2026 wird zu einem Schlüsseljahr für das europäische und deutsche IT-Recht. Neue Digitalgesetze treten in ihre praktische Phase ein, bestehende Regelwerke werden überarbeitet und grundlegende Gerichtsentscheidungen konkretisieren die Pflichten für Unternehmen.
2026 bringt tiefgreifende Weichenstellungen für das europäische und deutsche IT-Recht:
Zentrale neue Pflichten aus Datenschutz-, Cybersecurity- und KI-Regulierung entfalten ihre praktische Wirkung, während aktuell parallel mehrere Grundsatzverfahren die Richtung der künftigen Rechtsentwicklung vorgeben. In Summe entsteht ein Jahr, das die digitale Compliance-Landschaft dauerhaft verändern wird.
Im Folgenden werden die entscheidenden Entwicklungen in Regulatorik und Rechtsprechung kompakt herausgegriffen, um den Überblick über die bevorstehenden Anforderungen zu behalten.
I. Regulatorik
1. Digital Omnibus
Die EU-Kommission hat am 19. November ein großes Reformpaket („Digital-Omnibus“), das zahlreiche Digitalgesetze zusammenführt, überarbeitet und vereinfachen soll, vorgeschlagen.
Es gibt insgesamt vier Regulierungsbereiche: einen zu Datennutzung, einen zum Datenschutz, einen zur KI-Verordnung und einen zur Cybersicherheit. Die Kernidee des Reformpaketes ist die Vereinfachung, Zusammenführung und teils deutliche Lockerung bestehender Digital- und Datenschutzregeln, um Datenzugang, KI-Entwicklung und behördliche Umsetzbarkeit zu erleichtern. Ob und in welcher Form das Reformpaket umgesetzt wird, bleibt abzuwarten.
Im Folgenden werden die einzelnen Vorschläge in aller Kürze vorgestellt.
A) Omnibus zu Data Act
Der Data Act soll bereits kurz nach seinem Inkrafttreten grundlegend überarbeitet werden. In ihm sollen künftig auch die Open-Data-Richtlinie, die Free-Flow-of-Data Verordnung und der Data Governance Act aufgehen.
Bestimmte Cloud-Dienste sollen von den Vorgaben des Data Act zum Anbieterwechsel und zur Interoperabilität ausgenommen bleiben, wenn sie ohne Anpassungen des Anbieters nicht nutzbar sind und auf älteren Verträgen beruhen. Der staatliche Zugriff auf Unternehmensdaten soll künftig stark eingeschränkt und nur noch in echten öffentlichen Notlagen zulässig sein.
Zudem wird das Verbot von Datenlokalisierungsvorgaben für nicht-personenbezogene Daten innerhalb der EU aus einer bisherigen Verordnung in den Data Act integriert.
Schließlich sollen die Regeln für Datenvermittlungsdienste gelockert werden: Die Anwendung des Regimes soll freiwillig erfolgen, und anstelle einer strikten rechtlichen Trennung von anderen Unternehmensbereichen soll künftig eine bloß funktionale Trennung ausreichen, um die Marktentwicklung zu erleichtern.
B) Omnibus zum Datenschutz
Die Kommission will zugleich Teile der DSGVO lockern: KI-Training mit personenbezogenen Daten soll auf Basis „berechtigter Interessen“ möglich werden – also ohne Einwilligung, soweit im Übrigen konkrete Maßnahmen wie vor allem die Pseudonymisierung oder Anonymisierung und Verschlüsselung berücksichtigt werden.
Nicht-notwendige Cookies könnten künftig ebenfalls auf Grundlage berechtigter Interessen gesetzt werden. Einwilligungen wären nicht mehr zwingend; Nutzende hätten nur noch ein nachträgliches Opt-out. Gleichzeitig soll es ein System automatisierter, maschinenlesbarer Präferenzen in Browsern/OS geben. Mit den passenden Einstellungen im Browser oder in den genutzten Apps könnte der von vielen Nutzenden ungeliebte Cookie-Banner damit schon bald der Vergangenheit angehören.
Schließlich sollen die besonders geschützten Kategorien aus Artikel 9 DSGVO enger definiert werden – geschützt wären nur Daten, die sensible Informationen direkt offenbaren. Abgeleitete Annahmen über z. B. sexuelle Orientierung wären nicht mehr automatisch besonders geschützt. Der besondere Schutz für genetische und biometrische Daten soll unverändert bleiben.
C) Omnibus zur KI-Verordnung
Im Mittelpunkt der Reform zur KI-Verordnung steht eine Bündelung der Aufsichtsbefugnisse: Das bei der Kommission angesiedelte AI Office soll künftig nicht nur koordinierend tätig sein, sondern in bestimmten Konstellationen auch selbst Entscheidungen treffen. Damit soll eine kohärente Anwendung des Rechts sowie eine wirksamere Überwachung erreicht werden, insbesondere bei grenzüberschreitend eingesetzten KI-Systemen großer Plattformanbieter. Davon könnten unter anderem Very Large Online Platforms (VLOPs) wie Facebook, Amazon oder TikTok betroffen sein, deren KI-gestützte Angebote künftig unmittelbar der Kontrolle des AI Office unterliegen könnten.
Ergänzend sind Vereinfachungen bei der praktischen Umsetzung vorgesehen. So wird geprüft, ob Produkte aus bereits stark regulierten Bereichen ganz oder teilweise von Hochrisiko-Vorgaben ausgenommen oder neu eingeordnet werden können, um Mehrfachregulierungen zu vermeiden. Darüber hinaus sollen Anbieter und Betreiber von KI-Systemen künftig leichter belegen können, dass sie datenschutzrechtliche Anforderungen einhalten, wenn personenbezogene Daten verarbeitet werden. Für KMU sind zudem Erleichterungen bei Dokumentations- und Überwachungspflichten geplant, um den wirtschaftlichen Aufwand zu begrenzen.
D) Omnibus zur Cybersicherheit
Die derzeitigen Meldepflichten bei Cybersicherheitsvorfällen stellen für viele Organisationen in der EU eine erhebliche Belastung dar. Unternehmen müssen parallel nach mehreren Rechtsakten – etwa der NIS-Richtlinie, der DSGVO, der Verordnung zur digitalen Betriebsstabilität und weiteren Regelwerken – Berichte einreichen, oft mit inhaltlichen Überschneidungen. Dies kann die Vorfallreaktion und eine zeitnahe Meldung erschweren.Abhilfe schaffen soll ein einheitlicher „Single-Entry-Point“. Über diese zentrale Anlaufstelle könnten Unternehmen künftig einen einzigen Bericht einreichen, der gleichzeitig mehrere unionsrechtliche Meldepflichten erfüllt. Dadurch soll der administrative Aufwand deutlich reduziert und der Meldeprozess beschleunigt werden; für die meisten Organisationen wird sich der Berichterstattungsaufwand voraussichtlich etwa halbieren.
2. KI-Verordnung
Die KI-Verordnung setzt auf einen risikobasierten Ansatz: Praktiken mit inakzeptablem Risiko – etwa Social Scoring oder das massenhafte Abgreifen von Gesichtsbildern – sind bereits verboten. Hochrisiko-KI, etwa in sicherheitsrelevanten Produkten, bei biometrischer Fernidentifizierung oder in Asylverfahren, unterliegt strengen Vorgaben zu Datenqualität, Genauigkeit, Robustheit, Cybersicherheit, Dokumentation, Protokollierung und menschlicher Aufsicht. Für interaktive KI, Emotionserkennung, biometrische Kategorisierung und Systeme mit allgemeinem Verwendungszweck gelten zusätzliche Transparenzpflichten. Niedrigrisiko-KI bleibt weitgehend unberührt, steht aber weiterhin unter bestehenden Regelwerken wie der DSGVO.
Die Aufsicht über KI ist sektorbezogen organisiert: Die EU-Kommission (über das neue AI Office) überwacht KI-Modelle mit allgemeinem Verwendungszweck, nationale Marktüberwachungsbehörden setzen die Regeln für hochrisikorelevante Produkt-KI durch, die Datenschutzaufsichtsbehörden sind u. a. in Bereichen wie Strafverfolgung, Migration oder Justiz zuständig. Zahlreiche Zuständigkeitsfragen – etwa für bestimmte biometrische oder emotionserkennende Systeme und für weitere Hochrisikobereiche – sind auf nationaler Ebene noch offen. Aufgrund der komplexen Struktur soll jeder Mitgliedstaat einen zentralen „Single-Point-of-Contact“ einrichten, an den sich Bürgerinnen und Bürger künftig mit Beschwerden und Hinweisen wenden können.
Die meisten Vorschriften der KI-Verordnung werden ab dem 2. August 2026 gelten, sodass spätestens dann Unternehmen nachweisen müssen, dass sie ihre KI-Systeme rechtskonform einsetzen.
Es verbleibt abzuwarten, wie sich die KI-Verordnung vor dem Hintergrund des Digital Omnibus (s. oben) realisiert.
3. EU Digital ID Wallet
Die EU Digital Identity Wallet führt die bislang auf nationale Systeme oder private Anbieter verteilten Identitätslösungen in einer europaweit einheitlichen digitalen Anwendung zusammen. Bürgerinnen, Bürger und Unternehmen können damit ihre Identität nachweisen, digitale Dokumente speichern und teilen sowie rechtsverbindlich elektronisch unterschreiben. Ziel ist ein grenzüberschreitend sicherer, datenschutzkonformer und interoperabler Identitätsnachweis.
Mitgliedstaaten müssen bis Ende 2026 mindestens eine Wallet-Lösung bereitstellen. Private Dienstleister mit starker Nutzerauthentifizierung (z. B. Banken, Energieversorger, Telekommunikation) müssen die Wallet spätestens bis Ende 2027 akzeptieren.
Welche Anforderungen und Handlungsschritte sich für Unternehmen ergeben, können Sie hier nachlesen.
4. Gesetz zur Umsetzung der NIS-2-Richtlinie
Am 6. Dezember 2025 trat das Gesetz zur Umsetzung der NIS-2-Richtlinie in Kraft und modernisiert damit das deutsche Cybersicherheitsrecht grundlegend. Rund 30.000 Unternehmen sowie bestimmte Bundeseinrichtungen müssen nun umfassende Maßnahmen zur Informationssicherheit umsetzen.
Welche Einrichtungen betroffen sind und welche zentralen Pflichten gelten, erfahren Sie hier.
Die ersten Vorgaben und Verfahren für bestimmte Dienstleister sind bereits bis März 2026 öffentlich zugänglich zu machen.
5. Cyber Resilience Act
Der Cyber Resilience Act (CRA)ist am 11. Dezember 2024 in Kraft getreten und wird ab dem 11. Dezember 2027 unmittelbar in allen EU-Mitgliedstaaten gelten.
Der CRA verpflichtet Hersteller und Vertreiber, bei Produkten mit digitalen Elementen von der Entwicklung über die Produktion bis zur Nutzung angemessene Cybersecurity-Maßnahmen zu implementieren. Die EU unterscheidet dabei zwischen nicht kritischen Produkten (z. B. Festplatten, PC-Spiele), kritischen Produkten Klasse I und II (z. B. Browser, Passwort-Manager, industrielle Firewalls, Router, Chipkarten) und hochkritischen Produkten. Für kritische Produkte gelten strengere Anforderungen, einschließlich einer Konformitätsbewertung nach EU-Standards, dokumentiert durch das CE-Kennzeichen und überwacht von nationalen Marktaufsichtsbehörden.
Obwohl die vollständigen Anforderungen erst ab Dezember 2027 gelten, sollten Unternehmen die Umsetzung nicht verzögern, um einen reibungslosen Übergang und die Einhaltung der Vorschriften sicherzustellen, denn einige Bestimmungen greifen bereits vor dem Inkrafttreten ab Ende 2027: Ab Juni 2026 können Konformitätsbewertungsstellen die Einhaltung der CRA-Anforderungen prüfen, und ab September 2026 beginnt die Meldepflicht für Schwachstellen und weitere Sicherheitsvorfälle.
6. Digital Operational Resilience Act (DORA)
DORA soll schon bereits seit Januar 2025 die digitale operationale Resilienz des europäischen Finanzsektors in sechs zentralen Bereichen stärken: IKT-Risikomanagement, Behandlung und Berichterstattung IKT-bezogener Vorfälle, Tests der Resilienz einschließlich Threat-led Penetration Testing, Management von IKT-Drittparteienrisiken, einschließlich Informationsregister und Anzeigepflichten, Überwachung kritischer IKT-Drittdienstleister sowie Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen.
Der 1. Januar 2027 ist ein entscheidendes Datum für die Umsetzung der europäischen DORA-Verordnung, da zu diesem Zeitpunkt bestimmte Finanzinstitute, die bisher den BAIT unterlagen (wie z.B. Leasing- und Factoring-Unternehmen), vollständig in den Anwendungsbereich von DORA integriert werden und die dortigen vereinfachten Anforderungen für das IKT-Risikomanagement gelten, wodurch die BAIT-Regelungen ablösen werden. Alle betroffenen Unternehmen müssen bis dahin voll DORA-konform sein, was eine umfassende Anpassung ihrer IKT-Risikomanagement-, Vorfallmanagement- und Vertragsstrukturen erfordert, um die digitale Resilienz zu stärken.
Daher ist es dringend geboten, bereits 2026 mit der Planung und Umsetzung der DORA-Vorgaben zu beginnen.
Es müssen nicht zuletzt die Anforderungen der DORA bereits bei der Auswahl von IKT-Dienstleistern berücksichtigt und neue Dokumentationspflichten frühzeitig erledigt werden, um zukünftigen Compliance-Anforderungen zu erfüllen.
7. E-Evidence-Verordnung (EEVO)
Die E-Evidence-Verordnung (EEVO) wird ab dem 18. August 2026 verbindlich. Sie ermöglicht Mitgliedstaaten einen direkten grenzüberschreitenden Zugriff auf elektronische Beweismittel, wodurch die bislang zeitaufwändigen Rechtshilfeverfahren entfallen.
Die Verordnung stellt dafür zwei zentrale Instrumente bereit:
Mit einer Sicherungsanordnung können elektronische Beweismittel für 60 Tage bei einem im Ausland ansässigen Provider gesichert werden.
Mit einer Herausgabeanordnung wirddie direkte Übermittlung der Beweismittel an die anfordernde Justizbehörde ermöglicht. Die EEVO legt dabei enge Fristen für die Beantwortung von Herausgabeanordnungen fest: Bei Lebensgefahr oder Gefährdung kritischer Infrastrukturen müssen Anfragen innerhalb von acht Stunden beantwortet werden, im Regelfall innerhalb von maximal zehn Tagen. Vor Ablauf dieser Fristen muss geprüft werden, ob die Herausgabe rechtlich zulässig ist. Da die Anordnung im Ursprungsland gestellt wird, ist im Zielland eine rechtsförmliche Prüfung notwendig, um zu vermeiden, dass personenbezogene Daten widerrechtlich übermittelt werden und ein Datenschutzvorfall entsteht.
Erfasst werden Dienste wie Messenger, Telekommunikationsanbieter, VoIP, Online-Marktplätze mit Kommunikationsmöglichkeiten und Online-Spieleplattformen. Als Beweismittel gelten Teilnehmer-, Inhalts- und Verkehrsdaten, die zum Zeitpunkt der Anordnung bereits beim Diensteanbieter vorliegen.
II. Rechtsprechung
Parallel zur regulatorischen Verdichtung sorgen wegweisende Gerichts-entscheidungen auf europäischer und nationaler Ebene dafür, dass sich die Anforderungen an Datenschutz, Datennutzung und IT-Compliance weiter konkretisieren – und in Teilen neu justieren. Vor allem aus dem im Jahr 2024 in Kraft getretenen Digital Markets Act (DMA) und Digital Services Act (DSA) resultieren nun die ersten bedeutsamen gerichtlichen Entscheidungen.
1. Apple vs. EU-Kommission – Digital Markets Act
Die EU-Kommission hat gegen den US-Technologiekonzern Apple ein Bußgeld in Höhe von 500 Millionen Euro verhängt – erstmals auf Grundlage des DMA. Nach Auffassung der Kommission verstoßen die Regeln des Apple App Stores gegen Art. 5 und 6 DMA, da Apple App-Entwickler daran hindere, Nutzer wirksam auf alternative Kauf- und Vertriebswege hinzuweisen oder diese zu nutzen. Die sogenannten Lenkungsregeln erlaubten lediglich stark eingeschränkte „Link-outs“, die zudem mit zusätzlichen Gebühren verbunden seien.
Gegenstand der Prüfung waren außerdem Apples neue Vertragsbedingungen für alternative App-Stores und Vertriebsmodelle, insbesondere die „Core Technology Fee“ von 0,50 Euro pro Installation, aufwendige Installationsprozesse sowie zusätzliche Zugangsvoraussetzungen für Entwickler. Diese könnten gegen die Vorgaben der Notwendigkeit und Verhältnismäßigkeit nach Art. 6 Abs. 4 DMA verstoßen.
Apple hat angekündigt, die Entscheidung gerichtlich anzufechten. Zur Begründung legte der Konzern der Kommission eine 25-seitige Stellungnahme vor, in der er das Vorgehen als unfair kritisiert und geltend macht, zur kostenlosen Bereitstellung eigener Technologie gezwungen zu werden.
2. Meta vs. EU-Kommission – Digital Markets Act
Gegen Meta erging ein Bußgeld von 200 Millionen Euro.
Der DMA verpflichtet Gatekeeper, vor der Zusammenführung personenbezogener Daten aus verschiedenen Diensten die Einwilligung der Nutzer einzuholen und jenen, die nicht zustimmen, eine gleichwertige, weniger personalisierte Alternative anzubieten.
Meta führte im November 2023 für Facebook und Instagram ein sogenanntes „Consent-or-Pay“-Modell ein, bei dem Nutzer entweder der Nutzung ihrer Daten für personalisierte Werbung zustimmen oder ein monatliches Abonnement für einen werbefreien Dienst abschließen mussten.
Nach Auffassung der EU-Kommission verstößt dieses Modell gegen den DMA, da es keine echte Wahl zwischen personalisierter Nutzung und einer gleichwertigen, datenärmeren Alternative bietet. Zudem werde den Nutzern damit nicht ermöglicht, ihre Einwilligung zur Datenkombination frei zu erteilen.
3. OLG Köln und LG Mainz – Digital Markets Act
Auch die Privatdurchsetzung des DMA gewinnt in Deutschland an Bedeutung.
Das OLG Köln hat mit Beschluss vom 23. Mai 2025 (Az. 15 UKl 2/25) den Antrag der Verbraucherzentrale NRW auf Erlass einer einstweiligen Verfügung gegen Meta abgelehnt. Meta darf damit vorläufig öffentlich zugängliche Inhalte erwachsener Nutzenden von Facebook und Instagram in Europa zum Training eigener KI-Modelle nutzen, sofern diese nicht widersprochen haben.
Nach summarischer Prüfung sah das Gericht keinen Verstoß gegen Art. 5 Abs. 2 lit. b DMA, da das KI-Training keine nutzerbezogene Zusammenführung personenbezogener Daten aus verschiedenen Diensten darstelle. Das OLG betonte zugleich das Fehlen höchstrichterlicher Rechtsprechung und die vorläufige Natur der Entscheidung; eine abweichende Bewertung in einem Hauptsacheverfahren bleibt möglich.
Nach dem OLG Köln hat auch das LG Mainz mit Urteil vom 12. August 2025 (Az. 12 HK O 32/24) die direkte Anwendbarkeit des DMA bestätigt. Der Rechtsstreit betrifft die Frage, ob Google gegen das Kopplungsverbot aus Art. 5 DMA verstößt, indem Nutzer bei der Erstellung eines Google-Kontos faktisch zur Einrichtung einer Gmail-Adresse gezwungen werden, um Dienste wie Android OS, Google Play, Chrome und YouTube zu nutzen. Kläger sehen darin eine unzulässige Benachteiligung anderer E-Mail-Anbieter, da alternative Adressen im zentralen Registrierungsprozess bislang nicht gleichberechtigt vorgesehen waren.
Das LG Mainz verpflichtete Google Irland, diese Praxis zu unterlassen. Zwar führte Google eine Anmeldung per Telefonnummer ein, erzeugte dabei aber weiterhin automatisch eine Gmail-Adresse, was das Gericht als unzureichend ansah. Künftig muss Google entweder die gleichwertige Nutzung externer E-Mail-Adressen direkt im Anmeldeprozess ermöglichen oder auf die automatische Erstellung von Gmail-Konten verzichten. Das Urteil wird als Signal für mehr Wettbewerb, Wahlfreiheit und digitale Souveränität im Sinne des DMA gewertet.
Fazit: Die aktuelle Rechtsprechung zeigt, dass nationale Gerichte den DMA zunehmend als unmittelbar anwendbares und privat durchsetzbares Instrument des Verbraucher- und Wettbewerbsrechts verstehen. Zugleich fehlt es bislang an einer einheitlichen, höchstrichterlich geklärten Auslegung zentraler Vorschriften. Unternehmen können sich daher nicht verlässlich auf einzelne nationale Entscheidungen stützen, sondern müssen mit abweichenden Bewertungen rechnen. Die Rechtssicherheit bleibt vorerst eingeschränkt, bis eine weitergehende Klärung auf europäischer Ebene erfolgt.
4. Zalando vs. EU-Kommission – Digital Services Act
Das EuG hat am 3. September 2025 (T‑348/23) bestätigt, dass Zalando als „sehr große Online-Plattform“ im Sinne des DSA einzustufen ist. Die Einstufung beruht insbesondere auf der hohen Zahl aktiver Nutzende – monatlich über 83 Millionen – und überschreitet damit deutlich den Schwellenwert von 45 Millionen. Das Gericht wies die Klage des Unternehmens ab. Zalando hatte in seiner Klage argumentiert, nur etwa 30 Millionen Nutzende seien betroffen, war aber nicht in der Lage gewesen, zu unterscheiden, wer von den mehr als 83 Millionen Personen, die den gesamten Shop genutzt hatten, den Inhalten aus dem Partnerprogramm ausgesetzt waren. Einen Verstoß gegen die Grundsätze der Rechtssicherheit, der Gleichbehandlung und der Verhältnismäßigkeit schließt das EuG aus.
Damit sind für Zalando verschärfte Pflichten verbunden, insbesondere beim Verbraucherschutz und bei der Bekämpfung rechtswidriger Inhalte von Drittanbietern über das Partnerprogramm.
Zalando kritisierte das Urteil und betonte, dass sein Geschäftsmodell mit kuratierten, vertrauenswürdigen Markenpartnern kein „systemisches Risiko“ für die Verbreitung schädlicher Inhalte darstelle.
5. Amazon vs. EuG – Digital Services Act
Das EuG hat kurz nach der Entscheidung gegen Zalando am 19. November 2025 (T‑367/23) ebenfalls entschieden, dass Amazon als „sehr große Online-Plattform“ im Sinne des DSA einzustufen ist. Eine Klage des Unternehmens gegen diese Einstufung wies das Gericht ab. Die Richter sahen zwar einen Eingriff in die unternehmerische Freiheit durch die damit verbundenen Kosten und technischen Anforderungen, hielten diesen aber für gerechtfertigt, um systemische Risiken wie die Verbreitung illegaler Inhalte oder Verstöße gegen Grundrechte zu verhindern.
Amazon argumentierte, dass der DSA eigentlich auf Informations- und Meinungsplattformen abzielt und dass die verschärfte Aufsicht gegenüber lokalen Einzelhändlern ungleich sei. Zudem wies das Unternehmen darauf hin, dass es in keinem EU-Land der größte Einzelhändler sei, und kritisierte die administrativen Pflichten, etwa die Bereitstellung nicht-personalisierter Empfehlungsoptionen und eines öffentlichen Verzeichnisses für Werbung.
Amazon ist nun verpflichtet, die DSA-Vorgaben umzusetzen. Dazu gehören jährliche Risikobewertungen zu schädlichen Inhalten und Maßnahmen, die den Schutz der Nutzenden vor illegalen Inhalten sicherstellen. Amazon plant, gegen die Entscheidung vor dem EuGH Rechtsmittel einzulegen.
5. Russmedia vs. EuGH – Digital Services Act und DSGVO
Der EuGH hat entschieden, dass Betreiber von Online-Marktplätzen unter bestimmten Umständen für datenschutzrechtswidrige Inhalte, die von Nutzenden eingestellt werden, mitverantwortlich sind.
Im Ausgangsfall (Urteil vom 02.12.2025 – C-492/23) ging es um eine irreführende und schadensstiftende Anzeige auf dem rumänischen Portal Publi24 – ein Online-Marktplatz – welches eine nicht identifizierte dritte Person am 1. August 2018 auf dieser Website veröffentlicht hatte, in der die Klägerin als Anbieterin sexueller Dienstleistungen dargestellt worden sei. Der Gerichtshof stellte klar: Auch wenn Inhalte von Nutzenden erstellt werden, begründet die Veröffentlichung durch die Plattform Pflichten nach der DSGVO. Betreiber müssen vor Veröffentlichung prüfen, ob Inhalte sensible Daten enthalten und tatsächlich von der betroffenen Person stammen oder eine Rechtsgrundlage für die Veröffentlichung vorliegt. Zudem müssen technische und organisatorische Maßnahmen sicherstellen, dass solche Inhalte nicht unrechtmäßig auf anderen Seiten verbreitet werden.
Die Entscheidung macht deutlich, dass Hosting-Anbieter sich nicht auf Haftungsprivilegien der E-Commerce-Richtlinie oder des DSA berufen können, wenn Datenschutzrechte betroffen sind. Betreiber müssen ihre Plattformen proaktiv überwachen und fortlaufend sicherstellen, dass personenbezogene Daten rechtmäßig verarbeitet werden.
Die EuGH-Entscheidung hat damit weitreichende Folgen für Online-Marktplätze: Sie müssen künftig Mechanismen implementieren, um je nach Sensibilität der Daten proaktiv Inhalte zu prüfen und gegebenenfalls vor Veröffentlichung zu filtern.
Noch Fragen? Sprechen Sie uns gerne an.
Unsere Anwälte aus dem Bereich IT und Datenrecht unterstützen Sie dabei, die Anforderungen der NIS2-Umsetzung pragmatisch, wirksam und nachhaltig in Ihrem Unternehmen einzuführen.
Rechtsanwältin mit Schwerpunkt IT-Recht und Datenschutz & zertifizierte Datenschutzbeauftragte
Rechtsanwalt mit Schwerpunkt IT-Recht und Datenschutz & zertifizierter Datenschutzbeauftragter
