I. Urteile

EuGH, Urteil vom 12.05.2026 – C-797/23 (Meta Platforms Ireland)

https://infocuria.curia.europa.eu/tabs/document/C/2023/C-0797-23-00000000RP-01-P-01-3463259/ARRET/320668-DE-1-html

Der EuGH stellte fest, dass Mitgliedstaaten Presseverlagen einen Vergütungsanspruch gegen Online-Plattformen wie Meta einräumen dürfen. Die Vergütung muss als wirtschaftliche Gegenleistung für die Nutzungserlaubnis ausgestaltet sein, und Verlage müssen die Erlaubnis verweigern oder unentgeltlich erteilen können. Plattformen trifft eine Pflicht zur Datenherausgabe, soweit dies zur Berechnung der Vergütung erforderlich ist.

• Datenschutzrechtliche Relevanz über Art. 6 DSGVO bei der Verarbeitung von Reichweiten- und Nutzungsdaten
• Signalwirkung für die deutsche Umsetzung der DSM-Richtlinie in §§ 87f bis 87k UrhG

VG Berlin, Urteil vom 06.05.2026 – VG 42 K 73/25 (Berliner Sommerbäder)

https://www.berlin.de/gerichte/verwaltungsgericht/presse/pressemitteilungen/2026/pressemitteilung.1668271.php

Das VG Berlin hob die Verwarnung der BlnBDI gegen die Berliner Bäder-Betriebe auf. Ausweiskontrollen ab 14 Jahren und punktuelle Videoüberwachung in fünf Sommerbädern sind datenschutzkonform. Der Schutz von Leben, Gesundheit und Freiheit der Badegäste überwiegt den niedrigschwelligen Eingriff in das Recht auf informationelle Selbstbestimmung.

• Erste verwaltungsgerichtliche Maßstabsbildung für flächendeckende Identifizierungsmaßnahmen in öffentlichen Einrichtungen mit Sicherheitslage
• Urteil noch nicht rechtskräftig; BlnBDI prüft Berufung zum OVG Berlin-Brandenburg

KG Berlin, Urteil vom 30.04.2026 – 20 VKl 1/25 (SOMI ./. X)

https://www.berlin.de/gerichte/presse/pressemitteilungen-der-ordentlichen-gerichtsbarkeit/2026/pressemitteilung.1666701.php

Das KG Berlin wies die Abhilfeklage der Stichting Onderzoek Marktinformatie gegen X als unzulässig ab. SOMI forderte mindestens 750 Euro pro deutschem Nutzer und weitere 250 Euro pro Datenleck-Betroffenem. Die Ansprüche sind nicht „im Wesentlichen gleichartig“ nach § 15 Abs. 1 VDuG, weil Kontrollverlust und schadensvergrößernde Umstände vom Einzelfall abhängen.

• Anknüpfung an die EuGH-Linie zu Art. 82 DSGVO (Erfordernis eines konkreten, kausalen Schadens)
• Revision zum BGH möglich; Massenverfahren bleiben vorerst auf den Einzelklageweg verwiesen

II. Bußgelder und Behörden

BfDI, 34. Tätigkeitsbericht 2025 (Übergabe 06.05.2026)

https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2026/06_TB34.html

Prof. Dr. Louisa Specht-Riemenschneider übergab den 34. Tätigkeitsbericht an Bundestagspräsidentin Julia Klöckner. Die BfDI verzeichnete 2025 insgesamt 11.824 Eingaben (plus 36 Prozent gegenüber 2024), führte 80 Vor-Ort-Kontrollen durch und ergriff 129 aufsichtsrechtliche Maßnahmen. Zentral ist die Bestätigung der Geldbußen gegen Vodafone in Höhe von 45 Millionen Euro (15 Millionen Euro wegen mangelhafter Auftragsverarbeiterkontrolle, 30 Millionen Euro wegen Sicherheitsmängeln im „MeinVodafone“-Authentifizierungsprozess).

• Neue Formate ReguLab (Datenschutz-Sandbox), Datenbarometer und Strategic-Foresight-Prozess zu Neurodaten
• Specht-Riemenschneider bleibt bis zur Nachfolgeregelung im Amt; offene Reformfragen u.a. Verlagerung der Nachrichtendienst-Aufsicht zum UKRat

BlnBDI, Verwarnung der Berliner Verkehrsbetriebe (Pressemitteilung 04.05.2026)

https://www.datenschutz-berlin.de/pressemitteilung/datenschutzbeauftragte-verwarnt-bvg/

Die BlnBDI verwarnte die BVG wegen mangelhaften Umgangs mit einem Datenschutzvorfall. Ein Auftragsverarbeiter speicherte rund 180.000 Datensätze nach Auftragsabschluss weiter und wurde Opfer eines IT-Angriffs. Die BVG meldete den Vorfall verspätet und kontrollierte die vertraglich zugesicherte Löschung nicht.

• Festgestellte Verstöße: Art. 5 Abs. 2 i.V.m. Abs. 1 lit. c, e, f, Art. 32 Abs. 1, Art. 33 und Art. 28 Abs. 3 Satz 2 lit. f DSGVO
• Anschluss an BGH: Verantwortliche müssen die tatsächliche Löschung beim Auftragsverarbeiter kontrollieren und nachweisen

AP Niederlande, 100 Millionen Euro gegen MLU B.V. / Yango (08.05.2026)

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2026/yango-far-gebyr-pa-100-millioner-euro/

Die niederländische Datenschutzbehörde verhängte – in Koordination mit Finnland und Norwegen – ein Bußgeld in Höhe von 100 Millionen Euro gegen MLU B.V., die Yandex-Tochter und Yango-Betreiberin. MLU übermittelte personenbezogene Daten an Server in Russland; die Standardvertragsklauseln genügten nicht, weil die Verschlüsselungs-Keys in Russland lagen und das „Jarowaja-Gesetz“ weitreichenden Behördenzugriff ermöglicht. Die AP ordnete den sofortigen Stopp aller Datentransfers an.

• Schrems-II-Linie: Transfer Impact Assessment mit Bewertung von Verschlüsselungsarchitektur, Schlüsselablage und Drittlands-Rechtslage erforderlich
• MLU hat Berufung angekündigt; erhebliches Sanktionsrisiko für vergleichbare Konstellationen mit Russland, China und ähnlichen Drittländern

III. Gesetze und News

Politische Trilog-Einigung „Digital Omnibus on AI“ (07.05.2026)

https://www.consilium.europa.eu/de/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/

Rat und Parlament einigten sich auf eine substanzielle Änderung der KI-VO. Die Hochrisiko-Pflichten nach Anhang III gelten ab dem 02.12.2027 statt dem 02.08.2026; eingebettete Sicherheitskomponenten erhalten Frist bis zum 02.08.2028. Neu eingeführt: Verbot von „Nudifier“-Anwendungen bis zum 02.12.2026 und KMU-Erleichterungen für „Small Mid-Caps“ mit Umsatz bis 200 Millionen Euro.

• Datenschutzrechtlich umstritten: Lockerung der Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO zur Bias-Korrektur
• Formelle Annahme durch Parlament und Rat vor dem 02.08.2026 angestrebt

DSK, Entschließung gegen anlasslose Chatkontrolle (Pressemitteilung 05.05.2026)

https://www.datenschutzkonferenz-online.de/media/pm/2026-05-05_PM_Chatkontrolle_Entschliessung.pdf

Die DSK forderte mit Entschließung vom 17.04.2026 die EU-Gesetzgebungsorgane und die Bundesregierung auf, die Pläne für eine anlasslose Chatkontrolle endgültig aufzugeben. Anlasslose Massenüberwachung, das Aushebeln der Ende-zu-Ende-Verschlüsselung und Client-Side-Scanning sind unverhältnismäßige Grundrechtseingriffe. Die vierte Trilog-Runde begann planmäßig am 11.05.2026.

• ePrivacy-Ausnahme für freiwilliges Scannen Anfang April 2026 ausgelaufen; freiwillige Scans aktuell ohne explizite Rechtsgrundlage
• Maßstab aus BVerfG-Vorratsdatenspeicherung und EuGH-Entscheidungen Tele2 und La Quadrature du Net

LG Köln, Urteil vom 13.11.2025 – 30 O 146/25 (Gehaltsdaten an Personalvermittler)

https://nrwe.justiz.nrw.de/lgs/koeln/lg_koeln/j2025/30_O_146_25_Teilurteil_20251113.html

Das LG Köln entschied, dass ein Arbeitgeber Gehaltsdaten eines vermittelten Beschäftigten an die Personalvermittlung übermitteln darf – auch gegen den Widerspruch des Beschäftigten. Die Übermittlung ist nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt, weil die Vermittlung das Honorar (Prozentanteil am Bruttojahresgehalt) berechnen muss. Die zwingenden schutzwürdigen Gründe des Verantwortlichen nach Art. 21 Abs. 1 Satz 2 DSGVO überwiegen den Widerspruch.

• Praxisempfehlung: Widerspruch dokumentieren, Interessenabwägung schriftlich durchführen, Ergebnis der betroffenen Person mitteilen
• Übertragbar auf Recruiting, Auskunfteien, Versicherer und Inkasso bei branchenüblicher gehaltsabhängiger Honorierung