Hier ist der 31. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (Spätsommer 2025)“ – Die DVD-Edition.
Das war jetzt mal eine längere Pause. Aber nun haben Sie wieder reichlich Lesestoff. Falls Sie also die letzten zwei Monate nicht alles mitbekommen haben, dann kann dieser Blog-Beitrag Ihnen vielleicht noch ein paar Lücken schließen.
Und bevor Sie es verpassen: Am 10.10.2025 möchten Sie diese Meldung lesen.
- Aufsichtsbehörden
- EDPS: Nutzung von Microsoft 365 durch EU-Kommission möglich
- Beschwerde zum Wahlvorgang des EDPS
- EDPS: Serie Data Protection ExPLAINed zu Datenschutzgrundsätzen
- BfDI: Etat der BfDI im Bundeshaushalt 2026
- BfDI: Weiteres Vorgehen zu Facebook Fanpages & Tipps zu sozialen Netzwerken
- Berlin: Kostenlose Berichtigung bei Geschlechtsanpassung
- LfDI Baden-Württemberg: Anforderungen an Videoüberwachung an öffentlichen Plätzen
- LfDI Baden-Württemberg: Elektronische Patientenakte, Gesundheitsdaten und EHDS
- LfDI Baden-Württemberg: KI in der Schule
- LfDI Baden-Württemberg: Podcast mit „Datenzirkus“
- LfDI Baden-Württemberg: ONKIDA 2.0 – Übersicht zu Aussagen zu Datenschutz und KI
- Hamburg: „Pride Week“ und Datenschutz
- Hamburg: Anwendbarkeit von Vorgaben der KI-Verordnung ab 2. August 2025
- Hamburg: Hinweis auf noch nicht benannte Marktüberwachungsbehörden
- Hessen: HBDI veröffentlicht Programmcode auf OpenCode.de
- LfDI Mecklenburg-Vorpommern: Ferientipps der Ferienscouts
- LfDI Mecklenburg-Vorpommern: Durchführung unangekündigter Kontrollen
- LfDI Mecklenburg-Vorpommern: Warnung vor Phishing-Mails
- LfD Niedersachsen: Hinweise zum Schwärzen
- LfD Sachsen-Anhalt: Weiterverkaufte Retourenpakete und der Datenschutz
- STDB Sachsen: Schulstart in Sachsen – Hinweise bei Fotografieren und Filmen
- Schulanfang und Datenschutz (Fotografieren und Filmen)
- CNIL: Öffentliche Konsultation zum Empfehlungsentwurf zu Webfilter-Gateways
- CNIL: Zum Nutzen eines DSB – Analyse der Umfrageergebnisse
- CNIL: Betrug bei Gehaltsüberweisungen – Wie reagieren und was tun?
- CNIL: Empfehlungen zu KI und DS-GVO
- Dänemark: Eröffnung eines Büros in Grönland
- Italien: Speicherdauer von medizinischen Daten nach Training für einen Algorithmus
- Italien: Untersuchungen zum Datenabzug in Unterkunftsbetrieben
- Irland: Leitfaden zum Schutz gefährdeter (vulnerabler) Erwachsener
- Kroatien: Bußgelder gegen Krankenhäuser wegen Verstößen gegen die DS-GVO
- Kroatien: Informationen zum Schutz personenbezogener Daten bei KI
- Liechtenstein: Rechte an geklonten Stimmen?
- Luxemburg: Aufruf zur Bewerbung für die Teilnahme an der RE.M.I-Initiative
- Niederlande: Leitlinien für sinnvolle menschliche Intervention bei algorithmischen Entscheidungen
- Österreich: Anpassung der behördlichen Leistungen
- Österreich: Unzureichende Information wirkt sich auf Rechtsgrundlage aus
- Spanien: Vorherige Konsultation beim Einsatz biometrischer Systeme zur Authentifizierung
- Spanien: Einsatz probabilistischer oder estimativer Methoden
- Spanien: Keine Ausweiskopie bei Beherbergungsbetrieben
- Spanien: Drohnen und der Datenschutz
- Schweden: DSFA bei KI?
- Schweden: Flightradar24 und der Datenschutz
- Schweiz: Untersuchung zu Stimmerkennung zur Authentifizierung
- Schweiz: Tätigkeitsbericht für 2024 der DSB des Kantons Bern
- Kath. Datenschutzzentrum Würzburg: Nutzung alternativer Social-Media-Dienste
- Deutschland: Kritik an den Aufsichtsbehörden – und an denjenigen, die sie ausstatten
- BSI: Bias in KI
- BSI: Sicheres Gaming und Onlinekonten schützen
- BSI: KRITIS in Zahlen
- BSI: Design Principles for LLM-based Systems with Zero Trust
- BSI: Aktionskampagne zu sicheren E-Mails
- BNetzA: Aufsichtstätigkeit zum DSA
- Rechtsprechung
- EuGH: Aussage zur Unverzüglichkeit und zu Fristvorgaben (C-665/23)
- BVerfG: Zulässigkeit der staatlichen Überwachung der Telekommunikation
- Verfassungsbeschwerde durch „White Hacker“
- BGH: Anforderungen an immateriellen Schadenersatz nach rechtswidrigem Schufa-Eintrag
- BGH: EuGH-Vorlage zu Auskunftsanfragen gegenüber Gericht nach Bußgeldverfahren
- BGH: Verstößt ein Werbeblocker (Plug-in für Webbrowser) gegen das Urheberrecht?
- BGH: Anforderungen an Art. 82 DS-GVO
- BGH: Strafrechtliche Abgrenzung bei unerlaubter Nutzung intimer Bildaufnahmen
- BGH-Vorlage an EuGH zur urheberrechtlichen Relevanz von Hyperlinks
- BFH: Auskunftsanspruch umfasst auch interne Vermerke, etc.
- BFH: Auskunftsrechte gegenüber Finanzbehörde und Ausnahmen von Betroffenenrechten
- BFH: Zulässigkeit der Klageänderung auf Auskunft neben Akteneinsichtsrecht
- OLG München: Nachweispflichten und Anforderungen bei Schadenersatz nach Art. 82 DS-GVO
- OLG Frankfurt: Kein Kontaktdatenzwang bei Kauf einer Fahrkarte der Deutschen Bahn
- OLG Karlsruhe: Aufgaben von DSB gegenüber betroffenen Personen
- OLG Schleswig-Holstein: Anforderungen an Eilbedürftigkeit bei Eilanträgen (Meta)
- LAG Düsseldorf: Zuständigkeit bei Auskunftsbegehren eines Bewerbers im kirchlichen Umfeld
- LAG Baden-Württemberg: Datenschutzrechtliche Anforderungen im BEM
- LG Darmstadt: Zur Zulässigkeit von Werbeaussagen mit sog. Emotionsansprachen
- VG Bremen: Dauer einer nachvertraglichen Datennutzung für Werbezwecke
- LG München I: Konkretisierung zum Fernunterrichtsschutzgesetz
- AG Frankfurt: Personenbezug nur bei tatsächlicher Verknüpfung
- AG Nürnberg: Geltendmachung eines Schadenersatzanspruchs nach Art. 82 DS-GVO
- LG Dortmund: Ablehnung der Auskunftsrechte wegen Rechtsmissbrauchs
- LG Berlin: Haftung von Plattformbetreibern nach Art. 16 DSA
- Open Source heißt nicht rechtsfrei
- Interdiözesanes Datenschutzgericht: Unzulässiges Löschen
- BVwG Österreich: Anforderungen an „Pay or Consent“
- OLG Linz: Haftung bei Rechnungsmanipulation
- Franz. Verfassungsgerichtshof: Verpflichtung der CNIL auf Verbot der Selbstbelastung hinzuweisen?
- Oberstes Verwaltungsgericht Estland: Anforderungen an die Abwägung bei Videoüberwachung
- Amsterdam: Untersagung des KI-Trainings durch Meta
- EuGH-Vorschau: Anforderungen an immateriellen Schadenersatz (C-273/25)
- EuGH-Vorschau: Verwendung biometrischer Daten bei der Strafverfolgung (C-371/24)
- EuGH-Vorschau: Urteil zum TADPF (T-553/23)
- EuGH-Vorschau: Nachweispflichten und Anonymität (C-413/23)
- EuGH-Vorschau: Anspruch auf Unterlassung datenschutzrechtswidriger Weiterleitungen (C-655/23)
- EuGH-Vorschau: Gestaltungsoptionen bei Art. 85 DS-GVO (C-199/24)
- EuGH-Vorschau: Befugnis einer Datenschutzaufsicht Beschwerden abzuweisen (C-414/24)
- EuGH-Vorschau: Amtliche Entscheidungen und Verjährungsfristen (C-21/24)
- EuGH-Vorschau: Fragen zu internen Ermittlungen (C-312/24)
- EuGH-Vorschau: Schadenersatzansprüche bei unzureichender Auskunft? (C-526/24)
- EuGH-Vorschau: Anwendbarkeit der DS-GVO auf Angaben zu Dopingverstößen
- European Data Case Law Tracker
- Gesetzgebung
- NIS2: Bundeskabinett stimmte zu
- Wissenschaftlicher Dienst des Europäischen Parlaments zur Vorratsdatenspeicherung
- Gesetzliche Regelungen für politische Online-Werbung
- Kritik am GPAI Code of Practice
- Europäisches Parlament: Briefing zu Generative AI und Copyright
- Europäisches Parlament: Studie über KI und zivilrechtliche Haftung
- BMI: Entwürfe zu Videoüberwachung und Gesichtserkennung
- bitkom: Verbesserungsvorschläge für die KI-VO
- EU: Vorlage für die Zusammenfassung der für das Training von KI-Modellen verwendeten Inhalte
- Omnibus IV – Working Documents der Mitgliedsstaaten
- EU: Vorschläge zum Minderjährigenschutz nach dem DSA – Stellungnahme der BzKJ
- EU: Übersicht der Gesetzgebungsaktivitäten im digitalen Sektor
- EU-Parlament: Gutachten zu Generative KI und Copyright
- EU-Kommission: Gesetzgebungsverfahren zu einem „Digital Fairness Act“
- EU-Entgelttransparenzrichtlinie
- BMI: Sicherheitspaket und Biometriepläne
- DORA: Technische Regulierungsstandards
- Vorbereitet auf den Data Act?
- Normung zum Data Act: „Vertrauenswürdige Datentransaktionen“
- Brauchen wir mehr Digitalgesetzgebung?
- Schleswig-Holstein: Impulse für Deutschland-Stack
- Zendis: „Souveränitäts-Washing bei Cloud-Diensten erkennen“
- EU: Neuer Entwurf für UK-Angemessenheitsbeschluss
- USA: Freiheit zu lügen und zu hetzen?
- Künstliche Intelligenz und Ethik
- KI-VO: Was änderte sich zum 2. August 2025
- Schweizer Pilot Studie: Digital Trust
- Einsatz von KI in Behörden der EU
- Niedersachsen: Pilotierung von MAKI (Massenverfahrensassistenz mithilfe von KI)
- Datenschutzrechtliche Anforderungen und Webscraping
- USA: Änderungen in der AI-Regulatorik
- MIT et. al.: KI-Risikominderungstaxonomie
- Schweiz: KI in der medizinischen Dokumentation
- UNESCO: Playbook for Red Teaming Artificial Intelligence for Social Good
- KI: Erklärbarkeit und Audit
- KI und Meinungsfreiheit
- Podcast zu KI und Jurist:innen
- KI bevorzugt KI
- DIN SPEC 91512:2025-09 Fairness von KI-Anwendungen im Finanzsektor
- KI und Nachrichten
- KI und Desinformation – und wie gegengesteuert werden kann
- Schall und Rauch: Renditen von KI-Programmen
- KI und personenbezogenen Daten in LLM
- KI, Trainingsdaten und Personenbezug
- LLM und „Recht auf Vergessenwerden“
- McKinsey: Seizing the agentic AI advantage
- Podcast: KI in der Verwaltung
- KI und Wettbewerbsrecht
- USA: KI-Klage gegen Unternehmen
- Klage in USA wegen Aufzeichnung von Videocalls
- OWASP: State of Agentic AI Security and Governance
- KI, Agenten und der Algorithmus
- KI-VO und Einsatz von KI an Hochschulen
- WhatsApp ohne Meta-KI?
- Veröffentlichungen
- DStV: Zehn Thesen zu generativer KI in der Steuerberatung
- Microsoft: Recall-Funktion kommt nach Deutschland
- Erkämpft und verhasst – Die Geschichte des Datenschutzes
- Jahresbericht des Wissenschaftlichen Zentrums für Informationstechnik-Gestaltung
- Klage wegen erfolgreichem Social Engineering und Zugangsfreigabe
- Erfolgreiche Ermittlungen gegen Cyberkriminelle
- noyb: Bericht zu Argumenten zu „Pay or Okay”
- GDD-Kurzpapier zu Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit
- Zuverlässigkeit der Sub-Dienstleister, heute: Microsoft
- Europäische digitale Souveränität – oder was?
- Besprechung des Urteils des OLG Köln zu KI-Training von Meta
- Besprechung der EuGH-Rechtsprechung zur Interessensabwägung
- EAID: Diskussion Zentralisierung der Aufsichten
- Neues Rechtsinformationssystem (NeuRIS)
- Fragen der datenschutzrechtlichen Verantwortlichkeit bei intelligenten Geräten
- Podcast zu Grenzen des Auskunftsrechts
- WLAN-Signale und Identifizierung
- Podcast mit Urteilsbesprechungen
- Privates Register für Verhaltensregeln und Zertifikate
- Abmahnmodell mit kostenlosem Generatoren für Datenschutzerklärungen
- Verträge und Cyberangriffe
- Handlungsempfehlungen zur Sicherheit bei Microsoft-Anwendungen
- Business Judgment Rule
- KI-Kompetenz – auch mal kritisch
- Veranstaltungen
- Gesellschaft für Informatik: „Anonymisierung und Pseudonymisierung“ -neu-
- LfDI Baden-Württemberg: Fest der digitalen Freiheit -neu-
- EDPS und Goethe-Universität Frankfurt: „Secure Multi-Party Computation“ (SMPC) -neu-
- Universität Kassel „Digitale Gesellschaft – Eine Gestaltungsaufgabe“ (Wintersemester 2025 / 2026) -neu-
- IHK Schwaben: KI-Prüfung aus Sicht der Datenschutzaufsicht -neu-
- LfDI Baden-Württemberg: KI-Woche – „Wer/wem nutzt KI?“ -neu-
- Neues Datenrecht: Pflicht zum Teilen von (personenbezogenen) Daten -neu-
- Daten mit echter Wirkung: Regulatorische Gestaltungsspielräume smart nutzen -neu-
- Gesellschaftspolitische Diskussionen
- VZ NRW: Erfahrungen bei KI-Training bei Facebook und Instagram
- ChatGPT-Guide für Lehrkräfte
- Warn-App Nina: Bevölkerungsschutz
- DLF: Bedroht der DSA die Meinungsfreiheit?
- DLF: DSA und Justiz mit KI
- Medienerziehungsstile im digitalen Zeitalter
- Soziale Medien und die psychologische Gesundheit von Kindern und Jugendlichen
- Stiftung Datenschutz: Themenseite zur “Privatsache“
- Sonstiges / Blick über den Tellerrand
- Desinformationen erkannt bzw. leicht gemacht
- Privacy ReClaim: Klagen gegen Meta und Google
- Bildungswende in Teilen Skandinaviens
- FSM zum Jugendmedienschutz
- Digitalsteuer … in Italien
- Sharenting: Klagerecht für Kinder
- Ethik macht Klick. Meinungsbildung in der digitalen Welt
- Meta und Diversität
- Metas KI und Minderjährige
- Praxis-Guide Bildrechte
- Franks Zugabe
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDPS: Nutzung von Microsoft 365 durch EU-Kommission möglich
Der europäische Datenschutzbeauftragte informiert, dass es nun möglich sei, dass Microsoft 365 durch die EU-Kommission genutzt werden könne, nachdem seine im März 2024 beanstandeten Mängel behoben wurden. Er habe die EU-Kommission darüber am 11. Juli 2025 informiert.
Bezüglich der Zweckbindung habe die EU-Kommission bei der Nutzung von Microsoft 365 ausdrücklich die Arten der verarbeiteten personenbezogenen Daten und die Zwecke der Verarbeitung angegeben. Durch aktualisierte vertragliche, technische und organisatorische Maßnahmen wurde sichergestellt, dass Microsoft und Unterauftragsverarbeiter Daten ausschließlich auf der Grundlage dokumentierter Anweisungen und nur für bestimmte Zwecke im öffentlichen Interesse verarbeiten. Auch sei sichergestellt, dass die Weiterverarbeitung innerhalb des Europäischen Wirtschaftsraums (EWR) gemäß den Rechtsvorschriften der EU oder der Mitgliedstaaten oder außerhalb des EWR im Einklang mit den Rechtsvorschriften von Drittländern erfolgt, die ein Schutzniveau gewährleisten, das dem im EWR im Wesentlichen gleichwertig ist.
Zudem habe die EU-Kommission auch bei der Übermittlung in Drittländer die spezifischen Empfänger und Zwecke festgelegt, für die personenbezogene Daten bei der Nutzung von Microsoft 365 übermittelt werden dürfen, und die Einhaltung von Art. 47 der Verordnung (EU) 2018/1725 sichergestellt. Ergänzt werde dies durch technische und organisatorische Maßnahmen der EU-Kommission und von Microsoft, wodurch die Möglichkeit von Übermittlungen in Drittländer, die nicht unter einen Angemessenheitsbeschluss fallen, eingeschränkt wird. Übertragungen außerhalb der EU / des EWR sind nun gemäß Art. 50 Abs. 1 lit. d der Verordnung (EU) 2018/1725 auf Länder beschränkt, die im geänderten Vertrag aufgeführt sind, und stützen sich entweder auf Angemessenheitsbeschlüsse oder auf die Ausnahmeregelung aus wichtigen Gründen des öffentlichen Interesses. Die EU-Kommission hat auch Microsoft und ihren Unterauftragsverarbeitern diesbezüglich verbindliche Weisungen erteilt.
Durch zusätzliche vertragliche Bestimmungen werde sichergestellt, dass nur das EU-Recht oder das Recht der Mitgliedstaaten vorschreiben könne, dass Microsoft oder seine Unterauftragsverarbeiter es unterlassen die EU-Kommission über Offenlegungsersuchen für personenbezogene Daten, die bei der Nutzung von Microsoft 365 durch die Kommission im EWR verarbeitet werden, zu unterrichten, oder dass sie diese Daten offenlegen. Für Daten, die außerhalb des EWR verarbeitet werden, kann dies nach dem Recht eines Drittlands erforderlich sein, sofern es einen im Wesentlichen gleichwertigen Schutz bietet. All dies ergänzt die bestehenden technischen und organisatorischen Maßnahmen der EU-Kommission und von Microsoft für personenbezogene Daten, die innerhalb und außerhalb des EWR verarbeitet werden.
Angesichts der ergriffenen Maßnahmen habe sich die Sachlage gegenüber der im Beschluss des EDPS vom 8. März 2024 geprüften Sachlage erheblich geändert. Infolgedessen hat der EDPS festgestellt, dass die festgestellten Verstöße behoben wurden, und hat daher sein Durchsetzungsverfahren eingestellt. Nach der Darstellung des EDPS hat die EU-Kommission die jüngsten Verbesserungen der inter-institutionellen Lizenzvereinbarung mit Microsoft anderen Organen, Einrichtungen und sonstigen Stellen der EU, die Microsoft 365 im Rahmen dieses Vertrags abschließen, zur Verfügung gestellt.
Natürlich wird diese Informationen unterschiedlich bewertet: Von der Darstellung, die deutschen Datenschutzaufsichtsbehörden sollten sich zeitnah dieser Auffassung anschließen, bis hin zur kritischen Betrachtung (wie hier) lassen sich die Reaktionen einordnen.
1.2 Beschwerde zum Wahlvorgang des EDPS
Wir hatten schon über die Dissonanzen zur Wahl des EDPS berichtet. Nun gibt es dazu eine offizielle Beschwerde, wie hier berichtet wird. Die EU-Kommission soll einen Kandidaten bevorzugt haben. Dieser sieht weiterhin die Möglichkeit, dass er in einer neuen Funktion andere Ansichten vertreten könne als bisher, wie er hier zitiert wird.
1.3 EDPS: Serie Data Protection ExPLAINed zu Datenschutzgrundsätzen
Um den Einstieg in die Thematik des Datenschutzes zu vereinfachen, erinnert der EDPS an seine Serie kurzer Videoclips zur Erläuterung relevanter Datenschutzgrundsätze. Dies umfasst Rechtmäßigkeit, Rechenschaftspflicht und Vertraulichkeit; Datenminimierung und Zweckbindung; Speicherbegrenzung, Datengenauigkeit und Interoperabilität; individuelle Datenschutzrechte und besondere Kategorien und automatisierte Entscheidungsfindung, Übertragungen und Datenschutzverletzungen.
1.4 BfDI: Etat der BfDI im Bundeshaushalt 2026
Die Eckpunkte für den Etat 2026 der BfDI wurden veröffentlicht. Im Regierungsentwurf für den Bundeshaushalt 2026 (21/600) sind für die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ausgaben in Höhe von 52,2 Millionen Euro vorgesehen. Damit liegt der Ansatz im Einzelplan 21 um rund 4,8 Millionen Euro über dem Regierungsentwurf 2025 (21/500).
Die Personalausgaben sollen 33,7 Millionen Euro betragen, ein Plus von 2,8 Millionen Euro. Für sächliche Verwaltungsausgaben sind 12,1 Millionen Euro eingeplant (+ 2,0 Millionen Euro). Die Zuweisungen und Zuschüsse bleiben mit 4,9 Millionen Euro unverändert. Für Investitionen sieht der Entwurf unverändert 1,5 Millionen Euro vor.
1.5 BfDI: Weiteres Vorgehen zu Facebook Fanpages & Tipps zu sozialen Netzwerken
Die BfDI hat angekündigt gegen die Entscheidung des VG Köln in die nächste Instanz an das OVG Münster zu gehen. Dabei gibt sie auch in einer Handreichung Hinweise zur Nutzung sozialer Netzwerke durch öffentliche Stellen des Bundes.
Für die Verarbeitung personenbezogener Daten bedarf es auch innerhalb sozialer Medien einer Rechtsgrundlage. Bei öffentlichen Stellen des Bundes könnten die Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c DS-GVO oder eine Aufgabenwahrnehmung im öffentlichen Interesse gemäß Art. 6 Abs. 1 lit. e DS-GVO, jeweils in Verbindung mit dem jeweiligen Informationsauftrag gegenüber der Öffentlichkeit, in Betracht kommen. Eine Einwilligung sieht sie aufgrund eines Machtungleichgewichts kritisch.
Auch müssen öffentliche Stellen bei der Nutzung sozialer Netzwerke den Grundsatz der Transparenz gemäß Art. 5 Abs. 1 lit. a DS-GVO wahren. Das bedeute, dass sie die personenbezogenen Daten der Betroffenen in einer für diese nachvollziehbaren Weise verarbeiten und diese gemäß Art. 13 DS-GVO zum Zeitpunkt der Erhebung dieser Daten umfassend informieren müssten. Auch die übrigen datenschutzrechtlichen Grundsätze seien selbstverständlich einzuhalten. Ebenso sei zu prüfen, ob bei einem hohen Risiko eine Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO durchzuführen sei.
Bei der Nutzung sozialer Netzwerke müssten gemäß Art. 25 DS-GVO (Data Protection by Design und by Default) hinreichende technische und organisatorische Schutzmaßnahmen getroffen und alle Einstellungen so vorgenommen werden, dass Endnutzende und Beschäftigte bestmöglich bei der Nutzung eben dieser sozialen Netzwerke geschützt sind. Dies könne – je nachdem, welches datenschutzrechtliche Risiko von einem sozialen Netzwerk ausgeht – z.B. die Abschaltung der Statistik-Funktion, die Deaktivierung der Verarbeitung sensibler Daten von Endnutzenden und z.B. von Standortdaten, die Vereinfachung der Ausübung von Betroffenenrechten sowie die Deaktivierung von KI-Training mit Daten von Endnutzenden umfassen, sofern der Betreiber der sozialen Netzwerke auf diese Vorgänge Einfluss nehmen kann. Verarbeitungsintensive Zusatzfunktionen wie Gewinnspiele, Direktwerbung und Widgets sollten nicht aktiviert sein.
Soziale Medien dürften von öffentlichen Stellen des Bundes nur als Parallelmedium genutzt werden, d.h. sie sollten keine exklusiven Informationen anbieten. Bürgerinnen und Bürger müssten die Möglichkeit, Informationen auch über andere Kanäle zu erhalten, haben. Gleiches gelte z.B. auch für Stellenanzeigen und Veranstaltungsankündigungen.
Ergänzend verweist die BfDI auf Veröffentlichungen des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg, der dazu auch aktuell seine Anforderungen behördliche Nutzung „Sozialer Netzwerke“, Richtlinien zur Nutzung von Sozialen Netzwerken durch öffentliche Stellen (2017, überarbeitet 2020) und weitere Informationen und Checklisten, wie zu TikTok, anbietet.
1.6 Berlin: Kostenlose Berichtigung bei Geschlechtsanpassung
Die Berliner BfDI weist in einer Pressemeldung darauf hin, dass Berichtigungen aufgrund einer Geschlechtsanpassung und des Vornamens nach dem SBGG kostenlos vorgenommen werde müssen.
1.7 LfDI Baden-Württemberg: Anforderungen an Videoüberwachung an öffentlichen Plätzen
Was sind die Voraussetzungen für eine Videoüberwachung an öffentlichen Plätzen, wie einem Busbahnhof? Der LfDI Baden-Württemberg sagt laut diesem Bericht, dass eine abstrakte Gefährdung vorliegen müsse, um diesen Eingriff zu rechtfertigen, die liege aber laut Kriminalstatistik an diesem konkreten Platz nicht vor. Der verantwortliche Oberbürgermeister meint: Mir egal. Entschieden werden soll im Herbst 2025. Eventuell müsse dann ein Gericht klären, ob der parteilose OB auch datenschutzrechtlich ahnungslos sei oder in diesem Fall Recht bekomme. Ausführungen des LfDI Baden-Württemberg dazu hier.
1.8 LfDI Baden-Württemberg: Elektronische Patientenakte, Gesundheitsdaten und EHDS
In diesem Interview äußert sich der LfDI Baden-Württemberg zur elektronischen Gesundheitsakte, zu Gesundheitsdaten und zum European Health Data Space (EHDS).
1.9 LfDI Baden-Württemberg: KI in der Schule
In dieser Podcast-Folge (Dauer ca. 52 Min.) befasst sich der LfDI Baden-Württemberg mit einer Bildungsforscherin über die Chancen und Risiken beim Einsatz von Künstlicher Intelligenz in Bildungsbereich. KI kann Bildungsbiografien stärken und zugleich Lehrkräfte bei der Arbeit unterstützen. Damit dies gelingen kann, braucht es unter anderem eigens für den Schulbereich angepasste Tools und einen (selbst-)bewussten Umgang mit diesen. In einem digitalen Kompetenzzentrum und einem Bildungslabor könnten diese Tools für die Praxis entwickelt werden.
1.10 LfDI Baden-Württemberg: Podcast mit „Datenzirkus“
Wieder durfte der Datenzirkus zu Gast beim LfDI Baden-Württemberg sein. Die Aufnahme mit den ShowNotes findet sich hier.
1.11 LfDI Baden-Württemberg: ONKIDA 2.0 – Übersicht zu Aussagen zu Datenschutz und KI
Bereits mit seiner Liste als Orientierungshilfen Navigator KI und Datenschutz (ONKIDA) Version 1.0 im Sommer 2024 hatten der LfDI Baden-Württemberg und sein Team es geschafft die jeweiligen Aussagen unterschiedlicher Aufsichtsbehörden zu KI übersichtlich zusammenzutragen (wir berichteten). Nun gibt es eine aktualisierte Fassung in der Version 2.0. Es ist auch einiges passiert seitdem, der EDSA hat eine Opinion veröffentlicht, die DSK sich zu TOM geäußert und die CNIL… aber sehen Sie selbst, die ONKIDA-Liste findet sich hier.
1.12 Hamburg: „Pride Week“ und Datenschutz
Sexuelle Selbstbestimmung und informationelle Selbstbestimmung haben eine Schnittmenge: den Datenschutz. So weist der HmbBfDI auch darauf hin, dass der Grundsatz der Datenrichtigkeit die geschlechtliche Identität betrifft.
Natürlich haben Änderungen des Geschlechts auch Folgen für die Datenrichtigkeit und Betroffene können die (in der Regel kostenlose) Berichtigung der Daten erwirken. Er erinnert auch daran, dass eine Geschlechterabfrage für Vertragserfüllung häufig nicht notwendig sei und verlinkt die entsprechenden rechtlichen Grundlagen.
1.13 Hamburg: Anwendbarkeit von Vorgaben der KI-Verordnung ab 2. August 2025
Der HmbBfDI weist darauf hin, dass ab dem 2. August 2025 erstmals konkrete Pflichten für die Anbieter von Basis-Modellen für künstliche Intelligenz, sogenannte General-Purpose AI (GPAI) greifen, die generativen KI-Systemen wie ChatGPT zugrunde liegen.
Für GPAI-Modelle, die nach dem 2. August 2025 in Verkehr gebracht werden, müssen Anbieter
- Dokumentationen erstellen,
- sich zur Einhaltung des EU-Urheberrechts erklären,
- eine detaillierte Zusammenfassung über die genutzten Trainingsdaten veröffentlichen,
- Informationen über deren Funktionsweise zur Verfügung stellen,
- besonders leistungsfähige Modelle mit systemischem Risiko auf Schwachstellen und Risiken testen und
- schwerwiegende Sicherheitsvorfälle melden,
Zur Umsetzung dieser Vorgaben habe die EU-Kommission bereits Leitlinien veröffentlicht.
Eine große Stärkung erfahren dadurch Unternehmen und Behörden, die GPAI-Modelle in ihre eigenen KI-Systeme integrieren. Sie können nun von den Modellanbietern aktiv Informationen einfordern, die für ihre eigene Compliance unerlässlich sind. Durch die neuen Regeln können sie die von ihnen eingesetzten GPAI-Modelle besser bewerten, Risiken minimieren und damit auch datenschutzrechtliche Sorgfaltspflichten erfüllen.
Die neuen Pflichten gelten für alle GPAI-Modelle, die nach dem 2. August 2025 auf den europäischen Markt kommen. Für Modelle, die bereits vor diesem Stichtag verfügbar waren, haben die Anbieter eine Übergangsfrist bis zum 2. August 2027.
Das bei der Kommission angesiedelte AI Office kann bereits ab August 2025 Untersuchungen einleiten und Korrekturmaßnahmen verlangen. Die Befugnis zur Verhängung von Bußgeldern und anderen Sanktionen durch die Kommission greife jedoch erst ein Jahr später, ab dem 2. August 2026.
1.14 Hamburg: Hinweis auf noch nicht benannte Marktüberwachungsbehörden
Bis zum 2. August 2025 sind die EU-Mitgliedsstaaten verpflichtet zuständige Marktüberwachungsbehörden für die Aufsicht über die KI-Verordnung zu benennen. Der HmbBfDI appelliert an die Bundesregierung, die von der KI-Verordnung vorgesehenen KI-Marktüberwachungsbehörden, zu denen jedenfalls für Teilbereiche auch die Datenschutzaufsichtsbehörden gehören, nun zügig zu benennen. Bislang sei das in Deutschland nicht erfolgt.
Die KI-Verordnung enthalte bereits viele Vorgaben für sektorale Marktaufsichtsbehörden. So sei in Art. 74 Abs. 8 KI-VO geregelt, dass die Datenschutzaufsichtsbehörden für die Marktüberwachung von Hochrisiko-KI-Systemen in besonders grundrechtssensiblen Bereichen wie Strafverfolgung, Migration und Justiz zuständig sind. Offen sei unter anderem noch, welche Behörden für den darüber hinaus gehenden Einsatz von KI-Produkten im öffentlichen Sektor, beispielsweise im Schulbereich, zuständig sein werden.
1.15 Hessen: HBDI veröffentlicht Programmcode auf OpenCode.de
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat Programmcode auf der Plattform OpenCode.de veröffentlicht. Bei dem Programm handelt es sich um ein Werkzeug zum Auffinden personenbezogener Daten in großen Datenmengen. Das Werkzeug hat der HBDI im Rahmen der Untersuchung von Ransomware-Angriffen entwickelt. Bei derartigen Angriffen veröffentlichen die Angreifer erbeutete Daten häufig im Darknet oder drohen mit einer Veröffentlichung, um von der angegriffenen verantwortlichen Stelle ein „Lösegeld“ zu erpressen. Sofern die betroffene datenverarbeitende Stelle in die Zuständigkeit des HBDI fällt, muss dieser im Fall einer Veröffentlichung personenbezogener Daten überprüfen, ob die betroffene Stelle eine Datenpannen-Meldung gemäß Art. 33 DS-GVO abgeben und gegebenenfalls betroffene Personen gemäß Art. 34 DS-GVO benachrichtigen muss.
Die erbeutete Datenmenge kann dabei üblichen Ransomware-Angriffen mehrere 100 Gigabyte umfassen.
Doch nicht nur der HBDI befasst sich mit der Überprüfung: Oft sind die angegriffenen Systeme bei den Verantwortlichen historisch gewachsen, manchmal auch schlecht dokumentiert. Auch den Verantwortlichen fällt es daher im Fall eines Angriffs häufig schwer eine Aussage dazu zu treffen, welche Daten betroffen sind. Das veröffentlichte Werkzeug des HBDI kann die Beantwortung dieser Frage erleichtern. Es durchsucht Datenmengen nach typischen Mustern oder Wörtern, die einen Personenbezug nahelegen könnten, wie beispielsweise Rentenversicherungsnummern oder Stichwörter wie „Abmahnung“.
Damit auch Verantwortliche oder andere Aufsichtsbehörden dieses Werkzeug nutzen können, hat der HBDI es auf der Plattform OpenCode.de veröffentlicht. Diese wird vom Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) betrieben, das als Unternehmen dem Bundesministerium des Innern gehört. Die Veröffentlichung erfolgt unter der Open Source-Lizenz EUPL 1.2, sodass eine Weiternutzung möglich ist. Hier geht es zum Programmcode.
1.16 LfDI Mecklenburg-Vorpommern: Ferientipps der Ferienscouts
Auf der Seite des LfDI Mecklenburg-Vorpommern geben die Medienscouts Tipps nicht nur für Gleichaltrige zur Ferienzeit.
1.17 LfDI Mecklenburg-Vorpommern: Durchführung unangekündigter Kontrollen
Was nutzen Powerpoint-Vorträge und Informationen auf den Webseiten? Das wahre Leben ist außerhalb – und so besucht der LfDI MV unangekündigt Behörden und sieht nach, inwieweit hier grundsätzliche Schutzmaßnahmen greifen und bekannt sind, Sei es, dass versucht wird, in nicht-öffentlich zugängliche Bereiche zu gelangen, ohne sich auszuweisen. Im Zuge dessen wurde auch im Rahmen einer Sichtkontrolle überprüft, ob Arbeitsplätze beim Verlassen gesperrt werden und damit ein Zugang von Unbefugten verhindert wird. Dabei beschränkt sich die Kontrolle nicht auf die bloßen Zutritts- und Zugriffsmöglichkeiten. Es werden auch gezielt Maßnahmen und Dokumente wie Datenschutz- oder Sicherheitskonzepte, Verfahrensverzeichnisse oder Auftragsverarbeitungsverträge abgefragt. IT-Systeme und Netzwerke können kontrolliert, Räumlichkeiten inspiziert und Verantwortliche sowie Beschäftigte befragt werden. Mehr dazu hier.
1.18 LfDI Mecklenburg-Vorpommern: Warnung vor Phishing-Mails
Der LfDI Mecklenburg-Vorpommern warnt vor Phishing-Mails. Er nimmt wahr, dass sich derzeit Phishing-Kampagnen per E-Mail häufen, bei denen gezielt gefälschte Bank- oder Providerseiten eingesetzt werden, um an persönliche Daten zu gelangen. Diese Angriffe zielten nicht nur auf technische Schwächen ab, sondern direkt darauf menschliches Verhalten zu beeinflussen. So werde Neugier geweckt oder psychischer Druck aufgebaut.
Die Angriffsmethoden hätten sich weiterentwickelt. KI-generierte E-Mails, perfekt imitierte Sprache in Sprachnachrichten oder täuschend echte Deepfakes machten es selbst erfahrenen Personen schwer Betrugsversuche zu erkennen. Kombiniert mit ausgeklügeltem Social Engineering zielten diese Angriffe nicht nur auf technische Schwächen, sondern direkt darauf menschliches Verhalten zu beeinflussen. Er empfiehlt folgende Sicherheitsmaßnahmen:
- Immer vorsichtig sein beim Erhalt von unerwarteten Nachrichten, vor allem dann, wenn zur Eingabe persönlicher Daten aufgefordert wird.
- Enthaltene Links können überprüft werden, indem man mit der Maus über den Link fährt. Dadurch wird die tatsächliche URL angezeigt, die dann entsprechend verifiziert werden kann. Wer sich das nicht zutraut, kann die URL auch mit Link-Checker oder URL-Checker prüfen lassen.
- Gerade bei Banken-Links sollten lieber die verifizierten Links als Favoriten oder Lesezeichen im Browser angelegt und immer nur über diese die entsprechenden Seiten angesteuert werden.
- Grundsätzlich sind sichere Authentifizierungsmethoden – beispielsweise die Zwei-Faktor-Authentifizierung (2FA) – ein wichtiger Schutz für Konten und Daten. Diese sollten, wann immer möglich, eingerichtet werden. Die Zwei-Faktor-Authentifizierung erfordert dabei neben dem Passwort einen zweiten unabhängigen Identitätsnachweis, wie z. B. einen Code aus einer App, eine Push-Benachrichtigung oder einen biometrischen Scan.
1.19 LfD Niedersachsen: Hinweise zum Schwärzen
Auch in Niedersachsen gibt es (wie in Sachsen oder Liechtenstein) Hinweise zum Schwärzen von Dokumenten, hier auch als PDF.
1.20 LfD Sachsen-Anhalt: Weiterverkaufte Retourenpakete und der Datenschutz
Die LfD Sachsen-Anhalt informiert in einer Pressemitteilung, dass sie auf die datenschutzrechtlichen Probleme bei weiterverkaufte Retourenpakete hinweist: Secret Packs und Mystery Boxen können persönliche Daten der ursprünglichen Paketempfängerinnen und -empfänger enthalten. Der Inhalt von Retourenpaketen kann viel über den Absender oder die Absenderin verraten und beim Weiterverkauf der Pakete ihre Privatsphäre gefährden. Namen und Kontaktdaten auf der Verpackung oder dem Lieferschein in Kombination mit dem Inhalt, zum Beispiel aus der Erotikabteilung, können so an völlig Fremde gelangen. Von solchen Fällen erfuhr die Landesbeauftragte für den Datenschutz Sachsen-Anhalt und nahm dies zum Anlass für eine Datenschutzprüfung. Sie hat Händler in Sachsen-Anhalt beraten und sieht das Problem vor allem bei großen Versandzentren, von denen die Retourenpakete stammen.
1.21 STDB Sachsen: Schulstart in Sachsen – Hinweise bei Fotografieren und Filmen
Was die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) in Sachsen Eltern und Lehrkräfte hinsichtlich Fotografieren und Filmen empfiehlt, kann auch außerhalb Sachsens beachtet werden: Die Recht der aufgenommen Personen zu respektieren – selbst wenn es die eigenen Kinder sind.
Rechtlich auf der sicheren Seite sind Eltern und Angehörige, wenn sie nur das eigene Kind fotografieren. Werden die Bilder weitergegeben, zum Beispiel an Freunde oder Verwandte, ist das unproblematisch.
Gleiches gilt für Bilder, auf denen auch andere Kinder zu sehen sind, solange die Aufnahmen nur innerhalb des Familien- und Freundeskreises gezeigt werden. Sollen die Aufnahmen allerdings in sozialen Netzwerken, auf öffentlichen Websites oder für einen größeren Nutzerkreis außerhalb des familiären Umfelds zugänglich gemacht werden, ist eine Einwilligung der betroffenen Personen notwendig.
Wollen Lehrkräfte sowie andere von der Schule beauftragte Dritte Bildaufnahmen von Schülerinnen und Schülern anfertigen – und diese beispielsweise auf der Schulwebsite veröffentlichen – muss dafür eine Einwilligung der Sorgeberechtigten vorliegen. In Sachsen könnten grundsätzlich auch Kinder ab dem 14. Lebensjahr selbst zustimmen, sofern sie die ausreichende Einsichtsfähigkeit besitzen. Eine Einwilligung ist ebenfalls bei Tonmitschnitten erforderlich.
Franks Nachtrag: Sie möchten hier weiterlesen.
1.22 Schulanfang und Datenschutz (Fotografieren und Filmen)
Einige Landesdatenschutzaufsichtsbehörden nehmen den Schulanfang zum Anlass, um auf die rechtlichen Aspekte beim Fotografieren und Filmen anlässlich dieses familiär oft bedeutsamen Ereignisses hinzuweisen. So empfiehlt die LfD Sachsen-Anhalt für Verwendungszwecke außerhalb des familiären Bereichs die Einwilligung der abgebildeten Personen einzuholen und verweist auf ein ausführlicheres Dokument zu diesem Thema. Auch in NRW bietet die LDI breit angelegte Informationen zu der Thematik an.
Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) ergänzt dies auch um Informationen, die sich an Schulen richten (siehe hier). Die Berliner BfDI hat sogar eine eigene Broschüre zum Thema Datenschutz bei Bild-, Ton und Videoaufnahmen, die sich an Kindertageseinrichtungen richtet. Der LfDI Rheinland-Pfalz unterhält zu diesem Thema eine FAQ-Liste.
Franks Nachtrag: Natürlich haben wir mittlerweile ein Themenspezial zu (u.a.) genau diesem Thema.
1.23 CNIL: Öffentliche Konsultation zum Empfehlungsentwurf zu Webfilter-Gateways
Die französische Datenschutzbehörde CNIL startete eine öffentliche Konsultation zu ihrem Empfehlungsentwurf zu Webfilter-Gateways. Sie möchte damit Cybersicherheitslösungen fördern, die sowohl in ihrer Verwendung als auch in ihrer Konzeption mit der DS-GVO konform sind. Zu diesem Zweck legte sie ihren Empfehlungsentwurf zur Konsultation vor, um Datenverantwortliche, die Webfilter-Gateways einsetzen, und deren Anbieter zu unterstützen. Bis 30. September 2025 konnten Rückmeldungen eingereicht werden.
1.24 CNIL: Zum Nutzen eines DSB – Analyse der Umfrageergebnisse
Die CNIL hat die wirtschaftlichen Vorteile untersucht, die mit der Benennung eines Datenschutzbeauftragten (DSB) in Unternehmen verbunden sind. Die Analyse zeigt, dass dies insbesondere für Unternehmen von Vorteil ist, die einen positiven Ansatz zur Einhaltung der DS-GVO verfolgen. Auf Ersuchen des Ministeriums für Arbeit, Beschäftigung und Gesundheit hat die Association pour la formation professionnelle des adultes (AFPA) im Januar 2024 die vierte Ausgabe ihrer statistischen Umfrage unter DSB durchgeführt. Anhand der 3.625 Antworten lässt sich ableiten, welche wirtschaftlichen Vorteile ein Unternehmen durch die Benennung eines DSB hat, unabhängig davon, ob diese Bestellung vorgeschrieben ist oder nicht.
Ergänzend zu dieser Studie hat die CNIL qualitative Interviews mit zehn DSB geführt, die von der Association française des correspondants à la protection des données (AFCDP, französischer Verband der Datenschutzbeauftragten) vorgeschlagen wurden. Diese bestätigen die Interpretation der Ergebnisse des Fragebogens. Aus den Antworten auf den Fragebogen gehe hervor, dass es verschiedene Arten von Vorteilen im Zusammenhang mit der Funktion des DSB gibt: Hebelwirkung bei Ausschreibungen, Vermeidung von Sanktionen, Vermeidung von Datenlecks und Rationalisierung der Datenverwaltung. Diese Vorteile werden jedoch nicht von allen Unternehmen mit DSB wahrgenommen. Die statistische Analyse zeigt, dass diese Vorteile eher von großen Unternehmen und von Unternehmen wahrgenommen werden, die sich am stärksten für die Einhaltung der DS-GVO engagieren und die Einhaltung eher als Hebel denn als Einschränkung betrachten. 36 % der Datenschutzbeauftragten sind in kleinen Unternehmen tätig, in denen die Einhaltung der Vorschriften als Hebel angesehen wird: Dies ist die größte Gruppe unter allen befragten Unternehmen. Insgesamt sind 58 % der DSB in Organisationen tätig, in denen die Einhaltung der Vorschriften positiv bewertet wird. Die Analyse zeigt keinen deutlichen Zusammenhang zwischen der Größe des Unternehmens und der Wahrnehmung der Compliance. Die beiden am stärksten vertretenen Branchen sind „Forschung, IT und Beratung” sowie „Banken, Versicherungen und Versicherungsvereine auf Gegenseitigkeit” mit 24 % bzw. 17 % der DSB der Stichprobe, die in Unternehmen dieser Branchen tätig sind. Die Benennung eines DSB sei ein wichtiger Vertrauensfaktor in Ausschreibungsverfahren, insbesondere wenn es um die Verarbeitung personenbezogener Daten geht. Dies zeuge davon, dass die Bewerber die Compliance-Anforderungen berücksichtigen. Der DSB sei für den Auftraggeber während der gesamten Leistungserbringung ein wertvoller Ansprechpartner (Dokumentation der Verarbeitungen, Ausarbeitung von Unterauftragsverpflichtungen, beratende Funktion usw.). Ein DSB erklärte beispielsweise, dass sein Unternehmen nach der Einführung einer Strategie zur Förderung der Compliance seine Chancen, Ausschreibungen zu gewinnen, um die Hälfte gesteigert habe. 42 % der im Rahmen der Umfrage befragten DSB gaben ebenfalls an, diesen Vorteil zu sehen, und unter denjenigen, die aktiv konsultiert werden, sind es sogar 50 %.
1.25 CNIL: Betrug bei Gehaltsüberweisungen – Wie reagieren und was tun?
Die französische Datenschutzbehörde CNIL veröffentlicht regelmäßig Beispiele für Datenschutzverletzungen, die auf realen Fällen basieren, um zu unterstützen, Risiken zu verstehen und besser vorzubeugen. Das hier beschriebene Beispiel spiegelt einen realen Fall wider, den ein Verantwortlicher für die Datenverarbeitung erlebt hat. Dabei geht es um einen Identitätsdiebstahl, durch den ein Arbeitgeber Gehaltszahlungen auf ein unberechtigtes Konto überwies.
1.26 CNIL: Empfehlungen zu KI und DS-GVO
Die CNIL veröffentlicht ihre neuesten KI-Merkblätter, in denen sie die Anwendbarkeit der DS-GVO auf Modelle, die Sicherheitsanforderungen und die Bedingungen für die Annotation von Trainingsdaten präzisiert.
Die Veröffentlichung umfasst die Ergebnisse der Konsultation zu Empfehlungen zur Sicherheit bei der Entwicklung von KI-Systemen sowie die Ergebnisse eines Fragebogens zur Anwendung der DS-GVO auf KI-Modelle. Es findet sich aber auch eine Checkliste mit datenschutzrechtlichen Punkten, die sie aus ihren Empfehlungen ableitet.
1.27 Dänemark: Eröffnung eines Büros in Grönland
Die dänische Datenschutzaufsicht kündigt an, ein Büro mit drei Vollzeitstellen zu eröffnen. Die Einrichtung erfolge im Rahmen der gerade veröffentlichten Nachricht, dass die Regierung den Justizbereich in Grönland mit mehr als 850 Millionen DKK stärken will. Auch bestünde ein großer Bedarf an mehr Beratung zu den grönländischen Datenschutzvorschriften. Eine Vertretung vor Ort gebe auch bessere Möglichkeiten, um die besonderen Gegebenheiten in Grönland zu verstehen und Bürger, Unternehmen und Behörden dabei zu unterstützen die grönländischen Datenschutzvorschriften in die Praxis umzusetzen.
1.28 Italien: Speicherdauer von medizinischen Daten nach Training für einen Algorithmus
Die italienische Aufsicht Garante befasst sich mit Fragen der Zweckfestlegung, Zweckbindung Speicherbegrenzung im Umfeld von Gesundheitsdaten, die sich beim Training eines Algorithmus ergeben.
Ein Unternehmen entwickelte einen DNN-Algorithmus zur Erkennung, Isolierung, Klassifizierung von bestimmten Tumorzellen („CellFind“). Die Trainingsdaten wurden im Fall der Myelom-Patienten von einem bulgarischen Dienstleister über eine Vereinbarung nach Art. 28 DS-GVO in pseudonymisierter Form bereitgestellt. Dort war die Grundlage einwilligungsbasiert.
Die festgelegten und kommunizierten Zwecke waren:
- developing a new instrument (“Product”) able to enrich and stain Circulating Tumor Cells in order to count them. […].;
- developing algorithms using machine learning technology for image analysis that support the healthcare professionals in the diagnosis or prognosis determination by introducing faster and easier methods for tumor cell identification.“
Eine sich anschließende Kommerzialisierung wurde lt. Unternehmen nicht benannt, da CellFind keine personenbezogenen Daten enthalte, auf die Käufer/Nutzer zugreifen könnten. Das Produkt war noch als RUO (für Research Use Only) eingestuft.
Problematisiert wurde die 25-jährige Speicherdauer. Begründung des Unternehmens:
„This term is calculated on the basis of the product lifecycle (5 years for development, 15 years for commercialization, 5 years for disposal). The time limit may also be extended if necessary to fulfil regulatory obligations (eg, under [Art. 10 (7) MDR] which provides for the retention of the data in the technical documentation for a period of 10 years from the placing on the market of the last device covered by the EU declaration of conformity, whichever is higher than the first time limit).“
Warum 25 Jahre eine nicht zweckentsprechende Löschfrist sei, begründet die Garante u.a. damit, dass die sich bei einer Zulassung als MD/IVD (Medical Device / In Vitro Diagnostic) anschließende Kommerzialisierung nicht von der Einwilligung gedeckt sei. Die Löschfrist hat sich am originär kommunizierten Zweck der Forschung auszurichten. Zur Transparenz zieht die GPDP in ihren Ausführungen unter Ziffer 4.3 die EDPB Opinion 28/2024 heran:
„Bei der Überprüfung des Zwecks der Verarbeitung in einer bestimmten Entwicklungsphase sollten die Aufsichtsbehörden von den Verantwortlichen ein gewisses Maß an Detailgenauigkeit und eine Erklärung dazu erwarten, wie diese Details den Zweck der Verarbeitung beeinflussen. Dies kann beispielsweise Informationen über die Art des entwickelten KI-Modells, seine erwarteten Funktionen und jeden anderen relevanten Kontext umfassen, der zu diesem Zeitpunkt bereits bekannt ist. Der Kontext der Bereitstellung könnte beispielsweise auch umfassen, ob ein Modell für die interne Bereitstellung entwickelt wird, ob der Verantwortliche beabsichtigt, das Modell nach seiner Entwicklung an Dritte zu verkaufen oder zu vertreiben, einschließlich der Frage, ob das Modell in erster Linie für Forschungs- oder kommerzielle Zwecke eingesetzt werden soll“ (vgl. EDSA Stellungnahme 28/2024 Rn. 65; vgl. auch ErwGr 67 KI-VO zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz).“
[keine amtliche Übersetzung]
Sie verhängte ein Bußgeld in Höhe von 21.000 Euro. Zusammenfassung dazu hier.
1.29 Italien: Untersuchungen zum Datenabzug in Unterkunftsbetrieben
Die italienische Aufsicht Garante kündigt an, die Fälle des Datenabzugs von Dokumenten aus Beherbergungsbetrieben (siehe vorherige Meldung) zu untersuchen. Es habe sie bereits Meldungen von Hotels dazu erreicht. Auf der anderen Seite empfiehlt die Behörde Beherbergungsbetrieben, die noch keine Meldung gemacht haben, jede Anomalie unverzüglich zu melden, um unverzüglich Maßnahmen zum Schutz der Vertraulichkeit der Daten zu ergreifen und, wie gesetzlich vorgeschrieben, die betroffenen Kunden über etwaige Verstöße zu informieren. Die Garante schlägt auch vor, dass diejenigen, die den Verdacht haben, dass ihre Dokumente illegal gestohlen wurden, eine Bestätigung über das Nicht-betroffen-sein von den Einrichtungen verlangen, in denen sie sich aufgehalten haben. Schließlich werden die Betreiber von Beherbergungsbetrieben aufgefordert die sicheren Methoden der Datenverarbeitung durch die Nutzung des Portals „Lodged web“ zu nutzen, das der IT-Infrastruktur der Staatspolizei zugeordnet ist.
1.30 Irland: Leitfaden zum Schutz gefährdeter (vulnerabler) Erwachsener
Die irische Aufsicht veröffentlichte eine Handreichung zum Schutz gefährdeter erwachsener Personen („Toolkit“). Das Toolkit bietet umfassende Leitlinien zur Erhebung, Verwendung, Speicherung und Weitergabe von Daten schutzbedürftiger (vulnerabler) Erwachsener unter Einhaltung der Grundsätze der DS-GVO und des irischen Datenschutzgesetzes von 2018. Es enthält praktische Ratschläge, Vorlagen und Beispiele, die Organisationen bei der Umsetzung wirksamer Datenschutzmaßnahmen unterstützen sollen.
Was sind nun „gefährdete“ erwachsene Personen? Das Glossar dazu klärt auf: Mit einer gefährdeten erwachsenen Person (At-Risk Adult) ist eine Person gemeint, die aufgrund ihrer körperlichen oder geistigen Verfassung oder anderer besonderer persönlicher Merkmale oder familiärer oder lebensbedingter Umstände (unabhängig davon, ob diese dauerhaft sind oder nicht) in einer prekären Lage ist und / oder gefährdet ist und Unterstützung benötigt, um sich zu einem bestimmten Zeitpunkt vor Schaden zu schützen. Diese Liste sei nicht erschöpfend, kann jedoch Personen umfassen, die unter körperlichen oder geistigen Beeinträchtigungen leiden (z. B. kognitive Beeinträchtigungen, Demenz, erworbene Hirnschädigungen), Kinder mit zusätzlichen Bedürfnissen, die das Volljährigkeitsalter erreichen, Personen, die häuslicher Gewalt oder Zwangskontrolle ausgesetzt sind, obdachlose Personen, Personen, die finanzieller Ausbeutung ausgesetzt sind, und Personen, die Opfer von Menschenhandel geworden sind.
Die Regulierungsstrategie 2022–2027 der irischen Datenschutzaufsicht (DPC) legt den Schwerpunkt auf den Schutz von Kindern und anderen schutzbedürftigen Gruppen. Im Einklang mit dieser Priorität möchte die DPC sicherstellen, dass Organisationen, die mit gefährdeten Erwachsenen arbeiten, sie unterstützen oder anderweitig mit ihnen zu tun haben, ein besseres Verständnis der Datenschutzrechte und der Rechtsgrundlagen für die Weitergabe personenbezogener Daten haben. Um dieses Ziel zu erreichen, hat die DPC relevante Interessengruppen (einschließlich Interessenverbände, Dienstleister aus dem öffentlichen, privaten und freiwilligen Sektor sowie andere relevante Regulierungsbehörden) einbezogen, um Datenschutzprobleme im Zusammenhang mit dem Schutz von Erwachsenen zu ermitteln. Das übergeordnete Ziel der DPC ist es, einen einheitlichen Ansatz für den Datenschutz in diesem Bereich zu fördern, die Gleichstellung zu stärken, Diskriminierung zu verhindern und sicherzustellen, dass die Datenschutzrechte schutzbedürftiger Gruppen angemessen berücksichtigt werden.
1.31 Kroatien: Bußgelder gegen Krankenhäuser wegen Verstößen gegen die DS-GVO
Die kroatische Datenschutzaufsicht verhängte ein Bußgeld in Höhe von 20.000 Euro gegen ein Krankenhaus wegen der Unterlassung geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten nach Art. 32 DS-GVO sowie wegen mangelnder Transparenz und wegen der Verarbeitung personenbezogener Daten ohne angemessene Rechtsgrundlage.
Nach einem Cyberangriff und Sicherheitsvorfall wurde festgestellt, dass der Angreifer Social Engineering nutzte, um an Zugangsdaten zu gelangen und die Schwachstellen eines veralteten Systems auszunutzen. Innerhalb von sieben Tagen wurden mindestens 3 GB an Patientendaten aus dem System entfernt. Das Krankenhaus versäumte es, den Zugang zu beschränken, das System zu überwachen, rechtzeitig zu reagieren und Korrekturmaßnahmen zu ergreifen.
Zudem wurden Bußgelder gegen weitere Einrichtungen des Gesundheitswesens verhängt: gegen ein Allgemeines Krankenhaus i.H.v. 4.000 Euro für die Verarbeitung personenbezogener Daten ohne Rechtsgrundlage, intransparente Informationen und das Fehlen einer Vereinbarung zur Auftragsverarbeitung und gegen das General County Hospital i.H.v. 3.000 Euro aufgrund unzureichender Sicherheitsmaßnahmen für die Verarbeitung sensibler Gesundheitsdaten und Versäumnissen bei der Pflicht zur Meldung von Datenschutzverletzungen.
1.32 Kroatien: Informationen zum Schutz personenbezogener Daten bei KI
Immer mehr kroatische KI-Anbieter wenden sich mit Anfragen zur Einhaltung der KI-VO an die kroatische Aufsicht. Diese weist pauschal darauf hin, dass der erste Schritt zur Einhaltung die Einhaltung der DS-GVO sei. Die DS-GVO gelte für alle Tätigkeiten zur Verarbeitung personenbezogener Daten in KI-Systemen, und zwar über den gesamten Lebenszyklus hinweg: von der Entwicklung über das Testen bis hin zur Implementierung. Für Hochrisiko-KI-Systeme sind die Lieferanten verpflichtet, eine EU-Konformitätserklärung auszustellen (Art. 47 KI-VO). Verarbeitet das KI-System personenbezogene Daten, muss die Erklärung auch die Einhaltung der DS-GVO und anderer relevanter Datenschutzbestimmungen bestätigen. Seit dem 2. August 2025 gelten besondere Verpflichtungen für Anbieter von universellen KI-Modellen. Anbieter von Allzweck-KI-Modellen, die nach diesem Datum in Verkehr gebracht werden, müssen aufeinander abgestimmt sein und es wird von ihnen erwartet, dass sie informell mit dem technischen Personal des KI-Amtes in Kontakt treten. Insbesondere die Zulieferer der fortschrittlichsten Modelle, d.h. diejenigen, die systemische Risiken bergen, sind gesetzlich verpflichtet das AI Office über diese Modelle zu informieren. Das AI Office wird die Lieferanten, insbesondere die Unterzeichner des Verhaltenskodex, bei der Einhaltung unterstützen. Zu weiteren Informationen zum Thema „Datenschutz und künstliche Intelligenz“ bietet die kroatische Aufsicht ein passendes Dokument mit FAQ an.
1.33 Liechtenstein: Rechte an geklonten Stimmen?
In diesem Interview befasst sich die Datenschutzstelle Liechtenstein mit Rechtsfragen zu mittels KI-geklonten Stimmen.
1.34 Luxemburg: Aufruf zur Bewerbung für die Teilnahme an der RE.M.I-Initiative
Äh – was? Die RE.M.I.-Initiative – Regulation Meets Innovation – ist eine Zusammenarbeit zwischen der Nationalen Kommission für Datenschutz (CNPD) und der AI Factory. Es soll einen strukturierten und konstruktiven Dialog zwischen Interessenträgern im Bereich der künstlichen Intelligenz und der digitalen Technologien, Regulierungsbehörden und Fachexperten in ganz Luxemburg fördern. Der Ansatz beruht unter anderem auf der Einrichtung einer Community of Practices, auf der Grundlage thematischer Arbeitsgruppen und auf der Synchronisierung praktischer Workshops und Konferenzen, die sich mit technologischen Entwicklungen und regulatorischen Entwicklungen befassen. RE.M.I. agiert als neutrale, agile und strukturierte Plattform für Wissensaustausch und gemeinsame Problemlösung. Sie befasst sich mit den operativen, technischen und regulatorischen Herausforderungen, die sich in den sich schnell entwickelnden Bereichen KI und digitale Innovation ergeben. Der Aufruf richtet sich an innovative Unternehmen, öffentliche und halböffentliche Institutionen und Wissenschafts- und Forschungseinrichtungen. Die Antragsteller müssen ihren Sitz im Großherzogtum Luxemburg haben. Die erste Sitzung findet am 7. Oktober 2025 statt. Bewerbende bitte hier entlang.
1.35 Niederlande: Leitlinien für sinnvolle menschliche Intervention bei algorithmischen Entscheidungen
Die niederländische Aufsicht hat Leitlinien für eine sinnvolle menschliche Intervention bei algorithmischen Entscheidungen entwickelt und veröffentlicht. Zu diesem Zweck hat die AP kürzlich Unternehmen, Organisationen, Experten und Interessengruppen im Rahmen einer öffentlichen Konsultation um Beiträge gebeten.
Organisationen setzen Algorithmen und KI zunehmend für algorithmische Entscheidungsfindung ein. Beispiele hierfür sind die Bewertung von Kreditanträgen oder die Beurteilung von Online-Bewerbungen. Wenn Organisationen algorithmische Entscheidungsfindung einsetzen wollen, müssen sie bestimmte Regeln einhalten. Menschen haben das Recht auf menschliches Eingreifen bei algorithmischen Entscheidungen, die sie betreffen und Auswirkungen auf sie haben. Die DS-GVO enthält diesbezügliche Vorschriften.
Organisationen haben oft Fragen zur Gestaltung dieses Prozesses. Aus diesem Grund hat die Aufsicht Leitlinien für sinnvolle menschliche Intervention bei algorithmischen Entscheidungen entwickelt. Diese Leitlinien können Organisationen und Unternehmen, die algorithmische Entscheidungen nutzen möchten, bei der Gestaltung der menschlichen Intervention unterstützen. Das Dokument ist so praxisnah wie möglich verfasst, um den Fragen von Organisationen bestmöglich gerecht zu werden.
1.36 Österreich: Anpassung der behördlichen Leistungen
Am Anfang ihres Newsletter 2/2025 legt die österreichische Datenschutzaufsicht dar, dass sie aufgrund einer Reduzierung ihres Haushaltsbudget die Leistungen anpassen muss. Sie konzentriert sich u.a. auf Beschwerden, reduziert Beratungen und Vorträge. Meldungen nach Art. 33 DS-GVO werden inhaltlich gesichtet. Allerdings ergeht eine Mitteilung an den Verantwortlichen nur mehr dann, wenn die DSB die Ansicht vertritt, dass Folgemaßnahmen erforderlich sind oder dass die Meldung unvollständig ist. Auch werden schriftliche Rechtsauskünfte nur mehr mit einem Verweis auf die ausführlichen Informationen auf der Webseite der DSB beantwortet.
1.37 Österreich: Unzureichende Information wirkt sich auf Rechtsgrundlage aus
In ihrem Newsletter 2/2025 schildert die österreichische Datenschutzbehörde (DSB) auch einen Fall (D124.0475/25 (2025-0.243.398)), der drastisch auf die Einhaltung der Informationspflichten hinweist. Ein Wellness-Hotel verwendete zur Koordination der internen Arbeitsabläufe des Hotelpersonals eine digitale Plattform in Form einer Auftragsverarbeitung, auf welcher bei Dienstantritt Nutzerprofile für Mitarbeiter:innen angelegt wurden, welche unter anderem auch private Telefonnummern und E-Mail-Adressen enthielten. Ein ehemaliger Beschäftigter erhob daraufhin Beschwerde bei der DSB und behauptete eine Datenschutzverletzung insbesondere dadurch, dass diese Daten für andere Mitarbeiter:innen ersichtlich gewesen und er hierüber nicht informiert worden sei.
Die DSB verweis in ihrer Entscheidung auf das Urteil des EuGH im Verfahren C‑394/23 (Mousse) (wir berichteten), in welchem dieser unzweideutig festhielt, dass im Rahmen des „berechtigten Interesses“ zu prüfen sei, ob der Verantwortliche der betroffenen Person in der Phase der Datenerhebung ein berechtigtes Interesse i.S.v. Art. 13 Abs. 1 lit. d DS-GVO mitgeteilt habe. Widrigenfalls könne die Datenverarbeitung nicht auf Art. 6 Abs. 1 lit. f DS-GVO gestützt werden.
Nach Ansicht der DSB reichte es hierfür gerade nicht aus, dass das Wellness-Hotel lediglich auf von deren Auftragsverarbeiterin bereitgestellte Datenschutzinformationen verwies, welche darüber hinaus keine Beschreibung des berechtigten Interesses enthielten. Folglich stellte die DSB eine Verletzung datenschutzrechtlicher Vorgaben fest. Der Bescheid ist rechtskräftig.
1.38 Spanien: Vorherige Konsultation beim Einsatz biometrischer Systeme zur Authentifizierung
Einen eher seltenen Fall der vorherigen Konsultation nach Art. 36 DS-GVO vermeldet die spanische Aufsicht AEPD. Dort stellten die staatlichen Sicherheitskräfte und -korps nach Durchführung einer Datenschutz-Folgenabschätzung (DSFA) fest, dass die Verarbeitung ein hohes Risiko mit sich bringen würde, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Minderung dieses Risikos ergreift. Die Konsultation betrifft die Verarbeitung personenbezogener Daten, deren Zweck es ist, den Zugang auf der Grundlage biometrischer Informationen zu Einrichtungen der staatlichen Sicherheitskräfte und -korps zu kontrollieren, die verschiedene Arten von Einrichtungen, Gütern und Personen umfassen.
In der Antwort auf die Konsultation verweist die AEPD auf die Leitlinien 5/2022 des EDSA, soweit biometrische Daten als besondere Datenkategorie in Art. 9 der DS-GVO gelten, und zwar sowohl für die Authentifizierung als auch für die Identifizierung. Die AEPD betont jedoch, dass die Auswirkungen der einen oder anderen Behandlung nicht die gleichen sind. Bei der Identifizierung handelt es sich um eine Eins-zu-Viele-Operation (1:N), die aus datenschutzrechtlicher Sicht eine aktive Suche innerhalb einer Reihe bereits vorhandener Identitäten impliziert, was größere Risiken für die Grundrechte mit sich bringt, insbesondere in Kontexten der Massenüberwachung, der sozialen Kontrolle oder der Sicherheit. Im vorliegenden Fall zielte die Verarbeitung auf die biometrische Authentifizierung ab – eins zu eins (1:1) – d.h. sie basiert auf der Bestätigung, dass eine Person die ist, für die sie sich ausgibt, und dem Abgleich ihrer biometrischen Daten mit einer eindeutigen Vorlage, die zuvor mit ihrer Identität verknüpft wurde.
Unbeschadet der Tatsache, dass – wie vom EDSA angegeben – Authentifizierung und Identifizierung die Verarbeitung besonders geschützter Daten beinhalten, besteht die AEPD darauf, dass nicht jede biometrische Verarbeitung die gleiche Intensität der Auswirkungen hat und auch keine identischen Schutzmaßnahmen erfordert. Eine lokalisierte biometrische Authentifizierung, die gut konzipiert ist und einer ganzen Reihe von Umständen entspricht, die in jedem Einzelfall zu berücksichtigen sind, kann in vielen Kontexten verhältnismäßiger und weniger aufdringlich sein.
In Bezug auf die Verwendung biometrischer Systeme bei der Verarbeitung erinnert die AEPD, dass in der Stellungnahme 11/2024 des EDSA die Verwendung von Gesichtserkennung zur Beschleunigung des Durchgangs von Fluggästen auf Flughäfen analysiert wurde und sie so zu dem Schluss kommt, dass sie mit den Art. 5 Abs. 1 lit e und f), 25 und 32 der DS-GVO in zwei Szenarien vereinbar sein kann: Eines, in dem die biometrische Vorlage auf dem eigenen Gerät eines Fluggastes gespeichert ist, und ein anderes, in dem die zentralisierte Speicherung einer biometrischen Vorlage in verschlüsselter Form innerhalb des Flughafens mit einem Schlüssel/Geheimnis, das sich nur im Besitz des Passagiers befindet, stattfindet. In beiden Fällen kann die Verarbeitung als notwendig angesehen werden, wenn es keine weniger einschneidenden Alternativen gibt, die gleich wirksam sind, und die in dieser Stellungnahme beschriebenen Garantien Anwendung finden.
Im Übrigen regt sie die Schaffung spezieller rechtlicher Grundlagen an. Der gesamte Bericht findet sich hier.
1.39 Spanien: Einsatz probabilistischer oder estimativer Methoden
Probabilistische oder estimative Methoden werden heute in vielen digitalen Diensten und Anwendungen eingesetzt, von Empfehlungssystemen, die relevante Produkte oder Inhalte vorschlagen, bis hin zur Segmentierung von Nutzern anhand ihrer Merkmale. Probabilistisch? Ja, das musste ich auch erst nachschauen: Probabilistische Modelle integrieren Zufallsvariablen und Wahrscheinlichkeitsverteilungen in das Modell eines Ereignisses oder Phänomens. Sie stellen jedoch ein Dilemma hinsichtlich der Einhaltung des Genauigkeitsprinzips dar, da sie Fälle von falsch negativen Ergebnissen, falsch positiven Ergebnissen oder Vorhersagefehlern beinhalten können.
Können diese Arten von Vorgängen zur Verarbeitung personenbezogener Daten und zur Einhaltung der DS-GVO verwendet werden? Die spanische Datenschutzaufsicht versuchte bereits dazu Antworten in ihrem Blog zu geben. Oftmals sollte das Problem durch alternative oder ergänzende Lösungen gelöst werden, um die Richtigkeit und Angemessenheit der gesamten Verarbeitung in bestimmten Fällen zu gewährleisten. Die neue Veröffentlichung ergänzt die bisherigen Veröffentlichungen der spanischen Aufsichtsbehörde zu Innovation und Technologie.
1.40 Spanien: Keine Ausweiskopie bei Beherbergungsbetrieben
Eigentlich wollte ich diese Meldung aus Spanien, dass es nicht gestattet sei, in den Unterkünften eine Kopie des Personalausweises oder Reisepasses zu verlangen, gar nicht bringen. Sollte es doch bekannt sein, dass es dazu einer expliziten Rechtsgrundlage bedarf, wenn keine Einwilligung vorliegt. Doch die Meldung aus Italien, dass dort Ausweisdokumente munter kopiert werden, zeigt, dass es schon seinen Sinn hat darauf hinzuweisen.
Siehe auch die Reaktionen aus Deutschland dazu.
1.41 Spanien: Drohnen und der Datenschutz
Wenn die von einer Drohne gesammelten Daten eine Person eindeutig identifizieren oder ihre Identifizierung nachträglich erfolgen kann, gelten die Datenschutzbestimmungen, da sie einen Eingriff in die Rechte und Freiheiten des Einzelnen darstellen können. Die spanische Aufsicht AEPD hat dazu einige Fragen zusammengestellt und in einem Leitfaden zu Drohnen und Datenschutz beantwortet.
In Deutschland bietet die Deutsche Flugsicherung eine Seite mit FAQ zum Drohnenflug an.
1.42 Schweden: DSFA bei KI?
In ihren Hinweisen zur Erforderlichkeit einer Datenschutz-Folgenabschätzung führt die schwedische Datenschutzaufsicht IMY aus, welches KI-System aus ihrer Sicht eine neue Technologie sein könnte (ab Seite 13). Danach würde ein generatives KI-System, das mit großen Datenmengen trainiert wurde und dessen Verhalten noch nicht umfassend analysiert wurde, wahrscheinlich unter das Kriterium „Einsatz neuer Technologien“ fallen. Ein System, das bekannte, bewährte und bereits analysierte KI-Techniken verwendet, könnte jedoch nach Ansicht der IMY von diesem Kriterium ausgenommen sein. (Zitat von Seite 14).
1.43 Schweden: Flightradar24 und der Datenschutz
Bisher war die App Flightradar24 eher unter den Aspekten des Datenabzugs bei den Nutzenden im Gespräch. Die schwedische Aufsicht IMY befasst sich nun auch mit Beschwerden eines Piloten, der sich dadurch beobachtet fühlte, sind doch auch Kleinflugzeuge über angeforderte Registrierungsbescheinigungen erfasst und im wahrsten Sinne des Wortes auf dem Radar.
Geht so nicht, sagt nun die schwedische Aufsicht IMY und weist Flightradar24 an die Verarbeitung einzustellen, die die Veröffentlichung von Daten über das Flugzeug des Beschwerdeführers auf Flightradar24 zur Folge hat, so dass die Information auf der Webseite die Identifizierung des Beschwerdeführers nicht mehr ermöglicht.
1.44 Schweiz: Untersuchung zu Stimmerkennung zur Authentifizierung
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte informiert, dass er Untersuchungen zur Prüfung, ob die PostFinance AG im Zusammenhang mit der Authentifizierung mittels Stimmerkennung gegen Datenschutzvorschriften verstoßen habe. Die Untersuchung wurde mit einer Verfügung abgeschlossen und die PostFinance AG angewiesen bei der Erstellung von Stimmabdrücken zur Authentifizierung durch Stimmerkennung eine ausdrückliche Einwilligung von den betroffenen Personen einzuholen und diejenigen Stimmabdrücke zu löschen, bei welchen keine ausdrückliche Einwilligung der betroffenen Person vorliegt.
Die PostFinance hat ihrerseits eine Medienmitteilung veröffentlicht, in der sie festhält, dass der EDÖB vor Erlass der Verfügung über ein neues Verfahren mit Einwilligung informiert worden war, das auf der Einwilligung der Kunden beruht. Daher lege sie Beschwerde gegen die Verfügung ein. Bericht dazu hier.
1.45 Schweiz: Tätigkeitsbericht für 2024 der DSB des Kantons Bern
Im Amt des DSB gab es im August 2024 einen ruhestandsbedingten Amtswechsel. Das tut den Themen im Zuständigkeitsbereich keinen Abbruch. So berichtet die DSB des Kantons Bern im Tätigkeitsbericht für das Jahr 2024 zu den datenschutzrechtlichen Anforderungen bei einem Großraumbüro (neu-deutsch „Open Space“) in Ziffer 1.1. Eine generelle Verpflichtung auf Vertraulichkeit hebe das „Need-to-Know-Prinzip“ nicht auf. Wie die Verhinderung der unberechtigten Kenntnisnahme von Personendaten im Großraumbüro (z.B. durch bauliche Maßnahmen innerhalb des Großraumbüros oder durch die Verpflichtung zur Nutzung separater Besprechungsräume, Telefonkabinen etc.) umgesetzt wird, obliege dem Verantwortlichen.
1.46 Kath. Datenschutzzentrum Würzburg: Nutzung alternativer Social-Media-Dienste
Im Vorfeld der 104. Deutschen Katholikentag im Mai 2026 wird hier zusammen mit dem katholischen Datenschutzzentrums Bayern informiert, dass der Katholikentag nicht-kommerzielle digitale Kommunikationsräume stärken will. Anlässlich dieses Großereignisses haben sich der Katholikentag und das katholische Datenschutzzentrum Bayern zu einer besonderen Kooperation entschlossen. Gemeinsam möchten sie das sogenannte Fediverse als zukunftsweisenden, datenschutzfreundlichen Kommunikationsraum stärken.
Anders als bei kommerziellen Plattformen behalten Nutzer:innen im Fediverse ihre Datensouveränität, denn es gibt keine personalisierte Werbung und keine versteckte Profilerstellung. Die Kooperation soll ein Zeichen setzen. In den kommenden Monaten werden beide Partner regelmäßig Informationen zum Katholikentag im Fediverse teilen, konkret über Mastodon – begleitet von praktischen Tipps zum Einstieg.
1.47 Deutschland: Kritik an den Aufsichtsbehörden – und an denjenigen, die sie ausstatten
Hier mal keine Meldung von Aufsichtsbehörden, sondern ein Bericht über die Aufsichtsbehörden – speziell die deutschen.
1.48 BSI: Bias in KI
Das BSI veröffentlichte ein Whitepaper zu Bias in der künstlichen Intelligenz (KI). Der englische Begriff „Bias“ beschreibt eine im Ergebnis ungleiche Behandlung etwa von Nutzenden oder Unternehmen. Diese kann verschiedene Ursachen haben. Das Whitepaper liefert grundlegende Informationen zu Bias in KI und gibt einen Überblick über mögliche Maßnahmen und Techniken, wie Bias in KI-Systemen erkannt und verringert werden kann. Für die Detektion können beispielsweise qualitative Datenanalysen oder statistische Verfahren, wie Varianzanalyse, verwendet werden. Für die Mitigation werden Präprozessierungs-, Inprozessierungs- oder Postprozessierungsmethoden verwendet.
Außerdem werden Wechselwirkungen zwischen Bias und Cybersicherheit aufgezeigt. Hierzu zählen beispielsweise das Ausnutzen von Bias für Poisoning-Angriffe oder unerlaubtes Kopieren von Modellfunktionalität. Die aufgezeigten Wechselwirkungen dienen als Grundlage für weitere Diskussionen und die Erforschung der Auswirkungen von Bias auf die Cybersicherheit von und durch KI-Systeme.
Bias kann zu einem nicht erwarteten und erwünschten Verhalten von KI-Systemen führen. Dies geschieht durch Verzerrungen im Daten- oder Entscheidungsraum der KI-Modelle. Solche Verzerrungen können beispielsweise eine übermäßige Betonung von problematischen Mustern innerhalb der Datenmerkmale sein. Auch eine fehlende oder zu geringe Repräsentation von bestimmten Subpopulationen ist eine solche Verzerrung.
Ein angemessener Umgang mit Bias erfordert Kenntnisse über die Ursachen ihrer Entstehung, ihre Herkunft sowie von bestehenden Detektions- und Mitigationsmaßnahmen. Bias kann in allen Phasen des KI-Lebenszyklus auftreten und die Funktionalität, Cybersicherheit von KI-Systemen sowie die Gleichbehandlung von verschiedenen Nutzendengruppen durch KI-Systeme gefährden. Das Whitepaper richtet sich an Entwickelnde, Anbietende und Betreibende von KI-Systemen.
1.49 BSI: Sicheres Gaming und Onlinekonten schützen
Das BSI gibt Tipps und Hinweise zum sicheres Gaming. Vermittelt wird dies alles auch durch ein Quiz. Zusätzlich verweist es auch auf seine Broschüre „Wegweiser kompakt: Gaming – Acht Spielregeln für digitale Sicherheit“.
1.50 BSI: KRITIS in Zahlen
Bereits seit Anfang 2024 zeigt das BSI auf seiner Webseite KRITIS in Zahlen greifbar anhand von grundlegenden Statistiken und Kennzahlen, welche Sicht das BSI auf KRITIS, also Kritische Infrastrukturen, hat.
Dort finden sich dann z.B. Antworten auf die folgenden Fragen: Wie viele KRITIS gibt es im Sektor Energie? Wie oft haben KRITIS im Sektor Gesundheit Sicherheitsvorfälle gemeldet? Wie ist der Reifegrad von Informationssicherheitsmanagementsystemen im Sektor Wasser?
Eine kleine Änderung gibt es: Banken und andere Finanzunternehmen melden seit dem 17.01.2025 nicht mehr an das BSI, sondern an das BaFin. Diese Betreiber melden nun nach der DORA-Verordnung (Digital Operational Resilience Act) und nicht mehr nach dem BSI-Gesetz. Die unter DORA gemeldeten Vorfälle, die zu KRITIS-Unternehmen gehören, bekommt das BSI nun von der BaFin übermittelt und veröffentlich sie so weiterhin auf „KRITIS in Zahlen“. Die KRITIS-Betreiber im Sektor Finanzen, die nicht unter DORA fallen, bleiben weiterhin meldepflichtig. Mehr Hintergrundinformationen zu DORA und NIS2 gibt das BSI hier.
1.51 BSI: Design Principles for LLM-based Systems with Zero Trust
Zusammen mit der französischen ANSSI (Agence nationale de la sécurité des systèmes d’information) erarbeitete das BSI in einer deutsch-französischen Gemeinschaftspublikation eine Veröffentlichung dem Titel „Design Principles for LLM-based Systems with Zero Trust“. In ihr werden zentrale Entwurfsprinzipien für den sicheren Einsatz von Large Language Model (LLM)-Systemen vorgestellt. Das Papier identifiziere typische Risiken, die mit dem Einsatz von LLM-Systemen verbunden sind, und schlägt geeignete Gegenmaßnahmen vor.
Es empfiehlt unter anderem die Zugriffsrechte für diese Systeme nach Bedarf einzuschränken, ihre Entscheidungsprozesse transparent zu machen und sicherzustellen, dass kritische Entscheidungen unter menschlicher Aufsicht getroffen werden. Ziel der Veröffentlichung ist es IT-Fachleute für die Herausforderungen zu sensibilisieren, die mit der Bereitstellung von LLM-Systemen verbunden sind.
Beispiel aus der Zusammenfassung:
“A key message is that blind trust in LLM systems is not advisable, and the fully autonomous operation of such systems without human oversight is not recommended. It is improbable that such agents can ensure meaningful and reliable safety guarantees. As a result, strict boundaries between system components are essential. This includes deliberately limiting autonomy, ensuring transparency in decision-making processes, and mandating human supervision for critical decisions.”
1.52 BSI: Aktionskampagne zu sicheren E-Mails
Mit dem E-Mail-Sicherheitsjahr 2025 möchten das BSI zusammen mit dem Verband eco und dem bitkom ein Zeichen für sichere digitale Kommunikation setzen. Im Zentrum steht die neu geschaffene „Hall of Fame“, in der zum Start knapp 120 Unternehmen ausgezeichnet wurden. Die „Hall of Fame“ sei ein wichtiger Schritt, um Awareness für relevante Standards zu schaffen.
Zudem kann mit einem E-Mail-Checker des BSI herausgefunden werden, welche Sicherheitseinstellungen der jeweilige E-Mail-Dienst bereits umgesetzt hat. Es braucht nur die Domain des E-Mail-Anbieters (das ist der Teil nach dem @-Zeichen in der E-Mail-Adresse) angegeben zu werden. Weitere Informationen zu sicheren E-Mail-Kommunikation gibt auf der Webseite www.einfachabsichern.de.
1.53 BNetzA: Aufsichtstätigkeit zum DSA
Seit dem Vorjahr ist das BNetzA als deutsche Koordinierungsstelle für den Digital Services Act (DSA) handlungsfähig. Der erste Tätigkeitsbericht der Behörde wurde nun veröffentlicht. Es gab 800 Beschwerden und vier Verfahren wurden eingeleitet. Dementsprechend ist der Bericht mit 23 Seiten auch noch überschaubar geblieben. Bericht dazu auch hier.
2 Rechtsprechung
2.1 EuGH: Aussage zur Unverzüglichkeit und zu Fristvorgaben (C-665/23)
Der EuGH hat sich in dem Verfahren „Veracash“ (C-665/23) mit der Auslegung von Fristvorgaben befasst. Im Rahmen der Auslegung der Artt. 56, 58, 60 und 61 der Richtlinie 2007/64/EG über Zahlungsdienste im Binnenmarkt (Payment Services Directive 1 – PSD 1) musste er die Bedeutung einer zweifachen Frist auslegen.
Die Frage stellte sich im Rahmen eines Rechtsstreits zwischen einer natürlichen Person und der Veracash SAS über die Ablehnung der Erstattung von Geldabhebungen, die nicht von der natürlichen Person autorisiert gewesen sein sollen, aufgrund ihrer vermeintlich verspäteten Anzeige.
Der Kläger unterhielt bei Veracash ein Konto. Am 24. März 2017 sandte Veracash eine neue Karte für Abhebungen und Zahlungen an die Adresse des Klägers. Zwischen dem 30. März und dem 17. Mai 2017 wurden von diesem Konto täglich Abhebungen vorgenommen. Der Kläger macht geltend, weder die Zahlungskarte erhalten noch die Abhebungen autorisiert zu haben. Am 23. Mai 2017, also fast zwei Monate nach der ersten beanstandeten Abhebung, unterrichtete er Veracash darüber.
Um einen Anspruch geltend machen zu können, bestimmt Art. 58 PDS 1 („Anzeige nicht autorisierter oder fehlerhaft ausgeführter Zahlungsvorgänge“):
„Der Zahlungsdienstnutzer kann nur dann eine Korrektur durch den Zahlungsdienstleister erwirken, wenn er unverzüglich nach Feststellung eines nicht autorisierten oder fehlerhaft ausgeführten Zahlungsvorgangs, der zur Entstehung eines Anspruchs … geführt hat, jedoch spätestens 13 Monate nach dem Tag der Belastung seinen Zahlungsdienstleister hiervon unterrichtet, es sei denn, der Zahlungsdienstleister hat, soweit anwendbar, die Angaben nach Maßgabe des Titels III [über die Transparenz der Vertragsbedingungen und Informationspflichten für Zahlungsdienste] zu dem betreffenden Zahlungsvorgang nicht mitgeteilt oder zugänglich gemacht.“
Veracash ist dagegen der Auffassung, dass Art. L. 133-24 eine zweifache Frist einführe und die 13-monatige Frist eine Ausschlussfrist sei. Darüber hinaus gehöre zur Systematik dieser Bestimmung, dass der Zahlungsdienstnutzer, sobald er eine Unregelmäßigkeit bemerke, unverzüglich seinen Zahlungsdienstleister hiervon unterrichte (Rn. 22). Das vorlegende Gericht gibt an, dass der Ausgang des bei ihm anhängigen Rechtsstreits davon abhänge, ob der Zahlungsdienstleister die Erstattung des Betrags eines nicht autorisierten Zahlungsvorgangs verweigern dürfe, wenn der Zahlungsdienstnutzer diesen Vorgang zwar vor Ablauf der Frist von 13 Monaten nach dem Tag der Belastung angezeigt habe, dies aber nicht umgehend getan habe, ohne dass diese Verspätung auf Vorsatz oder grobe Fahrlässigkeit seinerseits zurückzuführen sei (Rn. 23).
Daher wollte das vorlegende Gericht vom EuGH wissen: Sind die Art. 56, 58, 60 und 61 der Richtlinie 2007/64 dahin auszulegen, dass der Zahler den Anspruch auf Erstattung des Betrags eines nicht autorisierten Zahlungsvorgangs verliert, wenn er seinen Zahlungsdienstleister nicht umgehend über den nicht autorisierten Vorgang unterrichtet hat, auch wenn er dies innerhalb von 13 Monaten nach dem Tag der Belastung getan hat? Und spätestens jetzt werden sich viele an die Gestaltung der Meldefrist bei Datenschutzverletzungen nach Art. 33 Abs. 1 DS-GVO erinnert fühlen. Dort ist von „unverzüglich und möglichst binnen 72 Stunden“ die Rede.
Der EuGH bewertet in Rn. 37 den Wortlaut von Art. 58 PSD 1, dass der Zahlungsdienstnutzer verpflichtet ist, „unverzüglich“ nach Feststellung u. a. eines nicht autorisierten Zahlungsvorgangs, „jedoch spätestens“ 13 Monate nach dem Tag der Belastung seinen Zahlungsdienstleister hiervon zu unterrichten. Es zeige sich also, dass nach dem Wortlaut der Anspruch des Zahlungsdienstnutzers auf Korrektur eines nicht autorisierten Zahlungsvorgangs von der vorherigen Erfüllung einer zweifachen zeitlichen Voraussetzung abhängt.
Zwar würden nicht alle Sprachfassungen von Art. 58 der Richtlinie 2007/64 die Konjunktion „und“ verwenden. Jedoch weisen sämtliche Sprachfassungen darauf hin, dass die Verpflichtung des Zahlungsdienstnutzers, seinen Zahlungsdienstleister „unverzüglich“ davon zu unterrichten, dass er einen nicht autorisierten Zahlungsvorgang festgestellt hat, ab dem Zeitpunkt entsteht, zu dem der Zahlungsdienstnutzer von diesem Vorgang Kenntnis erlangt hat. Dagegen beginnt die Frist von 13 Monaten mit dem Tag der Belastung. Dies deutet darauf hin, dass es sich um zwei verschiedene zeitliche Voraussetzungen handelt (Rn. 38).
Der EuGH befasst sich im Weiteren noch mit anderen Auslegungsmethoden und stellt in Rn. 58 fest, dass Art. 58 der Richtlinie 2007/64 dahin auszulegen ist, dass der Zahlungsdienstnutzer den Anspruch auf Korrektur grundsätzlich verliert, wenn er nach Feststellung eines nicht autorisierten Zahlungsvorgangs seinen Zahlungsdienstleister hiervon nicht unverzüglich unterrichtet hat, auch wenn diese Unterrichtung innerhalb von 13 Monaten nach dem Tag der Belastung erfolgt ist.
Wenn man die Entscheidung des EuGH auf die Formulierung des Art. 33 Abs. 1 DS-GVO spiegelt, steht zu befürchten, dass er auch hier zu einem vergleichbaren Ergebnis kommen könnte, was sich auf die Interpretation des „unverzüglich“ auswirken würde. Eine Meldung müsste dann alsbald erfolgen, die 72 Stunden-Frist wäre dann nur eine spätestens anzuwendende Zeitvorgabe.
Bislang wird dies in den Leitlinien 9/2022 für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der DS-GVO in der überarbeiteten Fassung vom März 2023, ab Rn. 31 – 35, in den relevanten Passagen wie folgt beschrieben:
Sobald dem Verantwortlichen eine Datenschutzverletzung bekannt wird, muss eine meldepflichtige Verletzung unverzüglich und, falls möglich, binnen höchstens 72 Stunden gemeldet werden. In dieser Zeit sollte der Verantwortliche das wahrscheinliche Risiko für die betroffenen Personen prüfen, um festzustellen, ob die Meldepflicht ausgelöst wurde und welche Maßnahme(n) zur Behebung der Datenschutzverletzung getroffen werden muss/müssen.
Allerdings sind vo Art. 33 Abs. 1 DS-GVO keine Rechtsfolgen für Ansprüche der betroffenen Personen abhängig. Es wird abzuwarten sein, wie die Datenschutzaufsichten mit dieser Interpretation des EuGH umgehen werden.
2.2 BVerfG: Zulässigkeit der staatlichen Überwachung der Telekommunikation
Das BVerfG hat über zwei Verfassungsbeschwerden entschieden, die sich gegen polizeirechtliche und strafprozessuale Ermächtigungen richten. Im Verfahren 1 BvR 2466/19 (Trojaner I) wenden sich die Beschwerdeführenden mit ihrer Verfassungsbeschwerde gegen die polizeirechtlichen Ermächtigungen zur (Quellen-)Telekommunikationsüberwachung in § 20c des Polizeigesetzes des Landes Nordrhein-Westfalen (PolG NRW); im Verfahren 1 BvR 180/23 (Trojaner II) wenden sie sich gegen die strafprozessualen Ermächtigungen zur Quellen-Telekommunikationsüberwachung und zur Online-Durchsuchung in § 100a Abs. 1 Sätze 2 und 3, § 100b Abs. 1 Strafprozessordnung (StPO).
Bereits die Pressemitteilung fasst zusammen, dass die Verfassungsbeschwerden größtenteils bereits unzulässig sind. So legen die Beschwerdeführenden die Möglichkeit einer Grundrechtsverletzung überwiegend nicht hinreichend substantiiert dar. Soweit die Verfassungsbeschwerden zulässig sind, sind sie nur teilweise erfolgreich.
Der Senat stellt in seinen Beschlüssen fest: Die in zulässiger Weise angegriffenen Regelungen des PolG NRW sind vollständig mit dem Grundgesetz vereinbar; die angegriffenen Regelungen der StPO sind teilweise verfassungswidrig. So ist die Quellen-Telekommunikationsüberwachung (TKÜ) zur Aufklärung solcher Straftaten, die lediglich eine Höchstfreiheitsstrafe von drei Jahren oder weniger vorsehen, nicht verhältnismäßig im engeren Sinne und wurde vom Senat insoweit für nichtig erklärt. Die Ermächtigung zur Online-Durchsuchung genügt, soweit sie (auch) zu Eingriffen in das durch Art. 10 Abs. 1 Grundgesetz (GG) geschützte Fernmeldegeheimnis ermächtigt, nicht dem Zitiergebot und ist daher mit dem Grundgesetz unvereinbar. Diese Vorschrift gelte bis zu einer Neuregelung jedoch fort.
2.2.1 BVerfG: Zulässigkeit der staatlichen Überwachung der Telekommunikation – „Trojaner“ I 1BvR 2466/19
Im Verfahren 1 BvR 2466/19 stellte das BVerfG fest, dass eine Quellen-TKÜ einen gleichzeitigen Eingriff in das Fernmeldegeheimnis gemäß Art. 10 Abs. 1 Grundgesetz (GG) und das IT-Grundrecht darstelle. Art. 10 GG gewährleiste insoweit eine Privatheit auf Distanz. Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) in seiner Ausprägung als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-System-Grundrecht) schützt insbesondere vor heimlichen Zugriffen durch eine Online-Durchsuchung, ist hierauf aber nicht beschränkt. Den im präventiven Bereich erforderlichen Rechtsgüterschutz kann der Gesetzgeber auch in der Weise sicherstellen, dass er an hinreichend gewichtige Straftaten anknüpft.
2.2.2 BVerfG: Zulässigkeit der staatlichen Überwachung der Telekommunikation – „Trojaner“ II 1BvR 180/23
Im Verfahren 1 BvR 180/23 stellte das BVerfG u.a. fest, dass eine Befugnis zur Überwachung und Aufzeichnung laufender Telekommunikation in der Weise, dass mit technischen Mitteln in von Betroffenen eigengenutzte IT-Systeme eingegriffen wird (Quellen-TKÜ, vgl. § 100a Abs. 1 Satz 2 StPO), begründe einen sehr schwerwiegenden Eingriff sowohl in das IT-System-Grundrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) als auch in das durch Art. 10 Abs. 1 GG geschützte Fernmeldegeheimnis.
Eine Befugnis zur Überwachung und Aufzeichnung der auf einem IT-System Betroffener gespeicherten Inhalte und Umstände der Kommunikation in der Weise, dass mit technischen Mitteln in ein IT-System eingegriffen wird (erweiterte Quellen-Telekommunikationsüberwachung, vgl. § 100a Abs. 1 Satz 3 StPO), ist allein am IT-System-Grundrecht zu messen.
Das Recht auf informationelle Selbstbestimmung schützt nicht nur vor einzelnen Datenerhebungen, sondern auch vor dem Zugriff auf große und dadurch typischerweise besonders aussagekräftige Datenbestände. Ermächtigt aber eine Norm zur Datenerhebung aus einem IT-System, auf das mit technischen Mitteln zugegriffen wird, wird das Recht auf informationelle Selbstbestimmung vom IT-System-Grundrecht verdrängt.
Von diesen beiden Ausprägungen des allgemeinen Persönlichkeitsrechts gewährleistet das IT-System-Grundrecht einen gegenüber dem Recht auf informationelle Selbstbestimmung spezifischen Schutz, der gerade die mit dem Zugriff auf eigengenutzte IT-Systeme verbundene Verletzung ihrer Integrität und Gefährdung der Vertraulichkeit in den Blick nimmt.
Eine Befugnisnorm, die dazu ermächtigt heimlich mit technischen Mitteln in ein von Betroffenen genutztes IT-System einzugreifen und daraus Daten zu erheben, die auch solche der laufenden Fernkommunikation umfassen (Online-Durchsuchung), ermöglicht Eingriffe sowohl in das IT-System-Grundrecht als auch in Art. 10 Abs. 1 GG. Sind beide Grundrechte betroffen, ist die Befugnis zur Online-Durchsuchung an beiden Grundrechten zu messen.
2.3 Verfassungsbeschwerde durch „White Hacker“
In dem Fall „Modern Solution“ wurde Verfassungsbeschwerde eingelegt, wie hier berichtet wird. Über den Fall hatten wir immer wieder im Blog berichtet. Jemand testet ein Tool eines Dritten für seinen Auftraggeber, entdeckt dabei Sicherheitslücken, informiert den Dritten. Dieser zeigt ihn an; Verurteilung über mehrere Instanzen hinweg (sehr stark verkürzt; Details oben im ersten Link).
Egal, wie dass vor dem BVerfG ausgeht, es werden doch Hinweise erwartet, wie hier eine größere Rechtssicherheit erzielt werden kann. Geplant ist auch eine Gesetzesanpassung, aber ob die jemals kommt…
2.4 BGH: Anforderungen an immateriellen Schadenersatz nach rechtswidrigem Schufa-Eintrag
Im konkreten Fall hatte der Kläger u.a. dargelegt, dass er infolge des negativen Schufa-Eintrags Kreditkarten verlor, eine Kündigung der gesamten Bankverbindung drohte und eine Immobilienfinanzierung zu scheitern drohte. Zudem hatte er viel Aufwand, die weiteren Folgen der Meldung aus der Welt zu schaffen. Bereits diese Umstände stellen laut BGH in diesem Urteil eine ausreichende Grundlage für einen ersatzfähigen immateriellen Schaden im Sinne des Art. 82 DS-GVO (unter Verweis auf ErwGr. 75 und 85 DS-GVO) dar.
Die Vorinstanz am OLG Koblenz kritisiert der BGH, da diese Erwägungen herangezogen habe, welche als „Spekulation unter Verstoß gegen den Beibringungsgrundsatz keine Stütze im festgestellten Parteivortrag findet“ (Rn. 17). Der BGH betont damit, dass Gerichte nicht von sich aus hypothetische Ausweichmöglichkeiten des Klägers konstruieren oder vermuten dürfen. Vielmehr seien die konkreten, vorgetragenen Folgen entscheidend – und diese hatte der Kläger im vorliegenden Fall hinreichend dargelegt. Der BGH erkennt hier auch den sogenannten Kontrollverlust über personenbezogene Daten als eigenständigen immateriellen Schaden an (Rn. 18), auch spiele für die Frage, ob dem Kläger ein immaterieller Schaden entstanden sei, eine etwaige Mitwirkung des Klägers an dessen Entstehung keine Rolle (Rn. 20).
2.5 BGH: EuGH-Vorlage zu Auskunftsanfragen gegenüber Gericht nach Bußgeldverfahren
Gegen einen Verkehrsteilnehmer gab es ein Verfahren vor dem Amtsgericht wegen überhöhter Geschwindigkeit. Der Verkehrsteilnehmer stellte einen Antrag nach § 57 BDSG gegen das Gericht. Dieses brauchte neun Monate, um zu äußern, dass es keine Auskunft gebe, es sei ja im Verfahren alles angesprochen gewesen. Daraufhin forderte der Betroffene immateriellen Schadenersatz in Höhe von 1.200 Euro – und das Verfahren landete vor dem BGH. Und was macht der BGH? Er fragt den EuGH erstmal, ob hier die DS-GVO oder die RL „Polizei und Justiz“ (JI-RL, RL EU 2016/680) anzuwenden ist und stellt dann die Folgefragen, die sich daraus hinsichtlich einer verspäteten oder unvollständigen Auskunft und den Anforderungen an immateriellen Schadenersatz ergeben:
- Sind Art. 2 Abs. 2 Buchst. d DS-GVO und Art. 1 Abs. 1, Art. 2 Abs. 1 JI-RL dahingehend auszulegen, dass sich die Beurteilung eines Anspruchs auf Ersatz des immateriellen Schadens wegen Verletzung der Auskunftspflicht im Hinblick auf die Verarbeitung von personenbezogenen Daten durch ein Gericht in einem Verfahren wegen einer Ordnungswidrigkeit (Bußgeldverfahren) nach dem in Umsetzung der JI-Richtlinie (Art. 56 DS-GVO und Art. 14 JI-RL) erlassenen nationalen Recht oder nach der Datenschutz-Grundverordnung (Art. 82 i.V.m. Art. 15 DS-GVO) richtet?
- a) Falls die Datenschutz-Grundverordnung anwendbar ist:
Sind die Regelungen in Art. 82 Abs. 1, Abs. 2 Satz 1 DS-GVO dahingehend zu verstehen, dass sie einer betroffenen Person auch wegen Verletzung ihres Auskunftsrechts nach Art. 15 DS-GVO einen Anspruch auf Schadensersatz für den wegen einer verspäteten oder unvollständigen Auskunft entstandenen immateriellen Schaden einräumen?
b) Falls die JI-Richtlinie anwendbar ist:
Ist Art. 56 JI-RL dahingehend zu verstehen, dass die Mitgliedstaaten auch für die Verletzung des Auskunftsrechts nach den Art. 14 JI-RL umsetzenden nationalen Vorschriften ein Recht auf Schadensersatz für den wegen einer verspäteten oder unvollständigen Auskunft entstandenen immateriellen Schaden vorzusehen haben? - Falls Frage 2 a) oder 2 b) bejaht wird:
Stellt bereits die mit einer Verletzung der Auskunftspflicht (nach Art. 15 DS-GVO bzw. nach den auf Art. 14 JI-RL beruhenden nationalen Vorschriften) einhergehende Ungewissheit des Betroffenen über die Verarbeitung seiner personenbezogenen Daten und die daraus resultierende Hinderung daran, die Rechtmäßigkeit der Datenverarbeitung überprüfen zu können und etwaige diesbezügliche Rechte geltend zu machen, einen immateriellen Schaden im Sinne von Art. 82 DSGVO bzw. Art. 56 JI-RL dar?
2.6 BGH: Verstößt ein Werbeblocker (Plug-in für Webbrowser) gegen das Urheberrecht?
Der BGH hat die Frage zur Nachholung weiterer Feststellungen an das Berufungsgericht zurückverwiesen. Bislang gibt es nur eine Pressemeldung des BGH dazu. In dem Fall geht es um ein Plug-in für Webbrowser, das der Unterdrückung von Werbeanzeigen auf Webseiten dient. Bei Aufruf der Webseiten der Online-Portale der Klägerin durch Eingabe der entsprechenden Internet-Adresse in einen Internet-Browser fordert der Browser vom Server der Klägerin die HTML-Datei an und speichert sie im Arbeitsspeicher auf dem Endgerät des Nutzers. Zur Anzeige des HTML-Dokuments interpretiert der Browser den Inhalt des HTML-Dokuments mittels einer Parsing-Engine. Das Ergebnis der Interpretation ist eine Objektstruktur, ein sogenannter DOM-Knotenbaum. Zur Formatierung der Webseite baut eine CSS-Engine sogenannte CSS-Strukturen („CSSOM“) auf. Die DOM- und CSS-Strukturen werden mittels einer Render-Engine in einer Rendering-Baumstruktur zusammengeführt. Der Werbeblocker der Beklagten nimmt Einfluss auf diese vom Browser erzeugten Datenstrukturen und sorgt dafür, dass als Werbung erkannte Elemente nicht auf dem Bildschirm des Nutzers erscheinen.
Die Klägerin ist der Auffassung, bei der Programmierung ihrer Webseiten handele es sich aufgrund der darin enthaltenen Steuerungselemente insgesamt um Computerprogramme im Sinne des § 69a Abs. 1 UrhG, an denen ihr die ausschließlichen Nutzungsrechte zustünden. Der DOM-Knotenbaum und die CSS-Strukturen mit den darin enthaltenen Handlungsanweisungen seien Ausdrucksformen dieser Programmierung und nähmen an deren urheberrechtlichem Schutz teil. Die bei der Verwendung des Werbeblockers erfolgenden Vervielfältigungen im Sinne des § 69c Nr. 1 Satz 1 UrhG seien unberechtigt. Der Werbeblocker führe außerdem zu unbefugten Umarbeitungen im Sinne des § 69c Nr. 2 Satz 1 UrhG. Die Klägerin hat die Beklagten auf Unterlassung, Auskunft und Schadensersatz in Anspruch genommen.
Das Landgericht hat die Klage abgewiesen. Das Berufungsgericht hat die Revision nur insoweit zugelassen, als die Klägerin ihre Ansprüche auf eine von ihr behauptete – der ersten unveränderten Vervielfältigung im Arbeitsspeicher nachfolgende – abändernde Vervielfältigung und Umarbeitung eines Computerprogramms gestützt hat. Die Klägerin hat ihre Ansprüche allerdings in vollem Umfang weiterverfolgt.
Die Revision der Klägerin hatte nun vor dem BGH teilweise Erfolg. Der BGH hat das Berufungsurteil aufgehoben und die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen, soweit es die Ansprüche auf Unterlassung, Auskunft und Schadensersatz wegen der behaupteten abändernden Vervielfältigung und Umarbeitung eines Computerprogramms im Sinne des § 69c Nr. 1 und 2 UrhG betrifft. Die weitergehende Revision der Klägerin hat der Bundesgerichtshof als unzulässig verworfen.
2.7 BGH: Anforderungen an Art. 82 DS-GVO
Schon wieder durfte sich der BGH mit einer Forderung nach immateriellem Schadenersatz aus Art. 82 DS-GVO befassen. Die konkrete rechtliche Frage war, ob sich allein durch unzureichende Schutzmaßnahmen ein Schadenersatzanspruch begründen ließe. Der Sachverhalt hinter dieser Frage bestand aus einer unverschlüsselten Versendung von verwaltungsgerichtlichen Empfangsbekenntnissen durch Telefax durch eine Stadt und geht bis ins Jahr 2015 zurück, als der Kläger gegenüber der Beklagten aus besonderen persönlichen Gründen jeder unverschlüsselten Übermittlung von personenbezogenen Daten widersprach. Natürlich gab es weiterhin Telefaxe mit personenbezogenen Daten des Klägers (Details siehe im Urteil ab RN. 2). Der Kläger forderte insg. 17.500 Euro Geldentschädigung (7 x 2.500 Euro) und begründete dies mit seiner exponierten Stellung als Inhaber einer Firma, die explosionsgefährliche Stoffe vertreibe, und zwar vornehmlich an nationale Sicherheitsbehörden, die diese für die Wahrnehmung hoheitlicher Aufgaben benötigten. Angesichts dessen sei er aufgrund seiner beruflichen Tätigkeit Gefahren für Leib und Leben ausgesetzt. Es bestehe die Gefahr, dass Dritte ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen könnten.
Der BGH lehnte aber einen Anspruch auf Schadenersatz ab, weil entgegen der Auffassung des Klägers ein Kontrollverlust nicht bereits deshalb vorliegt, weil wegen der unverschlüsselten Übersendung durch Telefax theoretisch die Möglichkeit bestand diese abzufangen. Denn der Verstoß gegen eine datenschutzrechtlich gebotene Sicherungsmaßnahme führe regelmäßig dazu, dass Dritte auf die zu schützenden Daten zumindest einfacher zugreifen könnten. Würde schon allein die Möglichkeit des erleichterten Zugriffs einen Kontrollverlust und damit einen Schaden darstellen, hätte diese Voraussetzung in derartigen Fallkonstellationen praktisch keine eigenständige Bedeutung mehr (RN. 33).
2.8 BGH: Strafrechtliche Abgrenzung bei unerlaubter Nutzung intimer Bildaufnahmen
Für die Opfer mag es keine Bedeutung haben, wenn intime Aufnahmen von ihnen ohne ihre Zustimmung verbreitet werden. Für die Strafbarkeit macht es einen Unterschied, ob dem Täter § 201a Abs. 1 Nr. 5 StGB (Verletzung des höchstpersönlichen Lebensbereichs und von Persönlichkeitsrechten durch Bildaufnahmen) oder § 184k Abs. 1 Nr. 3 StGB (Verletzung des Intimbereichs durch Bildaufnahmen) vorgeworfen wird. Der BGH stellte fest, dass die Vorschrift des § 184k Abs. 1 Nr. 1 StGB nur dann greife, wenn die intimen Körperteile durch Kleidung oder andere am Körper getragene Sichtbarrieren verdeckt, also „gegen Anblick“ geschützt seien.
Hingegen umfasse der Schutz des höchstpersönlichen Lebensbereichs nach § 201a Abs. 1 Nr. 5 StGB die Wohnung und den gegen Einblick abgeschirmten Rückzugsbereich. Diese Norm pönalisiere die unbefugte Verwendung von Bildaufnahmen, die ursprünglich befugt hergestellt worden seien.
Im vorliegenden Fall hatte eine Frau während ihrer Beziehung mit ihrem damaligen Freund diverse Nacktfotos von sich selbst angefertigt und diese ihrem Partner „zur eigenen Nutzung“ zugeschickt. Nach dem Ende der Beziehung hatte der Mann die Fotos dann über soziale Medien an zwei Bekannte der Frau weitergeschickt. Das LG Krefeld verurteilte ihn wegen Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen in zwei Fällen. Das LG wertete die Weitergabe der Fotos als tateinheitliche Verwirklichung sowohl der Verletzung des höchstpersönlichen Lebensbereichs und von Persönlichkeitsrechten durch Bildaufnahmen als auch der Verletzung des Intimbereichs durch Bildaufnahmen. Die Tateinheit lehnt der BGH aber in diesem Fall ab. Letztendlich kann sich zur Unterscheidung, ob der Schutz des privaten Rückzugsbereichs oder der durch Kleidung verdeckten Intimsphäre betroffen sei, ob es um Schutz „gegen Anblick“ oder „gegen Einblick“ gehe.
Berichte dazu auch hier und da.
2.9 BGH-Vorlage an EuGH zur urheberrechtlichen Relevanz von Hyperlinks
Der BGH legt dem EuGH Fragen zur Auslegung der urheberrechtlichen Relevanz beim Setzen von Hyperlinks vor. Konkret geht es um die Auslegung von Art. 3 Abs. 2 der Richtlinie 2001/29/EG zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft in Verbindung mit Art. 13 Abs. 1 der Richtlinie 2000/31/EG über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt und Art. 5 Abs. 1 der Verordnung (EU) 2022/2065 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG.
Der BGH möchte geklärt haben, ob eine Handlung des öffentlichen Zugänglichmachens eines Tonträgers im Sinn des Art. 3 Abs. 2 Buchst. b der Richtlinie 2001/29/EG nur durch denjenigen vorgenommen werden, in dessen eigener Zugriffssphäre sich die geschützte Aufnahme befindet?
Oder kann dies – und wenn ja unter welchen Voraussetzungen – auch durch das Setzen eines Hyperlinks geschehen?
Sind die vom Gerichtshof der Europäischen Union entwickelten Kriterien für eine Handlung der öffentlichen Wiedergabe nach Art. 3 Abs. 1 der Richtlinie 2001/29/EG durch den Betreiber einer Video-Sharing-Plattform oder Sharehosting-Plattform auch auf die Beurteilung der Frage zu übertragen, ob der Betreiber eines Content Delivery Networks, der nach Art. 13 Abs. 1 der Richtlinie 2000/31/EG / Art. 5 Abs. 1 der Verordnung (EU) 2022/2065 von der Haftung befreit sein kann, eine eigene Handlung des öffentlichen Zugänglichmachens nach Art. 3 Abs. 2 der Richtlinie 2001/29/EG vorgenommen hat? Wenn dies nicht der Fall ist: Welche Kriterien gelten für eine eigene Handlung des öffentlichen Zugänglichmachens durch den Betreiber eines Content Delivery Networks?
Bericht dazu hier – auch zu den denkbaren Konsequenzen.
2.10 BFH: Auskunftsanspruch umfasst auch interne Vermerke, etc.
Der Bundesfinanzgerichtshof (BFH) hob ein Urteil des FG München auf und verwies den Fall zur erneuten Entscheidung zurück. Der BFH bemängelte, dass das FG München in seinem Urteil vom Mai 2022 nicht berücksichtigte, dass ein Auskunftsanspruch personenbezogene Daten auch dann umfasse, wenn diese in internen Vermerken, Aktennotizen, Bearbeitungs- und Geschäftsgangsvermerken oder interner Kommunikation enthalten seien (Rn. 24). Auch habe das FG München unterlassen zu prüfen, ob auch ein Anspruch auf Zurverfügungstellung von Kopien personenbezogener Daten gemäß Art. 15 Abs. 3 DS-GVO bestünde (Rn. 26 f).
Nur wenn die Zurverfügungstellung einer Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die Datenschutz-Grundverordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind, besteht nach Art. 15 Abs. 3 Satz 1 DS-GVO ein Anspruch darauf, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken zu erhalten (Rn. 28).
Hierfür besteht jedoch keine generelle Vermutung. Vielmehr obliege es der betroffenen Person, darzulegen, dass die Kopie der personenbezogenen Daten sowie die Mitteilung der Informationen nach Art. 15 Abs. 1 Buchst. a bis h DS-GVO für die Wahrnehmung der ihr durch die DS-GVO verliehenen Rechte nicht genügt. Begehrt die betroffene Person die Zurverfügungstellung von Kopien von Dokumenten mit ihren personenbezogenen Daten, muss sie darlegen, welche der ihr durch die DS-GVO verliehenen Rechte sie auszuüben gedenkt und aus welchen Gründen die Zurverfügungstellung von Kopien von Akten mit personenbezogenen Daten hierfür unerlässlich ist. Andernfalls liefe das durch den EuGH aufgestellte Regel-Ausnahme-Prinzip ins Leere. Denn nach der Rechtsprechung des EuGH ist der Anspruch nach Art. 15 Abs. 1 und Abs. 3 DS-GVO grundsätzlich auf die Zurverfügungstellung einer Kopie der verarbeiteten personenbezogenen Daten der betroffenen Person gerichtet. Wenn dies für die Wahrnehmung der Rechte aus der Datenschutz-Grundverordnung nicht genügt, kann ausnahmsweise ein Anspruch auf eine (auszugsweise) Kopie der Quelle, in der die personenbezogenen Daten verarbeitet sind, bestehen (Rn. 29).
2.11 BFH: Auskunftsrechte gegenüber Finanzbehörde und Ausnahmen von Betroffenenrechten
Erneut hob der Bundesfinanzhof (BFH) ein Urteil des FG München vom Mai 2022 auf und verwies es zurück.
Der BFH bemängelt, dass das FG München Art. 15 Abs. 1 DS-GVO (Rn. 21 ff) und Art. 15 Abs. 3 DS-GVO (Rn. 32 ff) rechtsfehlerhaft angewendet und das Recht auf Akteneinsicht ohne Prüfung weiterer, außerhalb der DS-GVO liegender Anspruchsgrundlagen, rechtsfehlerhaft abgelehnt habe (Rn. 38 ff). Das FG habe zudem den nationalen Ausschlussgrund des § 32c Abs. 1 Nr. 3 Buchst. a AO fehlerhaft geprüft (Rn. 46 ff). Darüber hinaus geht das FG München zu Unrecht davon aus, dass das Auskunftsrecht nach Art. 15 Abs. 1 DS-GVO ausgeschlossen ist, wenn der Antragsteller über die begehrten Informationen bereits verfügt (Rn. 49 ff).
Die Erwähnung der Art. 13 Abs. 4 DS-GVO und Art. 14 Abs. 5 DS-GVO in § 32a und § 32b AO lässt entgegen der Auffassung des Beklagten und des FG nicht den Schluss zu, dass gemäß § 32c Abs. 1 Nr. 1 AO die Auskunftserteilung über die ausdrücklich in § 32a Abs. 1 Nr. 1 bis 4 AO bzw. § 32b Abs. 1 Satz 1 Nr. 1 und 2 AO geregelten Fälle hinaus auch dann ausgeschlossen sein soll, wenn der Betroffene bereits über die Informationen verfügt. Eine solche weite Auslegung steht nicht im Einklang mit Art. 23 DS-GVO, da eine solche Maßnahme nicht die in Art. 23 Abs. 1 Buchst. a bis j DS-GVO genannten Gesichtspunkte sicherstellen würde (Rn. 53).
2.12 BFH: Zulässigkeit der Klageänderung auf Auskunft neben Akteneinsichtsrecht
Der Bundesfinanzhof (BFH) wies die Revision des Klägers gegen eine Entscheidung des FG Berlin-Brandenburg vom März 2024 ab. Es stellte dazu fest, dass eine Klageänderung vorliegt, wenn ein Steuerpflichtiger bei der Finanzbehörde Akteneinsicht begehrt und er im Klageverfahren erstmals einen Auskunftsanspruch nach Art. 15 der DS-GVO geltend macht. Diese Klageänderung sei dann grundsätzlich unzulässig, wenn es an einer vorherigen Ablehnung des Auskunftsanspruchs seitens der Finanzbehörde und damit an der für die Klageerhebung notwendigen Beschwer fehle.
2.13 OLG München: Nachweispflichten und Anforderungen bei Schadenersatz nach Art. 82 DS-GVO
In einem Verfahren des OLG München zu Schadenersatzforderungen nach einen Scraping-Vorfall befasste sich dieses mit den Nachweispflichten und Anforderungen an immateriellen Schadenersatz bei „Kontrollverlust“. Es kommt dabei zu dem Ergebnis, dass wenn der Zeitpunkt eines Scraping-Vorfalls streitig ist, denjenigen eine sekundäre Darlegungslast trifft, der die Daten gespeichert hat (Rn. 57 – 58). Die Voreinstellung der Suchbarkeit anhand einer Telefonnummer auf „Alle“ verstoße gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. b) und c), Art. 25 Abs. 2 S. 1, S. 3 DS-GVO (Rn. 67 – 81). Ein – selbst kurzzeitiger – bloßer Verlust der Kontrolle über personenbezogene Daten könne einen immateriellen Schaden darstellen, ohne dass dieser Begriff den Nachweis zusätzlicher spürbarer negativer Folgen erfordere, etwa eine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der betroffenen Person (Rn. 93).
Im Ergebnis sprach es dem Kläger dann einen immateriellen Schadenersatz in Höhe von 200 Euro zu.
2.14 OLG Frankfurt: Kein Kontaktdatenzwang bei Kauf einer Fahrkarte der Deutschen Bahn
Der Erwerb von Fahrkarten der Deutschen Bahn darf nicht von der Angabe von Kontaktdaten wie E-Mail-Adresse bzw. Handynummer abhängen. Diese Angaben hatte die Bahn vom Oktober 2023 bis zum Fahrplanwechsel am 15. Dezember 2024 selbst dann verlangt, wenn Kunden am Schalter eine Fahrkarte kaufen wollten. Das elektronische Ticket wurde dann an die entsprechende Adresse versendet. Dies untersagte nun das OLG Frankfurt (Pressemeldung dazu hier) nach einer Klage des vzbv. Die Verbraucher hätten hier keine „echte oder freie Wahl“ gehabt, hat nun der 6. Zivilsenat des OLG Frankfurt rechtskräftig entschieden. Bericht dazu auch hier.
Der HBDI begrüßt das Urteil, sieht er seine Einschätzung doch bestätigt.
2.15 OLG Karlsruhe: Aufgaben von DSB gegenüber betroffenen Personen
Was umfasst der Aufgabenbereich einer / eines DSB? Das LG Freiburg musste sich damit auseinandersetzen. Das OLG Karlsruhe bestätigte die Entscheidung des LG Freiburg aus der 1. Instanz.
Auch wenn sich der Sachverhalt vorwiegend innerhalb einer Justizvollzugsanstalt und daher im Landesrecht abspielt, betrifft die Kernfrage das Grundverständnis des Aufgabengebietes einer Person, die zur / zum Datenschutzbeauftragten ernannt wurde. Art. 38 Abs. 4 DS-GVO und § 6 Abs. 5 BDSG sehen vor, dass betroffene Personen die oder den Datenschutzbeauftragte/n zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der DS-GVO, dem BDSG sowie anderen Rechtsvorschriften über den Datenschutz im Zusammenhang stehenden Fragen zu Rate ziehen können. Wie weit geht dieses Recht?
Nach dem LG Freiburg und bestätigend durch das OLG Karlsruhe umfasst dies aber nur das Recht der betroffenen Person, sich von der / dem Datenschutzbeauftragten des (im konkreten Fall) Verantwortlichen über die Verarbeitung ihrer personenbezogenen Daten informieren und über ihre Rechte und deren Wahrnehmung beraten zu lassen. Die / der Datenschutzbeauftragte sei verpflichtet die Anfragen und Beschwerden der betroffenen Person zu prüfen und zu beantworten (RN. 5). Von der / dem Datenschutzbeauftragten könnten jedoch keine konkreten Auskünfte über die Erhebung, Speicherung, Nutzung und Übermittlung personenbezogener Daten durch die Justizvollzugsanstalt (hier die verantwortliche Stelle) verlangt werden (Rn. 7).
2.16 OLG Schleswig-Holstein: Anforderungen an Eilbedürftigkeit bei Eilanträgen (Meta)
Das OLG Schleswig-Holstein hat einen Eilantrag einer niederländischen Verbraucherschutzstiftung gegen Meta auf Untersagung der Nutzung bestimmter Kundendaten (allein) wegen der fehlenden Dringlichkeit abgelehnt – und angeregt, dies in einem Hauptsacheverfahren klären zu lassen. Wie es in der Pressemitteilung u.a. ausführt, sei
die Angelegenheit nicht eilbedürftig und rechtfertige daher nicht den Erlass eines einstweiligen Nutzungsverbotes. SOMI muss etwaige Ansprüche mit einer Hauptsacheklage verfolgen.
Im Urteil selbst führt der Senat dann aus, dass es dringlichkeitsschädlich im Sinne von § 12 UWG i.V.m. § 5 UKlaG sei, wenn ein Verbraucherschutzverband nach der Ankündigung einer verbraucherschutzwidrigen Praktik mit der Beantragung einstweiligen Rechtsschutzes bis zum Beginn des beanstandeten Verhaltens wartet. Eine Dringlichkeit sei jedenfalls dann nicht mehr gegeben, wenn zwischen der Ankündigung und dem Beginn des Verhaltens mehr als ein Monat liegt und ein Antrag auf Erlass einer einstweiligen Verfügung vor Beginn des Verhaltens möglich gewesen wäre. In Rn. 52 ff seiner Entscheidung legt das OLG den bisherigen Sachverhalt und die Aktivitäten von Meta diesbezüglich und die rechtliche Bewertung des HmbBfDI dar.
Die Bewertung, die zur Ablehnung des Antrags führte, findet sich dann ab Rn. 68.
Das Gericht führt aber auch aus (Rn. 52), dass es offensichtlich sei, dass die Ankündigung von Meta zur Verarbeitung von Daten aus Accounts der über 18-jährigen Nutzer auch die Verarbeitung von personenbezogenen Daten von Kindern, Jugendlichen und anderen Dritten, sowie Daten besonderer Kategorien nach Art. 9 DS-GVO umfassen wird, nämlich in dem Fällen, wenn solche Daten in öffentlichen (Bild-)Beiträgen oder öffentlichen Kommentaren auf den Profilen erwachsener Nutzer genannt oder auf veröffentlichten Bildern solcher Profile mit oder ohne Einwilligung der betroffenen Personen abgebildet werden.
Meta habe sodann zwar offenbar in der Zeit vor Beginn der angekündigten Datenverarbeitung und teilweise in Abstimmung mit den zuständigen Datenschutzbehörden verschiedene Maßnahmen wie De-Identifizierung und Tokenisierung von Inhalten vorgenommen, um das Datenschutzniveau der beabsichtigten Datenverarbeitung zu erhöhen, jedoch bereits nach eigenem Vorbringen keineswegs wirksam ausgeschlossen, dass personenbezogene Daten von nichtregistrierten Nutzern oder Kindern und Jugendlichen oder Daten besonderer Kategorien nach Art. 9 DS-GVO in den Trainingsdatensätzen für ein KI-Modell oder in dem KI-Modell selbst enthalten sind.
Schließlich teilte Meta selbst mit, dass es nicht ausgeschlossen sei, dass das KI-Modell personenbezogene Daten über private Personen ausgeben könne, sondern dass nur die Wahrscheinlichkeit dafür äußerst gering sei. Wenn schon das KI-Modell solche Daten ausgeben kann, obwohl es laut Vortrag Metas programmiertechnisch dazu angehalten ist solche Daten nicht auszugeben, erscheint es dem Senat als gesichert, dass solche Daten im KI-Modell selbst und damit auch im Trainingsdatensatz enthalten sind. Dabei sei zu bedenken, dass bei Umprogrammierung des Ausgabe-Prompts des KI-Modells oder bei Auswertung des Lerndatensatzes mittels eines KI-Modells eine De-Identifizierung und Tokenisierung erwartbar durchaus ganz oder teilweise rückgängig gemacht werden kann.
Gerade vor diesem Hintergrund ist die Verarbeitung der sensiblen Daten besonderer Kategorien im Sinne von Art. 9 DS-GVO von nicht als Nutzer registrierten Personen, deren Daten ohne ihre Einwilligung von registrierten Nutzern auf Konten veröffentlicht wurden, grundsätzlich nach Art. 9 Abs. 1 DS-GVO untersagt und könne nicht Gegenstand einer Abwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO sein. Hierbei ist auch zu bedenken, dass es allen Betroffenen anders als bei Suchmaschinen im Internet nicht möglich ist herauszufinden, ob ihre Daten oder Abbildungen im Lerndatensatz der KI und damit ggf. auch im KI-Modell selbst rechtswidrig verwendet werden.
2.17 LAG Düsseldorf: Zuständigkeit bei Auskunftsbegehren eines Bewerbers im kirchlichen Umfeld
Die Parteien stritten über einen Anspruch auf Auskunft gemäß Art. 15 DS-GVO sowie über einen Anspruch auf Schadensersatz gemäß Art. 82 Abs. 1 DS-GVO und in diesem Zusammenhang vorab über die Zulässigkeit des Rechtsweges zu den Arbeitsgerichten.
Der Kläger bewarb sich bei der Beklagten, einer kirchlichen Stelle im Sinne von § 2 Abs. 1 Satz 1 DSG-EKD, als Mitarbeiter für das Debitoren- und Forderungsmanagement. Er teilte der Beklagten mit seine Bewerbung nicht aufrecht zu erhalten. Hintergrund war, dass die Beklagte sich bis zu diesem Zeitpunkt nicht inhaltlich zu der klägerischen Bewerbung geäußert hatte. Zugleich forderte er die Beklagte zur Auskunft gemäß Art. 15 DS-GVO auf. Die Beklagte teilte dem Kläger mit, dass sich das Auskunftsbegehren nicht nach der DS-GVO, sondern nach dem DSG-EKD richte. Gemäß § 16 Abs. 3 Satz 1 DSG-EKD betrage die Frist zur Auskunftserteilung drei Monate; dem werde man nachkommen. Der Kläger erwiderte, dass die Regelungen des DSG-EKD seines Erachtens europarechtswidrig seien und die Beklagte daher eine unverzügliche Bearbeitung von Betroffenenanfragen gemäß Art. 12 Abs. 3 Satz 1 DS-GVO schulde.
Vor dem Arbeitsgericht Düsseldorf verlangt der Kläger von der Beklagten Auskunft gemäß Art. 15 DS-GVO und Schadensersatz gemäß Art. 82 Abs. 1 DS-GVO. Er ist der Auffassung, dass der Rechtsweg zu den Arbeitsgerichten gemäß § 2 Abs. 1 Nr. 3 lit. c ArbGG eröffnet sei und § 47 DSG-EKD dem nicht entgegen stehe.
Das LAG Düsseldorf stellt die Zuständigkeit des Arbeitsgerichtsbarkeit fest. Richtet sich das Auskunfts- und Schadensersatzbegehren wie hier gegen einen potentiellen Arbeitgeber wegen im Rahmen eines Bewerbungsverfahrens um eine Anstellung als Arbeitnehmer erfolgter Datenverarbeitung, liegt eine bürgerliche Rechtsstreitigkeit vor. Diese resultiert aus Verhandlungen über die Eingehung eines Arbeitsverhältnisses und Streitparteien sind mit dem Bewerber und dem die Stelle ausschreibenden, seinerzeit potentiellen Arbeitgeber dann auch Arbeitnehmer und Arbeitgeber im Sinne des § 2 Abs. 1 Nr. 3 lit. c ArbGG. Denn diese zuständigkeitsbegründende Norm ist wie alle in § 2 ArbGG aufgeführten, zuständigkeitsbegründenden Tatbestände in dem Sinne weit auszulegen, dass alle ein Arbeitsverhältnis betreffenden Streitigkeiten – von der Phase der Bewerbung und den hieraus resultierenden vertragsähnlichen oder gesetzlichen Ansprüchen bis zu den nachvertraglichen Ansprüchen – der Fachgerichtsbarkeit der Arbeitsgerichte zugewiesen werden sollen.
Erfasst werden mit § 2 Abs. 1 Nr. 3 lit. c ArbGG sämtliche Streitigkeiten im Zusammenhang mit einem Bewerbungsverfahren um eine arbeitsvertragliche Anstellung, unabhängig davon, ob das Bewerbungsverfahren erfolgreich oder ohne Erfolg verlaufen ist.
Mithin ist auch der erfolglose Bewerber „Arbeitnehmer“ im Sinne der Zuständigkeitsnorm des § 2 Abs. 1 Nr. 3 lit. c ArbGG und der nur zeitweise potentielle Arbeitgeber ist gleichfalls ein solcher im Sinne dieser Norm. Anerkannt ist dementsprechend unter anderem, dass Schadensersatzklagen erfolgloser Bewerber nach § 15 AGG Streitigkeiten nach § 2 Abs. 1 Nr. 3 lit. c ArbGG betreffen.
Gleiches gilt für Herausgabeklagen bzgl. eingereichter Bewerbungsunterlagen und solche auf Auskunftserteilung über Testergebnisse. Nichts anderes habe dann aber konsequenterweise auch für Auskunftsklagen nach Art. 15 DS-GVO und Schadensersatzklagen nach Art. 82 Abs. 1 DS-GVO eines erfolglosen Bewerbers um eine Anstellung in einem Arbeitsverhältnis im Zusammenhang mit den im Rahmen seines Bewerbungsverfahrens erhobenen und verarbeiteten Daten zu gelten (Rn. 45).
2.18 LAG Baden-Württemberg: Datenschutzrechtliche Anforderungen im BEM
Hinsichtlich des betrieblichen Eingliederungsmanagement (BEM) hat das Landesarbeitsgericht Baden-Württemberg entschieden, dass Arbeitgeber bei der Einleitung eines BEM nicht nur die Initiative ergreifen müssen – sie tragen auch die volle Verantwortung für datenschutzkonforme Abläufe, selbst wenn externe Dienstleister eingebunden sind. Demnach liegt ein ordnungsgemäßer BEM-Versuch nur vor, wenn der Arbeitgeber/Dienstleister transparent über folgende Punkte informiert: die Ziele des BE, die Art und den Umfang der erhobenen Daten, welche sensiblen Krankheitsdaten erhoben und gespeichert werden und inwieweit und zu welchen Zwecken diese Daten dem Arbeitgeber zugänglich gemacht werden.
Auch wenn die Konzeption eines betrieblichen Eingliederungsmanagements als ersten Schritt ein vorgeschaltetes Informationsgespräch und als zweiten Schritt das betriebliche Eingliederungsmanagement vorsieht, liege der Versuch einer ordnungsgemäßen Durchführung des betrieblichen Eingliederungsmanagements nur dann vor, wenn der Arbeitgeber den Arbeitnehmer nach § 167 Abs. 2 Satz 4 SGB IX auf die Ziele des betrieblichen Eingliederungsmanagements sowie Art und Umfang der dabei erhobenen Daten hingewiesen habe. Erforderlich sei unter anderem ein Hinweis zur Datenerhebung und Datenverwendung, der klarstelle, dass nur solche Daten erhoben werden, deren Kenntnis erforderlich ist, um ein zielführendes, der Gesundung und Gesunderhaltung des Betroffenen dienendes betriebliches Eingliederungsmanagement durchführen zu können. Dem Arbeitnehmer müsse mitgeteilt werden, welche Krankheitsdaten – als sensible Daten im Sinne des Datenschutzrechts – erhoben und gespeichert und inwieweit und für welche Zwecke sie dem Arbeitgeber zugänglich gemacht werden.
2.19 LG Darmstadt: Zur Zulässigkeit von Werbeaussagen mit sog. Emotionsansprachen
Das LG Darmstadt stellte in seinem Urteil fest, das Werbeaussagen, die sog. Emotionsansprachen enthalten, unter Irreführungsgesichtspunkten wettbewerbsrechtlich unzulässig sein können, wenn der sachliche Kern nicht zutreffend ist. Im konkreten Fall ging es um Aussagen wie „Jetzt bevorraten, bevor zum Sommer die Öl-Förderung durch die Opec wieder reduziert wird und geopolitische Spannungen zu Preisanstiegen führen!“. Dies sei unter Irreführungsgesichtspunkten wettbewerbsrechtlich unzulässig.
2.20 VG Bremen: Dauer einer nachvertraglichen Datennutzung für Werbezwecke
Ein Vertrag endet. Wie lange dürfen die Daten noch für nachvertragliche Werbezwecke genutzt werden? Damit befasste sich das VG Bremen in dieser Entscheidung. Eine Energieversorgerin verarbeitete im Zusammenhang mit der werblichen Ansprache ehemaliger Kunden nach ihren allgemeinen Datenschutzinformationen deren Namen, die Adresse, ob und bzgl. welches Produktes der (ehemalige) Kunde nutze, Informationen zur Verbrauchsstelle und dem Zähler und die Information, ob eine Einwilligung für den Erhalt von Werbung erteilt wurde, für maximal 24 Monate nach Vertragsende.
Zur Kundenrückgewinnung nicht von ihr versorgter Stellen nahm das Energieunternehmen Haustürbesuche vor. Dazu ermittelt es die noch nicht versorgten Haushalte mittels mehrerer Schritte. Zunächst ermittelt sie aus allen ihren bekannten Abnahmestellen für Strom oder Erdgas diejenigen, welche sie gegenwärtig nicht versorgt. Wenn sich an einer Anschrift mehrere Zähler befinden (Mehrfamilienhaus), kann sie allein ausgehend von der Zählerstelleninformation (Zählernummer und Adresse) nicht den konkreten Haushalt identifizieren, dem der nicht versorgte Zähler zugeordnet ist. Um insoweit nur potentielle Neukunden anzusprechen, ermittelt sie, welche der gegenwärtig nicht versorgten Zählerstellen sie in den vergangenen 24 Monaten versorgt hatte und ordnet diesen Zählerstellen den Namen und die Anrede des ehemaligen Vertragspartners zu. Dabei können nur solche Vertragsdaten herangezogen werden, die noch nicht archiviert sind. Eine Archivierung erfolgte 24 Monate nach Vertragsbeendigung (mehr Details dazu im Urteil).
Es kam wie es kommen musste(, sonst stünde es nicht hier): Beschwerde an die Aufsicht, Bescheid der zuständigen Aufsicht in Bremen, Klage dagegen und dann ein Urteil des VG Bremen.
Das VG Bremen hob den Bescheid auf. Das Energieunternehmen habe ein berechtigtes Interesse die vormaligen Vertragsdaten bis zu 24 Monaten zu speichern, um eine Kundenrückgewinnung zu starten. Das Unternehmen habe nachvollziehbar dargelegt, dass derzeit im Rahmen von Energieversorgungsverträgen üblich ist, dass eine Vertragslaufzeit von 12 bis 24 Monaten vereinbart wird. Vor Ablauf der Mindestvertragslaufzeit bestünde regelmäßig keine Möglichkeit, den Vertrag bei dem Konkurrenzunternehmen vorzeitig zu beenden, für den Kunden. Er wird eine Werbung erst dann beachten, wenn er den Nutzen eines etwaigen Vertragswechsels selbst erkennt und zeitnah herbeiführen kann. Insoweit stellt sich eine Werbung vor dem maßgeblichen ersten Kündigungszeitpunkt eines Vertrages als nicht gleich effektiv dar. Das Unternehmen habe somit auch ein berechtigtes Interesse an der Speicherung für 24 Monate.
Auch überwiegen die Grundfreiheiten und Grundrechte der betroffenen Kunden nicht das berechtigte Interesse des Unternehmens. Dies gelte für sowohl für die Haustürwerbung als auch für den Postversand. Allerdings stellte das Gericht auch fest, dass in den Informationen des Unternehmens nicht ausreichend auf die Werbung über Haustürwerbung informiert wurde, sah aber hierin eine legitime Zweckänderung durch das Unternehmen: „der verfolgte Sekundärzweck der nachvertraglichen Haustürwerbung ist mit dem Primärzweck, zu dem die Daten ursprünglich erhoben wurden, gem. Art. 6 Abs. 4 DS-GVO vereinbar“. Das Urteil wurde hier besprochen, ebenso in diesem Podcast (ab der 20. Min., Dauer ca. 36 Min.).
2.21 LG München I: Konkretisierung zum Fernunterrichtsschutzgesetz
Jetzt hatte doch eben erst der BGH zum Fernunterrichtsschutzgesetz (FernUSG) entschieden und für Irritationen und Hektik gesorgt (wir berichteten). Nun hat, wie hier ausgeführt wird, das LG München I (Urteil vom 8. August 2025, Az. 47 O 12802/24) auch unter Berücksichtigung der BGH-Rechtsprechung die Anforderungen im Hinblick auf das FernUSG konkretisiert. Ein Coaching-Vertrag, der digitale Kurse mit Live-Videokonferenzen und individuellem 1:1-Support kombiniert, sei kein Fernunterrichtsvertrag im Sinne des FernUSG.
Im streitgegenständlichen Fall gab es Zugang zu einem Videolehrkurs, mehrmals wöchentliche Live-Videokonferenzen, sowie individueller VIP-Support im 1:1-Austausch. Damit war jederzeit die Möglichkeit gegeben Rückfragen zu stellen und persönliche Betreuung zu erhalten. Es bestünde bei einem derartigen Format also gerade nicht die anonyme Distanz, die das FernUSG im Blick habe.
Das Urteil des LG München I gibt es mittlerweile online.
2.22 AG Frankfurt: Personenbezug nur bei tatsächlicher Verknüpfung
Was ist von einem Auskunftsanspruch tatsächlich umfasst? Nun wissen wir, dass dazu auch personenbeziehbare Daten gehören, die zu einer Person zugerechnet werden können, beispielsweise Personal- oder Kundennummern (vgl. Art. 4 Nr. 1 DS-GVO). Ein Amtsgericht hatte einen Fall zu entscheiden, bei dem eine Person bei der Bahn nach Art. 15 DS-GVO Auskunft begehrte. So erwartete diese Person u.a. Auskunft zu Zeitpunkt, Ort und Art der Entwertung seiner Tickets bei einzelnen Zugfahrten.
Bei der Bahn werden Kontrolldatensätze bei der Fahrscheinkontrolle im Zug erzeugt, wenn der Zugbegleiter das Ticket scannt. Der Scanvorgang führt dazu, dass die Ticketdaten mit einem Server abgeglichen werden, einem sogenannten „Hintergrundsystem“ der Bahn. Die Ticketdaten, die sogenannten Kontrolldaten, bestehen aus Auftragsnummer, Zeitpunkt der Kontrolle, Zugnummer und Schalternummer. Mittels dieser Daten werden im Hintergrundsystem Plausibilitätschecks durchgeführt, um beispielsweise die Mehrfachnutzung oder die Nutzung eines vor Fahrtantritt stornierten Tickets zu erkennen. Entsprechende Auffälligkeitsanalysen laufen in dem Hintergrundsystem. Der Name der kontrollierten Person ist im Kontrolldatensatz nicht erfasst. Lediglich die Auftragsnummer wird dort gespeichert. Auffälligkeiten in diesem Sinne traten bei den Fahrkartenkontrollen beim Kläger nicht auf. Die Buchungsdatensätze und die Kontrolldatensätze sind in den Datenbanken der Bahn aus Datenschutzgründen getrennt. Nur in Fällen, in denen Unstimmigkeiten, wie zum Beispiel die Nutzung eines zuvor stornierten Tickets, ersichtlich sind, erfolgt eine Prüfung, bei der der betroffene Datensatz über die Auftragsnummer einer Person im konkreten Einzelfall unmittelbar und automatisiert zugeordnet wird.
Sind diese nun von dem Auskunftsanspruch umfasst?
Das Amtsgericht Frankfurt hat die Klage abgewiesen. Der Name der kontrollierten Person sei im Kontrolldatensatz nicht ersichtlich. Die Kontrolldaten bestehen aus Auftragsnummer, Zeitpunkt der Kontrolle, Zugnummer und Schalternummer. Zwar stelle die im Kontrolldatensatz gespeicherte Auftragsnummer ein Datum dar, über das die Zuordnung zu einer konkreten Person erfolgen kann. Diese Zuordnung sei aber erst dann möglich, wenn ein Bezug zu den Buchungsdatensätzen, in welcher auch die Namen vorgehalten werden, erfolgt. Im Fall des Klägers gab es keine diese Zuordnung auslösenden Auffälligkeiten bei der Fahrkartenkontrolle, so dass keine Zuordnung der Kontrolldatensätze zu den Buchungsdatensätzen erfolgte.
Offenbleiben kann für die Entscheidung des Rechtsstreits nach Ansicht des AG Frankfurt, ob der Bahn im Nachhinein eine Zusammenführung der Kontrolldatensätze und der Buchungsdatensätze ohne zu große Erschwernisse möglich wäre. Denn aus dem Auskunftsanspruch nach Art. 15 DS-GVO resultiert keine Pflicht der Bahn, die getrennt gespeicherten Kontrolldatensätze mit den Buchungsdatensätzen zu verbinden und so den Auskunftsanspruch des Klägers zu erweitern. Die getrennte Speicherung der Kontroll- und Buchungsdatensätze diene gerade dem Datenschutz.
Manche erinnert das an das Urteil des OVG Berlin-Brandenburg, das auch einen Anspruch auf Auskunft (Bereitstellung einer Kopie) von Videoaufzeichnungen aus einer S-Bahn verneinte, weil das OVG feststellte, dass die verantwortliche Stelle gerade Maßnahmen getroffen hatte, so dass sie als Folge ihres Datenschutzkonzeptes keine Einsicht in die Videoaufzeichnungen zu nehmen vermochte (Rn. 54, wir berichteten).
Wenn sich diese Meinung durchsetzt, könnte das manchen Aufwand bei der Auskunft entlasten, wenn bei einer verantwortlichen Stelle eine Zuordnung zu einer Person erst nach einem bestimmten rechtlich nicht beeinflussbaren Ereignis erfolgen würde.
2.23 AG Nürnberg: Geltendmachung eines Schadenersatzanspruchs nach Art. 82 DS-GVO
Ganz so einfach ist es dann doch nicht einen immateriellen Schadenersatzanspruch nach Art. 82 DS-GVO bei der Weitergabe von Positivdaten im Rahmen eines Telekommunikationsvertrages einzuklagen. So stellte das AG Nürnberg fest, dass ein Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO den vollständigen Nachweis eines konkret-individuellen Schadens voraussetze. Bloße Verunsicherung oder abstrakte Kontrollverlustgefühle genügen nicht (Rn. 21 – 23).
Fast schon Unterhaltungswert haben die Ausführungen des Gerichts zur Darstellung des Klägers in Gegenüberstellung der Aussagen der Rechtsvertreterin des Klägers in den Schriftsätzen (RN. 24f).
Eine Einwilligung nach Art. 7 DS-GVO sei wirksam, wenn sie in einfacher Sprache, transparent und zweckgebunden erteilt wird. Eine datenschutzrechtliche Einwilligung kann auch dann freiwillig sein, wenn sie an einen Vertragsschluss gekoppelt ist, sofern keine unangemessene Drucksituation besteht (Rn. 30 – 38).
Die Übermittlung von Positivdaten an Wirtschaftsauskunfteien durch Telekommunikationsunternehmen ist zur Wahrung berechtigter Interessen i.S.v. Art. 6 Abs. 1 lit. f DS-GVO, namentlich der Betrugsprävention, erforderlich, ohne dass die Persönlichkeitsrechte des Betroffenen überwiegen (Rn. 39 – 50).
2.24 LG Dortmund: Ablehnung der Auskunftsrechte wegen Rechtsmissbrauchs
Das LG Dortmund lehnte einen Auskunftsanspruch aus Art. 15 DS-GVO wegen Rechtsmissbrauchs ab. Ein Unternehmen betrieb eine Zeit lang ohne Lizenz in Deutschland ein Online-Casino. Um vermeintliche Ansprüche geltend machen zu können, forderte der Kläger über Art. 15 DS-GVO eine Auflistung seiner Spielaktivitäten. Das Unternehmen verweigerte diese Auskünfte. Das LG Dortmund bestätigte die Verweigerung mit der Begründung, die Geltendmachung des Auskunftsrechts sei rechtsmissbräuchlich.
Der Wortlaut des Art. 12 Abs. 5 DS-GVO („insbesondere“) deute darauf hin, dass über die in der Vorschrift aufgeführten Beispiele hinaus weitere Fälle von mißbräuchlichen Auskunftsersuchen bestehen könnten. Auch sei nach dem ErwGr. 63 der DS-GVO deutlich, dass der Zweck des Auskunftsrechts darin bestünde, die Rechtmäßigkeit der Datenverarbeitung zu überprüfen. Daran sei dem Kläger aber nicht gelegen. Ein Auskunftsantrag zur Berechnung der Höhe einer zivilrechtlichen Forderung im Zusammenhang mit Spielverlusten sei kein Ziel, das in den Schutzbereich der DS-GVO fiele (Rn. 59 f).
Auch befasste sich das LG Dortmund ab Rn. 61 auch mit der Rechtsprechung des EuGH (C-307/22, wir berichteten). Dort sei in einem Arzt-Patienten-Verhältnis die Krankenakte des Patienten in der Regel völlig außerhalb der Kontrolle des Patienten, was das Bedürfnis der betroffenen Person nach Zugang und Schutz offensichtlich mache. Demgegenüber habe der EuGH im vorliegenden Fall keinen vergleichbaren Schutzbedarf festgestellt. Der Kläger versuchte letztlich die DS-GVO als Instrument für die vorgerichtliche Offenlegung zu nutzen, ein Ansatz, der mit den Grundsätzen des deutschen Zivilprozessrechts unvereinbar ist.
2.25 LG Berlin: Haftung von Plattformbetreibern nach Art. 16 DSA
Nach einer Entscheidung des LG Berlin haften Onlineplattformen- und Hostingdienste-Anbieter nur dann für illegale Inhalte ihrer Nutzer, wenn sie über diese im Wege eines bestehenden Melde- und Abhilfeverfahrens informiert wurden. Nach Auffassung des Gerichts soll die Kenntnisnahme eines Verstoßes durch andere Mitteilungen (z.B. Brief, E-Mail, Kontaktformular) keinerlei Prüf- oder Handlungspflichten auslösen, soweit die betroffenen Anbieter ein Melde- und Abhilfeverfahren eingerichtet haben, das den Anforderungen aus Art. 16 DSA (Digital Services Act) entspricht.
2.26 Open Source heißt nicht rechtsfrei
Nur weil etwas frei verfügbar ist, bedeute dies, dass es keine zu beachtenden Regelungen gibt. Dies wird nun auch gerichtlich hinsichtlich der Verwendung von Open_Source in proprietären Produkten geklärt. Hierbei handelt es sich um eine Klage gegen einen Fahrzeughersteller, der Open Source einsetzt – und nicht die Nutzungsbedingungen beachtet, was für den Käufer einen Rechtsmangel darstellen kann. Pressemeldung dazu hier, Video (YouTube) dort.
2.27 Interdiözesanes Datenschutzgericht: Unzulässiges Löschen
Einen der eher seltenen Fälle, wenn sich eine betroffene Person gegen das Löschen wendet, hatte das Interdiözesane Datenschutzgericht zu behandeln. Hier ging es um Unterlagen aus einer Erziehungsberatung, die gegen den Willen der Mutter bei einer kirchlichen Beratungseinrichtung gelöscht wurden. Das Interdiözesane Datenschutzgericht bestätigt den darin liegenden Datenschutzverstoß. Das Löschen als solches sei eine Verarbeitung. Die Verarbeitung personenbezogener Daten ist nach § 3 Abs. 1 KDG nur zulässig, soweit das KDG oder eine andere kirchliche oder eine staatliche Rechtsvorschrift sie erlaubt oder anordnet oder der Betroffene eingewilligt hat. Vergleichbar bestimmt § 6 Abs. 1 KDG als Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten unter anderem, dass das KDG oder eine andere kirchliche oder eine staatliche Rechtsvorschrift sie erlaubt oder anordnet (lit. a) oder die betroffene Person in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt hat. Weder KDO oder KDG noch anderweitig geregeltes kirchliches oder staatliches Recht erlaubten die Löschung der fraglichen Daten im konkreten Fall oder ordneten sie an (Rn. 37).
2.28 BVwG Österreich: Anforderungen an „Pay or Consent“
Das österreichische Bundesverwaltungsgericht (BVwG) hat eine frühere Entscheidung der österreichischen Datenschutzbehörde (DSB) bestätigt, wonach eine Zeitung bei der Einführung von „Pay or Consent“ gegen die DS-GVO verstoßen habe, weil die Gestaltung nur eine pauschale Einwilligung oder Ablehnung zulasse – obwohl das Gesetz vorsehe, einzelnen Verarbeitungszwecken zuzustimmen.
Sowohl die DSB als auch das Gericht vertraten die Auffassung, dass die Nutzer in der Lage sein müssen jedem Verarbeitungszweck selektiv zuzustimmen oder ihm zu widersprechen. Bericht dazu auch hier. Die Entscheidung ist noch nicht rechtskräftig.
2.29 OLG Linz: Haftung bei Rechnungsmanipulation
Auch in Österreich werden Rechnungen manipuliert. Auch hier wurde die Kontonummer geändert, so dass der Rechnungsbetrag durch den Rechnungsempfänger in Höhe von ca. 15.000 Euro im April 2023 auf ein falsches Konto gezahlt wurde. Die Geschäftsbeziehung bestand seit 2021. Nach einer Rechnung im März 2023 erhielt der Rechnungsempfänger eine weitere E-Mail, dass sich aufgrund einer Fusion die IBAN und der Empfänger auf der Rechnung geändert hätten. Es wurde auf das geänderte Konto gezahlt. Der Rechnungsempfänger weigerte sich ein zweites Mal zu zahlen und sah das Versäumnis beim Rechnungsersteller. Er wurde verklagt und bekam bereits in der ersten Instanz nicht Recht. Auch die zweite Instanz beim OLG Linz bestätigte, dass er nicht schuldbefreiend gezahlt habe. Der Rechnungsempfänger habe nicht einfach so den geänderten Angaben vertrauen dürfen.
Da der Beklagte erstmals im Berufungsverfahren damit argumentierte, der Kläger hätte sich für Rechnungen einer elektronischen Signatur bedienen und nach den gesetzlichen Standards der DS-GVO E-Mails verschlüsseln müssen, hätte er gegen das Neuerungsverbot im Berufungsverfahren verstoßen. Aber abgesehen davon sehe der Beklagte, dass derjenige, der ein nicht qualifiziert elektronisch signiertes Dokument erhält, sich – der Grundkonzeption des Signatur- und Vertrauensdienstegesetzes (SVG) entsprechend – gerade nicht sicher sein kann, dass dieses von jenem stammt, von dem es zu stammen scheint.
Zu manipulierten Rechnungen informierten wir bereits öfter, zuletzt hier.
2.30 Franz. Verfassungsgerichtshof: Verpflichtung der CNIL auf Verbot der Selbstbelastung hinzuweisen?
In Frankreich gab es eine Entscheidung des französischen Verfassungsgerichtshofes gegenüber der CNIL, dass sie Unternehmen, die sie befragt, über deren Schweigerecht belehren müsse, wenn diese sich belasten könnten. Hintergrund ist, dass sich Unternehmen beschwerten, dass sie durch die CNIL zur Stellungnahme aufgefordert wurden, ohne über ihr Recht auf Schweigen informiert worden zu sein, obwohl diese Stellungnahme im Rahmen dieses Verfahrens gegen sie verwendet werden konnte. Dies führe zu einer Verletzung der Anforderungen des Artikels 9 der Erklärung der Menschen- und Bürgerrechte von 1789. Gemäß Artikel 9 der Erklärung der Menschen- und Bürgerrechte von 1789 gilt: „Jeder Mensch gilt muss. Wenn seine Festnahme für notwendig erachtet wird, streng gesetzlich geahndet werden.“ Daraus ergibt sich der Grundsatz, dass niemand verpflichtet ist sich selbst zu belasten, woraus sich das Recht auf Schweigen ableitet. Diese Anforderungen gelten nicht nur für Strafen, die von Strafgerichten verhängt werden, sondern auch für alle Sanktionen, die den Charakter einer Strafe haben.
Der Verfassungsgerichtshof befasste sich mit den relevanten Regelungen in Frankreich und stellte fest, dass diese Praxis verfassungswidrig sei (N. 15). In der Folge erklärt sie, dass es bis zu einer Anpassung durch den Gesetzgeber eine Übergangsfrist bis 1. Oktober 2026 gibt (RN. 17).
Er legte auch fest, dass vor Veröffentlichung dieser Entscheidung getroffenen Maßnahmen nicht aufgrund Verfassungswidrigkeit angefochten werden könnten (RN. 18). Bis zum Inkrafttreten eines neuen Gesetzes oder bis zum Zeitpunkt der Aufhebung der angegriffenen Bestimmungen muss die Person gegen die durch die CNIL (kleine Kammer) ermittelt wird, über ihr Schweigerecht belehrt werden (Rn. 19).
2.31 Oberstes Verwaltungsgericht Estland: Anforderungen an die Abwägung bei Videoüberwachung
Das estnische Berufungsgericht bestätigte (Link mit Captcha) eine Anordnung der Datenschutzaufsichtsbehörde hinsichtlich der Anforderungen bei einer Videoüberwachung, die sich auf Wahrung berechtigter Interessen stützt. Der Streit ging zwischen zwei Nachbarn, bei denen der eine Videokameras einsetzt, die nicht nur den Bereich des Nachbarn, sondern auch öffentlichen Raum umfassten.
Die zuständige Aufsicht forderte die Verantwortliche auf, die Videoüberwachung einzustellen oder die Dokumentation der Interessensabwägung vorzulegen. Erstmal stellte das Gericht fest, dass sich die Aufnahmen außerhalb des eigenen Grundstücks nicht mehr von der Haushaltsausnahme der DS-GVO in Art. 2 Abs. 2 lit. c gedeckt seien und verwies dazu auf die Rechtsprechung des EuGH (C-212/13, „Ryneš“). Auch bestätigte das Gericht, dass die Aufsicht befugt sei anzuordnen, dass die Aufnahmen entweder eingestellt würden oder nachgewiesen würde, ob und welches berechtigte Interesse an der Filmaufnahme im öffentlichen Raum bestehe und dass dieses Interesse die Rechte der betroffenen Personen überwiege.
Die Aufsichtsbehörde sei gemäß Art. 58 Abs. 2 lit d der DS-GVO berechtigt dem Verantwortlichen aufzugeben die Verarbeitung personenbezogener Daten in bestimmter Weise und innerhalb einer bestimmten Frist mit den Bestimmungen der DS-GVO in Einklang zu bringen. Die Aufsicht hat mit ihrer Anordnung von der Verantwortlichen den Nachweis der Rechtmäßigkeit der Verarbeitung personenbezogener Daten verlangt (sofern die Verantwortliche die Verarbeitung fortsetzen möchte) und sie verpflichtet eine Analyse der berechtigten Interessen und die Datenschutzbedingungen zu erstellen und diese der Aufsicht zur Überprüfung der Einhaltung der Anforderungen vorzulegen. Nach Ansicht des Bezirksgerichts handelt es sich um eine geeignete Maßnahme im Sinne von Art. 58 Abs. 2 lit d DS-GVO, die in keiner Weise unverhältnismäßig sei und offensichtlich erfüllt werden könne.
2.32 Amsterdam: Untersagung des KI-Trainings durch Meta
Das Bezirksgericht Amsterdam hat gegenüber Meta eine einstweilige Verfügung erlassen, die es dem Unternehmen verbietet Facebook- und Instagram-Daten des Antragstellers für KI-Modelle, Werbetools und Meta AI zusammenzuführen und zu nutzen. Grundlage ist Art. 5 Abs. 2 DMA. Bei Missachtung droht eine Geldstrafe von 100.000 Euro pro Verstoß. Das Gericht berücksichtigte die Warnung der niederländischen Datenschutzbehörde, die im Vorfeld der „unumkehrbaren“ und „rechtswidrigen“ Nutzung von Nutzerdaten für Metas KI-Training mit Nutzerdaten warnte.
Bericht dazu auch hier.
2.33 EuGH-Vorschau: Anforderungen an immateriellen Schadenersatz (C-273/25)
Das LG Erfurt fragt im Verfahren C-273/25 (Erser) beim EuGH an, ob ein kurzzeitiger Kontrollverlust für einen immateriellen Schadenersatz ausreicht und ob zu berücksichtigen sei, dass die betroffenen Daten bereits im Internet veröffentlicht waren.
Das OLG Nürnberg hält diese Fragen bereits für geklärt und hat in einem Verfahren entschieden diese Entscheidung des EuGH nicht abzuwarten.
2.34 EuGH-Vorschau: Verwendung biometrischer Daten bei der Strafverfolgung (C-371/24)
Die Abnahme von Fingerabdrücken und die Anfertigung von Fotografien sind klassische Methoden zur Identifizierung im Rahmen strafrechtlicher Ermittlungen. Allerdings ermöglichen diese personenbezogenen Daten eindeutige Identifizierung einer natürlichen Person und gelten daher als besonders sensibel. Der EuGH muss im Verfahren C-371/24 eine Beurteilung auf Basis der RL 2026/680 (Richtlinie Polizei und Justiz) treffen und hat in der vorliegenden Rechtssache die Aufgabe ein Gleichgewicht zu finden zwischen den Praktiken, die von den Polizeibehörden häufig als üblich angesehen werden, und dem Schutz der Daten der betroffenen Personen. Der Generalanwalt schlägt in seinen Schlussanträgen vor, die zur Vorabentscheidung vorgelegten Fragen wie folgt zu beantworten:
Art. 10 der Richtlinie (EU) 2016/680 sei dahin auszulegen, dass
- er nationalen Rechtsvorschriften, die es ermöglichen, die biometrischen Daten bei jeder Person zu erheben, gegen die ein oder mehrere plausible Gründe für den Verdacht bestehen, dass sie eine Straftat begangen hat oder versucht hat eine Straftat zu begehen, nicht entgegensteht, sofern diese Rechtsvorschriften die Verpflichtung der zuständigen Behörde, die unbedingte Erforderlichkeit jeder Erhebung zu prüfen, vorsehen,
- er einer nationalen Regelung entgegensteht, die keine Verpflichtung der zuständigen Behörde, in jedem Einzelfall angemessen zu begründen, warum die erkennungsdienstliche Behandlung unbedingt erforderlich ist, vorsieht,
- er einer nationalen Regelung nicht entgegensteht, die es erlaubt eine Person, die die erkennungsdienstliche Behandlung verweigert hat, auch dann eigenständig zu verfolgen und zu verurteilen, wenn sie wegen der Straftat, die der erkennungsdienstlichen Maßnahme zugrunde lag, nicht verfolgt oder verurteilt wird, sofern diese Behandlung, hätte sie stattgefunden, mit den sich aus diesen Artikeln der Richtlinie 2016/680 ergebenden Anforderungen vereinbar gewesen wäre.
2.35 EuGH-Vorschau: Urteil zum TADPF (T-553/23)
Für den 3. September 2025 ist das Urteil des EuGH im Verfahren T-553/23 zur Klage des EU-Abgeordneten Latombe gegen die EU-Kommission hinsichtlich des Angemessenheitsbeschlusses zum Trans Atlantik Data Privacy Framework (TADPF) angekündigt. Wir berichteten bereits zu den bisherigen Verfahren dazu.
Zum bisherigen Verfahren und der mündlichen Verhandlung wird hier berichtet.
Franks Nachtrag: Mittlerweile haben wir natürlich das Urteil. Das kommt wahrscheinlich in einem der nächsten Blog-Beiträge vor…
2.36 EuGH-Vorschau: Nachweispflichten und Anonymität (C-413/23)
Im Verfahren C-413/23 entscheidet der EuGH in der 2. Instanz die noch offenen Fragen aus dem Verfahren SRB vs. EDPS. Rechtliche Basis ist zwar die VO 2018/1725, die Thematik ist aber auch unmittelbar aussagekräftig für die DS-GVO: Wann kann für ein Datum Anonymität angenommen werden und wer muss was dazu darlegen? Wir berichteten bereits dazu.
Franks Nachtrag: Mittlerweile haben wir natürlich das Urteil. Das kommt wahrscheinlich in einem der nächsten Blog-Beiträge vor…
2.37 EuGH-Vorschau: Anspruch auf Unterlassung datenschutzrechtswidriger Weiterleitungen (C-655/23)
Im Verfahren C-655/23 (Quirin Bank) ist das Urteil des EuGH für den 4. September 2025 angekündigt. Dabei geht es um Fragen der parallelen Geltendmachung eines Unterlassungsanspruches neben datenschutzrechtlichen Ansprüchen, wir berichteten.
Franks Nachtrag: Mittlerweile haben wir natürlich das Urteil. Das kommt wahrscheinlich in einem der nächsten Blog-Beiträge vor…
2.38 EuGH-Vorschau: Gestaltungsoptionen bei Art. 85 DS-GVO (C-199/24)
Im Verfahren Rechtssache C-199/24 (Garrapatica) aus Schweden geht es um die Möglichkeit der Mitgliedsstaaten Art. 85 Abs. 1 DS-GVO auszugestalten. Für den 4. September 2025 sind die Schlussanträge des Generalanwalts angekündigt.
2.39 EuGH-Vorschau: Befugnis einer Datenschutzaufsicht Beschwerden abzuweisen (C-414/24)
Im Verfahren C-414/24 muss der EuGH über einen Fall mit der Österreichischen Datenschutzaufsicht entscheiden. Es geht um die Auslegung der Artt. 77 und 79 DS-GVO und die Berechtigung der Datenschutzaufsicht Anträge zurückzuweisen. Für den 4. September 2025 sind die Schlussanträge angekündigt.
2.40 EuGH-Vorschau: Amtliche Entscheidungen und Verjährungsfristen (C-21/24)
Der Fall beim EuGH C-21/24 (Nissan) hat nichts mit Datenschutzrecht zu tun – könnte sich aber auf Fragen der Verjährungsfristen von Ansprüchen aus Art. 82 DS-GVO auswirken.
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 101 AEUV im Licht des Effektivitätsgrundsatzes. Es ergeht im Rahmen eines Rechtsstreits zwischen einer natürlichen Person und Nissan wegen einer Klage auf Ersatz des Schadens, der der natürlichen Person angeblich durch eine von der Nationalen Kommission für Markt und Wettbewerb u.a. gegen Art. 101 AEUV festgestellte Zuwiderhandlung durch Nissan entstanden ist.
Der Fall knüpft an Rechtssachen des EuGH betreffend die für Schadensersatzklagen wegen Zuwiderhandlungen gegen das Wettbewerbsrecht der Union geltenden Verjährungsfristen und insbesondere die Bestimmung des Beginns solcher Fristen an. Der vorliegende Fall unterscheidet sich jedoch von diesen Rechtssachen insofern, als die Schadensersatzklage im Anschluss an eine auf ihrer Website veröffentlichte Entscheidung einer nationalen Wettbewerbsbehörde und nicht im Anschluss an einen Beschluss der Europäischen Kommission erhoben wurde, von dem eine Zusammenfassung im Amtsblatt der Europäischen Union veröffentlicht wurde.
So soll der EuGH dazu klären, ob es im Recht der Europäischen Union eine Rechtsgrundlage für die Unterscheidung zwischen der Möglichkeit und der Verpflichtung gibt eine Schadensersatzklage wegen Zuwiderhandlung gegen das Wettbewerbsrecht zu erheben, oder muss der Geschädigte vielmehr eine solche Klage erheben und beginnt die Verjährungsfrist zu laufen, sobald er sowohl davon, dass er durch die Zuwiderhandlung einen Schaden erlitten hat, als auch von der Identität des Urhebers dieser Zuwiderhandlung Kenntnis erlangt hat oder sobald diese Kenntnis vernünftigerweise erwartet werden kann?
Ist mit der Erhebung einer Schadensersatzklage abzuwarten, bis die Sanktion bestandskräftig geworden ist, oder ist vielmehr davon auszugehen, dass die Schadensersatzklage erhoben werden kann und die Verjährungsfrist zu laufen beginnt, wenn die vollständig veröffentlichte Entscheidung der Nationale Kommission für Markt und Wettbewerb (CNMC) die Identität der Urheber der in Rede stehenden Zuwiderhandlung, deren genaue Dauer und die von der Zuwiderhandlung betroffenen Waren enthält?
Ist davon auszugehen, dass die Veröffentlichung der vollständigen Sanktion auf der amtlichen, öffentlichen Website der CNMC für den Beginn der Verjährungsfrist der Veröffentlichung der Zusammenfassung der von der Europäischen Kommission getroffenen Entscheidung im Amtsblatt der Europäischen Union gleichsteht, wobei die Veröffentlichung der Entscheidungen der CNMC nur auf der amtlichen Website erfolgt?
Der Generalanwalt ging in seinen Schlussanträgen davon aus, dass über Art. 101 AEUV und dem Effektivitätsgrundsatz die Verjährungsfrist – für Schadensersatzklagen wegen einer Zuwiderhandlung gegen das Wettbewerbsrecht der Union, die in einer Entscheidung der nationalen Wettbewerbsbehörde festgestellt wurde (Folgeklagen auf Schadensersatz) – nicht zu laufen beginnt, bevor diese Entscheidung, gegebenenfalls nach Bestätigung durch die zuständigen nationalen Gerichte, bestandskräftig geworden ist. Der EuGH entscheidet dazu am 4. September 2025.
Franks Nachtrag: Mittlerweile haben wir natürlich das Urteil. Das kommt wahrscheinlich in einem der nächsten Blog-Beiträge vor…
2.41 EuGH-Vorschau: Fragen zu internen Ermittlungen (C-312/24)
Bei den für den 4. September 2025 angekündigten Schlussanträgen des Generalanwalts im Verfahren C-312/24 („Darashev“) geht es um datenschutzrechtliche Fragestellungen im Rahmen eines internen Ermittlungsverfahrens. Eine Person hatte den Status eines Verdächtigten gehabt, ohne förmlich beschuldigt worden zu sein, und klagte deswegen auf immateriellen Schadenersatz. Begründet wird dies damit, dass er für einen Zeitraum von 24 Stunden festgenommen wurde, die Festnahme sei vor allen Kollegen und Bediensteten in seiner Dienststelle erfolgt, er habe keine Informationen erhalten weswegen das Ermittlungsverfahren eingeleitet worden sei, er konnte keinen Anwalt treffen oder Angehörige kontaktieren, sein Telefon sei beschlagnahmt worden. Es seien Ermittlungsmaßnahmen gegen ihn durchgeführt worden und er habe später Nachteile bei der Beförderung gehabt. Dem EuGH sind dazu Fragen grundsätzlicher Art zur Interpretation vorgelegt worden.
2.42 EuGH-Vorschau: Schadenersatzansprüche bei unzureichender Auskunft? (C-526/24)
Im Fall C-526/24 (Brillen-Rottner) sind für den 18. September 2025 die Schlussanträge des Generalanwalts vorgesehen. Zum Fall und den Fragen selbst hatten wir bereits berichtet.
Der BGH wollte das Urteil in diesem Fall neulich aber auch nicht abwarten.
2.43 EuGH-Vorschau: Anwendbarkeit der DS-GVO auf Angaben zu Dopingverstößen
Im Verfahren um Fragen, inwieweit Angaben zu Dopingverstößen und ggf. Sperren auf der Webseite der Nationalen Anti-Doping Agentur Austria GmbH (NADA Austria) unter die DS-GVO fallen (C-474/24), sind am 25. September die Schlussanträge des Generalanwalts angekündigt.
2.44 European Data Case Law Tracker
Der European Data Case Law Tracker einer Großkanzlei will einen umfassenden Überblick über die Rechtsprechung des EuGH zu DS-GVO, DGA, DA, KI-VO und anderem europäischen Datenschutzrecht, einschließlich anhängiger Verfahren, bieten.
3 Gesetzgebung
3.1 NIS2: Bundeskabinett stimmte zu
Das Bundeskabinett stimmte dem Entwurf des NIS2-Umsetzungsgesetzes zu, wie das BMI berichtet. Nach dem Regierungsentwurf sollen künftig deutlich mehr Unternehmen eine aktive Rolle beim Schutz ihrer digitalen Infrastruktur übernehmen, quer durch zentrale Wirtschaftsbereiche. Auch die Bundesverwaltung wird besser abgesichert. Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) wird durch das NIS2-Umsetzungsgesetz nicht nur stark erweitert, sondern neu strukturiert. Zudem werden noch über 20 weitere Gesetze und Verordnungen überarbeitet, die teils branchenspezifische Sonderregelungen enthalten, etwa die Personalausweisverordnung, das Energiewirtschaftsgesetz oder das Telekommunikationsgesetz. Zentral ist die Einführung von Risikomanagement- und Meldepflichten für rund 29.500 Unternehmen in Deutschland. Bislang sind über 8.000 Einrichtungen reguliert. Grundsätzlich liege es in der Verantwortung der Unternehmen zu prüfen, ob sie aufgrund ihrer Geschäftstätigkeiten und ihrer Unternehmensgröße in den Anwendungsbereich fallen und sich entsprechend beim BSI registrieren müssen. Die Systematik des Anwendungsbereiches (§ 28 BSIG-Entwurf) ist komplex. Grundsätzlich werden in der Wirtschaft zwei Kategorien regulierter Organisationen unterschieden. Besonders wichtige Einrichtungen sind vor allem Großunternehmen in den Sektoren aus Anlage 1: Energie, Transport und Verkehr, Finanzwesen, Gesundheit, Wasser, digitale Infrastruktur oder Weltraum. Wichtige Einrichtungen sind mittlere Unternehmen in einem der vorgenannten Sektoren sowie mittlere und Großunternehmen in einem der Sektoren aus Anlage 2: Abfallbewirtschaftung, Chemie, Ernährung, verarbeitendes Gewerbe, Anbieter digitaler Dienste oder Forschung. Die Anlagen differenzieren noch weiter nach Branchen und Einrichtungsarten. So fallen unter den Sektor digitale Infrastruktur Einrichtungsarten wie Anbieter von Cloud- und Rechenzentrumsdiensten oder Managed Service Provider. Die Schwellenwerte für die Unternehmensgrößen (Size-Cap) führt der Gesetzesentwurf genau aus. Groß ist eine Einrichtung, wenn sie mindestens 250 Mitarbeiter beschäftigt. Oder wenn ihr Jahresumsatz über 50 Millionen Euro und zudem die Jahresbilanzsumme über 43 Millionen Euro liegen. Mittel ist eine Einrichtung, wenn sie mindestens 50 Mitarbeiter beschäftigt oder wenn ihr Jahresumsatz und ihre Jahresbilanzsumme über 10 Millionen Euro liegen.
Das BSI erhält Aufsichtsinstrumente, um Unternehmen gezielter zu begleiten und die Einhaltung der Sicherheitsstandards zu überwachen. Für alle regulierten Einrichtungen gleichermaßen gilt: Die Cybersicherheit wird mit § 38 BSIG-Entwurf Chef:innensache. Die Geschäftsleitung muss die notwendigen Maßnahmen umsetzen, überwachen und haftet gegenüber der Einrichtung für Versäumnisse. Zudem müssen Geschäftsleitungen regelmäßig an Schulungen zum Thema Risikomanagement teilnehmen.
Hintergründe etc. dazu auch hier und wie es im September 2025 weitergehen soll, dann dort.
Und fast schon erwartungskonform: Bestimmte Stellen der Bundesverwaltung sind von einigen Schutzmaßnahmen ausgenommen und müssen nur noch „Mindeststandards“ erfüllen.
3.2 Wissenschaftlicher Dienst des Europäischen Parlaments zur Vorratsdatenspeicherung
Der Wissenschaftliche Dienst des Europäischen Parlaments (EP) lieferte eine grundlegende Einführung zur Kartierung der Grenzwerte des EuGH für die Vorratsdatenspeicherung. Seit der Ungültigkeit der Richtlinie über die Vorratsdatenspeicherung im Jahr 2014 sei die EU-Rechtslandschaft fragmentiert, was zu Unsicherheit für die Anbieter und Herausforderungen für die Strafverfolgung führe. Angesichts der Tatsache, dass ein Vorschlag der Kommission erwartet wird, und der zunehmenden Unterstützung der Mitgliedstaaten für eine freizügigere EU-Regelung könne ein solides Verständnis der einschlägigen Rechtsprechung des EuGH bei der Bewertung durch das Europäische Parlament hilfreich sein. In den letzten zehn Jahren hat die Rechtsprechung des EuGH detaillierte Anforderungen an die Vorratsdatenspeicherung festgelegt. Die Gesetze müssen die Verhältnismäßigkeit und die Notwendigkeit respektieren und eine klare Hierarchie der Ziele vorsehen: Die allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten ist nur zum Schutz der nationalen Sicherheit zulässig, während die gezielte Vorratsspeicherung solcher Daten durch die öffentliche Sicherheit oder andere wichtige Ziele des öffentlichen Interesses gerechtfertigt sein kann. Ein solcher Rahmen muss auch robuste Schutzvorkehrungen enthalten. Ebenso müsse der Zugang zu auf Vorrat gespeicherten Daten auf den Zweck, für den sie erhoben wurden, oder auf ein wichtigeres Ziel beschränkt werden. Der EGMR (Europäischer Gerichtshof für Menschenrechte) entschied, dass eine solche Vorratsspeicherung und ein solcher Zugriff ähnliche Garantien erfordern wie bei der geheimen Überwachung. Die Interessenträger sind geteilter Meinung über eine neue EU-Regelung zur Vorratsdatenspeicherung. Die Strafverfolgungsbehörden befürworten eine Harmonisierung auf EU-Ebene, warnen jedoch vor restriktiven Vorschriften zur Vorratsspeicherung, die ihre operative Wirksamkeit einschränken würden. Anbieter elektronischer Kommunikationsdienste unterstützen einen EuGH-konformen EU-Rahmen und fordern einen Kostenausgleich. Organisationen der Zivilgesellschaft lehnen neue EU-Vorschriften ab und fordern die EU-Kommission auf sich auf die Durchsetzung der bestehenden Rechtsprechung durch Vertragsverletzungsverfahren zu konzentrieren. Dies ist eine von vier Publikationen, die verschiedene Aspekte der Roadmap für einen effektiven und rechtmäßigen Zugang zu Daten für die Strafverfolgung untersuchen. Dazu gehörten eine Zusammenfassung der Roadmap sowie Briefings zu rechtmäßiger Überwachung, Vorratsdatenspeicherung und digitaler Forensik.
3.3 Gesetzliche Regelungen für politische Online-Werbung
In der Umsetzung der europäischen Vorgaben aus der EU-Verordnung 2024/900 (Verordnung zur Transparenz und Targeting politischer Werbung – TTPW-VO) bringt die Bundesregierung über das BMDS nun ein Gesetz auf den Weg.
Das Ziel der TTPW-VO sei es zum reibungslosen Funktionieren des Binnenmarkts für politische Werbung und der damit verbundenen Dienstleistungen beizutragen und die in der Charta der Grundrechte der EU verankerten Grundrechte und Grundfreiheiten zu schützen, insbesondere das Recht auf Privatsphäre und auf Schutz personenbezogener Daten. Die TTPW-VO ergänzt die Verordnung (EU) 2022/2065 („Digital Services Act“) und die DS-GVO. Ihr Geltungsbereich umfasst grundsätzlich alle Formen politischer Werbung. Mit der TTPW-VO wurde erstmalig europaweit eine Legal-Definition geschaffen, was politische Werbung ist und wer als politischer Akteur gilt. Die Verordnung findet auf alle Wahlen und Referenden in Europa auf europäischer, nationaler, regionaler und kommunaler Ebene Anwendung. Die Regelungen sehen Verpflichtungen zur Identifizierung, Kennzeichnung, Berichterstattung, Information und Transparenz in Bezug auf politische Werbung, Melde- und Abhilfeverfahren für unzulässige politische Werbung sowie ergänzende Datenschutzvorgaben für das Targeting und die Anzeigenschaltung von politischer Werbung im Internet vor, wie das Verbot von Targeting bei Nutzung sensibler Daten. Es wird ein neues EU-Archiv zu politischer Online-Werbung geschaffen, in dem alle in Europa veröffentlichten politischen Online-Anzeigen öffentlich abrufbar sein werden. Zudem werden in einem von der Europäischen Kommission eingerichteten Online-Portal künftig alle Termine und Daten zu Wahlen und Referenden in ganz Europa veröffentlicht. Politische Werbung aus Drittstaaten wird drei Monate vor einer Wahl oder einem Referendum in Bezug auf diese Wahl bzw. dieses Referendum verboten, wobei strengere Vorgaben durch die Mitgliedstaaten zulässig sind. Durch Transparenz- und Offenlegungspflichten der TTPW-VO ist die Art und Weise der Erbringung politischer Werbung betroffen. Es werden keine inhaltlichen Vorgaben für politische Werbung normiert. Die TTPW-VO ist am 9. April 2024 in Kraft getreten und gilt uneingeschränkt ab dem 10. Oktober 2025.
Der vorgelegte Gesetzentwurf zur Durchführung der Verordnung (Gesetz über die Transparenz und das Targeting politischer Werbung – PWG) dient der Anpassung des nationalen Rechts zur ordnungsgemäßen Anwendung der Verordnung. In dem Entwurf werden die zur Durchführung der Verordnung (EU) 2024/900 zuständigen Behörden in § 2 (BfDI und BNetzA) benannt. Zudem enthält der Entwurf die in der Verordnung vorgesehenen Sanktionen in Form von Bußgeldvorschriften.
Bis zum 29. August kann zum Entwurf Stellung beim Bundesdigitalministerium genommen werden.
Meta hat bereits angekündigt ab Oktober 2025 keine politische Werbung mehr bei Facebook und Instagram zuzulassen Auch Google behauptet nach diesem Bericht, dass die Vorgaben nicht umsetzbar seien und hat sich entschieden politische Werbung in der EU komplett zu untersagen.
Franks Nachtrag: Googles Rückzug aus der politischen Werbung kann übrigens auch durchaus negativ gesehen werden.
3.4 Kritik am GPAI Code of Practice
Die Kritik am Code of Practice für Generatve AI aus Sicht der Kreativen reißt nicht ab. Insbesondere der European Writers Council macht deutlich, was er davon hält, dass urheberrechtlich geschützte Werke nun ohne weitere Vergütung zum Training von LLM genutzt werden dürften und drücken dies anschaulich in diesem Zeitungsbetrag aus:
Was früher Diebstahl hieß, heißt heute „KI-Training“.
3.5 Europäisches Parlament: Briefing zu Generative AI und Copyright
Aus dem Ausschuss LIBE des Europäischen Parlamentes wurde eine Studie veröffentlicht, die das das Thema „Technologische Aspekte generativer KI im Kontext des Urheberrechts“ analysiert. Ziel der Studie ist es die Vereinbarkeit der wichtigsten technologischen Merkmale im GenAI mit den Grundprinzipien des Copyright Rechts in der EU zu bewerten. Dabei werden die Herausforderungen aufgezeigt, die sich aus den funktionalen Aspekten der Einflussverfolgung in der LLMs ergeben. Diese Fähigkeit besteht darin die spezifischen Quellen, Daten oder Training-Beispiele zu identifizieren und zu verfolgen, die zu einem bestimmten Ergebnis beigetragen haben. Die Studie argumentiert, dass LLMs es besonders unwahrscheinlich machen zu verstehen, wie das Modell vorhandene Werke in seine generierten Inhalte integriert hat. Es werde dann notwendig Wege zu finden, um sicherzustellen, dass diese Besonderheit mit den Grundsätzen des Urheberrechts vereinbar bleibt – und zwar von seiner Europäischen Konzeption!
Die wichtigsten Herausforderungen sind demnach:
- Schwierigkeiten bei der Geltendmachung von Rechten, da die Urheber nicht feststellen können, ob ihre Werke zur Produktion eines Ergebnisses verwendet wurden,
- Komplikationen bei der Feststellung einer abgeleiteten Nutzung (z. B. unbefugte Anpassung),
- Herausforderungen bei der fairen Vergütung, da sich die derzeitigen Lizenzvergabesysteme auf Schätzungen und nicht auf direkte Beweise stützen, und
- Auswirkungen auf die Ausnahme von Text and Data Mining (TDM) von der Urheberrechtsrichtlinie, da die mangelnde Rückverfolgbarkeit eine Rechtsdurchsetzung unmöglich macht, wenn KI-Ergebnisse urheberrechtlich geschützten Werken ähneln.
3.6 Europäisches Parlament: Studie über KI und zivilrechtliche Haftung
Diese Studie, die von der Fachabteilung Justiz, Grundrechte und institutionelle Angelegenheiten des Europäischen Parlaments im Auftrag des Rechtsausschusses in Auftrag gegeben wurde, analysiert kritisch den sich entwickelnden Ansatz der EU zur Regulierung der zivilrechtlichen Haftung für Systeme der künstlichen Intelligenz. Um eine Fragmentierung der Rechtsvorschriften zwischen den Mitgliedstaaten zu vermeiden, plädiert die Studie für ein strenges Haftungssystem für Hochrisikosysteme, das sich auf einen einzigen verantwortlichen Betreiber stützt und auf Rechtssicherheit, Effizienz und Harmonisierung basiert.
Der Bericht enthält eine Analyse der Mängel bei der Anwendung der Produkthaftungsrichtlinie – zur Feststellung des Fortbestands der zivilrechtlichen Haftung infolge ausfallender KI-Systeme – und kommt zu dem Schluss, dass neue Rechtsvorschriften erforderlich sind, um den Herausforderungen zu begegnen, die sich aus der Einführung dieser neuartigen Technologie ergeben. In der Studie werden auch vier politische Optionen für die KI Haftungs-Richtlinie (AI Liability Directive – AILD) bewertet:
- Rücknahme:
Davon wird abgeraten, da sie zu einer Fragmentierung der Rechtsvorschriften, Rechtsunsicherheit und Überregulierung geführt hat. - Wiederherstellung:
Ist unwirksam, da das Dokument in seiner ursprünglich vorgeschlagenen Form ebenfalls zu einem fragmentierten und ineffizienten Ergebnis geführt hat. - Überarbeitung – mit einer verschuldensabhängiger Haftungsregel für KI-Systeme mit hohem Risiko:
Ist möglicherweise vorzuziehen, da diese Strategie die Rechtssicherheit erhöhen, eine einheitliche Auslegung fördern und die Prozesskosten senken würde. - Überarbeitung – mit verschuldensunabhängiger Haftung für KI-Systeme mit hohem Risiko:
Ist ebenfalls vorzuziehen, da sie ein Höchstmaß an Harmonisierung, Effizienz und Benutzerschutz bieten würde.
Die Studie scheint zu dem Schluss zu kommen, dass eine Revision der verschuldensunabhängigen Haftung die optimale Lösung ist, obwohl die Entscheidung für eine verschuldensabhängige Haftungsregelung immer noch eine Verbesserung gegenüber dem Status quo darstellen würde.
3.7 BMI: Entwürfe zu Videoüberwachung und Gesichtserkennung
Überlegungen aus dem Bundesinnenministerium wurden geleakt. Danach soll die Polizei auch Gesichter-Suchmaschinen wie Clearview AI und Überwachungs-KI-Lösungen wie Palantir nutzen dürfen. Konkret geht es um zwei Entwürfe, den Entwurf eines ersten Gesetzes zur Stärkung digitaler Ermittlungsbefugnisse in der Polizeiarbeit und den Entwurf eines zweiten Gesetzes zur Stärkung digitaler Ermittlungsbefugnisse in der Polizeiarbeit (Bericht dazu hier). Das Gesetzespaket soll es Bundeskriminalamt und Bundespolizei erlauben Personen anhand biometrischer Daten in „öffentlich zugänglichen Daten aus dem Internet“ zu suchen. Die Polizei soll so Personen „identifizieren, lokalisieren sowie Tat-Täter-Zusammenhänge erschließen“. Biometrische Daten sind zum Beispiel Fotos, aber auch andere Merkmale wie Bewegungs-, Handlungs- oder Sprechmuster. Dafür dürfte die Polizei digitale Werkzeuge wie die Gesichter-Suchmaschinen Clearview AI oder PimEyes nutzen.
Diese gesetzgeberische Engagement wünschte man sich auch bei der Verfolgung der Cum-Ex- und Cum-Cum-Straftaten – aber ich halluziniere.
Franks Nachtrag: Sie möchten hier weiterlesen.
3.8 bitkom: Verbesserungsvorschläge für die KI-VO
Der bitkom veröffentlichte seine Vorschläge zur Vereinfachung der europäischen KI-VO – mit konkreten Empfehlungen, um Innovationshemmnisse zu beseitigen und die Rechtssicherheit zu stärken. Er weist in dem Papier mit dem Titel „AI Act Simplification: For Innovation and Feasibility” darauf hin, dass horizontale Vorgaben sektorspezifisch anschlussfähig sein müssten. Er empfiehlt u.a. Annex I zu verschlanken und sektorale Besonderheiten stärker zu berücksichtigen. Der bitkom hält auch die vorgesehenen Fristen zur Anwendung hochriskanter KI-Anforderungen für unrealistisch. Ein Aufschub von mindestens 24 Monaten sei nötig, da harmonisierte Standards frühestens Ende 2026 vorliegen werden. Und natürlich fehlt auch nicht der Hinweis auf abzubauende unnötige Bürokratie, um Handlungsspielräume zu sichern.
3.9 EU: Vorlage für die Zusammenfassung der für das Training von KI-Modellen verwendeten Inhalte
Die EU-Kommission veröffentlichte eine Vorlage für die Zusammenfassung der für das Training von KI-Modellen verwendeten Inhalte einschließlich einer Erläuterung dazu. Die Vorlage soll als gemeinsame Mindestgrundlage für die Informationen dienen, die in der Zusammenfassung der Trainingsinhalte für GPAI-Modelle öffentlich zugänglich gemacht werden müssen. Damit soll die Vorlage ein wichtiger Schritt für mehr Transparenz im Bereich der KI-Modelle sein und die Einhaltung von Urheberrechts-, Datenschutz- und anderen Gesetzen unterstützen.
Die Vorlage besteht aus drei Hauptabschnitten:
- Allgemeine Informationen: Angaben zur Identifizierung des Anbieters und des Modells, Informationen zu den Modalitäten sowie zu den allgemeinen Merkmalen der Trainingsdaten.
- Liste der Datenquellen: Angabe der wichtigsten Datensätze, die zum Trainieren des Modells verwendet wurden, z. B. große private oder öffentliche Datenbanken, sowie eine umfassende narrative Beschreibung der vom Anbieter oder in seinem Auftrag online gesammelten Daten (einschließlich einer Zusammenfassung der relevantesten gesammelten Domainnamen) und eine narrative Beschreibung aller anderen verwendeten Datenquellen (z. B. Nutzerdaten oder synthetische Daten), um die Vollständigkeit der Zusammenfassung hinsichtlich der für das Modelltraining verwendeten Inhalte zu gewährleisten.
- Angabe relevanter Aspekte der Datenverarbeitung: Angabe von Informationen, die für die Ausübung der Rechte von Parteien mit berechtigten Interessen nach Unionsrecht relevant sind. Hat sich der Anbieter dem Code of Practice zu GPAI-Modellen unterworfen? Welche Maßnahmen werden zur Beachtung der TDM-Vorbehalte getroffen? Mit welchen Maßnahmen werden rechtswidrige Inhalte nach Unionsrecht in den Trainingsdaten zu vermieden oder entfernt (z. B. schwarze Listen, Schlüsselwörter und modellbasierte Klassifikatoren)?
Es bleibt abzuwarten, ob für betroffene Rechteinhaber damit in der Praxis wirklich ausreichend Transparenz geschaffen wird, um den Schutz ihrer Rechtspositionen zu ermöglichen. An vielen Stellen der Vorlage und der Erläuterungen dazu wird auf Geschäftsgeheimnisse und vertrauliche Geschäftsinformationen als Grenze der Auskunft verwiesen …
Und die Kritik der Kreativen findet sich in einer gemeinsamen Erklärung von 40 Verbänden der europäischen Kultur- und Kreativ-Wirtschaft zum GPAI-Verhaltenskodex und zur Vorlage wieder:
Code, Richtlinien und Vorlagen seien ausschließlich zugunsten der GenAI-Modellanbieter gestaltet, die bei der Erstellung ihrer Modelle kontinuierlich Urheberrechte und verwandte Schutzrechte verletzen. Der Verhaltenskodex stelle kein faires und praktikables Gleichgewicht her und die Vorlage biete keine „ausreichende“ Transparenz über die Mehrheit der urheberrechtlich geschützten Werke oder anderer Themen, die zum Trainieren von GenAI-Modellen verwendet werden.
3.10 Omnibus IV – Working Documents der Mitgliedsstaaten
Zum Vorschlag der Kommission zur Änderung der DS-GVO zur Entlastung der KMU haben die Mitgliedsstaaten über Working Documents aus der Ratsarbeitsgruppe ihre Fragen und Kommentare abgegeben. Slowenien hat seine Fragen und Hinweise nachgereicht.
3.11 EU: Vorschläge zum Minderjährigenschutz nach dem DSA – Stellungnahme der BzKJ
Den Leitlinien-Vorschlag der EU-Kommission zur altersgerechten Gestaltung von Online-Plattformen gemäß Art. 28 Abs. 4 DSA bestätigt und erläutert die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) in ihrer Stellungnahme dazu. Sie hebt hervor, dass Online-Plattformen künftig kinder- und jugendgerechter gestaltet werden – mit Fokus auf „Privacy-, Safety- & Security-by-Design“. Schutz durch sichere Voreinstellungen sei keine Option, sondern Teil des Produkts.
Dazu gehörte altersgerechtes Design, so dass Inhalte und Funktionen auf die kognitive und emotionale Reife von Kindern abgestimmt sein sollen. Datenschutz- und Sicherheitsanforderungen sind standardmäßig und geräteübergreifend aktiviert. Bei Registrierung und Kontoeinstellungen sind klare Informationen und einfache Handhabung für Kinder und Erziehende vorzusehen. Hinsichtlich Moderation und Maßnahmen sind detaillierte Aufbereitung von Maßnahmen einzurichten, wie zum Beispiel kindgerechte Beschwerdemechanismen, welche die Anbieter in ihren Dienst einsetzen sollten.
Die Leitlinien helfen Anbietern ihre Dienste rechtskonform nach den Anforderungen des Digital Services Act zu gestalten. Auch Aufsichtsbehörden, wie die bei der BzKJ verortete „Stelle zur Durchsetzung von Kinderrechten in digitalen Diensten“ könnten anhand der Leitlinien die Ergebnisse von Risikoanalysen besser überprüfen.
3.12 EU: Übersicht der Gesetzgebungsaktivitäten im digitalen Sektor
„Wer zählt die Völker, nennt die Namen, die gastlich hier zusammenkamen?“
Fast so unübersichtlich wie in Schillers „Die Kraniche des Ibykus“ vermögen vielen die gesetzgeberischen Aktivitäten in Brüssel vorkommen. Umso nützlicher und lobenswert sind Übersichten wie diese hier vom Centre for European Policy Studies (CEPS). Sie führt zu diesem Link, in dem die Regulatorik mit Stand und weiteren Verlinkungen nachvollzogen werden kann, aufgegliedert in zwölf Themenbereiche wie „Data & Privacy“ oder Cybersecurity, Law Enforcement oder „Trust & Savety“. Die erste Übersicht behandelt einen Überblick der Legislatur im digitalen Sektor, die zweite Überblick bildet die Governance-Mechanismen und Agenturen der EU im digitalen Sektor ab.
3.13 EU-Parlament: Gutachten zu Generative KI und Copyright
Das Recht auf Eigentum ist ein Grundrecht. Dies gilt auch für geistiges Eigentum, da geistiges Eigentum Innovation, Kreativität und Investitionen fördert. Darüber hinaus spielt geistiges Eigentum eine entscheidende Rolle, wenn es darum geht den Bürgern Zugang zu Kultur und Wissen zu verschaffen. Vor diesem Hintergrund hat der Rechtsausschuss des Europäischen Parlaments (EP) ein Gutachten durch den Think Tank des EP erstellen lassen, dass sich mit den Fragestellungen des Urheberrechts bei generativer KI befasst. Es behandelt auf 175 Seiten die Aspekte zu Training, Schaffung und Regulatorik.
So sei z.B. eine Vorabgenehmigung kein Hindernis für Innovation, sondern ein Governance-Mechanismus, der eine faire Wertverteilung und Markttransparenz gewährleistet. Deshalb würde ein gut konzipiertes Opt-in-Modell Rechtssicherheit und nachhaltige Entwicklung unterstützen. Skalierbare Lizenzierungssysteme können sowohl kommerzielle Innovationen als auch die Achtung der Rechte der Urheber berücksichtigen, so die Studie. Innovation mit Rechenschaftspflicht in Einklang zu bringen ist nicht nur möglich – sie sei für die digitale Wirtschaft unerlässlich.
Der Anreiz zur Kreativität ist zusammen mit der Vielfalt der Kultur- und Nachrichteninhalte nicht nur für die Entwicklung von KI-Systemen, sondern auch für die Gesundheit und Vitalität demokratischer Gesellschaften von entscheidender Bedeutung.
3.14 EU-Kommission: Gesetzgebungsverfahren zu einem „Digital Fairness Act“
Bis 24. Oktober 2025 können Rückmeldungen an die EU-Kommission gegeben werden zu deren Überlegungen eines Digital Fairness Acts (DFA, die Überlegungen sind über den obigen Link in verschiedenen Sprachen abrufbar). Gegenstand der Initiative sind vor allem folgende Themen:
- Mangelnde digitale Fairness für Verbraucher:innen, einschließlich schutzbedürftiger Verbraucher*innen wie Minderjährige, die suboptimale Verbraucherentscheidungen zur Folge hat, die wiederum zu finanziellen Schäden, Zeitverlust, gesundheitlichen Problemen und indirekten Auswirkungen z. B. auf die Umwelt führen,
- unklare Vorschriften für Unternehmen und Marktfragmentierung, was höhere Kosten für Unternehmen, Hindernisse für den grenzüberschreitenden Handel / verpasste Geschäftsmöglichkeiten und unlauteren Wettbewerb, insbesondere durch Gewerbetreibende aus Drittländern, nach sich zieht.
Mal sehen, wie sich der DFA auf andere Themen auswirken könnte, z.B. auf KI-Agenten. Hinweise dazu lassen sich bereits aus dieser Veröffentlichung ableiten, die sich mit Verbraucherrecht für KI-Agenten befasst.
3.15 EU-Entgelttransparenzrichtlinie
Die Entgelttransparenz-Richtlinie (RL EU 2023/970) gibt es bereits und sie ist bis 8. Juni 2026 umzusetzen – nur das deutsche Umsetzungsgesetz fehlt (mal wieder). In dieser Podcast-Reihe geht es dennoch um dessen Anwendung, denn Gerichte werden wenig Rücksicht nehmen, wenn Rechte von Arbeitnehmer:innen nur deshalb nicht wahrgenommen werden können, weil Mitgliedsstaaten zu tranig unterwegs sind. Speziell die Folge 10 befasst sich mit Schnittstellen zum Datenschutzrecht, wenn es etwa um die Aufbewahrungszeit von Informationen zu abgelehnten Bewerbenden geht (vgl. Art. 24 der Entgelttransparenz-RL).
Wer glaubt, das gehe ihn / sie nichts an, sollte mit Folge 11 – der Haftung – beginnen.
3.16 BMI: Sicherheitspaket und Biometriepläne
Seitens des BMI befinden sich zwei Gesetzesentwürfe in der Ressortabstimmung, wie hier berichtet wird. Es handelt sich um den Entwurf eines ersten Gesetzes zur Stärkung digitaler Ermittlungsbefugnisse in der Polizeiarbeit und den Entwurf eines zweiten Gesetzes zur Stärkung digitaler Ermittlungsbefugnisse in der Polizeiarbeit.
Phantasievoller als die Gesetzesbezeichnung sind die Inhalte. Das Gesetzespaket soll Bundeskriminalamt und Bundespolizei erlauben Personen anhand biometrischer Daten in „öffentlich zugänglichen Daten aus dem Internet“ zu suchen. Die Polizei soll so Personen „identifizieren, lokalisieren sowie Tat-Täter-Zusammenhänge erschließen“. Biometrische Daten sind zum Beispiel Fotos, aber auch andere Merkmale wie Bewegungs-, Handlungs- oder Sprechmuster.
Dafür dürfte die Polizei digitale Werkzeuge wie die Gesichter-Suchmaschinen Clearview AI oder PimEyes nutzen. Diese suchen massenhaft und anlasslos Fotos im Internet und legen riesige Datenbanken mit Gesichtern an. Auch soll es zulässig werden verschiedene Datenbestände technisch zusammenzuführen“ und automatisiert zu analysieren. Die Polizei soll so „Verbindungen zwischen Taten, Personen, Orten sowie anderen Anknüpfungspunkten finden“ und sogar „neues Wissen erzeugen“.
Und damit sind wir auch schon bei einem Hersteller, dessen Software so etwas ermöglichen kann. Was bei Harry Potter „Lord Voldemort“ war, ist für Bürgerrechtler die Firma Palantir. Viele deutsche Landesbehörden – und der Bund – wollen Software des US-amerikanischen Herstellers Palantir einsetzen, oder tun es bereits, wie hier berichtet wird. Das System namens VeRA (verfahrensübergreifende Recherche und Analyse) basiert auf der Palantir-Software und wertet große Datenmengen aus unterschiedlichen Quellen aus, um mögliche Zusammenhänge zu erkennen. Es wird z.B. bereits in Bayern eingesetzt und über eine Rahmenvertragsgestaltung können andere Bundesländer den vertraglichen Regelungen beitreten (wir berichteten). Auch das Bundesamt für Migration und Flüchtlinge (BAMF) soll die biometrische Suche einsetzen dürfen, um die Identität von Menschen im Asylverfahren zu klären. Hintergründe zu Palantir werden auch in dieser ARD-Dokumentation aufgezeigt (Dauer 89 Min).
So verwundert es nicht, wenn sich eine Koalition aus zivilgesellschaftlichen Organisationen in einem offenen Brief gegen diese Pläne wenden. Bericht dazu hier und Interview mit dem Chaos Computer Club da. Auch das Deutsche Institut für Menschenrechte warnt vor Risiken beim polizeilichen Einsatz von automatisierter Gesichtserkennung.
Nicht außer Acht gelassen werden sollte, dass die Methode der Internetsuche mit biometrischen Merkmalen es einem Journalisten ermöglichte, eine gesuchte Person ausfindig zu machen, wie hier ausführlich erläutert wird.
Franks Nachtrag: Falls Sie ein Déjà-vu-Gefühl haben, es könnte an dieser Meldung liegen. Da beide unterschiedliche Aspekte beleuchten, haben wir sie beide gebracht, obwohl sie natürlich ähnlich sind.
3.17 DORA: Technische Regulierungsstandards
Die EU präzisiert Pflichten für Finanzunternehmen bei der Untervergabe von IKT‑Dienstleistungen. Seit dem 22. Juli 2025 gilt die Delegierte Verordnung (EU) 2025/532, die den DORA um verbindliche technische Regulierungsstandards ergänzt. Sie schafft Rechtssicherheit bei der Untervergabe kritischer oder wichtiger IKT‑Dienstleistungen und legt klare Anforderungen an Risikobewertung, Vertragsgestaltung und Kontrollmechanismen fest. Dabei geht es um Anforderungen an die
- Verhältnismäßigkeit: Anforderungen richten sich nach Größe, Geschäftsmodell, Risikoprofil und Art der ausgelagerten Leistungen.
- Sorgfaltspflichten: Vor Vertragsabschluss ist die Eignung des IKT‑Dienstleisters umfassend zu prüfen.
- Bedingungen für Untervergaben: Strenge Vorgaben, wenn kritische oder wichtige Funktionen betroffen sind.
- Kontrolle bei Änderungen: Wesentliche Änderungen bestehender Untervergaben müssen bewertet und gesteuert werden.
- Vertragsbeendigung: Definierte Kriterien für den Ausstieg aus Verträgen.
3.18 Vorbereitet auf den Data Act?
Ab 12. September 2025 kam der Data Act (EU 2023/2854) zur Anwendung. Keine Schonfrist mehr. Was zu beachten ist, und welche Themen es dazu gibt, wurde und wird in zahlreichen Veröffentlichungen thematisiert. Erkennbar ist: Gegen den Data Act war die DS-GVO eine klare Vorgabe.
Auch wenn die nach Art. 41 Data Act durch die EU-Kommission vorzugebenden, freiwilligen Standardvertragsbedingungen für die gemeinsame Nutzung von Daten sowie für Cloud-Dienste bereits vorliegen. Die Kenntnis der im Abschlussbericht veröffentlichten Modellvertragsklauseln (MCTs) und Standardvertragsklauseln (SCCs) alleine genügen nicht, um sich auf die Umsetzung des Data Acts vorzubereiten.
Die MCTs enthalten detaillierte Regelungen zur Beschreibung des Datenumfangs, zur Bereitstellung in maschinenlesbarer Form, zur technischen Schnittstellenbeschreibung (z. B. API-Dokumentation) sowie zu Anforderungen an Vertraulichkeit, Sicherheit und Transparenz. Zudem werden Optionen zur Vergütung der Datenbereitstellung erläutert, etwa nach Art der Daten oder Nutzergruppe. Wichtige Klauseln betreffen auch die Pflicht zur Nichtverwendung der Daten zur Profilbildung, die Verantwortung für DSGVO-Konformität und den Umgang mit Geschäftsgeheimnissen.
Die MCTs orientieren sich an vier zentralen Vertragssituationen, die für den Data Act nach Auffassung der Expertengruppe besonders relevant sind:
- Vertag zwischen Nutzer und Dateninhaber über die Bereitstellung von Nutzungsdaten durch den Dateninhaber an den Nutzer (Data Holder to User)
- Vertrag zwischen Nutzer und Datenempfänger über die Weitergabe von Nutzungsdaten durch den Dateninhaber an den Datenempfänger auf Anforderung des Nutzers
- Vertrag zwischen Dateninhaber und Datenempfänger über die Weitergabe der Daten durch den Dateninhaber an den Datenempfänger auf Anforderung des Nutzers
- Vertag über die (freiwillige) Bereitstellung von Daten zwischen einem Datenlieferanten und dem Datenempfänger
Die SCCs für Cloud- und Plattformverträge zielen insbesondere darauf ab einen Anbieterwechsel oder die Rückführung von Daten am Ende eines Vertrags technisch und organisatorisch zu erleichtern. Sie regeln unter anderem Exit-Pläne, Migrationsfristen, Zugriff auf Self-Service-Tools, die Fortführung kritischer Dienste sowie Schutzmechanismen gegen Lock-in-Effekte. Damit sprechen sie gezielt auch Betreiber hybrider oder cloud-basierter Produktinfrastrukturen an.
Kritik gab es immer schon, wie hier durch den bitkom oder durch die unabhängigen Datenschutzaufsichtsbehörden der Länder in ihrer Stellungnahme zum Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2023/2854 (Data Act-Durchführungsgesetz – DA-DG) (Stand: 5. Februar 2025).
Auch gab es bereits Countdowns, was zu tun ist, durch IHKs wie hier oder durch Kanzleien wie da und dort.
3.19 Normung zum Data Act: „Vertrauenswürdige Datentransaktionen“
Auch für Einheiten, die nicht dem Data Act unterliegen, oder nur davon ausgehen, dass sie ihm nicht unterliegen, kann diese DIN-Norm interessant werden: Die DIN EN 18235-1 („Vertrauenswürdige Datentransaktionen – Teil 1: Terminologie, Konzepte und Mechanismen) kann die Grundlage für ein einheitliches Grundverständnis von vertrauenswürdigen Datentransaktionen werden. Die neue Norm enthält Terminologien, Konzepte und Beschreibungen der Mechanismen im Bereich des Datenaustauschs. Der Schwerpunkt liegt dabei auf vertrauenswürdigen Datentransaktionen. Diese Elemente werden bei der weiteren Entwicklung von Normen zur Unterstützung vertrauenswürdiger Datentransaktionen als Grundsätze verwendet. Sie bilden die Grundlage für die Identifikation wichtiger Dimensionen und Kriterien, die zum Vertrauen in eine Datentransaktion zwischen Interessengruppen beitragen. Der Entwurf ist für registrierte Personen beim DIN öffentlich verfügbar. Die Erstellung der Norm erfolgt im Rahmen der CEN/CLC/JTC 25/WG 2: Datenräume.
Weitere Informationen wie die Termine zur Kommentierung finden sich hier.
3.20 Brauchen wir mehr Digitalgesetzgebung?
Keine Sorge, es geht nicht um Bürokratie, sondern darum, welche Regeln wir brauchen, wenn wir diese auch durchsetzen wollen. In dieser Podcast-Folge (Dauer ca. 45 Min.) geht es um die Durchsetzung von Rechten und welche Gesetzgebung dabei unterstützen könnte. Sind Nutzer:innen gegen Deepfakes generell ausreichend geschützt? Und wie können sich Chef:innen von Unternehmen wehren, wenn sie als Deepfake falsche Geschäftszahlen verkünden? Das sind Beispiele der Fragen, die in dieser Episode beantwortet werden. Vor dem Hintergrund aktueller politischer Entwicklung werden verschiedene aktuelle Regularien erklärt.
3.21 Schleswig-Holstein: Impulse für Deutschland-Stack
Aus Schleswig-Holstein gibt es Impulse für die Entwicklung des „Deutschland-Stacks“. Die Impulse für einen offenen, interoperablen und europäisch anschlussfähigen Deutschland-Stack empfehlen bestimmte Leitprinzipien:
- Offene Standards & openCode: Alle Komponenten sollten auf Basis offener Standards entwickelt und vollständig auf openCode veröffentlicht werden.
- Zentral und dezentral zugleich: Kritische Basisdienste gehören in zentrale Hand, um Stabilität und Sicherheit zu gewährleisten. Fachanwendungen und Zusatzlösungen hingegen können dezentral – von Verwaltungen und der Wirtschaft – entwickelt werden.
- Open Source im Fokus: Die heimische Digitalwirtschaft und Start-ups profitieren, wenn sie aktiv in die Entwicklung von Open-Source-Lösungen eingebunden werden.
- Europäische Anschlussfähigkeit: Bewährte Lösungen wie X-Road oder die OZG-Cloud sollten integriert werden, um vollständig digitale Prozesse und Datenaustausch auch über Ländergrenzen hinweg zu ermöglichen.
- Klare Governance: Ein kooperatives Steuerungsmodell, das sich nicht in endloser Gremienarbeit verliert.
3.22 Zendis: „Souveränitäts-Washing bei Cloud-Diensten erkennen“
Das Zentrum für Digitale Souveränität (Zendis) legt in dem Whitepaper „Souveränitäts-Washing bei Cloud-Diensten erkennen“ seine Anforderungen an souveräne Cloud-Dienst dar.
Die Autor:innen kritisieren, dass große internationale Cloud-Anbieter ihre Dienste als souverän vermarkten. „Dieses Versprechen werde aber meist nicht gehalten“. Laut Zendis müssen Cloud-Angebote fünf Anforderungen erfüllen, um als digital souverän zu gelten.
Ein Höchstmaß an Digitaler Souveränität biete eine digitale Lösung nach dem Whitepaper dann, wenn sie
- rechtssicher/DSGVO-konform betrieben werden kann (bspw. ohne Zugriff durch ausländische Behörden auf Daten),
- Wechselfähigkeit ermöglicht (d. h. kein Vendor-Lock-in besteht),
- Kontrolle sichert (auch bei Ausfall, Sperrung oder Wechsel von Dienstleistern),
- Transparenz bietet (z. B. durch einsehbaren Quellcode)
- und anpassbar und gestaltbar ist (z. B. durch Weiterentwicklung in der Community oder durch Dienstleister).
Die Autor:innen verweisen auch auf bereits definierte Begriffe zur Digitalen Souveränität. Digitale Souveränität als die Fähigkeit eines Staates oder einer Organisation digitale Infrastrukturen und Dienste selbstständig, selbstbestimmt und sicher zu gestalten, zu betreiben und weiterzuentwickeln – ohne Abhängigkeiten von einzelnen Anbietern oder Drittstaaten. Dies gehe weit über reine Datensouveränität hinaus und umfasse auch den Zugriff auf Quellcode, Entscheidungsstrukturen und Standards.
3.23 EU: Neuer Entwurf für UK-Angemessenheitsbeschluss
Die EU-Kommission hat einen Entwurf für neue UK-Angemessenheitsbeschlüsse auch zum Umgang mit Daten bei der Strafverfolgung veröffentlicht. Der bisherige, der nach dem Brexit beschlossen wurde, wurde noch bis 27. Dezember 2025 verlängert. Basis der Einschätzung der EU-Kommission ist nun der aktuelle Data Use and Access (DUAA), ob in UK weiterhin von einem gleichwertigen Datenschutzniveau ausgegangen werden könne (hier eine Konsultation des britischen ICO dazu).
Besonders relevant war die Prüfung der durch den DUAA Act eingeführten Änderungen bei Betroffenenrechten. Zwar wurden Fristen und Pflichten bei Auskunftsersuchen präzisiert, die Kommission sieht darin jedoch keine Absenkung des Schutzniveaus, da die Bearbeitung weiterhin innerhalb eines angemessenen Zeitraums erfolgen muss. Allerdings gibt es auch bereits Kritik an dem Entwurf*.
Die Entwürfe beider Angemessenheitsbeschlüsse werden nun dem EDSA zur Stellungnahme vorgelegt. Im Anschluss ist dessen Zustimmung erforderlich, bevor die Beschlüsse endgültig erlassen werden können. Bericht dazu auch hier.
* Franks Anmerkung: Ups, deswegen sollten Sie immer Ihre eigene Webseite hosten. Typepad ist also out of business. Aber wir haben ja die Wayback-Machine: Hier der Link aus dem Archiv.
3.24 USA: Freiheit zu lügen und zu hetzen?
Die FTC (Federal Trade Commission) der USA hat in einem Brief an Technologieunternehmen vor ausländischer Einflussnahme und Absenkung von Datensicherheitsmaßnahmen gewarnt. Klingt ja erstmal unspektakulär. Wer will das schon. Allerdings geht es in dem Brief selbst dann doch eher um Anforderungen, dass ein Austausch von Ideen und die freie Meinungsäußerung durch ausländische Staaten und deren Regulatorik nicht unterbunden werden sollte.
Denn schließlich „seien der Schutz der Privatsphäre und der Sicherheit der personenbezogenen Daten der Amerikaner sowie die Wahrung ihrer Freiheit durch die Bekämpfung illegaler Zensur die Prioritäten für die FTC unter Trump und Vance“ (Seite drei des Briefes).
Schau an, wie schnell doch mit „weniger Regulatorik und Datenschutz“ Vorboten des Faschismus durch die Vordertür kommen.
Hier gibt es noch einen Bericht zum Thema.
4 Künstliche Intelligenz und Ethik
4.1 KI-VO: Was änderte sich zum 2. August 2025
Die in der KI-VO vorgesehenen Regelungen, die seit dem 2. August 2025 zu beachten sind, werden in diesem Beitrag beschrieben.
4.2 Schweizer Pilot Studie: Digital Trust
Digital Trust kann sich zu einer gängigen Worthülse entwickeln – oder bei richtiger Umsetzung auch zu einem „Vertrauensanker“. Eine Studie der Universität Zürich rückt Digital Trust ins Zentrum der digitalen Wirtschaft. Die Pilotstudie zeigt klar: Digitales Vertrauen sei kein Soft Skill, sondern eine strategische Schlüsselressource. Ob Gesundheit, Mobilität oder Banken – ohne Vertrauen in digitale Dienste bliebe Digitalisierung Stückwerk.
Die Interviews mit 16 internationalen Branchenvertreter:innen identifizieren vier zentrale Strategien:
- Human-zentriert (Führung, Mitarbeiterschulung, Unternehmenskultur)
- Compliance-orientiert (Audits, Zertifizierungen, Rechtskonformität)
- Techikgetrieben (Cybersecurity, Privacy-by-Design, digitale Identitäten)
- Staatlich gestützt (E-Governance, nationale Cyberstrategien, digitale Policies)
Digitales Vertrauen ist kein Selbstläufer. Es muss gebaut, gepflegt und evaluiert werden – und das auf Management-Ebene. Die gute Nachricht: Die Werkzeuge liegen bereit. Der Aufbau digitalen Vertrauens erfordert mehr als gute Absichten:
- Awareness auf C-Level
- Checklisten und Tools zur Umsetzung
- Praxisnahe Evaluation (z. B. Trust-Stresstests, KPIs)
- Wissenstransfer aus Pionierbranchen wie Banken und Cyberabwehr
4.3 Einsatz von KI in Behörden der EU
Aus dem Fachbereich Europa des Deutschen Bundestages gibt es einen Infobrief „Zu rechtlichen Vorgaben der Verordnung über Künstliche Intelligenz für den Einsatz von KI in Behörden der EU-Mitgliedstaaten“. Die rasante Entwicklung und Verbreitung KI macht vor der öffentlichen Verwaltung nicht Halt: KI biete weitreichende Möglichkeiten Prozesse zu optimieren, zu modernisieren und zu beschleunigen. Gleichzeitig entstehen neue Herausforderungen, insbesondere im Hinblick auf einen verantwortungsvollen und rechtskonformen Einsatz von KI. Der Infobrief behandelt rechtliche Aspekte, die für Behörden der EU-Mitgliedstaaten gemäß der Verordnung über Künstliche Intelligenz (KI-VO) der EU bei der Einführung und Nutzung von KI-Anwendungen relevant sein können.
Behandelt werden Fragestellungen im Zusammenhang mit der Anbieter- oder Betreibereigenschaft von Behörden, Registrierungspflichten für KI-Systeme sowie sonstigen Dokumentations- und Transparenzpflichten. Der Infobrief geht auf die Pflichten zur Kompetenzbildung im KI-Bereich und auf die Frage ein, ob Organisationsstrukturen für ein Compliance-Management geschaffen werden sollten. Abschließend werden Maßnahmen dargestellt, die Behörden bei der Einführung eines generativen Allzweck-KI-Systems wie ChatGPT, Claude oder Gemini beachten sollten.
4.4 Niedersachsen: Pilotierung von MAKI (Massenverfahrensassistenz mithilfe von KI)
Das niedersächsische Justizministerium informiert über eine länderübergreifende Kooperation mit Brandenburg, Hessen und Nordrhein-Westfalen. Dort wird die KI-Assistenzsoftware MAKI (Massenverfahrensassistenz mithilfe von KI) pilotiert und weiterentwickelt. Ziel sei mittels KI bei Klagefluten Prozesse schlanker zu gestalten.
Die Software MAKI wurde entwickelt, um Gerichte – insbesondere Amtsgerichte in Flughafennähe – bei der effizienten Bearbeitung gleichartiger Verfahren wie Fluggastrechtsklagen zu entlasten. MAKI extrahiert relevante Informationen aus Schriftsätzen und unterstützt beim Textbausteinmanagement. Zudem würden generative KI-Tools die Entscheidungsfindung erleichtern ohne den richterlichen Spielraum einzuschränken. Die Anwendung sei mit Unterstützung von Richterinnen und Richtern aus der Praxis entwickelt worden – unter höchsten Datenschutzstandards. Die Zusammenarbeit nach dem „Einer-für-Alle“-Prinzip (EfA) demonstriere beispielhaft, wie föderale Strukturen Synergien freisetzen können – insbesondere in komplexen digitalen Transformationsvorhaben.
Die beteiligten Länder seien Heimat bedeutender Luftverkehrsdrehkreuze – ideale Pilotstandorte. Die ersten Implementierungen an Flughafengerichten sind bereits für Sommer 2025 geplant. Das Ziel ist die Entlastung der Justiz durch Automatisierung repetitiver Aufgaben.
4.5 Datenschutzrechtliche Anforderungen und Webscraping
Mit den datenschutzrechtlichen Anforderungen beim Webscraping für das Training von KI-Systemen befasst sich dieses Papier. Welche rechtlichen Auswirkungen auf den Datenschutz haben aus dem Internet gesammelte Datensätze für maschinelles Lernen? In einer empirischen Studie zu einem beliebten Trainingsdatensatz wird festgestellt, dass trotz Bereinigungsbemühungen in erheblichem Umfang personenbezogene Daten vorhanden sind. Die Prüfung liefert konkrete Belege für die Befürchtung, dass jeder groß angelegte, aus dem Internet gesammelte Datensatz personenbezogene Daten enthalten kann. Diese Erkenntnisse aus einem realen Datensatz werden genutzt, um die rechtliche Analyse in Bezug auf bestehende Datenschutzgesetze zu untermauern. Verschiedene Datenschutzrisiken aktueller Datenkurationspraktiken werden aufgezeigt, die zur Weitergabe personenbezogener Daten an nachgelagerte Modelle führen können.
4.6 USA: Änderungen in der AI-Regulatorik
Die Trump-Administration hat drei Durchführungsverordnungen zu KI verabschiedet:
- Die Beschleunigung der Genehmigungen für den Bau von Rechenzentrumsinfrastrukturen,
- die Förderung des Exports amerikanischer KI-Modelle ins Ausland und
- den Schutz der Amerikaner vor woken KI-Modellen.
Das muss nicht weiter kommentiert werden.
4.7 MIT et. al.: KI-Risikominderungstaxonomie
Das MIT (Massachussetts Institute of Technlogy) hat zusammen mit dem Future Tech MIT Computer Science and Artificial Intelligence Laboratory im Rahmen ihrer Forschungen die erste Version ihrer „KI-Risikominderungstaxonomie“ (AI Risk Mitigation Taxonomy) veröffentlicht. Diese stellt eine strukturierte Datenbank mit 831 Strategien zur Risikominderung von KI-Risiken, die aus 13 Frameworks in technischen, politischen und Governance-Bereichen extrahiert wurden, dar.
Dazu wurden 13 wichtige Rahmenwerke und Leitfäden gescannt, die zwischen 2023 und 2025 veröffentlicht wurden. Daraus wurden 831 spezifische Abhilfemaßnahmen extrahiert – definiert als Maßnahmen, die die Wahrscheinlichkeit oder die Auswirkungen von KI-bezogenen Risiken verringern. Diese wurden in eine Taxonomie von vier Top-Level-Kategorien und 23 Unterkategorien unterteilt – von technischen Sicherheitsvorkehrungen bis hin zu Governance-Protokollen.
Dabei fanden die Wissenschaftler heraus, dass
- operative Prozesskontrollen wie Tests und Audits die am häufigsten genannten Strategien zur Risikominderung waren,
- mehrere kritische Unterkategorien entstanden:
- Testen & Auditing (127 Erwähnungen)
- Risikomanagement (125)
- Datenverwaltung (57)
- Überwachung nach der Bereitstellung (50)
- Offenlegung von Risiken (44)
- einige Arten von Minderungsmaßnahmen seltener diskutiert wurden – darunter Umweltverträglichkeitsmanagement, Modellausrichtung, Meldung und Schutz von Whistleblowern sowie gestaffelte Bereitstellung.
Ergänzend dazu Ausführungen zu den AI Risk Repository des MIT, Hinweise zur Taxonomie der Menschenrechtsrisiken in Verbindung mit generativer KI des OHCHR, einen Bericht zu Edge AI (der Taxonomie zu den Anforderungen an eine einheitliche Taxonomie bei Künstlicher Intelligenz), eine Veröffentlichung zu „A Taxonomy of Trustworthiness for Artificial Intelligence“, die wir hier erwähnten oder auch der Überblick zur Taxonomie der technischen KI-Governance, zu der in dem Papier Open Problems in Technical AI Governance berichtet wird (unser Bericht dazu hier).
4.8 Schweiz: KI in der medizinischen Dokumentation
Der Bericht zum ersten abgeschlossenen Projekt der neuen Runde der Innovation-Sandbox für KI wurde nun veröffentlicht. Unter dem Titel „KI in der medizinischen Dokumentation – Rechtgrundlagen und Empfehlungen“ werden fünf zentrale Schwerpunkte betrachtet:
- KI-Potenziale in der medizinischen Dokumentation
- Datenschutz, Berufsgeheimnis und die Cloud
- Besonderheiten bei Medizinprodukten
- Einschätzung verschiedener Anwendungsfälle
- Empfehlungen und Impulse für die Zukunft
Zusammenfassend ergibt sich, dass insbesondere bei den steigenden administrativen Anforderungen Unterstützung durch KI großes Potenzial gesehen wird. Der Bericht erläutert die rechtlichen Grundlagen und gibt konkrete Empfehlungen. Im Kapitel zu „Datenschutz, Berufsgeheimnis und die Cloud“ hilft ein Entscheidungsbaum bei der Bewertung (zwar unter Berücksichtigung schweizer Rechts, aber die Orientierung hilft bereits). Hervorzuheben ist auch, dass die Autor:innen eine mögliche rechtssichere Anonymisierung von Medizinberichten als herausfordernd bewerten, weil moderne Technologien und Analyseverfahren (etwa KI-gestützte Textanalyse oder sogenannte Rekonstruktionsangriffe) selbst aus scheinbar neutralisierten Datensätzen Rückschlüsse auf einzelne Personen ermöglichen.
Interessant ist auch die Analyse konkreter Anwendungsfälle im 4. Kapitel, die auch die Abgrenzung zwischen rein administrativen Funktionen und KI-Systemen mit medizinischem Zweck betrachtet.
4.9 UNESCO: Playbook for Red Teaming Artificial Intelligence for Social Good
Die UNESCO hat ein Red Teaming Playbook veröffentlicht. Das Playbook richtet sich an politische Entscheidungsträger, Pädagogen, zivilgesellschaftliche Gruppen und Organisationen und will einen praktischen Leitfaden zum Testen generativer KI-Modelle auf Voreingenommenheit, Stereotypen und potenzielle Schäden bieten – insbesondere auf solche, die technologiegestützte geschlechtsspezifische Gewalt (TFGBV) ermöglichen könnten.
Basierend auf einer realen Red-Teaming-Übung, die bei der UNESCO durchgeführt wurde, ermöglicht die Ressource Communities KI-Risiken auf sichere und strukturierte Weise zu untersuchen. Durch die aktive Aufdeckung von Schwachstellen in KI-Systemen spielen die Nutzer eine wichtige Rolle bei der Gestaltung einer ethischeren, inklusiveren und verantwortungsvolleren Technologie.
4.10 KI: Erklärbarkeit und Audit
In diesem Beitrag wird die Nachvollziehbarkeit von Auditmaßnahmen bei Finanzdienstleistern und deren Akzeptanz durch die BaFin thematisiert. Auch vor dem Einsatz in der Wirtschaftsprüfung macht KI nicht Halt. Doch neben den Fragen zu möglichen Risiken stellt sich auch die entscheidende Frage, wie Vertrauen gewahrt bleiben kann. Hier versucht „Erklärbarkeit“ (Explainable AI, XAI) eine Lösung anzubieten. Nur wenn jede Entscheidung der KI lückenlos dokumentiert und auf nachvollziehbare Quellen zurückgeführt werden könne, entstünde echte Transparenz. Dies sei zentral für das Prinzip, dass die prüfende Person jederzeit die volle Kontrolle behalte.
4.11 KI und Meinungsfreiheit
Diese Masterarbeit an der Universität Utrecht befasst sich mit der Fragestellung des Einflusses von KI auf die Meinungsfreiheit: „AI-Generated Content and the Pollution of the Information Sphere: A Freedom of Expression Analysis under Article 10 ECHR“. Im Ergebnis kommt sie zu dem Schluss, dass die Herausforderungen im Rahmen von Art. 10 EMRK bewältigt werden könnten.
4.12 Podcast zu KI und Jurist:innen
Wie verändert KI bereits heute die Arbeit in Kanzleien und Rechtsabteilungen? Ob Vertragsprüfung, Schriftsatzstruktur oder juristische Recherche: KI wird mehr und mehr zur stillen Assistentin im Hintergrund – wenn man weiß, wie man sie richtig nutzt. Darum geht es in dieser Podcast-Folge (Dauer ca. 47 Min.).
4.13 KI bevorzugt KI
Eine aktuelle Studie zeigt auf, dass Sprachmodelle dazu tendieren KI-Inhalte gegenüber menschlichen Texten zu bevorteilen. Die Studienautor:innen warnen vor den negativen Folgen, die sich daraus ergeben könnten. In ihren Tests untersuchten die Forscher:innen mehrere bekannte LLMs, darunter GPT-3.5 und GPT-4 von OpenAI sowie Llama 3.1-70b von Meta. Die Modelle sollten zwischen Produkten, wissenschaftlichen Artikeln oder Filmen wählen – jeweils auf Grundlage einer Beschreibung, die entweder von einem Menschen oder von einer KI erstellt wurde. Dabei zeigte sich, dass die Modelle eindeutig die KI-generierten Beschreibungen bevorzugten. Mehr dazu hier.
4.14 DIN SPEC 91512:2025-09 Fairness von KI-Anwendungen im Finanzsektor
Eine neue kostenlose DIN SPEC 91512:2025-09 gibt es zwar aktuell nur auf Deutsch: „Fairness von KI-basierten Anwendungen im Finanzsektor“. Sie setzt z.B. für die Kreditprüfung dezente Leitplanken, wie Fairness in KI-Systemen sichergestellt werden soll, z.B. durch
- Fairness messen & prüfen – etwa mit „Conditional Statistical Parity“, um Diskriminierungen aufzudecken und zu vermeiden.
- Transparenz schaffen – Antragsteller:innen sollen nachvollziehen können, warum ein Kredit abgelehnt oder bewilligt wurde.
- Bias reduzieren – durch sauberes Datenmanagement, Feature-Design und kontinuierliches Monitoring.
- Assurance Case nutzen – methodische Rahmenwerke machen Fairness überprüf- und dokumentierbar.
- Regulatorische Relevanz – die Norm ist ein Signal an Banken, FinTechs & Aufsichtsbehörden: KI-Systeme brauchen Governance, bevor sie Vertrauen verspielen.
Das Kapitel 7.2 behandelt zudem den Einsatz von KI in der Kreditwürdigkeitsprüfung. KI analysiert große Datenmengen, erkennt Muster und erstellt adaptive Scores. Kleinkreditprüfungen stützen sich auf weniger Informationen, z. B. Adresse, Einkommen, Beschäftigungsstatus und Wohnsituation. Damit steigt auch das Risiko für systemische Verzerrungen oder Diskriminierungen. Trotz Vorteile bleibt entscheidend, dass Kreditentscheidungen nicht allein einer Maschine überlassen werden dürfen. Art. 22 DS-GVO schreibt vor, dass Betroffene nicht ausschließlich automatisierten Entscheidungen unterworfen sein dürfen. Deshalb müssen Banken sicherstellen, dass Transparenz, Nachvollziehbarkeit und menschliche Kontrolle gewährleistet sind.
4.15 KI und Nachrichten
Wie wirkt sich der Einsatz und die Möglichkeiten von KI auf die Medienproduktion und auf Nachrichten aus? Damit befasst sich das Forschungsprojekt „Gei§t – Künstliche Intelligenz in der Medienproduktion“ an der Hochschule für Medien. Letztendlich wurden daraus Leitlinien erarbeitet, die sich auch mit den ethischen Fragen dazu befassen und unter dem Titel „Ethische Leitlinien für den Einsatz von synthetischen und geklonten Stimmen im Nachrichtenjournalismus“ veröffentlicht wurden.
4.16 KI und Desinformation – und wie gegengesteuert werden kann
Wie können Behörden wirksam gegen Desinformation vorgehen – gerade im Zeitalter generativer KI? Der neue Bericht des World Economic Forum „Rethinking Media Literacy“ versucht eine Antwort zu geben: Nur ein ganzheitliches Medienkompetenz-Modell, eingebettet in institutionelle und politische Strukturen, stärke die Integrität öffentlicher Informationen nachhaltig. Letztendlich beginnt der Schutz demokratischer Prozesse bei der Gestaltung vertrauenswürdiger Informationsräume. Wer im öffentlichen und gesellschaftlichen Bereich Verantwortung trägt, muss Medienkompetenz nicht nur fordern – sondern strukturell verankern. Im Bericht des WEF finden sich dazu praxisnahe Hinweise.
4.17 Schall und Rauch: Renditen von KI-Programmen
Der Studie The GenAI Divide: State of AI in Business 2025 aus dem Projekt Nanda des MIT zufolge erzielten die meisten Unternehmen mit ihren KI-Programmen nicht die erwarteten Renditen. Nur ein Bruchteil erreiche substanzielles Umsatzwachstum, wie hier berichtet wird.
Für die Studie wurden 150 Führungskräfte und 350 Mitarbeiter befragt und die Analyse von 300 öffentlichen KI-Implementierungen durchgeführt. Die Ergebnisse zeigten: Etwa 95 Prozent aller generativen KI-Pilotprojekte schafften es nicht schnelle Umsatzsteigerungen zu erzeugen.
Das Problem läge nicht in der Qualität der KI-Modelle, sondern im fehlenden richtigen Umgang damit.
Nicht Regulierungen oder eine schwache KI-Leistung seien schuld, sondern die schlechte Integration in Unternehmen. Bericht dazu auch hier.
4.18 KI und personenbezogenen Daten in LLM
Nicht nur anlässlich der Konsultation der BfDI zu Fragen zu LLMs unter Datenschutzaspekten ein scheinbar immer aktuelles Thema: Enthält ein Large Language Modell personenbezogene Daten, so dass auch dafür die DS-GVO ihren Anwendungsbereich findet? Damit befasst sich dieser Beitrag, dessen Länge im Titel bereits auf die Komplexität des Themas hinweist: Machine Learners Should Acknowledge the Legal Implications of Large Language Models as Personal Data.
4.19 KI, Trainingsdaten und Personenbezug
Je länger wir uns mit der Thematik befassen, desto länger werden auch die Titel der Veröffentlichungen dazu: Hier wird unter dem Titel „A Common Pool of Privacy Problems: Legal and Technical Lessons from a Large-Scale Web-Scraped Machine Learning Dataset“ der Inhalt von Web-Scraping-Daten für das Training von KI-Systemen in Größenordnungen untersucht, in denen menschliche Datensatzkuratoren und -kompilierer nicht mehr jede Probe manuell annotieren können. Aufbauend auf früheren Bedenken hinsichtlich der Privatsphäre in maschinellen Lernmodellen wird die Frage behandelt: Welche rechtlichen Auswirkungen auf die Privatsphäre haben Web-Scraping-Datensätze für maschinelles Lernen? In einer empirischen Studie eines beliebten Trainingsdatensatzes finden sich trotz Bereinigungsmaßnahmen eine signifikante Präsenz personenbezogener Daten. Die durchgeführte Prüfung liefert konkrete Belege für die Befürchtung, dass jeder große, aus dem Internet gesammelte Datensatz personenbezogene Daten enthalten kann. Diese Erkenntnisse aus einem realen Datensatz werden genutzt, um die getroffene rechtliche Analyse in Bezug auf bestehende Datenschutzgesetze zu untermauern. Verschiedene Datenschutzrisiken der aktuellen Datenkurationspraktiken werden aufgezeigt, die zur Weitergabe personenbezogener Daten an nachgelagerte Modelle führen können. Die Autor:innen plädieren auf der Basis dieser Ergebnisse für eine Neuausrichtung der aktuellen Rahmenbedingungen für „öffentlich zugängliche” Informationen, um die Entwicklung von KI, die auf dem wahllosen Scraping des Internets basiert, sinnvoll einzuschränken.
4.20 LLM und „Recht auf Vergessenwerden“
Kann ich Daten aus einem LLM heraus löschen (oder im Sinne der DS-GVO bei personenbezogenen Daten das „Recht auf Vergessenwerden“ aus Art. 17 DS-GVO umsetzen)? In dieser Veröffentlichung mit dem Titel „IMU: Influence-guided Machine Unlearning“ befassen sich die Autor:innen mit der Entwicklung von Machine Unlearning (MU), d. h. einem Paradigma, das es Modellen ermöglicht bestimmte Datenpunkte auf Anfrage selektiv zu vergessen. Die meisten bestehenden MU-Algorithmen erfordern jedoch eine teilweise oder vollständige Feinabstimmung auf dem Retain-Set. Dies erfordere einen kontinuierlichen Zugriff auf die ursprünglichen Trainingsdaten, was aufgrund von Datenschutzbedenken und Speicherbeschränkungen oft nicht praktikabel sei. In dem Beitrag wird Influence-guided Machine Unlearning (IMU) erläutert, eine einfache, aber effektive Methode, die MU nur unter Verwendung des Vergessenssatzes durchführt. Konkret verwende IMU Gradientenanstieg und führe innovativ eine dynamische Zuweisung von Unlearning-Intensitäten über verschiedene Datenpunkte hinweg ein, basierend auf deren Einfluss. Diese adaptive Strategie verbessere die Unlearning-Effektivität erheblich und erhält gleichzeitig die Modellnutzbarkeit. Ergebnisse aus Bildverarbeitungs- und Sprachaufgaben zeigten, dass IMU bestehende MU-Methoden ohne Datenbeibehaltung durchweg übertrifft.
4.21 McKinsey: Seizing the agentic AI advantage
Mit der Veröffentlichung seines CEO Playbook „Seizing the agentic AI advantage“ stellt McKinsey (gegen Registrierung) u.a. auch das KI-Paradoxon vor: Acht von zehn Unternehmen nutzen Gen-KI. Acht von zehn berichten von keinen wesentlichen Auswirkungen auf das Ergebnis. Im Zentrum dieses Paradoxons stünde ein Ungleichgewicht zwischen „horizontalen“ (unternehmensweiten) Copiloten und Chatbots, die zwar schnell skaliert wurden, aber diffuse, schwer messbare Vorteile bieten, und transformativeren „vertikalen“ (funktionsspezifischen) Anwendungsfällen, von denen etwa 90 Prozent noch immer in der Pilotphase stecken. KI-Agenten böten einen Weg, um aus dem Paradoxon der generischen KI auszubrechen. Denn KI-Agenten hätten das Potenzial komplexe Geschäftsprozesse zu automatisieren, indem sie Autonomie, Planung, Gedächtnis und Integration kombinieren, um generische KI von einem reaktiven Werkzeug zu einem proaktiven, zielorientierten virtuellen Mitarbeiter zu machen. Dieser Wandel ermögliche weit mehr als nur Effizienz. KI-Agenten steigerten die operative Agilität und schafften neue Umsatzmöglichkeiten. Um das volle Potenzial der agentenbasierten KI auszuschöpfen, reiche es jedoch nicht aus KI-Agenten in bestehende Arbeitsabläufe einzubinden. Vielmehr müssten diese Arbeitsabläufe von Grund auf neu konzipiert werden – mit KI-Agenten im Mittelpunkt.
Zu dem Report finden sich auch Zusammenfassungen wie hier und da.
4.22 Podcast: KI in der Verwaltung
Was passiert, wenn der Staat KI nicht nur reguliert, sondern selbst baut? Das wird in dieser Podcast-Folge thematisiert am Beispiel von „F13“, einer Open-Source-KI-Assistenz „made in the Länd“ (Baden-Württemberg), die Verwaltung neu denken will: souverän, transparent und datenschutzkonform.
Dabei geht es um digitale Souveränität, schlanke Teams mit großen Visionen und die Frage, wie viele gute Momente man eigentlich braucht, um einen schlechten auszugleichen. Aber auch um Verwaltungs-Mindsets, den Reiz von Open Source, die Gefahr des Plattformkapitalismus und um die Verantwortung von Staat und Gesellschaft KI nicht nur einzukaufen, sondern mitzugestalten.
Und weil das einige Themen sind, dauert der Podcast auch ca. 72 Minuten.
4.23 KI und Wettbewerbsrecht
Was gilt, wenn der Chatbot Werbung macht? Das ist der aussagekräftige Titel einer Betrachtung unter wettbewerbsrechtliche Aspekten, wenn der Chatbot werberelevante Aussagen trifft.
Immer häufiger navigieren Internetnutzer nicht mehr über traditionelle Suchmaschinen von Webseite zu Webseite, sondern richten ihre Fragen direkt an KI-gestützte Chatbots, etwa nach dem besten Eisladen in der Nähe, passenden Sneakern zum neuen Outfit oder einer Empfehlung für einen guten Zivilrechtsanwalt vor Ort. Stellen Unternehmen fest, dass ihre Produkte oder Dienstleistungen seltener genannt werden als erwartet oder sich nicht ausreichend von den Angeboten der Konkurrenz abheben, folgt meist eine Analyse der zugrunde liegenden Quellen des Chatbots, etwa Unternehmenswebseiten, Blog-Beiträge oder Produktinformationen. Oder das Teil beginnt zu „halluzinieren“ (was m.E.n. im Marketing bisher oft bereits Einstellungsvoraussetzung war – zumindest, wenn es um datenschutzrechtliche Aussagen ging). Nach § 5 UWG ist es grundsätzlich unzulässig durch unwahre oder irreführende Angaben über wesentliche Merkmale eines Produkts oder einer Dienstleistung eine geschäftliche Entscheidung des Verbrauchers zu beeinflussen – was aber, wenn eine Aussage eines Chatbots zu einer Eigenschaft des betrachtenden Kaufgegenstandes nicht zutrifft?
4.24 USA: KI-Klage gegen Unternehmen
Wie hier berichtet wird, gibt es in den USA eine Klage, in denen drei Autor:innen ihre Rechte gegen einen KI-Anbieter geltend machen. Nachdem dazu eine Sammelklage zugelassen wurden, würde nun durch KI-Branchenverbände befürchtet, dass dadurch die gesamte US-amerikanische Industrie für Künstliche Intelligenz finanziell ruiniert und die technologische Wettbewerbsfähigkeit der USA gefährdet werden könnte, wenn sich potenziell bis zu sieben Millionen Kläger anschließen könnten. Allerdings gibt es laut Bericht auch Kritik an dem Weg der Sammelklage, da damit auch der Nachweis der jeweiligen Kläger, Rechteinhaber zu sein, verbunden wäre.
4.25 Klage in USA wegen Aufzeichnung von Videocalls
Wie hier berichtet wird, gibt es in den USA ein Verfahren gegen einen Hersteller von KI-gestützten Transkriptions- und Notizwerkzeugen (Otter), der angeblich private Gespräche aufzeichnet und sie zum Trainieren der KI verwendet – ohne vorher die Zustimmung der beteiligten Personen einzuholen. Die Klage richte sich speziell gegen Otter Notetaker, das Tool des Unternehmens, das Anrufe von Zoom, Google Meet und Microsoft Teams in Echtzeit aufzeichnet und transkribiert.
Das sollte wieder daran erinnern, dass Funktionalitäten zur Aufzeichnung und / oder Transkription von Videokonferenzen auch einer datenschutzrechtlichen Rechtmäßigkeitsgrundlage bedürfen und Transparenzanforderungen unterliegen!
4.26 OWASP: State of Agentic AI Security and Governance
Dieses Dokument mit dem Titel “State of Agentic AI Security and Governance 1.0” des OWASP (Open Worldwide Application Security Project) bietet einen umfassenden Überblick über die aktuelle Lage im Bereich der Sicherheit und Governance autonomer KI-Systeme. Es untersucht die Rahmenbedingungen, Governance-Modelle und globalen Regulierungsstandards, die eine verantwortungsvolle Einführung von Agentic AI prägen. Das Dokument richtet sich an Entwickler, Sicherheitsexperten und Entscheidungsträger und dient als praktischer Leitfaden für die sichere und effektive Entwicklung, Verwaltung und Bereitstellung von Agentic-Anwendungen.
4.27 KI, Agenten und der Algorithmus
Wie unterscheiden sich KI, Ki-Agenten und simple Algorithmen? Das Papier, das sich mit dieser Frage befasst (Artificial Intelligence is Algorithmic Mimicry), ist nicht neu. Trotzdem gibt es darauf noch keine zufriedenstellenden Antworten. Der Autor argumentiert, dass eine echte künstliche allgemeine Intelligenz, die Ziele formt, sich echt anpasst und autonom arbeitet, innerhalb der aktuellen algorithmischen Rahmenbedingungen äußerst unwahrscheinlich ist. Tja.
4.28 KI-VO und Einsatz von KI an Hochschulen
Wie ist der Einsatz von KI an Hochschulen rechtlich zu werten? Werden sie Betreiberinnen oder Anbieterinnen von KI-Systemen? Welche Verpflichtungen haben Hochschulen gegenüber ihren Mitgliedern in Sachen Schulung von KI-Kompetenz? Wann wird aus einem KI-Modell eigentlich ein KI-System? Und was gilt bei Hochrisiko-KI oder Open Source-KI? Diesen und vielen weiteren Fragen will ein neues Rechtsgutachten aus NRW nachgehen.
Zentral wird in dem Rechtsgutachten zur Bedeutung der europäischen KI-Verordnung für Hochschulen auch die Frage behandelt, ob die KI-VO im Sinne des Wissenschaftsprivilegs für Wissenschaftseinrichtungen überhaupt gilt. Der Autor bejaht diese Frage. Hochschulen müssten die KI-VO zwar nicht beachten, wenn sie ein KI-System nur zu Forschungszwecken entwickeln und in Betrieb nehmen. Dies sei jedoch eng auszulegen. Denn: falls ein späterer Praxiseinsatz in Betracht kommt, greife die KI-VO spätestens ab der Inbetriebnahme eines KI-Systems – auch wenn der Betrieb zunächst für Forschungszwecke erfolgte.
4.29 WhatsApp ohne Meta-KI?
Auch das geht. Wie? Das ist hier nachzulesen. Und, dass es auch Alternativen zu WhatsApp gibt, lesen Sie hier.
5 Veröffentlichungen
5.1 DStV: Zehn Thesen zu generativer KI in der Steuerberatung
Der Deutsche Steuerberaterverband (DStV) veröffentlichte zehn Thesen zum Einsatz generativer KI in der Steuerberatung. Diese sind auch in einer Grafik zum Download aufbereitet.
5.2 Microsoft: Recall-Funktion kommt nach Deutschland
Jetzt scheint es eh schon egal zu sein: Wie hier berichtet wird, soll seit Juli 2025 die Funktion Recall auch in Deutschland verfügbar sein. Es lasse sich über das optionale Update KB5062660 auf Copilot+-PCs installieren. Damit lassen sich alle aufgerufenen Bildschirminhalte speichern und durchsuchen, wenn etwas gesucht wird. Um Privatsphäre- und Sicherheitsbedenken auszuräumen, versicherte laut Bericht der Hersteller, dass die Snapshots lokal auf dem Rechner verbleiben, nicht in die Cloud geschickt und nicht mit Microsoft oder Dritten geteilt werden. Kennwörter, Kreditkartendaten und andere sensible Informationen würden zudem automatisch gefiltert.
5.3 Erkämpft und verhasst – Die Geschichte des Datenschutzes
Mit den Thema „Datenschutz – deutsche Erfindung oder digitale Bremse?“ befasst sich dieser Hörfunkbeitrag des Bayrischen Rundfunks (Dauer ca. 22 Min.). Von Hessens Pioniergesetz 1970 über den Volkszählungs-Protest bis zur DS-GVO und dem Einsatz von Max Schrems gegen Facebook: Eine Geschichte zwischen Grundrechten, Überwachungssorgen und dem Ruf nach mehr digitaler Freiheit.
Zum Thema passt auch diese Aufzeichnung einer Veranstaltung der Stiftung Datenschutz (Dauer ca. 66 Min.) und dieser Podcast zur „Datenmacht des Staates“ (Dauer ca. 66 Min.).
Das erste „Datenschutzereignis“ fand ich bisher in der Bibel. Nein, nicht die Volkszählung, die von Kaiser Augustus, über die im neuen Testament berichtet wird, sondern im Alten Testament in 2. Buch Samuel, Kapitel 24, 1 bzw. 1. Chronik Kapitel 21, 1, als David seine Soldaten zählen („mustern“) musste, um „die Zahl des Volkes“ zu kennen. Zeitlos scheint die Interpretationsfrage bis heute zu sein, ob diese „Volkszählung“ nun von Gott oder dem Satan ausging.
5.4 Jahresbericht des Wissenschaftlichen Zentrums für Informationstechnik-Gestaltung
Im Februar 2005 wurde für das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Grundstein gelegt. Die Gesellschaft für Informatik (GI) hat genau zwanzig Jahre danach – im Februar 2025 – eines der Hauptanliegen des ITeG – „Selbstbestimmung in der digitalen Gesellschaft“ – als eine der Grand Challenges benannt, die die Forschung in der Informatik und in ihrem Umfeld maßgeblich prägen werden. Das prägt auch den Jahresbericht 2024, der hier veröffentlicht wurde.
5.5 Klage wegen erfolgreichem Social Engineering und Zugangsfreigabe
Warum groß in KI-gestützte Angriffe investieren, wenn es über Menschen billiger geht? Immer wieder können Angriffe erfolgreich durchgeführt werden, weil der menschliche Faktor nur unzureichenden Schutz bietet. Im hier beschriebenen Fall wurde der Zugangscode erfolgreich beim Dienstleister erfragt. Das darauf hin geschädigte Unternehmen verklagt nun den Dienstleister auf Schadenersatz, wie hier berichtet wird. Die Methode, über Helpdesks Zugangsdaten auszukundschaften, schien wohl in mehreren Fällen erfolgreich gewesen zu sein.
5.6 Erfolgreiche Ermittlungen gegen Cyberkriminelle
Wie sich in den letzten Jahren die Ermittlungstätigkeiten und damit auch die Ermittlungserfolge änderten, beschreibt ein Experte in seinem Blog. So stünde einem “Cybercrime as a Service” inzwischen auch ein “Crimefighting as a Service” gegenüber, das etwa das BKA mit seiner Cybertoolbox ganz geschickt für die Polizei vor Ort anbietet. Er betrachtet aber auch die Fragen eines Beweisverwertungsverbots und weist dabei auf äußerst grenzwertige Verwertungen – wie bei Encrochat – hin.
5.7 noyb: Bericht zu Argumenten zu „Pay or Okay”
Das NGO noyb veröffentlichte einen selbst erstellten Bericht im Kontext eines Prozesses zu der Entwicklung und Akzeptanz der Auswahlmöglichkeit einer umfangreichen Datenverarbeitung inkl. Profilbildung zuzustimmen oder dafür zu zahlen. Dabei betrachten sie auch das Argument von Medienhäusern, dass dieser Ansatz für die Finanzierung von Qualitätsmedien notwendig sei. In Wirklichkeit mache laut noyb digitale Werbung bestenfalls 10 % der Einnahmen besagter Medienhäuser aus.
5.8 GDD-Kurzpapier zu Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit
Die Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.) hat eine Entscheidungshilfe für die Praxis zur Abgrenzung einer Auftragsverarbeitung zur gemeinsamen Verantwortlichkeit veröffentlicht. Auf sechs Seiten befasst sie sich mit den Abgrenzungskriterien und verweist dabei auf Kommentierungen und Aussagen des EDSA. So stellt sie fest, dass regelmäßig keine Auftragsverarbeitung vorliegt, wenn die Datenverarbeitung nur ein „Nebenprodukt“ der Dienstleistung ist. Vielmehr müsse die Verarbeitung der personenbezogenen Daten den Kern der Dienstleistung oder ein Schlüsselelement der Dienstleistung darstellen.
Für eine datenschutzrechtliche Verantwortlichkeit des Dienstleisters spräche es hingegen, wenn z.B. dieser eine sondern Entscheidungshoheit (ggf. gemeinsam mit weiterer Stelle) im Hinblick auf die personenbezogene Datenverarbeitung habe.
5.9 Zuverlässigkeit der Sub-Dienstleister, heute: Microsoft
Wen setzt mein Dienstleister als Sub-Dienstleiser ein? Diese Anforderungen definierte der EDSA in seiner Opinion 22/2024 (wir berichteten) unter der Maßgabe der DS-GVO bei Auftragsverarbeitern. In den USA gilt diese ja nicht. Trotzdem scheint auch hier die Kontrolle des Dienstleisters hinsichtlich Zuverlässigkeit auf einmal eine Rolle zu spielen, wie hier berichtet wird, wenn bei Microsoft Techniker aus China die Cloud des US-Verteidigungsministeriums betreuen.
5.10 Europäische digitale Souveränität – oder was?
Hilft mir eine „Sovereign Cloud“, wenn ich nach mehr Unabhängigkeit von US-amerikanischen Anbietern strebe? Wer mit jeder Antwort leben kann, sollte diesen Beitrag lesen.
5.11 Besprechung des Urteils des OLG Köln zu KI-Training von Meta
Was sollten Unternehmen aus der Entscheidung des OLG Köln zur Zulässigkeit des Trainings von KI mit personenbezogenen Daten beachten? Hier findet sich eine Zusammenfassung und Bewertung der Entscheidung des OLG.
5.12 Besprechung der EuGH-Rechtsprechung zur Interessensabwägung
Das Urteil des EuGHC-394/23 (Mousse) (wir berichteten) hat viele relevante Aussagen zur geschlechtlichen Anrede als personenbezogenes Datum und zur Erforderlichkeit bei Wahrung berechtigter Interessen oder bei Vertragserfüllung getroffen. Im Vorfeld einer Veranstaltung werden hier in diesem Beitrag die Kernaussagen erläutert und Hinweise für die Umsetzung speziell für die Interessensabwägung gegeben. Auch beim BvD erschien bereits ein Beitrag dazu.
5.13 EAID: Diskussion Zentralisierung der Aufsichten
Einen Rückblick auf die Veranstaltung der EAID zur Diskussion der Zentralisierung von Aufgaben der Datenschutzaufsicht gibt es hier zum nachlesen.
5.14 Neues Rechtsinformationssystem (NeuRIS)
Wer seine Rechte verstehen will, muss diese erstmal finden. Das klingt banal, ist aber für Bürger:innen derzeit eine echte Herausforderung. Denn bislang fehlt in Deutschland ein zentraler, offener Ort, an dem Gesetze und Verordnungen sowie Gerichtsentscheidungen einfach zu finden und zu durchsuchen sind.
Gemeinsam mit dem Bundesministerium der Justiz und für Verbraucherschutz und dem Bundesamt für Justiz will das der DigitalService ändern und das neue Rechtsinformationssystem (NeuRIS) entwickeln. NeuRIS soll u.a. einen barrierefreien Zugang zu Gesetzen, Verordnungen, Gerichtsentscheidungen und Verwaltungsvorschriften ermöglichen – als OpenData maschinenlesbar und nachnutzbar. Nun wurde ein Service in der Testphase gelauncht.
Dort werden Rechtsinformationen zentral und kostenfrei zur Verfügung gestellt, sodass alle Bürger:innen Rechtsinformationen des Bundes recherchieren können. Für die Nutzungstests kann hier die Registrierung erfolgen. Der Link zur Testphase finden Sie hier.
5.15 Fragen der datenschutzrechtlichen Verantwortlichkeit bei intelligenten Geräten
In dem Artikel mit dem Titel „Personal data controllers and device producers: Mind the gap“ werden Fragen der Verantwortlichkeit bei der Herstellung eines intelligenten Geräts thematisiert und es wird gezeigt, dass man nicht allein jemanden zum Verantwortlichen für personenbezogene Daten machen könne, wenn kein späterer Einfluss auf die Verarbeitungsvorgänge bestehe. Die Tatsache, dass eine Einheit ein Verarbeitungsmittel herstelle, reiche für sich genommen nicht aus, um den Anwendungsbereich der DS-GVO auszulösen und den Hersteller als Verantwortlichen zu klassifizieren.
5.16 Podcast zu Grenzen des Auskunftsrechts
Wer sich mit Fragen rund um die Auskunft befassen will (oder meistens ja muss), sei auf den Teil dieses Podcasts (Dauer ca. 1:12 Std.) verwiesen, in dem ein Experte zu den Fragen dazu Stellung nimmt. Insbesondere wenn die auskunftsverpflichtete Stelle fürchtet mit der Auskunft vertrauliche bzw. schützenswerte Informationen offenbaren zu müssen, oder wenn Rechte Dritter Personen betroffen sind, gibt es oft Unsicherheiten.
5.17 WLAN-Signale und Identifizierung
Jetzt ist es schon soweit – kaum eine technische Einheit, die nicht nur einen Personenbezug herleiten lässt, nun geht es auch gleich um biometrische Daten – also Daten nach Art. 9 DS-GVO. Wie mit WLAN-Signalen und deren Verzerrungen Personen identifiziert werden können, wird hier berichtet.
5.18 Podcast mit Urteilsbesprechungen
Einer der durchgängig empfehlenswerten Podcasts ist diesmal besonders in der Folge 134 (Dauer ca. 32 Min.) zu empfehlen, hebt er sich doch von den Sonstigen auch mit positiver Kritik ab. Es geht zunächst um eine Stellungnahme des DAV zum Einsatz von KI in der Anwaltschaft, welche berufsrechtliche, datenschutzrechtliche und urheberrechtliche Aspekte erörtert. Danach werden in gewohnt fachmännischer Weise aktuelle Urteile besprochen.
Ergänzen wir das gleich um die Folge 135 (Dauer ca. 49 Min.), in der u.a. die bisherigen Entscheidungen des OLG Köln und Schleswig-Holstein zum Training von KI durch Meta besprochen werden, aber auch die Entscheidung zur Facebook-Fanpage.
5.19 Privates Register für Verhaltensregeln und Zertifikate
Auf dieser Webseite listet eine private Initiative die Verhaltensregeln und Zertifikate auf, die auf die DS-GVO referenzieren. Als GDPR Codes of Conduct and Certifications Register ist die Auflistung frei zugänglich – und ohne Gewähr.
5.20 Abmahnmodell mit kostenlosem Generatoren für Datenschutzerklärungen
Das ist fies: Erst den Eindruck erwecken, die Nutzung eines Datenschutz-Hinweis-Generators sei kostenlos, und dann abmahnen – weil entgegen der akzeptierten Nutzungsbedingungen ein Quellverweis mit Verlinkung fehlte. Mehr dazu hier.
5.21 Verträge und Cyberangriffe
Maßnahmen nach Art. 32 DS-GVO oder auch grundsätzliche Maßnahmen für die Informationssicherheit sind oft Gegenstand von Ausbildungen und Seminare. Wie aber sieht es mit den vertraglichen Maßnahmen aus, die beachtet werden sollten, um bei Cyberangriffen ausreichend vorbereitet zu sein? Damit befasst sich dieser Blog-Beitrag.
Unter anderem wird dazu empfohlen, dass gegenseitige Hauptleistungspflichten klar und präzise geregelt, mögliche Downtimes durch Cyberangriffe bei der Berechnung von Verfügbarkeitsversprechen berücksichtigt, sachgerechte technische und organisatorische Maßnahmen implementiert und vertraglich vereinbart und Informations- und Unterstützungspflichten möglichst klar geregelt werden.
5.22 Handlungsempfehlungen zur Sicherheit bei Microsoft-Anwendungen
Es wurde wieder Einiges zu Microsoft veröffentlicht: Die Allianz für Cyber-Sicherheit und ihre Partner stellen ein stetig wachsendes Repertoire an Informationen zur Cybersicherheitslage sowie Handlungsempfehlungen zur Verfügung. Am 19. August 2025 zu Office-Anwendungen von Microsoft.
5.23 Business Judgment Rule
Sag keiner, wir hätten nicht schon mal dazu berichtet. Die Business Judgment Rule (vgl. § 93 Abs. 1 Satz 2 AktG) ist einer dieser Rechtsgrundsätze, die in der Theorie oft als trocken oder nebensächlich abgetan werden – in der Praxis aber über Sein oder Nichtsein einer Managerkarriere entscheiden kann. Wenn eine Unternehmensleitung alle Möglichkeiten ausschöpfen sollte, um Risiken erkennen und Entscheidungen begründen zu können, gehört dann auch KI dazu? Nach diesem Beitrag ja (Hinweis: nicht vollständig frei verfügbar)! KI gelte inzwischen als „anerkannte Regel der Technik“ bei der Ausschöpfung aller Informationsquellen für unternehmerische Entscheidungen. Wer sie ignoriert, handele schnell pflichtwidrig. Die Haftung sei real: Wer schon einmal gesehen habe, wie eine Business Judgment Rule über eine umfangreiche Informationsbasis und Dokumentation in Haftungsfragen entlastend wirken konnte, erkenne, wie existenziell wichtig sie sein könne.
5.24 KI-Kompetenz – auch mal kritisch
Die Österreichische Akademie der Wissenschaften (ÖAW) ist Österreichs zentrale außeruniversitäre Einrichtung für Wissenschaft und Forschung. Sie hat die gesetzliche Aufgabe „die Wissenschaft in jeder Hinsicht zu fördern“. 1847 als Gelehrtengesellschaft gegründet, steht sie mit ihren heute über 760 Mitgliedern sowie rund 1.800 Mitarbeiterinnen und Mitarbeitern für innovative Grundlagenforschung, interdisziplinären Wissensaustausch und die Vermittlung neuer Erkenntnisse – mit dem Ziel zum wissenschaftlichen und gesamtgesellschaftlichen Fortschritt beizutragen. Und aus dieser Einrichtung kommt nun seit November 2024 eine Aufforderung zu Critical AI Literacy (CAIL).
Gefordert wird eine kritische Technikkompetenz für konstruktiven Umgang mit KI-basierter Technologie in Betrieben. Aussagekräftiger Satz auf Seite 20 aus dem Projektbericht dazu „Die Mystifizierung von KI erschwert einen seriösen Umgang mit der Technologie“.
KI sei ein wertvolles Werkzeug, das uns im Alltag unterstützen kann. Allerdings nur, wenn es für Funktionen eingesetzt wird, die es auch aufgrund seiner Techniken erfüllen kann. KI solle als Unterstützungswerkzeug genutzt werden und nicht als Ersatz für die Wissensvermittlung (Seite 37).
Es wird aber auch als Unterstützung zur Umsetzung ein „CAIL-Framework“ angeboten (ab Seite 66). Der Ansatz dabei basiert auf drei verschiedenen, miteinander verbundenen analytischen Ebenen, um zwischen technischen, operativen und ethischen Einflussfaktoren der Funktionalität eines KI-Systems differenzieren zu können. Trotzdem könne KI im Unternehmen für ausgesuchte Einsatzgebiete sehr nützlich sein, man dürfe aber nicht unterschätzen, wie viel menschliche Arbeit nötig ist, um KI zu betreiben.
5.25 Veranstaltungen
5.25.1 Gesellschaft für Informatik: „Anonymisierung und Pseudonymisierung“ -neu-
15.10.2025, 16:00 – 17:00 Uhr, online: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit Meike Kamp ist diesjährige Vorsitzende der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz). Auf ihre Initiative hat sich die Datenschutzkonferenz vorgenommen praktische Hilfestellungen für die effektive Anonymisierung und Pseudonymisierung von personenbezogenen Daten zu erarbeiten. Richtig angewendet können Anonymisierung und Pseudonymisierung wertvolle Werkzeuge für die Datenverarbeitung in Forschung, Wirtschaft und im öffentlichen Sektor sein.
Doch die Wahl der geeigneten Verfahren ist oftmals eine Herausforderung. Hier setzt die Datenschutzkonferenz an: Aufbauend auf den europäischen Leitlinien zu beiden Themen wird sie anhand konkreter Beispiele aus verschiedenen Bereichen zeigen, welche Anforderungen und Verfahren für die Pseudonymisierung und Anonymisierung wichtig sind. Frau Kamp wird einen Einblick in die Arbeit der Datenschutzkonferenz zu dem Papier geben und dabei auch auf das jüngste Urteil des Europäischen Gerichtshofs (EuGH) zur Anonymisierung von Daten eingehen (siehe SRB-Urteil des EuGH vom 4. September 2025 (C-413/23 P, siehe auch hier). Weitere Informationen und Anmeldung hier.
5.25.2 LfDI Baden-Württemberg: Fest der digitalen Freiheit -neu-
18.10.2025, ab 14:00 Uhr, Stuttgart: Gemeinsam mit der Stadtbibliothek Stuttgart veranstaltet der LfDI Baden-Württemberg unter Mitwirkung von u.a. Chaos Computer Club Stuttgart e. V., Digitalcourage e. V., Landeskriminalamt, Landesmedienzentrum, Landesanstalt für Kommunikation, Landeszentrale für politische Bildung, Stuttgarter Jugendhausgesellschaft, Türkische Gemeinde in Baden-Württemberg e. V., Verbraucherzentrale Baden-Württemberg einen Tag rund um digitale Freiheit. Das Programm bietet für alle Generationen etwas, wie einen Verschwörungskrimi oder eine Reise durch die Überwachungsliteratur, einer „Muurmel-Erklärbahn“, die „Digitalen Kehrwoche“, Tipps und Tricks zum selbstbestimmten und sicheren Surfen im Netz, mit Hör- und Spielstationen, Filmen, Infoständen und vielen weiteren Angeboten. Weitere Informationen dazu hier.
5.25.3 EDPS und Goethe-Universität Frankfurt: „Secure Multi-Party Computation“ (SMPC) -neu-
21.10.2025, 14:00 – 17:00 Uhr, Frankfurt und online: Der Europäische Datenschutzbeauftragte und die Goethe-Universität Frankfurt informieren zu „Secure multi-party computation“ (SMPC). Dabei geht es um eine sichere Mehrparteienberechnung (SMPC) als Technologie zur Verbesserung des Datenschutzes (PET). Durch die Möglichkeit, dass mehrere Parteien gemeinsam private Daten berechnen können, ohne diese einander offenzulegen, stellt SMPC einen transformativen Ansatz für die sichere Datenverarbeitung dar, insbesondere in sensiblen Bereichen wie Finanzen, Gesundheitswesen, nationale Sicherheit und KI-Entwicklung. Weitere Informationen dazu hier und der Link für die Online-Teilnahme dort.
5.25.4 Universität Kassel „Digitale Gesellschaft – Eine Gestaltungsaufgabe“ (Wintersemester 2025 / 2026) -neu-
In fünf Beiträgen aus unterschiedlichen Disziplinen beleuchten die Vorträge komplexe Fragen der Gestaltung der Technik der Zukunft. Dahinter stehen konkrete Einzelprobleme – aber immer auch die Frage: Wie wollen wir in Zukunft leben? Zwei Vorträge gibt es in Präsenz in Kassel, alle anderen erfolgen online:
- 22.10.2025, 17 Uhr (online): „Das erste Kranzbergsche Gesetz“
- 19.11.2025, 17 Uhr (Präsenz) „The Indirect Disclosure Effect: How Disclosing Generative AI Use Impacts Creators‘ Collaboration with AI“
- 10.12.2025 17 Uhr (online).: „Was ist effektive menschliche Aufsicht über KI?“
- 21.01.2026 17 Uhr (Präsenz): „Wie sich erlernte von designter Technik unterscheidet: Die neue Agency generativer KI und das Erfordernis der strategischen Interaktion mit ihr“
- 11.02.2026 17 Uhr (online): „Zwischen Halluzination und Realität: KI-Regulierung entlang der Wertschöpfungskette“
Weitere Informationen und Anmeldung hier.
5.25.5 IHK Schwaben: KI-Prüfung aus Sicht der Datenschutzaufsicht -neu-
30.10.2025, 15:00 – 16:00 Uhr, online: Folgende Fragestellungen werden durch eine Bereichsleiterin des BayLDA behandelt:
- Wie prüft die Datenschutzaufsicht KI?
- Welche Fallkonstellationen sind derzeit am häufigsten, wo gibt es aus datenschutzrechtlicher Sicht die größten Probleme?
- Überblick über die Grundsatzfragen, die sich im Zusammenhang mit datenschutzkonformem Einsatz von KI stellen, am Beispiel eines HR-Tools zur Bewertung von Lebensläufen.
- Wo greifen Synergieeffekte zwischen KI-Verordnung und DS-GVO?
- Wie gelingt eine Datenschutz-Folgenabschätzung in diesem Zusammenhang?
- Welche Bedeutung hat die Stellungnahme des Europäischen Datenschutzausschusses für die Anwendung von KI-Tools für Unternehmen?
Weitere Informationen und Anmeldung (nur für Mitglieder der IHK Schwaben) hier.
5.25.6 LfDI Baden-Württemberg: KI-Woche – „Wer/wem nutzt KI?“ -neu-
02./03.11.2025, Stuttgart: In seiner schon fast traditionellen KI-Woche in Stuttgart befasst sich der LfDI Baden-Württemberg 2025 laut der Save-The-Date-Meldung mit den aktuellen Fragestellungen rund um KI. Weitere Informationen und Anmeldung hier.
5.25.7 Neues Datenrecht: Pflicht zum Teilen von (personenbezogenen) Daten -neu-
11.11.2025, 10:00 – 11:00 Uhr, online: Seit dem 12. September 2025 gelten die neuen Pflichten des Data Acts zum Teilen von Daten (Data Sharing). Unternehmen sind nun angewiesen Daten – darunter auch personenbezogene – mit Dritten zu teilen. Die Zielsetzung des Data Acts liegt im Abbau von Wettbewerbsbeschränkungen, steht damit aber im Widerspruch zum Datenschutzrecht. Für Datenschutzbeauftragte ergibt sich dadurch eine besondere Herausforderung: Wie lassen sich die Anforderungen des Data Acts mit den Vorgaben der DS-GVO in Einklang bringen? Dieses Spannungsverhältnis muss in der Praxis gelöst werden. Denn es müssen die Pflichten sowohl nach Data Act als auch nach DS-GVO eingehalten werden, was differenzierte Lösungen und die dringende Kenntnis beider Rechtsakte erfordert. Das Webinar will einen kompakten Überblick über die zentralen Pflichten des Data Acts geben und aufzeigen, wo Konflikte mit dem Datenschutzrecht entstehen können. Weitere Informationen und Anmeldung hier.
5.25.8 Daten mit echter Wirkung: Regulatorische Gestaltungsspielräume smart nutzen -neu-
25.11.2025, 09:00 – 10:30 Uhr, online: Daten sind der zentrale Rohstoff für Steuerung, Innovation und Differenzierung – über alle Unternehmensbereiche hinweg. Ob in der operativen Effizienz, in digitalen Produkten oder als Entscheidungsgrundlage: Wer Daten strategisch einsetzen will, muss Technik, Organisation und Regulierung zusammendenken. Denn gleichzeitig entstehen im Zusammenspiel von KI-VO, Data Act, DS-GVO und Gesundheitsdatennutzung neue rechtliche Rahmenbedingungen, die nicht nur Grenzen setzen, sondern auch Gestaltungsspielräume und Effizienzen eröffnen. Wer die Orchestrierung der Regulatoriken beherrscht, verschafft sich in Zukunft einen klaren Wettbewerbsvorteil. In dieser Veranstaltung soll genau diese Perspektiven zusammengebracht werden: Wie lässt sich eine datenbasierte Strategie aufbauen, die technologisch skalierbar, rechtlich tragfähig und wirtschaftlich sinnvoll ist? Und: Wie können Unternehmen darin schnell und souverän handlungsfähig werden? Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 VZ NRW: Erfahrungen bei KI-Training bei Facebook und Instagram
Die Verbraucherzentrale NRW befragt Verbraucher:innen zu ihren Erfahrungen zur Nutzung ihrer Daten bei Facebook und Instagram durch Meta zum Training der KI.
6.2 ChatGPT-Guide für Lehrkräfte
Der aktualisierte ChatGPT-Guide für Lehrkräfte (Version 4.5) ist kostenlos gegen Angabe einer E-Mail-Adresse verfügbar. Er wurde vollständig überarbeitet und auf den neuesten Stand gebracht. Er umfasst mehr als 200 Prompts für Schule & Unterricht, Schritt-für-Schritt-Anleitungen für den Tool-Einstieg, ein AKTIV-Framework zur schrittweisen KI-Integration in den Schulalltag und weitere Tools, Tipps & Unterrichtseinheiten rund um KI im Unterricht.
6.3 Warn-App Nina: Bevölkerungsschutz
Die Warn-App NINA wurde um polizeiliche Warnmeldungen erweitert. Was es mit der neuen Funktion auf sich hat, ist auch im aktuellen Magazin „Bevölkerungsschutz“ in diesem Beitrag nachzulesen.
6.4 DLF: Bedroht der DSA die Meinungsfreiheit?
In der Reihe „Hörsaal“ befasst sich der Deutschlandfunk „Nova“ mit der Frage, ob die Internetregulierung die Meinungsfreiheit bedrohe. Ausgehend von einem Kurzvortrag vorher wird nun vertieft der DSA in einem extra Vortrag betrachtet, der am Hamburger Institut für Sozialforschung gehalten wurde.
6.5 DLF: DSA und Justiz mit KI
Wieder in der Reihe „Hörsaal“ geht es im Deutschlandfunk „Nova“ zunächst um den DSA, dann aber um KI im Gerichtssaal. Am Beispiel der fiktiven Richterin Regine Richtig werden Fragestellungen erörtert.
6.6 Medienerziehungsstile im digitalen Zeitalter
Die Digitalisierung des Familienalltags stellt Eltern vor komplexe Anforderungen: von der Einschätzung medialer Inhalte bis zur Regelsetzung, Reflexion und technischen Kompetenz. Bei der Aufgabe, Kinder fit fürs Digitale zu machen, möchte das Projekt „Digitales Deutschland – Monitoring zur Digitalkompetenz der Bevölkerung“ unterstützen. Empirische Studien unterscheiden danach drei zentrale Medienerziehungsstile, die elterliches Handeln strukturieren:
- Aktive Medienerziehung (z.B. das gemeinsame Sprechen über Medieninhalte)
- Restriktive Medienerziehung (z.B. das Setzen von zeitlichen oder inhaltsbezogenen Regeln)
- Parallelnutzung des Mediums ohne inhaltliche Diskussionen (z. B. Eltern schalten sich nicht aktiv in die Mediennutzung ihrer Kinder ein)
Diese Stile hängen oft vom sozio-ökonomischen Status, der eigenen Digitalkompetenz und Selbstwirksamkeit der Eltern und dem Alter der Kinder ab. Letztendlich sei Medienerziehung kein einheitlicher Prozess, sondern Ausdruck elterlicher Ressourcen, Einstellungen und Kontexte. Daher brauche es gezielte Unterstützungsangebote, die unterschiedliche Ausgangslagen berücksichtigen – und eine geteilte Verantwortung von Familien, Bildungsinstitutionen, Plattformanbietern und Politik.
6.7 Soziale Medien und die psychologische Gesundheit von Kindern und Jugendlichen
Das Leopoldina-Diskussionspapier „Soziale Medien und die psychische Gesundheit von Kindern und Jugendlichen“ adressiert ein aktuelles Thema zu den Auswirkungen der Nutzung sozialer Medien auf Kinder und Jugendliche. Verantwortlich dafür zeichnet die Leopoldina-Fokusgruppe Digitalisierung und es lassen sich Handlungsempfehlungen ableiten, um Kinder und Jugendliche vor negativen Folgen sozialer Medien zu schützen und sie zu einem verantwortungsvollen Umgang zu befähigen.
In der Zusammenfassung stellt die Fokusgruppe fest, dass die Nutzung sozialer Medien für einen Großteil der Kinder und Jugendlichen in Deutschland längst alltäglich ist. Viele von ihnen zeigten dabei ein riskantes, manche sogar ein suchtartiges Nutzungsverhalten. Zwar könne die Nutzung sozialer Medien durchaus positive Effekte für Heranwachsende haben – bei intensiver Nutzung können jedoch negative Auswirkungen auf das psychische, emotionale und soziale Wohlbefinden auftreten, wie Depressions- und Angstsymptome, Aufmerksamkeits- oder Schlafprobleme. Im Diskussionspapier schlagen die beteiligten Wissenschaftlerinnen und Wissenschaftler deshalb die Anwendung des Vorsorgeprinzips vor. In dem Diskussionspapier geben sie Handlungsempfehlungen, um Kinder und Jugendliche vor negativen Folgen sozialer Medien zu schützen, beispielsweise durch altersabhängige Zugangs- und Funktionsbeschränkungen. Die Empfehlungen umfassen:
- keine Social-Media-Accounts unter 13 Jahren
- Elterliche Zustimmung von 13-15 Jahren
- keine Smartphones an Schulen bis zur 10. Klasse
- altersgerechte Gestaltung bis 17 Jahre, z. B. durch Verbot von personalisierter Werbung
- digitaler Bildungskanon, um Medienkompetenz zu stärken
- Public-Health-Kampagnen, um über Risiken und Vorteile von Social Media zu informieren
- Bereitstellung von Daten durch Plattformbetreiber für Forschungszwecke
Hier auch ein Interview mit einem der beteiligten Wissenschaftler.
6.8 Stiftung Datenschutz: Themenseite zur “Privatsache“
Die Stiftung Datenschutz hat eine neue Themenseite erarbeitet, über die vermittelt werden soll, warum Datenschutz mehr sei als Privatsache, was er mit gesellschaftlichem Zusammenhalt zu tun habe und warum es dafür strukturelle Lösungen brauche. Es geht um mehr als nur ein Passwort oder ein Häkchen in den Cookie-Einstellungen. Echte digitale Selbstbestimmung entstehe nicht durch individuelle Bastelstunden, sondern durch einen soliden, strukturellen Rahmen. Wahre Freiheit und Sicherheit im digitalen Raum sind politische und gesellschaftliche Gestaltungsaufgaben. Datenschutz sei das Fundament unserer digitalen Zukunft.
7 Sonstiges/Blick über den Tellerrand
7.1 Desinformationen erkannt bzw. leicht gemacht
Wie erkennen wir Desinformationen? So, wie sie hier erklärt werden, kann die Darstellung auch als Anleitung dazu missinterpretiert werden. Ausgehend von Desinformationen zum Klimawandel wird dies als Beispiel herangezogen, um aufzuzeigen, wie gezielte Desinformation eingesetzt wird. Es reichen:
- Pseudo-Experten, die aber fachlich unqualifiziert sind.
- Plausibel klingende Argumentationen, die bei genauer Betrachtung unlogisch sind: korrekte Informationen, falsche Schlüsse.
- Unerfüllbare Erwartungen: Von der Wissenschaft Dinge verlangen, die nicht erfüllbar sind, z.B. dass wissenschaftliche Erkenntnisse sich nicht verändern dürfen und für alle Zeiten absolute Gewissheit geben.
- Rosinen-Pickerei aus echten Studien, um die eigene Position zu stützen, und den jeweiligen Kontext ignorieren.
- Verschwörungs-Mythos als Kitt für das Ganze, um Einzelpersonen oder Gruppen üble Machenschaften zu unterstellen.
Medienkompetenz bedeutet: nicht nur Wissen, sondern Widerstandskraft. Die Informationen dazu sind in verschiedenen Sprachen erhältlich.
Mal sehen, ob uns das auch in der Diskussion um Änderungen der DS-VO begegnet.
7.2 Privacy ReClaim: Klagen gegen Meta und Google
Das klingt spannend: Aktuell laufen Werbemaßnahmen, um sich mögliche Ansprüche gegen Meta und Google abtreten zu lassen – gegen 50 Euro. Zielgruppe seinen Personen ohne Rechtsschutzversicherung und bei den angegebenen Ansprüchen geht es um die vermeintliche Datensammelwut von Meta (Details hier) und Google (für Android-Nutzende), die durch Klagen gestoppt werden sollen. Als Verantwortliche dafür tritt eine GmbH auf, die laut Impressum ihren Sitz tief im Schwarzwald hat. Und tief meint hier wirklich mehr idyllisch, nicht etwa versteckt oder unseriös.
7.3 Bildungswende in Teilen Skandinaviens
Das schwedische Karolinska-Institut veröffentlichte 2023 eine Stellungnahme mit eindeutigen Ergebnissen: Schüler, die Texte auf Bildschirmen lasen, lagen durchschnittlich zwei Jahre hinter jenen zurück, die auf Papier lernten. Nun wird hier berichtet, dass Schweden und Dänemark wieder verstärkt auf analoge Lehrmittel setzen. Die Begründung durch Schwedens Bildungsministerin ist, dass analoge Lernumgebungen bessere Voraussetzungen für die Entwicklung grundlegender Lese- und Schreibkompetenzen böten. Dänemarks Bildungsminister wird auch dahingehend zitiert, dass er sich bei den Schüler:innen entschuldigte sie zu Versuchskaninchen in einem digitalen Experiment gemacht zu haben.
7.4 FSM zum Jugendmedienschutz
Auch die FSM (Freiwillige Selbstkontrolle Multimedia-Diensteanbieter e.V.) meldet sich zu der aktuellen Diskussion um Jugendmedienschutz zu Wort. In der Debatte um Online-Medien werden oft Verbote und schärfere Gesetze gefordert. Doch der Schutz junger Menschen im Netz sei längst rechtlich verankert. Und zusammen mit den Möglichkeiten des technischen Jugendmedienschutzes und umfassender Medienbildung können Kinder und Jugendliche sichere, positive Online-Erfahrungen machen. So sieht der FSM Online-Jugendschutz als Aufgabe für Unternehmen. Kein Wunder, ist ja Ziel des FSM, das Netz als Wirtschaftsraum zu erschließen, indem über Einrichtungen wie die FSM auch private Akteure wesentliche Aufgaben im Kinder- und Jugendschutz übernehmen. Jugendmedienschutz heißt für den FSM: Schützen, befähigen und Teilhabe ermöglichen – altersgerecht, rechtlich fundiert und zukunftsfähig. Das gelinge nur mit System und nicht mit Symbolpolitik. Der rechtliche Rahmen sei da – er müsse nur ausreichend umgesetzt werden.
7.5 Digitalsteuer … in Italien
In Italien wird eine Digitalsteuer für diejenigen Unternehmen erwogen, die Daten von Italienern kapitalisieren. Nach diesem Bericht vertreten die Finanzbehörden dort die Auffassung, dass der Tausch „Daten gegen Dienstleistung“ als steuerpflichtiges Geschäft gilt – und haben saftige Steuerbescheide an X (12,5 Millionen Euro), LinkedIn (140 Millionen Euro) und Meta (887 Millionen Euro) verschickt. Big Tech zieht dagegen nun vor Gericht.
7.6 Sharenting: Klagerecht für Kinder
Kinderbilder im Netz, die Eltern und Verwandte vielleicht noch süß und putzig finden, müssen die abgebildeten Kinder nicht immer für korrekt halten. Hier wird aus Österreich berichtet, dass dort Kinder ab 14 Jahren dies dann gerichtlich klären lassen können, denn ab etwa 14 Jahren gelten Kinder als einsichts- und urteilsfähig und dürften selbst entscheiden.
Für Deutschland sei ergänzt, dass die dreijährige Verjährungsfrist von Ansprüchen gegen die eigenen Eltern z.B. wegen der Veröffentlichung auf Facebook oder einen anderweitigen öffentlichen Zugänglichmachung nicht nur in anderen Pädophilennetzwerken in Deutschland nach § 207 Abs. 1 Nr. 2 lit. b BGB erst mit dem 21sten Geburtstag des Kindes beginnt.
7.7 Ethik macht Klick. Meinungsbildung in der digitalen Welt
Wie bilden Jugendliche ihre Meinung in Zeiten von Algorithmen, Falschinformationen und digitalen Diskursräumen? Das überarbeitete klicksafe-Handbuch „Ethik macht klick“ unterstützt pädagogische Fachkräfte dabei diese Frage gemeinsam mit Jugendlichen zu reflektieren – praxisnah, fundiert und medienethisch. Dazu vermittelt es Einblicke in das Informationsverhalten Jugendlicher, gibt Hilfestellungen zur Analyse und Erkennung von Desinformation und Reflexion über die Auswirkungen auf unsere demokratische Gesellschaft.
In einer medienethischen Roadmap werden verschiedene Kompetenzen adressiert: Methodenkompetenz, Sachkompetenz, Sozialkompetenz und ethische Kompetenz.
Mitgewirkt haben dabei das Institut für Digitale Ethik der Hochschule der Medien Stuttgart und die Bischöflichen Medienstiftung.
7.8 Meta und Diversität
Aus Vorurteilen werden wieder mal Erfahrungswerte: Wie hier berichtet wird, engagiert Meta einen Mit-Verantwortlichen der Anti-Diversity-Shitstorms und Boykotte (darunter gegen Bud Light) nun als Berater mit dem Ziel objektive und „woke-freie“ KI aufbauen zu helfen.
7.9 Metas KI und Minderjährige
Wie aus diesen Meldungen zu entnehmen ist, haben Metas KI-Chatbots mit Kindern romantische Gespräche geführt und gefährliche Falschinformationen verbreitet. Die Chatbots führten mit Kindern aktiv Gespräche mit eindeutig romantischem oder sogar „sinnlichem“ Inhalt. Außerdem durften sie Falschinformationen verbreiten, rassistische Aussagen machen oder gefährliche medizinische Ratschläge geben.
7.10 Praxis-Guide Bildrechte
Eine schöne grundsätzliche Übersicht rund um Bildrechte ist hier verfügbar. So sind Muster-Dokumente wie Prüfungsschemata u.a. Muster-Einwilligungen zur Bildnutzung entsprechend der DS-GVO, Fotografenverträge und Datenschutzhinweise zur Event-Fotografie sowie Model-Verträge hinterlegt. Natürlich ohne rechtliche Gewähr, aber schon mal als Orientierung sehr hilfreich.
8. Franks Zugabe
8.1 Die eine KI-Meldung, die ich Ihnen in diesem Blog-Beitrag bringe
Eine Studie hat analysiert, wofür KI von den Menschen tatsächlich genutzt wird. Wie heißt es in der Quelle?
„Eigentlich sagt dies für sich alleine schon sehr viel über unsere Gesellschaft aus.“
Ach ja, die Top 3 sind gemäß der Studie:
- Therapie und Kameradschaft
- Das eigene Leben organisieren
- Sinnfindung
8.2 Neue Tricks mit QR-Codes
Wie heißt es so schön in dieser Quelle?
QR-Codes sind beliebte Vehikel für Verbrecher, Hyperlinks an Sicherheitssystemen vorbei zum Opfer zu schleusen. Der Einfallsreichtum ist groß.
Ich habe mir übrigens eine analoge Bahncard (den Papierausdruck) besorgt. Auf diesem ist prominent – Sie ahnen es – ein QR-Code abgedruckt…
Erinnern Sie sich noch an den Begriff Quishing?
8.3 Prishing?
Quishing ist ja sowas von 2022, wie wäre es stattdessen mit Prishing?
Was das ist, fragen Sie? Wenn Sie die Meldung nicht selbst lesen wollen, dann hier eine kurze Definition, damit Sie mitreden können:
Prishing steht für Drucker-basierte Social-Engineering-Angriffe
8.4 Ein Podcast-Tipp: Die Peter-Thiel-Story
Sagen Sie nach dem Hören nicht, dass ich Schuld habe an Ihrer schlechten Laune.
Nach dieser verheissungsvollen Einleitung hier der Link zu einer absolut hörenswerte Podcast-Reihe: Die Peter-Thiel-Story.
Jede der sechs Folgen dauert zwischen 30 und 40 Minuten.
Danach verstehen Sie manche Entwicklungen der letzten Jahre besser, denke ich.
8.5 Singvögel als Datenspeicher
So, nach der schlechte Laune hier etwas zum Laune aufhellen: Jemand hat es geschafft einen Singvogel als Datenspeicher zu nutzen. Und zwar non-destruktiv und zuverlässig. Warum? Keine Ahnung. Aber trotzdem Bonus-Punkte für die Idee und die Hartnäckigkeit.
Sie können sich auch direkt das Youtube-Video (Dauer ca. 31 Minuten, ab ca. Minute 12 geht es zum Speichern los) anschauen (aber stellen Sie bitte die KI-Übersetzung aus und hören Sie sich die Originalaudiospur an. Weiß jemand, wie das direkt per Link geht? 🤔).
8.6 BigBrotherAwards 2025
Und es ist wieder soweit, morgen (am 10.10.2025) werden Abends die BigBrotherAwards in Bielefeld vergeben. Dieses Jahr kann ich selbst leider nicht vor Ort dabei sein, aber es gibt ja Streaming-Optionen. Entweder schauen Sie alleine (oder zu mehreren) an dem Gerät Ihrer Wahl über diese Seite. Oder Sie gehen zu öffentlichen Screenings. Mal schauen, ob ich nach Merseburg fahre. Vielleicht sehen wir uns ja dort?
Egal wie, genießen Sie die Veranstaltung, es wird sicherlich wieder würdige Preisträger:innen geben.
Und wir werden darüber nachträglich berichten. Aber live dabei sein ist ja schöner, oder?
9. Die guten Nachrichten zum Schluss
9.1 EU-Leitlinien und Altersverifikations-App
Klicksafe informiert über die neuen Leitlinien der EU-Kommission zum Schutz Minderjähriger – ein wichtiger Schritt hin zu mehr Sicherheit junger Menschen im digitalen Raum. Die Leitlinien schaffen für Online-Plattformen weitere Klarheit darüber, wie sie die Vorgaben aus dem Digital Services Act (DSA) umsetzen müssen. Ein neues System zur Altersverifikation soll außerdem das altbekannte Problem lösen, dass viele sinnvolle Schutzmaßnahmen durch falsche Altersangaben kinderleicht umgangen werden können.
9.2 Kostenlose Bilddatenbank
Natürlich ist die Nutzung nicht unbegrenzt, aber für Bildungseinrichtungen kostenlos möglich, sofern nicht verändert wird, wie hier nachzulesen ist. Mit „Bildvokabeln Recht“ können Lehrmaterialien mit einfachen Zeichnungen bebildert werden. Neben den 19 Zeichnungen zu Rechtswissenschaft finden sich auch Themen wie Barrierefreiheitsstärkungsgesetz (BFSG), Arbeitsrecht und Erbrecht. Die neuen Motive entstanden in Zusammenarbeit mit dem Projekt Digitale Forschungswerkstatt für die Rechtswissenschaft (DigiFoR).
9.3 Globale Diskussion um Altersgrenze
Wie hier nachzulesen ist (hinter einer Bezahlschranke), ist die Diskussion um eine Altersgrenze bei der Nutzung digitaler Angebote nicht auf Deutschland begrenzt. Neben Politikern wie dem Bayerischen Ministerpräsidenten werden dabei auch Personen mit mehr Hintergrundwissen und / oder Aufgabenbezug zitiert. Der Beitrag umfasst auch die politische Diskussion auf europäischer Ebene und verlinkt die relevanten Aktivitäten hierzu.
9.4 Wie kann ich meine Rechte gegen rechtswidriges Plattformverhalten geltend machen?
Diese Webseite enthält wichtige Tipps, die man gleich beim eigenen Vorgehen gegen rechtswidriges Plattformverhalten berücksichtigen sollte, z.B. wie gemeldet werden kann und wie Meldungen zu dokumentieren sind. Kommen dann die Plattformen ihren Pflichten zur Prüfung, Freischaltung und Mitwirkung trotz klarer Rechtslage nicht nach und falls es doch nötig wird Anwälte einzuschalten, wäre damit alles schon gut vorbereitet, um die bestehenden Ansprüche gegen die Plattformen durchzusetzen.
9.5 Analoge Ideen für die Ferien
Hier finden sich viele Ideen für analoge naturnahe Erlebnisse – nicht nur in den Ferien für Kinder und diejenigen, die neugierig geblieben sind.