Regeln zum Umgang mit persönlichen Informationen über Menschen existieren bereits seit mehreren Jahrhunderten. So sieht bereits der sogenannte „Hippokratische Eid“ eine Pflicht zur Geheimhaltung bezüglich der Informationen über Patient*innen vor. Über viele Jahrhunderte hinweg hat sich das Datenschutzrecht punktuell fortentwickelt. Ab Mitte des 20. Jahrhunderts führten Innovationen und die Verbreitung neuer Technologien zu einem zusätzlichen hohen Bedarf sowie einem enormen Anstieg von Rechtsnormen, die den Umgang mit Informationen über Menschen regeln. Im Jahr 2026 ist das Datenschutzrecht zu einem sehr komplexen und für viele undurchschaubaren Rechtsgebiet angewachsen.

Auch wenn die Prinzipien des Datenschutzrechts bereits alt sind, wird das Datenschutzrecht aufgrund des technologischen Fortschritts und der gesetzlichen Erweiterungen der letzten Jahrzehnte häufig als relativ „junges“ Rechtsgebiet bezeichnet, das quasi noch in den „Kinderschuhen“ stecke. Bis heute machen sich Gesetzgebung, Rechtsprechung und Literatur selbst zu zentralen Begriffen wie „Verarbeitung personenbezogener Daten“ oder „datenschutzrechtlich Verantwortlicher“ viele Gedanken und bringen immer wieder Änderungsvorschläge ein.

Im Hinblick auf die datenschutzrechtliche Verantwortlichkeit erging im Dezember 2025 ein wegweisendes Urteil des EuGH zu Art. 4 Nr. 7 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) und Art. 12-15 der E-Commerce-Richtlinie a. F. (Richtlinie 2000/31/EG a.F, jetzt Art. 4 Verordnung (EU) 2022/2065 „Digital Service Act“). Der EuGH befasste sich mit der Verantwortlichkeit des*r Betreibers*in eines Online-Marktplatzes (EuGH, Urteil vom 2.12.2025, C-492/23, „Russmedia Digital und Inform Media Press“). Das Urteil betrifft die Veröffentlichung personenbezogener Daten in Anzeigen, die von inserierenden Nutzer*innen auf der Website des*r Betreibers*in platziert werden. Die Richterinnen und Richter leiten aus der DSGVO einen sehr weitreichenden Verantwortungsbereich für Betreiber*innen von Plattformen ab und verlangen präventive organisatorische und technische Mittel. Weitere Erläuterungen zu der Entscheidung enthält der Rechtsprechungsreport von Frau Prof. Dr. Gesmann-Nuissl.

Am 19. November 2025 legte die Kommission im Rahmen des Digital-Omnibus-Pakets einen Vorschlag für eine Verordnung („Digital Omnibus“, COM (2025) 837 final) vor. Der Begriff „Omnibus“ steht in diesem Zusammenhang für einen Rechtsakt, durch den mehrere bestehende Regelwerke gleichzeitig geändert werden. Art. 3 des Vorschlags enthält punktuelle Änderungen der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679). Unter anderem soll die Definition für den Begriff „personenbezogene Daten“ konkretisiert (vgl. Art. 3), weitere Ausnahmen von dem Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) geschaffen, Änderungen in Bezug auf die Rechte der Betroffenen vorgenommen, Pflichten im Rahmen des Datenmanagements geändert und Sonderregelungen für weitere Verarbeitungssituationen geschaffen werden (vgl. Art. 3). Bei der Lektüre der Beweggründe für die Vorschläge habe ich mir die Frage gestellt, wie mit zusätzlicher Regulierung eine Überregulierung abgebaut werden soll? Mit diesen und anderen Vorschlägen befasst sich in dieser Ausgabe Frank Ingenrieth. Das Thema wird uns dieses Jahr noch weiter begleiten.

Im Datenschutzrecht sind wir noch lange nicht fertig! Es bleibt – wie andere Rechtsgebiete des Innovations- und Technikrechts – eine Dauerbaustelle. Ebenso herausfordernd und spannend sind die Entwicklungen im Bereich der autonomen Landmaschinen, Cybersicherheit im Luftverkehr und der Regulierung von Großbatteriespeichern, mit denen sich die Aufsätze von Tom Hubert, André Kukuk und Prof. Dr. Anne Paschke sowie Benedikt Heinrichs, Leon Hemker und Francesco Curth befassen.

Prof. Dr. Martin S. Haase, Berlin*