Datenschutzrecht

Mit einem neuen Cybersicherheitspaket (Cybersecurity Act 2) will Brüssel die Cybersicherheit in der EU auf ein neues Level heben: Verpflichtende Zertifizierungen, striktere Aufsicht und eine stärkere ENISA sollen den digitalen Binnenmarkt widerstandsfähig gegen aktuelle und künftige Bedrohungen machen. Auch die Vorgaben für Unternehmen nach der NIS-2-Richtlinie stehen auf dem Prüfstand.

Zugangskontrollen per Gesichtsscan, Altersklassifizierung im E-Commerce, Stimmerkennung im Kundenservice oder Analyse von Emotionen in Video-Calls – Anwendungsfälle von biometrischen Systemen gibt es in der Unternehmenspraxis viele. Künstliche Intelligenz (KI) macht viele dieser Systeme besser, schneller und effektiver. Aber der Einsatz von KI unter Nutzung biometrischer Daten ruft nicht nur die Datenschützer auf den Plan – vor dem Hintergrund der KI-Verordnung (KI-VO) stellt sich für viele Unternehmen die Frage: Welche biometrischen Anwendungen sind nach der KI-VO verboten, welche gelten als Hochrisiko und wann greifen „nur“ Transparenzpflichten?

In der letzten Folge des Jahres 2025 geht es um digitale Souveränität bei Cloud- und SaaS-Diensten. Dr. Martin Schirmbacher und Nicole Beranek Zanon von HÄRTING AG aus Zug in der Schweiz sprechen über die Bedeutung der Daten- und Dienstehoheit in diesen Zeiten. Dabei schauen wir auf die technische, organisatorische und rechtliche Perspektive. Im Einzelnen sprechen wir über • Begrifflichkeiten • den aktuellen Stand aus rechtlicher Sicht (also wo muss man aus EU-Sicht und nach deutschem und Schweizer Recht auf Cloud-Dienste aus den USA oder Cloud-Dienste insgesamt verzichten?) • Abhängigkeiten von Hyperscalern und SaaS-Providern als Risiko • das Spannungsverhältnis zwischen Datenschutzrecht und Geheimnisschutz einerseits und Zugriffsbefugnissen von Behörden und Unternehmen andererseits • politische Rahmenbedingungen für die Nutzung von Cloud-Diensten • alternative Anbieter aus Europa

Episode 34 des Data Navigator Podcast zeigt die Sicht eines Nutzers. Bei uns ist Dag Frerichs, Landwirt beim Osterhof an der dänischen Grenze, kurz vor Sylt. Es geht um die Digitalisierung der Landwirtschaft und die Erhebung von Daten bei der Nutzung von Landmaschinen. Wir sprechen über die Rolle der Digitalisierung auf dem Osterhof und anderen landwirtschaftlichen Betrieben. Um welche Daten geht es überhaupt und wie fallen diese Daten an. Welche Daten sind wirklich wichtig und wer nutzt diese? Anschließend geht es um die Abhängigkeiten von Maschinenherstellern einerseits und Softwareanbietern andererseits. Wie transparent ist die Datenerhebung und -verwendung eigentlich? Natürlich reden wir über die Chancen, die der EU Data Act bietet. Was sind hier die konkreten Erfahrungen mit Herstellern aus Deutschland und Übersee? Wir werten auch noch einmal das Data Navigator Forum aus, an dem Dag teilgenommen hat. Schließlich schauen wir auf die größten praktischen Herausforderungen bei der Umsetzung und die Erwartungen der Agrarbauern an Politik, Behörden, die DLG und Verbände. Wie sieht Dag Unterstützungsbedarf und welche konkreten Erwartungen gibt es an die verschiedenen Stakeholder?

KI in der Rechtspraxis – aktuelle Anwendungsfälle und spannende (Rechts-)Fragen

Am 28. November 2025 fand das 1. Data Navigator Forum in Berlin statt. Unmittelbar im Anschluss haben sich Hubertus von Roenne und Martin Schirmbacher hingestellt und den Tag Revue passieren lassen. Ein bunter und sehr konstruktiver Tag mit konkreten Ergebnissen, über deren erste Eindrücke wir in Episode 33 des Data Navigator Podast berichten. Wir gehen ein bisschen durch den Tag und besprechen die Erkenntnisse aus den Impulsen von Damian Boeselager (MdEP), Staatssekretärin Prof. Luise Hölscher (BMDS) und Diana Harlinghausen (Bundesnetzagentur). Es geht um Sinn und Zweck des Data Act, um das Durchführungsgesetz zum Data Act und die Regelungen zu Zuständigkeiten, Personalbedarf und darum, wie sich die Bundesnetzagentur für die zukünftigen Aufgaben rüstet. Danach haben wir uns in drei parallelen Workshops (Erneuerbare Energien, Public Mobility, Landwirtschaft) den wirklichen Fragen bei der Umsetzung des des Data Act gewidmet: Welche Daten sind wirklich relevant? Wo bestehen welche Spannungsfelder? Welche Vorschläge und Ideen gibt es zum weiteren Vorgehen? Anschließend haben wir die Ergebnisse zusammen getragen und ausgewertet. Am Schluss blickten wir dann auf Lösungsansätze aus der Praxis: Merle Uhl vom DIN sprach über Standardisierung, Matthias Niebuhr über die von ihm mitgedrafteteten MCT und SCC, Hubertus von Roenne über organisierte Austauschformate und ich über Rechtsschutzmöglichkeiten.

Der Data Act und Europas neue Datenordnung: Dieser Praxisratgeber hilft Ihnen, die neuen Anforderungen der Verordnung zu verstehen – von Daten­zugangs­rechten bis zur Inter­operabilität. Verfasst von Dr. Martin Schirmbacher, Marcus Czempinski und Jan Mönikes, richtet er sich an Datenschutz‑ und IT‑Verantwortliche sowie juristische Berater.

Am 12. September 2025 trat der Data Act in Kraft und es gibt Neues schon gibt es Änderungen. Einerseits gibt es endlich den neuen Entwurf eines "Durchführungsgesetzes zur Datenverordnung" aus dem Digitalministerium. Andererseits wurde der den Data Act betreffende Teil des Digital Omnibus aus Brüssel geleaked. Über beides sprechen Hubertus von Roenne und Martin Schirmbacher und erläutern die Neuerungen. In Episode 32 des Data Navigator Podcast geht es also um - das Durchführungsgesetz zum Data Act - die Zuständigkeit von Bundesnetzagentur und BfDI für die Durchsetzung des Data Act - den Bußgeldrahmen nach deutschem Recht - die geplante Anpassung des Data Act durch den Digitalomnibus - die Integration von FFDR, ODD und DGA in den Data Act - die Nachjustierung beim Data Act selbst - Geschäftsgeheimnisse, B2G-Zugriffe und Cloudswitching

Endlich geht es im Data Navigator um das Cloudswitching. Zu Gast in Folge 31 ist Seda Dinc, Senior Associate bei HÄRTING Rechtsanwälte. Mit ihr sprechen Martin Schirmbacher und Hubertus von Roenne über Kapitel VI des Data Act und die neuen Regelungen für SaaS- und Clouddienste. Seda Dinc-Öztürk hat in Berlin Jura studiert und schon studiumbegleitend bei HÄRTING gearbeitet. Seit 2021 ist sie Rechtsanwältin im IT-Team von HÄRTING: Sie beschäftigt sich vorwiegend mit der Vertragsgestaltung. Im Mai hat sie auf der @KIT einen Vortrag gehalten, der sich u.a. mit dem Einfluss des Data Act auf Cloud-basierte Systeme befasst hat. In der K&R ist ein Beitrag von ihr zu diesem Thema erschienen. Im Gespräch mit Seda klären wir, wie inwiefern der Data Act auch Cloud-Anbieter betrifft, und zwar nicht nur große Hyperscaler, sondern auch kleinere SaaS-Unternehmen, die Cloud-basierte Dienste anbieten – vom E-Commerce-Tool bis zur Collaboration-Plattform. Wir gehen kurz auf die Ziele und die Wirkmechanismen der Regelungen ein. Dann gehen wir im Detail der Frage nach, welche Verpflichtungen sich für die Anbieter ergeben. Es geht also um die konkrete Beseitigung von Wechselhindernissen. Cloudswitching soll möglich und finanzierbarer werden. Wir sprechen über die Pflicht Verträge anzupassen und um Data Act spezifische Regelungen (vor allem Wechselrechte) zu erweitern. Thematisiert werden auch die umfassenden Informationspflichten und die schrittweise Abschaffung von Wechselentgelten. Schließlich werden wir konkret und sprechen über die Einzelheiten und Bedingungen beim Cloudswitching, insbesondere kürzere Kündigungsfristen und Anforderungen an die Datenherausgabe und Interoperabilität.