Hier ist der 36. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 03&04/2026)“ – Die DVD-Edition.

Passend zum Ausklang des heutigen europäischen Datenschutztags geben wir Ihnen wieder reichlich zu lesen: Es gibt u.a. eine neue Veranstaltung (in den ingesamt zehn Veranstaltungshinweisen), reichlich Urteile, Aktuelles von den Aufsichtsbehörden (u.a. das BSI zum Stand der Technik), wieder ein ausführliches Apropos KI … und ein Thema mit Katzenfotos 🐈.

1. Aufsichtsbehörden
   1. BfDI: Informationen zu der elektronischen Patientenakte
   2. LDI NRW: Schnellschüsse und Rechte der Bürger:innen
   3. LfDI Baden-Württemberg: Interview zum Antritt als Vorsitzender der DSK
   4. LfDI Baden-Württemberg: Datenschutz und Verbraucherschutz
   5. BayLDA: Cyberfestung
   6. Griechenland: Maßnahmen gegen ein „Smart-Policing-Programm“
   7. AEPD: Warnung vor dem Einsatz von KI zur Erstellung sexualisierter Bilder
   8. CNIL: Zentrale Einwilligungsverwaltung bei Cookies und anderen Trackern?
   9. CNIL: Wer erkennt Dark Pattern?
   10. CNIL: Sanktionen gegen TK-Anbieter aufgrund unzureichender Schutzmaßnahmen
   11. ICO: Leitlinien für die internationale Übermittlung personenbezogener Daten
   12. BaFin: Orientierungshilfe zu IKT-Risiken beim Einsatz von KI
   13. BSI: „Stand der Technik“
2. Rechtsprechung
   1. EGMR: Grenzen des Zugriffs der Steuerbehörden auf Bankdaten
   2. LG Bonn: Auskunftsanspruch auch auf Handakte eines Rechtsanwalts
   3. VG Berlin: Auskunftsanspruch umfasst auch Daten eines Identitätsdiebstahls
   4. VG Dresden: Rechtsnatur eines Schreibens einer Aufsicht zur Rechtslage
   5. LG Berlin: Irreführung bei Arztterminplattform durch Filterfunktion
   6. VG Düsseldorf: LinkedIn-Vernetzung hebelt nicht das UWG aus
   7. ArbG Bocholt: Löschpflichten und arbeitsrechtliche Maßnahmen beim Löschen von Katzenfotos
   8. VG Berlin: Kein Recht auf Selbstbelastungsfreiheit für Unternehmen
   9. BFH: Anforderung an Klage auf Schadenersatz aus Art. 82 DS-GVO im Besteuerungsverfahren
   10. BFH: Zulässigkeit der Verarbeitung personenbezogener Daten im Besteuerungsverfahren
   11. BGH: Tatbestandsmerkmal „Vermögensschaden“ bei Computerbetrug nach § 263a StGB
   12. EuGH: Klagerücknahme hinsichtlich Weitergabe Positivdaten durch Mobilfunkprovider
   13. EuGH-Vorschau: Urteil zur Klagemöglichkeit gegen Beschlüsse des EDSA
   14. EuGH: Neuer Webseitenauftritt
   15. EuG: Einstellung SRB gegen EDPS (T-557/20 RENV)
3. Gesetzgebung
   1. Mercosur und Datenschutz
   2. Entwurf eines Durchführungsgesetzes zum Data Governance Act
4. Künstliche Intelligenz und Ethik
   1. bitkom: Umsetzungsleitfaden zur KI-VO
5. Veröffentlichungen
   1. Entgelttransparenzrichtlinie und Datenschutz
   2. Änderungen der Eigentümerstruktur bei Threema
   3. KI und Biometrie
   4. Konzerngesellschaften und NIS2
   5. Veranstaltungen
      1. EDPS: Data Protection Day 2026: Reset or refine?
      2. BlnBfDI: Anonymisierung und Pseudonymisierung – Risiken mindern, Daten nutzen?
      3. Institut für Internet und Gesellschaft: Tool zur Verwaltung von Online-Einwilligungen
      4. EAID zum „Digital‑Omnibus“
      5. Webinar zum Digital Omnibus
      6. Stiftung Datenschutz – Datenschutz am Mittag: Ergebnisse der BfDI-Konsultation
      7. Universität des Saarlandes – Öffentliche Vorlesung: Datenschutz in der Praxis
      8. Universität Kassel „Digitale Gesellschaft – Eine Gestaltungsaufgabe“ (Wintersemester 2025 / 2026)
      9. Vortragsreihe „Zukunftsdialog KI und Recht“ der SRH University Heidelberg
      10. Gautinger Internettreffen: Digitale Souveränität in der Jugendarbeit
6. Gesellschaftspolitische Diskussionen
   1. AWS: “European Sovereign Cloud“
   2. Sammelklagenaufruf durch Radiosender
7. Sonstiges / Blick über den Tellerrand
   1. Snapchat: Struktur des Grauens
   2. USA: Und was noch alles geschah …
   3. bitkom: Studie „Eltern in der digitalen Welt“
   4. Mit Werbedaten kann ja nichts passieren
   5. Drei Wochen ohne Smartphone
   6. ACT ON! aktiv + selbstbestimmt online
   7. Talkrunde: Handyverbot für Kinder?
8. Franks Zugabe
   1. Apropos KI …
   2. Was denken Sie denn so über Vorratsdatenspeicherung?
   3. Windows 10 und Windows 11 ein wenig datenschutzkonformer einstellen?
   4. Bitlocker ≠ sicher?
   5. Apropos NIS2-Meldeportal
9. Die guten Nachrichten zum Schluss
   1. Kinder und Cybersicherheit
   2. Kartenspiel zur Cybersicherheit für Kinder

Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 BfDI: Informationen zu der elektronischen Patientenakte

Die BfDI hat nochmal die wesentlichen Informationen zur elektronischen Patientenakte (ePA) zusammengestellt. Sie umfassen Hinweise zur Sicherheit in der ePA, die Rechte der Betroffenen bei der ePA sowie häufig gestellte Fragen zur ePA und es wird auf weitere Informationen zur ePA verwiesen.

zurück zum Inhaltsverzeichnis

1.2 LDI NRW: Schnellschüsse und Rechte der Bürger:innen

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) nimmt auf ihrer Webseite anlässlich des neuen Jahres in fünf Fragen / Antworten Stellung zu aktuellen Entwicklungen. Dabei geht es nicht nur um einen Rückblick oder aktuelle Trends, sondern auch um die Entwicklungen zur Datennutzung und inwieweit dadurch Grundrechte beeinträchtigt werden könnten.

zurück zum Inhaltsverzeichnis

1.3 LfDI Baden-Württemberg: Interview zum Antritt als Vorsitzender der DSK

Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg übernahm zum Jahresbeginn 2026 den Vorsitz in der DSK. In diesem Interview äußert er sich zu den Herausforderungen, die er in 2026 erwartet. Dazu gehören das Thema Entbürokratisierung, bei der es auch um den Schutz der Schwächeren gegenüber mächtigen Akteuren gehe, unabhängig davon, ob dies Wirtschaftsunternehmen oder staatliche Akteure sind.
Auch das Thema KI müsse weiterhin unterstützt werden. Innovation sollten nicht nur möglich sein, indem Grundrechte abgebaut würden, dann sei das keine nachhaltige Innovation. Genau deshalb hat der LfDI MindBW mitbegründet, das sich auch mit KI-Reallaboren befasst, als Initiative für menschenzentrierte Innovation. MindBW ist zunächst ein Netzwerk, das interdisziplinär an Technik, Ethik, Recht, Verwaltung, Gesundheitsforschung und Verbraucherschutz arbeitet. Baden-Württemberg hat bereits viele Reallabore – aktuell über 20 aktive. Diese haben viel Expertise aufgebaut.

zurück zum Inhaltsverzeichnis

1.4 LfDI Baden-Württemberg: Datenschutz und Verbraucherschutz

In der aktuellen Podcast-Folge (Dauer ca. 34 Min.) diskutiert der LfDI Baden-Württemberg mit einer Vertreterin der Verbraucherzentrale Baden-Württemberg über die Schnittstellen von Daten- und Verbraucherschutz.

zurück zum Inhaltsverzeichnis

1.5 BayLDA: Cyberfestung

Das BayLDA bietet Informationen rund um die Cybersicherheit. Dazu gehört eine Checkliste Cyberfestung mit zehn Punkten für die Cybersicherheit<7a>, es wird auch ein Kompakthandbuch zur Tiefenverteidigung angekündigt.

zurück zum Inhaltsverzeichnis

1.6 Griechenland: Maßnahmen gegen ein „Smart-Policing-Programm“

Die griechische Datenschutzaufsicht hat Maßnahmen gegen den Einsatz eines „Smart-Policing-Programms“ eingeleitet. Wie die Beschwerdeführer berichten, hat die griechische Polizei im Jahr 2019 einen Vertrag mit Intracom Telecom über die Umsetzung eines Smart-Policing-Programms mit einem Gesamtwert von 4 Millionen Euro (zu 75 % finanziert aus dem Fonds für innere Sicherheit der EU) unterzeichnet. Das Projekt betraf die Beschaffung von 1.000 „intelligenten” tragbaren Geräten, die die Gesichtserkennung, die Erkennung von Fingerabdrücken sowie das Scannen von Dokumenten und Kfz-Kennzeichen ermöglichen sollten. Die Polizei stellte dieses Projekt als eine „effizientere” Methode zur Identifizierung von Menschen ohne oder mit unzureichenden Ausweispapieren dar, die sich in Griechenland aufhalten, im Vergleich zum derzeitigen rechtlichen Verfahren, bei dem Personen, die bei Polizeikontrollen keine Ausweispapiere mit sich führen, zur nächsten Polizeistation gebracht werden.
Die griechische Datenschutzaufsicht prüfte nach einer Beschwerde den Vorgang und stellte nun fest, dass es keine Rechtsgrundlage für die beabsichtigte Verarbeitung durch dieses System gab und dass die erforderliche Datenschutz-Folgenabschätzung personenbezogener Daten bei der Pilotanwendung des Systems nicht rechtzeitig durchgeführt worden war. Aus diesen Gründen hat die Behörde eine Mahnung an die griechische Polizei gerichtet. Die vollständige Entscheidung findet sich hier.

zurück zum Inhaltsverzeichnis

1.7 AEPD: Warnung vor dem Einsatz von KI zur Erstellung sexualisierter Bilder

Die spanische Aufsicht AEPD warnt vor den sichtbaren und unsichtbaren Risiken der Verwendung von Drittanbieterbildern in KI-Systemen. Sie veröffentlichte dazu Hinweise, in der sie die Auswirkungen der Verwendung dieser Art von Bildern selbst in scheinbar trivialen oder spielerischen Kontexten analysieren. Das Dokument enthält u.a. Aspekte wie Sexualisierung und synthetische intime Inhalte oder die Verwendung von Inhalten, die Minderjährige oder Menschen in besonderen verletzlichen Situationen betreffen. Es adressiert aber auch die weniger sichtbaren Risiken, die allein durch das Hochladen eines Bildes oder Videos in ein KI-System entstehen, selbst wenn das Ergebnis nicht veröffentlicht wird. Einige Handlungen können die Rechte wie Persönlichkeitsrechte, Privatsphäre oder das eigene Image beeinträchtigen und auch strafbare Handlungen sein.

zurück zum Inhaltsverzeichnis

1.8 CNIL: Zentrale Einwilligungsverwaltung bei Cookies und anderen Trackern?

Die CNIL befasst sich mit den Anforderungen an zentrale Einwilligungsmöglichkeiten für den Einsatz von Cookies und anderen Trackern auf Webseiten. Dabei erinnert sie an die rechtlichen Anforderungen, die mit so einem Consent Management System (CMS) verbunden sind:

• Nutzer:innen müssen darüber informiert werden, dass ihre Auswahl für alle Geräte angewendet werden, die mit ihrem Konto verbunden sind, bevor die Nutzer:innen zustimmen können.
• Diese Informationen müsse den Nutzer:innen vor der Anmeldung bei ihrem Konto direkt im Einholungsfenster der Einwilligung übermittelt werden.
• Die CNIL empfiehlt den Anbietern auch, ein flüchtiges Banner von Informationen anzuzeigen, die Nutzer:innen anzeigen, ob die mit ihrem Konto verbundenen Auswahlmöglichkeiten aufgezeichnet oder geändert wurden, wenn sie sich bei einem neuen Gerät anmelden.

Wenn sich die Entscheidungen, die vor dem Einloggen auf einem Gerät getroffen wurden, von denen unterscheiden, die in ihrem Konto aufgezeichnet wurden, müssen die Nutzer:innen informiert werden und wissen, wie sie damit umgehen können.

zurück zum Inhaltsverzeichnis

1.9 CNIL: Wer erkennt Dark Pattern?

Die französische Datenschutzbehörde CNIL hat einen Test veröffentlicht, um Menschen zu helfen Dark Patterns zu erkennen. Mit Dark Patterns werden dabei irreführende Gestaltungen bezeichnet. Der EDSA hat bereits im Jahr 2022 dazu einen Leitfaden herausgebracht (wir berichteten). Der Test soll ca. 10 Minuten dauern und ist derzeit nur auf Französisch verfügbar.

zurück zum Inhaltsverzeichnis

1.10 CNIL: Sanktionen gegen TK-Anbieter aufgrund unzureichender Schutzmaßnahmen

Die CNIL informierte über zwei Beschlüsse über Geldbußen gegen die Unternehmen FREE MOBILE bzw. FREE, da deren Maßnahmen zur Gewährleistung der Sicherheit der Daten ihrer Abonnenten unzureichend waren. Ein Angreifer konnte das Informationssystem des Unternehmens infiltrieren und auf personenbezogene Daten in über 24 Millionen Abonnentenverträgen zuzugreifen, einschließlich der IBAN, wenn die Personen zugleich Kunden von FREE MOBILE und FREE waren.
Aufgrund der besonders hohen Anzahl von mehr als 2.500 Beschwerden führte die CNIL eine Kontrolle durch, bei der Verstöße gegen mehrere Vorgaben aus der DS-GVO (DSGVO) festgestellt wurden.
Im Ergebnis verhängte die CNIL ein Geldbuße 27 Mio. Euro gegen das Unternehmen FREE MOBILE und eine Geldstrafe von 15 Mio. Euro gegen FREE, insbesondere unter Berücksichtigung ihrer finanziellen Fähigkeiten, des mangelnden Bewusstseins für wesentliche Sicherheitsgrundsätze, der Anzahl der betroffenen Personen und der Risiken, die durch das Durchsickern bestimmter Daten (z.B. der IBAN) verursacht werden. Die Vorwürfe umfassten Verstöße gegen angemessene Schutzmaßnahmen (Art. 32 DS-GVO), die fehlende Benachrichtigung betroffener Personen (Art. 34 DS-GVO) und Verstöße gegen die Löschpflicht (Art. 5 Abs. 1 lit. e DS-GVO).

zurück zum Inhaltsverzeichnis

1.11 ICO: Leitlinien für die internationale Übermittlung personenbezogener Daten

Die britische Aufsicht Information Commissioner’s Office (ICO) hat ihre Leitlinien für die internationale Übermittlung personenbezogener Daten aktualisiert. Die aktualisierte Anleitung lege klar die wichtigsten Anforderungen fest, reduziere die Komplexität und unterstütze den verantwortungsvollen Transfer personenbezogener Daten. Neben einer Kurzübersicht finden sich dann ausführlichere Informationen, aber auch Aussagen zu Schutzmaßnahmen und zu Ausnahmen.

zurück zum Inhaltsverzeichnis

1.12 BaFin: Orientierungshilfe zu IKT-Risiken beim Einsatz von KI

Die Finanzaufsicht BaFin hat eine Orientierungshilfe zu IKT-Risiken beim Einsatz von Künstlicher Intelligenz in Finanzunternehmen herausgegeben. Sie will den Unternehmen helfen IKT-Risiken nach den Vorgaben von Digital Operational Resilience Act (DORA) (Verordnung (EU) 2022/2554) zu managen. Finanzunternehmen setzen KI bereits entlang der gesamten Wertschöpfungskette ein. Die Implementierung und der Betrieb von KI-Systemen können jedoch erhebliche Risiken bergen. Aus regulatorischer Sicht seien vor allem die Risiken der Informations- und Kommunikationstechnologie (IKT) relevant. Die Orientierungshilfe dazu ist eine unverbindliche Hilfestellung. Sie soll Finanzunternehmen unterstützen, regulatorische Anforderungen aus DORA beim Einsatz von KI umzusetzen und damit ihre IKT-Risiken effektiv zu managen. Die Orientierungshilfe richtet sich insbesondere an Institute, für die die Capital Requirements Regulation gilt, und an Versicherer, die nach Solvency II beaufsichtigt werden. Besonderes Augenmerk gelte dabei dem IKT-Risikomanagement und dem IKT-Drittparteienrisikomanagement. Die Orientierungshilfe betrachtet die IKT-Risiken entlang des KI-Lebenszyklus. Dieser umfasst die Beschaffung von Daten, die Entwicklung von Modellen und deren Bereitstellung sowie den laufendenden Betrieb und die Stilllegung. Die Sicherheit und Resilienz eines KI-Systems müsse in jeder Phase gewährleistet sein. Neben spezifischen Schutzmaßnahmen für die IKT-Assets ist entscheidend, dass KI-Systeme auch innerhalb des bestehenden IKT-Risikomanagementrahmens berücksichtigt werden. Die Orientierungshilfe berücksichtige auch Erfahrungen der Industrie mit dem Einsatz von KI-Systemen.

zurück zum Inhaltsverzeichnis

1.13 BSI: „Stand der Technik“

Nach § 44 BSiG müssen Einrichtungen der Bundesverwaltung Mindestanforderungen zum Schutz der in der Bundesverwaltung verarbeiteten Informationen erfüllen. Die Mindestanforderungen ergeben sich aus den BSI-Standards und dem Grundschutzkompendium (IT-Grundschutz) sowie aus den Mindeststandards für die Sicherheit in der Informationstechnik des Bundes (Mindeststandards) in den jeweils geltenden Fassungen. Die jeweils geltenden Fassungen werden auf der Internetseite des Bundesamtes veröffentlicht. Die Mindeststandards legt das Bundesamt im Benehmen mit den Ressorts und weiteren obersten Bundesbehörden fest. Der IT-Grundschutz und die Mindeststandards werden durch das Bundesamt regelmäßig evaluiert und entsprechend dem Stand der Technik sowie unter Berücksichtigung der Erfahrungen aus der Praxis und aus der Beratung und Unterstützung fortentwickelt.
Das BSI hat die Anforderungen im Einklang mit dem Stand der Technik hier bereitgestellt. Zudem veröffentlichte das BSI auf GitHub eine „Stand-der-Technik-Bibliothek“, die z. B. auch den Grundschutz++ umfasst.

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 EGMR: Grenzen des Zugriffs der Steuerbehörden auf Bankdaten

Der Europäische Gerichtshof für Menschenrechte befasste sich mit den Zugriffsmöglichkeiten der Steuerbehörden auf Bankdaten. Der Zugang der Steuerbehörden zu den Bankdaten von Einzelpersonen stelle eine schwerwiegende Einschränkung des Rechts auf Respekt für das Privatleben dar und könne nur dann gerechtfertigt werden, wenn er streng gesetzlich geregelt und von wirksamen Verfahrenssicherungen begleitet wird.

zurück zum Inhaltsverzeichnis

2.2 LG Bonn: Auskunftsanspruch auch auf Handakte eines Rechtsanwalts

Das LG Bonn stellte bereits 2023 klar: Auch verjährte Mandatsdaten unterliegen Art. 15 DS-GVO. Eine Verjährung zivilrechtlicher Fristen ändere daran nichts. Eigentlich nichts Ungewöhnliches.
Ich bringe es auch nur deswegen, damit keine Missverständnisse auftreten, denn welche Teil der Handakte davon umfasst sind, muss dann in jedem Einzelfall betrachtet werden, vgl. BGH vom 18.12.2025, wie wir hier berichteten. Mit dem Urteil des BGH befasst sich auch dieser Podcast (Dauer ca. 42 Min.) ab Minute 29.

zurück zum Inhaltsverzeichnis

2.3 VG Berlin: Auskunftsanspruch umfasst auch Daten eines Identitätsdiebstahls

In dem Verfahren hatte der Betroffene Auskunft von einem Unternehmen verlangt, nachdem er Abbuchungen durch dieses Unternehmen auf seinem Konto festgestellt hatte. Er selbst hatte jedoch kein Kundenkonto bei dem Unternehmen. Es stellte sich heraus, dass Dritte unter dem Namen des Betroffenen ein Konto eröffnet und Leistungen gebucht hatten. Also ein Klassiker im Bereich des eCommerce. Der Verantwortliche weigerte sich zunächst Auskunft darüber zu erteilen, wann das Konto von welchem Nutzer angelegt worden sei. Die Berliner Aufsicht sprach zuvor eine Verwarnung wegen Verstoßes gegen Art. 15 DS-GVO aus. Denn auch die durch einen Dritten erzeugten Daten der natürlichen Person, die ein Verantwortlicher zu einem Kundenkonto einer natürlichen Person speichere, seien mit dieser Person verknüpft und auf diese bezogen. Es handele sich damit um personenbezogene Daten dieser natürlichen Person. Diese müsse daher bei einem (auch vermuteten) Identitätsdiebstahl alle in Verbindung mit ihr gespeicherten Daten ausnahmslos beauskunftet bekommen. Das betreffe alle Daten, die diese Person, ihr Kundenkonto, Kontobewegungen, Bestellhistorie etc. betreffen (vgl. den Jahresbericht der Berliner Aufsicht für das Jahr 2020, Seite 148 f, Kapitel 10 Wirtschaft).
Das VG Berlin bestätigte nun diese Ansicht. Es bestehe kein Verweigerungsrecht des Unternehmens (RN. 24). Auch stehe nicht § 29 Abs. 1 s. 2 BDSG entgegen (RN. 25). Die Verwarnung des Unternehmens erfolgte in pflichtgemäßer Ermessensausübung der Aufsicht (RN. 33).

zurück zum Inhaltsverzeichnis

2.4 VG Dresden: Rechtsnatur eines Schreibens einer Aufsicht zur Rechtslage

Ein Schreiben einer datenschutzrechtlichen Aufsichtsbehörde, das lediglich Hinweise zur Rechtslage und hinsichtlich zukünftigen Verhaltens enthält, stellt keinen Verwaltungsakt dar und ist daher rechtlich nicht angreifbar, so das VG Dresden. Inhaltlich ging es um die Darstellung der Rechtslage zu privaten Bildaufnahmen von festgestellten Parkplatzverstößen bei fremden PKW. Die Aufsicht stellte dar, dass nach ständiger Spruchpraxis der Behörde ein Bürger als privater Fotograf nicht berechtigt sei einen fremden PKW bei dessen Parkverstoß zu fotografieren, wenn er nicht selbst betroffen ist. Dazu hat sich sich auch in ihrem Tätigkeitsbericht des Jahres 2019 in der Ziffer 2.2.2 geäußert. Bericht dazu hier.

zurück zum Inhaltsverzeichnis

2.5 LG Berlin: Irreführung bei Arztterminplattform durch Filterfunktion

Der Verbraucherzentrale Bundesverband (vzbv) erstritt vor dem Land Berlin ein Unterlassungsurteil, welches die bisherige Terminbuchung bei Ärzten ändert. Erscheint bei einer Online-Arztterminplattform trotz Auswahl des Filters „Nur Termine mit gesetzlicher Versicherung anzeigen“ weiterhin eine Auswahl von Terminen, die für gesetzlich Versicherte nur als Selbstzahlertermine oder Privatsprechstunden buchbar sind, so stelle dies eine Irreführung der Nutzerinnen und Nutzer dar, weil die Erwartung, ausschließlich nach den Bedingungen der gesetzlichen Krankenversicherung abrechenbare Termine zu erhalten, objektiv enttäuscht werde. Der Filter sei als unlauter im Sinne des § 5 UWG zu bewerten. Ein späterer Warnhinweis reiche nicht aus, so das LG Berlin. Das Urteil ist noch nicht rechtskräftig.

zurück zum Inhaltsverzeichnis

2.6 VG Düsseldorf: LinkedIn-Vernetzung hebelt nicht das UWG aus

In dem Verfahren fühlte sich ein Unternehmer durch eine Werbe-E.-Mail belästigt, der Absender war mit ihm über die Social-Media-Plattform LinkedIn vernetzt. Das VG Düsseldorf lässt keinen Zweifel:
Die nach § 7 Abs. 2 Nr. 2 UWG genannten Maßnahmen der Direktwerbung sind stets als unzumutbare Belästigung anzusehen, wenn nicht eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt. An das Vorliegen einer solchen Einwilligung sind – wie bei der Telefonwerbung auch – strenge Anforderungen zu stellen (RN. 37).
Eine ausdrückliche Einwilligung lag im konkreten Fall nicht vor. Mit dem Erfordernis der ausdrücklichen Einwilligung soll zum Ausdruck gebracht werden, dass eine konkludente Einwilligung nicht ausreicht. Eine mutmaßliche Einwilligung reicht ebenfalls nicht aus. Es kann nach dem VG Düsseldorf demnach dahinstehen, welche Rückschlüsse auf das Bestehen einer mutmaßlichen Einwilligung aus einem (indirekten) Kontakt auf LinkedIn gezogen werden können (RN. 43). Bericht dazu auch hier.

zurück zum Inhaltsverzeichnis

2.7 ArbG Bocholt: Löschpflichten und arbeitsrechtliche Maßnahmen beim Löschen von Katzenfotos

Welche arbeitsrechtlichen Schritte kann ein Arbeitgeber unternehmen, wenn ein Beschäftigter eine Datei löscht? Beim ArbG Bocholt war eine Kündigung Streitgegenstand, weil ein Mitarbeiter Katzenfotos gelöscht haben soll. Der Arbeitgeber ist ein Verein, der sich um das Tierwohl kümmert. Er warf dem angestellten Leiter eines Tierheims vor, eine Datei mit Katzenfotos und eine Bestandsliste mit Impf- und Kastrationsdaten gelöscht zu haben, und kündigte den Leiter daraufhin fristlos.
Arbeitnehmer, die vorsätzlich in Behinderungs- oder Schädigungsabsicht Daten des Arbeitgebers löschen, können ein Problem bekommen. Doch der Arbeitgeber muss die Handlung und den Vorsatz auch irgendwie belegen können.
Das ArbG Bocholt stellt dazu fest, dass vorsätzliches Löschen wichtiger Daten, zum Schutz anderer Arbeitnehmer vor arbeitsrechtlichen Konsequenzen, das Vertrauensverhältnis im Arbeitsverhältnis so nachhaltig und schwerwiegend beschädigen kann, dass ein solches Verhalten einen Grund für eine außerordentliche Kündigung bilden kann (RN. 54). Doch müsse der Arbeitgeber auch darlegen können, was passiert sei. Den Arbeitnehmer könne dazu schon auf der Tatbestandsebene des wichtigen Grundes eine sekundäre Darlegungslast treffen (RN. 53).
Im konkreten Fall konnte der Vortrag des Arbeitgebers nicht zu einer hinreichenden Überzeugung einer nachgewiesenen Tat führen. Der Arbeitgeber konnte laut den Ausführungen in RN. 57 weder darlegen,

• wann eine Löschung in der EDV nachvollzogen werden konnte, noch wann die Datei zum letzten Mal genutzt oder wahrgenommen wurde,
• noch dass eine Datensicherung vorgenommen wurde, so dass auch eine Nutzungschronologie der Datei nicht vorgelegt werden konnte.
• Weiter sei der Rechner offenbar nur durch ein unter Mitarbeitern des Arbeitgebers allgemein genutztes und bekanntes Login-Passwort geschützt, welches über einen längeren Zeitraum nicht mehr geändert wurde.

Eine individuelle, nachvollziehbare Anmeldung sei damit auch nicht nachzuvollziehen. Damit könne einerseits der Zeitraum aber auch andererseits nicht der konkret für einen solchen Vorgang in Betracht kommende Personenkreis eingegrenzt werden. Auch erfolgte keine substantiierte Erklärung, wo genau in den Daten nach der Datei gesucht wurde und welche Maßnahmen versucht wurden, um diese Datei wiederherzustellen. Zudem habe der Arbeitgeber auch nicht vorgetragen, den Kläger zeitnah zur Klärung des Sachverhaltes auf diese Datei angesprochen zu haben. Es bleibt unklar, wer wann zu welchen Zeiten für welche Tätigkeiten die Datei genutzt hat und wann das zuletzt durch wen erfolgte.
Damit war es dem ArbG Bocholt nicht nachvollziehbar möglich den genauen Zeitraum zu konkretisieren, in welchem die Datei entfernt worden sein soll.
Die vorgebrachten Indizien reichen nach der Auffassung des ArbG Bocholt nicht dafür aus, einen Tatvorwurf für einen wichtigen Grund gem. § 626 Abs. 2 BGB zu begründen, so dass es einer Beweisaufnahme hierzu nicht bedurfte. Das Arbeitsverhältnis sei auch nicht durch die hilfsweise ordentliche Kündigung des Beklagten beendet wurde, da ein Kündigungsgrund gem. § 1 Abs. 2 S. 1 KSchG von dem beklagten Verein nicht hinreichend substantiiert dargelegt wurde.
Das Urteil zeigt deutlich, dass ohne eine konsequente Governance der IT-Systeme der Nachweis einer unbefugten Löschung nicht dargelegt werden kann. Ausführliche Darstellung zum Fall auch hier.
Und bei allem: Positiv denken. Mit diesem Fall können auch mal Katzenbilder in einer Awarenessmaßnahme Eingang finden.

zurück zum Inhaltsverzeichnis

2.8 VG Berlin: Kein Recht auf Selbstbelastungsfreiheit für Unternehmen

Gilt der Grundsatz in einem Rechtsstaat „niemand müsse sich selbst belasten“ (“nemo tenetur se ipsum accusare“) auch für Unternehmen? Damit befasst sich das VG Berlin in einem Verfahren. Ein Unternehmen reagierte nicht auf Anfragen der zuständigen Aufsicht zur Beantwortung und Fragen in einem Verfahren. Dabei ging es um Kunden in einem Lettershop-Verfahren.
Das Unternehmen vermietete an Geschäftskunden Adressdaten für postalische Werbung im Wege des sog. Lettershop-Verfahrens. Auf die Beschwerden von drei Kunden des Unternehmens hin verwarnte die Aufsicht das Unternehmen mit bestandskräftigem Bescheid für die Vermietung ihrer Kundendaten im Rahmen des sog. Lettershop-Verfahrens, weil es an entsprechenden Einwilligungen der Kunden fehlte. Als das Unternehmen die auf ihrer Website veröffentlichte Datenschutzerklärung nicht entsprechend den Vorgaben der Verwarnung anpasste, hörte die Aufsicht das Unternehmen mit einem Schreiben zu einem mutmaßlichen Datenschutzverstoß an und ersuchte es um weitere Auskunft im Hinblick auf die Vermietung von Adressdaten seiner Kunden. Das Unternehmen sollte u.a. angeben, wie viele Kundendaten es im vierten Quartal 2019 und dem ersten, zweiten und dritten Quartal 2020 zu Werbezwecken an Dritte (Unternehmen oder Organisationen) vermietet habe und bei seinen Angaben aufschlüsseln, welchen Werbepartnern es wie viele Adressen vermietet habe. Das Unternehmen meldete sich binnen der gesetzten Frist nicht bei der Aufsicht, die ihm für diesen Fall den Erlass eines Auskunftsheranziehungsbescheids angedroht hatte. Das ging dann noch etwas hin und her, ohne dass alle Fragen beantwortet wurden, bis die Aufsicht einen sogenannten Auskunftsheranziehungsbescheid erließ. Gegen den wandte sich das Unternehmen vor dem VG Berlin.
Dabei stellte das VG Berlin fest, die Datenschutzaufsicht nicht verpflichtet sei detailliert auszuführen, für welche der ihr durch Art. 57 DS-GVO zugewiesenen Aufgaben die konkrete Auskunftserteilung erforderlich ist. Entsprechende einschränkende Vorgaben lassen sich weder den Bestimmungen der Datenschutzgrundverordnung noch den nationalen Datenschutzgesetzen entnehmen. Im Übrigen lasse sich den Begründungen zu den behördlichen Schreiben entnehmen, dass das Auskunftsersuchen im Zusammenhang mit der Untersuchung eines mutmaßlichen Datenschutzverstoßes erfolge.
Der Einwand des Unternehmens, der Auskunftsheranziehungsbescheid sei (auch) wegen eines Verstoßes gegen das Bestimmtheitsgebot gemäß § 37 Abs. 1 VwVfG rechtswidrig, weil die Aufsicht mit der Formulierung „Welchen Werbepartnern“ in ihrer Frage nicht hinreichend deutlich gemacht habe, ob diese Werbepartner auch namentlich oder nur mit Platzhaltern benannt werden sollen, sei nicht nachvollziehbar: Die Beklagte fragt hier aus der Perspektive eines objektiven, verständigen Adressaten hinreichend deutlich nach der Identität der Werbepartner der Klägerin, denn sie muss im Rahmen der ihr nach Art. 57 Abs. 1 lit. a DS-GVO obliegenden Aufgaben prüfen, ob weitere Dritte Datenschutzverletzungen im Rahmen des Lettershop-Verfahrens der Klägerin verüben. Hier verblieben im Ergebnis keine Unklarheiten über den Gegenstand des behördlichen Begehrens, die eine rechtlich relevante „Unbestimmtheit“ der Verfügung begründen könnten.
Die behördliche Befugnis zur Auskunftsheranziehung nach Art. 58 Abs. 1 lit. a DS-GVO werde für den Fall der Klägerin nicht durch ein Auskunftsverweigerungsrecht beschränkt, dass den Bescheid nachträglich rechtswidrig gemacht haben könnte. Wie andere spezialgesetzlich normierte Auskunftsverweigerungsrechte trage § 40 Abs. 4 Satz 2 BDSG dem Grundsatz der Selbstbelastungsfreiheit (“nemo tenetur se ipsum accusare“) Rechnung,  den das Bundesverfassungsgericht als – im Rechtsstaatsprinzip verankerten – Teil des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG anerkennt. Der Einzelne soll vom Staat grundsätzlich nicht in eine Konfliktlage gebracht werden, in der er sich selbst strafbarer Handlungen oder ähnlicher Verfehlungen bezichtigen muss. Ein Zwang zur Selbstbezichtigung berührt die Würde des Menschen, dessen Aussage als Mittel gegen ihn selbst verwendet wird. Nach der Rechtsprechung des Bundesverfassungsgerichts schließt Art. 19 Abs. 3 GG für juristische Personen einen Schutz vor einem derartigen Zwang aber aus. Eine Lage, wie sie dieser Zwang für natürliche Personen heraufbeschwört, kann bei juristischen Personen nicht eintreten. Diese bilden ihren Willen nur durch Organe und unterliegen im Hinblick auf Straftaten und Ordnungswidrigkeiten nur einer eingeschränkten Verantwortlichkeit.
Gemessen daran gilt auch das Auskunftsverweigerungsrecht des § 40 Abs. 4 Satz 2 BDSG nur für Auskunftspflichtige persönlich und stehe juristischen Personen nicht zu. Letztere können sich selbst nicht strafbar machen und das Festsetzen einer Geldbuße gegen sie enthält – für den Schutz vor Selbstbezichtigung wesentlich – weder einen Schuldvorwurf noch eine ethische Missbilligung. Beschäftigte und Leitungspersonen eines Unternehmens können sich folglich auf das Auskunftsverweigerungsrecht nur dann berufen, wenn ihnen persönlich strafrechtliche Verfolgung oder ein Bußgeld drohen, d.h., das Auskunftsersuchen muss sich auf das konkrete Verhalten der auskunftspflichtigen Person beziehen, welches möglicherweise eine Straftat oder Ordnungswidrigkeit darstellt. Die Gefahr, dass dem jeweiligen Unternehmen ein Bußgeld nach Art. 83 DSGVO droht, reicht hingegen nicht aus.
Für den konkrete Fall vor dem VG Berlin bedeutet dies, dass das Unternehmen dem Auskunftsheranziehungsbescheid kein Auskunftsverweigerungsrecht entgegenhalten kann. Der Bescheid nimmt das Unternehmen selbst in Anspruch und richtet sich nicht gegen einen seiner Beschäftigten oder dessen Geschäftsführung und dessen persönliches Verhalten im Rahmen des Lettershop-Verfahrens. Straf- oder Ordnungswidrigkeitenverfahren gegen natürliche Personen sind weder eingeleitet noch angekündigt.
Das Urteil ist noch nicht rechtskräftig.

zurück zum Inhaltsverzeichnis

2.9 BFH: Anforderung an Klage auf Schadenersatz aus Art. 82 DS-GVO im Besteuerungsverfahren

Der BFH stellt im konkreten Fall fest, dass die (finanzgerichtliche) Klage auf Schadenersatz nach Art. 82 DS-GVO unzulässig ist, wenn es an einer vorherigen Ablehnung des Anspruchs seitens der Finanzbehörde und damit an einer für die Klageerhebung notwendigen Beschwer fehlt.

zurück zum Inhaltsverzeichnis

2.10 BFH: Zulässigkeit der Verarbeitung personenbezogener Daten im Besteuerungsverfahren

Im Rahmen des Verfahren befasste sich der Bundesfinanzhof (BFH) mit der Frage der Zulässigkeit der Verarbeitung personenbezogener Daten im Besteuerungsverfahren gemäß § 29b AO (Abgabenordnung). Laut BFH legitimiere § 29b AO die Finanzbehörde, unter den dort genannten Voraussetzungen für sämtliche das Steuerverfahrensrecht betreffende Maßnahmen personenbezogene Daten zu verarbeiten. § 29b AO genüge den Vorgaben des Art. 6 Abs. 3 DS-GVO und verletzt nicht das unionsrechtliche Normwiederholungsverbot. Auch verstoße § 29b AO weder gegen das Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) noch gegen das Recht auf Schutz personenbezogener Daten gemäß Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union.
Im Verfahren ging es um eine Außenprüfung bei einem Rechtsanwalt zur Einkommen- und Umsatzsteuer. Das Finanzamt forderte den Rechtsanwalt auf bis zum Prüfungsbeginn die Auszüge seines betrieblichen Bankkontos zu übersenden. Nachdem dieser der Aufforderung nicht nachgekommen war, ersuchte das Finanzamt unter Hinweis auf § 97 Abs. 1 Satz 1 und 3 i.V.m. § 93 Abs. 1 Satz 3 AO das kontoführende Geldinstitut um Vorlage der Kontoauszüge. Diesem Ersuchen kam das Geldinstitut nach. Der Rechtsanwalt wandte sich dagegen und machte geltend, § 97 AO genüge nicht den Anforderungen des Art. 6 Abs. 3 DS-GVO. Es fehle daher an einer rechtmäßigen Verarbeitung der ihn betreffenden persönlichen Daten.
Das Finanzamt wies die Eingabe des Klägers, die es als Widerspruch gegen die Verarbeitung personenbezogener Daten gemäß Art. 21 Abs. 1 DS-GVO wertete, zurück. Die Datenverarbeitung sei nach Art. 6 Abs. 1 Satz 1 lit. e, Abs. 3 Satz 1 lit. b DS-GVO i.V.m. § 29b Abs. 1 AO rechtmäßig. Die Verarbeitung der Daten diene der Ermittlung der Besteuerungsgrundlagen im Rahmen einer Außenprüfung. Die Klage zum Finanzgericht, mit der der Kläger ein Recht auf Löschung seiner personenbezogenen Daten gemäß Art. 17 Abs. 1 lit. d DS-GVO beanspruchte und hilfsweise seinen Widerspruch gemäß Art. 21 Abs. 1 DS-GVO weiterverfolgte, hatte keinen Erfolg. Das Finanzgericht wies die Klage mit in veröffentlichtem Urteil im Haupt- und Hilfsantrag ab (hier in Entscheidungen der Finanzgerichte (EFG) 2022, 1 ab Seite 6 des PDF veröffentlicht).
Der BFH sieht das Erfordernis eines Vorabentscheidungsersuchen an den EuGH gemäß Art. 267 Abs. 3 AEUV für nicht geboten (ab RN. 82).
So böten laut BFH sowohl die sprachlichen Fassungen von Art. 6 Abs. 2 und Abs. 3 Satz 3 DS-GVO als auch der der DS-GVO vorangestellte und insoweit maßgebliche Erwägungsgrunds 45 für den Senat hinreichend Anlass, zweifelsfrei annehmen zu können, dass der nationale Gesetzgeber unionsrechtlich befugt war, § 29b AO als abstrakten Erlaubnistatbestand für die Verarbeitung personenbezogener Daten auszugestalten. Präzisierungen zu den unionsrechtlichen Erlaubnistatbeständen seien hiernach ausdrücklich ins Ermessen der nationalen Gesetzgeber gestellt. Zudem gestattet Satz 3 des der DS-GVO vorangestellten Erwägungsgrund 45 ausdrücklich, dass ein (nationales) Gesetz – vorliegend § 29b AO – „Grundlage für mehrere Verarbeitungsvorgänge“ sein kann, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist.
Wer sich für diese Thematik interessiert, der seien die Entscheidung des EGMR und die Vorlage beim EuGH zu den Konkretisierungen bei Zweckangaben in nationalen Normen empfohlen (Bericht dazu hier).

zurück zum Inhaltsverzeichnis

2.11 BGH: Tatbestandsmerkmal „Vermögensschaden“ bei Computerbetrug nach § 263a StGB

Für eine Strafbarkeit nach § 263a StGB (Computerbetrug) ist es erforderlich, dass das Vermögen eines anderen dadurch beschädigt wird. Der BGH stellte nun in einem Verfahren fest, dass durch „Cardsharing“ (illegales IPTV) kein Vermögensschaden vorliegt. Laut Wikipedia bedeutet Cardsharing (englisch für Karte teilen; deutsch Kartenfreigabe oder gemeinsamer Kartenzugriff), dass beim Pay-TV eine einzige Entschlüsselungskarte in mehreren Empfängern gleichzeitig verwendet wird.
Der BGH befasst sich mit dem Vermögensschaden ausführlicher ab RN. 17 seiner Entscheidung. Er legt dar, das im Hinblick auf eine Gesamtsaldierung des Vermögens der Pay-TV-Anbieter durch den unbefugten Abruf der Programminhalte seitens der Cardsharing-Kunden kein Vermögenswert aus dem Vermögensbestand des Pay-TV-Anbieters ausscheidet. Zwar wurden die Programminhalte als „entschlüsselter Datenstrom“ des Pay-TV-Anbieters anderen Personen unbefugt zur Verfügung gestellt. Dies hatte aber keine Auswirkungen auf dessen allgemeine Sendekapazitäten. Der Pay-TV-Anbieter war auch nicht daran gehindert Abonnements mit Neukunden abzuschließen; ebenso wenig wurde dadurch die Vertragserfüllung gegenüber den Bestandskunden beeinträchtigt. Mit der digitalen Weiterleitung der Kontrollwörter an Dritte zum Zwecke der Entschlüsselung war schließlich weder ein Vermögensabfluss beim Pay-TV-Anbieter verbunden noch – wie etwa bei einem vorübergehenden Sachentzug einer Sache – dessen Dispositionsmöglichkeit beeinträchtigt.
Eine umfassende Darstellung auch im Hinblick auf andere Straftatbestände findet sich hier, etwas kürzer dort.

zurück zum Inhaltsverzeichnis

2.12 EuGH: Klagerücknahme hinsichtlich Weitergabe Positivdaten durch Mobilfunkprovider

Aufgrund einer Klagerücknahme durch den Kläger und der Zustimmung der Beklagtenseite sind die von dem Gericht dem EuGH vorgelegten Rechtsfragen für die Entscheidung dieses Rechtsstreits nicht mehr erheblich. Der Aussetzungsbeschluss wurde nun vom LG Lübeck aufgehoben und die Vorlage zurückgenommen.

zurück zum Inhaltsverzeichnis

2.13 EuGH-Vorschau: Urteil zur Klagemöglichkeit gegen Beschlüsse des EDSA

Für den 10. Februar 2026 wird das Urteil des EuGH im Verfahren C-97/23 P (WhatsApp gegen den EDSA), inwieweit Beschlüsse des EDSA direkt gerichtlich überprüfbar sind, erwartet. Die Generalanwältin Ćapeta sprach sich in ihren Schlussanträgen bereits dafür aus. In dem Verfahren geht es um die Überprüfung der Entscheidung des EuG (T-709/21).

zurück zum Inhaltsverzeichnis

2.14 EuGH: Neuer Webseitenauftritt

Er ist etwas gewöhnungsbedürftig, der neue Webseitenauftritt des EuGH. Sehen Sie selbst. So vermisse ich den Kalender, der für die kommenden Wochen die Termine ankündigte. Aber der soll wohl wieder kommen. Verbessert wurden die Suche und die Darstellung der Ergebnisse und die damit verbundenen Dokumente. Bei „Gegenstand“ kann unter „Grundsätze des Unionsrechts“ ein Haken bei „Schutz personenbezogener Daten“ gesetzt werden und es wird eine Liste der Rechtssachen jeweils mit Status angezeigt. Dazu gibt es auch ein 7-minütiges Erklärvideo.

zurück zum Inhaltsverzeichnis

2.15 EuG: Einstellung SRB gegen EDPS (T-557/20 RENV)

Wie das EuG am 19.12.2025 mitteilte, wurde das Verfahren T-557/20 RENV auf Antrag der klagenden SRB und der Bestätigung des beklagten EDPS beendet wurde und aus dem Register entfernt.
Der EuGH hatte bereits in C-413/23 P entschieden, dass pseudonymisierte Daten für die abgebende Einheit weiterhin personenbezogene Daten bleiben und darüber zu informieren sei. Wir berichteten dazu. Offen blieb, ob und unter welchen Voraussetzungen im konkreten Fall beim Empfänger dann ein Personenbezug anzunehmen sei oder ab wann sie als anonym bezeichnet werden können.
Damit befasst sich das EuG nun nicht mehr.
Im Zuge der Verfahrensbeendigung teilte auch die EU-Kommission als Verfahrensbeteiligte dem Gerichtshof mit, dass sie keine Bemerkungen zum Antrag auf Einstellung habe. Das wäre eine Chance gewesen für mehr Rechtssicherheit zu sorgen.

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 Mercosur und Datenschutz

Das Mercosur-Abkommen zwischen der EU und den Staaten Argentinien, Brasilien, Paraquay und Uruguay wird in der Öffentlichkeit meist unter dem Blickwinkel der Handelserleichterungen wahrgenommen. In Artikel 6.5 des Partnerschafts-Abkommens finden sich aber auch Regelungen zum Umgang mit personenbezogenen Daten. Dass das Abkommen auch auf ein transparentes und vorhersehbares regulatorisches Umfeld und effiziente Verfahren für Wirtschaftsteilnehmer abzielt und dabei explizit auch Datenschutz aufgeführt wird (vgl. Artikel 9.2 (m) des Partnerschafts-Abkommens), erwartete nicht jede:r. Warten wir mal ab, wie sich dann auswirkt, z.B. bei Transfer Impact Assessments im Rahmen eines Drittstaatentransfers.

zurück zum Inhaltsverzeichnis

3.2 Entwurf eines Durchführungsgesetzes zum Data Governance Act

Jetzt gibt es wieder einen aktualisierten Entwurf eines Gesetzes zur Durchführung der EU-Verordnung über europäische Daten-Governance (Daten-Governance-Gesetz – DGG), diesmal vom BMDS. Mit dem Daten-Governance-Rechtsakt soll die Nutzung von geschützten Verwaltungsdaten erleichtert, die Rolle von Datenvermittlungsdiensten als neutrale Akteure im Datenaustausch zwischen Unternehmen geregelt und das Vertrauen in die Datennutzung sog. datenaltruistischer Organisationen gestärkt werden. Um die Verpflichtungen aus dem Daten-Governance-Rechtsakt vollständig und bundeseinheitlich zu erfüllen, sind aber zusätzliche gesetzliche Durchführungsbestimmungen erforderlich. Dafür wird mit dem Daten-Governance-Gesetz ein neues Durchführungsgesetz vorgeschlagen.
Gegenstand des DGG sind dabei insbesondere folgende Regelungsinhalte:

• Die BNetzA wird als zuständige Aufsichtsbehörde für Datenvermittlungsdienste und für datenaltruistische Organisationen vorgesehen.
• Das Statistische Bundesamt wird als zuständige Stelle für die Unterstützung datenhaltender, öffentlichen Stellen und außerdem als zentrale Informationsstelle vorgesehen.
• Der Gesetzentwurf normiert darüber hinaus unionsrechtlich notwendige Bußgeldtatbestände.

Weiteres zum Gesetzgebungsverfahren findet sich hier.

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 bitkom: Umsetzungsleitfaden zur KI-VO

Der bitkom bietet einen Umsetzungsleitfaden zur KI-VO an. Er soll Unternehmen, die KI-Systeme in Verkehr bringen oder betreiben, dabei unterstützen, die rechtlichen Vorgaben der KI-VO zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz erfolgreich und im Sinne des Gesetzgebers zu implementieren. Bei dem Dokument handelt es sich bereits um die Version 2.0. In dieser Version wurden die bis Anfang Januar 2026 erfolgten Klarstellungen durch Leitlinien der EU-Kommission und sonstige Entwicklungen zu folgenden Themen eingearbeitet: KI-Definition (Kapitel 3), Abgrenzung GPAI-Modell/-System (Kapitel 3), Konkretisierung verbotener Praktiken (Kapitel 4 und 5), Transparenzanforderungen bei Deepfakes (Kapitel 7), Exkurs zum Code of Practice (Kapitel 10) und Standardisierung (Kapitel 11).
Der Leitfaden ist außerdem in ein Click-Through-Tool überführt worden, das die umfassenden Ausführungen zusammenfasst und die Prüfungsschritte übersichtlich darstellt. Das Tool bildet alle Prüfschritte des Leitfadens ab und verweist für detaillierte Informationen auf den Leitfaden.

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 Entgelttransparenzrichtlinie und Datenschutz

Die Entgelttransparenzrichtlinie (ET-RL) wird dieses Jahr mehr Dynamik in das Thema gleiche Bezahlung für gleiche oder gleichwertige Tätigkeit als das bisherige Entgelttransparenzgesetz (ET-G) bringen. Gleichzeitig steigen die datenschutzrechtlichen Anforderungen rund um die zu verarbeitenden Entgeltdaten. Dieser Blog-Beitrag vergleicht Auskunftsrecht und Berichtspflichten der ET-RL und ET-G und beleuchtet zentrale Datenschutzfragen. Der Beitrag befasst sich nicht mit ebenfalls relevanten Themen der Informationspflicht (Art. 5 ET-RL) und der gemeinsame Entgeltbewertung (Art. 10 ET-RL).

zurück zum Inhaltsverzeichnis

5.2 Änderungen der Eigentümerstruktur bei Threema

Welche Änderung der Austausch der Gesellschaft bei dem Messenger-Dienst Threema haben, wird hier ausgeführt. Danach soll sich bei dem schweizer Anbieter rechtlich nichts ändern.

zurück zum Inhaltsverzeichnis

5.3 KI und Biometrie

Mit den rechtlichen Fragestellungen der Kombination von Biometrie und KI befasst sich dieser Blog-Beitrag einer Kanzlei. Es geht um Erlaubtes, Verbotenes und die Kennzeichnungspflicht.

zurück zum Inhaltsverzeichnis

5.4 Konzerngesellschaften und NIS2

Wie relevant wird NIS2 für Konzerne oder Unternehmensgruppen, die eine eigene IT-(Service) Gesellschaft betreibt, die verschiedene IT-Anwendungen ausschließlich für andere Konzerngesellschaften bereitstellt? Werden dadurch die Anforderungen an „Managed Service Provider“ (MSP) nach § 2 Nr. 26 BSIG eröffnet? Das BSI hat sich mit dieser Frage bereits befasst. Aber wie interpretieren es Aufsichtsbehörden in anderen europäischen Ländern? Das betrachtet dieser Blog-Beitrag einer Kanzlei.

zurück zum Inhaltsverzeichnis

5.5 Veranstaltungen

5.5.1 EDPS: Data Protection Day 2026: Reset or refine?

28.01.2026, 09:00 – 18:45 Uhr, Brüssel und online: Der Datenschutztag (28. Januar) erinnert an die Unterzeichnung des Übereinkommens Nr. 108, dem ersten rechtsverbindlichen Vertrag zum Schutz der Privatsphäre im digitalen Zeitalter. Aus diesem Anlass organisieren der Europarat (CoE) und der Europäische Datenschutzbeauftragte (EDPS) gemeinsam eine eintägige Veranstaltung, die sich mit den neuen Herausforderungen im Bereich des Datenschutzes befasst. Weitere Informationen zum Programm hier und Anmeldung dort.

zurück zum Inhaltsverzeichnis

5.5.2 BlnBfDI: Anonymisierung und Pseudonymisierung – Risiken mindern, Daten nutzen?

28.01.2026, 13:00 – 18:00 Uhr, Berlin: Im Rahmen des Europäischen Datenschutztages thematisiert die Berliner BfDI mit „Anonymisierung und Pseudonymisierung“ die beiden essenziellen Werkzeuge für den verantwortungsvollen Umgang mit personenbezogenen Daten. Richtig angewendet, ermögliche ihr Einsatz es der Wissenschaft, Wirtschaft und Verwaltung Daten zu nutzen und gleichzeitig den Datenschutz zu wahren. 
Auf der Veranstaltung werden Ergebnisse der Untersuchung der Datenschutzkonferenz vorgestellt und mit Fachleuten aus Wissenschaft, Wirtschaft und Verwaltung diskutiert. Zahlreiche Forschungsprojekte erhalten zudem Gelegenheit ihre spezifischen Verfahren zur Anonymisierung und Pseudonymisierung personenbezogener Daten vorzustellen. Weitere Informationen und Anmeldung dazu hier.

zurück zum Inhaltsverzeichnis

5.5.3 Institut für Internet und Gesellschaft: Tool zur Verwaltung von Online-Einwilligungen

28.01.2026, 16:00 – 18:30 Uhr, Berlin: Auf dieser Veranstaltung im Institut für Internet und Gesellschaft geht es um den Launch eines Tool (Consenter), dem ersten offiziell anerkannten Dienst zur Verwaltung rechtskonformer, vertrauenswürdiger Einwilligungen (wir berichteten). Consenter wurde von der akademischen Ausgründung Law & Innovation auf Grundlage eines mehrjährigen interdisziplinären Forschungsprozesses am Einstein Center Digital Future, der Universität der Künste sowie dem Alexander von Humboldt Institut für Internet und Gesellschaft entwickelt. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.5.4 EAID zum „Digital‑Omnibus“

28.01.2026, 19:00 – 20:30 Uhr, Berlin: Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) lädt herzlich zur Veranstaltung anlässlich des Europäischen Datenschutz‑Tages 2026 ein. Im Mittelpunkt des Abends steht der kürzlich von der Europäischen Kommission vorgestellte „Digital‑Omnibus“, mit dem zahlreiche europäische Rechtsakte im Digitalbereich aktualisiert und angepasst werden sollen. Der besondere Fokus liegt dabei auf den vorgesehenen Änderungen der Datenschutz‑Grundverordnung (DS-GVO). Handelt es sich um eine notwendige Harmonisierung und Vereinfachung oder kommt der Datenschutz dabei „unter die Räder“, wie Kritikerinnen und Kritiker meinen? Wegen der begrenzten Platzzahl wird um Anmeldung per E-Mail gebeten an anmeldung-26-01-28@eaid-berlin.de.
Weitere Informationen dazu hier.

zurück zum Inhaltsverzeichnis

5.5.5 Webinar zum Digital Omnibus

29.01.2026, 12:00 – 14:00 Uhr, Leuven und online: Thematisiert wird bei diesem Webinar der RAIL (Rechtswissenschaftliche Gesellschaft für Künstliche Intelligenz und Robotik e.V. / Robotics & AI Law Society (RAILS) e.V.) und dem Centre for IT and IP Law (CiTiP) der Digital Omnibus, der Vorschlag der Kommission zur Vereinfachung und Harmonisierung der Anforderungen in der DSGVO, im KI-Gesetz, in der ePrivacy-RL, in NIS2 und im Data Act. Angesprochen werden insb. Überlegungen zu

• vereinfachten Zustimmungsmechanismen und Cookie-Regeln,
• Klarstellungen zur Umsetzung der KI-VO, einschließlich erweiterter Flexibilität für KMU,
• harmonisierte DSFA-Anforderungen über die Mitgliedstaaten hinweg und
• Klarstellungen zur Verarbeitung personenbezogener Daten für wissenschaftliche Forschung und KI-Entwicklung.

Weitere Informationen auch zur Anmeldung finden sich hier.

zurück zum Inhaltsverzeichnis

5.5.6 Stiftung Datenschutz – Datenschutz am Mittag: Ergebnisse der BfDI-Konsultation

29.01.2026, 13:00 – 14:00 Uhr, online: Large Language Models (LLM) werden mit enormen Datenmengen trainiert. Was bedeutet das für den Schutz personenbezogener Daten? Der Europäische Datenschutzausschuss hat festgestellt, dass LLMs personenbezogene Daten „memorisieren“ können. Damit rücken zentrale datenschutzrechtliche Fragen rund um Entwicklung, Training und Nutzung dieser Modelle in den Fokus. Im Rahmen einer öffentlichen Konsultation hat die BfDI praktische Erfahrungen, technische Einschätzungen und normative Perspektiven von Expert:innen eingeholt. Über diese wird berichtet.
Weitere Informationen auch zur Anmeldung finden sich hier.

zurück zum Inhaltsverzeichnis

5.5.7 Universität des Saarlandes – Öffentliche Vorlesung: Datenschutz in der Praxis

03.02.2026, 18:00 – 19:30 Uhr, online: Die Landesbeauftragte für den Datenschutz des Landes Sachsen-Anhalt gibt aktuelle Einblicke in die Arbeit einer unabhängigen Datenschutzaufsichtsbehörde.
Weitere Informationen und Teilnahmelink dazu hier.

zurück zum Inhaltsverzeichnis

5.5.8 Universität Kassel „Digitale Gesellschaft – Eine Gestaltungsaufgabe“ (Wintersemester 2025 / 2026)

In (ursprünglich) fünf Beiträgen aus unterschiedlichen Disziplinen beleuchten die Vorträge komplexe Fragen der Gestaltung der Technik der Zukunft. Dahinter stehen konkrete Einzelprobleme – aber immer auch die Frage: Wie wollen wir in Zukunft leben? Zwei Vorträge gibt es in Präsenz in Kassel, alle anderen erfolgen online:

• 11.02.2026, 17:00 Uhr (online): „Zwischen Halluzination und Realität: KI-Regulierung entlang der Wertschöpfungskette“

Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.5.9 Vortragsreihe „Zukunftsdialog KI und Recht“ der SRH University Heidelberg

In der Veranstaltungsreihe der SRH University Heidelberg werden an verschiedenen Terminen verschiedene Themen vor Ort und online diskutiert. Mehr dazu hier. Das vollständige Programm ist hier hinterlegt. Der Zugangs-Link wird nach Anmeldung am Tag vor der Veranstaltung verschickt:

• 19.02.2026, 16:00 – 18:30 Uhr: „Verantwortung & Haftung im KI-Zeitalter“
  Zwei Impulsvorträge zu „Entscheidungen durch Maschinen: Zurechnung und Haftung“ und „Menschliche Aufsicht & Kontrolle: Anforderungen, Grenzen und Zukunftsmodelle“.
• 16.04.2026, 16:00 – 18:30 Uhr: „Kreativität, Markt & Macht“
  Drei Impulsvorträge zu „Autorenschaft neu denken: Urheberrecht im KI-Zeitalter“, „KI, Markt und Macht: Wettbewerb im digitalen Zeitalter“ und „Europa als KI-Kontinent: Digitale Souveränität, Regulierung und globale Handlungsfähigkeit“.

zurück zum Inhaltsverzeichnis

5.5.10 Gautinger Internettreffen: Digitale Souveränität in der Jugendarbeit

24./25.03.2026, ab 18:00 Uhr, Gauting: Das Thema digitale Souveränität spielte in den letzten Jahren nur eine nachrangige Rolle in der öffentlichen Debatte – doch es ist ein immens wichtiges Anliegen, wie u.a. der Ausfall der AWS-Server im Oktober 2025 bewies, der diverse Dienste wie Signal, Slack und Snapchat beeinträchtigt hat. Auch bei Hard- und Software-Lösungen in der Bildungsarbeit (Dominanz von Microsoft 365 sowie iPad- bzw. Windows-Laptop-Klassen), bei Suchmaschinen (Google), KI-Tools (OpenAI) oder im Social Web (Meta) wird Monopolen bzw. Oligopolen oft sehr unkritisch gegenübergestanden, obwohl es alternative Lösungen gibt. Beim git26 (26. Gautinger Internettreffen) im März 2026 wird unter dem Titel „Digital und selbstbestimmt“ die Frage gestellt, wie eine souveräne Mediennutzung in der Jugendarbeit, der Schule und der Medienpädagogik gestaltet werden kann. Weitere Informationen hier und die Anmeldung dort.

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 AWS: “European Sovereign Cloud“

Die Tatsache der feierlichen Eröffnung einer „European Sovereign Cloud“ durch einen US-amerikanischen Hyperscaler wurde sehr kontrovers kommentiert. Die einen sehen ein weiteres Merkmal einer Unabhängigkeit europäischer Nutzer, die anderen eine Vertiefung der Abhängigkeit von US-amerikanischen Anbietern. Einen Überblick zur Diskussion gibt es hier.

zurück zum Inhaltsverzeichnis

6.2 Sammelklagenaufruf durch Radiosender

Das bemerkenswerte an dieser Information ist, dass es nicht über die üblichen Akteure der Zivilgesellschaft erfolgt, sondern, dass hier ein Radiosender, dessen Zielgruppe eher der jüngere Bevölkerungsanteil ist, auf eine Sammelklage gegen den Betreiber von sozialen Medien hinweist.

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 Snapchat: Struktur des Grauens

In diesem Blog-Beitrag wird über Untersuchungen der Risiken der bei Kindern beliebten Social-Media-App Snapchat berichtet. Und zwar nicht über einzelne Inhalte, sondern über die Struktur dahinter. Dabei wird ein Plattformdesign festgestellt, das Missbrauch erleichtert:

• Kontaktaufnahme ohne echte Hürden
• Fremde wirken vertraut, Nähe entsteht sehr schnell
• Nachrichten verschwinden genau dort, wo Schutz und Nachvollziehbarkeit nötig wären
• Grenzverschiebungen passieren schleichend
• Screenshots bedeuten Kontrollverlust
• Sextortion ist kein Ausnahmefall, sondern ein strukturelles Risiko
• Gruppenchats beschleunigen Bloßstellung, statt sie zu stoppen

Hinzu kommen Mechaniken wie Streaks, die täglichen Kontakt erzwingen, Standortfunktionen, die reale Nähe für Unbekannte herstellen und Filter, die das Selbstbild verzerren. Und (fast schon „natürlich“) ein KI-Chatbot, der völlig verantwortungslos Nähe simuliert. Im Ergebnis empfiehlt der Autor die Altersgrenze von 16 Jahren. Schöner Aufhänger: „Täterschutz by design“.

zurück zum Inhaltsverzeichnis

7.2 USA: Und was noch alles geschah …

Hier eine kleine Sammlung der Ereignisse und Berichte aus den USA der letzten Wochen. Und dazu erinnere ich mich an eine Rückmeldung einer Bekannten nach einer dienstlichen USA-Reise im Jahr 2025: „Weniger Regulatorik und Datenschutz sind gute Begleiter“ – und an das bekannte Zitat des Malers Max Liebermann zum Januar 1933.
Unliebsame Journalist:innen werden durch das Weiße Haus an den Pranger gestellt, wenn deren Berichte nicht den Erwartungen der Trump-Adminstration entsprechen. Die NY Times berichtet (hinter einer Bezahlchranke) über den Benefit, den Spender aus der Tech-Industrie durch die aktuelle Politik erhalten. Passend dazu auch diese Dokumentation in der ARD Mediathek (Dauer 59 Min.). Und die Einsätze der ICE, die Aktivitäten in Venezuela oder Aussagen und Aktionen zu Grönland lasse ich bewusst schon mal weg.
Spannend wird es jedenfalls, wenn der EuGH sich dann mit der Klage Latombes zum TADPF befasst (C-703/25 P, wir berichteten).

zurück zum Inhaltsverzeichnis

7.3 bitkom: Studie „Eltern in der digitalen Welt“

Dieser Studienbericht zu einer Umfrage aus dem Jahr 2025 zeigt, wie früh digitale Geräte Einzug in den Familienalltag halten und wie intensiv Eltern versuchen die Chancen und Risiken in Balance zu bringen. Er versucht einen Einblick in aufgestellte Regeln rund um Smartphones, in Sorgen um Social Media und Mobbing sowie in das Ringen um die angemessene Begleitung zwischen Kontrolle und Vertrauen zu geben. Viele Eltern fühlen sich in der digitalen Erziehung sicher – während ein erheblicher Teil noch damit ringt mit der Geschwindigkeit neuer Technologien mitzuhalten. Die überwiegende Mehrheit der Eltern sieht die Politik in der Verantwortung die digitale Bildung in Deutschland entscheidend voranzubringen. 65 Prozent fordern dringend mehr finanzielle Mittel, um Schulen besser auszustatten. Der Bericht enthält Tipps für Eltern.
Auch bei den Lehrkräften wünschen sich viele Eltern mehr Engagement: 63 % sprechen sich dafür aus, dass digitale Weiterbildung für Lehrkräfte verpflichtend werden sollte. Zudem plädiert eine deutliche Mehrheit dafür digitale Inhalte strukturell zu verankern: 62 % wollen Informatik als Pflichtfach für alle Schüler:innen. Diese Forderungen zeigen laut bitkom: Eltern erwarten von der Bildungspolitik konkrete und verbindliche Maßnahmen, um Kinder besser auf eine zunehmend digitale Zukunft vorzubereiten.
Warum wird eigentlich bei solchen Umfragen nicht nach der Verantwortung der Anbieter und Hersteller gefragt? Fehlt Art. 25 DS-GVO in der Wahrnehmung des bitkom?

zurück zum Inhaltsverzeichnis

7.4 Mit Werbedaten kann ja nichts passieren

Seit der Veröffentlichung eines Rechercheteams, wie aussagekräftig harmlose Werbedaten sein können, bemerken dies immer mehr Einrichtungen. Hier berichtet eine französische Zeitung darüber. Mit leicht zugänglichen Werbedaten konnte sie die Identitäten, Wohnadressen und täglichen Routinen von mehreren Dutzend Personen identifizieren, die für sensible offizielle Stellen arbeiteten, darunter französische Geheimdienstoffiziere, Macron-Mitarbeiter, Elite-Polizisten, Militärangehörige auf Atomwaffenstützpunkten, Führungskräfte von Verteidigungsunternehmen, Gefängnispersonal und Kernkraftwerkspersonal. So berichtet* die Zeitung auch, welche Apps den Standort der Benutzer ohne ihr Wissen verfolgen.

* Franks Anmerkung: Leider hinter einer Bezahlschranke, aber hier finden Sie freie Beiträge mit weiterführenden Infromationen und Tipps aus dem Rechercheteam.

zurück zum Inhaltsverzeichnis

7.5 Drei Wochen ohne Smartphone

„Nicht Quatschen – Machen“. Dieser Spruch, der mir eher im Kontext von fraglichen Marketingaktivitäten in Erinnerung geblieben ist, passt hier noch besser: In einem Experiment untersuchten Schüler:innen in Österreich freiwillig, wie sie drei Wochen lang ohne Smartphone auskommen. Nach teilweise erwartungskonformen Anlaufschwierigkeiten (wie Entzugserscheinungen) in den ersten Tagen berichteten die Jugendlichen nach ein paar Tagen von besserem Schlaf, mehr Zeit für Gespräche, Familie und Freunde, Lesen als wiederentdecktes Hobby und einer „neuen Form von Freiheit“! Wer dies auch probieren will, findet hier Tipps dazu. Und wer das Experiment begleiten will, liest da. Auch für diejenigen, die so ein Experiment organisieren möchten, gibt es dort Tipps.

zurück zum Inhaltsverzeichnis

7.6 ACT ON! aktiv + selbstbestimmt online

Seit 2015 untersucht das JFF – Institut für Medienpädagogik, wie 10- bis 14-jährige digitale Räume nutzen und wie Fachkräfte aus der pädagogischen Praxis sie darin unterstützen können. In der Ausgabe BzKJAKTUELL 4/2025 stellen zwei medienpädagogischen Referentinnen das Projekt „ACT ON! – aktiv + selbstbestimmt online“ vor. Im Fokus stehen die Perspektiven der Jugendlichen: Welche Plattformen prägen ihren Alltag? Welche Risiken nehmen sie wahr? Welche Unterstützung wünschen sie sich? ACT ON! verbindet dabei Monitoring, Forschung, Praxis und Qualifizierung. Im Mittelpunkt stehen die sogenannten „Lücke-Kinder“ zwischen 10 und 14 Jahren. Eine Altersgruppe im Übergang zwischen Kindheit und Jugend, die Medien intensiv für Identitätsarbeit, Gemeinschaft und Orientierung nutzt, aber oft ohne altersgerechte Angebote auskommen muss. Ein Schwerpunkt des Beitrags beschäftigt sich zudem mit digitalen Körpernormen und Optimierungsdruck. Kinder und Jugendliche begegnen häufig idealisierten Körperbildern, Filtern, Fitnessprofilen und widersprüchlichen Botschaften zwischen Body Positivity und Schönheitsnormen.

zurück zum Inhaltsverzeichnis

7.7 Talkrunde: Handyverbot für Kinder?

Sendungen des Spartensenders Phoenix erreichen oft nicht die breite Masse. Manchmal ist das schade, wie bei dieser Diskussion in einer Talkrunde zum Thema Handyverbot für Kinder. Der Beitrag (Dauer 45 Min.) ist in der Mediathek zu sehen.

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 Apropos KI …

• Beginnen wir mit etwas Erfreulichem: Zero-Day-Exploits durch KI sind bereits Realität 🙄 Hier ist eine andere Quelle.
• Gleichzeitig ist KI aber auch anfällig (das hatten wir so ja auch schon im letzten Blog-Beitrag): Why AI Keeps Falling for Prompt Injection Attacks
• IBM sagt „Fragen Sie Bob“, der Autor dieses Artikels sagt, dass man IBMs KI-Agent besser nicht fragen sollte.
• Spannend: Corrupting LLMs Through Weird Generalizations. Und auch gruselig…
• Na ja, vom Palantir-CEO habe ich auch nichts anderes erwartet… Was ich meine, fragen Sie? Lesen Sie selbst.
• Vielleicht brauchen Menschen und KI nur eine Beziehungsberatung? Bruce Schneier hat dazu ein passendes Essay: AI & Humans: Making the Relationship Work
• Aber bringt KI jetzt wirklich Vorteile? Laut diesem Artikel bringt KI kaum Mehrwert in Firmen. Na ja, wenigstens wissen die Mitarbeiter, was sie mit der vielen freien Arbeitszeit machen, die der KI-Einsatz erzeugt. Sie korrigieren die KI-Ergebnisse.
• Womit nochmal werden die großen LLM trainiert? Hier gibt es Gerichtsdokumente zu genau dieser Frage.
• Wenn Menschen so etwas machen, trifft es sie härter.
• SaaS-Anbieter mögen KI nicht wirklich.
• Und natürlich soll es in KI nun auch Werbung geben. Passend dazu ein Essay.
• Kommen wir jetzt zu etwas explizit nicht-erfreulichem: Beverly Hills High School. Passend dazu: Automatic License Plate Readers Are Coming to Schools
• Und nochmal ein Themenwechsel: KI und Überwachungskameras, was kann da schon schief gehen?
• Überraschung: Es gibt Menschen, denen KI einen echten Vorteil verschafft (mal abgesehen von den Tech-Bros, duh):
  Kein Ende des Geldsegens für Anguilla
• Wenn Sie sich nicht sicher sind, ob das, was Sie auf Ihrem Gerät sehen, echt oder KI-generiert ist, kann die Seite howotoverify.info Ihnen vieleicht helfen. Auf der verlinkten Seiten finden Sie eine kommentierte Werkzeugsammlung, die den Ursprung von Inhalten klären helfen kann.

zurück zum Inhaltsverzeichnis

8.2 Was denken Sie denn so über Vorratsdatenspeicherung?

Eine blöde Frage für einen Blog-Beitrag mit abgeschalteten Kommenatern, oder? Wie sollen Sie es mir auch sagen.
Schauen wir uns stattdessen an, was die Meijers Commission / das Meijers Committee dazu geschrieben hat. Ja, ich weiß, LinkedIn, aber immerhin nur als Datei von deren CDN. Falls die Datei einen Time-Stamp hat und damit abläuft, hier ist der LinkedIn-Post.

zurück zum Inhaltsverzeichnis

8.3 Windows 10 und Windows 11 ein wenig datenschutzkonformer einstellen?

Da soll dieses Tool helfen: O&O ShutUp10++

zurück zum Inhaltsverzeichnis

8.4 Bitlocker ≠ sicher?

Na ja, je nachdem, was Sie als sicher empfinden. Wenn Strafverfolger für Sie eine potentielle Bedrohung darstellen?
Dann ist Bitlocker unsicher.

zurück zum Inhaltsverzeichnis

8.5 Apropos NIS2-Meldeportal

Wir hatten ja im letzten Blog-Beitrag bereits über das neue Portal berichtet. Was soll ich sagen, nicht alle sind zufrieden mit der Entscheidung des BSI, dieses Portal bei AWS zu hosten: Ein Artikel zum Lesen, ein Podcast (Dauer hörenswerte ca. 2:43 Std., es ist die erste Nachricht) zum Hören.

zurück zum Inhaltsverzeichnis

9. Die guten Nachrichten zum Schluss

9.1 Kinder und Cybersicherheit

„Wie können Kinder online mit einem ganzheitlichen Kompetenzrahmen für Cybersicherheit gestärkt werden?“ ist die Frage, mit der sich dieser Beitrag „Empowering children online: a holistic skills framework for cybersecurity“ befasst.

zurück zum Inhaltsverzeichnis

9.2 Kartenspiel zur Cybersicherheit für Kinder

Die Stiftung Advens for People and Planet vertreibt zusammen mit SIN – Studio im Netz ein Kartenspiel, das Schüler:innen für eine sichere Online-Nutzung sensibilisiert. Das Spiel „La Fresque des Cybercitoyens“ ist in Frankreich bereits seit 2023 im Einsatz und wird mittlerweile an rund 60% der dortigen Sekundarschulen gespielt. Nun soll das Spiel auch nach Deutschland gebracht werden, um Jugendliche für sichere und verantwortungsbewusste Verhaltensweisen im digitalen Raum zu sensibilisieren.
In ersten Workshops an Münchner Schulen wurde der deutschsprachige Prototyp des Spiels getestet, nun werden die Rückmeldungen evaluierten. Die unmittelbare Resonanz war enorm positiv, so dass die Verantwortlichen nun die Weiterentwicklung des Projekts im Jahr 2026 planen.

zurück zum Inhaltsverzeichnis