Hier ist der 27. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 21-24/2025)“ – Die DVD-Edition.
Sechs Tätigkeitsberichte von Datenschutz-Aufsichtsbehörden für das Jahr 2024, viele weitere Meldungen von Aufsichten, Urteile über Urteile, auch wieder diverse Veranstaltungen (darunter einige neue Hinweise), es ist wieder ein Monster geworden. Na ja, passt ja zum Wochenstart.
- Aufsichtsbehörden
- EDSA: Videokameras in Fahrzeugen
- EDSA: Guidelines zu Art. 48 DS-GVO
- EDSA: Aktuelle Veröffentlichungen des Support Pool of Experts
- EDSA: SPE zu Grundlagen sicherer KI-Systeme
- EDSA: SPE zu einem Schulungslehrplan zu KI und Datenschutz
- EDSA: SPE zu Privacy Risks & Mitigation LLMs
- BfDI: Arbeitspapier zu Neurotechnologien und Datenschutz
- BfDI: Datenverarbeitung von Gesundheitsdaten
- BfDI: Sanktionen gegen Vodafone
- DSK: Mehr Rechtssicherheit bei der Übermittlung von Mieter:innendaten
- BBfDI: Fehler von Unternehmen beim Einsatz Künstlicher Intelligenz
- TLfDI: Datenschutzaufsicht ist keine Freigabeeinrichtung
- BBfDI: Tätigkeitsbericht für 2024
- BBfDI: Tätigkeitsbericht für 2024 – Prüfverfahren zu KI
- BBfDI: Tätigkeitsbericht für 2024 – Nicht gelöschte Daten als Datenpannenrisiko
- HBDI: Tätigkeitsbericht für 2024
- HBDI: Tätigkeitsbericht für 2024 – Transparenzanforderungen an Datenschutzerklärungen von Personalvermittlern
- HBDI: Tätigkeitsbericht für 2024 – Mündliche Aussagen im Beschäftigungsverhältnis können der DS-GVO unterfallen
- HBDI: Tätigkeitsbericht für 2024 – Anforderungen an Beschwerden bei der Aufsicht
- HBDI: Tätigkeitsbericht für 2024 – Neuen Verhaltensregeln bei Auskunfteien
- LfD Niedersachsen: Tätigkeitsbericht für 2024
- LfD Niedersachsen: Tätigkeitsbericht für 2024 – KI-Expertengespräche
- LfD Niedersachsen: Tätigkeitsbericht für 2024 – Drohnen mit Aufnahmegeräten durch Privatpersonen
- LfD Niedersachsen: Tätigkeitsbericht für 2024 – Personalisierte Werbung mit Gesundheitsdaten
- LfD Niedersachsen: Tätigkeitsbericht für 2024 – Unzulässige Fragen bei Schuleingangsuntersuchungen
- LfD Niedersachsen: Tätigkeitsbericht für 2024 – Microsoft Teams in der Landesverwaltung
- LfD Niedersachsen: Tätigkeitsbericht für 2024 – Datenschutzaspekte beim Einsatz privat finanzierter Tablets an Schulen
- LDI NRW: Tätigkeitsbericht für 2024
- LDI NRW: Tätigkeitsbericht für 2024 – Betroffenenrechte und KI
- LDI NRW: Tätigkeitsbericht für 2024 – Emotionserkennung im CallCenter
- LDI NRW: Tätigkeitsbericht für 2024 – Fotos von Falschparker:innen
- LDI NRW: Tätigkeitsbericht für 2024 – Datenschutzrechtliche Auskunft vom Jugendamt
- LDI NRW: Tätigkeitsbericht für 2024 – Bekämpfung von Betrug
- LDI NRW: Tätigkeitsbericht für 2024 – Regelung zu Pur-Abo-Modellen
- LDI NRW: Tätigkeitsbericht für 2024 – Verhaltensregeln bei grenzüberschreitender postalischen Direktwerbung
- LDI NRW: Tätigkeitsbericht für 2024 – Videoüberwachung im Außenbereich eines Museums
- LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2024
- LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2024 – Benennungspflicht eines DSB durch Jagdgenossenschaften
- LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2024 – Datenaustausch zwischen Sozialleistungsträgern und Vermieter
- LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2024 – Fotoaufnahmen zur Durchsetzung eines Hausrechts
- Einblicke in die Tätigkeit der deutschen Datenschutzaufsichtsbehörden
- BBfDI: Fortführung des Schulungsangebotes
- LfDI Baden-Württemberg: Vortrag zu aktuellen Themen
- LfDI Baden-Württemberg: Hinweise zur Hundebestandsaufnahme
- BayLDA: Gast bei der „Auslegungssache“
- HmbBfDI: Kein Dringlichkeitsverfahren gegen Meta wegen KI-Training
- LfDI Mecklenburg-Vorpommern: Pride Month – Datenschutz und Sexualleben
- LfD Niedersachsen: Hinweis auf Sammelklage des vzbv
- LfDI Rheinland-Pfalz: Ankündigung eines Webinars zu Biotechnologie, Datenschutz und Forschung
- LfD Sachsen-Anhalt: Datenschutz im Klassenchat
- Liechtenstein: Tätigkeitsbericht für 2024
- Bulgarien: Einsatz von Gesichtserkennung in Einzelhandelsgeschäften
- CNIL: Auswirkungen der DS-GVO auf die Cybersicherheit
- CNIL: Leitfaden für mobile Apps
- CNIL: Mehrere Sanktionen wegen unzureichender Einwilligung bei Werbemaßnahmen
- CNIL: Leitfäden für Schulen und Schulleiter bei Datenschutzverletzungen
- CNIL: Messbarkeit von Diversitätsvorgaben
- CNIL: Konsultation zu Zählpixel in E-Mails
- CNIL: Manga „The Privacy Agents”
- Dänemark: Leitfaden zum Einsatz von Cookies
- Estland: Datenschutzverstoß bei fehlerhaften Widerrufslink
- Finnland: Leitlinien zum Datenschutz bei der Entwicklung von KI
- Irland: Unzulässige Gesichtserkennung bei Sozialkarte
- Italien: Bußgeld gegen das Unternehmen des Chatbots „Replika“ (Luka Inc.)
- Italien: Richtlinien für die Verarbeitung personenbezogener Daten in der Eigentumswohnung
- Niederlande: Entscheidung für verantwortlichen Einsatz von KI erforderlich
- Norwegen: Leitfaden zum Einsatz von Zählpixeln
- EDPS / Spanien: Federated Learning als Instrument zur Weiterentwicklung von KI-Modellen
- Spanien: Sanktion gegen TK-Anbieter wegen unzureichender Schutzmaßnahmen
- Spanien: Abgrenzung gemeinsame Verantwortlichkeit und Auftragsverarbeitung
- Spanien: Veranstaltung zu KI und Datenschutz im Juli 2025
- BSI: Fortentwicklung des IT-Grundschutz
- BSI: Kriterien für vertrauenswürdige KI-Systeme im Finanzsektor
- GDPR-Enforcement-Tracker 2025 einer Kanzlei
- EU-Kommission: Microsoft und Marktbeherrschung bei Teams
- ENISA: Handbuch für „Cyber Stress Testing“
- Tätigkeitsberichte der deutschen Datenschutzaufsichten
- Rechtsprechung
- EuGH: Unzulässige Werbeaussagen bei „Kauf auf Rechnung“ (C-100/24)
- EuGH: Gerichtliche Entscheidungen und Anwendungsbereich der DS-GVO (C-313/23)
- Cour d’appel de Chambéry: Schadenersatz aufgrund unterbliebener Betroffenenrechte
- BGH: Zwangsweises Entsperren eines biometrisch abgesicherten Smartphones
- BAG: Schadenersatz nach unterbliebener Information nach Art. 14 DS-GVO
- BFH: Klagefristen auf Auskunft gegen Finanzbehörde
- OLG Schleswig-Holstein: Wann ist ein immaterieller Schadenersatz bei Scraping denkbar?
- OVG Berlin-Brandenburg: Kein Anspruch auf Auskunft bei Videoüberwachung in S-Bahn
- OLG Hamburg: Urheberrecht und KI (LAION)
- OLG Hamm: Nicht jede heimliche Aufnahme im Wohnbereich ist nach § 201a StGB strafbar
- LG Berlin: Unzulässige Vereinfachung zu Datennutzung bei Google-Account
- LG Hannover: Urteil zu „quasi anonymen Daten“ wurde rechtskräftig
- VG Ansbach: zu Verzicht auf Auskunft in arbeitsgerichtlichem Vergleich
- OVG Saarlouis: Verzicht auf Auskunftsanspruch durch Vergleich wirksam
- VGH München: Widerruf und Richtigstellung in gemeindlichem Mitteilungsblatt
- VG Düsseldorf: Zulässigkeit von Luftaufnahmen für öffentliche Zwecke
- LG Hamburg: Zum Schmerzensgeldanspruch bei nicht-anonymisierter Entscheidung
- ArbG Heilbronn: Auskunftsanspruch auf E-Mails eines Beschäftigen
- VG Hannover: Anforderung an „ablehnende“ Auswahlfelder bei Consent-Bannern
- LG Hannover: Verwarnungen des LfD Niedersachsen gegen VW bei Dieselskandal nur teilweise bestätigt
- OVG Hamburg: Begrenzung des presserechtlichen Auskunftsanspruchs
- LG Rostock: Anforderung an Schadenersatz bei Rechnungen nach Phishingangriffen
- VG Münster: Darlegungslast bei Kontextualisierung bei Art. 15 DS-GVO
- IDSG: Gemeinsame Verantwortlichkeit bei unterschiedlichen kirchlichen Datenschutzgesetzen
- BVwG Österreich: Verantwortlichkeit von Betriebsrat, Wahlvorstand und Betriebsratsfonds
- Bezirksgericht Midden-Nederland: Vererbbarkeit eines Auskunftsanspruchs
- Bezirksgericht Amsterdam: Anordnungen im vorläufigen Verfahren gegenüber Salesforce
- Superior Court irgendwo in Georgia: Haftung für KI-Halluzinationen
- EuGH-Vorschau: Akteneinsichtsrecht eines Rechtsanwaltes und DS-GVO (C-541/24)
- EuGH-Vorschau: Auskunft als Verarbeitung und Schadensersatzansprüche (C-526/24)
- EuGH-Vorschau: Beweisverwertungsverbote nach Datenschutzverstoß (C-484/24)
- EuGH-Vorschau: Fragen zu Urheberrecht und LLM (C-250/25)
- Gesetzgebung
- Beschäftigtendatenschutzgesetz im Sofortprogramm
- Appell: Blaupause für die digitale Zukunft
- Verschiebung von Teilen der KI-VO?
- EU: Geplante Änderungen der DS-GVO
- Hessen: Rechtliche Grundlage zur Anonymisierung und Einsatz von KI
- NKR: Bürokratieabbau konkret – Betriebliche Beauftragte
- bitkom: Datenschutz als Innovationsbremse
- Freiwilliger Verzicht auf das Widerspruchsrecht bei der ePA
- NIS-2-Referentenentwurf
- EP: KI-VO: Zeitplan der Anwendung
- Künstliche Intelligenz und Ethik
- ISO/IEC 42005:2025 AI system impact assessment
- Speicheranordnung gegen OpenAI
- Online-Kurs zu LLM
- Empfehlungen zum Einsatz von KI an Hochschulen
- DKJS: Benotung von Schüler:innen durch KI
- Convention 108: Privacy and Data Protection Risks in Large Language Models (LLM)
- KI und Unternehmenspraxis
- Sicherheit von KI-Agenten
- Leitfaden: Agentic AI Red Teaming
- Australien: Artificial Intelligence (AI) Model Clauses
- Universität Liechtenstein: Verantwortung in Zeiten künstlicher Intelligenz
- Podcast zu KI, Robustness und Data Governance
- LLM: „Lost in Conversation“
- IEEE P7000 und VBE: Ethische IT-Systeme
- Volkswagenstiftung: KI-Transparaenzregister
- „Die Ethik der Künstlichen Intelligenz“
- KI-VO: The Regulation of Fine Tuning
- Kann KI schlussfolgern?
- USA: Medienhäusern verklagen Midjourney
- Prüfungsmethoden zu KI-Systemen
- Haftungsmaßstab für maschinelles Lernen
- DIN SPEC 91517:2025-05 Vertrauenswürdige KI in Polizeianwendungen
- Bundesnetzagentur: Podcast zu KI
- GDD: Betriebliche Musterrichtlinie zum KI-Einsatz
- Chatbots in der schweizer Bundesverwaltung
- CEDPO: Grundrechte-Folgenabschätzung bei KI
- Meta prüft mit KI
- Klage gegen Workday in den USA
- Veröffentlichungen
- Gemeinsame Verantwortlichkeit bei öffentlichen Stellen
- ISO/IEC WD 27560: Consent record information structure
- Wettbewerbsvorteil Datenschutz?
- GDD: Pflichten der Unternehmen nach DS-GVO (auch ohne DSB)
- Besprechung EuGH-Urteil C-203/22 (automatisierte Entscheidung und Transparenz)
- FAQ für E-Mail-Marketing
- Klage gegen Google (YouTube) wegen unterlassener Werbekennzeichnung
- Rechtssicheres Handeln bei Cybervorfällen
- Muster-Auftragsverarbeitungsvertrag für Hochschulen veröffentlicht
- KI und File Carving
- Datenschutz und Archivierung
- Videoclips zum Datenrecht
- bitkom: Umfrage zum Data Act
- Cisco: Building Trust in a Digital World
- Meta: Umgehung der Regulatorik durch „localhost tracking“?
- Cloud Security Report
- Bremen: Abschlussbericht zur „Nachnutzung von Daten“
- Kommerzielle Musiknutzung bei sozialen Medien
- Observierung von Beschäftigten und datenschutzrechtliche Fragen
- Veranstaltungen
- Die FITKO stellt vor: „Grundlagenvortrag Daten“
- Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung -neu-ish-
- Stiftung Datenschutz: „DS-GVO: Reform oder Reförmchen – das ist die Frage“ -neu-
- Ringvorlesung an der Universität Salzburg/a>
- EU-Digitaltag
- HdM Stuttgart: KI und Bildung Künstliche Systeme in Unterricht und Lehre
- DIRECTIONS: Workshop zur Selbstverpflichtung zum Schutz von Schüler:innendaten -neu-
- Zukunftssicherer Datenschutz: Vom Datenschutzrecht zum Datennutzungsrecht -neu-
- „KI und Schulalltag – Webinar für Lehrkräfte“ von bitkom und CMS -neu-
- DatenDienstag „Werden Kriminelle durch KI klüger?“
- Nürnberg DIGITAL FESTIVAL: KI & Datensicherheit – Wie KI mit unseren Daten Regie führt
- DatenTag: Ein Grundrecht für die Gesellschaft -neu-
- Gesellschaftspolitische Diskussionen
- Hinweis auf Fake-Shops
- Deutscher Anwaltstag: Meinungsfreiheit und Reglegmentierung
- Umgang mit Smartphones durch Kinder: Lernen, wann es zu viel sei
- Deutsche Alternativen als Bürokommunikation?
- BzKJ: Altersgrenze für Social Media
- Dänisches Digitalministerium wechselt zu Open Source
- EU-Grundrechteagentur: Warnung vor Demokratieabbau
- Sonstiges / Blick über den Tellerrand
- Spanien: Fake-Pornos und gesetzgeberische Reaktion
- klicksafe: Schutz vor Cybergrooming
- Generative KI – Technologieszenarien und Auswirkungen auf Arbeit bis 2030
- Datenschutzkonforme Schulsoftware
- NRW-Schulcloud vor dem Aus?
- Quizlet – Datenschutzaspekte bei Schulsoftware
- Tiktok – Reportage zu Hintergründen und Recherchen
- Im Inneren der Cybermafia
- USA: “Dynamic Pricing” in New York
- Franks Zugabe
- Eine Meldung zu KI – Yuck
- Podcast zur Betriebsvereinbarung als Rechtsgrundlage nach der DSGVO
- KI lässt uns Menschen das Denken verlernen – und wir halten es für Fortschritt
- Aktuelles zur Klage gegen die Deutsche Bahn (DB Navigator)
- The Big Beautiful Bill
- Nicht nur in Europa: Verschlüsselungsgesetz in Florida gescheitert
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Videokameras in Fahrzeugen
In einer Beantwortung einer Anfrage eines Mitglieds des Europäischen Parlaments befasst sich die Vorsitzende des EDSA mit der datenschutzrechtlichen Bewertung von fahrzeuginternen Videokameras und Dashcams. Dabei verweist sie auf die bestehenden Guidelines zu Videokameras und die Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679.
1.2 EDSA: Guidelines zu Art. 48 DS-GVO
Der EDSA veröffentliche die Guidelines 02/2024 zu Artikel 48 DS-GVO in der Version 2.0 nach der Konsultation.
1.3 EDSA: Aktuelle Veröffentlichungen des Support Pool of Experts
Der Support Pool of Experts (SPE) des EDSA veröffentlichte drei Papiere rund um Datenschutz und KI. Der EDSA beschloss zwei Dokumente als PDF-Dateien zu veröffentlichen. In Anbetracht der sehr schnellen Entwicklung der KI beschloss der EDSA außerdem eine neue innovative Initiative in Form eines einjährigen Pilotprojekts zu starten, das aus einer veränderbaren Gemeinschaftsversion der Berichte besteht. Der EDSA wird mit den Autoren beider Berichte zusammenarbeiten, um diese Berichte in sein Git-Repository zu importieren, damit in naher Zukunft jeder externe Mitwirkende, der über ein Konto auf dieser Plattform verfügt, unter den Bedingungen der Creative Commons Attribution-ShareAlike-Lizenz Änderungen vorschlagen oder Kommentare zu den Dokumenten hinzufügen kann.
Nachfolgend die aktuellen Veröffentlichungen:
1.3.1 EDSA: SPE zu Grundlagen sicherer KI-Systeme
Der Support Pool of Experts (SPE) des EDSA veröffentlichte seine Empfehlungen zu „Grundlagen sicherer KI-Systeme mit personenbezogenen Daten“. Diese Grundlagen sicherer KI-Systeme mit personenbezogenen Daten ist ein Unterstützungsangebot für Cybersicherheitsexperten, Entwickler und Anwender von KI-Systemen zum Thema KI-Sicherheit und Schutz personenbezogener Daten, die sich mit den aktuellen KI-Bedürfnissen und Kompetenzlücken befasst. Sie umfassen sechs Module:
- Grundlegende Terminologie von KI-Systemen und ihrem Lebenszyklus;
- Datenschutzaspekte des Lebenszyklus von KI-Systemen: Datenerfassung, Technologien zur Verbesserung des Datenschutzes und allgemein (personenbezogene) Datenströme vor der Inbetriebnahme des Systems;
- Entwicklung des KI-Systems unter Berücksichtigung guter Programmierpraktiken, sicherer Sandboxen und Sicherheitstests von in der Entwicklung befindlichen KI-Systemen;
- Einsatz eines KI-Systems, Überwachung, Nachhaltigkeit und Außerbetriebnahme;
- Checklisten für Audits mit einer Reihe von Anwendungsfällen und einem tieferen Überblick über die technologischen, rechtlichen und ethischen Herausforderungen in diesem Bereich.
1.3.2 EDSA: SPE zu einem Schulungslehrplan zu KI und Datenschutz
Der Support Pool of Experts (SPE) des EDSA erarbeitete einen Schulungslehrplan zu KI und Datenschutz. Die Schulung bietet eine umfassende Grundlage zu rechtlichen und Compliance-Fragen im Bereich der KI-Sicherheit und des Schutzes personenbezogener Daten. Es bietet ein tieferes Verständnis durch praktische Fallstudien, die sich hauptsächlich auf die DS-GVO, die KI-VO und den Data Act und andere relevante europäische Vorschriften konzentrieren. Es umfasst folgende Module:
- Grundlegende Konzepte der KI und die Fragen, die sie für das Datenschutzrecht aufwerfen;
- Risiken, die in den verschiedenen Phasen des Lebenszyklus eines KI-basierten Werkzeugs auftreten, von der anfänglichen Entscheidung, eine solche Technologie zu nutzen, bis zum Ende ihres Betriebs;
- Vertiefende Behandlung ausgewählter Themen, die für Organisationen, die beabsichtigen KI-Systeme im Einklang mit den Anforderungen des Datenschutzrechts zu nutzen, von entscheidender Bedeutung sind.
1.3.3 EDSA: SPE zu Privacy Risks & Mitigation LLMs
Ebenfalls aus dem Bereich des Support Pools of Expert stammt der Bericht „AI Privacy Risks & Mitigations LLM“. Er will eine umfassende Risikomanagement-Methodik für LLM-Systeme mit einer Reihe von praktischen Maßnahmen zur Abschwächung der üblichen Datenschutzrisiken in LLM-Systemen vorstellen. Darüber hinaus enthält der Bericht Anwendungsbeispiele für die Anwendung des Risikomanagementrahmens in realen Szenarien:
- Anwendungsfall: ein virtueller Assistent (Chatbot) für Kundenanfragen,
- Anwendungsfall: LLM-System zur Überwachung und Unterstützung des Studienfortschritts und,
- Anwendungsfall: KI-Assistent für das Reise- und Terminmanagement.
1.4 BfDI: Arbeitspapier zu Neurotechnologien und Datenschutz
Die BfDI berichtet, dass die Berlin Group ein Arbeitspapier mit Empfehlungen zu Neurotechnologien veröffentlichte. Als „Berlin Group“ wird eine internationale Arbeitsgruppe für Datenschutz in der Technologie (IWGDPT) bezeichnet. Sie beschäftigt sich dabei unter anderem mit den Konsequenzen von Technologie, die direkt mit dem menschlichen Gehirn verbunden ist. Unter Neurotechnologien werden Geräte verstanden, die eine direkte Verbindung zwischen Gehirn und Computer oder KI herstellen. Das aktuelle Papier der IWGDPT enthält Definitionen und Beispiele für sogenannte Neurotechnologien und Neurodaten. Es diskutiert datenschutzrechtliche Anforderungen, die sich für diese neue Technologie ergeben. Besondere Aufmerksamkeit gilt dabei dem Einwilligungskonzept und dem Schutz von Kindern und Jugendlichen. Das Papier folgt dem praxisnahen Ansatz der IWGDPT: Es beschreibt zunächst die Technologie und ihre Auswirkungen auf den Datenschutz, analysiert sie auf Basis bestehender Prinzipien und schließt mit konkreten Empfehlungen für Gesetzgeber, Aufsichtsbehörden und Entwickler.
1.5 BfDI: Datenverarbeitung von Gesundheitsdaten
In diesem Gastbeitrag befasst sich die BfDI mit der Verarbeitung von Gesundheitsdaten und gängigen Aussagen und der erforderlichen Gesetzgebung dazu.
1.6 BfDI: Sanktionen gegen Vodafone
Die BfDI informiert, dass sie zwei Bußgelder gegen ein TK-Unternehmen verhängte. Die insgesamt 45 Mio. Euro setzen sich zusammen aus 15 Mio. Euro für nicht ausreichende Überprüfung von Partneragenturen, die als Auftragsverarbeiter eingesetzt waren, und 30 Mio. Euro für festgestellte Sicherheitsmängeln beim Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ mit der Vodafone Hotline. Die aufgedeckten Schwachstellen der Authentifizierung ermöglichten unter anderem den Abruf von eSIM-Profilen durch unbefugte Dritte.
Sie hebt in ihrer Pressemeldung auch hervor, dass das Unternehmen umgesteuert und Projekte der IT-Konsolidierung sowie -Modernisierung priorisiert, sowie die Bereiche Compliance und Datenschutz gestärkt habe. So hat sich Vodafone zu einem starken Datenschutz und digitalen Grundrechten bekannt und sieht sie als Grundlage für das Vertrauen der Kunden. Als Bekenntnis zur Bedeutung des Datenschutzes habe die Vodafone GmbH zudem eine Gesamtsumme in Höhe von mehreren Millionen Euro an unterschiedliche Organisationen gespendet, die sich für die Förderung des Datenschutzes, der Medienkompetenz und der Digital Literacy sowie die Bekämpfung von Cybermobbing einsetzen.
1.7 DSK: Mehr Rechtssicherheit bei der Übermittlung von Mieter:innendaten
Mit ihrem Beschluss Meldung von Mieter:innendaten an Grundversorger möchte die DSK (Datenschutzkonferenz) die Rechtssicherheit bei der Datenweitergabe an Grundversorger verbessern.
Wenn Mieter:innen in einer neu bezogenen Wohnung Strom verbrauchen, entsteht ein Stromlieferungsvertrag in der Grundversorgung, sofern sie nicht rechtzeitig zuvor bei einem anderen Versorger einen Stromlieferungsvertrag für die Wohnung abgeschlossen haben. Gemäß § 2 Abs. 2 Stromgrundversorgungsverordnung (StromGVV) müssen Mieter:innen die Stromentnahme dem jeweiligen Grundversorger mitteilen. Diese Pflicht ist jedoch vielen nicht bekannt. Bisher hatten Mieter:innen die Möglichkeit innerhalb der ersten sechs Wochen nach Wohnungsübergabe einen Stromversorger zu wählen, der dann den Leistungszeitraum des Grundversorgers mitabrechnet.
Ab dem 6. Juni 2025 wird diese nachträgliche Lieferantenwahl aufgrund der Umsetzung gesetzlicher Vorgaben nicht mehr möglich sein. Die Abrechnung des Verbrauchs erfolgt dann durch den Grundversorger, wenn nicht rechtzeitig vor der Wohnungsübergabe ein anderer Versorger gewählt wurde. Eine Lieferantenwahl kann nur noch mit Wirkung für die Zukunft erfolgen. Daraus folgt, dass der Grundversorger nunmehr in jedem Fall wissen muss, wer sein:e Vertragspartner:innen und somit Schuldner:innen in der Grundversorgung sind, um die erbrachte Leistung in Rechnung stellen zu können. Aufgrund dieser Änderung der Abrechnungspraxis haben Grundversorger und auch Eigentümer, die gegebenenfalls für den bezogenen Strom der Mieter:innen in Anspruch genommen werden könnten, ein Interesse die Daten der neuen Mieter:innen möglichst früh dem jeweiligen Grundversorger mitzuteilen.
Mit dem neuen Beschluss stellt die Datenschutzkonferenz klar, dass die Mieter:innen über die Datenübermittlung vorab informiert werden.
1.8 BBfDI: Fehler von Unternehmen beim Einsatz Künstlicher Intelligenz
In ihrem Newsletter 2/2025 informiert die Berliner BfDI über Erkenntnisse bei Prüfverfahren zum Einsatz von KI. Sie befasst sich mit zwei wesentlichen Fragen: Welche Rechtsgrundlage wird für die Verarbeitung von personenbezogenen Daten genutzt? Viele Unternehmen stützen sich hier auf das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Danach ist die Rechtmäßigkeit davon abhängig zu machen, dass die Verarbeitung zur Wahrung der berechtigten Interessen der Verantwortlichen oder Dritter erforderlich ist und keine schutzwürdigen Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen.
Und wird die Entwicklung oder der Einsatz von KI gegenüber den betroffenen Personen transparent gemacht? Viele Unternehmen informieren die betroffenen Personen bisher entweder gar nicht oder nicht ausreichend über ihre Datenverarbeitung im Zusammenhang mit ihren KI-Systemen. So hat die BBfDI zum Beispiel KI-Chatbots auf Websites ohne Informationen zur damit einhergehenden Verarbeitung personenbezogener Daten vorgefunden.
Dazu stellt sie fest, dass dieser Verstoß gegen die Informationspflichten nach Art. 13 bzw. Art. 14 DS-GVO sich unmittelbar auf die Rechtmäßigkeit der Datenverarbeitung auswirken kann. Gerade wenn sich Verantwortliche auf die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen berufen, gehen die BBfDI nach der Rechtsprechung des EuGH davon aus, dass dies unzulässig ist, wenn betroffenen Personen nicht einmal das berechtigte Interesse mitgeteilt wird, auf das sich die Verantwortlichen berufen.
So bringt sie Beispiele aus ihrem Prüfverfahren wie eine vorgebliche Anonymisierung bei einem KI-basierten Forderungsmanagement oder eine Fotoplattform, bei der nach ihrer derzeitigen Kenntnis bereits ins Internet hochgeladene Fotos, die zumindest zum Teil als personenbezogen einzustufen waren, Unternehmen gegen Bezahlung unter anderem für das Training von KI-Modellen anbot oder dass bei einer Immobilienvermittlungsplattform der Betreiber die abgeschlossene und neu hinzukommende Kommunikation mit Kund:innen für das Training eines KI-Systems zur effizienteren Bearbeitung von Kundenanfragen nutzte, ohne jedoch die Kund:innen auf diese Verarbeitung hinzuweisen. In allen Fällen würden die die Prüfverfahren aktuell noch andauern.
1.9 TLfDI: Datenschutzaufsicht ist keine Freigabeeinrichtung
Der TLfDI informiert in einer Pressemeldung, dass Videoüberwachungseinrichtungen von Kommunen durch ihn nicht freigeben werden, die gesetzlichen Vorgaben seien eigenverantwortlich einzuhalten. Er kann aber die Einhaltung der datenschutzrechtlichen Vorgaben überwachen.
1.10 BBfDI: Tätigkeitsbericht für 2024
Die Berliner BfDI (BBfDI) veröffentlichte ihren Tätigkeitsbericht für das Jahr 2024. Hier ein paar subjektiv ausgewählte Punkte daraus:
1.10.1 BBfDI: Tätigkeitsbericht für 2024 – Prüfverfahren zu KI
In einer breiteren Ausführung widmet sich die BBfDI dem Einsatz von KI-Systemen in Ziffer A.2 und den bisherigen Erkenntnissen aus ihrem Prüfverfahren. Dabei äußert sie sich zu Rechtsgrundlagen und Complianceanforderungen.
Aus ihren Erkenntnissen geht hervor, dass insbesondere die Transparenz bei KI-Anwendungen vielfach noch nicht auf dem notwendigen Niveau angekommen sei. Auch wenn KI-Systeme einen schnellen Effizienzgewinn und neue Einnahmequellen für Unternehmen versprechen, sei es im Hinblick auf die damit einhergehenden datenschutzrechtlichen Risiken wichtig Rechtsabteilung und die betrieblichen Datenschutzbeauftragten bei deren Einführung frühestmöglich einzubeziehen. Sie kündigt an in den nächsten Jahren den KI-Prüffokus stetig zu erweitern, insbesondere im Hinblick auf die Umsetzung von Betroffenenrechten (wie z. B. Auskunfts-, Löschungs- und Widerspruchsrechte) sowie auf mit Verzerrungen einhergehende Diskriminierungen (sog. Bias). Auf nationaler sowie europäischer Ebene finde zudem ein intensiver Austausch unter den Aufsichtsbehörden zu den datenschutzrechtlichen Fragen der Entwicklung und des Einsatzes von KI statt.
1.10.2 BBfDI: Tätigkeitsbericht für 2024 – Nicht gelöschte Daten als Datenpannenrisiko
Was ich nicht mehr habe, kann nicht missbraucht werden. Wichtig vor allem dann, wenn ich diese Daten gar nicht mehr brauche. Damit befasst sich die BBfDI in Ziffer A XV, 2. Sie erinnert dabei an das Erfordernis von Löschkonzepten und angemessenen Schutzmaßnahmen.
1.11 HBDI: Tätigkeitsbericht für 2024
Der HBDI veröffentlichte seinen Tätigkeitsbericht für das Jahr 2024. Hier eine kurze Auswahl aus den insgesamt 328 Seiten:
1.11.1 HBDI: Tätigkeitsbericht für 2024 – Transparenzanforderungen an Datenschutzerklärungen von Personalvermittlern
Welche Anforderungen es an die Datenschutzerklärungen von Personalvermittlern gibt, behandelt der HBDI anlässlich einer Beschwerde zu der Website eines Personalvermittlers unter Ziffer 7.1. Die ausführlichen Hinweise enthalten Beispiele und Tipps und sind auch außerhalb dieser Branche hilfreich.
1.11.2 HBDI: Tätigkeitsbericht für 2024 – Mündliche Aussagen im Beschäftigungsverhältnis können der DS-GVO unterfallen
Der HBDI befasste sich in Ziffer 7.2 mit der Fragestellung, ob über § 26 Abs. 7 BDSG auch mündliche Aussagen den Anforderungen der DS-GVO entsprechen müssen und ob § 26 Abs. 7 BDSG den Vorgaben des Art. 88 DS-GVO entspreche. Beides bejahte er in dem Fall, als sich ein Beschäftigter beschwerte, dass ein Geschäftsführer bei der Befragung eines anderen Beschäftigten zu vermeintlichem Fehlverhalten des Beschwerdeführers diesem bestimmte Details zu dem Beschwerdeführer mitteilte. Im Ergebnis stellte der HBDI fest, dass durch die Befragung des Kollegen rechtswidrig in das Persönlichkeitsrecht des Beschwerdeführers eingegriffen wurde. Mangels entsprechender Rechtsgrundlage habe er einen Verstoß gegen Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 lit. b DS-GVO in Verbindung mit § 26 Abs. 1 Satz 1 und Abs. 7 BDSG festgestellt.
1.11.3 HBDI: Tätigkeitsbericht für 2024 – Anforderungen an Beschwerden bei der Aufsicht
Grundsätzlich könne sich jede vermeintlich betroffene Person einer Datenschutzwidrigen Verarbeitung bei der Aufsicht Beschwerden. Der HBDI führt in Ziffer 7.3 aus, mit welchen Beschwerden er konfrontiert werde und welche Anforderungen er stelle, um tätig werden zu können. Beschwerden müssen einen gewissen Aussagegehalt haben. Weitere Sachverhaltsermittlungen führe er nur durch, wenn zumindest Tatsachen vorgetragen werden, die einen Datenschutzverstoß nahelegen. Er schildert dazu ein Beispiel aus dem Beschäftigtendatenschutz, bei denen der Sachvortrag keinen beweisbaren Datenschutzverstoß erkennen ließ. Ein Bürger machte geltend, er würde im Homeoffice durch seinen Arbeitgeber überwacht. Als Indiz für die Überwachung führte er an, vor seinem Wohnhaus würden verschiedene Lieferwagen parken; auf dem Feldweg hinter dem Haus hingegen habe er Hundespaziergänger gesehen, die ihm unbekannt seien. Vom Feldweg aus könne man sehen, ob er am heimischen Arbeitsplatz arbeite oder anderen Tätigkeiten im Haus nachgehe. Ein anderer Beschwerdeführer gab an, von seiner Vorgesetzten beim Telefonieren abgehört worden zu sein. Er habe aber keine Beweise dafür, sondern lediglich eine Ahnung, dass es so gewesen sei. Auf die Nachfragen des HBDI konnten die Beschwerdeführer keine stichhaltigen Anhaltspunkte für die gerügten Datenschutzverstöße liefern.
1.11.4 HBDI: Tätigkeitsbericht für 2024 – Neuen Verhaltensregeln bei Auskunfteien
Unter Ziffer 11.1 berichtet er über neue Verhaltensregeln für Auskunfteien. Mit diesen sollten neue Regelungen für spezifische Datenverarbeitungen durch die Verbandsmitglieder des Verbands „Die Wirtschaftsauskunfteien e.V.“ geschaffen werden. Diese Verhaltensregeln wurden durch den HBDI am 24. Mai 2024 gemäß Art. 40 Abs. 5 DS-GVO genehmigt. In Ziffer 1.6 berichtet er über die bisherige Historie dieser Verhaltensregeln.
1.12 LfD Niedersachsen: Tätigkeitsbericht für 2024
Zum Tätigkeitsbericht für das Jahr 2024 aus Niedersachsen gibt es einen Überblick zu den Bußgeldern, Vergleichsfallzahlen aus den Vorjahren und natürlich eine Pressemeldung. Und hier die subjektive Auswahl von mir:
1.12.1 LfD Niedersachsen: Tätigkeitsbericht für 2024 – KI-Expertengespräche
Der KI-Expertenkreis des LfD Niedersachsen hat in drei Gesprächsterminen wesentliche datenschutzrechtliche Aspekte bei der Entwicklung und dem Einsatz von Künstlicher Intelligenz diskutiert. Aus diesen Gesprächen konnte der LfD Niedersachsen wichtige Erkenntnisse für ein datenschutzkonformes Training sowie einen datenschutzkonformen Einsatz von KI-Anwendungen gewinnen. Er fasst in Ziffer E, ab Seite 29 die Aussagen und Ergebnisse der Gesprächsrunden zusammen. Die Auswertung und abschließende Bewertung erfolgte aber erst nach dem Berichtszeitraum.
1.12.2 LfD Niedersachsen: Tätigkeitsbericht für 2024 – Drohnen mit Aufnahmegeräten durch Privatpersonen
Der Einsatz von Drohnen stellt vielfache Anforderungen an den Betreiber, auch in rechtlicher Hinsicht. Schließlich ist neben anderen Rechtsgebieten gleichsam das Datenschutzrecht zu beachten. Der freizeitmäßige Einsatz von Drohnen mit Videokameras durch Privatpersonen begegnet jedenfalls innerhalb von Ortslagen mit Wohnbebauung neben luftverkehrs- und zivilrechtlichen auch datenschutzrechtlichen Bedenken. Anwohner, die eine Drohne in ihrer Nähe bemerken, empfinden dies häufig als ein überraschendes Eindringen in ihre Privatsphäre, weil sie auf diese Weise von Unbekannten in ihrer jeweiligen Situation wahrgenommen werden können. Dementsprechend erreichten den LfD Niedersachsen Beschwerden über den Einsatz von Drohnen. Er informiert in Ziffer G.1.3 ab Seite 59 über datenschutzrechtliche Anforderungen dazu.
1.12.3 LfD Niedersachsen: Tätigkeitsbericht für 2024 – Personalisierte Werbung mit Gesundheitsdaten
Mehrere Personen beschwerten sich bei dem LfD Niedersachsen über personalisiert abgefasste Werbebriefe eines Unternehmens. Darin warb es für Pflegeprodukte und Hilfsmittel für die Versorgung Pflegebedürftiger – und wusste offenbar bestens über die Pflegestufen von Familienmitgliedern Bescheid. Der LfD Niedersachsen stellte fest, dass das Unternehmen seiner Rechenschaftspflicht zum Nachweis der erforderlichen Einwilligungen nicht nachkommen konnte. Im Ergebnis wurde ein Bußgeldverfahren eingeleitet. Mehr dazu unter Ziffer G.4.3 ab Seite 78.
1.12.4 LfD Niedersachsen: Tätigkeitsbericht für 2024 – Unzulässige Fragen bei Schuleingangsuntersuchungen
Schuleingangsuntersuchungen sind ein wichtiger Baustein im Leben eines jeden Kindes. Doch wenn das Amt dabei sensible Daten überbordend abfragt, kann dies das Vertrauen der Eltern in die staatliche Untersuchung erschüttern. Aufgrund verschiedener Beschwerden führte der LfD Niedersachsen Gespräche mit dem Niedersächsischen Landesgesundheitsamt und es wurde eine datenschutzkonforme Lösung gefunden. Details in Ziffer G.5.4 ab Seite 104.
1.12.5 LfD Niedersachsen: Tätigkeitsbericht für 2024 – Microsoft Teams in der Landesverwaltung
Der LfD Niedersachsen berichtet in Ziffer G.6.1 ab Seite 107 zu seiner Beratung zum Einsatz von Microsoft Teams in der Landesverwaltung, die Dank einer frühzeitigen Einbindung durch das Innenministerium zu deutlichen Verbesserungen des DPA geführt habe. Er weist aber darauf hin, dass es nach wie vor keinen datenschutzrechtlichen Freifahrtschein für den Einsatz von MS-365-Produkten wie Teams gäbe.
1.12.6 LfD Niedersachsen: Tätigkeitsbericht für 2024 – Datenschutzaspekte beim Einsatz privat finanzierter Tablets an Schulen
In niedersächsischen weiterführenden Schulen wird kurz- bis mittelfristig auf elternfinanzierte Tablets als Lernmittel gesetzt. Aus Sicht des LfD Niedersachsen sollte die Landesregierung weiterhin anstreben landeseigene Tablets für Schulen anzuschaffen. Im Berichtsjahr kündigte das Niedersächsische Kultusministerium an, anders als ursprünglich im Koalitionsvertrag vorgesehen, keine schulischen Tablets für Schülerinnen und Schüler zu finanzieren. Aus Sicht des Datenschutzes aber wären die eigentlich versprochenen Schulgeräte der risikoärmste Weg gewesen, um Schülerinnen und Schüler mittels Tablets zu unterrichten. Der LfD LfD Niedersachsen spricht sich daher in Ziffer G.7.3 dafür aus alle Schülerinnen und Schüler mit landeseigenen Tablets auszustatten, soweit der Bildungsauftrag den Einsatz solcher Geräte erfordert.
1.13 LDI NRW: Tätigkeitsbericht für 2024
Der hier veröffentlichte Tätigkeitsbericht für das Jahr 2024 der LDI NRW gliedert sich in zwei Teile, Teil 1 zum Datenschutz, Teil 2 zur Informationsfreiheit. Um im Rahmen zu bleiben, bringe ich nur Auszüge aus dem 1. Teil:
1.13.1 LDI NRW: Tätigkeitsbericht für 2024 – Betroffenenrechte und KI
Die DS-GVO setzt der Entwicklung und Anwendung von KI enge Grenzen, wenn personenbezogene Daten verarbeitet werden. Mit der KI-VO tritt nur eine zweite europäische Verordnung neben die DS-GVO – das Spannungsverhältnis zwischen der DS-GVO und der Entwicklung und Nutzung von KI wird damit nicht gelöst. Soll das Potenzial von KI genutzt werden, bedarf es wahrscheinlich eines eigenen spezifischen Schutzkonzepts für die Datenschutzrechte der Betroffenen. Dazu formuliert die LDI NRW in Ziffer 5.3 (ab Seite 31) ihre Vorstellungen.
1.13.2 LDI NRW: Tätigkeitsbericht für 2024 – Emotionserkennung im CallCenter
Die KI-gestützte Auswertung von Stimmen zur Emotionserkennung stellt ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen dar, da sie weitgehende Einblicke in die Persönlichkeit zulässt. Der Einsatz einer entsprechenden Software in Call-Centern zur Optimierung der Kund:innenbetreuung ist ein schwerwiegender Eingriff in die Persönlichkeitsrechte von Kund:innen und Mitarbeiter:innen und nach den Ausführungen der LDI NRW in Ziffer 5.4 ab Seite 36 nicht zulässig.
1.13.3 LDI NRW: Tätigkeitsbericht für 2024 – Fotos von Falschparker:innen
Falschparker:innen werden durch den Datenschutz nicht vor der Ahndung von Parkverstößen geschützt. Fertigen Privatpersonen Fotos von Kfz-Kennzeichen an, um diese an die Ordnungsbehörde zu übermitteln, sei dies in den allermeisten Fällen nach der LDI NRW zulässig. Eine Grenze bildeten Fälle, in denen einzelne Personen sich die Funktion der Ordnungsbehörde anmaßen und systematisch nach Ordnungsverstößen suchen. Ein solches Handeln würde die Grenze dessen überschreiten, womit Betroffene rechnen müssen. Den Fall des Anzeigenhauptmeisters hatte die LDI NRW jedoch nicht zu prüfen. Er könnte an dieser Grenze liegen. Mehr dazu in Ziffer 8.7 ab Seite 69.
1.13.4 LDI NRW: Tätigkeitsbericht für 2024 – Datenschutzrechtliche Auskunft vom Jugendamt
Unterschiedliche Sichtweisen auf familieninterne Ereignisse durch die Betroffenen können nicht durch Datenschutzrechte befriedet oder gar geklärt werden. Das Beharren auf einer vollständigen Kopie der Kindesakte führt nicht zum Ziel und kann von der LDI NRW aufgrund der gesetzlichen Rahmenbedingungen nicht unterstützt werden. Wie sie dazu argumentiert, findet sich in Ziffer 9.3 ab Seite 84.
1.13.5 LDI NRW: Tätigkeitsbericht für 2024 – Bekämpfung von Betrug
Die Verhinderung von Betrug im Zahlungsverkehr und die Öffnung des Wettbewerbs unter Zahlungsinstituten sind wichtige gesetzgeberische Ziele. Dabei dürfen jedoch die Datenschutzrechte der Kund:innen nicht außer Acht gelassen werden. Ansonsten bestünde die Gefahr, dass Betroffene womöglich von Zahlungsdienstleistern unberechtigt ausgeschlossen werden und dadurch erhebliche Nachteile im Wirtschaftsverkehr erleiden. Was aber geht und wie dazu argumentiert werden kann, beschreibt die LDI NRW in Ziffer 10.2 ab Seite 90.
1.13.6 LDI NRW: Tätigkeitsbericht für 2024 – Regelung zu Pur-Abo-Modellen
Die EDSA-Stellungnahme 08/2024 (wir berichteten hier und da) zum Thema „Wirksame Einwilligung im Kontext von Pur-Abo-Modellen, die von großen Online-Plattformen umgesetzt werden” bezieht sich auf große Online-Plattformen, nicht aber auf andere Websitebetreiber:innen. Sie ergänzt insoweit den Beschluss der DSK (wir berichteten) und bestätigt die wesentlichen Elemente dieses Beschlusses, wie die LDI NRW ab Seite 107 in Ziffer 11.1 ausführt.
Dabei kündigt sie auch Leitlinien zum Thema „Wirksame Einwilligung im Kontext von Pur-Abo-Modellen” des EDSA an, die einen weiteren Anwendungsbereich haben als die Stellungnahme und sich nicht ausschließlich auf große Plattformanbieter:innen, sondern auf alle Websitebetreiber:innen mit Pur-Abo-Modellen beziehen sollen. Es stehe noch nicht fest, wann die Leitlinien fertiggestellt sind. Die genauen Formulierungen und Auswirkungen auf die Praxis bleiben daher abzuwarten.
1.13.7 LDI NRW: Tätigkeitsbericht für 2024 – Verhaltensregeln bei grenzüberschreitender postalischen Direktwerbung
Mit Fragen der Zulässigkeit der Verarbeitung personenbezogener Daten zum Zwecke der postalischen Direktwerbung befasst sich die LDI NRW in Ziffer 11.2 ab Seite 110. Dies sei umstritten, wenn Adresshändler und Dienstleistungsunternehmen ins Spiel kommen. 2024 hat die österreichische Datenschutzbehörde die deutschen Aufsichtsbehörden um ihre Meinung zu einem österreichischen Entwurf für Verhaltensregeln beim postalischen grenzüberschreitenden Direktmarketing gebeten. Zielvorstellung sind verbindliche transnationale Verhaltensregeln („Code of Conduct” – CoC), die es österreichischen Unternehmen ermöglichen postalisches Direktmarketing sowohl im eigenen Land als auch im weiteren deutschsprachigen europäischen Raum datenschutzkonform durchzuführen. Dieser Raum umfasst neben Österreich und Deutschland auch Südtirol in Italien. Solche Verhaltensregeln können von Verbänden vorgelegt werden und die DS-GVO präzisieren. Der Entwurf dieser Verhaltensregeln wurde vom Dialog Marketing Verband Österreich (Antragsteller) und der Federation of European Data and Marketing (Mitinhaber) erarbeitet.
Die LDI NRW wie auch die anderen deutschen Aufsichtsbehörden behandeln viele der im CoC aufgeworfenen Fragestellungen unter dem Begriff des „Adresshandels”. Unter Adresshandel verstehen sie dabei sowohl die Erhebung als auch die weitere Verarbeitung personenbezogener Daten, die das Ziel haben Werbetreibenden Direktwerbung zu ermöglichen. Adresshandel steht mit Direktwerbung in einem engen sachlichen Zusammenhang. Adresshändler:innen bieten Postadressen solchen Unternehmen an, die für ihre Waren und Dienstleistungen werben und zielgerichtet Personen anschreiben wollen. Sie können aber auch für Unternehmen die Werbung selbst datenschonend durchführen, ohne Adressen an diese übermitteln. Dann teilen ihnen die Unternehmen lediglich Kriterien mit, aufgrund derer Adressportfolios zusammengestellt werden. Der Versand der Werbematerials erfolgt oft durch beauftragte Unternehmen, die sog. Lettershops. Wie diese Vorgänge datenschutzrechtlich einzuordnen sind, ist bisher weder in Deutschland noch auf europäischer Ebene geklärt. Die DS-GVO enthalte keine ausdrückliche Regelung zur Zulässigkeit postalischer Direktwerbung und des damit im Zusammenhang stehenden Adresshandels. Die LDI NRW begrüßt die eingeleitete Klärung auf europäischer Ebene.
1.13.8 LDI NRW: Tätigkeitsbericht für 2024 – Videoüberwachung im Außenbereich eines Museums
Keine Ausnahme sieht die LDI NRW bei der Frage von Videokameras im Außenbereich bei Museen. In Ziffer 13.1 ab Seite 135 führt sie aus, dass abstrakte Gefahren für Museen in der Regel keine Abweichungen von den generellen Vorgaben des Datenschutzrechts rechtfertigen. Dies gelte auch für das Ausmaß der überwachten Bereiche, die Regelspeicherdauer von drei Arbeitstagen und die Pflicht zur Angabe der konkreten Speicherdauer auf der Hinweisbeschilderung.
1.14 LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2024
Mit der Zahl 1.111 Beschwerden weist der LfDI Rheinland-Pfalz auf die Veröffentlichung seines Tätigkeitsberichts für das Jahr 2024 hin. Zudem gab es weitere knapp 500 Fälle, in denen der Landesbeauftragte aufgrund von Hinweisen oder von Amts wegen tätig wurde. Nachfolgend auch daraus eine subjektive Zusammenstellung:
1.14.1 LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2024 – Benennungspflicht eines DSB durch Jagdgenossenschaften
In Ziffer 9.1 weist der LfDI Rheinland-Pfalz darauf hin, dass gemäß Art. 37 Abs. 1 lit. a DS-GVO jede Behörde oder öffentliche Stelle einen Datenschutzbeauftragten zu benennen hat. Jagdgenossenschaften sind als Körperschaften des öffentlichen Rechts öffentliche Stellen im Sinne des Datenschutzrechts und daher unabhängig von ihrer Größe zur Benennung von eigenen DSB verpflichtet. Ausnahmen sind nicht vorgesehen. Allerdings hat der Gesetzgeber auch kleinere und finanziell weniger stark ausgerüstete öffentliche Stellen berücksichtigt. Denn gemäß Art. 37 Abs. 3 DS-GVO kann für mehrere öffentliche Stellen abhängig von ihrer Organisationsstruktur und Größe ein gemeinsamer DSB benannt werden. So ist es beispielsweise möglich, dass mehrere Jagdgenossenschaften einen gemeinsamen Datenschutzbeauftragten bestellen oder DSB von naheliegenden Kommunalverwaltungen als eigene DSB benennen.
1.14.2 LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2024 – Datenaustausch zwischen Sozialleistungsträgern und Vermieter
Sofern beantragte Sozialleistungen auch die Übernahme von Mietkosten beinhalten sollen, besteht regelmäßig ein Dreiecksverhältnis zwischen den Hilfebedürftigen, der Sozialbehörde und den Vermietern. Immer wieder kommt es in diesem Zusammenhang zu einem Datenaustausch zwischen Behörde und Vermietern, der Gegenstand von an die Datenschutzaufsicht gerichteten Beschwerden ist. So hatte in einem an den LfDI Rheinland-Pfalz herangetragenen Fall die für die Gewährung von Grundsicherungsleistungen zuständige Verwaltung den Vermieter der Antragstellerin wiederholt unmittelbar kontaktiert und Informationen zum Leistungsbezug mitgeteilt sowie Fragen zum Bestand des Mietverhältnisses und dem Zustand der Mietwohnung gestellt. Die hier von betroffene Leistungsempfängerin hatte allerdings in die direkte Kontaktaufnahme nicht eingewilligt. Die Behörde erläuterte ihr zudem zu keinem Zeitpunkt, aus welchen Gründen, zu welchem Zweck und auf welcher Rechtsgrundlage der Vermieter von ihr befragt worden war. In einer an den LfDI Rheinland-Pfalz gerichteten Beschwerde wandte sich die Betroffene gegen die aus ihrer Sicht datenschutzwidrige Vorgehensweise der Sozialverwaltung.
Der LfDI Rheinland-Pfalz informiert in Ziffer 10.1, dass er im Ergebnis einen Verstoß gegen die Vorgaben des Sozialdatenschutzrechts feststellte und diesen gegenüber der betroffenen Kreisverwaltung beanstandete.
1.14.3 LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2024 – Fotoaufnahmen zur Durchsetzung eines Hausrechts
Dürfen Verantwortliche Lichtbildaufnahmen von mit einem Hausverbot belegten Personen speichern und zum Zwecke der Durchsetzung des Hausverbots verarbeiten? Damit befasst sich der LfDI Rheinland-Pfalz in Ziffer 11.2. In den angesprochenen Fällen gab es zuvor konkrete Bedrohungen gegen einzelne Mitarbeitende, weshalb in etlichen Fällen zum Schutz der Bediensteten Hausverbote ausgesprochen wurden. Um diese effektiv durchsetzen zu können, beabsichtigten die anfragenden Kommunen Fotos der nicht zutrittsberechtigten Personen zu speichern. Ausgehend von der Annahme, dass von den mit Hausverbot belegten Personen beim widerrechtlichen Betreten des Verwaltungsgebäudes eine nicht nur geringfügige Störung des Dienstbetriebs ausgeht, wird die Überwachung der Einhaltung des Hausverbots als eine im öffentlichen Interesse liegende Aufgabe betrachtet. Von daher ist es nach Ansicht des LfDI Rheinland-Pfalz zulässig, wenn bestimmte Grunddaten betroffener Personen Mitarbeitenden gegenüber bekanntgegeben werden, um diese Personen eindeutig identifizieren zu können. Insofern könne eine diesbezüglich notwendige Verarbeitung personenbezogener Daten grundsätzlich auf Art. 6 Abs. 1 lit. e, Absätze 2 und 3 DS-GVO i.V.m. § 3 Landesdatenschutzgesetz Rheinland-Pfalz (LDSG) gestützt werden.
1.15 Einblicke in die Tätigkeit der deutschen Datenschutzaufsichtsbehörden
In dieser Podcast-Folge (mit hörenswerten 54 Min. Dauer) geht es um den Alltag in deutschen Datenschutzaufsichten, die Möglichkeiten der Durchsetzung, aber auch Überlegungen zur künftigen Gestaltung. Zu hören sind zwei ehemalige Referentinnen und ein früherer Leiter einer Landesdatenschutzaufsicht.
1.16 BBfDI: Fortführung des Schulungsangebotes
Die BBfDI weist auf ihrer Webseite auf weitere Termine für KMU, Start-ups und Vereine rund um die Verarbeitung personenbezogener Daten hin. Themen und Termine zur „Starthilfe Datenschutz“ finden sich hier.
1.17 LfDI Baden-Württemberg: Vortrag zu aktuellen Themen
Von einer Veranstaltung in der Stadtbibliothek Stuttgart äußert sich der LfDI Baden-Württemberg bei einer Veranstaltung des Chaos Computer Clubs zu aktuellen Themen, natürlich geht es dabei auch um Künstliche Intelligenz. Eine Aufzeichnung (Dauer ca. 1:45 Std.) ist auf YouTube verfügbar.
1.18 LfDI Baden-Württemberg: Hinweise zur Hundebestandsaufnahme
Ein Reiz der Zusammenstellung der Darstellungen im „Datenzirkus“ ist die Chance das eigene Wissensfeld und den Wortschatz zu erweitern: Der Begriff „Hundebestandsaufnahme“ gehört dazu. An was Kommunen aus Datenschutzsicht zu denken haben, wenn sie überwachen wollen, ob alle Hunde ordnungsgemäß gemeldet sind, beschreibt der LfDI Baden-Württemberg in dieser Meldung.
1.19 BayLDA: Gast bei der „Auslegungssache“
Die Moderatoren des Podcast haben oftmals etwas kritische Aussagen zum BayLDA. Die Pressesprecherin des BayLDA reagierte darauf und die Podcast-Verantwortlichen nutzten die Möglichkeit ihren Wissensstand zu erweitern. Die Pressesprecherin des BayLDA nutzt eine Einladung in dieser Folge (Dauer ca. 1:45 Std.), um zu einigen Punkten Stellung zu nehmen und aktuelle Themen sachkundig darzustellen. Die Expertise der Gästin zu KI, Cookies, Bußgeldern und derzeitigen Entwicklungen bereicherten den Podcast. Die Inhalte werden auch hier kurz zusammengefasst.
1.20 HmbBfDI: Kein Dringlichkeitsverfahren gegen Meta wegen KI-Training
Der HmbBfDI informiert, warum er von einem Dringlichkeitsverfahren gegen Meta Abstand nahm. Gerade im Hinblick auf die geplante Evaluierung des Vorgehens von Meta durch die EU-Aufsichtsbehörden hält er ein isoliertes Dringlichkeitsverfahren für Deutschland nicht als das geeignete Instrument, um die vorhandenen Bewertungsdifferenzen für ganz Europa zu klären. Zuvor entschied das OLG Köln, dem Antrag der vz NRW nicht stattzugeben und die irische und für Meta zuständige Datenschutzaufsicht entschied auch nicht einzuschreiten. Sie forderte Meta auf einen Bericht zu erstellen, der unter anderem eine aktualisierte Bewertung der Wirksamkeit und Angemessenheit der Maßnahmen und Garantien enthalten soll, die das Unternehmen in Bezug auf die stattfindende Verarbeitung eingeführt hat. Dieser Bericht wird für Oktober 2025 erwartet.
Generell haben die Datenschutzaufsichten, wie hier der LfDI Baden-Württemberg, empfohlen, dass Betreiber von Accounts überprüfen sollten, ob sie dem Training zu Zwecken der KI von Meta widersprechen wollen.
Bei der finalen Bewertung, inwieweit für ein Training eines LLM auf Daten aus dem frei zugänglichen Internet zugegriffen werden darf, könnte die Entscheidung des EuGH C-136/17 interessant werden. Dabei musste der EuGH die Frage klären, wann ein Suchmaschinenbetreiber verpflichtet sei gefundene Einträge zu löschen. Der EuGH befasst sich dabei in Rn. 61 ff auch mit der Frage, ob Daten besonderer Kategorien durch den Suchmaschinenbetreiber im Rahmen der Ergebnisdarstellung überhaupt hätten verarbeitet (angezeigt) werden dürfen. In dem damaligen Fall bejahte er es (Rn. 64) und führte dazu aus, dass die betroffene Person über Art. 17 Abs. 1 lit. c und Art. 21 Abs. 1 DS-GVO ein Recht auf Auslistung des betreffenden Links aus Gründen ihrer besonderen Situation ergeben Gründen habe (Rn. 65).
1.21 LfDI Mecklenburg-Vorpommern: Pride Month – Datenschutz und Sexualleben
Der LfDI Mecklenburg-Vorpommern befasst sich auf seiner Webseite anlässlich des „Pride Month“ Juni mit Fragestellungen wie Sexualleben und sexueller Orientierung.
1.22 LfD Niedersachsen: Hinweis auf Sammelklage des vzbv
Der LfD Niedersachsen weist auf eine Sammelklage der verbraucherzentrale bundesverband (vzbv) hin, die Ansprüche gegenüber Meta aufgrund des Datenlecks geltend machen wollen.
1.23 LfDI Rheinland-Pfalz: Ankündigung eines Webinars zu Biotechnologie, Datenschutz und Forschung
Der LfDI Rheinland-Pfalz kündigt für den 25. Juni 2025 die Veröffentlichung eines aufgezeichneten ca. 70-minütigen Webinars an. Wer trägt Verantwortung zur Umsetzung des Datenschutzes bei der Durchführung klinischer Studien – der Sponsor oder das Studienzentrum? Wann gelten die dabei verarbeiteten Gesundheitsdaten als pseudonym oder anonym? Und was erwartet uns, wenn der im März 2025 beschlossene Europäische Gesundheitsdatenraum – kurz EHDS – in wenigen Jahren wirksam wird?
Der erste Teil „Datenschutz im Biotech-Unternehmen“ ist auch hier als Aufzeichnung ebenso wie die Folien verfügbar.
1.24 LfD Sachsen-Anhalt: Datenschutz im Klassenchat
Die LfD Sachsen-Anhalt hat einen Flyer zur Thematik Klassenchat und in Social Media veröffentlicht. Sie informiert darin u.a. über Grundsätze des Datenschutzes, die Rechte der Betroffenen und wie sich bei Verstößen verhalten werden sollte.
1.25 Liechtenstein: Tätigkeitsbericht für 2024
Auch die Datenschutzstelle Fürstentum Liechtenstein hat ihren Tätigkeitsbericht für das Jahr 2024 veröffentlicht.
1.26 Bulgarien: Einsatz von Gesichtserkennung in Einzelhandelsgeschäften
Die bulgarische Datenschutzbehörde (CPDP) hat eine ausführliche Stellungnahme zum Einsatz von Gesichtserkennungssystemen in Einzelhandelsgeschäften abgegeben. Die Anfrage kam von einem privaten Sicherheitsunternehmen, das ein „erweitertes Videoüberwachungssystem“ vorschlug, das Gesichtserkennung verwendet, um Personen zu identifizieren, die zuvor in den Räumlichkeiten von Einzelhandelskunden rechtswidriges Verhalten wie Diebstahl oder Aggression begangen haben.
Das CPDP erläuterte, dass es sich bei einer solchen Verarbeitung um biometrische Daten handelt, die gemäß Art. 9 Abs. 1 DS-GVO als besondere Kategorie personenbezogener Daten gelten und strengen Bedingungen unterliegen. Das Unternehmen argumentierte, dass Art. 9 Abs. 2 lit g DS-GVO (Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses nach dem Unionsrecht oder dem Recht der Mitgliedstaaten) das System rechtfertigen könnte, indem Ziele wie der Schutz des Eigentums und der öffentlichen Ordnung hervorgehoben werden.
Die CPDP wies diese Argumentation jedoch zurück. Er betonte, dass der Begriff des „öffentlichen Interesses“ auf spezifischen Rechtsvorschriften beruhen muss, die sicherstellen, dass die Verarbeitung notwendig und verhältnismäßig ist und die Rechte der betroffenen Personen wahrt. Er entschied, dass die Verhinderung von Bagatelldelikten wie Ladendiebstahl nicht die Schwelle des „erheblichen öffentlichen Interesses“ erreicht, die die Verwendung biometrischer Daten nach Art. 9 Abs. 2 lit. g DS-GVO rechtfertigt.
Auch betonte die CPDP, dass angesichts des Machtungleichgewichts und des Fehlens einer freiwillig erteilten und ausdrücklichen Einwilligung im Einzelhandel keine der anderen Ausnahmen nach Art. 9 Abs. 2 DS-GVO, einschließlich der Einwilligung, anwendbar ist. Darüber hinaus stellte die Überwachungsbehörde fest, dass die vorgeschlagene Verarbeitung mit den Grundsätzen der Zweckbindung, der Datenminimierung und der Erforderlichkeit gemäß Artikel 5 DS-GVO unvereinbar sei.
Die CPDP verweist auch auf die EDSA-Leitlinien 3/2019 und betont, dass Gesichtserkennungssysteme, die in unkontrollierten Umgebungen eingesetzt werden, erhebliche Risiken bergen, einschließlich Voreingenommenheit und Diskriminierung. Die Stellungnahme kommt zu dem Schluss, dass der vorgeschlagene Einsatz von Gesichtserkennung in Geschäften nach der DS-GVO rechtswidrig sei und nur in Hochsicherheitskontexten wie der nationalen Sicherheit oder dem Schutz kritischer Infrastrukturen gerechtfertigt werden kann.
1.27 CNIL: Auswirkungen der DS-GVO auf die Cybersicherheit
Die französische Datenschutzbehörde CNIL untersucht die Vorteile der DSGVO im Rahmen einer quantifizierten Analyse aus der Perspektive der Cybersicherheit. Die vollständige Analyse findet sich hier.
1.28 CNIL: Leitfaden für mobile Apps
Die französische Datenschutzbehörde CNIL gibt in ihren aktualisierten Datenschutzleitlinien für mobile Anwendungen ein anschauliches Beispiel für die Anforderungen an die Einwilligung in Bezug auf die Speicherung oder den Zugriff auf Informationen, die auf dem Endgerät des Nutzers im Sinne von Art. 82 des franz. Datenschutzgesetzes gespeichert sind. Interessanterweise wird in der Anleitung die Nutzung von Google reCAPTCHA nicht ausdrücklich erwähnt, für die die CNIL unter anderem eine Geldstrafe von 105.000 Euro gegen NS Cards France im Jahr 2024 verhängt hat.
1.29 CNIL: Mehrere Sanktionen wegen unzureichender Einwilligung bei Werbemaßnahmen
Die französische Datenschutzbehörde CNIL informiert, dass sie eine Geldstrafe gegen ein Unternehmen verhängt hat, weil es seiner Verpflichtung zur Einholung der Zustimmung zur Übermittlung kommerzieller Prospektion auf elektronischem Wege zum Nutzen seiner Kunden nicht nachgekommen ist. Über Gewinnspiele oder Online-Produkttests sollten durch Partner Daten zu Werbemaßnahmen geliefert werden. Die Sanktion in Höhe von 900.000 Euro erging, weil das Unternehmen keine rechtswirksame Einwilligung der betroffenen Personen für die Weitergabe zu Werbezwecken nachweisen konnte. Moniert wurden u.a. dabei auch „Dark Patterns“ der Gestaltung der Schaltflächen. In der Konsequenz wurden daher abgegebene Zustimmungen der betroffenen Personen als nicht rechtskonforme Einwilligungen bewertet und die darauf gestützte Datenverarbeitung als rechtswidrig klassifiziert. Auf ihrer Webseite bildet die CNIL auch ein Beispiel dazu ab. Zudem informierte die CNIL bereits im Jahr 2022 über die datenschutzrechtlichen Anforderungen bei diesen Verfahren.
In einem anderen Fall verhängte die CNIL ein Bußgeld in Höhe von 80.000 Euro, ebenfalls deswegen, weil es Mängel an einer rechtskonformen Einwilligung zur Bewerbung gab, aber auch weil das Recht auf Widerruf nicht rechtskonform ausgestaltet war.
1.30 CNIL: Leitfäden für Schulen und Schulleiter bei Datenschutzverletzungen
Die CNIL veröffentlichte zwei neue Leitfäden zu Datenschutzverletzungen im Bildungswesen. Einer richtet sich an DSB, der andere an Schulleitungen, Lehr- und Verwaltungspersonal, um ihnen zu helfen im Falle einer Verletzung des Schutzes personenbezogener Daten angemessen zu reagieren. In den Leitfäden orientiert sie sich an fünf typischen Situationen:
- Diebstahl oder Verlust von Geräten (Computer, USB-Stick usw.);
- Senden von Informationen an die falsche Person;
- Benutzerfehler;
- Diebstahl von Benutzernamen oder Passwörtern;
- Cyberangriffe oder Computereinbrüche.
Für jeden Fall schlagen die Leitfäden die gleiche Struktur vor:
- Beispiele aus der Praxis;
- Schlüssel zur Analyse der Situation;
- Schnell zu ergreifende Maßnahmen;
- Best Practices, um zu verhindern, dass dies erneut passiert.
Die Beispiele und Empfehlungen können sicherlich auch außerhalb von Bildungseinrichtungen genutzt werden.
1.31 CNIL: Messbarkeit von Diversitätsvorgaben
Die französische Datenschutzaufsicht CNIL hatte eine Konsultation zu ihren Überlegungen der Messbarkeit der Diversität und datenschutzrechtlichen Vorgaben durchgeführt. Die Ergebnisse hat sie nun veröffentlicht. Dazu gibt es auch eine Empfehlung zur Umsetzung der Messung der Vielfalt innerhalb einer Beschäftigtenstruktur. Innerhalb dieser Empfehlung finden sich Hinweise z.B. zu Rechtsgrundlagen, Schutzmaßnahmen und Informationspflichten.
1.32 CNIL: Konsultation zu Zählpixel in E-Mails
Die französische Datenschutzbehörde CNIL eröffnet eine öffentliche Konsultation zu ihrem Empfehlungsentwurf zur Verwendung von Zählpixeln in E-Mails. Ziel sei es den Akteuren, die diese Tracker nutzen, zu helfen ihre Verpflichtungen besser zu verstehen, insbesondere im Hinblick auf die Einholung von Einwilligungen der Nutzer. Bis 24. Juli 2025 können Rückmeldungen eingereicht werden.
Um ein gutes Verständnis der Geschäftsmodelle und der wirtschaftlichen Auswirkungen regulatorischer Entscheidungen zu erhalten, hat die CNIL einen ergänzenden Fragebogen zu den direkten und indirekten Auswirkungen ihres Projekts auf die Akteure des Ökosystems erstellt.
1.33 CNIL: Manga „The Privacy Agents”
Die CNIL versucht mit einem Manga die Zielgruppe der 11- bis 14-jährigen zu erreichen und zu Datenschutzthemen zu sensibilisieren. The Privacy Agents umfasst derzeit vier Teile. Mit dem immersivem und lehrreichen Format sollen Diskussionen über den Online-Datenschutz angeregt werden.
1.34 Dänemark: Leitfaden zum Einsatz von Cookies
Die Cookie-Verordnung und die Datenschutzregeln gelten oft parallel. Aus diesem Grund haben die dänische Datenschutzbehörde und die Agentur für Digitalisierung Dänemarks einen gemeinsamen Leitfaden und einen Anhang mit guten Ratschlägen erstellt, um Organisationen, die Cookies oder ähnliche Technologien verwenden, bei der Einhaltung der Vorschriften zu unterstützen.
Der Leitfaden „Verwendung von Cookies und ähnlichen Technologien“ richtet sich an Inhaber und Anbieter von z.B. Websites und Apps. Er gibt einen Überblick über die wichtigsten Regeln der Cookie-Verordnung und der Datenschutz-Grundverordnung und enthält praktische Ratschläge und Beispiele, um die Einhaltung der Anforderungen zu erleichtern. Darüber hinaus geht der Leitfaden auf typische Fallstricke ein, die ein Unternehmen beachten sollte.
Die Cookie-Richtlinie erfordert eine Einwilligung, bevor Cookies gesetzt oder Daten erhoben werden, sofern keine Ausnahme besteht, während die Datenschutzregeln die weitere Verarbeitung personenbezogener Daten regeln. Es kann schwierig sein herauszufinden, wann welche Regeln gelten. Der Zweck des Leitfadens besteht daher darin ein einheitliches Verständnis der Regeln zu schaffen und die Umsetzung einer rechtlichen Einwilligungslösung zu erleichtern. Zudem bietet die dänische Aufsicht dazu auf ihren Webseiten auch weitere Hinweise an.
1.35 Estland: Datenschutzverstoß bei fehlerhaften Widerrufslink
Was sind die Folgen, wenn in einem E-Mail-Newsletter der Abmeldelink (aufgrund eines technischen Fehlers) nicht funktioniert? So geschehen in Estland. Dummerweise verwies der Kundenservice den Beschwerdeführer dann nur immer wieder auf die App. Keine gute Idee, meint die estnische Datenschutzaufsicht und verwarnte das Unternehmen wegen eines Verstoßes gegen Art. 7 Abs. 3 DS-GVO, weil der Widerruf nicht ebenso einfach wie die Einwilligung ermöglicht wurde. Letztendlich wurde im konkreten Fall die beschwerdeführende Person händisch aus dem Verteiler gelöscht. Eine schöne Darstellung des Falles findet sich hier.
Meine Empfehlung: Den Kundenservice dazu schulen, wie in solchen Fällen vorzugehen ist.
1.36 Finnland: Leitlinien zum Datenschutz bei der Entwicklung von KI
Die finnische Datenschutzbehörde hat aktualisierte Leitlinien zum Datenschutz bei der Entwicklung und Nutzung von KI-Systemen auf ihrer Webseite veröffentlicht. Der Leitfaden bietet einen allgemeinen Rahmen für den Datenschutz bei der Nutzung und Entwicklung von KI, und die Regulierungsbehörde betonte beispielsweise ausdrücklich, dass Unternehmen in der Lage sein sollten die Datenschutzrechte des Einzelnen zu berücksichtigen.
Dabei erwähnt sie, dass personenbezogene Daten für die Nutzung und Entwicklung von KI auf der Grundlage vertraglicher Notwendigkeit verarbeitet werden können. Hier empfiehlt es sich m.E. diese Aussage mit der Rechtsprechung des EuGH zur Erforderlichkeit der Verarbeitung personenbezogener Daten bei der Erfüllung einer vertraglich geschuldeten Leistung anzugleichen (vgl. z.B. C-252/21, wir berichteten).
1.37 Irland: Unzulässige Gesichtserkennung bei Sozialkarte
Die irische Aufsicht DPC hat den Abschluss einer Untersuchung über den Einsatz von Gesichtsabgleichstechnologie im Zusammenhang mit der Public Services Card durch das Ministerium für Sozialschutz bekannt gegeben. Die Untersuchung, die im Juli 2021 begann, betrachtete die Verarbeitung biometrischer Gesichtsvorlagen durch das Ministerium für Sozialschutz (DSP) und die Verwendung der damit verbundenen Gesichtsabgleichstechnologien im Rahmen des Registrierungsprozesses für die Public Services Card. Dieser Vorgang wird als „SAFE 2-Registrierung“ bezeichnet.
Aufgrund der festgestellten Verstöße hat die DPC neben Rügen auch ein Bußgeld in Höhe von 550.000 Euro verhängt. Dazu erließ sie eine Anordnung die Verarbeitung biometrischer Daten im Zusammenhang mit der SAFE-2-Registrierung innerhalb von neun Monaten nach dieser Entscheidung einzustellen, wenn das DSP keine gültige Rechtsgrundlage feststellen kann.
1.38 Italien: Bußgeld gegen das Unternehmen des Chatbots „Replika“ (Luka Inc.)
Die italienische Datenschutzbehörde hat das US-Unternehmen Luka Inc., das den Chatbot „Replika“ betreibt, mit einer Geldstrafe von 5 Mio. Euro belegt und eine unabhängige Untersuchung eingeleitet, um die korrekte Verarbeitung personenbezogener Daten durch das System generativer künstlicher Intelligenz an der Basis des Dienstes zu überprüfen.
Der Chatbot, der mit einer schriftlichen und einer stimmlichen Schnittstelle ausgestattet ist, ermöglicht es den Benutzern einen „virtuellen Freund“ zu „generieren“, dem sie die Rolle des Vertrauten, Therapeuten, romantischen Partners oder Mentors zuschreiben können.
Während der Untersuchung stellte die Behörde den Verstoß gegen die angefochtenen Bestimmungen im Februar 2023 fest, als sie die Sperrung des Antrags angeordnet hatte. Nach Angaben der Behörde hatte das US-Unternehmen bis zum 2. Februar 2023 die Rechtsgrundlagen für die über „Replika“ durchgeführten Verarbeitungsvorgänge noch nicht identifiziert. Luka hatte auch in verschiedener Hinsicht eine unzureichende Datenschutzerklärung bereitgestellt.
Schließlich stellte die Aufsicht fest, dass das Unternehmen zum 2. Februar 2023 weder bei der Registrierung für den Dienst noch während seiner Nutzung einen Mechanismus zur Überprüfung des Alters der Nutzer vorgesehen hatte, obwohl das Unternehmen erklärte, dass es Minderjährige unter den potenziellen Nutzern ausgeschlossen habe. Aus den durchgeführten technischen Untersuchungen ging hervor, dass das derzeit vom Eigentümer implementierte Altersverifizierungssystem in vielerlei Hinsicht nach wie vor mangelhaft ist. Aus diesen Gründen forderte die Überwachungsbehörde das Unternehmen zusätzlich zu der Sanktionsmaßnahme auf die Bestimmungen der Verordnung einzuhalten.
1.39 Italien: Richtlinien für die Verarbeitung personenbezogener Daten in der Eigentumswohnung
Die italienische Aufsicht Garante führt eine Konsultation zu Richtlinien für die Verarbeitung personenbezogener Daten in der Eigentumswohnung durch. Die Konsultation, die sich in erster Linie an die Berufsgruppen, die sich mit der Verwaltung von Eigentumswohnungen befassen, und an die Berufsverbände dieses Sektors richtet, zielt darauf ab Beobachtungen und Vorschläge zu den in den Leitlinien enthaltenen Hinweisen zu erhalten, insbesondere im Hinblick auf die Verarbeitung personenbezogener Daten, die unmittelbar der Obhut des Verwalters anvertraut sind (wie z. B. die Führung des Eigentumswohnungsregisters).
1.40 Niederlande: Entscheidung für verantwortlichen Einsatz von KI erforderlich
Dass die niederländische Aufsicht DPA sich zum Einsatz generativer KI positioniert hat, haben wir bereits berichtet. Sie hat nun ihre Vision zur verantwortungsvollen Entwicklung und zum Einsatz generativer KI formuliert. Diese Vision gibt ein Bild der Technologie, diskutiert Trends, skizziert Zukunftsszenarien und enthält eine rechtliche Interpretation. Die DPA arbeitet an der Vision aus ihrer Rolle als Supervisor für den Schutz personenbezogener Daten und als koordinierender KI- und Algorithmen-Supervisor. Die DPA lädt Unternehmen ein Feedback zu dieser vorläufigen Vision und den entsprechenden vorläufigen DS-GVO-Voraussetzungen für generative KI zu geben.
1.41 Norwegen: Leitfaden zum Einsatz von Zählpixeln
Personenbezogene Daten über Gesundheit, Sexualleben, Religion und Kinder auch in prekären Situationen. Die Prüfung der norwegischen Aufsicht ergab, dass norwegische Websites diese Art von Daten automatisch, unwissentlich – und ohne Rechtsgrundlage – an Dritte weitergeben. Die norwegische Aufsicht will sich daher nur auch mit dem Einsatz von Zählpixeln befassen. Dazu gibt sie auch einen neuen Leitfaden zu Tracking Tools heraus.
1.42 EDPS / Spanien: Federated Learning als Instrument zur Weiterentwicklung von KI-Modellen
Die spanische Aufsicht AEPD und der EDPS (European Data Protection Supervisor) haben einen gemeinsamen Bericht veröffentlicht, in dem die Schlüsselrolle von Federated Learning als Instrument zur Weiterentwicklung von KI-Modellen analysiert wird, die den Schutz personenbezogener Daten besser respektieren soll. Durch Federed Learning können, ohne Informationen zu zentralisieren, danach KI-Modelle trainiert werden, was den Datenschutz in sensiblen Branchen stärkt. Zu den prominentesten Anwendungsfällen, die in dem Bericht enthalten sind, gehören die Entwicklung von KI-Modellen im Gesundheitswesen (mit besonders sensiblen Daten) sowie bei Sprachassistenten und autonomen Fahrzeugen. Den Bericht gibt es auf Spanisch und in Englisch.
1.43 Spanien: Sanktion gegen TK-Anbieter wegen unzureichender Schutzmaßnahmen
Auch in Spanien gab es ein Bußgeld wegen unzureichender Schutzmaßnahmen bei der Vergabe von SIM-Karten. Die Sicherheitsverletzung betraf die personenbezogenen Daten, darunter Identifikations-, Kontakt- und Bankdaten, von mindestens 40 Personen. Dadurch wurde es Cyberkriminellen ermöglicht auf das Online-Banking einer betroffenen Person zuzugreifen und nicht autorisierte Banküberweisungen zu tätigen. Die Untersuchung der AEPD ergab Mängel bei den Sicherheitsmaßnahmen, wie z. B. das Fehlen geografischer Zugangsbeschränkungen (per IP), die fehlende Überprüfung der E-Mail-Korrespondenz in SIM-Duplikaten und die Nicht-Deaktivierung von Anmeldeinformationen von krankgeschriebenen Mitarbeitern. Darüber hinaus wurde die Implementierung der Zwei-Faktor-Authentifizierung nach dem Vorfall reaktiv durchgeführt. Bericht dazu auch hier. Das Bußgeld in Höhe von 100.000 Euro reduzierte sich jeweils um 20.000 Euro, weil das Unternehmen die Verantwortung dafür übernahm und die Zahlungsverpflichtung akzeptierte, so dass im Ergebnis das Bußgeld 60.000 Euro betrug.
1.44 Spanien: Abgrenzung gemeinsame Verantwortlichkeit und Auftragsverarbeitung
In einem Verfahren zwischen der spanischen Aufsicht und Vodafone geht es u.a. um Fragen, ob eine gemeinsame Verantwortlichkeit oder Auftragsverarbeitung vorliegt, wenn durch Einrichtungen unter Verwendung ihrer eigenen Datenbanken Marketingaktionen für Produkte eines Dritten durchgeführt werden, aber auch um Fragen des Drittstaatentransfers. Die Entscheidung wurde nun zur gerichtlichen Überprüfung zugelassen.
1.45 Spanien: Veranstaltung zu KI und Datenschutz im Juli 2025
Die spanische Aufsicht kündigt einen Kurs an der Universidad Internacional Menéndez Pelay zu „Innovation und Datenschutz in künstlicher Intelligenz und Datenräumen“ an. Am 9., 10. und 11. Juli 2025 werden renommierte Expertinnen und Experten aus den Bereichen KI, Datenschutz, Digitalrecht und neue Technologien teilnehmen, um sich mit den regulatorischen Herausforderungen und Chancen auseinanderzusetzen, die sich aus der Anwendung von KI bei der Verarbeitung personenbezogener Daten ergeben. Das genaue Programm findet sich hier, Einschreibung dort.
1.46 BSI: Fortentwicklung des IT-Grundschutz
Das BSI berichtet über eine Veranstaltung zur Fortentwicklung des IT-Grundschutzes. Der IT-Grundschutz muss mit den Herausforderungen durch neue Technologien Schritt halten, wie zum Beispiel Künstlicher Intelligenz (KI) und einem immer stärkeren Einsatz von Cloud-Lösungen. Außerdem sei die Anforderungen der Anwendenden einzubeziehen ein Anliegen des BSI. Hierzu zählten, dass sich der IT-Grundschutz flexibler umsetzen lässt und gleichzeitig das etablierte Mindestsicherheitsniveau aufrecht erhalten bleibt. Flexibler in der Umsetzung bedeutet in diesem Kontext, dass der IT-Grundschutz die heterogenen Einsatzumgebungen stärker berücksichtigt und die zu erfüllenden Anforderungen weniger starr sind. Aus diesen Gründen würden das Produkt und die BSI-Standards weiterentwickelt.
1.47 BSI: Kriterien für vertrauenswürdige KI-Systeme im Finanzsektor
Das BSI hat erstmalig einen Prüfkatalog für Systeme der Künstlichen Intelligenz im Finanzbereich bereitgestellt. Ziel des KI-Kriterienkatalogs ist es Sicherheit, Transparenz, Nachvollziehbarkeit und Fairness von KI-Systemen systematisch bewerten zu können. Der Katalog wurde im Rahmen des Projekts AICRIV entwickelt und umfasst knapp 100 praxisnahe Testkriterien. Diese decken unter anderem die Bereiche IT-Sicherheit, Datenqualität, Modellrobustheit, Governance, menschliche Aufsicht und Performance ab. Ergänzt wird der Katalog durch Empfehlungen zu geeigneten Prüfmethoden und -werkzeugen. Die Anforderungen orientieren sich an bestehenden Standards und Regularien und unterstützen zugleich die Umsetzung der Vorgaben der KI-Verordnung der EU.
Der Katalog richtet sich insbesondere an Entwickler, Anbieter, Betreiber und Prüforganisationen von KI-Systemen in der Finanzwirtschaft – er kann aber auch für andere Sektoren als Orientierung dienen. Da das Dokument als Unterstützung für die Umsetzung der KI-Verordnung fungieren soll, und sich der Interessentenkreis auf Finanz- und Versicherungsinstitute in der gesamten EU erstreckt, ist das Dokument in englischer Sprache („Test Criteria Catalogue for AI Systems in Finance“) verfasst.
1.48 GDPR-Enforcement-Tracker 2025 einer Kanzlei
In dieser Veranschaulichung einer Kanzlei über die Durchsetzung der DS-GVO lässt sich neben einer Zusammenfassung und statistischen Zahlen auch eine Differenzierung in den verschiedenen Mitgliedsstaaten entnehmen. Insgesamt umfasst der Bericht über 2.245 dokumentierte Bußgelder in der EU, Bußgelder in Höhe von über 5,65 Mrd. Euro, sektorspezifische Durchsetzungstrends und Ländervergleiche und ein Blick auf die sich entwickelnden Risiken: KI, Einwilligung sowie Rechte betroffener Personen.
1.49 EU-Kommission: Microsoft und Marktbeherrschung bei Teams
Die EU-Kommission hat einen Markttest der von Microsoft vorgeschlagenen Verpflichtungen in der Teams-Bündelungsuntersuchung eingeleitet. Die interessierten Kreise haben nun einen Monat Zeit (bis Mitte Juni), um zu dem Verpflichtungsvorschlag Stellung zu nehmen. Mehr dazu hier.
(Was das mit Datenschutz zu tun hat? Am Beispiel der Diskussion um Datenverarbeitung durch Meta zu den unterschiedlichen Zwecken zeigt sich, dass einer marktbeherrschenden Stellung z.B. bei Interessenabwägungen durch Datenschutzaufsichten durchaus eine relevante Bedeutung beigemessen werden kann.)
1.50 ENISA: Handbuch für „Cyber Stress Testing“
Die ENISA veröffentlicht ein neues Handbuch für „Cyber Stress Testing“. Nachdem in den vergangenen Jahren mehrere Rechtsakte zur Cybersecurity für die verschiedensten Sektoren und Branchen neu geschaffen wurde, will die ENISA bei der Umsetzung unterstützen. Hierzu veröffentlicht sie verschiedene Guidelines, eine davon ist das neue Handbuch für „Cyber Stress Testing“. Derlei Stresstests sind eine gezielte Methode zur Bewertung der digitalen Widerstandsfähigkeit einer Organisation. Das Handbuch dient den zuständigen Behörden zur Überwachung der Einhaltung von Cybersecurity Compliance – andererseits bietet es somit den umsetzenden Unternehmen interessante Hinweise zu eventuellen Prüfmaßstäben.
1.51 Tätigkeitsberichte der deutschen Datenschutzaufsichten
Wir hatten schonmal darauf hingewiesen, dass es neben dem DatenschutzArchiv der Stiftung Datenschutz auch eine privat betriebene Seite mit Darstellung der Tätigkeitsberichte der deutschen Datenschutzaufsichten gibt. Diese hat nun auch eine KI-Assistenz-Funktion integriert.
2 Rechtsprechung
2.1 EuGH: Unzulässige Werbeaussagen bei „Kauf auf Rechnung“ (C-100/24)
Ein Versandhaus warb mit dem Versprechen, Kunden könnten auch „auf Rechnung“ kaufen, verschwieg jedoch, dass sie dafür kreditwürdig sein müssen. Der EuGH meint nun, darauf hätten Verbraucher hingewiesen werden müssen. Auf die Vorlagefrage des BGH im Verfahren der vz Hamburg stützt der EuGH (C-100/24 bonprix) die Ansicht der Verbraucherschützer, das Versandhaus habe die besonderen Pflichten für Angebote zur Verkaufsförderung nicht eingehalten. Denn auch die Werbung mit Zahlungsmodalitäten – wie dem Kauf auf Rechnung – falle unter diesen unionsrechtlichen Begriff und unterliege demnach den strengen verbraucherschutzrechtlichen Anforderungen. Nun muss der BGH endgültig entscheiden. Bericht dazu hier.
2.2 EuGH: Gerichtliche Entscheidungen und Anwendungsbereich der DS-GVO (C-313/23)
In dem Verfahren C-313/23, das mit C-316/23 und C-332/23 zusammengefasst wurde, befasste sich der EuGH mit der Auslegung der Ausnahmen in Art. 2 DS-GVO. In Bulgarien gibt es Vorgaben, die die Offenlegung von Justizpersonal und deren Angehörigen anordnen lässt, um eine unzulässige Einflussnahme auszuschließen. Der EuGH befasste sich dabei mit datenschutzrechtlichen Fragestellungen.
Dazu stellte der EuGH u.a. fest, dass die Offenlegung von personenbezogenen Daten gegenüber einem Justizorgan in den sachlichen Anwendungsbereich (Art. 2) der DS-GVO fällt, wenn diese Daten dem Bankgeheimnis unterliegen und Richter, Staatsanwälte, Strafrechtspfleger sowie ihre Familienangehörige betreffen, und die Offenlegung der Überprüfung der Erklärungen der Richter, Staatsanwälte und Strafrechtspfleger über ihre Vermögensverhältnisse und die ihrer Familienangehörigen, die veröffentlicht werden, dient.
Ein Gericht, das dafür zuständig ist, auf Antrag eines anderen Justizorgans die Offenlegung von Daten über die Bankkonten der Richter, Staatsanwälte und Strafrechtspfleger und ihrer Familienangehörigen durch eine Bank gegenüber diesem Justizorgan zu genehmigen, kann nicht als Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO eingestuft werden.
2.3 Cour d’appel de Chambéry: Schadenersatz aufgrund unterbliebener Betroffenenrechte
Eine Zahnärztin („Frau C“) verklagte Google, weil sie wollte, dass schlechte Bewertungen in dem Bewertungsportal “Google my Business“ (GMB) gelöscht werden. Letztendlich entschied das Gericht, dass das Datenschutzrecht anwendbar sei, auch wenn sie die berufliche Tätigkeit der Klägerin beträfe, auch wenn ihre Tätigkeit unter der Rechtsform einer Gesellschaft erfolge, sobald ihr Firmenname die Identifizierung der natürlichen Person ermöglicht.
Darüber hinaus bewertet das Gericht, dass die Zahnärztin nur über ein kostenpflichtiges Angebot von Google auf Bewertungen reagieren konnte und dass es keine wirksame Kontrolle über die veröffentlichten Bewertungen gab, für die erforderliche Abwägung dahingehend, dass das seitens Google geltend gemachte berechtigte Interesse nicht im Sinne von Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt sei. Die Klägerin habe daher einen Anspruch auf Löschung nach Art. 17 Abs. 1 DS-GVO.
Das Gericht sprach ihr auch einen immateriellen Schadenersatz in Höhe von 10.000 Euro zu. Daneben gab es zusätzlich 40.000 Euro Schadenersatz für die bis dahin aufgelaufenen Kosten der Rechtsverfolgung.
Hier ein Zitat (eine maschinelle Übersetzung) zum immateriellen Schadenersatz:
„Auch wenn kein wirtschaftlicher Schaden nachgewiesen werden kann, so ist doch hinreichend belegt, dass die Klägerin gezwungen war eine Vielzahl von Schritten auf gütlichem und gerichtlichem Wege zu unternehmen, um schließlich die Entfernung ihres GMB Eintrags zu erreichen. Sie hat auch einen Schaden erlitten, weil sie nicht in der Lage war ihr Widerspruchsrecht gemäß Art. 21 Abs. 1 DS-GVO rechtzeitig auszuüben.
Darüber hinaus erlitt Frau [C] einen moralischen Schaden aufgrund der nicht überprüfbaren negativen Bewertungen, die auf ihrer Karteikarte veröffentlicht wurden, ohne dass es ihr trotz wiederholter Aufforderungen gelungen wäre die Entfernung dieser Bewertungen auf freundschaftliche Weise zu erreichen. Die Löschung des GMB-Eintrags behebt den erlittenen Schaden teilweise, aber Frau [C] hat Anspruch auf Schadensersatz für den materiellen und moralischen Schaden, den sie erlitten hat.“
2.4 BGH: Zwangsweises Entsperren eines biometrisch abgesicherten Smartphones
Der BGH erlaubt mit Beschluss das Entsperren eines Handys durch Auflegen des Fingers gegen den Willen des Beschuldigten durch Ermittlungsbehörden. Dies sei von § 81b Abs. 1 StPO gedeckt. Erforderlich sei, dass eine zuvor nach §§ 102, 105 Abs. 1 StPO richterlich angeordnete Durchsuchung gerade auch dem Auffinden von Mobiltelefonen dient und der beabsichtigte Datenzugriff trotz seiner Eingriffsintensität verhältnismäßig ist. Besprechung dazu hier.
2.5 BAG: Schadenersatz nach unterbliebener Information nach Art. 14 DS-GVO
Im Rahmen eines Bewerbungsverfahrens für eine Universität googelt der potentielle Arbeitgeber den Bewerber und findet über ihn Berichte über ein noch nicht rechtskräftig abgeschlossenes Strafverfahren. Es findet ein Bewerbungsgespräch statt, der Bewerber wird nicht über die Datenerhebung informiert, die Universität entscheidet sich für eine jüngere Mitbewerberin. Der abgelehnte Bewerber kennt sich aus: Er erhebt Klage nach dem AGG und fordert Schadenersatz nach Art. 82 DS-GVO. Das LAG Düsseldorf sprach ihm 1.000 Euro immateriellen Schadenersatz zu, weil der Bewerber entgegen Art. 14 Abs. 1 lit. d DS-GVO nicht über die Kategorie der von ihr im Rahmen des Auswahlverfahrens verarbeiteten Daten, nämlich der strafrechtlichen Verurteilung durch das Landgericht München I, informiert wurde.
Der Fall landete nun in der Revision vor dem Bundesarbeitsgericht. Dieses bestätigte ihm nur – wie hier berichtet wird – die 1.000 Euro immateriellen Schadenersatz wegen der unterbliebenen Information zu, weitere geltend gemachte Ansprüche wegen Diskriminierung nach dem AGG wurden abgewiesen. Die Gründe des BAG sind noch nicht veröffentlicht. Bericht dazu auch hier und hier.
2.6 BFH: Klagefristen auf Auskunft gegen Finanzbehörde
Ein Bürger hatte einen Antrag auf Auskunft nach Art. 15 Abs. 1 und 3 DS-GVO gestellt, der ohne Rechtsbehelfsbelehrung abgelehnt wurde. Der Bürger klagte erst nach Ablauf eines Jahres nach Ablehnung seines Antrags auf Auskunft durch das Finanzamt und damit gemäß § 55 Abs. 2 Satz 1, § 47 Abs. 1 FGO verspätet vor dem Finanzgericht. Für den BFH ist nun klar, dass eine Klage auf Auskunft gemäß Art. 15 DS-GVO nicht losgelöst von der in § 47 Abs. 1 FGO beziehungsweise in § 55 Abs. 2 Satz 1 FGO geregelten Fristen erhoben werden könne. Weder aus der DS-GVO noch aus den unionsrechtlichen Grundsätzen der Äquivalenz und Effektivität lässt sich ableiten, dass eine solche Klage „jederzeit“ möglich sein muss. Bericht dazu hier.
2.7 OLG Schleswig-Holstein: Wann ist ein immaterieller Schadenersatz bei Scraping denkbar?
Das OLG Schleswig-Holstein veröffentlichte eine Übersicht zu einigen Berufungsurteilen in Verfahren, bei denen es um Ansprüche nach „Scraping“-Vorfällen von Facebook-Accounts geht.
2.8 OVG Berlin-Brandenburg: Kein Anspruch auf Auskunft bei Videoüberwachung in S-Bahn
Das OVG Berlin-Brandenburg hat entschieden, dass kein Auskunftsanspruch nach Art 15 Abs. 3 DS-GVO hinsichtlich im Rahmen der Videoüberwachung in S-Bahnen erstellten Aufzeichnungen besteht. Damit bestätigte das OVG die erste Instanz. Die betroffene Person verlangte direkt nach einer S-Bahn-Fahrt eine Kopie der Videoaufzeichnung unter Angabe des Zuges und Wagen. Die Berliner S-Bahn hat aber genau für die Videoaufzeichnungen ein abgestimmtes Datenschutzkonzept, dass einen Zugriff nur in Abstimmung mit Ermittlungsbehörden erlaube und eine kurzfristige Löschung der Aufnahmen vorsehe, sofern es keinen Anlass zur Auswertung gäbe. Das Gericht gab daher der S-Bahn Berlin GmbH recht, die sich mit Verweis auf ihr Datenschutzkonzept dem Wunsch des Passagiers zu entsprechen geweigert hatte. Zwar handelt es sich nach Auffassung des OVG bei den Videoaufnahmen um die Verarbeitung personenbezogener Daten. Dennoch durfte das Unternehmen die Herausgabe verweigern. Das Datenschutzkonzept verfolge gerade das Ziel den Wertungen der DS-GVO bestmöglich Rechnung zu tragen, so das OVG. Demgegenüber müsse das Interesse des Fahrgastes zurücktreten, der außerdem bereits entsprechend Art. 15 Abs. 1 DS-GVO über die Art und Weise sowie Dauer der Datenspeicherung informiert worden war. Möglicherweise ist in diesem Fall jedoch noch nicht das letzte Wort gesprochen: Das OVG hat die Revision zugelassen.
2.9 OLG Hamburg: Urheberrecht und KI (LAION)
Das erste Urteil zu den Fragen des Urheberrechts eines Fotografen an einem Bild und dem Training für eine Bild-KI (LAION) des LG Hamburg wurde nicht rechtskräftig. Die Erstellung von KI-Trainingsdatensätzen sei laut LG Hamburg urheberrechtlich unbedenklich. Die Vervielfältigung der Bilddaten falle unter die Schrankenregelung des § 60d UrhG für wissenschaftliches Text- und Datamining (TDM). Details dazu auch hier. Der Fall geht vor das OLG Hamburg und das hat nun den Verhandlungstermin auf den 8. Oktober 2025 gelegt.
2.10 OLG Hamm: Nicht jede heimliche Aufnahme im Wohnbereich ist nach § 201a StGB strafbar
Das OLG Hamm musste sich mit Fragen der Auslegung des „höchstpersönlichen Lebensbereiches“ befassen. In dem Verfahren ging es um heimliche Aufnahmen eines Mieters durch den Vermieter in den vermieteten Räumlichkeiten und um eine mögliche Strafbarkeit nach § 201a StGB (Verletzung des höchstpersönlichen Lebensbereichs und von Persönlichkeitsrechten durch Bildaufnahmen).
Zu orientieren ist der Begriff des „höchstpersönlichen Lebensbereichs“ an dem in der Rechtsprechung des Bundesverfassungsgerichts entwickelten Begriff der „Intimsphäre“, der – vor allem, aber nicht nur – die Bereiche Krankheit, Tod und Sexualität zuzuordnen sind und die grundsätzlich die innere Gedanken- und Gefühlswelt mit ihren äußeren Erscheinungsformen wie vertraulichen Briefen und Tagebuchaufzeichnungen sowie die Angelegenheiten umfasst, für die ihrer Natur nach Anspruch auf Geheimhaltung besteht, wie bspw. Gesundheitszustand, Einzelheiten über das Sexualleben sowie Nacktaufnahmen. Auf den Bereich der Sexualität und Nacktheit ist der Anwendungsbereich wiederum nicht zu beschränken. Auch bestimmte Tatsachen aus dem Familienleben sind dem höchstpersönlichen Lebensbereich zuzurechnen, bspw. solche, die die wechselseitigen persönlichen Bindungen, Beziehungen und Verhältnisse innerhalb der Familie betreffen, darum unbeteiligten Dritten nicht ohne Weiteres zugänglich sind und Schutz vor dem Einblick Außenstehender verdienen.
Situationen, die zwar der Privatsphäre zuzuordnen sind, aber ein „neutrales Verhalten“ zeigen, bedürfen hingegen des strafrechtlichen Schutzes typischerweise noch nicht. Die Herstellung einer Bildaufnahme von „neutralen“ Handlungen, wie dem Arbeiten, Kochen, Lesen, Fernsehen, Essen oder Schlafen in der Wohnung bewirkt demnach – wenn nicht im Einzelfall besondere Umstände vorliegen – für sich genommen noch keine Verletzung des höchstpersönlichen Lebensbereichs des Opfers.
Im konkreten Fall hob das OLG Hamm die Verurteilung auf und wies den Fall zur erneuten Verhandlung zurück, weil der Schuldspruch wegen Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen einer sachlich-rechtlicher Überprüfung nicht stand hielte.
2.11 LG Berlin: Unzulässige Vereinfachung zu Datennutzung bei Google-Account
In der Klage des vzbv gegen Google entschied das LG Berlin, dass bei der Errichtung eines Google Accounts aufgrund der mangelnden Transparenz die Einwilligungserklärung nicht ausreichte (Bericht dazu hier). Demnach erklärte Google, das Urteil betreffe einen alten Kontoerstellungsprozess, der sich inzwischen geändert habe. In dem Verfahren hatte Google argumentiert, eine Auflistung aller Dienste würde zu einem übermäßig langen Text führen und der Transparenz schaden. Dies wurde vom Gericht zurückgewiesen. Die Information über den Umfang der Einwilligung gehört nach Ansicht des Gerichts zu den gesetzlich geforderten Mindestangaben. Das Landgericht störte sich im Detail daran, dass Nutzer bei der „Express-Personalisierung“ nur die Möglichkeit, sämtlichen Datennutzungen zuzustimmen oder den Vorgang abzubrechen, hätten. Eine differenzierte Ablehnung sei nicht möglich gewesen. Selbst bei der „Manuellen Personalisierung“ hätten die Verbraucher nicht ablehnen können, dass der Standort Deutschland genutzt wird. Die Entscheidung ist nicht rechtskräftig, Google legte Berufung ein.
2.12 LG Hannover: Urteil zu „quasi anonymen Daten“ wurde rechtskräftig
Das Urteil des LG Hannover, das einer Klage VWs gegen einem Bescheid des LfD Niedersachsen wegen unzureichender Information und einem Bußgeld in Höhe von 4,3 Mio. Euro stattgab (wir berichteten), wurde rechtskräftig. Wie der Vertreter der Klägerin hier berichtet, wurde die eingelegte Rechtsbeschwerde zurückgenommen. Und wie hier zu lesen ist, beruht die Beendigung des Rechtsmittels auf einer vergessenen Unterschrift und nicht auf rechtlichen Überlegungen zu Erfolgsaussichten. Schade – das wäre eine schöne Möglichkeit gewesen die Gedanken zu einer „quasi Anonymität“ und zu deren Anforderungen überprüfen zu lassen.
Franks Nachtrag: Sie möchten hier weiterlesen.
2.13 VG Ansbach: zu Verzicht auf Auskunft in arbeitsgerichtlichem Vergleich
Das BayLDA berichtete bereits im Tätigkeitsbericht 2024 unter Ziffer 4.5 (wir berichteten) dazu. Nach einem Vergleich in einem arbeitsgerichtlichen Verfahren („Alle Ansprüche sind erledigt“) kam es zu einer Beschwerde beim BayLDA über die nicht erfüllte Auskunft. Das BayLDA stellte das Verfahren ein. Es wurde Klage gegen das BayLDA auf Durchführung von Abhilfemaßnahmen eingereicht. Das Verwaltungsgericht Ansbach hat daraufhin entschieden, dass eine vergleichsweise Einigung über einen datenschutzrechtlichen Anspruch möglich ist (Urteil v. 03.05.2024 – AN K 21.00653 – bisher nicht veröffentlicht). Gerade, weil es wohl nicht veröffentlicht ist, gibt es einige Besprechungen dazu wie hier und da.
2.14 OVG Saarlouis: Verzicht auf Auskunftsanspruch durch Vergleich wirksam
Auch im Saarland gab es Fragestellungen, ob in einem arbeitsgerichtlichen Verfahren, das durch Vergleich endet, rechtswirksam auf einen Auskunftsanspruch verzichtet werden kann. Nach dem OVG Saarlouis kann ein Arbeitnehmer im Rahmen eines arbeitsgerichtlichen Vergleichs wirksam auf sein Auskunftsrecht nach Art. 15 Abs. 1 DS-GVO verzichten, sofern die entsprechende Klausel im Vergleich weit genug gefasst ist. Konkret hieß es da:
„alle Ansprüche aus dem Arbeitsverhältnis und dessen Beendigung, gleich ob bekannt oder unbekannt, gleich aus welchem Rechtsgrund.“
Der Aufsicht genügte das – dem OVG auch.
2.15 VGH München: Widerruf und Richtigstellung in gemeindlichem Mitteilungsblatt
Informationen zu einer namentlich genannten Person aus einer nicht-öffentlichen Gemeinderatssichtung gelangte durch die Niederschrift in das gemeindliche Mitteilungsblatt. Der VGH München stellte fest, dass allein die Entfernung des Mitteilungsblattes aus dem Internet nicht ausreiche. Dies stelle noch keine nach außen erkennbare eindeutige Distanzierung vom Inhalt der betreffenden Meldung dar. Dem Kläger stehe demnach ein auf die Wiederherstellung des ursprünglichen rechtmäßigen Zustandes gerichteter Folgenbeseitigungsanspruch zu. Nach diesem in den Grundrechten und dem rechtsstaatlichen Prinzip der Gesetzmäßigkeit der Verwaltung wurzelnden Anspruch kann jede durch öffentlich-rechtliches Handeln der Verwaltung in ihren Rechten verletzte Person die Rückgängigmachung der unmittelbaren Folgen dieses rechtswidrigen Vorgehens verlangen. Voraussetzung sei, dass durch einen hoheitlichen Eingriff in ein subjektives Recht ein noch andauernder rechtswidriger Zustand geschaffen worden ist. Dies ist hier der Fall. Die auf der Äußerung des ersten Bürgermeisters beruhende unzutreffende Vorstellung der Öffentlichkeit über das Verhalten des Klägers kann nur dadurch rückgängig gemacht werden, dass der Beklagte an gleicher Stelle unmissverständlich erklärt, die damalige Äußerung sei unrichtig gewesen.
2.16 VG Düsseldorf: Zulässigkeit von Luftaufnahmen für öffentliche Zwecke
Fliegt ein mit einer Kamera ausgestattetes Flugzeug in NRW über ein Grundstück, um sogenannte digitale Orthofotos zu erstellen, auf deren Grundlage eine Gemeinde eine Grundstückskartierung zur Berechnung des Niederschlagwassers und befestigter Grundstücksflächen erstellt, hält das VG Düsseldorf dies für datenschutzrechtlich zulässig. Es muss dazu auf § 3 DSG NRW zugreifen, danach ist die Verarbeitung personenbezogener Daten durch öffentliche Stellen zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist (Rn. 60 ff).
Der VGH München sah das bei einer vergleichbaren Situation und Art. 4 Abs. 1 BayDSG anders: Dies sei keine hinreichende Rechtsgrundlage für die Befliegung eines Wohngrundstücks mit einer Fotodrohne, um für eine abgabenrechtliche Entscheidung Geschossflächen zu ermitteln.
2.17 LG Hamburg: Zum Schmerzensgeldanspruch bei nicht-anonymisierter Entscheidung
Die Parteien stritten um Ansprüche im Zusammenhang mit einer von der Beklagten in einer Rechtsprechungsdatenbank veröffentlichten Gerichtsentscheidung. Die Beklagte veröffentlichte einen Beschluss eines Verfahrens an dem der Kläger beteiligt war auf der von ihr verantworteten Internetseite openjur.de unter Nennung des Klarnamens des Klägers, der in der Randnummer 27 des Beschlusses enthalten war.
Der Kläger machte neben einem Unterlassungsanspruch geltend, dass die Beklagte durch die nicht anonymisierte Veröffentlichung des streitgegenständlichen Beschlusses seine personenbezogenen Daten und privaten Lebensumstände durch weltweite Abrufbarkeit der Allgemeinheit zugänglich gemacht habe. Dadurch sei ein unzumutbarer Kontrollverlust bei dem Kläger eingetreten, der sich zudem konkret rufschädigend ausgewirkt und das berufliche Fortkommen des Klägers möglicherweise erheblich erschwert habe. Potenzielle Mandaten seien abgeneigt, einen Rechtsanwalt zu mandatieren, der für einen gewissen Zeitraum arbeitslos gewesen ist, seine Zahlungspflichten nicht rechtzeitig erfüllen konnte sowie unter Hinweis auf besondere Härte um den Erlass bzw. Stundung solcher Ansprüche gebeten hatte. Zudem sei der Kläger weiterhin über das genaue Ausmaß der Verletzung seiner Rechte im Unklaren.
Das Gericht verneinte einen Anspruch aus Art. 82 Abs. 1 DS-GVO. Einerseits, weil sich die Veröffentlichung des Namens nach nationalem Recht aufgrund der Wahrnehmung berechtigter Interessen als gerechtfertigt darstelle (Rn. 57), andererseits stehe dem Kläger auf Basis einer als zu spät gerügten Auskunft ein Schadensersatzanspruch nicht zu (Rn. 58 ff).
2.18 ArbG Heilbronn: Auskunftsanspruch auf E-Mails eines Beschäftigen
Das ArbG Heilbronn hat sich zu dem Auskunftsanspruch nach Art. 15 DS-GVO eines Beschäftigten und E-Mails geäußert. Es erwartet dazu eine Konkretisierung zu den Informationen oder auf welche Verarbeitungsvorgänge sich sein Auskunftsersuchen bezieht. Das Urteil ist bisher nur hinter einer Paywall veröffentlicht (ArbG Heilbronn Urteil vom 27.03.2025 – 8 Ca 123/24).
Bei einem lang andauernden Arbeitsverhältnis (hier: 23 Jahre) kann der auf Auskunft in Anspruch genommene Arbeitgeber verlangen, dass der Arbeitnehmer näher präzisiert, auf welche Informationen oder welche Verarbeitungsvorgänge sich sein Auskunftsersuchen bezieht. Je größer die Menge an Daten und je unkonkreter das Auskunftsverlangen ist, desto weniger ist dem Verantwortlichen die Erteilung einer allumfassenden Auskunft zuzumuten und desto eher muss sich der Auskunftsberechtigte mit allgemeinen Angaben (zB Bereitstellung einer strukturierten Zusammenfassung der verarbeiteten Daten in Tabellenform) oder mit leicht zugänglichen Informationen begnügen (z.B. Zugang zu einer Datenbank, in der mittels Suche nach dem Namen der betroffenen Person alle elektronischen Dateien, die das Suchwort umfassen, erfasst sind).
Darüber hinaus äußert sich das ArbG Heilbronn auch zu Anforderungen eines immateriellen Schadenersatzanspruches wegen einer unzureichenden Auskunft. Der Fall hat es vom Sachverhalt her in sich – es ging u.a. um geltend gemachte 4.500 Überstunden und einen Streitwert von 735.000 Euro. Die Klage wurde abgewiesen und liegt nun in der nächsten Instanz beim LAG Stuttgart (17 / Sa 15/25).
2.19 VG Hannover: Anforderung an „ablehnende“ Auswahlfelder bei Consent-Bannern
In einem Urteil des VG Hannover äußerte sich dieses zu den Anforderungen an eine Gestaltung eines Consent-Banners. Die Gestaltung eines Cookie-Einwilligungsbanners mit zwei Ebenen, bei welchem auf erster Ebene nur die Auswahlmöglichkeiten „Alle akzeptieren“, „Akzeptieren & schließen x“ und „Einstellungen“ bestehen, die zweite Ebene neben verschiedenen Drop-Down- Menüs die Optionen „Alle akzeptieren“ und „Auswahl speichern“ enthält und das bei der Auswahl des Buttons „Auswahl speichern“ beim Aufruf der Website stets neu erscheint, lenkt die Nutzer der Website in der Gesamtschau gezielt zur Abgabe der Einwilligung hin. Die Einwilligung sei daher nicht freiwillig im Sinne von § 25 Abs. 1 TDDDG, Art. 4 Nr. 11 DS-GVO.
Die Gestaltung eines Cookie-Einwilligungsbanners mit dem Button „Akzeptieren & schließen x“ in der rechten oberen Ecke führe zur Unwirksamkeit der Einwilligung, weil es sich weder um eine unmissverständlich abgegebene noch um eine freiwillige Erklärung im Sinne von § 25 Abs. 1 TDDDG, Art. 4 Nr. 11 DS-GVO handelt.
Darüber hinaus stellte das VG Hannover fest, dass der Einsatz des Dienstes Google Tag Manager einer Einwilligung nach § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DS-GVO bedürfe.
In der Berichterstattung dazu ging es dann sehr missverständlich zu: Das Gericht legte nicht fest, wie eine Schaltfläche zu gestalten und zu beschriften sei, wie hier interpretiert wurde (Ausführlicheres dazu hier).
Im Übrigen bestätigte das VG Hannover auch die Erwartung des LDI Niedersachsen, dass auf erster Ebene des Einwilligungsbanners die Angabe der Anzahl der über hundert Drittdienstleister der Klägerin anzugeben gewesen wäre. Bei dieser Anzahl handelt es sich nach dem VG Hannover um eine Information, die vielleicht nicht über die Erteilung oder Nichterteilung der Einwilligung entscheiden mag, jedoch den Nutzer dazu veranlassen kann nicht bereits auf erster Ebene auf den Button „Alle akzeptieren“ zu klicken sondern sich die Liste der Partner vorher anzuschauen, auf zweiter Ebene die Einwilligung abzulehnen oder zu versuchen die Anzahl der Partner zu reduzieren. Andererseits ist auf erster Ebene des Einwilligungsbanners ein Herunterscrollen notwendig, um zum Hinweis auf die Datenverarbeitung durch Anbieter in Drittstaaten wie den USA und die Möglichkeit des Widerrufs der Einwilligung zu gelangen. Regelmäßig wird ein Nutzer, der einen Artikel auf der Website der Klägerin lesen möchte, jedoch nur die erste Ebene des Einwilligungsbanners, wie es bei Erstaufruf der Website erscheint, ohne darin noch bis zum Ende zu scrollen, überfliegen. Sein Hauptinteresse wird es sein die dahinterliegende Website aufrufen zu können. Sowohl die Einbindung von über hundert Drittdienstleistern als auch die Datenverarbeitung in Drittstaaten wie den USA sind Informationen, die dem durchschnittlichen Nutzer der Website der Klägerin gegebenenfalls nicht bewusst sind. Sie sind jedoch relevant für eine informierte Entscheidung, um das Ausmaß einer erteilten Einwilligung zu überblicken.
2.20 LG Hannover: Verwarnungen des LfD Niedersachsen gegen VW bei Dieselskandal nur teilweise bestätigt
Insgesamt fünf Verwarnungen sprach der LfD Niedersachsen gegen VW im Rahmen der Bewältigung des Dieselskandals aus, drei davon bestätigte nun das LG Hannover.
Anlass für das Einschreiten des LfD war, dass VW mehrere Vergleiche und Vereinbarungen mit US-Behörden im Zusammenhang mit dem sogenannten „Dieselskandal“ geschlossen hatte, um laufende Strafverfahren und zivilgerichtliche Klagen in den USA zu beenden. Dazu wurde ein sog. Monitorship durchgeführt. Ziel dieses Verfahrens war es neue Compliance-Strukturen einzuführen und bestehende Strukturen zu verbessern, um entsprechende Vorkommnisse in Zukunft zu unterbinden. Hierzu wurde als Monitor ein ehemaliger stellvertretender US-Generalstaatsanwalt eingesetzt und es wurde vereinbart Informationen an die US-Umweltschutzbehörde EPA zu liefern . In den strittigen Fragen ging es um Offenlegung von Namen von Beschäftigten, die Rechtsgrundlage dazu und entsprechende Schutzmaßnahmen. Ferner um nicht ausreichende Information der betroffenen Mitarbeiter über die Weitergabe von Daten sowie die fehlende Dokumentation beim Austausch mit dem EPA-Prüfer.
Zu den Details der Verwarnungen und der jeweiligen Vorwürfe, nicht datenschutzkonform agiert zu haben, informiert der LfD auf seiner Seite. Ein Bericht dazu findet sich hier. Beide Seiten können noch Berufung einlegen.
Ergänzend: Wir berichteten bereits über das Parallelverfahren ebenfalls beim LG Hannover, in dem es um ein Bußgeld in Höhe von 4,3 Mio. Euro ging, dass das LG Hannover aufhob. Hier ist die Entscheidung mittlerweile rechtskräftig.
2.21 OVG Hamburg: Begrenzung des presserechtlichen Auskunftsanspruchs
In einem Beschluss des OVG Hamburg stellt dies fest, dass der presserechtliche Auskunftsanspruchs durch das Steuergeheimnis begrenzt werden kann.
2.22 LG Rostock: Anforderung an Schadenersatz bei Rechnungen nach Phishingangriffen
Das LG Rostock hebt bei der Betrachtung von Ausgleichsansprüchen, wenn auf böswillig geänderte Kontoangaben gezahlt wurde, das Niveau der Grundsätze des Mitverschuldens an. Neue Bankverbindungen seien kritisch zu hinterfragen. Besprechung des Urteils hier.
2.23 VG Münster: Darlegungslast bei Kontextualisierung bei Art. 15 DS-GVO
Das VG Münster hat sich mit der Auslegung von Art. 15 Abs. 3 DS-GVO befassen müssen. Wann besteht ein Anspruch auf Herausgabe von Dokumenten? Wie ist das Erfordernis zu verstehen, dass die Herausgabe von Dokumenten zur „Kontextualisierung der Verarbeitung“ erforderlich sein müsse? Es verlangt, dass der Betroffene darlegen muss, dass die Herausgabe erforderlich für eine Kontextualisierung sein müsse. Das AG Chemnitz sieht dies übrigens anders.
2.24 IDSG: Gemeinsame Verantwortlichkeit bei unterschiedlichen kirchlichen Datenschutzgesetzen
Das Interdiözesane Datenschutzgericht (IDSG) hat sich in einer Entscheidung zur gemeinsamen Verantwortlichkeit befasst, wenn zwei Einrichtungen beteiligt sind, die unterschiedlichen kirchlichen Einrichtungen unterliegen.
Eine von Diakonie und Caritas getragene Erziehungs- und Jugendberatungsstelle (EB) begleitet den Umgang eines Vaters mit seinem Kind, die Stelle wurde von der Polizei über eine Strafanzeige der Mutter gegen den Vater informiert. Daraufhin setzte die EB den Umgang zeitweise aus. Der Vater erhob Datenschutzbeschwerde gegen die EB wegen der Verwendung der erlangten Informationen, die EB sah durch die Beschwerde das Vertrauensverhältnis als zerstört an und sagte daher vereinbarte Umgangstermine ab. Die katholische Aufsicht wies die Beschwerde zurück und vertrat anscheinend die Position, nur für die bei der Caritas beschäftigten Mitarbeitenden zuständig zu sein.
Das IDSG sieht sich mangels entsprechender Abreden als zuständig an, weil einer der gemeinsamen Verantwortlichen – die Caritas – dem KDG unterfällt, und dieser Verantwortliche als Antragsgegner gewählt wurde. Hier ein (wie immer sehr guter) Bericht dazu.
2.25 BVwG Österreich: Verantwortlichkeit von Betriebsrat, Wahlvorstand und Betriebsratsfonds
In Österreich musste anhand von bestimmten Datenweitergaben das BVwG entscheiden, wie jeweils die Rolle eines Betriebsrates, eines Wahlvorstands und eines Betriebsratsfonds datenschutzrechtlich einzuordnen sei. Es gab eine klare Antwort: Jede der Stellen war im konkreten Fall als Verantwortlicher nach Art. 4 Nr. 7 DS-GVO zu klassifizieren. Näheres dazu auch hier.
Bitte beachten: In Deutschland hat der Gesetzgeber in § 79a Satz 2 BertVG dazu eine Festlegung getroffen.
2.26 Bezirksgericht Midden-Nederland: Vererbbarkeit eines Auskunftsanspruchs
Im Fall des Bezirksgerichts Midden-Nederland verstarb die auskunftssuchende Person vor der Beantwortung ihres Auskunftsbegehrens. Nach einem Rückforderungsschreiben für einen Erbschein blieb unklar, wer die möglichen Rechtsnachfolger des Anspruchstellers sind. Das Rechtsmittel ist daher nach Ansicht des Bezirksgerichts unzulässig. Damit wurden spannende Antwortmöglichkeiten einer interessanten Fragestellung vermieden, denn Art. 15 DS-GVO regelt ja das Recht einer natürlichen Person. Andererseits treten Erben auch die Rechtsnachfolge zu einem bereits gestellten Auskunftsbegehren an. Schade.
2.27 Bezirksgericht Amsterdam: Anordnungen im vorläufigen Verfahren gegenüber Salesforce
In einem Verfahren in den Niederlanden geht es um die Ausspielung von Cookies im Rahmen der Nutzung von Audience-Studio-Service durch Salesforce. Streitig ist u.a. wer dafür verantwortlich ist, Salesforce oder seine Kunden. Um für das Hauptsacheverfahren noch auf entsprechende Daten und Informationen zurückgreifen zu können, wurde gegenüber Salesforce angeordnet bestimmte Daten nicht zu löschen und seine Kundenliste zur Verfügung zu stellen. Aus dem Beschluss geht auch hervor, dass gemäß einer Untersuchung der Woche 38 im Jahr 2024 über 75 % der niederländischen Bevölkerung zwischen 18 und 70 Jahren, die regelmäßig im Internet aktiv sind, ein Cookie von Salesforce erhalten hatten.
2.28 Superior Court irgendwo in Georgia: Haftung für KI-Halluzinationen
In den USA erging eine erste Gerichtsentscheidung zur Verantwortung von KI-Diensten für KI-Halluzinationen. Im Jahr 2023 verklagte der Radiomoderator Mark Walters OpenAI, nachdem ChatGPT falsche Behauptungen aufgestellt hatte, in denen er der Veruntreuung und des Betrugs beschuldigt wurde (völlig fiktive Anschuldigungen).
Halluzinationen sind bei generativer KI fast unvermeidlich. Dieses Phänomen tritt auf, wenn KI-Dienste „Fakten“ erfinden, die es nie gegeben hat. Es gab zahlreiche unglückliche Vorfälle, bei denen sich Benutzer auf solche falschen Informationen verließen, oft mit schwerwiegenden Folgen. Aber kann ein KI-Dienst selbst für falsche Informationen verantwortlich gemacht werden, insbesondere, wenn es sich um verleumderische Anschuldigungen gegen reale Menschen handelt? Mit dieser Frage wurde nun in der ersten Gerichtsentscheidung zu diesem Thema umgegangen.
Der Superior Court of Gwinnett County, State of Georgia hat nun eine Entscheidung in dem Fall getroffen und zugunsten von OpenAI entschieden. Die Hauptbegründung war, dass Walters nicht beweisen konnte, dass OpenAI fahrlässig oder mit tatsächlicher Böswilligkeit gehandelt habe. Das Gericht betonte, dass ChatGPT die Nutzer ausdrücklich vor möglichen Ungenauigkeiten warnt und dass vernünftige Leser die Ergebnisse nicht als Tatsachenaussagen interpretieren würden.
Bitte beachten: Das Urteil basiert auf US-amerikanischem Recht.
2.29 EuGH-Vorschau: Akteneinsichtsrecht eines Rechtsanwaltes und DS-GVO (C-541/24)
Das Verfahren C-541/24 (NALTOV) geht auf den Antrag eines Rechtsanwalts zurück, der Zugang zu den Akten in einem vor dem vorlegenden Gericht anhängigen Verfahren erhalten möchte, ohne Vertreter einer der Parteien oder selbst Partei dieses Verfahrens zu sein. Der Antrag auf Vorabentscheidung nach Art. 267 AEUV betrifft das Recht aller Rechtsanwälte auf uneingeschränkten Zugang zu Akten in allen Verfahren, wie er nach bulgarischem Recht vorgesehen ist. Das vorlegende Gericht fragt, ob dieses Recht mit dem Vertrag über die Europäische Union, der Charta der Grundrechte der Europäischen Union und der DS-GVO vereinbar ist. Es ersucht den Gerichtshof außerdem um Klärung, ob ein berechtigtes Interesse immer nachgewiesen werden muss, damit der Zugang zu Akten gewährt wird. Am 5. Juni 2025 fand die mündliche Verhandlung statt.
2.30 EuGH-Vorschau: Auskunft als Verarbeitung und Schadensersatzansprüche (C-526/24)
Im Verfahren C-526/24 (Brillen Rotter) geht es beim EuGH um insgesamt acht Fragen zur Auskunft und Anforderungen an einen immateriellen Schadenersatz. Zu klären ist bspw., ob eine Auskunft als Verarbeitung nach Art. 4 Nr. 2 DS-GVO klassifiziert werden kann, außerdem Fragen zur Kausalität eines Schadens und ob allein aus der Verletzung eines Auskunftsrechts nach Art. 15 Abs. 1 DS-GVO kein Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO zusteht. Für den 5. Juni 2025 war die mündliche Verhandlung anberaumt.
2.31 EuGH-Vorschau: Beweisverwertungsverbote nach Datenschutzverstoß (C-484/24)
Im Verfahren C-484/24 (NTH Haustechnik) geht es um Fragen zur die Datenverarbeitung durch die Justiz und Beweisverwertungsverbote zu Informationen, die aus unerlaubter Datenerhebung stammen. Die mündliche Verhandlung ist für den 2. Juli 2025 angesetzt. Der genaue Sachverhalt ist hier zu entnehmen.
2.32 EuGH-Vorschau: Fragen zu Urheberrecht und LLM (C-250/25)
Im Verfahren vor dem EuGH C-250/25 (Like Company) geht es um das Sichtbarmachen eines Texts, der mit dem Inhalt der Website eines Presseverlags teilweise identisch ist, in den Antworten eines auf einem großen Sprachmodell (LLM) basierenden Chatbots, sowie dessen öffentliche Wiedergabe, Vervielfältigung und gegebenenfalls freie Nutzung. Der EuGH befasst sich erstmals mit der Frage, ob das Training und die Ausgabe generativer KI – konkret durch den Chatbot Gemini – mit dem Urheberrecht und dem Leistungsschutzrecht für Presseverleger vereinbar ist. Ausgangsfall ist der Vorwurf eines ungarischen Verlages gegen Google, Gemini habe einen Artikel über ein geplantes Delfin-Aquarium ohne Zustimmung des Rechteinhabers nahezu wortgleich zusammengefasst. Das vorlegende Gericht möchte vom EuGH unter anderem wissen: Gilt eine KI-generierte Antwort als öffentliche Wiedergabe geschützter Inhalte; ist das Training von KI-Systemen mit urheberrechtlich geschütztem Material als Vervielfältigung zu werten; greifen die Schranken des EU-Urheberrechts für Text- und Data-Mining und trifft den Anbieter eine Verantwortlichkeit, wenn Nutzer gezielt Inhalte prompten, die von der KI reproduziert werden?
Kommt der EuGH zu dem Ergebnis, dass sowohl die Trainingsphase als auch die Ausgabe urheberrechtlich relevante Handlungen darstellen und keine Ausnahme greift, könnten Anbieter künftig verpflichtet sein vorab Lizenzen einzuholen – mit potenziell weitreichenden Folgen für die Entwicklung generativer KI.
3 Gesetzgebung
3.1 Beschäftigtendatenschutzgesetz im Sofortprogramm
Wer schon länger im Datenschutzrecht aktiv ist, wird sich ein Grinsen nicht ganz verkneifen können. „Beschäftigtendatenschutzgesetz“ war bislang in den letzten 15 Jahren das Beispiel, dass es viele Ankündigungen und auch Entwürfe gab – aber nichts zustande kam. Nun findet sich das Vorhaben eines Beschäftigtendatenschutzgesetzes in dem „Sofortprogramm“ der Bundesregierung unter Ziffer 3, letzter Bulletpoint, wieder. Passenderweise im Kapitel „Sicherer und handlungsfähiger Staat“. Das leitet die Bundesregierung auch sehr aussagekräftig ein:
„Wir stärken die Handlungsfähigkeit unseres Staates und bringen dafür auch die Digitalisierung und Modernisierung des Staates voran. Wir bringen weitere Maßnahmen für eine geordnete Migration auf den Weg und werden die irreguläre Migration weiter wirksam zurückdrängen. Deutschland bleibt ein weltoffenes, sicheres Land.“
Da passt es dann ja gut, dass durch Bremen eine Bundesratsinitiative zu erwarten ist, die Änderungen bei der Mitbestimmung zugunsten der Betriebsräte erreichen will, z.B. auch bei der Einführung von mobiler Arbeit und Verbesserungen beim Datenschutz der Beschäftigten.
3.2 Appell: Blaupause für die digitale Zukunft
An der Veröffentlichung „The European Way. A Blueprint for Reclaiming Our Digital Future“ wirkten mehrere Expert:innen mit, um über dieses Strategiepapier einen Aufruf an Europa zu richten seine digitale Zukunft zurückzuerobern. Es adressiert insbesondere die EU-Institutionen und die neue deutsche Regierung und verfolgt drei Kernziele:
- Appell an die Entscheidungsträger die Gunst der Stunde zu nutzen und die übermäßigen und einseitigen technologischen Abhängigkeiten der EU endlich abzubauen,
- Formulierung einer kohärenten, werteorientierten digitalpolitischen Vision – des „Europäischen Weges“ –, die Innovation, Wettbewerbsfähigkeit und demokratische Grundsätze miteinander in Einklang bringt und
- Vorschlag von sechs größeren Reformpaketen, die diese Vision in konkrete Maßnahmen für den gesamten Technologiebereich umsetzen, von der digitalen Infrastruktur und der Integration des Binnenmarktes bis hin zu Geopolitik, guter Regierungsführung, Energieversorgung und digitalen Talenten und Fähigkeit.
Weitere Informationen auch hier in diesem Blog-Beitrag.
3.3 Verschiebung von Teilen der KI-VO?
Immer wieder wird Planungssicherheit als ein zentraler Baustein verlässlicher Wirtschaftspolitik hervorgehoben. Das hält aber Teile Mitgliedsstaaten nicht davon ab selbst um die Verschiebung bereits bekannter regulatorischer Maßnahmen zu bitten. Konkret geht es in diesem Bericht um die KI-VO, wobei angekündigte Normen und Standards bislang auch seitens der EU-Kommission noch nicht geliefert wurden. Auch scheinen mittlerweile auch die USA als Vorbild nicht mehr ganz ausgeschlossen, in denen Trump ein 10-jähriges Moratorium zur Verabschiedung von KI-Regulatorik ausgab.
3.4 EU: Geplante Änderungen der DS-GVO
Nicht erst seit dem sogenannten Draghi-Bericht, in dem der frühere EU-Kommissionspräsident die fehlende Wettbewerbsfähigkeit der EU anmahnte, sind Änderungen in der Digitalgesetzgebung im Gespräch. Auch Äußerungen des zuständigen EU-Kommissars (auf YouTube) zu Änderungen in der DS-GVO konnten wahrgenommen werden. Der EDSA und der EDSB reagierten auch auf Ideen dazu in einem Schreiben.
Nunmehr hat die EU-Kommission in einem Omnibus-Paket (Änderungen mehrerer Rechtsvorschriften in einem Gesetz) konkrete Änderungen auch der DS-GVO vorgeschlagen. Vorgesehen sind in Art. 1 des Omnibuspaktes Änderungen bei Verhaltensregeln und Zertifizierungen, aber insb. bei Art. 30 DS-GVO, dem Verzeichnis der Verarbeitungstätigkeiten. Dazu werden auch neue Begrifflichkeiten in Art. 4 DS-GVO zu Unternehmensgrößen definiert. Um hier den Anwendungsbereich der Ausnahmen erheblich zu erweitern, wird eine neue Unternehmensgröße auf EU-Ebene eingeführt („small mid caps“). Einheiten bis 750 Mitarbeiter und 150 Mio. Euro Jahresumsatz sind nach dem Vorschlag der Kommission danach von der Pflicht des Führens eines Verzeichnisses der Verarbeitungstätigkeiten befreit. Allerdings gibt es eine Rückausnahme, wenn sie Verarbeitungen mit einem hohen Risiko durchführen.
Dass dies z.B. in Deutschland allein durch gesetzlich vorgeschriebene Verarbeitungen in Sozial- und Arbeitsgesetzen passieren kann, wurde auch gesehen. So findet sich im ErwGr. 10 des Omnibuspakets eine Formulierung, die diese Bewertung ausnimmt.
In einem Begleitdokument berechnet die EU-Kommission die erwartete Entlastung für die KMU mit ca. 66 Mio. Euro.
Natürlich wird insbesondere der gesetzlich ermöglichte Verzicht auf eine zentrale Dokumentation der Verarbeitungen aus Praxissicht kritisch gesehen. Bietet doch gerade eine zentrale Dokumentation der Verarbeitungstätigkeiten die Grundlage für weitere Anforderungen wie Erfüllung der Informationspflichten oder eines Auskunftsbegehrens. Aber auch für die unternehmensinterne Steuerung und bestmöglichen Nutzbarkeit von Daten ist das Verzeichnis eine sehr gute Grundlage.
Zudem droht durch die Rückausnahme eines hohen Risikos zu weiteren bürokratischen Anforderungen, die ja gerade reduziert werden sollten: Aktuell ist bei fast keiner Anwendung, die eine KI in der Form einer LLM einsetzt und bei der personenbezogenen Daten Verwendung finden per se frei von einem hohen Risiko für die rechte und Freiheiten der Personen, deren Daten davon betroffen sind.
Die Diskussion um tatsächliche Entlastungen beginnt aber erst.
3.5 Hessen: Rechtliche Grundlage zur Anonymisierung und Einsatz von KI
In Hessen gibt es Überlegungen einer Partei eine einheitliche Rechtsgrundlage für den Einsatz von KI in der Verwaltung zu schaffen. Das dortige Digitalministerium sieht nach diesem Bericht dazu aber keinen Handlungsbedarf. Ein Anwendungsbereich wäre beispielsweise die Anonymisierung von Gerichtsurteilen, aber z.B. auch das Verfassen von Antworten auf wiederkehrende Bürgeranfragen oder die Beurteilung von umfangreichen Förderanträgen.
3.6 NKR: Bürokratieabbau konkret – Betriebliche Beauftragte
Der Nationale Normenkontrollrat (NKR) ist ein gesetzlich verankertes, unabhängiges Expertengremium, das die Bundesregierung berät. Er setzt sich für weniger Bürokratie, bessere Gesetze und eine digitale Verwaltung ein. Der NKR überprüft, welche Kosten neue Gesetze verursachen, ob praxistauglichere Alternativen bestehen und wie eine gute digitale Ausführung erreicht werden kann. Er ist Impulsgeber für ein modernes Deutschland und eine leistungsfähige Verwaltung (so zitiert von der Webseite des BMJ). Jetzt hat der NKR wieder einen Impuls veröffentlicht.
In elf Zielen und 60 konkreten Beispielen formuliert er seine Vorstellung zum Bürokratieabbau. Sein neuer Vorschlag am Beispiel der Betrieblichen Beauftragten zielt darauf ab, es den Normadressaten zu überlassen, wie sie gesetzliche Ziele und Standards erfüllen (vgl. Ziel Nr. 11). Damit will der der NKR eine Zielsetzung des Koalitionsvertrages unterstützen besonders für kleine und mittlere Unternehmen (KMU) Verpflichtungen zur Bestellung von Betriebsbeauftragten abzuschaffen und den Schulungs-, Weiterbildungs- und Dokumentationsaufwand signifikant zu reduzieren.
In seinem siebenseitigen Positionspapier dazu geht es dann konkret in Ziel 11 um die Reduzierung betrieblicher Beauftragter. Der NKR geht davon aus, dass z.B. die erheblichen Belastungen vieler Betriebe und Unternehmen durch bisher gesetzlich vorgeschriebene Betriebliche Beauftragte reduziert werden könnten, wenn diese nicht mehr obligatorisch sind. Er empfiehlt deshalb grundsätzlich die Betriebe und Unternehmen in eigener Verantwortung entscheiden zu lassen, wie die mit den bisher obligatorisch Beauftragten verbundenen gesetzlichen Ziele und Standards gewährleistet werden können. Ob dazu die Einsetzung Betrieblicher Beauftragter sinnvoll oder erforderlich ist, sollten die Betriebe und Unternehmen selbst entscheiden. So könnten die Aufgaben der Beauftragten z.T. gebündelt von Betriebsleitern oder Geschäftsführern wahrgenommen oder durch externe Dienstleister erledigt werden. Als Beispiel für das „Goldplating“, d.h. der Übererfüllung europäischer Vorgaben, fällt dem NKR dann (natürlich) die Benennungspflicht eines DSB nach § 38 BDSG ein.
Ironie der Geschichte: Sollte man nicht auch die Beauftragung des NKR nach diesen Vorgaben bewerten? Sollten Normgeber nicht bereits von sich aus die Ziele des NKR berücksichtigen und anstreben, so dass ein solches beratendes Gremium eingespart werden könnte?
3.7 bitkom: Datenschutz als Innovationsbremse
Der bitkom hat eine Umfrage bei 605 Unternehmen veröffentlicht und berichtet dazu, dass sich mehr als zwei Drittel der Unternehmen in Deutschland vom Datenschutz ausgebremst fühlen. Allein, dass hier nicht auf Fakten, sondern auf Gefühle referenziert wird, es nicht erkennbar ist, welche Funktionsebenen in den Unternehmen befragt wurden, es keine Nachfrage nach den zitierten redundanten Dokumentationspflichten gab oder auf welche Grundsätze der DS-GVO verzichtet werde sollte, lässt für mich keinen Mehrwert der Umfrage erkennen. Im Gegenteil, kurz nach der Veröffentlichung gab es eine Sendung im ZDF, die sich mit Fragen zur Meinungsfreiheit befasste. Auch dabei wurde eine Umfrage zugrunde gelegt, die auf den Gefühlen der Befragten basiert. Eine eingeladene Neurowissenschaftlerin konnte sich dann auch passend dazu äußern. Sie empfahl, bei Befragungen oder Äußerungen wie „Man dürfe ja nichts mehr sagen“ konkret nachzuhaken, „Wann ist Ihnen das zum letzten Mal passiert und was ist passiert?“. Dies könnte auch bei diesen Umfragen zur Klarheit beitragen.
3.8 Freiwilliger Verzicht auf das Widerspruchsrecht bei der ePA
Ist es noch eine freiwillige Entscheidung, ob gesetzlich Versicherte von ihrem Widerspruchsrecht Gebrauch machen, wenn es einen finanziellen Rabatt für Versicherte gibt, die auf ihr Widerspruchsrecht verzichten? Das wurde nach dieser Meldung auf dem 129. Ärztetag thematisiert. Patientinnen und Patienten sollen nicht benachteiligt werden, wenn sie der elektronischen Patientenakte widersprechen (§ 341 ff SGB V).
3.9 NIS-2-Referentenentwurf
Es gibt einen neuen Referentenentwurf zur Umsetzung der NIS-2-Richtlinie, wie er hier geleakt wurde. Das wird auch Zeit, befindet sich doch Deutschland (mit anderen) bereits in einem Vertragsverletzungsverfahren der EU (wir berichteten), weil es die entsprechende Richtlinie nicht bis 17.10.2024 umsetzte (Details sind hier nachzulesen). Inhaltlich befasst sich dieser Beitrag damit.
3.10 EP: KI-VO: Zeitplan der Anwendung
Der Wissenschaftliche Dienst des Europäischen Parlaments veröffentlichte eine aktuelle Darstellung des Zeitplans der Anwendung der KI-VO.
4 Künstliche Intelligenz und Ethik
4.1 ISO/IEC 42005:2025 AI system impact assessment
Der Standard ISO/IEC 42005:2025 wurde offiziell veröffentlicht. Er bietet eine Anleitung für Organisationen, die Folgenabschätzungen für KI-Systeme durchführen. Die Einrichtung eines Prozesses und die Durchführung einer Folgenabschätzung für KI-Systeme ist für Unternehmen, die eine Zertifizierung nach ISO 42001 anstreben, von entscheidender Bedeutung. Noch wichtiger ist, dass die KI-Folgenabschätzung es Unternehmen ermöglicht KI-Systeme mit hohem Risiko zu identifizieren und mögliche Auswirkungen auf Einzelpersonen, Gruppen oder Gesellschaften in Bezug auf Fairness, Sicherheit und Transparenz zu bestimmen.
4.2 Speicheranordnung gegen OpenAI
Im Rahmen eines Gerichtsverfahrens um Urheberrecht und „Fair Use“ erging in den USA eine gerichtliche Verfügung gegen OpenAI, vorerst nichts mehr zu löschen. Was das für Nutzer bedeutet, ist z.B. hier nachzulesen. OpenAI nimmt dazu auch Stellung.
Einen interessanten Aspekt dabei beleuchtet dieser Beitrag – inwieweit dann nicht gelöschte Daten noch als Beweismittel in Verfahren verwendet werden dürften.
Franks Nachtrag: Bei mir war es noch nur ein LinkedIn-Post. So hat es mehr Kontext.
Franks zweiter Nachtrag: Natürlich hat das nun Konsequenzen für verschiedene Nutzer:innen-Gruppen von ChatGPT.
4.3 Online-Kurs zu LLM
Wie bringen wir Menschen bei LLM gut zu nutzen? Der neue Online-Kurs (unter CC-Lizenz) von Anthropic ist eine gute Einführung in englischer Sprache.
4.4 Empfehlungen zum Einsatz von KI an Hochschulen
Künstliche Intelligenz verantwortungsvoll nutzen: Die bayerischen Hochschulen für angewandte Wissenschaften und die Technischen Hochschulen legen eine gemeinsame Leitlinie zum Einsatz von Künstlicher Intelligenz in Studium, Prüfungen und Lehre vor. Die Leitlinie will praxisnahe Empfehlungen für eine rechtssichere, didaktisch sinnvolle und ethisch verantwortungsvolle Integration von KI in den Hochschulalltag bieten. Zentrale Inhalte der Leitlinie umfassen:
- Fragen und Antworten zur KI-Leitlinie
- Empfehlungen zur ethisch, rechtlich und didaktisch fundierten Nutzung generativer KI in Lehrveranstaltungen, im Selbststudium und bei Prüfungen
- Hinweise zur Bereitstellung und zum Betrieb von KI-Werkzeugen
- Beispiele für hochschuleigene KI-Richtlinien
- Konkrete Einsatzszenarien und Praxisbeispiele für KI in Studium, Lehre und im Prüfungskontext
- Verweise auf Fortbildungsangebote und weiterführende Materialien
4.5 DKJS: Benotung von Schüler:innen durch KI
Die Deutsche Kinder- und Jugendstiftung (DKJS) hat ein „Memorandum zum Einsatz von Anwendungen „Künstlicher Intelligenz“ für die Leistungsbewertung an Schulen“ veröffentlicht. Darin empfehlen sie, dass Lehrkräfte ehrlich untereinander aber auch mit ihren Schulleitungen sein müssen, welche KI-Systeme sie nutzen. Denn Schüler:innen und Sorgeberechtigten hätten ein Recht darauf zu erfahren, welche Systeme ihre Daten verarbeiten. Schatten-KI und damit unrechtmäßiger KI-Einsatz entsteht, wo Lehrkräfte privat und im Geheimen KI-Systeme nutzen. Derzeit entspricht der KI-Einsatz zur Benotung nicht den Datenschutzgrundsätzen. Es gilt der Richtigkeitsgrundsatz und KI-Systeme erfüllten diesen erwiesenermaßen nicht. Leistungsnachweise enthalten oft besonders sensible Daten von Schüler:innen. Zur Verarbeitung dieser fehlt es durchgängig an den Rechtsgrundlagen in den Ländern. Ohne regulatorische Anpassung sei aktuell Diagnostik mit KI an Schulen nicht zulässig.
4.6 Convention 108: Privacy and Data Protection Risks in Large Language Models (LLM)
Auch für die Konvention 108, die auf europäischer Ebene die Grundlage eines gemeinsamen Datenschutzverständnisses legte, hat ein Beratungsgremium (Consultative Committee) für die Sitzung am 17. Juni 2025 nun ein Papier zu Risiken für die Privatsphäre und Datenschutz durch LLM (Privacy and Data Protection Risks in Large Language Models) veröffentlicht.
4.7 KI und Unternehmenspraxis
In dieser Studie „Unveiling Challenges for LLMs in Enterprise Data Engineering“ wird behandelt, inwieweit LLMs in der echten Unternehmenspraxis einsetzbar sind. Sprachmodelle wie GPT-4 oder Claude 3.5 beeindruckten in Benchmarks, lösten Tabellenaufgaben an Universitäten – doch in realen Unternehmen, insbesondere mit SAP-Daten, versagten sie – laut Studie.
Als Begründung wird aufgeführt, dass sie auf eine Datenwelt treffen, die mit „Standard“ wenig zu tun hat. Unternehmensdaten sind strukturell komplex: Tabellen mit Hunderttausenden Zeilen, kryptischen Spaltennamen, leere oder nichtssagende Daten und semantischen Feinheiten, die nur mit internem Wissen zu verstehen sind. Dabei helfe kein öffentliches Vorwissen. Das Modell kennt den Kontext nicht und kann ihn nicht rekonstruieren. Das bedeutet, dass die Schwäche nicht im Potenzial der LLM liegt, sondern im Fehlen von „organisationalem Kontext“. Einfach nur Unternehmensdaten in ein Modell laden und erwarten, dass es funktioniert, klappt wohl eher nicht. Bleibt die Frage: Wie viele der Daten sind wirklich modellverständlich? Oder anders: Wie kann man sicherstellen, dass das Modell mitspielt?
4.8 Sicherheit von KI-Agenten
KI-Agenten wurden durch große Sprachmodelle unterstützt. KI-Agenten können als intelligente Assistenten fungieren und Aufgaben im Namen ihrer Benutzer erledigen, mit Zugriff auf Tools und mit der Möglichkeit Befehle in ihren Umgebungen auszuführen. Durch die hier vorgestellte Untersuchung und Erfahrung des Arbeitsablaufs typischer KI-Agenten werden in dieser Studie Bedenken hinsichtlich ihrer Sicherheit geäußert. Diese potenziellen Schwachstellen würden weder durch die Frameworks, die zum Erstellen der Agenten verwendet werden, noch durch Forschung, die auf die Verbesserung der Agenten abzielt, behoben. In der Studie „Sicherheit von KI-Agenten“ werden Schwachstellen detailliert aus der Perspektive der Systemsicherheit identifiziert. Zudem werden Abwehrmechanismen vorgestellt, die jeder Schwachstelle entsprechen, mit Design und Experimenten, um ihre Lebensfähigkeit zu bewerten. Insgesamt möchte dieses Papier die Sicherheitsprobleme bei der aktuellen Entwicklung von KI-Agenten kontextualisieren und Methoden skizzieren, um KI-Agenten sicherer und zuverlässiger zu machen.
4.9 Leitfaden: Agentic AI Red Teaming
Agentische KI-Systeme stellen einen bedeutenden Fortschritt für die KI dar. Ihre Fähigkeit selbstständig zu planen, zu denken, zu handeln und sich anzupassen, führt zu neuen Fähigkeiten und folglich auch zu neuen Sicherheitsherausforderungen. Traditionelle Red-Teaming-Methoden sind für diese komplexen Umgebungen unzureichend. Hier wurde eine Publikation veröffentlicht, die einen detaillierten Red-Teaming-Rahmen für Agentic AI bietet. Es wird erläutert, wie kritische Schwachstellen in Bereichen wie Berechtigungserweiterung, Halluzination, Orchestrierungsfehler, Speichermanipulation und Lieferkettenrisiken getestet werden können. Jeder Abschnitt enthält umsetzbare Schritte zur Unterstützung einer soliden Risikoidentifizierung und Reaktionsplanung.
Mit der Integration von KI-Agenten in Unternehmen und kritische Infrastrukturen muss proaktives Red Teaming zu einer kontinuierlichen Funktion werden. Sicherheitsteams müssen isolierte Modellverhaltensweisen, vollständige Agenten-Workflows, Abhängigkeiten zwischen Agenten und reale Ausfallmodi testen. Der Leitfaden „Agentic AI Red Teaming Guide“ will diese Umstellung ermöglichen. Er soll Unternehmen helfen, zu überprüfen, ob ihre Agentic-AI-Implementierungen Rollengrenzen durchsetzen, die Integrität des Kontexts wahren, Anomalien erkennen und den Angriffsradius minimieren.
4.10 Australien: Artificial Intelligence (AI) Model Clauses
In Australien hat die Digital Transformation Agency eine Reihe von KI-Modellklauseln veröffentlicht, die durch Käufer von KI-Systemen oder -Dienstleistungen (Procurement) in einem der folgenden Szenarien verwendet werden könnten:
1. Wenn sie Dienstleistungen von einem Verkäufer beziehen, der KI bei einer solchen Erbringung der Dienstleistungen einsetzt,
2. wenn sie KI (z. B. automatisierte Entscheidungsfindungsinstrumente) in ihrer eigenen Organisation mit Unterstützung eines Beraters entwickeln oder
3. wenn sie Software mit eingebetteten KI-Funktionen beschaffen.
Die Klauseln beziehen sich auf ein breites Spektrum von Grundsätzen und regulatorischen Verpflichtungen für verantwortungsvolle KI, darunter: menschliche Aufsicht, Erklärbarkeit, Transparenz; Datenschutz und Sicherheit sowie Benachrichtigung über Vorfälle; Schulung, Prüfung und Überwachung des Systems; Geistiges Eigentum; Data Mining; KI-Datensätze und Käuferdaten sowie Risikomanagement.
In Australien findet sich einiges zum Einsatz von KI in der Verwaltung, siehe auch hier.
4.11 Universität Liechtenstein: Verantwortung in Zeiten künstlicher Intelligenz
Die 5. Wissenschaftsgespräche Triesen 2025 fanden im April statt und widmeten sich dem Thema Künstliche Intelligenz (KI). Expertinnen und Experten aus den drei akademischen Institutionen Liechtensteins, der Universität Liechtenstein, dem Liechtenstein-Institut und der Privaten Universität im Fürstentum Liechtenstein (UFL) gestalteten mit Vorträgen und einer anschließenden gemeinsamen Diskussion einen Themenabend für und mit dem zahlreich erschienenen Publikum.
Angesprochen wurden u.a. „KI als Werkzeug in der Erforschung von Blutgruppen“; „Mensch und Algorithmus: Schutz der Grundrechte im Zeitalter der Künstlichen Intelligenz“, „Künstliche Intelligenz im Dienst der Cyberkriminellen“; „Demokratisierung von Künstlicher Intelligenz“ und „Big Data und Wahlkampagnen: Wieviel Einfluss hat KI auf heutige Wahlergebnisse?“ Die Vorträge sind hier auf YouTube verfügbar.
4.12 Podcast zu KI, Robustness und Data Governance
Was ist bei Künstlicher Intelligenz unter Robustness und Data Governance zu verstehen, warum ist es schwer KI-Modelle wirklich robust zu machen und warum zwingt die KI-VO Unternehmen ihre „Hausaufgaben“ zu machen? Das alles sind Themen, die in diesem Podcast (Dauer ca. 1:05 Std.) zwischen zwei Expert:innen angesprochen werden.
4.13 LLM: „Lost in Conversation“
Das Phänomen, dass sich Sprechmodelle in längeren Diskussionen „verheddern“, wurde nun erstmals systematisch untersucht. Je länger man mit einer KI schreibt, desto ungenauer werden die Ergebnisse. Erst antwortet sie brillant – dann plötzlich ungenau, abweichend oder einfach neben dem Thema. Sprachmodelle verheddern sich in längeren Diskussionen. Nicht weil sie dumm wären, sondern weil sie zu früh klug tun wollen. Sie schließen voreilig behaupten zu wissen, was gemeint ist, und stützen sich dann auf ihren eigenen Unsinn. Die Studie untersucht, wie sich große Sprachmodelle (LLM) in mehrstufigen Gesprächen (Shared Instructions) verhalten – im Vergleich zu Aufgaben, bei denen alle Informationen auf einmal gegeben werden (Full Instructions).
Die Studie “LLMs Get Lost in Conversation” zeigt, warum KI-Modelle in mehrstufigen Gesprächen regelrecht die Orientierung verlieren.
4.14 IEEE P7000 und VBE: Ethische IT-Systeme
Über den IEEE 7000 hatten wir hier schon mal berichtet. Nun wird der IEEE P7000 Teil der VBE (Value-Based-Engineering), wie eine der Mit-Initiatorinnen hier informiert.
Übrigens gibt es über Austrian Standards eine Personenzertifizierung „Value-based Engineering Ambassador for Ethical IS & AI“ ein. Diese ermöglicht es Einzelpersonen, ihre Kompetenz in Bezug auf den Standards ISO/IEC/IEEE 24748-7000 nachzuweisen.
4.15 Volkswagenstiftung: KI-Transparaenzregister
Wie kann der Staat KI nutzen ohne Grundrechte zu gefährden? Eine Antwort auf diese Frage kann ein KI-Transparenzregister für die öffentliche Verwaltung sein. Die Volkswagenstiftung fördert ein interdisziplinäres Projekt und berichtet hier darüber.
4.16 „Die Ethik der Künstlichen Intelligenz“
Um Macht, Kritik und Verantwortung geht es in diesem frei verfügbaren Werk. Es möchte eine kritische Untersuchung der künstlichen Intelligenz (KI) und ihrer tiefen Verflechtung mit Machtstrukturen im digitalen Zeitalter bieten. Dabei stellt es den vorherrschenden Diskurs über KI in Frage und betrachtet sie nicht als unpolitisches Werkzeug, sondern als soziotechnisches System, das Ausbeutung, Ungleichheit und Manipulation auf globaler Ebene aufrechterhält. Durch eine machtbewusste Sichtweise befasst sich das Buch mit den ethischen Implikationen von KI, indem es die kollektive Verantwortung hervorhebt, individualistisches moralisches Handeln ablehnt und für einen systemischen Wandel durch politische Regulierung eintritt. Der Verfasser integriert kritische Theorie, politische Philosophie und die detaillierte Diskussion von Beispielen, die auf profunden technischen Erkenntnissen beruhen, um die gesellschaftlichen Auswirkungen von KI zu dekonstruieren, und fordert eine neue Ethik, die kollektives politisches Handeln gegenüber technologischem Lösungsdenken betont.
4.17 KI-VO: The Regulation of Fine Tuning
Bei der KI-VO sind noch einige Fragen offen: Wie sollte das Gesetz Änderungen an universellen KI-Modellen behandeln? Von Prompt Engineering und Retrieval Augmented Generation (RAG) bis hin zur vollständigen Feinabstimmung und Destillation – wo beginnen die Pflichten eines „Anbieters“ und wie verteilt sich die zivilrechtliche Haftung auf die gesamte Wertschöpfungskette, wenn etwas schief geht? Antworten auf diese Fragen versucht das Papier „The Regulation of Fine-Tuning: Federated Compliance for Modified General-Purpose AI Models“ zu geben.
4.18 Kann KI schlussfolgern?
Dieser Blog-Beitrag befasst sich mit Aspekten aus Recruitement-Sicht und einer Studie von Apple: “The Illusion of Thinking: Understanding the Strengths and Limitations of Reasoning Models via the Lens of Problem Complexity”.
4.19 USA: Medienhäusern verklagen Midjourney
Die führende US-Medienkonzerne verklagen Midjourney im Central District of California und behaupteten unter anderem, dass das Unternehmen seinen Bilddienst auf ihre Werke trainiert und es versäumt habe Maßnahmen zum Schutz des Urheberrechts zu ergreifen, um die Verletzung zu begrenzen. In der Klage bezeichnen die Kläger das Geschäftsmodell von Midjourney als „Bootlegging“ und erklären, dass das Kopieren von Midjourney ein „gut dokumentiertes Merkmal“ seines Bilddienstes ist. Die Kläger versuchen auch Midjourney daran zu hindern seinen bevorstehenden Videodienst ohne angemessene Maßnahmen zum Schutz des Urheberrechts zu starten.
4.20 Prüfungsmethoden zu KI-Systemen
Das Center for Democracy & Technology untersuchte verschiedene Methoden zur Prüfung von KI-Systemen und unterstreicht die dringende Notwendigkeit von Rechenschaftspflicht, robustem Risikomanagement und einem umfassenden Bewertungsansatz. Das Ergebnis wurde in dem Bericht “Assessing AI: Surveying the Spectrum of Approaches to Understanding and Auditing AI Systems” zusammengefasst. Er will einen Überblick über die vielfältigen Methoden zur Bewertung von KI-Systemen – von Folgenabschätzungen und Audits bis hin zu Red-Teaming und formeller Qualitätssicherung – geben.
4.21 Haftungsmaßstab für maschinelles Lernen
Diese frei zugängliche Dissertation befasst sich mit einem Thema, das viele interessiert: der Haftungsmaßstab für maschinelles Lernen. Auch wenn die Dissertation bereits im Wintersemester 2022/23 eingereicht wurde, wurde sie nun noch um aktuelle Entwicklungen ergänzt.
4.22 DIN SPEC 91517:2025-05 Vertrauenswürdige KI in Polizeianwendungen
Das Dokument des DIN SPEC 91517_2025-05 umfasst ein breites Spektrum an verschiedenen Techniken wie Textanalyse, Objekterkennung, Gesichtserkennung, Spracherkennung und kombinierte Ansätze sowie Anwendungsfälle und deren Identifizierung.
Es berücksichtigt zudem die Anforderungen der KI-VO. So bietet es einen Überblick über die logischen Anforderungen an KI-Systeme – nicht nur für polizeiliche Anwendungsfälle – wie z. B. Transparenz durch Modell-/Systemkarten, die Minderung von Vorurteilen, Anforderungen an die Rechenschaftspflicht und tiefe Einblicke in die Feinheiten der Gesichtserkennung, einschließlich des rechtlichen Rahmens von Urteilen des EuGH und des EGMR.
4.23 Bundesnetzagentur: Podcast zu KI
Wie wollen wir mit Künstlicher Intelligenz umgehen? Darum geht es im Podcast der Bundesnetzagentur (BNetzA, Dauer ca. 36 Min.).
Künstliche Intelligenz ist eine Revolution, die der Menschheit Wohlstand, Gesundheit und Frieden bringt, sagen die einen. Künstliche Intelligenz birgt ein unkalkulierbares Risiko, die Maschinen werden über die Menschen herrschen, sagen die anderen.
Klar ist nur: KI ist längst da. Wir brauchen einen Umgang mit dem Einsatz der Technologie. Die EU hat deshalb den weltweit ersten Rechtsrahmen erlassen, der die Anwendung von KI umfassend regulieren soll – den AI-Act. Mit der Vizepräsidentin der BNetzA wird besprochen, wie eine sinnvolle Regulierung von KI-Anwendungen aussehen soll. Wie können die Nutzer*innen geschützt und gleichzeitig Innovation gefördert werden? Welche Rechte sind eigentlich in Gefahr? Wie soll Europa zum „führenden KI-Kontinent“ werden, wo doch die Tech-Giganten in den USA sitzen? Und was bringt überhaupt eine europäische Regulierung, wenn sie andernorts gar nicht stattfindet?
4.24 GDD: Betriebliche Musterrichtlinie zum KI-Einsatz
Die GDD bietet eine Musterrichtlinie für den verantwortungsvollen Umgang mit Künstlicher Intelligenz (KI) im Unternehmenskontext an. Sie soll Unternehmen dabei unterstützen klare Rahmenbedingungen für die Nutzung von KI-Systemen zu schaffen und dabei rechtliche, ethische und sicherheitsrelevante Aspekte zu berücksichtigen. Natürlich erhebt die vorliegende Musterrichtlinie keinen Anspruch auf Vollständigkeit und muss an die individuellen Gegebenheiten, Strukturen und Anforderungen des jeweiligen Unternehmens angepasst werden. Sie soll als Orientierungshilfe dienen und keine rechtliche Beratung ersetzen. Ziel sei es durch präventive Maßnahmen und transparente Prozesse den sicheren, fairen und nachvollziehbaren Einsatz von KI-Anwendungen im betrieblichen Alltag zu gewährleisten.
4.25 Chatbots in der schweizer Bundesverwaltung
Die Eidgenössische Finanzkontrolle (EFK) hat in einem aktuellen Bericht untersucht, wie KI-gestützte Chatbot-Lösungen in der Bundesverwaltung eingesetzt werden – und ob dabei Synergien entstehen. Das Ziel war zu bewerten, ob Synergien zwischen den Vorhaben realisiert werden und inwiefern der erhoffte Nutzen realisiert werden kann. Weiter sollte die Rolle des Kompetenznetzwerks für künstliche Intelligenz (CNAI) beurteilt werden. Die EFK identifizierte 21 KI-Chatbot-Lösungen in der Bundesverwaltung. Dabei handelt es sich sowohl um Anwendungen im Betrieb, als auch um Projekte in verschiedenen Stadien. Der Großteil sind Chatbots auf öffentlichen Webseiten mit geringen Kosten und Risiken. Komplexere Lösungen, die hohe Datensouveränität und Sicherheitsstandards erfordern, sind in der Minderheit und befinden sich alle noch in der Entwicklungsphase. Zu dem ausführlichen Bericht gibt es auch eine Zusammenfassung.
4.26 CEDPO: Grundrechte-Folgenabschätzung bei KI
Die Arbeitsgruppe KI und Daten der Confederation of European Data Protection Organisations (CEDPO) veröffentlichte im Rahmen ihrer Micro-Insights-Serie ein Papier zur „Grundrechte-Folgenabschätzungen: Was sind sie? Wie funktionieren sie?“ mit Stand Januar 2025. Weitere Veröffentlichungen der CEDPO finden sich hier.
4.27 Meta prüft mit KI
Meta will laut nach diesem Bericht und internen Dokumenten bis zu 90 Prozent seiner Datenschutz- und Risikoprüfungen KI-Systemen überlassen. Ein automatisiertes Verfahren soll künftig Entscheidungen zu neuen Funktionen, Algorithmen oder Inhaltsregeln übernehmen. Die Bewertung erfolgt auf Basis von Fragebögen, die von Produktteams ausgefüllt werden. Nur bei komplexen Fällen ist eine manuelle Kontrolle vorgesehen. Für Europa ist ein separates Prüfverfahren geplant.
4.28 Klage gegen Workday in den USA
Worum es in dem Massenklageverfahren in den USA geht, wird hier ausführlich erläutert. Auch wie der Sachverhalt nach deutschem Recht zu beurteilen wäre.
5 Veröffentlichungen
5.1 Gemeinsame Verantwortlichkeit bei öffentlichen Stellen
Wann aus Sicht des EDSA und des EuGH bei Beteiligung von öffentlichen Stellen eine gemeinsame Verantwortlichkeit vorliegt, wird in diesem frei zugänglichen Blog-Beitrag beschrieben.
5.2 ISO/IEC WD 27560: Consent record information structure
Der ISO-Standard zu Einwilligungen ISO/IEC WD 27560 wird derzeit überarbeitet. Eine Leseempfehlung zur bisherigen Version und Umsetzungsmöglichkeiten unter der DS-GVO und dem DGA findet sich hier.
5.3 Wettbewerbsvorteil Datenschutz?
Wir hören es immer wieder: Datenschutz kann ein Wettbewerbsvorteil sein. Ist er das tatsächlich? Mehr dazu in diesem Interview mit einem KI-Investor.
5.4 GDD: Pflichten der Unternehmen nach DS-GVO (auch ohne DSB)
Für viele erscheint die Änderungen des § 38 Abs. 1 BDSG mit der Abschaffung der nationalen Regelung zur Benennung des DSB als Königsweg für die Entbürokratisierung aller KMU und Vereine. Die GDDhat hier aufgelistet, um was sich alles auch ohne benannten DSB zu kümmern ist.
5.5 Besprechung EuGH-Urteil C-203/22 (automatisierte Entscheidung und Transparenz)
Das Urteil des EuGH im Verfahren C-203/22 (wir berichteten) hat weitreichende Auswirkungen auf die Transparenzanforderungen bei automatisierten Entscheidungen. Hier befasst sich ein Blog-Beitrag mit den Details dazu.
5.6 FAQ für E-Mail-Marketing
An was sollte alles gedacht werden, wenn für das Marketing Newsletter eingesetzt werden sollen? Neben der DS-GVO sind auch die Vorgaben des TDDDG zu beachten sowie die des UWG. Hilfestellung möchten diese FAQ bieten, die sich mit relevanten Fragestellungen befassen
5.7 Klage gegen Google (YouTube) wegen unterlassener Werbekennzeichnung
Die verbraucherzentrale Baden-Württemberg informiert, dass sie Klage gegen den YouTube-Betreiber Google eingereicht hat. Sie macht geltend, dass Werbevideos auf YouTube nicht hinreichend transparent gekennzeichnet seien.
Die verbraucherzentrale Baden-Württemberg will die YouTube-Betreiberin Google gerichtlich dazu bewegen, dass kommerzielle werbliche Inhalte von Content Creators in Echtzeit und eindeutig als Werbung gekennzeichnet werden. Im konkreten Fall klagt die verbraucherzentrale gegen Google und legt dem Gericht beispielhaft Werbevideos eines Finfluencers und einer Mode-Influencerin vor.
Bericht dazu auch hier.
5.8 Rechtssicheres Handeln bei Cybervorfällen
Cyberangriffe können Unternehmen jeder Größe und Branche treffen. Die Folgen sind oft schwerwiegend und können Vertragsstrafen, Haftungsrisiken, Reputationsschäden und auch die strafrechtliche Verfolgung umfassen. Neben den datenschutzrechtlichen Konsequenzen müssen sich Unternehmen auch mit versicherungsrechtlichen und vertragsrechtlichen Fragen auseinandersetzen. Die Aufzeichnung der Veranstaltung der Stiftung Datenschutz zu dieser Thematik ist nun hier und die Präsentation dazu dort verfügbar.
5.9 Muster-Auftragsverarbeitungsvertrag für Hochschulen veröffentlicht
Der Zentren für Kommunikation und Informationsverarbeitung in Lehre und Forschung e.V. (ZKI) veröffentlichte eine Muster-Auftragsverarbeitung-Vereinbarung (Muster-AVV). Auf Initiative der Datenschutzbeauftragten der NRW-Hochschulen wurde ein universell einsetzbarer Vertrag zur Auftragsverarbeitung auf Basis des Musters der EU-Kommission entwickelt, der um hochschulrelevante Anforderungen erweitert wurde. Dieser Vertrag wurde kontinuierlich verbessert, insbesondere durch die Mitwirkung der Datenschutzbeauftragten der sächsischen Hochschulen. Eine Gruppe von Datenschutz- und Informationssicherheitsbeauftragten deutscher Hochschulen hat zudem die Liste der technischen und organisatorischen Maßnahmen an die Bedarfe und Anforderungen der Hochschulen angepasst. Damit stünde nun ein Muster für einen Vertrag zur Auftragsverarbeitung zur Verfügung, der von allen Hochschulen genutzt werden kann. Dieses Muster ermögliche es, den Prozess zum Umgang mit Dienstleisterverträgen an den Hochschulen zu vereinheitlichen. Die Muster-AVV findet sich hier.
5.10 KI und File Carving
File Carving ist eine forensische Methode, um Datenfragmente, die beim digitalen Löschen übrig bleiben, „auszugraben“. Wer Spuren verwischen will, löscht Dateien, formatiert Speicher oder verschlüsselt ganze Datenträger. Doch selbst dann bleiben Fragmente zurück – Datenreste, die in den ungenutzten Sektoren einer Festplatte auf ihre Wiederentdeckung warten. Mit Künstlicher Intelligenz kann dieses Puzzeln nun intelligenter – und effizienter – werden. Aber vielleicht auch rechtlich problematischer. Und darum geht es in diesem Blog-Beitrag.
5.11 Datenschutz und Archivierung
Wer sich orientieren möchte, wie Archivierungsaufgaben und datenschutzrechtliche Anforderungen rechtskonform umgesetzt werden können, kann sich an der Guidance on data protection for archive services der European Archiv Group orientieren.
5.12 Videoclips zum Datenrecht
Was vereint die ganze Regulierung der Digitalisierung? Genau: Daten. Und so scheint es naheliegend einfach mal alles zusammenzufassen, was dazugehören könnte. Aus der Universität Freiburg heraus wird nun eine 26-teilige Serie von Videoclips zum Datenrecht online angeboten.
Damit sollen erste Einblicke in die Vielfalt des Datenrechts – von den Grundlagen und dem aktuellen (und künftigen) Rechtsrahmen bis zu den globalen Dimensionen – gegeben werden.
5.13 bitkom: Umfrage zum Data Act
Dieser Beitrag befasst sich mit den Ergebnissen einer Umfrage des bitkom. In etwas mehr als 100 Tagen müssen die Unternehmen den Data Act umgesetzt haben – doch die große Mehrheit der Unternehmen hat sich damit noch überhaupt nicht beschäftigt. Nur 1 % habe die Vorgaben vollständig umgesetzt, weitere 4 % zumindest teilweise. 10 % haben gerade erst mit der Umsetzung begonnen, 30 % haben noch nicht damit angefangen. Und mehr als die Hälfte (52 %) glaubt, dass sie vom Data Act nicht betroffen ist. Aber der bitkom bietet auch Informationen und Hilfestellungen zur Umsetzung.
5.14 Cisco: Building Trust in a Digital World
In dieser Studie „Cisco’s 2025 Data Privacy Benchmark Study: Privacy landscape grows increasingly complex in the age of AI” befasst sich Cisco mit aktuellen Fragestellungen und Umsetzungen zu Sicherheit und Vertrauen. Die Kernaussage: “The Privacy Advantage: Building Trust in a Digital World” hebt sich angenehm von der derzeitigen gerne verbreiteten Dampfplauderei, es brauche weniger Regulatorik und Datenschutz, ab. Zu den Ergebnissen gibt es auch diese Grafiken.
5.15 Meta: Umgehung der Regulatorik durch „localhost tracking“?
Hier wird berichtet, dass Meta ein ausgeklügeltes System („localhost tracking“) entwickelt habe, mit dem die Sandbox-Schutzmaßnahmen von Android umgangen wurden, um Nutzer beim Surfen auf deren Mobiltelefon zu identifizieren – selbst wenn diese ein VPN oder den Inkognito-Modus des Browsers verwendeten und Cookies in jeder Sitzung abgelehnt oder gelöscht haben. Der Bericht führt dann noch mögliche Verstöße und Sanktionsmaßnahmen dazu aus.
5.16 Cloud Security Report
Der Cloud Security Report basiert auf einer weltweiten Umfrage unter mehr als 900 CISOs und IT-Führungskräften und deckt systemische Schwachstellen auf, darunter Alarm-Ermüdung, fragmentierte Toolsets und eine weit verbreitete Unfähigkeit von Unternehmen laterale Bewegungen zu erkennen oder sich gegen KI-gesteuerte Angriffe zu verteidigen.
Mit der zunehmenden Verbreitung von Hybrid-, Multi-Cloud- und Edge-Architekturen verlassen sich viele Unternehmen auf veraltete Sicherheitsmodelle, die nicht mehr Schritt halten können. Dem Bericht zufolge hatten 65 Prozent der Unternehmen im vergangenen Jahr einen Cloud-Sicherheitsvorfall zu verzeichnen – ein Anstieg gegenüber 61 Prozent im Vorjahr. Alarmierend ist, dass nur 9 Prozent den Vorfall innerhalb der ersten Stunde entdeckt haben und lediglich 6 Prozent ihn innerhalb dieses Zeitraums beheben konnten, sodass Eindringlinge in Cloud-Umgebungen unentdeckt blieben.
Mehr zu den wichtigsten Ergebnissen ist hier nachzulesen. Den Bericht selbst gibt es hier (natürlich erst nach Angabe einer Mailadresse).
5.17 Bremen: Abschlussbericht zur „Nachnutzung von Daten“
Wie können Daten der öffentliche Verwaltung am besten genutzt werden und wie entlastet dies die Bürger:innen? Damit befasst sich der Abschlussbericht des Bundesministeriums der Finanzen und des Senators für Finanzen der Freien Hansestadt Bremen „Once-Only: Wege bauen für die Nachnutzung von Daten“. Ein Hindernis für den angestrebten Datenaustausch liegt einerseits daran, dass es über 200 deutsche Verwaltungsregister gibt und die technische Infrastruktur für den Datenaustausch noch im Aufbau ist, aber andererseits auch an der fehlenden semantischen Interoperabilität.
Kernbotschaft dabei: Wenn die Datenbestände der deutschen Verwaltung nicht gründlich aufgeräumt werden, dann wird das nichts mit dem Austausch. Once Only kann nur funktionieren, so der Bericht, wenn es ein einheitliches Datenmodell gibt. Wichtig für ein einheitliches Datenmodell ist dabei die semantische Interoperabilität, also dass alle Verwaltungsbereiche die gleiche „Sprache sprechen“. In diesem Datenmodell müssten dann auch klare Standards festgelegt werden, wie Datenfelder auszusehen haben und wie Metadaten gepflegt werden.
5.18 Kommerzielle Musiknutzung bei sozialen Medien
Soziale Medien heißen nicht so, weil sich alle lieb haben. Manche bieten diese auch an und manche nutzen diese auch, um Geld zu verdienen. Das ist nicht verwerflich, sondern legitim. Problematisch wird es, wenn dann mit Angeboten Geld verdient wird, zu denen einem die Rechte fehlen. Und das kann bei kommerziellen Angeboten, die ihre Videoclips mit Musik untermalen lassen, die nicht ordnungsgemäß lizenziert wurden, schnell zu Abmahnungen und dann zu ungeplanten Ausgaben führen. Mehr dazu lest Sie hier.
5.19 Observierung von Beschäftigten und datenschutzrechtliche Fragen
Welche Rechte hat ein Beschäftigter, wenn er bemerkt, dass sein Arbeitgeber ihn durch eine Detektei beobachten lässt und welche Möglichkeit hat ein Arbeitgeber, wenn er glaubt, das eine Arbeitsunfähigkeit seines Beschäftigten nur vorgetäuscht sei? Damit befasst sich dieser Blog-Beitrag.
5.20 Veranstaltungen
5.20.1 Die FITKO stellt vor: „Grundlagenvortrag Daten“
16.06.2025, 09:00 – 10:00 Uhr, online: Daten sind der Schlüssel zur digitalen Transformation der öffentlichen Verwaltung – und zugleich die Voraussetzung für den nächsten Schritt: den Einsatz von Künstlicher Intelligenz. In einem Vortrag der FITKO (Förderale IT-Kooperation) wird aufgezeigt, wie datenbasierte Entscheidungsfindung, intelligente Vernetzung und innovative Technologien die Leistungsfähigkeit, Transparenz und Bürgerorientierung von Behörden nachhaltig verbessern können. Weitere Informationen und Anmeldung hier.
5.20.2 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung -neu-ish-
In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:
- Ausgabe 6: Generative KI und die KI-Verordnung*
18.06.2025, 14:00 – 15:30 Uhr, online: Weitere Informationen und den Link zur Anmeldung finden Sie hier. - Ausgabe 7: Thema wird in Kürze bekannt gegeben**
09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin
* Franks Anmerkung: Jetzt haben wir alle Informationen, läuft!
** Franks zweite Anmerkung: Der Rest der Informationen soll weiterhin „später folgen“. Nun denn.
5.20.3 Stiftung Datenschutz: „DS-GVO: Reform oder Reförmchen – das ist die Frage“ -neu-
18.06.2025, ab 16:00 Uhr, online: Welche Möglichkeiten bieten sich bei einer Änderung der DS-GVO und welche sollten lieber nicht durchgeführt werden? Die Stiftung Datenschutz erörtert diese Themen mit zwei Gästen. Weitere Informationen und Anmeldung hier.
5.20.4 Ringvorlesung an der Universität Salzburg
Im Rahmen der öffentlichen Ringvorlesung an der Universität Salzburg gibt es interessante Themen, die mittwochs von 17:00 und 18:30 Uhr ausschließlich vor Ort stattfinden.
18.06.2025: „Arbeitnehmerdatenschutz – Datenschutz und Privatsphäre aus Sicht der Beschäftigten“
5.20.5 EU-Digitaltag
21.-29.06.2025: Rund um den EU-Digitaltag finden viele Aktionen, Aktivitäten und Angebote statt. Sie finden viele davon hier, auch mit Filtermöglichkeit.
5.20.6 HdM Stuttgart: KI und Bildung Künstliche Systeme in Unterricht und Lehre
24.06.2025, ab 10:00 Uhr, Stuttgart: Die IDEepolis-Tagung 2025 widmet sich dem Thema „KI und Bildung: Künstliche Systeme in Unterricht und Lehre“ und diskutiert die Frage nach der Rolle von KI-Systemen in Schule und Hochschule an der Schnittstelle zwischen Forschung, Lehre, Unterricht und Praxis. Das Konzept der Tagung folgt dabei dieses Jahr dem Kerngedanken eines „ethischen Gesprächssalons“, bei dem die eingeladenen Referenten zuerst ihre Thesen vorstellen und dann gemeinsam im Austausch mit dem Publikum weiterentwickeln. Parallel dazu wird der Medienethik-Award META 2024/25 zum Thema „Kinder und Jugendliche in der digitalisierten Welt“ verliehen. Weitere Informationen und Anmeldung hier.
5.20.7 DIRECTIONS: Workshop zur Selbstverpflichtung zum Schutz von Schüler:innendaten -neu-
25.06.2025, 09:00 – 11:00 Uhr, online: Der Workshop konzentriert sich darauf, wie Anbieter von Bildungstools ihre Datenschutzkonformität praxisnah durch eine Selbstverpflichtungserklärung demonstrieren können. Über diese Selbstverpflichtungserklärung wird bereits jetzt eine Darstellung für Anwender und Beschaffung ermöglicht. Die Digitalisierung des Bildungswesens schreitet rasant voran: Lernplattformen, Erklärvideo-Portale, Lern-Content und -Apps, Podcasts, Videokonferenzsysteme und viele weitere digitale Angebote prägen zunehmend den Schulalltag. Mit dieser Entwicklung wächst auch die Verantwortung der Anbieter den Schutz von Daten der Lernenden gemäß DS-GVO sicherzustellen und transparent zu kommunizieren.
Im Rahmen des vom BMBF geförderten Forschungsprojekts DIRECTIONS (siehe auch hier) wurde nun die erste freiwillige Selbstverpflichtungserklärung zum Schutz von Schülerinnen- und Schülerdaten veröffentlicht. Sie bietet Anbietern eine praxisnahe Möglichkeit bereits heute ihre Datenschutzkonformität zu demonstrieren und sich zudem optimal auf eine zukünftige Datenschutzzertifizierung vorzubereiten. Weitere Informationen und Anmeldung dazu hier.
5.20.8 Zukunftssicherer Datenschutz: Vom Datenschutzrecht zum Datennutzungsrecht -neu-
26.06.2025, 09:30 – 18:00 Uhr, online: Wie kann Datenschutz im digitalen Zeitalter zukunftssicher gedacht, gelebt und gestaltet werden? Welchen Beitrag leisten neue Ansätze wie ein Datennutzungsrecht? Was ist erforderlich für Innovationen, Forschung und Fortschritt? Gemeinsam mit Expert*innen aus Wirtschaft und Technik, Wissenschaft und Beratung, Jura, Behörden, Aufsicht und Politik werden aktuelle Herausforderungen diskutiert und es wird versucht praxisnahe Perspektiven für einen modernen Umgang mit Daten zu entwickeln. Dabei stehen nicht nur rechtliche Rahmenbedingungen im Fokus, sondern der Blick richtet sich auch auf innovative Nutzungskonzepte, technologische Entwicklungen und gesellschaftliche Auswirkungen. Weitere Informationen und Anmeldung dazu hier.
5.20.9 „KI und Schulalltag – Webinar für Lehrkräfte“ von bitkom und CMS -neu-
27.06.2025, 15:00 – 16:00 Uhr, online: Die KI-Verordnung stellt neue Anforderungen an Bildungseinrichtungen, die Künstliche Intelligenz einsetzen – insbesondere im Hinblick auf den Erwerb grundlegender Kompetenzen im Umgang damit.
Das Webinar „Was hat der AI Act mit dem Schulalltag zu tun? Ein Workshop für Lehrkräfte“ richtet sich deswegen gezielt an Lehrkräfte, um ihnen praxisnah und verständlich die für sie zentralen Inhalte zu vermitteln. Mehr Informationen hier und Link zur Veranstaltung dort.
5.20.10 DatenDienstag „Werden Kriminelle durch KI klüger?“
01.07.2025, 19:00 – 20:30 Uhr, Nürnberg: Ein bundesweit bekannter IT-Forensiker berichtet darüber, wie Deepfakes, Voicebots oder ChatGPT Cyber-Straftaten verändern. Möglichkeiten von intelligenten Systemen durchdringen unseren Alltag. In jedem Bereich unseres Lebens begegnen uns Anwendungen der künstlichen Intelligenz. Der Phänomenbereich Cybercrime ist davon nicht ausgeschlossen. Kriminelle nutzen solche Anwendungen, um neue Begehensweisen „alter“ Straftaten durchzuführen. Der Enkeltrick wird immer technischer und hat viele Komponenten der KI im Einsatz: Voicebots, Deepfake bis zu ChatGPT und Co. An verschiedenen Beispielen wird erklärt, wie sich intelligente Systeme auf Kriminalität und somit auf die Rolle von Opfern und Tätern auswirken. Können wir unseren Sinnen, z.B. in unserer digitalen Kommunikation, ohne Weiteres trauen? Wenn Erwachsene schon Schwierigkeiten haben zwischen Realität und Fiktion zu unterscheiden, wie muss es dann erst Kindern und Heranwachsenden gehen. Was können IT-Sicherheit und IT-Forensik gemeinsam für die Bekämpfung von Cybercrime-Phänomenen tun? Weitere Informationen und Anmeldung hier.
5.20.11 Nürnberg DIGITAL FESTIVAL: KI & Datensicherheit – Wie KI mit unseren Daten Regie führt
07.07.2025, 17:00 – 19:00 Uhr, Nürnberg: Im Rahmen der Aktionswoche Nürnberg Digital Festival gibt es ein Panel zu Fragen der Verantwortung, Kontrolle und Transparenz im Umgang mit unseren Daten. Die Veranstaltung findet in Räumen des Staatstheaters Nürnberg statt und vor und nach der Podiumsdiskussion gibt es die Gelegenheit Volker kennenzulernen: Einen intelligenten Staubsaugerroboter, der in der kommenden Spielzeit im Staatstheater auch auf der Bühne zu sehen sein wird und sich schon darauf freut neue Leute kennenzulernen. Weitere Informationen und Anmeldung hier.
5.20.12 DatenTag: Ein Grundrecht für die Gesellschaft -neu-
16.09.2025, 10:00 – 16:00 Uhr, Berlin und online: Das Grundrecht auf Datenschutz ist von essenzieller Bedeutung. Denn es schützt die Rechte und Freiheiten von Menschen vor Beeinträchtigungen durch öffentliche oder kommerzielle Akteure.
Viele Erwartungen lasten auf dem Datenschutz, doch zugleich hat er in der öffentlichen Wahrnehmung einen schweren Stand: Es geht wenig darum, was der Datenschutz ermöglicht. Debatten drehen sich eher darum, was er ausbremst. Dabei will der Datenschutz die Digitalisierung gar nicht verhindern, sondern in Bahnen lenken, die individuelle und gesellschaftliche Belange respektieren. Darum geht es in dieser Veranstaltung. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Hinweis auf Fake-Shops
Was im Vergleich zu billig ist, kann meist nicht gut sein – und selbst im Internet gibt es in der Regel nichts geschenkt: Nach einer repräsentativen Umfrage der Schufa, über die hier berichtet wird, sind knapp 24% der Befragten in Deutschland schon einmal von Onlinebetrug betroffen gewesen – in den meisten Fällen waren dies mit 37% Fakeshops. Was viele nicht wissen: Die verbraucherzentrale Bundesverband betreibt einen „Fakeshop-Finder„, in dem geprüft werden kann, ob ein ominöses Angebot wirklich existiert oder ob nur Cyberkriminelle dahinter stehen.
6.2 Deutscher Anwaltstag: Meinungsfreiheit und Reglegmentierung
Ein illustrer Kreis an Rednern und Teilnehmer fand sich da zusammen. Zumindest von einem wurde das Eingangsreferat bisher auf YouTube (Dauer ca. 11:30 Min.) hinterlegt. Einen Bericht zu der hochkarätig besetzten Diskussion findet sich hier (hinter einer Paywall), aber auch hier (ohne Paywall).
6.3 Umgang mit Smartphones durch Kinder: Lernen, wann es zu viel sei
Der neue Drogenbeauftragte der Bundesregierung hat sich zum Umgang von Kindern mit digitalen Medien geäußert. Nach diesem Bericht hält er nichts davon Handys in Schulen zu verbieten. Ihm sei bewusst, dass jedes vierte Kind in Deutschland mit Social Media oder anderen Medien nicht gut umgehen könne, wird der Virologe am Donnerstag aus einem Gespräch mit dem Bayerischen Rundfunk zitiert. Seiner Ansicht nach ist aber in erster Linie Aufklärung nötig. „Wir müssen hier in die Gesundheitskompetenz kommen.“ Es gebe ja auch gute Medien, betonte er. Zudem mache es Spaß damit umzugehen. Man müsse aber lernen, wann es zu viel sei. Er kündigte an gegen Digitalsucht von Minderjährigen kämpfen zu wollen. Dafür möchte er mit den Bildungsministern sowie mit Vertretern anderer Ressorts wie dem Gesundheitsministerium zusammenarbeiten.
Die Aussagen kamen nicht bei allen gut an, weil damit die Diskussion um die Toxizität von Social Media verharmlost würde. Speziell auf Kinder ausgerichtete Algorithmen; das doom scrolling; die Gewalthaltigkeit der Bilder; die Spielwiese von Social Media für Pädokriminelle und der gewaltige Schaden für unsere Demokratie durch die Ausschaltung der vierten Gewalt – scheinen in seiner Welt keinen Einfluss auf die Welt der Kinder zu haben. Oder vielleicht sollte man ihm zuliebe sein derzeitigen Amt statt „Beauftragter der Bundesregierung für Sucht und Drogenfragen“ in „Beauftragter der Bundesregierung gegen Sucht- und Drogenfragen“ umbenennen.
6.4 Deutsche Alternativen als Bürokommunikation?
Ob wir das noch erleben werden? Hier positionieren sich wieder deutsche Anbieter als Alternative zu US-amerikanischen IT-Größen, um die digitale Abhängigkeit zu reduzieren.
6.5 BzKJ: Altersgrenze für Social Media
Die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) befasst sich mit der Frage, ob wir gesetzliche Altersgrenzen für Social Media brauchen. In der Ausgabe 2/2025 der Fachzeitschrift BzKJAKTUELL bildet sie die aktuelle Debatte um Altersgrenzen für Social Media nach australischem Vorbild ab und setzt sich differenziert mit dem Thema auseinander. Die Ausgabe bietet einen Überblick über die verschiedenen Perspektiven und möchte damit ein Forum für den fachlichen Austausch sowie Orientierung bieten.
6.6 Dänisches Digitalministerium wechselt zu Open Source
Wie hier berichtet wird, will das Dänische Digitalministerium zu Open-Source-Lizenzen wechseln. Noch im Sommer sollen demnach die Hälfte der Angestellten des Ministeriums mit Linux und LibreOffice ausgestattet werden.
6.7 EU-Grundrechteagentur: Warnung vor Demokratieabbau
Die EU-Grundrechteagentur hat ihren Grundrechtsreport 2025 vorgestellt und warnt dabei vor Gewalt und Demokratieabbau. Der Bericht enthält anschauliche Belege dafür, dass die Grundrechte in ganz Europa bedroht sind. Laut Grundrechteagentur sei dies ein Weckruf, die Aushöhlung der Grundrechte zu verhindern und den Demokratieabbau aufzuhalten, für die Mitgliedstaaten und die EU-Organe.
7 Sonstiges/Blick über den Tellerrand
7.1 Spanien: Fake-Pornos und gesetzgeberische Reaktion
Wie hier berichtet wird, haben Jugendliche in Spanien Fake-Pornos von Mitschülerinnen verbreitet. Nun will die Regierung den Missbrauch von KI-gefälschten Bildern unter Strafe stellen. Die KI-Anwendung „Clothoff“ (zu Deutsch etwa „Kleider runter“) bot 25 Fake-Bilder für den Preis von zehn Euro an und verlangte von den Nutzern die Bestätigung ihrer Volljährigkeit. Doch wie das im Internet öfter der Fall ist, ließ sich die Altersbeschränkung mit einem Klick überwinden.
7.2 klicksafe: Schutz vor Cybergrooming
Wie können Eltern ihr Kind vor Cybergrooming schützen? Damit befasst sich dieses Webinar von klicksafe, dessen Aufzeichnung hier auf YouTube (Dauer ca. 1:26 Std.) abrufbar ist. Ein Viertel aller Kinder und Jugendlichen in Deutschland war laut aktueller Umfrage der Landesanstalt für Medien NRW bereits von Cybergrooming betroffen – viele von ihnen unter 14 Jahren.
Im Webinar vom Online-Elternabend „Und dann wollte er Nacktfotos“ mit über 300 Teilnehmenden wurde gemeinsam mit der Netzwerkkoordination Kinderschutz / Frühe Hilfen des Landkreises Mainz-Bingen über zentrale Fragen informiert und diskutiert: Wie gehen Täter*innen online vor? Wie sprechen wir mit Kindern über Online-Gefahren ohne ihnen Angst zu machen? Welche konkreten Tipps helfen Eltern und Erziehungsberechtigten ihre Kinder zu schützen?
7.3 Generative KI – Technologieszenarien und Auswirkungen auf Arbeit bis 2030
Welche Auswirkungen auf Arbeit haben Generative KI und vergleichbare Technologieszenarien bis 2030? Damit befasst sich diese Studie der „Denkfabrik digitale Arbeitsgemeinschaft“ im Auftrag des BMAS.
Die Foresight-Studie untersucht die mögliche Entwicklung von generativer Künstlicher Intelligenz (GKI) und deren Auswirkungen auf Arbeitsmarkt und Beschäftigung bis 2030. Drei Szenarien zeigen unter schiedliche Zukunftspfade für Deutschland auf.
In Szenario 1 investieren deutsche Unternehmen massiv in die Entwicklung von KI, was zu Produktivitätssteigerungen und Wachstum führt, aber auch einen hohen Innovationsdruck erzeugt, der sich negativ auf die Unternehmenskultur auswirkt.
In Szenario 2 entsteht eine hohe Abhängigkeit von internationalen KI-Anbietern, was die Wettbewerbsfähigkeit Deutschlands einschränkt und das Wachstumspotenzial nicht vollständig ausschöpft.
In Szenario 3 konzentrieren sich Unternehmen hierzulande auf spezialisierte KI-Modelle, was die Marktführerschaft deutscher Unternehmen in bedeutenden internationalen Nischenmärkten stärkt.
Generative Künstliche Intelligenz (GKI) entwickelt sich rasant. Ihre Nutzung ist in der Breite der Gesellschaft und am Arbeitsplatz stark angestiegen. Damit vergrößern sich Einsatzmöglichkeiten und potenzielle Auswirkungen auf Beschäftigte, Arbeitsprozesse und wirtschaftliche Geschäftsmodelle. In der Foresight-Studie skizzieren drei Szenarien mögliche Entwicklungen, wie sich GKI bis 2030 in Deutschland technisch weiterentwickeln und in Unternehmen und Arbeitswelt verbreiten könnte. Dabei wird deutlich: Um Wertschöpfungs- und Innovationspotenziale zu erschließen und Beschäftigte zu unterstützen, kommt es auf die Entscheidungen an, die Politik und Unternehmen in den nächsten Monaten und kommenden fünf Jahren treffen. Zielgerichtete Investitionen, die Stärkung von KI-Kompetenzen und eine vorausschauende Arbeitsmarktpolitik sind entscheidend für eine positive Entwicklung.
7.4 Datenschutzkonforme Schulsoftware
Das vom Bundesministerium für Bildung und Forschung geförderte Forschungsprojekt DIRECTIONS (Data Protection Certification for Educational Information Systems) hat einen bedeutenden Meilenstein erreicht: Im Mai 2025 wurde die erste freiwillige Selbstverpflichtungserklärung zum verantwortungsvollen Umgang mit den Daten von Schülerinnen und Schülern veröffentlicht.
Die beteiligte Universität Kassel einen Kriterienkatalog entwickelt, der die Grundlage für die Selbstverpflichtungserklärung bildet. Der Katalog legt die Datenschutzanforderungen an schulische Informationssysteme fest, die ein System-Anbieter einhalten muss, wie z.B. ein Schutzklassenkonzept oder Anforderungen an die Auftragsverarbeitung.
Franks Nachtrag: Beachten Sie auch diese Veranstaltung.
7.5 NRW-Schulcloud vor dem Aus?
Im Jahr 2015 startete das Projekt, das Land hat dafür 200 Mio. € bereitgestellt. Zu der Schulcloud gehören die E-Mail-Adressen und Kalender für Lehrer, die über Logineo auch Unterrichtsmaterialien bereitstellen können. Ein Messenger und Videokonferenzsystem sind auch Teil der Plattform, die jedoch seit ihrem Start wegen diverser Mängel in der Kritik steht. Wie hier berichtet wird, steht die zentrale digitale Schulplattform in Nordrhein-Westfalen vor dem Scheitern. Die Telekom-Tochter T-Systems habe Verträge zu Übernahme, Reparatur und Betrieb von Logineo NRW gekündigt.
7.6 Quizlet – Datenschutzaspekte bei Schulsoftware
In dieser losen Reihe zum Test von häufig an Schulen eingesetzter Software,geht es in der aktuellen Ausgabe um Quizlet. Bereits erschienen sind Untis Mobile, Moodle, ANTON und Microsoft Teams.
7.7 Tiktok – Reportage zu Hintergründen und Recherchen
Die zweiteilige Reportage auf ARTE ist noch bis 13. Juli 2025 in der Mediathek abrufbar. Sie befasst sich mit dem Aufstieg und der politischen Bedeutung der bei Kindern, Jugendlichen, Pädophilen und Marketeers so beliebten App.
7.8 Im Inneren der Cybermafia
Attraktive Profilbilder, liebevolle Nachrichten: Wer hinterfragt schon, wenn online plötzlich die große Liebe oder das große Geld winkt? Doch was, wenn aus der Traumbeziehung ein Albtraum wird? Wenn vertraute Chats plötzlich zu gnadenloser Erpressung führen und das gesamte Ersparte verloren ist? Nie zuvor wurden soziale Medien und Dating-Plattformen so umfassend für Manipulation und kriminelle Zwecke eingesetzt, warnen Experten. Die investigative „ARD Story“ (Dauer ca. 44 Min.) liefert erschreckende Einblicke und macht deutlich, wie nah diese Gefahr tatsächlich ist. Bis 10.06.2027 in der Mediathek verfügbar.
7.9 USA: “Dynamic Pricing” in New York
Nicht nur bei uns gibt es verbraucherschützende Regularien, die Personen vor einem dynamic pricing schützen wollen. In New York regelt der „Preventing Algorithmic Pricing Discrimination Act“ (New York General Business Law §349-a), was dabei zu beachten ist, wenn eine dynamische Preisgestaltung mittels eines Algorithmus verwendet wird: Die Verbraucher:innen sind darüber unmissverständlich zu informieren („This price was set by an algorithm using your personal data“).
8. Franks Zugabe
8.1 Eine Meldung zu KI – Yuck
Normalerweise wäre hier eine ausführliche Liste aus meiner Kategorie „Apropos KI …“, aber ich muss jetzt dieses Monster veröffentlichen und habe keine Zeit das alles zusammenzuschreiben. Also muss ich auf eine spätere Aufgabe vertrösten. Aber eine Meldung habe ich für Sie (Raten Sie, was mich daran angesprochen hat):
„Igitt“: Test mit KI-generierten Zusammenfassungen auf Wikipedia gestoppt
8.2 Podcast zur Betriebsvereinbarung als Rechtsgrundlage nach der DSGVO
Tja, was soll ich noch mehr dazu schreiben? Die Überschrift sagt ja eigentlich schon alles. Aber OK:
In einer knapp 20 Minuten dauernden Podcast-Folge eines Fachverlags zeigt der Vorsitzende Richter am VG i.R. Hans-Hermann Schild in einem Interview auf, wie die Rechtsprechung des EuGH zur Betriebsvereinbarung zu verstehen ist, und was sich für die Praxis hieraus ergibt.
8.3 KI lässt uns Menschen das Denken verlernen – und wir halten es für Fortschritt
Lesenswert.
(Falls Sie jemand englisch-sprachigen mit diesem lesenwerten Beitrag erfreuen wollen, der Autor hat da was für Sie.)
8.4 Aktuelles zur Klage gegen die Deutsche Bahn (DB Navigator)
Mittlerweile wird die Klage verhandelt, das NGO Digitalcourage berichtet darüber und freut sich über die Presseresonanz.
8.5 The Big Beautiful Bill
The Big Beautiful Bill Could Decimate Legal Accountability for Tech and Anything Tech Touches.
Na, darauf haben wir doch gerade gewartet, oder?
8.6 Nicht nur in Europa: Verschlüsselungsgesetz in Florida gescheitert
In verschiedenen Europäischen Staaten soll die Verschlüsselung per Gesetz aufgebrochen werden (z.B. in UK), zivilgesellschaftliches Engagement (oder auch schlicht gesunder Menschenverstand) verhindert es bei uns in Europa bisher.
Aber auch in den USA, speziell in Florida (wer hätte das erwartet?), scheitern solche Gesetzesinitiativen gerne mal.
9. Die gute Nachricht zum Schluss
9.1 Elternguide in leichter Sprache
Der Elternguide, der von der Freiwillige Selbstkontrolle Multimedia-Diensteanbieter e.V. (FSM) herausgegeben wird, hat nun auch mit Förderung durch die Medienanstalt Berlin-Brandenburg (mabb) ein Angebot in leichter Sprache auf seiner Webseite. Damit kann die Zielgruppe für die Tipps zur Medienerziehung wesentlich erweitert werden