Liebe Leser:innen,
Im vergangenen Monat hat das VG Köln zwei wichtige Entscheidungen getroffen, erstere zum territorialen Anwendungsbereich von Telekommunikationsvorschriften für NI-ICS, zweitere zum persönlichen Anwendungsbereich der „Cookie-Regelung“ aus § 25 TDDDG. Darüber hinaus beschäftigen sich DSK und BfDI derzeit mit der Verarbeitung personenbezogener Daten in KI-Systemen. Die BNetzA hat indes ein Service Desk zur KI-Verordnung eingerichtet und ihren Abschlussbericht zum Doppelausbau von Glasfaser in Deutschland veröffentlicht.
Diese und weitere News finden Sie im Folgenden. Wir wünschen Ihnen viel Spaß beim Lesen.
Der EuGH hat am 4.9.2025 ein Urteil zum Personenbezug pseudonymisierter Daten verkündet (Az. C-413/23 P). Der EuGH kommt zu dem Ergebnis, dass pseudonymisierte Daten für eine Person nicht als personenbezogen anzusehen sind, wenn durch die Pseudonymisierung und andere technische oder organisatorische Maßnahmen verhindert wird, dass diese Person die pseudonymisierten Daten einer betroffenen Person zuordnet. Der EuGH stellt aber auch klar, dass solche Daten nicht anonym sind, sondern dann für eine Person identifizierbar sind, sobald sie die Daten zuordnen kann oder an eine Person übermittelt, die die Daten zuordnen kann.
Weitere Informationen finden Sie auf datenschutz.hessen.de.
Der EuGH hat mit Urteil vom 4.9.2025 entschieden, dass sich aus Art. 17 und 18 DSGVO kein präventiver Unterlassungsanspruch für Betroffene bezogen auf künftige Verstöße gegen die DSGVO ergibt (Az. C-655/23). Es sei jedoch mit der DSGVO vereinbar, dass Mitgliedsstaaten einen solchen Unterlassungsanspruch nach nationalem Recht vorsehen. Des Weiteren hat der EuGH entschieden, dass der Umstand, dass der Betroffene eine Unterlassungsanordnung nach nationalem Recht erwirkt hat, die Höhe eines etwaigen Schadensersatzes unberührt lässt.
Weitere Informationen finden Sie auf lto.de.
Das OLG München hat mit Beschluss vom 26.8.2025 entschieden, dass der Anspruch auf Auskunft über Bestandsdaten zur Durchsetzung zivilrechtlicher Ansprüche nach § 21 Abs. 2 TDDDG nicht gegenüber Anbietern von E-Mail-Diensten gilt (Az. 18 W 677/25 Pre e). Nach Auffassung des OLG treffe das Unionsrecht eine klare Abgrenzung zwischen elektronischen Kommunikationsdiensten und digitalen Diensten, wobei E-Mail-Dienste unter erstere zu fassen seien. Folglich sei eine Bestandsdatenauskunft nur nach § 174 TKG und nur für die dort genannten Behörden zulässig.
Weitere Informationen finden sie auf heise.de.
Am 23.7.2025 hat das Bundesministerium des Innern ein neuer Referentenentwurf für die Modernisierung des Bundespolizeigesetzes fertiggestellt. Mit dieser Reform soll auch die Bundespolizei befugt werden, Quellen-Telekommunikationsüberwachung durchzuführen, Bestands-, Nutzungs- und Verkehrsdaten zu erheben sowie stille SMS zu verschicken und IMSI-Catcher einzusetzen. Außerdem sollen Fluggastdaten ohne vorherige Anordnung an die Bundespolizei übermittelt werden.
Weitere Informationen finden Sie auf netzpolitik.org.
Das Bundesverfassungsgericht (BVerfG) hat Anfang August zwei Beschlüsse vom 24.6.2025 zur Reichweite des Fernmeldegeheimnisses aus Art. 10 GG und dessen Verhältnis zum IT-Grundrecht beim Einsatz der Quellen-Telekommunikationsüberwachung veröffentlicht (Az. 1 BvR 2466/19 und 1 BvR 180/23). Das BVerfG entschied zum einen, dass sich der Schutz des Fernmeldegeheimnisses auch auf Kommunikation erstrecke, die nicht zwischen mindestens zwei Menschen erfolge (z.B. Cloud-Kommunikation). Des Weiteren entschied das BVerfG, dass das Fernmeldegeheimnis aus Art. 10 GG nicht das Grundrecht auf Vertraulichkeit und Integrität von IT-Systemen („IT-Grundrecht“) als spezielleres Grundrecht verdränge. Der Einsatz der Quellen-Telekommunikationsüberwachung durch Ermittlungsbehörden sei daher an beiden Grundrechten zu beurteilen. Für die angegriffenen Rechtsnormen hat das BVerfG entschieden, dass die Vorschriften aus dem PolG NRW verfassungskonform seien. § 100b StPO sei wegen Verstoßes gegen das Zitiergebot verfassungswidrig, aber für einen Übergangszeitraum weiterhin anwendbar. § 100a Abs. 1 Satz 2 und 3 StPO hingegen sei in Bezug auf Straftatbestände, die eine Höchstfreiheitsstrafe von bis zu drei Jahren vorsehen verfassungswidrig und nichtig.
Weitere Informationen finden Sie auf heise.de und tagesschau.de.
Das Bundesverwaltungsgericht Österreich (BVwG) hat am 13.8.2025 zum Pay-or-Consent-Modell bei journalistischen Inhalten entschieden (Az. W291 2272970-1/30E, W291 2272971-1/32E). Zunächst entschied das BVwG, dass die Verarbeitung personenbezogener Daten als Gegenleistung für den Zugang zu einem journalistischen Beitrag keine Verarbeitung zu journalistischen Zwecken i.S.d. Art. 85 DSGVO sei und nicht unter das Medienprivileg falle. Außerdem entschied das BVwG, dass die pauschale Einwilligung in gebündelte Datenverarbeitungszwecke nicht zulässig sei. Eine Bündelung von Zwecken in einer Einwilligung komme nur in Betracht, wenn zwischen den Zwecken ein sehr enger Zusammenhang bestehe, was etwa bei Webanalyse, Websiteoptimierung und Werbepersonalisierung nicht der Fall sei. Das BVwG hat die Revision zum Verwaltungsgerichtshof zugelassen.
Weitere Informationen finden sie auf heise.de und netzpolitik.org.
Das Europäische Gericht erster Instanz (EuG) hat eine Klage des EU-Abgeordneten Latombe gegen das Datentransferabkommen zwischen der EU und den USA (Data Privacy Framework) abgewiesen (Az. T-553/23). Nach Auffassung des Gerichts sei die Unabhängigkeit des „Datenschutzgericht“ DPRC, welches die Durchsetzung des EU-Datenschutzniveaus durch das Privacy and Civil Liberties Oversight Board (PCLOB) überprüfe, nicht dadurch gefährdet, dass das PCLOB dem Director of National Intelligence unterstehe. Des Weiteren ist das Gericht der Auffassung, dass die in der Kritik stehenden Sammelerhebungen durch US-Geheimdienste ausreichend der Kontrolle durch den DPRC unterliegen und der dem EU-Recht gleichwertige Rechtsschutz damit gewahrt sei. Das EuG hat sich in der Entscheidung aber lediglich auf den Zeitpunkt des Kommissionsbeschlusses bezogen, sodass etwa die Entlassung demokratischer PCLOB-Mitarbeiter durch den US-Präsidenten im Januar 2025 nicht mitberücksichtigt wurden.
Weitere Informationen finden Sie auf heise.de und der Website des EuGH.
BNetzA veröffentlicht Hinweispapier zu NI-ICS
Die Bundesnetzagentur (BNetzA) hat ein Hinweispapier zur Einstufung von Diensten als nummernunabhängige interpersonelle Telekommunikationsdienste (NI-ICS) veröffentlicht. Sie gibt darin zum einen Hinweise, unter welchen Umständen ein Dienst in Deutschland angeboten werde und somit unter den räumlichen Anwendungsbereich des TKG und TDDDG falle. So zieht die BNetzA etwa die Bewerbung des Dienstes in Deutschland, das Angebot in deutscher Sprache oder die Verfügbarkeit im deutschen App-Store oder unter DE-Domain als Indizien heran. Zum anderen äußert sich die BNetzA auch zu dem lange währenden Streit, ob ein Arbeitgeber gegenüber seinen Arbeitnehmern einen Telekommunikationsdienst erbringe, wenn er die private Nutzung betrieblicher Kommunikationsmittel erlaube. Laut BNetzA fehle es hier an der Entgeltlichkeit des Dienstes, sodass kein Telekommunikationsdienst i.S.d. TKG vorliege. Außerdem hat die BNetzA angekündigt, das Abgrenzungsmerkmal der „untergeordneten Nebenfunktion“ in einer Ergänzung zum Hinweispapier näher zu konkretisieren.
Weitere Informationen finden Sie auf bundesnetzagentur.de.
We're delighted to invite you to our 19th annual TechLaw Day.
This year’s TechLaw event will focus on legal issues immediately relevant to Tech lawyers, particularly issues associated in building AI driven businesses, including important and fast developing concerns around agentic AI. As AI technologies continue to evolve at a rapid pace, they bring not only groundbreaking possibilities but also an urgent need to take account of wider legal considerations, such as sustainability and power supply challenges, supply chain resilience, as well as the differing approaches to AI law and regulation around the world. The program will explore these broader themes around AI driven businesses, such as the pressing challenges of powering data centres, and will also examine recent contract law cases, sharing valuable insights and practical tips for drafting more effective agreements. Additionally, we will address key compliance considerations for AI implementation, with a particular emphasis on data usage, the impact of data localisation, and issues surrounding sovereignty.
Please note that in previous years we have reached capacity resulting in some attendees being added to a waitlist. Your registration is not confirmed until you have received a final confirmation email a week prior to the event.
Wann? 15. Oktober 2025 – 10:00-21:00 CEST (9:00-20:00 BST)
Wo? Pan Pacific London, 80 Houndsditch, London, EC3A 7AB
Weitere Informationen finden Sie hier.
Zur Anmeldung.
Unser Associate Lewin Rexin hat sich in der Zeitschrift „Computer und Recht“ ausführlich mit dem zweiten Referentenentwurf zur Umsetzung der e-Evidence-Verordnung auseinandergesetzt. Er gibt einen detaillierten Einblick in die neuen und aktualisierten Vorschriften des Referentenentwurfs und zeigt dabei praxisrelevante Mängel auf. [CR 2025, 554]
Unsere Associates Dr. Johannes Döveling und Dr. Felix Hempel haben sich im Rahmen der diesjährigen DSRI-Herbstakademie mit dem aktuellen Entwurf zur Umsetzung der NIS2-Richtlinie auseinandergesetzt. Zunächst beleuchten sie kritisch den persönlichen Anwendungsbereich des Umsetzungsgesetzes, gehen vertieft auf die Pflichten aus der NIS2-Richtlinie ein und schließen mit ersten praktischen Erfahrungen zur Umsetzung der Vorgaben durch Verpflichtete. [Bernzen/Heinze/Steinrötter, DSRI-Tagungsband 2025]
Unsere Associates Hanna Keller und Robin Schick haben sich im Rahmen der diesjährigen DSRI-Herbstakademie mit der Gestaltung von Cloud-Service-Verträgen nach dem Data Act befasst. Sie stellen zunächst die neuen Verpflichtungen aus dem Data Act für Cloud-Anbieter vor und gehen dann detailliert auf die zeitliche Anwendbarkeit der Wechselentgeltregulierung und die Rückwirkung der Cloud-Switching-Regelungen ein. [Bernzen/Heinze/Steinrötter, DSRI-Tagungsband 2025]
In der aktuellen Ausgabe des Bird&Bird Connected Newsletters befassen sich unsere Teams mit den wichtigsten regulatorischen Entwicklungen in EU und UK aufbereitet u.a. von unserer Partnerin Francine Cunningham, unserem Senior Counsel Nils Lölfing sowie unseren Counsels Oliver Belitz und Simon Hembt. Sie beschäftigen sich unter Anderem mit den GPAI guidelines und dem GPAI Code of Practice zum AI Act, sowie mit dem im Juli entschiedenen Urteil des EuGH zu Zero-Rating-Angeboten.
Für unsere Newsletter anmelden können Sie sich hier.
EuGH und BAG schärfen weiter die Datenschutzanforderungen im Beschäftigungskontext, insbesondere bei der Verwendung von Kollektivnormen. Jüngst hatte das Bundesarbeitsgericht (vgl. BAG, Urteil vom 8. Mai 2025 – 8 AZR 209/21) über den Schadensersatzanspruch eines Arbeitnehmers gemäß Art. 82 DSGVO zu befinden, nachdem die Arbeitgeberin über die vereinbarten Grenzen einer abgeschlossenen Betriebsvereinbarung hinaus, weitere personenbezogene Daten zu Testzwecken in die Personalverwaltungssoftware „Workday“ eingepflegt und somit an eine andere Gruppengesellschaft übermittelt hatte.
Es sind nun rund 100 Tage vergangen, seitdem die neue deutsche Regierung im Amt ist. Für die Rechenzentrumsbranche bedeutet dies, die ersten 100 Tage des neuen Bundesministeriums für Digitales und Staatsmodernisierung – BMDS, dem der Bundesdigitalminister Dr. Karsten Wildberger vorsteht.
Was ist seitdem passiert? Im Mai 2025, eine erste Rede des Bundesdigitalministers im Bundestag und eine Keynote auf der re:publica: Die digitale Zukunft braucht eine angemessene digitale Infrastruktur mit Rechenzentren, was zu fördern ist.
Wirtschaftlich nimmt die Relevanz von Daten immer weiter zu. Neue Geschäftsmodelle oder Geschäftszweige sind immer häufiger datenbasiert und beim Einsatz von Maschinen versucht man über gezielte Datenanalyse die Ausfall- und Wartungszeiten zu reduzieren. Zudem werden Daten zunehmend bedeutsam, um den eigenen Pflichten nachkommen zu können. So sind beispielsweise Betriebsdaten eines Schiffes essentiell für das Verfassen von Emissionsberichten. All das wirft aber die Frage auf, wer eigentlich die Hoheit über Daten hat, also über deren Verwendung und Nutzung entscheiden kann.
It is a truth universally acknowledged that GDPR applies to “personal data” but does not concern anonymous information. The status of pseudonymous data, by contrast, has been the subject of much dispute.
On 4th September 2025, in the case of EDPS v SRB (CJEU C‑413/23 P, EU:C:2025:645), the CJEU answered this question; pseudonymised data is not always personal data in all cases and for every person; if the risk of identification is insignificant, then the pseudonymisation may mean that the data is anonymous. However, if organisations disclose data, which is personal so far as they are concerned, to another organisation, they must still include information about this in their privacy notices – even if the data is anonymous in the recipient’s hands. Lastly, the CJEU also confirmed that personal opinions and views necessarily “relate to” individuals and amount to personal data.
On 3rd September 2025, the General Court of the European Union dismissed an action for annulment brought against the EU–US Data Privacy Framework (DPF), thereby upholding the framework's validity. This decision means that companies can continue transferring personal data to the United States under the current system, although the ruling can still be appealed to a higher court.
The Court of Justice of the European Union (CJEU) published its latest judgment on net neutrality on 10 July 2025, in Case C-367/24, concerning a mobile operator’s “unlimited internet bonus” option in Romania. The judgment reinforces the CJEU’s stance that “zero-rated” or reduced-tariff applications must still comply with the Net Neutrality Regulation (Regulation (EU) 2015/2120), which bars discriminatory treatment of online content and services. This new judgment mostly provides more guidance for determining when such packages comply with the Regulation.
The EU’s Artificial Intelligence Act (EU AI Act), which entered into force in August 2024, is being implemented in stages. As of August 2025, one of the most significant chapters of the EU AI Act has just become applicable: the rules governing General-Purpose AI (GPAI) models. For companies operating in this space, the time for preparation is over.