Datenschutz-Newsletter April 2026

09.04.2026, 15:19 Uhr

Juni 2026: Neuer Widerrufs-Button wird zur Pflicht

Ab Mitte Juni 2026 tritt in der Europäischen Union eine neue Regelung in Kraft, die den Widerruf von Online-Verträgen deutlich vereinfachen soll. Grundlage dafür ist die EU-Richtlinie 2023/2673, deren Ziel es ist, Verbraucherrechte im digitalen Handel zu stärken. Künftig sollen Kunden ihre Kaufentscheidung genauso unkompliziert rückgängig machen können, wie sie diese getroffen haben. Diese Neuerung wird von politischer Seite, unter anderem durch das Bundesministerium der Justiz und für Verbraucherschutz, als wichtiger Schritt hin zu mehr Transparenz und Fairness im Online-Handel bewertet.

Für Händler bedeutet dies eine erhebliche Umstellung, da bislang häufig umständliche Wege für Widerrufe gängig waren. Kunden mussten sich durch komplexe Navigationsstrukturen bewegen oder eigenständig Kontakt aufnehmen. Mit der neuen Vorgabe wird ein klar sichtbares und jederzeit erreichbares Bedienelement verpflichtend, das den Widerruf direkt ermöglicht. Dabei ist nicht nur die bloße Existenz eines solchen Buttons entscheidend, sondern auch dessen Platzierung und Funktionsweise. Er muss leicht auffindbar sein und darf nicht in wenig frequentierten Bereichen der Webseite versteckt werden.

Die abschließende Schaltfläche muss eindeutig formuliert sein, sodass keinerlei Zweifel über die Handlung bestehen. Nach erfolgreicher Auslösung ist der Händler verpflichtet, den Eingang der Erklärung zeitnah zu bestätigen, in der Regel über eine automatisierte E-Mailbenachrichtigung.

Betroffen sind nahezu alle Anbieter, die Produkte oder Dienstleistungen online an Privatkunden vertreiben. Dazu zählen sowohl klassische Händler als auch Anbieter digitaler Inhalte und verschiedene Dienstleistungsbereiche. Ausgenommen sind Geschäftsmodelle, die sich ausschließlich an Unternehmen richten (B2B), sowie bestimmte Produktkategorien (Maßanfertigungen), bei denen ein Widerruf gesetzlich ausgeschlossen ist.

Besonders relevant sind die möglichen Konsequenzen bei Nichteinhaltung. Anders als in der Vergangenheit drohen nicht nur wettbewerbsrechtliche Abmahnungen, sondern auch erhebliche finanzielle Sanktionen. Diese können je nach Unternehmensgröße empfindliche Höhen erreichen und stellen einen klaren Anreiz dar, die Anforderungen fristgerecht umzusetzen.

Für Betreiber von Online-Shops ergibt sich daraus ein klarer Handlungsbedarf. Neben technischen Anpassungen müssen auch rechtliche Texte überarbeitet und interne Abläufe überprüft werden. Wer frühzeitig reagiert, kann nicht nur Risiken vermeiden, sondern auch Vorteile erzielen: Ein einfacher und transparenter Rückgabeprozess kann das Vertrauen der Kundschaft stärken und sich positiv auf das Kaufverhalten auswirken.

Sprechen Sie uns bei Unterstützungsbedarf gerne direkt an!

Neues vom EuGH zum Auskunftsrecht nach Art. 15 DSGVO, dessen Schranken und zum immateriellen Schadensersatz in diesem Zusammenhang

Das Urteil des Europäischer Gerichtshof vom März 2026 setzt wichtige Leitlinien für den Umgang mit Auskunftsansprüchen und Schadensersatzforderungen im Datenschutzrecht (zum Urteil). Im Fokus steht dabei die Auslegung zentraler Vorschriften der DSGVO, insbesondere in Bezug auf das Recht auf Auskunft sowie die Voraussetzungen für finanzielle Ansprüche bei Verstößen. Der zugrunde liegende Fall zeigt exemplarisch, wie Konflikte zwischen Unternehmen und betroffenen Personen entstehen können, wenn Auskunftsersuchen abgelehnt werden.

Eine zentrale Neuerung liegt in der Bewertung sogenannter exzessiver Anträge. Entgegen einer engen Auslegung kann ein solcher Antrag bereits beim ersten Auskunftsersuchen vorliegen. Voraussetzung dafür ist z. B. jedoch, dass der Verantwortliche nachweisen kann, dass der Antrag nicht dem eigentlichen Zweck dient, Transparenz über die Datenverarbeitung zu erhalten, sondern gezielt darauf abzielt, Vorteile zu erlangen. Dabei müssen sowohl objektive Umstände als auch eine entsprechende Absicht der antragstellenden Person berücksichtigt werden. Die Anforderungen an diesen Nachweis je Einzelfall sind hoch und liegen vollständig beim Verantwortlichen.

Auch beim Thema Schadensersatz bringt die Entscheidung mehr Klarheit. Grundsätzlich kann ein Anspruch entstehen, wenn das Auskunftsrecht verletzt wurde, selbst wenn keine eigentliche Datenverarbeitung erfolgt ist. Entscheidend ist jedoch, dass ein konkreter Schaden vom Betroffenen nachgewiesen wird und ein direkter Zusammenhang zwischen dem Verstoß und der Beeinträchtigung besteht. Ein bloßer Regelverstoß genügt nicht. Gleichzeitig stellt das Gericht klar, dass auch geringfügige immaterielle Nachteile berücksichtigt werden müssen, sofern sie nachvollziehbar dargelegt werden. Reine Vermutungen oder unspezifische Befürchtungen reichen hingegen nicht aus.

Für die Praxis bedeutet dies eine Verschärfung der Anforderungen an Unternehmen und Datenschutzverantwortliche. Auskunftsanfragen müssen sorgfältig geprüft und Entscheidungen umfassend dokumentiert werden, insbesondere wenn eine Ablehnung in Betracht gezogen wird. Gleichzeitig ist bei Schadensersatzforderungen eine differenzierte Bewertung notwendig, um tatsächliche Schäden von bloßen Behauptungen zu unterscheiden. Eine transparente Kommunikation mit den betroffenen Personen gewinnt dabei zusätzlich an Bedeutung.

Insgesamt stärkt das Urteil die Rechte von Betroffenen, verlangt aber gleichzeitig eine präzisere und besser begründete Vorgehensweise auf Seiten der Verantwortlichen. Unternehmen sind gefordert, ihre internen Abläufe zu überprüfen und gegebenenfalls anzupassen, um rechtliche Risiken zu minimieren und den gestiegenen Anforderungen gerecht zu werden.

Wir unterstützen Sie gerne bei der Überprüfung und etwaigen Überarbeitung Ihrer internen Prozesse!

Datenschutz im Zusammenhang des Fall Christian Ulmen

Die gegen Christian Ulmen erhobenen Vorwürfe durch Collien Fernandes haben eine breite Debatte über digitale Gewalt, bestehende Strafvorschriften, aber auch über Datenschutz ausgelöst. Im Zentrum stehen Anschuldigungen, wonach über einen längeren Zeitraum manipulierte intime Inhalte erstellt und unter ihrem Namen verbreitet worden sein sollen. Dabei geht es insbesondere um den Einsatz moderner Technologien zur Erzeugung täuschend echter Inhalte sowie um die Nutzung gefälschter Online-Identitäten, die tief in die Privatsphäre eingreifen können.

Unabhängig von dem derzeit noch offenen Ausgang des Falls, hat dieser bereits politische Reaktionen hervorgerufen, die auf eine Verschärfung gesetzlicher Regelungen abzielen.

So plant das Bundesministerium der Justiz neue strafrechtliche Vorschriften, um insbesondere die Erstellung und Verbreitung täuschend echter, aber künstlich erzeugter Inhalte ohne Zustimmung der betroffenen Person ausdrücklich zu sanktionieren. Ergänzend sollen Maßnahmen eingeführt werden, die Betroffenen mehr Kontrolle über digitale Angriffe geben, etwa durch erweiterte Möglichkeiten zur Identifizierung von Tätern oder zur Sperrung entsprechender Accounts. Auch die Speicherung von Verbindungsdaten zur Unterstützung von Ermittlungen ist erneut Teil der Diskussion. Parallel dazu wird politisch verstärkt über eine Verpflichtung zur Nutzung echter Namen im Internet diskutiert. Befürworter sehen darin ein Mittel gegen Missbrauch und Anonymität, während Kritiker auf erhebliche Risiken für die Privatsphäre und Meinungsfreiheit hinweisen.

Allerdings wird in der juristischen Analyse deutlich, dass viele der diskutierten Verhaltensweisen bereits nach geltendem Recht strafbar sein können. Bestehende Vorschriften decken etwa die Verbreitung ehrverletzender Inhalte, unzulässige Bildveröffentlichungen oder Formen digitaler Nachstellung ab. Auch datenschutzrechtliche Regelungen enthalten bereits Sanktionsmöglichkeiten. Vor diesem Hintergrund wird kritisch hinterfragt, ob neue Gesetze tatsächlich notwendig sind oder eher bestehende Regelungen konsequenter angewendet werden sollten.

Ein weiterer Streitpunkt betrifft die geplante Ausweitung der Speicherung von IP-Adressen (Vorratsdatenspeicherung). Diese Maßnahme wird seit Jahren kontrovers diskutiert, da sie tief in die Rechte der gesamten Bevölkerung eingreifen kann. Der Europäische Gerichtshof hat in der Vergangenheit betont, dass solche Eingriffe nur in engen Grenzen zulässig sind. Entsprechend stehen sich hier Sicherheitsinteressen und Datenschutz weiterhin gegenüber.

Insgesamt verdeutlicht der Fall die wachsenden Herausforderungen durch digitale Technologien und deren Missbrauch. Er zeigt zugleich, wie schwierig es ist, einen angemessenen Ausgleich zwischen effektivem Schutz vor Übergriffen und der Wahrung grundlegender Freiheitsrechte zu finden.

Europäischer Datenschutzausschuss zum Löschanspruch nach Art. 17 DSGVO

Der Abschlussbericht des Europäischer Datenschutzausschuss zur koordinierten Durchsetzungsaktion 2025 liefert einen umfassenden Überblick darüber, wie Unternehmen und Organisationen das in der DSGVO verankerte Recht auf Löschung praktisch umsetzen. Im Rahmen dieser europaweiten Untersuchung wurden zahlreiche Verantwortliche aus unterschiedlichen Branchen überprüft, um ein realistisches Bild der Anwendung dieses zentralen Betroffenenrechts zu gewinnen. Hintergrund ist die hohe Relevanz des Löschanspruchs, der häufig von Betroffenen geltend gemacht wird und regelmäßig Gegenstand von Beschwerden ist.

Die Ergebnisse zeigen ein uneinheitliches Bild: Während einige Organisationen strukturierte und dokumentierte Verfahren etabliert haben, bestehen bei anderen Verantwortlichen deutliche Schwächen. Insbesondere fehlt es teilweise an klaren internen Abläufen, nachvollziehbaren Entscheidungsprozessen und einer konsistenten Dokumentation. Auch der Umgang mit Anfragen betroffener Personen ist nicht überall ausreichend standardisiert, was die rechtssichere Bearbeitung erschwert.

Ein zentrales Problemfeld liegt in der praktischen Anwendung der gesetzlichen Ausnahmen vom Löschanspruch. Unternehmen stehen häufig vor der Herausforderung, korrekt zu beurteilen, wann Daten trotz eines Löschverlangens weiter gespeichert werden dürfen, etwa aufgrund gesetzlicher Pflichten oder zur Durchsetzung rechtlicher Ansprüche. Gerade in diesen Fällen zeigt sich, dass eine fundierte rechtliche Bewertung und eine sorgfältige Begründung unerlässlich sind.

Darüber hinaus wurden Defizite bei der technischen Umsetzung festgestellt. Schwierigkeiten ergeben sich unter anderem im Umgang mit Datensicherungen und archivierten Informationen, bei denen eine vollständige Löschung nicht ohne weiteres möglich ist. Auch die Unterscheidung zwischen anonymisierten und lediglich pseudonymisierten Daten bereitet in der Praxis Probleme, obwohl sie entscheidend dafür ist, ob Daten weiterhin unter den Anwendungsbereich der Datenschutzvorschriften fallen.

Ein weiterer Aspekt betrifft die organisatorische Einbindung des Löschprozesses in das gesamte Datenschutzmanagement. Die Untersuchung verdeutlicht, dass die Bearbeitung von Löschanfragen eng mit anderen Pflichten verknüpft ist, etwa mit der Führung von Verzeichnissen über Datenverarbeitungen oder der Einhaltung von Speicherbegrenzungen. Ohne ein ganzheitliches Konzept lassen sich diese Anforderungen nur schwer erfüllen.

Insgesamt bewertet der Ausschuss den Umsetzungsstand als durchschnittlich, weist jedoch auf deutliche Unterschiede je nach Größe und Struktur der Organisationen hin. Besonders hervorgehoben wird die Bedeutung einer sorgfältigen Dokumentation, da Entscheidungen über Löschanträge häufig rechtlich überprüft werden können. Die Ergebnisse deuten darauf hin, dass Aufsichtsbehörden künftig verstärkt auf die Einhaltung dieser Anforderungen achten werden.

Für Unternehmen ergibt sich daraus ein klarer Handlungsbedarf. Bestehende Prozesse sollten überprüft und gegebenenfalls verbessert werden, um sowohl rechtlichen Vorgaben als auch praktischen Herausforderungen gerecht zu werden. Die Untersuchung dient zugleich als Grundlage für eine stärkere Angleichung der Aufsichtspraxis innerhalb Europas und könnte weitere Konkretisierungen der bestehenden Regelungen nach sich ziehen.