Hier ist der 28. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 25/2025)“ – Die DVD-Edition.
Heute wirkt es zwar erneut vom Umfang her wie ein Blog-Beitrag für mehrere Wochen, aber es ist tatsächlich nur die KW 25, also nur eine Woche gewesen. Da war viel los bei den Datenschutzaufsichten.
Wir haben neben vielen anderen Themen die Ergebnisse der DSK-Zwischenkonferenz, einen Aufsichtsbehörden-Tätigkeitsbericht, zwei neue Veranstaltungen (insgesamt sind es neun) und die Parade der grauen Männer. Ach ja, und endlich mal wieder ein ausführliches Apropos KI … (das aber über mehrere Wochen).
- Aufsichtsbehörden
- DSK: Protokoll und Ergebnisse der Zwischenkonferenz vom Juni 2025
- DSK-Entschließung: Sicherheit braucht Freiheit – Freiheit braucht Datenschutz
- DSK: Neue Orientierungshilfe zu TOM für die Entwicklung und den Betrieb von KI
- DSK-Entschließung: Confidential Cloud Computing
- DSK-Positionspapier: Online-Terminmanagement in Arztpraxen
- DSK: Musterrichtlinie für Bußgeldverfahren
- Hessen: Handreichung zum datenschutzkonformen mobilen Arbeiten
- Hessen: Genehmigung einer Zertifizierungsstelle nach Art. 42 DS-GVO
- LDI NRW: Workshop zur Zertifizierung nach Art. 42 DS-GVO
- LDI NRW: Video- und KI-Überwachung im Schwimmbad
- CNIL: Hinweis auf Formalien bei bestimmten Nachsorgebehandlungen
- CNIL: Entwicklung von KI-Systemen und berechtigtes Interesse
- CNIL: KI-Einsatz im Bildungskontext
- CNIL: Tipps bei ungewollter Passwortoffenbarung
- Spanien: Zum KI-Verständnis bei der Ausübung eines Betroffenenrechts
- ICO: Leitlinien für IoT-Hersteller
- Spanien: Keine Rechtsgrundlage einer Kopie des Reisepasses in Unterkünften
- Irland: Tätigkeitsbericht für 2024
- Irland: Umfrage zur Datenschutzeinstellung der Bevölkerung
- Norwegen / Dänemark: Bußgeld für rechtswidriges Tracking auf Webseite
- Finnland: Bußgeld für unzulässiges Tracking auf Webseite eines Apotheken-Online-Shops
- Katalonien / Kroatien: Grundrechte-Folgenabschätzung bei KI-Einsatz
- Kanada: Aufsichtstreffen der G7
- noyb verklagt deutsche Aufsichtsbehörden
- LSI Bayern: Siegel „Kommunale IT-Sicherheit 4.0“ und „IT-Resilienz 4.0“
- TeleTrusT: Handreichung Stand der Technik 2025
- BSI: Künstliche Intelligenz sicher nutzen
- BSI: Studie mit TÜV-Verband zur Cybersicherheit
- USA: Betrachtung des veränderten Ansatzes der Aufsicht FTC
- Rechtsprechung
- EuGH: Zur marktbeherrschenden Stellung von Google bzgl. PlayStore (C-738/22 P)
- OLG Köln: Urteil im einstweiligen Verfahren zum KI-Training durch Meta liegt vor
- Besprechung der EuGH-Urteile zu berechtigten Interessen
- LG Berlin: Kein Datenzugang zu Daten von X zu Forschungszwecken
- LG Koblenz: Risikoverteilung bei manipulierter Rechnung
- BFH: Verwertungsverbot von Erkenntnissen aus der Auswertung einer Festplatte
- Cour d’appel de Bordeaux: Rechtsfolgen bei Datenschutzmängeln einer Webseite
- BVwG Österreich: Geldstrafe wegen Videoüberwachung zur Besuchermessung
- BVwG Österreich: Sanktion bei unzureichender Erreichbarkeit für Löschbegehren
- EuGH-Vorschau: Schadenersatz bei Auskunftsvergehen im Rahmen eines OWi-Verfahrens
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- EU-Kommission: Generative AI Outlook Report
- Souveränität und KI
- AI Report 2025 – KI im Recht
- Digitalethische Reflexion von KI-Systemen
- Beweislast und die Möglichkeit zur Prüfung, ob ein Code KI-generiert ist
- Verblöden wir mit KI?
- KI und Qualität – am Beispiel Lektorat
- Künstliche Intelligenz in der Schule
- Gefahr für das bisherige Modell des Internets durch AI-Crawler?
- Veröffentlichungen
- Die EU und digitale Souveränität – diesmal bei der eigenen Cloud-Nutzung
- Meta: Werbung über WhatsApp
- Gesundheit, Behörden und OpenSource statt MS 365
- Aufzeichnung zu: Stiftung Datenschutz – DSGVO: Reform oder Reförmchen – das ist die Frage
- Anforderungen an Consent-Banner – Analyse des Urteils des VG Hannover
- Barrierefreiheit
- Dunkle Wolken über Wetter Online
- Verbandsklage als Abhilfeklage gegen TikTok
- Veranstaltungen
- DIRECTIONS: Workshop zur Selbstverpflichtung zum Schutz von Schüler:innendaten
- Zukunftssicherer Datenschutz: Vom Datenschutzrecht zum Datennutzungsrecht
- „KI und Schulalltag – Webinar für Lehrkräfte“ von bitkom und CMS
- DatenDienstag „Werden Kriminelle durch KI klüger?“
- AG Ethik der Initiative D21: Ethics & Drinks -neu-
- Nürnberg DIGITAL FESTIVAL: KI & Datensicherheit – Wie KI mit unseren Daten Regie führt
- Digitale Vorbilder: „Was macht die Datenschutzaufsicht?“ -neu-
- Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
- DatenTag: Ein Grundrecht für die Gesellschaft
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos KI …
- Das Ende des Internets, wie wir es kennen
- The spectacle of the US House Judiciary Committee listening – really listening, it seemed – to four experts defending strong encryption
- Was sagt eigentlich die Zivilgesellschaft zur geplanten Änderung der DS-GVO?
- Go European
- Noch ein Abo-Modell – heute: Kampfflieger
- Podcast-Tipp: Lokale Sauereien von Meta und Yandex
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 DSK: Protokoll und Ergebnisse der Zwischenkonferenz vom Juni 2025
Die Datenschutzkonferenz hat in ihrer Sitzung im Juni einige Papiere und Entscheidungen veröffentlicht. Auf diese gehen wir nachfolgend ein:
1.1.1 DSK-Entschließung: Sicherheit braucht Freiheit – Freiheit braucht Datenschutz
In ihrer neuen Entschließung betont die DSK, dass Datenschutz kein Hindernis, sondern Grundlage für Sicherheit und Rechtsstaatlichkeit sei. Daher appelliert die DSK in der politischen Diskussion Datenschutz und Sicherheit nicht gegeneinander auszuspielen. Zwar stünden sicherheitspolitische Erfordernisse und das Recht auf informationelle Selbstbestimmung in einem gewissen Spannungsverhältnis, allerdings sei dieses nicht unlösbar und könne in verhältnismäßiger Art und Weise aufgelöst werden. Das Datenschutzrecht ziele nicht darauf ab Täterinnen und Täter oder Gefährderinnen und Gefährder vor Strafverfolgung oder Gefahrenabwehrmaßnahmen zu bewahren. Vielmehr schütze das Datenschutzrecht die Bürgerinnen und Bürger davor, dass ungerechtfertigt in ihre Freiheitsrechte eingegriffen werde.
1.1.2 DSK: Neue Orientierungshilfe zu TOM für die Entwicklung und den Betrieb von KI
Die Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen in der Version 1.0 der DSK löst das Positionspapier dazu vom November 2019 ab.
Diese empfohlenen technischen und organisatorischen Maßnahmen sollen Entwickler:innen helfen in allen Phasen des KI-Lebenszyklus „Datenschutz by design“ umzusetzen.
In einer Checklisten-artigen Struktur werden u.a. folgende Maßnahmen in den vier Implementierungsphasen aufgeführt:
- Design: Auswahl geeigneter Datenquellen, Rechtsgrundlagen, Zweckbindung, Dokumentation über „Datasheets for Datasets“, Daten-Minimierung, Schutz vor Re-Identifikation
- Entwicklung: Einsatz von Techniken wie Feature Selection, Bias-Analysen, Federated Learning und Vorgaben zur Intervenierbarkeit (z. B. Löschbarkeit von Daten im Modell)
- Einführung: Datenschutzfreundliche Konfiguration (by default), Nachvollziehbarkeit von Entscheidungen, verständliche Dokumentation für Nutzer und Betroffene
- Betrieb: Fortlaufende Prüfung der Output-Qualität, Schutz vor Evasion Attacks, Rechenschaftspflicht, Updates und Fine-Tuning
Zur Ermittlung und Umsetzung geeigneter TOM verweist die DSK zudem auf das SDM als Orientierungshilfe, um die Gewährleistungsziele des Datenschutzes einheitlich sicherzustellen:
- Vertraulichkeit: Schutz vor Modellinversion, Training auf sicherer Infrastruktur
- Integrität: Schutz vor manipulierten Daten, regelmäßige Modellvalidierung
- Intervenierbarkeit: Menschliche Aufsicht und Gewährleistung von Betroffenenrechten
- Transparenz: Dokumentation & Information
- Nichtverkettung: Keine nachträgliche Zweckänderung oder unzulässige Korrelationen
- Datenminimierung: Nur erforderliche Daten nutzen, auch im Modelloutput
- Verfügbarkeit: Ausfallsichere Entwicklung und Betrieb
1.1.3 DSK-Entschließung: Confidential Cloud Computing
Die DSK bewertet in ihrer Entschließung „Confidential Cloud Computing“ die datenschutzrechtlichen Chancen und Risiken vertraulicher Cloud-Technologien. So stellt sie erstmal fest, dass es unterschiedliche Definitionen zu diesem Begriff gibt. Der Begriff „Confidential Computing“ bezeichne nicht eine einzelne Technologie, sondern werde von verschiedenen Anbietern unterschiedlich belegt. So werde beispielsweise eine Verschlüsselung von Daten im Arbeitsspeicher oder aber auch eine reine Zugriffsbeschränkung auf reservierte Speicherbereiche als Confidential Computing bezeichnet. Unter dem Begriff „Confidential Cloud Computing” würden teilweise Technologien damit beworben, dass Daten sogar vor dem Cloud-Betreiber geheim gehalten werden können. Eine solche allgemeine Aussage trage jedoch nicht der tatsächlichen Komplexität der eingesetzten Technologie Rechnung. Um solche Werbeversprechen kritisch einzuordnen, spricht die DSK unter den Überschriften „Angreifermodell“ und „Schlüsselmanagement“ wichtige zu berücksichtigende Punkte an.
1.1.4 DSK-Positionspapier: Online-Terminmanagement in Arztpraxen
Das Positionspapier „Datenschutz bei der Terminverwaltung durch Heilberufspraxen“ liefert Anforderungen für den datenschutzkonformen Einsatz externer Dienstleister für Online-Terminbuchungen und das Terminmanagement.
Die Beauftragung von externen Unternehmen zum Terminmanagement durch Heilberufspraxen kann als Auftragsverarbeitung im Sinne von Art. 28 DS-GVO zulässig sein. Nach Ansicht der DSK sollte aber auch immer eine alternative Möglichkeit bestehen, um einen Termin in der Heilberufspraxis vereinbaren zu können.
Hinsichtlich der Zulässigkeit der dabei zu verarbeitenden Daten stellt die DSK fest, dass nur erforderliche Datenverarbeitungen (Art. 6 Abs. 1 lit. b und Art. 9 Abs. 2 lit. h DS-GVO) ohne Einwilligung zulässig seien.
Nicht erforderlich soll dagegen laut DSK die pauschale Bereitstellung von Stammdaten oder eine Terminerinnerung sein. Dafür sei eine nachweispflichtige Einwilligung nötig.
Die DSK weist darauf hin, dass keine Datenverarbeitung von Patientendaten, die Gegenstand der Auftragsverarbeitung sind, zu eigenen Zwecken des Terminverwaltungsunternehmens genutzt werden dürften. Bei Kenntnis einer Verwendung dieser Daten für eigene Zwecke des Dienstleisters seien die Heilberufspraxis verpflichtet gegenüber ihrem Dienstleister dafür zu sorgen, dass dieser einen datenschutzkonformen Zustand herstellt. Leider macht die DSK in diesem Kontext keine Aussagen zu einer denkbaren gemeinsamen Verantwortlichkeit.
Ist über den Dienstleister eine Drittstaatenverarbeitung eingebunden, weist die DSK darauf hin, dass sie dies auch bei Support/Wartung oder Administration der eingesetzten Systeme als gegeben ansieht.
Sofern einzelne Terminverwaltungsunternehmen ihre Dienstleistung gegenüber Heilberufspraxen in der Art anbieten, dass die Patient:innen ein Nutzerkonto bei dem Unternehmen (ggf. unter Zustimmung zu den AGB des Dienstleisters) anlegen können, ist nach der DSK die damit zusammenhängende Verarbeitung personenbezogener Daten durch das Terminverwaltungsunternehmen von der Datenverarbeitung im Auftrag der Heilberufspraxen abzugrenzen.
Für die Verarbeitung personenbezogener Daten von Patient:innen im Zusammenhang mit dem Vertrag, den sie mit dem Terminverwaltungsunternehmen schließen, und dem Nutzerkonto ist das Terminverwaltungsunternehmen datenschutzrechtlich Verantwortlicher. Werden hierbei auch Gesundheitsdaten verarbeitet, benötige das Terminverwaltungsunternehmen im Regelfall eine wirksame Einwilligung der betroffenen Nutzerinnen und Nutzer. Zudem müssten die Patient:innen bei jeder Interaktion mit der Website / App, die sie nutzen, um mit der Praxis einen Termin zu vereinbaren, in der Lage sein zu erkennen, wer für die jeweilige Datenverarbeitung verantwortlich ist.
Franks Nachtrag: Auch Vertreter aus der Zivilgesellschaft begrüßen das Positionspapier.
1.1.5 DSK: Musterrichtlinie für Bußgeldverfahren
Zur Vereinheitlichung der Verfahren in Deutschland wurde eine Musterrichtlinien für das Verfahren über Geldbußen der Datenschutzaufsichtsbehörden (MRiDaVG) verabschiedet. Durch die Vorgaben dieser Richtlinien soll die behördeninterne und -übergreifende Gleichförmigkeit datenschutzaufsichtsbehördlicher Verfahren über Geldbußen erreicht werden.
Dennoch finden sich nicht nur „Prozessabläufe“ darin, sondern z.B. auch eine Festlegung, wie bei einer Meldung nach Art. 33 DS-GVO oder einer Benachrichtigung nach Art. 34 DS-GVO, § 43 Abs. 4 BDSG oder die entsprechende Landesregelung unionsrechtskonform auszulegen sei. Ein Verwendungsverbot bestünde demnach nur, soweit die meldende Stelle durch die gemeldete Verletzung das Verschulden eines Datenschutzverstoßes zugestehe. Unabhängig davon können Informationen aus anderen Quellen zur Einleitung eines Verfahrens über Geldbußen führen (Nr. 9 Abs. 3 der MRiDaVG). Das könnte sich auf den Umfang und die Detailtiefe von Meldungen auswirken.
1.2 Hessen: Handreichung zum datenschutzkonformen mobilen Arbeiten
Ja, das ist nicht neu – aber weiterhin aktuell. Und ich hatte es damals wohl nicht mitbekommen. Aus Hessen gibt es eine „Handreichung zum datenschutzkonformen ‚mobilen Arbeiten‘“ vom Dezember 2023, die schon allein dadurch auffällt, dass sie in schöner Präzision zwischen Telearbeit, HomeOffice und mobilem Arbeiten differenziert. Zudem gibt es bei vielen angesprochen Themen Verlinkungen zu weiteren vertiefenden Veröffentlichungen.
1.3 Hessen: Genehmigung einer Zertifizierungsstelle nach Art. 42 DS-GVO
Der HBDI informiert, dass er einer ersten Zertifizierungsstelle in Hessen die Befugnis erteilt hat Datenschutzzertifizierungen nach Art. 42 DS-GVO durchzuführen. Dem ging ein Akkreditierungsverfahren voraus, das der HBDI gemeinsam mit der Deutschen Akkreditierungsstelle GmbH (DAkks) durchführte. Die PwC Certification Services GmbH ist für die Anwendung des AUDITOR-Kriterienkatalogs akkreditiert, der sich speziell an Anbieter von Cloud-Diensten richtet. Die Akkreditierung ist befristet bis zum 15.05.2030. Eine Re-Akkreditierung sei möglich.
1.4 LDI NRW: Workshop zur Zertifizierung nach Art. 42 DS-GVO
Die LDI NRW informiert, dass sich Vertreter:innen von Datenschutzaufsichtsbehörden aus 18 Mitgliedsstaaten und verschiedene Stakeholder:innen – darunter Vertreter:innen von Akkreditierungsstellen, Systembetreiber:innen und Zertifizierungsstellen – in Berlin getroffen haben, um die Datenschutz-Standards in Europa weiterzuentwickeln. Eingeladen zu der Veranstaltung hatte neben dem EDSA sowie den Datenschutzaufsichtsbehörden des Bundes und Schleswig-Holsteins auch die LDI NRW. Im Mittelpunkt stand dabei ein offener Dialog zwischen Datenschutzaufsichtsbehörden und Vertreter*innen der Wirtschaft.
1.5 LDI NRW: Video- und KI-Überwachung im Schwimmbad
Wir ahnen es bereits: Natürlich ist nicht alles erlaubt. Und die Aussagen gelten sicher nicht nur für NRW! Was ist noch zulässig, wenn es darum geht aus Sorge vor Diebstählen, Einbrüchen und Badeunfällen auf Überwachung per Video und Künstlicher Intelligenz zurückzugreifen? Und regelmäßige Leser:innen wissen: Nicht alles, was technisch möglich ist, ist auch mit dem Datenschutz vereinbar. So differenziert die LDI NRW ihre Antwort auch nach Zweck und Tageszeit und stellt auf die jeweilige Erforderlichkeit ab.
1.6 CNIL: Hinweis auf Formalien bei bestimmten Nachsorgebehandlungen
Die CNIL informiert über das Verfahren, bei dem für die Nachsorgebehandlung bestimmte Formalien zu beachten sind.
1.7 CNIL: Entwicklung von KI-Systemen und berechtigtes Interesse
Die französische Datenschutzbehörde CNIL veröffentlicht im Anschluss an eine öffentliche Konsultation ihre Empfehlungen zum berechtigten Interesse, insbesondere im Falle von Web Scraping. Diese sind in einzelnen Praxisblättern hinterlegt.
1.8 CNIL: KI-Einsatz im Bildungskontext
Um den Einsatz von KI im Bildungskontext zu unterstützen, veröffentlicht die CNIL zwei FAQ, eine für Lehrkräfte, die sich auf konkrete pädagogische Anwendungen, bewährte Verfahren und Vorsichtsmaßnahmen konzentrieren, die im Unterricht zu treffen sind. Die andere FAQ richtet sich an Datenverantwortliche wie Schulleiter, Ministerien und akademische Behörden und befasst sich mit rechtlichen Verpflichtungen und Compliance-Bedingungen.
Franks Nachtrag: Wenn Sie diese Meldung über Datenschutz im französischen Bildungswesen interessiert gelesen haben, dann wollen Sie bestimmt auch diese Meldung aus dem letzten Blog-Beitrag lesen.
1.9 CNIL: Tipps bei ungewollter Passwortoffenbarung
Die französische Datenschutzaufsicht CNIL informiert, dass laut dem Cybersicherheitsmedium Cybernews mittlerweile 16 Milliarden gestohlene Benutzernamen und Passwörter online zugänglich sind. Dieser Datensatz würde aus einer Ansammlung verschiedener Datenlecks in der Vergangenheit bestehen. Das bedeutet, dass es sich nicht um eine neue Datenschutzverletzung handelt. Konkret ändert das Vorhandensein einer so umfangreichen Datenbank von Identifikatoren nichts an der Art der Cyber-Risiken, denen alle Nutzer von Online-Diensten bereits ausgesetzt sind. Es kann für sie jedoch das Risiko konkretisieren. Es sei wahrscheinlich, dass es böswilligen Akteuren leichter falle eine Website anzugreifen oder Konten zu übernehmen, indem sie alle bekannten Kombinationen ausprobieren und dabei die Tatsache ausnutzen, dass viele Menschen weiterhin dieselben Passwörter und Logins für mehrere Online-Dienste verwenden. Die CNIL gibt daher auch konkrete Tipps, wie sich jeder selbst schützen kann:
- Überwachung der eigenen Konten (Login-E-Mails, ungewöhnliche Aktivitäten)
- Im Falle eines verdächtigen Ereignisses oder Zweifels Änderung der Passwörter
- Vermeidung derselben Passworts für verschiedene Dienste
- Einsatzes einer Multi-Faktor-Authentifizierung, sofern möglich
Franks Nachtrag: Hier können Sie eine weitere Meldung zu dem Datenschatz lesen.
1.10 Spanien: Zum KI-Verständnis bei der Ausübung eines Betroffenenrechts
Die spanische Datenschutzaufsicht AEPD prüfte, ob es für ein KI-System, das in der automatisierten kommerziellen Kommunikation eingesetzt wird, zwingend erforderlich ist Datenschutzaussagen zu verstehen und auszuführen. Eine Person wurde durch ein KI-System zu Werbezwecken per SMS kontaktiert. Die Person wies gegenüber der KI darauf hin, dass sie auf der Robinsonliste eingetragen sei (Liste zum Widerspruch zu unverlangten Werbenachrichten). Das KI-System erkannte aber nicht den dabei erklärten Willen keine Nachricht erhalten zu wollen. Im durch die AEPD analysierten Fall enthielten die gesendeten kommerziellen Nachrichten ein klares und kostenloses Verfahren, um der Verarbeitung personenbezogener Daten zu Werbezwecken zu widersprechen, basierend auf der Bezugnahme auf das Wort „Abmelden“ als Antwort. Die Person antwortete auf diese Nachrichten, ohne das Wort „UNSUBSCRIBE“ („Abmelden“) darin zu erwähnen, und das KI-System verstand die Antwort nicht.
Die AEPD stellte dazu fest, dass
- es ein klares und kostenloses Verfahren gab, um sich der Verarbeitung von Daten zu Werbezwecken zu widersetzen, das auf dem Senden des Wortes „ABMELDEN“ in jeder erhaltenen Nachricht basierte und
- dass das verwendete KI-System nicht darauf ausgelegt war Antworten zu interpretieren, die diesen Begriff nicht enthielten. In einem solchen Fall wäre es zwar wünschenswert, aber von der Konfiguration eines automatisierten Systems der künstlichen Intelligenz kann nicht verlangt werden, dass sie alle möglichen menschlichen Formulierungen interpretiert oder bereit ist alle einschlägigen Vorschriften, einschließlich des Datenschutzes, einzuhalten.
- Die Agentur erinnert daran, dass Art. 50 KI-VO vorschreibt, dass Menschen ausdrücklich darüber informiert werden müssen, dass sie mit einem KI-System interagieren. Die AEPD empfiehlt dies bereits vor Geltungsbeginn im August 2026 (vgl. Art. 113 KI-VO) umzusetzen.
- In Anbetracht der Konversation, die im konkreten Fall transkribiert wurde, wurde deutlich, dass es sich um ein Chatbot-System handelte, so dass die Person einfach das Wort „UNSUBSCRIBE“ hätte eingeben oder auf jeden Fall zu einem menschlichen Agenten hätte wechseln können, um keine Mitteilungen mehr zu erhalten. Es wurde auch betont, dass die Interaktion mit dem Chatbot nicht der einzige Kanal war, der die Einstellung des Versands kommerzieller Mitteilungen ermöglichte, es gab Kontaktmöglichkeiten zu Personen per E-Mail und Web, und Rechte und Stornierungen konnten auf andere Weise und mit menschlichen Agenten ausgeübt werden.
1.11 ICO: Leitlinien für IoT-Hersteller
Für die Hersteller und Entwickler intelligenter Produkte, die mit dem Internet verbunden sind (sogenannte IoT-Produkte), bietet der ICO einen Leitfaden an. Smarte Produkte fügen sich nahtlos in unseren Alltag ein. Von intelligenten Lautsprechern und Fitness-Trackern bis hin zu WLAN-Kühlschränken und vernetzten Heißluftfritteusen sammeln intelligente Produkte oft große Mengen an persönlichen Informationen von Benutzern, einschließlich einiger unserer sensibelsten Informationen. Daher müssen Hersteller und Entwickler sicherstellen, dass ihre Produkte unter dem Gesichtspunkt des Datenschutzes konzipiert werden.
Der Leitfaden-Entwurf des ICO umfasst Antworten auf die folgenden Fragen:
- Wie man sicherstellt, dass IoT-Produkte Informationen rechtmäßig verarbeiten.
- Wie man eine Einwilligungserklärung einholt.
- Wie man die Verantwortlichkeit bei IoT-Produkten sicherstellt.
- Wie man transparente Datenschutzinformationen bereitstellt.
- Welche Instrumente müssen den Menschen zur Verfügung stehen, um ihre Informationsrechte auszuüben?
Dazu eröffnet er eine Konsultation, bei der bis zum 7. September 2025 Rückmeldung gegeben werden kann.
1.12 Spanien: Keine Rechtsgrundlage einer Kopie des Reisepasses in Unterkünften
Wem die Verpflichtung, dass in Unterkünften eine Kopie des Reisepasses / Personalausweises erforderlich sei, spanisch vorkomme, irrt. Die spanische AEPD weist darauf hin, dass die Rechtsgrundlage, dass bestimmte Daten der Gäste zu erfassen sei, nicht die Pflicht zur Kopie eines Ausweisdokumentes umfasse. Das sei nicht vom Grundsatz der Datenminimierung gedeckt. Für die Authentifizierung der bereitgestellten Daten würde eine visuelle Verifizierung des Dokuments ausreichen. Mehr Details dazu auch hier.
1.13 Irland: Tätigkeitsbericht für 2024
Auch die irische Datenschutzaufsicht DPC (Data Protection Commission) hat ihren Tätigkeitsbericht für das Jahr 2024 veröffentlicht. Danach hat sie im Jahr 2024 elf abschließende Entscheidungen in formellen Untersuchungen getroffen und dabei Geldbußen in Höhe von insgesamt 652 Mio. Euro verhängt. Das geht aus dem aktuellen Jahresbericht der Behörde hervor. Laut DPC standen dabei große Technologieunternehmen wie LinkedIn und Meta im Fokus. Sie agiert oft als federführende EU-Datenschutzaufsichtsbehörde, da viele der größten Tech-Konzerne ihren EU-Hauptsitz in Irland haben.
Allein gegen LinkedIn wurde demnach eine Strafe von 310 Millionen Euro wegen unzulässiger Verhaltensanalyse und personalisierter Werbung verhängt. Gegen Meta erging im Zusammenhang mit zwei Verfahren zu Sicherheitslücken bei Nutzer-Tokens ein Bußgeld in Höhe von insgesamt 251 Mio. Euro (Anmerkung von mir: Offen bleibt, wie viel davon tatsächlich gezahlt und nicht gerichtlich überprüft wurde).
Ein weiterer Schwerpunkt lag laut Darstellung der DPC auf der Regulierung von Künstlicher Intelligenz. Die DPC habe mehrere Verfahren gegen große Anbieter initiiert und im Dezember 2024 gemeinsam mit EU-Partnerbehörden eine einheitliche Rechtsauslegung durchgesetzt. Auch eine Untersuchung gegen Google zur Trainingspraxis von KI-Modellen sei eröffnet worden (so auf Seite 51 des Berichts). Daneben habe die DPC neue Verfahren zu biometrischen Daten und zur Sicherheit sensibler Gesundheitsdaten aufgenommen.
1.14 Irland: Umfrage zur Datenschutzeinstellung der Bevölkerung
Parallel zum Tätigkeitsbericht veröffentlichte die DPC auch die Ergebnisse einer Umfrage zur Einstellung der irischen Bevölkerung zum Datenschutz, die im Mai 2025 durchgeführt wurde. Fast 75% der Befragten halten es für wichtig oder sehr wichtig, dass Unternehmen, die innovative neue Technologien, Produkte und Dienstleistungen entwerfen, entwickeln oder einsetzen, die Datenschutzanforderungen einhalten, auch wenn dies eine Verzögerung bei der Umsetzung bedeuten könnte.
Zwei von drei Befragten gaben an, dass sie einer Organisation viel weniger vertrauen würden, wenn sie personenbezogene Daten missbrauchen würde. Nur 4 % gaben an, dass es keinen Unterschied machen würde.
Auf die Frage nach Bedenken in Bezug auf Technologie und Datenschutz
- waren 77 % der Befragten besorgt darüber, wie personenbezogene Daten von Kindern online weitergegeben und verwendet werden.
- waren 76 % der Befragten besorgt darüber, wie personenbezogene Daten verwendet werden, um ein digitales Profil von sich selbst zu erstellen, das geteilt, verkauft oder gehandelt werden kann
- beschäftigten sich 61% der Befragten mit dem Einsatz von KI (Künstliche Intelligenz).
Die Ergebnisse zeigen nach Auffassung der DPC, dass sich Menschen im Alter von 18 bis 34 Jahren im Allgemeinen weniger Gedanken über die meisten Aspekte der Technologie und der Sicherheit personenbezogener Daten machten. Die Altersgruppe 55+ war deutlich besorgter.
Etwas mehr als die Hälfte der Befragten ist der Meinung, dass Datenschutzgesetze sicherstellen, dass Unternehmen Informationen verantwortungsbewusst nutzen, wobei eine von fünf Personen nicht weiß, wie sich das Gesetz auf sie auswirkt.
70 % gaben an, dass sie darauf vertrauen können, dass die Datenschutzkommission ihr Recht auf Schutz ihrer personenbezogenen Daten wahrt. 50 % derjenigen, die mit der Datenschutzkommission interagiert hatten, hatten nach dieser Interaktion eine positivere Meinung über die DPC, während nur 3 % eine negativere Meinung hatten.
1.15 Norwegen / Dänemark: Bußgeld für rechtswidriges Tracking auf Webseite
Ein Anbieter, der Gesundheitsinformationen auf seiner Webseite verarbeitete, wurde durch die skandinavischen Datenschutzaufsichten sanktioniert. Ihm wurde vorgeworfen, dass das Consent-Banner nicht ordnungsgemäß gestaltet war und dass zudem Gesundheitsinformationen der Webseitenbesucher ohne Rechtsgrundlage an Meta weitergegeben wurden.
Dabei stellten die Aufsichtsbehörden fest, dass Informationen über Besuche auf den Unterseiten einer Website, die Inhalte zu bestimmten medizinischen Themen enthalten, sensible Daten nach Art. 9 Abs. 1 DS-GVO darstellen. Das Unternehmen verwendete das Meta-Pixel auf einer Gesundheitswebseite und teilte Informationen über die Besuche der Nutzer mit Meta. Die dänische Datenschutzaufsichtsbehörde entschied, dass sensible Informationen ohne gültige Einwilligung verarbeitet wurden, und verhängte eine Geldstrafe von 1 Million NOK (ca. 86.000 Euro).
1.16 Finnland: Bußgeld für unzulässiges Tracking auf Webseite eines Apotheken-Online-Shops
Die finnische Aufsichtsbehörde berichtet, dass sie ein Bußgeld in Höhe von 1,1 Mio. Euro verhängte, weil sie Datenschutzmängel im Zusammenhang mit der Nutzung von Tracking-Diensten bei einer Online-Apotheke feststellte. Der Hinweis dazu kam von einem Doktoranden, der im Rahmen seiner Forschungsarbeit bei einer Netzwerkanalyse darauf stieß. So erhielten die Tracking-Dienstleister wie Google und Meta beispielsweise Daten darüber, wann ein Kunde ein Produkt in den Warenkorb gelegt und auf den Kaufbutton geklickt hatte. Zu den übermittelten Daten gehörten auch die IP-Adressen der Nutzer und andere identifizierende Daten, die zur Identifizierung einzelner Nutzer verwendet werden könnten. Wenn ein Nutzer bei der Nutzung der Online-Apotheke in seinem Google- oder Facebook-Konto angemeldet war, war für Google und Meta eine direkte Identifizierung möglich. Mehr Details dazu hier.
1.17 Katalonien / Kroatien: Grundrechte-Folgenabschätzung bei KI-Einsatz
Die von der katalanischen Datenschutzbehörde (ADPCAT) entwickelte FRIA (Fundamental Rights Impact Assessment) und die FRIA-Methodik wurden von der Croatian Data Protection Authority-Agencija za zaštitu osobnih podataka ins Kroatische übersetzt.
1.18 Kanada: Aufsichtstreffen der G7
Im Schatten des G7-Gipfels in Kanada trafen sich auch Vertreter:innen der entsprechenden Datenschutzaufsichten, um sich auszutauschen. Und auch hier gab es ein Papier zu einem gemeinsamen Verständnis zur „Förderung des Datenschutzes im digitalen Zeitalter: Gemeinsames Handeln heute für eine vertrauenswürdige Zukunft“. Neben einer neun Punkte umfassenden Einleitung gibt es Berichte über den aktuellen Stand der Arbeitsgruppen des G7 „DPA Roundtable“. Auch die BfDi ließ sich dort vertreten und fand es gut, wie ihr Vertreter selbst berichtet.
Die Wahrung der Privatsphäre sowie der Schutz von Kindern von der Entwicklung bis zum Einsatz neuer Technologien müsse berücksichtigt werden – insbesondere im Hinblick auf Technologien, die sich an Kinder und Heranwachsende richten oder von diesen genutzt werden.
1.19 noyb verklagt deutsche Aufsichtsbehörden
Agiert eine Behörde nicht wie erwartet, kann dies in Deutschland mit einer Untätigkeitsklage überprüft werden. Dies macht nun auch das NGO noyb in Deutschland bei den Datenschutzaufsichten in Hessen und NRW, wie es hier berichtet. Hintergrund seien die Beschwerden aus 2021 gegen Nachrichtenseiten, die nach Ansicht von noyb ein unzulässiges „Pay or ok“-System verwendeten. Aus ihrer Berichterstattung dazu macht noyb auch deutlich, dass sie mehr Sanktionen – insbesondere in Deutschland erwartet, als bisher verhängt wurden.
1.20 LSI Bayern: Siegel „Kommunale IT-Sicherheit 4.0“ und „IT-Resilienz 4.0“
Das Landesamt für Sicherheit in der Informationstechnik (LSI) Bayern veröffentlichte neue Versionen des Siegels „Kommunale IT-Sicherheit 4.0“ und der „IT-Resilienz 4.0“. Damit trägt das LSI turnusgemäß alle zwei Jahre den aktuellen Entwicklungen im Bereich der IT-Sicherheit Rechnung und will das Maßnahmen-Portfolio um zukunftsweisende Themen erweitern. Die Anforderungen zur IT-Resilienz können auch im Selbstcheck eingesetzt werden.
1.21 TeleTrusT: Handreichung Stand der Technik 2025
TeleTrusT veröffentlichte eine aktualisierte Fassung zum „Stand der Technik“. Diese Unterlage muss nicht weiter erläutert werden – ein Klassiker. Mehr dazu auch in der Pressemitteilung von TeleTrusT.
1.22 BSI: Künstliche Intelligenz sicher nutzen
Auch diese Tipps sind schon vor einem Jahr veröffentlich worden. Sie fielen mir aber auch nur wieder zufällig in die Hände: „Künstliche Intelligenz sicher nutzen“. Die Hinweise sind immer noch aktuell und können immer noch auch zur Vermittlung von KI-Kompetenz verwendet werden.
1.23 BSI: Studie mit TÜV-Verband zur Cybersicherheit
Gemeinsam mit dem BSI hat der TÜV-Verband eine neue repräsentative Umfrage zur Cybersicherheit in Unternehmen vorgestellt. Die Ergebnisse gelten in zweifacher Hinsicht als besorgniserregend: Zum einen konnte ein Anstieg der Bedrohungslage verzeichnet werden, zum anderen zeigen die Umfrageergebnisse, dass viele Firmen die Lage unterschätzen und die eigene Resilienz überbewerten. Das BSI warnt vor trügerischer Sicherheit: 15 % der Unternehmen sind im Jahr 2024 Opfer eines Cyberangriffs geworden. KI werde zur Waffe – aber nicht zur Verteidigung: Die Hälfte der Unternehmen (51 %) vermutet KI-gestützte Angriffe, doch nur 10 % nutzten selbst KI zur Abwehr – etwa zur Anomalie-Erkennung oder zur automatisierten Reaktion. Lieferketten als Einfallstor: 10 % der Unternehmen wurden über Zulieferer oder Kunden attackiert. Zwar stellen 32 % Sicherheitsanforderungen an Partner – eine echte Auditierung ist allerdings selten. Die Mehrheit der befragten fordert Regulierung: 56 % sprechen sich für gesetzliche Cybersecurity-Pflichten aus. Dennoch kennt nur die Hälfte der Befragten die NIS2-Richtlinie.
Neben der Umfrage liefert die Studie auch politische Empfehlungen seitens des TÜV-Verbandes.
1.24 USA: Betrachtung des veränderten Ansatzes der Aufsicht FTC
Oft werden europäische (und auch mittelfränkische) Datenschützer mit Erkenntnisse anderer nach einer Reise in die USA in Form lapidarer Aussagen konfrontiert: “Weniger Regulatorik und Datenschutz sind gute Begleiter“. Und dem ist ausnahmelos zuzustimmen, legt man weniger Wert auf Grundrechte, Minderjährigenschutz oder ist Anhänger von faschistoiden Gesellschaftsmodellen oder bzw. Deepfake-Pornos. Egal.
Jedenfalls ist hier im Stanford Law Review unter dem Titel After Notice and Choice: Reinvigorating “Unfairness” to Rein In Data Abuses schön nachzulesen, dass es auch in den USA eine entsprechende Regulatorik gibt – nur änderte sich der Ansatz der Federal Trade Commission (FTC) in den letzten Jahrzehnten.
Es wurde begonnen den Missbrauch sensibler Daten einzuschränken, Kinder und Jugendliche zu schützen und Dark Patterns in Frage zu stellen, auch weil sich die Erwartung an die Regulatorik durch Selbstverpflichtung nicht erfüllte. Aktuell gibt es allerdings unter den aktuellen politischen Vorgaben erneut die Hinwendung zur Selbstverpflichtung.
2 Rechtsprechung
2.1 EuGH: Zur marktbeherrschenden Stellung von Google bzgl. PlayStore (C-738/22 P)
Im Verfahren von Google (Alphabet) gegen die EU-Kommission vor dem EuGH (C-738/22 P) in der Frage um eine marktbeherrschende Stellung wegen vertraglicher Gestaltung mit Herstellern von Mobilfunkgeräten, in der Google Rechtsmittel einlegte, hat die Generalanwältin ihre Empfehlungen veröffentlicht. Sie schlägt dem Gerichtshof vor das Rechtsmittel von Google zurückzuweisen und damit die vom Gericht festgesetzte neue Geldbuße in Höhe von 4,124 Mrd. Euro zu bestätigen. Pressemeldung dazu auch hier.
2.2 OLG Köln: Urteil im einstweiligen Verfahren zum KI-Training durch Meta liegt vor
Das Urteil des OLG Köln im einstweiligen Verfahren der vz NRW gegen Meta im Hinblick auf das Training der KI von Meta in Facebook- und Instagram-Accounts von erwachsenen Nutzenden wurde schon auf Basis der Pressemitteilung (der vz NRW) dazu kritisiert (wir berichteten). Nun liegt es im Volltext vor und jede:r kann nachlesen, wie sich das Gericht mit den Aspekten zu Art. 9 Abs. 1 DS-GVO Daten befasst (ab Rn. 109) oder welche Mittel der Glaubhaftmachung zur Vermeidung einer Re-Identifizierung seitens Meta eingesetzt wurden (ab Rn. 82). Ein weiteres Rechtsmittel dagegen ist nicht vorgesehen.
2.3 Besprechung der EuGH-Urteile zu berechtigten Interessen
In diesem Blog-Beitrag werden schön anschaulich die Konsequenzen dargestellt, die sich aus den EuGH-Urteilen zu Art. 6 Abs. 1 lit. f DS-GVO (wie C-394/23 – Bericht hier oder C- 621/22 – Bericht da) ergeben. Insbesondere die Abhängigkeit der Rechtmäßigkeit der Wahrung berechtigter Interessen von einer ordnungsgemäßen Umsetzung der datenschutzrechtliche Informationspflichten und deren Nachweisbarkeit wird hervorgehoben. Auch fehlen nicht die Beispiele, dass diese Rechtsprechung bereits durch Aufsichtsbehörden (hier Prüfverfahren zu KI) und Gerichte umgesetzt wird.
2.4 LG Berlin: Kein Datenzugang zu Daten von X zu Forschungszwecken
Zwar bekamen die Kläger nicht recht, sind aber trotzdem zufrieden, weil das Gericht zumindest hinsichtlich der Zuständigkeit des Gerichts für die Klage nach dem DSA ihren Vorstellungen entsprach – was sich bei künftigen Klagen auswirken könnte. Inhaltlich wurde aber die Klage auf Bereitstellung von Daten zu wissenschaftlichen Zwecken abgelehnt – weil sich die Eilbedürftigkeit nunmehr nicht mehr darstellen ließ. Es sollten Abhängigkeiten im Vorfeld eines Wahlkampfes erforscht werden. Bericht dazu auch hier und dort.
2.5 LG Koblenz: Risikoverteilung bei manipulierter Rechnung
Wieder ein Fall mit einer manipulierten Rechnung, die per E-Mail verschickt wurde. Anders als beim OLG Schleswig (siehe hier) oder beim LG Rostock (siehe hier) gibt der Sachverhalt dem LG Koblenz im Urteil (vom 26.03.2025 – 8 O 271/22) Anlass sich für eine Aufteilung der ursächlichen Nachlässigkeiten zu entscheiden. Berichte dazu hier („Hacker am Gartenzaun“) wie da.
2.6 BFH: Verwertungsverbot von Erkenntnissen aus der Auswertung einer Festplatte
Der Bundesfinanzhof (BFH) stellte fest, dass Erkenntnisse aus der Auswertung einer Festplatte durch einen Außenprüfer (hier: E-Mail-Verkehr) im Besteuerungsverfahren einem qualifizierten Verwertungsverbot unterliegen können, wenn die Festplatte im Rahmen eines gegen eine andere Person wegen einer Nichtsteuerstraftat durchgeführten Ermittlungsverfahrens sichergestellt und dem Außenprüfer von der Staatsanwaltschaft ohne vorherige Durchsicht nach § 110 StPO zur vollständigen Auswertung überlassen worden ist. Klingt kompliziert, ist es aber nicht, wenn es ein Experte in seinem Blog-Beitrag erklärt.
2.7 Cour d’appel de Bordeaux: Rechtsfolgen bei Datenschutzmängeln einer Webseite
Aus Frankreich kommt ein Urteil, bei dem ein Verantwortlicher nur die Umsetzung einer Website beauftragte. Ohne sein Wissen und seinen Auftrag implementierte der Dienstleister diese so, dass auf dem abrufenden Gerät bestimmte Cookies gespeichert und ausgelesen wurden, ohne dass eine erforderliche Einwilligung dafür eingeholt wurde.
Machen wir es kurz: Das Gericht stellte fest, dass die Leistung eines nicht rechtskonformen Ergebnisses nicht der Verpflichtung zur vertragsgemäßen Lieferung entsprach. Daher waren alle gegenseitigen Leistungen zurückzugewähren.
2.8 BVwG Österreich: Geldstrafe wegen Videoüberwachung zur Besuchermessung
Der Grundsatz ist unspektakulär: Die verdeckte Videoüberwachung zur Frequenzmessung ohne ausreichende Information der Betroffenen verstößt gegen die Grundsätze der Datenverarbeitung und die Rechtmäßigkeitsvoraussetzungen der DS-GVO und rechtfertigt eine Geldbuße. Das BVwG setzte die Höhe der Sanktion von 7.000 Euro auf 700 Euro herab.
Eine weitreichende Überwachung mit insgesamt 27 Kameras erfolgte zur Erfassung und statistischen Auswertung von Besucherströmen, der Personenzählung und deren Frequenz. Die durchgeführte Datenverarbeitung sei auch erforderlich, da keine flächendeckende Erfassung der drei konkret genannten Standorte stattgefunden habe. Es handele sich um das gelindeste Mittel, da das generierte Bildmaterial innerhalb kürzester Zeit (innerhalb von 50 ms) noch im Arbeitsspeicher dauerhaft gelöscht worden sei, keine Gesichtserkennung bzw. ähnliche Identifizierungsmaßnahmen stattfinden und somit von keiner dauerhaften „Überwachung“ unter Verarbeitung von personenbezogenen Daten mit einer hohen Eingriffsintensität die Rede seien könne. Auch Hauseingänge, Fenster sowie private Bereiche seien vom Aufnahmebereich der Videokameras durch entsprechende visuelle Markierungen „ausgeklammert“ worden. So das Vorbringen des Verantwortlichen.
Das Bemerkenswerte daran ist erstens, dass sich das Gericht nur kurz mit Fragen der Erforderlichkeit im Rahmen der Interessensabwägung befasst, der Hauptgrund für das Verneinen der Rechtmäßigkeit nach Art. 6 Abs. 1 lit. f DS-GVO aber in der Feststellung des Gerichts liegt, dass die Informationspflichten nicht erfüllt wurden.
Zweitens taugt dieser Fall auch gut, um darzulegen, dass die Dauer der Verarbeitung personenbezogener Daten, wie hier mit 50 Millisekunden, kein Kriterium ist, um den Anwendungsbereich der DS-GVO abzulehnen.
Das Gericht befasst sich auch ausführlich mit der Strafbemessung durch die Datenschutzbehörde (19.200 Euro), die dazu den Vorjahresumsatz schätzen musste. Das Gericht berücksichtigte einige strafmindernde Faktoren und legte das Bußgeld auf 7.000 € fest (Berechnungsfaktor 0,35 von 2 Mio. Euro).
2.9 BVwG Österreich: Sanktion bei unzureichender Erreichbarkeit für Löschbegehren
Das österreichische BVwG bestätigte eine Sanktion der österreichischen Datenschutzbehörde (DSB) in Höhe von 12.000 Euro. Eine Reisebüro-GmbH stellte in ihrer Datenschutzerklärung eine E-Mail-Adresse zur Verfügung, über die Betroffene ihre Rechte nach der DS-GVO ausüben sollten. Diese E-Mail-Adresse war jedoch nicht aktiv. Ein Kunde stellte ein Löschbegehren gemäß Art. 17 DS-GVO, das die Gesellschaft nie erhielt. Erst nach mehrfacher Aufforderung der DSB und nach Einleitung eines Verwaltungsstrafverfahrens kam die Gesellschaft dem Löschbegehren nach.
Keine gute Aktion, meinte die DSB und verhängte die Sanktion aufgrund eines Verstoßes gegen Art. 12 Abs. 2 und Art. 31 DS-GVO.
Im Ergebnis bewertet das BVwG, dass die Beschwerdeführerin es unterließ, nicht nur Informationen in Bezug auf den Antrag von der betroffenen Person gemäß Art. 17 DS-GVO zur Verfügung zu stellen, sondern auch Anfragen der DSB ignorierte, obwohl ihr die Einleitung eines Strafverfahrens angedroht wurde und die Pflicht zur Zusammenarbeit bekannt sein musste – weil dies von der belangten Behörde bereits bei den Aufforderungsschreiben bekanntgegeben wurde.
2.10 EuGH-Vorschau: Schadenersatz bei Auskunftsvergehen im Rahmen eines OWi-Verfahrens
Der BGH möchte vom EuGH u.a. wissen, welches Recht bei der Beurteilung eines Anspruchs auf Ersatz des immateriellen Schadens wegen Verletzung der Auskunftspflicht im Hinblick auf die Verarbeitung von personenbezogenen Daten zu berücksichtigen sei: die Richtlinie „Polizei und Justiz“ oder die DS-GVO. Jeweils mit Folgefragen zum Anspruchsumfang bei Verletzung der Auskunftspflicht.
Im Ausgangsfall geht es um ein Auskunftsbegehren im Rahmen einer vorgeworfenen Ordnungswidrigkeit, das dann (natürlich) nicht ordnungsgemäß bearbeitet wurde.
3 Gesetzgebung
3.1 NIS2-Umsetzung – Europäischer Überblick und neuer deutscher Entwurf
Auf den Seiten der EU-Kommission wird der jeweilige Umsetzungsstand der NIS2-Richtlinie in den Mitgliedsstaaten abgebildet. Wenig tröstlich, dass nicht nur wir es bisher nicht auf die Reihe gebracht haben.
Wie berichtet wird, gibt es auch einen neuen Referentenentwurf zur Umsetzung, der hier geleakt und dort analysiert wird.
Franks Nachtrag: Der Vollständigkeit halber hätte ich noch eine Meldung zur geleakten Version.
3.2 EU: Ergänzung der Regelungen der DS-GVO zur besseren Durchsetzung
Der Europäische Rat (EU-Rat) informiert, dass sich EU-Parlament und EU-Rat über eine bessere grenzüberschreitende Durchsetzung der DS-GVO verständigt haben. Dies betrifft Vorschriften, mit denen die Verwaltungsverfahren beispielsweise in Bezug auf die Rechte von Beschwerdeführern oder die Zulässigkeit von Fällen gestrafft werden. Mit der neuen Verordnung sollen die Anforderungen und Verfahren für die Anhörung des Beschwerdeführers im Falle der Abweisung einer Beschwerde harmonisiert und gemeinsame Regeln für die Beteiligung des Beschwerdeführers am Verfahren festgelegt werden.
Ferner werde das Recht auf rechtliches Gehör des Unternehmens oder der Organisation, das bzw. die von der Untersuchung betroffen ist, in wichtigen Phasen des Verfahrens gewährleistet. Der Beschwerdeführer und das Unternehmen oder die Organisation, die untersucht werden, erhielten das Recht die vorläufigen Feststellungen (vor der endgültigen Entscheidung) zu erhalten, um sich dazu zu äußern. Auch dazu bleiben kritische Anmerkungen, wie hier, nicht aus.
3.3 Meldungen nach DS-GVO und NIS2
Im Rat der EU kursiert ein Papier, dass sich als Diskussionsgrundlage zum einheitlichen Anlaufpunkt für Meldungen und zum Verhältnis zwischen DS-GVO und NIS2-Richtlinie versteht.
Das wäre ja auch mal ein Beitrag zur Entbürokratisierung: Bei neuen Regularien einfach sehen und verstehen, was es schon gibt.
3.4 Appell zur Ablehnung der „Chatkontrolle“
Wie hier berichtet wird, appelliert ein Bündnis aus verschiedenen Gruppierungen und Einrichtungen an die Bundesregierung auf die Einführung der sog. Chatkontrolle zu verzichten. Damit soll gegen sexuelle Gewalt gegen Kinder vorgegangen werden, aber dazu würde grds. der Schutz verschlüsselter Kommunikation technischen ausgehebelt. Stattdessen sollte für den Schutz von Kindern Ermittlungskapazitäten ausgebaut und in Institutionen investiert werden.
Franks Nachtrag: Ich habe da auch noch den offenen Brief an Innenminister Dobrindt im Wortlaut für Sie.
3.5 Palantir-Software für die Polizei
Ist es verantwortungsvoll die Möglichkeiten der Software aus dem Hause Palantir für Polizeiaufgaben zu nutzen oder ist es verantwortungsvoll es zu unterlassen? Darum geht es in der Diskussion auf der Ebene der deutschen Innenminister und in der öffentlichen Diskussion.
Die Software durchforstet deutsche Polizeidatenbanken und verknüpft Informationen zu Millionen von Bürgern. Z.B. ist in Bayern eine reduzierte Version bereits im Einsatz, wie hier berichtet wird, was der bayerischen Polizei aber auch Kritik einbringt (Bericht in der Mediathek, ca. 8 Min. Dauer). Die Bundesregierung hat hierzu noch nicht entschieden.
Berichte finden sich dazu allenthalben hier und da, aber auch dort.
4 Künstliche Intelligenz und Ethik
4.1 EU-Kommission: Generative AI Outlook Report
Das Joint Research Center der Europäischen Kommission hat einen Generative AI Outlook Report veröffentlicht, in dem die Auswirkungen, Chancen, Herausforderungen und Risiken der generativen KI in der EU analysiert werden. Der Bericht bewertet den Rechtsrahmen der EU, einschließlich der KI-VO, des Gesetzes über digitale Dienste, der DS-GVO, der Urheberrechtsgesetzgebung, des Data Acts und des Data Governance Acts, wobei der Schwerpunkt auf Transparenz und Rechenschaftspflicht liegt. Es werden Methoden vorgeschlagen, um die Transparenz in genAI-Modellen zu gewährleisten, wie z. B. Metadaten, Wasserzeichen, Fingerprinting und KI-basierte Erkennung. Der Bericht hebt die komplementäre Rolle der KI-VO und der DS-GVO hervor und konzentriert sich auf die Verarbeitung personenbezogener Daten, die Rechtmäßigkeit, die Rechenschaftspflicht und die Rechte der betroffenen Personen.
4.2 Souveränität und KI
Wie souverän können Europäer bei KI sein – und was ist überhaupt Souveränität in diesem Kontext? Ist es eine Frage, ob ein Softwareanbieter selbst entscheidet, welche LLM mit den Daten trainiert werden? Oder ist das ganze Thema eine Neuinterpretation des Kolonialismus, wie dort dargelegt wird?
4.3 AI Report 2025 – KI im Recht
Nach Anlegen eines Nutzerkontos (dessen Einwilligungen auch gleich widerrufen werden können) ist der Zugriff auf ein sogenanntes Whitepaper möglich, das sich mit den Auswirkungen generative AI auf juristische Tätigkeiten befasst. Dazu finden sich unterschiedliche Stimmen aus Kanzleien, Rechtsabteilungen, Justiz und Wissenschaft und diese versuchen Einblick in Entwicklungen, Herausforderungen und offene Fragen rund um den Einsatz von KI im Recht zu vermitteln.
4.4 Digitalethische Reflexion von KI-Systemen
In dem Denkimpuls der AG Ethik der Initiative D21 e.V. „Von der Theorie zur Praxis: Digitalethische Reflexion von KI-Systemen“ wird die praktische Umsetzung digitalethischer Bewertung von KI-Systemen betrachtet. Digitale Ethik ist danach mehr Checklisten, Vorschriften oder Leitlinien – sie ist ein dynamischer, multiperspektivischer Prozess. Ethik sei als reflexive Methode deutlich von Moral und Recht abzugrenzen – und zugleich als deren sinnvolle Ergänzung zu verstehen.
4.5 Beweislast und die Möglichkeit zur Prüfung, ob ein Code KI-generiert ist
Wie lässt sich nachweisen, dass ein Code tatsächlich von mir stammt – und nicht von einer KI? Damit befasst sich dieser Beitrag. Zitat aus dem Fazit:
„Es gilt jetzt in streitigen Verfahren kreativ zu sein, zu argumentieren, nachzudenken und nicht nur über den zutreffenden Sachverhalt, sondern auch über die richtigen Darlegungs- und Beweisgrundsätze für die urheberrechtlichen Probleme mit KI-generierten Computerprogrammen zu streiten. Die Theorie wird hier, wie so oft, ohne die Rechtspraxis fruchtlos sein und umgekehrt.“
4.6 Verblöden wir mit KI?
Irgendeinen Titel brauchte ich ja und die offiziellen, wissenschaftlich fundierten Betrachtungen zu dem Thema sind einfach zu lang: Wie beeinträchtigt die Nutzung eines Sprachmodells unsere eigenen kognitiven Fähigkeiten? Darum geht in der Studie “Your Brain on ChatGPT: Accumulation of Cognitive Debt when Using an AI Assistant for Essay Writing Task“
Nach der Studie hatten LLM-Benutzer auch Schwierigkeiten ihre eigene Arbeit genau zu zitieren. Während LLMs unmittelbaren Komfort bieten, unterstreichen die Ergebnisse potenzielle kognitive Kosten. Über einen Zeitraum von vier Monaten schnitten LLM-Nutzer auf neuronaler, linguistischer und verhaltensbezogener Ebene durchweg unterdurchschnittlich ab. Diese Ergebnisse geben den Verfassern Anlass zur Besorgnis über die langfristigen Auswirkungen der LLM-Abhängigkeit auf die Bildung und unterstreichen nach deren Ansicht die Notwendigkeit einer tieferen Untersuchung der Rolle von KI beim Lernen. Allerdings wurde die Studie noch nicht gepeer-viewed.
Auf LinkedIn findet sich auch eine kritische Würdigung der Studie.
Franks Nachtrag: Ich möchte noch einmal auf diesen Beitrag hinweisen.
4.7 KI und Qualität – am Beispiel Lektorat
Wie wirkt sich der Einsatz von KI auf die Qualität aus? Hier schildert eine Autorin ihre Erfahrungen damit, wie ein Text von ihr durch Paperpal redigiert wurde. Angesichts der Tatsache, dass es in dieser Arbeit darum ging, wie generative KI die Ausdrucksfähigkeit homogenisiert und die Gefahr birgt kulturelle Vielfalt zu zerstören, bieten ihre Erfahrungen ein passendes Beispiel dazu.
4.8 Künstliche Intelligenz in der Schule
Im Rahmen des KI-Begleitprozesses im Rahmenprogramm empirische Bildungsforschung wurde die Forschungssynthese „Künstliche Intelligenz (KI) in der Schule“ veröffentlicht. Sie will mit Blick auf die schulische Praxis alle Akteurinnen und Akteure dabei unterstützen den Herausforderungen im Umgang mit Künstlicher Intelligenz aktiv zu begegnen. Sie möchte einen umfassenden Überblick über zentrale Aspekte in verschiedenen Handlungsfeldern und den aktuellen Stand der Forschung bieten. Gängige Befürchtungen und Vorurteile (negative wie positive) gegenüber KI sollen– so weit wie es in diesem dynamischen Feld möglich ist – einem Faktencheck unterzogen werden. Die Synthese will damit auch einen Beitrag leisten verbreiteten „Mythen“, Ängsten sowie überzogenen Erwartungen entgegenzuwirken.
4.9 Gefahr für das bisherige Modell des Internets durch AI-Crawler?
Gerät das bisherige Geschäftsmodell des Internets in Gefahr? Bisher konnten Webseitenbetreiber ihre Seiten (auch) durch die Schaltung von Werbung finanzieren – personalisiert oder kontextbezogen. Nun stellt ein CEO nach diesem Bericht dar, wie sich die Besuche von Webseiten in den letzten Monaten entwickelten: Statt natürliche Personen besuchen Webcrawler von KI-Systemen die Seiten.
5 Veröffentlichungen
5.1 Die EU und digitale Souveränität – diesmal bei der eigenen Cloud-Nutzung
Es gibt noch Hoffnung in Sachen digitaler Souveränität. Die EU war selbst lange Jahre einer der größten Verfechter einer unsouveränen Cloud-Datennutzungspolitik – und das, obwohl der Europäische Datenschutzbeauftragte die EU-Kommission vor den Risiken für die Datensicherheit und den Datenschutz warnte. Nun scheint es nach diesem Bericht doch eine Neuausrichtung zu geben, die EU-Kommission plane auf europäische Anbieter auszuweichen.
5.2 Meta: Werbung über WhatsApp
Der Konzern Meta bietet seinen Nutzern an künftig über „Updates“ gezieltere Informationen zu bekommen. Natürlich wurden „wie alles andere auf WhatsApp“ auch diese Funktionen so datenschutzorientiert wie möglich entwickelt laut Webseite. Persönlichen Nachrichten, Anrufe und Status blieben Ende-zu-Ende-verschlüsselt, was bedeute, dass niemand sie sehen oder hören könne. Dazu gehöre auch Meta. Kritische Einrichtungen wie noyb sehen das anders. noyb bemängelt, dass dabei auch Daten von Facebook und Instagram berücksichtigt werden sollen. Meta verfestige damit sein Social-Networking-Monopol, was EU-Recht eigentlich verhindern sollte. Ein umfangreicher Beitrag dazu findet sich auch in diesem Blog.
5.3 Gesundheit, Behörden und OpenSource statt MS 365
Wie hier ausgeführt wird, wollen das Zendis (Zentrum für digitale Souveränität der öffentlichen Verwaltung) und das Robert-Koch-Institut eine Alternative zu MS 365 in eine Kommunikationsplattform des Öffentlichen Gesundheitsdienstes integrieren. Dabei geht es um die Bundes-Office-Suite OpenDesk. Ziel sei es die digitale und einrichtungsübergreifende Zusammenarbeit in dem Sektor zu verbessern, der neben dem RKI das Bundesgesundheitsministerium (BMG) und weitere Bundesbehörden sowie die Gesundheitsämter der Länder und der Kommunen umfasst.
5.4 Aufzeichnung zu: Stiftung Datenschutz – DSGVO: Reform oder Reförmchen – das ist die Frage
In ihrem neuen Format „DatenschutzDiskurs“ will die Stiftung Datenschutz verschiedene Meinungen und Gesichtspunkte zusammenbringen, um den Datenschutz verständlicher zu machen und damit zu fördern. Den Auftakt machten Prof. Dr. Christiane Wendehorst, Institut für Innovation und Digitalisierung im Recht der Universität Wien, und Maximilian Schrems, Vorstandsvorsitzender von noyb – Europäisches Zentrum für digitale Rechte. Im Gespräch mit Frederick Richter ordneten sie die laufende Debatte um die DS-GVO-Reform ein.
Konsens war, dass die DS-GVO in der Praxis nicht immer funktioniert. Das liegt zum Beispiel daran, dass der One-size-fits-all-Ansatz eben nicht für alle passt. Laut Wendehorst verlangt die Gesetzgebung von den datenverarbeitenden Großkonzernen zu wenig, von kleinen Vereinen aber zu viel. Sie plädiert deshalb dafür, dass die großen Software-Hersteller oder Dienstleister primär zur Haftung gezogen werden. Schrems unterstützt dies. Denn gerade der Aspekt der Auftragsverarbeitung sei nicht gut durchdacht. Es sei schlicht unmöglich die verarbeitenden Organisationen im Detail zu prüfen. Die Aufzeichnung des Gesprächs (Dauer ca. 2 Std.) ist hier zu sehen.
5.5 Anforderungen an Consent-Banner – Analyse des Urteils des VG Hannover
Wir hatten berichtet. Das VG Hannover hat in einem aktuellen Urteil die Anforderungen an einen Consent-Banner („Cookie-Banner“) dargelegt: Website-Betreiber dürfen ihre Nutzer nicht mit manipulativen Bannern („Dark Patterns“) zur Cookie-Einwilligung drängen. Ein Mehraufwand beim Ablehnen, intransparente Informationen zu Tracking-Partnern und irreführende Schaltflächen („Akzeptieren & schließen x“) genügen diesen Anforderungen nicht. Auf erster Ebene müsse die zustimmende oder ablehnende Auswahl gleichwertig möglich sein. Es dürften keine irreführenden Symbole für Schließen-Funktionen, die gleichzeitig eine Zustimmung enthalten, verwendet werden. Erforderlich sind auch transparente Informationen zu allen Partnern und Datenflüssen, wie auch zu Drittstaaten. Dieser Blog-Beitrag fasst es zusammen und bewertet die Folgen.
5.6 Barrierefreiheit
Gegen die Bereitstellung von Kontaktdaten ist hier ein umfassendes Whitepaper zur Erforderlichkeit der Barrierefreiheit erhältlich. Besonders erfreulich: Es befasst sich auch mit Beispielen aus dem Datenschutz, wie Anforderungen an Consent-Banner.
5.7 Dunkle Wolken über Wetter Online
War es zunächst die Berichterstattung über die ausufernde Datenflut, die bei der Nutzung dieser Wetter-App entstand, ist es nun der Ärger über unzureichende Auskunftsfähigkeit, wie hier berichtet wird.
5.8 Verbandsklage als Abhilfeklage gegen TikTok
Wer sich an der Verbandsklage gegen TikTok beteiligen möchte, kann sich auf den Seiten des Bundesamtes der Justiz anmelden. Es geht um Schadenersatzansprüche – gestaffelt nach Alter.
TikTok wird dabei ein Geschäftsmodell vorgeworfen, das auf die umfassende Erhebung, Auswertung und Monetarisierung personenbezogener Daten gestützt sei. Durch die gezielte Gestaltung ihres Algorithmus unterhalte sie insbesondere zu Lasten von Kindern und Jugendlichen ein System der Manipulation und Abhängigkeit. Die Beklagte sammele und analysiere dabei höchst persönliche und intime personenbezogene Daten ihrer Nutzer in einem Ausmaß, das weit über das für die Funktionalität der App Erforderliche hinausgehe. Dabei erstelle sie im Verborgenen umfassende Verhaltens- und Persönlichkeitsprofile ihrer Nutzer für Werbe- und andere kommerzielle Zwecke. Besonders schwerwiegend sei auch die systematische Übermittlung sensibler Nutzerdaten in unsichere Drittstaaten, in denen Datenschutz- und Sicherheitsstandards nicht gewährleistet seien.
Franks Nachtrag: Und jetzt passend zu dieser neuen Erkenntnis, was TikTok so alles machen soll, alle gemeinsam: Nein! Doch! Ohhhh!
5.9 Veranstaltungen
5.9.1 DIRECTIONS: Workshop zur Selbstverpflichtung zum Schutz von Schüler:innendaten
25.06.2025, 09:00 – 11:00 Uhr, online: Der Workshop konzentriert sich darauf, wie Anbieter von Bildungstools ihre Datenschutzkonformität praxisnah durch eine Selbstverpflichtungserklärung demonstrieren können. Über diese Selbstverpflichtungserklärung wird bereits jetzt eine Darstellung für Anwender und Beschaffung ermöglicht. Die Digitalisierung des Bildungswesens schreitet rasant voran: Lernplattformen, Erklärvideo-Portale, Lern-Content und -Apps, Podcasts, Videokonferenzsysteme und viele weitere digitale Angebote prägen zunehmend den Schulalltag. Mit dieser Entwicklung wächst auch die Verantwortung der Anbieter den Schutz von Daten der Lernenden gemäß DS-GVO sicherzustellen und transparent zu kommunizieren.
Im Rahmen des vom BMBF geförderten Forschungsprojekts DIRECTIONS (siehe auch hier) wurde nun die erste freiwillige Selbstverpflichtungserklärung zum Schutz von Schülerinnen- und Schülerdaten veröffentlicht. Sie bietet Anbietern eine praxisnahe Möglichkeit bereits heute ihre Datenschutzkonformität zu demonstrieren und sich zudem optimal auf eine zukünftige Datenschutzzertifizierung vorzubereiten. Weitere Informationen und Anmeldung dazu hier.
5.9.2 Zukunftssicherer Datenschutz: Vom Datenschutzrecht zum Datennutzungsrecht
26.06.2025, 09:30 – 18:00 Uhr, online: Wie kann Datenschutz im digitalen Zeitalter zukunftssicher gedacht, gelebt und gestaltet werden? Welchen Beitrag leisten neue Ansätze wie ein Datennutzungsrecht? Was ist erforderlich für Innovationen, Forschung und Fortschritt? Gemeinsam mit Expert*innen aus Wirtschaft und Technik, Wissenschaft und Beratung, Jura, Behörden, Aufsicht und Politik werden aktuelle Herausforderungen diskutiert und es wird versucht praxisnahe Perspektiven für einen modernen Umgang mit Daten zu entwickeln. Dabei stehen nicht nur rechtliche Rahmenbedingungen im Fokus, sondern der Blick richtet sich auch auf innovative Nutzungskonzepte, technologische Entwicklungen und gesellschaftliche Auswirkungen. Weitere Informationen und Anmeldung dazu hier.
5.9.3 „KI und Schulalltag – Webinar für Lehrkräfte“ von bitkom und CMS
27.06.2025, 15:00 – 16:00 Uhr, online: Die KI-Verordnung stellt neue Anforderungen an Bildungseinrichtungen, die Künstliche Intelligenz einsetzen – insbesondere im Hinblick auf den Erwerb grundlegender Kompetenzen im Umgang damit.
Das Webinar „Was hat der AI Act mit dem Schulalltag zu tun? Ein Workshop für Lehrkräfte“ richtet sich deswegen gezielt an Lehrkräfte, um ihnen praxisnah und verständlich die für sie zentralen Inhalte zu vermitteln. Mehr Informationen hier und Link zur Veranstaltung dort.
5.9.4 DatenDienstag „Werden Kriminelle durch KI klüger?“
01.07.2025, 19:00 – 20:30 Uhr, Nürnberg: Ein bundesweit bekannter IT-Forensiker berichtet darüber, wie Deepfakes, Voicebots oder ChatGPT Cyber-Straftaten verändern. Möglichkeiten von intelligenten Systemen durchdringen unseren Alltag. In jedem Bereich unseres Lebens begegnen uns Anwendungen der künstlichen Intelligenz. Der Phänomenbereich Cybercrime ist davon nicht ausgeschlossen. Kriminelle nutzen solche Anwendungen, um neue Begehensweisen „alter“ Straftaten durchzuführen. Der Enkeltrick wird immer technischer und hat viele Komponenten der KI im Einsatz: Voicebots, Deepfake bis zu ChatGPT und Co. An verschiedenen Beispielen wird erklärt, wie sich intelligente Systeme auf Kriminalität und somit auf die Rolle von Opfern und Tätern auswirken. Können wir unseren Sinnen, z.B. in unserer digitalen Kommunikation, ohne Weiteres trauen? Wenn Erwachsene schon Schwierigkeiten haben zwischen Realität und Fiktion zu unterscheiden, wie muss es dann erst Kindern und Heranwachsenden gehen. Was können IT-Sicherheit und IT-Forensik gemeinsam für die Bekämpfung von Cybercrime-Phänomenen tun? Weitere Informationen und Anmeldung hier.
5.9.5 AG Ethik der Initiative D21: Ethics & Drinks -neu-
04.07.2025, 12:00 – 13:00 Uhr, online: Kompass statt Checkliste? Obwohl ethische Leitlinien für Künstliche Intelligenz längst existieren, fehlt es oft an einem praxisnahen Umgang damit. Wie lassen sich abstrakte Werte wie Gerechtigkeit, Inklusion oder Autonomie tatsächlich in konkrete Technologien übersetzen? In diesem digitalen Angebot „Ethics & Drinks“ wird der neue Denkimpuls der Initiative D21 vorgestellt. Weitere Informationen und Anmeldung dazu hier.
5.9.6 Nürnberg DIGITAL FESTIVAL: KI & Datensicherheit – Wie KI mit unseren Daten Regie führt
07.07.2025, 17:00 – 19:00 Uhr, Nürnberg: Im Rahmen der Aktionswoche Nürnberg Digital Festival gibt es ein Panel zu Fragen der Verantwortung, Kontrolle und Transparenz im Umgang mit unseren Daten. Die Veranstaltung findet in Räumen des Staatstheaters Nürnberg statt und vor und nach der Podiumsdiskussion gibt es die Gelegenheit Volker kennenzulernen: Einen intelligenten Staubsaugerroboter, der in der kommenden Spielzeit im Staatstheater auch auf der Bühne zu sehen sein wird und sich schon darauf freut neue Leute kennenzulernen. Weitere Informationen und Anmeldung hier.
5.9.7 Digitale Vorbilder: „Was macht die Datenschutzaufsicht?“ -neu-
09.07.2025, 10:00 – 12:00 Uhr, Hamburg: Was genau sind die Aufgaben einer Datenschutzaufsichtsbehörde und mit welchen Themen beschäftigen sich Mitarbeitende dort? Das Team des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit lädt pädagogische Fachkräfte, Kulturschaffende und Interessierte ein im Rahmen des EU-Projekts DigitaleVorbilder vorbeizukommen: Es geht u.a. um aktuelle Datenschutz-Themen und die täglichen Aufgaben. Vor allem gibt es aber viel Zeit, um Fragen und Themen, die im (pädagogischen) Alltag bewegen, anzusprechen. Die Veranstaltung ist kostenlos. Weitere Informationen und Anmeldung dazu hier.
5.9.8 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:
- Ausgabe 7: Thema wird in Kürze bekannt gegeben*
09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin
* Franks Anmerkung: Der Rest der Informationen soll weiterhin „später folgen“. Nun denn.
5.9.9 DatenTag: Ein Grundrecht für die Gesellschaft
16.09.2025, 10:00 – 16:00 Uhr, Berlin und online: Das Grundrecht auf Datenschutz ist von essenzieller Bedeutung. Denn es schützt die Rechte und Freiheiten von Menschen vor Beeinträchtigungen durch öffentliche oder kommerzielle Akteure.
Viele Erwartungen lasten auf dem Datenschutz, doch zugleich hat er in der öffentlichen Wahrnehmung einen schweren Stand: Es geht wenig darum, was der Datenschutz ermöglicht. Debatten drehen sich eher darum, was er ausbremst. Dabei will der Datenschutz die Digitalisierung gar nicht verhindern, sondern in Bahnen lenken, die individuelle und gesellschaftliche Belange respektieren. Darum geht es in dieser Veranstaltung. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Deregulierung – Parade der grauen Männer
Fast aus allen Ecken (insbesondere der Wirtschaft) lassen sich Forderungen nach Deregulierung vernehmen. Wieso die Forderung nach weniger Regulierung unsere digitale Souveränität nicht fördert, sondern im Gegenteil sogar schwächt, versucht dieser Beitrag darzustellen. Es sei nicht wirtschaftsfeindlich Regulierung für eine sinnvolle Errungenschaft der Zivilisation zu halten und zu verteidigen. DS-GVO, KI-VO etc. können auch zu Innovationen führen, die dann auch einen Gegenpol zu anderen Wirtschaftsbereichen wir USA oder China bilden können.
Und persönlich fand ich den Bezug zu Michael Endes „Momo“ im Titel sehr charmant.
Dass Datenschutzkonformität nicht den Ausschluss von Innovationen bedeutet, wird hier in diesem Beitrag und Podcast (Dauer ca. 1 Std.) anschaulich erläutert. Durch PET (Privacy Enhancing Technologies) können frühzeitig die Weichen gestellt werden, um Innovationen grundrechtskonform umzusetzen.
6.2 Metas KI-App
Sie scheint den Verfasser dieses Beitrags noch nicht zu überzeugen: Die KI-App von Meta. Es scheint sich zu lohnen sich vor der Nutzung mit den einzelnen Funktionen auseinanderzusetzen. Ein Ratschlag der gerade in der digitalen Welt immer hilfreich ist.
Genauso wie Jurist:innen immer vorgeben sich vorher alles durchzulesen, was sie unterschreiben.
Franks Nachtrag: Hier habe ich (der Vollständigkeit halber, also für zukünftige Zitate 😜) noch einen kurzen Videobeitrag und einen Artikel, der die BfDI dazu und zum OLG-Urteil zitiert.
6.3 bitkom-Podcast: Digitale Teilhabe und Barrierefreiheit
Digitale Technologien bieten viele Möglichkeiten, um demokratisches Miteinander zu fördern. Online-Plattformen informieren, Soziale Medien vernetzen und digitale Angebote machen Demokratie transparenter. Auch in der Politik sei dieses Thema angekommen und die Förderung digitaler Teilhabe ist im Koalitionsvertrag verankert. Darum geht es u.a. in diesem diesem Podcast (Dauer ca. 17 Min.).
6.4 Kinderfotos gehören nicht ins Netz – auch nicht im Urlaub!
Anlässlich der Urlaubszeit erinnert die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) daran, welche Risiken für die Kinder entstehen können, wenn Bilder von ihnen unkontrolliert ins Internet gestellt werden:
Ganz gleich, wie niedlich oder lustig Kinderfotos auch sein mögen – ein verantwortungsvoller Umgang mit Kinderaufnahmen im Internet ist notwendig. Reichte es früher aus, die Kinder durch einen Smiley über dem Gesicht unkenntlich zu machen, um sie zu schützen, machen heute die neuen KI-Programme diesen Schutz unwirksam. Kinderbilder im Netz werden unter anderem für Betrug, Erpressung und zur Erstellung von Missbrauchsdarstellungen zweckentfremdet. Wer Kinderfotos oder Kindervideos veröffentlicht, muss wissen, dass dies auch langfristig noch unerwünschte Folgen für das Kind haben kann – das Netz vergisst nichts.
7 Sonstiges/Blick über den Tellerrand
7.1 Kinder und soziale Medien – brauchen wir eine Altersgrenze?
In einem Feature des WDR in der Mediathek geht es um „das Fass der Pandora – Kinder und soziale Medien“. In ca. 55 Minuten wird über Zugang und Folgen der Inhalte und des Geschäftsmodells von sozialen Medien auf Kinder dargestellt. Damit erklärt sich auch das Engagement und Ziel von Initiativen wie smarterstartab14 (wir berichteten).
Zu einem anderen Ergebnis kommt die Gesellschaft für Medienpädagogik und Kommunikationskultur: Sie sagt nicht „Alles darf.“ Aber ein pauschales Verbot greife zu kurz. „Schulen brauchen selbstbestimmte Regulierung und pädagogische Konzepte statt genereller Technikverbote!“
Auch ein Lehrerverband spricht sich nach dieser Meldung gegen ein pauschales Verbot über eine Altersgrenze aus. Allerdings, wenn Zitate wie
„Facebook, Instagram und TikTok sind Teil einer Realität, in der junge Menschen lernen müssen, sich zurechtzufinden. Verbote helfen da nicht weiter.“
eines Lehrerverbandspräsidenten auf andere Sachverhalte angewendet werden würden, die Kinder und Jugendliche nach bisheriger Ansicht gefährden, würde mich seine Ansicht zu Kinderradwegen, Altersgrenzen bei Filmen, Alkohol, Drogen, Gewaltpornographie, Enthauptungsvideos und sexuelle Gewalt gegen Kinder interessieren.
Und selbst die Politik nimmt sich nun dieses Thema an, wie hier nachzulesen ist.
Erfrischend sachlich bleibt das Sonderheft der Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ), die sich in ihrer Publikation BzKJAktuell Ausgabe 2/2025 mit der Thematik befasst (wir berichteten). Die einzelnen Beiträge sind jeweils als PDF frei zugänglich.
8. Franks Zugabe
8.1 Apropos KI …
Heute nehme ich mir wieder die Zeit, da hat sich einiges angestaut die letzten Wochen (ein Disclaimer vorab, manche Meldungen sind nun schon mehrere Wochen alt, aber trotzdem noch lesenswert):
- Google setzt jetzt KI gegen Ad Fraud ein und hat 2024 alleine über 39 Millionen Betrüger-Accounts abgeklemmt.
- Kennen Sie Slopsquatting? nein? KI erfindet beim „Programmieren“ einfach Software-Bibliotheken. Die es bis dahin gar nicht gibt (so wie nicht existierende Urteile). Und dann kommen findige Kriminelle daher und bauen genau solche Software-Bibliotheken, die natürlich Kriminelles machen. Das nenne ich mal wieder Win-win. Wie heißt es so schön im Artikel? „LLMs can’t stop making up software dependencies and sabotaging everything.“ Hier gibt es noch eine zweite Quelle und hier eine Studie dazu.
- Früher™️ hat Microsoft User durch Verweigerung von Security-Patches zu neuen KI-Hölle-Versionen ihrer Produkte gezwungen. Heute gehen sie einen Schritt weiter und entfernen aktiv Sicherheitsfeatures aus alter Software, um die Nutzer:innen zum Wechsel zu bringen.
- Ich will nicht nur immer auf Microsoft schimpfen, sprechen wir doch mal von Apple (apropos Sicherheit): Kennen Sie Bug-Reports? Wenn Software unerwartet den Betrieb einstellt und Sie informiert werden, dass ein Absturzbericht an den Softwarehersteller geschickt werden möchte, damit dieser den Fehler analysieren und ggf. das Problem beseitigen kann? Diese können durchaus sensible Daten erhalten. Also wollte Apple natürlich damit eine KI trainieren.
- „The basic idea is that many of the AI safety policies proposed by the AI community lack robust technical enforcement mechanisms. The worry is that, as models get smarter, they will be able to avoid those safety policies. The paper proposes a set technical enforcement mechanisms that could work against these malicious AIs.“
- Zwischendurch wollte OpenAI übrigens auch mal Chrome kaufen, um den Browser zu einer „KI-zuerst“-Erfahrung umzubauen. Da haben wir doch alle darauf gewartet, oder?
- Doch kommen wir nun zu etwas ganz anderem. Zu Betrugsfällen beim Deutschlandticket. Da hilft KI doch bestimmt auch, oder?
- Schließlich wissen wir ja nun, wie KI denkt: „We Now Know How AI ‘Thinks’ — and It’s Barely Thinking at All“
- KI ersetzt Menschen in ihren Jobs. Nun ja, werden wir halt alle Prompt Engineers. Wie, auch nicht? Schade.
Übrigens, kennen Sie jemand, dessen Job wohl tatsächlich durch KI übernommen werden sollte? In diesem Post wird einer vorgestellt. - Aber: Microsoft lässt mittlerweile wohl 30 % der Software durch KI schreiben. Wenn Sie mich fragen, dann erklärt das Einiges …
- Was war die nächste gute Idee von OpenAI (wenn sie nicht gerade Browser aufkaufen wollen)? Ergänzen wir doch unsere KI um eine Einkaufsfunktion. Warum, fragen Sie? Vielleicht, um diesem Ziel näher zu kommen?
- Und dann gab es Mitte Mai in Berlin die „Größte Tech-Show in Europa“. Das haben Sie verpasst? Dann lesen Sie hier nach.
- Apropos sehen: Erinnern Sie sich noch an die Ray-Ban-Brillen (wir berichteten)? Unter anderem auch dafür hat Meta eine KI-App (Meta AI) veröffentlicht. Ach ja, und wenn Ray-Ban nicht Ihr Style ist, wie wäre es dann mit einer KI-Sportbrille? Gruselig, das!
- Kennen Sie CaMeL? Nicht? Google hat da eine Idee, wie ein Problem (Prompt Injections) bei LLM gelöst werden sollen kann. Noch ein Bericht zur Studie.
- Wollten Sie schon immer mal Interna aus den Unternehmen des Herr. E. Musk erfahren? Das war wohl im April mal für zwei Wochen durchaus möglich. Warum? Weil mal wieder jemand private Schlüssel auf Guthub veröffentlicht hatte, die den Zugang zu internen xAI large language models ermöglichte.
- Darauf haben wir alle gewartet: KI-Banking
- Andere „Finanz“-Unternehmen derweil: Klarna nutzt doch wieder menschliche Mitarbeiter im Kundendienst. Lief wohl nicht so gut mit KI.
- Gehören Versicherungen auch zur Finanzbranche? Ja, oder? Dann passt das hier ja thematisch gut: Lloyd’s of London: Versicherung soll Schäden durch KI-Halluzinationen abdecken. Juchuu, endlich können wir uns für die Folgen der KI-Nutzung versichern. Jetzt wird alles gut!
- Dann ist Vibe-Coding doch jetzt auch kein Problem mehr, oder? Inhaltlich wohl schon…
Vielleicht sollte der Schreiber des letzten Beitrags Codex nutzen? - Kommen wir mal wieder zu etwas ganz anderem: Chinese AI Submersible
Diese sollen natürlich nur für zivile Zwecke genutzt werden. Ja, nee, is klar. - Wie erkenne ich eigentlich durch KI gefakte Videos. Vor dem Lesen dieser Meldung hätte ich gedacht, wenn ich einen Herzschlag der abgebildeten Person im Video erkennen kann. Mittlerweile aber …
- Früher so: Traue keiner Umfrage, die Du nicht selbst gefälscht hast. Heute so: Die meisten Umfragen sind durch KI-Bots ausgefüllt …
- Und wieder ein harter Themenwechsel: US Copyright Office found AI companies sometimes breach copyright. Next day its boss was fired. Da gab es bestimmt keinen inhaltlichen Zusammenhang. Let’s shoot the messenger!
- Auch spannend: KI-Nutzung schadet dem Image im Büro.
- Reden wir doch mal wieder über KI und Atomstrom: KI statt Kernkraft? Netze BW will Rechenzentrum in Neckarwestheim bauen. In Japan gehen sie konsequent weiter: AI helps labor-short Japan keep nuclear plants safe. Nun gut, die hatten ja in Japan noch nie Probleme mit atomarer Energie …
- Das ZDF hat übrigens herausgefunden, dass LLMs immer unzuverlässiger werden
- Dazu passt ja wie Faust aufs Auge diese Meldung: United Arab Emirates will begin using artificial intelligence to help write its laws. Laut dem Artikel finden nicht alle diese Idee gut. Wenigstens was.
- KI-Texte seien in den USA nicht von der Redefreiheit gedeckt. Deswegen solle das Verfahren gegen Google & Co. wegen Suizid nach KI-Chats vorerst zugelassen werden. Spannend!
- Wo wir doch gerade bei Metas KI waren: ‘It’s terrifying’: WhatsApp AI helper mistakenly shares user’s number.
- Vielleicht sollten wir KI einfach abschalten. Aber was, wenn KI-Systeme nicht abgeschaltet werden wollen?
- Und dann war da noch das Projekt deutsche KI-Gigafabrik, welches in der Planung scheiterte und nun wohl doch umgesetzt werden soll.
- Und zu guter Letzt dann noch das.
8.2 Das Ende des Internets, wie wir es kennen
Nachdem Verleger verkündet haben, das Googles neuer KI-Suchmodus „der Definition von Diebstahl“ entspricht, beschreibt dieser Kommentar das zu Grunde liegende Dilemma.
Eine Lösung wäre diesem Kommentar zu entnehmen: Stoppt die sinnfreie KI-Schwemme!
8.3 The spectacle of the US House Judiciary Committee listening – really listening, it seemed – to four experts defending strong encryption
Feast, for a moment, on the thought of US lawmakers hearing, and possibly willing to believe, that encryption is a necessity that needs protection.
Wenn das Zitat Sie neugiering macht, hier ist die Quelle.
8.4 Was sagt eigentlich die Zivilgesellschaft zur geplanten Änderung der DS-GVO?
Wir hatten ja bereits über die geplanten Änderungen an der DS-GVO bereits berichtet. Irgendwie hatte ich aber scheinbar verpasst die zivilgesellschaftliche Sicht darzustellen. Das möchte ich hiermit nachholen.
8.5 Go European
Go European — Buy European products and services. Muss ich dazu noch mehr schreiben?
Wenn Sie nach europäischen Alternativen zu (US-amerikanischen) Platzhirschen suchen, werden Sie dort hoffentlich fündig.
8.6 Noch ein Abo-Modell – heute: Kampfflieger
Toll, wenn der Anbieter dann die Reparatur verweigert. Das scheint die US-Regierung zu stören, die israelische Regierung scheint sich das Recht in die Verträge hineinverhandelt zu haben. Dann hoffen wir, dass das bei den anstehenden Ausgaben durch die deutsche Bundesregierung berücksichtigt wird.
8.7 Podcast-Tipp: Lokale Sauereien von Meta und Yandex
Dieser Podcast (Dauer 1:56 Std.) ist mehr als hörenswert (wenn Sie die technische Sprache „aushalten“)!
Lassen Sie es mich mit Zitaten (aus dem Transskript der Podcast-Folge, welches meine Podcast-App generiert hat) belegen:
Und der Name dieser Malware ist Facebook, Instagram bzw. Yandex Maps.
Wenn es sich von seinen vermuteten Intentionen so anfühlt wie Malware und wenn es sich verhält wie Malware und wenn es so Seitenkanäle aufbaut und die Kommunikation verschleiert wie Malware und auch mit Command-and-Control-Servern, da kommen wir gleich vielleicht noch zu, redet wie Malware, ist das dann nicht Malware? Haben wir irgendeinen Grund, es als irgendwas anderes zu bezeichnen als als Malware?
Und da finde ich, ist die Smoking Gun das Inflagranti, tatsächlich diese Umstellung auf Turn, weil hier auch aktiv die Gegenmaßnahmen der Browser-Hersteller umgangen werden. Das hat ja nicht irgendwie zufällig, haben sie gleichzeitig rausgefunden, wir haben noch eine viel bessere Möglichkeit, die für den User viel besser ist gefunden, sondern es ist ja irgendwas, was der User nicht will, was dem User nichts bringt, was auch die User-Experience nicht in irgendeiner Weise verbessert, egal, ob ich jetzt hier STP-Managing oder Turn nehme. Das ist ja einfach nur eine Evasion, also eine Ausweichen um die Gegenmaßnahmen der Browser-Hersteller explizit zu umgehen und da ein neues Hintertürchen zu finden.
9. Die gute Nachricht zum Schluss
9.1 45 Jahre „Nummer gegen Kummer“
Seit 45 Jahren engagieren sich Personen oft ehrenamtlich, um Kindern und Erwachsenen ein Ohr und Hilfe anzubieten. Unter nummergegenkummer können sich Kinder, Jugendliche, Eltern und andere Bezugspersonen kostenlos und anonym beraten lassen. Was mit drei privaten Telefonanschlüssen begann, ist heute ein bundesweites, verbandsübergreifendes Netzwerk!
Herzlichen Glückwunsch!