Hier ist der 22. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 06-10/2025)“ – Die DVD-Edition.
Im aktuellen Blog-Beitrag finden Sie Informationen der letzten fünf Wochen, wir hatten zwar zwischendurch ein Zwischenspiel, um Sie über die wichtigsten Neuigkeiten zu informieren, aber in diesem Blog-Beitrag bekommen Sie wieder den umfassenden Überblick über alles, was unsere Meinung nach die letzten Wochen relevant war. Und das war einiges, weswegen wir diese Ausgabe intern als Godzilla bezeichnet haben. Viel Spaß also beim Beschäftigen mit Godzilla, Godzilla ist mächtig, Godzilla ist groß (es ist reichlich).
- Aufsichtsbehörden
- EDSA: Konsultation zu Art. 48 DS-GVO (Guidelines 02/2024)
- EDSA: Stellungnahme 01/2025 zur Altersverifikation
- EDSA: Ausweitung der TaskForce zur Durchsetzung bei KI
- EDSA: Prozessleitfaden für den Umgang mit strategischen Fällen
- EDSA veröffentlicht halbjährlichen CSC-Bericht
- EDSA: Empfehlungen 01/2025 zum World Anti-Doping Code der WADA
- BfDI: Bekenntnis zum lösungsorientierten Datenschutz
- BfDI: Checkliste für Kundenbestandsdaten in Vertrieb und Service
- BfDI: Information zur ePA
- LfD Bayern: Auskunft aus dem Melderegister an politische Parteien vor Wahlen
- LfD Bayern: Aktualisierung des Arbeitspapiers „Sozialdatenschutz und DS-GVO“
- LfD Bayern: Strafanzeige als TOM nach Hackerangriff?
- LfDI Rheinland-Pfalz: Datenschutzrechtliche Hinweise zur Wahlwerbung
- DSB Österreich: Serviceprojekt für KMU zusammen mit der Wirtschaftskammer
- CNIL: Practical Guide zum Transfer Impact Assessment
- CNIL: KI und DS-GVO
- Luxemburg: KI-Systeme, die nach dem AI Act verboten sind
- Schweiz: Leitfaden zur Meldung von Datenschutzverletzungen
- ICO: Mythen zu KI und Datenschutz
- BSI: „Wechsel dein Passwort-Tag“
- BSI: Codeanalyse von Open Source Software (CAOS) – Nextcloud
- BSI: TR-03172 „Portalverbund“ nach OZG
- BSI: Warnung vor „Sextortion“
- BaFin: Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen
- BKartA: Bedenken bei Apples App Tracking Transparency Framework (ATTF)
- EDSA: Pseudonymisierung – auch als Zusammenfassung
- LfD Bayern: Kurz-Information 58 Meldung nach Art. 33 nach Hackerangriff
- LfDI Rheinland-Pfalz: Aktionsplan 2025: „Better safe than sorry”
- LDI Niedersachsen: Empfehlungen zum Einsatz von DeepSeek
- Bremen: Neuer LfDI in Bremen
- LDI NRW: Hinweise zu Videoüberwachung
- LfDI Baden-Württemberg: Datenfreiheit-Podcast mit KI-Themen
- LfDI Mecklenburg-Vorpommern: ITEC Cares Award 2025 in der Kategorie „staatliches Engagement“
- Niederlande: Konsultation zu Art. 5 KI-VO zur Bewertung der Vorhersage von Straftaten
- Niederlande: Rückmeldungen zum Einsatz von KI in Bildungseinrichtungen
- Belgien: Anforderungen bei Unternehmenstransaktionen
- Spanien: Altersüberprüfung im Internet zu Zwecken des Jugendschutzes
- Schweden: Leitlinien für die Nutzung generativer KI durch öffentliche Verwaltung
- UK: Konsultation zu Guidance zu Speicher und Zugangstechnologien
- BSI: Smart-Meter-Gateway – Cybersicherheit für die Digitalisierung der Energiewirtschaft
- BSI: IT-Grundschutz-Profil für kleine und mittlere Flughäfen
- EDSA: Koordinierte Durchsetzung des Rechts auf Löschung
- EDSB: Veröffentlichung zur Einwilligung in die Verarbeitung von Gesundheitsdaten
- BayLDA: Entscheidungen zu World Foundation
- Berlin: Wieder Schulungen für Vereine, KMU und Start-Ups
- Berlin: Häufige Ursachen von Datenpannen
- LfDI Baden-Württemberg: E-Learning-Kurs zu Datenschutz und Informationsfreiheit
- LDI NRW: Wärmebilder und der Datenschutz
- LfD Sachsen-Anhalt: Zukunftstag am 3. April 2025
- Hamburg: Zulässigkeit von Straßenfotografie
- Bremen: Zertifizierungsstandard „DSGVO – information privacy standard“
- Luxemburg: Hinweise zu DeepSeek
- Liechtenstein: Gestaltung von Cookiebannern
- Niederlande: Risiken bei KI-Chatbots
- Niederlande, Spanien und UK: Konsultation / Information zu Eingriffen in KI
- BSI: Sicherheitsanforderungen an Urbane Datenplattformen
- BSI: Sicherheitsanforderungen an Datenbanksystemen
- BSI: Zertifizierungsstelle zu EUCC
- BSI: Drohnen als Bedrohung
- ENISA: Call for Experts for the Renewal of the Advisory Group
- ENISA: NIS360 2024
- Rechtsprechung
- EuGH: Haftung eines Online-Marktplatzes nach DS-GVO (C-492/23)
- EuGH: Unternehmensbegriff in der DS-GVO bei Bußgeldverfahren (C-383/23)
- BGH: Verwertbarkeit von EncroChat-Daten beim Cannabis-Handel
- OLG Schleswig: Anforderungen aus Art. 32 DS-GVO beim E-Mail-Versand von Rechnungen
- LG Lübeck: Unterlassungsklagen gegen rechtswidrige Datenverarbeitung (hier Meta)
- BSG: Kein immaterieller Schadenersatz bei verspäteter Auskunft nach Art. 15 DS-GVO
- OLG Bamberg: Anforderungen an § 21 Abs. 2 TDDDG
- OLG Köln: Keine private Wohnanschrift des Geschäftsführers im Handelsregister erforderlich
- LG Nürnberg-Fürth: Beschlagnahmeanforderungen von Patientendaten beim Arzt
- LG Nürnberg-Fürth: Zugangsdaten als Geschäftsgeheimnis
- LG Wiesbaden: Anforderungen an Artt. 20 und 82 DS-GVO
- OLG Hamburg: Rechtsprechung zu Schadenersatz nach falscher Schufa-Einmeldung
- BVwG Österreich: Finale Geldbuße gegen Österreichische Post i.H.v. 16 Mio. Euro
- BAG: Arbeitgeber muss E-Mail-Adressen nicht an Betriebsrat geben
- LG Berlin: Zugangsermöglichung nach Art. 40 Abs. 12 DSA
- BGH: Vorlagefragen an den EuGH zum Haftungsrückgriff auf die Geschäftsführung
- Berlin: Massenklage gegen TikTok und X
- Belgien: Urteil im Vorlageverfahren von (C-604/22) gegen IAB
- EuGH-Vorschau: Rückwirkende Berichtigung bei Anpassung des Geschlechts (C-24/23)
- BGH: Immaterieller Schadenersatz i.H.v. 500 Euro bei falscher Einmeldung an Auskunftei
- BGH: Löschanspruch bekommen heißt nicht Löschanspruch durchsetzen
- BGH: Aussetzung des Verfahrens gegen Facebook wegen Hatespeech
- EuGH: Fragen zur Haftung von Portalen für rechtswidrige Inhalte (C-492/23)
- LG Berlin: Wettbewerbsrechtliche Klage von idealo gegen Google
- ÖVwGH: Anforderungen an Widerrufsmöglichkeit bei Onlineangeboten
- Bezirksgericht Amsterdam: Anforderungen an Text- und Data Mining
- Niederlande: Diskriminierung durch Facebook durch Ausspielen von Stellenanzeigen
- Cour d´appel de Paris: Anwalts-E-Mail-Account bei Google nicht die beste Idee
- EuGH-Vorschau: Verfahren zur KI-VO (C-806/24)
- EuGH-Vorschau: Fragen zur Vereinbarkeit von ZPO und DS-GVO
- EuGH: Anspruch auf Zugang zu einer Plattform mit beherrschender Stellung (C-233/23)
- EuGH: Wer kann Verantwortlicher sein? (C-638/23)
- EuGH: Nachvollziehbarkeit bei Algorithmen / Betriebsgeheimnisse (C-203/22)
- VGH München: Datenschutzrechtliche Ansprüche bei Jugendamtsakten
- AG Chemnitz: Verjährung von Auskunftsansprüchen
- VGH München: Einsichtnahme in Auftragsverarbeitungsvereinbarung durch Betroffene
- OVG NRW: TLS-Verschlüsselung ausreichend in E-Mail-Kommunikation
- OVG Rheinland-Pfalz: Keine pauschale Sperrwirkung der Antworten von OpenAI
- Österreichisches BVwG: Österreichische Post – und deren Datenschutzbeauftragte
- BVwG: Angabe von Empfängern bei Auskunft
- Österreichischer OGH: Anforderung an die Erforderlichkeit bei Art. 9 Abs. 2 lit. f DS-GVO
- BGH: Kontrollverlust bei rechtswidriger E-Mail-Werbung und Schadenersatz
- BFH: Unverhältnismäßiger Aufwand bei Finanzamt ist kein Grund gegen Auskunft
- Überblick über Anforderungen an immateriellen Schadenersatz
- Podcast zu EuGH-Rechtsprechung
- EuGH-Vorschau: Unterlassungsanspruch bei unrechtmäßiger Weiterleitung? (C-655/23)
- EuG-Vorschau: Mündliche Verhandlung in T-553/23 zum TADPF
- Gesetzgebung
- EU-Vorhaben in den nächsten Jahren
- EU: Erstmal keine KI-Haftungsvorgaben
- EU: Erstmal keine ePrivacy-Verordnung
- EU-Kommission: Guidelines zu Art. 5 KI-VO
- Vatikan: Verhältnis von künstlicher Intelligenz und menschlicher Intelligenz
- CSAM: Polen bringt Vorschlag zu freiwilligem Rahmen bei der Überwachung ein
- EHDS: European Health Data Space
- Vereinigtes Königreich: Backdoor für Apple-Produkte?
- Richtlinie zur Verbesserung der Arbeitsbedingungen in der Plattformarbeit
- ThinkTank des EP: Fact-checking and content moderation
- USA: Executive Order und Memorandum – Auswirkungen auf Vertrauen
- Europa: Gesundheitsdatenraum
- Europa: KI-Haftungs-Regulierung
- EU: Omnibus-Pakete zur Deregulierung
- Reform der Datenschutzaufsicht
- Konrad Adenauer Stiftung zum Digitalministerium
- Barrierefreiheitsanforderungen für Webseiten und Apps
- UK: Stellungnahme des ICO zum geplanten Gesetz zu Datenzugang und Nutzung
- Diskussion um die DS-GVO
- Vertragsverletzungsverfahren gegen Deutschland wegen Fristverzug bei der Umsetzung der Whistleblower-Richtlinie
- USA: Das TADPF wankt
- Künstliche Intelligenz und Ethik
- Künstliche Intelligenz und Privatsphäre
- KI-Kompetenz
- Microsoft: Einfluss von Generativer KI auf kritisches Denken?
- KI kann wunderbar programmieren – und gegen Lizenzrechte verstoßen
- zki: Handlungsempfehlungen und Merkblatt zu KI an Hochschulen
- Praxisleitfaden „Drehbuch und KI“
- LLM im Umfeld von Verwaltungsentscheidungen
- Was ist Juriskop? Chatbot in der juristischen Einzelfallberatung
- OpenAI, Energie und Ethik
- KI-Urheberrechtsstreit USA
- OECD: Code of Conduct zu Urheberrechten und Training einer KI
- NSA: „Content Credentials“
- Übersicht über globale KI-Regulatorik
- DIN SPEC: Deep-Learning-Bilderkennungssysteme – auch in der Medizin
- ISO/IEC 42001
- DStV: Whitepaper zu KI-Assistenten
- WPK: FAQ zum Einsatz von KI in der WP-Praxis
- ORF: KI-Guidelines „Glaubwürdig, Verlässlich, Innovativ“
- MIT: AI Agent Index
- OWASP: Leitfaden zu agentischen KI-Anwendungen
- Schwachstellen von LLM – und was Indiana Jones damit zu tun hat
- Rechtsgrundlagen für Datenverarbeitung für / mit KI
- KI und Privatsphäre
- KI und Persona
- Studie zu Fehlausrichtungen bei LLM
- Studie zu Schwachstellen und Risiken kommerziell genutzter KI-Agenten
- ISO/IEC DIS 27090
- KI und Ethik-Design
- Forschungsprojekt Shuffle: Ethische Leitlinien zur digitalen Barrierefreiheit
- OECD: Vorschlag zur Berichterstattung über Incidents bei KI
- Veröffentlichungen
- Interview mit Daniel J. Solove
- Teletrust Positionspapier Cyber-Nation
- Haftung des Dienstleisters nach Ransomwareangriff
- Berechtigtes Interesse und Einwilligungsanforderungen bei Einmeldung an Auskunftei
- DORA: Vertragsanpassungen erforderlich bei Überarbeitung der RTS?
- VZ Bayern: Anforderungen an einen Kündigungsbutton
- Besprechung des Urteils zur Haftung von Google bei wettbewerbswidriger Werbung
- D-Trust mal wieder
- Data Act: Einfluss auf DS-GVO, ePrivacy und Einwilligung
- BFH: Einsicht in Steuerakten
- Gutachten zu Broad Consent – Datenschutz im Gesundheitswesen
- Änderungen beim Cloudanbieterverband CISPE
- Google Chrome: Der Browser im Datenschutz-Check
- vzbv: personalisierte Werbung: Regulierung überfällig
- Umgang mit sensiblen Daten in Onlineshop
- Regulierung digitaler Geschäftsmodelle
- Microsoft: EU Boundary
- DSFA am Beispiel von Microsoft
- Microsoft-Lizenzen des Bundes teurer
- Dark Pattern Detection Project
- Fragestellungen zur Pseudonymisierung
- CEDPO: Kurzpapier zu Grundrechte-Folgenabschätzung
- Podcast zum Beschäftigtendatenschutz
- GDD: Praxishilfe zum Hinweisgeberschutzgesetz
- „Find my“ – auch wenn ich es nicht will? Sicherheitslücke bei iPhones?
- NIST: Guidelines for Evaluating Differential Privacy Guarantees
- Veranstaltungen
- DGRI: „Haftung für Datenübermittlungen in Drittländer“ -neu-
- BSI: „NIS2: Wissen, wie es weitergeht!“ -neu-
- Stiftung Datenschutz: Datenschutz und MS 365 Teil II – Rechtliche Aspekte in der Diskussion -neu-
- Stiftung Datenschutz: „Datenschutz im Verein“ für Vorstände und Verantwortliche im Verein -neu-
- Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
- Gesellschaftspolitische Diskussionen
- Verkauf von Standortdaten: „Databroker Files“
- GI: Selbstbestimmung in der digitalen Gesellschaft
- Forderung nach Maßnahmen gegen Google
- YouTube-Algorithmus laut Studie kaum polarisierend
- Extremistische Anzeigen bei Meta und X
- Dänemark und Niederlande: Schule / Kinder ohne Handy?
- Verantwortung für „Content Moderation“ bei Plattformen
- Risiken bei Standortdaten
- Sonstiges / Blick über den Tellerrand
- Cybergrooming – Wo findet es statt?
- Fake News oder Fakten – digitale Informationskompetenz von Jugendlichen
- Ars Boni: Druck sozialer Medien auf rechtsstaatliche Institutionen
- Landtag Mecklenburg-Vorpommern: Jung sein in Mecklenburg-Vorpommern
- Gefahr für Gleichberechtigung und Vielfalt durch Fake News
- Handyverbot an Schulen in Schleswig-Holstein?
- Nachrichtenmüdigkeit bei Jugendlichen und Möglichkeiten der Gegensteuerung
- Auswirkungen von TikTok auf das Gehirn – Hintergrund der Massenklage
- Nutzung von Künstlicher Intelligenz durch Kinder
- Digitale Souveränität in Europa
- Digitale Souveränität in Nigeria – diesmal richtig?
- Social Media Matrix: Kurznachrichtendienste
- Gewaltvideos auf Instagram
- QR-Code als Falle
- Ende der Ende-zu-Ende-Verschlüsselung bei der digitalen Kommunikation?
- Signal verlässt Schweden?
- Apple wehrt sich gegen Backdoor
- Franks Zugabe
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Konsultation zu Art. 48 DS-GVO (Guidelines 02/2024)
Freundlicherweise macht der EDSA die Rückmeldungen zur Konsultation zu den Guidelines 02/2024 zu Art. 48 DS-GVO öffentlich. Und so kann hier die Stellungnahme der US-Regierung nachgelesen werden. Sie bittet darin z.B. Aussagen, die missverständlich sind oder im Widerspruch zu Art. 18 Abs. 1 lit. a des Budapester Übereinkommens stehen können, anzupassen. Danach ist jede Vertragspartei des Übereinkommens verpflichtet innerstaatliche Rechtsvorschriften zu erlassen, nach denen die zuständigen Behörden Anbieter in ihrem Hoheitsgebiet zur Offenlegung elektronischer Daten, die sich in ihrem Besitz oder unter ihrer Kontrolle befinden, zwingen können. Im Erläuternden Bericht zu Artikel 18 wird ausdrücklich darauf hingewiesen, dass der Artikel Folgendes umfasst: „Situationen, in denen sich die vorzulegenden Daten außerhalb des physischen Besitzes der Person befinden, die Person aber dennoch die Produktion der Daten vom Gebiet der bestellenden Vertragspartei aus frei kontrollieren kann“. Diese Formulierung verlange, dass sich die Person, die die Kontrolle über die Daten hat, im Gebiet der Vertragspartei befinden muss, stellt aber keine ähnliche Anforderung an den Ort, an dem sich die Daten befinden.
1.2 EDSA: Stellungnahme 01/2025 zur Altersverifikation
Der EDSA hat seine Stellungnahme 01/2025 zur Altersverifikation veröffentlicht. Darin listet der EDSA zehn Grundsätze für die konforme Verarbeitung personenbezogener Daten bei der Bestimmung des Alters oder der Altersspanne einer Person auf. Die Erklärung zielt darauf ab einen kohärenten europäischen Ansatz für die Alterssicherung zu gewährleisten, um Minderjährige zu schützen und gleichzeitig die Datenschutzgrundsätze einzuhalten. Zudem soll bei diesem Thema auch mit der Europäischen Kommission bei der Altersüberprüfung im Rahmen der Arbeitsgruppe zum Gesetz über digitale Dienste (DSA) zusammengearbeitet werden.
1.3 EDSA: Ausweitung der TaskForce zur Durchsetzung bei KI
Der EDSA beschloss auch den Anwendungsbereich der ChatGPT-Taskforce auf die Durchsetzung von KI auszuweiten. Außerdem müssten die Maßnahmen der Datenschutzbehörden in dringenden sensiblen Angelegenheiten koordiniert werden, daher werde zu diesem Zweck ein Krisenreaktionsteam eingerichtet.
1.4 EDSA: Prozessleitfaden für den Umgang mit strategischen Fällen
Der EDSA veröffentlichte seinen Prozessleitfaden für den Umgang mit strategischen Fällen. Hintergrund ist eine Vereinbarung aus einem EDSA-Termin im April 2022, um die Zusammenarbeit bei Fällen von strategischer Bedeutung zu verstärken und die Palette der Kooperationsmethoden zu diversifizieren, um diese Fälle zu bearbeiten. Es wurde insbesondere beschlossen, dass die Mitglieder des EDSA gemeinsam grenzüberschreitende Fälle von strategischer Bedeutung in Mitgliedstaaten ermitteln, bei denen die Zusammenarbeit vorrangig und vom EDSA unterstützt wird. Läuft.
1.5 EDSA veröffentlicht halbjährlichen CSC-Bericht
Der EDSB hat den Tätigkeitsbericht des Ausschusses für koordinierte Aufsicht (CSC) für den Zeitraum Juli 2022 bis Dezember 2024 veröffentlicht. In den letzten zwei Jahren hat der Ausschuss für die Koordinierte Aufsicht an der Integration der großen EU-Informationstechnologiesysteme in seinem Zuständigkeitsbereich gearbeitet. Während des Berichtszeitraums übernahm er die Aufsicht über das aktualisierte Schengener Informationssystem (SIS) und das Visa-Informationssystem (VIS).
Darüber hinaus bereitete der Ausschuss die Einführung neuer Systeme und die Umsetzung der Interoperabilitätsvorschriften vor. Der Ausschuss hat auch eine Reihe von Empfehlungen zu den Transparenzverpflichtungen des Binnenmarktinformationssystems (IMI) für die für die Datenverarbeitung Verantwortlichen veröffentlicht.
Mit Blick auf die kommenden Jahre sei der CSC bereit weitere EU-IT-Systeme und EU-Einrichtungen, -Ämter und -Agenturen in seinen Aufgabenbereich aufzunehmen. Da sich das Spektrum der Tätigkeiten des CSC weiter ausdehnt, wird der Ausschuss seine Organisation und Arbeitsweise ständig überprüfen, um eine wirksame und effiziente Aufsicht zu gewährleisten. Darüber hinaus will der CSC weiterhin die nationalen Datenschutzbehörden bei ihrer Arbeit unterstützen, indem er die Auslegung der EU- und der nationalen Rechtsvorschriften weiter klärt. Der Ausschuss wird auch den Austausch von Informationen und bewährten Verfahren fördern und Unterstützung für gemeinsame Audits und koordinierte Inspektionen leisten.
1.6 EDSA: Empfehlungen 01/2025 zum World Anti-Doping Code der WADA
Der EDSA veröffentlichte seine Empfehlungen 01/2025 zu der Überarbeitung des Welt-Anti-Doping-Codes der WADA und den damit verbundenen Standards auf Bitte der EU-Kommission.
1.7 BfDI: Bekenntnis zum lösungsorientierten Datenschutz
Die BfDI veröffentlichte hier in diesem Zeitungsbetrag ihre Einstellung und Vorhaben zu einem lösungsorientierten Datenschutz. Sie möchte auch das Beratungsangebot ausbauen, insbesondere zu den Themenfeldern Gesundheit, KI und Sicherheit.
1.8 BfDI: Checkliste für Kundenbestandsdaten in Vertrieb und Service
Telekommunikationsanbieter verwalten typischerweise eine Vielzahl relevanter personenbezogener Daten Ihrer Kundinnen und Kunden. Die DS-GVO verpflichtet die Anbieter dazu für den Schutz dieser personenbezogenen Daten geeignete technische und organisatorische Maßnahmen umzusetzen. Zu den personenbezogenen Daten, die Telekommunikationsanbieter typischerweise verarbeiten, gehören Name, Geburtsdatum, Postanschrift, Bankverbindung, E-Mail-Adresse und Rufnummern. Diese Daten sind bereits als solches für Angreifer interessant. Zusätzlich gehört zum Geschäftsmodell der Telekommunikationsanbieter der Umgang mit teurer Hardware. Mobilfunknummer oder E-Mail-Adressen werden zudem oft als Sicherheitsanker anderer Dienste genutzt. Insgesamt besteht also ein relevantes Risiko sowohl für Kundinnen und Kunden als auch für die Telekommunikationsanbieter selbst durch einen unberechtigten Zugriff auf diese Daten oder eine Datenänderung durch Kriminelle persönliche oder finanzielle Schäden zu erleiden.
Um hier den Anforderungen des Art. 32 DS-GVO entsprechende Schutzmaßnahmen zu haben, hat die BfDI als Hilfestellung eine Checkliste zum Umgang mit Kundenbestandsdaten im Vertrieb für Telekommunikationsunternehmen aus einer datenschutzrechtlichen Perspektive veröffentlicht, um die Analyse der Risiken in Bezug auf personenbezogene Daten zu erleichtern.
1.9 BfDI: Information zur ePA
Auch die BfDI veröffentlicht Hinweise rund um die elektronische Personalakte (ePA).
1.10 LfD Bayern: Auskunft aus dem Melderegister an politische Parteien vor Wahlen
Insbesondere vor Wahlen erreichen die Datenschutzaufsichten vermehrt Anfragen, die Auskünfte aus dem Melderegister an politische Parteien betreffen. Mit solchen Auskünften gewinnen Parteien eine Datengrundlage für ihre Wahlwerbung. Eine Auskunft aus dem Melderegister an politische Parteien zum Zweck der Wahlwerbung ist nach Maßgabe der einschlägigen fachgesetzlichen Befugnis im Grundsatz zulässig. Bürgerinnen und Bürger haben es aber in der Hand durch vorherigen Widerspruch bei der Meldebehörde eine solche Auskunft aus dem Melderegister zu verhindern. Mit seiner Aktuelle Kurz-Information 28 erklärt der LfD Bayern die maßgeblichen Regelungen.
1.11 LfD Bayern: Aktualisierung des Arbeitspapiers „Sozialdatenschutz und DS-GVO“
Der LfD Bayern hat sein Arbeitspapier zum Sozialdatenschutz aktualisiert. Erforderlich wurde dies, weil sich einige Vorschriften – insbesondere bei der Sozialhilfe, bei der Ausstellung elektronischer Rezepte für verschreibungspflichtige Medikamente oder zur elektronischen Patientenakte – änderten.
1.12 LfD Bayern: Strafanzeige als TOM nach Hackerangriff?
In seiner Kurz-Information 57 setzt sich der LfD Bayern mit Fragestellungen zur Strafanzeige nach einem Hackerangriff auseinander. Diese ersetze nicht die Meldepflicht aus Art. 33 DS-GVO. Aber sie könne trotzdem auch als technisch-organisatorische Maßnahme (TOM) bewertet werden, stünden den staatlichen Ermittlungsbehörden doch ganz andere Erkenntnismöglichkeiten zur Verfügung.
1.13 LfDI Rheinland-Pfalz: Datenschutzrechtliche Hinweise zur Wahlwerbung
Auch in Rheinland-Pfalz gibt es Wahlwerbung an den Straßenrändern und im Briefkasten, so dass auch der LfDI Rheinland-Pfalz auf seiner Webseite Hinweise zu den datenschutzrechtlichen Aspekten zur Wahlwerbung mit Adressdaten vom Meldeamt veröffentlicht.
1.14 DSB Österreich: Serviceprojekt für KMU zusammen mit der Wirtschaftskammer
Die österreichische Datenschutzbehörde kündigt ein Serviceprojekt für KMU zur Umsetzung der DS-GVO zusammen mit der Wirtschaftskammer an. Geplant ist dabei die Entwicklung eines gemeinsamen DS-GVO-Serviceportals mit Online-Self-Assessment in Form eines Onlineratgebers, einem umfassenden Serviceangebot entlang der Lebenszyklusphasen von KMU (z.B. Unternehmensgründung, Einstellung von Mitarbeiter:innen, Aufbau einer Webpräsenz, Außenhandel, Auslagerung von DS-GVO-relevanten Prozessen, Betriebsübergabe) und Informationen für Zweifelsfragen in verschiedenen datenschutzrelevanten Bereichen, in denen aktuell Unsicherheiten bestehen (z.B. K.I.). Das Projekt hat eine Laufzeit von zwei Jahren, danach werden die Ergebnisse ausführlich präsentiert.
1.15 CNIL: Practical Guide zum Transfer Impact Assessment
Chapeau! Nicht nur, dass die französische Datenschutzaufsicht CNIL eine Hilfestellung zu einem Transfer Impact Assessment (TIA) anbietet, sondern auch, dass diese zusätzlich auch in Englisch veröffentlicht wird! Eine TIA wird erforderlich, wenn ein Datentransfer in einen Drittstaat ohne Angemessenheitsbeschluss der EU-Kommission erfolgen soll oder der Datentransfer nicht auf einer Ausnahme nach Art. 49 DS-GVO – wie einer expliziten Einwilligung – beruht. In dem Practical Guide finden sich dann u.a. Aussagen dazu, wann ein TIA erforderlich ist und welche Möglichkeiten es zu einem Drittstaatentransfer nach Art. 46 DS-GVO gibt. Zusätzlich werden anhand von sechs Schritten die unterschiedlichen Aspekte herausgearbeitet, die bei einem TIA dokumentiert werden sollten.
Hervorzuheben ist dabei auch, dass die CNIL transparent die Änderungen beschreibt, die durch das vorherige Konsultationsverfahren, aber auch durch die Berücksichtigung zwischenzeitlicher Aussagen des EDSA, erfolgten.
1.16 CNIL: KI und DS-GVO
Die CNIL veröffentlicht neue Empfehlungen zur Unterstützung verantwortungsvoller Innovation. Damit will sie konkrete Lösungen zur Information von Personen, deren Daten verwendet werden, und zur Erleichterung der Ausübung ihrer Rechte anbieten. Dies umfasst auch eine öffentliche Konsultation zu Merkblättern zu Informationen und die Ausübung von Rechten bei der Entwicklung von KI-Systemen und Hinweise zur Umsetzung der Informationspflichten.
1.17 Luxemburg: KI-Systeme, die nach dem AI Act verboten sind
Die luxemburgische Datenschutzkommission veröffentlichte Hinweis zu nach der KI-VO verbotenen KI-Systemen und stellte dabei auch die Auswirkungen auf den Schutz personenbezogener Daten dar.
1.18 Schweiz: Leitfaden zur Meldung von Datenschutzverletzungen
Der Eidgenössische Datenschutz und Öffentlichkeitsbeauftragte (EDÖB) hat einen Leitfaden zur Meldung von Datensicherheitsverletzungen veröffentlicht. Er behandelt darin die rechtlichen Voraussetzungen für die Meldung von Datensicherheitsverletzungen an den EDÖB, insbesondere den Begriff des «voraussichtlich hohen Risikos» von Art. 24 Abs. 1 DSG. Er definiert auch die Voraussetzungen für die Information der betroffenen Personen bei einer Verletzung der Datensicherheit nach Art. 24 Abs. 4 DSG.
1.19 ICO: Mythen zu KI und Datenschutz
Der ICO klärt über Mythen zu KI und Datenschutz auf. Dies umfasst Aussagen wie „Menschen haben keine Kontrolle darüber, dass ihre persönlichen Daten zum Trainieren von KI verwendet werden“, „KI-Entwickler können die Daten von Menschen nutzen ohne sie transparent zu machen“, „Datenschutz gilt nicht, wenn KI-Entwickler nicht beabsichtigen die personenbezogenen Daten von Menschen zu verarbeiten“, „KI-Modelle selbst sind nicht mit Datenschutzrisiken verbunden“ und „KI-Entwicklung sollte vom Gesetz ausgenommen werden“.
1.20 BSI: „Wechsel dein Passwort-Tag“
Ja, regelmäßiger, anlassloser Passworttag war gestern – jetzt sollte der „Wechsel dein Passwort-Tag“ eher genutzt werden als „Überlege, ob deine Passwortstrategie noch aktuell ist“. Zumindest, wenn ein Passwort aktuellen Vorgaben hinsichtlich der Komplexität genügt, sollte es nur gewechselt werden, wenn es Hinweise gibt, dass es bekannt / abgezogen worden sein könnte. Und für das Verwalten vieler komplexer Passworte können Passwortmanager eingesetzt werden. So zumindest lautet die Empfehlungen des BSI dazu, das auch eine Hilfestellung für sichere Passwörter veröffentlichte. Und schön, dass die Thematik auch außerhalb der Fachpresse angesprochen wird. Der CCC empfiehlt Passkeys, dabei wird auf dem Gerät ein kryptografischer Schlüssel gespeichert und dort zusätzlich durch PIN oder Biometrie (z.B. Fingerabdruck/Gesichtserkennung) geschützt.
Besteht der Verdacht, dass ein Passwort z.B. in einem Datenleck enthalten war, sollte der Nutzer das Passwort ändern. Mögliche Anzeichen für einen Fremdzugriff sind auch etwa, dass Einstellungen verändert oder E-Mails verschickt wurden, die der jeweilige E-Mail-Kontobesitzer nicht selbst versandt hat. Für das weitere Vorgehen für einen solchen Ernstfall hat das BSI einen Notfallplan veröffentlicht.
1.21 BSI: Codeanalyse von Open Source Software (CAOS) – Nextcloud
Das BSI hat nach eigenen Angaben die Open Source Kollaborationssoftware Nextcloud auf ihre Sicherheitseigenschaften untersucht. Dabei wurden mehrere Schwachstellen identifiziert. Nach der Mitteilung durch das BSI hat das Entwicklungsteam schnell reagiert und sich mit den gefundenen Sicherheitslücken befasst. Die Analyse des BSI erfolgte im Rahmen des Projekts „Codeanalyse von Open Source Software<"/a> (CAOS 3.0). Die Prüfung umfasste neben Nextcloud auch die Erweiterungen „Two-Factor Admin Support“, „Two-Factor Email“, „Two-Factor TOTP Provider“ und „Two-Factor Webauthn“. Die Ergebnisse der Untersuchungen wurden nach einem Responsible-Disclosure-Verfahren auf den Seiten des BSI veröffentlicht, ebenso wie die Anhänge zur Codeanalyse (4,6 Gigabyte!).
1.22 BSI: TR-03172 „Portalverbund“ nach OZG
Das BSI hat die ersten Dokumente der Technischen Richtlinie TR-03172 „Portalverbund“ veröffentlicht. Das Rahmendokument der Technischen Richtlinie sowie die Teile 3 „Onlinedienst<"/a> sowie 4 „Antragsrouting<"/a> stehen ab sofort in der Version 1.0 bereit. Bei dem im Onlinezugangsgesetz definierten Portalverbund handelt es sich um die technische Verknüpfung der Verwaltungsportale von Bund und Ländern. Der Portalverbund soll Bürgerinnen und Bürgern, aber auch Unternehmen und Organisationen den elektronischen Zugang zu den Leistungen der öffentlichen Verwaltung ermöglichen. Die Technische Richtlinie TR-03172 Portalverbund richtet sich an die Verantwortlichen für die Umsetzung von Bestandteilen des Portalverbunds. Sie formuliert Anforderungen zur Gestaltung der Informationssicherheit im Portalverbund und angeschlossener Komponenten. Die Technische Richtlinie wurde zusammen mit den Ländern erarbeitet und liegt nun nach zwei öffentlichen Kommentierungsrunden in der Version 1.0 vor. Weitere Teile sind in Vorbereitung.
1.23 BSI: Warnung vor „Sextortion“
Bei „Sextortion“ werden natürliche Personen mit intimen Bildern erpresst, die oft vorher erschlichen wurden. Zunehmend kommen dabei Jugendliche und Kinder ins Visier der Täter. Das BSI informiert anlässlich des Valentinstages dazu. Es verlinkt auch zu weiteren Informationen und Hilfsangeboten wie der Polizeiprävention, Hinweisen zu einem Gespräch mit Kindern zu den Risiken im Netz oder zu gefährlichen E-Mails.
Und ein Hinweis, der mir neulich begegnete: Als Eltern den Kindern und Jugendlichen vermitteln, dass die Konsequenz bei Fragen zu „verdächtigen“ oder verstörenden Inhalten im Netz nie die Konsequenz sein wird, dass ihnen das Smartphone oder sonstiger Zugang ins Netz gesperrt würde – das hindere Kinder/Jugendlich oft daran sich bei Problemen mit / über das Smartphone an die eigenen Eltern zu wenden.
1.24 BaFin: Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen
Da die Unternehmen des Finanzsektors immer mehr IT-Dienstleistungen an spezialisierte Anbieter auslagern und dies neben Vorteilen auch zu einer zunehmenden Verflechtung und zu damit einhergehenden Konzentrationsrisiken führen, äußert sich auch die BaFin dazu.
Es befasst sich mit den Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen, und führt als Beispiel auf, dass insbesondere dann, wenn eine geringe Anzahl spezialisierter IT-Dienstleister ihr Angebot für eine Vielzahl von Unternehmen des Finanzsektors zur Verfügung stelle, Konzentrationsrisiken entstehen können. Diese Problematik kann sich durch Weiterverlagerungen der Dienstleister auf eine Kette von weiteren Dienstleistern verschärfen. Die BaFin gibt daher Empfehlungen wie z.B. ein Risikomanagement, dass auch eine Multi-Vendor-Strategie berücksichtigt. Sie betont aber auch, die Wichtigkeit des DORA-Überwachungsrahmenwerk für die EU-Finanzmarktregulierung.
1.25 BKartA: Bedenken bei Apples App Tracking Transparency Framework (ATTF)
Das Bundeskartellamt äußert Bedenken gegen Apples sogenanntes App Tracking Transparency Framework (ATTF). Seit Einführung des ATTF im April 2021 müssen Anbieter von Apps im iOS-AppStore eine zusätzliche Einwilligung der Nutzenden einholen, bevor sie Zugang zu bestimmten Daten für Werbezwecke bekommen. Die engen Anforderungen des ATTF gelten jedoch nur für andere App-Anbieter und nicht für Apple selbst. Darin könnte nach vorläufiger Auffassung des Bundeskartellamtes ein Verstoß gegen die besonderen Missbrauchsvorschriften für große Digitalunternehmen (§ 19a Absatz 2 GWB) sowie gegen die allgemeinen Missbrauchsvorschriften des Artikel 102 AEUV liegen. Apple hat jetzt Gelegenheit zu den Vorwürfen Stellung zu nehmen.
Zu Apple und Tracken hatten wir ja immer mal wieder was, wie hier und da.
Das Bundeskartellamt prüft das Verhalten Apples als Unternehmen, für das eine überragende marktübergreifende Bedeutung für den Wettbewerb gemäß § 19a Abs. 1 GWB festgestellt ist. Das ATTF-Verfahren schließt sich an diese Feststellungsentscheidung des Bundeskartellamtes vom 3. April 2023 an, die am 28. Januar 2025 vor dem Bundesgerichtshof verhandelt wurde. Als Verkündungstermin wurde der 18. März 2025 anberaumt. Das Bundeskartellamt kooperiert in dem Verfahren eng mit der Europäischen Kommission und mit anderen nationalen Wettbewerbsbehörden, die das ATTF parallel in eigenen nationalen Wettbewerbsverfahren untersuchen.
1.26 EDSA: Pseudonymisierung – auch als Zusammenfassung
Über die Guidelines 01/2025 des EDSA zur Pseudonymisierung hatten wir schon berichtet. Dazu gibt es nun auch eine Zusammenfassung des EDSA.
Und auch hier gilt: Änderungen durch neue Erkenntnisse oder ein Urteil des EuGH sind nicht ausgeschlossen, zur Zeit warten wir ja auch die Entscheidung im Verfahren C-413/23, wobei die Schlussanträge des Generalanwalts schon veröffentlicht worden sind. Und durch die Konsultation zu den Guidelines könnten sich auch noch Anpassungen ergeben.
1.27 LfD Bayern: Kurz-Information 58 Meldung nach Art. 33 nach Hackerangriff
Der LfD Bayern klärt angesichts der Hackerangriffe auf bayerische öffentliche Stellen zu den Meldepflichten nach Art. 33 DS-GVO in seiner Kurz-Information 58 auf. So müssen bayerische öffentliche Stellen auch aktiv werden, wenn der Hackerangriff „nur“ den eigenen Auftragsverarbeiter betrifft. Zudem darf die Meldepflicht „abschichtend“ erfüllt werden.
1.28 LfDI Rheinland-Pfalz: Aktionsplan 2025: „Better safe than sorry”
Was der LfDI Rheinland-Pfalz für das Jahr 2025 plant, hat er in seinem Aktionsplan 2025 veröffentlicht. Er möchte einen klaren Fokus auf die Begleitung, Beratung und Überprüfung von Verantwortlichen im Rahmen von Digitalisierungsprojekten und beim Einsatz von Künstlicher Intelligenz (KI) legen. Unter dem Motto „Better safe than sorry“ will er proaktiven Datenschutz fördern, der allen Bürgerinnen und Bürgern dient.
1.29 LDI Niedersachsen: Empfehlungen zum Einsatz von DeepSeek
Auch der LDI Niedersachsen verweist auf die Risiken beim Einsatz von DeepSeek und gibt Tipps auch mit Hinweis auf weitere Quellen zum Umgang damit.
1.30 Bremen: Neuer LfDI in Bremen
Ich hatte es nicht mitbekommen. Und auch auf den Webseiten findet sich keine entsprechende Pressemeldung dazu. Und doch: Wer im (u.a.) Impressum der Webseite des LfDI Bremen nachsieht, entdeckt dort den Namen des LfDI Bremen: Herr Dr. Timo Utermark.
1.31 LDI NRW: Hinweise zu Videoüberwachung
Anlässlich der Zunahme privater Videoüberwachung in NRW um ca. 30 % im Jahr 2024 im Vergleich zum Vorjahr weist die LDI NRW auf ihre bisherigen Hinweise hin.
1.32 LfDI Baden-Württemberg: Datenfreiheit-Podcast mit KI-Themen
In seinem Podcast „Datenfreiheit“ (Dauer ca. 34 Min.) befasst sich der LfDI Baden-Württemberg mit Themen rund um die KI und Bildung. Es geht aber auch um die Datenschutzerklärung von TikTok.
1.33 LfDI Mecklenburg-Vorpommern: ITEC Cares Award 2025 in der Kategorie „staatliches Engagement“
Für sein Projekt „Medienscouts MV – Jugend klärt auf„, das es bereits seit 13 Jahren gibt, erhielt der LfDI Mecklenburg-Vorpommern den ITEC Cares Award 2025 in der Kategorie „staatliches Engagement“, wie er hier berichtet.
1.34 Niederlande: Konsultation zu Art. 5 KI-VO zur Bewertung der Vorhersage von Straftaten
Die niederländische Datenschutzbehörde hat eine Konsultation zur individuellen Risikobewertung und Vorhersage von Straftaten eingeleitet. Art. 5 Abs. 1 lit. d KI-VO verbietet KI-Systeme, die das Risiko einer natürlichen Person, eine Straftat zu begehen, ausschließlich auf der Grundlage von Profiling oder der Bewertung von Persönlichkeitsmerkmalen und -merkmalen bewerten oder vorhersagen. Rückmeldungen sind bis 3. April 2025 möglich.
1.35 Niederlande: Rückmeldungen zum Einsatz von KI in Bildungseinrichtungen
Die niederländische Datenschutzbehörde veröffentlichte die Ergebnisse der Rückmeldungen zur individuellen Risikobewertung des Einsatzes von KI in Bildungseinrichtungen. Im Oktober 2024 rief sie zum Einsenden von Beispielen auf (wir berichteten).
Algorithmen und KI werden in zunehmendem Maße im Bildungssektor eingesetzt, sowohl in der Grund- und Sekundarschulbildung als auch in der Hochschul- und Berufsbildung. Bildungseinrichtungen setzen z. B. adaptive Lernsysteme (AL-Systeme) ein, um ihr Angebot an maßgeschneiderter Bildung zu automatisieren. Im Bildungsbereich werden zunehmend Learning-Analytics-Systeme (LA-Systeme) eingesetzt, mit denen die Bildungseinrichtungen die Lernfortschritte der Schüler oder die Qualität der Ausbildung verbessern wollen. Art. 5 Abs. 1 lit. f KI-VO verbietet es KI-Systemen Emotionen einer natürlichen Person in den Bereichen Arbeitsplatz und Bildungseinrichtungen abzuleiten, es sei denn, die Nutzung des Systems ist aus medizinischen oder Sicherheitsgründen vorgesehen. Emotionserkennungssysteme, die nicht unter das Verbot fallen, gelten gemäß Anhang III KI-VO Nummer 1 Buchstabe c als hochriskant. Art. 50 Abs. 3 KI-VO legt bestimmte Transparenzanforderungen für den Einsatz von Emotionserkennungssystemen fest.
Die niederländische Datenschutzbehörde hat ihre Zusammenfassung veröffentlicht und in den nächsten Schritten wird um Beiträge zum Verbot von KI-Systemen zur Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen gebeten.
1.36 Belgien: Anforderungen bei Unternehmenstransaktionen
Die belgische Datenschutzaufsicht hat zu den Rechtsgrundlagen und der DS-GVO-Konformität bei Unternehmenstransaktionen veröffentlicht. Sie tat das im Kontext einer Bewertung einer Transaktion und rügte dabei das Fehlen einer angemessenen Rechtsgrundlage und unzureichende Transparenzpraktiken im Zusammenhang mit der Übertragung einer Plattform für Stellenausschreibungen und Matching-Dienste auf ein Joint-Venture-Unternehmen. Einen Bericht und mehr Details dazu finden Sie in diesem Blog-Beitrag.
1.37 Spanien: Altersüberprüfung im Internet zu Zwecken des Jugendschutzes
Die spanische Aufsicht AEOD weist darauf hin, dass der Beschluss des EDSA zur Stellungnahme 01/2025 zur Altersüberprüfung von ihr unterstützt wurde. Sie hatte bereits im Dezember 2023 Grundsätze zu dieser Thematik veröffentlicht.
1.38 Schweden: Leitlinien für die Nutzung generativer KI durch öffentliche Verwaltung
Die schwedische Datenschutzaufsicht IMY wurde von der Regierung beauftragt, bei der Entwicklung indikativer Leitlinien zur Förderung des effektiven und effizienten Einsatzes von generativer künstlicher Intelligenz (KI) in der öffentlichen Verwaltung zu unterstützen. Gemäß der Aufgabenstellung sollte IMY als unabhängige Datenschutzbehörde den datenschutzrechtlichen Teil der Leitlinien entwickeln und entscheiden. Das Ergebnis wurde nun veröffentlicht.
1.39 UK: Konsultation zu Guidance zu Speicher und Zugangstechnologien
Der Leitlinienentwurf des ICO zum Einsatz von Speicher- und Zugangstechnologien liegt im Entwurf für die öffentliche Konsultation vor. Die Konsultation läuft bis 14. März 2025.
1.40 BSI: Smart-Meter-Gateway – Cybersicherheit für die Digitalisierung der Energiewirtschaft
In einer neuen Broschüre beschreibt das BSI Smart-Meter-Gateway als zentrale Kommunikationslösung eines intelligenten Messsystems und beleuchtet sowohl die sicherheitstechnischen Vorgaben als auch funktionalen Anforderungen zur Interoperabilität. Zusätzlich werden die Systemarchitektur, die Public-Key-Infrastruktur sowie Vorgaben zum sicheren, technischen Betrieb des intelligenten Messsystems beim Smart-Meter-Gateway-Administrator.
1.41 BSI: IT-Grundschutz-Profil für kleine und mittlere Flughäfen
Das BSI hat ein IT-Grundschutz-Profil für kleine und mittlere Flughäfen veröffentlicht, das in Zusammenarbeit mit Expertinnen und Experten für die zivile Luftfahrt in einem Arbeitskreis erstellt wurde. Es dient als Empfehlung und Handreichung, die Flughafenbetreibern eine wirkungsvolle Umsetzung eines IT-Sicherheitskonzepts ermöglicht. Zur Erstellung gemeinsamer Mindestanforderungen im Sinne einer Erhöhung der Resilienz bei kleinen und mittleren Flughäfen hatte der Arbeitskreis eine Workshop-Reihe veranstaltet, aus der in einem ersten Schritt das vorliegende IT-Grundschutz-Profil hervorging. Es enthält Empfehlungen für eine Mindestabsicherung kleiner und mittlerer Flughäfen in der Bundesrepublik Deutschland.
1.42 EDSA: Koordinierte Durchsetzung des Rechts auf Löschung
Der EDSA hat den Beginn der koordinierten Prüfung des Rechts auf Löschen verkündet. Europaweit beteiligen sich zahlreiche Datenschutzaufsichten. In Deutschland nehmen nach Angabe der Pressemeldung der Datenschutzkonferenz die Datenschutzaufsichten aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz sowie die Bundesbeauftragte teil. Kerninstrument der gemeinsamen Initiative ist ein europaweit abgestimmter Fragebogen zur Umsetzung des Rechts auf Löschung durch Verantwortliche. Auch wenn jetzt nicht das Bundesland dabei ist, in dem Sie Ihren Sitz haben – die Thematik betrifft jeden Verantwortlichen und jeden auch Auftragsverarbeiter, die Daten im Auftrag verarbeiten und demnach oft auch zum Löschen verpflichtet werden.
1.43 EDSB: Veröffentlichung zur Einwilligung in die Verarbeitung von Gesundheitsdaten
Der EDSB veröffentlicht eine Stellungnahme seiner Aufsichtsbehörde zur Verwendung der Einwilligung der betroffenen Personen in die Verarbeitung von Gesundheitsdaten unter Verwendung einer Software, die mit einem nationalen Gesundheitssystem verbunden ist, durch das European Economic and Social Committee und den Europäischen Ausschuss der Regionen.
1.44 BayLDA: Entscheidungen zu World Foundation
Die Entscheidung des BayLDA zu Worldcoin (mittlerweile World Foundation) erging in Abstimmung mit den anderen europäischen Aufsichtsbehörden, so dass sie nun auf den Seiten des EDSA bei den One Stop Shop Entscheidungen veröffentlicht wurde. Dabei geht es um die Fragen der Abgrenzung von Pseudonymisierung und Anonymisierung und das bei biometrischen Daten wie einem IRIS-Scan. Die Entscheidung wurde bereits durch das BayLDA in einer Pressemitteilung bekanntgegeben und auch, dass der Bescheid des BayLDA nun vor dem VG Ansbach durch World Foundation beklagt wird. Sowohl der Vertreter von World Foundation (leider hier hinter einer Paywall) wie auch das BayLDA haben sich dazu geäußert. Es ist nicht auszuschließen, dass auch aus diesem Verfahren wesentliche Fragen der Interpretation der DS-GVO vor dem EuGH landen können.
1.45 Berlin: Wieder Schulungen für Vereine, KMU und Start-Ups
Die BlnBfDI weist wieder auf neue Schulungsangebote im Jahr 2025 für verschiedenen Zielgruppen wie Vereine, KMU und Start-Ups unter dem Stichwort „Starthilfe Datenschutz“ hin.
1.46 Berlin: Häufige Ursachen von Datenpannen
Die BlnBfDI klärt auf ihrer Webseite über die häufigsten Ursachen von Datenpannen auf. Dabei geht sie auch auf Situationen in Schulen und Kitas ein, wo insbesondere Daten von Minderjährigen besonderer Schutzanforderungen bedürften. Sie beschreibt auch Maßnahmen, die gegen eine Datenpanne durch Fehlversand bei den versendenden Einrichtungen helfen könnten. Schließlich befasst sie sich auch mit Datenpannen, die ihre Ursache in Phishing- oder Ransomware-Angriffen und kompromittierten E-Mail-Accounts haben.
1.47 LfDI Baden-Württemberg: E-Learning-Kurs zu Datenschutz und Informationsfreiheit
In Kooperation mit der Landeszentrale für politische Bildung bietet der LfDI Baden-Württemberg einen E-Learning-Kurs „Wer sieht mich?“ zu Datenschutz und Informationsfreiheit an. In vier Modulen wird dabei ein thematischer Überblick über die Bedeutung digitaler Daten für die Demokratie angeboten. Die Online-Kurse richten sich an alle Interessierten, die grundlegende Informationen zu Datenschutz und Informationsfreiheit erhalten möchten, und werden über Foren von einem Tutor begleitet. Die E-Learning-Module werden wöchentlich freigeschaltet.
1.48 LDI NRW: Wärmebilder und der Datenschutz
Die LDI NRW erinnert daran, dass auch bei Wärmebildern zur Energieeffizienzverbesserung die Rechte der Bewohner:innen zu beachten sind.
1.49 LfD Sachsen-Anhalt: Zukunftstag am 3. April 2025
Die LfD Sachsen-Anhalt weist darauf hin, dass sie sich am 3. April 2025 am sogenannten Girl‘s Day und Boy’s Day mit unterschiedlichen Angeboten beteiligt.
Beim Girl‘s Day lernen Schülerinnen bei der Landesbeauftragten Berufe der Informationstechnik kennen, in denen Frauen bisher noch eher selten vertreten sind. Sie erhalten Einblicke in die technische Ermittlungsarbeit der Landesbeauftragten infolge datenschutzrechtlicher Eingaben und Beschwerden. Beim Boy’s Day können Schüler in Berufe hinein schnuppern, die für die interne Organisation der Dienststelle der Landesbeauftragten und in der verwaltungsfachlichen Bearbeitung der datenschutzrechtlichen Eingaben und Beschwerden gebraucht werden. Ganz nebenbei werden die Schülerinnen und Schüler Erfahrungen machen, wie sie sich und andere besser im Internet schützen können.
1.50 Hamburg: Zulässigkeit von Straßenfotografie
Der HmbBfDI informiert auf seiner Webseite über die Zulässigkeit von Straßenfotografie. Durch leistungsstarke Kameras – insb. bei Smartphones – sei es kein Problem jederzeit alltägliche Situationen, Architektur oder spontane Begegnungen festzuhalten. Diese Entwicklung bringe jedoch erhebliche rechtliche Herausforderungen mit sich, insbesondere im Hinblick auf den Schutz der Privatsphäre und die Einhaltung datenschutzrechtlicher Vorschriften. Er befasst sich in seiner Veröffentlichung auch mit der Abgrenzung zwischen zulässiger Fotografie und rechtswidrigen Aufnahmen.
Die Frage, ob eine Aufnahme außerhalb dieser Fallgruppe zulässig ist, hänge im Einzelfall von zahlreichen Faktoren ab, darunter die Intention der oder des Fotografierenden, der Kontext der Aufnahme und der Fokus des Bildes auf Einzelne oder wenige Personen. Während beispielsweise zufällige Abbildungen von Passant:innen bei der Tourismusfotografie oder Aufnahmen von Demonstrationszügen in vielen Fällen zulässig seien, gelte dies – ohne deren Zustimmung – nicht für gezielte Aufnahmen einzelner Personen. Stimmen, die Unsicherheiten propagieren und deswegen eine generelle Unanwendbarkeit der DS-GVO für die digitale Fotografie fordern, überzeugen nicht. Dies hätte gravierende Rechtsschutz- und Rechtsdurchsetzungslücken zur Folge.
1.51 Bremen: Zertifizierungsstandard „DSGVO – information privacy standard“
Durch den LfDI Bremen wurde die Urkunde zum Zertifizierungsstandard „DSGVO – information privacy standard“ übergeben, der nach diesem Bericht konform gem. Art. 42 DS-GVO für Verarbeitungsvorgänge bei Verantwortlichen sowie bei Auftragsverarbeitern und in allen Branchen einsetzbar ist.
Franks Nachtrag: Der Bericht ist der erste Teil einer Reihe, Teil 2 ist auch bereits veröffentlicht worden, darin wird der Standard weiter beschrieben.
1.52 Luxemburg: Hinweise zu DeepSeek
Die Luxemburger Datenschutzaufsicht hat Hinweise zum Umgang mit der KI „DeepSeek“ veröffentlicht.
1.53 Liechtenstein: Gestaltung von Cookiebannern
In ihrem Newsletter erinnert die Aufsichtsbehörde Liechtensteins wieder an eine ordnungsgemäße Gestaltung von Cookie- / Consentbannern. Webseitenbetreiber müssen sicherstellen, dass sie bei einwilligungspflichtigen Verarbeitungsvorgängen vor der eigentlichen Verarbeitung die Einwilligung der Webseitenbesucher einholen. Dies geschieht üblicherweise durch Cookie-Banner. Nicht nur in technischer Hinsicht, sondern auch bei der optischen Gestaltung von Cookie-Bannern sind jedoch Regeln zu beachten. Sowohl Aufsichtsbehörden als auch Gerichte fordern unmissverständlich, dass bei der Gestaltung von Cookie-Bannern auf sogenannte «Deceptive Design Patterns» zu verzichten ist. Als «Deceptive Design Pattern» wird ein Design bezeichnet, das die betroffene Person zu Handlungen verleiten soll, die ihren Interessen entgegenlaufen. Somit darf kein deutlicher optischer Anreiz nur für den Einwilligungs-Button gegeben sein; klar irreführende Designs sind verboten. Außerdem müsse das Ablehnen von Cookies genauso einfach sein wie das Annehmen. Folglich gilt: Wird die Option «Akzeptieren» im Gegensatz zur Option «Ablehnen» merklich graphisch hervorgehoben und/oder sind zusätzliche Schritte notwendig zur Ablehnung von Cookies, so ist die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ungültig.
Es gibt jedoch keinen allgemeinen Standard für die Gestaltung von Einwilligungsbannern in Bezug auf Farbe, Größe oder Kontraste, sodass ein gewisser Spielraum für die Verantwortlichen verbleibt. Sogenanntes «Nudging» (Verhaltenssteuerung durch Gestaltung) im vertretbaren Rahmen sei erlaubt. Meist wirken denn auch mehrere Gestaltungselemente zusammen, wenn es sich um unzulässige Cookie-Banner handelt (z.B. deutliche Farbe plus größere Schriftgröße für die Option «Annehmen» sowie erschwerte Auffindung plus unscheinbare Gestaltung der Option «Ablehnen»). Eine unterschiedliche Farbwahl der Optionen «Annehmen» und «Ablehnen» alleine führe somit nicht zwangsläufig zur Ungültigkeit einer Einwilligung. Cookie-Banner sollten jedenfalls so ausgestaltet sein, dass die betroffene Person ihre Handlungsoptionen auf einen Blick erkennen könne. Dies muss unabhängig von der Bildschirmgröße des genutzten Endgerätes gewährleistet werden.
Passend dazu ergänzen wir noch um die Hinweise zu der Entscheidung aus Schweden, über die wir bereits berichteten, um die Entscheidung des OLG Köln zu Dark Pattern sowie um die Entscheidung des Österreichischen Bundesverwaltungsgerichts zu den Anforderungen an Widerrufshinweise und -ermöglichung bei Consentbannern.
1.54 Niederlande: Risiken bei KI-Chatbots
Die niederländische Datenschutzaufsicht informiert, dass KI-Chatbots für Freundschaft und psychische Gesundheit oft undifferenziert und schädlich für die Anwendenden sein können.
Sie lieferten unzuverlässige Informationen und seien teilweise sogar schädlich. Die KI-Chatbots enthalten süchtig machende Elemente, geben vor echte Menschen zu sein und können in einer Krisensituation sogar eine Gefahr für verletzliche Nutzer darstellen. Dies gehe aus einer Untersuchung der niederländischen Datenschutzbehörde von neun beliebten Chatbot-Apps hervor. Die Nutzung dieser so genannten „Companion Apps“ und therapeutischen Apps nehme stark zu. In den Niederlanden stehen sie ganz oben auf der Liste der am häufigsten heruntergeladenen Apps. Viele dieser Chatbots, die KI verwenden, sind nicht in der Lage Nuancen aus dem Text von Gesprächen zu extrahieren. Die getesteten Chatbots basieren auf englischen Sprachmodellen und geben weniger gute Antworten, wenn man auf Niederländisch chattet.
1.55 Niederlande, Spanien und UK: Konsultation / Information zu Eingriffen in KI
Die niederländische Aufsicht möchte Werkzeuge für sinnvolle menschliche Eingriffe in die algorithmische Entscheidungsfindung anbieten. Um sicherzustellen, dass diese Instrumente angemessen auf die Praxis abgestimmt sind, bittet sie Organisationen, Experten und Interessenträger um Beiträge im Rahmen dieser Konsultation bis zum 6. April 2025. Dazu hat sie ihre Vorschläge dazu hier veröffentlicht. Es gibt sie auch als Zusammenfassung.
Auch die spanische Aufsicht AEPD hat Überlegungen, wie durch menschliche Eingriffe automatisierte Entscheidungen rechtskonform gestaltet werden können, ebenso wie der britische ICO im Umfeld von KI.
1.56 BSI: Sicherheitsanforderungen an Urbane Datenplattformen
Ein sehr zentrales Element von Smart Cities sind Urbane Datenplattformen (UDP), die Daten in verschiedenen Formaten mit unterschiedlichem Inhalt sammeln, zusammenführen, verarbeiten und bereitstellen können. Um die Sicherheit Urbaner Datenplattformen zu erhöhen, hat das BSI die Technische Richtlinie „TR-03187 – Sicherheitsanforderungen an Urbane Datenplattformen“ veröffentlicht, die sich an alle relevanten Stakeholder richtet – von den Entwicklern über die Lösungsanbieter bis hin zu den Betreibern.
Im Entwicklungsprozess der TR-03187 wurden verschiedene bestehende IT-Sicherheitsstandards analysiert sowie bestehende UDP auf ihre Schwachstellen hin untersucht. Die daraus entwickelten Anforderungen wurden in drei verschiedene Schutzlevel eingeteilt, um eine Anwendbarkeit für unterschiedlich sicherheitskritische UDP zu ermöglichen sowie einen möglichst einfachen Einstieg für bestehende UDP zu liefern. Die Anforderungen gruppieren sich darüber hinaus in die unterschiedlichen Bausteine einer UDP: Architektur, Authentifizierung/Autorisierung, Schnittstellen, Logging, Datenhaltung und IT-Sicherheitsorganisation.
1.57 BSI: Sicherheitsanforderungen an Datenbanksystemen
Das BSI hat ihre neuen Cybersecurity-Anforderungen für Datenbanksysteme veröffentlicht. Konkret geht es darum bei der Auswahl und dem Einsatz von Datenbanksystemen eine Hilfestellung anzubieten. Die neuen Vorgaben richten sich an IT-Administratoren, Sicherheitsbeauftragte und Entscheidungsträger in der Bundesverwaltung und darüber hinaus und gelten sowohl für On-Premise als auch für die Cloud.
1.58 BSI: Zertifizierungsstelle zu EUCC
Die Zertifizierungsstelle des BSI ist für das EUCC-Schema der Verordnung (EU) 2019/881 (Cybersecurity Act, CSA) akkreditiert. In Deutschland wurden außerdem mehrere Prüflabore, die im Rahmen von EUCC ITSEF genannt werden, von der Deutsche Akkreditierungsstelle (DAkkS) akkreditiert. Sobald den Konformitätsbewertungsstellen (ITSEF und Zertifizierungsstellen) die Befugnis erteilt wurde, werden diese durch das BSI als nationaler Behörde für die Cybersicherheitszertifizierung (NCCA) gegenüber der Europäischen Kommission über das Portal NANDO notifiziert und veröffentlicht. Diese dürfen sodann im Rahmen des CSA tätig werden. Künftige EUCC-Zertifikate, die durch das BSI ausgestellt werden, sind automatisch in allen Mitgliedstaaten der EU gültig. Weitere Informationen dazu finden sich bei der Zertifizierungsstelle des BSI.
1.59 BSI: Drohnen als Bedrohung
Drohnen haben ihre Namen nicht von Bedrohung. Auch wenn diese Überlegung naheliegt, wenn man den Ausführungen des BSI zur Bedrohung durch Drohnen folgt. Sie reichen von Spionage und Überwachung durch optische oder Wärmebildkameras bis hin zu gezielten Hackerangriffen auf Funkkommunikation (z.B. WLAN, Handy) und IT-Systeme. Drohnen können außerdem als Träger für Sprengkörper, chemische oder biologische Substanzen missbraucht werden, um Anschläge auf Cybersicherheits-relevante Einrichtungen zu verüben. Diese Nutzlast könnte gegen IT-Systeme, Netzwerke, Personal und wichtige Einrichtungen wie Rechenzentren oder (Not-)Stromversorgungsanlagen eingesetzt werden. Drohnen können Zuladung direkt zu einem Zielobjekt transportieren. Dadurch verlieren herkömmliche Schutzmaßnahmen wie Zäune oder Abschirmungen zunehmend an Wirksamkeit. Wer jetzt noch Lust hat weiterzulesen, kann das hier im Arbeitspapier des BSI tun.
1.60 ENISA: Call for Experts for the Renewal of the Advisory Group
Die „Advisory Group” der ENISA wird neu aufgestellt. Bis 26. März 2025 sind Bewerbungen möglich. Die Mitgliedschaft ist höchstpersönlich und knüpft an die eigenen Leistungen und Erfahrungen in der Cybersicherheit an. Die Advisory Group nimmt eine zentrale Rolle bei der ENISA ein, indem sie die Behörde bei der Erstellung ihres Arbeitsprogramms, der Erreichung ihrer strategischen Ziele und der Kommunikation unterstützt und berät. Weiteres dazu hier.
1.61 ENISA: NIS360 2024
Der erste NIS360-Bericht der Agentur der Europäischen Union für Cybersicherheit zeigt Bereiche auf, in denen Verbesserungen erforderlich sind, und verfolgt die Fortschritte in den Bereichen der NIS2-Richtlinie. Den Reibungsverlusten und Mehraufwänden bei Unternehmen, die in mehreren Ländern tätig sind, will die ENISA entgegentreten und sukzessiv für mehr Vereinheitlichung in der Anforderungsbestimmung nach NIS2 sorgen.
2 Rechtsprechung
2.1 EuGH: Haftung eines Online-Marktplatzes nach DS-GVO (C-492/23)
Welche Rolle nimmt ein Anbieter eines Online-Marktplatzes ein? Ist er Verantwortlicher für die Veröffentlichung personenbezogener Daten, die seine Nutzer:innen dort einstellen? Im vorliegenden Fall wurden auf der Plattform sexuelle Dienstleistungen angeboten, mit Abbildungen der Person und deren Telefonnummer, die davon natürlich nichts wusste. Die Plattform entfernte zwar diese Information nach der Anzeige rasch, wurde aber dennoch verklagt.
In Bezug auf die Richtlinie über den elektronischen Geschäftsverkehr weist der Generalanwalt in seinen Schlussanträgen im Verfahren C-492/23 darauf hin, dass ein Betreiber eines Online-Marktplatzes in den Genuss einer Haftungsbefreiung für den Inhalt der auf seinem Marktplatz veröffentlichten Anzeigen kommen könne, sofern seine Rolle neutral und rein technisch bleibe. Dies gelte nicht, wenn aktiv in die Verwaltung der Inhalte, deren Änderung oder die Werbung für die Inhalte eingegriffen werde. Zur DS-GVO stellt der Generalanwalt klar, dass der Betreiber eines Online-Marktplatzes für die in den Anzeigen enthaltenen personenbezogenen Daten als Auftragsverarbeiter agiere. Folglich sei der Betreiber nicht verpflichtet, vor der Veröffentlichung systematisch den Inhalt der Anzeigen zu überprüfen. Er müsse jedoch organisatorische und technische Maßnahmen zum Schutz dieser Daten ergreifen. Demgegenüber vertritt der Generalanwalt die Ansicht, dass der Betreiber des Online-Marktplatzes in Bezug auf die personenbezogenen Daten der auf diesem Online-Marktplatz registrierten inserierenden Nutzer als Verantwortlicher handele und in diesem Rahmen die Identität der inserierenden Nutzer überprüfen müsse. Mit Fragen der datenschutzrechtliche Klassifizierung der Person, die personenbezogene Daten auf einen Online-Marktplatz einstellt, die nicht sie selbst betreffen, befasst sich der Generalanwalt ab RN 117 seiner Schlussanträge.
Der EuGH ist an die Empfehlungen aus den Schlussanträgen nicht gebunden, er könnte auch zu einer anderen Einschätzung bei der Betrachtung des Zusammenspiels der unterschiedlichen europäischen Normen (DS-GVO und Richtlinie über den elektronischen Geschäftsverkehr: RL 2000/31) kommen. Besprechung der Schlussanträge hier.
2.2 EuGH: Unternehmensbegriff in der DS-GVO bei Bußgeldverfahren (C-383/23)
Der EuGH hat im Verfahren C-383/23 (ILVA) entschieden, dass der Begriff „Unternehmen“ in den Art. 83 Abs. 4 bis 6 DS-GVO als ein Unternehmen im Sinne der Art. 101 und102 AEUV in Verbindung mit dem 150. ErwGr der DS-GVO und der Rechtsprechung des Gerichtshofs der Europäischen Union im Bereich des Wettbewerbsrechts der Union so zu verstehen ist, dass der Begriff „Unternehmen“ jede Einheit erfasst, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von der Rechtsstellung dieser Einheit und der Art und Weise, in der sie finanziert wird. Art. 83 Abs. 4 bis 6 DS-GVO ist dahin auszulegen, dass der Höchstbetrag einer Geldbuße, die gegen einen Verantwortlichen, der ein Unternehmen ist oder einem Unternehmen angehört, wegen eines Verstoßes gegen die DS-GVO verhängt wird, auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens bestimmt wird.
Der Begriff „Unternehmen“ ist auch bei der Beurteilung der tatsächlichen oder materiellen wirtschaftlichen Lage des Adressaten der Geldbuße und damit bei der Beurteilung der Wirksamkeit, der Verhältnismäßigkeit und der abschreckenden Wirkung der Geldbuße zu berücksichtigen.
Die Generalanwältin sah das in ihren Schlussanträgen bereits so (wir berichteten), differenzierte aber selbst noch nach der unmittelbaren Beteiligung der jeweiligen Unternehmenseinheit (dort RN 60), verwies aber noch stärker auf die Verhältnismäßigkeit.
2.3 BGH: Verwertbarkeit von EncroChat-Daten beim Cannabis-Handel
Der BGH hat sich zur Verwertbarkeit von „EncroChat“-Daten geäußert. In seiner bisherigen Grundsatzentscheidung vom 2. März 2022 (5 StR 457/21, vgl. hierzu die Pressemitteilung) hatte der 5. Strafsenat des Bundesgerichtshofs die Verwertbarkeit der bei einer Verurteilung wegen erheblichen Drogenhandels nach § 29a Abs. 1 Nr. 2 BtMG u.a. damit begründet, dass dieser als besonders schwere Straftat im Katalog des § 100b Abs. 2 StPO enthalten sei. Dies ist bei Straftaten nach § 34 Abs. 1, 3 KCanG nicht mehr der Fall. Daraus hatten einige Oberlandesgerichte abgeleitet, die Daten seien nunmehr in Fällen des Cannabis-Handel unverwertbar. Auf eine solche Entscheidung hatte sich auch das Landgericht bei seinem Freispruch bezogen. Der Bundesgerichtshof hat jetzt am 30. Januar 2025 (Az. 5 StR 528/24) entschieden, dass die genannte Gesetzesänderung in Fällen wie dem vorliegenden keine Auswirkungen auf die Verwertbarkeit der „EncroChat“-Daten hat. Pressemitteilung dazu hier. Folgende Gesichtspunkte waren für den BGH maßgebend:
Rechtsgrundlage für die Verwertung solcher Daten in der Hauptverhandlung ist § 261 StPO. Auch wenn von anderen europäischen Staaten Daten zu Zwecken der Strafverfolgung zur Verfügung gestellt werden, richtet sich die Verwertung nach deutschem Recht. Ausdrückliche Verwendungsbeschränkungen für solche Daten gibt es im nationalen Recht nicht. Ein Verwertungsverbot außerhalb von gesetzlich geregelten Beweisverwertungsverboten kommt nur in Ausnahmefällen in Betracht. Voraussetzung in diesen Fällen ist, dass die Daten unrechtmäßig erlangt wurden. Dies sei vorliegend nicht der Fall gewesen, denn die Europäische Ermittlungsanordnung (EEA) als Grundlage für die Übermittlung der Daten war rechtmäßig. Die Rechtsmäßigkeitsvoraussetzungen hierfür bestimmen sich unionsrechtlich gemäß der Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen (RL EEA). Nach der Rechtsprechung des EuGH zum „EncroChat“-Komplex und zu der für die Rechtmäßigkeit einer EEA zentralen Norm (C-670/22, wir berichteten) ist zum Zeitpunkt des Erlasses der EEA unter anderem zu prüfen, ob die Datenübermittlung in einem vergleichbaren innerdeutschen Fall rechtmäßig wäre. Damit verweist das Unionsrecht auf nationale Regelungen zur Datenanforderung. Das deutsche Recht enthält Regelungen, die eine solche Datengewinnung erlauben; bei schwerwiegenden Grundrechtseingriffen kommen dabei Beschränkungen in Betracht, die den Verdacht bestimmter Straftaten voraussetzen.
Durch die Entscheidung des EuGH ist nunmehr geklärt, dass die vom BGH in „EncroChat“-Fällen vor allem auf den Zeitpunkt der Beweisverwertung in der Hauptverhandlung bezogene Verhältnismäßigkeitsprüfung anhand der Maßstäbe für besonders schwerwiegende Grundrechtseingriffe (vgl. § 100e Abs. 6 StPO) bereits bei der Beweisübermittlung vorzunehmen ist. Zudem hat das BVerfG die Heranziehung der strafprozessual restriktivsten Verwendungsschranke in den „EncroChat“-Fällen für verfassungsrechtlich unbedenklich erachtet.
Danach kommt es auf die Rechtmäßigkeit der Datenübermittlung an. Maßgeblich ist hierfür der Rechtszustand bei Datenanforderung. Zum damaligen Zeitpunkt im Jahr 2020 waren die angeklagten Taten als Verbrechen nach § 29a Abs. 1 Nr. 2 BtMG strafbar. Die Daten wurden nach den bisherigen Maßstäben des Bundesgerichtshofs also rechtmäßig von Frankreich nach Deutschland übermittelt. In solchen Fällen gilt schon nach der bisherigen höchstrichterlichen Rechtsprechung, dass eine Änderung der rechtlichen Bewertung einer Tat im weiteren Verlauf des Verfahrens nicht zu einer Unverwertbarkeit rechtmäßig erlangter Daten führt. Es ging vorliegend auch nicht um Bagatelltaten, sondern um den Handel mit Cannabisprodukten in größeren Mengen.
2.4 OLG Schleswig: Anforderungen aus Art. 32 DS-GVO beim E-Mail-Versand von Rechnungen
Das OLG Schleswig hat sich in einem Fall zu den Anforderungen an Schutzmaßnahmen beim Versand einer Rechnung in Höhe von 15.000 Euro an eine natürliche Person geäußert. Im Rechnungsversand über eine mittels TLS abgesicherte Rechnung konnte ein Angreifer Zahlungsdaten ändern, so dass der Schuldner auf ein anderes Konto zahlte. Damit zahlte er nicht schuldbefreiend. Das OLG Schleswig sprach ihm aber einen Schadenersatzanspruch in Höhe des gezahlten Betrags aus Art. 82 DS-GVO zu.
Ein wichtiger Hinweis, es ging um ein B2C-Geschäft, so dass das OLG Schleswig bei der Rechnung an eine natürliche Person die Anwendbarkeit der Anforderungen der DS-GVO bejahte (ab RN 59). Die ergriffenen Schutzmaßnahmen des die Rechnung versendenden Unternehmens seien unzureichend gewesen (ausführlich ab RN 69 und speziell ab RN 90). Nach Ansicht des OLG Schleswig ist danach eine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem im konkreten Fall bestehenden hohen finanziellen Risiko (15.000 Euro) durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und könne keinen „geeigneten“ Schutz im Sinne der DS-GVO darstellen. Vielmehr sei die Ende-zu-Ende-Verschlüsselung zurzeit das Mittel der Wahl. Wenn der Aufwand für eine Ende-zu-Ende-Verschlüsselung zu hoch sei, könne immer noch die Rechnungen per Post versendet werden (RN 93). Für ein Mitverschulden der Kundin, weil sie geringfügige Abweichungen bei der Gestaltung der manipulierten Rechnung nicht bemerkte, sah das OLG Schleswig keine Anhaltspunkte (ab RN 103).
Das OLG Karlsruhe sah in seinem Urteil vom Juli 2023 bei einem Rechnungsversand über 13.500 Euro zwischen Unternehmen hingegen kein Verschulden des Absenders, wenn keine Ende-zu-Ende-Verschlüsselung eingesetzt wurde. Das OLG Karlsruhe kam nicht zur Anwendung des Art. 32 DS-GVO (RN 40), da sich der Vorfall zwischen Geschäftskunden abspielte.
2.5 LG Lübeck: Unterlassungsklagen gegen rechtswidrige Datenverarbeitung (hier Meta)
Das LG Lübeck stellt in seinem Urteil fest, dass es in jedem Fall sichergestellt sein müsse, dass drohende Rechtsbeeinträchtigungen aufgrund von Verletzungen der DS-GVO auch in Wege der Unterlassungsklage abgewendet werden können. Die generelle Praxis von Meta, immer und auch ohne Einwilligung jedenfalls solche technischen Standarddaten, die der Beklagten mit einer Wahrscheinlichkeit von über 99 % eine Identifizierung der jeweiligen Nutzerin bzw. des jeweiligen Nutzers erlaubt, sowie das Datum, dass und wann die fragliche Drittseite aufgesucht wurde über sog. Business Apps zu erheben und sodann in den eigenen Systemen zu speichern und weiter zu Persönlichkeitsprofilen zu verarbeiten, beeinträchtige die Betroffenen in ihrem Recht auf informationelle Selbstbestimmung. Diese Praxis der Beklagten sei auch rechtswidrig, da diese Datenerhebung unstreitig in jedem Fall und unabhängig davon erfolge, ob die Betroffenen hierin eingewilligt haben oder nicht. Die Beklagte ist für die Datenerhebung der von ihr konzipierten Business Tools auch verantwortlich i.S.d. Art. 4 Nr. 7 DSGVO, da diese die von ihr entwickelten Business-Tools zur Verfügung stellt, die hier zugrunde gelegte Datenerhebung auch ohne Einwilligung der Beklagten damit selbst konfiguriert hat und die ihr von den Drittanbietern übermittelten Daten auch nach eigenem Vortrag selbst und zum eigenen wirtschaftlichen Vorteil nutzt.
Das sah das LG Stuttgart im Oktober 2024 noch anders (wir berichteten), allerdings ist dessen Entscheidung noch nicht rechtskräftig, das Verfahren liegt nun beim OLG Stuttgart.
2.6 BSG: Kein immaterieller Schadenersatz bei verspäteter Auskunft nach Art. 15 DS-GVO
Kann eine betroffenen Personen einen immateriellen Schadenersatz geltend machen, wenn ein Auskunftsanspruch verspätet erteilt wird? Das Bundessozialgericht verneinte dies ebenfalls wie bereits die Vorinstanzen. Über Art. 82 Abs. 2 i.V.m. mit Abs. 1 DS-GVO sei ersichtlich, dass nur Verstöße erfasst seien, die durch eine nicht der DS-GVO entsprechende Datenverarbeitung verursacht worden sind (RN 21). Auch falle der Vorgang der Auskunftserteilung unter den Begriff der Verarbeitung (RN 22 ff). Die Auskunft wurde nicht fristgemäß erteilt, ein Verstoß gegen die Rechte des Klägers durch die verspätete Erfüllung des Auskunftsverlangens stelle daher gleichermaßen einen Verstoß bei der Verarbeitung dar (RN 26-28). Allerdings läge kein ersatzfähiger Schaden vor (RN 30).
Zwar könne eine betroffene Person einen konkreten immateriellen Schaden i.S. des Art 82 Abs 1 DS-GVO auch durch den Verlust der Kontrolle über ihre personenbezogenen Daten erleiden, wie sich aus Wortlaut, Systematik sowie Sinn und Zweck des Art 82 DS-GVO ergibt (vgl. EuGH C-687/21, wir berichteten). Unter einem Kontrollverlust versteht der EuGH dabei allerdings nur eine Situation, in der die betroffene Person die begründete Befürchtung hegt, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten genüge dafür nicht. Rein hypothetisch ist das Risiko beispielsweise dann, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat (EuGH C-687/21, RN 68). Das Schadensverständnis der DS-GVO werde auch aus Erwägungsgrund 75 bzw. 85 Satz 1 deutlich. Als Regelbeispiele, die einen physischen, materiellen oder immateriellen Schaden begründen können, werden u.a. benannt, wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren (RN 31).
Anhaltspunkte dafür, dass die vom Beklagten verarbeiteten Daten verordnungswidrig an einen Dritten gelangt sind oder dass eine der Situationen vorliegt, die den in den Erwägungsgründen regelbespielhaft aufgeführten entspricht, trägt der Kläger weder vor noch ist eine solche Situation vom Landessozialgericht festgestellt. Der Kläger meint zwar, in dem Zeitverzug zwischen Auskunftsersuchen und Auskunftserteilung liege ein Kontrollverlust begründet, weil er nicht gewusst habe, was mit seinen Daten geschehe. Damit beschreibt der Kläger aber lediglich den Zeitverzug, nicht aber ein konkretes Risiko einer missbräuchlichen Verwendung seiner Daten durch Dritte als Grundlage eines immateriellen Schadens. Denn die Daten waren weiterhin beim Beklagten. Entsprechendes gilt, wenn der Kläger erklärt, das Verfahren sei für weitere Verfahren wichtig, er sei im Ungewissen über die Verarbeitung seiner personenbezogenen Daten gehalten und ihm sei die Prüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht worden (RN 32).
2.7 OLG Bamberg: Anforderungen an § 21 Abs. 2 TDDDG
Welche Ansprüche hat ein Unternehmen, wenn es mit Bewertungen auf einem Arbeitgeberbewertungsportal nicht einverstanden ist? Zumindest keine nach § 21 Abs. 2 TDDDG zur Herausgabe der Daten der bewertenden Person gegen die Plattform, wenn die gemachten Aussagen nicht als Schmähkritik zu bewerten sind, so das OLG Bamberg (ab RN 13). Es befasst sich in seinem Urteil mit jeder der angegriffenen Bewertungen.
2.8 OLG Köln: Keine private Wohnanschrift des Geschäftsführers im Handelsregister erforderlich
Ist die private Wohnschrift in dem öffentlichen Bereich des Handelsregisters anzugeben? Das OLG Köln (OLG Köln v. 09.01.2025 – I-4 Wx 19/24) entschied nun, dass neubestellte Geschäftsführer bei der Eintragung in das Handelsregister ihre Wohnanschrift nicht angeben müssen. Zur eindeutigen Identifizierung des Geschäftsführers einer GmbH ist dessen Wohnanschrift im Allgemeinen nicht erforderlich. Laut § 43 Nr. 4 HRV sei nur der Wohnort anzugeben, nicht die Wohnanschrift. Diese sei auch nicht zur Identifizierung oder Zustellung erforderlich. Berichte dazu finden sich hier wie dort.
Franks Nachtrag: Irgendwie wirkt das an wie zweierlei Maß…
2.9 LG Nürnberg-Fürth: Beschlagnahmeanforderungen von Patientendaten beim Arzt
Wie kann eine Beschlagnahme von Dateien eines Berufsgeheimnisträgers (hier Arzt) erfolgen. Die Staatsanwaltschaft ermittelte gegen einen Arzt wegen Abrechnungsbetrugs. Das LG Nürnberg-Fürth entschied nun, dass eine Staatsanwaltschaft bei Verdacht eines Abrechnungsbetrugs zwar die gesamten Daten des Rechners einer Arztpraxis spiegeln dürfe, nicht aber ohne Durchsicht beschlagnahmen. Beschlagnahmen darf sie laut LG Nürnberg-Fürth nur, was für das Verfahren von Relevanz ist. Eine Durchsuchung beinhalte die Durchsicht der Daten, eine pauschale Beschlagnahme aller Daten ohne Durchsicht sei aber laut Landgericht unverhältnismäßig und damit rechtswidrig, weil damit alle Daten als potenziell beweiserheblich bezeichnet wurden.
2.10 LG Nürnberg-Fürth: Zugangsdaten als Geschäftsgeheimnis
Eine Datenbank mit öffentlich verfügbaren Daten wie auch die Zugangsdaten und Passwörter für den Zugriff auf diese Datenbank können laut Landgericht Nürnberg-Fürth als Geschäftsgeheimnisse gelten. Um diese Datenbank nutzen dürfen, musste ein Vertrag mit einer jährlichen Vergütung abgeschlossen werden. Die Zugriffsberechtigungen waren an ein Beschäftigungsverhältnis des Lizenznehmers gebunden. Der Datenbankinhaber stellte unberechtigte Zugriffe fest und machte verschiedene Ansprüche unter Berufung auf den Geschäftsgeheimnisschutz und wettbewerbsrechtliche und urheberrechtliche Vorgaben geltend. Das LG Nürnberg-Fürth gewährte dem Kläger die Ansprüche aus dem Geschäftsgeheimnisschutz für die Datenbank (RN 34 f). Es stellte dazu fest, dass auch öffentlich verfügbare Informationen innerhalb einer zugangsgesicherten Datenbank Geschäftsgeheimnisse sein können. Außerdem entschied es, dass nicht nur die Zugangsdaten, sondern auch die dazugehörigen Passwörter Geschäftsgeheimnisse sind. Über Art. 6 Abs. 1lit. f bzw. Art. 6 Abs. 1 lit. c DS-GVO i.V.m. § 8 Abs. 1 GeschGehG können auch personenbezogene Daten als Bestandteil des Auskunftsanspruchs zu den unbefugten Nutzern dem geschädigten Unternehmen zur Verfügung gestellt werden (RN 63). Eine ausführliche Zusammenfassung findet sich hier.
2.11 LG Wiesbaden: Anforderungen an Artt. 20 und 82 DS-GVO
Vor dem Landgericht Wiesbaden ging es um Ansprüche einer natürlichen Person gegen eine Auskunftei. Der Kläger verlangte, dass sein Scorewert an andere Banken gegeben werden sollte und berief sich dazu auf Art. 20 DS-GVO. Die Daten wurden aber nicht durch den Kläger bereitgestellt, so dass diese Anforderung ablehnte wurde. Die Grundlage der Einmeldung der Daten an die Auskunftei sei Art. 6 Abs. 1 lit. f DS-GVO gewesen, eine parallel dazu erteilte Einwilligung der Person begründe nicht den Anspruch aus Art. 20 DS-GVO, auch sei dadurch kein Geschäftsbesorgungsvertrag entstanden. Aufgrund der unterbliebenen Weitergabe des Scorewerts habe der Kläger bei Banken keinen bzw. ungünstigere Konditionen erhalten. Hier hielt das LG Wiesbaden dem Kläger sein Mitverschulden vor, dass aufgrund einer von ihm gestellten Strafanzeige gegen die Auskunftei diese die weitere Beauskunftung wegen des vom Kläger veranlassten Strafverfahrens gegen die Beklagte ausgesetzt habe.
Das einen etwaigen Schadensersatzanspruch ausschließende Mitverschulden des Klägers sieht das LG Wiesbaden darin, dass dieser die Auskunftei zum einen mit einem unberechtigten Strafverfahren überzogen habe, welches der Auskunftei ein berechtigtes Interesse (sachlicher Grund) zur vorläufigen Auskunftseinstellung zur Vermeidung von etwaigen weiteren strafbaren Handlungen und zur Schadensvermeidung gab und zum anderen ist das Mitverschulden darin zu sehen, dass die Staatsanwaltschaft dem Kläger die Einstellung des Strafverfahrens gemäß § 170 Abs. 2 StPO mitteilte und der Kläger die Beklagte hierüber nicht in Kenntnis setzte, sondern vielmehr hierüber in Unkenntnis ließ und die hiesige Klage einreichte.
2.12 OLG Hamburg: Rechtsprechung zu Schadenersatz nach falscher Schufa-Einmeldung
In diesem Blog-Beitrag einer Kanzlei wird über drei Entscheidungen des OLG Hamburg über immaterielle Schadenersatzansprüche bei einer Einmeldung von Falschdaten an die Schufa berichtet. Im Urteil vom 12.02.2025 sprach es 2.500 Euro immateriellen Schadenersatz zu. Bereits in einem anderen Fall gab es in einem Urteil des OLG Hamburg vom 30.08.2023 einen Schadenersatzanspruch i.H.v. von 1.000 Euro je falscher Einmeldung, wie auch in einem anderen Fall im Urteil des OLG Hamburg vom 10.01.2024. In dem Blog-Beitrag werden auch die Kriterien und die Vorgehensweise bei der Geltendmachung eines immateriellen Schadenersatzes dargestellt.
2.13 BVwG Österreich: Finale Geldbuße gegen Österreichische Post i.H.v. 16 Mio. Euro
Der Rechtsstreit zwischen der österreichischen Datenschutzbehörde (DSB) und der Österreichischen Post hat vor dem Bundesverwaltungsgericht Österreich ein Ende gefunden. Dieses bestätigte die Geldbuße in der Höhe von 16 Mio. Euro.
Im Oktober 2019 verhängte die DSB eine Sanktion wegen der wegen der unrechtmäßigen Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DS-GVO, da die Österreichische Post Adressdaten unzulässigerweise u.a. mit mutmaßlichen Parteiaffinitäten ergänzte. Bei der gerichtlichen Überprüfung wurde diese Strafe aufgehoben, da im Bescheid keine natürliche Person benannt wurde, der die Tat zugerechnet werden konnte. Bei der Überprüfung dieser Entscheidung wurde das Verfahren ausgesetzt und die Entscheidung des EuGH im Verfahren Deutsche Wohnen abgewartet (C-807/21, wir berichteten). Nach der Entscheidung des EuGH wurde das Verfahren nun fortgesetzt. Die Datenschutzbehörde war mit ihrer außerordentlichen Revision erfolgreich. Das Gericht reduzierte die Strafe aufgrund einiger Details u.a. hinsichtlich des Tatzeitraums und des Angebots sowie des Abschlusses von Unterlassungserklärungen mit den Betroffenen durch die Österreichische Post.
Franks Nachtrag: Sie möchten hier weiterlesen…
2.14 BAG: Arbeitgeber muss E-Mail-Adressen nicht an Betriebsrat geben
Das Bundesarbeitsgericht hat in der Frage eines digitalen Zugangsrechtes einer Gewerkschaft zum Betrieb festgestellt (am 28.01.2025 – 1 AZR 33/24), dass ein Arbeitgeber nicht verpflichtet sei, der für ihn tarifzuständigen Gewerkschaft die dienstlichen E-Mail-Adressen seiner – bereits vorhandenen und neu hinzukommenden – Arbeitnehmer:innen zum Zweck der Mitgliederwerbung mitzuteilen. Ein solches Begehren könne nicht auf eine von den Gerichten – im Weg der gesetzesvertretenden Rechtsfortbildung – vorzunehmende Ausgestaltung der durch Art. 9 Abs. 3 GG garantierten Koalitionsbetätigungsfreiheit gestützt werden.
2.15 LG Berlin: Zugangsermöglichung nach Art. 40 Abs. 12 DSA
In einem Verfahren gegen die Plattform „X“ wurde gegen diese eine einstweilige Verfügung vom LG Berlin auf Basis von Art. 40 Abs. 12 DSA erlassen einen uneingeschränkten Zugang zu öffentlich zugänglichen Plattformdaten zu ermöglich. Die Kläger Democracy Reporting International (DRI) und die Gesellschaft für Freiheitsrechte (GFF) zielen auf einen effektiven Datenzugang für Signale des Engagements (z. B. Shares, Likes usw. bestimmter Tweets im Zeitverlauf usw.) ab, um den Online-Diskurs vor der Bundestagswahl in diesem Monat zu untersuchen. DRI hat mit ähnlichen Analysen im Zusammenhang mit anderen Wahlen (z. B. Rumänien) Aufmerksamkeit erregt. Wichtig ist dabei, dass der Zugang effektiv ermöglicht wird, Details dazu hier.
2.16 BGH: Vorlagefragen an den EuGH zum Haftungsrückgriff auf die Geschäftsführung
Der Vorlagefragen des BGH an den EuGH zur Rückgriffshaftung auf die Geschäftsführung könnte auch für Sanktionen nach der DS-GVO interessant sein. Steht Art. 101 AEUV einer Regelung im nationalen Recht entgegen, nach der ein Unternehmen, gegen das ein Bußgeld wegen eines Kartellrechtsverstoßes verhängt worden ist, seine Geschäftsführer oder Vorstandsmitglieder dafür in Regress nehmen kann?
Nach der Rechtsprechung des EuGH haben die Mitgliedstaaten sicherzustellen, dass die nationalen Wettbewerbsbehörden wirksame, verhältnismäßige und abschreckende Geldbußen gegen Unternehmen verhängen können, wenn diese vorsätzlich oder fahrlässig gegen Art. 101 AEUV verstoßen. Mit diesen Geldbußen sollen rechtswidrige Handlungen der betreffenden Unternehmen geahndet und sowohl diese Unternehmen als auch andere Wirtschaftsteilnehmer von künftigen Verletzungen der Wettbewerbsregeln des Unionsrechts abgeschreckt werden. Die danach gebotene Wirksamkeit von Geldbußen gegenüber Unternehmen könnte nach Angaben in der Pressemitteilung des BGH beeinträchtigt sein, wenn sich die Gesellschaft von der Bußgeldlast durch Rückgriff auf das Leitungsorgan vollständig oder teilweise entlasten könnte. Wie der EuGH zu erkennen gegeben hat, könnte eine Geldbuße sehr viel von ihrer Wirksamkeit einbüßen, wenn das betroffene Unternehmen berechtigt wäre sie auch nur teilweise steuerlich abzusetzen. Daher stellt sich auch die Frage, ob die Abwälzung der Geldbuße des Unternehmens auf den Geschäftsführer nach Maßgabe gesellschaftsrechtlicher Vorschriften den Zweck der kartellrechtlichen Geldbuße beeinträchtigt.
Ähnlich würde es m.E.n. wohl auch bei datenschutzrechtlichen Sanktionen sein. Leitungspersonen, die sich nicht sicher sind, immer intrinsisch Compliance-relevante Entscheidungen im Sinne des Gesetzgebers getroffen zu haben, können auch hier oder dort nachlesen, inwieweit ein Compliancemanagementsystem noch was retten könnte.
2.17 Berlin: Massenklage gegen TikTok und X
Im Rahmen der Aktivitäten der niederländischen Stiftung für Marktinformationsforschung (Stichting Onderzoek Marktinformatie, SOMI) wird auch ein Massenklageverfahren gegen TikTok und X in Berlin eingeleitet. Beide Beklagten sollen sich nicht an Transparenzvorgaben aus dem Digital Service Act halten und zudem bei der Profilbildung, die den Algorithmus steuert, Anforderungen aus der DS-GVO nicht beachten. Daher wurde angekündigt immateriellen Schadenersatz geltend zu machen, der sich nach dem Alter der Nutzenden richtet. Auch wenn die FAZ dazu berichtet, ist etwas Wahres daran. Pressemeldung der beteiligten Kanzlei hier und Interview dazu dort.
2.18 Belgien: Urteil im Vorlageverfahren von (C-604/22) gegen IAB
Wie aus dem Protokoll des EDSA zur 101. Sitzung vom 16. Januar 2025 unter Ziffer D.3.2 (hier zu finden) zu entnehmen ist, wurde die Urteilsverkündung in Belgien zu dem Ausgangsfall für die EuGH-Entscheidung C-604/22 auf den 19. März 2025 gelegt. Über das Verfahren C-604/22 hatten wir berichtet, es ging um die Eigenschaft als personenbezogenes Datum bei Transparency & Consent Framework (TCF) und um die gemeinsame Verantwortlichkeiten von IAB und den Webseitenbetreibern.
2.19 EuGH-Vorschau: Rückwirkende Berichtigung bei Anpassung des Geschlechts (C-24/23)
Für den 13. März 2025 hat der EuGH das Urteil im Verfahren C-247/23 (Deldits) angekündigt, bei dem es um eine Berichtigung einer Angabe in einem Flüchtlingsregister geht, nachdem die Person dort als weiblich eingetragen wurde, nun aber die Anpassung auf männlich wünscht, wir berichteten auch zu den Schlussanträgen des Generalanwalts, der einen Berichtigungsanspruch bejahte.
2.20 BGH: Immaterieller Schadenersatz i.H.v. 500 Euro bei falscher Einmeldung an Auskunftei
Nach einem BGH-Urteil wurde ein Anspruch in Höhe von 500 Euro als immaterieller Schadenersatzanspruch aus Art. 82 DS-GVO bestätigt, nachdem falsche Daten an eine Auskunftei eingemeldet wurden. Das OLG Koblenz hatte vorher entschieden, dass der Anspruchstellerin ein Schadensersatzanspruch gegen die Anspruchsgegnerin wegen eines falschen SCHUFA-Eintrags in Höhe von 500 Euro zusteht. Dagegen ging (nur) die Anspruchstellerin vor, der BGH entschied dann, dass das Ergebnis des OLG Koblenz nicht zu niedrig sei (Rn 13 f). Ob es evtl. sogar zu hoch gewesen sei, hatte der BGH nicht zu prüfen, da seitens der Beklagten keine Revision eingelegt wurde, um diese zu überprüfen. Der BGH wies aber darauf hin (Rn 10), dass – entgegen dem Berufungsgericht und der Revision – dem in Art. 82 Abs. 1 DS-GVO niedergelegten Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion zustehe. Er erfülle keine Abschreckungs- oder gar Straffunktion.
2.21 BGH: Löschanspruch bekommen heißt nicht Löschanspruch durchsetzen
Wie hier berichtet wird, erstritt eine Person bis vor dem BGH seinen Anspruch, dass Daten gelöscht werden müssen. Daten dürfen nicht unbegrenzt im öffentlichen Handelsregister erscheinen. Als Begründung würden Kompetenzfragen und technische Probleme angeführt, wie es in dem Beitrag heisst. Lesenswert auch die Pressemeldung der DVD dazu, da es sich bei dem Fall um Daten aus deren Eintrag ins Vereinsregister handelt.
Franks Nachtrag: Irgendwie wirkt das an wie zweierlei Maß…
2.22 BGH: Aussetzung des Verfahrens gegen Facebook wegen Hatespeech
Haftet ein Betreibers eines sozialen Netzwerks für von seinen Nutzern eingestellte rechtswidrige Inhalte? Diese Frage muss der BGH entscheiden im Fall einer Klage gegen Facebook. Beide Parteien legten Revision ein gegen ein Urteil des OLG Frankfurt nach der Vorinstanz beim LG Frankfurt. Es geht um Verantwortlichkeiten für eine (falsche) Darstellung einer Aussage verbunden mit einem vermeintlichen Zitat der abgebildeten Person. Der BGH setzt nun das Verfahren bis zur Entscheidung des EuGH in dem Verfahren C-492/23 (wir berichteten, siehe auch den nächsten Eintrag) aus. Ein ausführlicher Bericht dazu findet sich hier.
2.23 EuGH: Fragen zur Haftung von Portalen für rechtswidrige Inhalte (C-492/23)
Der EuGH muss im Verfahren C-492/23 (Russmedia) klären, ob eine Haftungsfreistellung für Plattformbetreiber nach Art. 14 der RL 2000/31 (Richtlinie über elektronischen Geschäftsverkehr) auch für Verpflichtungen aus der DS-GVO gelten könne. Im Ausgangsfall wurden auf der Plattform eine Anzeige veröffentlicht, durch die sexuelle Dienstleistungen angeboten wurden. Die Anzeige enthielt Fotos der Klägerin des Ausgangsrechtsstreits, die ohne ihre Zustimmung verwendet wurden und von ihrem rechtmäßigen Konto in einem sozialen Netzwerk stammten, sowie ihre Telefonnummer. Vor der Veröffentlichung dieser Anzeige wurde keine Überprüfung der Identität der Person vorgenommen, die die Anzeige aufgegeben hatte. Nachdem die Klägerin des Ausgangsrechtsstreits das Onlineportal kontaktiert hatte, entfernte die Gesellschaft die besagte Anzeige weniger als eine Stunde später von ihrem Online-Marktplatz. Dieselbe Anzeige wurde jedoch unter Angabe der ursprünglichen Quelle von anderen Internetseiten mit Werbeinhalten online gestellt, auf denen sie weiterhin zugänglich ist.
Der Generalanwalt hat dazu seine Schlussanträge veröffentlicht. Darin geht er davon aus, dass die Plattform für die Veröffentlichungen von personenbezogenen Daten als Auftragsverarbeiter zu klassifizieren sei. Hingegen handele der Plattformbetreiber in Bezug auf die personenbezogenen Daten der inserierenden Nutzer, die auf seiner Internetseite registriert sind, als Verantwortlicher. In diesem Rahmen habe er die Identität dieser inserierenden Nutzer zu überprüfen.
Eine Haftungsfreistellung als Plattformbetreiber gelte auch dann, wenn sich der Betreiber in den Nutzungsbedingungen eine Nutzungsmöglichkeit der eingestellten Daten für eigene Zwecke vorbehält.
2.24 LG Berlin: Wettbewerbsrechtliche Klage von idealo gegen Google
Wie hier berichtet wird, hat idealo seine Klage gegen Google erweitert. idealo macht in der Klage geltend, dass Google seine marktbeherrschende Stellung als Suchmaschine missbrauche und eigene Angebote gegenüber idealo über den Dienst „Google Shopping“ bevorzuge. Das Verfahren vor dem LG Berlin wurde zunächst ausgesetzt und das Urteil des EuGh in C-48/22 P abgewartet, in dem es um ein Bußgeld der EU-Kommission gegen Google in einem vergleichbaren wettbewerbsrechtlichen Sachverhalt ging. Nun fordert idealo von Google 3,3 Mrd. Euro.
2.25 ÖVwGH: Anforderungen an Widerrufsmöglichkeit bei Onlineangeboten
Der österreichische Verwaltungsgerichtshof hat sich zu den datenschutzrechtlichen Anforderungen hinsichtlich der Gestaltung von Einwilligungsmöglichkeiten auf Webseiten und dessen Widerruf positioniert. Die Ausübung des Widerrufs dürfe nicht umständlicher ausgestaltet sein wie die Einwilligung selbst. Er stellt in seiner Entscheidung unter Ziffer 8 fest:
„Gemäß Art. 7 Abs. 3 DS-GVO müsse der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein. Daher müsse auch die Nichtabgabe einer Einwilligung als Pendant zum Widerruf so einfach sein, wie die Abgabe der Einwilligung. Im vorliegenden Fall sei für die Erteilung der Einwilligung nur ein Klick erforderlich, wohingegen die Nichtabgabe einer Einwilligung zumindest zwei Klicks erfordere, womit eine solche Gleichwertigkeit nicht gegeben sei, zumal eine sachliche Rechtfertigung für die unterschiedliche Behandlung der Wahlmöglichkeiten weder vorgebracht noch ersichtlich sei. Auch die unterschiedliche optische Gestaltung (grüner Button „Akzeptieren“ und bloßer Link „Zwecke anzeigen“) führe dazu, dass die Wahlmöglichkeiten nicht als gleichwertig wahrnehmbar angesehen werden könnten. Daran ändere der Umstand nichts, dass (nunmehr) im Fließtext des Cookie Banners auf der ersten Ebene des Cookie Banners erklärt werde, wie alle Cookies abgelehnt werden könnten. Die Berufung auf einen „branchenüblichen“ Standard bei der Ausgestaltung des Cookie Banners vermöge die aufgezeigte Rechtswidrigkeit der aktuellen Gestaltung nicht zu beseitigen.“
2.26 Bezirksgericht Amsterdam: Anforderungen an Text- und Data Mining
Das Bezirksgericht Amsterdam hat in einem Fall über die Anwendung der EU-Ausnahme für das Text- und Data-Mining (TDM) in Bezug auf RSS-Feeds entschieden, dass ein Opt-out von der TDM-Ausnahme gemäß der niederländischen Umsetzung von Art. 4 der Richtlinie 2019/790 zu Urheberrecht und die verwandten Schutzrechte im digitalen Binnenmarkt in maschinenlesbarer Form erfolgen muss.
2.27 Niederlande: Diskriminierung durch Facebook durch Ausspielen von Stellenanzeigen
Bereits im Juni 2023 reichten NGOs in den Niederlanden und Frankreich Beschwerden gegen Facebook wegen Geschlechterdiskriminierung ein. Das NGO Global Witness veröffentlichte eine Reihe von Stellenanzeigen aus dem wirklichen Leben auf Facebook in Frankreich, Irland, den Niederlanden, Indien, Südafrika und Großbritannien. In diesen sechs Ländern führte der Facebook-Algorithmus dazu, dass 90,9 % der Anzeigen für einen Mechaniker von Männern gesehen wurden, während 78,6 % der Anzeigen für Erzieherinnen von Frauen gesehen wurden. In den Niederlanden waren 97 % derjenigen, denen eine Anzeige für eine Rezeptionistin gezeigt wurde, Frauen und 79 %, die mit einer Anzeige für eine Stelle als Koch angesprochen wurden, waren Männer. In Frankreich waren nur 12 % der Personen, die für eine Stelle als Psychologe ausgewählt wurden, Männer, und nur ein Viertel derjenigen, denen eine Stellenanzeige für Piloten gezeigt wurde, waren Frauen.
Nun kam ein Niederländisches Gericht zu dem Ergebnis, dass es für die Ausspielung der Stellenanzeigen in den Niederlanden zuständig sei. Ferner stellt es fest, dass eine mittelbare Unterscheidung aufgrund des Geschlechts nicht erforderlich und daher nicht objektiv gerechtfertigt sei. Dabei entschied die Kammer, dass die Beklagte eine verbotene Diskriminierung aufgrund des Geschlechts vornahm, als sie Nutzern von Facebook in den Niederlanden Anzeigen für Stellenangebote zeigte.
2.28 Cour d´appel de Paris: Anwalts-E-Mail-Account bei Google nicht die beste Idee
Das Pariser Berufungsgericht hat ein Urteil erlassen, das Anwälten das Risiko der Nutzung von Googlediensten wie Gmail oder GoogleDrive für berufliche Zwecke aufzeigt.
Diese Dienste garantieren nicht die Vertraulichkeit der gespeicherten Daten gegenüber Google. Google behält sich zudem das Recht vor ein Konto einseitig zu löschen, wenn der Verdacht besteht oder automatisch festgestellt wird, dass illegale Inhalte gespeichert würden. Ein Anwalt hatte im Rahmen eines Strafverfahrens, an dem er als Anwalt beteiligt war, 77 kinderpornografische Bilder auf seinem Google Drive gespeichert. Google löschte nicht nur sein Google-Drive-Konto, sondern kündigte auch sein Gmail-Konto. Natürlich war der Anwalt nicht begeistert und klagte, da er den Besitz in dem Kontext für legitim darstellte.
Das Gericht betonte, dass Google in seinem Bestreben die Ausbeutung von Kindern zu bekämpfen, zufällige, algorithmische und automatische Erkennungsmaßnahmen einsetzt, um kinderpornografische Inhalte zu identifizieren, die auf seinen Diensten gespeichert sind. In dem Urteil wurde auch darauf hingewiesen, dass diese Maßnahmen in den Datenschutzrichtlinien von Google klar dargelegt sind, die der Anwalt bei der Nutzung des Dienstes akzeptiert hatte.
Darüber hinaus befand das Gericht, dass es unverhältnismäßig wäre von Google zu verlangen, die Rechtmäßigkeit der gespeicherten Dateien zu überprüfen, bevor Maßnahmen ergriffen werden – insbesondere, da die Befragung von Nutzern zu solchen Angelegenheiten laufende Ermittlungen möglicherweise gefährden könnte. Daher entschied das Gericht, dass der Anwalt die Löschung seines Kontos nicht anfechten könne.
2.29 EuGH-Vorschau: Verfahren zur KI-VO (C-806/24)
Beim EuGH ist ein Verfahren zur Auslegung der KI-VO anhängig (C-806/24). Dabei geht es um Fragen der Berechnung von Mobilfunkdienstleistungen und Entschädigungsbeiträgen. Das vorlegende Gericht aus Bulgarien hat insgesamt 17 Fragen zur Interpretation europäischen Rechts an den EuGH gestellt.
2.30 EuGH-Vorschau: Fragen zur Vereinbarkeit von ZPO und DS-GVO
Im Verfahren C-484/24 (NTH Haustechnik) geht es u.a. um Fragen zu Verarbeitungen personenbezogener Daten im Kontext justizieller Verarbeitungstätigkeiten und Beweisverwertungsverboten. Dürfen Kenntnisse eines Arbeitgebers, die möglicherweise durch einen Datenschutzverstoß erlangt wurden, durch ein Gericht verwertet werden? Damit befasst sich auch dieser Beitrag.
2.31 EuGH: Anspruch auf Zugang zu einer Plattform mit beherrschender Stellung (C-233/23)
Ein Unternehmen, das eine beherrschende Stellung hat, darf nur in Ausnahmefällen die Interoperabilität seiner Plattform mit einer App eines anderen Unternehmens, die dadurch attraktiver würde, verweigern. Ein Grund für eine Weigerung kann z.B. mit dem Fehlen eines Templates für die Kategorie der betreffenden Apps gerechtfertigt werden, wenn die Gewährleistung der Interoperabilität die Sicherheit oder die Integrität der Plattform gefährden würde.
Auch könnte es aus anderen technischen Gründen unmöglich sein, eine Interoperabilität zu gewährleisten. So entschied der EuGH im Verfahren C-233/23 (Alphabet), bei dem es um Zugang einer App für das Anzeigen von Ladestationen zur Plattform Android Auto ging.
Der EuGH ist dabei der Ansicht, dass die Weigerung eines Unternehmens in beherrschender Stellung, das eine digitale Plattform entwickelt hat, die Interoperabilität dieser Plattform mit einer von einem Drittunternehmen entwickelten App zu gewährleisten, einen Missbrauch einer beherrschenden Stellung darstellen kann. Ein solcher Missbrauch einer beherrschenden Stellung sei nicht auf den Fall beschränkt, dass die Plattform für die Ausübung der Tätigkeit desjenigen, der um Zugang ersucht, unerlässlich ist. Er könne auch vorliegen, wenn ein Unternehmen in beherrschender Stellung die Plattform nicht ausschließlich für die Zwecke seiner eigenen Tätigkeit, sondern mit dem Ziel, ihre Nutzung durch Drittunternehmen zu ermöglichen, entwickelt hat und wenn diese Plattform für die kommerzielle Nutzung einer von einem Drittunternehmen entwickelten App zwar nicht unerlässlich aber geeignet ist, diese App für die Verbraucher attraktiver zu machen.
2.32 EuGH: Wer kann Verantwortlicher sein? (C-638/23)
Der EuGH durfte sich wieder mit einer Vorlagefrage aus Österreich befassen: Wer kann Verantwortlicher sein? Im Ausgangsfall wurde durch eine nationale Regelung (§ 2 Tiroler Datenverarbeitungsgesetz) die Verantwortlichkeit eines Amtes festgelegt. Das kann ausreichen, sagt der EuGH im Verfahren C-638/23 (Amt der Tiroler Landesregierung), aber egal, was gesetzlich in nationaler Kompetenz festgelegt wird, entscheidend sei dann doch immer, wer über Zweck und Mittel entscheidet. Das ist jetzt sehr salopp von mir zusammengefasst, detaillierter findet es sich hier.
2.33 EuGH: Nachvollziehbarkeit bei Algorithmen / Betriebsgeheimnisse (C-203/22)
Im Verfahren C-203/22 (Dun&Bradstreet Austria) geht es um Einschränkungen eines Auskunftsanspruchs aufgrund von Betriebsgeheimnissen (wir berichteten). Ein Mobilfunkbetreiber lehnte den Vertragsschluss ab, weil eine Wirtschaftsauskunftei fehlende Bonität attestierte. Die Aufsichtsbehörde und das Bundesverwaltungsgericht verpflichteten den Betreiber die betroffene Person in die Lage zu versetzen, dass diese nachvollziehen könne, wie das Scoring prognostiziert wurde. Die erteilte Auskunft reichte nicht. Da die Auskunft weiterhin nicht erteilt wurde, wurde die Vollziehung begehrt. Von der Vollziehung wurde Abstand genommen – der Auskunftspflicht sei ausreichend nachgekommen worden. Hiergegen wehrte sich die betroffene Person. Das zuständige Verwaltungsgericht ersuchte daraufhin den EuGH um Vorabentscheidung zum Umfang der nach Art. 15 Abs. 1 lit. h DS-GVO geschuldeten Auskunft und wie mit Daten Dritter und Geschäftsgeheimnissen in diesem Zusammenhang umzugehen ist.
Der EuGH traf in seinem Urteil einige maßgebliche Aussagen zur Nachvollziehbarkeit von Algorithmen. Grundsätzlich hat die betroffene Person das Recht zu erfahren, wie eine sie betreffende Entscheidung zustande kam. Dies umfasst bei automatisierten Entscheidungen nach Art. 22 Abs. 1 DS-GVO auch die Erteilung „aussagekräftiger Informationen über die involvierte Logik“, in denen anhand der maßgeblichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form die Verfahren und Grundsätze zu erläutern sind, die bei der automatisierten Verarbeitung ihrer personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses – beispielsweise eines Bonitätsprofils – konkret angewandt wurden. Der EuGH befasst sich dabei zur Auslegung auch mit den verschiedenen Sprachfassungen der DS-GVO (Rn. 40) und referenziert auch auf die Ausführungen des Generalanwalts in seinen Schlussanträgen (dort Rn. 65).
Der EuGH stellt dann fest, dass in dem Begriff „aussagekräftige Informationen über die involvierte Logik“ in Art. 15 Abs. 1 lit. h DS-GVO diese Informationen nur einen Teil der Informationen darstellen, die unter das in dieser Bestimmung vorgesehene Auskunftsrecht fallen, da dieses auch die Informationen zur Tragweite und zu den angestrebten Auswirkungen der in Rede stehenden Verarbeitung für die betroffene Person umfasst (Rn. 44). Der EuGH erwartet daher „echte, greifbare Beispiele“, um die Informationen aussagekräftig und verständlich zu machen (Rn. 45f). Er verweist diesbezüglich auch auf die Anforderungen in Art. 13 Abs. 2 lit. f DS-GVO und Art. 14 Abs. 2 lit. g DS-GVO, die diese Begrifflichkeit ebenfalls verwenden. Ebenso nimmt er Bezug auf die Leitlinien des EDSA, der die Aussagen der Art. 29-Gruppe zur automatisierten Entscheidungsfindung übernommen hat (dort Seite 25).
Letztendlich ergebe sich laut EuGH ab Rn. 58f aus der Prüfung der Ziele der DS-GVO und insbesondere von Art. 15 Abs. 1 lit. h DS-GVO, dass das Recht auf „aussagekräftige Informationen über die involvierte Logik“ bei einer automatisierten Entscheidungsfindung im Sinne dieser Bestimmung als ein Recht auf Erläuterung des Verfahrens und der Grundsätze, die bei der automatisierten Verarbeitung der personenbezogenen Daten der betroffenen Person zur Anwendung kamen, um auf der Grundlage dieser Daten zu einem bestimmten Ergebnis – etwa einem Bonitätsprofil – zu gelangen, zu verstehen sei. Damit die betroffene Person die ihr durch die DS-GVO und insbesondere ihre in Art. 22 Abs. 3 DS-GVO gewährten Rechte wirksam ausüben kann, müssen im Rahmen dieser Erläuterung die relevanten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form übermittelt werden. Weder die bloße Übermittlung einer komplexen mathematischen Formel (etwa eines Algorithmus), noch die detaillierte Beschreibung jedes Schritts einer automatisierten Entscheidungsfindung genügten diesen Anforderungen, da beides keine ausreichend präzise und verständliche Erläuterung darstellten.
Unter Verweis auf die Seite 25 der Leitlinien des EDSA zur Automatisierten Entscheidungsfindung sollte nämlich zum einen der Verantwortliche einfache Möglichkeiten finden die betroffene Person über die der Entscheidungsfindung zugrunde liegenden Überlegungen bzw. Kriterien zu informieren. Zum anderen verpflichte die DS-GVO den Verantwortlichen zur Übermittlung aussagekräftiger Informationen über die involvierte Logik, „nicht unbedingt zu einer ausführlichen Erläuterung der verwendeten Algorithmen oder zur Offenlegung des gesamten Algorithmus“. Die „aussagekräftigen Informationen über die involvierte Logik“ einer automatisierten Entscheidungsfindung im Sinne von Art. 15 Abs. 1 lit. h DS-GVO müssen also das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der in Rede stehenden automatisierten Entscheidungsfindung auf welche Art verwendet wurden, ohne dass die Komplexität der im Rahmen einer automatisierten Entscheidungsfindung vorzunehmenden Arbeitsschritte den Verantwortlichen von seiner Erläuterungspflicht entbinden könnte (Rn. 61).
Was konkret ein Profiling – wie das im Ausgangsverfahren in Rede stehende – betrifft, könnte das vorlegende Gericht nach Ansicht des EuGH insbesondere als ausreichend transparent und nachvollziehbar erachten die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte (Rn. 62). Das kann schön mit dem Begriff der „alternativen Entscheidungsszenarien“ beschrieben werden.
Nach Aussage des EuGH in den Rn. 71 – 76 seien Art. 15 Abs. 4 und Art. 15 Abs. 1 lit. h DS-GVO dahingehend auszulegen, dass, sollten nach Ansicht des Verantwortlichen die Informationen, die der betroffenen Person gemäß dieser Bestimmung zu übermitteln sind, von der DS-GVO geschützte Daten Dritter oder Geschäftsgeheimnisse darstellen, der Verantwortliche diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht zu übermitteln hat, die die einander gegenüberstehenden Rechte und Interessen abwägen müssen, um den Umfang des in Art. 15 DS-GVO vorgesehenen Auskunftsrechts der betroffenen Person zu ermitteln (Rn. 71 – 73).
Das wurde jetzt etwas umfangreicher – ist aber nach meinem Dafürhalten aber angemessen, wenn die Konsequenzen für die Informationspflichten, den Auskunftsumfang und die Auswirkungen generell auf Algorithmen (auch bei „KI“) bedacht werden. Passend dazu auch die Ausführungen des Future of Privacy Forums zum Themen ADM (Automated Decision Making under the GDPR).
2.34 VGH München: Datenschutzrechtliche Ansprüche bei Jugendamtsakten
Im Rahmen einer Entscheidung über Prozesskostenhilfe hat sich der VGH München auch zu datenschutzrechtlichen Fragestellungen geäußert. Der Inhalt von Jugendamtsakten werde nicht schon alleine wegen des Kindschaftsverhältnisses vollumfänglich zum personenbezogenen Datum des Klägers im Sinn des Art. 4 Nr. 1 DS-GVO mit der Folge, dass ihm hinsichtlich jeglichen Akteninhalts Auskunfts- und Berichtigungsansprüche zustünden. Auch unterliegen bestrittene Sachverhaltsdarstellungen in Gutachten und Stellungnahmen regelmäßig nicht dem datenschutzrechtlichen Berichtigungsanspruch, sondern können im laufenden Verfahren Anlass für Gegendarstellungen sein. Ebenso seien fachliche Entscheidungen einer Behörde nach den fachrechtlichen Maßstäben zu beurteilen und unterliegen regelmäßig nicht einer datenschutzrechtlichen Aufsichtskompetenz. Soweit es sich bei Akteninhalten um von der gesetzlichen Ermächtigung umfasste Werturteile und nicht um Tatsachen handelt, ist die Abgabe eines Werturteils rechtmäßig und keiner Korrektur über Art. 16 DS-GVO zugänglich.
2.35 AG Chemnitz: Verjährung von Auskunftsansprüchen
Wieder mal geht es um Auskünfte, um Prämienanpassungen einer Versicherung nachvollziehen zu können. Eigentlich sollte dies keine große Streitfrage sein – und doch schafft es das AG Chemnitz quasi nebenbei eine paar grundsätzliche Aussagen zu treffen: So sei für die Bewertung, welche Unterlagen vom Auskunftsanspruch umfasst werden, der Kontext maßgeblich (RN. 27ff), der Anspruch werde nicht exzessiv geltend gemacht (RN. 39) und der Anspruch auf Auskunft verjährt auch nicht (Rn. 41). Besprechung des Urteils auch hier.
2.36 VGH München: Einsichtnahme in Auftragsverarbeitungsvereinbarung durch Betroffene
Der VGH München entschied, dass eine betroffene Person über Art. 15 DS-GVO nur ein Auskunftsrecht über die eigenen personenbezogenen Daten eingeräumt wird (vgl. auch Erwägungsgrund 63 DS-GVO). Ein Recht auf eigenständige Rechtmäßigkeitsüberprüfung stehe ihr hingegen nicht zu. Vor diesem Hintergrund hätte vorliegend der Kläger kein berechtigtes Interesse, um selbst den Abschluss und die Rechtmäßigkeit eines Auftragsverarbeitungsvertrags zu prüfen. Für die Überwachung der Anwendung der DS-GVO sei gemäß Art. 51 Abs. 1 DS-GVO die Aufsichtsbehörde zuständig, nicht Private.
2.37 OVG NRW: TLS-Verschlüsselung ausreichend in E-Mail-Kommunikation
Das OVG NRW stellte in einem Beschluss fest, dass, sofern keine besondere Gefährdung dargelegt werde oder es sich nicht um Daten nach Art. 9 oder Art. 10 DS-GVO handele, eine TLS-Verschlüsselung im E-Mail-Verkehr durch öffentliche Stellen ausreichen kann (Rn. 17-29).
2.38 OVG Rheinland-Pfalz: Keine pauschale Sperrwirkung der Antworten von OpenAI
Die Aufsichtsbehörde Rheinland-Pfalz forderte von OpenAI die Beantwortung von Fragen bezüglich ChatGPT. Die Antworten wurden bei einer Informationsfreiheitsanfrage als Betriebsgeheimnis klassifiziert und nicht freigegeben. Das hat nun das Oberverwaltungsgericht Rheinland-Pfalz korrigiert. Betriebsgeheimnisse müssen schon besonders begründet werden und könnten dann geschwärzt werden. Eine allgemeine Sperr-Erklärung des beteiligten Unternehmens reiche pauschal nicht aus. Alle Unterlagen dazu finden sich bei FragdenStaat.
2.39 Österreichisches BVwG: Österreichische Post – und deren Datenschutzbeauftragte
Über das Urteil des österreichischen BVwG zu dem Bußgeld aufgrund unzulässiger Datenverarbeitung hatten wir schon berichtet.
Einen Aspekt möchte ich aber noch herausgreifen: Die Österreichische Post hatte eine Datenschutzbeauftragte, die bei dem Vorgehen keine Zweifel an der Rechtmäßigkeit hegte. Das BVwG betrachte dies ausführlich, als es sich mit der subjektiven Tatbestandsseite ab Ziffer 3.1.2 befasste und im Ergebnis daher keine Entlastung für das Unternehmen ableiten konnte.
Diese Lektüre sei auch allen Personen empfohlen, die davon ausgehen, es reiche aus eine Person mit den Aufgaben als Datenschutzbeauftragte zu versehen, von der erwartet wird, dass sie grundsätzlich keine Bedenken erhebt.
„Der Datenschutzmanagerin ist vorzuwerfen, dass sie bei ihrer Meinungsbildung auffallend sorglos war, zumal sie eine einschlägige datenschutzrechtliche Entscheidung denkunmöglich interpretiert und eine abweichende Rechtsmeinung zwar im Jour Fixe u.a. mit ihrem Vorgesetzten diskutiert, aber „mangels Mehrheitsfähigkeit“ und trotz der damit verbundenen drohenden massiven Auswirkungen, i.e. die drohende Verarbeitung besonderer Kategorien personenbezogener Daten von XXXX Österreicher:innen, keine weiteren Rechercheschritte gesetzt hat.
Die weiteren von der Datenschutzmanagerin ergriffen Recherchetätigkeiten waren ungeeignet ihren Fehler aufzudecken, zumal im Austausch mit dem XXXX die Zulässigkeit der Verarbeitung von Affinitäten nicht damit begründet worden ist, dass es sich dabei um keine personenbezogenen Daten handelt – weshalb auch kein entsprechender Branchenstandard bestand –, einem Gutachten Glauben geschenkt worden ist, das ihr weder vorgelegen ist noch sich auf die österreichische Rechtslage bezogen hat und sie bei datenschutzrechtlichen Vorträgen und Kursen (bereits zu grundlegenderen Themen) keine befriedigenden Antworten erhalten hat.
Der Datenschutzbeauftragten ist vorzuwerfen, dass sie sich – in offenbarer Unkenntnis der bestehenden Rechtsprechung sowie trotz einer neuen Rechtslage – auf ihre bestehende (irrige) Meinung verlassen hat, dass es sich bei statistischen Daten auch dann um keine personenbezogenen Daten handelt, wenn sie konkreten Personen zugeschrieben werden, und keine eigenen relevanten Recherchen durchgeführt hat.
Dem Vorgesetzten der Datenschutzmanagerin, dem Leiter des Daten- und Adressmanagements, ist vorzuwerfen, dass er trotz der geäußerten abweichenden Meinung eines Mitarbeiters der Datenschutzmanagerin und trotz der damit verbundenen drohenden massiven Auswirkungen, i.e. die drohende Verarbeitung besonderer Kategorien personenbezogener Daten von XXXX Österreicher:innen, keine ergänzenden und geeigneten Recherchetätigkeiten durchgeführt oder durchführen hat lassen.
Diese vorwerfbare Fehlscheinschätzung hat letztlich dazu geführt, dass die Beschwerdeführerin die “ XXXX -Affinitäten“ nicht weiter dahingehend überprüft hat, ob es sich tatsächlich um eine besondere Kategorie von Daten i.S.d. Art. 9 Abs. 1 DS-GVO handelt und ob und unter welchen Voraussetzungen ihre Verarbeitung zulässig sein könnte. Dass eine objektive und sorgfältige Prüfung uU (wenngleich unzutreffend) ergeben hätte können, dass es sich bei den „XXXX -Affinitäten“ um keine besonderen Kategorien handelt, kann die Fehler nicht heilen, zumal eine solche Prüfung gerade nicht durchgeführt worden ist. Von einem entschuldbaren Verbotsirrtum kann entgegen der Meinung der Beschwerdeführerin keinesfalls gesprochen werden; auch etwaige von der Beschwerdeführerin vorgebrachte Rechtsmeinungen, die ihre Ansicht stützten sollen, können daran nichts ändern, zumal sie erst nach dem Tatzeitraum veröffentlicht worden sind. Im Gegenteil ist jedenfalls von einem grob fahrlässigen Verhalten auszugehen.
Dieses fahrlässige Verhalten muss sich die Beschwerdeführerin zurechnen lassen; eine Handlung oder Kenntnis eines Leitungsorgans der Beschwerdeführerin, ist hierfür nicht erforderlich.“
2.40 BVwG: Angabe von Empfängern bei Auskunft
Das österreichische Bundesverwaltungsgericht entschied, dass bei einem Auskunftsanspruch nach Art. 15 Abs. 1 lit. c DS-GVO der Verantwortliche kein Wahlrecht zwischen Kategorien von Empfängern und konkreten Empfängern habe, sofern diese bereits bekannt seien (Ziffer 3.3.2.1.1.).
Unter dieser Ziffer äußert sich das BVwG auch zum Begriff „Empfänger“. Der Vollständigkeit halber hält das BVwG fest, dass der Begriff des Empfängers in Art. 4 Nr. 9 DS-GVO als jede Stelle, der personenbezogene Daten offengelegt werden, definiert wird. Der Empfänger müsse kein Dritter i.S.d. Art. 4 Nr. 10 DS-GVO sein. Für die Einstufung als Empfänger müsse keine Übermittlung im Sinne eines Datentransfers an einen anderen Verantwortlichen vorliegen, vielmehr sei bereits jede Offenlegung ausreichend. Daher gelte auch ein Auftragsverarbeiter als Empfänger, nicht aber Beschäftigte oder sonstige Stellen, welche dem Verantwortlichen bzw. Auftragsverarbeiter unmittelbar rechtlich unterworfen sind und in die Organisation des Verantwortlichen eingegliedert sind.
Für die Auskunft zur geplanten Speicherdauer nach Art. 15 Abs. 1 lit. d DS-GVO reiche es nach Ansicht des österreichischen Bundesverwaltungsgerichts nicht aus, nur auf die gesetzlichen Aufbewahrungsfristen zu verweisen. Es sollte der betroffenen Person nämlich möglich sein die Speicherdauer anhand dieser Informationen selbst zu bestimmen. Ein lapidarer Hinweis auf „gesetzliche Aufbewahrungsfristen“ im Allgemeinen verschafft Betroffenen jedoch keinen Mehrwert (Ziffer 3.3.2.1.2). Dabei verweist das BVwG auch auf die differenzierte Ansicht des EDSA in dessen Leitlinien 01/2022 zu den Rechten der betroffenen Person – Auskunftsrecht Version 2.1, Rn. 118.
2.41 Österreichischer OGH: Anforderung an die Erforderlichkeit bei Art. 9 Abs. 2 lit. f DS-GVO
Besondere Kategorien von Daten nach Art. 9 Abs. 1 DS-GVO können verarbeitet werden, wenn dies nach Art. 9 Abs. 2 lit. f DS-GVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist.
Der österreichische Gerichtshof (OGH) stellt in einem Beschluss (unter Rn 14) fest, dass der Erlaubnistatbestand des Art. 9 Abs. 2 lit. f DS-GVO für sensible Daten einen Sonderfall des allgemeinen Erlaubnistatbestands des berechtigten Interesses im Sinne des Art. 6 Abs 1 lit. f DS-GVO darstelle. Er diene der Gewährleistung des Grundrechts auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht gemäß Art 47 Grundrechtecharta. Die Verarbeitung personenbezogener Daten muss zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich sein. „Erforderlich“ bedeute, dass ohne die Daten die Geltendmachung des Anspruchs bzw. eine Verteidigung dagegen nicht möglich oder wesentlich erschwert wäre. Die Grenze der Erforderlichkeit im Sinn des Art. 9 Abs. 2 lit. f DS-GVO ist aufgrund ihrer Bedeutung für die rechtsstaatliche Durchsetzung von Ansprüchen nicht allzu streng zu handhaben. Etwa im Fall von Prozessvorbringungen ist der Tatbestand der Ausnahmeklausel erst bei einer willkürlichen, bewussten Offenlegung von sensiblen Daten, die mit dem Streitstoff in keinerlei Verbindung stehen, nicht mehr gegeben.
Zudem stellt er in Rn. 15 fest, dass die Ausnahmetatbestände des Art. 9 Abs. 2 DS-GVO eine Verarbeitung nur unter Einhaltung der sonstigen Vorgaben der DS-GVO gestatten, was eine Verhältnismäßigkeitsprüfung im jeweiligen Einzelfall miteinschließe, sofern die Ausnahmetatbestände dies explizit vorsehen. Die Voraussetzungen des Art. 9 Abs. 2 DS-GVO seien zusätzlich zu den allgemeinen Verarbeitungsvoraussetzungen des Art. 6 Abs. 1 DS-GVO zu beachten.
2.42 BGH: Kontrollverlust bei rechtswidriger E-Mail-Werbung und Schadenersatz
Weit mehr Schrecken als denkbare Bußgelder verbreiten derzeit offenbar Spekulationen über eine Herabsenkung der Anforderungen bei immateriellen Schadenersatzansprüchen aus Art. 82 DS-GVO. Reicht alleine ein „Kontrollverlust“ aus? Und was ist das überhaupt? Angesichts eines aktuellen BGH-Urteils vom Januar 2025 werden diese Fragen auch in diesem Blog-Beitrag diskutiert und zusammengefasst. In dem Fall ging es um eine ohne datenschutzrechtliche Rechtsgrundlage versandte Werbe-E-Mail an einen Kunden, der daraufhin 500 Euro immateriellen Schadenersatz forderte. Der BGH stellte dazu fest (RN. 16 ff), dass die betroffene Person nicht den Nachweis erbrachte, dass durch den Kontrollverlust ein Schaden entstanden sei. Auch fehle es an einer Darlegung, dass es zu einem Kontrollverlust gekommen sei.
2.43 BFH: Unverhältnismäßiger Aufwand bei Finanzamt ist kein Grund gegen Auskunft
Im Streit um die Erfüllung eines Auskunftsanspruchs durch ein Finanzamt stellte der Bundesfinanzhof fest, dass ein unverhältnismäßiger Aufwand kein Grund sei, der einer Beauskunftung entgegenstehe (Rn. 27 ff). Auch kann ein Auskunftsanspruch im vorliegenden Fall nicht bereits als exzessiv gelten, wenn die betroffene Person Auskunft zu ihren personenbezogenen Daten begehrt, ohne dieses Begehren in sachlicher beziehungsweise zeitlicher Hinsicht (weitestgehend) zu beschränken (RN. 45 ff).
Weiterhin stellt das Gericht fest, dass ein Auskunftsanspruch grundsätzlich dann erfüllt ist, wenn die Angaben des Auskunftsschuldners nach seinem erklärten Willen die Auskunft im geschuldeten Gesamtumfang darstellen.
Wesentlich für die Erfüllung des Auskunftsanspruchs ist die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist (Rn. 52).
2.44 Überblick über Anforderungen an immateriellen Schadenersatz
Eine Kanzlei hat in einem Blog-Beitrag aktuelle Zahlen und Statistiken zu den Entscheidungen über einen immateriellen Schadenersatz nach Art. 82 DS-GVO zusammengestellt.
2.45 Podcast zu EuGH-Rechtsprechung
Die Folge dieses Podcasts (Dauer ca. 44 Min.) befasst sich kritisch u.a. mit einigen Urteilen des EuGH in der letzten Zeit, wie zu den Aussagen zu Rechtsgrundlagen (C-17/22 und C-18/22) oder zur Bußgeldberechnung bei Unternehmen (C-383/23). Daneben geht es aber auch um die Guidelines 01/2025 des EDSA zur Pseudonymisierung.
2.46 EuGH-Vorschau: Unterlassungsanspruch bei unrechtmäßiger Weiterleitung? (C-655/23)
Die Schlussanträge des Generalanwalts im Verfahren C-655/23 sind für den 20. März 2025 angekündigt. Darin befasst er sich mit den Fragestellungen, inwieweit sich bei einer unrechtmäßigen Weiterleitung von personenbezogenen Daten auch ein Unterlassungsanspruch begründet, auch wenn keine Löschung verlangt wird. Und natürlich geht es auch dabei wieder um Fragen zum immateriellen Schadenersatzanspruch.
2.47 EuG-Vorschau: Mündliche Verhandlung in T-553/23 zum TADPF
Wer erinnert sich? Die Klage auf Dringlichkeit wurde damals im Verfahren T-553/23 noch vom EuG abgelehnt (wir berichteten). Es ging um die Überprüfung des TADPF auf Grund der Klage eines MdP (Latombe/Kommission). Er stützte seine Klage auf fünf Gründe, u.a. Verstoß gegen Zustellungsvorgaben, unzureichenden Schutz der Grundrechte, Verstoß gegen die DS-GVO, da das Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht nicht gewährleistet sei. Die in den Vereinigten Staaten von Amerika errichtete Rechtsbehelfsbehörde, die durch einen Akt der amerikanischen Exekutive und nicht durch Gesetz geschaffen worden sei, sei kein unabhängiges Gericht und biete keine den Anforderungen des europäischen Rechts entsprechende Garantien.
Auch wird ein Verstoß gegen Art. 22 DS-GVO gerügt, da automatisierte Entscheidungen nicht geregelt würden. Das amerikanische Recht sehe keine allgemeine Garantie gegen automatisierte Entscheidungen vor; die Gefahr, dass diese aufträten, werde mithin durch die getroffenen Vorkehrungen nicht abgewendet. Schließlich rügt der Kläger auch einen Verstoß gegen Art. 32 in Verbindung mit Art. 45 Abs. 2 DS-GVO, da die Garantien hinsichtlich der Sicherheit der verarbeiteten Daten mangelhaft seien. Denn das amerikanische Recht sehe in dem Bereich nur vage Maßnahmen vor, aber keine bestimmten Pflichten der die Daten übertragenden Wirtschaftsteilnehmer.
Am 1. April 2025 ist der Termin der mündlichen Verhandlung angesetzt.
3 Gesetzgebung
3.1 EU-Vorhaben in den nächsten Jahren
In ihren Vorhaben für die kommenden Jahre trifft die EU-Kommission auch Aussagen zu datenschutzrechtlichen Aspekten. Unter Verweis auf den bisherigen Entwurf zur Stärkung der Durchsetzung der DS-GVO kündigt sie an (Annex III Nr. 108) diesen fortzuführen.
3.2 EU: Erstmal keine KI-Haftungsvorgaben
Die EU-Kommission hat ihre Vorhaben für die kommende Amtszeit veröffentlicht. Danach zieht sie ihren eigenen Vorschlag zu einer europaweiten Vorgabe zur Haftung bei Schäden durch KI zurück, wie sie hier informiert. Sie begründet dies damit, dass keine Einigung auf dieser Basis erwartet wird, sie prüft aber, ob ein weiterer Vorschlag unterbreitet werden sollte oder ein anderer Ansatz gewählt werden könnte.
Also gelten erstmal weiterhin 27 Varianten innerhalb der EU. Muss nicht weiter kommentiert werden. Manchmal ist erwartungskonform eben auch nicht schön.
Franks Nachtrag: Sie möchten hier weiterlesen…
3.3 EU: Erstmal keine ePrivacy-Verordnung
Auch der Vorschlag für eine ePrivacy-Verordnung kommt bei der EU-Kommission vom Tisch (vgl. auf Seite 26, Nr. 29): Als Grund wird angegeben, dass eine Einigung absehbar nicht erwartet wird. Außerdem sei der Vorschlag in Anbetracht einiger neuerer Rechtsvorschriften sowohl in der technologischen als auch der legislativen Landschaft nicht mehr aktuell. Ich bin fast ein wenig verwundert, dass es hier noch einer offiziellen Bestätigung bedurfte.
3.4 EU-Kommission: Guidelines zu Art. 5 KI-VO
Die EU-Kommission veröffentlichte nun die Guidelines, die bei der Entscheidung helfen sollen, welche KI nach Art. 5 KI-VO als verboten anzusehen ist. Hervorgehoben wird auch, dass dieser Entwurf der Leitlinien zwar genehmigt, aber noch nicht offiziell verabschiedet wurde. Eine Zusammenfassung dazu findet sich hier.
3.5 Vatikan: Verhältnis von künstlicher Intelligenz und menschlicher Intelligenz
Es tut richtig gut, wenn zumindest im Vatikan die Welt noch nicht durchdreht (erlaube mir das trotz mancher berechtigter Kritik, die man auch dort platzieren könnte). Dort wurde nun (wie hier wieder lobenswert berichtet wird) mit der Note Antiqua et Nova »über das Verhältnis von künstlicher Intelligenz und menschlicher Intelligenz« ein Dokument zur KI-Ethik veröffentlicht. Damit gibt es erstmals ein lehrmäßiges Dokument zu KI, das die Position der Kirche systematisiert und definiert. Ab Randziffer 90 bis 94 gibt es sogar Aussagen zu datenschutzrechtlichen Aspekten. Detaillierteres dazu ist hier nachzulesen.
3.6 CSAM: Polen bringt Vorschlag zu freiwilligem Rahmen bei der Überwachung ein
Die polnische Ratspräsidentschaft brachte einen neuen Vorschlag im Kampf gegen Child Sexual Abuse Material (CSAM) ein. Statt auf verpflichtenden Aufdeckungsanordnungen setzt sie auf einen freiwilligen Rahmen. Mehr Details und Analyse dazu finden Sie hier.
3.7 EHDS: European Health Data Space
Der European Health Data Space (EHDS) bringt eine Vielzahl an Neuerungen, insbesondere mit Hinblick auf die Zulässigkeit der Sekundärnutzung von Gesundheitsdaten. Er ist eingebettet in die Europäische Gesundheitsunion. Über die Regelungsinhalte des EHDS sowie datenschutzrechtliche Herausforderungen gibt der Beitrag einer renommierten Kanzlei einen ersten Überblick.
Franks Nachtrag: Sie möchten hier weiterlesen…
3.8 Vereinigtes Königreich: Backdoor für Apple-Produkte?
Nach diesem Bericht soll Apple auf Weisung der britischen Regierung ein System für den Backdoor-Zugriff auf die verschlüsselten iCloud-Backups von Benutzern weltweit einrichten. Die im Januar 2025 erteilte Weisung solle den britischen Sicherheitsdiensten Zugriff auf verschlüsselte Daten von Nutzern in allen Ländern gewähren, nicht nur innerhalb der Gerichtsbarkeit des Vereinigten Königreichs.
Laut dem Bericht dürfe Apple selbst keine Details über die Anordnung veröffentlichen. Das britische Recht stufe die bloße Offenlegung solcher Regierungsforderungen als Straftat ein. Ob andere Unternehmen wie Google und Meta, die angeben, verschlüsselte Backups für Android- bzw. Whatsapp-Nutzer bereitzustellen, ähnliche Anweisungen erhalten haben, ist danach nicht bekannt.
Franks Nachtrag: Es gibt Proteste gegen diesen Vorschlag.
Franks zweiter Nachtrag: Auch Bruce Schneier berichtet darüber. Und hat auch gleich noch ein Essay dazu geschrieben.
3.9 Richtlinie zur Verbesserung der Arbeitsbedingungen in der Plattformarbeit
Haben betroffene Personen Anspruch auf die Einsicht in die Datenschutz-Folgenabschätzung zu einer Verarbeitung mit voraussichtlich hohem Risiko, die sie betrifft? Wer jetzt vorschnell mit der Antwort „nein“ ist, sollte weiterlesen.
Es gelingt kaum, den Überblick zu behalten: Wer hatte die Richtlinie 2024/2831 zur Verbesserung der Arbeitsbedingungen in der Plattformarbeit mitbekommen, die zum 01.12.2024 in Kraft trat? Ich damals nicht. Und natürlich wird darin auch „Plattformarbeit“ definiert, in Art. 2 Abs. 1 lit. b bezeichnet „Plattformarbeit“ Arbeit, die über eine digitale Arbeitsplattform organisiert und in der Union von einer Einzelperson auf der Grundlage eines Vertragsverhältnisses zwischen der digitalen Arbeitsplattform oder einem Vermittler und der Einzelperson ausgeführt wird, unabhängig davon, ob ein Vertragsverhältnis zwischen der Einzelperson oder einem Vermittler und dem Empfänger der Dienstleistung besteht.
In diesem Beitrag wird dann dazu ausgeführt, dass es sich bei Plattformarbeit um eine Arbeitsform handele, bei welcher eine Einzelperson immer wieder einzelne Aufträge über eine digitale Plattform für in der Regel verschiedene Auftraggeber gegen Bezahlung erfüllt. Sie überschneidet sich mit den Schlagwörtern „crowd work“ oder „gig economy“. Während der COVID-19-Pandemie habe die Plattformökonomie einen Boom insbesondere durch den stark gestiegenen Bedarf an Essens- und Konsumgüterlieferungen erfahren. Daneben werden aber vor allem auch Dienstleistungen über digitale Plattformen vermittelt, z.B. die Erledigung von Programmier-Arbeiten durch den Einsatz freier IT-Arbeitskräfte oder die Vermittlung einzelner Haushalts- und Handwerksleistungen. Aufgabe des Plattformbetreibers (Crowdsourcer) ist es unsteten, individuellen Kundenbedarf mit freien Arbeitskräften (Crowdworker) rasch, günstig und zielgenau (in der Regel durch Nutzung einer App) zusammenzubringen.
Und was wird dann darin geregelt? Es geht um Bestimmung des Beschäftigtenstatus (Art. 4), aber ab Art. 7 auch um algorithmisches Management.
So stellt Art. 8 Abs. 1 Satz 1 fest, dass die Verarbeitung personenbezogener Daten durch eine digitale Arbeitsplattform mittels automatisierter Beobachtungssysteme oder automatisierter Entscheidungssysteme ein Verarbeitungsverfahren ist, das voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne des Art. 35 Abs. 1 DS-GVO zur Folge hat. Und dann legt Abs. 2 des Art. 8 auch fest, dass digitale Arbeitsplattformen den Arbeitnehmervertretern die in Abs. 1 genannte Abschätzung zur Verfügung stellen. Zuständige Aufsichtsbehörden für die Regularien von Art. 7 bis Art. 11 sind nach Art. 24 auch die bisherigen nach der DS-GVO.
3.10 ThinkTank des EP: Fact-checking and content moderation
Die Überprüfung von Inhalten auf Online-Plattformen auf ihren Wahrheitsgehalt wurde bisher als wichtiger Faktor beim Schutz der Demokratie dargestellt, indem Aussagen verifiziert und so sichergestellt wurde, dass vertrauenswürdige Quellen verwendet werden. Viele Social-Media-Plattformen setzen Faktenprüfer ein, um die Durchsetzung von Richtlinien zur Moderation von Inhalten zu unterstützen und ihre Nutzer vor Schaden zu bewahren. Das verbindliche Rechtsinstrument „Digital Services Act“ der EU stärkt die Verpflichtungen von Online-Plattformen zur Moderation von Inhalten, während der freiwillige EU-Verhaltenskodex zur Bekämpfung von Desinformation die Unterzeichner dazu ermutigt Faktenprüfungsdienste konsequent zu nutzen. Einige große Plattformen haben diesen Ansatz jedoch kürzlich in Frage gestellt. Der Think Tank des europäischen Parlaments hat zu dieser Thematik eine Zusammenfassung erstellt.
3.11 USA: Executive Order und Memorandum – Auswirkungen auf Vertrauen
Um zu vermeiden, dass unabhängige Agenturen evtl. Entscheidungen treffen, die nicht vom Willen des US-Präsidenten getragen werden, hat dieser eine Executive Order unterschrieben, die die Agenturen wie die Federal Trade Commission, die Federal Communications Commission und die Securities and Exchange Commission verpflichtet vorher seine Zustimmung einzuholen.
Es geht aber noch weiter: In einem Memorandum sorgt sich der US-Präsident um die Wahrung der Souveränität Amerikas über seine Wirtschaft. Er möchte US-amerikanische Unternehmen und Innovatoren vor Erpressung aus dem Ausland schützen. Sollten US-amerikanische Unternehmen in anderen Staaten z.B. einer Digitalsteuer unterworfen werden, will er mit Zöllen reagieren. Auch behält er sich Maßnahmen vor, sollten Handlungen, Richtlinien oder Praktiken in der Europäischen Union oder im Vereinigten Königreich Anreize für US-Unternehmen schaffen Produkte und Technologien in einer Weise zu entwickeln oder zu nutzen, die die Meinungsfreiheit untergraben.
Lag die Sorge bei den politischen Entwicklungen in den USA bisher eher in einem Wegfall des TADPF, beginnen auch langsam die Sorgen für Art. 28 Abs. 1 DS-GVO bei Dienstleistern mit einem US-amerikanischem Hintergrund.
Dazu passt dann auch diese Meldung, dass sich Meta beim eigenen Präsidenten zu beschwerte, weil man Sanktionen fürchten müsse, wenn sie Regularien in anderen Ländern missachten. Irgendwann sollte auch den Nutzenden von diesen Angeboten bewusst werden, dass auch sie eine gewisse Eigenverantwortlichkeit für ihre Daten tragen.
Und wer weiß, ob nicht auch in den USA selbst bei der aktuellen „Verschlankung“ der Administration, die auch vor Cybersicherheitseinrichtungen keinen Halt macht, nicht bald ein Umdenken einsetzt. Passender Bericht dazu hier.
Franks Nachtrag: Sie möchten auch hier lesen…
3.12 Europa: Gesundheitsdatenraum
Die Verordnung EU 2025/327 über den europäischen Gesundheitsdatenraum wurde im Amtsblatt veröffentlicht. Sie gilt nun ab dem 26. März 2025, einzelne Vorgaben haben einen gestaffelten Geltungsbeginn, vgl. Art. 105. Dazu gibt es von der EU-Kommission auch eine FAQ.
Franks Nachtrag: Sie möchten auch hier lesen…
3.13 Europa: KI-Haftungs-Regulierung
Kommt sie doch noch und wenn ja, wie würde eine europäische Vorgabe für die Haftung beim Einsatz von KI aussehen? Hier ist ein Beitrag, der sich mit den Anforderungen an eine europäische Regulierung der Haftung für KI befasst.
3.14 EU Omnibus-Pakete zur Deregulierung
Auf europäischer Ebene gibt es Pakete, um mehrere Regularien zu ändern und dadurch die Wirtschaft zu entlasten. Dies betrifft die Themen Nachhaltigkeitsberichterstattung (CSRD), EU-Lieferkettenrichtlinie (CSDDD), Taxonomie, CO₂-Ausgleichsmechanismus (CBAM) sowie unter anderem dem Fonds InvestEU. Die Gesetzestexte finden sich hier (Omnibus I) und hier (Omnibus II) und ein Bericht dazu dort.
3.15 Reform der Datenschutzaufsicht
Passend zur politischen Diskussion zur Zentralisierung der Datenschutzaufsicht im nicht-öffentlichen Bereich hier eine wissenschaftliche Ausarbeitung (aus dem Jahr 2022) dazu.
3.16 Konrad Adenauer Stiftung zum Digitalministerium
Auch die Konrad Adenauer Stiftung macht sich Gedanken, wie die digitale Zukunft durch ein Digitalministerium gestaltet werden kann.
3.17 Barrierefreiheitsanforderungen für Webseiten und Apps
Vielen mag noch nicht bewusst sein, was das Barrierefreiheitsstärkungsgesetz (BFSG) für Webseiten und Apps bedeutet. Diesen sei dieser frei zugängliche Beitrag empfohlen.
Franks Nachtrag: Sie möchten hier weiterlesen…
3.18 UK: Stellungnahme des ICO zum geplanten Gesetz zu Datenzugang und Nutzung
Im Vereinigten Königreich gibt es einen Gesetzesinitiative, welche die Nutzung und den Zugang zu Daten regeln soll. Der Gesetzentwurf hat nun seine Verabschiedung durch das House of Lords abgeschlossen, wo er Gegenstand einer Reihe von Änderungen und bedeutenden Debatten war. Der ICO veröffentlicht seine Anmerkungen zu den Änderungen, die im House of Lords vorgenommen wurden, sowie zu einigen Schlüsselbereichen der Debatte.
Franks Nachtrag: Zu diesem Thema empfehle ich auch diesen und jenen kritischen Beitrag.
3.19 Diskussion um die DS-GVO
Nach diesem Bericht geht es weiterhin um den „One size fits all“-Ansatz der DS-GVO. Bei einem Austausch zwischen dem damaligen Berichterstatter und dem Gründer von noyb gab es unerwartete Übereinstimmungen. Interessant besonders deshalb, weil die EU ihre Digitalgesetzgebung überprüfen möchte. Allerdings herrschte zwischen den Beteiligten nicht nur Übereinstimmung, wie hier zu entnehmen ist.
3.20 Vertragsverletzungsverfahren gegen Deutschland wegen Fristverzug bei der Umsetzung der Whistleblower-Richtlinie
Weil Deutschland die Whistleblower-Richtlinie nicht fristgerecht umsetzte, legte nun der EuGH die Sanktion in Höhe von 34 Mio. Euro fest. Das Verfahren dazu hatte die EU-Kommission im Jahr 2022 eingeleitet (wir berichteten).
3.21 USA: Das TADPF wankt
Es erscheint fast wie das Zusammenbrechen eines Kartenhauses in Zeitlupe. Mit jeder Meldung (wie auch hier) aus Washington scheint das Vertrauen in das Bestehen des Trans-Atlantik Data Privacy Framework etwas mehr erschüttert. Damit befassen sich nun auch renommierte Autoren wie hier und da und selbst die dänische Datenschutzaufsicht empfiehlt schon über Alternativen zu US-Anbietern nachzudenken. Allerdings: Solange der Angemessenheitsbeschluss in der Welt ist, können unter dessen Voraussetzungen auch Daten in die USA übermittelt werden, wie laut dieser Quelle auch die schwedische Datenschutzaufsicht hervorhebt.
Wer trotzdem schon mal über einen Plan B nachdenkt, findet hier Anregungen für Alternativen.
Franks Nachtrag: Haben Sie schon das hier gelesen?
4 Künstliche Intelligenz und Ethik
4.1 Künstliche Intelligenz und Privatsphäre
Dieser Artikel „Artificial Intelligence and Privacy“ zielt darauf ab ein grundlegendes Verständnis der Überschneidung zwischen KI und Privatsphäre zu schaffen, die aktuellen Probleme, die KI für die Privatsphäre aufwirft, zu skizzieren und mögliche Richtungen für die Entwicklung des Rechts in diesem Bereich vorzuschlagen. Bislang hätten nur wenige Kommentatoren die Gesamtlandschaft der Wechselbeziehung zwischen KI und Datenschutz erforscht. Der Beitrag versucht dieses Gebiet zu kartieren und legt dar, dass das bestehende Datenschutzrecht zwar bei weitem nicht ausreiche, um die Datenschutzprobleme im Zusammenhang mit KI zu lösen, dass aber ein richtig konzipiertes und gestaltetes Datenschutzrecht einen großen Beitrag zu ihrer Lösung leisten würde.
Franks Nachtrag: Sie möchten hier und dort weiterlesen…
4.2 KI-Kompetenz
Gerade zu Anfang Februar 2025, als alle auf Art. 4 der KI-VO hinwiesen – und damit auf die legendäre KI-Kompetenz – ist es wichtig, sich nicht irre machen zu lassen. Neben zahlreichen proprietären Angeboten gibt es auch welche, die KI-Kompetenz vermitteln, wie hier eine kostenfreie Online-Einführung zu KI für Nicht-Experten.
4.3 Microsoft: Einfluss von Generativer KI auf kritisches Denken?
Solange selbst Microsoft kritische Anmerkungen zum Einsatz und Auswirkungen von KI veröffentlicht, besteht noch Hoffnung. In diesem Beitrag geht es um Untersuchungen, die darlegen, dass durch den Einsatz von generativer KI die Fähigkeit zu kritischem Denken beeinträchtigt wird. Höheres Vertrauen in generative KI sei mit weniger kritischem Denken verbunden, während höheres Selbstvertrauen mit mehr kritischem Denken verbunden wäre.
4.4 KI kann wunderbar programmieren – und gegen Lizenzrechte verstoßen
Viele sind begeistert, welche Arbeitsschritte beim Programmieren mit dem Einsatz einer KI beschleunigt werden können. Aspekte, die dabei oftmals nicht im Fokus stehen, sind Lizenzrechte, gerade auch bei Open-Source-Lizenzen.
Damit damit befasst sich dieser Beitrag „On the Possibility of Breaking Copyleft Licenses When Reusing Code Generated by ChatGPT„, der daran erinnert, dass nicht jede schnelle Lösung auch die Beste sein muss.
4.5 zki: Handlungsempfehlungen und Merkblatt zu KI an Hochschulen
Das Zentrum für Kommunikation und Informationsverarbeitung e.V. (zki) hat zur Umsetzung der Anforderungen an die KI-Kompetenz nach Art. 4 KI-VO eine Handlungsempfehlung veröffentlicht. Nach Art. 4 KI-VO muss sichergestellt werden, dass alle in den Betrieb oder die Nutzung von KI-Systemen eingebundenen Personen über ein ausreichendes Maß an KI-Kompetenz verfügen. Diese umfasst nicht nur fachliche Fähigkeiten und Kenntnisse zur sachkundigen Nutzung von KI-Systemen, sondern auch das Bewusstsein für Chancen, Risiken und mögliche Schäden. Ziel ist es den verantwortungsvollen Einsatz von KI-Technologien zu fördern und Risiken zu minimieren. Neben den Handlungsempfehlungen stellt das zki ein Merkblatt zur KI-VO für Nutzende zur Verfügung, welche beide auch außerhalb von Hochschulen Hilfestellungen bieten.
4.6 Praxisleitfaden „Drehbuch und KI“
Der Deutsche Drehbuch Verband (DDV) hat einen Praxisleitfaden „Drehbuch und KI“ für Autor.innen ihre Agenturen und Verlage veröffentlicht. Dabei geht es zum urhebervertragsrechtlichen Umgang mit KI. Die Veröffentlichung befasst sich sowohl mit der Verwendung von KI bei der Wertschöpfung (Output) wie auch bei der Nutzung eines Werkes zum Training von KI.
4.7 LLM im Umfeld von Verwaltungsentscheidungen
Große Sprachmodelle (LLMs), die mit Daten aus dem juristischen Bereich verfeinert wurden, könnten die Effizienz der administrativen Entscheidungsfindung erheblich steigern. Anstatt Entscheidungen von Grund auf neu zu entwerfen oder sich auf vordefinierte Textbausteine zu verlassen, könnten menschliche Entscheidungsträger LLM-generierte Entwürfe als fallspezifische Ausgangspunkte verwenden. Dies wirft jedoch verschiedene rechtliche und praktische Fragen auf. Damit befasst sich diese Veröffentlichung „Potentials and Challenges of Large Language Models (LLMs) in the Context of Administrative Decision-Making“ über die Potenziale und Herausforderungen von LLMs in der administrativen Entscheidungsfindung.
4.8 Was ist Juriskop? Chatbot in der juristischen Einzelfallberatung
„Juriskop” war ein staatlich gefördertes Legal-Tech-Forschungsprojekt der JUN Legal GmbH in Kooperation mit der Universität Würzburg. Von 2022 bis 2024 wurde erforscht, wie eine natürlichsprachliche juristische Einzelfallberatung mithilfe von Chatbots gelingen kann. Durch die Entwicklung von Chatbot-Prototypen zu ausgewählten Rechtsthemen sollte herausgefunden werden, wie gut das funktionieren kann – aber auch, wo sich möglicherweise andere Methoden besser eignen, um die Rechtsberatung voranzubringen. Die Webseite dazu mit Prototypen findet sich hier.
4.9 OpenAI, Energie und Ethik
Wenn sich Mitglieder von AlgorithmWatch Panels mit Vertretern von KI-Unternehmen anhören, werden sie wahrscheinlich einen anderen Fokus auf Zwischentöne haben, als Berichterstatter von Wirtschaftsmedien. Hier wird daher der Blick auf Aussagen zum Energiebedarf von ChatGPT von OpenAI und auf den Vergleich mit dem Nahrungsbedarf von Menschen gezogen.
4.10 KI-Urheberrechtsstreit USA
War das Training eines LLM mit urheberrechtlich geschützten Inhalten rechtmäßig? Damit befassen sich derzeit viele Gerichte. In den USA hat sich nun ein Gericht für die Urheber entschieden, wie hier berichtet wird. Zwar geht es um Vorgänge aus dem Jahr 2020 und auch ist die beklagte Firma nicht mehr am Markt tätigt – die rechtlichen Fragestellungen betreffen aber auch das Training von LLM. Hier ist das Urteil.
4.11 OECD: Code of Conduct zu Urheberrechten und Training einer KI
Könnte ein freiwilliger Code of Conduct des OECD zu den Fragestellungen und Problemen, die durch Data Scraping auftreten, helfen? Da die Nachfrage nach KI-Trainingsdaten steigt, geben bestimmte Methoden der Datenerhebung Anlass zu Bedenken hinsichtlich des Schutzes von geistigem Eigentum und von anderen Rechten. Dieser Bericht des OECD „Intellectual property issues in artificial intelligence trained on scraped data“ gibt einen Überblick über die wichtigsten Fragen an der Schnittstelle zwischen KI und einigen Rechten des geistigen Eigentums. Er zielt darauf ab ein besseres Verständnis für Data Scraping zu schaffen – eine Hauptmethode zur Beschaffung von KI-Trainingsdaten, die für die Entwicklung vieler großer Sprachmodelle benötigt werden. Er analysiert die Techniken des Data Scraping, identifiziert die Hauptakteure und gibt weltweite rechtliche und regulatorische Antworten. Abschließend werden erste Überlegungen und potenzielle politische Ansätze vorgestellt, die den politischen Entscheidungsträgern bei der Bewältigung dieser Probleme helfen sollen, um sicherzustellen, dass das innovative Potenzial der KI freigesetzt wird und gleichzeitig geistiges Eigentum und andere Rechte geschützt werden.
4.12 NSA: „Content Credentials“
Wie hier berichtet wird, habe das Artificial Intelligence Security Center der NSA in Zusammenarbeit mit internationalen Partnern einen neuen Leitfaden veröffentlicht, in dem erörtert werde, wie „Content Credentials“ dazu beitragen können die Transparenz von Bildern, Audio, Video und anderen Medien im Zuge der Einführung generativer KI-Tools zu erhöhen. Allerdings hat die NSA die Pressemitteilung anschließend von ihrer Website entfernt. Stimmt, aber es gibt in der Wayback Machine noch ein cybersecurity information sheet (CSI) dazu (und immer noch verlinkt im Bericht oben). Laut NSA sind Content Credentials kryptografisch signierte Metadaten, die es Urhebern ermöglichen Informationen über sich selbst und ihren kreativen Prozess direkt in Medieninhalte einzubinden. Die Metadaten können den Medieninhalten bei der Erstellung auf der Hardware oder während des Exports aus der Software hinzugefügt werden und können durch das Hinzufügen eines digitalen Wasserzeichens zu den Medien und die Implementierung eines Fingerabdruckabgleichsystems haltbarer gemacht werden. Die NSA entwickelte das Dokument in Zusammenarbeit mit dem Australian Cyber Security Centre des Australian Signals Directorate, dem Canadian Centre for Cyber Security und dem U.K. National Cyber Security Centre.
4.13 Übersicht über globale KI-Regulatorik
Auf dieser Website wird ein Überblick über die globale KI-Regulierung versucht. Dabei hat sie den Anspruch die wichtigsten KI-Gesetze und -Vorschriften abzudecken, in welcher Phase des Gesetzgebungsverfahrens sie sich befinden und wie sie sich miteinander vergleichen lassen.
4.14 DIN SPEC: Deep-Learning-Bilderkennungssysteme – auch in der Medizin
Beim DIN sind zwei DIN SPEC kostenlos verfügbar: die DIN SPEC 13288:2021-03 als Leitfaden für die Entwicklung von Deep-Learning-Bilderkennungssystemen in der Medizin und die DIN SPEC 13266:2020-04 als Leitfaden für die Entwicklung von Deep-Learning-Bilderkennungssystemen.
4.15 ISO/IEC 42001
Auf dieser Website werden Hintergrund und Anwendungsbereich der ISO 42001 als internationaler Standard für das Management von Künstlicher Intelligenz erläutert. So verlangt beispielsweise Microsoft von seinen Lieferanten, die KI einsetzen, dass sie eine Zertifizierung nach der ISO 42001 haben (FY25-SSPA-Program-Guide-v10_en-US.pdf, Seite 7, Supplier Security & Privacy Assurance).
4.16 DStV: Whitepaper zu KI-Assistenten
Der Deutsche Steuerberaterverband (DStV) veröffentlichte ein Whitepaper zu KI-Assistenten. Die digitale Transformation verändere Kanzleien und Unternehmen schneller als je zuvor. Künstliche Intelligenz (KI) gilt dabei als Schlüsseltechnologie für mehr Effizienz und Produktivität. Besonders KI-Assistenten, die auf spezifische Aufgaben in Kanzleien zugeschnitten sind, eröffnen zahlreiche neue Möglichkeiten. Von Mandantenmanagement über Buchhaltung bis hin zur automatisierten Steuerberatung – die Einsatzgebiete seien vielfältig. Sie helfen Routineaufgaben zu automatisieren, Daten effizienter zu analysieren und Prozesse besser zu steuern. Doch auch Herausforderungen wie Datenschutz und Implementierung müssen gemeistert werden. Dazu will der DStV mit dem Whitepaper unterstützen.
4.17 WPK: FAQ zum Einsatz von KI in der WP-Praxis
Die Wirtschaftsprüferkammer (WPK) veröffentlichte eine Fragen-/Antwortliste zum Einsatz von KI in der Wirtschaftsprüfer-Praxis. Darin geht sie auf Fragen zu rechtlichen Rahmenbedingungen und Grenzen und Risiken ein.
4.18 ORF: KI-Guidelines „Glaubwürdig, Verlässlich, Innovativ“
Der ORF (Österreichischer Rundfunk) hat auch KI-Guidelines veröffentlicht. Er begründet dies damit, dass KI-gestützte Technologien auch die Arbeitsweise verändern, wie Medieninhalte produziert, verbreitet und konsumiert werden. Er will mit den Guidelines die Chance nutzen Spielregeln einzuführen, wie innerhalb des ORF mit KI umgegangen wird, denn als öffentlich-rechtliches Medienunternehmen habe der ORF eine besondere Verantwortung als vertrauenswürdige Informationsquelle.
4.19 MIT: AI Agent Index
Beim Massachusetts Institute of Technology wurde der AI Agent Index eingeführt, die erste öffentliche Datenbank zur Dokumentation eingesetzter agentischer KI-Systeme. Agentische KI – KI-Systeme, die in der Lage sind mit minimaler menschlicher Beteiligung zu denken, zu planen und auszuführen – werden immer häufiger eingesetzt. Trotz ihres wachsenden Einflusses gab es jedoch bisher keinen strukturierten Rahmen, um ihr technisches Design, ihre Anwendungen und Sicherheitsmaßnahmen zu verfolgen. Um dieses Problem anzugehen, möchte der neue AI Agents Index eine wesentliche Ressource für das Verständnis der Landschaft der KI-Agenten anbieten.
Derzeit umfasst der AI Agent Index 67 agentische KI-Systeme, die jeweils mit detaillierten Profilen dokumentiert sind, die als „Agent Cards“ bezeichnet werden. Diese Karten bieten umfassende Informationen zu verschiedenen Aspekten der einzelnen Systeme, einschließlich der oben genannten technischen Komponenten, Anwendungsdomänen und Risikomanagementpraktiken.
Dazu gibt es auch eine wissenschaftliche Abhandlung, die sich hier finden lässt.
4.20 OWASP: Leitfaden zu agentischen KI-Anwendungen
Die OWASP Foundation veröffentlichte einen neuen Leitfaden. Dieser Leitfaden („Agentic AI Treats and Mitigations„) soll den Entwicklern, Architekten, Sicherheitsexperten und Plattformingenieuren, die agentische KI-Anwendungen erstellen oder sichern, eine auf Bedrohungsmodellen basierende Referenz zum Verständnis neuer agentischer KI-Bedrohungen und ihrer Abhilfe bieten.
4.21 Schwachstellen von LLM – und was Indiana Jones damit zu tun hat
Der Einsatz großer Sprachmodelle (LLM) nimmt weltweit immer weiter zu. Da sich viele Menschen inzwischen an LLM-basierte Plattformen wenden, um sich Informationen zu beschaffen und kontextspezifische Texte zu verfassen, wird es immer wichtiger ihre Grenzen und Schwachstellen zu verstehen.
Forscher der University of New South Wales in Australien und der Nanyang Technological University in Singapur haben eine neue Strategie zur Umgehung der eingebauten Sicherheitsfilter von LLM identifiziert, die auch als Jailbreak-Angriff bekannt ist. Die neue Methode, die sie als „Indiana Jones“ bezeichneten, wurde nun unter dem Titel „Indiana Jones: There Are Always Some Useful Ancient Relics“ vorgestellt.
4.22 Rechtsgrundlagen für Datenverarbeitung für / mit KI
Diese Veröffentlichung mit dem Titel „The Quest for Lawful AI Training under Data Protection Frameworks: Global Controversies and Practical Implications” untersucht kritisch die globale Regulierungslandschaft rund um die Frage der Rechtsgrundlage für die Datenverarbeitung im Zusammenhang mit KI, wobei der Schwerpunkt auf Leitlinien, Durchsetzungsmaßnahmen und ihrem potenziellen Zusammenspiel liegt. Durch die Untersuchung einer Auswahl von Leitlinien und Regulierungsmaßnahmen auf globaler Ebene bietet es eine beschreibende und reflektierende Analyse, wie die Behörden auf diese grundlegende Herausforderung reagiert haben, und liefert eine nuancierte Sicht der globalen KI-Regulierung auf der Grundlage von Datenschutzgesetzen.
Das legitime Interesse werde zunehmend als bevorzugte Rechtsgrundlage für das Training von KI anerkannt, während die Einwilligung aufgrund praktischer Herausforderungen bei dynamischen und komplexen Datenverarbeitungsaktivitäten nach wie vor nur in geringem Maße berücksichtigt werde. Das Abstract dazu findet sich hier.
4.23 KI und Privatsphäre
Ich hatte auf diesen Text bestimmt schon mal hingewiesen – egal! Er wurde nun laut Autor überarbeitet und ist somit weiterhin aktuell. Es geht um „Artificial Intelligence and Privacy„.
Franks Nachtrag: Achtung, es wird kompliziert. Obwohl Herr Kramer bereits darauf hingewiesen hatte, haben Sie den Text noch nicht gelesen, da er aus der KW 06/07 war und im Kapitel 5. Aber Sie können hier abkürzen.
Franks Nachtrag: Es war wohl auch für mich zu kompliziert… Tatsächlich war der Text bereits hier verlinkt.
4.24 KI und Persona
Wie beeinflussen Personas (also Rollenbilder für bestimmte Zielgruppen) die Aussagen von KI? Damit befasst sich diese Studie mit dem Titel „AI Will Always Love You: Studying Implicit Biases in Romantic AI Companions„, die nun veröffentlicht wurde. Kurz gesagt: Personas fördern Bias.
4.25 Studie zu Fehlausrichtungen bei LLM
Eine neue Forschungsarbeit zeigt ein beunruhigendes Phänomen bei LLMs: „emergent misalignment“. Die Studie ergab, dass die Feinabstimmung von KI auf enge Aufgaben – wie das Generieren von unsicherem Code – unerwartet Modelle hervorbringen kann, die sich irreführend, schädlich oder extremistisch verhalten, selbst wenn sie zu nicht verwandten Themen aufgefordert werden. Die Studie „Emergent Misalignment: Narrow finetuning can produce broadly misaligned LLMs” finden Sie hier. Bemerkenswert der Satz zu Beginn:
„This paper contains model-generated content that might be offensive!“
4.26 Studie zu Schwachstellen und Risiken kommerziell genutzter KI-Agenten
Eine Studie der Columbia und Maryland University weist auf Schwachstellen und Risiken kommerziell genutzter KI-Agenten, die ggf. an Datenbanken/Backends bzw CRM-Systeme angebunden sind. Darüber ließen sich KI-Agenten hacken bzw. manipulieren, um sensible Daten wie Kreditkartennummern etc. auszugeben, auf die der KI-Agent Einblick hat. Isolierte LLMs sind weniger anfällig, da sie eben nicht mit so vielen Anwendungen verbunden werden können, die sich dann potenziell hacken ließen.
4.27 ISO/IEC DIS 27090
Mit der ISO/IEC DIS 27090 Guidance for Adressing Security Threats and Failures in Artificial Intelligence Systems wurde Mitte Februar 2025 ein neuer Entwurf der Internationalen Norm (DIS) ISO 27090, der für eine formale ISO-Abstimmung registriert wird, veröffentlicht. Die öffentliche Freigabe des DIS wird in Kürze erwartet. Damit soll Organisationen ein Leitfaden für den Umgang mit Sicherheitsbedrohungen und Fehlern in Systemen der künstlichen Intelligenz (KI) an die Hand gegeben werden. Die Leitlinien sollen helfen, die Folgen von Sicherheitsbedrohungen für KI-Systeme während ihres gesamten Lebenszyklus besser zu verstehen, und beschreiben, wie solche Bedrohungen erkannt und entschärft werden können.
4.28 KI und Ethik-Design
Wie und in welchem Ausmaß können ethische Theorien die Entwicklung von KI-Systemen leiten? Dazu finden sich Hinweise und Ausarbeitungen in dem „The Cambridge Handbook of THE LAW, ETHICS AND POLICY OF ARTIFICIAL INTELLIGENCE„, welches als eBook frei zugänglich ist. Aber auch das bidt (The Bavarian Research Institute for Digital Transformation) bietet auf seiner Webseite mit „Ethics in agile software development (EDAP)“ Projektergebnisse an. Eine ungewöhnliche, aber dennoch bemerkenswerte Angebot findet sich hier: Karten, die dabei unterstützen moralische und rechtliche Aspekte zu beachten, natürlich wissenschaftlich begründet.
4.29 Forschungsprojekt Shuffle: Ethische Leitlinien zur digitalen Barrierefreiheit
Das Forschungsprojekt „SHUFFLE – Digitale Barrierefreiheit für Alle„, gefördert von der Stiftung Innovation in der Hochschullehre, verfolgt die Prämisse, dass digitale Teilhabe ein Menschenrecht darstellt. Daraus folgt, dass Hochschullehre stets barrierefreie gestaltet sein sollte. Inklusion umfasst dabei nicht nur bauliche Maßnahmen, sondern betrifft gerade auch digitale Umgebungen. Im Rahmen von SHUFFLE übernahm das Institut für Digitale Ethik zum einen die ethische Begleitforschung und zum anderen die Beratung der Projektpartner. Unter dem Titel „hürdelos statt würdelos“ wurden dazu ethischen Leitlinien zur digitalen Barrierefreiheit veröffentlicht.
Franks Nachtrag: Sie möchten zurück zum Inhaltsverzeichnis
4.30 OECD: Vorschlag zur Berichterstattung über Incidents bei KI
Die OECD veröffentlichte einen Vorschlag für einen gemeinsamen Rahmen für die Berichterstattung über Vorkommnisse bei künstlicher Intelligenz, der einen globalen Maßstab für Interessengruppen in allen Rechtsordnungen und Sektoren bietet. Dies ermögliche es den Ländern einen gemeinsamen Berichterstattungsansatz zu verfolgen und gleichzeitig ihre Antworten auf ihre nationale Politik und ihren Rechtsrahmen abzustimmen. Mit seinen 29 Kriterien soll das Rahmenwerk politischen Entscheidungsträgern helfen KI-Vorfälle in verschiedenen Kontexten zu verstehen, Hochrisikosysteme zu identifizieren, aktuelle und aufkommende Risiken zu bewerten und die Auswirkungen von KI auf Menschen und Umwelt zu bewerten.
5 Veröffentlichungen
5.1 Interview mit Daniel J. Solove
Wer immer denkt, Datenschutz hätte in den USA keine Basis, verkennt Persönlichkeiten wie diese hier interviewte Person, die sich nicht nur mit Ansichten aus „Privacy“ Gesichtspunkten, sondern sich mit Merkmalen von „Data Protection“ durchaus schon seit langem befasst und Maßstäbe setzt.
Das gesamte Magazin, in dem das Interview veröffentlicht wurde, können Sie hier kostenlos lesen.
Franks Nachtrag: Im Artikel ist auch das Papier „Artificial Intelligence and Privacy“ verlinkt, worauf bereits hier hingewiesen wurde (wie gesagt, es ist kompliziert).
5.2 Teletrust Positionspapier Cyber-Nation
Wenn es in Deutschland um Fragestellungen der IT-Sicherheit geht, ist Tele Trust schon seit langem eine verlässliche Quelle für fundierte Informationen. So wird auch das Positionspapier Cyber Nation von Tele Trust wahrgenommen werden. In dem Papier wird zusammengefasst, was von einer neuen Bundesregierung erwartet wird und welche Schritte erforderlich sind. Letztendlich geht es darum, dass auch der Staat sich mehr um die IT-Sicherheit und deren Umsetzung kümmern muss.
5.3 Haftung des Dienstleisters nach Ransomwareangriff
In diesem Beitrag (leider hinter einer Paywall, aber es lohnt sich), wird dargestellt, dass Unternehmen oft keine Wahl haben, bei einem erfolgreichen Cyberangriff, bei dem ein Dienstleister „ausgenutzt“ wurde, gegen diesen auf Schadenersatz vorzugehen, damit die Verantwortlichen des Unternehmens nicht selbst einen Schadenersatzprozess riskieren. Passend dazu auch diese Leseempfehlung.
Und wieder auch der Schlenker zu NIS2: Dort wäre auch, wie hier nachzulesen ist, in § 38 Absatz 3 BSIG-E im NIS2UmsuCG eine Schulungspflicht für Geschäftsleitungen von wichtigen und besonders wichtigen Einrichtungen vorgegeben, um den Anforderungen zur Umsetzungs- und Überwachungspflicht zu entsprechen.
5.4 Berechtigtes Interesse und Einwilligungsanforderungen bei Einmeldung an Auskunftei
Wir hatten bereits über das Urteil des LG Lübeck und dessen Feststellung der Rechtswidrigkeit der Einmeldung von Positivdaten bei einem Telekommunikationsvertrag und die darauf begründeten immateriellen Schadensersatzansprüchen berichtet. Dieser Beitrag befasst sich nun damit, welche Schlüsse Unternehmen aus dem Urteil zur Bonitätsprüfung ziehen sollten.
5.5 DORA: Vertragsanpassungen erforderlich bei Überarbeitung der RTS?
Die Europäische Kommission hat einen Brief an die Vorsitzende des Gemeinsamen Ausschusses der Europäischen Finanzaufsichtsbehörden (ESAs) geschickt: Darin wird der Entwurf für technische Regulierungsstandards (RTS) zur Untervergabe von IKT-Dienstleistungen im Rahmen der Digital Operational Resilience Act (DORA) teilweise abgelehnt. Konkret kritisiert die EU-Kommission, dass einige Vorgaben in Artikel 5 und dem dazugehörigen Erwägungsgrund 5 über das Mandat der DORA hinausgehen. Die ESAs haben nun sechs Wochen Zeit, den RTS-Entwurf im Sinne der EU-Kommission zu überarbeiten. Ziel ist es, die Vergabe von Unteraufträgen transparenter und kontrollierbarer zu machen, ohne die DORA-Vorgaben zu überschreiten. Sollten die ESAs keine angepasste Fassung vorlegen, kann die EU-Kommission den RTS entweder mit eigenen Änderungen annehmen oder endgültig ablehnen. Bericht dazu auch hier.
5.6 VZ Bayern: Anforderungen an einen Kündigungsbutton
Die Verbraucherzentrale Bayern gibt Tipps und Praxisbeispiele zur optimalen Gestaltung eines Kündigungsbuttons auf Webseiten nach § 312k BGB.
5.7 Besprechung des Urteils zur Haftung von Google bei wettbewerbswidriger Werbung
Über das Urteil des LG Düsseldorf zur Haftung von Google nach dem DSA (Digital Service Act) hatten wir schon berichtet. Dieser Blog-Beitrag befasst sich nun mit den Haftungsfragen von Google für Anzeigen auf seiner Plattform und wie durch das Urteil der Markenschutz gestärkt wird. Es verdeutlicht die Verantwortung digitaler Plattformen bei der Verhinderung von Betrug und Markenrechtsverletzungen.
5.8 D-Trust mal wieder
Erst neulich hatten wir von D-Trust berichtet, als es um die Feststellung von unzureichenden Datenschutz- und IT-Sicherheitsmaßnahmen ging. Hier wird nun berichtet, dass die Daten aus der elektronischen Patientenakte von Ärzten im Netz zugänglich waren. Nicht gerade ein Faktor der Vertrauensbildung.
5.9 Data Act: Einfluss auf DS-GVO, ePrivacy und Einwilligung
Welchen Einfluss hat der Data Act auf die DS-GVO, auf die ePrivacy-Regularien und auf die Anforderungen zur Einwilligung? Damit befasst sich dieser Blog-Beitrag.
5.10 BFH: Einsicht in Steuerakten
Wir hatten ja schon zu dem Urteil des Bundesfinanzhofes zur Einsichtnahme in Steuerakten berichtet. Nun befasst sich auch dieser Blog-Beitrag mit der Thematik.
5.11 Gutachten zu Broad Consent – Datenschutz im Gesundheitswesen
Im Rechtsvergleich zwischen USA und Deutschland befasst sich dieses Gutachten im Auftrag einer Klinikgesellschaft mit einem kritikwürdigen Umgang mit persönlichen Gesundheitsdaten zu Lasten der Forschungsfreiheit und einer besseren Patientenversorgung.
5.12 Änderungen beim Cloudanbieterverband CISPE
Hier ist nachzulesen, dass der EU-Branchenverband für Cloudanbieter CISPE Plätze im Vorstand nur noch an europäische Unternehmen vergibt. AWS stellt daher keinen Vertreter mehr zur Wahl.
5.13 Google Chrome: Der Browser im Datenschutz-Check
In diesem Blog-Beitrag befasst sich der Autor mit den datenschutzrechtlichen Fragestellungen beim Einsatz des Browsers von Google.
5.14 vzbv: personalisierte Werbung: Regulierung überfällig
Der Verbraucherzentrale Bundesverband e.V. (vzbv) hat neben einem Gutachten zur personalisierten Werbung auch die Rückschlüsse des vzbv für eine regulatorische Reaktion auf europäischer Ebene veröffentlicht.
5.15 Umgang mit sensiblen Daten in Onlineshops
Wie können Onlineshops das Urteil des EuGH C-21/23 (Lindenapotheke, wir berichteten) mit Aussagen zu Gesundheitsdaten in der Praxis umsetzen?
Daten bei der Bestellung von zwar apothekenpflichtigen aber nicht verschreibungspflichtigen Medikamenten auf einer Verkaufsplattform (Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen) sind nach dem EuGH als Gesundheitsdaten im Sinne von Art. 4 Nr. 15 und Art. 9 Abs. 1 DS-GVO einzustufen. Dieser Blog-Beitrag befasst sich mit dem Sachverhalt, der Begründung der Entscheidung und Schlussfolgerungen und Konsequenzen für die Praxis.
5.16 Regulierung digitaler Geschäftsmodelle
Digitale Geschäftsmodelle bergen neben außerordentlichen Chancen auch nicht vernachlässigbare Risiken. In diesem Spannungsfeld zwischen wirtschaftlichem Nutzen und gesellschaftlicher Verantwortung besteht ein zunehmendes Bedürfnis nach gesetzgeberischer Regulierung der Digitalwirtschaft, die gleichwohl Innovation und Fortschritt im digitalen Sektor nicht unterbinden sollte. In dem Open Access Band mit dem Titel „Regulierung digitaler Geschäftsmodelle“ wird der Themenkreis aus den verschiedensten Blickwinkeln beleuchtet. Ausgangspunkt für das Buch bildete der vom Internationalen Forum für Wirtschaftsrecht getragene 3. Bozner Wirtschaftsrechtstag, bei dem besonderes Augenmerk auf die Berührung des deutschsprachigen Rechts- und Wirtschaftsraumes mit dem italienischen gelegt wird.
5.17 Microsoft: EU Boundary
Hier sieht wieder jeder, was er / sie will: Die einen freuen sich, dass Microsoft nun den Abschluss der Umstellung auf rein europäische Rechenzentren bei bestimmten Leistungen verkündet, die anderen verweisen darauf, dass weiterhin über den US Cloud Act voll Souveränität nicht gesichert sei, oder, dass Microsoft selbst angebe, dass es weiterhin Szenarien gibt, in denen Microsoft Daten aus der EU-Datengrenze überträgt, um die betrieblichen Anforderungen des Clouddiensts zu erfüllen, bei denen auf in der EU-Datengrenze gespeicherte Daten von Mitarbeitern außerhalb der EU-Datengrenze remote zugegriffen wird und bei denen die Nutzung von EU Data Boundary Services durch einen Kunden zu einer Datenübertragung aus der EU-Datengrenze führt, um die gewünschten Ergebnisse des Kunden zu erzielen.
Informationen zum Umfang und der Auswirkungen des Microsoft-EU-Boundary-Programms finden sich hier, Darstellung der Kritikpunkte daran hier und scharfzüngig dort. Und wir berichteten auch schon zu den Einschätzungen des Wissenschaftlichen Dienstes des Bundestages zum Cloud Act – allerdings noch unter der Biden-Administration im Januar 2024.
5.18 DSFA am Beispiel von Microsoft
Eine Kanzlei informiert auf ihrer Webseite über die Aspekte, die beim Einsatz von Microsoft 365 in der Regel im Vorfeld eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DS-GVO zu beachten sind. Neben den Anforderungen und Voraussetzungen bei einer DSFA werden auch Fragestellungen zum Einsatz von CoPilot, aber auch Abhilfemaßnahmen bei bestimmten Risiken behandelt.
5.19 Microsoft-Lizenzen des Bundes teurer
Billiger wird es selten. So verwundert es nicht, dass auch bei den Lizenzen auf Bundesebene die Lizenzkosten für Microsoftprodukte steigen, wie hier berichtet wird.
5.20 Dark Pattern Detection Project
Das Projekt „Dark Pattern Detection Project“ wurde zwar bereits im Juli 2024 beendet, es gab aber im Februar 2025 noch eine Aktualisierung auf der Webseite. Das Dark Pattern Detection Project (Dapde) untersuchte die Steuerung von Verbraucher:innen in digitalen Umgebungen durch „Dark Pattern“.
Bei Dark Pattern handelt es sich um Designmuster, die Nutzer:innen zu einem bestimmten Verhalten verleiten, das ihren Interessen widerspricht, und das dabei die Gestaltungsmacht einseitig im Interesse ihrer Verwender:innen ausnutzt, wie dort ausgeführt wird.
5.21 Fragestellungen zur Pseudonymisierung
Sind Daten immer noch personenbezogen, wenn nur eine Partei den Schlüssel zur Identifizierung von Personen in der Hand hält? Damit und den Aussagen der Guidelines 01/2025 des EDSA befassen sich Expert:innen einer Kanzlei. Gegenstand der Betrachtungen sind auch die Schlussanträge des Generalanwalts in der Rechtssache EDSB gegen SRB (Rechtssache C-413/23, wir berichteten).
5.22 CEDPO: Kurzpapier zu Grundrechte-Folgenabschätzung
Die CEDPO (Confederation of European Data Protection Organisations) veröffentlicht ein Kurzpapier zur Grundrechte-Folgenabschätzung nach Art. 27 der KI-VO. Bislang mussten Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA) durchführen, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen beinhaltet hat (Art. 35 DS-GVO). Nun führt die KI-VO zusätzlich die sogenannte „Grundrechte-Folgenabschätzung“ ein, die nach Art. 27 KI-VO vor Inbetriebnahme einer Hochrisiko-KI durchgeführt werden muss. Die CEDPO hat sich in ihrem Kurzpapier mit dieser neuen Verpflichtung aus der KI-VO beschäftigt und festgehalten, was genau nach ihrer Ansicht unter einer Grundrechte-Folgenabschätzung zu verstehen ist, wann und durch wen eine solche zu erfolgen hat und wie diese mit DSFA zusammenhängen.
5.23 Podcast zum Beschäftigtendatenschutz
Was ist der aktuelle Stand zu einem Beschäftigten(daten)schutzgesetz? Welche Folgen hat das EuGH-Urteil zu Kollektivvereinbarungen und welche Best Practices und Tipps zur Ausgestaltung können gegeben werden. Das sind u.a. die Themen, die in diesem Podcast (Dauer 1:02 Std.) angesprochen werden.
5.24 GDD: Praxishilfe zum Hinweisgeberschutzgesetz
Die GDD-Praxishilfe zum Hinweisgeberschutzgesetz wurde hier veröffentlicht. Im Fokus stehen dabei die datenschutzrechtlichen Pflichten für Unternehmen und Hinweisgeber, insbesondere der Umgang mit personenbezogenen Daten, die Sicherheit der Meldekanäle sowie der Schutz der betroffenen Personen. Dabei werden die wichtigsten Konfliktfelder zwischen Daten- und Hinweisgeberschutz aufgezeigt und Lösungsansätze vorgelegt. Ein zentrales Thema ist dabei die Beantwortung der Fragestellung nach der Zulässigkeit der gleichzeitigen Ausübung des Amtes der internen Meldestelle und des Datenschutzbeauftragten.
5.25 „Find my“ – auch wenn ich es nicht will? Sicherheitslücke bei iPhones?
Nach diesem Bericht haben Forscher im „Find My“-Netzwerk von Apple eine Sicherheitslücke entdeckt. Bei erfolgreicher Ausnutzung könnten Cyberkriminelle den Standort von nahezu jedem Gerät auf bis zu drei Meter genau bestimmen. Einen Patch von Apple gebe es allerdings nicht.
5.26 NIST: Guidelines for Evaluating Differential Privacy Guarantees
Die Veröffentlichung der NIST Guidelines for Evaluating Differential Privacy Guarantees beschreibt den differentiellen Datenschutz – ein mathematisches Rahmenwerk, das den Verlust an Privatsphäre für Unternehmen quantifiziert, wenn ihre Daten in einem Datensatz erscheinen. Das Hauptziel dieser Veröffentlichung ist es Praktikern aller Fachrichtungen zu helfen besser zu verstehen, wie man über Softwarelösungen mit differenziertem Datenschutz nachdenkt. Mehrere Faktoren, die zu berücksichtigen sind, werden in einer Pyramide des differenziellen Datenschutzes zusammen mit mehreren Gefahren für den Datenschutz identifiziert, die häufig auftreten, wenn der mathematische Rahmen des differenziellen Datenschutzes in der Praxis umgesetzt wird.
5.27 Veranstaltungen
5.27.1 DGRI: „Haftung für Datenübermittlungen in Drittländer“ -neu-
13.03.2025, 12:00 – 13:00 Uhr, online: Im Rahmen der Sitzung des Fachausschuss Datenschutz und Datenökonomie des dgri wird die Entscheidung des EuG im Verfahren T-354/22 (Bindl/EU-Kommission) mit Verfahrensbeteiligten besprochen. Weitere Informationen und zur Anmeldung per E-Mail hier.
5.27.2 BSI: „NIS2: Wissen, wie es weitergeht!“ -neu-
18.03.2025, 14:00 – 15:00 Uhr, online: Aufgrund der vorgezogenen Wahlen konnte das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nicht abgeschlossen werden. Die Umsetzung der NIS-2 Richtlinie bleibt weiterhin vordringlich. In diesem Webinar versucht das BSI die ersten Fragen zu beantworten, die sich aus der neuen Situation ergeben. Weitere Informationen und Anmeldung dazu hier.
5.27.3 Stiftung Datenschutz: Datenschutz und MS 365 Teil II – Rechtliche Aspekte in der Diskussion -neu-
25.03.2025, 13:00 – 14:30 Uhr, online: In der Reihe „Datenschutz am Mittag“ diskutieren ein Experte und der Präsident des BayLDA zu aktuellen Entwicklungen beim Einsatz von MS 365. Weitere Informationen und zur Anmeldung hier.
5.27.4 Stiftung Datenschutz: „Datenschutz im Verein“ für Vorstände und Verantwortliche im Verein -neu-
25.03.2025, ab 18:00 Uhr, online: Die Stiftung Datenschutz bietet einen kostenlosen Grundlagen-Workshop für Vereinsvorstände an. Was muss ich als Vorstand wissen? Welche Prinzipien der DSGVO sind relevant? Wer ist für den Datenschutz im Verein verantwortlich? Brauchen wir einen Datenschutzbeauftragten? Wie setzen wir Datenschutz konkret um? Zielgruppe sind Vereinsvorstände, Geschäftsführer:innen & Verantwortliche in Organisationen. Weitere Informationen und Anmeldung hier.
5.27.5 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:
- Ausgabe 4: Vorbereitung und Umsetzung der KI-Verordnung in der Wirtschaft
26.03.2025, 14:00 bis 15:30 Uhr \\ online - Ausgabe 5: KI-Verordnung und die europäische Innovations- und Wettbewerbsfähigkeit
16.04.2025 \\ online - Ausgabe 6: Thema wird in Kürze bekannt gegeben*
28.05.2025 \\ online - Ausgabe 7: Thema wird in Kürze bekannt gegeben
09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin
* Franks Anmerkung: Ja, das steht da wirklich immer noch so…
6 Gesellschaftspolitische Diskussionen
6.1 Verkauf von Standortdaten: „Databroker Files“
Die Ergebnisse eines Rechercheteams sind erschreckend: Über eine europäische Firma (in Litauen) sollen Milliarden von Standortdaten bei Databrokern gelandet sein. Details dazu hier.
6.2 GI: Selbstbestimmung in der digitalen Gesellschaft
Wie kann digitale Selbstbestimmung im technologischen Umfeld noch sichergestellt werden? Damit befasst sich dieser Aufruf der Gesellschaft für Informatik (GI) zur „Selbstbestimmung in der digitalen Gesellschaft„, der im Rahmen der Grand Challenges der Informatik 2025 erfolgt.
6.3 Forderung nach Maßnahmen gegen Google
Mal was ganz Neues: Der Club de Madrid, eine Gruppe ehemaliger europäischer Führungspersönlichkeiten, hat einen Brief an Ursula von der Leyen geschrieben, der erklärt, dass Googles Dominanz Europas digitale Souveränität, Medienlandschaft und demokratische Unabhängigkeit bedrohe. Der Brief empfiehlt zwei zentrale Maßnahmen: Die Stärkung der Regulierungsbehörden zur Umsetzung struktureller Abhilfemaßnahmen, die den fairen Wettbewerb wiederherstellen, und die Förderung europäischer digitaler Innovation durch Unterstützung von Startups und durch die Durchsetzung bestehender digitaler Marktregulierungen. Bericht dazu hier
Franks Nachtrag: Google hat da eine eigene Meinung dazu, offensichtlich. Sie argumentieren mit nationaler Sicherheit. Ja nee, is klar …
6.4 YouTube-Algorithmus laut Studie kaum polarisierend
Die Empfehlungsalgorithmen sozialer Medien stehen oft in der Kritik politische Spaltung zu verstärken. Eine aktuelle US-amerikanische Studie im Fachjournal PNAS kommt jedoch zu dem Ergebnis, dass der YouTube-Algorithmus nur geringe oder keine Auswirkungen auf die Polarisierung politischer Einstellungen haben soll („short time exposure“). In vier einzelnen Experimenten mit rund 9.000 Teilnehmenden zwischen 2021 und 2024 sei keine signifikante Veränderung der politischen Haltung nach Nutzung einer YouTube-ähnlichen Plattform festgestellt worden.
Die Forschenden simulierten YouTube-Nutzungen auf einem Nachbau der Videoplattform mit echten Videos und algorithmischen Empfehlungen. Je nach Experiment ging es in den Videos um Waffenkontrolle oder Mindestlohn. Teilnehmende wurden als liberal, konservativ oder moderat klassifiziert und erhielten verschiedene Empfehlungsarten – entweder neutral oder mit überwiegender Bestätigung der eigenen Sichtweise. Ein weiteres Experiment untersuchte, ob sich Polarisierung verstärke, wenn zunehmend extremere Inhalte vorgeschlagen würden. In allen Fällen blieben Meinungsänderungen gering.
6.5 Extremistische Anzeigen bei Meta und X
In diesem Beitrag geht es um eine Analyse von KI generierten Anzeigen, die sich auf Nazi-Kriegsverbrechen beziehen. Demnach ließen beide Unternehmen KI generierte Anzeigen zu, die dazu aufriefen Einwanderer in Konzentrationslagern zu vergasen und Synagogen vor der Bundestagswahl am 23. Februar 2025 niederzubrennen, so eine neue Studie der Unternehmensgruppe Ekō. Die Forschungsergebnisse lägen nun bei der EU-Kommission.
6.6 Dänemark und Niederlande: Schule / Kinder ohne Handy?
Nach dieser Meldung plant Dänemark ein gesetzliches Verbot für private Handys und Tablets in den Klassenzimmern und auf dem Schulgelände. Danach sollen private Mobiltelefone und Tablets nicht mehr mit in die Schule gebracht werden dürfen, was sowohl im Unterricht als auch in den Pausen gilt.
Auch in den Niederlanden ist ein Gesetz geplant, dass eine Smartphone-Nutzung ab 15 Jahren vorsieht, wie hier zu lesen ist.
6.7 Verantwortung für „Content Moderation“ bei Plattformen
Wer ist für die Sicherheit auf Plattformen verantwortlich? Folgt man einer Studie des TUM Think Tanks und der University of Oxford, erwarten in Deutschland 39 % der Menschen, dass Plattformbetreiber für die Sicherheit auf Social Media sorgen – fast genauso viele (37 %) sehen die Regierung in der Pflicht. Nur 17 % meinen, dass es vor allem an ihnen selbst liegt. Die vollständige Studie finden Sie hier, einen Bericht dazu auch dort.
6.8 Risiken bei Standortdaten
Über den Abzug von Unmassen an Standortdaten von Handys wurde immer wieder berichtet. In diesem schweizer Podcast (Dauer ca. 30 Min) geht es um die Ursachen und Folgen des Hacks einer großen Datenanalysefirma aus den USA und deren Erpressung mit Milliarden gehackten Standortdaten.
7 Sonstiges/Blick über den Tellerrand
7.1 Cybergrooming – Wo findet es statt?
Kurz gesagt – wahrscheinlich – wo findet es nicht statt? Was kann ich tun, wenn ich bemerke, dass mein Kind belästigt wird? Mehr dazu hier in diesem Interview mit einem Experten der Polizeiprävention in der Mediathek Hessen (Dauer ca. 4 Min.).
7.2 Fake News oder Fakten – digitale Informationskompetenz von Jugendlichen
Unter dem Titel „Fake News oder Fakten“ befasst sich die Publikation mit den Erkenntnissen aus Pisa 2022 damit, wie Jugendliche ihre digitale Informationskompetenz einschätzen und welche Rolle Schulen und Lehrkräfte dabei spielen.
7.3 Ars Boni: Druck sozialer Medien auf rechtsstaatliche Institutionen
Welchen Einfluss haben soziale Medien auf Institutionen des Rechtsstaats? In einem Gespräch (hier auf YouTube, Dauer ca. 57 Min.) mit dem Präsident des Landesgerichts für Strafsachen Wien werden die Auswirkungen Sozialer Medien auf Institutionen des Demokratischen Rechtsstaats thematisiert. Das Gespräch fand aus Anlass eines „Shitstorms“ gegen eine Richterin des Landesgerichts für Strafsachen Wien statt. Gegenstand des Gesprächs sind insb. auch vergleichende und historische Bezüge.
7.4 Landtag Mecklenburg-Vorpommern: Jung sein in Mecklenburg-Vorpommern
Im Rahmen einer Veranstaltung im Landtag Mecklenburg-Vorpommern unter dem Titel „Jung sein in Mecklenburg-Vorpommern“ gab es auch einen Vortrag einer Medien-Ethikerin zum Thema „Medienschutz“, dessen Folien hier veröffentlicht sind.
7.5 Gefahr für Gleichberechtigung und Vielfalt durch Fake News
In einem Interview äußert sich eine Sozialpsychologin zu den Risiken für Gleichberechtigung und Vielfalt durch Fake News.
7.6 Handyverbot an Schulen in Schleswig-Holstein?
Zur Zeit gibt es die Diskussion, ob an den Schulen in Schleswig-Holstein Maßnahmen gegen eine überbordenden Smartphone-Nutzung ergriffen werden. Weil die Handys die Schüler vereinsamen lassen und Mobbing per Smartphone mittlerweile zum Alltag gehöre, drohe nun ein offizielles Verbot, mindestens bis Klasse 10. Das alles ist Teil einer Diskussion in Kiel.
7.7 Nachrichtenmüdigkeit bei Jugendlichen und Möglichkeiten der Gegensteuerung
Der Medienpädagogische Forschungsverbund Südwest hat im Rahmen der JIM-Studie 2024 wieder 1.200 Jugendliche zwischen 12 und 19 Jahren aus ganz Deutschland zu ihrem Medienalltag befragt. Dabei zeigte sich, dass immer mehr Jugendliche sogenannte „News Fatigue“ (Nachrichtenmüdigkeit) erleben, was zur Vermeidung spezifischer Nachrichtenthemen oder -quellen führen kann. Viele fühlen sich von zu vielen negativen Nachrichten belastet oder finden, dass die Nachrichten ihrer eigenen Lebenswelt zu fremd sind. Auch die Konfrontation mit Hate Speech und Desinformation trägt dazu bei, dass sich die Jugendlichen belastet fühlen und Nachrichten vermehrt meiden. Im Medienbildungsprojekt „Medien in die Schule“ werden die wichtigsten Ergebnisse der Studie zusammengestellt und Lehrkräften direkt passende kostenfreie Materialien für die Thematisierung im Unterricht angeboten.
7.8 Auswirkungen von TikTok auf das Gehirn – Hintergrund der Massenklage
Hier werden mit einigen Links die Hintergründe des Massenklageverfahrens gegen TikTok erläutert. Angesprochen wird neben den Umsatzzahlen von TikTok auch die Dopamin-anregende Gestaltung der Ausspielung von Videoclips, die Suchtmerkmale auslösen kann.
7.9 Nutzung von Künstlicher Intelligenz durch Kinder
Wir alle nutzen regelmäßig Künstliche Intelligenz. Auf den Seiten von Saferinternet.at wird über FAQs und Quiz Eltern Unterstützung angeboten damit umzugehen.
7.10 Digitale Souveränität in Europa
Wie kann Europa digital souverän bleiben / werden? Damit befasst sich ein Papier der Konrad-Adenauer-Stiftung, des European Policy Centre und des Open Marktes Instituts, über das auch die Financial Times berichtete. In den letzten Wochen wurden europäische Regularien wie der Digital Markets Act, der Digital Service Act und auch die DS-GVO durch Aussagen aus den USA in Frage gestellt. In dem veröffentlichten Papier wird ausgeführt, dass ein Rückzug der EU bei diesen Regularien nicht nur ein gewaltiger taktischer Fehler, sondern auch eine gefährliche Aufgabe der fundamentalen Werte Europas wäre.
7.11 Digitale Souveränität in Nigeria – diesmal richtig?
Während wir in Europa uns erstmal austauschen, was wir unter dem Begriff „Digitale Souveränität“ verstehen und unter dem Eindruck aktueller politischer Umstände erkennen, wie hilflos Europa diesbezüglich dasteht, agieren andere Staaten souveräner. Nigeria will nach diesem Bericht unabhängig von großen Anbietern aus den USA sein und fördert eigene nationale Angebote.
7.12 Social Media Matrix: Kurznachrichtendienste
Welcher Kurznachrichtendienst ist langfristig am besten mit den eigenen Werten und Zielen vereinbar? Dieser Vergleich der vier aktuell intensiv diskutierten Kurznachrichtendienste (Mastodon, BlueSky, Threads und X) soll insbesondere Kommunikations-Expert*innen in Behörden, Bildungseinrichtungen, Medien, Verbänden, Vereinen, Stiftungen und Unternehmen als Orientierungshilfe dienen. Die Auswahl der Kriterien und Dienste ist nicht vollständig und erfüllt keine wissenschaftlichen Ansprüche. Maßgeblich für die vorgenommene Bewertung ist die Funktionalität der Dienste im Sinne unabhängiger, digital souveräner und gemeinwohlorientierter Kommunikation. Die Übersicht kann helfen, dass Organisationen ihre Zielgruppen unabhängig, transparent, frei zugänglich, nach eigenen Regeln und datenschutzfreundlich informieren.
7.13 Gewaltvideos auf Instagram
Ende Februar 2025 gab es auf Instagram verstörende Videos (sogenannte Gore-Videos), teilweise wohl aus dem Darknet, die extreme Gewalt an Menschen und Tieren zeigen, die unabhängig von Altersstufen zugänglich waren, wie hier berichtet wird. Meta hat sich inzwischen für den Vorfall entschuldigt. Und will mit den neuen Teen-Konten für mehr Sicherheit bei Minderjährigen sorgen. Allerdings kann dieser Vorfall auch auf die eingestellte Qualitätssicherung wie Faktencheck und „gelockerte“ Moderationsumsetzung zurückzuführen sein. Trotz dieser Vorfälle scheinen Angebote des Meta-Konzerns für viele Unternehmen und Einrichtungen immer noch ein angemessener Partner in der Kommunikation zu sein.
7.14 QR-Code als Falle
Dass auch über QR-Codes Schadsoftware verbreitet und Daten „abgephisht“ werden können, wird in diesem Beitrag anschaulich geschildert. Es gibt auch Hinweise, wie Sie sich davor schützen können.
Franks Nachtrag: Quishing ist uns hier im Blog ja nicht unbekannt…
7.15 Ende der Ende-zu-Ende-Verschlüsselung bei der digitalen Kommunikation?
Während wir noch hoffen, dass die US-Politik auch digital wieder vertrauensvoller wird scheinen sich nach dieser Meldung auch immer mehr europäische Länder mit dem Gedanken der Einschränkung der Ende-zu-Ende-Verschlüsselung zu befassen. Neben den Plänen der EU-Chatkontrolle bedrohen danach existierende und geplante Gesetze in Großbritannien, Frankreich und Schweden die wichtigste Säule für vertrauensvolle und sichere Kommunikation im Netz.
7.16 Signal verlässt Schweden?
Nach diesem Bericht erwägt der Kommunikationsdienst Signal sein Angebot in Schweden einzustellen, wenn die bisherigen Schutzmaßnahmen wie Ende-zu-Ende-Verschlüsselung nicht mehr gewährleistet sind. Nicht das beste Signal in diesen Zeiten.
7.17 Apple wehrt sich gegen Backdoor
Anscheinend will Apple nun doch gegen die Vorgaben der britischen Regierung, eine Hintertür in die iCloud einzubauen, vorgehen, wie hier berichtet wird.
8. Franks Zugabe
8.1 Apropos KI …
Auch hier wird es wieder mehr…
- Fangen wir an mit einer Glosse zur KI-VO.
- Hier kamen wir zum Ergebnis, „dass die Arbeit zur Sicherung von KI-Systemen nie abgeschlossen sein wird.“ Im verlinkten Microsoft-Blog-Beitrag war von „three takeaways“ die Rede, hier werden aber die „eight lessons“ des Reports als nützlicher empfunden.
- Apropos Microsoft, die brauchen später nicht zu sagen, sie hätten nichts von den negativen Folgen von KI gewusst:
Analysing 936 real-world GenAI tool use examples our participants shared, we find that knowledge workers engage in critical thinking primarily to ensure the quality of their work, e.g. by verifying outputs against external sources. Moreover, while GenAI can improve worker efficiency, it can inhibit critical engagement with work and can potentially lead to long-term overreliance on the tool and diminished skill for independent problem-solving. Higher confidence in GenAI’s ability to perform a task is related to less critical thinking effort.
Ab wann ist eigentlich etwas Vorsatz?
- Fällt Ihnen auf, was mittlerweile (auch) in Googles KI-Policy fehlt?
- Passend dazu die Erkenntnis, wie genau die KI-ausgewählten Ziele in Israels Militärschlägen ermittelt wurden. Auch andere US-KI-Unternehmen scheinen Geld verdienen und Ethik unabhängig voneinander zu betrachten …
- Wo wir doch gerade bei Google waren, die wollen ihre Suchergebnisse „optimieren“ …
- Ach, und wo wir gerade beim Militär waren, auch das Pentagon nutzt gerne KI …
- T-Systems hingegen liebt KI. Ob deswegen die Telekom ein AI Phone ankündigt?
- Bruce Schneier hat eine Lösung, wie Menschen KI erkennen können (wenn diese KI-Systeme wie Menschen sprechen).
Das hat Retro-Vibes 😜 - Kein Apropos KI ohne Elon Musk. Hier zum Beispiel besorgt er KI-Systemen neue Trainingsdaten, sensible Regierungsdaten, um genau zu sein. Da bietet er zusammen mit anderen auf OpenAI. So schlappe 97,4 Mrd. US-$. Ob das Angebot nach den leichten Verlusten noch steht?
- Apropos Donald Trump und KI, erinnern Sie sich noch an Star Gate? Sam Altman meint, Europa braucht auch ein Projekt Star Gate. Die sollen mal fein ihr eigenen Geld verbrennen, meine ich …
- Metas KI-Chef glaubt irgendwie nicht am die Zukunft von generativer KI.
- Passend dazu sprechen Experten vom Ende der AI-Bubble: Microsoft cancelt KI-Rechenzentren und der Microsoft-CEO warnt vor dem Ende der KI-Ära, welches dem Dotcom-Crash ähneln könne.
- Vielleicht sollten alle diejenigen, die jetzt erhitzte Gemüter haben, mal den Artikel „From Hype to Reality: Demystifying AI Through Baseline Research“ lesen?
- Vielleicht liegt es an den Trainingsdaten? Meta hat da ja kreative Wege gefunden, um an diese zu kommen: Torrents
- Apropos Trainingsdaten: Wenn KI-Chatbots mit den Fragen, die sie später als Tests vorgelegt bekommen, trainieren können, wie erkennen wir, ob sie wirklich smarter werden? Und warum bitte lösen sie die Tests dann nicht mit 100% Erfolgsquote?
- Im vorherigen Artikel war eine Erkenntnis, das KI-Chatbots wohl gut im schummeln seien. Laut diesen Artikeln schummeln sie auch gerne beim Schach.
- Umso vertrauenserzeugender ist es ja dann zu wissen, dass Salesforce keine Programmierer mehr einstellt, KI macht das jetzt.
- Tja, andere lassen derweil böse KI von guter KI bekämpfen. Marketing-Bullshit at its best!
- Die BBC denkt derweil, dass KI Nachrichten in Quatsch zusammenfasst. Bei Amazon hingegen läuft es gut mit Zusammenfassungen.
- Jemand anderes hat ein LLM trainiert, damit dieses Backdoors in Code einbauen kann. What could possibly go wrong …
- Wenn ich KI denke, dann denke ich auch McDonalds?
Und jetzt noch ein paar andere KI-Nachrichten:
- Wir hatten ja Wahlen. Hier hat jemand vor den Wahlen die gängigen KI-Modelle durch den Wahl-O-Mat prüfen lassen, was sie am ehesten wählen würden … Die Deutschen haben definitiv anders gewählt.
- Scarlett Johansson fordert Regulierung nach viralem KI-generierte´m Video.
- Studierende in Bayern dürfen ihre Bachelorarbeit bald mit KI verfassen. Läuft.
- Textverständnis? Dazu gehört auch zu wissen, wann eine Spalte endet und eine andere beginnt. Sonst bekommen Sie „ vegetative electron microscopy„
- Bruce Schneier findet: The emergent properties of LLMs are so, so weird. Recht hat er?
- Apropos Weird: Wenn KI mit KI spricht. Kennen Sie Gibberlink? (Warum nochmal müssen KI-Systeme miteinander telefonieren?)
- Wie kann ich sicherstellen, dass ich wirklich mit Menschen kommuniziere? Die Lösung benutzt Authenticator-Apps
- Hier wird die Entstehung der KI-Verordnung aus der „Außenansicht“ beschrieben. Unter dem Titel Transatlantische Flüsterpost.
- Enden wir doch mit Elon Musk: Was ist die Antwort, wenn man Elon Musks KI-System Grok fragt, wer in den USA die Todesstrafe am Meisten verdient? Die Antwort. KI knows best?
Und zum Abschluss habe ich noch einen informativen Podcast über KI (Dauer ca. 36 Min.) mit dem schönen Titel: Plausibler Bullshit – Wie gefährlich ist ChatGPT für Wissenschaft und Medien?.
8.2 ePA, da war doch was?
So ganz so sicher ist der bundesweite Start der ePA (wir berichteten) ja momentan wohl nicht. Hier wird berichtet, wie Abgeordnete des Bundestags eine Kleine Anfrage gestellt und schwammige Antworte bekommen haben. Derweil wird dort spekuliert, wann es wohl losgehen könnte… Falls Sie also noch widersprechen wollen: Sie haben scheinbar noch Zeit.
8.3 Update zur Messenger Matrix
Wir hatten ja schon öfter die Messenger Matrix beim Wickel, diese hat ein Update bekommen.
9. Die guten Nachrichten zum Schluss
9.1 Warum die extreme Rechte (im Netz) so erfolgreich ist
Das Gute an der Nachricht ist, dass, wenn ich Ursachen kenne, ich dann auch weiß, wo anzusetzen ist. Das Weizenbaum-Institut hat sich mit der Frage nach den Bedingungen befasst, die rechtsradikale Gruppen so erfolgreich machen. Politikwissenschaftler:innen, Kommunikationswissenschaftler:innen und Soziolog:innen des Netzwerks „Contemporary Research of the Far Right“ trafen sich im Herbst 2024 am Weizenbaum-Institut, um sich über ihre aktuelle Forschungsarbeit auszutauschen. Einige Ausschnitte aus ihren Forschungserkenntnissen wurden in diesem Beitrag zusammengefasst.
9.2 Unabhängig von Big Tech
Wer die aktuellen Entwicklungen in den USA und sonst wo zum Anlass nehmen will, seine eigenen Möglichkeiten zu überprüfen, welche unabhängigeren technischen Alternativen zu den Global Playern genutzt werden könnten, kann sich hier informieren.