Liebe Leserinnen und Leser,

ich hoffe, Sie sind alle gut in das neue Jahr 2026 gestartet. Bevor ich mich dem in der Überschrift angesprochenen Ausblick zuwende, möchte ich Sie auf ein Urteil des EuGH aufmerksam machen, welches quasi noch auf „den letzten Metern“ des Jahres 2025 erschien.

In seinem Urteil vom 18. Dezember 2025 (Rs C-422/24) hat sich der EuGH mit der Abgrenzung der Anwendungsbereiche der Informationspflichten nach Art. 13 und 14 DSGVO befasst. Im konkreten Fall ging es um die Frage, wie Datenschutzhinweise bei dem Einsatz von Bodycams zu erteilen sind. Der EuGH sieht für die Abgrenzung zwischen Art. 13 und 14 DSGVO im Grunde ein einzelnes Kriterium als besonders relevant an: die Quelle der erhobenen personenbezogenen Daten.

Werden die Daten bei der betroffenen Person erhoben, gilt Art. 13 DSGVO. Werden die Daten nicht bei der betroffenen Person erhoben, gilt Art. 14 DSGVO. Dann muss der Verantwortliche der betroffenen Person mitteilen, aus welcher Quelle die personenbezogenen Daten stammen. Art. 14 DSGVO gilt also, wenn die Daten bei einer anderen als der betroffenen Person „erhoben“ werden und auch für solche Daten, die der Verantwortliche selbst aus solchen Daten erzeugt. Auf die Erhebung personenbezogener Daten mittels einer Bodycam sei Art. 13 DSGVO anzuwenden, da die Daten bei dieser Fallgestaltung nicht von einer anderen Quelle als der betroffenen Person, sondern unmittelbar von dieser selbst erlangt werden.

Und für unsere Praxis hält der EuGH noch eine wichtige Klarstellung bereit: die Angaben nach Art. 13 DSGVO müssen nicht alle direkt auf einer Ebene erteilt werden. Der Zweck der DSGVO, ein hohes Schutzniveau der Grundfreiheiten und der Grundrechte natürlicher Personen zu gewährleisten, lasse es zu, dass Informationen nach Art. 13 DSGVO (also Datenschutzhinweise/-erklärungen) auch in mehreren Ebenen erteilt werden.

Diese Umsetzung in Form von Mehr-Ebenen-Hinweisen war in der Praxis durchaus anerkannt. Nun hat der EuGH, mit Verweis auf die Ansicht des EDSA, dieses Vorgehen auch noch als mit den Vorgaben der DSGVO vereinbar bestätigt.

Und nun zum zweiten Thema: was hält 2026 für uns bereit? Sicherlich auch wieder viele Urteile des EuGH zum Datenschutzrecht. Daneben wird es aber auch auf der legislativen Ebene spannend. Am 19. November 2025 hat die EU-Kommission bekanntlich ihren „Digitalen Omnibus“ vorgestellt. Eine, wenn man so will, Sitzreihe in diesem Bus, betrifft Anpassungen der DSGVO. Betroffen sind insbesondere die Definition von „personenbezogenen Daten“, die Informationspflichten, das Recht auf Auskunft oder auch die Anforderungen zur Meldung von Datenschutzverletzungen.

Aktuell handelt es sich nur um den Vorschlag der EU-Kommission. Sowohl das Parlament als auch der Rat müssen noch eigene Positionen finden und Stellungnahmen abgeben. Das bedeutet, wir können zum Start in 2026 noch nicht sicher sagen, wie konkret sich die DSGVO verändern wird. Ich denke aber, wir sollten die Entwicklung genau beobachten, um in der Praxis auf die möglichen Neuerungen entsprechend reagieren zu können. Inhaltlich halte ich persönlich die Vorschläge der EU-Kommission für wenig geglückt. Ein Beispiel: Datenschutzhinweise nach Art. 13 DSGVO sollen nach dem Vorschlag nicht mehr erforderlich sein, wenn eine „nicht datenintensive Tätigkeit ausgeübt“ wird – es ist jedoch völlig unklar, was dies konkret bedeutet. Für uns im Bereich der Anwendung der DSGVO und Beratung bleibt zu hoffen, dass die DSGVO-Reform mehr Klarheit und Rechtssicherheit bringt und nicht neue unbestimmte Rechtsbegriffe einführt, die in der Praxis für mehr offene Fragen sorgen. Der gesetzgeberische Prozess befindet sich noch am Anfang. Wenn Sie also Anregungen und auch Meinungen zu den Vorschlägen haben, ist sicherlich jetzt noch die richtige Zeit, EU-Abgeordnete zu kontaktieren.

Daneben sollten wir auch die nationale Ebene in 2026 im Blick behalten. Im Rahmen der Ministerpräsidentenkonferenz im Dezember 2025 wurde der Beschluss gefasst, die Datenschutzaufsicht für den nichtöffentlichen Bereich bis spätestens 31. Dezember 2027 zu reformieren. Angedacht wird dort etwa die Bündelung von Kompetenzen bei der BfDI oder Aufsichtsbehörden der Länder. Auch hier gilt: wie sich diese Idee in 2026 tatsächlich entwickelt, bleibt für uns abzuwarten. Die letzten Entwicklungen sowohl auf europäischer als auch nationaler Ebene zeigen aber, dass auch 2026 sicher nicht geräuschlos am Datenschutz vorbeigehen wird. Und seien wir ehrlich: das wäre doch ansonsten auch ein langweiliges Jahr.

Ich wünsche Ihnen ein gesundes und erfolgreiches Jahr 2026 sowie eine anregende Lektüre.

Ihr

Dr. Carlo Piltz

Dieser Beitrag erschien als Editorial in der Ausgabe 01/2026 des Datenschutz-Berater.