Hier ist der 29. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 26-28/2025)“ – Die DVD-Edition.

Hier ist nun die letzte Ausgabe, bevor es für uns in die Sommerferien geht. Wir werden beide nacheinander unsere Sommerurlaube genießen. Damit werden in den nächsten Wochen wahrscheinlich eher unregelmäßig Blog-Beiträge erscheinen, entweder wieder solche gebündelten oder ggf. auch mal ein Zwischenspiel. Aber das ist die Zukunft, sprechen wir über diese Ausgabe:
Wir haben wieder mehrere Tätigkeitsberichte (entweder „alte“ oder welche von „anderen“ (europäischen bzw. kirchlichen) Aufsichtsbehörden), reichlich Beiträge zu aktueller Gesetzgebung (wie so oft so kurz vor der Sommerpause) und neben den ganzen anderen Beiträgen zu den üblichen Themenkomplexen auch noch ein paar neue Veranstaltungen (auch hier zeigt die Sommerpause ihre Wirkung).
Ansonsten ist es wieder viel geworden, echt viel, aber so ist das bei Ausgaben über mehrere Wochen.

1. Aufsichtsbehörden
   1. EDSA: Stellungnahme zu den Leitlinien der Europäischen Kommission zu Art. 28 DSA
   2. Berlin: Meldung von DeepSeek zur Sperrung in App-Stores nach Art. 16 DSA
   3. Hamburg: Symbol für Videoüberwachung von Parkräumen
   4. LfDI Rheinland-Pfalz Unterrichtsmaterialien zu KI und Datenschutz
   5. LDI Niedersachsen: Expertenbericht des Gremiums zur Künstlichen Intelligenz veröffentlicht
   6. Belgien: Abweisung von Beschwerden wegen Rechtsmissbrauch
   7. Spanien: Anforderungen bei Online-Hochschulbewertung mit KI
   8. CNIL: Verantwortlicher, gemeinsame Verantwortlichkeit und Auftragsverarbeiter
   9. CNIL: „PANAME“ Projekt zur Auditierung von KI-Modellen
   10. Niederlande: Erste Ergebnisse bei der Konsultation zur KI-Kompetenz
   11. Spanien: Übersicht zu Aspekten bei einer Verarbeitung mit KI
   12. Luxemburg: Leitlinien zu Aufbewahrungsfristen durch Zahlungsdienstleister
   13. Italien: Sanktion wegen unerlaubter Nutzung von Account-Inhalten von sozialen Medien
   14. ENISA: Technischer Leitfaden zu NIS2
   15. ICO: Überarbeitung des Leitfadens zur Verschlüsselung
   16. UK und Kanada: Sanktion gegen 23andme
   17. BSI: Dialog für Cybersicherheit
        
   18. Europa: Von der Krippe in die Cloud
   19. EDSA: „Helsinkibeschlüsse“
   20. Landesdatenschutzaufsichten: Einheitlichkeit der Meldepflichten gemäß NIS-2-Richtlinie
   21. BfDI: Teilautomatisierte Webseitenprüfung
   22. LDI NRW: Rechtsgrundlage für KI-Reallabore aus Art. 59 Abs. 1 KI-VO?
   23. LfDI Baden-Württemberg: Präsentationen der 6. IFG-Day online
   24. LfDI Baden-Württemberg: „Datenzirkus“ erneut zu Gast im Podcast „Datenfreiheit“
   25. LfDI Mecklenburg-Vorpommern: Welttag sozialer Medien am 30. Juni 2025
   26. EKD: Tätigkeitsbericht für 2023 und 2024
   27. Österreich: Bußgeld bei unzureichender Mitwirkung
   28. CNIL: Lösungen zur Reichweitenmessung
   29. CNIL: Beispiel für berechtigtes Interesse bei KI-System und Open Source
   30. CNIL: Sichere mobile Arbeit in Zügen
   31. CNIL: Zuständigkeit zur Überwachung der VO zur gezielten politischen Werbung
   32. Spanien: Beteiligung an European Blockchain Sandbox
   33. ICO: Konsultation zu Drittstaatentransfer aus UK
   34. BSI: Methodische Leitfaden zur Datenqualität in KI-Systemen
   35. BSI: Herausforderungen Fernidentifikation für EUDI-Wallets
   36. BNetzA: Hinweispapier zu Art. 4 KI-VO
   37. BNetzA: KI-Service-Desk der BNetzA gestartet
        
   38. EDSA und EDPS: Stellungnahme zum 4. Omnibuspaket und Änderungsvorschläge zur DS-GVO
   39. BfDI: Konsultation zu KI-Modellen
   40. LDI NRW: Bundesratsinitiative zum Schutz von Mieter*innen in finanzieller Notlage
   41. Sachsen-Anhalt: Tätigkeitsbericht für 2020, darin Ausführungen zu Änderungen im Genossenschaftsrecht
   42. Slovenien: Parkraumüberwachung mit Video und Datenschutz
   43. CNIL: Finale Version des TIA-Leitfadens
   44. Schweiz: Tätigkeitsbericht des EDÖB für 2024/2025
   45. CNIL: Spiel zu generationsförderndem Dialog
   46. Litauen: Haushaltsausnahme bei Drohnenaufnahmen zur Beweissicherung
   47. Niederlande: Unterstützung bei einem Algorithmusregister
   48. ICO: Konsultation zu neuem Ansatz zur Durchsetzung von Werbung ohne Einwilligung
   49. Tätigkeitsbericht für 2024 des Kath. Datenschutzzentrums Frankfurt
2. Rechtsprechung
   1. OLG Frankfurt: Löschanspruch auch gegen Facebook bei ehrverletzendem Account
   2. EuGH-Vorschau: Verhältnis Auskunftsanspruch zu Verwaltungsvorschrift (C-205/25)
   3. EuGH-Vorschau: Anwendbarkeit von Art. 13 oder Art. 14 DS-GVO bei einer Bodycam (C-422/24)
       
   4. OLG Nürnberg: Aufbewahrungsfrist von Schuldnerdaten
   5. LAG Hessen: Kein Recht zur Überwachung von Datenschutzvorgaben durch Betriebsrat
   6. LG Karlsruhe: Unternehmenspersönlichkeitsrecht gilt nicht juristische Personen aus Drittstaat
   7. LG Leipzig: 5.000 Euro Entschädigung nach Datenschutzverstößen durch Metas Business Tools
   8. VG Schleswig-Holstein: Transparenzvorgaben laut MStV gegen Meta (Facebook)
   9. Österreichisches BVwG: Inaktive E-Mail-Adresse für Betroffenenrechte kann zu Bußgeld führen
   10. Oberstes Verwaltungsgericht Finnland: Umfang von Art. 15 DS-GVO bei Protokolldaten
        
   11. EuGH: Arbeitsrecht und religiöse Aspekte (C‑258/24)
   12. OLG Dresden: Wann Anforderungen an Verdachtsberichterstattung auch für Blogger gelten
   13. OLG Dresden: Schutzmaßnahmen bei Online-Banking und Schadenersatz
   14. OLG München: Nachweispflichten und Ansprüche nach Scraping-Vorfall
   15. LG Leipzig: Urteilsgründe zu Schadenersatz bei Meta Business
   16. VG Schleswig: Eilantrag von Meta abgelehnt
   17. Schweizer Bundesverwaltungsgericht: Erfindungen durch KI und Eintragung ins Patentregister
   18. Auskunft und Schadenersatz
3. Gesetzgebung
   1. UK: Data Use And Access (DUAA)
   2. EU-Parlament: Timeline zur KI-VO
   3. Verschiebungen bei der KI-VO?
   4. Bundesrat: Antrag auf Änderungen der Mitbestimmung auch hinsichtlich Datenschutz
   5. Global AI Law and Policy Tracker
   6. OECD: Überblick zur Altersverifikation mit Beispielen
   7. Umsetzung des Digital Markets Act – nun mit USA?
   8. Änderungen bei der globalen Mindeststeuer
   9. Gespräche zu Änderungen bei der DS-GVO
       
   10. EU-Kommission: 4. Omnibuspaket und Transparenz
   11. EU-Rat: Zusammenspiel von KI-VO und DS-GVO
   12. EU: Überarbeitung DS-GVO und Erfahrungen aus UK
   13. Doch noch Pause bei KI-VO („stop the clock“)?
   14. Corrigendum beim CRA
   15. EU: Kinder und Deepfakes
   16. Zehn Gebote der KI-Ethik
   17. Konvention Nr. 108 und Datenschutz in LLM
   18. Bundesrat: Künstliche Intelligenz (KI) bei der Medienaufsicht
   19. DORA: Verordnung zur Untervergabe von IKT-Dienstleistungen
   20. Handelspolitik und europäische Digitalregulierung
        
   21. Bundesrat: Aktuelle Themen
   1. Bundesrat: Aktuelle Themen – Forderungen nach Anpassung zur Mitbestimmung
   2. Bundesrat: Aktuelle Themen – Strafbarkeit von Deepfakes
   3. Bundesrat: Aktuelle Themen – Datenschutz und Wettbewerbsrecht
   22. Österreich: Malware darf eingesetzt werden
   23. EU: Evaluierung von FFDR, ODD und DGA
   24. BMI: Erfassung der Personen nach SBGG („Trans-Register“)
   25. UK: Auswirkungen des “Data Use And Access Act” auf andere Regularien in UK
4. Künstliche Intelligenz und Ethik
   1. ISO/IEC 42005 – Entwurf zur KI-Folgenabschätzung
   2. Plattform Lernende Systeme: Whitepaper zur Erklärbarkeit von KI
   3. Acatech: Mehrheit ohne Erfahrung mit generativer KI
   4. Whitepaper zu Hochrisiko-KI-Systemen im Spannungsfeld von Recht und Technik
   5. Norwegen: Leitfaden zum Einsatz von KI-Assistenten
   6. USA: Urteil zu Fair Use und Copyright
   7. AI Now: Artificial Power – 2025 Landscape Report
   8. Whitepaper zur KI-gestützten Onlinesuche
       
   9. Wie gehen LLM-Betreiber mit Daten um?
   10. Datenschutzrechtliche Risiken beim Kauf eines Web-Scraping-Datensatzes
   11. IDE: Ethische Leitlinien zur digitalen Barrierefreiheit
   12. Transparenzpflichten nach der KI-VO
   13. Leitlinien für KI in der Lehre
   14. „pay per crawl” – eine Lösung?
   15. Verleger beschweren sich bei EU über Zusammenfassungen durch die KI von Google
   16. KI-Agenten im Browser: Thema für die Cybersicherheit?
   17. GDD: Mitbestimmungsrechte des BR beim Einsatz von KI
        
   18. EU: “General-Purpose AI Code of Practice veröffentlicht“
   19. Google Gemini und Trainingsdaten
   20. KI und Anwaltsschriftsätze
   21. EU: Studie zu Generative KI und Urheberrecht
   22. Tschechien: Kein DeepSeek in Behörden
   23. Initiative Urheberrecht: 3-Säulen-Modell zu generativer KI
   24. Dataports „LLMOIN“ erweitert Kundenkreis
   25. Rechtliche Rahmenbedingungen generativer KI
   26. Universität Regensburg: Richtlinien zum Einsatz von KI bei schriftlichen Prüfungsleistungen
5. Veröffentlichungen
   1. Microsoft KI-Transparenzbericht 2024
   2. Leitfaden für Journalisten zum sicherheitstechnischen Eigenschutz
   3. Netzwerk Datenschutzexpertise: Schmerzregister und Datenschutz
   4. Faktische Pseudonymität – Schutz der Betroffenenrechte
   5. Einwilligung bei Facebook zur Bildernutzung?
       
   6. Straßenfotografien – und vieles mehr
   7. bitkom: Leitfaden zur geschlechtlichen Anrede
       
   8. Barrierefreiheitserklärung
   9. Studie zu DiGa-Apps
   10. PWC: Umfrage zu Compliance und KI
   11. Veranstaltungen
       1. Webinar der EU zu Guidelines für angemessenen Ausgleich nach dem Data Act -neu-
       2. Webinar „Personenbezug bei KI-Modellen“ -neu-
       3. Gesellschaft Hamburger Juristen: (Grund-)Recht by Design -neu-
       4. Datenschutzsprechstunde des HmbBfDI: „Datenschutz im Verein“ -neu-
       5. DatenTag: Ein Grundrecht für die Gesellschaft
       6. Konferenz der Plattform Lernende Systeme: „KI & WIR – Zukunft verantwortlich gestalten“
6. Gesellschaftspolitische Diskussionen
   1. Wie digital muss Bildung sein?
   2. bitkom zum Verbot von digitalen Endgeräten an hessischen Schulen
       
   3. Online-Altersverifikation durch Google mit der Sparkasse
   4. Meta für europaweite „digitale Volljährigkeit“
   5. Umfrage für Konsequenz bei europäischer Regulatorik
   6. Meta und Werbung auf WhatsApp – und Möglichkeiten zu wechseln
       
   7. BRH: Unzureichender Schutz der Cybersicherheit auf Bundesebene
   8. Umfrage zu Technologieunternehmen und öffentlicher Bereich
   9. Mag keiner, braucht jeder: Bürokratie
   10. Schweiz: Smartphone-Verbote an Schulen
   11. Zahlen mit Daten – auch bei Bargeld?
7. Sonstiges / Blick über den Tellerrand
   1. Freie Rede – und Gegenrede
       
   2. KI-Souveränität und weitere Buzzwörter – auch zur Cloud von Microsoft
   3. Plattformregulierung und digitale Souveränität
       
   4. Technikakzeptanzforschung zu älteren Personen
   5. Ohne Moderation mehr Hass im Netz
   6. Destruktive Kräfte oder Reaktionär. Generationen, Zeitgeister und Zukunft
   7. Vielfalt in Geschlechtern – und Vielfalt bei den Ausreden
   8. Conni-Memes nicht grenzenlos
8. Franks Zugabe
   1. Ein Kommentar zu den neuen Smartglasses
   2. MIT Just Completed the First Brain Scan Study of ChatGPT Users and the Results Are Terrifying
   3. Fahrenheit 451, irgendjemand?
   4. Get more than you expect …
9. Die gute Nachricht zum Schluss
   1. Nicht wegsehen
       
   2. Entfernung von intimen Aufnahmen für Personen unter 18 Jahren

Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 EDSA: Stellungnahme zu den Leitlinien der Europäischen Kommission zu Art. 28 DSA

Im Mai 2025 leitete die Europäische Kommission eine öffentliche Konsultation zu den Leitlinien für den Online-Schutz von Minderjährigen im Rahmen des Gesetzes über digitale Dienste (vgl. Art. 28 Digital Services Act, DSA) ein. Die Leitlinien zielen darauf ab Plattformen, die für Minderjährige zugänglich sind, dabei zu unterstützen ein hohes Maß an Privatsphäre und Sicherheit für Kinder zu gewährleisten, wie es von dem DSA gefordert wird. Die EU-Kommission ersuchte den EDSA um Rückmeldung zu der öffentlichen Konsultation. Der EDSA hebt in seiner Stellungnahme hervor, dass es sich bei dem vorliegenden Beitrag angesichts der knappen Frist lediglich um eine vorläufige Bewertung handelt und künftige Leitlinien des EDSA zur Anwendung der DS-GVO nicht präjudiziert werden.

zurück zum Inhaltsverzeichnis

1.2 Berlin: Meldung von DeepSeek zur Sperrung in App-Stores nach Art. 16 DSA

Die BBfDI informiert, dass sie die KI-App „DeepSeek“ eines chinesischen Herstellers auf Basis des Art. 16 des DSA den Aufsichtsbehörden in Irland meldete. Nach Art. 16 DSA können rechtswidrige Inhalte gemeldet werden.
Konkret wird der Hangzhou DeepSeek Artificial Intelligence Co. Ltd. vorgeworfen mit ihrem Dienst DeepSeek gegen Art. 46 Abs. 1 DSGVO zu verstoßen und unzulässigerweise personenbezogene Daten nach China zu übermitteln. Die Berliner Datenschutzbeauftragte hatte daher das Unternehmen Anfang Mai 2025 aufgefordert seine Apps selbständig aus den App Stores für Deutschland zu entfernen, die rechtswidrige Datenübermittlung nach China einzustellen oder die gesetzlichen Voraussetzungen für eine rechtmäßige Drittstaatenübermittlung zu erfüllen. Laut Pressemitteilung erfolgte die Maßnahme in enger Abstimmung mit den LfDI Baden-Württemberg, dem LfDI Rheinland-Pfalz und dem LDI Bremen sowie nach Information der Koordinierungsstelle für digitale Dienste in der Bundesnetzagentur, die in Deutschland für die Durchsetzung des DSA zuständig ist. Bericht dazu hier.

zurück zum Inhaltsverzeichnis

1.3 Hamburg: Symbol für Videoüberwachung von Parkräumen

Der HmbBfDI berichtet, dass er ein Symbol zur Kennzeichenerfassung als Download bereitstellt. Zunehmend werden temporäre Nutzungen von Parkräumen über die Kennzeichenerfassung geregelt. Dazu gibt es nun ein besonderes Schild. Betreiber:innen von Kennzeichenerfassungssystemen, zum Beispiel Parkplatzbetreiber:innen, steht damit ein spezielles Symbol zur Beschilderung zur Verfügung. Bislang wurden im Zusammenhang mit Kennzeichenerfassungssystemen oft einfache Kamera-Symbole genutzt, die Nutzer:innen ein falsches Bild vermitteln konnten. Der nun kostenlos zum Download angebotene Gestaltungsvorschlag soll für mehr Transparenz sorgen und eindeutig auf den Vorgang der Kennzeichenerfassung hinweisen. Der HmbBfDI empfiehlt das Symbol sowohl bei der Bereitstellung von Datenschutzinformationen als auch an zentralen Stellen – etwa vor Zufahrten – einzusetzen. Das Symbol wurde vom Arbeitskreis Videoüberwachung der Datenschutzkonferenz (DSK) entwickelt und steht einheitlich für alle Bundesländer zur Verfügung. Neben dem Symbol gibt es auch einen Begleittext zum Symbol.

zurück zum Inhaltsverzeichnis

1.4 LfDI Rheinland-Pfalz Unterrichtsmaterialien zu KI und Datenschutz

Der LfDI Rheinland-Pfalz hat Informationen für Lehrerinnen und Lehrer zu Künstlicher Intelligenz veröffentlicht. Die Materialien und Methoden sollen Lehrkräfte bei der Behandlung des Themas KI im Unterricht unterstützen sowie auch allen anderen Interessierten Zusammenhänge verständlich erläutern. Die Arbeitsblätter und Anregungen für den Unterricht heben besonders die Datenschutzperspektive hervor. Sie sind kostenfrei unter youngdata.de abrufbar. Sie werden vom Team des LfDI kontinuierlich ausgebaut. Die Materialien sind für Lehrkräfte in Rheinland-Pfalz konzipiert, eignen sich aber auch für den Unterricht in anderen Bundesländern. Sie können auch allgemein Interessierten helfen, um die Funktionsweisen von KI besser zu verstehen.

zurück zum Inhaltsverzeichnis

1.5 LDI Niedersachsen: Expertenbericht des Gremiums zur Künstlichen Intelligenz veröffentlicht

Auf den Seiten des LDI Niedersachsen wurde der Ergebnisbericht des Expertengremiums zur Künstlichen Intelligenz veröffentlicht. Ziel des vom LDI Niedersachsen einberufenen Expertenkreises war es Rahmenbedingungen für den datenschutzkonformen Einsatz von KI in der Wirtschaft wie auch in der niedersächsischen Verwaltung auszuloten. An den Expertengesprächen nahmen Vertreter führender Institutionen aus der niedersächsischen Wirtschaft und Wissenschaft, der öffentlichen Verwaltung und Datenschutzexperten aus dem gesellschaftlichen Umfeld teil. Diese interdisziplinäre Zusammensetzung wurde gewählt, um die Datenschutzfragen von KI-Systemen aus unterschiedlichen Perspektiven betrachten zu können. Die drei Expertengespräche waren den folgenden Kernthemen gewidmet:

1. Rechtmäßigkeit des Trainings von KI-Modellen
2. Gewährleistung der Datenschutzgrundsätze, insbesondere der Transparenz, Fairness, Datenminimierung und Speicherbegrenzung in KI-Systemen
3. Grundsatz der Richtigkeit personenbezogenen Outputs und Bias-Mechanismen bei KI-Systemen

Der vollständige KI-Ergebnisbericht ist hier erhältlich. Ein datenschutzkonformer Einsatz von KI-Modellen und KI-Systemen in Niedersachsen ist im Ergebnis grundsätzlich möglich. Allerdings müssen zuvor noch einige wesentliche Rahmenbedingungen geschaffen werden, um diesen Prozess gezielt zu unterstützen und zu fördern.

zurück zum Inhaltsverzeichnis

1.6 Belgien: Abweisung von Beschwerden wegen Rechtsmissbrauch

Die belgische Aufsicht informiert, dass sie Beschwerden des NGO noyb wegen Rechtsmissbräuchlichkeit zurückwies. Eine systematische Generierung von Datenschutzbeschwerden durch eine Organisation könne als Rechtsmissbrauch gewertet werden, wenn sie nicht von der betroffenen Person ausgeht, sondern der Organisation zur strategischen Zielverfolgung diene. Im Rahmen des Projekts „Cookie Banner Complaints“ reichte noyb im Namen zweier österreichischer Personen Beschwerden gegen ein Kreditkartenunternehmen ein. Die Vorwürfe bezogen sich auf die rechtswidrige Einholung von Cookie-Einwilligungen auf Webseiten. noyb verfolgte das Ziel in großem Stil Verstöße gegen die Einwilligungsregelungen der DS-GVO automatisiert zu erkennen und durch Massenbeschwerden zu sanktionieren. Die belgische Datenschutzbehörde untersuchte die Beschwerden und stellte wesentliche Zweifel an der Authentizität des Vertretungsverhältnisses und der Rolle der „betroffenen Personen“ fest. Damit liege ein Rechtsmissbrauch im Sinne des Art. 80 Abs. 1 DS-GVO vor, weil der durch die DS-GVO eingeräumte Beschwerdemechanismus zweckentfremdet wurde. Es seien keine realen, individuellen Anliegen verfolgt worden, sondern strategische Ziele von noyb.

zurück zum Inhaltsverzeichnis

1.7 Spanien: Anforderungen bei Online-Hochschulbewertung mit KI

Die spanische Aufsicht AEPD sanktionierte die Verarbeitung biometrischer Daten mit KI bei der Online-Hochschulbewertung, weist aber auf regulatorische Möglichkeiten hin. Sie analysierte das Fernprüfungsüberwachungssystem einer Universität. Um Betrug und Identitätsdiebstahl bei den Prüfungsleistungen zu verhindern, beinhaltete dieses System den Einsatz von Gesichtserkennungstechnologien, wobei die Gesichtserkennung mit künstlicher Intelligenz verwendet wurde. Die Aufsicht kam bei der Prüfung u.a. zu folgenden Ergebnissen: Es handelte sich dabei um die Verarbeitung von Daten der besonderen Kategorie nach Art. 9 Abs. 1 DS-GVO. Die Gültigkeit der Einwilligung wurde angezweifelt, da den Studierenden keine Alternative zur Teilnahme an den Online-Prüfungen geboten wurde. Die Rechtmäßigkeitsgrundlage aus Art. 9 Abs. 2 lit. g DS-GVO wurde abgelehnt, es sei ein spezielles Ermächtigungsgesetz erforderlich gewesen, das berücksichtigt, in welchen Fällen, unter welchen Bedingungen und unter welchen Garantien diese Verarbeitung durchgeführt werden kann.

zurück zum Inhaltsverzeichnis

1.8 CNIL: Verantwortlicher, gemeinsame Verantwortlichkeit und Auftragsverarbeiter

Die CNIL hat in einem Beitrag die Kriterien zur Abgrenzung mit Beispielen und Konsequenzen dargestellt. Dabei werden auch Tipps zur Umsetzung gegeben.

zurück zum Inhaltsverzeichnis

1.9 CNIL: „PANAME“ Projekt zur Auditierung von KI-Modellen

Die CNIL informiert über ein gemeinsames Projekt mit mehreren Partnern zur Prüfung der Vertraulichkeit von KI-Modellen. „PANAME“ (Privacy Auditing of AI Models) sei ein Projekt, das darauf abzielt ein Tool zur Prüfung der Privatsphäre von KI-Modellen zu entwickeln. Die CNIL verweist dabei auch auf die Kleine Taxonomie von Angriffen auf KI-Systeme eines der Projektpartner. In Bezugnahme auf die Stellungnahme des EDSA 28/2024 zu KI-Systemen (wir berichteten) erinnert die CNIL, dass es sehr oft notwendig ist in einer Analyse nachzuweisen, dass ein Modell resistent gegen Angriffe auf den Datenschutz ist, um daraus zu schließen, dass es anonym ist, eine Bedingung, die es erlaubt es aus dem Anwendungsbereich der DS-GVO zu entfernen. Diesbezüglich kündigt die CNIL Empfehlungen an, um den Interessengruppen bei der Durchführung und Dokumentation dieser Analyse zu helfen.
Jeder der beteiligten Partner wird entsprechend seinem Fachgebiet einen Beitrag leisten:

• PEReN wird hauptsächlich für die Entwicklung der Bibliothek zuständig sein.
• ANSSI wird sein Fachwissen im Bereich Cybersicherheit einbringen, insbesondere im Zusammenhang mit Angriffen auf IT-Systeme.
• Das Projekt IPoP wird die wissenschaftliche Leitung des Projekts übernehmen und die CNIL wird die Projektsteuerung sowie den rechtlichen Rahmen gewährleisten.

zurück zum Inhaltsverzeichnis

1.10 Niederlande: Erste Ergebnisse bei der Konsultation zur KI-Kompetenz

Die niederländische Aufsicht veröffentlicht die ersten Ergebnisse ihrer Konsultation zur KI-Kompetenz. Das Dokument soll Organisationen praktische Inspiration für die Einrichtung ihres Ansatzes für KI-Kompetenzen bieten. Im Laufe dieses Jahres will die Datenschutzbehörde weitere Ergebnisse und Antworten auf den Aufruf zur Einreichung von Beiträgen zur KI-Kompetenz veröffentlichen.

zurück zum Inhaltsverzeichnis

1.11 Spanien: Übersicht zu Aspekten bei einer Verarbeitung mit KI

Die spanische Aufsicht AEPD veröffentlichte eine Übersicht, an welche Punkte aus Datenschutzsicht bei der Verarbeitung personenbezogener Daten zu denken ist. Von jedem der aufgezählten Punkte erfolgt eine Verlinkung zu vertieften Informationen bzw. weiteren Dokumenten dazu.

zurück zum Inhaltsverzeichnis

1.12 Luxemburg: Leitlinien zu Aufbewahrungsfristen durch Zahlungsdienstleister

Geht es um personenbezogene Daten sind Besonderheiten zu beachten. Die luxemburgische Aufsicht veröffentlichte ihre Leitlinien zu den Aufbewahrungsfristen personenbezogener Daten durch Zahlungsdienstleister. Damit soll eine Orientierungshilfe zu einem komplexen Thema gegeben werden, das sowohl bei Kunden als auch bei Zahlungsdienstleistern häufig Fragen aufwirft.
Einerseits erheben und verarbeiten Zahlungsdienstleister zum Zeitpunkt des Eingehens der Beziehung, während der gesamten Dauer der Beziehung und sogar weit nach Beendigung der Beziehung mit dem Nutzer des Dienstes eine erhebliche Menge an personenbezogenen Daten. Auf der anderen Seite haben technologische Innovationen die Fähigkeit von Zahlungsdienstleistern, eine Vielzahl von Daten über ihre Nutzer zu sammeln, zu speichern, zu kombinieren und zu analysieren, stark verbessert. Ohne Anspruch auf Vollständigkeit zu erheben zielen diese Leitlinien darauf ab die betroffenen Akteure über die Fristen und Methoden der Speicherung der personenbezogenen Daten, die sie im Rahmen eines stark regulierten Sektors verarbeiten, aufzuklären.

zurück zum Inhaltsverzeichnis

1.13 Italien: Sanktion wegen unerlaubter Nutzung von Account-Inhalten von sozialen Medien

Die italienische Aufsicht Garante informiert, dass sie gegen die Autostrade spa ein Bußgeld in Höhe von 420.000 Euro verhängte, weil diese unrechtmäßige Daten einer Arbeitnehmerin aus deren privaten Facebook-Account verarbeitete und diese Daten dann zur Rechtfertigung ihrer Entlassung verwendet wurden. Das sind dann die Themen, über die Sie sich im Stau am Brenner unterhalten können.

zurück zum Inhaltsverzeichnis

1.14 ENISA: Technischer Leitfaden zu NIS2

Die EU-Agentur für Cybersicherheit (ENISA) hat einen technischen Leitfaden für die Sicherheitsmaßnahmen der NIS2-Durchführungsverordnung veröffentlicht, um digitale Infrastrukturen und Managed-Service-Provider zu unterstützen.

zurück zum Inhaltsverzeichnis

1.15 ICO: Überarbeitung des Leitfadens zur Verschlüsselung

Der bisherige Leitfaden des ICO zur Verschlüsselung muss angesichts einer Gesetzesänderung überarbeitet werden, wie er hier mitteilt. Bis 24. Juni 2025 konnten Hinweise dazu eingereicht werden.

zurück zum Inhaltsverzeichnis

1.16 UK und Kanada: Sanktion gegen 23andme

Wie hier berichtet wird, wurden in einer gemeinsamen Untersuchung der britischen und der kanadischen Datenschutzbehörden bei dem Unternehmen für Genanalysen 23andme einige Mängel festgestellt, wie z.B. unzureichenden Sicherheitssysteme, u.a. auch bezogen auf die Passwortanforderungen. Da die kanadische Aufsicht keine Strafen verhängen darf, muss sich diese auf die Feststellung beschränken, dass 23andme kanadisches Datenschutzrecht verletzt hat. Von der illegalen Offenlegung dürften etwa 320.000 Kanadier und rund 150.000 Briten betroffen sein. Von der britischen ICO gab es daher auch ein Bußgeld in Höhe von ca. 2,7 Mio. Euro. Ob es bezahlt wird, ist nicht sicher, befindet sich doch 23andme im Insolvenzverfahren. Nun wurden die Daten aus der Insolvenzmasse nach diesem Bericht für 305 Mio. US-$ verkauft. Übrigens an eine Organisation der früheren Mitgründerin.

zurück zum Inhaltsverzeichnis

1.17 BSI: Dialog für Cybersicherheit

Das BSI ruft zu Vorschlägen auf, wie unterschiedliche Stakeholder-Gruppen für mehr Cybersicherheit in der Gesellschaft gewonnen und motiviert werden können. Ideen für Themen, die entsprechende Handlungsbedarfe und Problemszenarien adressieren, können von allen Dialogpartner:innen wie auch von externen Stakeholdern eingebracht werden. Die Einreichung erfolgt über ein Ideen-Skizzen-Template, welches via E-Mail bis 31. August 2025 eingereicht werden kann. Diese werden auf der Veranstaltung Denkwerkstatt „Sichere Informationsgesellschaft“ am 14./15. November 2025 in Berlin präsentiert. Weitere Informationen dazu hier.

zurück zum Inhaltsverzeichnis

1.18 Europa: Von der Krippe in die Cloud

Die Veranstaltung des EDSA, des EDPO und des Europäischen Parlaments zu dem Thema Überwachung und Digitalisierung in der Kindheit ist hier als Aufzeichnung anzusehen (Dauer ca. 2:15 Std.). Die Veranstaltung wurde organisiert durch Praktikanten und Trainees.

zurück zum Inhaltsverzeichnis

1.19 EDSA: „Helsinkibeschlüsse“

Bei einem Treffen Anfang Juli 2025 in Helsinki haben sich die Vorsitzenden der nationalen Aufsichtsbehörden im EDSA auf die einheitliche Anwendung der DS-GVO verständigt. Die Vereinbarungen werden als Meilenstein bewertet, wenn es um Klarheit, Unterstützung und Engagement für Organisationen in Europa geht, die die DS-GVO einhalten müssen.
Der Beschluss enthält neue Initiativen, die es für Unternehmen einfacher und effizienter machen sollen die DS-GVO einzuhalten und den Schutz von personenbezogene Date mit (digitaler) Innovation sicherzustellen. Zielgruppen sind vor allem kleine und mittlere Organisationen. Der EDSA stellt dafür klare Informationen und praktische Instrumente wie Checklisten, Handbücher und FAQ-Listen zur Verfügung.
Die Luxemburger Aufsicht bietet bereits ein Tool für KMU an, damit diese ihre „Lernreise“ zur DS-GO absolvieren können: „DAAZ – Data Accountability from A to Zen“.

zurück zum Inhaltsverzeichnis

1.20 Landesdatenschutzaufsichten: Einheitlichkeit der Meldepflichten gemäß NIS-2-Richtlinie

Die Datenschutzaufsichtsbehörden der Länder sprechen sich für eine deutliche Entlastung der Verantwortlichen bei der Erfüllung der Meldepflichten der neuen NIS-2-Richtlinie in Deutschland aus, wie sie hier informieren. Betreibern kritischer Infrastrukturen soll es ermöglicht werden mit demselben Prozess sowohl Meldungen nach der neuen NIS-2-Richtlinie als auch nach der DS-GVO einzureichen. Einen entsprechenden Vorschlag für eine Gesetzesänderung haben die unabhängigen Datenschutzaufsichtsbehörden der Länder Anfang Juli 2025 im Rahmen der Länder- und Verbändebeteiligung an das Bundesministerium des Innern gesandt.
Nach aktuellem Stand soll zentrale Meldestelle für Sicherheitsvorfälle nach der NIS-2-Richtlinie in Deutschland das BSI werden. Die Datenschutzaufsichtsbehörden der Länder schlagen vor, dass sie gemeinsam mit dem BSI ein einheitliches digitales Verfahren für Meldungen von Vorfällen entwickeln. Dieses Verfahren soll sowohl Meldungen nach der NIS-2-Richtlinie als auch nach der DS-GVO ermöglichen, soweit ein Sicherheitsvorfall zugleich eine Datenpanne begründet. Es unterstützt zudem den von den deutschen und europäischen Datenschutzaufsichtsbehörden bereits eingeschlagenen Weg zur Vereinheitlichung des Meldeprozesses nach Art. 33 DS-GVO.
Ob ich mir eine neue Abkürzung einfallen lassen muss für Verlautbarungen, die ohne die BfDI erfolgen? DABdL für Datenschutzaufsichtsbehörden der Länder?
Dass die Länder sich bereits Gedanken machen, wie Meldungen nach Art. 33 DS-GVO vereinheitlicht werden können, ist auch in diesem Blog-Beitrag nachzulesen.

zurück zum Inhaltsverzeichnis

1.21 BfDI: Teilautomatisierte Webseitenprüfung

Die BfDI teilt mit, dass sie über eine teilautomatisierte Webseitenprüfung Mängel bei der Umsetzung datenschutzrechtlicher Anforderungen fand. Mit verschiedenen Prüfwerkzeugen hat sie im ersten Quartal 2025 knapp 200 Webseiten des Bundes systematisch untersucht. Über 500.000 Einzelseiten wurden automatisiert analysiert, 40 Verstöße durch datenschutzwidrige YouTube-Einbindungen wurden identifiziert und damit verbunden sind 40 Beratungsschreiben an die identifizierten Stellen versendet worden. Ende 2025 will die BfDI evaluieren, wie beziehungsweise ob die betroffenen Stellen auf die Beratungsschreiben reagiert haben. Parallel sollen weitere Prüfungen mit anderem Fokus und eine Ausweitung auf zusätzliche Webseiten folgen.

zurück zum Inhaltsverzeichnis

1.22 LDI NRW: Rechtsgrundlage für KI-Reallabore aus Art. 59 Abs. 1 KI-VO?

Die LDI NRW befasst sich in ihrem Tätigkeitsbericht 2024 (wir berichteten) auch mit Problemen der KI-VO, die noch gelöst werden müssen (Ziffer 5.2 ab Seite 27).
Rechtsgrundlage ist Art. 59 Abs. 1 KI-VO, der die Weiterverarbeitung personenbezogener Daten bei der Tätigkeit in einem KI-Reallabor vorsieht – und dabei den datenschutzrechtlichen Grundsatz der strengen Zweckbindung nach Art. 5 Abs. 1 lit. b DS-GVO durchbricht. Nach dem Wortlaut der neuen Norm wird die Weiterverarbeitung von „rechtmäßig für andere Zwecke erhobene(n) personenbezogene(n) Daten […] für die Zwecke der Entwicklung, des Trainings und des Testens bestimmter KI-Systeme” in Reallaboren erlaubt, ohne dass die Voraussetzungen des Art. 5 Abs. 1 lit. b DS-GVO geprüft werden müssten. Dabei sei allerdings zu berücksichtigen, dass Art. 59 Abs. 1 KI-VO lediglich für KI-Systeme gilt, die für bestimmte Einsatzzwecke entwickelt werden, und unter der Voraussetzung, dass zusätzliche technische Sicherheitsvorkehrungen eingehalten werden. So sei die Anwendung der neuen Rechtsgrundlage nach Art. 59 Abs. 1 lit. a KI-VO auf die Entwicklung solcher innovativer KI-Systeme beschränkt, die einem erheblichen öffentlichen Interesse dienen, zum Beispiel in den Bereichen der öffentlichen Sicherheit und Gesundheit oder dem Umweltschutz.
Außerdem gelte die neue Vorschrift des Art. 59 Abs. 1 lit b KI-VO weiterhin nur für solche Datenverarbeitungen, die für die Erfüllung der technischen Anforderungen an Hochrisiko-KI-Systeme erforderlich sind, und „sofern diese Anforderungen durch die Verarbeitung anonymisierter, synthetischer oder sonstiger nicht personenbezogener Daten nicht wirksam erfüllt werden können.” Der Anbieter habe weiterhin sicherzustellen, dass die Erhebung der Daten rechtmäßig erfolgte.
Neben Art. 59 Abs. 1 KI-VO gibt es zum anderen nun auch Art. 10 Abs. 5 KI-VO. Diese Norm stelle eine Durchbrechung des Verbots der Verarbeitung besonderer Kategorien personenbezogener Daten durch den Anbieter dar (Art. 9 Abs. 2 lit. g DS-GVO). Danach kann der Anbieter rechtmäßig erhobene Daten auch zur „Erkennung und Korrektur von Verzerrungen im Zusammenhang mit Hochrisiko-KI-Systemen” einsetzen, sofern dies „unbedingt erforderlich ist” und angemessene Vorkehrungen zum Schutz der Betroffenen-Grundrechte etwa durch Pseudonymisierungen oder Verschlüsselungen getroffen werden.

zurück zum Inhaltsverzeichnis

1.23 LfDI Baden-Württemberg: Präsentationen der 6. IFG-Day online

Der LfDI Baden-Württemberg veröffentlichte auf seiner Webseite die Präsentationen des 6. IFG-Day. Wer unsicher ist, wie Informationsfreiheitsregelungen beim Datenschutz helfen, sollte sich positiv überraschen lassen, z.B. durch den Beitrag „Forschungsprojekt „AnoMoB: Anonymisierte Erfassung und Nutzung von Mobilitäts- und Bewegungsdaten“.

zurück zum Inhaltsverzeichnis

1.24 LfDI Baden-Württemberg: „Datenzirkus“ erneut zu Gast im Podcast „Datenfreiheit“

Und wieder durfte der Datenzirkus zu Gast im Podcast des LfDI Baden-Württemberg sein. Diesmal etwas schwerpunktmäßig zu Themen rund um KI – aber eben nicht nur. Anzuhören ist die Folge hier (Dauer 49 Min.). In den Shownotes zum Podcast gibt es auch wieder die Verlinkungen zu den Berichten aus dem Datenzirkus.

zurück zum Inhaltsverzeichnis

1.25 LfDI Mecklenburg-Vorpommern: Welttag sozialer Medien am 30. Juni 2025

Ohne die Pressemeldung des LfDI Mecklenburg-Vorpommern hätte ich das auch nicht mitbekommen: Seit 2010 gilt der 30. Juni als Welttag sozialer Medien. An ihm soll die Bedeutung sozialer Medien für die weltweite Kommunikation gewürdigt werden. Der LfDI Mecklenburg-Vorpommern erinnert in seiner Pressemeldung daran, dass für die Betreiber soziale Medien in erster Linie ein Geschäftsmodell seien, deren Ware die Daten der Nutzenden seien.
Ergänzung von mir – und das nicht nur am 30. Juni: Alle sollen sich ernsthaft Gedanken darüber machen, was sie in sozialen Netzwerken an Informationen übers ich preisgeben möchten und auch regelmäßig einen Blick auf ihre Privatsphäre-Einstellungen werfen.

zurück zum Inhaltsverzeichnis

1.26 EKD: Tätigkeitsbericht für 2023 und 2024

Die Datenschutzaufsicht der evangelischen Kirche hat ihren Tätigkeitsbericht für die Jahre 2023 und 2024 veröffentlicht. Entgegen den Vorgaben in der DS-GVO scheint dies der evangelischen Kirche für das „in Einklangbringen“ aus Art. 91 DS-GVO zu genügen. Nach einer Darstellung der Entwicklungen im Datenschutz, welche auch die Datenschutz-Rechtsprechung des EuGH beinhaltet, widmet sich der Bericht den Ausführungen zu organisatorischen Details der Aufsicht in der evangelischen Kirche, wie der Zusammenlegung der Aufsichten und der Struktur mit vier Außenstellen.
Details zu dem Bericht werden hier schön besprochen.

zurück zum Inhaltsverzeichnis

1.27 Österreich: Bußgeld bei unzureichender Mitwirkung

Die österreichische Datenschutzbehörde (DSB) entschied gegen ein Unternehmen der Parkraumbewirtschaftung, dass dieses systematisch eine Mitwirkung im Rahmen eines amtswegigen Prüfverfahrens unterlassen habe und damit gegen eine Pflicht aus Art. 31 DS-GVO verstoßen habe. Dafür berechnete sie eine Sanktion in Höhe von 16.000 Euro. Trotz mehrfacher Aufforderung erfolgte zu Schreiben und Fragen der DSB keine Reaktion. Die DSB wollte den Sachverhalt um Videoaufnahmen und Mahnschreiben, die Parkplatzbenutzer erhielten, aufklären. Nach Angaben der DSB ist das Verfahren noch nicht rechtskräftig abgeschlossen.

zurück zum Inhaltsverzeichnis

1.28 CNIL: Lösungen zur Reichweitenmessung

Die CNIL informiert über Möglichkeiten zur datenschutzkonformen Reichweitenmessung bei Webseiten oder Apps. Die Verwaltung einer Website oder einer App erfordere in der Regel die Verwendung von Traffic- oder Performance-Statistiken, die für die Bereitstellung des Dienstes oft unerlässlich sind. Cookies, die zu diesem Zweck platziert werden, können laut CNIL unter bestimmten Bedingungen von der Einwilligungspflicht ausgenommen sein.
Die sei der Fall, wenn diese Tracker

• für einen Zweck verwendet werden, der streng auf die alleinige Messung des Publikums der Website oder Anwendung beschränkt ist (Leistungsmessung, Erkennung von Navigationsproblemen, Optimierung der technischen Leistung oder ihrer Ergonomie, Schätzung der Leistung der erforderlichen Server, Analyse des konsultierten Inhalts) und zwar ausschließlich auf Rechnung des Herausgebers sowie wenn sie
• nur zur Erstellung anonymer statistischer Daten verwendet werden.

Eine Einwilligung wird dann erforderlich, wenn der Einsatz von Trackingtechnologien

• zum Abgleich von Daten mit anderen Verarbeitungsvorgängen oder zur Übermittlung nicht anonymer Daten an Dritte führt oder

 

• die allgemeine Verfolgung des Browsens der Person ermöglicht, die verschiedene Anwendungen verwendet oder verschiedene Websites besucht.

Jede Lösung, die dieselbe Kennung auf mehreren Websites verwendet (z. B. über Cookies, die auf einer von mehreren Websites geladenen Domain eines Drittanbieters platziert werden), um einen Inhalt zu vergleichen, zu duplizieren oder eine einheitliche Abdeckungsrate („Reichweite“) zu messen, ist ohne Einwilligung ausgeschlossen.
Dazu bietet die CNIL auch Empfehlungen zur Umsetzung und an Anbieter zur Prüfung, ob ihre Lösung die Anforderungen erfüllt, und bietet dazu einen Selbstbewertungsbogen an.

zurück zum Inhaltsverzeichnis

1.29 CNIL: Beispiel für berechtigtes Interesse bei KI-System und Open Source

Gerade eben hatten wir auf die Veröffentlichung der CNIL zum berechtigten Interesse hingewiesen. Schon legt sie mit einer englischen Fassung auch der Info-Blätter nach. Und damit nicht genug, diese enthält im Gegensatz zur französischen auch eine tabellarische Übersicht hinsichtlich Verarbeitungen im Umfeld von LLM.
Und ebenso gibt es nun auch Aussagen zur Bewertung des berechtigten Interesses bei Open-Source-Praktiken – auch auf Englisch.

zurück zum Inhaltsverzeichnis

1.30 CNIL: Sichere mobile Arbeit in Zügen

Zusammen mit der Bahngesellschaft SNCF erarbeitet die CNIL Sensibilisierungen zum sicheren Arbeiten in Zügen. Die Ergebnisse werden in den Zügen als Infografik platziert. Zusätzlich werden über Monitore Hinweise eingeblendet, wie Erinnerungen an die Verwendung eines Blickschutzfilters oder die Sperrung von Geräten, wenn der Platz verlassen wird.

zurück zum Inhaltsverzeichnis

1.31 CNIL: Zuständigkeit zur Überwachung der VO zur gezielten politischen Werbung

Die französische Aufsicht informiert, dass sie die Aufsicht über die Teile der VO 2024/900 übernimmt, die sich mit personenbezogenen Daten befassen. In der VO 2024/900 sollen Rahmenbedingungen für gezielte politische Werbung geregelt werden. Sie kommt ab 15. Oktober 2025 zur Anwendung. Die CNIL weist darauf hin, dass dazu eine ausdrücklichen Einwilligung erforderlich sei, die Daten direkt von den betroffenen Personen erhoben werden sollten und ein Profiling auf der Grundlage personenbezogener Daten von Minderjährigen verboten sei, ebenso wie ein Profiling auf der Grundlage von Daten besonderer Kategorien.

zurück zum Inhaltsverzeichnis

1.32 Spanien: Beteiligung an European Blockchain Sandbox

Die spanische Aufsicht AEPD teilt mit, dass sie sich an der dritten Ausgabe der Europäischen Blockchain-Sandbox beteiligt. Dies ist eine Initiative der Europäischen Kommission, die für Regulierungsbehörden, Aufsichtsbehörden und Unternehmern mit Projekten, die die Blockchain nutzen, einen Rahmen bietet, um einen regulatorischen Dialog zu führen. Dabei sollen Hindernisse ermittelt und die Rechtssicherheit dieser innovativen technologischen Lösungen erhöht werden, indem sie in einem sicheren und vertraulichen Umfeld Orientierung bieten. Blockchain-Projekte, die für die Teilnahme an der Initiative ausgewählt wurden, erhalten Rechtsberatung von Experten und treten in einen Dialog mit nationalen und EU-Regulierungsbehörden.
Die europäische Blockchain-Sandbox-Initiative hat die ausgewählten Projekte veröffentlicht, welche ein breites Spektrum von Sektoren und Themen abdecken. Damit beginnt die Phase der vertraulichen regulatorischen Dialoge, an denen die AEPD gemeinsam mit anderen Behörden beteiligt ist. Am Ende dieser Dialoge wird ein Bericht über bewährte Verfahren veröffentlicht, wie schon in den vergangenen Ausgaben.

zurück zum Inhaltsverzeichnis

1.33 ICO: Konsultation zu Drittstaatentransfer aus UK

Der ICO hat eine Konsultation zu seinem Leitfaden zu internationalem Datentransfer eröffnet. Im Januar dieses Jahres veröffentlichte der ICO einen Brief, in welchem der ICO um Vorschläge zur Stärkung des Geschäftsvertrauens, zur Verbesserung des Investitionsklimas und zur Förderung eines nachhaltigen Wirtschaftswachstums gebeten wurde. In seiner Antwort verpflichtete sich der ICO neue und aktualisierte Leitlinien für internationale Übermittlungen zu veröffentlichen, die es Unternehmen schneller und einfacher machen Daten sicher zu übertragen. Nun möchte der ICO im Rahmen der Konsultation wissen, welche Aspekte seiner Beratung am hilfreichsten sind, ob es Aspekte seiner Beratung gibt, die nur schwer zu verstehen sind oder angewendet werden können. Und welche Tools oder Beratungsprodukte würden internationale Überweisungen für Unternehmen einfacher, schneller oder unkomplizierter machen? Bis 7. August 2025 kann hierüber Feedback gegeben werden.

zurück zum Inhaltsverzeichnis

1.34 BSI: Methodische Leitfaden zur Datenqualität in KI-Systemen

Das BSI stellte einen methodischen Leitfaden zur Datenqualität in KI-Systemen vor. Die KI-VO definiert Qualitätsanforderungen an KI-Trainingsdaten, die Aspekte wie Relevanz, Fehlerfreiheit und Vollständigkeit abdecken. Das BSI hat nun einen Katalog zur Qualitätssicherung von Trainingsdaten in KI-Anwendungen veröffentlicht. Ziel der Dokumentenreihe Qualitycriteria for AI Trainingsdata in AI Lifecycle (QUAIDAL) ist die systematische Überführung dieser abstrakten Qualitätsanforderungen in konkrete Bausteine, Maßnahmen und Metriken & Methoden. Diese strukturierte Vorgehensweise soll die gezielte Einhaltung regulatorischer Vorgaben unterstützen und erhöht deren technische Nachvollziehbarkeit im Entwicklungsprozess von KI-Systemen. Der QUAIDAL-Dokumentenkatalog gliedert sich in sechs Teildokumente:

• Teildokument A: „01-Grundlagen & Methodik“
  Dieses Dokument beschreibt die zugrunde liegende Methodik und erläutert, wie der Katalog praktisch zur Bewertung von Trainingsdatensätzen angewendet wird.
• Teildokument B: „02-Qualitätskriterien & Bausteine“
  Hier sind alle relevanten Qualitätskriterien sowie die zugehörigen Bausteine übersichtlich aufgeführt. Es wird dargestellt, wie die einzelnen Kriterien und Bausteine ineinandergreifen.
• Teildokument C: „03-Qualitätsmaßnahmen & Metrikenmethoden“
  In diesem Dokument werden sämtliche Maßnahmen zur Qualitätssicherung erklärt. Außerdem werden die entsprechenden Metriken und angewandten Methoden umfassend beschrieben.
• Teildokument D: „04-Referenzen“
  Das Dokument liefert eine ausführliche Übersicht aller verwendeten Referenzen, Normen, Standards und Verordnungen.
• Teildokument E: „BSI GitHub Teil A – maschinenlesbare Form des Katalogs“
  Alle Bausteine des Katalogs stehen als maschinenlesbare Markdown-Dateien zur Verfügung und enthalten Verweise auf verwandte Bausteine. Darüber hinaus sind alle Informationen im SQLite-Format abrufbar. Zusätzlich finden Sie Referenzmatrizen, die die Arbeit mit den Kriterien erleichtern.
• Teildokument F: „BSI GitHub Teil B – Sourcecodes zu den Metriken & Methoden“
  Dieses Teildokument enthält Beispiel-Implementierungen, die in den Metriken und Methoden referenziert werden.

Ein Bericht dazu finden Sie auch hier.

zurück zum Inhaltsverzeichnis

1.35 BSI: Herausforderungen Fernidentifikation für EUDI-Wallets

Das BSI informiert über die gemeinsam mit der französischen ANSSI erstellten Information zu EUDI-Wallets. Ab dem 01. Januar 2027 sollen alle EU-Mitbürger:innen Europäische Brieftasche für Digitale Identitäten, die EUDI-Wallet, zur Verfügung gestellt bekommen. Damit können in Zukunft zum Beispiel Führerscheine oder Zeugnisse bei verschiedenen Online-Diensten digital eingesetzt werden. Bevor die EUDI-Wallet verwendet werden kann, muss diese mit Identitätsmerkmalen befüllt werden. Eine mögliche Technologie für das so genannte „Onboarding“ ist das videobasierte Fernidentifikationsverfahren. Dieses wird bereits bei Anwendungen wie der SIM-Aktivierung oder Kontoeröffnung genutzt. Nutzerinnen und Nutzer können sich bei einem Online-Dienstleister über eine Webcam oder die Kamera eines Smartphones identifizieren, indem sie Gesicht und Ausweisdokumente über den Videokanal präsentieren. Videobasierte Fernidentifikationsverfahren sind beliebt, da sie flexibel, ortsunabhängig und jederzeit genutzt werden können. Allerdings stellen die Prüfung der Echtheit und Authentizität von Identitätsdokumenten sowie die biometrische Bindung an die zugehörige Person über den Videokanal eine Herausforderung dar. Die Identitäten könnten über Künstliche Intelligenz generiert sein, Dokumente gefälscht sein oder Angreifer die vollständige Kontrolle über übermittelte Informationen erhalten.
Die gemeinsame Publikation des BSI und ANSSI beschreibt die Herausforderungen der Dokumentenprüfung und biometrischen Identifikation mittels Fernidentifikationsverfahren. Außerdem wird die erforderliche Resistenz gegen Fälschungsangriffe betont. Zudem thematisiert die Veröffentlichung, dass elektronische Daten aus Ausweisdokumenten derzeit in vielen Staaten gesetzlich nicht von den Diensteanbietern ausgelesen werden dürfen. Könnten gespeicherte Lichtbilder als Referenz für den biometrischen Vergleich – sowie weitere verifizierbare Daten, wie Name, Gültigkeitsdatum und Geburtsdatum – genutzt werden, würde dies erhebliche Vorteile für die Sicherheit des Fernidentifikationsverfahren bieten.

Franks Nachtrag: Weitere Details finden sich hier.

zurück zum Inhaltsverzeichnis

1.36 BNetzA: Hinweispapier zu Art. 4 KI-VO

Die BNetzA hat ein Hinweispapier zu KI-Kompetenzen mit Stand Juni 2025 veröffentlicht. Auf sieben Seiten gibt es dabei zu Beginn eine Zusammenfassung “In Kürze“ und dann Antworten zu Fragen, die bei dem Thema KI-Kompetenz aufkommen können oder was die KI-VO nicht vorsieht. Angereichert wird das Papier auch mit Beispielen der Umsetzung.

zurück zum Inhaltsverzeichnis

1.37 BNetzA: KI-Service-Desk der BNetzA gestartet

Die BNetzA präsentiert mit dem KI-Service-Desk ein neues Beratungsangebot. Ziel des Angebots sei es über die neuen europäischen Anforderungen beim Einsatz und bei der Entwicklung von künstlicher Intelligenz praxisorientiert zu informieren. Auf diese Weise trage der KI-Service Desk zu mehr Rechtssicherheit bei der Umsetzung der KI-VO bei. Das Angebot richte sich an vor allem an Unternehmen, insbesondere kleine und mittlere Unternehmen und Startups sowie Behörden und Organisationen.
Der KI-Service Desk stelle einen interaktiven Compliance Kompass zur Verfügung. Mit diesem Tool können Organisationen leicht und schnell prüfen, ob und in welchem Umfang die KI-VO für ihre eingesetzten KI-Systeme Anwendung findet. Es liefere Hinweise dazu, ob es sich um ein reguliertes KI-System handelt, ob Transparenzverpflichtungen bestehen und ob das KI-System als Hochrisiko KI-System oder verbotene Praxis eingestuft werden könnte. So können damit bestimmte Checks vorgenommen werden:

• KI-System: Handelt es sich um ein KI-System im Sinne der KI-Verordnung?
• Verbotene KI-Praktiken: Fällt das System unter die verbotenen KI-Praktiken?
• Hochrisiko-Systeme: Liegt ein Hochrisiko-KI-System vor?
• Transparenz: Welche Transparenzverpflichtungen sind zu beachten?
• Gesamtcheck, in alle oben genannten Bereiche getestet werden können.

Ergänzend gibt es auch FAQ zur Ki-VO.

zurück zum Inhaltsverzeichnis

1.38 EDSA und EDPS: Stellungnahme zum 4. Omnibuspaket und Änderungsvorschläge zur DS-GVO

Der EDSA und der EDPS haben sich zu den Vorschlägen der EU-Kommission im 4. Omnibuspaket zu Änderungen der DS-GVO geäußert. Natürlich sind Erleichterungen für KMU wichtig und natürlich unterstützen sie jeden Weg. Sie sehen aber auch gewisse Herausforderungen bei der Abgrenzung der hohen Risiken als Rückausnahme bei den Änderungen in Art. 30 Abs. 5 DS-GVO (Ziffer 3.1) ihrer gemeinsamen Stellungnahme.

zurück zum Inhaltsverzeichnis

1.39 BfDI: Konsultation zu KI-Modellen

KI-Modelle, insbesondere große Sprachmodelle (sog. LLM – Large Language Modells) können personenbezogene Informationen wortgetreu und sinngemäß aus ihren Trainingsdaten wiedergeben. Ergebnisse aus KI-Systemen können dementsprechend Rückschlüsse auf bestimmte Personen zulassen. Dieses Problem beschäftigt Aufsichtsbehörden weltweit spätestens seit der Veröffentlichung von ChatGPT und der damit einhergehenden massiven Verfügbarkeit von neuen KI-Angeboten für Verbraucherinnen und Verbraucher. Mit einem öffentlichen Konsultationsverfahren will die BfDI dazu beitragen, dass praktisches Wissen über KI-Modelle für die aufsichtsrechtliche Bewertung für alle zur Verfügung steht. Für die Entwicklung praktikabler und erfolgversprechender datenschutzrechtlicher Ansätze sollen Erfahrungen, Herausforderungen und Lösungen aus der Praxis sichtbar gemacht werden.
Das Konsultationspapier mit den Fragen gibt es hier. Die Themen reichen von Anonymisierung über Verarbeitung von memorisierten Daten, Eingriffsintensität bis hin zu Eingriffsintensität. Rückmeldung kann bis 10. August 2025 eingereicht werden. Natürlich auch durch Stellen, die außerhalb der aktuellen Zuständigkeit der BfDI liegen.

zurück zum Inhaltsverzeichnis

1.40 LDI NRW: Bundesratsinitiative zum Schutz von Mieter*innen in finanzieller Notlage

Wie sollte mit Daten von Mietern umgegangen werden, die die Miete nicht mehr selbst zahlen können?
Dürfen Vermieter*innen in dieser Situation die Daten der Mieterinnen und Mieter an die Sozialbehörden übermitteln, um die kritische Lage abzufedern? Ja, unter bestimmten Voraussetzungen sei das datenschutzrechtlich in Ordnung, erklärt die LDI NRW. Sie empfiehlt aber zudem auch eine Bundesratsinitiative zum Schutz von Mieter*innen in finanzieller Notlage.

zurück zum Inhaltsverzeichnis

1.41 Sachsen-Anhalt: Tätigkeitsbericht für 2020, darin Ausführungen zu Änderungen im Genossenschaftsrecht

Nein, ich habe mich nicht vertippt. In Sachsen-Anhalt müssen einige Tätigkeitsbericht nachgeholt werden, weil das Landesparlament über mehrere Jahre nicht in der Lage war die Stelle der/des Beauftragten für Datenschutz und Informationsfreiheit zu besetzen. Die Wahrnehmung der hier nun vorgestellten Schwerpunkte hat daher ein gewisses historisches Element (kleine, ungefragte Anmerkung: Der Claim dieses Bundeslandes lautet #moderndenken…).
Nun wurde also der Tätigkeitsbericht für das Jahr 2020 veröffentlicht.
Trotzdem kann aus dem leicht historischen Tätigkeitsbericht ein aktueller Bezug hergestellt werden, ist doch 2025 das Jahr der Genossenschaften. Die LfDI Sachsen-Anhalt beschreibt in Ziffer 16.2 ab Seite 83 die Änderungen im Genossenschaftsgesetz mit datenschutzrechtlichem Bezug. Anlass war eine Beschwerde vor dem Hintergrund einer Veröffentlichung personenbezogener Daten durch eine Wohnungsgenossenschaft.
In § 43a Abs. 6 GenG wird die Bekanntmachung der Namen und Kontaktdaten der Vertreter und Ersatzvertreter in der Vertreterversammlung einer Genossenschaft geregelt.
Seit der Änderung dieser Vorschrift zum 22. Juli 2017 sind nicht nur die Namen und Anschriften, sondern nunmehr Namen und zusätzlich wahlweise Anschriften, Telefonnummern oder E-Mail-Adressen bekannt zu machen. Die Bekanntmachung kann wie bisher durch Auslegen in den Geschäftsräumen der Genossenschaft und ihren Niederlassungen geschehen (Frist: mindestens zwei Wochen), aber nun alternativ auch durch Veröffentlichung auf der Internetseite der Genossenschaft (Frist: bis zum Ende der Amtszeit der Vertreter). Auch hier ist der Grundsatz der Datenminimierung zu beachten (Art. 5 Abs. 1 lit. c DS-GVO). Dies komme bereits in der Begründung des Gesetzgebers zur Änderung des § 43a GenG zum Ausdruck (vgl. BT-Drs. 18/11506, S. 29). Daraus ergibt sich nach Ausführungen der LfDI Folgendes: In der Regel entscheidet das jeweilige Mitglied der Vertreterversammlung selbst, welche seiner Kontaktdaten auf der Liste ausgewiesen werden (Anschrift, Telefonnummer, E-Mail-Adresse). Wenn sich die Genossenschaft für die Veröffentlichung im Internet entscheidet, sollte dies in einem nur für die Mitglieder der Genossenschaft zugänglichen Bereich der Internetseite erfolgen. Denn Zweck der Regelung ist, dass die Mitglieder die gewählten Vertreter erreichen können. Es ist damit nicht erforderlich diese personenbezogenen Daten über einen sehr langen Zeitraum (die gesamte Amtszeit) weltweit allen Besuchern der Internetseite, und damit einem unbestimmten Personenkreis, offenzulegen.
Auch äußert sie sich zu den Änderungen in § 30 GenG, der den Inhalt und das Führen der Mitgliederliste der Genossenschaft regelt. Des Weiteren führe die Gesetzesänderung dazu, dass die oft jahrzehntelange Aufbewahrungsfrist von drei Jahren nach Ende des Kalenderjahres, in dem das Mitglied aus der Genossenschaft ausgeschieden ist, nur noch für eintragungsbegründende Unterlagen gilt, die den Beitritt, der Veränderung der Zahl weiterer Geschäftsanteile oder das Ausscheiden betrifft. Für Unterlagen, die sonstige Eintragungen betreffen, gelten die Regelungen für Handelsbriefe in § 257 HGB; sie sind somit derzeit für die Dauer von sechs Jahren nach dem Ende des Eintragungsjahrs aufzubewahren.

zurück zum Inhaltsverzeichnis

1.42 Slovenien: Parkraumüberwachung mit Video und Datenschutz

Auch aus Slovenien gibt es Tipps und Hinweise zu den datenschutzrechtlichen Anforderungen an eine Parkraumüberwachung mittels Videotechnik. Diese betreffen insb. die Anforderungen an eine Rechtmäßigkeitsgrundlage, die Betroffenenrechte sowie die Datenminimierung.

zurück zum Inhaltsverzeichnis

1.43 CNIL: Finale Version des TIA-Leitfadens

Die CNIL hat nun auch die finale Version ihres TIA-Leitfadens in Englisch veröffentlicht. Mit einem TIA (Transfer Impact Assessment) können Auswirkungen eines Datentransfer in ein Drittland dokumentiert werden. Der Leitfaden kann auch auf Anfordererebene angepasst werden. Außerdem gibt es auch die Ergebnisse der Konsultation dazu.

zurück zum Inhaltsverzeichnis

1.44 Schweiz: Tätigkeitsbericht des EDÖB für 2024/2025

Der Tätigkeitsbericht des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) deckt den Zeitraum 1. April bis 31. März des Folgejahres ab. Er berichtet im Tätigkeitsbericht für 2024/2025 über erhöhte Aufsichtstätigkeit, nachdem durch das revidierte Datenschutzgesetz (revDSG) seine rechtlichen Möglichkeiten erweitert wurden (Seite 22). Hinsichtlich der Durchführung einer DSFA war für mich neu, dass in der Schweiz eine vorherigen Konsultation bei einem hohen Risiko nicht mit der Aufsicht durchzuführen ist, wenn das Unternehmen seinen DSB einbezogen hat (Art. 22 Abs. 4 i.V.m. Art. 10 revDSG), wie im Bericht dargestellt (Seite 26). Weitere Details werden in diesem Blog-Beitrag dargestellt.

zurück zum Inhaltsverzeichnis

1.45 CNIL: Spiel zu generationsförderndem Dialog

Die CNIL hat an einem Spiel „Digital Odyssey“ mitgewirkt, durch das der Dialog zwischen den Generationen gefördert werden soll und welches deren Wissen über Datenschutz, die Verwendung von Bildschirmen und die digitale Teilhabe am gesellschaftlichen Leben testen soll.

zurück zum Inhaltsverzeichnis

1.46 Litauen: Haushaltsausnahme bei Drohnenaufnahmen zur Beweissicherung

Betrifft es noch die Haushaltsausnahme, wenn Privatpersonen Daten erheben, um sie evtl. bei der eigenen Rechtsverfolgung zu verwenden? Deutsche Aufsichtsbehörden gehen dabei eher davon aus, dass diese Daten dann ja öffentlich gemacht werden würden und verneinen die Haushaltsausnahme aus Art. 2 Abs. 2 lit. c DS-GVO. In Litauen wird dazu eine andere Ansicht vertreten: Hier fällt nach Ansicht der Datenschutzaufsicht die einmalige Erhebung personenbezogener Daten über eine Flugdrohne, um Beweise für Gerichtsverfahren zu sammeln, unter die Haushaltsausnahme, so dass sie eine Beschwerde dagegen zurückgewiesen hat. Einer Beschwerde hinsichtlich einer fest installierten Videokamera, die auch eine öffentliche Fläche umfasst, hat sie aber stattgegeben.

zurück zum Inhaltsverzeichnis

1.47 Niederlande: Unterstützung bei einem Algorithmusregister

Die niederländische Datenschutzaufsicht weist darauf hin, dass Regierungen und Organisationen zu wenig Fortschritte bei der Registrierung der von ihnen verwendeten Algorithmen und KI-Systeme machten. Das habe zur Folge, dass es für Bürger und Kunden oft nicht klar ist, wofür und wie Regierungen und Organisationen KI und Algorithmen einsetzen. Ein lückenloses Algorithmenregister sei die Grundlage für Transparenz, Grundrechtsschutz, Erklärbarkeit und Überprüfbarkeit beim Einsatz von Algorithmen und KI. Um Regierungen und Unternehmen auf ihrem Weg zu unterstützen, veröffentlicht die Aufsicht acht Tools in dem Dokument „Erste Schritte mit der Algorithmusregistrierung„. Aus ihm geht hervor, warum das Registrieren von Algorithmen wichtig ist, welche konkreten Werkzeuge es gibt, um ein Algorithmus-Register einzurichten und auszufüllen und was die Ansicht der Datenschutzbehörde zur Bedeutung von Algorithmusregistern für die Arbeit der Regulierungsbehörden ist.

zurück zum Inhaltsverzeichnis

1.48 ICO: Konsultation zu neuem Ansatz zur Durchsetzung von Werbung ohne Einwilligung

Der ICO bittet um Meinungen und Vorschläge, wie Innovationen gefördert werden können, durch die neue Werbemodelle ermöglicht werden. Wie können Publisher an Nutzer, die keine Einwilligung gegeben haben, Werbung liefern, wobei die Risiken nachweislich gering sind?
Nach seiner Ansicht gibt es wahrscheinlich kommerziell tragfähige Wege Online-Werbung zu schalten, die nicht den Umfang und die Granularität der Verarbeitung erfordern, die häufig bei verhaltensorientierter Werbung durchgeführt wird. Ein neuer Regulierungsansatz kann Möglichkeiten schaffen, um das Unternehmenswachstum durch Innovation zu fördern und gleichzeitig die Privatsphäre der Menschen zu schützen und die Benutzererfahrung zu verbessern.
Vorausgesetzt, die Nutzer haben ein klares Verständnis davon, dass Dienste, die „kostenlos“ erscheinen, durch Werbung finanziert werden, können sie eine gewisse Speicherung und den Zugriff auf Informationen für Funktionen zur Bereitstellung dieser Werbung akzeptieren. Sie akzeptieren jedoch möglicherweise nicht den Umfang und die Granularität der Verarbeitung, die derzeit häufig bei der Erteilung der Einwilligung durchgeführt wird.
Bis 29. August 2025 können hierzu Vorschläge eingereicht werden.

zurück zum Inhaltsverzeichnis

1.49 Tätigkeitsbericht für 2024 des Kath. Datenschutzzentrums Frankfurt

Lassen wir mal all die Besonderheiten, die sich durch die Sonderstellung des kirchlichen Datenschutzes ergeben können, weg: Auch die Tätigkeitsberichte der kirchlichen Datenschutzaufsichten haben Beispiele und Erkenntnisse, die den weltlichen Bereich bereichern können.
Zuvor aber ein kleines „Schmankerl“ aus dem Tätigkeitsbericht für das Jahr 2024 des Kath. Datenschutzzentrums (KDSZ) Frankfurt: Bei der Schilderung des Themas „Kirchlicher Datenschutz vs Teufelsaustreibungen“ ab Seite 26 wird ein passendes Bild aus dem späten Mittelalter positioniert und mit folgendem Text eingeführt:

„Neben diesem beeindruckenden Fresko eines Exorzismus in der Kirche San Francesco in Montefalco bietet das pittoreske umbrische Hügelstädtchen hervorragende, gehaltvolle Rotweine, die auch schon erfolgreich für Teufelsaustreibungen genutzt worden sein sollen.“

In dem Fall ging es dann um datenschutzrechtliche Auskunftsansprüche nach Einleitung von Untersuchungen gegenüber Beteiligten einer Teufelsaustreibung.
Wesentlich weltlicher ist das Thema, das unter der Ziffer 2.2.2 ab Seite 14 geschildert wird: Die gemeinsame Verantwortlichkeit, wann also bei einem Kindergarten mehrere Beteiligte zu einer gemeinsamen Verantwortlichkeit kommen. Hier schildert der Bericht exzellent, wie hier die entsprechenden Zuständigkeiten zwischen den Verantwortlichen hinsichtlich der Informationspflicht tabellarisch dargestellt werden. Die Festlegung zu einer gemeinsamen Verantwortlichkeit und Aufteilung der Informationspflichten lassen sich im Kirchlichen Amtsblatt Rottenburg-Stuttgart 2024, Nr. 4 auf Seite 137 nachlesen.
Und ich schließe mich gerne der Bewertung aus diesem (immer empfehlenswerten Blog) an:

„Der Frankfurter Bericht bleibt sich treu: Weiterhin ist der Bericht dieser Aufsicht der mit den am unterhaltsamsten formulierten Fallbeschreibungen. Das ist nicht nur angenehm zu lesen, sondern auch eine gute Grundlage, um diese Fälle direkt in Schulungen zu verwenden.“

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 OLG Frankfurt: Löschanspruch auch gegen Facebook bei ehrverletzendem Account

Das OLG Frankfurt entschied, dass ein Löschungsanspruch bei einem ausschließlich für rechtsverletzende Äußerungen genutztem Nutzerkonto besteht. Bislang ist dazu nur die Pressemitteilung veröffentlicht. Das OLG hat in seiner Entscheidung den Unterlassungsanträgen der Klägerin stattgegeben: Wird ein Nutzerkonto auf der Plattform „Facebook“ nach den Gesamtumständen ausschließlich dazu eingerichtet und genutzt, um rechtsverletzende Äußerungen über eine Person zu posten, besteht nicht nur ein Anspruch auf Löschung der Äußerungen, sondern auch auf Löschung des Kontos. Die Entscheidung beruht auf presserechtlichen Grundlagen. „Facebook“ hafte dabei als mittelbare Störerin, da die Klägerin sie hinreichend konkret vorprozessual auf die Persönlichkeitsverletzungen hingewiesen habe. Details zu den Accounts und den dortigen Aussagen sind der Pressemitteilung zu entnehmen.

zurück zum Inhaltsverzeichnis

2.2 EuGH-Vorschau: Verhältnis Auskunftsanspruch zu Verwaltungsvorschrift (C-205/25)

In einem Verfahren vor dem VG Ansbach geht es um die Frage, ob das BayLDA auch einem Auskunftsanspruch aus Art. 15 DV-GVO unterliegt und inwieweit eine Regelung in Art. 20 Abs. 2 BayDSG zurecht einer Auskunft entgegensteht. Das BayLDA berichtete darüber in seinem Tätigkeitsbericht 2024 unter Ziffer 4.1. Das VG Ansbach hat dazu Fragen an den EuGH vorgelegt, der diese unter dem Az C-205/25 bearbeitet.

zurück zum Inhaltsverzeichnis

2.3 EuGH-Vorschau: Anwendbarkeit von Art. 13 oder Art. 14 DS-GVO bei einer Bodycam (C-422/24)

Aus Schweden kommt die Vorlagefrage im Verfahren C-422/24, ob ob Art. 13 oder Art. 14 DS-GVO anwendbar sind, wenn personenbezogene Daten durch eine am Körper getragene Kamera erhoben werden. Für den 1. August 2025 sind die Schlussanträge angekündigt.

zurück zum Inhaltsverzeichnis

2.4 OLG Nürnberg: Aufbewahrungsfrist von Schuldnerdaten

Das OLG Nürnberg hat in einem Beschluss vom 05.05.2025 (Az.: 3 U 1670/24) klargestellt, dass die Wirtschaftsauskunftei Informationen über erledigte Forderungen auch nach deren Ausgleich für bis zu drei Jahre speichern darf. Begründet wurde dies mit dem berechtigten Interesse der Auskunftei Vertragspartner vor Zahlungsausfällen zu schützen und eine verlässliche Einschätzung der Kreditwürdigkeit zu ermöglichen. Sowohl das OLG Hamm (Az.: I-34 U 177/24) als auch das OLG München (Az.: 14 U 3590/24 e) haben in den vergangenen Monaten die dreijährige Aufbewahrungspflicht bestätigt.
Anders das OLG Köln, wir berichteten.

zurück zum Inhaltsverzeichnis

2.5 LAG Hessen: Kein Recht zur Überwachung von Datenschutzvorgaben durch Betriebsrat

In dem Verfahren ging es um die Überprüfung des Spruchs einer Einigungsstelle, die zur Mitbestimmung zu datenschutzrechtlichen Fragestellungen bei der Einführung einer Software entschied. Das LAG Hessen wies die Beschwerde ab und stellte dabei fest, dass Regelungen zum Datenschutz. nach dem maßgeblichen Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG auch nicht erzwingbar seien. Dieses erstrecke sich aus den vom Arbeitsgericht dargelegten Gründen nicht auf datenschutzrechtliche Pflichten des Arbeitgebers. Insoweit sei der Betriebsrat auf seine allgemeine Überwachungsaufgabe nach § 80 Abs. 1 Nr. 1 BetrVG und auf sein Unterrichtungsrecht nach § 80 Abs. 2 BetrVG beschränkt. Regelungen, die der Erfüllung bzw. Ausgestaltung der datenschutzrechtlichen Pflichten dienen, sind einem Spruch der Einigungsstelle daher nicht zugänglich. Bezüglich zwingender gesetzlicher datenschutzrechtlicher Vorschriften, die keinen Gestaltungsspielraum eröffnen, folgte dies – selbst wenn über § 87 Abs. 1 Nr. 1 und / oder Nr. 6 BetrVG ein Mitbestimmungsrecht des Betriebsrats zu datenschutzrechtlichen Themen konstruiert würde – aus dem Gesetzesvorbehalt des §  87 Abs. 1 Eingangshalbs. BetrVG. Im Übrigen begründet die Möglichkeit, auf Grundlage der Öffnungsklauseln von Art. 88 DS-GVO, § 26 Abs. 4 BDSG spezifischere Vorschriften zur Gewährleistung des Datenschutzes im Beschäftigungskontext auch in einer Betriebsvereinbarung vorsehen zu können, kein erzwingbares Mitbestimmungsrecht des Betriebsrats. Eine solche Betriebsvereinbarung kann vielmehr nur als freiwillige Betriebsvereinbarung abgeschlossen werden.
Soweit der Betriebsrat ein Erfordernis für datenschutzrechtliche Regelungen in der Betriebsvereinbarung aus § 87 Abs. 1 Nr. 1 BetrVG ableitet, war dieses Mitbestimmungsrecht für den Regelungsgegenstand der Einigungsstelle schon nicht einschlägig. Im Übrigen lässt sich auch diesem kein umfassendes Mitbestimmungsrecht zur Durchsetzung des gesetzlichen Datenschutzes ableiten, da es das Ordnungsverhalten der Arbeitnehmer, nicht aber die gesetzlichen Pflichten des Arbeitgebers zur Einhaltung der datenschutzrechtlichen Vorgaben betrifft.

zurück zum Inhaltsverzeichnis

2.6 LG Karlsruhe: Unternehmenspersönlichkeitsrecht gilt nicht juristische Personen aus Drittstaat

Beruft sich eine weder in Deutschland, noch im EU-Ausland ansässige juristische Person auf eine Verletzung des – ihr nicht zustehenden – Unternehmenspersönlichkeitsrechts, trägt sie keine schlüssigen Tatsachen für das Vorliegen der internationalen Zuständigkeit deutscher Gerichte vor. Die Klage ist dann vor jeder Sachprüfung als unzulässig abzuweisen. So entschied das LG Karlsruhe im Fall einer Immobilien L.L.C. aus Dubai. Es ging in dem Verfahren um Darstellungen auf einer Webseite, gegen die eine Vertragspartei vorgehen wollte.

zurück zum Inhaltsverzeichnis

2.7 LG Leipzig: 5.000 Euro Entschädigung nach Datenschutzverstößen durch Metas Business Tools

In einer gegen Meta Platforms Ireland betriebenen Klage hat das LG Leipzig einem Nutzer von Facebook eine Entschädigung von 5.000 Euro wegen Datenschutzverstößen zugesprochen. Das Gericht hat die hohe Entschädigungssumme damit, dass Meta mit seinen Business Tools massiv gegen europarechtlichen Datenschutz verstößt, die personenbezogenen Daten zu einem Profiling der Nutzer von Facebook verarbeitet und Meta mit dem Geschäftsmodell der personalisierten Werbung Milliardengewinne einfährt, gerechtfertigt. Bisher gibt es nur die Pressemeldung zum Urteil vom 4. Juli 2025 Az: 05 O 2351/23.
Danach hat Meta, Betreiberin der sozialen Netzwerke Instagram und Facebook, Business Tools entwickelt, die von zahlreichen Betreibern auf ihren Webseiten und Apps eingebunden werden und die Daten der Nutzer von Instagram und Facebook an Meta senden. Jeder Nutzer ist für Meta zu jeder Zeit individuell erkennbar, sobald er sich auf den Dritt-Webseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Account von Instagram und Facebook angemeldet hat. Die Daten sendet Meta Ireland ausnahmslos weltweit in Drittstaaten, insbesondere in die USA. Dort wertet sie die Daten in für den Nutzer unbekanntem Maß aus.
Das Gericht hat den Anspruch auf Ersatz des immateriellen Schadens ausschließlich auf Art. 82 DS-GVO gestützt, damit auf Europarecht und nicht (wie andere Gerichte in vergleichbaren Fällen) auf das nationale Recht bei Persönlichkeitsrechtsverletzungen. Das LG Leipzig habe sich dabei auf Feststellungen des EuGH in einem Verfahren gegen Meta gestützt, in dem es ebenfalls um die Zulässigkeit der Meta Business Tools ging. Da die Verarbeitung personenbezogener Daten besonders umfangreich ist – sie betrifft potenziell unbegrenzte Datenmengen und hat nahezu die vollständige Überwachung des Online-Verhaltens des Nutzers zur Folge – führt dieses nach dem EuGH zu einem Gefühl, dass das gesamte Privatleben kontinuierlich überwacht wird. Dies rechtfertige auch die Höhe unter Berücksichtigung des Gesamtumsatzes von Meta und sollte über die in der nationalen Rechtsprechungspraxis etablierten Schmerzensgeldbeträge hinausgehen.
Beim LG Berlin kam Meta da noch günstiger weg, wir berichteten.

Franks Nachtrag: Sie möchten für das vollständige Urteil hier weiterlesen.

zurück zum Inhaltsverzeichnis

2.8 VG Schleswig-Holstein: Transparenzvorgaben laut MStV gegen Meta (Facebook)

Das VG Schleswig-Holstein hat in einem Eilverfahren (Beschluss vom 30.06.2025 – 10 B 185/24) entschieden, dass Meta entsprechende Transparenzvorgaben des Medienstaatsvertrags (MStV) im Rahmen seines Dienstes Facebook vorerst umsetzen muss, wie hier nachzulesen ist. § 93 S. 1 MStV verpflichte Medienintermediäre, also Plattformen wie Facebook, leicht wahrnehmbar, unmittelbar erreichbar und ständig verfügbar über die zentralen Sortierkriterien zu informieren. Die Medienanstalt hatte gegenüber Meta im Oktober 2024 beanstandet, Facebook informiere Nutzerinnen und Nutzer nicht ausreichend über die Algorithmen, die über Auswahl, Gewichtung und Reihenfolge von Beiträgen im News-Feed entscheiden. Insbesondere sei unklar, wie personalisierte gegenüber allgemeinen Inhalten priorisiert würden.
Gegen den Beanstandungsbescheid legte Meta Widerspruch ein und beantragte einstweiligen Rechtsschutz. Die gesetzlichen Grundlagen verstoßen aus Sicht des Konzerns gegen Unionsrecht. Die Medienanstalt hatte die sofortige Vollziehbarkeit ihrer Anordnung angeordnet und von Meta verlangt die Verstöße gegen den Medienstaatsvertrag kurzfristig zu beheben. Das Gericht sah nach summarischer Prüfung keine durchgreifenden formellen oder materiellen Mängel des Bescheids. Die beanstandeten Transparenzverstöße lagen nach seiner Auffassung vor. Allerdings sei die Rechtsfrage, ob die maßgeblichen Vorschriften (§ 93 sowie § 1 Abs. 8 S. 1 MStV) mit dem Unionsrecht vereinbar sind, sehr komplex – und daher im Eilverfahren nicht abschließend zu klären. Damit seien die Erfolgsaussichten offen und auf eine Interessenabwägung abzustellen. Diese fiel zulasten von Meta aus. Das Urteil ist natürlich nicht rechtskräftig.

zurück zum Inhaltsverzeichnis

2.9 Österreichisches BVwG: Inaktive E-Mail-Adresse für Betroffenenrechte kann zu Bußgeld führen

Ein Reisebüro hatte eine Löschanfrage einer betroffenen Person nicht innerhalb eines Monats beantwortet. Grund dafür war unter anderem gewesen, dass die in der Datenschutzerklärung angegebene E-Mail-Adresse zur Geltendmachung der Betroffenenrechte nicht aktiv gewesen ist und das Reisebüro die Anfrage deswegen nicht erhalten hatte. Die österreichische Datenschutzbehörde (DSB) hatte infolgedessen Verstöße gegen Art. 12 Abs. 2 DS-GVO<7a> und Art. 12 Abs. 3 i. V. m. Art. 17 DS-GVO festgestellt und ein Bußgeld in Höhe von 15.000 EUR erlassen. Gegen das Bußgeld legte das Reisebüro Beschwerde ein. Es berief sich unter anderem darauf die Anfrage der betroffenen Person nicht erhalten zu haben. Infolgedessen wurde das Verfahren dem BVwG vorgelegt. Das BVwG hat das Vorliegen eines Verstoßes in seiner Entscheidung nicht weiter problematisiert und insoweit die Entscheidung der Datenschutzbehörde vollumfänglich bestätigt. Das Gericht ging davon aus, dass der Antrag auf Löschung trotz des inaktiven E-Mail-Kontos beim Reisebüro eingegangen war und hätte beantwortet werden müssen. Das Gericht befand weiter, dass die Erschwerung der Geltendmachung von Betroffenenrechten durch die Angabe einer falschen / inaktiven E-Mail-Adresse gegen den Erleichterungsgrundsatz aus Art. 12 Abs. 2 DS-GVO verstößt.

zurück zum Inhaltsverzeichnis

2.10 Oberstes Verwaltungsgericht Finnland: Umfang von Art. 15 DS-GVO bei Protokolldaten

In Finnland erging ein Urteil zum Umfang der Auskunft bei Protokolldaten. Der Fall lag bereits beim EuGH (C-579/21). Wir berichteten dazu. Das Oberste Verwaltungsgericht stellte nun fest, dass aus dem Urteil des EuGH nicht geschlossen werden könne, dass eine Person auf der Grundlage von Art. 15 DS-GVO das Recht habe über die Zeitpunkte der Verarbeitung ihrer personenbezogenen Daten informiert zu werden, auch wenn diese Zeitpunkte in den Protokolldaten angegeben seien.
Das Gericht hob hervor, dass der Zweck von Art. 15 DS-GVO darin besteht, die Transparenz der Verarbeitung personenbezogener Daten gegenüber der betroffenen Person zu gewährleisten, ohne die sie nicht in der Lage wäre die Rechtmäßigkeit der Verarbeitung ihrer Daten zu beurteilen und die Rechte auszuüben, die sich unter anderem aus den Art. 16, 17, 18, 21, 79 und 82 DS-GVO ergeben. Die Genauigkeit, mit der eine betroffene Person ein Recht darauf hat, über den Zeitpunkt der Verarbeitung ihrer personenbezogenen Daten unterrichtet zu werden, muss im Hinblick auf den oben genannten Zweck beurteilt werden (Rn. 22).

zurück zum Inhaltsverzeichnis

2.11 EuGH: Arbeitsrecht und religiöse Aspekte (C‑258/24)

Der EuGH muss im Verfahren (C-258/24) darüber entscheiden, ob einem bei der Kirche beschäftigen Arbeitnehmer wegen Kirchenaustritts gekündigt werden dürfe. In den Schlussanträgen der Generalanwältin kommt diese zu dem Ergebnis, dass die Kündigung eines Arbeitnehmers (hier Schwangerschaftsberatung) durch eine katholische Organisation wegen seines Austritts aus der katholischen Kirche eine Diskriminierung wegen der Religion darstellen kann.

zurück zum Inhaltsverzeichnis

2.12 OLG Dresden: Wann Anforderungen an Verdachtsberichterstattung auch für Blogger gelten

Das OLG Dresden bestätigte, dass die journalistischen Anforderungen an die Verdachtsberichterstattung auch für Blogger gelten, wenn diese sich wie Journalisten generieren. Für eine identifizierende Berichterstattung, die sich auf nicht belegte Behauptungen und vage Verdachtsmomente beschränkt, bestünde regelmäßig kein Informationsinteresse. In dem Verfahren ging es um eine Klage auf Unterlassung von Aussagen, die den Kläger nach Abwägung aller beiderseitigen Interessen rechtswidrig in seinem allgemeinen Persönlichkeitsrecht verletzten. Bericht dazu auch hier.

zurück zum Inhaltsverzeichnis

2.13 OLG Dresden: Schutzmaßnahmen bei Online-Banking und Schadenersatz

Das OLG Dresden hat sich in einem Schadenersatzprozess zu technischen Anforderungen beim Online-Banking geäußert. Laut OLG Dresden muss eine Sparkasse einem Kunden, der Opfer eines Phishing-Angriffs wurde und dabei grob fahrlässig handelte, einen Teil des entstandenen Schadens erstatten. Dies wird vor allem durch ein Mitverschulden des Zahlungsdienstleisters rund um die Ausgestaltung des Logins in das Online-Banking mit der S-push-TAN-App begründet, die keine „starke Kundenauthentifizierung“ biete. Nach Phishingaktionen und telefonischem Kontakt mit einer ihm fremden Person seien dem Kunden in der pushTAN-App keine konkreten Angaben zu Empfängern oder Beträgen angezeigt worden, es wurden lediglich unbestimmte „Aufträge“ zur Freigabe vorgelegt – trotzdem bestätigte der Kunde die Zahlungen.
Nichtsdestotrotz sprach das OLG der Sparkasse ein Mitverschulden von 20 % zu. Es begründete dies mit einem Verstoß gegen aufsichtsrechtliche Vorschriften: Die Sparkasse habe es versäumt eine „starke Kundenauthentifizierung“ im Sinne der Zahlungsdiensterichtlinie (PDS2) (siehe § 55 Abs. 1 S. 1 Nr. 1 Zahlungsdiensteaufsichtsgesetz) beim Login in das Online-Banking zu verlangen, obwohl dort „sensible Zahlungsdaten“ einsehbar waren (Rn. 158).
Vor diesem Hintergrund sei der Verstoß der Beklagten gegen aufsichtsrechtliche Vorschriften für das Gelingen des betrügerischen Angriffs jedenfalls mitursächlich, weil so ohne Zutun des Klägers die aus dem Online-Banking heraus zu veranlassenden Vorbereitungsmaßnahmen und Auftragserstellungen vorgenommen werden konnten. Angesichts des gleichzeitig mitwirkenden und – wie ausgeführt – als grob fahrlässig einzustufenden Verhaltens des Klägers, welches insbesondere dazu geführt hat, dass die Täter überhaupt in den Besitz seiner Zugangsdaten für das Online-Banking gelangt sind und der weiteren Sorgfaltsverstöße im Rahmen der Telefonate, erachtete der Senat im Rahmen der gebotenen Gesamtabwägung insoweit die Berücksichtigung eines Mitverschuldensanteils der Beklagten von 20 % für angemessen und ausreichend (Rn. 161). Bericht dazu auch hier.

zurück zum Inhaltsverzeichnis

2.14 OLG München: Nachweispflichten und Ansprüche nach Scraping-Vorfall

Wieder ein Urteil zu einem Facebook-Scrapingfall. Hier stellt das OLG München fest, dass denjenigen, der die Daten gespeichert hat, eine sekundäre Beweislast trifft, wenn der Zeitpunkt des Scraping-Vorfalls streitig ist (Rn. 58 f). Die Voreinstellung der Suchbarkeit anhand einer Telefonnummer auf „Alle“ verstoße gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. b) und c), Art. 25 Abs. 2 S. 1, S. 3 DS-GVO (Rn. 67 ff). Ein – selbst kurzzeitiger – bloßer Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden darstellen, ohne dass dieser Begriff den Nachweis zusätzlicher spürbarer negativer Folgen erfordert, etwa eine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der betroffenen Person (Rn. 93). Als Schadenersatz wurden 200 Euro und der Ersatz aller künftigen Schäden zugesprochen, die dem Kläger durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten, der nach Aussage der Beklagten im Jahr 2019 erfolgte, entstanden sind und / oder noch entstehen werden.

zurück zum Inhaltsverzeichnis

2.15 LG Leipzig: Urteilsgründe zu Schadenersatz bei Meta Business

Nun ist auch das Urteil in seiner vollständigen Länge veröffentlicht. Bericht dazu auch hier.

Franks Nachtrag: Wir hatten bereits über das Urteil berichtet.

zurück zum Inhaltsverzeichnis

2.16 VG Schleswig: Eilantrag von Meta abgelehnt

Das VG Schleswig hat einen einstweiligen Rechtsschutzantrag von Meta gegen einen Bescheid der Medienanstalt Hamburg/Schleswig-Holstein abgelehnt. Diese hatte gegenüber Meta mit Bescheid vom Oktober 2024 beanstandet, dass sie mit ihrem Dienst Facebook gegen Transparenzpflichten aus dem Medienstaatsvertrag verstoße. Sie informiere Nutzer u. a. nicht leicht genug wahrnehmbar über die Kriterien und Funktionsweisen der Algorithmen, die über gezeigte Beiträge, deren Auswahl und Gewichtung im News-Feed entscheiden. Die Medienanstalt forderte Meta unter Anordnung der sofortigen Vollziehung auf die Verstöße kurzfristig zu beheben. Hiergegen wandte sich Meta mit diversen Einwänden; u. a. verstößen die maßgeblichen Vorschriften des Medienstaatsvertrags (MStV) gegen Europarecht.

zurück zum Inhaltsverzeichnis

2.17 Schweizer Bundesverwaltungsgericht: Erfindungen durch KI und Eintragung ins Patentregister

Kann eine KI als Erfinderin in ein Patentregister eingetragen werden? In der Schweiz befasste sich das dortige Bundesverwaltungsgericht mit dieser Frage und kam zu dem Ergebnis, dass ein KI-System nicht im Patentregister als Erfinder eingetragen werden könne. Erfinder kann jedoch sein, wer im Prozess der künstlichen Intelligenz (KI) mitwirkt und das Vorliegen der Erfindung erkennt. Die Entscheidung ist noch nicht rechtskräftig. Pressemeldung dazu hier.

zurück zum Inhaltsverzeichnis

2.18 Auskunft und Schadenersatz

Mit der Komplexität nicht nur der rechtlichen Beziehung zwischen Auskunft nach Art. 15 DS-GVO und Schadenersatz befasst sich dieser ausführliche Blog-Beitrag.
Ein Zitat aus dem Fazit:

„Abschließend dürfte so deutlich geworden sein, dass die Beziehung zwischen dem Auskunftsanspruch gemäß Art. 15 DS-GVO und Schadensersatz nach Art. 82 DS-GVO eine ganz maßgebliche Weichenstellung für die digitale Souveränität darstellt.“

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 UK: Data (Use And Access) Act (DUAA)

Im Vereinigten Königreich wurde ein neues Gesetz („Data (Use And Access) Act“ – DUAA) verabschiedet, dass den Nutzen und Zugang zu Daten regeln soll. Eine Darstellung zu dem Verhältnis zu Datenschutzregelungen in UK (UK GDPR) und der DS-GVO findet sich in diesem Factsheet. Informationen dazu gibt es auch direkt auf den Seiten des ICO.

zurück zum Inhaltsverzeichnis

3.2 EU-Parlament: Timeline zur KI-VO

Im Juni 2025 hat der Wissenschaftliche Dienst des EU-Parlaments den aktuellen Zeitplan zur KI-VO zusammengestellt.

zurück zum Inhaltsverzeichnis

3.3 Verschiebungen bei der KI-VO?

Es mehren sich Gerüchte, dass auf Regierungsebenen über Verschiebungen bei der KI-VO nachgedacht wird. Hier ein Appell, warum dies keine gute Idee sei.

zurück zum Inhaltsverzeichnis

3.4 Bundesrat: Antrag auf Änderungen der Mitbestimmung auch hinsichtlich Datenschutz

Am 01.07.2025* steht auf der Agenda im Bundesrat der Antrag auf Änderungen bei der Mitbestimmung u.a. aus dem Land Bremen:

„Einer Weiterentwicklung bedürfen die Rechte des Betriebsrates in Bezug auf den Schutz von Beschäftigtendaten. Die Einbeziehung des Betriebsrates in die Gestaltung verlässlicher Datenschutzregelungen ist mit Rücksicht auf die Einführung von Künstlicher Intelligenz und softwarebasierter Systeme in den Betrieben sowie der weitläufigen Verbreitung orts- und zeitungebundener Arbeit dringend geboten. Insbesondere sollten Betriebsräten Initiativ- und Mitbestimmungsrechte zustehen, wenn Zielvorgaben festgelegt werden für die Leistungssteuerung der Beschäftigten und die systematische Überprüfung inhaltlicher und zeitlicher Anforderungen für die Verrichtung von Arbeit“.

Wir hatten dazu schon mal informiert. Aber wer weiß, wie es dann tatsächlich kommt …

* Franks Anmerkung: In der KW 26 war das noch in der Zukunft. Wir wissen ja nun mittlerweile, was kam.

zurück zum Inhaltsverzeichnis

3.5 Global AI Law and Policy Tracker

Die IAPP hat hier einen aktuellen Stand der weltweiten Regulatorik zur Künstlichen Intelligenz veröffentlicht. Die Erkenntnisse können sowohl als Tabelle als auch als Karte abgerufen werden.

zurück zum Inhaltsverzeichnis

3.6 OECD: Überblick zur Altersverifikation mit Beispielen

Die OECD veröffentlichte eine Studie mit dem Titel „The legal and policy landscape of age assurance online for child safety and well-being“. Dabei bezieht sich die Altersüberprüfung auf Verfahren zur Feststellung des Alters von Online-Nutzern, um sicherzustellen, dass Kindern sichere und altersgerechte Inhalte angeboten werden.
Zu dem Thema hat die OECD auch einen Bericht zur Umsetzung bei 50 Anbietern veröffentlicht und Studien zur Kindheit im digitalen Zeitalter begleitet von den Ergebnissen eines Fragebogens gegenüber Lehrkräften.

zurück zum Inhaltsverzeichnis

3.7 Umsetzung des Digital Markets Act – nun mit USA?

Der Digital Markets Act sollte eigentlich u.a. europäische Anbieter vor der Marktbeherrschung übergroßer Plattformen schützen. Einige davon kommen aus den USA. Nach diesem Bericht überlegt die EU den USA bei der Anwendung der Regeln einen gewissen Einfluss zuzugestehen.

zurück zum Inhaltsverzeichnis

3.8 Änderungen bei der globalen Mindeststeuer

Die globale Mindeststeuer ist jetzt auch ein etwas ungewöhnliches Thema für diesen Datenzirkus, hängt aber irgendwie damit zusammen. Wie hier berichtet wird, haben sich die G7-Staaten darauf verständigt künftig die Grundlagen der Mindeststeuer für große Unternehmen zu ändern. Derzeit gilt ein Abkommen, bei dem sich auf Initiative der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) im Jahr 2021 insgesamt fast 140 Länder auf eine Reform der internationalen Unternehmensbesteuerung verständigten. Danach sollen Umsätze in den Ländern besteuert werden, in denen die Unternehmen sie erzielen. Zum anderen wurde ein globaler Mindeststeuersatz von 15 % für große Konzerne vereinbart. Damit soll ein Wettlauf zwischen Staaten um die niedrigste Unternehmenssteuer beendet und der Steuervermeidung großer Konzerne ein Riegel vorgeschoben werden.
Die G7-Staaten hätten nun sich bereit erklärt große US-Konzerne von der globalen Mindeststeuer auszunehmen. Wie die kanadische Regierung, die derzeit den Vorsitz der Gruppe der sieben großen westlichen Industriestaaten innehat, mitteilte, sollen die Gewinne von US-Firmen im In- und Ausland nur in den USA versteuert werden. Dazu müsse noch die OECD ihr Regelwerk zur globalen Mindeststeuer anpassen. Nach seinem Amtsantritt hatte US-Präsident Donald Trump die Vereinbarung für große Unternehmen in den USA jedoch für unwirksam erklärt. Das Weiße Haus sieht das globale Steuerabkommen als unzulässigen Eingriff in die nationale Hoheit über Finanzen und Steuern.

zurück zum Inhaltsverzeichnis

3.9 Gespräche zu Änderungen bei der DS-GVO

Welche Änderungen bei der DS-GVO sind noch im Gespräch außer den bisher im 4. Omnibuspaket ausformulierten? Der zuständige EU-Kommissar geht dazu am 16. Juli 2025 von 14:30 – 17:00 Uhr in einen „Implementation dialogue“. Mit wem? Natürlich mit „stakeholdern“. Diesen ist die Teilnahme nur aufgrund einer Einladung möglich und sie sollen hauptsächlich Wirtschaftsverbände und Organisationen der Zivilgesellschaft präsentieren. Ziel der Umsetzungsdialoge sei es die europäische Wettbewerbsfähigkeit zu stärken, indem Rückmeldungen von Interessenträgern eingeholt werden, um die Umsetzung der EU-Politik und die Vereinfachung der EU-Vorschriften und -Ausgabenprogramme zu erleichtern. Dementsprechend soll sich die Diskussion um vier Themenbereiche drehen:

• Eine weitere Vereinfachung und Verringerung des Verwaltungsaufwands
• Erhöhung der Rechtssicherheit
• Verringerung der Fragmentierung und weitere Harmonisierung der Durchsetzung
• Erleichterung der Einhaltung der DS-GVO und Klärung der Verknüpfung mit anderen digitalen Rechtsvorschriften

zurück zum Inhaltsverzeichnis

3.10 EU-Kommission: 4. Omnibuspaket und Transparenz

Die EU-Kommission veröffentlichte am 21. Mai 2025 ihre Vorstellung von der Entlastung der KMU und schlägt dazu auch Änderungen der DS-GVO vor, wir berichteten. Wie die EU-Kommission zu diesen Vorschlägen kam, ist derzeit alles andere als transparent. So leitet nach dieser Meldung die Bürgerbeauftragte bereits zwei Tage nach Veröffentlichung der Vorschläge eine Untersuchung ein.

zurück zum Inhaltsverzeichnis

3.11 EU-Rat: Zusammenspiel von KI-VO und DS-GVO

Im März 2025 fand auf Brüsseler Ebene im Rat eine Diskussion zu den Herausforderungen im Zusammenspiel von DS-GVO und KI-VO statt. Die Zusammenfassung des Meetings findet sich hier.

zurück zum Inhaltsverzeichnis

3.12 EU: Überarbeitung DS-GVO und Erfahrungen aus UK

Der Wissenschaftliche Dienst des Europäischen Parlaments hat ein Briefing über die Überarbeitung der DS-GVO und die Lehren aus dem Vereinigten Königreich veröffentlicht. Vor dem Hintergrund aktueller Überlegungen zur Änderung der DS-GVO können Erkenntnisse aus dem Änderungsprozess in UK gezogen werden.

zurück zum Inhaltsverzeichnis

3.13 Doch noch Pause bei KI-VO („stop the clock“)?

Zumindest wenn es nach den Forderungen von 44 europäischen Unternehmen „Stop the clock“ geht, wie hier berichtet wird. Die Vorschriften seien in Teilen unklar, an anderen Stellen würden sie sich widersprechen. Damit gefährde der AI Act die Wettbewerbsfähigkeit der EU im globalen Wettbewerb. Kurz vorher hatte sich die EU in Brüssel erneut mit den US-Tech-Konzernen ausgetauscht. Darin sei es unter anderem darum gegangen, wie die Vorgaben abgeschwächt werden könnten. Zur Diskussion steht auch ein „KI-Verhaltenskodex“, der für Modelle wie Gemini (Google), Llama (Meta) und GPT-4 (OpenAI) gelten soll. Die Veröffentlichung war zuletzt immer wieder verschoben worden. Bis August 2025 soll der Verhaltenskodex stehen. Viele weitere Vorgaben des AI Acts sollen allerdings erst in den kommenden Jahren in Kraft treten. Nach aktuellen Meldungen will die EU-Kommission aber den Zeitplan nicht in Frage stellen.

zurück zum Inhaltsverzeichnis

3.14 Corrigendum beim CRA

Beim Cyber Resiliance Act gab es ein Corrigendum. Dabei handelt es sich in der Regel um Korrekturen redaktioneller Art, die dann nicht den kompletten Weg eines Gesetzgebungsverfahrens gehen müssen. Manchmal sind dies nur Tipp- oder Verweisungsfehler in einzelnen Sprachversionen, gelegentlich wirken sich diese aber auch inhaltlich aus.
So jetzt hier in der deutschen Fassung:

• In Art. 13 Abs. 8 CRA ändert sich der Text in
  

  „Wenn sie ein Produkt mit digitalen Elementen in den Verkehr bringen und während des Unterstützungszeitraums stellen die Hersteller sicher, dass Schwachstellen dieses Produkts, einschließlich seiner Komponenten, wirksam und im Einklang mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II behandelt werden.“

• In Art. 64 Abs. 10 CRA werden die Absätze korrigiert, für die es eine Ausnahme bei den Sanktionen gibt. Die Ausnahmen bei den Sanktionen beginnen dadurch bereits bei Abs. 2 und nicht erst mit Abs. 3:
  

  (10) Abweichend von den Absätzen 2 bis 9 gelten die in diesen Absätzen genannten Geldbußen nicht für
  a) Hersteller, die als Kleinst- oder Kleinunternehmen gelten, und zwar in Bezug auf die Nichteinhaltung der in Artikel 14 Absatz 2 Buchstabe a oder Artikel 14 Absatz 4 Buchstabe a genannten Frist,
  b) Verwalter quelloffener Software bei jedem Verstoß gegen diese Verordnung.

zurück zum Inhaltsverzeichnis

3.15 EU: Kinder und Deepfakes

Auch auf der EU-Ebene befasst man sich nun (endlich) verstärkt mit den Schattenseiten der Digitalisierung. („Bedenken second“, irgendwer? Siehe auch hier). Hier konkret mit den Auswirkungen von Deepfakes auf Kinder. Der Wissenschaftliche Dienst des Europäischen Parlaments hat dazu ein Briefing verfasst.

zurück zum Inhaltsverzeichnis

3.16 Zehn Gebote der KI-Ethik

Nicht nur für Kinder können diese zehn Gebote helfen sich mit KI auseinanderzusetzen. Klicksafe hat zusammen mit dem Institut für Digitale Ethik und der Hochschule der Medien Stuttgart eine Infokarte erstellt, mit der Denkanstöße für einen bewussten und verantwortungsvollen Umgang mit KI gegeben werden sollen – ideal für Schule, Jugendarbeit und Workshops – aber sicher nicht nur dort! Die Infokarte ist hier bei klicksafe erhältlich.

zurück zum Inhaltsverzeichnis

3.17 Konvention Nr. 108 und Datenschutz in LLM

Wir hatten schon darüber berichtet. Und der LfDI Baden-Württemberg sprach sie auch in seinem Podcast an, als der Datenzirkus bei ihm zu Gast war (ab Min. 42). Und daher kommt das Thema nun nicht mehr unter Veröffentlichungen, sondern Gesetzgebungsverfahren, nachdem die Sitzung am 17.06.2025 stattfand, bei der sie vorgestellt wurden

zurück zum Inhaltsverzeichnis

3.18 Bundesrat: Künstliche Intelligenz (KI) bei der Medienaufsicht

Wie hier berichtet wird, wollen die Bundesländer den Einsatz von Künstlicher Intelligenz (KI) bei der Medienaufsicht rechtssicher machen. Vorgesehen sei im Medienstaatsvertrag eine gemeinsame Regelung einzufügen, die einen klaren Rahmen für den bundesweiten Einsatz technischer Hilfsmittel in der Aufsicht schafft. Zu den Regelungsentwürfen ist vom 23. Juni bis 31. Juli 2025 eine öffentliche Anhörung gestartet worden. Dazu gibt es auch eine FAQ-Liste.

zurück zum Inhaltsverzeichnis

3.19 DORA: Verordnung zur Untervergabe von IKT-Dienstleistungen

Am 2. Juli 2025 wurde die Verordnung zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Präzisierung der Aspekte, die ein Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bestimmen und bewerten muss, im Europäischen Amtsblatt veröffentlicht.

zurück zum Inhaltsverzeichnis

3.20 Handelspolitik und europäische Digitalregulierung

Wie viel Einfluss kann Handelspolitik auf europäische Regularien nehmen? Damit befasst sich ein Forum von Urhebern, das 42 Verbände und 140.000 Kreative repräsentiert. Sie weisen darauf hin, dass im laufenden Zollstreit mit den USA die europäische Digitalregulierung unter Druck gerate. Die EU-Kommission erwäge offenbar, bei der Durchsetzung des Digital Markets Act (DMA) und der KI-VO Kompromisse einzugehen, um Verhandlungsmasse für Handelsgespräche zu schaffen. Diese Entwicklung alarmiere Urheber:innen, Künstler:innen sowie die Unternehmen der Kultur-, Kreativ- und Medienbranchen in Deutschland und Europa. Der DMA wurde geschaffen, um die Marktmacht der Tech-Giganten zu begrenzen und faire Wettbewerbsbedingungen zu schaffen. Eine Abschwächung seiner Durchsetzung würde diese Ziele gefährden. Ebenso beunruhigend seien Berichte über geplante Verwässerungen bei der Umsetzung der KI-VO. Die Branche befürchte, dass auch hier europäische Standards zugunsten der US-Digitalwirtschaft aufgegeben werden.

zurück zum Inhaltsverzeichnis

3.21 Bundesrat: Aktuelle Themen

Im Bundesrat gibt es aktuell einige Gesetzesvorschläge, mit der sich die Bundesregierung befassen darf:

zurück zum Inhaltsverzeichnis

3.21.1 Bundesrat: Aktuelle Themen – Forderungen nach Anpassung zur Mitbestimmung

Der Bundesrat hat am 11.07.2025 beschlossen die Bundesregierung aufzufordern, die Rechte und Möglichkeiten der Betriebsräte an aktuelle Entwicklungen anzupassen. Die Vorstellungen der Länder lassen sich hier nachlesen. Informationen dazu auch hier und zum Vorgang auf den Bundesratsseiten dort.

zurück zum Inhaltsverzeichnis

3.21.2 Bundesrat: Aktuelle Themen – Strafbarkeit von Deepfakes

Aus dem Bundesrat gibt es einen Vorschlag zur Strafbarkeit von Deepfakes aus dem Jahr 2024, mit der sich der Bundesrat erneut am 05.07.2025 befasste. Bereits im März 2025 gab es dazu eine Stellungnahme der Bundesregierung. Dazu gibt es auch einen aktuellen Blog-Bericht. Der Entwurf schlägt die Einführung des § 201b StGB vor, der die Verletzung von Persönlichkeitsrechten durch digitale Fälschung unter Strafe stellt.

zurück zum Inhaltsverzeichnis

3.21.3 Bundesrat: Aktuelle Themen – Datenschutz und Wettbewerbsrecht

Und aus Bayern kommt wieder der Vorschlag, dass über eine Änderung im UWG wettbewerbsrechtliche Ansprüche bei Datenschutzverstößen von Mitbewerbern nicht mehr verfolgt werden könnten (am 11.07.2025 unter TOP 23 270/25 „Entwurf eines Gesetzes zum Abbau datenschutzrechtlichen Gold-Platings im Wettbewerbsrecht“).
Die Rechtslage, ob mit der Konkurrenten- und Verbandsklage nach § 3a UWG auch datenschutzrechtliche Verstöße gemachte werden können, war in Rechtsprechung und Literatur umstritten. Der BGH hat geltend mit Urteil vom 27. März 2025 – Az. I ZR 223/19, nach vorheriger Vorlage an den EuGH, entschieden, dass Mitbewerber befugt sind Verstöße gegen das Datenschutzrecht im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten zu verfolgen. Art. 9 Abs. 1 DS-GVO sei eine Marktverhaltensregelung im Sinne von § 3a UWG.
Durch den Gesetzentwurf soll ein Mitbewerberklagerecht nach § 3a UWG bei Verstößen gegen die DS-GVO, das Bundesdatenschutzgesetz sowie sonstiger, der Umsetzung der DS-GVO dienender Regelungen ausdrücklich ausgeschlossen werden. Der Gesetzentwurf soll nun in den Bundestag eingebracht werden.

zurück zum Inhaltsverzeichnis

3.22 Österreich: Malware darf eingesetzt werden

Wie hier berichtet wird, dürfen in Österreich Smartphones und Computer künftig mit Malware infiziert werden, damit Österreichs Ermittler Einsicht nehmen können. Und auch mal ein Kompliment an den Qualitätsjournalismus, der neben einer Folgenabschätzung auch auf eine Gegenüberstellung der bisherigen und der zukünftigen Rechtslage verlinkt.

Franks Nachtrag: Nicht immer sind die Proteste der Zivilgesellschaft gegen schlechte Gesetze erfolgreich. Dann muss wohl erst wieder geklagt werden.

zurück zum Inhaltsverzeichnis

3.23 EU: Evaluierung von FFDR, ODD und DGA

Die EU führt in Zusammenarbeit mit Spark Legal and Policy Consulting, Capgemini, Open Evidence, einem wichtigen Rechtsexperten der KU Leuven und einem Netzwerk nationaler Experten aus den Mitgliedstaaten eine Evaluierung von drei wichtigen EU-Datenverordnungen durch:

• Verordnung über den freien Verkehr nicht personenbezogener Daten (FFDR)
• Open-Data-Richtlinie (ODD)
• Data Governance Gesetz (DGA)

Diese Evaluierung soll als Richtschnur für künftige Verbesserungen der EU-Datenvorschriften dienen. Rückmeldung sind bis 25. Juli 2025 willkommen.

zurück zum Inhaltsverzeichnis

3.24 BMI: Erfassung der Personen nach SBGG („Trans-Register“)

Das Innenministerium hat eine Verbändeanhörung begonnen, um einen Referentenentwurf abstimmen, mit dem in den bisherigen Melderegistern Anpassungen des Geschlechts nachvollzogen werden können, die von Personen nach dem SBGG erfolgten. Damit soll erreicht werden, dass Personen, die ihren Geschlechtseintrag und ihre Vornamen angepasst haben, in verschiedenen amtlichen Registern und amtlichen Informationssystemen weiterhin identifiziert werden können und ihre Identität nachvollziehbar ist.
Hierfür werden in den Datensatz für das Meldewesen drei neue Datenblätter zum früheren Geschlechtseintrag aufgenommen, die die Speicherung des Geschlechtseintrags vor der Änderung nach § 2 SBGG, das Datum der Änderung des Geschlechtseintrags sowie die Behörde, die die Änderung des Geschlechtseintrags vorgenommen hat, und das Aktenzeichen festlegen. Entsprechend sind diese Datenblätter auch in die Rechtsverordnungen zum Bundesmeldegesetz aufzunehmen, um eine Übermittlung im technischen Standard XMeld zu ermöglichen.
Auf den Seiten des BMI ist der Entwurf nicht veröffentlicht, aber hier. Es gibt auch eine Petition dagegen.

zurück zum Inhaltsverzeichnis

3.25 UK: Auswirkungen des “Data Use And Access Act” auf andere Regularien in UK

Eine Kanzlei hat sich die Mühe gemacht im Änderungsmodus darzustellen, welche Änderungen sich im vereinigten Königreich durch den Data Use and Access Act (DUAA) ergeben. Da auch auf dem Kontinent überlegt wird datenschutzrechtliche Regularien um Datennutzungsmöglichkeiten zu ergänzen (obwohl dies in der DS-GVO mit dem freien Datenverkehr bereits vorgesehen war), können sich daraus evtl. auch Orientierungen und Beispiele ergeben. So finden sich dazu Darstellungen zu der britischen Version der DS-GVO (UK GDPR), aber auch zum Data Protection Act 2018 und zur The Privacy and Electronic Communications (EC Directive) Regulations 2003.

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 ISO/IEC 42005 – Entwurf zur KI-Folgenabschätzung

Der ISO/IEC 42005:2024 ist ein Entwurf für eine internationale Norm, die sich auf die Folgenabschätzung von KI-Systemen konzentriert und Organisationen Leitlinien für die Bewertung der Auswirkungen von KI-Systemen auf Einzelpersonen und die Gesellschaft an die Hand gibt. Das Dokument beschreibt den Bewertungsprozess, die Dokumentationsanforderungen und die Integration in Risikomanagementsysteme und betont dabei die Bedeutung von Transparenz und Rechenschaftspflicht bei KI-Technologien. Es besteht die Möglichkeit Feedback zu geben. Einen Überblick über weitere KI-relevante Normen bietet das CEN-CENELEC Joint Technical Committee 21 (JTC 21) wie hier in dieser Übersicht. Das CEN-CENELEC-JTC21 Learning Center bietet auch viele kostenfreie Lernmöglichkeiten dazu an.

zurück zum Inhaltsverzeichnis

4.2 Plattform Lernende Systeme: Whitepaper zur Erklärbarkeit von KI

KI-Systeme mit hoher Komplexität sind häufig sogenannte Black Boxes. Wie sie zu ihren Ergebnissen kommen, ist oft schwer nachvollziehbar. In vielen Anwendungsgebieten, wie der medizinischen Diagnostik, der Kreditbewilligung im Finanzwesen oder der Qualitätskontrolle in der Produktion, ist die Nachvollziehbarkeit jedoch entscheidend, um die Ergebnisse einordnen und hinterfragen zu können. So erhalten Entwickelnde Informationen, um KI-Systeme zu verbessern, und Verbrauchende können in Erfahrung bringen, welche Faktoren für die Kreditentscheidung einer Bank einschlägig waren. Dazu veröffentlichte nun die Plattform Lernende Systeme ein Whitepaper „Nachvollziehbare KI“ zur Erklärbarkeit von KI. Die Beispiele zeigen, dass Erklärungen von KI-Entscheidungen für verschiedene Zielgruppen verständlich sein müssen.

Franks Nachtrag: Apropos Plattform Lernende Systeme, da gibt es eine Veranstaltung, die Sie vielleicht interessiert.

zurück zum Inhaltsverzeichnis

4.3 Acatech: Mehrheit ohne Erfahrung mit generativer KI

Laut dem Technikradar der Deutschen Akademie der Technikwissenschaften (Acatech) habe eine Minderheit von 46 % der Befragten im privaten Umfeld diese Technologie mindestens einmal genutzt. Im Beruf liege der Anteil bei 37 %. Die Zahl der regelmäßigen Nutzer sei deutlich niedriger. Gerade einmal 11 % beziehungsweise 14 % der Bevölkerung zählten zu dieser Gruppe. Bei akademisch Gebildeten gehöre der Einsatz Generativer KI jeweils etwa doppelt so häufig zum Alltag wie in der Gesamtbevölkerung. Das Technikradar hat noch andere Schwerpunkte und eine PDF-Fassung ist auch verfügbar.

zurück zum Inhaltsverzeichnis

4.4 Whitepaper zu Hochrisiko-KI-Systemen im Spannungsfeld von Recht und Technik

Mit der technischen Umsetzung der regulatorischen Anforderungen befasst sich dieses 26-seitige Whitepaper einer auf Datenschutz spezialisierten Beratungsgesellschaft.

zurück zum Inhaltsverzeichnis

4.5 Norwegen: Leitfaden zum Einsatz von KI-Assistenten

Das norwegische Ministerium für Digitalisierung hat einen Leitfaden zum Einsatz von KI-Assistenten veröffentlicht. Der Leitfaden umfasst die Anforderungen an drei verschiedene Arten von KI-Assistenten:

• Öffentlich, wie KI-Assistent von offenen Plattformen (ChatGPT, Claude)
• Integriert, wie ein KI-Assistent, der in die IT-Umgebung des Unternehmens integriert ist (z. B. Copilot-Chat) oder ein KI-Assistent mit Dokumenten- und Datenintegration (z.B. Copilot 365)
• Individuell angepasst wie KI-Assistenten, die begrenzte Aufgaben unterstützen (z. B. Copilot Studio), KI-Assistenten mit kontrolliertem Datenzugriff (z. RAG) oder KI-Assistenten, die mit spezifischen Daten neu trainiert werden (feinabgestimmt).

Es gibt den Leitfaden in verschiedenen Dateiformaten und vorerst nur auf Norwegisch. Das Verständnis der Unterschiede zwischen den verschiedenen Kategorien von KI-Assistenten ist für Unternehmen unerlässlich, um Tools auf ihre eigenen spezifischen Anwendungsfälle und Bedürfnisse abzustimmen, Ressourcen effizient zuzuweisen und die damit verbundenen Risiken proaktiv durch geeignete Schutzmaßnahmen zu mindern.

zurück zum Inhaltsverzeichnis

4.6 USA: Urteil zu Fair Use und Copyright

Erneut ein Urteil aus den USA, das sich mit Fragen des Copyrights und Fair-Use beim Training von LLM mit geschützten Werken befasst. Letztendlich betrachtet das Gericht Fair Use als eine einzelfallbezogene Doktrin, die flexibel an neue Technologien und ihre potenziellen Folgen angepasst werden müsse. Im konkreten Fall war das Gericht nicht von der Auswirkung der Nutzung auf den potenziellen Markt oder Wert des Originals überzeugt worden.
Im Ergebnis müssen künftig Kläger belastbarere Nachweise für Marktverluste darlegen und Urheber empirische Belege liefern, dass KI-generierte Inhalte ihre Werke wirtschaftlich ersetzte oder verdrängte.

zurück zum Inhaltsverzeichnis

4.7 AI Now: Artificial Power – 2025 Landscape Report

Der Landscape-Report 2025 skizziert den Stand der Dinge auf dem KI-Markt und die Einsätze für die Öffentlichkeit. Die Hauptdiagnose lautet, dass nach dem „KI-Boom“ der Drang, KI-Produkte überall zu integrieren, den KI-Unternehmen und den Tech-Oligarchen, die sie betreiben, nicht nur wirtschaftliche Macht verleiht. Der Bericht untersucht konkret, wie KI unter anderem in den Bereichen Bildung, Gesundheitswesen, Einwanderung und Regierung eingesetzt wird, und argumentiert, dass wir mit der Art und Weise rechnen müssen, wie die heutige KI nicht von uns, sondern an uns eingesetzt wird.
Er befasst sich dann auch mit den Möglichkeiten zur Rückeroberung der Handlungsfähigkeit auf dem Weg der KI. Der Bericht bietet Instrumente des Verständnisses, der Befragung und der umsetzbaren Strategie, um dem Moment gerecht zu werden, und identifiziert Hebelpunkte, die es ermöglichen Unternehmen zurückzudrängen, deren Macht heute mit der von Nationalstaaten konkurriert, und baut auf den Erfolgen der wegweisenden Kartellverfahren gegen Big-Tech-Unternehmen auf.

zurück zum Inhaltsverzeichnis

4.8 Whitepaper zur KI-gestützten Onlinesuche

Es gibt berechtigte Bedenken, wenn Suchmaschinen von Webseiten Inhalte, die urheberrechtlichen Schutz beanspruchen, oder Inhalte mit privaten Informationen scrapen und dann – für was auch immer – verwenden. Hier gibt es ein Whitepaper, das darlegt, wie Webseiten strukturiert sein sollten, um von Crawlern gefunden zu werden. Ich könnte mir das z.B. vorstellen für Awareness-Maßnahmen für Kinder oder Erwachsene oder auch zur Aufklärung gegen Manipulation etc. Oder einfach auch nur Hinweise zur Information wie hier in der Versicherungsbranche.

zurück zum Inhaltsverzeichnis

4.9 Wie gehen LLM-Betreiber mit Daten um?

Damit befasst sich diese Studie, über die hier berichtet wird. Aus ihr geht hervor, welcher Betreiber wie mit privaten Daten von Anwender:innen umgeht. Danach geht der französische KI-Anbieter Mistral mit Le Chat am sorgfältigsten mit den privaten Daten von Anwenderinnen und Anwendern um (9,8 Punkte). Es folgen ChatGPT von OpenAI (9,9 Punkte) und Grok von xAI (11,2 Punkte). Am schlechtesten schneidet Meta.ai mit 15,7 Punkten ab, wobei mehr Punkte eine stärkere Verletzung der Privatsphäre bedeuten. Weitere Aspekte sind u.a. Training, Transparenz und Teilen der Prompts.

zurück zum Inhaltsverzeichnis

4.10 Datenschutzrechtliche Risiken beim Kauf eines Web-Scraping-Datensatzes

Die Autor:innen dieser Studie „A Common Pool of Privacy Problems: Legal and Technical Lessons from a Large-Scale Web-Scraped Machine Learning Dataset“ bewerteten die Datenschutzrisiken von CommonPool, einer der größten öffentlich zugänglichen Bild-Text-Datensätze, der aus dem Internet stammt. Er wurde über 2 Millionen Mal heruntergeladen und von bekannten Bildgenerierungsmodellen verwendet. Im CommonPool-Datensatz fanden die Autoren identifizierbare menschliche Gesichter, vollständige Namen und Kontaktdaten in Lebensläufen, amtlichen ID-Nummern, Finanzinformationen (z. B. Kreditkartennummern mit Sicherheitscodes) und sogar Inhalte, die Kinder betreffen (z. B. Geburtsurkunden). Außerdem enthielt der Datensatz Bild-EXIF-Tags, die die genaue Geolokalisierung von Personen anzeigen können.
Aus ihren Ergebnissen heraus plädieren die Autor:innen für eine Neuausrichtung der aktuellen Rahmenbedingungen für „öffentlich zugängliche“ Informationen, um die Entwicklung von KI, die auf wahllosem Scraping des Internets basiert, sinnvoll einzuschränken.

zurück zum Inhaltsverzeichnis

4.11 IDE: Ethische Leitlinien zur digitalen Barrierefreiheit

Unter dem Titel „hürdelos statt würdelos“ wurden am Institut für Digitale Ethik (IDE) vor Kurzem ethische Leitlinien zur digitalen Barrierefreiheit veröffentlicht. Diese Leitlinien gibt es nun in Form von Kurzgeschichten zum Veranschaulichen passend gemäß Anforderungen an leichte Sprache umgesetzt.

zurück zum Inhaltsverzeichnis

4.12 Transparenzpflichten nach der KI-VO

Ab August 2026 gelten die Transparenzpflichten aus Art. 50 der KI-VO. Dieser Blog-Beitrag befasst sich mit der Frage: Müssen KI-generierte Inhalte wie Websitebeiträge, Newslettertexte – oder -bilder gekennzeichnet werden? Wenn ja, wann, wie und gegenüber wem? Und vor allem: Was bedeutet das ganz konkret für unsere Website, unseren Chatbot oder unsere Produktbilder? Antworten und dazu und zu weiteren Fragen im o.g. Beitrag.

zurück zum Inhaltsverzeichnis

4.13 Leitlinien für KI in der Lehre

Hier veröffentlicht eine Universität ihre Leitlinie zur KI in der Lehre, in der sie Tipps zur Einbindung generativer KI gibt. So findet sich u.a. eine Handlungsorientierung für den Einsatz von KI in der Lehre und Prüfung sowie auch Checklisten und Beispiele zur reflektierten Anwendung von KI in der Lehre.

zurück zum Inhaltsverzeichnis

4.14 „pay per crawl” – eine Lösung?

Ein Anbieter verkündet, dass er es technisch ermöglich könne, dass Webseiten nicht mehr unentgeltlich gecrawlt werden können. Mal sehen, wie sich das entwickelt.

zurück zum Inhaltsverzeichnis

4.15 Verleger beschweren sich bei EU über Zusammenfassungen durch die KI von Google

Googles KI-Zusammenfassungen haben bei Verlegern weltweit einen Aufschrei aufgelöst, wie hier berichtet wird. In einem Brief an die EU-Wettbewerbsbehörde beschwert sich ein Konsortium über die Praktiken des Suchmaschinen-Giganten. Demnach bescherten die neuen Zusammenfassungen irreparablen wirtschaftlichen Schaden für Webseite-Betreiber, wogegen es dringend Maßnahmen bedürfe.
Über die Thematik und das grundsätzliche Problem dazu hatten wir bereits berichtet.

zurück zum Inhaltsverzeichnis

4.16 KI-Agenten im Browser: Thema für die Cybersicherheit?

Die Integration von KI in Unternehmensprozesse hat in den letzten Jahren erheblich zugenommen. Besonders Browser-basierte KI-Agenten, die ursprünglich zur Steigerung der Produktivität durch Automatisierung repetitiver Aufgaben entwickelt wurden, stehen nach diesem Bericht nun im Fokus der Cybersicherheitsdebatte. Laut Branchenberichten sind diese Agenten anfälliger für Cyberangriffe als menschliche Mitarbeiter, was eine grundlegende Neuausrichtung der Sicherheitsstrategien erforderlich macht. Im Gegensatz zu menschlichen Nutzern, die regelmäßig Schulungen zu Cybersecurity erhalten und zunehmend auf Phishing-Versuche und verdächtige Links achten, fehlt es den KI-Agenten an Fähigkeiten, um Bedrohungen intuitiv zu erkennen. Diese Agenten führen Aufgaben ohne Sicherheitsinstinkte aus und können daher leicht auf gefälschte Websites oder Anwendungen hereinfallen.
Um dieser Herausforderung zu begegnen, wird Unternehmen geraten Browser-native Sicherheitslösungen wie Browser Detection and Response (BDR) zu implementieren, die verdächtige Aktivitäten von Agenten in Echtzeit erkennen können. Bis große Browserhersteller native Schutzmaßnahmen für KI-gesteuerte Automatisierung integrieren, müssten Unternehmen eigenständig Überwachungsmechanismen entwickeln.

zurück zum Inhaltsverzeichnis

4.17 GDD: Mitbestimmungsrechte des BR beim Einsatz von KI

Dürfen sie, dürfen sie nicht und wenn ja, bei was eigentlich? Die Frage eines Mitbestimmungsrechts des Betriebsrats (BR) beim Einsatz von Künstlicher Intelligenz ist derzeit ein heißes Eisen – und nicht nur, weil im nächsten Jahr wieder Betriebsratswahlen stattfinden. Da kommt das Kurzpapier der GDD zu diesem Thema gerade richtig, um Missverständnisse verhindern zu helfen. Soweit nicht eine gesetzliche oder tarifliche Regelung besteht, hat der Betriebsrat danach mitzubestimmen mit Bezug auf die „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer/-innen zu überwachen“. Der Betriebsrat hat regelmäßig kein Mitbestimmungsrecht mit Blick auf die Entscheidung über den KI-Einsatz als solchen. Eine Mitbestimmung kommt aber in Betracht mit Blick auf Überwachungsmöglichkeiten im Zusammenhang mit einem geplanten KI-Einsatz.

zurück zum Inhaltsverzeichnis

4.18 EU: “General-Purpose AI Code of Practice veröffentlicht“

Die EU hat die endgültige Fassung des General Purpose Code of Practice for AI (Verhaltenskodex für Künstliche Intelligenz) für allgemeine Zwecke veröffentlicht. Der Kodex soll der Industrie dabei helfen die KI-Vorschriften für allgemeine Zwecke einzuhalten, die am 2. August 2025 in Kraft treten.
Es handelt sich um ein freiwilliges Instrument, das von 13 unabhängigen Expert:innen entwickelt wurde. Über 1.000 Interessenträgern, darunter Modellanbieter, kleine und mittlere Unternehmen, Wissenschaftler, KI-Sicherheitsexperten, Rechteinhaber und Organisationen der Zivilgesellschaft haben daran in 40 Workshops und drei Konsultationen mitgewirkt (Details hier).
Die Vorschriften werden ein Jahr später durch das Büro für künstliche Intelligenz der EU-Kommission in Bezug auf neue Modelle und zwei Jahre später in Bezug auf bestehende Modelle durchsetzbar. Damit soll sichergestellt werden, dass auf dem europäischen Markt in Verkehr gebrachte KI-Modelle mit allgemeinem Verwendungszweck – einschließlich der leistungsstärksten – sicher und transparent sind.
Der Code umfasst drei Teile: Transparenz, Urheberrecht und Sicherheit. Das Kapitel zur Transparenz beinhaltet auch eine Musterdokumentation zur Umsetzung.
Es gibt eine nicht-offizielle Seite zum AI Code of Practice, außerdem gibt es auch eine offizielle FAQ.
Unternehmen, die GPAI-Modelle entwickeln, können den Kodex freiwillig übernehmen, um die Einhaltung der Verpflichtungen des KI-Gesetzes nachzuweisen. Die Unterzeichner profitieren dabei von einem geringeren Verwaltungsaufwand und größerer Rechtssicherheit im Vergleich zu Anbietern, die alternative Compliance-Wege wählen – so die Erwartungen aus der Pressemitteilung. Der Codex muss noch von den EU-Mitgliedstaaten und der EU-Kommission gebilligt werden.
Verbände der Anbieter wie der bitkom sehen zwar eine Chance für mehr Rechtssicherheit, warnen aber vor schwieriger Risikoprüfung und hohem bürokratischen Aufwand.
Kritik gibt es auch an den Regelungen zum Schutz der Urheberrechte beim Training von KI-Modellen, wie hier berichtet wird.

zurück zum Inhaltsverzeichnis

4.19 Google Gemini und Trainingsdaten

Seit 7. Juli 2025 nutzt die Google-Gemini-App folgende Daten des eingesetzte Android Handys: Telefon, Nachrichten, WhatsApp und System-Utilities. Die Daten werden laut Privacy Policy von Google (Update am 11.06.2025) zum KI-Training verwendet und potenziell durch menschliche Reviewer gesichtet („including service providers“). Natürlich gilt das auch für alle Fotos, die bei Gemini hochgeladen wurden und Chats, die mit GeminiAI geführt wurden. Der Datenzugriff bleibt auch dann bestehen, wenn „Gemini Apps Activity“ deaktiviert wurde. Der Zugriff muss daher explizit deaktiviert werden. Der „Off-Knopf“ ist nicht leicht zu finden. Über Gemini App – Profil – Apps kann dort manuell der Zugriff auf Telefon, Nachrichten und WhatsApp / Utilities deaktiviert werden.

zurück zum Inhaltsverzeichnis

4.20 KI und Anwaltsschriftsätze

Was passiert, wenn ein mit KI erstellter Schriftsatz vom Gericht bemerkt wird, weil dieser leicht erkennbare Fehler erhält, erfuhr ein Rechtsanwalt vor dem AG Köln. In dem Verfahren ging es um Themen wie Sorgerecht, Wechselmodell und Kindeswohl – also keine „Nebensächlichkeiten“ (und selbst wenn). Zahlreiche Fundstellen existierten entweder gar nicht oder hatten einen völlig anderen Inhalt. Mehr zu dem Fall gibt es hier. Dabei wird auch die Frage des versuchten Prozessbetrugs angesprochen.

zurück zum Inhaltsverzeichnis

4.21 EU: Studie zu Generative KI und Urheberrecht

Für den Ausschuss JUI (Rechts-Ausschuss) gibt es eine Studie zu den rechtlichen Aspekten von Generativer KI und Urheberrecht. Zwei Experten befassten sich mit den technologischen und wirtschaftlichen Dimensionen der komplexen Beziehung zwischen Urheberrecht und sogenannter GenAI. Die Studie wurde im Rahmen einer Veranstaltung in mehreren Vorträgen präsentiert (Agenda).

zurück zum Inhaltsverzeichnis

4.22 Tschechien: Kein DeepSeek in Behörden

Wie hier berichtet wird, wurde die Nutzung von DeepSeek in staatlichen Behörden und Institutionen verboten. Die Entscheidung sei aufgrund einer Analyse der nationalen Behörde für Cyber- und Informationssicherheit gefallen, hieß es. Begründet wurde der Schritt mit der Sorge, dass der chinesische Staat Zugang zu sensiblen Daten erhalten könne, wenn sie auf Servern in China gespeichert und verarbeitet werden.

zurück zum Inhaltsverzeichnis

4.23 Initiative Urheberrecht: 3-Säulen-Modell zu generativer KI

Die Initiative Urheberrecht steuert mit ihrem 3-Säulen-Modell einen Beitrag in die Diskussion um eine interessensgerechte Beteiligung der Urheber an der Nutzung ihrer Werke durch generative KI bei. Bei der ersten Säule werden Gesetzesanpassungen vorgeschlagen, um Unsicherheiten, ob das Training von KI-Modellen unter die Text- und Data-Mining-Ausnahmen (TDM) der DSM-Richtlinie fällt, im Sinne der Kreativen aufzulösen. Mit der zweiten Säule sollen die Möglichkeiten der Um- und Durchsetzung gestärkt werden. Wie Transparenzpflichten für KI-Anbieter (z. B. durch das „AI Office“ im EU-AI-Act) sowie funktionierende Opt-out-Systeme.  Über die dritte Säule sollen dann strategische Klagen wie Verbandsklagen oder Musterprozesse zu diesem Thema ermöglicht werden. So sollen zentral Rechtsfragen geklärt und strukturelle Unsicherheiten überwunden werden.

zurück zum Inhaltsverzeichnis

4.24 Dataports „LLMOIN“ erweitert Kundenkreis

Wie dieser Pressemeldung zu entnehmen ist, erweitert Dataport seinen Kundenkreis um die Landesregierung Rheinland-Pfalz. Möglich wurde das durch die Anbindung des KI-Assistenzsystems LLMoin über das öffentliche Netz. Erstmals können damit jetzt auch Verwaltungen außerhalb des Trägerkreises von Dataport das Tool nutzen. Das gilt neben Bundesländern auch für kleinere Verwaltungen wie Kommunen, für die es ein spezielles, nutzerbezogenes Abrechnungsmodell gibt.
Das KI-Assistenzsystem LLMoin wurde von der Freien und Hansestadt Hamburg und Dataport entwickelt und basiert auf dem aktuellen GPT-4.1-Sprachmodell. Es wurde speziell für die Anforderungen der öffentlichen Verwaltung konzipiert. Im Unterschied zu frei verfügbaren KI-Tools bietet LLMoin höchste Datenschutzstandards: Alle Daten und Dokumente werden ausschließlich im grundschutzkonformen Rechenzentrum von Dataport gespeichert. Zudem werden eingegebene Daten nicht zu Trainingszwecken genutzt.

zurück zum Inhaltsverzeichnis

4.25 Rechtliche Rahmenbedingungen generativer KI

Der Einsatz generativer KI berührt viele rechtliche Rahmenbedingungen. Damit befasste sich auch ein Vortrag im Rahmen der „Osnabrücker Gespräche zum Unternehmens- und Wirtschaftsrecht“ Mitte Juni 2025. Die Folien dazu sind freundlicherweise veröffentlicht worden. Ihnen ist z.B. zu entnehmen, dass Kennzeichnungspflichten zunehmen: Sowohl durch die KI-VO (EU AI Act) als auch § 18 Abs. 3 MStV bestehen differenzierte Vorgaben, z. B. für Chatbots, Deepfakes oder synthetische Texte. KI-Modelle dürfen personenbezogene Daten nur unter engen Voraussetzungen, wie Einwilligung oder berechtigtes Interesse, verarbeiten. Auch im Urheberrecht sind Fragen zu klären: dürfen für das Training von KI-Modellen urheberrechtlich geschützte Werke verwendet werden und können KI-generierte Inhalte urheberrechtlichen Schutz genießen?

zurück zum Inhaltsverzeichnis

4.26 Universität Regensburg: Richtlinien zum Einsatz von KI bei schriftlichen Prüfungsleistungen

Die Universität Regensburg veröffentlichte mit Stand 05.07.2025 Richtlinien zum Einsatz von Künstlicher Intelligenz bei der Anfertigung von schriftlichen Prüfungsleistungen.

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 Microsoft KI-Transparenzbericht 2024

Microsoft hat seinen KI-Transparenzbericht 2024 veröffentlicht. Bei verantwortungsvoller KI geht es nicht nur um Compliance – es geht laut Microsoft um den Aufbau von Governance-Praktiken, die KI-Systemen helfen Menschen, Organisationen und Gemeinschaften zu dienen. Na dann. Sie finden den Bericht hier als PDF.

zurück zum Inhaltsverzeichnis

5.2 Leitfaden für Journalisten zum sicherheitstechnischen Eigenschutz

Journalisten haben oft eigene Sicherheitsinteressen – gerade, wenn sie recherchieren – evtl. sogar im Bereich der Informationstechnologie. Doch wie sollten sich Journalisten schützen? Hier wurde durch eine Fachjournalistin in einem Beitrag „Under Attack: How Journalists Can Defend Themselves Against Digital Threats” sieben Tipps zusammengestellt. In den Fußnoten finden sich dort dann noch weitere Quellen für entsprechende Hinweise.
Die können aber auch Personen helfen, die nicht journalistisch tätig sind.

zurück zum Inhaltsverzeichnis

5.3 Netzwerk Datenschutzexpertise: Schmerzregister und Datenschutz

Manche Aussagen zum Datenschutz sind manchmal auch mit Schmerzen verbunden. Und das begrenze ich nicht auf extern oder intern. Aber beim Schmerzregister geht es auch um andere Schmerzen.
Über ein sogenanntes „Schmerzregister“ entsteht eine der weltweit größten Sammlung von Patientendaten, Krankheitsbildern, Medikationen und Verläufen für die Indikation Schmerz, über die der ärztliche Praxisalltag optimiert und Ärzten wissenschaftliche Auswertungen ermöglicht werden sollen. Das klingt nicht nur hilfreich, sondern auch nach einem guten Geschäft mit Daten – und nach den Fragen nach der Einhaltung von datenschutzrechtlichen Vorgaben. Diesen Fragen widmete sich nun das Netzwerk Datenschutzexpertise und – welch Überraschung – kam zu einigen Feststellungen, die für Datenschützer wiederum schmerzhaft wirken können. So sei die Verwendung der Begrifflichkeiten anonym und pseudonym gegenüber den betroffenen Personen nicht korrekt, Fragen der jeweiligen Verantwortlichkeit unklar und die Einwilligungserklärung der Patient:innen sei zu unbestimmt. Bericht dazu auch hier.

zurück zum Inhaltsverzeichnis

5.4 Faktische Pseudonymität – Schutz der Betroffenenrechte

Um was es bei „faktischer Pseudonymität“ geht und wann sie zur Anwendung kommt, schildert dieser Blog-Beitrag. Demnach sei „faktische Pseudonymität“ nach Art. 11 DS-GVO gegeben, wenn dem Verantwortlichen nicht genügend Informationen vorliegen, um eine betroffene Person zu identifizieren.

zurück zum Inhaltsverzeichnis

5.5 Einwilligung bei Facebook zur Bildernutzung?

Sie öffnen Ihre Smartphone-Kamera, um ein Bild für den eigenen Facebook-Auftritt zu machen. Dabei soll sich nach dieser Meldung ein Pop-up-Dialogfenster öffnen, um Sie zur Einwilligung zum „Cloud-Processing“ zu befragen. Also überlegen Sie sich, was da genau passiert und ob Sie das wirklich wollen. Weitere Informationen dazu auch hier.

zurück zum Inhaltsverzeichnis

5.6 Straßenfotografien – und vieles mehr

Was sind die datenschutzrechtlichen Anforderungen an Straßenfotografien? Ja, genau, „das kommt darauf an!“ Und auf was kommt es da an? Wer fotografiert, wo fotografiert wird, was und manchmal auch wer und (ganz wichtig) was mit den Aufnahmen gemacht werden soll. All diese Fragen müssen beantwortet werden können, um dann einschätzen zu können, ob diese Verarbeitungen im Bereich der Haushaltsausnahme (und damit außerhalb der DS-GVO) stattfinden oder ob es um Verarbeitungen geht, die das Orchester der DS-GVO auf die Bühne bitten. Und selbst wenn Sie sich im Bereich der Haushaltsausnahme befindeen, gibt es immer noch das allgemeine Persönlichkeitsrecht, dass zu beachten ist. Mehr dazu und fundierter hören Sie es in diesem Podcast (Dauer ca. 1:42 Std.) mit einer Expertin auf diesem Gebiet. Da erfahren Sie auch, wie und warum verschiedene Aufsichtsbehörden sich bereits damit befassten.

zurück zum Inhaltsverzeichnis

5.7 bitkom: Leitfaden zur geschlechtlichen Anrede

Ausgehend von dem Urteil des EuGH C-394/23, das die datenschutzrechtlichen Anforderungen und Konsequenzen bei der Verwendung eines geschlechtlichen Datums definierte (wir berichteten), befasst sich der Leitfaden des bitkom mit den Hintergründen und Anforderungen. Der Leitfaden zur EuGH-Entscheidung C-394/23 gibt aber auch praxisorientierte Handlungsempfehlungen für Unternehmen und Organisationen, die personenbezogene Daten im Rahmen von Kundenkommunikation, Online-Formularen oder Vertragsabschlüssen erheben. Der Leitfaden zeigt auf, wie bestehende Prozesse geprüft, angepasst und dokumentiert werden können, um datenschutzrechtliche Risiken zu minimieren und zugleich die Rechte betroffener Personen zu wahren.

zurück zum Inhaltsverzeichnis

5.8 Barrierefreiheitserklärung

Das BFSG trat Ende Juni 2025 in Kraft. Ab diesem Stichtag müssen verschiedene Produkte und Webseiten barrierefrei zur Verfügung gestellt werden. Aktuell gibt es große Missverständnisse bezüglich des Inhalts der „Barrierefreiheitserklärung“, die von Unternehmen bereitgestellt werden muss. Die Details dazu erläutert eine Kanzlei in ihrem Blog und einem im Blog-Beitrag verlinkten Artikel.

zurück zum Inhaltsverzeichnis

5.9 Studie zu DiGa-Apps

DiGa-Apps sind Angebote, mit denen Digitale Gesundheitsangebote genutzt  und die auch über das Digitale-Versorgung-Gesetz (DVG) gefördert werden können (mehr dazu hier). Doch wie sieht es bei bestehenden Angeboten mit der Finanzierung aus, wenn oder bis es die Förderungen gibt? Damit befasst sich diese Studie des Leibniz-Zentrums für Europäische Wirtschaftsforschung (ZEW). Viele Hersteller von Gesundheits-Apps setzten dabei lieber auf Geschäftsmodelle wie die Nutzung von Daten zu Werbezwecken. Wie die Studie feststellt, sind die meisten Apps auf Englisch verfügbar, danach folgen chinesische Apps und als dritthäufigste Sprache Deutsch. Auch erfülle nur ein kleiner Teil der medizinischen Behandlungs-Apps hohe Datenschutzstandards. Der Großteil sammle Daten für Werbung. Dies deute darauf hin, dass eine Kostenerstattung allein nicht die Hauptmotivation für einen Markteintritt sein könnte. Möglich sei aber auch, dass die Entwickler erst dann von einem werbebasierten Geschäftsmodell abrücken, wenn ihre App offiziell als DiGA gelistet ist und Einnahmen erzielt.

zurück zum Inhaltsverzeichnis

5.10 PWC: Umfrage zu Compliance und KI

Bei einer weltweiten Umfrage durch PWC unter 1.800 Führungskräften aus 63 Ländern kam heraus, dass die Eindämmung technologischer Risiken für 51 Prozent aller Befragten die oberste Priorität. Und – dazu zählt auch der Datenschutz. Was wieder offen bleibt, ob bei den Befragten der Unterschied zwischen Datenschutz und Datensicherheit bekannt ist – aber es liest sich schon mal gut. Mehr Ergebnisse aus der Befragung unter dem angegebenen Link.

zurück zum Inhaltsverzeichnis

5.11 Veranstaltungen

5.11.1 Webinar der EU zu Guidelines für angemessenen Ausgleich nach dem Data Act -neu-

15.07.2025, 10:00 – 12:00 Uhr, online: In diesem Webinar geht es um Feedback zu den Richtlinien für eine angemessene Vergütung nach dem Data Act. Es wird um Beiträge von einem breiten Spektrum von Interessengruppen gebeten. Die Entwicklung von Leitlinien für eine angemessene Vergütung sei entscheidend für die wirksame Umsetzung des Datenrechts, um sicherzustellen, dass es seine Ziele der Förderung der Datenwirtschaft bei gleichzeitiger Wahrung von Fairness und Wettbewerb erreicht. Eine Studie zu dem Thema findet sich hier. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.11.2 Webinar „Personenbezug bei KI-Modellen“ -neu-

15.07.2025, 12:30 – 13:30 Uhr, online: In einer Vielzahl von Unternehmen kommen mittlerweile die unterschiedlichsten KI-Modelle zum Einsatz. Sei es direkt in einem KI-System (bspw. ChatGPT oder MS Copilot), oder sei es über eine Programmierschnittstelle (API) zu einer unternehmenseigenen Anwendung. Auch wenn der Fokus weiterhin auf generativen KI-Modellen liegt, ist in allen Fällen die Frage zu klären, ob und inwieweit die Anforderungen des Datenschutzrechts (insbesondere der DS-GVO) zu beachten sind. Daher gibt es in dieser Stunde des Angebots einer Kanzlei eine kurze Einführung zu den datenschutzrechtlichen Grundlagen beim Einsatz von KI, die Bewertung des Personenbezugs bei KI-Modellen und Anwendungsbeispiele und Stolperfallen in der Konsequenz. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.11.3 Gesellschaft Hamburger Juristen: (Grund-)Recht by Design -neu-

16.07.2025, ab 18:00 Uhr, Hamburg, Plenarsaal des Hanseatischen Oberlandesgerichts: Internet, Digitalisierung und Durchsetzung des Rechts. Ein moderner Weg, um dem Recht effektiv zur Wirkung zu verhelfen, besteht darin die rechtlichen Anforderungen von Anfang an in die Gestaltung von Systemen, Technik und Infrastrukturen einfließen zu lassen. Dieser Ansatz nennt sich „By Design“. Die Gesellschaft Hamburger Juristen lädt zum Vortrag „(Grund-)Recht by Design – warum es (nicht) funktionieren kann“ der Landesbeauftragten für Datenschutz Schleswig-Holstein und Leiterin des Unabhängigen Landeszentrums für Datenschutz (ULD) ein. Natürlich besteht Gelegenheit zu Fragen und eigenen Beiträgen im Rahmen der Diskussion. Weitere Informationen dazu hier.

zurück zum Inhaltsverzeichnis

5.11.4 Datenschutzsprechstunde des HmbBfDI: „Datenschutz im Verein“ -neu-

22.07.2025, 13:00 – 14:30 Uhr, Hamburg: „Die Einhaltung des Datenschutzes im Verein gewährleisten” – Das klingt kompliziert, muss es aber nicht sein. In dieser Sprechstunde des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit werden die wichtigsten Fragen angesprochen und gezeigt, wie Sie Mitgliederdaten sicher und einfach verwalten. Es erwartet die Teilnehmenden ein kurzer Überblick zum Thema Datenschutz im Verein und viel Raum und Zeit für Fragen. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.11.5 DatenTag: Ein Grundrecht für die Gesellschaft

16.09.2025, 10:00 – 16:00 Uhr, Berlin und online: Das Grundrecht auf Datenschutz ist von essenzieller Bedeutung. Denn es schützt die Rechte und Freiheiten von Menschen vor Beeinträchtigungen durch öffentliche oder kommerzielle Akteure.
Viele Erwartungen lasten auf dem Datenschutz, doch zugleich hat er in der öffentlichen Wahrnehmung einen schweren Stand: Es geht wenig darum, was der Datenschutz ermöglicht. Debatten drehen sich eher darum, was er ausbremst. Dabei will der Datenschutz die Digitalisierung gar nicht verhindern, sondern in Bahnen lenken, die individuelle und gesellschaftliche Belange respektieren. Darum geht es in dieser Veranstaltung. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.11.6 Konferenz der Plattform Lernende Systeme: „KI & WIR – Zukunft verantwortlich gestalten“

30.09.2025, 10:00 Uhr – 17:00 Uhr, Berlin: Im Bereich der Künstlichen Intelligenz (KI) herrscht international eine nie dagewesene Dynamik – befördert durch rasante technologische Entwicklungen und milliardenschwere Investitionen. Deutschland sei als Pionier der KI-Forschung seit vielen Jahren gut aufgestellt und international vernetzt. Dabei nutze nicht nur die hiesige Wissenschaft, sondern zunehmend auch die deutsche Wirtschaft – von Start-ups über KMU bis hin zu Großunternehmen – die Potentiale von KI. Zugleich stellen sich im globalen Wettbewerb zentrale Fragen: Wohin entwickeln sich die Technologien und ihre Anwendungen? Wie können Deutschland und Europa dauerhaft mit den USA und China auf Augenhöhe kooperieren und konkurrieren – und zugleich werteorientiert handeln? Wie bleiben wir technologisch souverän? Und wie wollen wir als Gesellschaft von KI unterstützt werden? Dazu diskutieren KI-Expertinnen und -Experten aus Wissenschaft, Wirtschaft, Politik und Gesellschaft auf der Konferenz der Plattform Lernende Systeme unter dem Titel „KI & WIR – Zukunft verantwortlich gestalten“. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 Wie digital muss Bildung sein?

Um diese Frage ging es in dem Hörbeitrag im Deutschlandfunk (Dauer ca. 51 Min.).

zurück zum Inhaltsverzeichnis

6.2 bitkom zum Verbot von digitalen Endgeräten an hessischen Schulen

In Hessen sind künftig digitale Endgeräte für Schüler untersagt, es sei denn, es wird eine Ausnahme gestattet, auch der Einsatz von Laptops und Tablets für den Unterricht ist nur noch durch Ausnahmeregelungen möglich (Bericht dazu hier). Der bitkom findet das nicht so toll: Statt pauschaler Verbote brauche es Konzepte zur Integration digitaler Medien und eine systematische Förderung von Medienkompetenz. Lehrkräfte müssten ermutigt und befähigt werden, digitale Technologien didaktisch sinnvoll einzusetzen – und sollten nicht durch gesetzliche Hürden abgeschreckt werden. Konkreter wird aber selbst der bitkom nicht.

zurück zum Inhaltsverzeichnis

6.3 Online-Altersverifikation durch Google mit der Sparkasse

Die Sparkassen engagieren sich beim Online-Altersnachweis, wie durch Google informiert wird. Das Fehlen eines zuverlässigen Standards für sichere und effektive Altersnachweise online auf Websites und in Apps ist seit langem eine Herausforderung für Eltern und Unternehmen. Nun hat Google mit der Sparkasse mit ihren mehr als 50 Millionen Kunden eine Partnerschaft angekündigt, die hier Abhilfe schaffen soll. Diese Partnerschaft soll es Kund*innen ermöglichen ihr Alter online sicher und vertraulich mit einem vertrauenswürdigen, von ihrer Sparkasse ausgestellten Altersnachweis zu verifizieren. Apps und Websites erhalten dadurch die Möglichkeit ausschließlich altersverifizierte Nutzer*innen zuzulassen – und, was entscheidend ist, Kinder und Jugendliche vor Inhalten zu schützen, die nicht für sie geeignet sind. Diese Lösung lasse sich direkt in Android und Chrome integrieren und ermögliche nahtlose Altersnachweise mit nur einem Klick auf unterstützten Websites und Apps, und ermöglicht gegebenenfalls sogar völlig neue Dienste — alles ohne persönliche Informationen preiszugeben. Dies wird verfügbar sein in den kommenden Monaten. Na dann.

Franks Nachtrag: Darüber wird auch bereits berichtet.

zurück zum Inhaltsverzeichnis

6.4 Meta für europaweite „digitale Volljährigkeit“

In der Diskussion eines Verbots für Social Media“ für Kinder und Jugendliche unterstützt nun Meta die Idee einer EU-weiten digitalen Volljährigkeit, wie hier berichtet wird. Das Unternehmen reagiere damit auf eine Initiative von Frankreich, Spanien und Griechenland, die das Konzept vorantreiben. Solche Regelungen sollten aber nicht nur Social-Media-Plattformen betreffen, sondern auch Gaming, Streaming, Messaging und Browsing. Teenager nutzen nach Erkenntnissen von Meta durchschnittlich 40 Apps pro Woche.

zurück zum Inhaltsverzeichnis

6.5 Umfrage für Konsequenz bei europäischer Regulatorik

Wie hier über eine Umfrage in Frankreich, Deutschland und Spanien berichtet wird, sind zwei Drittel der befragten Personen der Meinung, dass Europa Gesetze gegen Big-Tech-Unternehmen durchsetzen sollte, auch wenn dies den Beziehungen zu Trump schadet. Nur 13 bis 14% befürworten das Gegenteil. Weitere Ergebnisse der Umfrage und Charts dazu finden sich hier (Link auf Google-Drive).

zurück zum Inhaltsverzeichnis

6.6 Meta und Werbung auf WhatsApp – und Möglichkeiten zu wechseln

Die Entscheidung von Meta, Werbung in WhatsApp einzuführen, hat dem Wettbewerb im Bereich der sicheren Nachrichten neuem Auftrieb gegeben, wie hier berichtet wird. Wer sich neutral über Messenger informieren will, kann auch mal wieder hier bei der Messenger-Matrix (wir berichteten) vorbeischauen.

zurück zum Inhaltsverzeichnis

6.7 BRH: Unzureichender Schutz der Cybersicherheit auf Bundesebene

Der Bundesrechnungshof (BRH) hat sich mit der Cybersicherheit des Bundes befasst und einen Bericht verfasst. Der Prüfungsschwerpunkt lag auf der Resilienz der stattlichen Kernfunktionen und ihrer kritischen Infrastrukturen in Staat und Verwaltung. Der Bericht wurde nun hier veröffentlicht. Kurz gesagt, es ist tatsächlich so schlimm wie erwartet.
Kernaussagen aus dem Bericht: Die Informationstechnik des Bundes ist nicht bedarfsgerecht geschützt. Haushaltsmittel alleine schaffen keine Cybersicherheit. Die Bundesregierung muss die Cybersicherheitsstrategie neu ausrichten, Cybersicherheitsmaßnahmen zentral steuern und die Cybersicherheitsarchitektur reformieren. Dafür benötigt sie überprüfbare Ziele und ein wirksames Controlling. Die Bundesregierung muss ermitteln, was nachgewiesen der Cybersicherheit dient. Nur dies darf sie finanzieren.
Der BRH stellt z.B. fest (Seite 8), dass die Cybersicherheitsarchitektur auf Bundesebene derzeit 77 Akteure ausweist und die Zahl der staatlichen Akteure seit Jahren ansteigt. Die Bundesregierung wollte daher die Cybersicherheitsarchitektur überprüfen und diese anpassen. Dies sei bisher unterblieben, obwohl es hierzu konkreten Anlass gibt. So stellte der BRH bei Prüfungen eine fehlende oder unzureichende Zusammenarbeit der Akteure der Cybersicherheitsarchitektur fest. Inwieweit jeder Akteur, z. B. das Nationale Cyber-Abwehrzentrum, einen Mehrwert für die Cybersicherheit erbringt, ist nicht nachgewiesen. Verteilte Zuständigkeiten im Bereich KRITIS führten zu bürokratischen Belastungen der Wirtschaft und zu Ineffizienz. Bei Bedrohungslagen könnten die Akteure an einem schnellen und abgestimmten Handeln gehindert sein. Auch sind die neuen europäischen Richtlinien zur Cyber- und zur physischen Sicherheit von KRITIS noch nicht in nationales Recht umgesetzt. Diese werden sich erheblich auf die Cybersicherheitsarchitektur auswirken.

Franks Nachtrag: Hier ist noch ein weiterer Bericht dazu.

zurück zum Inhaltsverzeichnis

6.8 Umfrage zu Technologieunternehmen und öffentlichem Bereich

Das Ada Lovelace Institute hat eine hat eine parlamentarische Untersuchung über die Beteiligung des Privatsektors an der Gestaltung der Regierungspolitik in Bezug auf die Beschaffung und den Einsatz von KI durch den öffentlichen Sektor gefordert. In seinem neuen Policy Briefing Paper stellt es fest, dass es in der Öffentlichkeit Bedenken hinsichtlich der Macht und der Gewinne von Technologieunternehmen im öffentlichen Dienst gibt, die sich auf Sorgen über Unternehmen erstrecken, die Daten von öffentlichen Stellen nutzen, um KI-Modells zu trainieren.
In einer Umfrage, die mit dem Alan Turing Institut durchgeführt wurde, gaben 83 % der Befragten an, dass sie darüber besorgt sind. In dem Papier werden auch Bedenken hinsichtlich der schnellen Integration von KI in wichtige Regierungsfunktionen und -infrastrukturen sowie unzureichender Regulierungsbefugnisse für die Unternehmen geäußert. Interessant fand ich auch diese Aussagen: Die Öffentlichkeit wünsche sich eine Regulierung der Nutzung von Daten und KI und erwarte vertrauenswürdige Governance-Strukturen. Zweiundsechzig Prozent der Befragten der Ada-Turing-Umfrage 2023 sprachen sich für „Gesetze und Verordnungen aus, die bestimmte Nutzungen von Technologien verbieten und den Einsatz aller KI-Technologien regeln“. Bis 2025 hat dieser Anteil zugenommen: 72 Prozent der Befragten gaben an, dass Gesetze und Vorschriften sie mit KI vertrauter machen würden (im Text zu Fußnoten 62 – 64). Mehr dazu im Link oben und hier.

zurück zum Inhaltsverzeichnis

6.9 Mag keiner, braucht jeder: Bürokratie

Schön, wenn es bei dem allgemeinen, undifferenzierten Gejammer zur Entbürokratisierung auch Stimmen gibt, die das Ganze wieder ins Verhältnis setzen. Wo wären wir ohne Bürokratie und ohne „Recht und Ordnung“? Warum Bürokratie für den Rechtsstaat und die Demokratie unverzichtbar ist und wie sie historisch entstanden ist, kann anschaulich und sogar unterhaltsam im Deutschlandfunk-Podcast „Bürokratie: Mag keiner, braucht jeder“ (Dauer ca. 48 Min.) anhören.

zurück zum Inhaltsverzeichnis

6.10 Schweiz: Smartphone-Verbote an Schulen

Auch in der Schweiz wird ein Smartphone-Verbot an Schulen diskutiert (in diesem Podcast mit 23. Min. Dauer, nicht wundern, das klingt kryptisch, ist aber nur schwizerdütsch). Die hier verlinkten Beiträge sehen ein Verbot eher kritisch.

zurück zum Inhaltsverzeichnis

6.11 Zahlen mit Daten – auch bei Bargeld?

Dass Zahlen mit Bargeld kann auch ein Aspekt eines „überwachungsfreien Lebens“ sein, wird dabei doch nicht dokumentiert, wer für was Geld ausgibt. Doch wir kennen auch (hoffentlich nur aus Krimis!), dass „nicht durchnummerierte Scheine“ gerne verlangt werden, um nicht rückverfolgt werden zu können. Doch nicht nur bei der Verfolgung von gezahltem Bargeld an Kriminelle kann der Lauf des Geldes nachverfolgt werden. Damit befasst sich dieser Beitrag, der das „Cycle-Cash Visibility and Collaboration“ erklärt.

zurück zum Inhaltsverzeichnis

6.12 Digitale Souveränität – Appell für die Freiheit

Unter dem Titel „Frei sein: Digitale Souveränität individuell gedacht“ wird hier in einem Blog-Beitrag anschaulich zusammengetragen, worum es bei der digitalen Selbstbestimmung geht. Ausgehend von den Auswirkungen der aktuellen Gestaltung und Nutzung von Social Media wird anschaulich beschrieben, wie alle ihre eigenen Möglichkeiten zur digitalen Selbstbestimmung gestalten können.

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 Freie Rede – und Gegenrede

Im Frühjahr wurde ein Blog-Beitrag veröffentlicht, der sich kritisch mit der Meinungsfreiheit in Europa befasst. Das ist eigentlich nichts besonderes, doch vor dem Hintergrund einiger Aussagen führender Politiker aus den USA scheint eine Gegenposition erforderlich – und die findet sich nun hier.

zurück zum Inhaltsverzeichnis

7.2 KI-Souveränität und weitere Buzzwörter – auch zur Cloud von Microsoft

Es gibt gerade im IT-Umfeld etliche Wörter, die als Buzzwort bezeichnet werden, weil sie andere gleich triggern. [Ein Buzzword (das) ist ein Begriff, der in der Öffentlichkeit oder in bestimmten Fachkreisen besonders in Mode ist oder besondere Relevanz hat. Buzzwords sind die Begriffe, die „in aller Munde“ sind und die häufig in Diskussionen, Medienberichten und Marketingkampagnen verwendet werden.]
Und genau darum geht es u.a. in diesem Spotify-Podcast / YouTube-Video (Dauer ca. 43 Min.) mit der Leiterin der Regulierungspolitik bei Microsoft. Sie wird zur aktuellen Strategie bei Microsoft / den typischen Buzzwörtern im Umfeld der KI-Souveränität befragt (ab Min. 7) und erklärt diese (ab Min 15 zu aktuellen Aussagen). Auch wenn der Moderator, ein Digital Content Creator, zugibt sich Fragen gepromptet zu haben, ist vieles hörenswert!

zurück zum Inhaltsverzeichnis

7.3 Plattformregulierung und digitale Souveränität

In dieser Gesprächsrunde von Journalisten im Sender Phoenix wurde die Macht der Tech-Milliardäre thematisiert. In den ca. 44 Minuten geht es auch um deren Einfluss auf gesellschaftliche Entwicklungen und die Demokratie.

zurück zum Inhaltsverzeichnis

7.4 Technikakzeptanzforschung zu älteren Personen

Warum schneiden ältere Menschen in der Forschung zu Digitalkompetenzen häufig schlecht ab? Ein Einblick in aktuelle Studien zur Technikakzeptanz von KI gibt mögliche Antworten. Eine Erklärung dazu geben die Ergebnisse dieser Studie. So wird bei dem Umgang älterer Menschen mit einzelnen KI-basierten Anwendungen und vernetzten Systemen (z.B. smarte Lautsprecher, assistive Technologien, Smart Home) beobachtet, dass zum Untersuchungsbeginn bei den älteren Teilnehmer:innen eine große Neugier und Offenheit besteht. Doch im weiteren Studienverlauf zeigte sich, dass Ältere immer weniger Freude daran haben mit einem konkreten Gerät zu interagieren, obwohl sie zumeist von einer positiven Nutzungserfahrung berichten. Der abnehmende Spaß kann nicht unmittelbar auf eine mangelnde Unterstützung zurückgeführt werden, denn die Älteren erhalten vorab Schulungen in der Gerätebedienung und können während des Untersuchungszeitraums auf Materialien und technische Beratungsangebote zurückgreifen.
Studien legen nahe, dass es am Design von assistiven Technologien liegt: Zu viel Fokus auf Nutzeffekt, zu wenig für die Sinne und soziale Interaktionen. Dabei können KI-gesteuerte Lernplattformen dabei helfen Ältere im Umgang mit der elektronischen Patientenakte (EPA) zu schulen. Doch Lust darauf, die EPA auch zukünftig zu nutzen, machen sie dennoch nicht. Daher gibt es die Empfehlungen zu mehr alterssensible Technologien und Bildungsangebote, wie die Beteiligung Älterer an der Entwicklung von Technologien und Bildungsangeboten.

zurück zum Inhaltsverzeichnis

7.5 Ohne Moderation mehr Hass im Netz

Der Verzicht auf die Moderation von Inhalten in Onlinediensten hat nach den Beobachtungen der US-amerikanischen Organisation Anti-Diffamierungs-Liga (ADL) zu einer „Explosion von Hass“ geführt, wie hier berichtet wird. In den USA haben große Online-Unternehmen seit dem Wahlsieg von Donald Trump bei der Präsidentenwahl 2024 die Moderation und Überprüfung von Inhalten auf ihren Plattformen zurückgefahren. So beendete Meta-Chef Mark Zuckerberg etwa ein umfassendes Faktencheck-Programm in den USA.

zurück zum Inhaltsverzeichnis

7.6 Destruktive Kräfte oder Reaktionär. Generationen, Zeitgeister und Zukunft

Wieso sind wir gegen Veränderungen, auch wenn wir wissen, dass sie erforderlich sind? Was bei der Digitalisierung drängt, drängt bei Umwelt und Diversität auch. Daher passt auch dieser Vortrag auf YouTube (Dauer ca. 30 Min), der sich mit erforderlichen Veränderungen zwischen „digitalem Mittelalter und illusionärem Fortschritt“ befasst.

zurück zum Inhaltsverzeichnis

7.7 Vielfalt in Geschlechtern – und Vielfalt bei den Ausreden

In den USA reduzieren oder verzichten Anwaltskanzleien (auf) ihr Engagement bei DEI (Diversity, Equity, Inclusion), um nicht Aufträge und das Wohlwollen der aktuellen Regierung zu verlieren. Manche Kanzlei kündigen an sich den Erwartungen nicht zu beugen, wie hier. Bei manchen überrascht es, insbesondere bei denen, die durch den Cum-Ex-Skandal nicht als Stützen einer rechtskonformen Gesellschaft in Erinnerung geblieben sind. Doch auch hier bleibt es dann nach diesen Recherchen doch irgendwie erwartungskonform.

zurück zum Inhaltsverzeichnis

7.8 Conni-Memes nicht grenzenlos

Viele kennen Conni aus ihrer Kindheit oder der ihrer Kinder. Das gut gelaunte Mädchen mit dem gestreiften Pullover aus der Familie, in der alle Probleme erklärt und gelöst werden, begleitete viele Kinder im Alltag. Nun können mittels KI auch Memes mit Conni hergestellt werden. Doch wie sieht die rechtliche Lage dazu aus? Damit befasst sich dieser Blog-Beitrag.

Franks Nachtrag: Der Carlsen-Verlag hat sich per Klarstellungen dazu geäußert.

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 Ein Kommentar zu den neuen Smartglasses

Muss ich außer der Überschrift noch mehr schreiben, um Ihr Interesse zu wecken? Testen wir es:
Smartglass Ray-Ban Meta: Dauerüberwachung im Sonnenbrillengehäuse

zurück zum Inhaltsverzeichnis

8.2 MIT Just Completed the First Brain Scan Study of ChatGPT Users and the Results Are Terrifying

Ach ja, auch hier muss ich nicht viel schreiben, klicken Sie einfach.

zurück zum Inhaltsverzeichnis

8.3 Fahrenheit 451, irgendjemand?

Nein, nicht der Roman, dieses Unternehmen … 🤦🏼‍♂️

zurück zum Inhaltsverzeichnis

8.4 Get more than you expect …

Wie lautet ein aktueller Werbeclaim einer großen Fastfoodkette? Get more than you expect. Meinten die da wirklich die Bewerbungsunterlagen?

zurück zum Inhaltsverzeichnis

9. Die guten Nachrichten zum Schluss

9.1 Nicht wegsehen

Wie hier berichtet wird gibt es in den USA eine App, die vor Einsätzen der ICE-Behörde warnt. ICE (Immigration and Customs Enforcement) ist die Behörde, die die Abschiebungen von Personen umsetzt, die ohne offizielle Aufenthaltserlaubnis – teilweise schon seit Jahren – in den USA leben. De Bericht zufolge dominiert die App ICEBlock nun Spitzenplätze bei den Downloadzahlen. Laut dem Entwickler gehe es nicht darum Konfrontationen zu fördern, sondern diese zu vermeiden. Dabei würden keine personenbezogenen Daten gesammelt, alles laufe anonym ab.
Und im Gegensatz zu sonstigen Verlautbarungen sieht die Trump-Administration hier keinen Fall der Meinungsäußerung, sondern eine Behinderung der Justiz.

zurück zum Inhaltsverzeichnis

9.2 Entfernung von intimen Aufnahmen für Personen unter 18 Jahren

Viele junge Menschen teilen intime Bilder, ob freiwillig oder unter Druck, und wenn diese Inhalte im Netz landen, fehlt oft das Wissen, was dagegen unternommen werden kann. Mit dem Online-Tool „Take It Down“ soll Jugendlichen geholfen werden freizügige und intime Aufnahmen anonym aus dem Internet entfernen zu lassen – weltweit und kostenlos. Das National Center for Missing & Exploited Children entwickelte das Tool und möchte damit ein hilfreiches Angebot im Bereich des digitalen Kinder- und Jugendmedienschutzes bereitstellen. Zu den gesuchten Bildern werden über deren Hashwert andere Veröffentlichungen gesucht. Dabei soll das eingestellt Bild das Gerät der suchenden Person nicht verlassen.

zurück zum Inhaltsverzeichnis