Hier ist der 24. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 13&14/2025)“ – Die DVD-Edition.
Und wieder wurde es eine Zweiwochen-Ausgabe. Beachten Sie bitte, dass es bereits für morgen einige spannende Veranstaltungen gibt. Und vielleicht möchten Sie auch schon den Koalitionsvertrag lesen?
- Aufsichtsbehörden
- EDSA: Bericht des Support Pool of Experts 2024
- DSK: Ausblick auf Koalitionspläne
- DSK: Abschaffung der Informationsfreiheit sei falscher Weg
- LDI NRW: WhatsApp-Nutzung bei der Polizei
- LfD Bayern: Datenschutzerklärung für Videokonferenzen
- Sachsen: Tätigkeitsbericht für 2024
- Sachsen: Tätigkeitsbericht für 2024 – Ausweiskopien bei Untervermietungen
- Sachsen: Tätigkeitsbericht für 2024 – Mitnahme von Daten durch ausscheidende Beschäftigte
- Sachsen: Tätigkeitsbericht für 2024 – Anforderungen an Tür- und Klingelkameras
- Sachsen: Tätigkeitsbericht für 2024 – Abbildungen von Kindern in Social Media
- Bremen: Tätigkeitsbericht für 2024
- Bremen: Tätigkeitsbericht für 2024 – „Deaktivieren“ ist kein Löschen
- Bremen: Tätigkeitsbericht für 2024 – Mehrere Datenschutzbeauftragte?
- Bremen: Tätigkeitsbericht für 2024 – Einsatz von MS 365
- Bremen: Tätigkeitsbericht für 2024 – E-Mail-Verschlüsselungen bei Rechtsanwälten
- Bremen: Tätigkeitsbericht für 2024 – Einsatz von Telepräsenzrobotern in Schulen
- Hamburg: Tätigkeitsbericht für 2024
- Hamburg: Tätigkeitsbericht für 2024 – Mitarbeiterexzess im Gesundheitsbereich
- Hamburg: Tätigkeitsbericht für 2024 – Bestandskundenwerbung per E-Mail
- Hamburg: Tätigkeitsbericht für 2024 – Kaltakquise mit Nutzung von E-Mail-Adressen
- Hamburg: Tätigkeitsbericht für 2024 – Zur Zulässigkeit von Diversitätskriterien
- Hamburg: Tätigkeitsbericht für 2024 – Auskunft der Eltern bei Online-Dating-Plattform
- Hamburg: Tätigkeitsbericht für 2024 – E-Mail-Versand durch Betreuer
- Hamburg: Tätigkeitsbericht für 2024 – Löschanforderungen und Archivierungsinteressen
- Österreich: Tätigkeitsbericht für 2024
- Österreich: Umsetzung des Urteils EuGH C-203/22
- Österreich: Unzulässigkeit von Bildern im Internet
- CNIL: Vernetzte Fahrzeuge und Tracking
- Finnland: Hochschule und China
- Belgien: Verantwortlichkeit zur Information über Änderungen
- Niederlande: Datenschutzverletzung bei der Jugendbetreuung und Zuständigkeiten eines DSB
- Spanien: Anforderung an Parkraumüberwachung
- Italien: Sanktion für unerlaubte Ortung von Firmenfahrzeugen
- Italien: Bußgeld i.H.v. 300.000 Euro u.a. für unerlaubtes Direktmarketing
- ICO: Guidance zur Anonymisierung
- Spanien: Tool zur Umsetzung der DS-GVO bei risikoarmen Verarbeitungen
- BSI: Cloud-Kooperation mit Amazon Web Service
- EU-Wettbewerb: Kartellverfahren für „Consent or Pay“ gegen Meta?
- BfV: Bedrohungen durch fremde Nachrichtendienste
- BSI: Anleitungen zur Datensicherung
- BSI: Cybersicherheit im Gesundheitswesen
- EU-Kommission: Bescheid gegen Meta wegen missbräuchlicher Stellung
- EU-Kommission: Strafe gegen „X“ aus Digital Service Act?
- Rechtsprechung
- EuGH: Personenbezug auch bei Pflichtveröffentlichungen (C-710/23)
- EuGH: Direktmarketing und Newsletter-Bestellung (C-654/23)
- EuGH: Klage von WhatsApp gegen Beschluss des EDSA (C-97/23)
- EuGH: Verjährungsfrist von Schadenersatzforderungen (C-21/24)
- BGH: Urteilsveröffentlichung zur Verwertbarkeit von AnomChat-Daten
- BGH: Datenschutzverstöße können Wettbewerbsverstöße sein
- BGH: Wettbewerbsrüge durch Verbraucherschutzverbände zulässig
- OLG Stuttgart: Mitarbeiterexzess bei rechtswidrigen Datenabfragen durch Beschäftigte
- LAG Düsseldorf: Arbeitsrechtliche Verwertung von Aussagen in sozialen Netzwerken
- Schweden: noyb klagt gegen schwedische Finanzbehörde
- Gesetzgebung
- Deutschland: Dichtung und Wahrheit zur Koalitionsplanung
- Kleine Anfrage im Bundestag: Bundesregierung und Vorbildfunktion
- Europa: Überarbeitung der DS-GVO und der Digitalpolitik?
- Anforderungen durch § 393 SGB V
- Informationsfreiheitsgesetz Adieu?
- Onlinezugangsgesetz: Datenschutzcockpit
- Data Act: Jetzt noch vorbereiten – auch auf Vertragsmuster
- EU: Rechtsakt zur Umsetzung der Aufgaben nach dem DDG durch die EU-Kommission
- EU-Kommission: Kritik an Durchführungsverordnungen zu EUDI Wallet
- Künstliche Intelligenz und Ethik
- KI und wissenschaftlicher Einsatz
- TüV Austria: Technische Dokumentation von KI-Systemen nach Art. 11 KI-VO
- Training von KI und Urheberrecht (Schwerpunkt Schweizer Recht)
- Ada Lovelace Institute: Nachvollziehbarkeit KI bei ADM
- Erklärbarkeit von LLM
- Vertrauen in KI: Ein Vorschlag zur Taxonomie
- Hong Kong: Checkliste zu den Guidelines für den Einsatz von KI durch Beschäftigt
- Risikobewertungen von KI – verschiedene Modelle
- Von der Notwendigkeit ethischer Anforderungen beim Einsatz von KI
- Ein Siegel für menschliche Intelligenz?
- European AI Standards
- ISO/IEC 42001: Ein Handbuch zur Vermeidung von KI-Governance-Fehlern
- AI Atlas – Anbieter aus Europa
- bitkom: Generative KI im Unternehmen
- bitkom: Leitfaden KI und Infomrationssicherheit
- Meta lässt KI mithören – auch bei WhatsApp
- Open Source Tool „LLM Anonymizer” für medizinische Dokumente
- KI-Beschaffung in der öffentlichen Verwaltung
- Use-Cases in der Verwaltung zu KI
- KI entwickeln ohne Datenschutzverstöße
- Resilienz nach Art. 32 Abs. 1 lit. b DS-GVO
- Schlüsselelemente einer risikobasierten KI Regulatorik
- EU: Studie über algorithmisches Management
- KI-Einsatz an Hochschulen
- JTC 21: Tool für CEN und CENELEC
- Veröffentlichungen
- FAQ zum Gutachten bezüglich Vorgaben nach § 393 SGB V
- Besprechung zu EuGH-Urteil C-203/22
- Europäische Alternativen zu US-Anbietern
- Zertifizierung „Auditor“ wird nun am Markt angeboten
- Anonymisierung: Differential Privacy beyond Algorithmus
- Anonymität in Gerichtsentscheidungen
- USA: Kürzungen beim OTF – betrifft auch Messengerdienst Signal
- Übersicht gerichtlicher Entscheidungen zu Schadenersatzansprüchen
- Datenschutz und Betriebsrat (Österreich, aber nicht nur)
- Datenschutzrechtliche Fragen zu Fotos
- Cookie-Banner und Tracking
- CIPL: Privacy-Enhancing and Privacy-Preserving Technologies in AI
- Vortrag zur DS-GVO-Reform und zu ihrer Notwendigkeit
- Veranstaltungen
- Charta der Vielfalt: Lunch-Talk „Diversity als Business Case?“ Wie wir für Diversität argumentieren können -neu-
- LpB Saarland: Content Moderation als Waffe gegen Hatespeech, Fake News & Co -neu-
- LfDI Baden-Württemberg zu Datenschutz, Informationsfreiheit und KI -neu-
- EU-Kommission: Data Act — Konsultation zu den Entwürfen von MCT und SCC -neu-
- Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
- Webinar: KI kennt Ihre Passwörter – Unternehmensrisiko mit Katastrophenpotenzial
- bidt: „KI im demokratischen Rechtsstaat“ -neu-
- Datenschutz am Mittag: Entwicklungen in den USA -neu-
- IHK Oberbayern und BayLDA: KI und Datenschutz -neu-
- Stiftung Datenschutz: Ehrenamt, DS-GVO und KI -neu-
- HamBfDI: 4. Hamburger Datenschutztag -neu-
- HdM Stuttgart: KI und Bildung Künstliche Systeme in Unterricht und Lehre -neu-
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Bericht des Support Pool of Experts 2024
Der Support Pool of Experts (SPE) ist ein Projekt im Rahmen der Säule 2 der Strategie des EDSA 2024-2027 („Unterstützung der wirksamen Durchsetzung und der effizienten Zusammenarbeit zwischen nationalen Aufsichtsbehörden Aufsichtsbehörden“). Der SPE bietet Unterstützung in Form von Fachwissen für Untersuchungen und Durchsetzungsmaßnahmen von gemeinsamem Interesse für die Aufsichtsbehörden und fördert die Zusammenarbeit/Solidarität durch Stärkung und ergänzt die Stärken der einzelnen Aufsichtsbehörden und trägt den operativen Erfordernissen Rechnung. Dieser Bericht konzentriert sich auf die wichtigsten Initiativen, die im Jahr 2024 im Rahmen der Arbeit des SPE fortgesetzt oder durchgeführt wurden.
Er gibt auch einen Überblick über die Aktivitäten der SPE-Kontaktstellen und über die geltenden Verfahren für die Aufforderung zur Interessenbekundung an externe Sachverständige und zur Einleitung eines Projekts. Drei im Jahr 2023 begonnene Projekte wurden im Jahr 2024 fortgesetzt und abgeschlossen. Darüber hinaus wurden neun neue Projekte gestartet, wie z. B. der One-Stop-Shop Case Digest über das Recht auf Zugang.
1.2 DSK: Ausblick auf Koalitionspläne
In einer Pressemitteilung informiert die DSK ihr über ihre Formulierungen und ihre Forderungen an die künftige Bundesregierung. Dies beinhaltet insbesondere Gesetzgebungsprojekte zu Änderungen des BDSG und zur Schaffung eines Beschäftigtendatenschutzes, die Berücksichtigung der Grundrechte bei der Fortentwicklung moderner Sicherheitsarchitektur, eine bessere Abstimmung der EU Digital Rechtsakte mit der DS-GVO sowie zum Beispiel auch produktive Bedingungen für den Einsatz von künstlicher Intelligenz sowie für die Forschung und Innovation, um diese im Einklang mit Datenschutz zu gestalten.
1.3 DSK: Abschaffung der Informationsfreiheit sei falscher Weg
Die DSK formuliert auch in einer Pressemitteilung, dass sie die Abschaffung der Informationsfreiheit auf der Bundesebene als völlig falschen Weg bewertet. Im Rahmen der Verhandlungen einer Koalition ist bekannt geworden, dass die Abschaffung des Informationsfreiheitsgesetzes auf Bundesebene Teil der Koalitionsvereinbarung sein soll.
1.4 LDI NRW: WhatsApp-Nutzung bei der Polizei
Dass der Einsatz von WhatsApp im beruflichen Umfeld nicht der beste Einfall ist, sollte sich herumgesprochen haben. Die LDI NRW hebt dies nun insbesondere für den Einsatz bei der Polizei hervor. Nach den ihr vorliegenden Beschwerden werden bei der Polizei in NRW beispielsweise Anfragen und Mitteilungen zur Veränderung von Dienstplänen oder Krankmeldungen über WhatsApp ausgetauscht. Beschäftigte, die dabei nicht mitmachen, sind von den dienstlichen Informationen weitgehend ausgeschlossen. Sie hebt hervor, dass die dienstliche Nutzung – nicht nur bei der Polizei, sondern auch in allen anderen Behörden des Landes – von WhatsApp und vergleichbar intransparenten Messenger-Diensten damit grundsätzlich unzulässig sei.
1.5 LfD Bayern: Datenschutzerklärung für Videokonferenzen
Der LfD Bayern veröffentlichte seine Datenschutzerklärung (mit Stand 3. April 2025) für Videokonferenzen, die er veranlasst.
1.6 Sachsen: Tätigkeitsbericht für 2024
In Sachsen wurde der Tätigkeitsbericht für das Jahr 2024 veröffentlicht. Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) schildert unter anderem die statistischen Zahlen wie 1.260 Beschwerden, über 1.000 gemeldete Datenpannen sowie 740 geleistete Beratungen. Sie hebt auch auch einzelne Schwerpunkte wie KI in Schulen und Verwaltung oder ihre Prüfung der Einhaltung von Datenschutzanforderungen auf den Webseiten sächsischer Verantwortlicher hervor. Hier einige subjektiv ausgewählte Themen:
1.6.1 Sachsen: Tätigkeitsbericht für 2024 – Ausweiskopien bei Untervermietungen
Darf ein Vermieter ein Ausweiskopie des Untervermieteten einfordern? Damit befasst sich die SDTB in Ziffer 2.1.2. Hervorzuheben ist, dass die SDTB neben der Schilderung des Sachverhalts auch immer eine Empfehlung zu den einzelnen Themen formuliert. Sie empfiehlt, dass eine vermietende Partei von der Mietpartei keine Vorlage einer Ausweiskopie des künftigen Untermieters oder der künftigen Untermieterin verlangen dürfe. Es reiche eine einfache Sichtkontrolle, wenn dies von der Ausweis inhabenden Person angeboten wird.
1.6.2 Sachsen: Tätigkeitsbericht für 2024 – Mitnahme von Daten durch ausscheidende Beschäftigte
Mit einem Fall, der wohl öfters vorkommt, befasst sich die SDTB in Ziffer 2.1.4: Mit der Mitnahme von Daten durch ausscheidende Beschäftigte. In diesem Fall hatte eine ehemalige Mitarbeiterin Kundendaten zu einem konkurrierenden, neuen Unternehmen mitgenommen. Die dabei angegebenen Kund:innen wurden durch die Mitarbeitern während ihrer Tätigkeit für das konkrete Unternehmen persönlich betreut. Die SDTB weist drauf hin, dass aus datenschutzrechtlicher Sicht Kundendaten eines Konkurrenzunternehmens nicht mitgenommen und weiter verarbeitet werden dürfen. Im konkreten Fall führt sie aus, dass sie das für eine unlautere geschäftliche Handlung im Sinne von § 3 UWG halte, wenn eine ehemalige beschäftigte Person eines Unternehmens Kundendaten des bisherigen Arbeitgebers entwendet und dem neuen Arbeitgeber zur Verfügung stellt, in dem diese die Daten nutzt, um sie unter dem Absender des neuen Unternehmens über ihren Wechsel zu informieren. Die SDTB erkennt kein Erfordernis für eine Grundlage aus Art. 6 Abs. 1 DS-GVO. Sie geht davon aus, dass durch das Unternehmen die Daten von den Kunden vollständig zu löschen seien, mit denen kein neues Vertragsverhältnis begründet werden konnte. Sie schließt das Verfahren mit einer Verwarnung ab.
1.6.3 Sachsen: Tätigkeitsbericht für 2024 – Anforderungen an Tür- und Klingelkameras
Ebenfalls ein Fall aus dem Alltag wird in Ziffer 2.1.7 geschildert. Zur Kennzeichnungspflicht von Tür- und Klingelkameras zitiert die SDTB das Kurzpapier Nr. 15 der DSK und geht davon aus, dass die Beobachtung in Echtzeit einen Sonderfall darstelle, solange diese ohne Speicherung erfolgt (verlängertes Auge, Monitorprinzip):
Für einen datenschutzkonformen Betrieb einer Klingelanlage oder Video-Gegensprechanlage weist sie darauf hin, dass
- es eben nur anlassbezogen durch das Klingeln an der Tür aktiviert werden könne,
- die Kamera nur den unmittelbaren Eingangsbereich vor der Tür erfassen dürfe,
- keine Aufzeichnung der Bilder möglich sei,
- keine Liveübertragung ins Internet erfolge
- und die technische Einstellung so zu erfolgen habe, dass die Bildübertragung automatisch nach wenigen Sekunden wieder deaktiviert werde.
Sie weist insbesondere darauf hin, dass die technische Vorführung so zu treffen sei, dass eine dauerhafte und anlasslose Bildübertragung des öffentlichen Raumes ausgeschlossen sei. Auch sei ein entsprechender Hinweis nach Art. 13 DS-GVO erforderlich.
1.6.4 Sachsen: Tätigkeitsbericht für 2024 – Abbildungen von Kindern in Social Media
Unter der Ziffer 2.2.1 befasst sich die SDTB mit der Veröffentlichung von Abbildungen von Kindern in Social Media und den dazugehörigen datenschutzrechtlichen Erfordernissen. Die Veröffentlichung in Social Media, deren Internetinhalte für jedermann frei zugänglich sind, werden nicht mehr von der „Haushaltsausnahme“ der DS-GVO umfasst. So ist die Einwilligung aller sorgerechtsberechtigten Elternteile erforderlich. Im Falle eines gemeinsamen Sorgerechts oder bei streitigen Verhältnissen oder wenn durch eine Veröffentlichung das Kindeswohl beeinträchtigt wäre, sollten die interessierten Eltern zivilrechtlichen Rat suchen. Dies seinen Fragestellungen, zu denen die Datenschutzaufsicht nicht entscheidet.
Ich erlaube mir zu ergänzen, dass es letztendlich für die Praxis relevant bleibt, dass beispielsweise in Kindertagesstätten bei den Eltern nicht nur die Einwilligung zu Fotoaufnahmen für den jeweiligen Zweck nachgefragt werden, sondern diese auch bestätigen sollten, dass sie das alleinige oder gemeinsame Sorgerecht haben, um für die Einwilligung auch eine gewisse Rechtssicherheit sicherstellen zu können.
1.7 Bremen: Tätigkeitsbericht für 2024
Auch in Bremen wurde der Tätigkeitsbericht für das Jahr 2024 veröffentlicht. Der LfDI Bremen zeigt sich erfreut über das insgesamt hohe Datenschutzniveau im Land Bremen. Um einen effektiven Datenschutz zu verwirklichen und gleichzeitig praktikable Lösungen zu erreichen, komme einer guten Gesetzgebung eine zentrale Rolle zu. Auch aus diesem Bericht für Sie einige subjektiv ausgewählte Themen (leider ohne direkte Links ins Dokument):
1.7.1 Bremen: Tätigkeitsbericht für 2024 – „Deaktivieren“ ist kein Löschen
Im Tätigkeitsbericht aus Bremen gibt es auch einen Fall, den sich eher die erfahreneren Datenschützer:innen erklären können. Im BDSG, das bis 2018 galt, gab es die Möglichkeit unter bestimmten Voraussetzungen anstatt zu löschen Daten zu „sperren“. Damit verband sich eine Kennzeichnung, die die weitere Nutzung untersagte. Mit der DS-GVO verschwand diese Möglichkeit. Der LfDI Bremen informiert nun unter Ziffer 3.3 (Seite 16), dass ein Markieren von Daten (ehemaliger Schulungsteilnehmer) als „deaktiviert“ nicht gleichbedeutend mit Löschung sei – und dass er dafür ein Bußgeld verhängte.
Angesichts der europaweiten anlasslosen Prüfaktion zum Löschen erinnere ich gerne daran das eigene Löschkonzepte zu überprüfen.
1.7.2 Bremen: Tätigkeitsbericht für 2024 – Mehrere Datenschutzbeauftragte?
Darf eine Einrichtung mehrere DSB parallel benennen? Der LfDI Bremen ist in Ziffer 4.1 (Seite 18) des Berichts der Auffassung, dass die verantwortliche Stelle oder die Auftragsverarbeitenden gemäß Art. 37 Abs. 1 lit. a DS-GVO nur eine natürliche Person als Datenschutzbeauftragte:n benennen dürfe. Die Benennung von zwei oder mehr gleichrangigen Datenschutzbeauftragten mit identischen Aufgaben sei unzulässig. Ein Datenschutzbeauftragter muss seinen Aufgaben gemäß Art. 38 Abs. 3 DS-GVO weisungsfrei, unabhängig und ohne Beeinflussung seiner Bewertungen wahrnehmen können. Die gleichrangige Benennung von zwei oder mehr Datenschutzbeauftragten könnte unter anderem zu Interessenkonflikten und auch zu unterschiedlichen Bewertungen führen, bei deren Vorliegen die Verantwortlichen oder die Auftragsverarbeiter den die ihr beziehungsweise ihm genehmere Variante berücksichtigen könnten und hierdurch die oder der andere Beauftragte geschwächt würde.
1.7.3 Bremen: Tätigkeitsbericht für 2024 – Einsatz von MS 365
Der LfDI Bremen weist darauf hin, dass es allein durch die große Anzahl an unterschiedlichen Versionen – alleine zwei unterschiedliche Versionen für Privatpersonen, vier unterschiedliche Versionen für Unternehmen („Business“), drei Versionen für Großunternehmen („Enterprise“), drei Versionen für Bildungseinrichtungen sowie jeweils eine Version für die öffentliche Verwaltung („Government“) und für gemeinnützige Organisationen („Nonprofit“) – kaum möglich sei fundierte Aussagen zu jeder Anfrage zu treffen.
Allerdings bedeute die Tatsache, dass eine Prüfung nur sehr schwer bis unmöglich sei, jedoch nicht, dass es keine weiteren Kritikpunkte gebe. Die KI-gestützten Funktionen in den Office-Modulen „Delv“ und „Workplace Analytics“ könnten große Datenmengen analysieren, um produktive Arbeitsmuster zu erkennen, und so detaillierte Einblicke in das Verhalten und die Leistung einzelner Mitarbeiterinnen und Mitarbeiter liefern; die Erhebung von Metadaten durch Microsoft zu Analysezwecken und zur Weiterentwicklung von Diensten könnte unter anderem ein Verstoß gegen den Datenschutzgrundsatz der Zweckbindung gemäß Art. 5 Abs. 1 lit. b) DS-GVO sein. Aufgrund der Komplexität des Systems und der Tatsache, dass sich dieses beispielsweise durch Updates jederzeit verändern könne, sowie der nach wie vor nicht geklärten – oben dar gestellten – Kritikpunkte sieht der LfDI Bremen die Nutzung zum jetzigen Zeitpunkt in Ziffer 4.4 seines Berichts (Seite 21) als nicht datenschutzkonform an.
1.7.4 Bremen: Tätigkeitsbericht für 2024 – E-Mail-Verschlüsselungen bei Rechtsanwälten
Eine Reduzierung des Schutzniveaus durch Einwilligung der betroffenen Person sieht der LfDI Bremen in Ziffer 6.2 (Seite 33) des Berichts auch bei der E-Mail-Kommunikation als unzulässig an. Denn bei der Verschlüsselung von E-Mails handele es sich um technisch-organisatorische Maßnahmen, die gerade nicht zur Disposition des Einzelnen stünden. Im Übrigen setzte er die Erörterung der Thematik mit der Hanseatischen Rechtsanwaltskammer Bremen fort. Er sieht die von einigen Kanzleisoftware-Produkten angebotene sogenannte Portal-Variante als gute Lösung zur Erfüllung der datenschutzrechtlichen Anforderungen und somit als Alternative zur reinen E-Mail-Kommunikation an. Hierbei richtet die Rechtsanwältin oder der Rechtsanwalt mittels Kanzleisoftware ein Aktenportal ein, in das sie oder er Nachrichten und Aktenbestandteile einstellen kann, die sie oder er der Mandantin oder dem Mandanten übermitteln will. Die Mandantin beziehungsweise der Mandant erhält Zugangsdaten, mit denen sie oder er sich in das Portal einloggen kann. Die Unterrichtung über eine im Portal hinterlegte Nachricht erfolgt über eine E-Mail, die allerdings außer dem Hinweis, dass eine Nachricht bereitliege, keinen weiteren Inhalt enthält.
1.7.5 Bremen: Tätigkeitsbericht für 2024 – Einsatz von Telepräsenzrobotern in Schulen
Die geplante Neu-Regelung zu dem Einsatz von Telepräsenzrobotern in Schulen, auf Basis des Entwurfs eines neuen § 4a Bremisches Schuldatenschutzgesetz bietet nach Ansicht des LfDI (diese Aussage findet sich allerdings in der Pressemeldung, siehe oben unter 1.7) ein gelungenes Beispiel für mitgedachten Datenschutz von Anfang an.
Unter Ziffer 9.3 (Seite 51) beschreibt er, wie Telepräsenzroboter es Schülerinnen und Schülern, die auf Grund einer Langzeiterkrankung nicht am Präsenzunterricht teilnehmen können, ermöglichen können sich zum Unterricht zuzuschalten, allerdings nur nach Einwilligung der Erziehungsberechtigten der Mitschülerinnen und Mitschüler. Der § 4a-E Bremisches Schuldatenschutzgesetz würde diese Anforderung überflüssig machen.
Die Geräte werden im Klassenzimmer auf dem Platz der betroffenen Schülerin beziehungsweise des betroffenen Schülers aufgestellt, haben eine eingebaute Kamera und ein Mikrofon, um den Präsenzunterricht per Live-Stream zu übertragen. Mit einem Endgerät steuert die Schülerin beziehungsweise der Schüler den Telepräsenzroboter, dreht seinen Kopf, sieht den Stream und hört, was um das Gerät herum geschieht. Über eine Leuchtfunktion am Gerät ist erkennbar, ob das Gerät aktiv ist.
1.8 Hamburg: Tätigkeitsbericht für 2024
Auch in Hamburg wurde der Tätigkeitsbericht für das Jahr 2024 veröffentlicht. Hier ein kurzer Medienbericht dazu. Der HmbBfDI bietet auch am 15.04.2025 von 13:00 bis 14:30 Uhr eine Datenschutzsprechstunde an. Nachfolgend ein paar ausgewählte Highlights:
1.8.1 Hamburg: Tätigkeitsbericht für 2024 – Mitarbeiterexzess im Gesundheitsbereich
Unter der Ziffer II.4 schildert der HmbBfDI Mitarbeiterexzesse im Gesundheitsbereich. Einzelne Mitarbeiter:innen von Gesundheitseinrichtungen nahmen zu privaten Zwecken Zugriff auf Daten von in der Einrichtung behandelten Personen. Er gab einen Fall davon auch an die Staatsanwaltschaft ab, die den Erlass eines Strafbefehls beantragte.
1.8.2 Hamburg: Tätigkeitsbericht für 2024 – Bestandskundenwerbung per E-Mail
Zu den Anforderungen an die Bestandskundenwerbung per E-Mail äußert er sich in Ziffer II.9. Die Verarbeitung von E-Mail-Adressdaten zum Zwecke der Direktwerbung an Bestandskunden für ähnliche Produkte sowie das diesbezügliche Widerspruchsrecht muss den Kunden:innen von den werbetreibenden Unternehmen bereits bei Erhebung der personenbezogenen Daten transparent dargelegt werden.
1.8.3 Hamburg: Tätigkeitsbericht für 2024 – Kaltakquise mit Nutzung von E-Mail-Adressen
Hinsichtlich der Zulässigkeit der Kaltakquise (werbliche Ansprache) über eine E-Mail-Adresse natürlicher Personen macht er in Ziffer II.10 deutlich, dass die Verwendung von E-Mail-Adressen natürlicher Personen auch im geschäftlichen Kontext nur datenschutzrechtlich zulässig ist, wenn der angeschriebene Kontakt zuvor ausdrücklich darin eingewilligt habe.
1.8.4 Hamburg: Tätigkeitsbericht für 2024 – Zur Zulässigkeit von Diversitätskriterien
Das finde ich spannend (gerade auch nach EuGH C-394/23, wir berichteten): Der HmbBfDI berichtet in Ziffer II.11, dass seit dem Jahr 2020 in der australischen Filmförderung Diversitätskriterien verpflichtend zu berücksichtigen sind. Hierfür wurden sog. „Diversity-Checklisten“ für Filmproduktionen eingeführt. Und naturgemäß enthalten diese Datensätze eine Vielzahl hochsensibler Daten der betroffenen Personen. Seit dem Jahr 2024 ergänzt die Online-Plattform OMNI Inclusion Data die Checkliste und liefert konkretere Angaben zur Diversität der deutschen Film- und Medienbranche. Erstmals stammten diese Antworten von Cast und Crew selbst, nicht von den Produktionen. Der HmbBfDI begleitete die Entwicklung der Plattform und gab Empfehlungen zur datenschutzkonformen Gestaltung, um den Schutz hochsensibler personenbezogener Daten sicherzustellen.
Er wirkte darauf hin, dass die Daten nun bereits zum frühestmöglichen, durch den Zweck der Umfrage zulässigen Zeitpunkt anonymisiert und zuvor pseudonymisiert verarbeitet werden sollten. Um die Freiwilligkeit der Einwilligungen sicherzustellen, wurden verschiedene Maßnahmen eingeführt, darunter die vertragliche Verpflichtung der Produktionsgesellschaften die Freiwilligkeit konsequent zu gewährleisten. Ebenfalls sollte aus diesem Anlass das diesbezügliche Informationsschreiben angepasst werden, um vollständige Transparenz und eine vollumfängliche Information der Teilnehmenden zu ermöglichen.
1.8.5 Hamburg: Tätigkeitsbericht für 2024 – Auskunft der Eltern bei Online-Dating-Plattform
Haben Eltern einer Minderjährigen Anspruch aus Art. 15 DS-GVO gegenüber der Betreiberin einer Online-Plattform auf Auskunft über die Kommunikation aus dem Account der Tochter? Der HmbBfDI hält dies in Ziffer V.7. für zulässig und begründet dies mit §§ 1626 ff BGB (Träger der elterlichen Sorge).
Das Online-Datingportal war darauf ausgerichtet Beziehungen zwischen älteren Männern und jüngeren Frauen anzubahnen. Der HmbBfDI wies die Betreiberin des Online-Datingportals an den Beschwerdeführenden nach Art. 15 DS-GVO die begehrte Auskunft über den Account ihrer Tochter einschließlich der Kommunikationsinhalte zu erteilen. Die Betreiberin des Online-Datingportals erteilte den Beschwerdeführenden sodann ordnungsgemäß Auskunft. In Hinblick auf die Angaben zu den Personen, die in Kontakt mit der Minderjährigen gestanden hatten, war die Auskunft nur insoweit zu erteilen, als dies zum Nachvollziehen der Kommunikation erforderlich war. Dass die Namen der Chatpartner von Seiten der Verantwortlichen unkenntlich gemacht worden waren, wurde daher vom HmbBfDI nicht beanstandet.
1.8.6 Hamburg: Tätigkeitsbericht für 2024 – E-Mail-Versand durch Betreuer
Ein Betreuer wurde wegen der Versendung einer nicht Ende-zu-Ende-verschlüsselten E-Mail mit hochsensiblen Informationen zur betreuten Person durch den HmbBfDI verwarnt. Die Details schildert der HmbBfDI in Ziffer V.8.
1.8.7 Hamburg: Tätigkeitsbericht für 2024 – Löschanforderungen und Archivierungsinteressen
Zu den möglichen Widersprüchen einer Löschpflicht und einer Archivierungspflicht äußert sich der HmbBfDI in Ziffer VII.2. Er kommt dabei zu dem Ergebnis, dass die archivrechtliche Vorschrift in § 3 Abs. 2 Satz 2 HmbArchG dabei bereits datenschutzrechtliche Gesichtspunkte berücksichtigt, was eine Bildung von Fallgruppen, bei denen eine Löschung zu erfolgen hat, nahelegt. Technisch-organisatorische Maßnahmen, wie ein Vier-Augen-Prinzip bei der tatsächlichen Löschung bzw. Herausnahme von entsprechenden Dokumenten aus einer Akte sollen darüber hinaus berechtigte Archivierungsinteressen schützen. Er erwartet, dass diese Vorgaben nun in konkrete Handlungsanweisungen umzusetzen sind, damit die Anwender:innen in den Fachbehörden bei der Umsetzung von Löschansprüchen in jeder Hinsicht rechtssicher handeln können.
1.9 Österreich: Tätigkeitsbericht für 2024
Auch in Österreich veröffentliche die Datenschutzbehörde (DSB) ihren Tätigkeitsbericht für das Jahr 2024. Einige Meldungen daraus:
1.9.1 Österreich: Tätigkeitsbericht für 2024 – Hohe Geldbuße für unrechtmäßige Videoüberwachung
Die verantwortliche Stelle betrieb eine unrechtmäßige Videoüberwachung bestehend aus neun Außen- und Innenkameras in einem stark von Fußgänger:innen frequentierten Bereich innerhalb von Wien. Aufgrund der Berücksichtigung des Konzernumsatzes berechnete die DSB die Geldbuße auf 1,5 Mio. Euro (4.2.10, Nr. 3 , S. 55). Dagegen wurden Rechtsmittel eingelegt.
1.9.2 Österreich: Tätigkeitsbericht für 2024 – Weitergabe eines Video von Parkplatzüberwachung an Versicherung
Darf eine Vermieterin eines Parkplatzes Aufnahmen einer Videoüberwachung an die Kaskoversicherung des Mieters weitergeben? Der Mieter machte einen Schadenersatz gegen die Vermieterin geltend, nachdem ihm seine Versicherung einen Schaden am Fahrzeug nicht ersetzte, als über die Videoaufnahmen eine augenscheinlich schwere Alkoholisierung des Klägers bei der Verursachung des Parkschadens hervorging. Die Gerichte sahen in dem Vorgehen der Vermieterin keine rechtswidrige vorgenommene Bilddatenverarbeitung und wiesen mangels Rechtswidrigkeitszusammenhangs – dieser Schadenersatzanspruch ist nicht vom Schutzzweck der datenschutzrechtlichen Bestimmungen umfasst – die Klage des Mieters ab (5.2, Nr. 2, S. 62).
1.9.3 Österreich: Tätigkeitsbericht für 2024 – Interessenskonflikt bei DSB
Über einen Interessenskonflikt bei einem Datenschutzbeauftragten, der über einen Zeitraum von drei Jahren auch handelsrechtlicher Geschäftsführer und auch Gesellschafter war berichtet die Datenschutzbehörde (4.2.10, Nr. 4, S. 56). Das daraufhin erfolgte Straferkenntnis i.H.v. 5.000 Euro wurde rechtskräftig.
1.10 Österreich: Umsetzung des Urteils EuGH C-203/22
Die österreichische Datenschutzbehörde informiert in einem Rundschreiben über das Urteil des EuGH C-203/22 (wir berichteten) und gibt dazu bekannt, dass und wie sie diesen nun umsetzen wird. In dem oben genannten Urteil ging es um die Nachvollziehbarkeit im Rahmen eines Auskunftsbegehrens bei der Bildung von Kreditscores.
Das Thema wird auch in Veröffentlichungen aus dem Finanzsektor angesprochen, wie hier in Italien oder UK.
1.11 Österreich: Unzulässigkeit von Bildern im Internet
Im Rahmen einer Entscheidung der österreichischen Datenschutzbehörde (DSB) befasst sie sich mit der Frage, wann Bilder nicht dem sog. Haushaltsprivileg aus Art. 2 Abs. 2 lit. c DS-GVO unterliegen. Es ging um die Veröffentlichungen von Bildern, die auf der Straße aufgenommen worden sind, teilweise von Kindern, teilweise von sehr offenherzigen Aufnahmen weiblicher Oberkörper oder von Personen beim Essen. Die DSB stellt dazu fest, dass die verantwortliche Person dadurch gegen die DS-GVO verstoßen habe und fordert, dass innerhalb einer Frist von zwei Wochen die Aufnahmen aus dem Netz zu löschen sind.
1.12 CNIL: Vernetzte Fahrzeuge und Tracking
Die französische Datenschutzaufsicht CNIL veröffentlicht Informationen zu vernetzten Fahrzeugen und dem Tracking von deren Standorten. Diese Empfehlung unterliegt einer Konsultation, zu der man noch bis zum 20. Mai 2025 Rückmeldungen geben kann.
Der Empfehlungsentwurf richtet sich an alle Interessenträger im Fahrzeugbereich, und zwar an Automobilhersteller; Flottenmanager, private oder öffentliche Akteure, die Fahrzeuge (Autos, Roller, Fahrräder usw.) zur kurz- oder langfristigen Vermietung anbieten; Lieferanten von Telematikwerkzeugen, wie z. B. Boxen, die in Fahrzeugen installiert sind; Datenaggregatoren und -integratoren, die als Vermittler zwischen Fahrzeugherstellern und anderen Interessenträgern fungieren können, um die Übermittlung fahrzeugbezogener Daten zu organisieren.
1.13 Finnland: Hochschule und China
Die finnische Datenschutzaufsicht kündigt an, dass sie die den Umgang der Universität von Helsinki beim Datentransfer von personenbezogenen Daten nach China im Hinblick auf die Rechtmäßigkeit nach der DS-GVO untersuchen wird.
1.14 Belgien: Verantwortlichkeit zur Information über Änderungen
In ihrer jüngsten Entscheidung 51/2025 informiert die belgische Datenschutzaufsicht, dass es einen Verstoß gegen Art. 12 Abs. 1 DS-GVO darstelle, wenn den betroffenen Personen die Verantwortung auferlegt werde die Datenschutzerklärung regelmäßig auf Änderungen zu überprüfen (Rn. 60).
1.15 Niederlande: Datenschutzverletzung bei der Jugendbetreuung und Zuständigkeiten eines DSB
In ihrem Bericht über Datenschutzverletzungen in Einrichtungen der Jugendbetreuung formuliert die niederländische Datenschutzaufsicht ihre Anforderungen an Meldepflichten. So sollte ein DSB nicht entscheiden, ob eine Datenschutzverletzung der Datenschutzbehörde gemeldet wird oder nicht. Sie stellt auch klar, dass Datenschutzbeauftragte nicht mit der Umsetzung der Anforderungen der DS-GVO befasst sein sollten.
1.16 Spanien: Anforderung an Parkraumüberwachung
Die spanische Datenschutzaufsicht AEPD informiert über die datenschutzrechtlichen Anforderungen bei einer Parkraumüberwachung mit Videotechnik. Die von den Kameras aufgenommenen Bilder müssen ausschließlich auf den Parkplatz beschränkt werden, der der für das System verantwortlichen Person gehört, und sie ist zusätzlich auf einen Mindeststreifen der Gemeinschaftsbereiche zu begrenzen, den die Aufnahme für die Überwachung des eigenen Parkplatzes nicht vermeiden kann. Bilder von Parkplätzen anderer Personen außerhalb des Geländes dürfen nicht aufgenommen werden.
1.17 Italien: Sanktion für unerlaubte Ortung von Firmenfahrzeugen
Die italienische Datenschutzbehörde Garante verhängte gegen ein Unternehmen für die rechtswidrige Überwachung von Mitarbeitern durch Fahrzeugortung unter Berufung auf die DS-GVO und wegen Verstößen gegen das Arbeitsrecht eine Sanktion in Höhe von 50.000 Euro.
1.18 Italien: Bußgeld i.H.v. 300.000 Euro u.a. für unerlaubtes Direktmarketing
Die italienische Datenschutzbehörde Garante hat gegen ein Energieunternehmen eine Geldstrafe in Höhe von 300.000 Euro verhängt, weil es unrechtmäßig personenbezogene Daten für das Direktmarketing verarbeitet, Datenschutzgrundsätze auf organisatorischer Ebene nicht ordnungsgemäß umgesetzt und Bewerber unzureichend über die Verarbeitung ihrer Daten informiert hat.
1.19 ICO: Guidance zur Anonymisierung
Während der EDSA noch etwas braucht, um seine angekündigte Guidelines zur Anonymisierung zu veröffentlichen, veröffentlicht die Aufsicht des Vereinigten Königreichs ihre Ansicht dazu. Sie befasst sich dabei auch mit der Re-Identifiziertbarkeit und mit der Frage, welches Wissen zurechenbar ist. Auch referenziert sie auf die „ISO/IEC 27559:2022: Information security, cybersecurity and privacy protection – Privacy enhancing data de-identification framework”.
1.20 Spanien: Tool zur Umsetzung der DS-GVO bei risikoarmen Verarbeitungen
Die spanische Datenschutzaufsicht AEPD hat für Unternehmen, die personenbezogene Daten mit geringem Risiko verarbeiten, ein Tool veröffentlicht, das bei der Einhaltung der DS-GVO unterstützt. Dieses Tool richtet sich an personenbezogene Daten verarbeitende Unternehmen, die im Voraus ein geringes Risiko für die Rechte und Freiheiten der natürlichen Personen darstellen, deren Daten sie verarbeiten, wobei zu berücksichtigen ist, dass jede Verarbeitung ein gewisses Risiko mit sich bringt. Das Tool generiert nach Angaben der AEPD verschiedene Dokumente, die an das jeweilige Unternehmen angepasst sind, informative Klauseln, die in die Formulare zur Erhebung personenbezogener Daten aufgenommen werden müssen, Vertragsklauseln, die den Verträgen des Datenverarbeiters beigefügt werden müssen, das Verzeichnis der Verarbeitungstätigkeiten und einen Anhang mit indikativen Sicherheitsmaßnahmen, die als minimal gelten.
1.21 BSI: Cloud-Kooperation mit Amazon Web Service
Das BSI hat bekannt gegeben, dass es eine weitere Kooperationsvereinbarung mit einem Cloud Anbieter geschlossen hat. Nun arbeitet sie auch mit Amazon Web Service (AWS) zusammen, um die Weiterentwicklung kritischer Sicherheitstechnologie in den Fokus der Zusammenarbeit zu nehmen.
Franks Nachtrag: Ich möchte noch einmal hierhin (inklusive meines Nachtrags) verweisen.
1.22 EU-Wettbewerb: Kartellverfahren für „Consent or Pay“ gegen Meta?
Wie berichtet wird, droht Meta seitens der Europäischen Union eine hohe Geldstrafe, weil das Unternehmen angeblich gegen strenge Kartellvorschriften verstoßen habe. Danach könnte sich die Strafe auf Hunderte von Millionen Dollar belaufen und sogar 1 Milliarde US-Dollar übersteigen, was damit eine der wichtigsten Durchsetzungsmaßnahmen im Rahmen des Digital Markets Act (DMA) der EU darstelle.
1.23 BfV: Bedrohungen durch fremde Nachrichtendienste
Das Bundesamt für Verfassungsschutz hat eine Publikation zu Spionage, Cyberangriffen und weiteren Bedrohungen durch fremde Nachrichtendienste veröffentlicht. Die Broschüre informiert über die vielfältigen Interessen und Methoden fremder Nachrichtendienste in Deutschland und stellt Zuständigkeit und Vorgehen des Verfassungsschutzes bei der Abwehr nachrichtendienstlicher Gefährdungen dar. Dabei geht die Publikation auf die verschiedenen Mittel ein, die fremde Nachrichtendienste in und gegen Deutschland nutzen. Näher beleuchtet werden dabei die Aktivitäten der Nachrichtendienste Russlands, Chinas, des Iran und der Türkei.
1.24 BSI: Anleitungen zur Datensicherung
Das BSI bietet niedrig-schwellige Hinweise zur Datensicherung durch Verbraucher:innen, die auch systembezogen erläutern, wie eine Datensicherung bei privaten Systemen durchgeführt werden kann.
Franks Nachtrag: Dazu passend ist auch dieser Bericht. Einfach mal machen!
1.25 BSI: Cybersicherheit im Gesundheitswesen
Das BSI hat die Broschüre Cybersicherheit im Gesundheitswesen – prägende Entwicklungen im eHealth-Bereich 2024 veröffentlicht. Sie will einen exemplarischen Einblick in die Gefährdungslage und deren Auswirkungen auf die Digitalisierung im Gesundheitswesen bieten. Im Fokus stehen die Telematikinfrastruktur (TI) und die Sicherheit in der ambulanten Versorgung außerhalb staatlich definierter Kritischer Infrastrukturen (KRITIS).
Zudem veröffentlichte das BSI auch seine Handlungsempfehlung für Hersteller von vernetzten Medizinprodukten, um im Zuge der fortschreitenden Digitalisierung im Gesundheitswesen auf die Bedeutung der Vernetzung von Medizinprodukten hinzuweisen. Als anschauliches Beispiel hierfür nennt es die Entwicklung von implantierbaren Herzschrittmachern, die mit einem Überwachungssystem kommunizieren. Dieser Fortschritt ermöglicht dem ärztlichen Fachpersonal einen detaillierten Einblick in die Versorgung der Betroffenen.
Den Vorteilen vernetzter Medizinprodukte stünden jedoch auch erhebliche Risiken gegenüber, wie das BSI am Beispiel vernetzter Insulinpumpen zeigt: Die erforderliche Konnektivität schaffe potentielle Angriffsvektoren, welche berücksichtigt werden müssten. Angreifer könnten beispielsweise Funksignale einer Insulinpumpe abfangen oder diese manipulieren. Um solchen Angriffen vorzubeugen und eine Kompromittierung dieser Schnittstelle zu verhindern, sind technische Maßnahmen erforderlich. Diese müssen laut BSI frühzeitig in der Entwicklungsphase eines Medizinprodukts berücksichtigt werden.
1.26 EU-Kommission: Bescheid gegen Meta wegen missbräuchlicher Stellung
Die EU-Kommission hat nun ihre Entscheidung vom November 2024 veröffentlicht, in der sie dem Unternehmen Meta (Facebook) vorwirft seine marktbeherrschende Stellung missbraucht zu haben, indem es auch werbebezogene Daten verwendete, die es im Rahmen des Anzeigenverkaufs auf Facebook (als Social-Media-Plattform) aus OCAS generiert (d. h. Plattformen, auf denen Verkäufer auflisten und (potenzielle) Käufer Online-Werbung auf leicht durchsuchbare und vergleichbare Weise bewerten können, gefiltert nach Produkt-/Dienstleistungskategorien, B. B. eBay), um sie für das eigene OCAS-Geschäft, d.h. den Facebook Marketplace, zu nutzen. Die Europäische Kommission hat diese Praxis verboten und ausdrücklich darauf hingewiesen, dass die Modelle, die dem Facebook-Marktplatz zugrunde liegen, von diesen Daten bereinigt und gegebenenfalls auf der Grundlage eines bereinigten Datensatzes neu trainiert werden müssen, damit die Untersagungsverfügung auch in Zukunft wirksam ist. Ein Bußgeld in Höhe von insgesamt ca. 800 Mio. Euro wurde außerdem festgelegt.
1.27 EU-Kommission: Strafe gegen „X“ aus Digital Service Act?
Nach Berichten wird spekuliert, ob es bald gegen den Kurznachrichten-Dienst „X“ eine gigantische Strafe durch die EU-Kommission gegeben wird, weil dieser gegen Vorgaben des DSA verstoße. Vor dem Hintergrund der aktuellen Handelsthemen zwischen EU und den USA und der in dem Bericht genannten Überlegungen zur Berechnung der Strafe bleibt es spannend, ob es zu der Strafe kommen wird.
2 Rechtsprechung
2.1 EuGH: Personenbezug auch bei Pflichtveröffentlichungen (C-710/23)
Der EuGH entschied im Verfahren C-710/23, dass es sich bei der Offenlegung des Vornamens, des Nachnamens, der Unterschrift und der Kontaktdaten einer natürlichen Person als Geschäftsführer oder verantwortlichem Vertreter einer juristischen Person, die ausschließlich zum Zweck der Identifizierung der (Person, die befugt ist, im Namen der bestimmten) juristischen Person (zu handeln) erfolgt, um die Verarbeitung „personenbezogener Daten“ über diese natürliche Person gemäß Art. 4 Nr. 1 DS-GVO handelt und dass diese Offenlegung somit in den Anwendungsbereich der DS-GVO fällt.
Die Tatsache, dass diese Informationen im Rahmen einer beruflichen Tätigkeit zur Verfügung gestellt wurden, bedeutet nicht, dass sie nicht als personenbezogene Daten eingestuft werden können.
Art. 86 DS-GVO sieht vor, dass personenbezogene Daten in amtlichen Dokumenten, die sich im Besitz einer Behörde, einer öffentlichen oder einer privaten Stelle befinden, zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe von der Behörde oder Einrichtung im Einklang mit dem einschlägigen Recht der EU oder der Mitgliedstaaten offengelegt werden können.
Art. 6 Abs. 1 lit. c und e i.V.m. Art. 86 DS-GVO sind nach dem EuGH dahin auszulegen, dass es einer nationalen Rechtsprechung nicht entgegensteht, nach der ein Verantwortlicher als Behörde verpflichtet ist die betroffene natürliche Person vor der Offenlegung amtlicher Dokumente, die solche Daten enthalten, zu unterrichten und zu konsultieren, soweit eine solche Verpflichtung nicht unmöglich durchzuführen ist oder einen unverhältnismäßigen Aufwand erfordert und daher nicht zu einer unverhältnismäßigen Einschränkung des Rechts der Öffentlichkeit auf Zugang zu diesen Dokumenten führt.
2.2 EuGH: Direktmarketing und Newsletter-Bestellung (C-654/23)
In dem Verfahren C-654/23 geht es um Fragestellung der ePrivacy-Richtlinie und der DS-GVO bei der Anforderung eines Newsletters (wir berichteten). Die Inteligo Media verarbeitet personenbezogene Daten von Nutzern, die sich für ein kostenloses Benutzerkonto auf der Plattform anmelden, um Zugang zu einem täglichen E-Mail-Newsletter („Personal Update“) sowie zu zusätzlichen kostenpflichtigen Inhalten zu erhalten. Vor dem EuGH geht es vereinfacht formuliert darum, in welchem Umfang und unter welchen Voraussetzungen Nachrichten wie ein solcher E-Mail-Newsletter zulässig sind und ob die Bestimmungen der DS-GVO auf diese Art der Datenverarbeitung anwendbar sind. Der Generalanwalt hat nun seine Schlussanträge veröffentlicht.
Er empfiehlt Art. 13 Abs. 2 ePrivacy-RL (Richtlinie 2002/58) dahin auszulegen, dass die E‑Mail-Adresse eines Nutzers, die erlangt wird, wenn der Nutzer ein Online-Konto erstellt, das ihm das Recht verleiht,
(i) kostenlosen Zugang zu mehreren Artikeln des betreffenden Mediums zu bekommen,
(ii) per E‑Mail einen täglichen Newsletter zu erhalten, der eine Zusammenfassung neuer Rechtsvorschriften, die in Artikeln des Mediums behandelt werden, sowie Hyperlinks zu den jeweiligen Artikeln enthält, und
(iii) gegen Bezahlung Zugang zu zusätzlichen und/oder ausführlichen Artikeln und Analysen des Mediums zu bekommen,
„im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung“ erlangt wird. Die Übermittlung eines täglichen Newsletters wie des unter Ziffer ii beschriebenen stellt „Direktwerbung“ für „ähnliche Produkte oder Dienstleistungen“ im Sinne dieser Bestimmung dar.
Zudem ist er der Ansicht, dass Art. 13 Abs. 2 der ePrivacy-RL in Verbindung mit Art. 95 DS-GVO dahin auszulegen ist, dass Art. 6 DS-GVO nicht anwendbar ist, wenn der Verantwortliche die E‑Mail-Adresse eines Nutzers zum Zweck der Übersendung eines täglichen Newsletters im Einklang mit Art. 13 Abs. 2 der Richtlinie 2002/58 verwendet und die Verarbeitung personenbezogener Daten auf der Grundlage dieser Bestimmung für rechtmäßig befunden worden ist.
Was sehr sperrig klingt, wird hier deutlicher dargestellt: Für die Verwendung einer E-Mailadresse zur Versendung eines Newsletters braucht es keine datenschutzrechtliche Grundlage aus Art. 6 DS-GVO, wenn bestimme Vorgaben eingehalten werden („Bestandskundenwerbung“), dann ergibt sich die Rechtsgrundlage aus Art. 13 Abs. der ePrivacy-RL (in der korrekten Umsetzung des Mitgliedstaates). Aber das ist die Empfehlung des Generalanwaltes, noch nicht das Urteil des EuGH. Erst wenn sich dieser der Interpretation anschließt, wird es eine Änderung zur bisherigen Auslegung der Aufsichtsbehörden zum E-Mail-Marketing.
2.3 EuGH: Klage von WhatsApp gegen Beschluss des EDSA (C-97/23)
Dem EDSA war der Umgang und die Sanktion der irischen Datenschutzaufsicht gegen WhatsApp nicht konsequent genug und er beschloss, der irischen Datenschutzaufsicht ein höheres Bußgeld aufzugeben. Dagegen klagte WhatsApp und unterlag in der ersten Instanz (T-709/21, wir berichteten). Nun macht die Generalanwältin in der Überprüfung beim EuGH WhatsApp Hoffnungen auf einen Klageerfolg. Bericht dazu hier. Letztendlich geht es darum, ob die Entscheidungen des EDSA gegenüber einer anderen Datenschutzaufsicht so verbindlich sind, dass Beteiligte (wie WhatsApp) unmittelbar dadurch beschwert sein können oder ob sie dies erst durch die Umsetzung durch die für sie zuständigen Datenschutzaufsicht werden. Mal sehen, wie der EuGH das bewertet.
2.4 EuGH: Verjährungsfrist von Schadenersatzforderungen (C-21/24)
Welche Voraussetzungen sind für einen effektiven Rechtsschutz für Schadenersatzforderungen aus wettbewerbsrechtlichen Verstößen (Art. 101 AEUV) hinsichtlich der Verjährungsfristen zu berücksichtigen? Damit befasst sich der EuGH im Verfahren C-21/24, zu dem der Generalanwalt nun seine Schlussanträge veröffentlicht hat.
2.5 BGH: Urteilsveröffentlichung zur Verwertbarkeit von AnomChat-Daten
Wir hatten über den Fall und die Entscheidung berichtet, dass in einem Strafverfahren Beweismitteln aus vormals verschlüsselten Chat-Inhalten verwendet wurden. Nun hat der BGH die Urteilsgründe veröffentlicht.
2.6 BGH: Datenschutzverstöße können Wettbewerbsverstöße sein
Es ist keine überraschende Entscheidung des BGH (I ZR 222/19 und ZR 223/19), wendet er doch nun lediglich die Entscheidung des EuGH in C-23/21 (Lindenapotheke) an, über die wir bereits im Zusammenhang mit den Schlussanträgen des Generalanwalts und auch dann zur Entscheidung des EuGH berichteten.
2.7 BGH: Wettbewerbsrüge durch Verbraucherschutzverbände zulässig
Ebenfalls in der Umsetzung einer EuGH-Entscheidung (C-757/22, wir berichteten) entschied der BGH (I ZR 186/17), dass Verbraucherschutzorganisationen befugt sind Verstöße gegen das Datenschutzrecht im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten zu verfolgen.
Auch wenn das zugrundeliegende Angebot seitens Facebook gar nicht mehr angeboten wird, ist die Entscheidung inhaltlich relevant, weil über die Festlegung der Klagebefugnis festgestellt wird, dass Verstöße gegen die Informationspflicht (Art. 12 Abs. 1 Satz 1 DS-GVO i.V.m. Art. 13 Abs. 1 lit. c und e DS-GVO Auswirkungen auf die Rechtmäßigkeit einer Verarbeitung haben können.
In dem Verstoß gegen die datenschutzrechtlichen Informationspflichten liege zugleich ein Verstoß gegen Lauterkeitsrecht unter dem Gesichtspunkt des Vorenthaltens einer wesentlichen Information gemäß § 5a Abs. 1 UWG. Ausgehend von der wirtschaftlichen Bedeutung der Verarbeitung von personenbezogenen Daten für Internet-basierte Geschäftsmodelle, deren Nutzung der Verbraucher mit der Preisgabe personenbezogener Daten vergütet, komme den datenschutzrechtlichen Unterrichtungspflichten zentrale Bedeutung zu. Sie sollen sicherstellen, dass der Verbraucher bei seiner Nachfrageentscheidung, die mit einer Einwilligung in die Verarbeitung personenbezogener Daten verknüpft ist, möglichst umfassend über Umfang und Tragweite dieser Einwilligungserklärung ins Bild gesetzt werde, um eine informierte Entscheidung treffen zu können.
Bericht dazu auch hier.
2.8 OLG Stuttgart: Mitarbeiterexzess bei rechtswidrigen Datenabfragen durch Beschäftigte
Das OLG Stuttgart entschied, dass Behördenmitarbeiter für rechtswidrige Datenabfragen haften. Es bestätigte damit die Ahndung als Ordnungswidrigkeit mit 1.500 Euro. Danach rief der als Polizeibeamter beschäftigte Betroffene von seinem Dienstrechner auf dem Polizeirevier im polizeilichen Informationssystem „POLAS“ Daten über einen damaligen Kollegen ab, der sich zu dieser Zeit in Untersuchungshaft befand, ohne – wie der Betroffene wusste – dass es für die Abfrage einen dienstlichen Anlass gab. Das Gericht führt dabei aus, dass, auch wenn Geldbußen gegen öffentliche Stellen und deren Beschäftigte ausgeschlossen seien, dies jedoch für dienstliches Verhalten gelte. Handeln die Beschäftigten dagegen am Arbeitsplatz für private Zwecke, komme eine ordnungswidrigkeitsrechtliche Ahndung grundsätzlich in Betracht.
Es verweist dann auch bezüglich der Behandlung von sog. „Mitarbeiterexzessen“ auf die Guidelines 07/2020 des EDSA (Rn. 88), aber auch auf eine Entscheidung des Österreichischen Bundesverwaltungsgerichts oder den Schlussantrag des Generalanwalts beim EuGH im Verfahren C 579/21, dort Rn. 65.
2.9 LAG Düsseldorf: Arbeitsrechtliche Verwertung von Aussagen in sozialen Netzwerken
Wann können arbeitsrechtliche Konsequenzen aus antisemitischen Äußerungen gezogen werden, die in einem sozialen Netzwerk durch einen Beschäftigten erfolgen? Damit hatte sich das LAG Düsseldorf in einem Fall zu befassen. Ein Beschäftigter äußerte sich in einem sozialen Netzwerk positiv über die von der Hamas begangenen Terrorakte und im weiteren auch mit antisemitischen Äußerungen. Der Arbeitgeber kündigte fristlos, hilfsweise ordentlich. Dagegen ging der Beschäftigte mit Erfolg vor dem LAG Düsseldorf vor. Auch wenn die Äußerungen Menschen verachtend und diskriminierend seien, so erfolgten sie doch ohne Bezug zum Arbeitgeber, außerhalb der Arbeitszeit und ohne die Verwendung dienstlicher Mittel. Eine Abmahnung sei hier eher angebracht gewesen. Im Umkehrschluss kann dieses Urteil dann auch als Orientierung dienen, wann Aussagen eines Beschäftigten zu arbeitsrechtlichen Maßnahmen führen könnten. Bericht zum Urteil hier.
2.10 Schweden: noyb klagt gegen schwedische Finanzbehörde
Nach den Angaben auf der eigenen Webseite klagt noyb in Schweden gegen die dortige Finanzbehörde, weil diese Daten an Finanzbroker geben würde, die diese dann im Internet veröffentlichen würden. Umfasst seien Angaben zur Sozialversicherungsnummer, zum Geburtsdatum, dem Wohnort, dem Einkommen und den Wert des Hauses. Die Finanzbehörden beriefen sich dabei auf einen Verfassungsgrundsatz zur Transparenz.
3 Gesetzgebung
3.1 Deutschland: Dichtung und Wahrheit zur Koalitionsplanung
Es gibt viele Informationen und Papiere zu den Gesprächen zwischen SPD und Union, z.B. ob es ein Digital-Ministerium geben wird oder ob dies aus den Papieren nun wieder verschwunden sei. Warten wir es ab – es scheint nun auch der Wille der Union zu sein, die Benennung der Datenschutzbeauftragten aus § 38 BDSG zu streichen. Ob da die Hinweise der GDD an die Verhandlungsführer oder dezente Vorschläge in einem Onlineportal etwas ändern?
Franks Nachtrag: Die Umbenennung der Bundesbeauftragten für den Datenschutz (und die Informationsfreiheit, siehe hier) in die Bundesbeauftragte für Datennutzung findet keine Zustimmung, von verschiedenen Seiten. Kommentare zu den Koalitionsverhandlungen sind auch eher negativ.
Franks zweiter Nachtrag: Lesen Sie einfach selbst.
3.2 Kleine Anfrage im Bundestag: Bundesregierung und Vorbildfunktion
Zum Abschluss ihrer Bundestagstätigkeit veröffentlichte eine Abgeordnete „Der Linken“ die Antwort einer Kleinen Anfrage an die Bundesregierung zur Nutzung von Cloud-Diensten und zur Digitalen Souveränität.
Zitat aus ihrer Zusammenfassung:
„Mindestens 32 Cloud-Dienste der Hyperscaler Google, Amazon, Microsoft und Oracle werden jetzt schon vom Bund genutzt, aber nur bei einem einzigen (AWS-Software VAULT Storage) genutzt von der Bundespolizei, stellt eine Ende-zu-Ende-Verschlüsselung sicher, dass eine Entschlüsselung von Meta- und Nutzerdaten ausschließlich auf den Endgeräten der Nutzenden möglich ist.“
Bericht dazu auch hier.
Franks Nachtrag: Tatsächlich ist das Konzept der Ende-zu-Ende-Verschlüsselung im Zusammenhang mit dem oben genannten Dienst durchaus diskussionswürdig.
3.3 Europa: Überarbeitung der DS-GVO und der Digitalpolitik?
Die DS-GVO scheint nicht tabu zu sein, folgt man dieser Meldung, nach der eine Änderung der DS-GVO in einem weiteren Omnibusgesetz denkbar wäre. Und wenn es nur um Art. 30 DS-GVO geht, zu dem eine Erleichterung für KMU und Vereine im Gespräch sei – drängt sich doch der Eindruck auf, welche fachliche Ahnungslosigkeit die Entscheidungsträger durch den Alltag trägt, weil gerade diese Dokumentationspflicht eine zentrale Hilfestellung für viele weitere Aufgaben aus der DS-GVO darstellt. Fundierter erscheinen da schon diese Überlegungen, die abhängig von der Größe über Anpassungen nachdenken. Werden die noch mit dem risikobasierten Ansatz der DS-GVO verbunden, könnte mein Vertrauen in dieses Vorhaben sogar noch wachsen.
Franks Nachtrag: Passend dazu haben wir hier einen Vortrag.
3.4 Anforderungen durch § 393 SGB V
Was sind die konkretisierten Anforderungen für Cloud-Computing im Gesundheitswesen? Mit der Änderung des § 393 SGB V müssten diese nun nach C5 zertifiziert sein, Da dies aber nicht so einfach und nicht so schnell geht, gibt es eine Übergangsregelung, die nun auch im BGBl veröffentlicht wurde: Die Verordnung über gleichwertige Sicherheitsnachweise zum C5-Standard für Cloud-Computing-Dienste im Gesundheitswesen (C5-Gleichwertigkeitsverordnung — C5GleichwV).
Nach § 393 Abs. 3 und Abs. 4 SGB V ist die Cloud-Nutzung möglich, wenn ein Testat auf Grundlage der C5-Basiskriterien des BSI vorliegt. Seit Juli 2024 benötigen die datenverarbeitenden Stellen für die Verarbeitung von Gesundheits- und Sozialdaten ein C5-Typ1-Testat. Ab dem 01.07.2025 ist ein C5-Typ2-Testat erforderlich. 393 Abs. 4 S. 3 SGB V sieht zudem vor, dass anstelle eines C5-Testats auch ein Testat oder eine Zertifizierung möglich sein soll, die ein vergleichbares Sicherheitsniveau gewährleistet. Dabei ist das Bundesministerium für Gesundheit (BMG) nach § 393 Abs. 4 S. 4 SGB V ermächtigt, durch Rechtsverordnung festzulegen, welche Standards die Anforderungen nach Satz 3 erfüllen. Rechtsverordnungen werden – im Gegensatz zu Gesetzen – von der Verwaltung erlassen. Sie legen Details fest, die im Gesetz nicht geregelt werden. Nun hat das BMG am 24.03.2025 die C5-Gleichwertigkeitsverordnung im BGBl veröffentlicht. Sie tritt rückwirkend zum 01.07.2024 in Kraft.
Nach § 1 der C5GleichwV können die ISO/ IEC 27001-Zertifizierung in der jeweils gültigen Fassung – eine ISO 27001 auf Basis des IT-Grundschutzes des BSI sowie die Cloud Controls Matrix 4.0 in der jeweils gültigen Fassung – ein vergleichbares Sicherheitsniveau zu den C5-Testaten aufweisen, sofern zusätzlich ein Maßnahmenplan vorliegt und der Maßnahmenplan und das bestehende Testat oder Zertifikat unverzüglich nach Aufforderung den Leistungserbringern, Kranken- und Pflegekassen oder den Aufsichtsbehörden vorgelegt werden. Der Maßnahmenplan muss mindestens die folgenden Kriterien enthalten:
- Eine Gap-Analyse im Vergleich zu den C5-Basiskriterien,
- eine höchstens 12 Monate abdeckende Meilensteinplanung zur Behebung der sich nach der Analyse ergebenden Sicherheitslücken und
- die Erlangung eines C5-Typ1-Testats innerhalb von 18 Monaten und die Erlangung eines C5-Typ2 innerhalb von 24 Monaten ab Erstellung der Meilensteinplanung.
Im Gegensatz zum Referentenentwurf der C5-Äquivalenzverordnung bezieht sich die C5GleichwV auch auf das C5-Typ2-Testat. Die ISO 27017 oder ISO 27018 sind nicht aufgeführt.
3.5 Informationsfreiheitsgesetz Adieu?
In den Gesprächen zur Bildung einer Koalition scheint es der Union auch wichtig, dass – entgegen den sonstigen Beteuerungen zu Daten als Grundlage wirtschaftlichen Wachstum – gerade die Informationszugänge zu Wissen der Verwaltung auf Bundesebene abgeschafft werden, indem das Informationsfreiheitsgesetz aufgehoben werden soll. Es bleibt ein unguter Eindruck, dass es auch darum geht mögliche Transparenz zu verhindern. Mehr Details dazu hier.
Franks Nachtrag: Auch hier sind die Kommentare eher negativ.
3.6 Onlinezugangsgesetz: Datenschutzcockpit
In § 10 OZG ist ein Datenschutzcockpit vorgesehen, damit Bürger:innen dort erkennen können, wer bereits welche Date von ihnen angefordert habe. Die entsprechende Seite wurde nun auch veröffentlicht: https://datenschutzcockpit.bund.de/spa/. Meine erste Reaktion „Toll, da tut sich ja endlich was“ wurde schnell vom bundesdeutschen Digitalrealitäts-Erlebnis eingeholt:
„Aktuell können Sie noch keine Datenübermittlungen im Datenschutzcockpit sehen. Derzeit ist noch kein Register angeschlossen.“
3.7 Data Act: Jetzt noch vorbereiten – auch auf Vertragsmuster
Alle, die auch nicht-personenbezogene Daten nutzen oder schützen wollen, sollten sich langsam auf den 12. September 2025 vorbereiten: Ab da kommt der Data Act (EU 2018/1807) zur Anwendung. Dazu einige Informationen: Zum Beispiel auf den Seiten der EU zum freien Verkehr nicht-personenbezogener Daten. Das österreichische Bundeskanzleramt bietet auch dazu Informationen.
Und hört das nie auf? Jetzt wird es auch für den Data Act SCC und MCT geben. Dabei stehen diese Abkürzungen für Standard Contractual Clauses und Model Contractual Terms. Und es bleibt die stille Hoffnung, dass die EU-Kommission nicht wie in Art. 46 DS-GVO zu unfähig ist die richtigen Bezeichnungen aus den Verordnungstexten in die Umsetzungen zu übernehmen und so noch mehr Verwirrung zu stiften. Die EU-Kommission setzte auch eine Expertengruppe zur Umsetzung ein.
Jedenfalls wurde nun der Abschlussbericht der Expertengruppe für B2B-Datenaustausch und Cloud-Computing-Verträge veröffentlicht. Die MCTs und SCCs sind unverbindlich, freiwillig und so konzipiert, dass sie von den Parteien entsprechend ihren vertraglichen Bedürfnissen angepasst werden können. Ziel war die Modelle so zu konzipieren, dass sie im Einklang mit den Rechten und Pflichten des Data Act stehen, und dass sie auch so konzipiert wurden, dass sie miteinander kohärent sind. Die verschiedenen Modelle beinhalten Informationen über ihren freiwilligen Charakter und Warnungen an die Parteien die rechtlichen Konsequenzen zu berücksichtigen, wenn sie Änderungen vornehmen. Begleitet werden sie von einer Einführung mit Erklärungen und Anweisungen, wie sie am besten zu verwenden sind. Die Musterbedingungen und -klauseln wurden hauptsächlich für die Geschäftsbeziehungen zwischen Unternehmen erstellt. Sie können jedoch auch in den Beziehungen zwischen Unternehmen und Verbrauchern verwendet werden, aber in diesem Fall müssten zusätzliche Bestimmungen hinzugefügt werden, um den Vertrag mit zwingenden Verbraucherschutzvorschriften in Einklang zu bringen (z. B. das Widerrufsrecht des Verbrauchers bei Verträgen, die online/im Fernabsatz geschlossen werden).
Wer sich schnell zum Data Act informieren möchte, kann dies auch auf diesen Seiten tun, wenn auch mit dem Blick aus der Schweiz.
Beachten Sie dazu auch den Veranstaltungshinweis 5.14.4.
3.8 EU: Rechtsakt zur Umsetzung der Aufgaben nach dem DDG durch die EU-Kommission
Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. So verlangt es auch die Verordnung 2018/1725, die den Umgang mit personenbezogenen Daten durch Einrichtungen der EU regelt. So brauchen die Einrichtungen der EU auch eine Grundlage, um Aufgaben aus dem Digitalen Dienste Gesetz (VO 2022/2065) zu erfüllen. Dazu gibt es nun den Beschluss 2025/628 der EU-Kommission vom 31. März 2025 zur Festlegung interner Vorschriften über die Unterrichtung betroffener Personen und die Beschränkungen bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten durch die Kommission zum Zwecke der Beaufsichtigung, Untersuchung, Durchsetzung und Überwachung gemäß der Verordnung (EU) 2022/2065.
Darin sind unter anderem die Regeln festgelegt, die die Kommission befolgen muss, um die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Auf der Grundlage des Gesetzes über digitale Dienste hat die Kommission Aufsichts-, Untersuchungs-, Durchsetzungs- und Überwachungsaufgaben. Diese Entscheidung befasst sich mit der Verarbeitung von Daten und Informationen im Zusammenhang mit diesen Aufgaben. Dies kann Informationen über Verdächtige, Opfer, Hinweisgeber, Hinweisgeber und Zeugen umfassen. Im Einzelnen ihre Identifikationsdaten, die Fallbeteiligung und fallbezogene Daten sowie Kontaktdaten und andere Informationen, die zur Erfüllung der Anforderungen des DSA als notwendig erachtet werden. Dem Beschluss zufolge kann die Kommission die Rechte der betroffenen Personen auch einschränken, um den Zweck der Überwachungs-, Untersuchungs-, Durchsetzungs- und Überwachungstätigkeiten der Kommission im Rahmen des Gesetzes über digitale Dienste nicht zu gefährden.
Die Kommission wird auf ihrer Website eine Datenschutzerklärung veröffentlichen, in der sie alle betroffenen Personen über ihre Aktivitäten informiert. Sie informiert auch Hinweisgeber, Zeugen und, falls für den Fall relevant, einzelne Mitarbeiter des Unternehmens einzeln und mit geeigneten Mitteln über die Verarbeitung ihrer personenbezogenen Daten.
3.9 EU-Kommission: Kritik an Durchführungsverordnungen zu EUDI Wallet
Die „digitale Brieftasche“ (EU Digital Identity Wallet => EUDI Wallet) soll auf EU-Ebene kommen. Die ENISA hat schon Vorstellungen, wie dies sicher zu gestalten sei und Verbraucherorganisationen informieren auch bereits dazu. Nur steckt der Teufel im Detail, wie dieser Bericht auf mögliche Interpretationen sprachlicher Vorgaben bei der Umsetzung hinweist: Wenn das englische Verb „may“ statt „shall“ verwendet wird. Das erste lässt sich mit einem freiwilligen „können“ übersetzen, das zweite mit einem verpflichtenden „sollen“. Das Ganze wirkt sich dann auf die datensparsame Nutzung der Wallet aus. Durch eine weitgehende Interpretation drohe eine Überidentifikation, mahnt ein NGO, da etwa Unternehmen auf unverhältnismäßig viele persönliche Daten Zugriff erhalten sollen. Sie hätten damit die Möglichkeit noch genauere Profile ihrer Nutzer:innen anzulegen mit Daten, die sie dadurch erhalten, ohne dass diese für den konkreten Zweck erforderlich gewesen seien.
4 Künstliche Intelligenz und Ethik
4.1 KI und wissenschaftlicher Einsatz
Wer sich für den Einsatz von KI im wissenschaftlichen Umfeld interessiert, kann sich mit diesem Leitfaden für den KI-Einsatz bei wissenschaftlichem Arbeiten befassen.
4.2 TüV Austria: Technische Dokumentation von KI-Systemen nach Art. 11 KI-VO
Beim TÜV Austria findet sich ein Leitfaden, der helfen soll die Anforderungen nach Art. 11 KI-VO zur technischen Dokumentation bei einem Hochrisiko-KI-System umzusetzen.
Die Dokumentvorlage bietet eine Struktur für die technische Dokumentation des entwickelten KI-Systems in Übereinstimmung mit Art. 11 KI-VO, der ISO/IEC 42001:2023 und dem TÜV AUSTRIA TRUSTED AI Standard. Der Leitfaden möchte sicherstellen, dass alle relevanten technischen Details erfasst werden, so dass Benutzer und Interessenvertreter das Design und die Funktionalität des KI-Systems sowie die Einhaltung gesetzlicher Standards verstehen können.
4.3 Training von KI und Urheberrecht (Schwerpunkt Schweizer Recht)
Woran bei einem Training für ein KI-Modell zu denken ist, wenn dabei urheberrechtlich geschütztes Material verwendet wird, wird hier unter dem Titel „Das Training von KI-Sprachmodellen mit fremden Inhalten und Daten aus rechtlicher Sicht“ mit Schwerpunkt auf dem Schweizer Recht ausführlich beschrieben. Auch wird untersucht, ob und wann dafür eine Einwilligung erforderlich wird. Eine Kurzfassung findet sich hier.
4.4 Ada Lovelace Institute: Nachvollziehbarkeit KI bei ADM
Nicht erst seit dem Urteil des EuGH (C-203/22) zur Darlegung der „involvierten Logik“ (wir berichteten) ist die Nachvollziehbarkeit von Algorithmic Descision Making Systems (ADM) ein Thema. Das Ada Lovelace Institut zeigt in dieser Studie aus diesem Projekt, dass gerade für die Verwaltung Transparenzmechanismen lückenhaft, unzureichend und oft nur theoretisch vorhanden sind.
Die Kernprobleme sind dabei die fehlende Offenlegung von Datenquellen, Entscheidungslogik und Kosten; unklare Zuständigkeiten bei Risiko- und Folgenabschätzungen; intransparente Vergaben und schwache Kontrolle privater Anbieter und eingeschränkte Informationsrechte durch Geheimhaltungsklauseln. Das Ada Lovelace Institut empfiehlt dagegen klare Offenlegungspflichten für alle ADM-Systeme; striktere Transparenzregeln – auch für private Anbieter; standardisierte Datenformate und Open-Source-Prinzipien und eine Reform der Informationsfreiheitsgesetze.
4.5 Erklärbarkeit von LLM
Das scheint ein grundsätzliches Thema zu sein: Auf der verlinkten Webseite wird es versucht unter dem Titel On the Biology of a Large Language Model und anhand des Mechanismus von Claude 3.5 Haiku LLM und Schaubildern, die an biologische Schautafeln angelehnt sind, begreifbar zu machen.
4.6 Vertrauen in KI: Ein Vorschlag zur Taxonomie
Wie kann Vertrauen in Künstliche Intelligenz konkret operationalisiert werden? Ein Whitepaper aus Berkeley möchte dazu eine systematische Antwort geben – und verbindet sie direkt mit dem NIST AI Risk Management Framework (wir berichteten). „A Taxonomy of Trustworthiness for Artificial Intelligence“ umfasst eine strukturierte Taxonomie mit 150 Eigenschaften. Das Ziel ist eine oft abstrakte Forderung nach „Trustworthy AI“ entlang des gesamten KI-Lebenszyklus greifbar zu machen – von der Planung über die Entwicklung bis hin zum Betrieb und Monitoring.
Jede Eigenschaft wird auf eines der sieben NIST-Charakteristika von Vertrauenswürdigkeit gemappt – z. B. valid & reliable, secure & resilient, accountable & transparent. Statt normativer Checklisten setzt es auf reflexive Fragen: „How will we…?“ oder „How will we assess and mitigate computational bias?“ Das Whitepaper betont den sozio-technischen Charakter von KI-Systemen: Vertrauen sei kein rein technisches Attribut – es entstehe aus Governance, Ethik, Beteiligung, Designentscheidungen und Praxis.
4.7 Hong Kong: Checkliste zu den Guidelines für den Einsatz von KI durch Beschäftigte
Eigentlich bringe ich das hier nur, damit die „üblichen Kritiker“ wahrnehmen könnten, dass viele Fragestellungen nicht von mir ausgedacht sind: Der Privacy Commissioner for Personal Data in Hong Kong veröffentlichte diese Checkliste „for the Use of Generative AI by Employees“.
4.8 Risikobewertungen von KI – verschiedene Modelle
Es lassen sich mittlerweile einige Bewertungsvorlagen für Risikobewertungen beim Einsatz von KI finden. Hier sind einige – ohne Wertung und ohne Anspruch auf Vollständigkeit – aufgeführt:
- Microsoft: Vorlage für eine verantwortungsvolle KI-Folgenabschätzung, Stand Juni 2022
- Google: Secure AI Framework (SAIF)-Risikobewertungstool mit selbst erstellter Checkliste
- New South Wales (NSW) Artificial Intelligence Assessment Framework
- Queensland Foundational artificial intelligence risk assessment framework für Regierungsbehörden
- TrustArc AI Risk Assessment Template für NIST AI RMF
- Kanada: Fragebogen als Instrument für die algorithmische Folgenabschätzung
- Financial Services Information Sharing and Analysis Center: Vendor GenAI Risk Assessment Workbook (Generatives KI-Anbieterbewertungstool)
4.9 Von der Notwendigkeit ethischer Anforderungen beim Einsatz von KI
Wie lassen sich ethische Anforderungen beim Einsatz von KI nachweisen? Damit befasst sich dieser Beitrag mit dem Titel „The emergence of artificial intelligence ethics auditing”, der dazu 34 Auditoren befragte. Sie stellten dabei drei Typen von Audits fest: Algorithmic audits (fokussiert auf Daten, Leistung und Ergebnis); Governance audits (Überprüfung der Prozesse und Strukturen) und SaaS tools (Bereitstellung technischer Bewertungskompetenzen).
4.10 Ein Siegel für menschliche Intelligenz?
Wie können kreative Menschen jetzt und künftig vermitteln, dass ihre Ergebnisse allein auf ihrer Kreativität beruhen? Damit befassen sich diese Überlegungen, die neben Checklisten zur Content-Qualität in Zusammenarbeit mit KI (erhältlich nach Angabe von Kontaktdaten) auch die Vorteile eines entsprechenden Siegels beschreiben.
4.11 European AI Standards
Harmonisierte Normen sind der Grundstein für eine effiziente Einhaltung der KI-VO. In der Veröffentlichung unter dem Titel „European AI Standards – Technical Standardization and Implementation Challenges under the EU AI Act“ (klicken Sie bitte auf Download) wird eine systematische Analyse der europäischen technischen und bald harmonisierten Standardisierung für Organisationen, die KI-Systeme anbieten, präsentiert. Basierend auf ausführlichen qualitativen Interviews mit 23 führenden europäischen Organisationen, die KI-Anwendungen in verschiedenen Sektoren entwickeln, wie z. B. Mistral und Helsing, wird untersucht, wie Unternehmen, insbesondere Start-ups und KMU, mit der geplanten Normung im Rahmen des EU-KI-Gesetzes und der sektoralen Normung im Anschluss an die vertikalen Produktsicherheitsvorschriften umgehen, und der aktuelle Stand der Normungsentwürfe transparent gemacht.
4.12 ISO/IEC 42001: Ein Handbuch zur Vermeidung von KI-Governance-Fehlern
Hinweise und Tipps zur Umsetzung der ISO/IEC 42001 sind in dieser Blog-Veröffentlichung beschrieben.
4.13 AI Atlas – Anbieter aus Europa
Aus verschiedensten Gründen kann eine Auswahl der KI-Anbieter aus Europa empfehlenswert sein. Wer hierzu eine Übersicht sucht, kann im AI Atlas nachsehen. Eine Anleitung dazu findet sich auf Github.
4.14 bitkom: Generative KI im Unternehmen
Der bitkom hat seine Veröffentlichung aktualisiert, sie ist hier abrufbar. Nun wird auch die KI-VO berücksichtigt. Nach einer kurzen Einführung in die technischen Grundlagen und Anwendungsmöglichkeiten generativer KI werden zunächst die rechtlichen Aspekte der Beschaffung beleuchtet. Dazu gehört auch eine aktualisierte Checkliste, die Unternehmen bei der Auswahl und Implementierung generativer KI unterstützt. Auch Datenschutz wird angesprochen, für Einzelheiten dann aber auf einen spezielleren Praxisleitfaden verwiesen.
4.15 bitkom: Leitfaden KI und Infomrationssicherheit
Mit seinem Leitfaden will der bitkom auf 20 Seiten einen Überblick zu Informationssicherheit von und durch KI bieten. E umfasst die Aspekte von Angriffen auf KI und Schutzmaßnahmen für KI-Systeme, aber auch verschiedene Einsatzmöglichkeiten von KI zum Schutz der IT-Systeme.
4.16 Meta lässt KI mithören – auch bei WhatsApp
Wie hier berichtet wird, können künftig Nutzer:innen von WhatsApp und Co. mit einer KI chatten und auch sprechen. Dabei werden ihre Daten mit Meta geteilt. Und ein Test-Feature lässt die KI sogar durchgängig mithören.
4.17 Open Source Tool „LLM Anonymizer” für medizinische Dokumente
In diesem Artikel wird der „LLM-Anonymizer“ vorgestellt, ein Open-Source-Tool, das lokal eingesetzte LLMs verwendet, um medizinische Dokumente zu anonymisieren und gleichzeitig wichtige klinische Informationen zu erhalten.
Er verspricht eine hohe Anonymisierungsgenauigkeit: Mit Llama-3 70B soll eine Erfolgsquote von 99,24 % beim Entfernen persönlicher Identifikatoren erreicht werden, mit nur einer falsch-negativen Rate von 0,76 %. Das Tool läuft auf lokaler Hardware, um den Datenschutz zu gewährleisten, und ist auf GitHub für die öffentliche Nutzung verfügbar.
4.18 KI-Beschaffung in der öffentlichen Verwaltung
Das Ada Lovelace Institut unterstützt auch mit dieser Veröffentlichung, an welche Punkte bei der KI-Beschaffung (Procurement) im öffentlichen Sektor zu denken ist. Oft hat der öffentliche Sektor dabei mit einer fragmentierten und unklaren Regulierung zu kämpfen die unklare Definitionen umfassen, fehlende ethische Standards zu Fairness, Transparenz und sozialem Mehrwert oder auch unzureichende Expertise in den öffentlichen Stellen aufgrund fehlender Ressourcen. Das Ada Lovelace Institute schlägt daher konkrete Massnahmen vor wie einheitliche, klare Leitlinien für KI-Beschaffung zu schaffen, algorithmische Transparenzstandards einzuführen; Schulungen für öffentliche Beschaffungsstellen zu fördern und strengere Anforderungen an die Lieferanten zu stellen.
4.19 Use-Cases in der Verwaltung zu KI
In diesem Blog-Beitrag auf LinkedIn werden verschiedene Use-Cases in der Verwaltung aufgelistet.
4.20 KI entwickeln ohne Datenschutzverstöße
Wer träumt da nicht davon: Eine KI-Entwicklung ohne Datenschutzverstöße. Mit diesem Blog-Beitrag gibt es einen Rundumblick auf die Anforderungen, die dabei zu beachten sind und auch die Opinion 28/2024 des EDSA wird einbezogen.
4.21 Resilienz nach Art. 32 Abs. 1 lit. b DS-GVO
Was ist mit der „Belastbarkeit“ aus Art. 32 Abs. 1 lit. b DS-GVO zu verstehen? Damit befasst sich diese nun veröffentlichte Dissertation. Schwerpunkt der Untersuchung war die Bedeutung und Auswirkung dieser Begrifflichkeit in Art. 32 Abs. 1 lit b DS-GVO.
4.22 Schlüsselelemente einer risikobasierten KI Regulatorik
In dieser als Dissertation verfassten Arbeit Towards Risk Based AI Regulation werden die Schlüsselelemente einer risikobasierten Regulierung der künstlichen Intelligenz untersucht. Sie umfasst die Definition des Anwendungsbereichs risikobasierter KI-Vorschriften und die Analyse der wichtigsten Bestimmungen zum Risikomanagement in der KI-VO. Es folgt eine Erörterung, wie KI-Unternehmen das Modell der drei Verteidigungslinien umsetzen könnten, mit vertieftem Blick auf die Innenrevision. Freundlicherweise wurde die Arbeit frei zugänglich veröffentlicht.
4.23 EU: Studie über algorithmisches Management
Auf den Seiten der EU wurde eine Studie über algorithmisches Management veröffentlicht. Sie umfasst Aspekte des Kontextes, der sozialrechtlichen Herausforderungen, Chancen und aufkommende Trends. Bislang liegt die Studie nur in Englisch vor und umfasst 221 Seiten. Sie gibt einen Überblick über die das Management von Algorithmen, eine Reihe digitaler Systeme und Praktiken für das Management der Belegschaft durch (halb- oder voll-)automatisierte Überwachung und Entscheidungsfindung. Es konzentriert sich auf Managementaktivitäten wie Rekrutierung, Aufgabenplanung, Mitarbeiter-Nudging/-Leitung, Überwachung, Bewertung, Talentmanagement, Belohnung und Vertragsbeendigung. Die Studie zeigt unter anderem die Vereinfachung von Führungsaufgaben und die Verbesserung der Kommunikation auf. Sie nennt auch Herausforderungen, darunter Bedrohungen der Privatsphäre und Autonomie der Arbeitnehmer, mangelnde Transparenz, Dequalifizierung sowie Gesundheits- und Sicherheitsrisiken. Die eingehende rechtliche Analyse des EU-Besitzstands kommt zu dem Schluss, dass die bestehenden Rechtsvorschriften, einschließlich der Datenschutz-Grundverordnung, der Nichtdiskriminierungsrichtlinien und der Rahmenrichtlinie über Sicherheit und Gesundheitsschutz am Arbeitsplatz, relevant sind, ihre Wirksamkeit jedoch sehr unterschiedlich ist und nach wie vor kritische Lücken bestehen. Zu der Studie gibt es eine Zusammenfassung und Anhänge.
4.24 KI-Einsatz an Hochschulen
Wer sich für den Einsatz von KI an Hochschulen interessiert, sollte sich mit dieser Untersuchung befassen. Sie dokumentiert vielfältige Anwendungsmöglichkeiten und zeigt, unter welchen Bedingungen der Einsatz generativer KI erfolgreich gelingt. Grundlage der Studie sind 77 eingereichte Praxisbeispiele aus verschiedenen Hochschultypen und Fächergruppen, von denen neun Cases vertieft analysiert wurden und in der Form einzelner Steckbriefe näher vorgestellt werden. Die Ergebnisse machen deutlich: Der KI-Einsatz an Hochschulen bedient ein breites Anwendungsspektrum und eröffnet neue Spielräume für Lehre, Lernen, Support und Beratung. Dazu gibt es einen KI-Use-Case-Katalog.
4.25 JTC 21: Tool für CEN und CENELEC
Sie haben die Befürchtung, langsam aber sicher den Überblick zu verlieren, an was bei KI alles zu denken ist – und warum? Diese Befürchtung kann eventuell dieses Tool Compliance-Checker für die KI-VO etwas reduzieren, vielleicht sogar vollständig beseitigen. Über Fragen wird die Relevanz einzelner Vorgaben abgeprüft und dargelegt. Verantwortet wird die Seite vom CEN-CENELEC Joint Technical Committee 21 (JTC 21) und natürlich gibt es auch einen rechtlichen Disclaimer, der auf die Einholung eines professionellen Rechtsrats verweist.
5 Veröffentlichungen
5.1 FAQ zum Gutachten bezüglich Vorgaben nach § 393 SGB V
Der Bundesverband Gesundheit IT – bvitg e.V. (bvitg) und eine renommierte Kanzlei ergänzen ein Gutachten zu § 393 SGB V mit einer FAQ.
5.2 Besprechung zu EuGH-Urteil C-203/22
Langsam kommt die Bedeutung des Urteils des EuGH zur Nachvollziehbarkeit der involvierten Logik an. So befasst sich hier eine Rechtsanwaltskanzlei damit und gibt Empfehlungen zum Umgang.
5.3 Europäische Alternativen zu US-Anbietern
Nachdem das Vertrauen auf die Verlässlichkeit US-amerikanischer Anbieter durch politische Entwicklungen (und auch durch manch vorauseilenden Gehorsam einiger CEOs von US-Unternehmen) bei vielen Personen derzeit schwindet, hat sich ein Fachmagazin nach Alternativen zu verschiedenen Use-Cases wie E-Mail, Suchmaschinen, Karten und Messenger und Office-Lösungen umgesehen. Auch Social-Media-Plattformen werden angesprochen. Den Beitrag gibt es als Video (Dauer ca. 22 Min.) und als Transkript.
Franks Nachtrag: Alternativen zu US-amerikanischen (Cloud-)Diensten hatten wir auch schon mal.
5.4 Zertifizierung „Auditor“ wird nun am Markt angeboten
Die bereits durch den EDSA freigegebene Zertifizierung „Auditor“ (über die wir bereits berichteten) ist nun offiziell am Markt verfügbar. Mit diesem Zertifikat sollen Cloud Anbieter nachweisen können, dass sie die Vorgaben der DS-GVO einhalten. Sie wurde als Nachfolgeprojekt des seitens des BMWK geförderten „Trusted-Cloud-Projektes“ zu einer Marktreife geführt. Bericht dazu auch hier.
5.5 Anonymisierung: Differential Privacy beyond Algorithmus
Aus einem Workshop „Differential Privacy Beyond Algorithms“, der im August 2024 an der Harvard University stattfand, stammen einige Überlegungen, die in diesem Papier Reflections from the Differential Privacy Beyond Algorithms zusammengefasst werden.
5.6 Anonymität in Gerichtsentscheidungen
Mit der Bewertung der Re-Identifizierungsfähigkeiten von großen Sprachmodellen in Gerichtsentscheidungen befasst sich diese Veröffentlichung. Ist die Anonymität in Gefahr? Darin werden neue Metriken zur Leistungsmessung eingeführt und systematisch die Faktoren, die erfolgreiche Re-Identifizierungen beeinflussen, identifiziert und Modellgröße, Eingabelänge und Befehlsabstimmung analysiert.
5.7 USA: Kürzungen beim OTF – betrifft auch Messengerdienst Signal
Der Open Technology Fund (OTF) fördert Technologie zu Gunsten der Freiheit im Internet. Das bekannteste Beispiel ist vermutlich der Messenger Signal. Der OTF ist generell eine wichtige Unterstützung für freie Open Source-Projekte in aller Welt.
Vielleicht aus deswegen wurde die Förderung durch die US-Regierung nun gestrichen, wie hier berichtet wird.
Sehr bedauerlich, erreicht doch gerade auch der Messengerdienst „Signal“ Zielgruppen die man sonst gerne, was Vertraulichkeit angeht, unterschätzt, oder? Aber wir haben keinen Grund, um hier arrogant zu sein.
Und wie so oft bei Meldungen aus den USA scheint es nun doch wieder einen Meinungsumschwung zu geben, wie nun hier berichtet wird.
5.8 Übersicht gerichtlicher Entscheidungen zu Schadenersatzansprüchen
Keine Datenzirkus-Vorstellung ohne Beiträge zum Schadenersatz nach Datenschutzverletzungen. So auch heute: Hier findet sich ein Blog-Beitrag einer Kanzlei, der einen Überblick über Gerichtsentscheidungen gibt, auch grafisch aufbereitet. Basis sind 255 Gerichtsverfahren mit Stand bis Ende Februar 2025.
5.9 Datenschutz und Betriebsrat (Österreich, aber nicht nur)
In diesem Podcast (einer Podcast-Reihe mit einem Titel, der mich sehr anspricht!) geht es diesmal um Fragen rund um den Betriebsrat (Dauer ca. 36 Min.). Der Podcast kommt aus Österreich, aber auch deutsche Regularien werden angesprochen.
5.10 Datenschutzrechtliche Fragen zu Fotos
Anlässlich einer Entscheidung der österreichischen Datenschutzbehörde (DSB) befasst sich ein Beitrag mit den Fragen zu Fotos: Wann sind Fotos sensibel bzw. fallen unter besondere Datenkategorien des Art. 9 DSGVO oder auch: Überwiegen die Interessen der abgebildeten Personen gegenüber den Interessen der Fotografierenden?
5.11 Cookie-Banner und Tracking
In diesem Podcast (Dauer ca. 1:34 Std.) gibt es im Austausch zwischen einer Expertin und zwei Rechtsanwälten die aktuelle Entwicklung rund um den Einsatz von Cookies zum Tracking. Auch die Historie wird angesprochen.
5.12 CIPL: Privacy-Enhancing and Privacy-Preserving Technologies in AI
Das Centre for Information Policy Leadership (CIPL) hat seine Veröffentlichung “Privacy-Enhancing and Privacy-Preserving Technologies in AI: Enabling Data Use and Operationalizing Privacy by Design and Default” mit Stand März 2025 aktualisiert. Im Zuge der Weiterentwicklung der KI spiele die Integration von Technologien zur Verbesserung des Datenschutzes (PET) eine entscheidende Rolle beim Schutz von Daten bei gleichzeitiger Maximierung ihres Nutzens. Es gibt jedoch noch wichtige Herausforderungen und Lücken, die angegangen werden müssen, damit die PET in KI-Systemen ihre volle Wirksamkeit entfalten können. Das CIPL will mit der Veröffentlichung unterstützen, wie Regulierungsbehörden, Bereitsteller und Stakeholder zusammenarbeiten können, um diese Herausforderungen zu meistern: Urheberrecht, Einführung eines risikobasierten Ansatzes für die Datenanonymisierung; Mechanismen zur Ausübung von Rechten (wie Zugang, Berichtigung oder Löschung); Sicherstellung des Nutzens von Daten und eine generelle Förderung des Vertrauens in KI.
5.13 Vortrag zur DS-GVO-Reform und zu ihrer Notwendigkeit
In der Online-Veranstaltung der Stiftung Datenschutz in der Reihe „Datenschutz am Mittag“ gab es ein Resümee der Entwicklungen in der Auslegung und Umsetzung der DS-GVO durch Aufsichten und den EuGH, nicht ohne auch Vorschläge zu Veränderungen anzusprechen. Der Vortragende kennt als ehemaliger LfDI Baden-Württemberg, früherer Verwaltungsrichter und jetziger Leiter eines Instituts alle Blickwinkel auf das Thema. Die Folien gibt es hier, die Aufzeichnung (Dauer ca. 1 Std.) dort.
5.14 Veranstaltungen
5.14.1 Charta der Vielfalt: Lunch-Talk „Diversity als Business Case?“ Wie wir für Diversität argumentieren können -neu-
10.04.2025, 12:00 – 13:00 Uhr, online: Ist der Business Case für Diversität noch zeitgemäß? Dazu werden in diesem Lunch-Talk die gesammelten Erkenntnisse einer Forschungsarbeit vorgestellt. Zudem berichtet eine Expertin, wie erfolgreiches Argumentieren für Diversität am Arbeitsplatz gelingen kann. Weitere Informationen und Link dazu hier.
5.14.2 LpB Saarland: Content Moderation als Waffe gegen Hatespeech, Fake News & Co -neu-
10.04.2025, 19:00 – 21:00 Uhr, Dresden und online: Der Digital Fight Club ist ein Angebot an alle, die sich für die aktuellen netzpolitischen Themen und Entwicklungen interessieren, an einem regelmäßigen Austausch interessiert sind und sich gemeinsam für ein besseres Internet einsetzen möchten. Die Veranstaltungen bieten grundlegende Informationsangebote, Raum für einen gemeinsamen Austausch und Diskussion sowie ein gemeinsames Nachdenken darüber, welche (politischen) Handlungsperspektiven sich beim jeweiligen Thema eröffnen und welche politischen Forderungen sich ableiten lassen.
Seit es soziale Medien gibt, sind Hass und Hetze im Netz allgegenwärtig – und damit die zentrale Frage, wie wir als Gesellschaft damit umgehen sollten. Während in den USA das Recht auf freie Meinungsäußerung besonders weit ausgelegt wird und viele Regulierungsversuche als Zensur betrachtet werden, betonen Akteure innerhalb der EU die Notwendigkeit eines geregelten Diskurses im Rahmen der Rechtsstaatlichkeit. Dazu gibt es ein Gespräch mit zwei Expert:innen, weitere Informationen und Links hier.
5.14.3 LfDI Baden-Württemberg zu Datenschutz, Informationsfreiheit und KI -neu-
10.04.2025, 19:30 – 21:00 Uhr, Stuttgart: Datenschutz und Künstliche Intelligenz (KI): Passt das zusammen? Kann KI dabei helfen, dass Bürger:innen mehr und schneller amtliche Informationen von Behörden erhalten können? Über diese und weitere Fragen spricht der LfDI Baden-Württemberg auf einer Veranstaltung der Stadtbibliothek Stuttgart in Zusammenarbeit mit dem Chaos Computer Club Stuttgart und dem LfDI Baden-Württemberg. Weitere Informationen und Anmeldung dazu hier.
5.14.4 EU-Kommission: Data Act — Konsultation zu den Entwürfen von MCT und SCC -neu-
10.-11.04.2025, online: Im Data Act ist vorgesehen, dass die EU-Kommission Mustervertragsklauseln (MCT) für den Datentausch und Standardvertragsklauseln (SCC) für Cloud-Computingverträge empfehlen. Am 10. und 11. April 2025 wird die Kommission Webinare mit Unternehmen, politischen Entscheidungsträgern, Rechtsanwälten und Sachverständigen veranstalten, um den Abschlussbericht der Sachverständigengruppe mit ihren Vorschlägen für MCT und SCC zu erörtern. Die Webinare stehen Behörden, Unternehmen, Rechtsanwälten, Professoren und Organisationen der Mitgliedstaaten offen. Sie können sich über die unten stehenden Links registrieren, um an den Diskussionen teilzunehmen und diese Verträge mitzugestalten. Beachten Sie, dass Anmeldungen nur akzeptiert werden, wenn eine professionelle E-Mail-Adresse angegeben wird. Um diese Themen geht es an diesen Terminen mit der EU-Kommission:
- 10.04.2025, 09:00 – 12:00 Uhr
Dieses Webinar behandelt die folgenden 3 SCCs: Switching und Exit, Kündigung, Sicherheit und Business Continuity - 10.04.2025, 14:00 – 17:00 Uhr
Dieses Webinar behandelt die folgenden 4 SCCs: Allgemeines, Haftung, Nicht-Änderung, Nicht-Dispersion. - 11.04.2025, 09:00 – 12:00 Uhr
Dieses Webinar behandelt die folgenden 2 MCTs: Dateninhaber an Datenempfänger, Datenfreigabe an Datenempfänger (freiwillige Datenfreigabe).
Weitere Informationen und Anmeldung hier.
5.14.5 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:
- Ausgabe 5: KI-Verordnung und die europäische Innovations- und Wettbewerbsfähigkeit
16.04.2025 \\ online - Ausgabe 6: Thema wird in Kürze bekannt gegeben*
28.05.2025 \\ online - Ausgabe 7: Thema wird in Kürze bekannt gegeben
09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin
* Franks Anmerkung: Ja, das steht da wirklich immer noch so…
5.14.6 Webinar: KI kennt Ihre Passwörter – Unternehmensrisiko mit Katastrophenpotenzial
23.04.2025, 10:00 – 11:00 Uhr, online: KI im Unternehmen – klingt nach Innovation, ist aber potentiell brandgefährlich, wenn die KI ungeschützte Passwörter und Login-Daten auslesen kann. Jeder Mitarbeitende hat durchschnittlich 14 E-Mails im Postfach, in denen Zugangsinformationen im Klartext schlummern. Was passiert, wenn KI genau damit trainiert und so unbemerkt zum Sicherheitsleck wird? Solche ungesicherten Daten können nicht nur zu massiven Datenschutzverletzungen führen, sondern auch die Tür für Ransomware-Angriffe weit öffnen. Damit befasst sich ein Vortrag, der online von einem Fachverlag angeboten wird. Weitere Informationen und Anmeldung dazu hier.
5.14.7 bidt: „KI im demokratischen Rechtsstaat“ -neu-
24.04.2025, 13:00 Uhr bis 25.04.2025 ca. 13:00 Uhr, München: Wie lassen sich KI-Anwendungen im Einklang mit Grundsätzen des demokratischen Rechtsstaates entwickeln und nutzen? Welche Chancen ergeben sich umgekehrt durch den KI-Einsatz, um Demokratiedefizite zu überwinden oder den Zugang zum Recht zu erleichtern? Die jüngsten Entwicklungen – von der chinesischen KI DeepSeek bis zu Trumps Stargate-Projekt – zeigen die Brisanz des Themas. Expertinnen und Experten aus Wissenschaft und Praxis diskutieren beim diesjährigen For..Net Symposium des Bayerisches Forschungsinstitut für Digitale Transformation und des TUM Center for Digital Public Services – Munich Center for Technology in Society über die Auswirkungen der KI-Entwicklung auf Demokratie und Rechtsstaat. Weitere Informationen und Anmeldung hier.
5.14.8 Datenschutz am Mittag: Entwicklungen in den USA -neu-
06.05.2025, 13:00 – 14:00 Uhr, online: Die Trump-Administration hat in den vergangenen Wochen zahlreiche Initiativen auf den Weg gebracht, die den Datentransfer zwischen Europa und den USA sowie den Einsatz von KI in den USA betreffen. Nicht alle Maßnahmen sind für Europa positiv. Gleichwohl gibt es auf Bundesstaatsebene in den USA weiterhin wichtige Regeln für deutsche Unternehmen zum (Verbraucher-) Datenschutz und neuerdings auch zur Verwendung von Künstlichen Intelligenzen. Ein Experte berichtet auch zu den denkbaren Auswirkungen auf das Trans-Atlantic Data Privacy Framework (TDPF) und zur Regelung von KI und personenbezogenen Daten allgemein in den USA. Weitere Informationen und Anmeldung dazu hier.
5.14.9 IHK Oberbayern und BayLDA: KI und Datenschutz -neu-
08.05.2025, 14:00 – 17:00 Uhr, München: Viele Unternehmen in Bayern setzen KI, sei es Chat GPT & Co. oder mittels anderer Softwaresysteme, bereits ein. Die KI-Verordnung (KI-VO) greift schrittweise ab 2025 und bringt zwangsläufig im Augenblick noch mehr Fragen als Antworten mit sich. Zugleich bleibt die DS-GVO unangetastet beim Themenfeld KI bestehen. In dieser Veranstaltung gibt es Informationen von Expert:innen des BayLDA, welche spezifischen Anforderungen und Einschränkungen die Verordnungen für den Umgang mit Daten und KI-Systemen festlegen.
- Anforderungen an KI aus Sicht des Datenschutzes
- Gemeinsamkeiten und Unterschiede zur KI-VO
- Tipps für Unternehmen und KMU zur rechtssicheren Umsetzung
Weitere Informationen und Anmeldung dazu hier.
5.14.10 Stiftung Datenschutz: Ehrenamt, DS-GVO und KI -neu-
14.05.2025, ab 18:00 Uhr, online: Mit den Thematiken von KI und Datenschutz als Herausforderungen und zu Lösungsansätzen im Ehrenamt befasst sich die kostenlose Veranstaltung der Stiftung Datenschutz.
Völlig datenschutzkonform mit KI-Tools wie LLM-Chatbots zu arbeiten ist in den meisten Fällen sehr aufwändig. Doch es gibt Möglichkeiten sich diesem Ideal mit überschaubarem Aufwand anzunähern. In dieser Veranstaltung wird vermittelt, welche Anforderungen beim Einsatz von KI-Tools gelten, wo die größten Fallstricke lauern und warum Datenschutz in diesem Bereich oft eine Herausforderung ist. Gleichzeitig werden bewährte Best Practices aufgezeigt, mit denen KI möglichst datenschutzfreundlich genutzt werden kann. Weitere Informationen und Anmeldung hier.
5.14.11 HamBfDI: 4. Hamburger Datenschutztag -neu-
15.05.2025, 14:00 bis 17:00 Uhr, Hamburg: Die meisten durch den Data Act entstehenden Pflichten beziehen sich sowohl auf personenbezogene Daten als auch auf Daten ohne Personenbezug. Dadurch ist der neue Rechtsakt eng mit dem Datenschutz verzahnt. Während der Data Act die Weitergabe personenbezogener Daten verlangt, macht die DS-GVO die Weitergabe von zusätzlichen Voraussetzungen abhängig. Die Verantwortlichkeit für die personenbezogene Datenverarbeitung auf vernetzten Geräten wird durch den Data Act zwischen den Herstellern, Cloud-Betreibern und Nutzenden aufgeteilt.
Der Data Act fordert noch stärker als die KI-Verordnung die Datenschutzabteilung im Unternehmen. Sie muss sich vorbereiten, bisherige Verarbeitungen des Verarbeitungsverzeichnisses analysieren, Verantwortlichkeiten und Pflichten ermitteln und Schnittstellen für das Datenteilen einrichten. Dabei ist eine Zusammenarbeit mit dem Informationssicherheits-/Rechtsbereich (Geschäftsgeheimnisschutz, gewerbliche Schutzrechte, Vertragsrecht) geboten. Auch die Abstimmung mit den Regelungen der KI-Verordnung ist zu beachten. Dazu diskutiert der HmbBfDI mit Gästen. Weitere Informationen und Anmeldung hier.
5.14.12 HdM Stuttgart: KI und Bildung Künstliche Systeme in Unterricht und Lehre -neu-
24.06.2025, ab 10:00 Uhr, Stuttgart: Die IDEepolis-Tagung 2025 widmet sich dem Thema „KI und Bildung: Künstliche Systeme in Unterricht und Lehre“ und diskutiert die Frage nach der Rolle von KI-Systemen in Schule und Hochschule an der Schnittstelle zwischen Forschung, Lehre, Unterricht und Praxis. Das Konzept der Tagung folgt dabei dieses Jahr dem Kerngedanken eines „ethischen Gesprächssalons“, bei dem die eingeladenen Referenten zuerst ihre Thesen vorstellen und dann gemeinsam im Austausch mit dem Publikum weiterentwickeln. Parallel dazu wird der Medienethik-Award META 2024/25 zum Thema „Kinder und Jugendliche in der digitalisierten Welt“ verliehen. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Palantir – deutschlandweit
Die Software von Palantir steht bei Datenschützern nicht in gutem Ruf, verbindet sie doch verschiedenen Datentöpfe und stellt Zusammenhänge her, die mit den Anforderungen der Zweckbindung und Transparenz oft schwer vereinbar sind. Nun gibt es Meldungen, dass der Einsatz bundesweit vorgesehen sei. Dass der Eigentümer des Softwarelieferanten der US-Regierung nahesteht, beruhigt in diesem Kontext auch nicht gerade.
Franks Nachtrag: Wenn Sie sich nun fragen „Welcher Eigentümer?“, dann möchten Sie vielleicht hier noch mal nachlesen.
6.2 Free Speech – und wer definiert das
Meinungsfreiheit ist eine Grundvoraussetzung für Demokratie. Und dazu gehört auch sich informieren zu können. Fast schon erwartungskonform in diese Zeit passt dann eine Meldung, dass der Chef von Meta ein kritisches Buch über ihn und seine Unternehmenspolitik (Careless People) verhindern möchte.
6.3 „In Daten denken“
Wir hatten schon über die Veröffentlichung rund um ihr Buch berichtet. In diesem Podcast (Dauer ca. 44 Min.) befasst sich eine „Cyberstaatsanwältin“ mit den Ursachen von Cyberkriminalität und dem bemerkenswerten Satz „in Daten denken“. Fast jede Straftat hat mit Daten zu tun, allein schon wenn Opfer oder Täter ein Smartphone mit sich führen oder Kommunikation darüber erfolgt.
6.4 Open Data in Nürnberg
„In Daten denken“ passt auch zu dieser Seite: Die Stadt Nürnberg offeriert freie Datensätze, die sofort nachgenutzt werden können.
7 Sonstiges/Blick über den Tellerrand
7.1 Barrierefreiheit – Checklisten
Viele wird das Thema Barrierefreiheit diesen Sommer aufschrecken, Wir hatten bereits auch Hinweise dazu (wie hier, da und dort). Hier finden sich Checklisten, wie dieses Ziel umgesetzt werden kann.
7.2 Alan Turing Institut – Childrens Manifesto for the Future of AI
Kinder und Jugendliche wachsen mit Künstlicher Intelligenz auf. Sie nutzen Sprachassistenten, Lernplattformen und soziale Medien mit KI-Algorithmen – doch ihre Meinung zur Zukunft dieser Technologie wird kaum gehört. Anders hier: Das Children’s Manifesto for the Future of AI, vorgestellt beim Paris AI Action Summit macht das deutlich, wie das Alan Turing Institut berichtet. Hier einige der Forderungen der befragten Kinder:
- KI muss für alle zugänglich sein! Weltweit haben 244 Millionen Kinder keinen Zugang zu Bildung. KI-Tutoren könnten ihnen helfen – aber nur, wenn diese Technologie gerecht verteilt wird.
- Ethik & Sicherheit müssen oberste Priorität haben! KI-Systeme dürfen nicht auf voreingenommenen oder diskriminierenden Daten basieren. Unternehmen müssen transparent machen, wie ihre KI-Modelle trainiert werden.
- KI darf keine Umweltbelastung sein! Der Energieverbrauch von KI ist enorm. Kinder fordern den Einsatz erneuerbarer Energien, um KI nachhaltig zu machen.
- KI darf Menschen nicht ersetzen! Kinder sehen Potenzial in KI als Unterstützung für Lehrkräfte, aber sie warnen: Technologie darf den persönlichen Austausch im Klassenzimmer nicht verdrängen.
- Kinder wollen mitreden! Ob Datenschutz, Fake News oder die Risiken übermäßiger Nutzung – Kinder haben klare Forderungen.
7.3 Videoüberwachung und das falsche Shirt / Kommunikationsüberwachung
Hier ist ein schönes Beispiele zu dem „Argument“
„ich habe ja nichts zu verbergen“
Blöd, wenn man ein Hausverbot für Veranstaltungsräume bekommt, weil man Jahre zuvor ein T-Shirt mit einem Statement gegen den Eigentümer der besagten Veranstaltungsräume designte, was von jemand anderem (sic!) getragen wurde, wie hier nachzulesen ist. Und da es sich um ein Hausverbot für die Liegenschaften der MSG Entertainment handelte, umfasst dies neben dem Madison Square Garden auch Radio City, the Beacon Theatre, the Sphere und das Chicago Theatre. Es wird vermutet, dass die Verbindung zwischen T-Shirt-Träger und T-Shirt-Designer über die Verknüpfung der Daten aus Gesichtserkennungssystemen am Veranstaltungsort und den Social-Media-Posts des Trägers und des Designers hergestellt werden konnte.
Ebenso eignet sich diese Nachricht dazu darzulegen, wie wichtig datenschutzrechtliche Grundsätze in der heutigen Welt geworden sind: In den USA werden ausländische Studierende aufgefordert auszureisen, weil ihnen vorgeworfen wird z.B in sozialen Netzwerken unerwünschte Posts geteilt zu haben.
7.4 Reisen in die USA
Woran jetzt alles gedacht werden sollte … Hier ist nachzulesen, welche Vorbereitungen empfehlenswert sind, wenn befürchtet wird, dass aufgrund von Aussagen im Internet die Einreise in die USA verwehrt werden kann. Und auch aus der ersten Amtszeit von Trump gibt es noch Hinweise der Electronic Frontier Foundation.
Franks Nachtrag: Passend zur Meldung möchte ich nochmal hierauf hinweisen, da finden sich auch diverse Hinweise (Stichwort Self-Defense).
7.5 Datenleck bei Dating-Apps
Wieder mal sind Nutzer einer Dating-App Opfer eines Cyberangriffs geworden. Hier handelt sich zudem noch um Angaben aus Portal von Dating-Apps der LGBTQ+-, BDSM- und Sugar-Daddy-Community, die nach diesem Bericht im Darknet auftauchten. Die Daten umfassen demnach auch Bilder aus privaten Chatverläufen.
8. Franks Zugabe
8.1 Apropos KI …
Diese Meldungen werden echt nicht weniger. Nun ja, los gehts:
- Was passiert, wenn alte weiße Männer sich benachteiligt fühlen, weil sie keine junge, ggf. weibliche Person sind, und somit bei einem „hippen“ Essay-Wettbewerb keine Chance haben? Natürlich, es passiert, was wir alle erwarten: Mann baut sich eine junge, weibliche, von KI erzeugte Identität und lässt auch gleich das Essay von KI schreiben. Und gewinnt … Jetzt können wir natürlich sagen, OK, das war ja nur in Estland. Aber … würde es bei uns anders ablaufen?
(Und übrigens, mit knapp über dreißig war der Mann ja nun noch nicht so alt, oder? Ich frage für einen (älteren) Freund … 😬) - Computer Scientists: „We have invented a virtual dumbass who is constantly wrong.“
Tech CEOs: „Let’s add it to every product.“
Oder wenn Sie es lieber mit Grafiken sehen wollen: Bitte sehr. („Got a mayor pest problem this year actually.“ 😂) - „Analysis of chest x-rays underscores need for monitoring artificial intelligence tools for bias, experts say.“ Na ja, dann ist das also eine Anwendung von KI, die der Realität nahe kommt? Da es ja auch im echten Leben in der Medizin eher „weiße Männer“-zentriert zugeht? Immer diese Biases in KI aber auch… Ach ja, die Quelle.
- Aber mit unseren Kindern gehen wir doch wenigsten anständig um, oder? Scheinbar nicht. Auch da soll KI helfen. Wann war eigentlich der Zeitpunkt, an dem die Menschheit beschlossen hat, dass wir jedes dystopische Klischee der Science-Fiction nachspielen müssen?
- Reden wir von etwas ganz anderem, reden wir über Geld. Gut investiertes Geld. So wie dieses in China. Manchmal ist es ja echt schön, dass wir in Europa so hinterher hinken. Da werden wir doch nicht auch so sinnlos Geld verbrennen, oder? Oder?!? Ach, menno! (Hier übrigens ein „netter“ Kommentar dazu.) Ach ja, und anderswo wird gerade auch noch Geld zum Verbrennen gesucht.
- Apropos Geld (hat nur am Rande was mit KI zu tun): Der ehemals (?) fähigste (?) Berater des neuen US-Präsidenten spielt Spiele auf einem ganz anderen Level als wir Normalsterblichen (nein, ich meine nicht bei echten Spielen …). Ich meine Finanzspiele.
- Apropos KI und China. China will wieder den Überschall-Flugbetrieb beleben. Mit einem KI-gesteuerten Überschall-Passagierjet. Da fällt mir ja erst mal das hier zu ein (nein, niemand gibt mir die Lebenszeit zurück, die mich dieser Film gekostet hat). Und bei der Recherche zu dem Wikipedia-Link sehe ich dann andere Meldungen. Ach ja, die USA waren schon vorher da …
- Unter dem Schlagwort „AIs as Trusted Third Parties“ beschreibt Bruce Schneier einen Anwendungsfall, wo seiner Meinung nach KI vielleicht wirklich helfen kann (hier geht es zur Studie, wenn Sie den Artikel nicht lesen wollen). Passend dazu hat er dann noch ein Essay, in dem er sich mit den Anforderungen an „the trusted AI services of tomorrow“ beschäftigt.
- Apropos trusted: Es wäre schon schön, wenn bei Bewerbungen nicht gelogen und betrogen wird, oder? Und dann kam KI … Am „besten“ finde ich diese Passage aus dem Artikel:
Ein weiteres Drittel verwendet KI-Anwendungen, um die hohe Zahl an KI-gestützten Bewerbungen zu bewältigen und eine Vorauswahl zu treffen.
Lets burn the planet quicker with AI!
Anthropic ist da übrigens konsequenter. - Apropos burning the planet: Nicht nur überforderte Personalabteilungen nutzen KI, um sich gegen KI zu schützen: Auch Cloudflare versucht der Pest an KI-gestützten Content-Crawlern mit KI-generierten Honeypots zu begegnen. In diesen wird den Crawlern falscher Inhalt vorgegaukelt, um den echten Content aus den KI-Modellen herauszuhalten. Um den Preis, dass noch mehr Energie verbrannt wird. Ernsthaft? Wie gesagt, alle Dystopien müssen wir scheinbar durchspielen.
- Im letzten Blog-Beitrag hatten wir ja schon etwas zu Vibe-Coding. Hier nun ein anschauliches Beispiel, was bei solchen Projekten herauskommt: Cyanide Ice Cream (und glauben Sie mir, das war noch das am wenigsten komische Rezept aus dem verlinkten Artikel …).
- Lenken wir uns ab, kommen wir nochmal zu KI und Geld: Sie verfolgen auch die Zoll-Streitigkeiten, die ein US-Präsident gerade mit der ganzen Welt beginnt? Wieviel KI da wohl drinsteckt? Nach diesem Blog-Beitrag wahrscheinlich erschreckend viel. Schön übrigens auch der Titel:
Will Malignant Stupidity Kill the World Economy?
- Ich glaube, wir sollten mal mit dieser Liste zum Ende kommen. Was haben wir denn noch? Ach ja, das NIST hat eine „Taxonomy of Adversarial Machine Learning Attacks and Mitigations“ veröffentlicht. Darin enthalten sind Angriffsmöglichkeiten und passende Gegenmaßnahmen. Nehmen wir solche Veröffentlichungen, solange sie noch kommen, wer weiß, wann besagter US-Präsident auch dort mit dem Absägen anfängt …
-
„Hätte uns damals jemand gewarnt!“
Wir wurden gewarnt, aber hat es jemand interessiert? Scheinbar nicht 🤷🏼♂️.
Wor wir gewarnt wurden, fragen Sie (also jetzt mal abgesehen von dieser Rubrik „Apropos KI …“)?
Na, hier in diesem lesenswerte Beitrag von Mike Kuketz zum Beispiel.
Ich glaube, es ist mal wieder Zeit für diese Grafik. Mit Worten sagt Mike Kuketz das übrigens auch. - KI-Avatar als „Anwalt“ vor New Yorker Gericht aufgeflogen. Auch so ein „alter weißer Mann“. Wobei dieser wirklich älter zu sein scheint. Am besten gefällt mir dieses Zitat aus der englisch-sprachigen Quelle:
„The court was really upset about it,“ Dewald conceded. „They chewed me up pretty good.“
Was hat er erwartet?
- Schließen wir mit der Erkenntnis, dass
Recent AI model progress feels mostly like bullshit
Ach, ach was. Wie unerwartet. Falls Sie es ausführlicher nachlesen wollen: die Quelle.
8.2 Update zu DaaS
Man kann es aber auch niemandem Recht machen. Kaum erkennen wir, dass DaaS vielleicht keine gute Idee ist, wird das auch wieder kritisiert.
8.3 Podcast zur Smartphonedurchsuchungen
Falls Sie da etwas befürchten, diese Podcastfolge (Dauer ca. 2 Std.) lohnt sich!
In diesem Zusammenhang stellt Bruce Schneier schon mal Fragen.
8.4 Joint Factsheet Mass surveillance – ECtHR and CJEU Case-Law
Der Name ist Programm.
8.5 Soundtrack zu #unplug #Trump
Falls Sie Musik (Link zu Youtube) brauchen, während Sie umstellen auf nicht-US-Varianten …
9. Die guten Nachrichten zum Schluss
9.1 Immer wieder gute Hinweise in diesem Blog
Ich hatte schon öfter aus diesem Blog zitiert oder darauf hingewiesen*: Heute zu den Informationen, wie bei eBay gegen die Nutzung als Trainingsmaterial widersprochen werden kann oder mit welchen Argumenten in Kita- oder Schul-Elterngruppen auf einen vertrauenswürdigen Messenger hingewirkt werden kann.
* Franks Anmerkung: Ich auch …
9.2 Klicksafe: AI und Jugendmedienschutz
Was müssen Eltern zu KI wissen und wie erklärt sie es ihren Kindern? Klicksafe bietet auch hier vielfältige Materialien für Eltern und erziehende Personen.