1. Neue Barrierefreiheitsanforderungen in der Europäischen Union
von Johannes Berchtold, LL.M.
Seit dem 28. Juni 2025 gelten die nationalen Umsetzungsgesetze des European Accessibility Acts (EAA). Diese verpflichten verschiedene Wirtschaftsakteure dazu, bei ihren Produkten und Dienstleistungen die festgelegten Barrierefreiheitsanforderungen einzuhalten. Betroffen sind unter anderem Hardwaresysteme, bestimmte Selbstbedienungsterminals, Smartphones, E-Books sowie Webshops. Wirtschaftsakteure, deren Produkte oder Dienstleistungen nicht den Barrierefreiheitsanforderungen entsprechen, müssen dies unverzüglich den zuständigen Marktüberwachungsbehörden melden.
Fazit: Unternehmen sollten – sofern noch nicht geschehen – zeitnah prüfen, ob sie vom EAA erfasst sind und inwiefern sie die geltenden Barrierefreiheitsanforderungen erfüllen oder gegebenenfalls Meldungen an die Marktüberwachungsbehörden abgeben müssen.
2. Weitere Vorschriften aus der KI-VO gelten seit dem 2. August 2025
von Florian Schwind
Die KI-VO regelt in Art. 113 einen abweichenden Geltungsbeginn für gewisse Vorschriften. Seit dem 2. Februar 2025 gelten bereits die Kapitel I und II der KI-VO. Seit dem 2. August 2025 gelten nun weiter auch die Kapitel III Abschnitt 4 (Notifizierende Behörden und notifizierte Stellen), Kapitel V (KI-Modelle mit allgemeinem Verwendungszweck), Kapitel VII (Governance), Kapitel XII (Sanktionen) und Art. 78 (Vertraulichkeit).
Fazit: Unternehmen sollten prüfen, ob die neuen Vorschriften aus Kapitel V für Sie Pflichten hervorrufen – diese müssen seit dem 2. August 2025 umgesetzt werden. Zudem sollte sich jedes Unternehmen schon einmal mit der zuständigen notifizierenden Behörde sowie der Marktüberwachungsbehörde vertraut machen. In Deutschland ist noch abschließend geklärt, wer die notifizierende Behörde wird – die Rolle der Marktüberwachungsbehörde als zentrale Anlaufstelle soll wohl die Bundesnetzagentur übernehmen.
3. BGH zur Weitergabe von Bestandsdaten an Dritte
von Dr Hannah von Wickede
Der BGH hat kürzlich in einem Urteil (Az.: VI ZB 79/23) klargestellt, unter welchen Voraussetzungen Digitale Dienste nach § 21 TDDDG zur Herausgabe der Bestandsdaten ihrer Nutzer verpflichtet werden können. Gemäß § 21 Abs. 2 TDDDG sind digitale Dienste nämlich nur dann zur Offenlegung von Bestandsdaten verpflichtet und berechtigt, wenn ein Gericht auf Antrag feststellt, dass die fraglichen Inhalte eindeutig strafrechtliche Relevanz haben. Das Verfahren im Rahmen des § 21 Abs. 2 und 3 TDDDG unterliegt zudem strengen Voraussetzungen, um sicherzustellen, dass insbesondere die Kommunikationsgrundrechte im digitalen Raum nicht unangemessen eingeschränkt werden.
Fazit: Auch wenn nach der Entscheidung des BGH klar ist, dass die Weitergabe von Bestandsdaten engen Anforderungen unterliegt, ist damit zu rechnen, dass es insbesondere in Hinblick auf das Äußerungsrecht im digitalen Raum zukünftig vermehrt zu Anfragen nach § 21 Abs. 2 TDDDG kommen wird: Digitale Dienste sollten daher bereits jetzt interne Verfahren zum Umgang mit § 21 Abs. 2 TDDDG Anfragen anlegen, um sicherzustellen, dass keine Daten ohne gültige Gerichtsentscheidung offengelegt und betroffene Inhalte sorgfältig auf ihre strafrechtliche Relevanz hin überprüft werden.
4. BAG: 200 € Schadenersatz nach Kontrollverlust bei konzerninterner Datenübermittlung
von Dr. Andreas Splittgerber
Das BAG (Urteil vom 8. Mai 2025, Az.: 8 AZR 209/21) hat nun auf Basis der Rechtsprechung des EuGH zum Kontrollverlust (Urteil vom 4. Oktober 2024, Az.: C-200/23). einem Arbeitnehmer einen Schadensersatz von 200 € wegen Kontrollverlusts zugesprochen. Die Daten des Arbeitnehmers wurden im Rahmen des Tests bei der Implementierung einer cloudbasierten HR Lösung an die US-Mutter übermittelt, was nicht von der Betriebsvereinbarung gedeckt war (vgl. zur Rechtfertigung der Datenverarbeitung durch Betriebsvereinbarung auch unseren letzten Newsletter.
Fazit: Wie zu befürchten war, hat das Urteil des EuGH die Pforten für Schadensersatzansprüche von Betroffenen geöffnet. Es fällt aber schwer zu verstehen, wo bei einer – wenn auch unberechtigten – Datenübermittlung an den Mutterkonzern des Arbeitgebers zu Testzwecken eines HR-Systems ein Kontrollverlust vorliegen soll, der zum Schadensersatz berechtigt. Die EuGH Rechtsprechung wird in Zukunft noch viele Unternehmen und Gerichte beschäftigen. Sie sollte aber nicht pauschal auf alle Fälle angewendet werden.
5. OLG Hamburg: Gastzugang bei Marktplatz-Plattform nicht erforderlich
von Sven Schonhofen, LL.M.
Das OLG Hamburg entschied mit Urteil vom 27. Februar 2025 (Az.: 5 U 30/24), dass eine konkrete Plattform auf der nicht nur Plattformbetreiber, sondern auch Drittanbieter Produkte verkaufen können, neben der Möglichkeit des Einkaufs über ein Kundenkonto auch einen Gastzugang bereitstellen muss. In dem konkreten Fall liege kein Verstoß gegen den Datenminimierungsgrundsatz vor, da neben dem Passwort nur Daten im Rahmen des Kundenkontos erhoben wurden, die auch zur Abwicklung der Bestellung erhoben werden. Der Aufwand für Bestellungen nachgelagerte Kommunikation und Rechteausübungen könne durch die Kundenkonten erheblich reduziert werden.
Fazit: Zwar war das Urteil eine spezielle Entscheidung für einen Marktplatz. Die Argumente aus dem Urteil gegen eine Gastzugangspflicht können aber auch für viele Onlineshops, die keinen Marktplatz anbieten, herangezogen werden.
6. VG Hannover: „Alles Ablehnen“-Option bei Cookie-Banner Pflicht
von Friederike Wilde-Detmering, M.A.
Das VG Hannover hat mit Urteil vom 19. März 2025 (Az.: 10 A 5385/22), entschieden, dass Cookie-Banner auf der ersten Ebene zwingend eine gleichwertige „Alles Ablehnen“-Schaltfläche enthalten müssen. Zugleich bestätigte das Gericht die Zuständigkeit der Datenschutzbehörde für die Durchsetzung von § 25 TDDDG.
Fazit: Die Ansicht zu „Alles-Ablehnen-Buttons“ von deutschen Datenschutzbehörden wurde nun bestätigt. Sofern noch nicht geschehen, sollten Unternehmen umgehend ihre Cookie-Einwilligungs-Lösungen entsprechend anpassen.
7. LG München I zur E-Mail-Erreichbarkeit im Impressum
von Lukas Willecke
Das Landgericht München I hat mit Urteil vom 25.02.2025 (Az.: 33 O 3721/24), entschieden, dass die Angabe einer E-Mail-Adresse im Impressum, die lediglich automatisierte Antworten mit Verweis auf andere Kontaktwege generiert, nicht den gesetzlichen Anforderungen genüge. Nach § 5 DDG müsse die im Impressum angegebene E-Mail-Adresse eine unmittelbare und uneingeschränkte Kontaktaufnahme ermöglichen; der bloße Verweis auf alternative Kommunikationswege wie Kontaktformulare reiche nicht aus. Das Gericht sieht in der automatisierten Abweisung von Anfragen einen Verstoß gegen § 5a UWG, da so eine scheinbare, tatsächlich aber nicht gegebene Erreichbarkeit vorgetäuscht werde. Betreiber geschäftlicher Webseiten riskieren bei derartigen Verstößen wettbewerbsrechtliche Abmahnungen und Bußgelder.
Fazit: Für Unternehmen besteht weiterhin die Pflicht, eine funktionierende E-Mail-Adresse im Impressum vorzuhalten, über die eine echte und schnelle Kommunikation möglich ist.
8. LG Berlin II: Passwortabfrage nach Betätigen des Online-Kündigungsbuttons erlaubt
von Joana Becker
Das LG Berlin II hat in seinem Urteil vom 27. November 2024 (Az.: 97 O 81/23), entschieden, dass die Abfrage eines Passworts nach Betätigung des Online-Kündigungsbuttons zulässig ist, sofern sie der eindeutigen Identifikation des kündigenden Verbrauchers dient. Die Richter stellten klar, dass die Passwortabfrage keine unzulässige Hürde darstellt und mit ihr auch kein zusätzlicher Login verbunden ist. Die Passwortabfrage diente lediglich der Zuordnung der Kündigungserklärung. Auch bei Vergessen des entsprechenden Passworts, bestand auf der Webseite der Beklagten die Möglichkeit, dieses einfach und schnell neu generieren zu lassen.
Fazit: Unternehmen dürfen zur Identifikation bei der Online-Kündigung ein Passwort abfragen, solange der Prozess für den Verbraucher einfach bleibt und keine zusätzlichen, die Kündigung erschwerenden Schritte beinhaltet.
9. Der EDSB: EU-Kommission erfüllt Datenschutz bei Microsoft 365
von Dr. Thomas Fischl
Der EDSB hat das langwierige Durchsetzungsverfahren gegen die EU-Kommission wegen Datenschutzbedenken hinsichtlich der Nutzung von Microsoft 365 offiziell beendet. In einem am 11. Juli 2025 unterzeichneten Schreiben erklärte der EDSB, dass die EU-Kommission alle im März 2024 festgestellten Datenschutzmängel behoben habe. Damit seien die entsprechenden Anforderungen der Datenschutzverordnung für die EU-Institutionen erfüllt.
Fazit: Nach intensiven Verhandlungen und mehreren Verbesserungen der Datenschutzklauseln in der Lizenzvereinbarung mit Microsoft hat die EU-Kommission laut EDSB nun ausreichende Kontrolle über die Verarbeitung personenbezogener Daten im Zusammenhang mit Microsoft 365. Insbesondere wurden die Zwecke der Datenverarbeitung präzisiert, internationale Datenübermittlungen eingeschränkt und klare vertragliche Anforderungen für den Umgang mit Anfragen von Behörden definiert. Man darf gespannt beobachten, wie sich diese Entwicklung auf den privaten Sektor auswirkt.
10. Irreführende Geschäftspraktiken und AGB bei Inkassodienstleister: LG Berlin setzt klare Grenzen
von Lukas Willecke
Ein auf Fluggastrechte spezialisierter Inkassodienstleister bot zahlungspflichtige Abonnements an, mit denen Kunden bei Flugstörungen und Gepäckproblemen bestimmte Leistungen in Anspruch nehmen konnten. Im Streit stand, dass der Dienstleister auf seiner Webseite wesentliche Einschränkungen dieser Leistungen nicht ausreichend offenlegte und in seinen AGB zahlreiche Klauseln verwendete, die Verbraucherrechte unzulässig beschränkten (u.a. §§ 3, 3a, 5a, 5b UWG; §§ 305c, 307, 308, 312k BGB). Voraussetzung für die Inanspruchnahme der versprochenen Leistungen war, dass die Abonnenten ihre geplanten Flüge mindestens 48 Stunden vor der geplanten Abflugzeit im Online-Dashboard des Dienstleisters registrieren mussten – ohne diese rechtzeitige Mitwirkungshandlung bestand kein Leistungsanspruch. Das LG Berlin (Urteil vom 12. Juni 2025, Az.: 93 O 64/25) untersagte unter anderem irreführende Werbeaussagen, das Fehlen eines Kündigungsbuttons für Abonnements sowie Klauseln, die das Widerrufsrecht oder die Haftung unangemessen einschränken. Das Gericht stellte klar, dass Verbraucher über alle wesentlichen Voraussetzungen und Einschränkungen der angebotenen Leistungen transparent informiert werden müssen und AGB-Klauseln den gesetzlichen Vorgaben entsprechen müssen.
Fazit: Anbieter digitaler Dienstleistungen sollten ihre Informationspflichten und AGB regelmäßig auf Transparenz und Rechtskonformität prüfen, um AGB- und wettbewerbsrechtliche Risiken zu vermeiden
Lesehinweise zum IT und Datenschutzrecht
von Sven Schonhofen, LL.M.
- Datenschutzkonferenz
- BfDI
- Update aus UK:
- Data Use and Access Act 2025 – mehr auf unserem blog
EU-Datenstrategie: Bleiben Sie auf dem Laufenden zu Data Act, AI Act, Digital Services Act, NIS2, Cyberresilliance Act, European Health Space mit unserer Blogreihe.
Freuen Sie sich außerdem auf unsere Blogreihe "Tech Litigation News", in der wir spannende Einblicke und Analysen zu aktuellen Themen der Plattform- und Datenschutz-Litigation präsentieren.
Hören Sie sich den Reed Smith Podcast, Tech Law Talks, an. In unserem Podcast besprechen unsere Tech und Data Anwälte regelmäßig aktuelle Themen aus den Bereichen Datenschutz, Datensicherheit, Risikomanagement, IP, Social Media und mehr.
AI Explained ist unsere Reihe von videos und Podcasts zum Thema künstliche Intelligenz, die Perspektiven zum Einsatz von KI in vielen Sektoren/Branchen und Rechtsordnungen bieten. Wir befassen uns mit den wichtigsten Herausforderungen, Chancen, Risiken und Vorschriften in den verschiedenen Sektoren.
Um immer aktuelle Informationen zu bekommen, besuchen Sie unseren Blog Technology Law Dispatch.
