Bergmann/Möhrle/Herb

Der Datenschutzkommentar


Ganz aktuell: In Umsetzung der EU-Verbraucherkreditrichtlinie 2023/2225 wurde im BGBl. Nr. 139 durch Gesetz vom 12. Mai 2026 in Art. 3 auch das BDSG geändert. Es wird aber erst am 20. November in Kraft treten. § 30 BDSG ("Verbraucherkredite") wurde wesentlich erweitert und statt des gestrichenen § 31 BDSG gilt der neue § 37a BDSG ("Scoring"); die Bußgeldnorm (§ 43) wurde angepasst.

Der Kommentar hat jetzt den Stand Februar 2026.

Das Werk ist zudem elektronisch verfügbar, denn es ist Teil des Online-Moduls Datenschutzrecht im Portal Juris

Neuigkeiten

  1. Am 21.1.2026 hat die EU-Kommission den Entwurf eines Digital Networks Act (DNA) vorgelegt. Die Verordnung legt Regeln für die Bereitstellung von elektronischen Kommunikationsnetzen und -diensten sowie die strategische Planung und Verwaltung des Funkfrequenzspektrums fest. Bei der Verarbeitung personenbezogener Daten soll die DSGVO gelten.

  2. Die EU-Kommission will nach einem Vorschlag vom 21.5.2025 insbesondere die Aufzeichnungspflichten nach Art. 30 Abs. 5 DSGVO vereinfachen, indem die Ausnahmeregelung zur Führung von Verarbeitungsverzeichnissen auf Unternehmen mit weniger als 500 Beschäftigten sowie auf gemeinnützige Organisationen ausgeweitet werden soll.

  3. Der im EU-Amtsblatt in der deutschen Fassung als "Datenverordnung" bezeichnete Data Act (2023/2854; ABL. L 1/71) gilt ab dem 12. September 2025 und will einen fairen Datenzugang und faire Datennutzung gewährleisten. Das flankierende deutsche Begleitgesetz, das Datenverordnung-Anwendungs-und-Durchsetzungs-Gesetz – DADG wurde im BGBl.2026 Nr. 157 veröffentlicht. Aufsichtsbehörde ist zwar die Bundesnetzagentur, aber für die Überwachung des Datenschutzes ist nach § 3 DADG der BfDI zuständig.

  4. Die EU-Verordnung Artificial Intelligence Act 2024/1689 vom 13. Juni 2024, also zur Künstlichen Intelligenz ist im Amtsblatt veröffentlicht und gilt seit dem 2.8.2024. Bislang gibt es kein deutsches Begleitgesetz. Hingegen hat die EU-Kommission am 4.2.2025 rechtlich unverbindliche Leitlinien zum Einsatz von KI und am 10.7.2025 einen Verhaltenskodex für KI mit allgemeinem Verwendungszweck (General-Purpose AI, GPAI) veröffentlicht. Am 8.10.2025 wurde die AI Act Service Desk FAQ veröffentlicht.

  5. Die NIS-2-Richtlinie, welche die betriebsbezogene Netzwerk- und Informationssicherheit regelt, ist jetzt in nationales Recht umgesetzt worden. Die zentralen Änderungen betreffen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz -BSIG): Siehe Gesetzblatt Nr. 301 aus 2026

  6. Aufgrund des DGA (Data Governance Act) gibt es das deutsche Daten-Governance-Gesetz (DGG) vom 12. Mai. 2026 (BGBl. Nr. 141).

alle Verordnungen konzentriert: Datenrecht-Digitale Dekade der EU.pdf _ Sowie stets aktuell: EU-Datenrecht.de

69. Ergänzungslieferung (Stand Februar 2026)

Die 69. EL (Stand Februar 2026) enthält die am 12.12.2025 im Amtsblatt veröffentliche Durchsetzungsverordnung 2025/2518 für den grenzüberschreitenden Datenverkehr sowie die dafür notwendigen neuen Kommentierungen zu Art. 60 DSGVO (Zusammenarbeit aller nationaler Datenschutzbehörden in Europa) und Art. 63 DSGVO (Kohärenzverfahren) ausgeliefert.Danaben wurden auch die Art. 28 und Art. 29 DSGVO zur Auftragsdatenverarbeitung (mit Mustervertrag) sowie Art. 34 DSGVO (Benachrichtigung bei Datenschutzverletzungen) überarbeitet.

68. Ergänzungslieferung (Stand November 2025)

Die 68. Nachlieferung (Stand November 2025) beinhaltet die völlig überarbeiteten Art. 4 (Begriffsbestimmungen), Art. 5 (Grundsätze), Art. 30 (Verfahrensverzeichnis), Art. 35 (Datenschutz-Folgenabschätzung) und Art. 95 (E-Privacy-Richtlinie).

67. Ergänzungslieferung (Stand März 2025)

Sie enthält u.a. die überarbeiteten Art. 27 DSGVO (Vertreter in der EU) und Art. 57 und 58 DSGVO: Aufgaben und Befugnisse der Aufsichtsbehörden; aus dem BDSG die Einschränkungen der Betroffenenrechte in den §§ 32 bis 35 BDSG. Die Landesdatenschutzgesetze wurden ebenso auf den neuesten Stand gebracht wie die kirchlichen Regelungen (insbes. EKD-DSG ab 1.5.2025)

66. Ergänzungslieferung (Stand Juni 2024)

Sie enthält u.a. die überarbeiteten Art. 83 DSGVO (Bußgeld), Art. 89 und 90; §§ 45, 46 BDSG ("Justizrichtlinie") sowie im Teil VI Überblicke zu den europäischen Verordnungen insbesondere DGA, DMA (Digital Markets Act), DSA (Digital Services Act), DataAct und AI-Act (KI-Verordnung über künstliche Intelligenz); auch das DDG sowie TDDDG werden vorgestellt. Europäische Verordnungen zum Datenrecht.pdf

65. Ergänzungslieferung (Stand Januar 2024)

Sie enthält insbes. Art. 32 DSGVO (Sicherheit der Verarbeitung, also technische und organisatorische Maßnahmen) und Art. 82 DSGVO (Schadensersatz mit Berücksichtigung aller bis zum Dezember 2023 ergangenen neuen Grundsatz-Urteile des EuGH). Ferner Überarbeitungen der Art. 3 DSGVO (Räumlicher Anwendungsbereich) und Art. 31 DSGVO (Zusammenarbeit mit Aufsichtsbehörde). Dazu BDSG-Ergänzungen (insbes. zu den Aufsichtsbehörden: §§ 17, 18, 19 und 40 BDSG und dem gerichtlichen Rechtsschutz nach § 20 BDSG). Desweiteren die §§ 27, 28 BDSG zur Verarbeitung zu wissenschaftlichen, historischen, statistischen und Archivzwecken. Schließlich die Änderungen in den Landesdatenschutzgesetzen Bayern, Sachsen und Sachsen-Anhalt.

64. Ergänzungslieferung (Stand März 2023)

Sie enthält insbesondere den komplett überarbeiteten Art. 33 DSGVO (Datenpannen) mit einer Checkliste, welche Maßnahmen vorab ergriffen werden sollten. Die Regelungen zu den Datenschutzbeauftragten öffentlicher Stellen (§§ 5 bis 7 BDSG).

© Prof. Dr. Armin Herb
Letzte Änderung: 30.05.2026

Impressum | Datenschutzerklärung