Newsletter Technologie & Kommunikation Ausgabe 5 - 2025

Liebe Leser:innen,

Im vergangenen Monat hat das VG Köln zwei wichtige Entscheidungen getroffen, erstere zum territorialen Anwendungsbereich von Telekommunikationsvorschriften für NI-ICS, zweitere zum persönlichen Anwendungsbereich der „Cookie-Regelung“ aus § 25 TDDDG. Darüber hinaus beschäftigen sich DSK und BfDI derzeit mit der Verarbeitung personenbezogener Daten in KI-Systemen. Die BNetzA hat indes ein Service Desk zur KI-Verordnung eingerichtet und ihren Abschlussbericht zum Doppelausbau von Glasfaser in Deutschland veröffentlicht. 

Diese und weitere News finden Sie im Folgenden. Wir wünschen Ihnen viel Spaß beim Lesen. 

 

Nachrichten

EuGH: Drosselung von Video-Streams verstößt gegen Netzneutralität 

Der EuGH hat mit Urteil vom 10.7.2025 entschieden, dass die Drosselung der Bandbreite ausschließlich für Videostreamingdienste gegen die Netzneutralität verstößt (Az. C‑367/24). Streitgegenstand ist ein Mobilfunkabonnement, welches neben einem monatlichen Datenvolumen zur Internetnutzung auch die Option „Bonus unbegrenztes Internet“ vorsieht. Diese ermöglicht Nutzern bei Aktivierung eine über das Datenvolumen hinausgehende kostenlose Internetnutzung, reduziert aber die Geschwindigkeit von Video-Streams auf 1,5 Mbit/s. Nach Auffassung des EuGH verstößt dies gegen die Netzneutralität aus Art. 3 der Verordnung (EU) 2015/2120, da sie Videostreamingdienste im Vergleich zu anderen Internetdiensten benachteilige und diese Benachteiligung nicht als angemessene Verkehrsmanagementmaßnahme gerechtfertigt sei. 

Bundesnetzagentur veröffentlicht Bericht zum Doppelausbau von Glasfaser

Die Bundesnetzagentur (BNetzA) hat am 30.7.2025 ihren Abschlussbericht zum Doppelausbau von Glasfasernetzen in Deutschland veröffentlicht. Eine Monitoring-Stelle der BNetzA hat die letzten 2 Jahre die Ausbauvorhaben für Glasfaserinfrastruktur beobachtet und auf wettbewerbswidrige Verhaltensmuster untersucht. Darüber hinaus hat die u.a. für die Zugangsregulierung zuständige Beschlusskammer 3 der BNetzA eine Studie zu missbräuchlicher Duplizierung von Glasfaserzugangsnetzen durchgeführt. In ihrem Abschlussbericht kommt die BNetzA zu dem Ergebnis, dass keine Hinweise auf ein systematisch missbräuchliches Doppelausbauverhalten vorliegen, jedoch im Einzelfall ein reaktives, wettbewerbsbeeinträchtigendes Verhalten nicht völlig auszuschließen sei. Aus Sicht der BNetzA bestehe aber kein Bedarf mehr, das Monitoring weiterzuführen. 

Weitere Informationen finden Sie auf der Website der BNetzA. 

BGH: 24-Monatige Höchstdauer bei Verbraucherverträgen nach § 56 TKG gilt auch für Verlängerung

Der BGH hat am 10.7.2025 entschieden, dass die Höchstdauer für Telekommunikationsverträge gegenüber Verbrauchern nach § 56 TKG nicht nur für Erstverträge, sondern auch für Vertragsverlängerungen gilt (Az. III ZR 61/24). So hatte zu Beginn des Jahres auch bereits der EuGH in einem ähnlichen Verfahren entschieden (Urt. v. 13.2.2025, Az. C-612/23). Ergänzend hat der BGH entschieden, dass als Beginn der Höchstfrist nicht der Zeitpunkt der vereinbarten erstmaligen Leistungserbringung ausschlaggebend sei, sondern der Zeitpunkt des Vertragsschlusses. Demnach seien Vertragsverlängerungen, die eine Mindestlaufzeit von 24 Monaten zuzüglich der bestehenden Vertragslaufzeit vorsehen, unzulässig. 

Weitere Informationen finden Sie auf heise.de. 

VG Köln: Aus dem Ausland erbrachte E-Mail-Dienste müssen keine Überwachungsmaßnahmen nach § 170 TKG einrichten

Das Verwaltungsgericht Köln hat am 17.6.2025 zum Anwendungsbereich der Pflichten von nummernunabhängigen interpersonellen Telekommunikationsdiensten (NI-ICS) zur Umsetzung von Überwachungsmaßnahmen entschieden (Az. 1 L 1930/22). 

Zunächst entschied das Gericht, dass ein Kommunikationsdienst bereits dann „gegen Entgelt erbracht“ werde, wenn die von Nutzern erhobenen Daten zur Verbesserung von Funktion und Leistung des Dienstes verwendet wird. Des Weiteren stellte das Gericht klar, dass ein Dienst keine „untrennbar mit einem anderen Dienst verbundene untergeordnete Nebenfunktion“ darstelle, wenn er unabhängig von einem bestimmten Gerät oder Dienst in einem beliebigen Webbrowser verwendet werden könne. Außerdem stellte das Gericht klar, dass wer die Server eines Telekommunikationsdienstes selbst betreibt, Betreiber einer Telekommunikationsanlage i.S.d. § 3 Nr. 60 TKG ist.  

Hingegen entschied das VG Köln aber, dass ein nicht in Deutschland ansässiger Anbieter nummernunabhängiger interpersoneller Kommunikationsdienste oder Betreiber dafür genutzter Server nicht den Pflichten zur Umsetzung von Überwachungsmaßnahmen nach § 170 TKG unterfalle, da insoweit das Herkunftslandprinzip aus Art. 3 der e-Commerce-Richtlinie (RL 2000/31/EG) anwendbar sei. 

Ein Beschwerdeverfahren ist bereits vor dem OVG NRW anhängig (Az. 13 B 668/25). 

VG Köln erlaubt Betreiben einer Facebook-Fanpage durch die Bundesregierung 

Das Verwaltungsgericht Köln hat mit Urteil vom 17.7.2025 entschieden, dass die Bundesregierung durch den Betrieb ihrer Facebook-Fanpage weder für Datenverarbeitungen durch Facebook verantwortlich ist noch Cookies auf Endgeräten von Endnutzern speichert oder ausliest (Az. 13 K 1419/23). Verfahrensgegenstand war eine Anordnung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit („BfDI“), mit welcher dieser dem Presse- und Informationsamt der Bundesregierung untersagt hatte, die Fanpage zu unterhalten. Diese Anordnung wurde auf Klage der Bundesregierung hin aufgehoben.

Zur gemeinsamen Verantwortlichkeit entschied das VG Köln, dass es sowohl einer gemeinsamen Festlegung der Mittel als auch einer gemeinsamen Festlegung der Zwecke der Verarbeitung bedürfe. Dies sei bei dem bloßen Betrieb einer Facebook-Fanpage, ohne die Vorgabe von Parametern für die „Insights“-Funktion durch den Fanpage-Betreiber, nicht der Fall. 

Zur Adressatenstellung des § 25 Abs. 1 TDDDG entschied das VG Köln, dass diejenige Person Cookies speichere oder auslese, die kausal die Ausführung des Quelltexts, der die Informationen speichert oder ausliest, veranlasse, und damit die Realisierung einer Distanzgefahr im Wege des Fernzugriffs schaffe. Dies sei in der Regel die Person, die den Quelltext zum Abruf für den Endnutzer bereithalte oder bereithalten lasse, d.h. die Entscheidungsgewalt über die Bereithaltung habe. Dies treffe auf den Betreiber einer Facebook-Fanpage in Bezug auf die streitgegenständlichen Cookies nicht zu. 

Weitere Informationen finden Sie auf heise.de. 

BSI überarbeitet Zertifizierungsverfahren für sicherheitskritische 5G-Komponenten 

Das Bundesamt für Sicherheit in der Informationstechnik („BSI“) hat das Zertifizierungsverfahren „BSI NESAS“ (Network Equipment Security Assurance Scheme) für hochspezialisierte 5G-Komponenten vereinfacht. Es wurden Prüfschritte reduziert und wichtige praxisorientierte Neuerungen eingeführt. Ab dem 1. Januar 2026 dürfen Betreiber öffentlicher Telekommunikationsnetze kritische Komponenten nur noch einsetzen, wenn sie nach BSI NESAS zertifiziert wurden. 

Weitere Informationen finden Sie auf der Website des BSI. 

BfDI eröffnet Konsultation zu Datenschutz bei KI-Modellen

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit („BfDI“) hat eine Konsultation zum datenschutzkonformen Umgang mit personenbezogenen Daten in KI-Modellen eröffnet. Darin geht es insbesondere um die Fragen, unter welchen Umständen ein LLM nicht mehr als personenbezogen betrachtet werden sollte, welche Maßnahmen gegen eine Memorisierung personenbezogener Daten vorgenommen werden können und wie Anbieter von KI-Modellen Betroffenenrechte wirksam umsetzen können, insb. das Recht auf Auskunft, Berichtigung oder Löschung. Die Frist zur Stellungnahme läuft bis zum 31. August. 

Weitere Informationen finden Sie auf der Website der BfDI. 

DSK veröffentlicht Orientierungshilfe zu TOMs bei Entwicklung und Betrieb von KI-Systemen 

Die Datenschutzkonferenz („DSK“) hat eine Orientierungshilfe zu technischen und organisatorischen Maßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen beschlossen. Sie liefert Herstellern und Betreibern von KI-Systemen eine Hilfestellung für die Einhaltung der aus Art. 5 und 32 DSGVO hergeleiteten Gewährleistungsziele anhand des Standard-Datenschutzmodells (SDM) und deckt dabei die Stadien des Designs, der Entwicklung (insb. des Trainings), der Einführung und des Betriebs des KI-Modells ab. 

Weitere Informationen finden Sie auf datenschutz.hessen.de. 

Bundesnetzagentur startet Service Desk zur KI-Verordnung

Die Bundesnetzagentur (BNetzA) hat ein Service Desk eingerichtet, um Unternehmen bei dem Einsatz künstlicher Intelligenz zu unterstützten. Insbesondere soll das Service Desk praxisnahe Hilfe bei der Umsetzung der Anforderungen der KI-Verordnung bieten. 

Weitere Informationen finden Sie auf der Website der BNetzA. 

 

Events

EU Data Act Countdown: Live Q&A 

The Data Act is almost here! 

Set to take effect on Friday 12 September 2025, the European Data Act is intended as a major milestone in unlocking the potential of industrial data. By establishing rules for data access and sharing, the legislation shall empower consumers to access data from their connected devices, ensures businesses have fair access to data held by others, and simplify transitions between cloud service providers requiring far reaching implementation measures for affected companies.

Wann? 3. September 2025 – 9:30-10:15 CEST 
Wo? Online 

Weitere Informationen finden Sie hier. 

Zur Anmeldung. 

Navigating the future of AI: an in-depth look at the GPAI Code of Practice

The EU Commission is due to publish its Code of Practice on General-Purpose AI (GPAI) by August 2025. The Code aims to provide clarification on how providers of GPAI models and GPAI models with systemic risk, may comply with their obligations under the EU AI Act.

Join our webinar hosted by Lexology on 16 September 2025, where our international experts will explore the key elements of the GPAI Code of Practice, including its focus on transparency obligations, copyrights commitments and systemic risk mitigation. We'll also delve into how businesses can navigate potential legal challenges related to AI technologies, including intellectual property infringement liability. 

Understanding the Code of Practice is essential for ensuring organisations comply with their obligations under the EU AI Act. Register now to secure your spot! 

Wann? 16. September 2025 – 16:00 CEST 
Wo? Online 

Weitere Informationen finden Sie hier. 

Zur Anmeldung. 

TechLaw Day 2025 - AI-driven economy – what issues does it raise for in-house lawyers? 

We're delighted to invite you to our 19th annual TechLaw Day.

This year’s TechLaw event will focus on legal issues immediately relevant to Tech lawyers, particularly issues associated in building AI driven businesses, including important and fast developing concerns around agentic AI. As AI technologies continue to evolve at a rapid pace, they bring not only groundbreaking possibilities but also an urgent need to take account of wider legal considerations, such as sustainability and power supply challenges, supply chain resilience, as well as the differing approaches to AI law and regulation around the world. The program will explore these broader themes around AI driven businesses, such as the pressing challenges of powering data centres, and will also examine recent contract law cases, sharing valuable insights and practical tips for drafting more effective agreements. Additionally, we will address key compliance considerations for AI implementation, with a particular emphasis on data usage, the impact of data localisation, and issues surrounding sovereignty.

Please note that in previous years we have reached capacity resulting in some attendees being added to a waitlist. Your registration is not confirmed until you have received a final confirmation email a week prior to the event.

Wann? 15. Oktober 2025 – 10:00-21:00 CEST (9:00-20:00 BST) 
Wo? Pan Pacific London, 80 Houndsditch, London, EC3A 7AB

Weitere Informationen finden Sie hier. 

Zur Anmeldung. 

Veröffentlichungen und Vorträge

Anke Dieckhoff und Felix Hempel zur Aufsicht über den Data Act in Deutschland 

Unsere Counsel Dr. Anke Dieckhoff und unser Associate Dr. Felix Hempel haben sich in der aktuellen Ausgabe der Zeitschrift „Multimedia und Recht“ (MMR) mit den geplanten Zuständigkeitsregelungen für den Data Act auseinandergesetzt. Sie gehen dabei insbesondere auf die geplante Sonderzuständigkeit der BfDI und das Zusammenspiel mit der BNetzA sowie mögliche Zuständigkeitskonflikte auch mit den Datenschutzbehörden der Länder ein. [MMR 2025, 494]  

Connected Newsletter Juli 2025 

Die Juli-Ausgabe unseres Connected-Newsletters ist erschienen. Darin finden Sie die wichtigsten regulatorischen Aktualisierungen und Einblicke in die Tech&Comms-Branche EU-weit, aufbereitet von u.a. unseren Partnern Deirdre Kilroy, Ruth Boardman und Jan Kuklinca sowie unserem Legal Director Anthony Rosen. Zu den Themen gehören neue EU-Gesetzgebungsvorhaben wie der Accessibility Act, der Data Act und der Digital Fairness Act sowie die erste Evaluation des Digital Markets Act. 

Die aktuelle Ausgabe finden Sie auf twobirds.com. 

Für unsere Newsletter anmelden können Sie sich hier. 

Neu auf unserer Website

BAG zum immateriellen Schadensersatz nach Art. 82 DSGVO 

Das Bundesarbeitsgericht hat in einem viel beachteten Urteil (BAG, Urt. v. 20. Februar 2025 8 AZR 61/24) betreffend einen Schadensersatzanspruch für immateriellen Schaden nach Art. 82 Abs.1 DSGVO im Zusammenhang mit dem Auskunftsrecht nach Art. 15 DSGVO seine Rechtsprechung dahingehend präzisiert, dass das bloße Berufen auf eine ,,negative Gefühlslage" nicht ausreicht, einen Kontrollverlust über personenbezogene Daten und damit einen immateriellen Schaden im Sinne von Art. 82 Abs.1 DSGVO anzunehmen. Ein ersatzfähiger Kontrollverlust setzt eine gerichtlich überprüfbare, begründete Befürchtung des Datenmissbrauchs voraus. 

Weiterlesen

Wer wird Datenmillionär? 15 Fragen zum EU Data Act 

Der EU Data Act schafft neue rechtliche Rahmenbedingungen für den Zugang zu und die Nutzung von Daten im europäischen Binnenmarkt. Ziel des Gesetzes ist es, die europäische Datenwirtschaft zu stärken und einen wettbewerbsfähigen Datenmarkt zu fördern. Dazu sollen Daten leichter zugänglich und nutzbar gemacht, datengesteuerte Innovationen unterstützt und die Verfügbarkeit von Daten erhöht werden. 

Weiterlesen

EU macht Ernst mit Cybersecurity: Was die Umsetzung der NIS-2-Richtlinie im BSIG für öffentliche Beschaffer & Bieter bei IT-Vergaben bedeutet  

Am 16. Januar 2023 trat die Richtlinie (EU) 2022/2555, „Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“, kurz „NIS-2-Richtlinie[1]“, auf EU-Ebene in Kraft. Durch die NIS-2-Richtlinie sind deutlich mehr Einrichtungen und Unternehmen erfasst als durch die NIS-1-Richtlinie. Während die NIS-1-Richtlinie ca. 4.500 Unternehmen erfasste, sollen nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) künftig knapp 30.000 Unternehmen von der NIS-2-Richtlinie betroffen sein. 

Weiterlesen

Der Data Act erfordert eine Anpassung der eigenen (Muster-)Verträge 

Haben Sie schon etwas vom Data Act („DA“) gehört? Meiner Erfahrung nach ist der AI Act in aller Munde und überstrahlt den vielfach unterschätzten DA. Aber: Wer jetzt nicht anfängt, sich auf den DA vorzubereiten, dem droht ein Zustand wie 2018, als – trotz aller Berichterstattung – viele von der DS-GVO überrascht wurden.

Weiterlesen

EU: Cybersecurity – ENISA publishes final NIS2 guidance 

In June 2025, ENISA published the NIS2 technical guidance, which provides detailed advice on mandatory cybersecurity risk management measures for digital providers subject to the NIS2 cybersecurity regime.  The NIS2 Directive establishes a strengthened cybersecurity framework across the EU to be implemented by Member States – a task which was due to be completed by October 2024 although many countries are still to adopt final legislation. For more detail on implementation status see our Tracker here. 

Weiterlesen

EU – Consultation on the Digital Fairness Act 

European consumers may be among the most protected in the world due to the region’s consumer laws, but the EU executive believes that new regulation may be needed to address specific harmful practices confronting users online. In this context, the Commission recently opened a ‘call for evidence’ on proposals for The Digital Fairness Act (DFA) which is designed to strengthen protection and digital fairness for consumers, while ensuring a level playing field and simplifying rules for businesses in the EU.  It will address specific challenges as well as harmful practices that consumers face online, such as deceptive or manipulative interface design, misleading marketing by social media influencers, addictive design of digital products and unfair personalisation practices, especially where consumer vulnerabilities are exploited for commercial purposes. 

Weiterlesen

EU: The Data Act – the clock is ticking

As the European Union continues shaping its digital single market, the Data Act stands out as one of its most ambitious endeavours. The Data Act entered into force on 11 January 2024 and will apply from 12 September 2025 impacting businesses working with data-intensive products and services. Designed to boost the EU’s data economy, the Data Act establishes a framework that aims to establish fair data-sharing practices among stakeholders, including consumers, businesses, and government bodies. 

Weiterlesen

 

Neu auf unserem YouTube-Kanal

Tackling the Complexities of AI Contracting: Practical Guidance and Insights 

Ansehen

Women in Tech - At the forefront of innovation: Louise Lachmann, Ugly Duckling Ventures 

Ansehen