Mit dem NIS-2-Umsetzungsgesetz hat Deutschland zum 6. Dezember 2025 einen zentralen Baustein der europäischen Cybersicherheitsstandards in nationales Recht überführt. Das Gesetz setzt die europäische NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) um und schafft damit einen Rechtsrahmen für Informations- und Netzsicherheit.
Hintergrund und Entstehung
Die ursprüngliche NIS-Richtlinie (Network and Information Security) aus dem Jahr 2016 war ein EU-weites Regelwerk zur Stärkung der Cybersicherheit kritischer Dienste. Dieses Regelwerk genügte jedoch nicht mehr den aktuellen Herausforderungen – die Risiken durch Cyberangriffe und Systemausfälle steigen kontinuierlich. Die EU reagierte daher mit der NIS-2-Richtlinie, die den Anwendungsbereich erweitert, strengere Mindestanforderungen an IT-Sicherheit, Governance und Meldepflichten definiert und höhere Sanktionsmöglichkeiten vorsieht.
In Deutschland wurde die Richtlinie nach mehrjähriger Vorbereitung im Bundestag am 13. November 2025 verabschiedet und nach Zustimmung des Bundesrates im Bundesgesetzblatt veröffentlicht. Mit Wirkung zum 6. Dezember 2025 trat das Gesetz ohne Übergangsfristen in Kraft.
Ziel und Bedeutung
Das NIS-2-Umsetzungsgesetz verfolgt das Ziel, ein hohes gemeinsames Niveau der Cybersicherheit zu etablieren und die Widerstandsfähigkeit digitaler Infrastrukturen zu stärken. Es schafft verbindliche Pflichten für Unternehmen und öffentliche Einrichtungen, um Risiken systematisch zu identifizieren, zu steuern und auf Sicherheitsvorfälle angemessen zu reagieren.
Ein zentraler Kern der Umsetzung ist die umfassende Novellierung des BSI-Gesetzes (BSIG n.F.). Dieses wird zur tragenden nationalen Grundlage für die Umsetzung der NIS-2-Pflichten und regelt gleichzeitig Informationssicherheitsmanagement in der Bundesverwaltung. Zudem werden Fachgesetze, wie beispielsweise das Energiewirtschaftsgesetz („EnWG“) oder das Telekommunikationsgesetz („TKG“) angepasst.
Anwendungsbereich und Adressatenkreis
Eines der auffallendsten Merkmale des neuen BSI-Gesetzes ist der deutlich erweiterte Adressatenkreis. Während unter dem bisherigen BSIG vor allem Betreiber kritischer Infrastrukturen reguliert waren, fallen nun auch große Teile der mittelständischen Industrie unter die neuen Vorschriften.
Unternehmen unterfallen dem Anwendungsbereich, wenn ihre Tätigkeit in einen der in Anlage 1 und 2 definierten Sektoren fällt und das Unternehmen mindestens als mittleres Unternehmen gilt. Die Sektoren umfassen eine große Bandbreite an Tätigkeiten, wie etwa Energie, Verkehr, Gesundheit, Finanzdienstleistungen, digitale Infrastruktur, öffentliche Verwaltung. Ein mittleres Unternehmen ist man entsprechend § 28 BSIG n.F., wenn man mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.
Zudem unterscheidet das Gesetz gem. § 28 BSIG n.F. zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen. Je nach Einstufung gelten unterschiedliche Pflichten und Aufsichtsregime. Je größer das Unternehmen ist und je relevanter der Sektor, in dem Unternehmen tätig ist, ist, desto mehr Pflichten gelten für das Unternehmen.
Wesentliche Rechte und Pflichten im Überblick
Das NIS-2-Umsetzungsgesetz legt für betroffene Einrichtungen eine Reihe von Pflichten fest:
1. Risikomanagement und Sicherheitsmaßnahmen
Verpflichtete Unternehmen müssen entsprechend § 30 BSIG n.F. ein wirksames, dokumentiertes und risikoorientiertes Informationssicherheitsmanagement implementieren, das technische und organisatorische Maßnahmen umfasst. § 30 Abs. 2 S. 2 BSIG n.F. gibt einen Mindestkatalog an Risikomanagementmaßnahmen vor, darunter etwa Risikoanalysen und Sicherheitskonzepte nach dem Stand der Technik, Vorgaben zur Betriebskontinuität und Schwachstellenmanagement.
Die Geschäftsleitung wird bei der Umsetzung und Überwachung dieser Pflichten gem. § 38 BSIG n.F. explizit in die Pflicht genommen: Cybersicherheit ist damit nicht mehr allein eine technische Aufgabe, sondern Management- und Governance-Verantwortung.
2. Meldepflichten
Ein zentrales Element des Gesetzes sind die in § 32 BSIG n.F. normierten, verbindlichen Meldepflichten bei Sicherheitsvorfällen. Erhebliche Vorfälle müssen innerhalb klarer Fristen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Je nach Schweregrad gelten gestufte Fristen (z. B. 24 h, 72 h oder ein Monat).
3. Registrierungspflichten
Betroffene Einrichtungen müssen sich gem. § 33 BSIG n.F. innerhalb von drei Monaten, nachdem sie dem Anwendungsbereich des BSIG n.F. unterfallen, verpflichtend bei einer vom BSI und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungsstelle registrieren.
4. Aufsicht und Sanktionen
Das BSI erhält mit dem BSIG n.F. erweiterte Aufsichts- und Prüfungsbefugnisse. Dazu gehören Anordnungen, Prüfungen, Nachweisanforderungen und Bußgeldverfahren. Verstöße gegen die gesetzlichen Pflichten können mit empfindlichen Bußgeldern belegt werden – je nach Schwere und Umfang der Pflichtverletzung auch in Millionenhöhe oder als Prozentsatz des globalen Umsatzes. Bei „besonders wichtigen Einrichtungen“ kann ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes, bei „wichtigen Einrichtungen“ ein Bußgeld bis zu 7 Millionen Euro oder bis zu 1,4 % des weltweiten Jahresumsatzes verhängt werden.
Fazit
Das NIS-2-Umsetzungsgesetz markiert einen grundlegenden Rechts- und Praxiswechsel im deutschen Cybersicherheitsrecht. Es überführt europäische Vorgaben in verbindliches nationales Recht, weitet den Kreis der Adressaten erheblich aus und schafft höhere Anforderungen an Informationssicherheit, Governance und Meldepflichten. Für Unternehmen und öffentliche Einrichtungen bedeutet dies einen spürbaren Anstieg an Compliance-Pflichten – zugleich eröffnet das Gesetz die Chance, Cybersicherheit strukturiert in die Unternehmens- und Verwaltungsprozesse zu integrieren.
Am 12. und 13. März 2026 wird unsere Partnerin Dr. Truiken Heydn wieder zusammen mit Prof. Dr. Fabian Schuster die Kölner Tage IT-Recht leiten. Einen Überblick über die Themen geben Ihnen die Tagungsleiter in diesem Video.
TCI Rechtsanwälte im aktuellen Kanzleimonitor 2025/2026
In der aktuellen Ausgabe des Kanzleimonitors 2025/2026 wird Stephan Schmidt, Partner und Rechtsanwalt bei TCI Rechtsanwälte in Mainz, als
- Top-100-Anwalt in Deutschland,
- führender Anwalt im Datenschutzrecht und
- führender Anwalt im IT-Recht
gelistet. Darüber hinaus wird TCI Rechtsanwälte im Kanzleimonitor als führende Kanzlei im Datenschutzrecht und IT-Recht genannt.
Hintergrund: Was ist der Kanzleimonitor?
Der Kanzleimonitor ist eine jährlich erscheinende Studie, die auf einer Befragung von Unternehmensjuristinnen und -juristen basiert. Diese geben an, welche Kanzleien und welche Anwältinnen und Anwälte sie in bestimmten Rechtsgebieten empfehlen. Kanzleimonitor_25_26
Die Veröffentlichung versteht sich als Marktspiegel der anwaltlichen Beratung in Deutschland und bildet unter anderem folgende Bereiche ab:
- Empfehlungen nach Rechtsgebieten,
- Nennungen einzelner Anwältinnen und Anwälte,
- Rankings von Kanzleien in Spezialgebieten.
In den einzelnen Rechtsgebieten werden dabei sowohl Einzelpersonen als auch Kanzleien gesondert ausgewiesen.
Auszeichnungen für Stephan Schmidt
Im Kanzleimonitor 2025/2026 erscheint unser Partner Stephan Schmidt erstmals in der Liste der Top-100-Anwältinnen und Anwälte in Deutschland. Gleichzeitig wird er in den Kategorien Datenschutzrecht und IT-Recht als führender Anwalt genannt. Die Listung spiegelt die langjährige Tätigkeit von Stephan Schmidt an der Schnittstelle von Datenschutz, IT-Recht und Digitalisierung wider und unterstreicht seine Spezialisierung auf komplexe technologiegetriebene Mandate.
TCI Rechtsanwälte als führende Kanzlei im Datenschutzrecht und IT-Recht
Neben der individuellen Auszeichnung für Stephan Schmidt wird TCI Rechtsanwälte im Kanzleimonitor 2025/2026 als führende Kanzlei im Datenschutzrecht und IT-Recht geführt. Die Auswertung des Kanzleimonitors hebt damit unser besonderes Profil in diesen Rechtsgebieten hervor, waruf wir sehr stolz sind. Die Ergebnisse des Kanzleimonitors 2025/2026 bestätigen die starke Stellung von TCI Rechtsanwälte im Bereich des Datenschutzrechts und IT-Rechts auf dem deutschen Markt und unsere Spezialisierung in einem Umfeld, das durch zunehmende Regulierung, Digitalisierung und hohe technische Dynamik geprägt ist.
Am 11. November 2025 hat das Landgericht München I in einem vielbeachteten Verfahren der Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte (im Weiteren: GEMA) gegen zwei Gesellschaften der OpenAI-Gruppe entschieden (Urt. v. 11.11.2025, Az. 42 O 14139/24). Die Kammer hat den von der GEMA geltend gemachten Unterlassungs-, Auskunfts- und Schadensersatzansprüchen in weiten Teilen stattgegeben. Abgewiesen wurde die Klage hingegen bzgl. geltend gemachter Ansprüche auf Grund einer Verletzung des allgemeinen Persönlichkeitsrechts.
Hintergrund
Die GEMA, als Verwertungsgesellschaft, machte Urheberrechte von neun bekannten deutschen Songwritern und Songwriterinnen geltend. Darunter etwa Lieder wie „Atemlos“ von Kristina Bach, „Männer“ von Herbert Grönemeyer und „Wie schön, dass du geboren bist“ von Rolf Zuckowski.
Der Vorwurf lautet, dass OpenAI diese Liedtexte ohne Lizenz zum Training in seinen KI-Modellen (Large Language Models) verwendet habe, „memorisierte“, also die Texte und der Chatbot sie in weiten Teilen als Antwort auf einfache Anfragen der Nutzer (sog. Prompts) originalgetreu wiedergeben könne (sog. Output).
OpenAI verteidigte sich, indem es darlegte, dass das Modell keine konkreten Trainingsdaten speichere, sondern lediglich auf Basis von Wahrscheinlichkeiten arbeite. Die Wiedergabe von Texten erfolge aufgrund von Nutzereingaben (sog. Prompts), daher sei nicht OpenAI, sondern der Nutzer für den Output verantwortlich. Zudem berief sich OpenAI auf Schrankenregelungen im Urheberrecht, insbesondere die Text-und-Data-Mining-Schranke (§ 44b UrhG).
Entscheidung des Gerichts
Das LG München I kam auf dieser Grundlage zu den folgenden zentralen Feststellungen:
Sowohl eine Memorisierung als auch die Ausgabe der Liedertexte durch den Chatbot gelten als Vervielfältigung und begründen somit einen Eingriff in die urheberrechtlichen Verwertungsrechte. Die Kammer erkannte an, dass die urheberrechtlich geschützten Liedtexte tatsächlich in den Sprachmodellen gespeichert („memorisert“) und damit eine Vervielfältigung im Sinne des § 16 UrhG vorliege. Auch die Wiedergabe der Liedtexte durch den Chatbot aufgrund von Nutzeranfragen begründet einen Eingriff in Verwertungsrechte.
Das Gericht widersprach dem Einwand, dass die Vervielfältigungen im Modell durch die Text and Data Mining-Schranke des § 44b UrhG gedeckt seien. Text and Data Mining ist die automatisierte Analyse von einzelnen oder mehreren digitalen oder digitalisierten Werken, um daraus Informationen, insbesondere über Muster, Trends und Korrelationen zu gewinnen. Ob Vervielfältigungshandlungen zum Zwecke des KI-Trainings als Text and Data Mining anzusehen sind, ist umstritten.
Damit setzte sich das LG München I nun auseinander und erkannte an, dass die Schrankenbestimmung grundsätzlich auf das Training von Modellen Anwendung findet, etwa auf erforderliche Vervielfältigungen beim Zusammenstellen des Datenkorpus. Das Gericht stellte jedoch auch fest, dass die streitgegenständlichen Vervielfältigungshandlungen, also das Memorisieren ganzer Texte, eine Auswertung im Sinne des Text and Data Mining übersteige.
Das in Frage stehende Modell speichere ganze Texte, die nicht nur ausgewertet werden, sondern vollständig in die Parameter des Modells übernommen werden und damit zudem die Verwertungsinteressen der Urheber in einem nicht hinnehmbaren Maß berühre. Auch der Output, diene nicht nur Analysezwecken, sondern stelle eine echte Vervielfältigung dar. Das Gericht lehnte eine andere Auslegung oder analoge Anwendung der Schranke ab.
Der Argumentation der Beklagten, dass die geschützten Liedtexte nur „unwesentliches Beiwerk“ i. S. d § 57 UrhG neben dem gesamten Trainingsdatensatz darstellen würden, folgte das Gericht nicht.Es stellte fest, dass die Liedtexte nicht nur bloße Nebendarstellungen seien, sondern zentraler Schutzgegenstand und die Trainingsdatensätze nicht als Werk einzuordnen seien.
Weiterhin sei der Eingriff in die Verwertungsrechte der Klägerin durch OpenAI auch nicht durch eine Einwilligung der Rechteinhaber gerechtfertigt. Das Gericht sah nicht, dass eine Einwilligung der Rechteinhaber in die Nutzung im Rahmen des Trainings vorliege – insbesondere, weil diese Art der Nutzung (Memorisierung im Modell) nicht als „übliche und erwartbare Nutzungsart“ zu werten ist, mit der der Rechteinhaber rechnen muss.
Das Gericht stellte zudem klar, dass OpenAI als Betreiber der Architektur und des Trainingsmodells für den Output verantwortlich sei. Sie haben die streitgegenständlichen Liedtexte als Trainingsdaten für ihre Modelle verwendet, den Trainingssatz aufbereitet und das Training durchgeführt mit dem Ergebnis, dass die Trainingsdaten memorisiert wurden. Angesichts der Verantwortlichkeit für die Architektur der Modelle und offener Prompts, die keinen Inhalt vorgeben, kann dem Nutzer nicht die Urheberrechtsverletzung zugewiesen werden.
Fazit
Das Urteil ist zum jetzigen Zeitpunkt nicht rechtskräftig, OpenAI könnte in Berufung gehen. Jedoch ergeben sich aus diesem Urteil und seinen Grundsätzen bereits eine erhebliche Relevanz. Es zeigt, dass Urheber prüfen sollten, ob ihre Werke möglicherweise in Trainingsdaten von KI-Anbietern verwendet werden und wie Lizenzmodelle ausgestaltet sein sollten. Außerdem müssen sich KI-Entwickler bewusst sein, dass nicht jede Nutzung von geschützten Werken durch Ausnahmetatbestände gedeckt ist. Lizenz- und Rechteklärung sind in diesem Kontext essenziell. Zudem sollten Unternehmen, die generative KI einsetzen, ihre Compliance-Strategien hinsichtlich Urheberrechten überdenken und ggf. Lizenzverhandlungen mit Rechteinhabern aufnehmen.
Am 7. Mai 2025 hat die Bundesnetzagentur ein Konsultationsverfahren zur Überarbeitung ihrer IT-Sicherheitskataloge für Energieversorger eingeleitet. Dieses Verfahren wurde am 11. Juni 2025 abgeschlossen. Die Veröffentlichung des finalen Katalogs wird für Ende 2025 oder Anfang 2026 erwartet. Ziel ist eine Anpassung an aktuelle Bedrohungslagen, die Vorgaben der NIS2-Richtlinie sowie das neue KRITIS-Dachgesetz.
Rechtsgrundlage für die Sicherheitsanforderungen bildet § 11 Abs. 1a und 1b des Energiewirtschaftsgesetzes (EnWG), ergänzt durch das BSIG und die BSI-Kritisverordnung. Energieversorger sind verpflichtet, ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 zu betreiben und regelmäßig zertifizieren zu lassen.
Der neue Katalog wird voraussichtlich zusätzliche Anforderungen enthalten, darunter die Einführung von SIEM-Systemen, ein verbindliches Schwachstellenmanagement, erweiterte Meldepflichten und regelmäßige Risikoanalysen. Fachstellen empfehlen Unternehmen, bereits jetzt mit Gap-Analysen, internen Audits und der Anpassung bestehender Prozesse zu beginnen – auch wenn der finale Text noch nicht vorliegt. Die Grundstruktur der Anforderungen ist bereits absehbar, und frühes Handeln kann helfen, Umsetzungsfristen nach dem Inkrafttreten einzuhalten.
Unternehmen, die die Vorgaben nicht fristgerecht umsetzen, müssen mit aufsichtsrechtlichen Maßnahmen, Bußgeldern und Zertifizierungsproblemen rechnen. Der weitere Fahrplan sieht eine Veröffentlichung per Allgemeinverfügung vor, mit anschließender Übergangsfrist und enger Verzahnung mit EU-Vorgaben. Energieversorger sollten sich daher frühzeitig auf die neuen Anforderungen einstellen, um Compliance-Risiken zu vermeiden und ihre IT-Sicherheit zukunftsfest aufzustellen.
Erinnern Sie sich? Vor einiger Zeit schwappte eine Welle von Abmahnungen über Deutschland, weil Betreiber von Webseiten Google Fonts einsetzten. Gezahlt werden sollten niedrige Beträge. Einer, der gezahlt hat, klagte jetzt auf Rückzahlung. Eine der zentralen Fragen: Gibt es Schadenersatz auch bei missbräuchlichem Verhalten?
Hintergrund des Verfahrens
Ausgangspunkt des Rechtsstreits ist der massenhafte Versand von Abmahnungen wegen der dynamischen Einbindung von Google Fonts. Der Beklagte hatte mithilfe eines Webcrawlers automatisiert Webseiten aufgerufen, die Schriften über Google-Server luden. Durch diese Art der Einbindung der Google-Fonts wurde die jeweilige IP-Adresse an Google in die USA übermittelt wurde.
Anschließend verschickte der Beklagte über seinen Rechtsanwalt standardisierte Schreiben an die Betreiber der betroffenen Seiten, in denen er 170 Euro als „Schmerzensgeld“ forderte.
Ein Webseiten-Betreiber zahlte den Betrag, verlangte jedoch nach Bekanntwerden der Massenabmahnung (es wurden über 100.000 (!) solcher Abmahnungen verschickt) die Rückerstattung.
Die Vorinstanzen entschieden unterschiedlich: Das AG Hannover sprach dem Kläger 70 Euro zu, das LG Hannover schließlich den vollen Betrag. Das LG sah in dem Vorgehen eine vorsätzliche sittenwidrige Entschädigung. Interessant: Beklagter war nicht nur der, der den Webcrawler einsetzte, sondern auch sein Rechtsanwalt, der letztlich die Abmahnungen verschickte.
Dabei entschied das Landgericht, dass ein Anspruch auf Schadenersatzersatzanspruch bestand, denn
- mit der Weitergabe der dynamischen IP-Adresse des Beklagten an Google USA war kein personenbezogenes Datum betroffen;
- es war kein Schaden kein entstanden und
- – selbst wenn es einen Schaden gegeben hätte -, wäre der Ersatzanspruch wegen Rechtsmissbrauchs ausgeschlossen.
Gegen die Entscheidung des Landgerichts legten die Beklagten Revision ein, sodass die Sache beim BGH (Beschl. vom 28.08.2025 – VI ZR 258/24) landete.
Dieser stellte fest, dass der Fall über das nationale Recht hinaus Fragen der unionsrechtlichen Auslegung der DSGVO aufwirft. Daher legte er dem EuGH drei komplexe Fragen zur Vorabentscheidung vor.
Ist die IP-Adresse ein personenbezogenes Datum?
In der ersten Frage geht es um die Frage, ob dynamische IP-Adressen personenbezogene Daten sind.
Konkret möchte der BGH wissen, ob bereits dann ein personenbezogenes Datum vorliegt, wenn irgendein Dritter – etwa der Internetzugangsanbieter – über Zusatzwissen verfügt, das eine Identifizierung erlaubt.
Oder ob es darauf ankommt, ob der übermittelnde Verantwortliche (hier der Webseitenbetreiber) oder der Empfänger (hier Google) selbst über rechtliche und tatsächliche Mittel verfügt, die Identität desjenigen zu bestimmen, dessen IP-Adresse übermittelt wurde.
Der BGH stellt damit die bislang herrschende relative Betrachtungsweise in Frage und deutet eine mögliche objektive Auslegung an.
Schaden trotz bewusster Provokation?
Die zweite Vorlagefrage betrifft die Auslegung des Art. 82 Abs. 1 DSGVO, wonach jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz hat. Der EuGH soll klären, ob ein immaterieller Schaden auch dann vorliegen kann, wenn die betroffene Person den Verstoß bewusst und ausschließlich provoziert, um Schadensersatz geltend machen zu können.
Der BGH verweist auf die jüngere EuGH-Rechtsprechung, wonach bereits die begründete Befürchtung einer missbräuchlichen Verwendung personenbezogener Daten einen immateriellen Schaden darstellen kann. Unklar bleibt aber, ob dieser Ansatz auch gilt, wenn der Betroffene die Datenübermittlung absichtlich herbeiführt – wie im vorliegenden Fall, in dem über 100.000 Webseiten automatisiert besucht wurden.
Das LG Hannover hatte einen Schaden verneint, da der Beklagte seine IP-Adresse freiwillig preisgegeben habe und keine tatsächliche Beeinträchtigung vorliege.
Schaden ist nicht gleich Schaden
Allerdings muss aus Sicht des BGH geklärt werden, was ein Schaden ist. Im deutschen Recht verstehen Juristen darunter „jede unfreiwillige Einbuße an materiellen und immateriellen Gütern in Folge eines bestimmten Ereignisses“. Dieses Verständnis schließt einen Schadensersatz aus, wenn es sich um eine freiwillige Einbuße handelt.
Aber: Die DSGVO verweist für den Begriff des immateriellen Schadens nicht auf das jeweilige nationale Recht, sodass eine sog. autonome unionsrechtliche Auslegung vorzunehmen ist. Und dies darf nur der EuGH.
In der Vergangenheit hat der EuGH schon häufiger die Gelegenheit bekommen, sich zum Schadensbegriff zu äußern. So reicht beispielsweise der bloße Verstoß gegen die DSGVO nicht aus, vielmehr ist der Eintritt eines Schadens aufgrund dieses Verstoßes erforderlich. Dabei kann aber ein Kontrollverlust ausreichend sein. Und – sehr wichtig – die betroffene Person trägt die Beweislast für den Eintritt des Schadens.
Grundsätzlich, so der BGH, könnte man also durch die (unzulässige) Datenübertragung an Google ein solcher Kontrollverlust eingetreten sein – und damit ein ersatzfähiger Schaden.
Dieser Überlegung kann aber entgegenstehen, dass der Beklagte es ganz gezielt auf die Übertragung der Daten in die USA angelegt hat.
Eine solche Provokation zum Gesetzesverstoß war bisher noch nicht Gegenstand der Rechtsprechung des EuGH, weswegen der BGH diese Frage vorlegt.
Rechtsmissbrauch und unionsrechtliche Grenzen
Schließlich möchte der BGH vom EuGH wissen, ob in Fällen dieser Art ein Anspruch auf Ersatz immaterieller Schäden wegen Rechtsmissbrauchs ausgeschlossen werden kann. Nach ständiger Rechtsprechung des EuGH ist eine missbräuchliche Berufung auf Unionsrecht unzulässig, auch im Verhältnis zwischen Privaten.
Der BGH bittet um Klärung, ob bereits die bewusste Schaffung der Voraussetzungen für einen Datenschutzverstoß – verbunden mit dem Ziel, sich daraus finanzielle Vorteile zu verschaffen – als missbräuchliches Verhalten im Sinne des Unionsrechts zu qualifizieren ist. Offen ist zudem, ob ein solches Verhalten nur dann als rechtsmissbräuchlich gilt, wenn die finanzielle Motivation allein ausschlaggebend war, oder ob auch „gemischte“ Beweggründe – etwa ein behauptetes Datenschutzinteresse – ausreichen.
Bedeutung für Praxis und Datenschutzrecht – nicht nur beim Einsatz von Google Fonts
Die Vorlageentscheidung ist für die Praxis von erheblicher Relevanz. Zum einen berührt sie die grundlegende Frage, wann technische Identifikatoren wie dynamische IP-Adressen personenbezogene Daten darstellen.
Diese Frage ist insbesondere für Webseiten-Betreiber relevant, z.B. auch für den Einsatz des Google Tag Managers und der Notwendigkeit des Einholens einer Einwilligung.
Zum anderen betrifft das Verfahren den zunehmenden Trend zu „Abmahn- und Schadensersatzaktionen“ im Datenschutzrecht. Sollte der EuGH auch bei provozierten Datenschutzverstößen einen Schadensersatzanspruch bejahen, könnte dies zu einer neuen Welle von Abmahnung als Einnahmequelle für Betroffene führen.
Verneint der EuGH hingegen die Ersatzfähigkeit oder erkennt einen Missbrauch an, würde dies den Versuch unterbinden, aus gezielten DSGVO-Verletzungen finanzielle Vorteile zu ziehen.
Ausblick
Bis zur Entscheidung des EuGH bleibt offen, ob die Übermittlung einer dynamischen IP-Adresse bereits an sich ein personenbezogenes Datum ist und ob bewusst provozierte Datenschutzverstöße einen ersatzfähigen immateriellen Schaden begründen können. Die Entscheidung des BGH verdeutlicht, dass das Verhältnis von Datenschutz und Rechtsmissbrauch im Rahmen der DSGVO bisher weiterhin ungeklärt ist. Der EuGH erhält erneut die Gelegenheit, Grundsatzfragen des europäischen Datenschutzrechts zu beantworten.
Bei Fragen zum Datenschutz unterstützen wir Sie gerne.
Cookie-Banner beschäftigen immer wieder die Aufsichtsbehörden und die Gerichte. Das VG Hannover hat nun noch einmal formale Aspekte hervorgehoben. Außerdem hat es entschieden, dass der Google Tag Manager nur eingesetzt werden darf, wenn der User ausdrücklich eingewilligt hat.
Das VG Hannover (Urt. v. 19.03.2025, 10 A 5385/22) hat eine Entscheidung zur datenschutzrechtlichen Bewertung des Einsatzes des Google Tag Managers (GTM) sowie zur Gestaltung von Cookie-Bannern getroffen.
Gegenstand des Verfahrens war die Frage, ob der Betrieb eines journalistischen Onlineportals datenschutzkonform gestaltet ist, insbesondere hinsichtlich der Einholung von Einwilligungen für Cookies, Drittanbietertracking und den Einsatz des GTM.
Die Entscheidung befasst sich detailliert mit den Voraussetzungen an eine freiwillige und informierte Einwilligung im Sinne von § 25 TTDSG und Art. 6 Abs. 1 lit. a DSGVO.
Hinweis: Das TTDSG heißt mittlerweile TDDDG, in dem Verfahren war jedoch die Rechtslage vom 23.11.2022 maßgeblich. Inhaltlich hat sich allerdings in den hier relevanten Punkten das Gesetz nicht geändert, sodass das Urteil ohne Weiteres auf die aktuelle Rechtslage übertragbar ist.
Google Tag Manager auf Webseite
Die Klägerin, ein regionales Verlagshaus, betreibt ein journalistisches Onlineangebot über ihre Webseite, das sich über Abonnements und Werbung finanziert. Auf der Webseite setzte sie eine Vielzahl von Cookies und Drittdiensten ein, unter anderem Google Analytics, Facebook Pixel sowie den Google Tag Manager.
Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hatte ihr nach einer technischen Überprüfung untersagt, bestimmte Dienste ohne wirksame Einwilligung der Nutzer einzusetzen.
Dabei bemängelte der LfD insbesondere, dass der Google Tag Manager bereits beim erstmaligen Laden der Seite aktiv war und Daten an Server von Google in den USA übermittelte, ohne dass die Nutzer zuvor eine ausdrückliche Einwilligung erteilten. Der LfD ordnete die Klägerin an, auf ihrer Webseite wirksame Einwilligungen für die Nutzung von Cookies einzuholen bzw. umzusetzen.
Gegen diese Anordnung klagte sie vor dem Verwaltungsgericht.
Die Klägerin verteidigte sich damit, dass der Google Tag Manager lediglich als technisches Hilfsmittel diene, um weitere Skripte nachzuladen, und dass insofern keine datenschutzrechtlich relevante Datenverarbeitung vorliege.
Zudem bestritt sie, dass der LfD überhaupt zuständig sei, da es sich beim TDDDG nicht um eine datenschutzrechtliche Vorschrift handle.
Entscheidung des Gerichts: LfD ist zuständig
Das VG Hannover hat die Klage des Verlagshauses abgewiesen.
Dabei stellte es zunächst klar, dass der Landesdatenschutzbeauftragte für die Kontrolle der Einhaltung des § 25 TTDSGG sehr wohl zuständig sei.
Bei § 25 TTDSGG handele es sich um eine „andere datenschutzrechtliche Bestimmung“ im Sinne des § 20 Abs. 1 des Niedersächsischen Datenschutzgesetztes. Auch wenn das TTDSG neben datenschutzrechtlichen Zielen auch das Kommunikationsgeheimnis schütze, bestehe ein enger inhaltlicher Zusammenhang zur DSGVO. Der Zugriff auf Endgeräte und die damit verbundene Verarbeitung personenbezogener Daten seien regelmäßig nicht voneinander zu trennen. Ein Auseinanderfallen der Aufsichtsverantwortlichkeiten wäre daher systemwidrig und praktisch nicht handhabbar.
Die Frage der Zuständigkeit für die Einhaltung des TTDSG ist sehr wichtig. Dieses Gesetz trat erst lange Zeit nach der DSGVO in Kraft. Geht also eine Landesdatenschutzbehörde aus diesem Gesetz gegen ein Unternehmen vor, muss zunächst innerhalb der Landesdatenschutzgesetze geprüft werden, ob die Behörde überhaupt zur Überwachung des TTDSG berufen ist.
Für Niedersachsen hat dies nun das VG Hannover geklärt. Für andere Bundesländer hat die Entscheidung zu dieser Frage aber keine Bedeutung.
Ausgestaltung des Cookie-Banners
Im Zentrum der Entscheidung stand die rechtliche Einordnung des eingesetzten Cookie-Banners und die Behandlung des Google Tag Managers.
Nach der Überzeugung des Gerichts entsprach die Gestaltung des Banners nicht den Anforderungen an eine informierte und freiwillige Einwilligung.
Bei Aufruf der Webseite zeigte sich zunächst die „erste Ebene“ des Banners. Auf dieser konnten die Nutzer zwischen „alle Cookies akzeptieren“ oder einem Wechsel in die Einstellungen wählen. Eine direkte Ablehnungsoption fehlte auf dieser Ebene.
Wer den Weg über die Einstellungen wählte, sah sich mit Unter-Ebenen, komplexen Drop-Down-Menüs sowie Voreinstellungen konfrontiert.
Die Nutzer wurden nach Ansicht des Gerichts somit faktisch dazu gedrängt, die Einwilligung zu erteilen. Außerdem machten die verschiedenen Unterebenen und Kategorien den Eindruck, dass der Nutzer die Art der Datenverarbeitung nicht wesentlich beeinflussen konnte.
Erschwerend kam hinzu: Bei Ablehnung der Einwilligung erschien das Banner bei jedem Seitenaufruf erneut, während bei Zustimmung das Surfen ungehindert möglich war.
Das Gericht bewertete diese Gestaltung als sogenanntes „Dark Pattern“, also als manipulative Nutzerführung. Diese Ausgestaltung führte – auch in Verbindung mit der unterschiedlichen farblichen Ausgestaltung der Optionen – dazu, dass das Gericht die Freiwilligkeit der abgegebenen Einwilligungen verneinte. Damit waren diese nicht wirksam – weder im Sinne des § 25 TTDSG noch im Sinne der DSGVO.
Google Tag Manager nur mit Einwilligung?
Besondere Aufmerksamkeit widmet das Urteil dem Einsatz des Google Tag Managers. Das Gericht stellt klar, dass es sich dabei nicht um eine bloße technische Infrastruktur handelt, die als neutrale Plattform lediglich andere Skripte nachlädt.
Vielmehr werde durch die Einbindung des GTM bereits selbst ein Zugriff auf das Endgerät des Nutzers vorgenommen, und es finde eine Datenübertragung in die USA statt – namentlich durch den Abruf des Skripts gtm.js von Google-Servern. Dabei würden unter anderem IP-Adressen und Geräteeigenschaften übermittelt.
Die Tatsache, dass der GTM selbst keine konkreten Analysedienste ausführt, sei unerheblich. Die Verarbeitung personenbezogener Daten beginne bereits mit dem ersten Aufruf des Google-Skripts, was eine Einwilligungspflicht nach § 25 TTDSG auslöse.
Auch der Versuch der Klägerin, sich auf die Ausnahmeregelung des § 25 Abs. 2 TTDSG zu berufen, blieb erfolglos. Danach ist keine Einwilligung erforderlich, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann.
Der GTM sei weder technisch erforderlich noch ausdrücklich vom Nutzer gewünscht. Das Gericht betonte, dass die Einbindung des GTM in keiner Weise notwendig sei, um die Grundfunktionalität der Webseite – etwa das Abrufen redaktioneller Inhalte – zu ermöglichen. Vielmehr diene der GTM ausschließlich der flexiblen Nachladung von Marketing- und Trackingdiensten und sei daher typischerweise mit einer datenschutzrechtlich relevanten Verarbeitung verbunden.
Konsequenzen für die Praxis
Das Urteil des VG Hannover ist ein deutliches Signal an Betreiber von Webseiten und Onlineplattformen: Die Nutzung des Google Tag Managers – selbst ohne unmittelbar nachgeladene Tracking-Skripte – stellt nach Auffassung des Gerichts eine einwilligungspflichtige Maßnahme im Sinne des TTDSG dar.
Auch andere Behörden, wie etwa die LfDI NRW, sehen das so.
Webseitenbetreiber sollten daher sicherstellen, dass der GTM erst dann geladen wird, wenn eine entsprechende Einwilligung des Nutzers vorliegt. Dies erfordert eine technische Implementierung, die das Nachladen des GTM abhängig von der Zustimmung durch den Nutzer steuert.
Ebenso wichtig ist eine datenschutzkonforme Gestaltung des Einwilligungsbanners. Die Entscheidung stellt klar, dass Nutzer nicht durch Design, Farbe, Platzierung oder technische Hürden zur Zustimmung gedrängt werden dürfen. Eine einfache, gleichwertige Möglichkeit zur Ablehnung der Einwilligung sollte bereits auf der ersten Ebene des Banners vorhanden sein.
Die Information über Zwecke, Umfang und Empfänger der Datenverarbeitung muss zudem klar und verständlich bereitgestellt werden.
Lösung und Handlungsempfehlung
Webseitenbetreiber, die auf den Google Tag Manager zurückgreifen, sollten kurzfristig prüfen, ob dieser bereits vor einer erteilten Einwilligung ausgelöst wird. Ist dies der Fall, drohen aufsichtsbehördliche Maßnahmen.
Technisch kann dies durch eine bedingte Script-Ausführung über eine Consent-Management-Plattform (CMP) realisiert werden. Dabei wird das Skript des GTM erst dann geladen, wenn der Nutzer in die Verwendung entsprechender Cookies und Drittanbieter-Technologien eingewilligt hat.
Zugleich sollte der Consent-Banner angepasst werden: Eine „Ablehnen“-Schaltfläche sollte auf gleicher Ebene und mit gleicher visueller Gewichtung wie die Zustimmungsoptionen angeboten werden.
Das wiederholte Erscheinen des Banners bei Ablehnung sollte ebenso vermieden werden.
Fazit
Das Urteil des VG Hannover bestätigt hinsichtlich der Ablehnen-Funktion auf der ersten Ebene die Auffassung vieler Aufsichtsbehörden. Die Entscheidung zeigt auch: Selbst scheinbar neutrale Dienste wie der GTM sind datenschutzrechtlich relevant, wenn sie auf Endgerätedaten zugreifen oder die Kommunikation mit Drittstaaten initiieren. Betreiber digitaler Angebote sollten daher nicht nur ihr Einwilligungsbanner, sondern auch die gesamte technische Architektur ihrer Webseite datenschutzrechtlich überprüfen.
Das Europäische Gericht (EuG) hat mit Urteil vom 8. Januar 2025 – T-354/22 – „Thomas Bindl / Europäische Kommission“ – einige bedeutende Maßstäbe zum Datenschutzverstoß und zum Anspruch auf immateriellen Schadensersatz gesetzt.
Der Kläger Herr Bindl hatte sich auf der Webseite der EU-Kommission mit der Option „Mit Facebook anmelden“ zu einer Veranstaltung angemeldet und immateriellen Schadensersatz mit der Begründung gefordert, die Datenübermittlung an Meta (vormals Facebook) verstoße gegen die DSGVO.
Das EuG hat im Wesentlichen entschieden:
- Dynamische IP-Adressen, die wesensbedingt ständig wechseln, sind zu einem bestimmten Zeitpunkt einer ganz bestimmten Person zugewiesen und stellen „personenbezogene Daten“ dar.
- Die bloße Gefahr des Zugangs eines Drittlandes zu personenbezogenen Daten stellt keine Datenübermittlung dar.
- Die EU-Kommission hat die Voraussetzung für die Übermittlung personenbezogener Daten (im konkreten Fall der IP-Adresse) an Meta geschaffen und kein angemessenes Schutzniveau sichergestellt, denn die Übermittlung der IP-Adresse an die USA erfolgte ohne Angemessenheitsbeschluss, noch kamen Standardvertragsklauseln zur Anwendung, sondern lediglich die Nutzungsbedingungen von Meta.
- Das EuG hat die EU-Kommission wegen der Übermittlung der IP-Adresse an ein Drittland ohne Angemessenheitsbeschluss zur Zahlung von 400 Euro an Herrn Bindl als Ersatz des entstandenen immateriellen Schadens verurteilt, da dieser als Betroffener nicht sicher sein kann, wie seine IP-Adresse verarbeitet wird.
Zum Immateriellen Schadensersatz bei einem Datenschutzverstoß wird auch auf den Beitrag von Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), in der April-Ausgabe der juristischen Fachzeitschrift RDi (RDi 2025, 200) „Immaterieller Schadensersatz bei Datenschutzverstoß, Überblick und Analyse der aktuellen Rechtsprechung zu Art. 82 I DS-GVO“ verwiesen.
Mit dem Koalitionsvertrag 2025 haben die Koalitionsparteien CDU, CSU und SPD eine Reihe weitreichender Reformen angekündigt. Auch im Datenschutzrecht, im Vergaberecht sowie im IT-Recht sind grundlegende Veränderungen geplant. Diese zielen auf mehr Effizienz, Modernisierung und digitale Souveränität ab. Im Folgenden geben wir einen Überblick über die geplanten Neuerungen.
Datenschutzrecht: Auf dem Weg zu mehr Klarheit und Entlastung
Im Datenschutzrecht ist eine deutliche Vereinfachung vorgesehen. Die Bundesregierung plant, die Datenschutzaufsicht stärker zu zentralisieren und bei der Bundesdatenschutzbeauftragten zu bündeln. Ziel ist ein effizienteres System mit einheitlicheren Maßgaben für Unternehmen und öffentliche Stellen. Zudem soll die Datenschutzkonferenz (DSK) künftig gesetzlich im Bundesdatenschutzgesetz verankert werden, um verbindliche Standards besser koordinieren zu können.
Ein wesentliches Vorhaben betrifft die Vereinfachung von Einwilligungslösungen, etwa durch die Einführung eines Widerspruchsmodells für bestimmte staatliche Dienste. Darüber hinaus will die Regierung die Spielräume der DSGVO gezielt ausschöpfen, um beim Datenschutz für Kohärenz, einheitliche Auslegungen und Vereinfachungen für kleine und mittlere Unternehmen, Beschäftigte und das Ehrenamt zu sorgen. Vorgesehen ist es, dass nicht-kommerzielle Tätigkeiten, kleine und mittelständische Unternehmen und risikoarme Datenverarbeitungen künftig ganz oder teilweise aus dem Anwendungsbereich der Datenschutzgrundverordnung herauszunehmen – eine erhebliche Erleichterung insbesondere für Vereine und ehrenamtliche Organisationen.
Zugleich soll die Bundesdatenschutzbeauftragte eine neue Rolle als Koordinatorin für Datennutzung und Informationsfreiheit übernehmen. Damit rückt eine aktivere Datenpolitik in den Vordergrund, die nicht mehr nur auf Schutz, sondern auch auf die Nutzung von Daten ausgerichtet ist.
IT-Recht und Datenpolitik
Im IT-Recht setzt der Koalitionsvertrag klare Signale für einen Umbau der rechtlichen Rahmenbedingungen. Die Nutzung von Daten soll als strategisches Potenzial verstanden werden. Es wird der Grundsatz „public money, public data“ verfolgt und dabei eine Gewährleistung von Vertrauen in Datenmanagement und hohe Datenqualität durch Datentreuhänder. Geplant ist die Einführung eines Rechtsanspruchs auf Open Data bei staatlichen Stellen. Verwaltungsdaten sollen grundsätzlich öffentlich verfügbar gemacht werden, sofern keine schutzwürdigen Interessen entgegenstehen.
Flankiert wird dieses Vorhaben von der geplanten Entwicklung eines Datengesetzbuchs. Diese Kodifikation soll verstreute datenbezogene Regelungen systematisch zusammenführen und insbesondere die Rechtssicherheit für datengetriebene Geschäftsmodelle erhöhen. Unterstützt werden sollen auch datenschutzfreundliche Technologien, sogenannte Privacy Enhancing Technologies, die den Schutz personenbezogener Daten durch technische Mittel verbessern.
Ein weiteres Ziel ist die vollständige Digitalisierung staatlicher Prozesse. Das sogenannte Once-Only-Prinzip – also die Verpflichtung, dass die Bürger ihre Daten nur einmal angeben müssen – soll flächendeckend umgesetzt werden. Eine verbindliche Registervernetzung ist ebenso vorgesehen wie die Stärkung souveräner Cloudlösungen. Damit nimmt der Staat eine aktive Rolle bei der digitalen Infrastruktur ein und fördert gleichzeitig technologische Unabhängigkeit.
Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), hat in der April-Ausgabe der juristischen Fachzeitschrift RDi (RDi 2025, 200; https://rsw.beck.de/zeitschriften/rdi) einen Beitrag zum Thema „Immaterieller Schadensersatz bei Datenschutzverstoß, Überblick und Analyse der aktuellen Rechtsprechung zu Art. 82 I DS-GVO“ veröffentlicht. Er stellt die aktuelle Rechtsprechung des EuGH zum Anspruch auf immateriellen Schadensersatz nach Art. 82 I DS-GVO und das viel beachtete BGH-Urteil zum Facebook-Scraping dar. Im Detail werden die drei kumulativen Anspruchsvoraussetzungen Vorliegen eines Verstoßes gegen die DS-GVO, eines Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erörtert und die Bemessungskriterien hinsichtlich der Höhe der Entschädigung hinterfragt.
