Newsletter Technologie & Kommunikation Ausgabe 3 - 2025

Liebe Leser:innen,

Das Frühjahr ist gespickt mit neuen Zukunftsplänen für die Tech & Comms-Branche. Die BNetzA verlängert die vergebenen Mobilfunkfrequenzen mit dem Ziel, die Mobilfunkversorgung weiter voranzutreiben. Die EU plant derweil sowohl eine Vereinfachung als auch eine Verbesserung der Durchsetzung der DSGVO. Außerdem machen es sich die europäischen Datenschutzbehörden zur Aufgabe, die Umsetzung des Rechts auf Löschung stärker unter die Lupe zu nehmen.

Diese und weitere News finden Sie im Folgenden. Wir wünschen Ihnen viel Spaß beim Lesen.  

Nachrichten

Bundeskartellamt mahnt Behinderung unter Mobilfunkanbietern ab 

Das Bundeskartellamt (BKartA) hat Vodafone wegen missbräuchlicher Behinderung des Konkurrenten 1&1 beim Mobilfunkausbau abgemahnt. 1&1 verfügt seit der Frequenzversteigerung 2019 erstmals über eigene Mobilfunkfrequenzen und war im Zuge dessen verpflichtet, bis Ende 2022 1000 Funkstandorte zu bauen. 2021 vereinbarte 1&1 dazu mit dem Infrastrukturanbieter Vantage Towers, der zu dem Zeitpunkt noch zu mehr als 80% zu Vodafone gehörte, die Mitnutzung einer vierstelligen Zahl an Funkstandorten. Die Bereitstellung verzögerte sich jedoch wesentlich, weswegen 1&1 sein Ausbauziel weit verfehlte, während Vodafone ihr Netz stark ausbauen konnte. Das BKartA geht daher von einer kartellwidrigen Behinderung aus. Eine abschließende Einschätzung des BKartA wird voraussichtlich Mitte des Jahres erwartet.

Weitere Informationen finden Sie bei beck-aktuell und auf bundeskartellamt.de.

BfDI veröffentlicht Checkliste zur Speicherung von TK-Bestandsdaten 

Die Bundesdatenschutzbeauftragte (BfDI) hat eine Checkliste zur datenschutzkonformen Speicherung von Bestandsdaten durch Telekommunikationsanbieter veröffentlicht. Sie soll den Anbietern als Hilfestellung zur Implementierung von technischen und organisatorischen Schutzmaßnahmen nach Art. 32 DSGVO dienen. Sie ist damit eine Ergänzung zu dem IT-Sicherheitskatalog nach § 167 TKG der Bundesnetzagentur (BNetzA) und dem IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Weitere Informationen finden Sie auf der Website der BfDI.

BNetzA verlängert Mobilfunkfrequenzen bis Ende 2030

Die Bundesnetzagentur hat am 24.3. beschlossen, die Ende 2025 auslaufenden Frequenznutzungsrechte für Mobilfunkanbieter in den Bereichen 800, 1.800 und 2.600 MHz um fünf Jahre zu verlängern. Damit soll die bestehende Mobilfunkversorgung gewahrt und durch neue Auflagen die Versorgung, besonders im ländlichen Bereich, gefördert werden. Die Auflage sieht insbesondere eine Versorgung von bundesweit 99,5 % der Fläche mit 50 Mbit/s ab 2030 sowie in jedem Bundesland 99 % der Haushalte in dünn besiedelten Gemeinden mit 100 Mbit/s ab 2029 vor. Zu einem späteren Zeitpunkt sollen diese Frequenzen dann gemeinsam mit anderen, deren Nutzungsrechte 2033 auslaufen, neu vergeben werden.

Weitere Informationen finden Sie auf der Website der BNetzA.

EDSA startet europaweite Prüfaktion zur Umsetzung des Rechts auf Löschung 

Der Europäische Datenschutzausschuss (EDSA) hat am 5.3. den Start einer koordinierten Maßnahme zur Umsetzung des Rechts auf Löschung bzw. Rechts auf Vergessenwerden nach Art. 17 DSGVO angekündigt. An dieser Maßnahme beteiligen sich 32 Datenschutzbehörden, darunter auch die BfDI und einige deutsche Landesdatenschutzbehörden. Bei der koordinierten Maßnahme im vergangenen Jahr zur Umsetzung des Auskunftsrechts wurden insgesamt 1185 Verantwortliche untersucht, davon 116 in Deutschland.

Weitere Informationen finden Sie beim EDSA und bei der DSK.

Pläne zur Vereinfachung und zur besseren Durchsetzung der DSGVO 

Der EU-Kommissar für Demokratie, Justiz und Rechtsstaatlichkeit Michael McGrath hat am 13.3. Pläne für eine Vereinfachung der DSGVO angekündigt. Laut McGrath soll die DSGVO in einem sog. „Omnibus“-Verfahren gemeinsam mit weiteren Rechtsakten angepasst werden, um insbesondere den Umsetzungsaufwand für kleine und mittlere Unternehmen zu verringern. Parallel dazu hat die Kommission einen Entwurf für zusätzliche Verfahrensregeln zur Durchsetzung der DSGVO auf den Weg gebracht, der im nächsten Schritt im EU-Parlament besprochen werden soll.

Weitere Informationen finden sie auf mlex.com und auf der Website des EU-Parlaments.

OLG Stuttgart zum Mitarbeiterexzess bei Datenverarbeitungen 

Das Oberlandesgericht Stuttgart hat mit Beschluss vom 25.2.2025 entschieden, dass eine Behörde nicht für eine Datenverarbeitung verantwortlich ist, die ein Behördenmitarbeiter eigenmächtig und zu privaten Zwecken über seinen Dienstrechner veranlasst (Az. 2 Orbs 16 Ss 336/24). Nach Auffassung des OLG ist der Mitarbeiter selbst Verantwortlicher, wenn er nicht bloß weisungswidrig, sondern überhaupt nicht betrieblich bzw. behördlich handelt. Der EuGH hatte im April 2024 entschieden, dass weisungswidriges Verhalten allein weder eine Verantwortlichkeit des Mitarbeiters noch einen Haftungsausschluss für Schadensersatzansprüche i.S.d. Art. 83 Abs. 3 DSGVO begründet (Az. C-741/21).

Weitere Informationen finden Sie auf stiftungdatenschutz.org. 

Events

Global Insights on Data Transfers 

Are you prepared to navigate the complexities of international data transfers in an ever-evolving regulatory landscape? Join us on 8 May 2025 for our LinkedIn Live webinar where we'll explore the latest developments surrounding international data transfers across Europe, the US and APAC.

Our international Bird & Bird experts, joined by speakers from Selmer in Norway and Venable in the US, will provide insights into the future of the EU-US Data Privacy Framework (DPF) and analyse how organisations can prepare for new US data transfer restrictions. We’ll also examine the position of the Norwegian Data Protection Authority (DPA) on international transfers and the enforcement actions taken by NOYB against Chinese companies.

This webinar will equip you with essential insights to stay compliant with global data privacy regulations and address emerging challenges. Register now to secure your spot!

Wann? 08.05.2025, 14:00 – 15:00 CET

Wo? Online 

Zur Anmeldung auf LinkedIn.

Webinar Series on the EHDS – Part II: Focus on Secondary Use of Health Data 

The European Health Data Space (EHDS) Regulation has officially entered into force. Following the successful first part of our webinar series, which provided an initial overview of the EHDS framework, we now invite you to join us for the second session – with a sharp focus on the Secondary Use of Health Data.

In this session, we will take a closer look at the practical and legal implications of the secondary data regime under the EHDS. We will discuss the obligations of health data holders, the new permit system, the rights and responsibilities of data users, the role of Health Data Access Bodies (HDABs), and the interplay with existing data protection laws.

This is a must-attend for healthcare providers, pharma and life science industry representatives interested in secondary use of health data under EHDS, legal experts, data custodians, researchers, and anyone preparing for the operational implementation of the EHDS in their organization.

Wann?  13.05.2025, 16:00 – 17:00 CET

Wo?  Online 

Zur Anmeldung.

Veröffentlichungen und Vorträge

Simon Assion und Julian Hunter zur Einwilligungsverwaltungsverordnung

Unser Partner Dr. Simon Assion und unser wissenschaftlicher Mitarbeiter Julian Hunter haben sich in der „Zeitschrift für Datenschutz“ mit der am 1.4. in Kraft getretenen Einwilligungsverwaltungsverordnung beschäftigt. Sie beleuchten das neue Anerkennungsverfahren für Anbieter von Diensten zur Verwaltung von „Cookie-Einwilligungen“ nach Art. 25 f. TDDDG und geben eine Einschätzung zu den praktischen Auswirkungen für Anbieter solcher Dienste, Websitebetreiber und Endnutzer.  [ZD 2025, 195]

Lewin Rexin zu den Plänen der künftigen Bundesregierung im TK-Bereich

Unser Associate Lewin Rexin hat sich in einem Online-Beitrag mit dem Inhalt des Koalitionsvertrags der angehenden Regierung auseinandergesetzt. Er fasst die beschlossenen Pläne im Telekommunikationsbereich zusammen und gibt eine erste Einschätzung zu den Konsequenzen für TK-Unternehmen.

Den Beitrag finden Sie auf twobirds.com in deutscher und englischer Sprache.

Marco Nicolai et al. veröffentlichen Praxisleitfaden zu Rechenzentren

Unsere Partner Marco Nicolai, Andrea Chao, Matthias Lang, Sibylle Weiler und Weitere, haben einen Leitfaden zum Betrieb von Rechenzentren herausgegeben. Sie bearbeiten darin die wichtigen rechtlichen und praktischen Fragen, die Unternehmen bei der Nutzung eines Rechenzentrums berücksichtigen müssen und gehen dabei insbesondere auf Cybersicherheits- und Energiewirtschaftsaspekte in EU und UK ein.

Den Leitfaden finden Sie bei Thomson Reuters.

Connected Newsletter April 2025

Die April-Ausgabe unseres Bird&Bird Connected Newsletters wurde veröffentlicht. Darin befassen sich unsere Autor:innen mit wichtigen regulatorischen Updates, insbesondere dem Entwurf der Durchführungsverordnung des Cyber Resilience Act, der öffentlichen Konsultation zum Cybersecurity Act und dem jüngsten EuGH-Urteil zur Transparenz von Algorithmen sowie Neuigkeiten zur Verlängerung der Frequenzvergabe für Mobilfunk in Deutschland.

Die Anmeldung für den Connected-Newsletter finden Sie hier.

Neu auf unserer Website

The AI Act primarily regulates high-risk AI systems

The EU AI Act aims to structure the development and use of artificial intelligence systems in the European Union. One of the main features of the regulation is its differentiated approach to the various categories of AI systems, depending on the level of risk they may pose. In this article, I show, using data on the structure of AI Act regulation, that the primary focus of the AI Act is on high-risk AI systems, while other categories of AI systems are regulated to a much lesser extent.

Weiterlesen

CNIL continues to crumble cookies: recent enforcement actions, impact on organisations with a French presence, and how to respond.

The French Data Protection Authority (“CNIL”) has long been known for its active enforcement efforts of cookies and similar technologies (“cookies”) rules. In this article, we explore CNIL’s enforcement actions in the last years and how your organisation should respond to each of the issues raised by the CNIL, if you have a French presence. The CNIL’s recent €50 million fine for breaches of e-Privacy rules and crackdown on misleading cookie banners has reinforced the importance of complying with such rules.

Weiterlesen

Understanding key EU cybersecurity legislative acts: NIS2, CER, and CRA

As the landscape of cybersecurity continues to evolve rapidly, the European Union (EU) has enacted several legislative acts designed to strengthen resilience and security across various sectors. This article provides a snapshot of three key developments shaping the cybersecurity landscape: the NIS2 Directive, the Critical Entities Resilience (CER) Directive, and the Cyber Resilience Act (CRA), each playing a pivotal role in fortifying cybersecurity within the EU.

Weiterlesen

Proposed EU AI liability rules withdrawn

With the EU AI Act finalised, attention had recently turned to the adoption of the proposal adapting non-contractual civil liability rules to AI (AI Liability Directive or AILD), first tabled by the Commission in September 2022. This proposal was meant to complete Europe’s AI regulatory framework. However, the European Commission decided to withdraw the proposal in February 2025 due to a lack of agreement among stakeholders and calls for regulatory simplification in the digital sector.

Weiterlesen

The EU's 2025 agenda for regulatory simplification and the digital package

The European Commission published earlier this month its 2025 Work Programme, which aims to streamline regulatory frameworks and improve competitiveness within the EU. Accompanied by a Communication on Implementation and Simplification, the Programme includes five Annexes detailing new, pending, withdrawn and repealed proposals, as well as the Commission's annual plan for evaluations and fitness checks. This follows the release of the Competitiveness Compass on 29 January 2025, which outlines actions to boost economic competitiveness in Europe.

Weiterlesen

German court rules that data protection breaches can be prosecuted in civil courts under the unfair competition law

On 27 March 2025, the German Federal Court of Justice (Bundesgerichtshof ”FCJ”) published a number of judgments in which it took the view that breaches of data protection law can be prosecuted before the civil courts by way of an action under the harmonised Act against Unfair Competition (UWG). This allows any competitor and competition and consumer protection associations to pursue such breaches before the courts. Enforcement is therefore not limited anymore to data protection authorities. 

Weiterlesen

The evolution of the concept of personal data: Are we entering the era of relative personal data?

Within the data protection community, the conventional interpretation of 'absolute personal data' has long been a generally agreed-upon concept. This consensus has also withstood in circumstances where the information required to make an individual 'identifiable', either directly or indirectly, is possessed by a party other than the one processing the personal data. However, recent case law has begun to test the waters of this long-standing interpretation of personal data.

Weiterlesen