, which is due to start applying in the course of 2025. The Act establishes harmonised rules for fair access to and use of data within the EU, aiming to remove barriers to data sharing. It ensures that users of connected products can access and share data generated by these products, while imposing obligations on data holders to provide data under fair, reasonable, and non-discriminatory terms. The Data Act also includes provisions on switching data processing services.
'What's in a name?': EDPB publishes draft guidelines on pseudonymisation
On 16 January 2025, the European Data Protection Board (EDPB) adopted its Guidelines 01/2025 on Pseudonymisation. Pseudonymisation requires that data that would allow information to be attributed to identified or identifiable individuals is held separately and securely; this can allow organisations to make use of pseudonymised data in a way that poses fewer risks to individuals. The guidelines set out the legal and technical requirements for pseudonymisation to be effective.
Tech & Comms Challenges, Opportunities & Predictions for 2025
The pace of technological change continues to accelerate, delivering groundbreaking innovations alongside increasingly complex challenges. From advancements in artificial intelligence (AI) and quantum computing to an intensified focus on cybersecurity and data privacy, the future promises transformative developments across industries.
Neu auf unserem YouTube-Kanal
Transforming Legal Services with AI: Bird & Bird x Leya
How AI is Empowering Lawyers to Upskill - Bird & Bird x Leya
