Datenrecht.at

Das Europäische Parlament hat am 16. Juni 2026 seine Position zur Änderung der KI-Verordnung (EU) 2024/1689 in erster Lesung angenommen (423 Ja-Stimmen, 57 Nein, 174 Enthaltungen). Der Rechtsakt – bezeichnet als „Digital Omnibus on AI” (COM(2025)0836) – ändert die KI-VO in mehreren Punkten. Die förmliche Annahme durch den Rat steht noch aus.

Hintergrund

Die KI-VO ist seit 1. August 2024 in Kraft, ihre Bestimmungen gelten jedoch gestaffelt. Die pünktliche Anwendung stand unter Druck: Nationale Aufsichtsbehörden wurden vielerorts noch nicht benannt, harmonisierte Normen und Konformitätsbewertungsrahmen lagen nicht rechtzeitig vor. Die Europäische Kommission hatte den Vorschlag am 19. November 2025 als Teil eines breiteren „Digitalen Omnibuspakets” eingebracht, das neben den KI-Regeln auch Datenschutz- und Cybersicherheitsvorschriften sowie einen Vorschlag zum Europäischen Unternehmenswallet umfasst. Der
erklärte Zweck: Reduktion von Verwaltungsaufwand bei Beibehaltung des risikobasierten Ansatzes.

1. Neue Anwendungsfristen für Hochrisiko-KI-Systeme

Die Verpflichtungen für Hochrisiko-KI-Systeme nach Art. 6 KI-VO werden zeitlich gestreckt. Für eigenständige Hochrisiko-KI-Systeme (Anhang III) gilt als späteste Frist der 2. Dezember 2027; für KI-Systeme, die als Sicherheitskomponente in Produkte eingebettet sind und unter sektorale EU-Harmonisierungsvorschriften fallen (Anhang I), der 2. August 2028. Für diese Kategorie gelten ab sofort im Wesentlichen nur noch Art. 6 Abs. 1, Art. 60a und Art. 102–112 KI-VO (Art. 2 Abs. 2 neu). Anbieter generativer KI-Systeme, die bereits vor dem 2. August 2026 auf dem Markt waren, erhalten eine Übergangsfrist bis zum 2. Dezember 2026, um die Pflicht zur maschinenlesbaren Kennzeichnung KI-generierter Inhalte (Art. 50 Abs. 2 KI-VO) zu erfüllen.

2. Verbot von „Nudifier-Apps” und KI-generierten Missbrauchsdarstellungen

Die rechtspolitisch bedeutsamste Änderung betrifft Art. 5 KI-VO. Neu eingefügt werden zwei Verbotstatbestände:

Art. 5 Abs. 1 lit. ba (neu) verbietet das Inverkehrbringen, die Inbetriebnahme oder Verwendung eines KI-Systems, das ohne die ausdrücklich erteilte, spezifische, informierte, eindeutige und explizite Einwilligung der betroffenen Person realistische Bilder, Videos, Audio oder ähnliches Material der intimen Körperbereiche einer identifizierbaren natürlichen Person oder einer identifizierbaren natürlichen Person bei sexuell eindeutigen Handlungen generiert oder manipuliert.

Art. 5 Abs. 1 lit. bb (neu) verbietet KI-Systeme, die Material im Sinne von Art. 2 lit. c und e der Richtlinie 2011/93/EU über die Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern generieren oder manipulieren, sofern kein nationaler Rechtfertigungsgrund greift.

Für Anbieter gilt das Verbot nur, wenn das Erzeugen derartigen Materials entweder der bestimmungsgemäße Zweck des Systems ist oder wenn dieses Ergebnis ohne wesentliche technische Veränderung vorhersehbar und reproduzierbar ist und das System keine angemessenen technischen Sicherheitsvorkehrungen aufweist (Art. 5 Abs. 1a lit. a neu). Für Betreiber ist die zweckgerichtete Verwendung des Systems zu diesem Zweck verboten (Art. 5 Abs. 1a lit. b neu). Bloße Nachbearbeitung ohne Erhöhung des Grads der Nacktheit oder Änderung der
sexuellen Handlung ist vom Tatbestand ausgenommen (Art. 5 Abs. 1b neu). Die Anpassungsfrist für Anbieter läuft bis zum 2. Dezember 2026.

Der Erwägungsgrund 11 des Rechtsakts hält fest, dass nicht-einvernehmliches Intimmaterial sexuelle Gewalt darstellt und die Verbreitung sogenannter „Nudification”-Anwendungen eine ausdrückliche Verbotsregelung erforderlich macht. Zu beachten ist, dass die verbotenen Verhaltensweisen auch nach nationalem Strafrecht sanktioniert werden können; die KI-rechtlichen Verbote schliDiesereßen eine strafrechtliche Verfolgung nicht aus (Erwägungsgrund 15).

3. Neudefinition „Sicherheitskomponente”

Art. 3 Z 14 KI-VO wird neu gefasst: Eine Sicherheitskomponente liegt nur vor, wenn der bestimmungsgemäße Zweck eines Bestandteils darin besteht, Risiken für Gesundheit und Sicherheit von Personen oder Eigentum zu verhindern oder zu mindern. Art. 6 Abs. 1a (neu) stellt klar, dass
KI-Systeme, die ausschließlich Nutzerunterstützung, Leistungsoptimierung, Effizienz, Automatisierung, Komfort oder nicht sicherheitsrelevante Qualitätskontrolle erfüllen, nicht als Sicherheitskomponente gelten. Maschinenbauprodukte mit KI-Anteil werden darüber hinaus aus dem direkten Hochrisiko-Regime der KI-VO herausgelöst; für sie gelten ausschließlich die Anforderungen der Maschinenverordnung. Die Kommission ist verpflichtet, deren Anhang III durch delegierten Rechtsakt um gesundheits- und sicherheitsbezogene Anforderungen an hochriskante KI-Systeme zu ergänzen.

4. Verarbeitung besonderer Datenkategorien zur Erkennung von Verzerrungen (neuer Art. 4a KI-VO)

Ein neuer Art. 4a KI-VO schafft eine eigenständige Rechtsgrundlage für die ausnahmsweise Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) zur Erkennung und Korrektur von Verzerrungen – und zwar sowohl für Anbieter von Hochrisiko-KI-Systemen als auch für Betreiber und Anbieter sonstiger KI-Systeme und -Modelle. Voraussetzung ist strikte Erforderlichkeit; die Verzerrung darf nicht durch andere Daten behebbar sein. Hinzu kommen umfangreiche Schutzpflichten (Pseudonymisierung, Zugangsbeschränkung, Löschpflicht nach erfolgter Korrektur).

5. Ausweitung auf kleine Midcap-Unternehmen; KI-Kompetenz

Die bisher nur für KMU geltenden Erleichterungen (vereinfachte technische Dokumentation, verhältnismäßige Qualitätsmanagementsysteme) werden auf kleine Midcap-Unternehmen im Sinne der Empfehlung (EU) 2025/1099 ausgeweitet. Die bisher als zwingende Pflicht ausgestaltete KI-Kompetenz (Art. 4 KI-VO) wird umgestaltet: Anbieter und Betreiber sollen Maßnahmen zur Förderung der KI-Kompetenz ihres Personals treffen; Kommission und Mitgliedstaaten sind gehalten, entsprechende Initiativen zu unterstützen und zu fördern.

Einordnung

Die Änderungen berühren den risikobasierten Ansatz der KI-VO strukturell nicht. Die neuen Verbotstatbestände in Art. 5 stellen jedoch eine Verschärfung dar, keine Vereinfachung; die neuen Fristen senken den Anpassungsdruck kurzfristig, beseitigen die Grundpflichten jedoch nicht.

Quellen:
Pressemitteilung des Europäischen Parlaments (DE) |
Angenommener Text P10_TA(2026)0198 (PDF, dzt. nur in der EN-Sprachfassung verfügbar) |
EPRS-Briefing PE 782.651, Juni 2026 (PDF, EN)

Wenn europäische Behörden, Krankenhäuser oder Banken auf digitale Infrastrukturen aus Drittstaaten angewiesen sind, stößt das geltende Recht oft an seine Grenzen. Moderne Regulierung läuft in der Praxis ins Leere, wenn Aufsichtsbehörden intransparente IT-Systeme, die ausländischem Recht unterliegen, weder effektiv prüfen noch bei Bedarf eingreifen können. Um diese strukturellen Abhängigkeiten zu beenden und die rechtliche Kontrolle zurückzugewinnen, hat die EU-Kommission heute das „European Technological Sovereignty Package“ vorgestellt.
Das Paket zielt darauf ab, dass Europa seine kritischen Technologien künftig selbst entwickelt und kontrolliert. Das Vorhaben umfasst vier zentrale Säulen:

• Chips Act 2.0: Um Lieferketten rechtlich und faktisch abzusichern, werden die europäischen Produktionskapazitäten für fortschrittliche Halbleiter und KI-Komponenten massiv ausgebaut.
• Cloud and AI Development Act: Dieses Gesetz schafft einen einheitlichen EU-Rahmen zur Bewertung der Cloud-Souveränität. Es definiert klare Kriterien, um sogenanntes „Sovereignty Washing“ – also irreführende Werbeversprechen von Anbietern über deren Datensouveränität – rechtssicher zu unterbinden.
• Open Source Strategy: Durch die gezielte Förderung offener, transparenter Software-Alternativen sollen Unternehmen und Verwaltungen aus der Abhängigkeit einzelner Anbieter („Vendor Lock-in“) befreit werden, was die technologische Überprüfbarkeit erhöht.
• Energie Fahrplan: Da europäische Rechenzentren bereits 2,5 % des EU-Stromverbrauchs ausmachen, wird deren nachhaltige Integration in die Energienetze strategisch geregelt, um Engpässe zu vermeiden.

Für Unternehmen, insbesondere in stark regulierten Sektoren, soll dieser Vorstoß vor allem eines erzielen: mehr Rechtssicherheit. Wenn digitale Kerninfrastrukturen den europäischen Regeln entsprechen, sinken (laut Kommission) der Compliance-Aufwand und damit verbundene rechtliche Risiken erheblich. Wie die EU-Kommission in ihrer Pressemitteilung betont, schafft Europa hier einen Rahmen, der technologischen Fortschritt mit rechtlicher Überprüfbarkeit und eigenen Werten verbinden soll. Die Gesetzwerdung (und die Reaktion der USA) bleibt - wie immer - abzuwarten.
Quellen: Pressemitteilung (ip_26_1187)
Fragen und Antworten (qanda_26_1188)

Das Europäische Parlament und der Rat der EU haben am 7. Mai 2026 eine politische Einigung über den Digital Omnibus on AI erzielt (siehe zu den Trilogpositionen bereits hier: datenrecht.at: Rat und EP-Ausschüsse zum „AI Digital Omnibus“). Dieser Vorschlag ist Teil der Vereinfachungsagenda der EU und zielt darauf ab, die Umsetzung des KI-Gesetzes für Unternehmen zu erleichtern sowie die europäische Wettbewerbsfähigkeit zu stärken.

Ein wesentlicher Bestandteil der Vereinbarung ist das Verbot von KI-Systemen, die nicht einvernehmliche sexuell explizite Inhalte oder Material über sexuellen Kindesmissbrauch generieren, wie etwa sogenannte Nudification-Apps.

Für Hochrisiko-KI-Systeme sieht die Einigung einen gestaffelten Zeitplan vor: Die Regeln für eigenständige Hochrisiko-Systeme in Bereichen wie Biometrie, Bildung oder Grenzschutz sollen ab dem 2. Dezember 2027 gelten. Für Systeme, die in Produkte wie Maschinen oder Spielzeug integriert sind, greifen die Vorschriften ab dem 2. August 2028. Die Frist für die Einrichtung nationaler KI-Reallabore wurde auf den 2. August 2027 verschoben. Vorverlegt wird hingegen der Beginn der Kennzeichnungs- bzw. Transparenzpflicht (zB Watermarking) für KI-generierte Inhalte auf den 2. Dezember 2026.

Auf Unternehmensebene werden regulatorische Erleichterungen, die ursprünglich für KMU vorgesehen waren, auf kleine Mid-Cap-Unternehmen ausgeweitet. Die Interaktion zwischen dem KI-Gesetz und sektoralen Sicherheitsvorschriften, insbesondere der Maschinenverordnung, wurde präzisiert, um bürokratische Doppelstrukturen zu vermeiden. Die Befugnisse des KI-Amtes bei der Überwachung von Modellen für allgemeine Zwecke und Systemen auf sehr großen Online-Plattformen werden gestärkt.

Eine Einigung erfolgte auch betreffend der Aufnahme einer Regelung, die die Möglichkeit zur Verarbeitung personenbezogener Daten vorsieht, sofern dies zur Erkennung und Korrektur von Verzerrungen (Biases) zwingend erforderlich ist, unter Einhaltung angemessener Schutzvorkehrungen sowohl für Hochrisiko- als auch für Nicht-Hochrisiko-KI-Systeme.

Das Europäische Parlament und der Rat müssen die politische Einigung nun noch formal verabschieden. Die Änderungen treten drei Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Links zu den Pressemeldungen:
European Parliament: AI Act deal on simplification measures, ban on nudifier apps
European Commission - Press Release (IP/26/1024)
Artificial Intelligence: Council and Parliament agree to simplify and streamline rules

In der aktuellen Debatte um den Schutz von Minderjährigen im Internet wird immer wieder gefordert, den Zugang zu Social-Media-Plattformen einzuschränken, ein generelles Mindestalter (wie kürzlich in Australien, geplant auch in Österreich, siehe Ministerratsvortrag) einzuführen oder Plattformen bei Verstößen ganz zu verbieten.

Zwei aktuelle Berichte der Wissenschaftlichen Dienste (WD) des Bundestages – Zur Beschränkung und zum Verbot von Social-Media-Plattformen (WD 7 - 3000 - 004/26) sowie zur Altersbegrenzung für soziale Netzwerke (WD 7 - 3000 - 036/25) – zeigen deutlich, dass strenge nationale Regulierungen wohl nur schwierig rechtssicher umsetzbar sind.

Die Kernargumente beider Berichte im Überblick:

• Absoluter Vorrang des EU-Rechts: Der europäische Digital Services Act (DSA) regelt digitale Vermittlungsdienste EU-weit vollharmonisiert, um einen einheitlichen Binnenmarkt zu schaffen. Nationale Alleingänge für generelle Plattform-Verbote oder starre Altersgrenzen widersprechen diesem Ansatz, da Mitgliedstaaten keine abweichenden oder ergänzenden Vorschriften im vollharmonisierten Bereich erlassen dürfen.

• Die Hürde des Herkunftslandprinzips:
  Selbst wenn Deutschland strenge Gesetze verabschieden würde, liefen diese weitgehend ins Leere. Für Diensteanbieter gilt das Herkunftsland- bzw. Sitzlandprinzip. Da die meisten großen Netzwerke (wie Meta, TikTok oder X) ihren europäischen Hauptsitz in Irland haben, unterliegen sie primär den EU-Vorgaben und irischem Recht – und nicht den deutschen Behörden.

• Sperrungen nur als “Ultima Ratio”: Der DSA sieht kein generelles, unbefristetes Verbot von Plattformen vor. Vorübergehende Zugangssperren sind nur als allerletztes Mittel zulässig, beispielsweise wenn eine andauernde Zuwiderhandlung eine Straftat darstellt, die das Leben oder die Sicherheit von Personen bedroht.

• Jugendschutz ist bereits integriert: Große Plattformen sind durch den DSA bereits EU-weit zu strukturellen Jugendschutzmaßnahmen verpflichtet, wozu auch Werkzeuge zur Altersüberprüfung gehören. Zusätzliche, abweichende Vorgaben durch deutsches Recht (wie etwa über das Jugendschutzgesetz) werden durch das EU-Recht überlagert.

• Kollision mit Grund- und Kinderrechten: Ein pauschales staatliches Verbot für jüngere Nutzer greift in das grundgesetzlich geschützte elterliche Erziehungsrecht (Art. 6 Abs. 2 GG) ein, da primär die Eltern entscheiden, welche Medieninhalte sie ihren Kindern zugänglich machen. Zudem würde ein Komplettverbot die in der UN-Kinderrechtskonvention garantierten Rechte auf Information und Teilhabe einschränken.

• Fokus auf risikobasierte Alternativen: Anstatt auf starre Verbote oder pauschale Altersgrenzen zu setzen, wird im europäischen Rechtsrahmen eher ein risikobasierter Ansatz verfolgt. Im Vordergrund stehen dabei die altersgerechte Gestaltung der Plattformen, die Reduzierung Funktionen, Medienkompetenzförderung sowie strukturelle Vorsorgemaßnahmen.

Die Berichte der Wissenschaftlichen Dienste machen klar: Wer national Social-Media-Plattformen verbieten oder strikte nationale Altersgrenzen einführen will, scheitert wahrscheinlich am EU-Recht. Der Schutz von Kindern und Jugendlichen im Netz wird wohl primär über europäische Regulierungen wie den DSA (siehe als Argumente für DSA-Verfahren 2 US-Urteile zu Big Tech und Kinderschutz) und präventive Schutzmaßnahmen auf den Plattformen selbst erfolgen (siehe zB ​vzbv-Positionspapier).

Das Parlamentarische Datenschutzkomitee (PDK), Österreichs zweite Datenschutz-Aufsichtsbehörde neben der DSB, hat gemäß § 35e Abs. 3 in Verbindung mit § 23 DSG bis zum 31. März eines jeden Jahres einen Tätigkeitsbericht zu erstellen. Dieser wurde nun hier (pünktlich) veröffentlicht: Dokument öffnen (PDF)

Ein von Dr. TJ McIntyre im Auftrag des Europäischen Datenschutzausschusses (EDSA) ​verfasster Bericht (pdf) analysiert, wie Datenschutz-Aufsichtsbehörden die Rechtsgrundlage des berechtigten Interesses gemäß Art 6 Abs 1 lit f DSGVO in der Praxis auslegen. Die Fallstudie untersucht zahlreiche grenzüberschreitende Entscheidungen, die Themen wie Betrugsprävention, Direktmarketing und Bonitätsprüfungen abdecken. Ein zentraler Fokus liegt dabei auf dem Drei-Stufen-Test, mit dem die Zulässigkeit, Erforderlichkeit und Abwägung der auf berechtigte Interessen gestützte Datenverarbeitungen bewertet wird. Der Bericht verdeutlicht zudem häufige Fehler von Unternehmen, insbesondere mangelnde Transparenz oder unzureichende Dokumentation der Interessenabwägung. Abschließend werden Herausforderungen bei der grenzüberschreitenden Rechtsdurchsetzung sowie das komplexe Zusammenspiel mit der E-Privacy-Richtlinie erörtert.

Mit dem im November 2025 von der Europäischen Kommission vorgelegten Vorschlag einer „Digital-Omnibus-Verordnung zur KI“ sollen spezifische Umsetzungsprobleme der KI-VO (AI Act) adressiert, der regulatorische Aufwand reduziert und der Zeitplan für die Anwendung bestimmter Vorschriften angepasst werden - aber auch dieser Vorschlag muss durch das europäische Gesetzgebungsverfahren. Hier gibt es nun wichtige Entwicklungen:

Sowohl der Rat der Europäischen Union als auch die federführenden Ausschüsse des Europäischen Parlaments haben nun ihre Verhandlungspositionen formuliert. Der Europäische Rat hat am 13. März 2026 seine allgemeine Ausrichtung (Verhandlungsmandat) festgelegt. Der Rat unterstützt die grundsätzliche Stoßrichtung des Kommissionsvorschlags zur Entbürokratisierung, nimmt jedoch wesentliche juristische Präzisierungen und Ergänzungen vor:

• Verbindliche Anwendungsfristen: Statt einer an die Verfügbarkeit von Normen geknüpften Frist fordert der Rat fixe Stichtage für die verzögerte Anwendbarkeit der Vorschriften für Hochrisiko-KI-Systeme. Diese sollen ab dem 2. Dezember 2027 für eigenständige Hochrisiko-KI-Systeme und ab dem 2. August 2028 für in Produkte eingebettete Hochrisiko-KI-Systeme gelten.
• Ausweitung der Verbotsnormen: Das Mandat des Rates sieht ein neues Verbot für KI-Praktiken vor, die nicht einvernehmliche sexuelle und intime Inhalte (sogenannte Deepfakes) oder Darstellungen von sexuellem Kindesmissbrauch generieren.
• Datenschutz und Bias-Korrektur: Bei der Verarbeitung besonderer Kategorien personenbezogener Daten zum Zweck der Erkennung und Korrektur von Verzerrungen (Bias) hat der Rat den strikten Maßstab der unbedingten Notwendigkeit wieder in den Text aufgenommen.
• Registrierungspflichten: Die Pflicht zur Registrierung in der EU-Datenbank wurde für Anbieter von Nicht-Hochrisiko-KI-Systemen durch den Rat wiederhergestellt..

Am 18. März 2026 nahmen die Ausschüsse für Binnenmarkt (IMCO) und bürgerliche Freiheiten (LIBE) ihren gemeinsamen Bericht zum Vorschlag an. Die Position der Parlamentarier deckt sich in wesentlichen Punkten mit der des Rates, setzt jedoch eigene wirtschafts- und verbraucherschutzrechtliche Akzente:

• Konvergenz bei Fristen und Verboten: Die Ausschüsse schließen sich den vom Rat geforderten festen Fristen (Dezember 2027 und August 2028) für Hochrisiko-Systeme an. Ebenso befürworten sie das spezifische Verbot von sogenannten „Nudifier“-Systemen, die ohne Einwilligung der betroffenen echten Personen explizite sexuelle Bilder erstellen oder manipulieren.
• Markierungspflichten: Im Hinblick auf die Übergangsfristen zur Einhaltung der Vorschriften für Wasserzeichen (Kennzeichnung von KI-generierten Inhalten) schlagen die Abgeordneten eine verkürzte Frist bis zum 2. November 2026 vor, statt der von der Kommission angedachten Verlängerung bis Februar 2027.
• Ausnahmen für KMU und SMCs: Um europäische Unternehmen beim Wachstum zu unterstützen, billigten die Ausschüsse die Ausweitung vereinfachter Dokumentationspflichten auf kleine Unternehmen mit mittlerer Marktkapitalisierung (Small Mid-Cap Enterprises, SMCs).
• Kohärenz mit sektorspezifischem Recht: Ein zentrales Anliegen der Ausschüsse ist die Vermeidung regulatorischer Doppelbelastungen. Verpflichtungen aus dem KI-Gesetz sollen für Produkte, die bereits sektoralen EU-Rechtsvorschriften (wie z. B. für Medizinprodukte oder Maschinensicherheit) unterliegen, weniger streng ausfallen.

Ausblick und nächste Verfahrensschritte
Bevor die finalen Kompromisse zum Gesetzestext ausgehandelt werden können, bedarf es noch der formellen Bestätigung des parlamentarischen Mandats. Die Abstimmung über das Verhandlungsmandat der IMCO- und LIBE-Ausschüsse im Plenum des Europäischen Parlaments ist für den 26. März 2026 vorgesehen.

Trilog-Verhandlungen: Mit der formellen Billigung durch das Parlament können unmittelbar die interinstitutionellen Trilog-Verhandlungen zwischen dem EU-Rat, dem Europäischen Parlament und der EU-Kommission beginnen. Laut Kai Zenner ist das Inkrafttreten für Anfang August 2026 geplant. Wohlgemerkt sind die (separat) vorgeschlagenen Änderungen der DSGVO (und anderer Rechtsakte) davon nicht umfasst, hier könnte es erst Ende 2026/Anfang 2027 zu einer Einigung kommen.

Der Europäische Gerichtshof hat am 19.3. 2026 in der Rs Brillen Rottler (C-526/24) ein Urteil zu rechtsmissbräuchlichen Auskunftsanträgen gefällt.

Sachverhalt:
Ein Nutzer abonnierte den Newsletter eines Optikers und stellte 13 Tage später einen Auskunftsantrag. Das Unternehmen verweigerte die Auskunft unter Verweis auf öffentliche Berichte, wonach der Nutzer systematisch Newsletter abonniere, um Auskunft zu verlangen und anschließend Schadenersatz zu fordern.

Kernaussagen des Urteils:
Auch ein erstmaliges Auskunftsbegehren nach Art 15 DSGVO kann gem Art 12 Abs 5 DSGVO als exzessiv und missbräuchlich eingestuft werden, allerdings ist der Begriff „exzessive Anträge“ eng auszulegen und der Nachweis des exzessiven Charakters vom Verantwortlichen zu erbringen.
Ein Missbrauch liegt vor, wenn der Antrag nicht zur Überprüfung der Datenverarbeitung gestellt wird, sondern in der Absicht, “künstlich” die Voraussetzungen für Schadenersatz zu schaffen. Öffentlich zugängliche Informationen über systematische Auskunftsanträge und Schadenersatzforderungen der auskunftsbegehrenden Person können vom Verantwortlichen dabei als Beweis für diese Absicht mitberücksichtigt werden.
Die bloße Verletzung des Auskunftsrechts nach Art 15 DSGVO kann einen Schadenersatzanspruch nach Art 82 Abs 1 DSGVO begründen, auch ohne dass eine unrechtmäßige Datenverarbeitung stattgefunden hat. Der immaterielle Schaden umfasst zwar grundsätzlich den Kontrollverlust über eigene Daten - führt die betroffene Person diesen Kontrollverlust jedoch durch ihr eigenes Verhalten absichtlich herbei, um die Voraussetzungen für einen Schadenersatz zu schaffen, entfällt der Anspruch, da sie selbst die entscheidende Ursache gesetzt hat (Unterbrechung des Kausalzusammenhangs).

Am 19.3.2026 hat der Europäische Datenschutzausschuss (EDPB) den Startschuss für seine diesjährige koordinierte Prüfmaßnahme (Coordinated Enforcement Framework - CEF) gegeben. Nachdem im vergangenen Jahr das Recht auf Löschung geprüft wurde, rückt 2026 ein neues, für uns alle hochrelevantes Thema in den Fokus: die Einhaltung der Transparenz- und Informationsverpflichtungen unter der DSGVO.

Was bedeutet das aus österreichischer Sicht?
Die österreichische Datenschutzbehörde (DSB) hat bereits bestätigt, dass sie sich auch im Jahr 2026 an dieser europaweit zwischen 25 Datenschutzbehörden koordinierten Maßnahme beteiligen wird. Für Verantwortliche heißt es daher aufpassen: Die Behörde wird demnächst gezielt Verantwortliche aus unterschiedlichen Sektoren kontaktieren - erfahrungsgemäß mit einem detaillierten Fragebogen. Nähere Details zum genauen Vorgehen in Österreich wird die DSB zu einem späteren Zeitpunkt noch bekannt geben.

Warum gerade Transparenz?
Die DSGVO stellt durch die Artikel 12, 13 und 14 sicher, dass betroffene Personen darüber informiert werden, wenn ihre Daten verarbeitet werden. Dieses Recht auf Information ist ein Kernelement der Transparenz und sorgt dafür, dass Betroffene mehr Kontrolle über ihre personenbezogenen Daten behalten. Art 12 Abs 1 DSGVO, der Ausdruck des Transparenzgrundsatzes ist, soll laut EuGH gewährleisten, dass die betroffene Person in die Lage versetzt wird, die an sie gerichteten Informationen in vollem Umfang zu verstehen (EuGH 4.5.2023, C‑487/21, Rn 38; 11.7.2024, C‑757/22, Rn 56 ff).

Wie geht es weiter?
In der zweiten Jahreshälfte 2026 werden die teilnehmenden Behörden ihre gesammelten nationalen Erkenntnisse austauschen und aggregieren. Ziel ist es, tiefere Einblicke in die praktische Umsetzung der Informationspflichten zu gewinnen und einen gemeinsamen Bericht zu erstellen. Dieser wird schließlich vom EDPB verabschiedet und soll gezielte Folgemaßnahmen sowohl auf nationaler als auch auf EU-Ebene ermöglichen.