• Dr. Markus Wünschelbaum

• Sonia Perez Romero
• Rossella Andronico

Regulation (EU) 2024/1689 (AI Act) has designated the European Data Protection Supervisor as Market Surveillance Authority (MSA) for AI systems put into service or used by European Union institutions, bodies, offices and agencies (EUIs) and as a Notified Body for certain high-risk AI systems of the EUIs.

• Univ.-Prof. Dr. Dr. h.c. Christiane Wendehorst

Das European Law Institute (ELI) hat im Rahmen der Ex-post-Konsultation der Europäischen Kommission eine umfangreiche Stellungnahme zu den Digital-Omnibus-Vorschlägen COM(2025) 836 und 837 vorgelegt. ELI begrüßt die Vorschläge ausdrücklich, plädiert aber an zahlreichen Stellen für mehr Mut zur Vereinfachung sowie für innovationsfreundlichere und technologieneutralere Regelungen, um Fehlanreize, Rechtsunsicherheit und faktische Nachteile für europäische Unternehmen zu vermeiden.

• Janina Winz

Ab dem 2. August 2026 gelten mit Art. 50 KI-VO weitreichende Transparenz- und Kennzeichnungspflichten für KI-Systeme, die Menschen täuschen oder manipulieren könnten. Der Beitrag stellt die Pflichten von Anbietern und Betreibern systematisch dar, gibt konkrete Hinweise zur rechtskonformen Umsetzung in der Praxis und ordnet den am 3. März 2026 veröffentlichten zweiten Entwurf des „Code of Practice on Transparency of AI-Generated Content“ der Europäischen Kommission im Kontext ein.

• Alexander Gottwald

Zum 1. März 2026 treten das novellierte Gesetz über den Kirchlichen Datenschutz (KDG) sowie die angepasste Durchführungsverordnung (KDG-DVO) in Kraft. Damit modernisiert die Katholische Kirche ihren datenschutzrechtlichen Rahmen grundlegend und orientiert sich stärker an europäischen Standards.

• Jan-David Hoppe

Das „Gesetz zur Nutzung von Gesundheitsdaten zu gemeinwohlorientierten Forschungszwecken und zur datenbasierten Weiterentwicklung des Gesundheitswesens (Gesundheitsdatennutzungsgesetz – GDNG)“ stellt tatsächlich einen Paradigmenwechsel dar, der geeignet ist, die sekundäre Nutzung von Gesundheitsdaten erheblich zu vereinfachen: Institutionelle Zusammenführung verstreuter Datenbestände, Pseudonymisierung statt Anonymisierung und Opt-Out- statt Opt-In-Lösung bei der elektronischen Patientenakte (ePA) stellen Meilensteine in Richtung eines gemeinsamen forschungsfreundlichen europäischen Datenraumes dar.

• Stefan Brink

Noch bis weit ins Jahr 2025 standen die Zeichen im Datenschutz auf Reform: Regierungen hatten den Datenschutz als innovationsfeindliche Bürokratie und Hindernis im digitalen Wettbewerb ausgemacht und schienen bereit, eine andere Lesart des Datenschutzes zu installieren: weniger Transparenz- und Dokumentationspflichten für Verantwortliche, weniger als hemmend eingestufte Bürgerrechte für Betroffene, mehr Raum für die Entfaltung innovativer Verarbeitungstechniken und mehr Einheitlichkeit, Berechenbarkeit und Bescheidenheit der Datenschutzaufsichtsbehörden.

• Frederick Richter

Was wurde alles kritisiert am „Digital Simplification Package“ der Europäischen Kommission, besser bekannt als “Digital Omnibus” – die vorgeschlagenen Änderungen beim Personenbezug, die vorgeschlagenen Änderungen bei sensiblen Daten, die vorgeschlagenen Änderungen bei KI-Rechtsgrundlagen. Fragen könnte man sich fast sinnvoller, was eigentlich nicht kritisiert wurde am Omnibus-Vorschlag; und da bleibt nicht viel.

• Rudi Kramer

Anonymisierung bezeichnet den Vorgang des Entzugs einer Personenbeziehbarkeit aus einem Datensatz. Und das scheint hinsichtlich der Verarbeitung von Daten das „Zaubersalz“ zu sein, das Unmögliches dann ermöglicht.

• Ilan Leonard Selz
• Yakin Surjadi
• Parnijan Tina Ehtechami

Die Diskussion um eine sogenannte „Chatkontrolle“ auf europäischer Ebene flammt seit mehreren Jahren immer wieder auf. Ausgangspunkt ist ein Gesetzesvorschlag der Europäischen Kommission aus dem Jahr 2022 zur Bekämpfung von Darstellungen sexualisierter Gewalt gegen Kinder im Internet (Child Sexual Abuse Regulation – „CSAR“).

• Ilan Leonard Selz
• Yakin Surjadi
• Parnijan Tina Ehtechami

Das Recht auf Löschung nach Art. 17 DSGVO zählt zu den am häufigsten ausgeübten Betroffenenrechten und zugleich zu jenen, die in der Aufsichtspraxis den größten Beschwerdeeingang erzeugen. Mit mehr als 500 im EDSA-Register veröffentlichten Abschlussentscheidungen zu Art. 17 DSGVO ist das Löschrecht zudem das Thema, das Aufsichtsbehörden im Rahmen des grenzüberschreitenden Kooperationsverfahrens nach Art. 60 DSGVO am intensivsten beschäftigte.

• Ilan Leonard Selz
• Yakin Surjadi
• Parnijan Tina Ehtechami

Am 4. März 2026 hat das Bundesverwaltungsgericht (BVerwG) eine Klage der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gegen den Bundesnachrichtendienst (BND) als unzulässig abgewiesen (Urt. v. 04.03.2026 – Az. 6 A 2.24). Gegenstand des Verfahrens war die Frage, ob die BfDI Einsicht in Anordnungen des Präsidenten des Bundesnachrichtendienstes zu sogenannten Computer Network Exploitation (CNE)-Maßnahmen gerichtlich durchsetzen kann.