Newsletter Technologie & Kommunikation Ausgabe 8 - 2025
Contacts
Liebe Leser:innen,
Das Jahr neigt sich dem Ende und die Tech & Comms-Welt blickt auf einige substanzielle Entscheidungen, die den Weg in das nächste Jahr ebnen. Pünktlich zum Nikolaustag ist das Umsetzungsgesetz zur NIS2-Richtlinie in Kraft getreten. Außerdem hat der EuGH Anfang Dezember das mit Spannung erwartete Urteil zum Russmedia-Verfahren über das Verhältnis von DSGVO und DSA veröffentlicht. Darüber hinaus hat der BGH nun Rechtssicherheit für Mobilfunkanbieter über die Übermittlung von Positivdaten an Kreditauskunfteien geschaffen. Des Weiteren wird die Bundesnetzagentur im nächsten Jahr neu über die 5G-Frequenzvergabe entscheiden müssen. Außerdem ist der Großteil der Mitwirkungspflichten für ICS- und Internet-Provider aus dem Entwurf der CSAM-Verordnung gestrichen worden.
Diese und weitere Nachrichten finden Sie im Folgenden. Wir wünschen Ihnen frohe Festtage und viel Spaß beim Lesen.
Nachrichten
NIS2-Umsetzungsgesetz in Kraft
Am 6.12.2025 ist das Gesetz zur Umsetzung der NIS2-Richtlinie in Kraft getreten. Es setzt die IT-Sicherheitsvorschriften der Richtlinie in deutsches Recht um, insb. im neuen Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz – BSIG). Besondere Relevanz hat die Änderung durch die NIS2-Richtlinie, da sie den Anwendungsbereich der Vorschriften erheblich erweitert. Als „wichtige Einrichtungen“ sind Unternehmen bereits dann betroffen, wenn sie Waren oder Dienste in einem Sektor nach Anlage 1 oder 2 des Gesetzes tätig sind und mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen. Anbieter öffentlich zugänglicher TK-Dienste und Betreiber öffentlicher TK-Netze sind bereits unabhängig von Mitarbeiterzahl und Jahresumsatz erfasst.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt ein unverbindliches Tool zur Betroffenheitsprüfung auf seiner Website bereit.
Weitere Informationen finden Sie auf heise.de.
EuGH: Anbieter von Online-Marktplätzen verantwortlich für Nutzerinhalte
Der EuGH hat mit Urteil vom 2.12.2025 zum Verhältnis der Haftungseinschränkung von Internet-Plattformen nach der e-Commerce-Richtlinie (nunmehr Art. 4 ff. des Gesetzes über Digitale Dienste, VO 2022/2065) zu Ansprüchen von Betroffenen aus der DSGVO Stellung bezogen. Auslöser war ein Gerichtsverfahren in Rumänien, worin die Klägerin Schadensersatz von einer Kleinanzeigen-Plattform verlangte, nachdem Unbekannte gegen ihren Willen unter Nutzung ihres Bildes und ihrer Rufnummer ein Inserat für Prostitution auf der Plattform geschaltet hatten.
Der EuGH hat dazu auf Vorlage des rumänischen Curtea de Apel Cluj entschieden, dass der Betreiber eines Online-Marktplatzes datenschutzrechtlich für nutzergenerierte Inhalte verantwortlich ist, wenn er diese Inhalte zu Zwecken verarbeitet, die über eine bloße Erbringung einer Dienstleistung gegenüber dem Nutzer hinausgehen (Az. C-492/23, X ./. Russmedia Digital SRL u.a.). Des Weiteren hat der EuGH entschieden, dass der Betreiber vor der Veröffentlichung einer Anzeige ermitteln muss, ob die Anzeige sensible Daten i.S.d. Art. 9 DSGVO beinhaltet. Ist dies der Fall, so müsse der Betreiber die Identität des Inserierenden feststellen und überprüfen, ob die sensiblen Daten lediglich die inserierende Person betreffen oder ob die inserierende Person über eine Einwilligung der dritten betroffenen Person verfügt oder eine andere Ausnahme nach Art. 9 Abs. 2 DGSVO greift. Darüber hinaus hat der EuGH entschieden, dass der Betreiber unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen treffen muss, um zu verhindern, dass Anzeigen, die sensible Daten beinhalten, unrechtmäßig kopiert und weiterverbreitet werden können. Zuletzt hat der EuGH festgestellt, dass sich die Haftungsprivilegierung für Hostinganbieter aus Art. 14 f. eCommerce-RL (bzw. Art. 6 ff. DSA) nicht auf die Verantwortlichkeit oder Haftung aus der DSGVO auswirkt.
Die Russmedia-Entscheidung ist auf große Resonanz gestoßen, etwa bei netzpolitik.org, LTO sowie im Verfassungsblog. Weitere Informationen und eine Einschätzung unserer Kollegen finden sie auf twobirds.com (en).
BNetzA muss über 5G-Frequenzversteigerung neu entscheiden
Das Bundesverwaltungsgericht hat die Nichtzulassungsbeschwerden der Bundesnetzagentur (BNetzA) gegen die Urteile des VG Köln zur 5G-Frequenzentscheidung aus dem August 2024 zurückgewiesen (Az. 6 B 6.25). Damit werden die Urteile des VG Köln vom 26.08.2024 rechtskräftig (Az. 1 K 1281/22, 1 K 8531/18). Das VG hatte entschieden, dass die Präsidentenkammerentscheidung vom 26.11.2018 wegen Besorgnis der Befangenheit der Mitglieder der Präsidentenkammer, hervorgerufen durch eine intensive Einmischung aus dem damaligen Bundesministerium für Verkehr und digitale Infrastruktur (BMVI), sowie Verstoßes gegen die unionsrechtlich garantierte Unabhängigkeit der Bundesnetzagentur und eines Abwägungsdefizits wegen faktischer Vorfestlegung rechtswidrig sei. Die Bundesnetzagentur ist nun zur Neubescheidung verpflichtet und führt noch bis zum 12.1.2026 eine Anhörung zum neuen Verfahren durch.
Weitere Informationen finden Sie auf heise.de und auf der Website der BNetzA.
BSI fordert bessere Cybersicherheit von Webmail-Anbietern
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 24.11.2025 ein Whitepaper zu Anforderungen an Webmail-Dienste veröffentlicht. Das Papier soll Anbieter dazu animieren, ihre Dienste sicherer und benutzerfreundlicher zu gestalten. Das BSI sieht Verbesserungspotenzial bei der 2-Faktor-Authentifizierung beim Login, bei der Implementierung interoperabler Ende-zu-Ende-Verschlüsselung, beim Schutz gegen Spam und Phishing, bei der Accountwiederherstellung und bei der Transparenz über die Sicherheit und Vertraulichkeit von Diensten.
Weitere Informationen finden Sie auf heise.de.
BGH: Mobilfunkanbieter dürfen Positivdaten an Kreditauskunftei übermitteln
Der BGH hat mit Urteil vom 14.10.2025 entschieden, dass die Übermittlung von Positivdaten durch Mobilfunkanbieter an Kreditauskunfteien bei Postpaid-Mobilfunkverträgen datenschutzrechtlich zulässig ist (Az. VI ZR 431/24). Mobilfunkanbieter übermitteln die Stammdaten eines Kunden sowie den Umstand, dass ein Mobilfunkvertrag geschlossen oder beendet wurde (Positivdaten) zur Betrugsprävention an Kreditauskunfteien. Dadurch sollen fiktive Identitäten aufgedeckt werden, unter denen Personen über Postpaid-Verträge versuchen, an mitgelieferte Hardware zu gelangen oder Leistungen zu erschleichen. Der BGH hat entschieden, dass diese Übermittlung zur Verfolgung berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO zulässig ist und das Datenschutzinteresse der Kunden das Interesse an der Betrugsprävention der Anbieter nicht überwiegt.
Weitere Informationen finden Sie auf beck-aktuell.
BGH bestätigt seine Rechtsprechung zum Kontrollverlust als Schaden i.S.d. Art. 82 DSGVO
Der BGH hat mit Urteil vom 11.11.2025 entschieden, dass der Kontrollverlust über personenbezogene Daten selbst einen immateriellen Schaden i.S.d. Art. 82 DSGVO darstellen kann (Az. VI ZR 396/24). Der BGH festigt damit seine Rechtsprechungslinie aus dem vergangenen Jahr (Az. VI ZR 10/24). Darüber hinaus hat der BGH entschieden, dass der Verantwortliche bei Beendigung eines Auftragsverarbeitungsverhältnisses geeignete Maßnahmen treffen muss, um so weit wie möglich zu verhindern, dass personenbezogene Daten Betroffener bei dem Auftragsverarbeiter verbleiben. Ausreichend ist dafür nicht bereits, dass eine vertragliche Löschpflicht besteht und der Auftragsverarbeiter dem Verantwortlichen bestätigt, bestimmte Daten gelöscht zu haben.
EuGH: Zulässigkeit von Werbe-Emails nach der ePrivacy-RL
Der EuGH hat mit Urteil vom 13.11.2025 entschieden, dass die Verarbeitung der E-Mail-Adresse zur Direktwerbung nach Art. 13 ePrivacy-RL nicht zusätzlich auf eine Rechtsgrundlage aus Art. 6 DSGVO gestützt werden muss (Az. C-654/23). Nach Auffassung des EuGH stellt Art. 13 Abs. 2 ePrivacy-RL, der die Voraussetzungen für die Zulässigkeit von Direktwerbung mittels elektronischer Post (E-Mail) regelt, eine „besondere Pflicht“ i.S.d. Art. 95 DSGVO dar und geht damit Art. 6 DSGVO vor. Des Weiteren hat der EuGH entschieden, dass die Zusendung von Newslettern unter „Direktwerbung“ für „ähnliche Produkte oder Dienstleistungen“ i.S.d. Art. 13 Abs. 2 ePrivacy-RL fallen kann.
Weitere Informationen finden Sie auf twobirds.com (en).
EU-Rat einigt sich auf freiwillige „Chatkontrolle“
Der Rat der Europäischen Union hat sich auf eine abgeschwächte Fassung der CSAM-Verordnung (auch als „Chatkontrolle“-Verordnung bekannt) geeinigt. Die Verordnung sieht Maßnahmen zur Bekämpfung der Verbreitung von Kindesmissbrauchsdarstellungen (CSAM) und von Cybergrooming im Internet unter Einbeziehung privater Diensteanbieter, insb. Anbieter von interpersonellen Telekommunikationsdiensten und Internetzugangsdiensten, vor. Die Pflichten zur Ausführung von Aufdeckungs-, Lösch- oder Sperranordnungen, die zentraler Streitpunkt während der vorangegangenen Verhandlungen waren, wurden in der letzten Fassung gestrichen.
Weitere Informationen finden Sie auf heise.de und netzpolitik.org.
RSPG spricht sich für Zuweisung des oberen 6-GHz-Bands an Mobilfunkbetreiber aus
Die Radio Spectrum Policy Group (RSPG), die die EU-Kommission in Frequenzfragen berät, hat in ihrer Empfehlung für eine künftige Zuweisung des oberen 6-GHz-Frequenzbands für den Mobilfunk ausgesprochen. Das obere 6-GHz-Band ist aufgrund seiner hohen Durchsatzrate sowohl für Mobilfunkbetreiber zur Nutzung für die 6. Mobilfunkgeneration (6G) attraktiv, als auch für WLAN-Betreiber, die bereits das untere 6-GHz-Band nutzen.
Weitere Informationen finden Sie auf heise.de.
Neu auf unserer Website
Wechsel von IT-Leistungen: Was Unternehmen jetzt wissen müssen
Der europäische Data Act (Datenverordnung) führt ein neues, zusätzliches Kündigungsrecht für bestimmte IT-Leistungen ein, welches auch bei Vereinbarung einer Mindestvertragslaufzeit greift. Kunden solcher Leistungen haben nun das Recht, diese mit einer Frist von maximal zwei Monaten zu kündigen, um zu einem Anbieter vergleichbarer IT-Leistungen zu wechseln.
Bundestag verabschiedet NIS-2-Umsetzungsgesetz
Der Deutsche Bundestag hat am 13. November 2025 das deutsche NIS-2-Umsetzungsgesetz verabschiedet und damit einen zentralen Schritt zur Stärkung der Cyber- und Informationssicherheit vollzogen. Die Entscheidung fällt in eine Zeit, in der Unternehmen und öffentliche Stellen zunehmend komplexen digitalen Bedrohungen ausgesetzt sind und Cyber-Resilienz zu einem entscheidenden Wettbewerbs- und Stabilitätsfaktor geworden ist. Wenngleich mit über einem Jahr Verspätung werden mit dem neuen Gesetz die europäischen Vorgaben der NIS-2-Richtlinie in nationales Recht überführt.
GDPR, ePrivacy, Data Governance Act, Free Flow of Non-Personal Data Regulation and Open Data Directive proposed changes
This article complements a separate summary of provisions in the Data Act, primarily relating to IoT devices and cloud switching. The main DPR changes proposed by the European Commission are considered below.
EU Digital Omnibus package: Major Changes to the Data Act Proposed
The European Commission has unveiled its first proposals in what is likely to be a substantial streamlining of Europe's digital regulatory framework on 19 November 2025. Whilst these are only proposals, subject to the outcome of the EU legislative process, they should be considered as the Commission's view and starting point for simplifying and streamlining Europe's data rules whilst maintaining robust protections.
AI Act 2.0: The Commission's regulatory remix proposal
Part of the Commission’s omnibus proposal concerns amendments to the EU AI Act, which has certain provisions already in force while other provisions are yet to come into force.
The proposal aims to strengthen the Union’s competitiveness and significantly reduce the regulatory burden on individuals, businesses, and administrations while maintaining high standards that promote the Union’s values. Following stakeholder consultations, the Commission identified key areas presenting implementation challenges, most notably: the slow designation of national competent authorities and conformity assessment bodies, and the lack of harmonised standards for the AI Act’s high-risk requirements, guidance, and compliance tools.
