Hier ist der 33. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 43/2025)“ – Die DVD-Edition.
Mittlerweile sind wir wieder nah dran am aktuellen Geschehen. Im aktuellen Blog-Beitrag bekommen Sie als Highlights neben reichlich Meldungen aus den Aufsichtsbehörden vor allen Dingen auch reichlich Veranstaltungshinweise, manche davon kurzfristig bzw. mit nur noch sehr kurzer Anmeldemöglichkeit. Also lohnt es sich sofort nachzuschauen.
- Aufsichtsbehörden
- EDSA: Keine Anpassung der Bußgeldleitlinie nach EuGH-Rechtsprechung
- EDPS: Human Oversight – Menschliche Aufsicht bei automatisierten Entscheidungen
- EDSA: Stellungnahme zum Entwurf zur Verlängerung des Angemessenheitsbeschlusses zugunsten UK
- BfDI: Anerkennung als Dienst zur Einwilligungsverwaltung nach § 13 EinwV
- DSK: Stellungnahme zum Entwurf eines Gesetzes zur Durchführung der KI-VO
- SDTB: Hinweise zu LinkedIn und KI-Training
- TLfDI: Achtung bei Nutzung öffentlicher WLAN-Angebote
- LfDI Baden-Württemberg: Bildungsangebot an Schulen und Kitas
- SDTB: Datenpannen auf Rekordniveau des Vorjahres
- Podcast: Backstage bei einer Datenschutzaufsicht
- Italien: Verfahren gegen „entblößende“ Apps („Deep Nude“)
- Spanien: „Wenden Sie sich an den Datenschutzbeauftragten“
- Belgien: Rüge für Nutzung eines E-Mail-Kontos eines ehemaligen Beschäftigten durch Unternehmen
- Polen: Bußgeld gegen Verantwortlichen und Auftragsverarbeiter
- Niederlande: Leitfaden zu weiterer KI-Kompetenz
- Niederlande: Beendigung des Verfahrens gegen „Tennisbond“
- CNIL: Umfragen zu bezahlten Diensten
- CNIL: Widerspruch zur Nutzung von Plattforminhalten zum Training von KI
- APDCAT: Leitfaden und Anwendungsfälle zu einem FRIA-Modell
- Dänemark: Informationen zum Urteil des EuGH C-413/23 – pseudonym/anonym
- Dänemark: Abschlussbericht zu KI-Reallaboren
- ICO: Sanktion in Höhe von 14 Mio. £ nach Cyberangriff
- Kolumbien: Maßnahmen gegen World(coin)
- Rechtsprechung
- BFH: Auskunftsanspruch bei anonymer Anzeige
- LAG Sachsen: Widerspruch gegen Einsichtnahme des Betriebsrats in Bruttogehaltslisten
- LAG München: Darlegungserfordernis bei Auskunftsanspruch auf Kopie
- OLG Stuttgart: Zahlen mit Daten und zivilrechtliche Informationspflichten
- LG Koblenz: Auskunftsanspruch nach § 21 TDDDG bei Identitätsdiebsstahl
- BGH: Anforderungen in AGB zur Authentifizierung einer SIM-Karten-Sperrung am Telefon
- BAG: Grundsatzurteil zu Equal Pay – Ein besser verdienender Mann genügt
- Österreichischer VGH: Verantwortlichkeit bei Mitarbeiterexzess
- BVwG: Auskunftsanspruch hinsichtlich Empfänger (Auftragsverarbeiter)
- LG Bonn: Auskunft, Schadenersatz und Transatlantischer Datentransfer in die USA
- AG Nürnberg Wirksamkeit von Kopplungen bei datenschutzrechtlichen Einwilligung
- Berufungsgericht Norwegen: Bestätigung der Sanktion gegen Grindr
- Apple klagt gegen den DMA
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- EU-Kommission: Leitlinie zur Meldung schwerwiegender KI-Vorfälle
- Podcast: KI in der Schule
- CCBE: Leitfaden für die Anwaltschaft zum Umgang mit generativer künstlicher Intelligenz
- BSI: Penetrationstests bei Large Language Models
- Dänemark: Training von KI und TDM
- Rollen und Zuständigkeiten und Konsequenzen nach der KI-VO
- Stanford: Nutzung von Chatbot-Gesprächen für KI-Training
- Veröffentlichungen
- Zugriff durch Drittstaaten auch bei „Souveränen Clouds“?
- BDSG-Änderungen, Aufsichten und Ansichten
- Microsoft: Verträge zu MS 365 mit der EU-Kommission
- ICL: Pay or Consent – Material zu RTB
- Schweiz: Verträge mit Cloud-Providern veröffentlicht
- Ungarn: Kirche und Beichtgeheimnis
- gematik: Umstellung bei den Verschlüsselungsalgorithmen…
- Ausfall eines Cloud-Dienstleisters (AWS) und die Folgen
- Blog-Beitrag zu digitalem Nachlass
- Veranstaltungen
- Goethe Universität Frankfurt: „Innere Sicherheit im digitalen Raum“ -neu-
- Akademie Online: Demokratie schützen – Alternativen zu Tech-Giganten stärken -neu-
- ULD: „Frag´ für einen Freund“ -neu-
- LfDI Rheinland-Pfalz: ePA für alle – Daten für alle?
- Impact Hub Vienna: FABB Social Media Solutions Workshops -neu-
- Neues Datenrecht: Pflicht zum Teilen von (personenbezogenen) Daten
- Webinarreihe zu Cyber-Resilienz -neu-
- FragFinn und JFF: Virtueller Elternabend zur frühkindlichen Medienerziehung
- BSI: Dialog für Cybersicherheit -neu-
- Bündnis 90/Die Grünen Bundestagsfraktion: Gemeinwohlorientierte soziale Medien – Hürden und Lösungen -neu-
- Universität Kassel „Digitale Gesellschaft – Eine Gestaltungsaufgabe“ (Wintersemester 2025 / 2026)
- Stiftung Datenschutz: Zweiteiliges Webinar zu der Verarbeitung von (u.a.) Kinderbildern durch Vereine
- Daten mit echter Wirkung: Regulatorische Gestaltungsspielräume smart nutzen
- KI und Datenschutz: Aktuelle Urteile und Handlungsempfehlungen
- IHK München: 13. Datenschutztag
- Save-the-Date: BSI zu KI in der Bundesverwaltung -neu-
- Gautinger Internettreffen: Digitale Souveränität in der Jugendarbeit -neu-
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Keine Anpassung der Bußgeldleitlinie nach EuGH-Rechtsprechung
Aus einem Schreiben der EDSA-Vorsitzenden an einen Industrieverband geht hervor, dass der EDSA keinen Anpassungsbedarf an seiner Leitlinie 04/2022 für die Berechnung von Geldbußen im Sinne der DS-GVO sieht, nachdem der EuGH im Fall C-383/23 den Unternehmensbegriff zur Bußgeldberechnung weit auslegte (wir berichteten). Der EDSA ist der Ansicht, dass die Leitlinien 4/2022 – insbesondere – mit diesem Urteil im Einklang stehen (vgl. Abschnitt 6.2.1 der Leitlinie) und dass zum gegenwärtigen Zeitpunkt keine Änderungen erforderlich sind.
1.2 EDPS: Human Oversight – Menschliche Aufsicht bei automatisierten Entscheidungen
Der Europäische Datenschutzbeauftragte veröffentlichte einen Report zu Automatisierten Entscheidungen (Automated Decision Making – ADM) und zu den Anforderungen an eine menschliche Aufsicht dazu. Der Report analysiert typische Fehlannahmen und zeigt praxisnahe Maßnahmen, wie menschliche Aufsicht zu mehr Transparenz, Fairness und Verantwortlichkeit beim Einsatz von ADM-Systemen führen kann. Einzelpersonen sind sich möglicherweise nicht immer bewusst, dass sie ADM ausgesetzt sind. Dies kann zu einem Machtungleichgewicht zwischen den von diesen Systemen Betroffenen und denjenigen führen, die sie entwerfen, einsetzen oder kontrollieren. Da ADM zunehmend in Prozesse, Tools und Dienste integriert wird, muss unbedingt sichergestellt werden, dass diese Systeme keine autonomen, unkontrollierten Entscheidungen treffen, die die Grundrechte von Einzelpersonen beeinträchtigen.
Daher wird die Einbeziehung des Menschen als Schutzmaßnahme gegen die mit ADM-Systemen verbundenen Risiken (z. B. algorithmische Verzerrungen und Fehlklassifizierungen) zunehmend als notwendig angesehen. Die Einbeziehung menschlicher Urteilsfähigkeit in verschiedenen Phasen – während der Entwicklung, der Echtzeitüberwachung oder der Audits nach der Entscheidungsfindung – kann dazu beitragen, dass ADM-Systeme mit ethischen Standards, gesellschaftlichen Werten und Vorschriften in Einklang stehen.
Die bloße Einbeziehung eines Menschen in den Entscheidungsprozess garantiert jedoch nicht automatisch bessere Ergebnisse und sollte auch nicht als Mittel dienen, um die Verantwortung für die Entscheidungen des Systems abzuwälzen. Tatsächlich ist es unwahrscheinlich, dass die bloße Einbeziehung eines Menschen verhindern kann, dass Systeme falsche oder schädliche Ergebnisse für Einzelpersonen liefern. Dies ist häufig auf unzureichende Implementierungen oder mangelnde Kontrolle über das System zurückzuführen – Probleme, die in diesem Dokument näher untersucht werden.
1.3 EDSA: Stellungnahme zum Entwurf zur Verlängerung des Angemessenheitsbeschlusses zugunsten UK
Der Europäische Datenschutzausschuss (EDSA) hat seine Stellungnahme zu den Entwürfen der Europäischen Kommission über die Verlängerung der Angemessenheitsbeschlüsse für Großbritannien bis 2031 (wir berichteten) in der Opinion zu der RL Polizei und Justiz und in der Opinion zur DS-GVO veröffentlicht.
1.4 BfDI: Anerkennung als Dienst zur Einwilligungsverwaltung nach § 13 EinwV
§ 26 TDDDG in Verbindung mit der Verordnung zur Einwilligungsverwaltung (EinwV) bestimmt, dass die BfDI als unabhängige Stelle Dienste anerkennen kann, die unter anderem nutzerfreundliche und wettbewerbskonforme Verfahren bereitstellen, um die nach § 25 Abs. 1 TDDDG erforderliche Einwilligung von Endnutzern zu verwalten. Nach § 11 Abs. 2 EinwV muss der Antrag eine dokumentierte Beschreibung und Erläuterung des Dienstes zur Einwilligungsverwaltung enthalten. Diese Beschreibung ermöglicht der BfDI eine Prüfung des Vorliegens der in §§ 3 bis 7 EinwV geregelten Anforderungen.
Nun hat die BfDI mitgeteilt, dass sie das Angebot „Consenter“ der Law & Innovation Technology GmbH als Dienst zur Einwilligungsverwaltung nach § 13 EinwV anerkannte.
1.5 DSK: Stellungnahme zum Entwurf eines Gesetzes zur Durchführung der KI-VO
Die Datenschutzkonferenz (DSK) hat ihre Stellungnahme zum Regierungsentwurf eines Gesetzes zur Durchführung der EU-KI-Verordnung (KI-VO) veröffentlicht. Sie kritisieren u.a., dass die Regierung die BNetzA anstelle der Datenschutzbehörden mit der Überwachung von Hochrisiko-KI-Systemen betrauen will.
1.6 SDTB: Hinweise zu LinkedIn und KI-Training
Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) informiert über Änderungen bei den LinkedIn-Bedingungen zur Ermöglichung des Trainings einer KI mit der Nutzung der eingestellten Inhalte. Sie nutzt dazu auch die Hinweise des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Mecklenburg-Vorpommern.
Franks Nachtrag: Erster, aber noch ist Zeit, also denken Sie nach und widersprechen Sie ggf.
1.7 TLfDI: Achtung bei Nutzung öffentlicher WLAN-Angebote
Zwar fokussiert der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit seinen Hinweis auf Urlaubssituationen wie in Hotels, in Ferienwohnungen, bei Tagungsstätten, von Gaststätten, Cafés und ähnlichen. Ziel dabei sei es den Gästen sowohl im Urlaub als auch im täglichen Leben einen gewissen Komfort zum Surfen mit ihren Smartphones oder Tablets zu bieten. Neben den anfallenden Kosten(fallen) beim mobilen Internet im Urlaub im Ausland ergeben sich auch Gefahren, so dass personenbezogene Daten gezielt ausspioniert werden können. Denn unklar ist zum einen, ob das öffentliche WLAN tatsächlich dem Betreiber gehört, oder ob eine ähnliche Seite von Hackern mit gleichem Namen erstellt wurde.
1.8 LfDI Baden-Württemberg: Bildungsangebot an Schulen und Kitas
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) bietet kostenfreie Schulungen für den Bereich Schulen und Kitas im Winterhalbjahr 2025/26 im hauseigenen Bildungszentrum BIDIB an, diese umfassen die Themen:
- Datenschutz beim elektronischen Tage- oder Klassentagebuch an Schulen
- Datenschutz bei der Nutzung privater Endgeräte im Schuldienst
- Datenschutz und KI in Bildungseinrichtungen
- Datenschutz im Schulsekretariat
- Datenschutz bei Schulwebseiten
- Datenschutz in Kindertageseinrichtungen und Grundschule
Termine und Informationen zu den Anmeldungen finden sich hier.
1.9 SDTB: Datenpannen auf Rekordniveau des Vorjahres
Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) informiert, dass in diesem Jahr bislang so viele Datenpannen-Meldungen eingingen wie im Vergleichszeitraum des Vorjahres. Nach der Aussage der SDTB stehen hinter den Zahlen zumeist menschliches Versagen, organisatorische Mängel oder technische Schwachstellen. Angesichts des weiterhin hohen Aufkommens an Datenpannen sei Prävention heute wichtiger denn je. Dafür braucht es einerseits mehr Achtsamkeit bei der Verarbeitung von Daten Dritter, andererseits Wissen und vorbeugende Maßnahmen, um Fehler zu vermeiden und im Krisenfall die richtigen Schritte einzuleiten. Wichtige Hinweise dazu erhalten Verantwortliche nicht nur auf der Website der SDTB, sondern auch in einem Webinar, welches es am 30.10.2025 gab.
1.10 Podcast: Backstage bei einer Datenschutzaufsicht
In dieser Podcast-Folge (Dauer ca. 72 Min.) geht es nicht nur um den Werdegang einer Bereichsleiterin des BayLDA, sondern auch um ihre Erfahrungen und Wahrnehmungen im Rahmen ihrer Tätigkeit und Zusammenarbeit mit und innerhalb des EDSA.
1.11 Italien: Verfahren gegen „entblößende“ Apps („Deep Nude“)
Die italienische Aufsicht Garante geht gegen App-Anbieter vor, bei deren App der Eindruck erweckt wird, sie könne Menschen original nackt abbilden, auch wenn diese bekleidet sind.
Als Sofortmaßnahme und mit sofortiger Wirkung wird die vorübergehende Einschränkung der Verarbeitung personenbezogener Daten italienischer Nutzer gegenüber einem Unternehmen mit Sitz auf den Britischen Jungferninseln angeordnet, das die App Clothoff betreibt. Clothoff bietet einen generativen KI-Dienst an, der es ermöglicht kostenlos und gegen Bezahlung „Deep Nude”-Bilder zu generieren, d. h. gefälschte Fotos und Videos, die reale Personen in nackten oder sexuell eindeutigen oder sogar pornografischen Posen zeigen. Die Anwendung ermögliche es jedem – auch Minderjährigen – Fotos und Videos aus Bildern zu erstellen, auch wenn diese Minderjährige zeigen, ohne dass eine Möglichkeit besteht, die Zustimmung der abgebildeten Person zu überprüfen, und ohne dass auf den künstlichen Charakter der Fotos und Videos hingewiesen wird.
Die Sperrung durch die Datenschutzbehörde, die ohnehin eine Untersuchung eingeleitet hat, um alle Nudification-Apps zu bekämpfen, sei aufgrund der hohen Risiken notwendig geworden, die solche Dienste für die Grundrechte und -freiheiten mit sich bringen können, insbesondere im Hinblick auf den Schutz der Würde des Menschen, das Recht auf Privatsphäre und den Schutz personenbezogener Daten der von dieser Art der Verarbeitung betroffenen Personen, insbesondere wenn Minderjährige beteiligt sind.
1.12 Spanien: „Wenden Sie sich an den Datenschutzbeauftragten“
Auf dieser Webseite der spanischen Datenschutzaufsicht AEPD kann über die Eingabe eines Firmennamens und einer Zuordnungsnummer die gegenüber der spanischen Aufsicht als Datenschutzbeauftragte gemeldete Person gefunden werden, wenn man sein Abliegen dort vorbringen möchte. Dasselbe gibt es für die katalanische (APDCAT), die baskische (AVPD) und die andalusische (CTPDA) Datenschutzaufsicht.
1.13 Belgien: Rüge für Nutzung eines E-Mail-Kontos eines ehemaligen Beschäftigten durch Unternehmen
Die belgische Datenschutzaufsicht rügte ein Unternehmen, weil es das E-Mail-Konto und die Telefonnummer eines ehemaligen Mitarbeiters nach Beendigung des Arbeitsverhältnisses unrechtmäßig aufbewahrt hatte. Die betroffene Person, ehemals Geschäftsführer des Unternehmens, war nicht mehr für das Unternehmen tätig, das Unternehmen unterließ es aber, das berufliche E-Mail-Konto und die Handynummer zu deaktivieren. Die betroffene Person beschwerte sich später bei der belgischen Datenschutzbehörde und behauptete, dass die mit diesen Konten verknüpften personenbezogenen Mitteilungen weiterhin zugänglich seien. Das Unternehmen argumentierte, dass die Telefonnummer Eigentum des Unternehmens sei und dass das E-Mail-Konto geschlossen werden sollte. In Anbetracht der Kooperation des Controllers und der Tatsache, dass sich das Unternehmen in Liquidation befand, sprach die GBA/APD einen Verweis statt einer Geldstrafe aus.
1.14 Polen: Bußgeld gegen Verantwortlichen und Auftragsverarbeiter
Die polnische Datenschutzaufsicht verhängte gegen einen internationalen Schnellimbisslokalanbieter und dessen Auftragsverarbeiter ein Bußgeld. Ursächlich war die Feststellung, dass unzureichende Schutzmaßnahmen beim Dienstleister eingerichtet waren und dass der Auftraggeber seinen Überwachungspflichten nicht nachkam. Zudem stellte die Aufsicht fest, dass sowohl der Verantwortliche wie auch der Auftragsverarbeiter den Datenschutzbeauftragten nicht in alle Angelegenheiten im Zusammenhang mit dem Schutz personenbezogener Daten einbezogen hatten. Für die Summe der Verstöße bekam der Verantwortlich ein Bußgeld in Höhe von ca. 4 Mio. Euro, der Auftragsverarbeiter in Höhe von ca. 44.000 Euro. Erklärend sei dazu vermerkt, dass eine Referenzgröße für die Berechnung des Bußgeldes der jeweilige Vorjahresumsatzes des Unternehmens darstellt. Bericht dazu auch hier.
1.15 Niederlande: Leitfaden zu weiterer KI-Kompetenz
Um Organisationen auf ihrem Weg zur Umsetzung der KI-VO zu unterstützen, veröffentlichte die niederländische Datenschutzaufsicht den Leitfaden „Further building AI literacy“, um weitere Kompetenzen im Umgang mit KI aufzubauen. Er ist eine Ergänzung zum ersten Leitfaden „Erste Schritte mit KI-Kenntnissen“. Der neue Leitfaden wirft einen genaueren Blick auf die gesetzliche Verpflichtungen und Praxisbeispiele verdeutlichen den mehrjährigen Aktionsplan, mit dem Organisationen KI-Kompetenz strategisch und nachhaltig angehen können.
1.16 Niederlande: Beendigung des Verfahrens gegen „Tennisbond“
Das Gerichtsverfahren wird nach der Entscheidung des EuGH C-621/22 eingestellt, wie die niederländische Aufsicht hier mitteilt. Im Verfahren vor dem EuGH ging es um die Auslegung des „berechtigten Interesses (wir berichteten).
Nach dem Urteil des Berufungsgerichts nahmen die Aufsicht und der Verband Gespräche über das weitere rechtliche Vorgehen auf. Der Verband räumt nun ein, dass er anders hätte handeln müssen und dass die Regelung nicht so hätte erfolgen dürfen, wie es geschehen ist.
Der Verband startet eine Aufklärungskampagne zum Thema Datenschutz gegenüber Tennisclubs und anderen Sportverbänden. Die Aufsicht wird bei dieser Kampagne mit dem Verband zusammenarbeiten. Die Aufsicht würdigt die Maßnahmen des Verbandes und die konstruktive Haltung des Verbandes. Aufgrund der Einzigartigkeit des Falles reduziert die Aufsicht die Geldbuße auf 250.000 Euro, abzüglich der Kosten, die dem Verband für die Informationskampagne und etwaige andere Maßnahmen entstehen. Wie hoch diese Kosten genau sind, ist noch nicht klar. Die Datenschutzbehörde wird die endgültige Entscheidung über die Verhängung einer Geldbuße bis spätestens Juni 2026 treffen.
1.17 CNIL: Umfragen zu bezahlten Diensten
Sind Franzosen bereit für Online-Dienste ohne gezielte Werbung zu bezahlen? Die französische Datenschutzbehörde CNIL hat eine Umfrage über die Wahrnehmung der Franzosen in Bezug auf die Verwendung ihrer personenbezogenen Daten und die Zustimmung zur Online-Werbung in Auftrag gegeben. Dieser erste Teil einer Reihe von drei Publikationen konzentriert sich auf ihre Bereitschaft für den Zugang ohne gezielte Werbung zu diesen Dienstleistungen zu zahlen.
Die Ergebnisse zeigen, dass der Schutz personenbezogener Daten unabhängig von der Abonnierung zusätzlicher Funktionen oder Inhalte von Einzelpersonen geschätzt wird.
Dies spiegelt sich auch in der Tatsache wider, dass 64 % der Befragten angeben, dass sie auf das Tracking ihrer Surfdaten achten, indem sie beispielsweise ihre Browsereinstellungen ändern oder privates Surfen nutzen. Bei den 15- bis 34-Jährigen steigt dieser Anteil auf 71 Prozent.
Generell ergab die Umfrage auch, dass 51 % der Befragten den Datenschutz als eines der drei wichtigsten Kriterien bei der Wahl eines digitalen Services betrachten. Genauer gesagt nennen 21 % es als erstes Kriterium der Wahl, eine Zahl, die nahe an denjenigen liegt, die den Preis (26 %) oder die Qualität (19 %) an die erste Stelle setzen.
1.18 CNIL: Widerspruch zur Nutzung von Plattforminhalten zum Training von KI
Immer mehr Unternehmen nutzen die persönlichen Daten ihrer Nutzer, um KI-Modelle zu trainieren. Die CNIL erklärt, wie dem für die wichtigsten Plattformen widersprochen werden kann. Dabei kommentiert die CNIL nicht die jeweils gewählten Rechtsgrundlagen der Nutzung durch die Plattformen.
1.19 APDCAT: Leitfaden und Anwendungsfälle zu einem FRIA-Modell
Die katalanische Datenschutzaufsicht APDCAT hat einen Leitfaden und Anwendungsmodelle für eine Grundrechts-Folgenabschätzung (Fundamental Rights Impact Assessment – FRIA) veröffentlicht.
Für die katalanische Datenschutzbehörde beruht die technologische Entwicklung auf der massiven und intensiven Nutzung von Daten, und es müssen die richtigen Instrumente gefunden werden, um die Rechte und Freiheiten der Menschen zu schützen. In diesem Zusammenhang stellt die Überwachungsbehörde der Öffentlichkeit eine Reihe von Werken zur Verfügung, die sie erstellt hat, um sowohl die Risiken als auch deren Minderung zu analysieren.
In diesem Sinne hat sie ein in Europa wegweisendes Modell (verfügbar auf Katalanisch, Spanisch und Englisch) für die Bewertung der Auswirkungen auf die Grundrechte durch den Einsatz von künstlicher Intelligenz (FRIA) entwickelt, das mit den Bestimmungen der neuen Verordnung über künstliche Intelligenz im Einklang steht. Das Dokument wurde im Rahmen der Arbeitsgruppe „DPD im Netzwerk“ erarbeitet und entstand mit dem Wunsch eine Referenz für andere Organisationen zu sein, die eine FRIA durchführen müssen. Begleitet wird diese Veröffentlichung durch einen Bericht.
1.20 Dänemark: Informationen zum Urteil des EuGH C-413/23 – pseudonym/anonym
Die dänische Aufsicht Datatilsynet hat nach dem Urteil des EuGH im Fall C-413/23, der sich mit der Frage der Folgen von Pseudonymisierungen, die für einen Empfänger nicht mehr einer Person zuordenbar sind, mit Fragen befasst, die sie dazu erhalten hat.
(Nachfolgend eine automatisierte Übersetzung:)
In einer Datenverarbeitungsstruktur bleiben personenbezogene Daten, die von dem Verantwortlichen pseudonymisiert werden, nach Auffassung der dänischen Datenschutzbehörde weiterhin personenbezogene Daten, solange die Daten im Auftrag des Verantwortlichen und gemäß den Anweisungen des Verantwortlichen verarbeitet werden, da der Verantwortliche über den Schlüssel verfügt, der zur betroffenen Person zurückführt. Die Perspektive bei der Auslegung der Datenverarbeitung ist, dass eine Verarbeitung nur stattfinden kann, weil der Verantwortliche dies entscheidet und als solcher das Recht hat über alle zu verwendenden Zwecke und Mittel zu verfügen.
Der Datenverarbeiter kann diese Informationen – außerhalb der Anweisungen – nicht verarbeiten, und die Bewertung muss daher aus der Sicht des Verantwortlichen erfolgen. In diesem Szenario sei die rechtliche, technische oder vertragliche Fähigkeit des Auftragsverarbeiters, die betroffenen Personen (erneut) zu identifizieren, für die Beurteilung, ob es sich um personenbezogene Daten handelt, nicht relevant, da es dem Auftragsverarbeiter nicht gestattet ist personenbezogene Daten – für den Verantwortlichen – über die Weisungen hinaus zu verarbeiten.
Wenn ein Datenverarbeiter personenbezogene Daten, die vom Verantwortlichen pseudonymisiert wurden, für seine eigenen Zwecke – und damit über das hinausgehende Maß – verarbeiten möchte, folgt aus dem Kontext (Datenverarbeitungsstruktur), dass es sich bei den Daten für den ursprünglichen für Verantwortlichen immer noch um personenbezogene Daten handelt. Daher muss der ursprüngliche Verantwortliche über die Rechtsgrundlage verfügen, um die personenbezogenen Daten an den Datenverarbeiter – den neuen Verantwortlichen – für seine eigenen Zwecke weiterzugeben, unabhängig davon, ob die Daten im neuen Verarbeitungskontext möglicherweise nicht unter die Definition dessen fallen, was unter den gegebenen Umständen als personenbezogene Daten gilt.
Mal sehen, ob sich davon etwas in der angekündigten Leitlinie des EDSA zur Anonymisierung finden wird.
1.21 Dänemark: Abschlussbericht zu KI-Reallaboren
Die dänische Datenschutzbehörde veröffentlichte zusammen mit der Agentur für Digitalisierung die Abschlussberichte der beiden KI-Projekte im Reallabor. Tryg Forsikring A/S steht hinter einem KI-Projekt, und das andere KI-Projekt ist eine Zusammenarbeit zwischen der Stadt Kopenhagen, der Gemeinde Aalborg, der Gemeinde Aarhus und Systematic A/S.
In der zweiten Jahreshälfte 2024 haben die dänische Datenschutzbehörde und die Agentur für Digitalisierung die ersten beiden Kurse im Reallabor für KI abgeschlossen. Die beiden Kurse sollten aus datenschutzrechtlicher Sicht wertvolle Einblicke in einige der Fragen liefern, die mit der Entwicklung und dem Einsatz von KI durch private Unternehmen im Finanzsektor bzw. durch Behörden verbunden sind.
In den beiden Abschlussberichten werden diese Erkenntnisse mit der Öffentlichkeit geteilt. Ziel ist es Unternehmen, Organisationen, Behörden und anderen interessierten Kreisen Einblick und Orientierung zu verschiedenen datenschutzrechtlichen Fragestellungen zu geben, mit denen neue und innovative KI-Projekte konfrontiert sein können. In den ersten beiden Sandbox-Kursen erhielten die Teilnehmenden lediglich eine Anleitung zu konkreten Herausforderungen mit den Datenschutzregeln. Beginnend mit der zweiten Runde der Sandbox, die gerade gestartet ist, wird der Leitfaden auch das Gesetz über Künstliche Intelligenz (KI-Gesetz) enthalten – zunächst zur Risikoeinstufung.
Einer der Kurse betraf ein KI-Projekt bei Tryg Forsikring A/S zur Entwicklung und Inbetriebnahme einer KI-Lösung namens Document Assistant, bei der generative KI verwendet wird, um die vielen Dokumente in Schadenfällen zusammenzufassen. Die KI-Lösung wird als unterstützendes Tool für Schadenregulierer und Ärzte bei der Beurteilung und Bestimmung des Verletzungsgrades bei Unfallversicherungsansprüchen dienen.
Der zweite Prozess betraf ein KI-Projekt namens Talt, das eine Zusammenarbeit zwischen der Stadt Kopenhagen, der Gemeinde Aalborg, der Gemeinde Aarhus und Systematic A/S ist. Die KI-Lösung wird als Support-Tool dienen.
Die Hauptthemen für den Sandbox-Kurs waren eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten für das Training und den Betrieb der KI-Lösung zu definieren, die Möglichkeiten, die KI-Lösung anhand von Informationen über reale Bürger zu testen, und die Aufteilung der Rollen und Verantwortlichkeiten gemäß den Datenschutzbestimmungen zwischen den Parteien mittels Vereinbarung.
Zusätzlich sind auf der Seite der Datenschutzaufsicht auch der Abschlussbericht zum Document Assistant (Tryg Forsikring), der Abschlussbericht über das Talt-Projekt und weitere Informationen zur regulatorischen Sandbox für KI verlinkt.
1.22 ICO: Sanktion in Höhe von 14 Mio. £ nach Cyberangriff
Die britische Datenschutzaufsichtsbehörde ICO verhängte ein Bußgeld in Höhe von 14 Mio. £, nachdem bei einem Cyberangriff u.a. Finanz- und Gesundheitsdaten von ca. 6,6 Mio. Menschen entwendet worden waren. Ursächlich für den erfolgreichen Angriff waren schwerwiegende Sicherheitsmängel: fehlende technische und organisatorische Maßnahmen, verspätete Reaktion auf Sicherheitswarnungen und unzureichende Penetrationstests.
1.23 Kolumbien: Maßnahmen gegen World(coin)
Wie hier berichtet wird, hat World(coin) in Kolumbien nach einer Anordnung der Kolumbianischen Datenschutzaufsicht das Nachsehen. Die Aufsicht ordnete am 17.10.2025 in erster Instanz die „sofortige und endgültige Schließung“ des als Kryptowährungsprojekt Worldcoin gestarteten World-Projekts in Kolumbien an.
In Deutschland ist das BayLDA dafür zuständig und berichtete in einer Pressemeldung vom Dezember 2024 über den aktuellen Stand. Damals wurde der Bescheid des BayLDA vor dem VG Ansbach beklagt.
2 Rechtsprechung
2.1 BFH: Auskunftsanspruch bei anonymer Anzeige
Inwieweit muss eine Finanzbehörde einer betroffenen Person (Steuerpflichtige) Auskunft geben, wenn gegen sie eine anonyme Anzeige eingereicht wurde? Damit befasste sich der Bundesfinanzhof. Gegen einen Gasthof lag eine anonyme Anzeige vor, die zu einer „Kassen-Nachschau“ des Finanzamts vor Ort in der Gaststätte führte. Allerdings ergaben sich dabei außer ein paar formale Verstößen keine weiteren Feststellungen. Der Gastwirt begehrte gegenüber der Finanzbehörde Auskunft zu der anonymen Anzeige. Der BFH stellte dazu fest, dass das Interesse eines Steuerpflichtigen auf Kenntnisnahme einer gegen ihn gerichteten, in den Steuerakten der Finanzbehörde befindlichen anonymen Anzeige im Rahmen der behördlichen Ermessensentscheidung über den Antrag auf Akteneinsicht gegen die kollidierenden Geheimhaltungsinteressen des Anzeigeerstatters und der Finanzbehörde abzuwägen ist (Rn. 46 ff).
Beinhaltet eine anonyme Anzeige Informationen, die einen Steuerpflichtigen persönlich betreffen, liegen für ihn insoweit personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO vor, die grundsätzlich vom Tatbestand des datenschutzrechtlichen Auskunftsanspruchs gemäß Art. 15 Abs. 1 DS-GVO erfasst sind. Ein auf Art. 23 Abs. 1 DS-GVO beruhender Ausschluss des Auskunftsanspruchs nach § 32c Abs. 1 Nr. 1 AO ist mit Unionsrecht vereinbar (Rn. 68 ff).
Eine Finanzbehörde muss über den Inhalt einer ihr vorliegenden anonymen Anzeige gegenüber dem betroffenen Steuerpflichtigen keine Auskunft nach Art. 15 Abs. 1 DS-GVO erteilen, wenn das Geheimhaltungsinteresse der Behörde zum Zwecke der Erfüllung ihrer Aufgaben sowie der aus § 30 AO herrührende Identitätsschutz des Anzeigeerstatters im Einzelfall höher wiegen als das Informationsinteresse des Steuerpflichtigen.
Bericht dazu auch hier.
2.2 LAG Sachsen: Widerspruch gegen Einsichtnahme des Betriebsrats in Bruttogehaltslisten
In einem arbeitsgerichtlichen Verfahren ging es um die Verpflichtung eines Unternehmens dem Betriebsrat Einsicht in vorhandene, nicht anonymisierte Bruttolohn- und Gehaltslisten zu gewähren. Strittig war, ob Mitarbeiter der Einsichtnahme wirksam unter Berufung auf Art. 21 Abs. 1 DS-GVO widersprechen und eine Einschränkung Art. 18 Abs. 1 lit. d DS-GVO verlangen konnten.
Das LAG Sachsen entschied, dass die Regelungen des Art. 18 Abs. 1 lit.. d, Art. 21 Abs. 1, Art. 6 Abs. 1 lit. e und f DS-GVO kein Widerspruchsrecht der in einem Unternehmen der Privatwirtschaft Beschäftigten gegen die mit der Einsichtnahme des Betriebsrates in Listen über die Bruttolöhne und -gehälter (§ 80 Abs. 2 Satz 3 zweiter Halbsatz BetrVG) verbundene Datenverarbeitung begründen.
2.3 LAG München: Darlegungserfordernis bei Auskunftsanspruch auf Kopie
Nach dem LAG München muss eine betroffene Person, die eine Zurverfügungstellung von Kopien von Dokumenten mit ihren personenbezogenen Daten aus Art. 15 Abs. 3 DS-GVO begehrt, benennen, welche ihr durch die DS-GVO verliehenen Rechte sie auszuüben gedenkt, und darlegen, aus welchen Gründen die Zurverfügungstellung von Kopien von Akten mit personenbezogenen Daten hierfür unerlässlich ist (Ziffer 2 bb) (b) der Begründung). Streitgegenständlich ging es um einen Compliancebericht.
Ein Anspruch auf Einsichtnahme in den Bericht in einer Fassung als Teil der Personalakte stünde der Klägerin aber aus § 26 Abs. 2 Satz 1 SprAuG zu. Die Entscheidung ist nicht rechtskräftig, die Revision liegt beim BAG (Az.: 8 AZR 169/25).
2.4 OLG Stuttgart: Zahlen mit Daten und zivilrechtliche Informationspflichten
Nach dem OLG Stuttgart liegt kein Verstoß gegen Informationspflichten nach § 312d Abs. 1 Satz 1 BGB i.V.m. Art. 246a § 1 Abs. 1 Nr. 5 EGBGB vor, wenn die Bereitstellung personenbezogener Daten nicht als „Preis“ kennzeichnet wird (Rn. 43). Der Begriff „Preis“ im Sinne der Verbraucherrechterichtlinie (RL 2011/83/EU) und der Richtlinie (EU) 2019/770 beziehe sich nur auf eine Gegenleistung in Geld oder eine digitale Darstellung eines Wertes. Die Bereitstellung von Daten wird von dieser Definition nicht erfasst und die Informationspflichten zum Schutz der Verbraucher werden durch Art. 13 und 14 der DS-GVO sichergestellt (Rn. 55, Rn. 62). Wenn die Bezeichnung „kostenlos“ zutreffend ist, da für die Nutzung der App kein Geld verlangt wird und die Erhebung und Verwendung von Daten in den Nutzungsbedingungen erläutert wird, scheidet auch ein Verstoß gegen wettbewerbsrechtliche Bestimmungen des UWG unter dem Gesichtspunkt irreführender Angaben aus (Rn. 72, Rn. 76, Rn. 77).
In dem Verfahren ging es um eine App, die Kunden bei Registrierung zusätzliche Preisvorteile gewährte, wenn im Rahmen des Kundenbindungsprogramms ihre Daten auch zu Marketingzwecken genutzt werden konnten. Eine Verbraucherorganisation hatte dagegen geklagt. Bericht dazu auch hier.
2.5 LG Koblenz: Auskunftsanspruch nach § 21 TDDDG bei Identitätsdiebsstahl
Das LG Koblenz entschied in einem Beschluss (v. 25.08.2025, Az. 2 O 1/25), dass der Betreiber der Plattform Instagram keine Bestandsdaten herausgeben muss, wenn es sich nicht um rechtswidrige audiovisuelle Inhalte handelt. Reine Fotos oder Textnachrichten genügen nicht, um einen Auskunftsanspruch zu begründen. Im konkreten Fall ging es um ein gefälschtes Instagram-Profil. Eine Frau stieß zufällig auf einen Account, der ihr eigenes Profil täuschend echt nachbildete. Profilbild, Name und Inhalte entsprachen nahezu vollständig ihrem echten Auftritt. Der unbekannte Betreiber hatte ein Foto aus dem Jahr 2019 übernommen und auch private Details wie ein geplantes Auslandsjahr kopiert. Damit wirkte das Profil authentisch und führte dazu, dass Nachrichten des Fake-Accounts an Dritte zunächst für echt gehalten wurden. Die Frau begehrte nun von dem Betreiber des sozialem Medium Auskunft nach § 21 TDDDG. Das Landgericht hat den Antrag abgelehnt:
Die Voraussetzungen einer gerichtlichen Anordnung nach § 21 Abs. 2, 3 TDDDG sind nicht erfüllt. Nach § 21 Abs. 3 TDDDG entscheidet auf Antrag das Gericht über die Zulässigkeit einer Auskunftserteilung durch den Anbieter digitaler Dienste und zugleich über die Verpflichtung zur Auskunftserteilung. Inhaltlich richtet sich die Zulässigkeit wie auch die Verpflichtung nach Abs. 2 dieser Vorschrift. Danach darf der Anbieter von digitalen Diensten im Einzelfall Auskunft über bei ihm vorhandene Bestandsdaten erteilen, soweit dies zur Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung absolut geschützter Rechte entweder aufgrund rechtswidriger audiovisueller Inhalte oder aufgrund von Inhalten, die den Tatbestand der
§§ 86, 86a, 91, 100a, 111, 126, 129, 129a, 129b, 130, 131, 140, 166, 184b, 185, 186, 187, 189, 201a, 241 oder 269 des Strafgesetzbuches erfüllen und nicht gerechtfertigt sind, erforderlich ist. In diesem Umfang ist er gegenüber dem Verletzten zur Auskunft verpflichtet.
Berichte zu der Entscheidung hier und da.
2.6 BGH: Anforderungen in AGB zur Authentifizierung einer SIM-Karten-Sperrung am Telefon
Welche Anforderungen können in Allgemeinen Geschäftsbedingungen vereinbart werden, um eine zulässige Hürde bei einer telefonischen SIM-Karten-Sperrung zu regeln? Es geht um eine Klausel, die verlangt neben der Nennung der Rufnummer auch das persönliche Kennworte zwecks Sperrung der SIM unverzüglich mitzuteilen. Das Oberlandesgericht hat der Klage hinsichtlich dieser Klausel Nr. 8.5 stattgegeben. Mit der beschränkt auf diese Klausel zugelassenen Revision verfolgt die Beklagte ihren insoweit gestellten Klageabweisungsantrag weiter.
Der BGH entscheidet, dass die Revision ist unbegründet ist (Urteil vom 23. Oktober 2025 – III ZR 147/24). Das Berufungsgericht habe die Klausel zu Recht als gemäß § 307 Abs. 1 Satz 1 BGB unwirksam angesehen. Die Klausel sei so zu verstehen, dass die Beklagte eine Sperre des Anschlusses nur durchführt, wenn auch das Kennwort genannt wird. Dies führe zu einer unangemessenen Benachteiligung der Kunden der Beklagten. Zwar haben beide Seiten ein berechtigtes Interesse daran, dass sich derjenige, der eine SIM-Kartensperre verlangt, als Berechtigter authentifiziert, um Missbräuchen vorzubeugen. Jedoch werde durch das Erfordernis, für eine Sperre zwingend das Kennwort des Kunden zu nennen, dessen berechtigtes Interesse an einer zügigen und unkomplizierten Sperre unzumutbar beeinträchtigt. Vom Mobilfunkkunden kann nicht erwartet werden, angesichts der Vielzahl der im Alltag zu verwendenden Passwörter sämtliche im Gedächtnis zu behalten oder bei Abwesenheit von der Wohnung notiert mit sich zu führen. Der Beklagten ist es hingegen zuzumuten auch andere Authentifizierungsmöglichkeiten – wie etwa die Beantwortung einer von den Kunden hinterlegten Frage nach persönlichen Umständen – zuzulassen, die einen vergleichbaren Schutz vor einer missbräuchlichen Sperre durch Dritte bewirken, jedoch nicht das Abrufen präsenten Wissens ohne Gedächtnisstütze erfordern.
2.7 BAG: Grundsatzurteil zu Equal Pay – Ein besser verdienender Mann genügt
Das Bundesarbeitsgericht entschied, das eine Entschädigung einer Frau wegen einer Ungleichbehandlung sich nicht mehr nur am Median orientieren müsse, sondern unter Umständen an dem Gehalt des männlichen Topverdieners. Sie darf zum Vergleich auch das Gehalt des Spitzenverdieners in der Gruppe der Männer heranziehen, die eine vergleichbare Tätigkeit wie sie ausüben. Bericht dazu hier und Interview beim WDR dazu hier (verfügbar in Mediathek bis 24.10.2026).
2.8 Österreichischer VGH: Verantwortlichkeit bei Mitarbeiterexzess
Wer ist datenschutzrechtlich als verantwortliche Stelle zu klassifizieren, wenn unerlaubt fotografische Ablichtungen aus einem Gesundheitsgutachten über den Messengerdienst WhatsApp weitergegeben wurden?
Innerhalb des Bundesministeriums für Justiz (BMJ) wurden nach den Feststellungen des BVwG die Rechte eines Beschäftigten durch die Verletzung des Rechts auf Geheimhaltung gemäß § 1 Abs. 1 DSG verletzt. Der Referatsleiter ermöglichte nach den Erkenntnissen des BVwG einer unbekannten Person ein Gesundheitsgutachten des Beschäftigten zu fotografieren und die Daten über WhatsApp zu verbreiten. Der Referatsleiter hatte das Gutachten laut der Darstellung in der Entscheidung des VGH nicht ordnungsgemäß verwahrt, was zu einer groben Verletzung von Sorgfaltspflichten führte (Rn. 9-10). Zudem wurde festgestellt, dass das BMJ als Verantwortlicher für die Verarbeitung der Daten gilt, da die Handlungen des Referatsleiters im Rahmen seiner dienstlichen Aufgaben stattfanden (Rn. 12, 23). Im Fall des Referatsleiters liegt die Verantwortung darin, dass er entweder gegen Sorgfaltspflichten verstoßen hat, indem er den Zugang zu einem Gutachten nicht ordnungsgemäß verwahrt hat, oder er hat bewusst Einsicht in das Gutachten gewährt. Es wird festgestellt, dass das Gutachten offen auf seinem Schreibtisch lag, was es anderen Personen möglich machte darauf zuzugreifen und es abzufotografieren. Somit wird die Verantwortung für die Datenverarbeitung und den Schutz der personenbezogenen Daten dem Referatsleiter und damit dem revisionseinlegenden BMJ zugeschrieben.
Der VGH wies die Revision zurück, weil in der Revision keine Rechtsfragen aufgeworfen wurden, denen im Sinn der relevanten Verfahrensvorschriften (Art. 133 Abs. 4 B-VG) grundsätzliche Bedeutung zukäme.
2.9 BVwG: Auskunftsanspruch hinsichtlich Empfänger (Auftragsverarbeiter)
Das Bundesverwaltungsgericht in Österreich entschied, dass konkrete Datenempfänger nur beauskunftet werden müssen, wenn diese Daten ohnehin vorliegen.
Das Auskunftsrecht betroffener Personen umfasse „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden“. Nach dem EuGH kann die betroffene Person wählen, ob sie Kategorien oder konkrete Empfänger erfahren möchte (EuGH C‑154/21 Österreichische Post, Rn. 43). Eine explizite Verpflichtung, die konkreten Empfänger zu speichern, sei aus Art. 15 Abs 1 lit c DS-GVO nicht ableitbar.
Im Fall ging es um die Benennung der Auftragsverarbeiter, die als Empfänger die Daten der betroffenen, auskunftbegehrenden Person erhielten. Das BVwG stellte dazu fest (Ziffer II. 3.1.4), dass die erteilte Auskunft vollständig gewesen sei. Es wurden alle Auftragsverarbeiter auflistete, die für den Verantwortlichen tätig werden, wobei er darauf hinwies, dass nicht jedes Unternehmen die Daten der betroffenen Partei tatsächlich verarbeitet. Damit wurden alle potenziellen Empfänger namentlich genannt, eine Konkretisierung auf individueller Empfängerebene erfolgte hingegen nicht.
Wie der Verantwortliche argumentierte, hat er also die potenziellen Empfänger beziehungsweise Empfängerkategorien bereits aufgeschlüsselt; eine weitergehende Auskunft sei ihm jedoch faktisch unmöglich. Wie der Verantwortliche im Verfahren mehrfach nachvollziehbar dargelegt habe, sei es ihm nämlich nicht bekannt, welche konkreten Empfänger die Daten der betroffenen Person tatsächlich erhalten haben und dies kann auch nicht rekonstruiert werden, da keine betroffenenbezogene Dokumentation der Empfänger erfolgt und eine Einschränkung der Liste der Auftragsverarbeiter auf jene Auftragsverarbeiter, denen die Daten der betroffenen Partei tatsächlich offengelegt wurden, daher faktisch unmöglich sei. Der Verantwortliche habe der betroffenen Person potentielle Auftragsverarbeiter namentlich und mit vollständiger Adresse benannt. Zudem wurde ausgewiesen, für welche Zwecke die Daten der betroffenen Person an welche konkreten Empfänger weitergegeben werden konnten. Insofern ist es der betroffenen Person auch möglich zu überprüfen, ob sie betreffende Daten gegenüber Empfängern offengelegt wurden, die zu ihrer Verarbeitung befugt sind. Auch habe der Verantwortliche zudem Auftragsverarbeiter angeführt, an welche Datenweitergaben ausgeschlossen werden können.
Das Bundesverwaltungsgericht kommt daher zum Ergebnis, dass die vom Verantwortlichen erteilte Auskunft hinsichtlich der Empfänger vollständig war, zumal die betroffene Person sämtliche vorhandenen Informationen über die Empfänger beziehungsweise Empfängerkategorien bekanntgegeben hat.
Die Entscheidung kann für die Stellen interessant sein, die im Fall von Support zur Fehleranalyse und Fehlerbehebung Dienstleisters einsetzen und dabei nicht protokollieren können, welche Datenfragmente dabei zur Kenntnis genommen werden könnten.
2.10 LG Bonn: Auskunft, Schadenersatz und Transatlantischer Datentransfer in die USA
Das LG Bonn äußerte sich im Fall der Klärung eines Auskunftsanspruchs zur aktuellen politischen Lage in den USA (Urteil vom Juni 2025) (Rn. 38) (Bericht dazu hier). Ungeachtet dessen stellt das LG Bonn aber auch fest, dass es einen Schadenersatzanspruch für eine Übermittlung und Speicherung der Daten in die USA bei einem Netzwerk – auch die Kommunikation mit in den USA-lebenden Personen auch für den Zeitraum zwischen den Angemessenheitsbeschlüssen US Privacy Shield und Data Privacy Framework – ablehnt. Die Zulässigkeit für einen Drittlandtransfer in die USA ergebe sich aus Art. 49 Abs. 1 s. 1 lit. b DS-GVO (Rn. 28 f). Zudem sieht das LG Bonn eine konkludente Einwilligung gem. Art. 6 Abs. 1 lit. a DS-GVO, „da jeder Nutzer eines von einem US-amerikanischen Großunternehmen angebotenen, internationalen, sozialen Netzwerks damit rechnen muss, dass seine Daten potentiell international, u.a. auch in den USA, zu speichern sein werden“ (Rn. 30).
Auch die Klage auf immateriellen Schadensersatz wegen „verzögerter Erteilung der Auskunft“ bzw. wegen „Nichterteilung der Auskunft“ wurde ebenfalls als unbegründet abgewiesen (Rn 32 ff).
2.11 AG Nürnberg Wirksamkeit von Kopplungen bei datenschutzrechtlichen Einwilligung
Nach dem AG Nürnberg kann eine datenschutzrechtliche Einwilligung auch bei Kopplung an Vertragsbedingungen wirksam sein. Voraussetzungen dafür seien Transparenz, Zweckgebundenheit, kein unangemessener Druck. In dem Fall ging es um einen Mobilfunkvertrag inkl. Bonitätsprüfung und es lag keine Monopolstellung vor. Für das Unternehmen erfolgte dies zur Betrugsprävention.
2.12 Berufungsgericht Norwegen: Bestätigung der Sanktion gegen Grindr
In Norwegen hat das Berufungsgericht Borgarting die Rechtmäßigkeit der Sanktion der norwegischen Aufsicht gegen das Datingportal „Grindr“ bestätigt. Damit wird die Sanktion in Höhe von umgerechnet ca. 5,5 Mio. Euro bestätigt. Der Fall, in dem es um die rechtswidrige Praxis von Grindr geht, Daten zu Werbezwecken weiterzugeben, wurde ursprünglich im Januar 2020 vom norwegischen Verbraucherrat (NCC) mit Unterstützung von noyb eingereicht (wir berichteten). Im Dezember 2021 stellte sich die norwegische Datenschutzbehörde dann auf die Seite des NCC und verhängte eine Geldstrafe in Höhe von 65 Millionen NOK (5,5 Millionen Euro) gegen Grindr. Grindr ging gegen die Entscheidung in Berufung. Im September 2023 bestätigte das Privacy Appeals Board die Entscheidung, woraufhin Grindr erneut Berufung einlegte. Im Juli 2024 bestätigte das Bezirksgericht Oslo die Geldstrafe erneut und der Fall ging in die nächste Instanz. Und hier bestätigte das Berufungsgericht Borgarting die Entscheidung (siehe erster link). Grindr könnte nun noch versuchen, den Fall vor den Obersten Gerichtshof Norwegens zu bringen. Bericht dazu auch hier.
2.13 Apple klagt gegen den DMA
Berichten zufolge klagt Apple gegen Auflagen des Digital Markets Act (DMA). Durch den DMA wird das Unternehmen plötzlich gezwungen sein Ökosystem zu öffnen, App-Stores von Drittanbietern zuzulassen und zu versuchen den Wettbewerb zu verbessern, um den Kunden mehr Auswahl zu bieten. Apple hat seine Kunden erfolgreich an ein geschlossenes Ökosystem von Geräten gebunden und sich eine umfassende Kontrolle über die Apps und Dienste gegeben, die den Nutzern zur Verfügung stehen.
3 Gesetzgebung
3.1 EU-Parlament: Studie zur Komplexität der Rechtsvorschriften
Eine Studie, die von der Fachabteilung Bürgerrechte und konstitutionelle Angelegenheiten des Europäischen Parlaments auf Ersuchen des Rechtsausschusses (JURI) in Auftrag gegeben wurde, legt die nachteiligen Auswirkungen der Komplexität der Rechtsvorschriften auf die Anwendung des EU-Rechts offen. Dazu befürwortet sie eine Reform der Überwachung der Anwendung des EU-Rechts, um eine qualitative, eingehende Bewertung der Komplexität als Beitrag zur legislativen Wirksamkeit der EU-Rechtsakte und Durchführungsmaßnahmen für alle drei Zielgruppen der Rechtsvorschriften (Bürger, Mitgliedstaaten und nationale Behörden sowie EU-Institutionen) zu erreichen. Kritik dazu findet sich bereits hier.
Franks Nachtrag: Wenn Sie eh schon zu LinkedIn gegangen sind, wollen Sie vielleicht das hier lesen (wenn es nicht schon zu spät ist). Just sayin‘ …
3.2 BMI: Änderungen im BDSG vorgesehen
Das BMI hat einen Gesetzentwurf zum Bürokratierückbau mit dem malerischen Titel „Entwurf eines Gesetzes für den Bürokratierückbau im Bereich des Bundesministeriums des Innern“ erstellt, der in die Verbändeanhörung mit einer denkbar knappen Rückmeldefrist ging und in dem in Art. 3 auch Änderungen des BDSG vorgesehen sind. Allerdings nur im Dritten Teil des BDSG, der die Meisten nicht betreffen dürfte. Der Dritte Teil regelt die datenschutzrechtlichen Vorgaben, die die Anforderungen aus der RL EU 2016/680 (=>EU-RL „Polizei und Justiz“) umsetzen und die Verarbeitung personenbezogener Daten im Rahmen der Strafverfolgung vorgibt. Der Entwurf wurde erst nach der Verbändeanhörung veröffentlicht, rechtsstaatliche Anforderungen an die Transparenz in Gesetzgebungsverfahren scheinen bereits entbürokratisiert zu sein. Im Übrigen wird dem DE-Mail-Gesetz in Art. 4 des Entwurfs eine Sterbefrist bis Ende 2026 eingeräumt.
3.3 Digital Services Act (DSA) erklärt
Der Digital Services Act (DSA) ist seit dem Jahr 2024 in Kraft – doch viele wissen noch nicht, was das Gesetz für sie konkret bedeutet. Genau hier setzt die europaweite Kampagne „DSA for YOUth – Protecting minors by design“ an. Im Mittelpunkt steht der Schutz von Kindern und Jugendlichen im digitalen Raum. Die Kampagne erklärt leicht verständlich, welche Regeln Plattformen beachten müssen – etwa bei Altersüberprüfung, Altersangemessenheit oder dem Umgang mit Online-Risiken. Für wen ist die Kampagne interessant? Für alle, die sich für digitale Sicherheit engagieren:
- Eltern, die ihren Kindern eine sichere Online-Umgebung bieten möchten
- Lehrkräfte, die das Thema im Unterricht aufgreifen wollen
- Jugendliche, die täglich Online-Plattformen nutzen
In den kommenden Wochen erscheinen Toolkits, Broschüren und Videos, die die wichtigsten DSA-Regeln erklären – einige davon bald auch auf Deutsch. Diese Materialien stehen zur Verfügung:
- Booklet: The Digital Services Act (DSA) explained – What online platforms should do to keep kids and teens safe online
- Quiz: Do you know what the DSA can do for you?
- 26 Erklärtexte zu Themen wie Risk Review, Age Assurance oder Moderation.
3.4 Kritik an der Reformkritik zur DS-GVO
Wer in der Debatte um erforderliche Reformen der DS-GVO Argumente und Aspekte zu den Grundrechten vermisst und wem auffällt, dass scheinbar allein wirtschaftliche Sichtweisen die Debatte bestimmen, dem sei dieser Beitrag empfohlen. Er berücksichtigt auch einen weiteren Beitrag Draghis vom September diesen Jahres (Kritik dazu hier).
Stattdessen werden in dem Beitrag evidenzbasierte Vorschläge und eine Transparenz des Prozesses empfohlen. Es sollten nur gezielte Interventionen erfolgen und diese unter Beachtung von den EU-Werten, wie sie in den EU-Verträgen anerkannt sind.
4 Künstliche Intelligenz und Ethik
4.1 EU-Kommission: Leitlinie zur Meldung schwerwiegender KI-Vorfälle
Wie in Art. 73 KI-VO vorgesehen, hat die EU-Kommission einen Entwurf von Leitlinien zur Meldung schwerwiegender KI-Vorfälle veröffentlicht. Bis 7. November 2025 können Rückmeldungen eingereicht werden. Bericht dazu auch hier.
4.2 Podcast: KI in der Schule
In der klicksafe-Podcast-Folge „Was bringt KI in der Schule?“ (Dauer ca. 43 Min.) geht es um den Einsatz von KI in der Schule. Die Schule soll Kinder und Jugendliche gut auf das (Berufs-)Leben vorbereiten. Daher gehört das Thema Künstliche Intelligenz zunehmend auch in die Schulen. Einerseits als Lern- und Lehrwerkzeug, andererseits als Gegenstand einer kritischen Auseinandersetzung. In der aktuellen Folge von „klicksafe fragt“ kommt ein Lehrer für Mathematik und Physik an einem Gymnasium und Ausbilder am Seminar für Didaktik und Lehrerbildung in Freiburg zu Wort.
4.3 CCBE: Leitfaden für die Anwaltschaft zum Umgang mit generativer künstlicher Intelligenz
Das Council of Bars and Law Societies of Europe (CCBE) hat den „CCBE guide on the use of generative Al by lawyers“ veröffentlicht.
4.4 BSI: Penetrationstests bei Large Language Models
Die Alliance für Cybersicherheit hat auf den Leitfaden für Penetrationstests von Large-Language Modellen (LLMs) des Expertenkreises KI-Sicherheit hingewiesen.
4.5 Dänemark: Training von KI und TDM
Lassen sich Training von LLM mit der Nutzung von Text- und Datamining (TDM) rechtfertigen, wenn es ausreicht, dass der Contentanbieter dem widerspricht und wie kann/muss so ein Widerspruch aussehen?
Das dänische Handelsgericht stellte fest, dass die Mietwohnungsplattform als Datenbank gemäß § 71 des dänischen Urheberrechtsgesetzes geschützt war, und die Klägerin sich die Nutzung der Inhalte der Datenbank in geeigneter Weise vorbehalten hatte, vgl. § 11b Abs. 2 des dänischen Urheberrechtsgesetzes. Die Beklagte hat die Rechte der Klägerin verletzt, indem sie Daten von der Plattform der Klägerin abgegriffen und auf ihrer eigenen Plattform für Immobilieninvestoren zur Verfügung gestellt hat. Auch gegen § 3 des Marketing Practices Act wurde verstoßen.
Im dänischen Fall akzeptierte das Gericht, dass das klare Verbot von Datamining in der Daten- und Datenschutzrichtlinie eines Unternehmens einen gültigen TDM-Vorbehalt darstellt. Die Richtlinie war im HTML-Format öffentlich zugänglich und von der Fußzeile der Website aus verlinkt, um sicherzustellen, dass sie sowohl sichtbar als auch technisch zugänglich war. Das Gericht stellte fest, dass es sich hierbei um einen „angemessenen“ Vorbehalt im Sinne der DSM-Richtlinie handele. Wichtig war, dass es nicht notwendig war, die Vorbehalte in eine robots.txt Datei aufzunehmen. Eine klare, zugängliche Online-Richtlinie in Standard-HTML-Form reiche aus, um die Anwendung der Text- und Data-Mining-Ausnahme auszuschließen.
Der Fall wirft viele interessante Fragen auf. Was den KI-Aspekt betrifft, so geht es in erster Linie um die Auslegung, wie ein angemessenes Opt-out für Rechteinhaber nach Artikel 4 der DSM-Richtlinie (EU RL 2019/790) ausgestaltet sein sollte. Im LAION-Urteil wurde in einem obiter dictum angedeutet, dass dies im Klartext geschehen könne.
4.6 Rollen und Zuständigkeiten und Konsequenzen nach der KI-VO
Diese Veröffentlichung mit dem Titel „Subject Roles in the EU AI Act: Mapping and Regulatory Implications“ befasst sich mit den Rollen und Zuständigkeiten in der KI-VO. Selten kommen KI-Systeme mit einer beteiligten Einrichtung aus. Anbieter erstellen Grundlagenmodelle, andere optimieren oder integrieren sie, und die Bereitsteller verwenden sie in realen Kontexten. Wenn Verpflichtungen wie Transparenz, menschliche Aufsicht oder die Meldung von Vorfällen gelten, verschwimmen die Rollen oft. In Art. 3 KI-VO werden sechs Schlüsselrollen unterschieden: Anbieter (Nr. 3), Betreiber (Nr. 4), Bevollmächtigter (Nr. 5), Einführer (= Importeur) (Nr. 6), Händler (Nr. 7) und Produkthersteller, die jeweils unterschiedliche Aufgaben haben. Für alle Beteiligten ist es wichtig zu wissen, in welcher Phase sie welche Rolle mit welchen Pflichten wahrnehmen.
4.7 Stanford: Nutzung von Chatbot-Gesprächen für KI-Training
Eine Stanford-Studie zeigt, dass führende KI-Unternehmen Benutzergespräche für Schulungen führen, was auf Datenschutzrisiken und den Bedarf an klareren Richtlinien hinweist, wie das Human-Centered Artificial Intelligence der Stanford University berichtet.
Erst kürzlich hat Anthropic eine Änderung an seinen Nutzungsbedingungen für Kunden vorgenommen: Gespräche, die mit seinem KI-Chatbot Claude geführt werden, werden standardmäßig für das Training seines großen Sprachmodells verwendet, es sei denn, Nutzende entscheiden sich dagegen. Anthropic ist nicht das einzige Unternehmen, das diese Politik verfolgt. Die kürzlich durchgeführte Studie über die Datenschutzrichtlinien von Frontier-Entwicklern ergab, dass sechs führende US-Unternehmen Benutzereingaben in ihre Modelle zurückführen, um die Fähigkeiten zu verbessern und Marktanteile zu gewinnen. Einige geben den Verbrauchern die Möglichkeit, sich dagegen zu entscheiden, andere nicht.
5 Veröffentlichungen
5.1 Zugriff durch Drittstaaten auch bei „Souveränen Clouds“?
Schau an, das werden Unsummen in Hard- und Software investiert, damit Europa von anderen Staaten und deren Unternehmen unabhängig wird, und dann kommt eine Aussage, die alles wieder in Frage stellt. So wird das Innenministerium Baden-Württembergs zu Delos hier zitiert, dass der Cloudanbieter von der US-Regierung angewiesen werden könne einen Datenabfluss in seine Software zu integrieren.
5.2 BDSG-Änderungen, Aufsichten und Ansichten
Es scheint nicht mehr so gut um die journalistischen Qualitäten in der deutschen Medienlandschaft zu stehen, wenn zu Aussagen zu den Datenschutzaufsichten eines Ministers wie „Es könne nicht sein, dass EU-Regeln „17 mal unterschiedlich interpretiert würden“ nicht einfach mal mit der Rückfrage nach konkreten Beispielen reagiert wird oder warum sie nicht 18 mal unterschiedlich interpretiert würden? Dabei ist eher bedenklich, wenn jemand mit seiner Kenntnis zu Details so wild hinterm Berg hält.
Aber vielleicht kommt ihm ja noch die Erkenntnis, auch Amtsgerichte und Verwaltungsgerichte zusammenzulegen, die auch oft unterschiedlich auslegen oder auch Wirtschaftsverbände wie BDI, bitkom, DIHT, HWK, Die Familienunternehmen und VDI u.s.w., die ja eigentlich auch die Interessen der Wirtschaft einheitlich vertreten sollten.
5.3 Microsoft: Verträge zu MS 365 mit der EU-Kommission
Durch eine IFG-Anfrage wurden die fast 60-seitigen Datenschutzvereinbarungen zwischen der EU-Kommission und Microsoft veröffentlicht.
Franks Nachtrag: Wenn Sie eh schon zu LinkedIn gegangen sind, wollen Sie vielleicht das hier lesen (wenn es nicht schon zu spät ist). Just sayin‘ …
5.4 ICL: Pay or Consent – Material zu RTB
Was sind die tatsächlichen Kosten beim Real Time Bidding (RTB)? Damit befasst sich diese Veröffentlichung des ICCL (Irish Council for Civil Liberties). Das Papier mit dem Titel „The True Cost of RTB“ will den europäischen Datenschutzaufsichtsbehörden zeigen, wie der Adtech-Status auch Betrug in Milliardenhöhe verursacht, Journalismus und die Erstellung von Inhalten unterdrückt und eine massive Datenschutzverletzung bei personenbezogenen Daten verursacht.
5.5 Schweiz: Verträge mit Cloud-Providern veröffentlicht
In der Schweiz wurden nach einem Herausgabeverfahren nach Informationsfreiheitsvorgaben Cloudverträge der Verwaltung mit Alibaba, IBM, Microsoft und Oracle veröffentlicht. Natürlich sind vertrauliche Daten geschwärzt. Trotzdem ist hier nachzulesen, wer besser relevante Sachverhalte verhandelte.
5.6 Ungarn: Kirche und Beichtgeheimnis
Das Beichtgeheimnis gilt bei uns als Möglichkeit sich von seiner Last zu befreien und nicht nur göttliche Gnade zu erhoffen sondern die Aussprach auch als psychologisches Ventil für Gewissensbisse zu nutzen. Wie hier berichtet wird, gibt es in Ungarn Überlegungen hier bei bestimmten strafrechtlich relevanten Themen das Beichtgeheimnis aufzulösen und eine Anzeigenpflicht bei Sexualdelikten gegen Kinder einzuführen.
5.7 gematik: Umstellung bei den Verschlüsselungsalgorithmen
Die gematik informiert über Umstellungen der Verschlüsselungsalgorithmen für die TI, die bis Ende 2025 abgeschlossen sein sollten. Sollten, denn – wie die gematik nach jahrelangen Erfahrungen in IT-Projekten schon absehen kann – es sind aufgrund des verbleibenden Zeitraums von wenigen Wochen im Zusammenspiel mit der Anzahl an noch zu tauschenden Karten und Konnektoren längere Bearbeitungszeiten und Lieferengpässe bei den Anbietern und Industriepartnern nicht auszuschließen. Hinweise zur Umsetzung gibt es hier.
5.8 Ausfall eines Cloud-Dienstleisters (AWS) und die Folgen
Es war nur eine Ursache, die nun mit dem Ursachenbericht offengelegt wurde, die zu massiven Folgen führte. Der Ursachenbericht von Amazon benennt einen Single-Point-of-Failure: „Zusammenfassung der Amazon DynamoDB-Dienst-Störung in der Region Nord Virginia (US-EAST-1)“, wie hier berichtet wird. In dessen Folge kam es zu Ausfällen bei Cloudleistungen für Anbieter, die für ihre Angebote AWS nutzen wie Epic, Snapchat, Fortnite, Duolingo, Roblox, Slack, Zoom oder Canva, aber auch bei Amazon selbst wie bei Amazon Prime. Auch eher unerwartete Folgen wurden bekannt, wie hier nachzulesen ist. So gibt es mit dem Internet verbundene Matratzen, die durch den Ausfall unbrauchbar wurden. Bei deren Benutzung erhalten die Kunden statistische Auswertungen, eine eingebaute Heizung und Kühlung, sowie einen Motor, der bestimmte Bereiche der Matratze verformen kann. Damit können Bettbenutzer im Bett beispielsweise besser sitzen. Durch den Ausfall wurde die Steuerapplikation funktionslos. Insgesamt sollen über 2.000 Webseiten und Apps betroffen gewesen sein.
Franks Nachtrag: Lesenswert ist dazu auch dieser Kommentar.
5.9 Blog-Beitrag zu digitalem Nachlass
Der empfehlenswerte Blog-Beitrag beginnt mit den klaren Worten: „Digitale Vorsorge beginnt zu Lebzeiten“. Digitale Vorsorge bedeutet rechtzeitig zu regeln, wer Zugriff erhält, wo Zugangsdaten und Schlüssel liegen und was mit Konten, Geräten und Daten geschehen soll.
Im Mittelpunkt steht dabei der Passwort-Manager – dort, wo idealerweise alle wichtigen Zugänge ohnehin gesammelt sind. Wer Zugriff auf diesen Tresor hat, kann handeln: Verträge kündigen, Daten sichern, Accounts löschen. Entscheidend ist der Zugriff auf den Passwort-Manager selbst. Die dafür notwendigen Informationen sollten so hinterlegt sein, dass eine vertraute Person im Ernstfall sicher und ohne Umwege darauf zugreifen kann. Der Blog-Beitrag widmet sich aber auch den rechtlichen Anforderungen wie beispielsweise einer Vorsorgevollmacht.
5.10 Veranstaltungen
5.10.1 Goethe Universität Frankfurt: „Innere Sicherheit im digitalen Raum“ -neu-
03.11.2025, 13:00 – 15:00 Uhr, Frankfurt (Main): In den Räumen der Frankfurter Goethe Universität geht es bei der Veranstaltung der Universität und ATHENE um „Innere Sicherheit im digitalen Raum – Prioritäten für ein souveränes und resilientes Deutschland!“ Nach einem ca. 20-minütigen Vortrag und anschließender Diskussion mit der Moderatorin treten die Vortragenden mit dem Publikum in einen Dialog. Nach dem Vortrag gibt es die Gelegenheit sich persönlich mit den wichtigsten Akteuren der Cybersicherheit auszutauschen. Weitere Informationen und Anmeldung hier.
5.10.2 Akademie Online: Demokratie schützen – Alternativen zu Tech-Giganten stärken -neu-
04.11.2025, ab 16.30 Uhr, online: Im digitalen Raum dominieren wenige, vor allem US-amerikanische und chinesische Tech-Konzerne den Informationsfluss und die öffentliche Debatte. Der Zugang zu ihren Plattformen erfordert die Preisgabe sensibler persönlicher Daten. Gleichzeitig steuern intransparente Algorithmen, was sichtbar ist – gesteuert allein durch die Logik der Aufmerksamkeitsökonomie, ohne Rücksicht auf Gemeinwohl oder journalistische Qualität.
Das freie Internet wurde von Big-Tech-Konzernen vereinnahmt. Ihre wachsende Macht über Kommunikation und Meinung stellt eine ernsthafte Bedrohung für die Demokratie dar. Die Initiative „Save Social“ (wir berichteten) setzt sich dafür ein, soziale Netzwerke als Räume demokratischer Teilhabe zu bewahren. Um einen offenen und vielfältigen digitalen Diskurs zu sichern, fordert das Bündnis die gezielte Förderung alternativer Plattformen und Angebot.
Mit Björn Staschen, einem Mitinitiator der Initiative „Save Social“, soll beleuchtet werden, wie diese Alternativen gestärkt werden können und dadurch auch die Demokratie geschützt werden kann. Weitere Informationen und Anmeldung hier.
5.10.3 ULD: „Frag´ für einen Freund“ -neu-
06.11.2025, 09:00 – 15:00 Uhr, Kiel: Die Entwicklung von Systemen der Künstlichen Intelligenz stellt den Datenschutz vor neue Herausforderungen – und andersherum alle, die rechtskonforme Produkte und Services entwickeln wollen, vor neue Fragen. Das ULD als Datenschutzaufsichtsbehörde möchte frühzeitig über diese relevanten Fragen aus der Praxis mit öffentlichen Behörden und Unternehmen in den Austausch kommen; diese Fragen dürfen auch gerne als „Frag‘ für ’nen Freund“ gestellt werden, denn das ULD interessiert sich für die Inhalte – da käme es nicht darauf an, wer sie stellt. Weitere Informationen und Anmeldung dazu hier.
5.10.4 LfDI Rheinland-Pfalz: ePA für alle – Daten für alle?
06.11.2025, 14:00 – 17:30 Uhr, Mainz: Unter dem Titel „ePA für alle – Daten für alle? Deutschland im Zwiespalt zwischen digitalen Chancen und reellen Gefahren“ lädt der Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz zusammen mit der Verbraucherzentrale Rheinland-Pfalz ein. Mit Vertreterinnen und Vertretern aus der Zivilgesellschaft, der Ärzteschaft und des Verbraucherschutzes, von Krankenkassen, Wissenschaft und Politik wird über die bisherigen Erfahrungen mit der elektronischen Patientenakte und die daraus zu ziehenden Schlüsse für die Zukunft diskutiert. Weitere Informationen und Anmeldung hier.
5.10.5 Impact Hub Vienna: FABB Social Media Solutions Workshops -neu-
06.11.2025, 14:00 – 18:00 Uhr, Wien: Eine Initiative aus dem Impact Hub Vienna will Lösungen für einen gesünderen Umgang mit Social Media fördern und lädt ein zu den FABB Social Media Solutions Workshops. Von November bis Dezember 2025 finden drei Workshops zur Entwicklung & Weiterentwicklung von Lösungsideen zu drei Kernproblematiken im Bereich Social Media statt: Informierte Nutzung, Gesunde Nutzung und Reduzierte Nutzung. Ein Abschlussevent folgt im Jänner (= Januar) 2026.
- 06. November 2025, 14:00-18:00 – Informierte & bewusste Nutzung
- 20. November 2025, 15:00-19:00 – Psychologische Effekte & gesunde Nutzung
- 04. Dezember 2025, 15:00-19:00 – Reduzierte Nutzung – Digitale Resilienz & Going Offline
- 14. Jänner 2026, 18:00-21:00 – Abschlussevent & Ideenforum
Weitere Informationen und Anmeldung hier.
5.10.6 Neues Datenrecht: Pflicht zum Teilen von (personenbezogenen) Daten
11.11.2025, 10:00 – 11:00 Uhr, online: Seit dem 12. September 2025 gelten die neuen Pflichten des Data Acts zum Teilen von Daten (Data Sharing). Unternehmen sind nun angewiesen Daten – darunter auch personenbezogene – mit Dritten zu teilen. Die Zielsetzung des Data Acts liegt im Abbau von Wettbewerbsbeschränkungen, steht damit aber im Widerspruch zum Datenschutzrecht. Für Datenschutzbeauftragte ergibt sich dadurch eine besondere Herausforderung: Wie lassen sich die Anforderungen des Data Acts mit den Vorgaben der DS-GVO in Einklang bringen? Dieses Spannungsverhältnis muss in der Praxis gelöst werden. Denn es müssen die Pflichten sowohl nach Data Act als auch nach DS-GVO eingehalten werden, was differenzierte Lösungen und die dringende Kenntnis beider Rechtsakte erfordert. Das Webinar will einen kompakten Überblick über die zentralen Pflichten des Data Acts geben und aufzeigen, wo Konflikte mit dem Datenschutzrecht entstehen können. Weitere Informationen und Anmeldung hier.
5.10.7 Webinarreihe zu Cyber-Resilienz -neu-
13.11.2025, 09:00 – 10:00 Uhr, online: Cyber-Security ist für Unternehmen zunehmend nicht nur ein elementarer Aspekt des operativen Risikomanagements, sondern auch regulatorische Pflicht. Wer hier Defizite hat, darf unter Umständen seine Produkte nicht mehr in der EU vertreiben. Was dagegen hilft? Rechtliche und operative Know-how aufzubauen, um die Implementierung strategisch planen zu können sowie im Ernstfall Zeit, Klarheit und Kontrolle zu haben. Eine Kanzlei bietet dazu eine Webinarreihe an, beginnend am 13. November 2025. Weitere Informationen und Anmeldung hier.
5.10.8 FragFinn und JFF: Virtueller Elternabend zur frühkindlichen Medienerziehung
13.11.2025, 17:00 – 18:00 Uhr, online: Beim Einstieg in die Medienwelt stellen sich Eltern viele Fragen: “Brauchen das die Kleinen überhaupt? Schon so früh? Und muss man Kinder jetzt schon zum Medienkonsum animieren?” Weil die Welt nicht stillsteht und auch Kinder der Digitalisierung im Alltag nicht entkommen können, ist Begleitung von Anfang an wichtig. Eltern sollten Kinder verantwortungsvoll und einfühlsam bei ihren ersten Erfahrungen mit Medien unterstützen. Dieser Elternabend möchte mit Referent:innen von JFF praktische Ratschläge und leicht umsetzbare Tipps vermitteln. Vorgestellt werden dabei pädagogische Medienempfehlungen – von kindgerechten Apps über altersgerechte, spaßige und lernförderliche Angebote wie Hörspiele, Games oder Videos – bis hin zu Ideen und Anleitungen, wie Kinder selbst Medien gestalten und produzieren können. Weitere Informationen und Anmeldung dazu hier.
5.10.9 BSI: Dialog für Cybersicherheit -neu-
14./15.11.2025, ab 12:30 Uhr (am Freitag) bis 13:00 Uhr (am Samstag), Berlin: Das BSI lädt ein zur Diskussionen zur Cybersicherheit. Die Einladung richtet sich an alle, die Teil der Cybersicherheits-Community oder gemeinwohlorientiert gesellschaftlich aktiv sind. Grundlage sind zwölf Ideen-Skizzen, von denen zwei in Workstreams (kleine Projekte) überführt werden sollen. Die Bandbreite reicht von Resilienz und Souveränität durch Open Source in KRITIS IT-Infrastrukturen über ZeroTrust an der Hochschule oder digitale Erste-Hilfe-Grundkurse für Bürgerinnen und Bürger bis zu SecurityByDesign in der KI-Entwicklung. Weitere Informationen und Anmeldung (bis zum 03.11.2025!) hier.
5.10.10 Bündnis 90/Die Grünen Bundestagsfraktion: Gemeinwohlorientierte soziale Medien – Hürden und Lösungen -neu-
17.11.2025, 13:00 – 14:30 Uhr, online: Fragt man Menschen heute nach ihren Erlebnissen auf sozialen Medien, antworten sie oft mit einem Seufzen. Die dominanten Plattformen machen müde. Debatten wirken polarisiert, der eigene Feed wird mehr und mehr mit Inhalten von Accounts befüllt, denen die Person nicht folgt. Dazu kommen Hass, Hetze und Desinformationskampagnen. Wie sehen die Alternativen dazu aus? Dezentrale Netzwerke wie das Fediverse oder BlueSky versuchen sich als Gegenmodelle zu den profitgetriebenen Plattformen zu etablieren und die Gemeinwohlorientierung in den Vordergrund zu stellen. Aus Sicht demokratischer Debatten ist das mehr als wünschenswert. Falschinformation und algorithmische Verzerrung behindern die freie Meinungsbildung im Netz.
Bisher sind gemeinwohlorientierte soziale Netzwerke allerdings kaum konkurrenzfähig. Es mangelt an guten Designs, Nutzer*innenfreundlichkeit und nachhaltigen Geschäftsmodellen, die die angestrebte Unabhängigkeit nicht unterwandern. Vieles davon wird in der Theorie intensiv diskutiert und dennoch bleiben die Hürden in der Praxis groß. Woran liegt das? Und wie können die positiven Dynamiken und vielen guten Ideen der Community weiter gefördert und konsequent umgesetzt werden?
Das Fachgespräch ist der erste Teil der Veranstaltungsreihe „Digitale Öffentlichkeit“.
Das zweite Fachgespräch mit dem Titel „Journalismus in einer digitalen Welt: Erwartungen, Sichtbarkeit, Innovation“ ist für den 12.12.2025 geplant.
Weitere Informationen und Anmeldung zum ersten Fachgespräch hier.
5.10.11 Universität Kassel „Digitale Gesellschaft – Eine Gestaltungsaufgabe“ (Wintersemester 2025 / 2026)
In (ursprünglich) fünf Beiträgen aus unterschiedlichen Disziplinen beleuchten die Vorträge komplexe Fragen der Gestaltung der Technik der Zukunft. Dahinter stehen konkrete Einzelprobleme – aber immer auch die Frage: Wie wollen wir in Zukunft leben? Zwei Vorträge gibt es in Präsenz in Kassel, alle anderen erfolgen online:
- 19.11.2025, 17 Uhr (Präsenz) „The Indirect Disclosure Effect: How Disclosing Generative AI Use Impacts Creators‘ Collaboration with AI“
- 10.12.2025 17 Uhr (online).: „Was ist effektive menschliche Aufsicht über KI?“
- 21.01.2026 17 Uhr (Präsenz): „Wie sich erlernte von designter Technik unterscheidet: Die neue Agency generativer KI und das Erfordernis der strategischen Interaktion mit ihr“
- 11.02.2026 17 Uhr (online): „Zwischen Halluzination und Realität: KI-Regulierung entlang der Wertschöpfungskette“
Weitere Informationen und Anmeldung hier.
5.10.12 Stiftung Datenschutz: Zweiteiliges Webinar zu der Verarbeitung von (u.a.) Kinderbildern durch Vereine
24.11.2025 & 01.12.2025, jeweils 18:00 – 19:00 Uhr, online: In der zweiteiligen Reihe der Stiftung Datenschutz zeigt eine Rechtsanwältin auf, worauf Vereine bei der Verarbeitung von Daten Minderjähriger achten müssen. Die Verarbeitung personenbezogener Daten von Kindern und Jugendlichen wirft besondere Fragen auf: Die DS-GVO enthält zwar einige Regelungen, lässt aber auch wichtige Aspekte offen. Hinzu kommen Vorgaben aus dem deutschen Recht, etwa im Vertragsrecht. Um dieses komplexe Themenfeld zu beleuchten, hat die Stiftung Datenschutz ein Gutachten in Auftrag gegeben. In dem zweiteiligen Webinar werden die wichtigsten Ergebnisse vorgestellt und es gibt praxisnahe Handlungsempfehlungen.
Im ersten Teil der Reihe geht es um die Rechtmäßigkeit der Datenverarbeitung: Auf welche Rechtsgrundlage können Vereine die Verarbeitung von Daten ihrer minderjährigen Mitglieder stützen? Ab wann können die Minderjährigen selbst in die Datenverarbeitung einwilligen? Wann eignet sich die Vertragserfüllung, und wer kann diese Verträge abschließen? Und wozu braucht es die Zustimmung der Eltern?
Der zweite Teil rückt die Betroffenenrechte der Kinder und Jugendlichen in den Mittelpunkt und erläutert, wie Vereine am besten ihre Informationspflichten erfüllen – zum Beispiel mit altersgerecht formulierten Datenschutzhinweisen. Und was passiert eigentlich, wenn die Jugendlichen volljährig werden? Oder wenn die Eltern mal nichts erfahren sollen?
Wichtig: Beide Teile bauen aufeinander auf. Eine Anmeldung umfasst daher automatisch beide Webinare. Falls der erste Termin nicht wahrgenommen werden kann, steht die Aufzeichnung rechtzeitig vor dem zweiten Webinar online zur Verfügung. So kann trotzdem problemlos eingestiegen werden. Weitere Informationen und Anmeldung hier.
5.10.13 Daten mit echter Wirkung: Regulatorische Gestaltungsspielräume smart nutzen
25.11.2025, 09:00 – 10:30 Uhr, online: Daten sind der zentrale Rohstoff für Steuerung, Innovation und Differenzierung – über alle Unternehmensbereiche hinweg. Ob in der operativen Effizienz, in digitalen Produkten oder als Entscheidungsgrundlage: Wer Daten strategisch einsetzen will, muss Technik, Organisation und Regulierung zusammendenken. Denn gleichzeitig entstehen im Zusammenspiel von KI-VO, Data Act, DS-GVO und Gesundheitsdatennutzung neue rechtliche Rahmenbedingungen, die nicht nur Grenzen setzen, sondern auch Gestaltungsspielräume und Effizienzen eröffnen. Wer die Orchestrierung der Regulatoriken beherrscht, verschafft sich in Zukunft einen klaren Wettbewerbsvorteil. In dieser Veranstaltung soll genau diese Perspektiven zusammengebracht werden: Wie lässt sich eine datenbasierte Strategie aufbauen, die technologisch skalierbar, rechtlich tragfähig und wirtschaftlich sinnvoll ist? Und: Wie können Unternehmen darin schnell und souverän handlungsfähig werden? Weitere Informationen und Anmeldung hier.
5.10.14 KI und Datenschutz: Aktuelle Urteile und Handlungsempfehlungen
25.11.2025, 13:00 – 14:00 Uhr, online: In der Veranstaltung der Stiftung Datenschutz aus der Reihe „Datenschutz am Mittag“ werden die Urteile des OLG Köln und des OLG Schleswig ebenso wie die Orientierungshilfen und Aussagen der DSK analysiert und diskutiert. Darüber hinaus werden jüngere Handreichungen u.a. des BSI, der CNIL, des IT-Planungsrates und der BfDI besprochen. Weitere Informationen und Anmeldung hier.
5.10.15 IHK München: 13. Datenschutztag
04.12.2025, 13:30 – 18:30 Uhr, München: Der 13. Münchner Datenschutz-Tag geht der Frage nach, wie der Weg in die Digitalisierung gelingen kann. Braucht es eine Reform der DS-GVO und/oder z. B. neue Rechtsgrundlagen, um KI zu ermöglichen? Gibt es hierbei den europäischen Weg, der gleichzeitig die Wirtschaft entlastet und die Digitalisierung vorantreibt? Wie können Drittstaatentransfers langfristig abgesichert werden? Die EU-Kommission hat in der neuen Amtsperiode die Aufgabe die Anforderungen der DS-GVO mit denjenigen der EU-Datenökonomie in Einklang zu bringen. Für Unternehmen in Europa ist es unabdingbar digitale und innovative Geschäftsmodelle auf gesicherter rechtlicher Grundlage zu entwickeln. Die Veranstaltung will eine Plattform für einen Dialog zwischen Wirtschaft, Legislative, Exekutive und Datenschutzaufsicht zu diesen praxisrelevanten und zukunftsweisenden Themen bieten. Weitere Informationen und Anmeldung hier.
5.10.16 Save-the-Date: BSI zu KI in der Bundesverwaltung -neu-
13.01.2026, 13:30 – 18:30 Uhr, Bonn und online: Am 24.06.2025 hatte BSI einen Kriterienkatalog zum Einsatz von generativer Künstlicher Intelligenz in der Bundesverwaltung veröffentlicht. Der Katalog definiert Anforderungen zur Integration extern bereitgestellter generativer KI-Modelle in eigene Anwendungen. Die Umsetzung der Anforderungen hilft Behörden, ein Mindestsicherheitsniveau zu erreichen. Im Rahmen der Veröffentlichung wurde ein Workshop angekündigt, um Feedback aus der Praxis einzuholen: Dieser Workshop wurde nun terminiert! Zielgruppe sind Behörden und Unternehmen, die Vorgaben aus dem Kriterienkatalog praktisch umgesetzt haben oder sich intensiv mit der Umsetzung auseinandergesetzt haben. Bis 21. November 2025 kann sich unter ki-kontakt@bsi.bund.de für den Workshop angemeldet werden, über diese Mailadresse werden auch Fragen dazu beantwortet.
5.10.17 Gautinger Internettreffen: Digitale Souveränität in der Jugendarbeit -neu-
24./25.03.2026, ab 18:00 Uhr, Gauting: Das Thema digitale Souveränität spielte in den letzten Jahren nur eine nachrangige Rolle in der öffentlichen Debatte – doch es ist ein immens wichtiges Anliegen, wie u.a. der Ausfall der AWS-Server im Oktober 2025 bewies, der diverse Dienste wie Signal, Slack und Snapchat beeinträchtigt hat. Auch bei Hard- und Software-Lösungen in der Bildungsarbeit (Dominanz von Microsoft 365 sowie iPad- bzw. Windows-Laptop-Klassen), bei Suchmaschinen (Google), KI-Tools (OpenAI) oder im Social Web (Meta) wird Monopolen bzw. Oligopolen oft sehr unkritisch gegenübergestanden, obwohl es alternative Lösungen gibt. Beim git26 (26. Gautinger Internettreffen) im März 2026 wird unter dem Titel „Digital und selbstbestimmt“ die Frage gestellt, wie eine souveräne Mediennutzung in der Jugendarbeit, der Schule und der Medienpädagogik gestaltet werden kann. Weitere Informationen hier und die Anmeldung dort.
6 Gesellschaftspolitische Diskussionen
6.1 Influencer ohne Anstand
Wie dem Bericht bei Artikel91.eu zu entnehmen ist, gibt es Influencer, die obdachlose Menschen ungeniert und ungefragt in Posts aufnehmen, um damit die eigene Großzügigkeit und Verantwortung plakativ darzustellen. Dabei wird auf eine Kampagne der Bahnhofsmission Essen hingewiesen, die hier mit Aufklebern („Mein Gesicht gehört mir“) darauf aufmerksam macht, dass auch diese Personengruppe Grundrechte hat.
6.2 Arte: Dokumentation zu Gesichtserkennung
In der Dokumentation „Mit offenen Daten“ auf arte (Mediathek, Dauer 24 Min., bis 12.07.2029 abrufbar) wird untersucht und beschrieben, wie westliche Unternehmen einem autoritären Regime helfen ein System zu Massenüberwachung aufzubauen. Zum Einsatz kommen hochauflösende Kameras, Gesichtserkennungssoftware und hochmoderne Videoüberwachungszentren.
6.3 Arte: Dokumentation zu den Folgen für das Internet durch KI
In der Dokumentation „KI: Der Tod des Internets“ auf arte (Mediathek, Dauer ca. 51 Min., bis 31.12.2025 abrufbar) geht es um die Frage, ob wir bald nur noch Informationen bekommen, mit der die KI uns füttert? Dazu wird festgestellt, dass das Internet von KI-generiertem Müll überschwemmt wird. Automatisierte Bots produzierten eine Flut aus KI-generierten Inhalten, die das Internet zu ersticken droht. Der Wissensraum wird mit Desinformation, Propaganda und synthetischen Bildern und Tönen geflutet. Verlassen wir uns künftig vermehrt auf KI-halluzinierten Schein-Informationen, statt selbst zu recherchieren?
7 Sonstiges/Blick über den Tellerrand
7.1 USA: Es gibt noch kritische Äußerungen
Es gibt auch noch Meldungen aus den USA, die hoffnungsvoll klingen. So wird hier über drei pensionierte Richter berichtet, die im Rahmen einer eher konservativ bezeichneten „Society for the Rule of Law“-Veranstaltung Kritik an der derzeitigen Administration in Washington und dem Verlust der Rechtsstaatlichkeit äußerten.
7.2 USA: Meta und Ausnahmen vom Anwaltsgeheimnis
Hier wird über einen Fall aus den USA im District of Columbia berichtet. Natürlich geht es wieder um Meta und deren Geschäftsmodell. In einer Klage des Bezirks, die darauf abzielt Meta Platforms für die schädlichen Auswirkungen der Social-Media-Sucht von Teenagern haftbar zu machen, berief sich Meta auf das Anwaltsgeheimnis für vier Dokumente. Diese Dokumente umfassen Diskussionen zwischen Meta-Forschern und verwiesen auf Mitteilungen von Anwälten, die darauf abzielten Forschungsergebnisse einzuschränken oder zu entfernen, welche wohl darauf hindeuteten, dass Meta haftbar gemacht werden könnte.
Das Gericht befand, dass die Dokumente nicht privilegiert seien (also nicht unter das Anwaltsgeheimnis fallen), da die Ausnahme für Betrug gelte. [Automatische Übersetzung:]
„Bei jeder Auslegung würden die Mitteilungen in den Dokumenten ‚eine vernünftige und umsichtige Person in der Annahme veranlassen, dass die fraglichen Mitteilungen zwischen Anwalt und Mandant zur Förderung eines laufenden oder zukünftigen Verbrechens[,] […] Betrugs [oder Fehlverhaltens] dienten‘, d. h. die Entscheidung über die Haftung von Meta in dem damit verbundenen Multidistrict-Rechtsstreit verschleiern. [Zitat weggelassen]. Das Gericht wird Meta nicht erlauben, sich proaktiv auf sein Privileg zu berufen… in den Dokumenten, die ‚grundlegend unvereinbar mit den grundlegenden Prämissen des gegnerischen Systems sind.“
Mal schauen, was noch alles passieren muss, damit für Entscheidungsträger:innen in Unternehmen und Behörden eine Grenze überschritten ist, um nicht weiter gemäß „der Zweck heiligt die Mittel“ soziale Netzwerke zu nutzen, deren Geschäftsmodell nur einen Wert unserer Gesellschaft abdeckt: den Eigentumserwerb durch Geschäftstätigkeit.
7.3 Ein Beispiel zu Mediendarstellung und Stadtbild
In der aktuellen Diskussion scheint sich an der Frage der Migration das Wohl und Wehe der westlichen Zivilisation zu entscheiden. Eine selektive Wahrnehmung des „Stadtbildes“ (was immer das sein mag) scheint bislang selbst in den Kreisen konservativer alter weißer Männer noch nicht beim Betrachten der Nationalmannschaft angekommen zu sein. Interessant fand ich auch in diesem Kontext eine hier veröffentlichte Untersuchung, wie die Berichterstattung in den Medien hinsichtlich der Herkunft Tatverdächtiger auf die eigene Wahrnehmung einzahlt. Beläuft sich der polizeilich erfasste Anteil ausländischer Tatverdächtiger bei Gewaltdelikten laut der polizeilichen Kriminalstatistik des Bundes auf 34,3 %, benennt ein Viertel der TV-Berichte über Gewaltdelikte die Herkunft der Tatverdächtigen. Von diesen TV-Berichten handeln 94,6 % von ausländischen Tatverdächtigen.
8. Franks Zugabe
8.1 Zum vorläufigen Ende der Chatkontrolle
Warum nur vorläufig fragen Sie, wo doch die Berichterstattung aussagt, dass Dänemark seinen Vorschlag zurückgezogen hat?
Nun ja, zum einen gibt es Aussagen der deutsche Justiministerin, die nicht hoffnungsvoll stimmen.
Außerdem ist laut diesem Bericht trotz des Zurückziehens des aktuellen Vorschlags der Regelung der Chat-Kontrolle auf EU-Ebene durch Dänemark die Tür für einen neuen Vorschlag der zukünftigen Ratspräsidentschaft noch lange nicht geschlossen.
Der Präsident des Deutschen Anwaltsvereins (DAV) weist zu Recht darauf hin, dass er und der DAV sich gegen die von den Dänen zeitgleich ins Gespräch gebrachte – abermalige – Verlängerung der aktuellen freiwilligen Chatkontrolle verwahren. Sicherlich nicht nur sie.
Insgesamt kann also leider nur festgestellt werden, dass die Chatkontrolle daran arbeitet genau so ein ewiger Untoter wie z.B. die Vorratsdatenspeicherung zu werden.
8.2 Homomorphe Verschlüsselung
Zu diesem Thema wollten Sie doch immer schon mal mehr wissen, oder? Dafür gibt es nun einen lesenswerten Artikel, den ein Mitglied des AK-Krypto des Berusfverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. verfasst hat. In diesem wird mit anschaulichen Beispielen erklärt, wie homomorphe Verschlüsselung funktioniert und wofür sie eingesetzt werden soll. Besonders lobenswert sind die vielen angegebenen Quellen, falls Sie sich tiefer in die Materie einarbeiten wollen.
8.3 Immer wieder das leidige Geld …
Ich habe es selbst heute ertragen müssen, dass ich für eine Anmeldung bei einem Event (in Deutschland), welches von einem deutschen Veranstalter ausgerichtet wird, nur Bezahloptionen von PayPal angeboten bekam (es gab zwar eine Option Sepa-Mandat, aber auch diese sollte über PayPal abgewickelt werden 🙄).
Das hat die Finanzbranche in Europa als Problem erkannt und immer mehr Banken scheinen sich dem Dienst Wero anzuschließen. Entstanden war Wero, als sich ein gutes Dutzend europäischer Finanzinstitute zu einer Allianz zusammengeschlossen hatten, der European Payments Initiative (EPI), die mit Wero eine europäische Alternative zu Paypal schaffen wollte. Gestartet ist der Dienst im vergangenen Jahr. Die Funktionalität von Wero ist allerdings noch nicht dort, wo sie sein sollte (zum Beispiel geht momentan noch nicht das Einkaufen in Online-Stores, diese und andere Funktionen sollen aber bald kommen). Nach dieser Quelle (hinter einer Bezahlschranke) wird daran allerdings intensiv gearbeitet und die Bezahlfunktion noch diesen Herbst kommen. Ich sag mal: Abwarten.
Natürlich ist Wero nicht die einzige Idee, um gegen die US-Übermacht im Bezahl-Bereich gegenzuhalten. In Europa soll es ja auch den digitalen Euro geben. Im Gegensatz zu Wero, welches „nur“ ein Bezahldienst ist, wäre ein digitaler Euro eine richtige Währung. Warum diese aber nicht exklusiv sein darf, es also weiterhin noch Bargeld geben muss, wird in diesem Beitrag ausgeführt. Besonders gefällt mir dieses Zitat: „Zudem müsse es auch in Zukunft möglich sein, dass Großeltern ihren Enkeln 50 Euro zustecken können.“
Es ist ja schon sehr erfreulich, dass wir mittlerweile ohne Extrakosten Sofortüberweisungen tätigen können. Seit Oktober 2025 müssen die Banken diese verbindlich anbieten. In diesem Zusammenhang wurde ein Sicherheitsmechanismus eingeführt, der Rechnungssteller:innen vielleicht ein wenig fordern wird. Es wird bei jeder Überweisung geprüft, ob die Information Kontoinhaber:in mit der Angabe des Kontos übereinstimmt und das Ergebnis wird der überweisenden Person mitgeteilt. Ich wurde schon von Rechnungsempfänger:innen angesprochen, dass meine Rechnungen da wohl noch Optimierungsbedarf haben (es reicht ja ein Feld: Kontoinhaber:in). Dieser Sicherheistmechanismus ist für die Verbraucher:innen natürlich zu begrüßen, wie auch dieser Artikel darstellt. Schade ist es natürlich, wenn die neue Funktion noch nicht zuverlässig funktioniert.
8.4 Die Entstehungsgeschichte des AI Act
Ich zitiere hier mal frech aus dem Newsletter eines Universitätsprofessors, den wir schon öfter verlinkt hatten:
- Nathalia Smuha – Genese und konzeptionelle Grundlagen des AI Act
Der Aufsatz „The Genesis of the EU Artificial Intelligence Act“ (SSRN, 2025) rekonstruiert die politische und ethische Entstehungsgeschichte des AI Act: vom High-Level Expert Group on AI-Bericht (2019) über den Kommissionsentwurf (2021) bis zum finalen Gesetzestext (2024). Er zeigt Spannungen zwischen ethikorientierter Governance, risikobasierter Regulierung und industriepolitischen Zielen.
Gemeinsam mit Karen Yeung veröffentlichte Smuha den Beitrag „Regulating AI through the Law of the European Union“ (SSRN, 2024), der analysiert, wie ethische Leitprinzipien in rechtlich verbindliche Normen überführt werden. Diskutiert werden Vollzugsmodelle, Normensetzung über technische Standards sowie das Spannungsverhältnis zwischen Grundrechtsschutz und technologischer Steuerung. - NZZ-Interview mit dem Hauptautor des AI Acts
Der Artikel „Hauptautor des KI-Gesetzes der EU packt aus“ (NZZ, 2025) bietet Einblicke in die politischen Kompromisse des Gesetzgebungsprozesses: die Balance zwischen Innovationsförderung, digitaler Souveränität und menschenzentrierten Werten. Er verdeutlicht den Übergang von ethischer Rhetorik zu juristischer Pragmatik. - Kai Zenner – Materialien zum Gesetzgebungsverfahren und zur Umsetzung
Auf den Seiten https://www.kaizenner.eu/post/aiact-part3 und https://artificialintelligenceact.eu/documents/ findet sich eine umfassende Sammlung aller relevanten Dokumente zum AI Act: Gesetzgebungsverlauf, konsolidierte Fassungen, Zeitlinien, Trilog-Änderungen und Implementierungspläne. Besonders hilfreich für die Nachvollziehung der politischen und juristischen Aushandlungsprozesse.
Ich fand die Zusammenstellung informativ, auch wenn wir einzelne Quellen sicherlich schon in unserer Blog-Reihe hatten.
Franks Nachtrag: Mehr KI gibt es in diesem Blog-Beitrag trotz anderer Ankündigung nicht. Die liebe Zeit …
8.5 MS Teams und die große Schnüffelei
Hieß es nicht gerade erst, dass die EU-Kommission und Microsoft sich auf Anpassungen in MS Teams geeinigt haben, damit es einigermaßen (will ich das Wort jetzt hier benutzen?) rechtskonform eingesetzt werden kann? Ach so, da ging es ja nur ums Geld, also Konformität mit dem Wettbewerbsrecht.
Na, dann kommt es ja nicht überraschend, dass Persönlichkeitsrechte und MS Teams immer noch nicht Hand in Hand gehen … wie uns diese Quelle anschaulich darlegt. Das haben sich die Nutzer:innen bestimmt gewünscht. Wenn Sie es nicht lesen wollen, es gibt dazu auch ein Youtube-Video (Dauer ca. 7 Min.) vom gleichen Anbieter.
9. Die guten Nachrichten zum Schluss
9.1 Unterstützung für Eltern und Lehrkräfte (I)
Auf der Webseite „Seitenstark“ finden Eltern und Lehrkräfte Unterstützung bei der Vermittlung des Kind-gerechten Umgangs mit digitalen Angeboten. So findet sich auch ein Netzwerk aus rund 60 Kinderwebseiten.
9.2 Unterstützung für Eltern und Lehrkräfte (II)
Wie können digitale Angebote kindersicher gestaltet werden? Dazu informiert die Seite Medien kindersicher, bei der sowohl nach Gerät wie auch nach Anwendung selektiert werden kann. Dann wird erläutert, wie mit den entsprechenden Anleitungen gewünschte Einstellungen bei den jeweiligen Geräten aktiviert werden können.
9.3 Informationen zu Roblox
Roblox ist kein Spiel, sondern eine Plattform, auf der Spiele angeboten und genutzt werden können. Die Plattform und deren Angebot ist bei Kindern /Jugendlichen jeden Alters sehr beliebt. Beliebt ist die Plattform auch bei Personen, bei denen das Kindeswohl nicht im Mittelpunkt ihres Treibens steht. Wie welche Einstellungen zur Kindersicherung bei Roblox gewählt werden können, wird hier beschrieben. An was bei Roblox aus medienpädagogischer Sicht zu denken sein kann oder welche Antworten sich bei Fragen finden lassen, kann hier nachgelesen werden.