Datenrecht.at

In der aktuellen Debatte um den Schutz von Minderjährigen im Internet wird immer wieder gefordert, den Zugang zu Social-Media-Plattformen einzuschränken, ein generelles Mindestalter (wie kürzlich in Australien, geplant auch in Österreich, siehe Ministerratsvortrag) einzuführen oder Plattformen bei Verstößen ganz zu verbieten.

Zwei aktuelle Berichte der Wissenschaftlichen Dienste (WD) des Bundestages – Zur Beschränkung und zum Verbot von Social-Media-Plattformen (WD 7 - 3000 - 004/26) sowie zur Altersbegrenzung für soziale Netzwerke (WD 7 - 3000 - 036/25) – zeigen deutlich, dass strenge nationale Regulierungen wohl nur schwierig rechtssicher umsetzbar sind.

Die Kernargumente beider Berichte im Überblick:

• Absoluter Vorrang des EU-Rechts: Der europäische Digital Services Act (DSA) regelt digitale Vermittlungsdienste EU-weit vollharmonisiert, um einen einheitlichen Binnenmarkt zu schaffen. Nationale Alleingänge für generelle Plattform-Verbote oder starre Altersgrenzen widersprechen diesem Ansatz, da Mitgliedstaaten keine abweichenden oder ergänzenden Vorschriften im vollharmonisierten Bereich erlassen dürfen.

• Die Hürde des Herkunftslandprinzips:
  Selbst wenn Deutschland strenge Gesetze verabschieden würde, liefen diese weitgehend ins Leere. Für Diensteanbieter gilt das Herkunftsland- bzw. Sitzlandprinzip. Da die meisten großen Netzwerke (wie Meta, TikTok oder X) ihren europäischen Hauptsitz in Irland haben, unterliegen sie primär den EU-Vorgaben und irischem Recht – und nicht den deutschen Behörden.

• Sperrungen nur als “Ultima Ratio”: Der DSA sieht kein generelles, unbefristetes Verbot von Plattformen vor. Vorübergehende Zugangssperren sind nur als allerletztes Mittel zulässig, beispielsweise wenn eine andauernde Zuwiderhandlung eine Straftat darstellt, die das Leben oder die Sicherheit von Personen bedroht.

• Jugendschutz ist bereits integriert: Große Plattformen sind durch den DSA bereits EU-weit zu strukturellen Jugendschutzmaßnahmen verpflichtet, wozu auch Werkzeuge zur Altersüberprüfung gehören. Zusätzliche, abweichende Vorgaben durch deutsches Recht (wie etwa über das Jugendschutzgesetz) werden durch das EU-Recht überlagert.

• Kollision mit Grund- und Kinderrechten: Ein pauschales staatliches Verbot für jüngere Nutzer greift in das grundgesetzlich geschützte elterliche Erziehungsrecht (Art. 6 Abs. 2 GG) ein, da primär die Eltern entscheiden, welche Medieninhalte sie ihren Kindern zugänglich machen. Zudem würde ein Komplettverbot die in der UN-Kinderrechtskonvention garantierten Rechte auf Information und Teilhabe einschränken.

• Fokus auf risikobasierte Alternativen: Anstatt auf starre Verbote oder pauschale Altersgrenzen zu setzen, wird im europäischen Rechtsrahmen eher ein risikobasierter Ansatz verfolgt. Im Vordergrund stehen dabei die altersgerechte Gestaltung der Plattformen, die Reduzierung Funktionen, Medienkompetenzförderung sowie strukturelle Vorsorgemaßnahmen.

Die Berichte der Wissenschaftlichen Dienste machen klar: Wer national Social-Media-Plattformen verbieten oder strikte nationale Altersgrenzen einführen will, scheitert wahrscheinlich am EU-Recht. Der Schutz von Kindern und Jugendlichen im Netz wird wohl primär über europäische Regulierungen wie den DSA (siehe als Argumente für DSA-Verfahren 2 US-Urteile zu Big Tech und Kinderschutz) und präventive Schutzmaßnahmen auf den Plattformen selbst erfolgen (siehe zB ​vzbv-Positionspapier).

Das Parlamentarische Datenschutzkomitee (PDK), Österreichs zweite Datenschutz-Aufsichtsbehörde neben der DSB, hat gemäß § 35e Abs. 3 in Verbindung mit § 23 DSG bis zum 31. März eines jeden Jahres einen Tätigkeitsbericht zu erstellen. Dieser wurde nun hier (pünktlich) veröffentlicht: Dokument öffnen (PDF)

Ein von Dr. TJ McIntyre im Auftrag des Europäischen Datenschutzausschusses (EDSA) ​verfasster Bericht (pdf) analysiert, wie Datenschutz-Aufsichtsbehörden die Rechtsgrundlage des berechtigten Interesses gemäß Art 6 Abs 1 lit f DSGVO in der Praxis auslegen. Die Fallstudie untersucht zahlreiche grenzüberschreitende Entscheidungen, die Themen wie Betrugsprävention, Direktmarketing und Bonitätsprüfungen abdecken. Ein zentraler Fokus liegt dabei auf dem Drei-Stufen-Test, mit dem die Zulässigkeit, Erforderlichkeit und Abwägung der auf berechtigte Interessen gestützte Datenverarbeitungen bewertet wird. Der Bericht verdeutlicht zudem häufige Fehler von Unternehmen, insbesondere mangelnde Transparenz oder unzureichende Dokumentation der Interessenabwägung. Abschließend werden Herausforderungen bei der grenzüberschreitenden Rechtsdurchsetzung sowie das komplexe Zusammenspiel mit der E-Privacy-Richtlinie erörtert.

Mit dem im November 2025 von der Europäischen Kommission vorgelegten Vorschlag einer „Digital-Omnibus-Verordnung zur KI“ sollen spezifische Umsetzungsprobleme der KI-VO (AI Act) adressiert, der regulatorische Aufwand reduziert und der Zeitplan für die Anwendung bestimmter Vorschriften angepasst werden - aber auch dieser Vorschlag muss durch das europäische Gesetzgebungsverfahren. Hier gibt es nun wichtige Entwicklungen:

Sowohl der Rat der Europäischen Union als auch die federführenden Ausschüsse des Europäischen Parlaments haben nun ihre Verhandlungspositionen formuliert. Der Europäische Rat hat am 13. März 2026 seine allgemeine Ausrichtung (Verhandlungsmandat) festgelegt. Der Rat unterstützt die grundsätzliche Stoßrichtung des Kommissionsvorschlags zur Entbürokratisierung, nimmt jedoch wesentliche juristische Präzisierungen und Ergänzungen vor:

• Verbindliche Anwendungsfristen: Statt einer an die Verfügbarkeit von Normen geknüpften Frist fordert der Rat fixe Stichtage für die verzögerte Anwendbarkeit der Vorschriften für Hochrisiko-KI-Systeme. Diese sollen ab dem 2. Dezember 2027 für eigenständige Hochrisiko-KI-Systeme und ab dem 2. August 2028 für in Produkte eingebettete Hochrisiko-KI-Systeme gelten.
• Ausweitung der Verbotsnormen: Das Mandat des Rates sieht ein neues Verbot für KI-Praktiken vor, die nicht einvernehmliche sexuelle und intime Inhalte (sogenannte Deepfakes) oder Darstellungen von sexuellem Kindesmissbrauch generieren.
• Datenschutz und Bias-Korrektur: Bei der Verarbeitung besonderer Kategorien personenbezogener Daten zum Zweck der Erkennung und Korrektur von Verzerrungen (Bias) hat der Rat den strikten Maßstab der unbedingten Notwendigkeit wieder in den Text aufgenommen.
• Registrierungspflichten: Die Pflicht zur Registrierung in der EU-Datenbank wurde für Anbieter von Nicht-Hochrisiko-KI-Systemen durch den Rat wiederhergestellt..

Am 18. März 2026 nahmen die Ausschüsse für Binnenmarkt (IMCO) und bürgerliche Freiheiten (LIBE) ihren gemeinsamen Bericht zum Vorschlag an. Die Position der Parlamentarier deckt sich in wesentlichen Punkten mit der des Rates, setzt jedoch eigene wirtschafts- und verbraucherschutzrechtliche Akzente:

• Konvergenz bei Fristen und Verboten: Die Ausschüsse schließen sich den vom Rat geforderten festen Fristen (Dezember 2027 und August 2028) für Hochrisiko-Systeme an. Ebenso befürworten sie das spezifische Verbot von sogenannten „Nudifier“-Systemen, die ohne Einwilligung der betroffenen echten Personen explizite sexuelle Bilder erstellen oder manipulieren.
• Markierungspflichten: Im Hinblick auf die Übergangsfristen zur Einhaltung der Vorschriften für Wasserzeichen (Kennzeichnung von KI-generierten Inhalten) schlagen die Abgeordneten eine verkürzte Frist bis zum 2. November 2026 vor, statt der von der Kommission angedachten Verlängerung bis Februar 2027.
• Ausnahmen für KMU und SMCs: Um europäische Unternehmen beim Wachstum zu unterstützen, billigten die Ausschüsse die Ausweitung vereinfachter Dokumentationspflichten auf kleine Unternehmen mit mittlerer Marktkapitalisierung (Small Mid-Cap Enterprises, SMCs).
• Kohärenz mit sektorspezifischem Recht: Ein zentrales Anliegen der Ausschüsse ist die Vermeidung regulatorischer Doppelbelastungen. Verpflichtungen aus dem KI-Gesetz sollen für Produkte, die bereits sektoralen EU-Rechtsvorschriften (wie z. B. für Medizinprodukte oder Maschinensicherheit) unterliegen, weniger streng ausfallen.

Ausblick und nächste Verfahrensschritte
Bevor die finalen Kompromisse zum Gesetzestext ausgehandelt werden können, bedarf es noch der formellen Bestätigung des parlamentarischen Mandats. Die Abstimmung über das Verhandlungsmandat der IMCO- und LIBE-Ausschüsse im Plenum des Europäischen Parlaments ist für den 26. März 2026 vorgesehen.

Trilog-Verhandlungen: Mit der formellen Billigung durch das Parlament können unmittelbar die interinstitutionellen Trilog-Verhandlungen zwischen dem EU-Rat, dem Europäischen Parlament und der EU-Kommission beginnen. Laut Kai Zenner ist das Inkrafttreten für Anfang August 2026 geplant. Wohlgemerkt sind die (separat) vorgeschlagenen Änderungen der DSGVO (und anderer Rechtsakte) davon nicht umfasst, hier könnte es erst Ende 2026/Anfang 2027 zu einer Einigung kommen.

Der Europäische Gerichtshof hat am 19.3. 2026 in der Rs Brillen Rottler (C-526/24) ein Urteil zu rechtsmissbräuchlichen Auskunftsanträgen gefällt.

Sachverhalt:
Ein Nutzer abonnierte den Newsletter eines Optikers und stellte 13 Tage später einen Auskunftsantrag. Das Unternehmen verweigerte die Auskunft unter Verweis auf öffentliche Berichte, wonach der Nutzer systematisch Newsletter abonniere, um Auskunft zu verlangen und anschließend Schadenersatz zu fordern.

Kernaussagen des Urteils:
Auch ein erstmaliges Auskunftsbegehren nach Art 15 DSGVO kann gem Art 12 Abs 5 DSGVO als exzessiv und missbräuchlich eingestuft werden, allerdings ist der Begriff „exzessive Anträge“ eng auszulegen und der Nachweis des exzessiven Charakters vom Verantwortlichen zu erbringen.
Ein Missbrauch liegt vor, wenn der Antrag nicht zur Überprüfung der Datenverarbeitung gestellt wird, sondern in der Absicht, “künstlich” die Voraussetzungen für Schadenersatz zu schaffen. Öffentlich zugängliche Informationen über systematische Auskunftsanträge und Schadenersatzforderungen der auskunftsbegehrenden Person können vom Verantwortlichen dabei als Beweis für diese Absicht mitberücksichtigt werden.
Die bloße Verletzung des Auskunftsrechts nach Art 15 DSGVO kann einen Schadenersatzanspruch nach Art 82 Abs 1 DSGVO begründen, auch ohne dass eine unrechtmäßige Datenverarbeitung stattgefunden hat. Der immaterielle Schaden umfasst zwar grundsätzlich den Kontrollverlust über eigene Daten - führt die betroffene Person diesen Kontrollverlust jedoch durch ihr eigenes Verhalten absichtlich herbei, um die Voraussetzungen für einen Schadenersatz zu schaffen, entfällt der Anspruch, da sie selbst die entscheidende Ursache gesetzt hat (Unterbrechung des Kausalzusammenhangs).

Am 19.3.2026 hat der Europäische Datenschutzausschuss (EDPB) den Startschuss für seine diesjährige koordinierte Prüfmaßnahme (Coordinated Enforcement Framework - CEF) gegeben. Nachdem im vergangenen Jahr das Recht auf Löschung geprüft wurde, rückt 2026 ein neues, für uns alle hochrelevantes Thema in den Fokus: die Einhaltung der Transparenz- und Informationsverpflichtungen unter der DSGVO.

Was bedeutet das aus österreichischer Sicht?
Die österreichische Datenschutzbehörde (DSB) hat bereits bestätigt, dass sie sich auch im Jahr 2026 an dieser europaweit zwischen 25 Datenschutzbehörden koordinierten Maßnahme beteiligen wird. Für Verantwortliche heißt es daher aufpassen: Die Behörde wird demnächst gezielt Verantwortliche aus unterschiedlichen Sektoren kontaktieren - erfahrungsgemäß mit einem detaillierten Fragebogen. Nähere Details zum genauen Vorgehen in Österreich wird die DSB zu einem späteren Zeitpunkt noch bekannt geben.

Warum gerade Transparenz?
Die DSGVO stellt durch die Artikel 12, 13 und 14 sicher, dass betroffene Personen darüber informiert werden, wenn ihre Daten verarbeitet werden. Dieses Recht auf Information ist ein Kernelement der Transparenz und sorgt dafür, dass Betroffene mehr Kontrolle über ihre personenbezogenen Daten behalten. Art 12 Abs 1 DSGVO, der Ausdruck des Transparenzgrundsatzes ist, soll laut EuGH gewährleisten, dass die betroffene Person in die Lage versetzt wird, die an sie gerichteten Informationen in vollem Umfang zu verstehen (EuGH 4.5.2023, C‑487/21, Rn 38; 11.7.2024, C‑757/22, Rn 56 ff).

Wie geht es weiter?
In der zweiten Jahreshälfte 2026 werden die teilnehmenden Behörden ihre gesammelten nationalen Erkenntnisse austauschen und aggregieren. Ziel ist es, tiefere Einblicke in die praktische Umsetzung der Informationspflichten zu gewinnen und einen gemeinsamen Bericht zu erstellen. Dieser wird schließlich vom EDPB verabschiedet und soll gezielte Folgemaßnahmen sowohl auf nationaler als auch auf EU-Ebene ermöglichen.

Zwei Jahre nach Inkrafttreten des Digital Services Act (DSA) liegen neue Daten zur Durchsetzung und weitere regulatorische Leitlinien vor. Die folgenden Punkte fassen aktuelle Entwicklungen der Implementierung überblicksartig (ohne Anspruch auf Vollständigkeit) zusammen.

Benennung von WhatsApp als „Very Large Online Platform“ (VLOP)

Die Europäische Kommission hat WhatsApp offiziell als sehr große Online-Plattform (VLOP) im Sinne des DSA eingestuft. Aufgrund einer Nutzerzahl von über 45 Millionen in der EU muss der Dienst nun strengere Auflagen erfüllen. Dazu gehören die Identifizierung und Minderung systemischer Risiken sowie die Bereitstellung detaillierter Transparenzberichte.

Quelle: Commission designates WhatsApp as Very Large Online Platform

Schutz von Minderjährigen und Altersverifikation

Die Kommission hat spezifische Leitlinien veröffentlicht, um den Schutz Minderjähriger auf Online-Plattformen zu verbessern. Diese enthalten technische und organisatorische Maßnahmen zur Risikominderung.

Quelle: Guidelines on the protection of minors

Ergänzend dazu weist eine Publikation von interface auf bestehende Defizite bei der Altersverifikation („Age Assurance Gap“) hin. Es wird analysiert, inwieweit aktuelle technische Lösungen den gesetzlichen Anforderungen des DSA entsprechen und wo weiterhin Lücken bei der effektiven Altersprüfung bestehen.

Quelle: Age Assurance Gap (interface)

Bilanz der Inhaltsmoderation

Nach Angaben der EU-Kommission wurden seit Einführung des DSA rund 50 Millionen Moderationsentscheidungen von Plattformen revidiert. Dies geschah infolge von Nutzerbeschwerden und der Nutzung von internen sowie externen Beschwerdemechanismen, die durch das Gesetz verpflichtend eingeführt wurden.

Quelle: Two years of DSA: 50 million content moderation decisions reversed

Koordinierung der Aufsichtsbehörden

Das Europäische Gremium für digitale Dienste (European Board for Digital Services) kam zu seiner 16. Sitzung zusammen. Gegenstand der Beratungen war die Abstimmung zwischen den nationalen Koordinatoren für digitale Dienste und der Kommission, um eine einheitliche Durchsetzung des DSA in allen Mitgliedstaaten zu gewährleisten. Siehe auch den 1. Bericht zu systemischen Risiken und Gegenmaßnahmen

Quellen: Press statement: European Board for Digital Services 16th meeting

First report of the European Board for Digital Services in cooperation with the Commission pursuant to Article 35(2) DSA on the most prominent and recurrent systemic risks as well as mitigation measures

Einleitung von Verfahren und Durchsetzungsmaßnahmen

Die Europäische Kommission hat mehrere förmliche Verfahren zur Prüfung von Verstößen gegen den DSA eingeleitet. Diese betreffen unter anderem die Sorgfaltspflichten beim Umgang mit illegalen Inhalten und die Transparenz von Werbesystemen.

Details zu den einzelnen Verfahren:

• Pressemitteilung IP/26/312
• Pressemitteilung IP/26/203
• Pressemitteilung IP/26/420

Im soeben erschienenen Jahrbuch 25 Datenschutzrecht, herausgegeben von Bergauer/Gosch findet sich ein ausführlicher Beitrag, den ich als Erstautor (ua auch zur Digitalen Souveränität) mitverfassen durfte: Kastelitz/Tercero/Löffler, Neue (und altbekannte) Anforderungen an den Einsatz von Cloud-Lösungen – Data Act, Digital Markets Act und DSGVO, 29-57