Hier ist der 38. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 07/2026)“ – Die DVD-Edition.
Diese Woche sind wir beide schneller als erwartet mit unseren Zuarbeiten fertig geworden, deswegen bekommen Sie schon wieder eine neue Ausgabe. Darin enthalten neben anderen Themen Meldungen von Aufsichtsbehörden zu den DSB, ein interessantes Urteil zu Daten von Vereinsmitgliedern, eine wüste Geschichte bei den Gesetzesvorhaben, etwas zu vergifteten Sprachmodellen, mal wieder etwas zur ePA, mehrere neue Veranstaltungen, eine aktuelle Meldung zu MS-Lizenzkosten des Bundes, einen schlimmen Fall aus Österreich, ein ganz anderes „Apropos KI …“ und die Cyber-Risk-WarnApp.
- Aufsichtsbehörden
- EDSA: Arbeitsprogramm 2026-2027
- EDSA: Stellungnahme zum Digitalen Omnibus
- EDPS: Stärkung der Rolle der Datenschutzbeauftragten
- BfDI: Bericht zum Konsultationsverfahren zu personenbezogenen Daten in KI (LLM)
- Safer Internet Day 2026
- BayLDA: Transkription mit KI
- Hessen: Leitfaden für Datenschutz in der medizinischen Forschung
- Sachsen Anhalt: Datenschutzrechte im Kontext digitaler Belästigung
- AEPD: Sportverbände sind zur DSB-Benennung verpflichtet
- AEPD: Empfehlungen zum Schutz der Privatsphäre bei der Verwendung von KI-Tools
- Niederlande: Warnung vor OpenClaw und vor ähnlichen experimentellen Systemen
- BSI: Empfehlung klassischer asymmetrischer Verschlüsselungsverfahren nur noch bis 2031
- Radio Bremen: Tätigkeitsbericht für 2025
- Radio Bremen: Tätigkeitsbericht für 2025 – Nutzung von US-Cloud-Produkten
- Radio Bremen: Tätigkeitsbericht für 2025 – Einsatz von KI
- Radio Bremen: Tätigkeitsbericht für 2025 – Desksharing
- Radio Bremen: Tätigkeitsbericht für 2025 – Einsatz von Windows 11
- Radio Bremen: Tätigkeitsbericht für 2025 – Auskunftsbegehren
- LfDI Mecklenburg-Vorpommern: Cyberangriff auf Hotel-Datenbankdienstleister
- Österreich: Gemeinsame Rechtsdokumentation im Rechtsinformationssystem des Bundes
- Rechtsprechung
- EuGH: Beschlüsse des EDSA sind gerichtlich überprüfbar (C-97/23 P)
- EuGH: Anonymität bei Informationsfreiheitsansprüchen? (C-129/24)
- BGH: Anspruch eines Vereinsmitglieds auf E-Mail-Adressen von Vereinsmitgliedern
- LG Augsburg: Untersagung der Werbung für ein KI-Akquise-System
- AG München: Urheberrechtsschutz und KI
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- BStBK: KI im steuerberatenden Berufsstand
- ANSSI: Bericht zu Generativen KI-Angriffen
- Finnische Behörden zu Cybersicherheitsperspektive beim KI-Einsatz
- Standards zu GenAI und GPAI
- Vergiftete Sprachmodelle
- KI im Arbeitsalltag – Fallstricke vermeiden, Chancen nutzen!
- Entwicklung erklärbarer KI-Systeme
- HAI: KI in der Krankenversicherung
- Veröffentlichungen
- Automatisierte Entscheidungsfindung nach Art. 22 DS-GVO
- AOK, ePA und versehentliche Löschung
- BNotK: Cloudnutzung im Notariat
- Checklisten zum berechtigten Interesse im VVT und zu Aufbewahrungsfristen
- BStBK: FAQ zur allgemeinen digitalen Aufbewahrung
- European Data Legislation & Case Law Report 1/2026
- Rechtsgrundlagen für Auswertung einer Zeiterfassung bei Missbrauchsverdacht
- DS-GVO und KMU
- Veranstaltungen
- Universität des Saarlandes – Öffentliche Vorlesungsreihe: Datenschutz in der Praxis
- Bucerius Alumni e.V.: Unternehmenstransaktionen und Datenschutz -neu-
- Webinar: Automatisierte Vorurteile – Diskriminierungen durch KI im Arbeitsverhältnis -neu-
- Vortragsreihe „Zukunftsdialog KI und Recht“ der SRH University Heidelberg
- ifKI: “KI-Recht und Datenschutz in der Praxis“
- Webinar: “Digital Omnibus – What companies need to know now”
- Öffentlicher Workshop: „Digitale Souveränität gestalten“ -neu-
- Universität Graz: Orientierungsleitfaden „Soziale Arbeit und Künstliche Intelligenz“ -neu-
- Veranstaltungsreihe: „The Hidden Threat – Resilienz erleben, Risiken verstehen, Zukunft sichern“ -neu-
- Stiftung Datenschutz: Datensouveränität in der Frauengesundheit -neu-
- Gautinger Internettreffen: Digitale Souveränität in der Jugendarbeit
- BlnBfDI: 3. Fachtag „Datenschutz trifft Medienkompetenz“
- Gesellschaftspolitische Diskussionen
- Digitale Souveränität … und die Kosten allein bei Lizenzen von Microsoft
- Überwachung 2.0 – In den USA oder auch bei uns?
- Fünfte Jahreszeit und Arbeitsrecht
- Gerichtliche Überprüfung der Geschäftsmodelle von TikTok und „X“
- IHK München und Oberbayern: Digitalisierungsumfrage
- Interdisziplinäre Betrachtung der „Chatkontrolle
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Arbeitsprogramm 2026-2027
Der EDSA hat in seinem Programm 2026-2027 veröffentlicht, was er die nächsten 24 Monate umsetzen will. Das Arbeitsprogramm stützt sich auf die in der Strategie des EDSA festgelegten Prioritäten und den für die Interessenträger als am kritischsten ermittelten Bedarf. Sie trägt auch den in der Erklärung von Helsinki eingegangenen Verpflichtungen in Bezug auf mehr Klarheit, Unterstützung und Engagement Rechnung, die darauf abzielen die Einhaltung der DS-GVO zu erleichtern, die Kohärenz zu stärken und die regulierungsübergreifende Zusammenarbeit zu fördern. Aufbauend auf den vier Säulen der EDSA-Strategie konzentriert sich das Arbeitsprogramm auf
- die Verbesserung der Harmonisierung und die Förderung der Einhaltung der Vorschriften,
- die Stärkung einer gemeinsamen Durchsetzungskultur und einer wirksamen Zusammenarbeit,
- den Schutz des Datenschutzes in der sich entwickelnden digitalen und regulierungsübergreifenden Landschaft und
- einen Beitrag zum globalen Dialog über den Datenschutz.
Der EDSA will weiterhin zeitnahe und klare Leitlinien zu zentralen Fragen und Konzepten des EU-Datenschutzrechts bereitstellen, um die Einhaltung der DS-GVO zu erleichtern. So arbeitet der EDSA beispielsweise an Leitlinien für die Einwilligung oder Bezahlung, an Leitlinien für die Anonymisierung, an Leitlinien für die Pseudonymisierung und an Leitlinien für Kinderdaten. Der Ausschuss wird auch Instrumente für ein breiteres Publikum entwickeln und fördern, indem er Inhalte für Nicht-Experten wie Vorlagen, illustrative Beispiele, Checklisten, häufig gestellte Fragen und Anleitungen erstellt. Der EDSA wird die Umsetzung von Compliance-Maßnahmen für Verantwortliche und Auftragsverarbeiter unterstützen.
1.2 EDSA: Stellungnahme zum Digitalen Omnibus
Der EDSA hat seine Stellungnahme zum Digitalen Omnibus veröffentlicht. Begrüßt werden dabei u.a. die Teile des Vorschlags, die zu einer größeren Harmonisierung, Kohärenz und Rechtssicherheit beitragen oder unnötigen Verwaltungsaufwand reduzieren können. Dazu zählt der EDSA die Änderungen zur wissenschaftlichen Forschung, eine neue Ausnahme für die Verarbeitung besonderer Kategorien von Daten für die biometrische Authentifizierung, wenn die Verifizierungsmittel unter der alleinigen Kontrolle der betroffenen Person stehen, aber auch die Anhebung der Meldeschwelle und die Verlängerung der Frist bei Datenschutzverletzungen.
Bedenken hat er bei Vorschlägen, die sich seiner Ansicht nach negativ auf das Schutzniveau für Einzelpersonen auswirken, Rechtsunsicherheiten schaffen und / oder die praktische Anwendung des Rechts erschweren würden. Als Beispiel hierfür nennt er die vorgeschlagenen Änderungen an der Definition des Begriffs „personenbezogene Daten“, diese würden den Begriff „personenbezogene Daten“ einschränken und das Grundrecht auf Datenschutz beeinträchtigen. Die Definition dessen, was nach einer Pseudonymisierung nicht mehr als personenbezogene Daten gilt, wirkt sich auch unmittelbar auf den Anwendungsbereich des EU-Datenschutzrechts aus und sollte nicht in einem Durchführungsrechtsakt behandelt werden.
Neben dem EDSA gibt es natürlich noch viele andere „Stakeholder“, die sich zum Entwurf der EU-Kommission äußern, wie ein Datenschutz-Zertifizierungs- und Netzwerkanbieter oder eine Verbraucherorganisation.
1.3 EDPS: Stärkung der Rolle der Datenschutzbeauftragten
Der EDPS informiert, dass er die Rolle der Datenschutzbeauftragten stärken will: Dazu veröffentlicht er neue Leitlinien und verbindliche Vorschriften zum Schutz der Unabhängigkeit des Datenschutzbeauftragten in allen EU-Institutionen.
Die Leitlinien verdeutlichen die Auslegung des EDPS hinsichtlich der Rolle, der Stellung und der Aufgaben der Datenschutzbeauftragten in EU-Organen, -Einrichtungen, -Ämtern und -Agenturen. Sie enthalten praktische und aktuelle Leitlinien zur Benennung von Datenschutzbeauftragten, ihrer institutionellen Stellung, den Garantien für die Unabhängigkeit dieser Funktion und den ihnen übertragenen Aufgaben.
Auf der Grundlage dieser Leitlinien hat der EDPS den Beschluss 01/2026 angenommen, mit dem verbindliche Vorschriften für die Anwendung der Anforderung der vorherigen Zustimmung des EDPS zur Entlassung von Datenschutzbeauftragten festgelegt wurden. Diese Vorschriften sollen einen klaren und einheitlichen Verfahrensrahmen festlegen, den europäische Einrichtungen befolgen müssen, wenn sie vor der Abberufung eines Datenschutzbeauftragten vor Ablauf seiner Amtszeit die vorherige Zustimmung des EDPS einholen möchten.
1.4 BfDI: Bericht zum Konsultationsverfahren zu personenbezogenen Daten in KI (LLM)
Die BfDI hat ihren Bericht zu den Ergebnissen der Konsultation zum datenschutzkonformen Umgang mit personenbezogenen Daten in KI-Modellen veröffentlicht. Als Haupterkenntnisse fasst sie die folgenden Ergebnisse zusammen:
- Bzgl. der Frage der Anonymität eines großen Sprachmodells lässt sich ein diverses Meinungsbild feststellen (aus meiner Sicht wenig überraschend)
- Eine Mehrheit spricht sich für eine Anonymität des Modells unter gewissen Umständen aus
- Die Positionen bzgl. des Risikos der Extraktion personenbezogener Daten variieren
- Es wurden diverse technische Maßnahmen zur Reduktion des Extraktionsrisikos identifiziert
- Die Eingabe eines Prompts führt nach mehrheitlicher Auffassung nur dann zu einer Verarbeitung der memorisierten Daten im KI-Modell, wenn sich diese Daten im Output wiederfinden
- Es wurden einige Methoden zur Abschätzung der Menge personenbezogener Daten in LLMs vorgeschlagen
- Bzgl. der Menge an personenbezogenen memorisierten Daten verwies die Mehrheit an Stellungnahmen darauf, dass eine rein quantitative Einschätzung nicht zielführend sei
- Zu der Frage der Betroffenenrechte wurde für das Auskunftsrecht empfohlen die entsprechenden Trainingsdaten, sofern vorhanden, aufzulisten
- Bzgl. der Löschung memorisierter Daten aus dem Modell sprach sich eine Mehrheit der Stellungnahmen für Maßnahmen auf Systemebene aus, insbesondere da Methoden wie Machine Unlearning noch nicht einwandfrei einsetzbar seien
Die BfDI weist darauf hin, dass die in dem Bericht wiedergegebenen Ansichten ausschließlich aus den im Rahmen der Konsultation eingegangenen Rückmeldungen stammen und nicht zwangsläufig die Position der BfDI widerspiegeln. Der Verweis auf Mehrheitsverhältnisse sei rein informatorisch gemeint und hat keine indikative Wirkung für die Position der BfDI.
Rudis Nachtrag*: Ich kann es nicht lassen. Angesichts der Überlegungen im politischen Raum, die Zuständigkeit für „die Wirtschaft“ an die BfDI zu übertragen, weil die Aufsichten der Länder in Detailfragen unterschiedliche Ansichten hätten, ist es ja nicht auszuschließen, dass auch eine Zusammenlegung der an der Konsultation teilnehmenden Entitäten gedacht werden könnte, um einheitliche Aussagen zu erhalten.
* Franks Anmerkung: Ja, auch sowas haben wir ab und zu…
1.5 Safer Internet Day 2026
Auch die Datenschutzaufsichtsbehörden waren rund um den Safer Internet Day aktiv. Sei es mit Pressemeldungen wie das ULD Schleswig-Holstein, welches so auf die „Entschließung der DSK zur Verbesserung des Datenschutzes von Kindern in der Datenschutz-Grundverordnung“ zusammen mit einer ausführlichen Erläuterung der zehn Vorschläge hinwies. Oder die LDI NRW, die auf die Aufgabe der Politik aufmerksam machte hier für klare gesetzliche Regularien zu sorgen. Oder der LfD Niedersachsen, der sogar selbst mit seinem Team in Schulen Schüler:innen sensibilisierte.
1.6 BayLDA: Transkription mit KI
Die Technik wird zunehmend in Unternehmen und Behörden eingesetzt und wir hatten auch immer wieder bereits Berichte dazu (wie hier und dort). An was ist bei einer Transkription einer Videokonferenz mittels KI zu denken? Eine Vertreterin des BayLDA klärt hier als Gast in einer Podcast-Folge (Dauer ca. 50 Min.) auf. Angesprochen werden u.a. folgende Themen:
- Welche Rechtsgrundlagen kommen für die Transkription in Frage – berechtigtes Interesse oder Einwilligung nach Art. 6 DS-GVO?
- Wie definiert man Zweck und Erforderlichkeit datenschutzkonform?
- Welche Erwartbarkeits-, Informations- und Transparenzpflichten gelten für Teilnehmer?
- Wie steht das Ganze im Verhältnis zum § 201 StGB („Verletzung der Vertraulichkeit des Wortes“)?
- Was sollte man bei Speicherung, Löschfristen und Zusatzfunktionen (z. B. Zusammenfassungen, To-Dos) beachten?
Zudem wird in den Shownotes auf einen Beitrag verwiesen, der sich mit den strafrechtlichen Fragestellungen befasst.
Franks Nachtrag: Auch hier, da und dort haben wir über das Thema berichtet.
1.7 Hessen: Leitfaden für Datenschutz in der medizinischen Forschung
Bereits im Dezember 2025 veröffentlichte der Hessische Beauftragte für Datenschutz und Informationsfreiheit zusammen mit der Deutsche Gesellschaft für Innere Medizin e.V. (DGIM) einen Leitfaden für Datenschutz in der medizinischen Forschung. Für die Forschenden sei es nicht immer leicht die datenschutzrechtlichen Anforderungen vollständig zu durchdringen, mit dem Leitfaden soll eine praxisnahe Unterstützung gegeben werden. In dem Leitfaden werden vier konkrete Fallbeispiele (use cases) aus der Praxis der medizinischen Forschung dargestellt und datenschutzrechtlich eingeordnet. HBDI und DGIM haben die in den Fallbeispielen genannten Probleme im Dialog gelöst und dabei datenschutzkonforme Lösungswege aufgezeigt. Besondere Aufmerksamkeit widmet der Leitfaden der Frage, unter welchen Umständen Daten als anonym betrachtet werden können.
1.8 Sachsen Anhalt: Datenschutzrechte im Kontext digitaler Belästigung
Mit ihrem Flyer „Datenschutzrechte im Kontext digitaler Belästigung“ möchte die LfD Sachsen-Anhalt das Bewusstsein für die eigenen Rechte schärfen und wichtige Maßnahmen für betroffene Personen aufzeigen.
1.9 AEPD: Sportverbände sind zur DSB-Benennung verpflichtet
Die spanische Datenschutzaufsicht informiert, dass Sportverbände einen Datenschutzbeauftragten benennen müssen, wenn sie Daten von Minderjährigen verarbeiten. Auch Spanien hat von der Möglichkeit des Art. 37 Abs. 4 DS-GVO Gebrauch gemacht und in seinem Datenschutzgesetz Vorgaben zur Benennung eines DSB in Art. 34 des Organgesetz 3/2018, vom 5. Dezember 2018, zum Schutz personenbezogener Daten und Gewährleistung digitaler Rechte (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) geregelt.
1.10 AEPD: Empfehlungen zum Schutz der Privatsphäre bei der Verwendung von KI-Tools
Die spanische Datenschutzaufsicht legt hier in einem PDF dar, wie wichtig es ist Risiken beim Einsatz von KI zu erkennen, um sie zu vermeiden. In einem Dokument listet sie zehn Tipps auf, auf was beim Einsatz von KI gedacht werden sollte. Dies umfasst Hinweise, wie z.B., dass keine persönlichen Daten hochgeladen werden sollten, keine beruflichen Informationen angegeben werden sollten, die Nutzungsbedingungen des KI-Dienstes geprüft werden sollten, die Antworten der KI kritisch bewertet werden sollten, aber auch dass Minderjährigen beraten und begleitet werden sollten. Und natürlich gibt es auch den Hinweis, dass über die Angaben gegenüber einer KI ein Profil erstellt werden könnte, mit welchen Themen man sich beschäftigt oder in welcher Situation man sich gerade befindet.
1.11 Niederlande: Warnung vor OpenClaw und vor ähnlichen experimentellen Systemen
Die niederländische Datenschutzbehörde warnt Benutzer und Organisationen vor der Verwendung von OpenClaw (vorher Moltbot) und ähnlichen experimentellen Systemen. Der Grund ist die hohe Geschwindigkeit, mit der OpenClaw populär geworden ist. Diese Art von Open-Source-Systemen erfüllen nahezu keine grundlegenden Sicherheitsanforderungen. Die Verwendung solcher experimentellen KI-Agenten birgt große Risiken, wie Datenschutzverletzungen und Kontoerfassungen.
Die OpenClaw-Plattform biete Benutzern einen KI-Assistenten zur Installation, der Aufgaben autonom ausführen kann. Zu diesem Zweck gewährt der Benutzer vollen Zugriff auf seinen Computer und seine Programme, einschließlich E-Mail, Dateien und Online-Dienste. Es bedeutet, dass der Assistent dann unabhängig, ohne vorherige direkte menschliche Zustimmung, handlungsfähig ist. Laut der niederländischen Aufsicht wird diese Art von autonomem KI-Agent in der Cybersicherheitswelt als „Trojaner“ angesehen, weil es ein attraktives Ziel für Missbrauch ist.
Auch andere warnen vor OpenClaw, oder wie hier bereits vor Moltbot.
Franks Nachtrag: Ich habe mir auch ein paar Quellen zu OpenClaw angeschaut…
1.12 BSI: Empfehlung klassischer asymmetrischer Verschlüsselungsverfahren nur noch bis 2031
In der jährlichen Aktualisierung seiner kryptographischen Empfehlungen (TR-02102) spricht sich das BSI erstmals für ein Ablaufdatum klassischer asymmetrischer Verschlüsselungsverfahren aus, wie es hier informiert. Ende 2031, für höchstsensitive Anwendungen bereits Ende 2030, sollten diese Verfahren aus Sicht des BSI nicht mehr alleine eingesetzt werden. Stattdessen sollten diese Verfahren in hybrider Form mit Post-Quanten-Kryptographie kombiniert werden. Für klassische Signaturverfahren ist eine Abkündigung der alleinigen Nutzung bis Ende 2035 geplant.
1.13 Radio Bremen: Tätigkeitsbericht für 2025
Die Landkarte der Datenschutzaufsichten in Deutschland ist sehr komplex. Neben den staatlichen Aufsichten, die dazu nach Bundes- und Landeszuständigkeiten aufgeteilt sind, gibt es kirchliche Aufsichten und daneben noch die datenschutzrechtliche Aufsicht über Rundfunkanstalten. Auch diese sind verpflichtet Tätigkeitsberichte als Jahresberichte zu erstellen.
Der Tätigkeitsbericht für das Jahr 2025 ist der letzte für Radio Bremen, wie zu Beginn ausgeführt wird. Die datenschutzrechtliche Aufsicht über Radio Bremen wird künftig durch eine gemeinsame Aufsicht ausgeübt, wie in § 31j Abs.1, S. 1 MStV vorgesehen. Diese Person hat bereits die Aufsicht für die Rundfunkanstalten BR, hr, MDR, rbb, SR, SWR, WDR, Deutschlandradio und ZDF inne. Es gibt übrigens auch eine Rundfunkdatenschutzkonferenz.
1.13.1 Nutzung von US-Cloud-Produkten
Die datenschutzrechtliche Themenpalette unterscheidet sich kaum von denen anderer Datenschutzaufsichten. So schildert der Tätigkeitsbericht den Umgang und Aktivitäten hinsichtlich der Nutzung von US-Cloud-Produkten (Ziffer B.I) und informiert über das Projekt „Digitale Erneuerung“, das die Cloud-Strategie der ARD erweitert. So würde die Tech Unit eine Kooperation mit einem Cloud-Provider anstreben, der unabhängige, EU-konforme Cloud-Lösungen anbietet.
1.13.2 Einsatz von KI
Der Einsatz von KI (Ziffer B.II) wurde bislang für Rechtschreibprüfung, Schlagzeilen- und Teasingvorschläge – oder auch um Radio-Talk-Skripte in Online-Manuskripte umzuwandeln – verwendet. In einem einmaligen Testvorhaben wurde für ein Weihnachts-Spezial historisches Bildmaterial durch KI animiert. Sämtliche KI-Vorhaben begleitet ein KI-Board von Radio Bremen.
Im Übrigen weist der Tätigkeitsbericht auf die Risiken beim Einsatz von DeepSeek oder ChatGPT für dienstliche Zwecke hin.
1.13.3 Desksharing
Interessanter auch für Fragestellungen außerhalb der Rundfunkaktivitäten sind die Ausführungen zum Einsatz einer Arbeitsplatzplanung mittels Software zum Desksharing (Ziffer V). Veränderte Arbeitsformen, insbesondere mobile Arbeitsmodelle, führen dazu, dass feste Arbeitsplätze bei Radio Bremen nicht dauerhaft besetzt sind. Das sog. „Desksharing“ unterstützt die Flächenreduktion, indem Arbeitsplätze geteilt bzw. flexibel genutzt werden. Im Rahmen eines Pilotprojektes sind bei Radio Bremen zunächst drei Bereiche räumlich zusammengelegt worden, die sich die vorhandenen festen Arbeitsplätze fortan teilen.
1.13.4 Einsatz von Windows 11
Hinsichtlich des Einsatzes von Windows 11 (Ziffer VI) haben sowohl die Datenschutzbeauftragte als auch der IT-Sicherheitsbeauftragte von Radio Bremen darauf hingewiesen, dass die Übermittlung von Telemetriedaten an Microsoft nach Möglichkeit vollständig deaktiviert oder zumindest stark eingeschränkt wird. Da diese Datenübermittlung technisch nicht vollständig unterbunden werden kann, ist diese durch entsprechende Einstellungen auf ein datenschutzrechtlich vertretbares Minimum reduziert worden.
1.13.5 Auskunftsbegehren
Die Datenschutzbeauftragte informiert auch über die Anzahl und den Umgang mit Auskunftsbegehren (Ziffer C), insbesondere, wenn diese über eine Plattform zur Auskunftseinholung gestellt würden. Bei Anfragen über die Plattform Wiple lasse sich nicht nachvollziehen, ob diese tatsächlich von der genannten Person stammt und ob ihr die in Wiple genannte Adresse zuzuordnen ist. Daher wurde in Bezug auf alle Anfragen über Wiple seitens der Datenschutzbeauftragten um ein konkretisiertes Auskunftsersuchen gebeten, das sich eindeutig der anfragenden betroffenen Person und deren Anschrift zuordnen lässt. Dieser Aufforderung ist keine der anfragenden Personen nachgekommen, sodass die Auskunftsanfragen nicht final beantwortet werden konnten. Diesbezüglich gab es laut dem Tätigkeitsbericht auch keine Beschwerden.
1.14 LfDI Mecklenburg-Vorpommern: Cyberangriff auf Hotel-Datenbankdienstleister
Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Mecklenburg-Vorpommern informiert über einen erfolgreichen Cyberangriff auf einen Hotel-Datenbankdienstleister. Dadurch seien auch Daten von Gästen in Mecklenburg-Vorpommern abgeflossen. Er warnt eindringlich vor möglichen Phishing-Angriffen durch Dritte. Hotels, betroffene Gäste sowie Bürgerinnen und Bürger ruft er zu besonderer Vorsicht auf.
Doch damit nicht genug: Er gibt auch konkrete Tipps gegenüber Hotels, die davon betroffen sind, was diese nun tun sollten. Er richtet sich aber auch an Personen, die als Gast betroffen sein können. Diese Tipps und Hinweise können sicherlich auch bei anderen erfolgreichen Cyberangriffen mit Datenabzug herangezogen werden.
1.15 Österreich: Gemeinsame Rechtsdokumentation im Rechtsinformationssystem des Bundes
Die österreichische Datenschutzbehörde informiert, dass ihre Entscheidungen nun zusammen mit dem Parlamentarischen Datenschutzkomitee in einer gemeinsamen Datenbank im Rechtsinformationssystem des Bundes (RIS) veröffentlicht werden. Die neue Bezeichnung der Applikation lautet “Datenschutz-Aufsichtsbehörden“. Für eine Suche ausschließlich nach Entscheidungen der Datenschutzbehörde muss eine entsprechende Menü-Auswahl getroffen werden. Beide Aufsichtsbehörden bleiben jeweils für die von ihnen veröffentlichten Entscheidungen allein verantwortlich.
2 Rechtsprechung
2.1 EuGH: Beschlüsse des EDSA sind gerichtlich überprüfbar (C-97/23 P)
Sofern Entscheidungen und Beschlüsse des EDSA unanfechtbare Handlungen darstellen, können sie durch das europäische Gericht überprüft werden. Der EuGH<7a> hob damit einen Beschluss des EuG (T-709/21) auf und verwies die Rechtssache zur Entscheidung zurück.
Relevant ist dabei, dass ein Beschluss nach Art. 65 DS-GVO eine anfechtbare Handlung sei, da er von einer EU-Einrichtung stammt und Rechtswirkungen gegenüber Dritten entfaltet (unter anderem gegenüber den nationalen Datenschutzaufsichtsbehörden). In dem konkreten Fall ging es um eine Entscheidung, die durch die irische Aufsicht gegenüber WhatsApp ohne weiteren Ermessensspielraum umzusetzen war und von der WhatsApp daher unmittelbar betroffen war. Das EuG muss nun in der Sache entscheiden.
2.2 EuGH: Anonymität bei Informationsfreiheitsansprüchen? (C-129/24)
Es geht um Ansprüche, die in Irland gegen eine staatliche Stelle nach der Umweltinformationsrichtlinie (RL 2003/4/EG) geltend gemacht wurden. Dort waren zahlreiche Anfragen nach dem Umweltinformationsgesetz gegen ein irisches Forstunternehmen eingegangen. Das Forstunternehmen verweigerte die Auskunft, da die Anfragen alle unter Pseudonymen erfolgten.
Der EuGH musste klären, ob das nationale Recht eine Identifikation bei Umweltinformationsanträgen verlangen darf. Der EuGH entschied nun im Verfahren C-129/24, dass der Begriff „Antragsteller“ im Sinne von Art. 2 Nr. 5 der RL 2003/4/EG dahin auszulegen ist, dass er nicht die Identifizierung einer natürlichen oder juristischen Person mit ihrem tatsächlichen Namen und / oder einer aktuellen physischen Adresse verlangt, aber einer nationalen Regelung nicht entgegensteht, die, unter Beachtung der Grundsätze der Äquivalenz und der Effektivität, eine solche Identifizierung des Antragstellers vorschreibt.
Diese Entscheidung kann künftig nun auch auf Anfragen nach den Informationsfreiheitsgesetzen angewendet werden, so dass öffentliche Stellen keine Anfragen unter einem Pseudonym beantworten müssten, wenn dies nicht gesetzlich verlangt würde. Damit befasst sich ab Min. 17:55 diese Podcast-Folge (Dauer ca. 44 Min.) und auch dieser Blog-Beitrag.
2.3 BGH: Anspruch eines Vereinsmitglieds auf E-Mail-Adressen von Vereinsmitgliedern
Ein Vereinsmitglied verlangte vom Verein die Herausgabe von E-Mail-Adressen der Vereinsmitglieder und von E-Mail-Sammeladressen, um im Vorfeld einer Beschlussfassung seine Ansicht in Form einer Gegendarstellung zukommen zu lassen.
Der BGH gab dieser Klage statt. Nach der Rechtsprechung des BGH steht einem Vereinsmitglied kraft seines Mitgliedschaftsrechts ein Recht auf Einsicht in die Bücher und Urkunden des Vereins zu, wenn und soweit es ein berechtigtes Interesse darlegen kann, dem kein überwiegendes Geheimhaltungsinteresse des Vereins oder berechtigte Belange der Vereinsmitglieder entgegenstehen. Zu den Büchern und Urkunden des Vereins zählt auch die Mitgliederliste. Sind die Informationen, die sich das Mitglied durch Einsicht in die Unterlagen des Vereins beschaffen kann, in einer Datenverarbeitungsanlage gespeichert, kann es zum Zwecke der Unterrichtung einen Ausdruck der geforderten Informationen oder auch deren Übermittlung in elektronischer Form verlangen.
Unter welchen Voraussetzungen ein berechtigtes Interesse des einzelnen Vereinsmitglieds, Kenntnis der E-Mail-Adressen der anderen Vereinsmitglieder zu erhalten, anzunehmen ist, ist keiner abstrakt-generellen Klärung zugänglich sondern aufgrund der konkreten Umstände des einzelnen Falls zu beurteilen. Ein solches Interesse kann auch außerhalb des Anwendungsbereichs des § 37 BGB zu bejahen sein, wenn aufgrund der Umstände des konkreten Falls die in der Mitgliederliste enthaltenen Informationen ausnahmsweise erforderlich sind, um das sich aus der Mitgliedschaft ergebende Recht auf Mitwirkung an der vereinsrechtlichen Willensbildung wirkungsvoll ausüben zu können (RN. 15).
2.4 LG Augsburg: Untersagung der Werbung für ein KI-Akquise-System
Wie die klagende Wettbewerbszentrale informiert, hat das LG Augsburg (Versäumnisurteil vom 08.01.2026, Az. 2 HK O 4274/25) einem Anbieter untersagt ein KI-Akquise-System zu bewerben, das automatisch Kontaktdaten privater Immobilien-Inserenten im Internet erfasst und an Immobilienmakler weitergibt.
Der Anbieter warb damit, dass sein System automatisch mehrere Online-Immobilienportale auf Privatinserate durchsuche. Die Kontaktdaten der Privatpersonen sende die KI direkt in die Software der Maklerunternehmen. Inserate, die keine Makleranfragen wünschten, erkenne die künstliche Intelligenz, sodass es „unnötige Kontakte und Rechtsrisiken“ vermeide.
Diese Werbung hielt die Wettbewerbszentrale für wettbewerbswidrig. Das System war nach Ansicht der Zentrale darauf ausgelegt Personen mit belästigender Werbung zu konfrontieren. Zur Kontaktaufnahme benötigen die Maklerunternehmen nach dem UWG eine ausdrückliche Einwilligung. Das KI-System konnte keine solchen Einwilligungen einholen.
Ohne Einwilligung stellt jede Kontaktaufnahme mittels der von der KI erhobenen Daten durch einen Immobilienmakler eine unzumutbare Belästigung dar.
Das heißt konkret: Jedes Immobilienunternehmen, das die KI-Akquise zur Kontaktaufnahme nutzt, verhalte sich wettbewerbswidrig. Dadurch könne das System nach Meinung der Wettbewerbszentrale nicht rechtskonform betrieben werden, sodass bereits die Werbung für das System selbst unlauter sei.
Versäumnisurteil bedeutet, dass die beklagte Partei nicht ordnungsgemäß erschien und somit das Gericht der Klage stattgab, ohne eine inhaltliche Prüfung mit Gegenargumenten durchzuführen.
2.5 AG München: Urheberrechtsschutz und KI
Das AG München befasst sich mit Fragen des Urheberrechtsschutzes bei einem mit KI erstellten Logo. Dazu stellt es fest, dass mittels künstliche Intelligenz generierte Erzeugnisse dann Werkcharakter i.S.d. § 2 Abs. 2 UrhG haben können, wenn auch bei einem softwaregesteuerten Prozessablaufs noch menschlicher schöpferischer Einfluss ausgeübt wird.
Ein urheberrechtlicher Schutz sei daher denkbar infolge menschlichen Eingriffs in KI-Ergebnisse, der auch nachträglich bzw. sukzessive während des Promptings stattfinden kann und der dazu führt, dass sich im Output auch gerade die Persönlichkeit des Promptenden widerspiegelt.
Der menschliche Einfluss muss den resultierenden Output jedoch hinreichend objektiv und eindeutig identifizierbar prägen. Dies ist jedenfalls – aber auch erst dann – der Fall, wenn die im Prompting eingeflossenen kreativen Elemente den Output derart dominieren, dass der Gegenstand insgesamt als eigene originelle Schöpfung seines Urhebers angesehen werden kann.
3 Gesetzgebung
3.1 Auflösung der Landesdatenschutzaufsichten?
Irgendwie passt das ins Bild: Wüste Fantasien* zur Zusammenlegung von Datenschutzaufsichten der Länder. Auch der Koalitionspartner in NRW scheint dafür Sympathien zu haben, und lässt sich zitieren, dass
die unterschiedlichen Zuständigkeiten zwischen der europäischen KI-Verordnung und der DS-GVO in der Praxis Mehraufwand erzeugten.
Und auch unterschiedliche Auslegungen zwischen den Bundesländern bereiteten regelmäßig Schwierigkeiten.
An was erinnert das? Genau: Größere Einheiten sind erfolgreicher als kleine.
* Franks Anmerkung: Manche deuten diesen Vorstoß als Versuch der Überrumpelung politischer Weggefährten… 🤔
Franks Nachtrag: Apropos Zusammenlegung. Da gab es doch noch einen anderen Vorschlag aus Bayern…
3.2 Umsetzung KI-VO: KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG)
Die Bundesregierung hat sich nun auf ein KI-VO-Umsetzungsgesetz verständigt. Zumindest der BMDS geht davon aus, dass das Bundeskabinett mit dem Entwurf des KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG) die EU-Vorgaben maximal innovationsoffen umsetzen wird. Das KI-MIG soll die Umsetzung der KI-Verordnung in Deutschland regeln. Es sieht unter anderem die Bundesnetzagentur als Aufsichtsbehörde sowie eine KI-Marktüberwachungskammer vor, um die organisatorischen Voraussetzungen für die Marktüberwachung und Durchsetzung der KI-Verordnung in Deutschland zu schaffen. Zudem enthält das Gesetz einen eigenen Teil, der sich unter der Überschrift „Innovationsförderung” unter anderem mit KI-Reallaboren befasst.
Weder die BNetzA noch die neue Unabhängige KI-Marktüberwachungskammer (UKIM) bei der Bundesnetzagentur sind für öffentliche Stellen der Länder zuständig, vgl. § 2 Abs. 6 des Entwurfs. Damit wird nicht ausgeschlossen, dass die Landesdatenschutzbehörden jetzt doch „KI-Behörden“ werden könnten. Da auf Landesebene außer den Landesdatenschutzbehörden keine vergleichbar unionsrechtlich determinierten, unabhängigen Behörden existieren, könnte die Marktüberwachung bei öffentlichen Stellen der Länder regelmäßig bei den Landesdatenschutzaufsichten liegen – jedenfalls bei den (Hochrisiko-)Sektoren aus Art. 74 Abs. 8 KI-VO. Im nächsten Schritt werden sich Bundesrat und Bundestag mit dem Gesetzentwurf befassen.
3.3 EU: Aktionsplan gegen Cybermobbing „Safer online, stronger together“
Mit ihrem Aktionsplan gegen Cybermobbing will die EU-Kommission gegen das zunehmende missbräuchliche Verhalten im Internet vorgehen. Es wird ein koordiniertes EU-Konzept geschaffen, das die Mitgliedstaaten durch den Austausch bewährter Verfahren, Leitlinien und Strategien unterstützt. Aufbauend auf Instrumenten – wie der Strategie für ein besseres Internet für Kinder (BIK+) und dem Gesetz über digitale Dienste – wird sich der Plan auf Minderjährige konzentrieren. Dabei werden auch die geschlechtsspezifische Dimension und die Vulnerabilität bestimmter Gruppen junger Menschen bis zum Alter von 29 Jahren (wie Menschen mit Behinderungen, LGBTIQ-Personen, Migrantinnen und Migranten) berücksichtigt. Nachdem die Sondierung nun abgeschlossen ist, hat die EU-Kommission ihren Aktionsplan hier als Mitteilung COM(2026) 71 final Stand 10.02.2026 veröffentlicht.
4 Künstliche Intelligenz und Ethik
4.1 BStBK: KI im steuerberatenden Berufsstand
Die Bundessteuerberaterkammer bündelt in einem neuen FAQ-Katalog praxisorientierte Fragen und Antworten zum Einsatz von KI in steuerberatenden Kanzleien. KI hält in Kanzleien zunehmend Einzug – gleichzeitig steigen Anforderungen an Verantwortung, Qualität und Rechtssicherheit. Der neue FAQ-Fragenkatalog der BStBK soll Kanzleiinhaber sowie Mitarbeitende beim strukturierten Einstieg und bei der sicheren Anwendung von KI unterstützen.
4.2 ANSSI: Bericht zu Generativen KI-Angriffen
Die französische Behörde ANSSI analysiert in einem neuen Bericht, wie Generative KI Cyberangriffe (Social Engineering, Malware-Entwicklung) verbessern kann, aber auch, wie LLM selbst angegriffen werden können (insb. Model-Poisoning). Als innovativer, leistungsstarker und flexibler digitaler Service wird generative KI schrittweise in das Angebot an Tools und Services integriert, die IT-Angreifer unabhängig von ihrem Profil nutzen können. Generative KI-Modelle werden in verschiedenen Phasen eines Computerangriffs verwendet und / oder umgeleitet, um Opferprofilierung durchzuführen, Inhalte für Social-Engineering-Zwecke zu entwerfen oder Malware zu entwickeln. Ihre Verwendung durch böswillige Akteure hängt jedoch vom Grad der verfolgten Fähigkeiten und Ziele ab. Laut den Erkenntnissen der ANSSI war kein generatives KI-System in der Lage alle Phasen eines Computerangriffs autonom durchzuführen.
4.3 Finnische Behörden zu Cybersicherheitsperspektive beim KI-Einsatz
Die finnische Verkehrs- und Kommunikationsbehörde erstellte zusammen mit der nationale Notfallversorgungsbehörde einen Bericht zur Cybersicherheitsperspektive beim Einsatz eines KI-Agenten. Die Erkenntnisse könne auch für Unternehmen genutzt werden: Wer definiert, was ein Agent tun darf? Wo endet seine Autorität? Wie sind Zugriffsrechte, Annahmen und Kill-Switches gestaltet? Und wer ist verantwortlich, wenn der Agent nicht aufhört?
Was effektive KI von gefährlicher KI unterscheide, sei nicht Intelligenz. Es ist Kontrolle. KI trifft leise Entscheidungen innerhalb Organisationen in großem Maßstab.
4.4 Standards zu GenAI und GPAI
Hier werden die aktuellen Kenntnisse zu bestehenden oder künftigen Standards zu generativer KI aufgeführt. Ergänzend dazu ein inoffizieller Newsletter zu der Thematik.
4.5 Vergiftete Sprachmodelle
Wie können vergiftet (manipulierte) Sprachmodelle erkannt werden? Damit befasst sich dieser Beitrag und nennt dafür drei Anzeichen. Er bezieht sich dabei auf diesen Forschungsbericht. Passend auch dazu Aussagen und Ergebnisse von Spezialisten von Microsoft.
4.6 KI im Arbeitsalltag – Fallstricke vermeiden, Chancen nutzen!
In diesem Blog-Beitrag von zwei Rechtsanwält:innen werden aktuelle Thematiken des Einsatzes von Künstlicher Intelligenz im Arbeitsalltag angesprochen. So geht es u.a. um Chatbots im Kundensupport und als interne Assistenten, automatisierte Dokumentenprüfung durch Natural Language Processing (NLP) oder algorithmengesteuerte Personalentscheidungen via Predictive Analytics.
4.7 Entwicklung erklärbarer KI-Systeme
Wie kann eine Entwicklung von entscheidungsrelevanten KI-Systemen konform mit Art. 22 DS-GVO ausgestaltet werden? Damit befasst sich die Veröffentlichung “Engineering Explainable AI Systems for GDPR-Aligned Decision Transparency: A Modular Framework for Continuous Compliance”, in der Transparenz als modulare Ingenieuranforderung statt als Nachträglichkeit behandelt wird. Ziel sei damit automatisierte Entscheidungen prüfbar und anfechtbar zu machen und sie vollständig mit Art. 22 DS-GVO im Einklang zu bringen.
4.8 HAI: KI in der Krankenversicherung
Das Human-Centered Artificial Intelligence der Stanford University (HAI) befasst sich mit KI-gestützten Entscheidungen bei Krankenversicherungen. Der Kurzbericht schlägt Governance-Mechanismen für den zunehmenden Einsatz von KI bei der Überprüfung der Inanspruchnahme von Krankenversicherungsleistungen vor.
5 Veröffentlichungen
5.1 Automatisierte Entscheidungsfindung nach Art. 22 DS-GVO
Der Online-Vortrag bei der Stiftung Datenschutz in deren Reihe „Datenschutz am Mittag“ behandelte das Thema der automatisierten Entscheidungsfindung und Art. 22 DS-GVO. Die Aufzeichnung (Dauer ca. 1:03 Std.) und die Folien sind nun online. Darüber hinaus gibt es über den Referenten auch weitere Materialien wie ein Word-Template „Prüfschema für automatische Entscheidungsfindungen nach Art. 22 DS-GVO“.
5.2 AOK, ePA und versehentliche Löschung
Durch einen technischen Fehler im Rahmen einer Systemumstellung schloss die AOK Bayern tausende elektronische Patientenakten fälschlicherweise „aufgrund […] eingereichten Widerspruchs“, wie hier berichtet wird. Ursächlich war laut AOK ein Fehler bei den beteiligten IT-Dienstleistern, so dass rund 6400 elektronische Patientenakten vorübergehend geschlossen wurden. Bericht dazu auch hier.
5.3 BNotK: Cloudnutzung im Notariat
Die Bundesnotarkammer hat in ihrem Rundschreiben Nr. 1/2026 zur Cloud-Nutzung im Notariat informiert. Die darin enthaltenen Hinweise geben Empfehlungen zu den berufsrechtlichen Vorgaben zum Speicherort, zu den Anforderungen an Datenschutz und Verschwiegenheit, inkl. organisatorische Verantwortung und Auswahl von Cloudanbietern und denkbaren Zugriffsrechten eines Drittstaates sowie Rechtsgrundlagen für die Zulässigkeit der Datenverarbeitung in den USA. Und natürlich finden sich auch Aussagen zu Microsoft 365.
So sei entscheidend, dass die führende elektronische Nebenakte am Speicherort in der Geschäftsstelle verbleibt und cloudgenutzte Arbeitsstände regelmäßig (praktisch täglich, mindestens wöchentlich) in der Geschäftsstelle gesichert werden, damit Verfügbarkeit und Arbeitsfähigkeit auch bei einem vollständigen Verlust des Cloud-Zugriffs gewährleistet bleiben und kein irreversibler Datenverlust entsteht.
Die BNotK weist auch darauf hin, dass Cloud-Anbieter mit Sitz und Datenverarbeitung ausschließlich im EWR, die nicht Teil eines Konzerns mit Sitz in einem Drittstaat sind, allein der DS-GVO und ggf. mitgliedstaatlichen Datenschutzvorschriften, aber keinem außereuropäischen Rechtsregime, unterworfen sind. Diese könnten unter Einhaltung dieser Vorschriften beauftragt werden. Komplexer verhalte es sich bei Anbietern, die oder deren Konzernmutter außerhalb des EWR ansässig sind. Auch bei EU-Serverstandorten könne durch konzerninterne Weisungsrechte ein faktischer Zugriff der Drittstaatenmutter auf personenbezogene Daten entstehen. Dies sei insbesondere relevant, wenn das Mutterunternehmen dem Recht eines Staates mit extraterritorialer Zugriffsbefugnis unterliegt – etwa dem US-Cloud Act (Clarifying Lawful Overseas Use of Data Act). Der US-Cloud Act aus dem Jahr 2018 verpflichtet US-Dienstleister, u.a. bei einem gültigen Gerichtsbeschluss oder Durchsuchungsbefehl Daten an US-Behörden herauszugeben – auch dann, wenn die Daten auf Servern außerhalb der USA liegen. Das betreffe nach derzeitigem Stand also auch Daten, die etwa von AWS, Microsoft oder Google in Deutschland gehostet werden.
5.4 Checklisten zum berechtigten Interesse im VVT und zu Aufbewahrungsfristen
Die Anforderungen an das berechtigte Interesse im Datenschutzrecht hat der EuGH vorgegeben. Doch wie lassen sich diese umsetzen und diese Umsetzung entsprechend dokumentieren? Der HmbBfDI hat dazu einen Fragenkatalog veröffentlicht (wir berichteten). Hier sind gegen Angabe der Empfängerdaten ein entsprechendes Template für das Verzeichnis der Verarbeitungstätigkeiten (VVT) sowie eine Übersicht zu gesetzlichen Aufbewahrungsfristen abrufbar, um auch Dokumentationsanforderungen nachzukommen.
5.5 BStBK: FAQ zur allgemeinen digitalen Aufbewahrung
Die Bundessteuerberaterkammer informiert über FAQ zu Fragen der allgemeinen digitalen Aufbewahrung. Dabei befasst sie sich in Kapitel 4 auch mit datenschutzrechtlichen Aspekten. Bei einigen Punkten referenziert sie auf den GoBD-Leitfaden der AWV mit Stand Dez. 2023.
5.6 European Data Legislation & Case Law Report 1/2026
Eine Kanzlei hat ihren European Data Legislation & Case Law Report 01/2026 veröffentlicht. Dieser fasst die wesentliche Datengesetzgebung und Rechtsprechung 2025 zusammen.
Aktuelle Informationen finden sich auch in dem European Data Legislation & Case Law Tracker dieser Kanzlei.
5.7 Rechtsgrundlagen für Auswertung einer Zeiterfassung bei Missbrauchsverdacht
Ausgehend von einer Entscheidung der österreichischen Datenschutzbehörde vom Juni 2025 befasst sich dieser Blog-Beitrag mit der anlassbezogenen Auswertung eines elektronischen Zutrittssystems zur Überprüfung von Homeoffice-/Anwesenheitsangaben bei Missbrauchsverdacht.
5.8 DS-GVO und KMU
Wie wirkt sich die DS-GVO auf die Innovationsfreudigkeit bei KMU aus? Gerade vor dem Hintergrund des IV. und VII. Omnibus (Digitaler Omnibus) befasst sich dieser Beitrag mit dem Titel „Innovation und die DSGVO: Viel Lärm um ziemlich viel“ mit dieser Frage. Er unterzieht die vorhandene empirische Wirtschaftsliteratur und die Erkenntnisse über die Auswirkungen der DS-GVO auf die Innovation einer kritischen Prüfung. Er kommt zu dem Schluss, dass die verfügbaren Belege darauf hindeuten, dass die DS-GVO insgesamt erhebliche negative Auswirkungen auf die Innovation in Europa hat. Zwar hat sie auch positive Auswirkungen auf die Innovation gehabt, doch scheinen die europäischen Unternehmen ironischerweise nicht sonderlich davon profitiert zu haben. Unternehmen, die die DS-GVO nicht einhalten, hätten Wettbewerbsvorteile gegenüber rechtlich konformen Unternehmen.
5.9 Veranstaltungen
5.9.1 Universität des Saarlandes – Öffentliche Vorlesungsreihe: Datenschutz in der Praxis
Im Wintersemester 2025/26 findet die öffentliche Vorlesungsreihe „Datenschutz in der Praxis“ statt. An insgesamt zehn Terminen im Zeitraum Januar bis März 2026 werden hochrangige Datenschutzexperten zu aktuellen Fragen des Datenschutzrechts aus Sicht der Praxis referieren. Es werden zahlreiche Landesdatenschutzbeauftragte als Gastdozenten fungieren.
Weitere Informationen und Anmeldung dazu hier.
- 17.02.2026, 18:00 – 19:30 Uhr, online: Entbürokratisierung oder Entkernung? An diesem Termin geht es um die Bestrebungen zur Reform der DSGVO und ihre Folgen für den Grundrechtsschutz. Es referiert die LfDI im Saarland. Der Teilnahmelink.
- 24.02.2026, 18:00 – 19:30 Uhr, online: KI und Datenschutz. An diesem Termin geht es um KI und Datenschutz: Wie geht das in der (Aufsichts-) Praxis zusammen? Es referiert der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. Der Teilnahmelink.
- 03.03.2026, 18:00 – 19:30 Uhr, online: Datenschutzrechtliche Bußgeldverfahren in der Praxis. An diesem Termin geht es um Datenschutzrechtliche Bußgeldverfahren in der Praxis. Es referiert der LfD Niedersachsen. Der Teilnahmelink.
- 10.03.2026, 18:00 – 19:30 Uhr, online: Zusammenspiel von KI-Verordnung und DS-GVO. An diesem Termin geht es um das Zusammenspiel von KI-Verordnung und DS-GVO. Es referiert der LfDI Baden-Württemberg. Der Teilnahmelink.
- 17.03.2026, 18:00 – 19:30 Uhr, online: Datenschutz bei Gericht. An diesem Termin geht es um Datenschutz bei Gericht. Es referiert der LfDI Mecklenburg-Vorpommern. Der Teilnahmelink.
- 24.03.2026, 18:00 – 19:30 Uhr, online: Grenzüberschreitender Datenverkehr – Status Quo. An diesem Termin geht es um den Status Quo beim grenzüberschreitenden Datenverkehr. Es referiert der TLfDI. Der Teilnahmelink.
- 31.03.2026, 18:00 – 19:30 Uhr, online: IT-Sicherheit und Datenschutz – Was muss, was darf? An diesem Termin geht es um „IT-Sicherheit und Datenschutz – Was muss, was darf?“ Es referiert die Landesbeauftragte für Datenschutz Schleswig-Holstein. Der Teilnahmelink.
5.9.2 Bucerius Alumni e.V.: Unternehmenstransaktionen und Datenschutz
18.02.2026, ab 19:00 Uhr, online: Bei der Veranstaltung „Personenbezogene Daten im Asset Deal“ werden Fragestellungen zu Unternehmenstransaktionen im Wege des Asset Deals behandelt. Die Übertragung personenbezogener Daten kann die Parteien und ihre Berater vor erhebliche Compliance-Herausforderungen stellen. Die Veranstaltung soll das Problem und ihre Lösung aus der Praxis des Datenschutz- und Gesellschaftsrechts beleuchten. Nach einem Impuls aus Sicht der Aufsichtsbehörde werden verschiedene Konstellationen und Herangehensweisen diskutiert. Zur Anmeldung klicken Sie hier.
5.9.3 Webinar: Automatisierte Vorurteile – Diskriminierungen durch KI im Arbeitsverhältnis -neu-
19.02.2026, 11:00 – 12:00 Uhr, online: Künstliche Intelligenz verändert nicht nur die Art und Weise, wie gearbeitet wird. Bereits heute kommen KI-Systeme auch bei der Anbahnung, Durchführung und Beendigung von Arbeitsverhältnissen zum Einsatz. Sie unterstützen bei komplexen Einstellungsentscheidungen, der Leistungs- und Verhaltensüberwachung von Mitarbeitenden sowie im Rahmen von Personalabbaumaßnahmen. Diese Einsatzbereiche bergen jedoch gleichzeitig erhebliche Risiken – für die betroffenen Mitarbeitenden ebenso wie für Unternehmen. Das unbewusste Fortschreiben diskriminierender Muster kann nicht nur wertvolles Potenzial ungenutzt lassen, sondern auch arbeits-, datenschutz- und haftungsrechtliche Konsequenzen nach sich ziehen. In diesem Webinar wird erläutert, wie Künstliche Intelligenz in der Personalarbeit effizient und rechtssicher eingesetzt werden kann, und aufgezeigt, welche Grenzen das Arbeitsrecht, das Datenschutzrecht sowie das KI-Recht setzen. Weitere Informationen und Anmeldung hier.
5.9.4 Vortragsreihe „Zukunftsdialog KI und Recht“ der SRH University Heidelberg
In der Veranstaltungsreihe der SRH University Heidelberg werden an verschiedenen Terminen verschiedene Themen vor Ort und online diskutiert. Mehr dazu hier. Das vollständige Programm ist hier hinterlegt. Der Zugangs-Link wird nach Anmeldung am Tag vor der Veranstaltung verschickt:
- 19.02.2026, 16:00 – 18:30 Uhr: „Verantwortung & Haftung im KI-Zeitalter“
Zwei Impulsvorträge zu „Entscheidungen durch Maschinen: Zurechnung und Haftung“ und „Menschliche Aufsicht & Kontrolle: Anforderungen, Grenzen und Zukunftsmodelle“. - 16.04.2026, 16:00 – 18:30 Uhr: „Kreativität, Markt & Macht“
Drei Impulsvorträge zu „Autorenschaft neu denken: Urheberrecht im KI-Zeitalter“, „KI, Markt und Macht: Wettbewerb im digitalen Zeitalter“ und „Europa als KI-Kontinent: Digitale Souveränität, Regulierung und globale Handlungsfähigkeit“.
5.9.5 ifKI: “KI-Recht und Datenschutz in der Praxis“
19.02.2026, ab 18:30 Uhr, online: Zwei Experten befassen sich mit dem Brückenschlag zwischen DS-GVO und KI-VO. Sie möchten praxisnah diskutieren und aufzeigen, welche Regeln gelten und wie man sie umsetzt. Sie befassen sich dabei mit Fragen wie Datenschutz und KI zwischen Datenminimierung und Verantwortungsdiffusion zusammengehen und warum es eine AI-Governance in Unternehmen braucht. Weitere Informationen und Anmeldung hier.
5.9.6 Webinar: “Digital Omnibus – What companies need to know now”
25.02.2026, 10:00 – 10:30 Uhr, 12:00 – 12:30 Uhr und 17:00 – 17:30 Uhr, online: Eine Kanzlei bietet drei Termine an, um auf Englisch über die relevanten Änderungsvorschläge aus dem Digitalen Omnibus zu informieren. Weitere Informationen und Anmeldung hier.
5.9.7 Öffentlicher Workshop: „Digitale Souveränität gestalten“ -neu-
26.02.2026, 11:00 – 15:00 Uhr, Magdeburg: Um die Wege zu mehr Unabhängigkeit und Resilienz in der Verwaltung Sachsen-Anhalts geht es in diesem Termin. Aktuelle Beispiele, wie die Umstellung des Internationalen Strafgerichtshofs auf deutsche Open-Source-Software, verdeutlichen die Notwendigkeit technische und rechtliche Abhängigkeiten zu reduzieren. Staaten wie Dänemark und die Schweiz fördern aktiv Open-Source-Lösungen, um ihre digitale Souveränität zu stärken, während Deutschland auf europäischer Ebene mit Initiativen wie dem „Euro Stack“ und dem deutsch-französischen Digitalgipfel Ende 2025 die Wettbewerbsfähigkeit Europas sichern will. Auf Länderebene setzt Schleswig-Holstein bereits voll auf Open-Source-Strategien, die als Vorbild für andere dienen können. Die rechtlichen Herausforderungen, insbesondere im Hinblick auf die US-Jurisdiktion, unterstreichen die Bedeutung einer umfassenden Verankerung digitaler Souveränität – technologisch, juristisch und organisatorisch. Der fachliche Austausch zwischen Wissenschaft, Verwaltung, IT-Wirtschaft und Praxis ist entscheidend, um nachhaltige Strategien zu entwickeln, die die digitale Unabhängigkeit und Handlungsfähigkeit der öffentlichen Verwaltung in Sachsen-Anhalt langfristig sichern. Der öffentliche Workshop findet in Magdeburg unter der Schirmherrschaft des CIO des Landes Sachsen-Anhalt, der Landesbeauftragten für den Datenschutz und der Otto-von-Guericke-Universität Magdeburg statt. Weitere Informationen und Anmeldung dazu hier.
5.9.8 Universität Graz: Orientierungsleitfaden „Soziale Arbeit und Künstliche Intelligenz“ -neu-
26.02.2026, 12:30 – 14:00 Uhr, online: Im Zentrum dieser Veranstaltung der Universität Graz steht die Frage, wie Fach- und Führungskräfte generative KI professionell und reflektiert einsetzen können und welche Rolle eine feministische Perspektive für einen praxisorientierten Ansatz spielt. Nach einem Impulsvortrag zu „Rage within the machine? KI aus Perspektive feministischer Digitalisierungsforschung“ mit anschließender Diskussionsrunde folgen Hinweise für die Praxis auf Basis eines digitalen Orientierungsleitfadens. Der Link zur Anmeldung. Der Orientierungsleitfaden wird danach hier veröffentlicht.
5.9.9 Veranstaltungsreihe: „The Hidden Threat – Resilienz erleben, Risiken verstehen, Zukunft sichern“ -neu-
Foryouandyourcustomers lädt zusammen mit der Hochschule der Bundeswehr zu einem Spielevent in München ein. Bei diesem Tabletop-Serious-Game geht es darum sich spielerisch mit Fragen zu Angriffen in den Lieferkette auseinanderzusetzen. Das analoge Lern- und Simulationsspiel wurde im Rahmen des Forschungsprojekts LIONS entwickelt – einem Ansatz, der Organisationen dabei unterstützt, widerstandsfähiger gegenüber Störungen, Cyberangriffen und Unsicherheiten in modernen Lieferketten zu werden.
Das Serious Game „The Hidden Threat“ zeigt spielerisch
- wie schnell digitale und physische Lieferketten ins Wanken geraten,
- welche Schwachstellen im Alltag oft unentdeckt bleiben,
- wie mit klaren Entscheidungen und guter Zusammenarbeit Ausfälle begrenzt werden können
- und wie Unternehmen resilienter, sicherer und agiler aufgestellt werden können.
Der Abend vermittelt Impulse und Denkanstöße zu Fragen wie:
- Wie gut sind wir auf Störungen vorbereitet?
- Wie erkennen wir Risiken früher?
- Wie verbinden wir operative Abläufe, Handel und Zusammenarbeit sicherer?
- Und wie können wir in schwierigen Situationen schneller und klarer reagieren?
Das Spiel wird an zwei Terminen angeboten:
- 26.02.2026, ab 17:00 Uhr, München: Weitere Informationen und Anmeldung hier.
- 12.03.2026, ab 17:00 Uhr, München: Weitere Informationen und Anmeldung hier.
5.9.10 Stiftung Datenschutz: Datensouveränität in der Frauengesundheit -neu-
11.03.2026, 09:00 – 15:30 Uhr, online: Der Vortrag gibt einen Einblick in die aktuelle Forschung zum Umgang mit Daten im Bereich der digitalen Frauengesundheit. Auf Basis von Analysen der Privacy Policies von FemTech-Anwendungen sowie den tatsächlichen Anforderungen und Erwartungen von Nutzerinnen wird sichtbar, wie bislang intransparente Datenpraktiken entstehen und welche konkreten Nachteile dies für Betroffene haben kann. Darauf aufbauend werden forschungsbasierte Ansätze vorgestellt, wie digitale Technologien echte Datensouveränität und Kontrolle für Nutzerinnen ermöglichen können. Weitere Informationen und Anmeldung hier.
5.9.11 Gautinger Internettreffen: Digitale Souveränität in der Jugendarbeit
24./25.03.2026, ab 18:00 Uhr, Gauting: Das Thema digitale Souveränität spielte in den letzten Jahren nur eine nachrangige Rolle in der öffentlichen Debatte – doch es ist ein immens wichtiges Anliegen, wie u.a. der Ausfall der AWS-Server im Oktober 2025 bewies, der diverse Dienste wie Signal, Slack und Snapchat beeinträchtigt hat. Auch bei Hard- und Software-Lösungen in der Bildungsarbeit (Dominanz von Microsoft 365 sowie iPad- bzw. Windows-Laptop-Klassen), bei Suchmaschinen (Google), KI-Tools (OpenAI) oder im Social Web (Meta) wird Monopolen bzw. Oligopolen oft sehr unkritisch gegenübergestanden, obwohl es alternative Lösungen gibt. Beim git26 (26. Gautinger Internettreffen) im März 2026 wird unter dem Titel „Digital und selbstbestimmt“ die Frage gestellt, wie eine souveräne Mediennutzung in der Jugendarbeit, der Schule und der Medienpädagogik gestaltet werden kann. Weitere Informationen hier und die Anmeldung dort.
5.9.12 BlnBfDI: 3. Fachtag „Datenschutz trifft Medienkompetenz“
25.03.2026, 09:00 – 15:30 Uhr, Berlin: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBfDI) und jugendnetz.berlin laden Fachkräfte der Kinder- und Jugendarbeit zum 3. Fachtag ein, um sich auszutauschen, wie auch in der Arbeit mit Kindern und Jugendlichen eine gute, zeitgemäße Medienarbeit unter Beachtung des Datenschutzes gelingen kann. Datenschutz und Medienkompetenz hängen eng miteinander zusammen, da die Nutzung von Medien und Technologie immer auch mit der Verarbeitung von persönlichen Daten verbunden ist. Es sei daher wichtig, dass Kinder und Jugendliche sowohl über entsprechende Kenntnisse im Bereich Datenschutz als auch über die notwendige Medienkompetenz verfügen, um ihre Privatsphäre und ihre persönlichen Daten im digitalen Zeitalter schützen zu können. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Digitale Souveränität … und die Kosten allein bei Lizenzen von Microsoft
Was zahlte der Bund in den Jahren 2023 – 2025 an Lizenzkosten an Microsoft? Wie hier berichtet wird, stiegen die Kosten von 274 Mio. € im Jahr 2023 auf 481,4 Mio. € im Jahr 2025. Wohlgemerkt, dass sind die Zahlen der Bundesregierung, die Ausgaben der öffentlichen Stellen der Länder kommen noch dazu, wie fast schon zu erwarten gibt es dazu keine zusammengeführten Zahlen.
Ergänzend dazu sei darauf hingewiesen, dass nach diesem Bericht der deutsche Hochschulsektor im Bereich Office-Software auf eine strategische Sackgasse zusteuert. Während Microsoft seine Office-Suite für Studierende kostenlos anbietet, kostet die staatseigene deutsche Alternative OpenDesk 45 Euro netto pro Nutzer und Jahr.
6.2 Überwachung 2.0 – In den USA oder auch bei uns?
In diesem Beitrag eines Magazins wird die Verwendung staatlicher Daten, deren Zusammenführung unter Trump auch mit Daten der Werbeindustrie und der Einsatz von moderner IT durch staatliche Stellen in den USA dargestellt. Sicherlich schwärmen weiterhin einige Personen nach USA-Aufenthalten davon, dass weniger Regulatorik und Datenschutz gute Begleiter sein mögen – aber diese Personen sind es dann oft auch, die in der Diskussion um eine Anpassung der DS-GVO über den Digitalen Omnibus Hinweise auf europäische Grundrechte als bürokratische Hürden bezeichnen.
Überlegungen, die Software des Unternehmens Palantir in Deutschland einzusetzen, gibt es auch auf politischer Ebene. Hintergründe dazu und Gründe dagegen finden sich u.a. hier. Auch gibt es bereits eine Petition dagegen.
Und offenbar scheint das Unternehmen nun auch anders um den europäischen Markt zu kämpfen und geht gegen Berichtserstattung zu seinem Geschäftsmodell wie hier in der Schweiz vor, wie hier berichtet wird.
Franks Nachtrag: Auch in Sachsen-Anhalt scheint Palantir in der Überlegung zu sein. Schade …
6.3 Fünfte Jahreszeit und Arbeitsrecht
Arbeitszeitbetrug, hemmungslose sexuelle Übergriffe, Verbreiten peinlicher Fotos, Belästigung von Minderheiten und abhängig Beschäftigten ….
Nein, wir reden hier nicht über die Geschäftsmodelle der Unternehmen einiger TechBros, in diesem Blog-Beitrag geht es um Situationen, die in Deutschland bei betrieblichen Veranstaltungen im Karneval / Fasching / Fasnet entstehen, und welche arbeitsrechtlichen Konsequenzen daraus folgen können.
6.4 Gerichtliche Überprüfung der Geschäftsmodelle von TikTok und „X“
Warum werden aktuell die Unternehmen TikTok und „X“ verklagt? Was wird ihnen vorgeworfen und welche Erkenntnisse liegen den Klagen bisher zugrunde? Dazu äußert sich einer der Klägervertreter in dieser Podcast-Folge (hier auf YouTube, Dauer jeweils ca. 63 Min.).
Es geht u.a. darum, ob TikTok seine Nutzer nicht nur innerhalb der eigenen Plattform, sondern auch darüber hinaus verfolgt, um umfassende Verhaltens- und Persönlichkeitsprofile für Werbe- und andere kommerzielle Zwecke zu erstellen. Und ist dies den betroffenen Personen bewusst oder geschieht dies heimlich? Gefährdet TikTok bewusst und systematisch Kinder und Jugendliche? Ist die App bewusst so gestaltet, dass sie süchtig macht? Aber nein, das Unternehmen beachtet natürlich den Jugendschutz – in China.
Und passend zu dem Thema ist hier noch ein Bericht, der sich mit der besonderen Anfälligkeit der Gehirne von Jugendlichen befasst. Er thematisiert die Ergebnisse, die australische Forschende in einer Überblicksstudie mit 71 Einzelstudien mit insgesamt 98.299 Teilnehmenden zusammengetragen und ausgewertet haben. Im Schnitt waren die Probanden der australischen Meta-Studie 23 Jahre alt. Der deutlichste Effekt der Kurzvideos zeigt sich im kognitiven Bereich und da vor allem im Bereich Aufmerksamkeit. Das heißt, jungen Menschen, die viele Kurzvideos konsumieren, fällt es schwerer sich einer bestimmten Aufgabe zu widmen – etwa dem konzentrieren Lesen eines Textes. Auch die Fähigkeit, knifflige Fragen Schritt für Schritt zu lösen, nimmt ab. Das Gehirn gerate in der bunten Bilderwelt in eine Art Rauschzustand, weil Dopamine, also Glückshormone, ausgeschüttet werden. Wer selbst etwas postet, bekommt manchmal überraschende Likes. Das heißt, andere klicken das Video und verteilen einen Daumen nach oben. Das ist ein Moment der Freude und das Belohnungssystem im Gehirn wird aktiviert. Nutzer wollen mehr von diesem guten Gefühl und legen das Handy nicht mehr weg. Erwachsene können die Apps meist wieder verlassen, weil ihr Gehirn nicht mehr so stark impulsgesteuert ist. Jugendlichen aber fällt es schwer zu widerstehen. Das liege am präfrontalen Kortex, wo unser Bewusstsein sitzt, das unter anderem Impulse kontrolliert. Erst im Alter von Mitte 20 ist er vollständig ausgebildet.
6.5 IHK München und Oberbayern: Digitalisierungsumfrage
Die Digitalisierung in bayerischen Unternehmen tritt auf der Stelle, ist die Kernaussage der Ergebnisse einer Befragung aus dem Jahr 2025 in Bayern. So bliebe eine Datennutzung schwierig: Größte Hürden seien rechtliche Unsicherheiten (55 %), technische Hemmnisse (55 %), fehlendes Know-how (37%) und mangelnde Datenqualität (34 %). Zusätzlich fehle vielen Unternehmen die Awareness, welche Daten überhaupt existieren. Mehr als die Hälfte (61 %) teilt keine Daten über gesetzliche Pflichten hinaus.
Hinsichtlich der Fragen zur IT-Sicherheit und Cyberangriffen war fast jeder fünfte Betrieb 2025 von einem erheblichen Cyberangriff betroffen. Häufigste Angriffsarten: Betrug, Ransomware und Spionage (je 29 %). IT-Sicherheitsmaßnahmen wie Backups (89 %) und Updates (89 %) sind Standard, aber Notfallübungen (16 %) und Penetrationstests (34 %) bleiben kritisch niedrig – besonders bei KMU.
Die fehlende digitale Souveränität wurde angesprochen: Unternehmen seien stark abhängig von externen Technologien. Bei Office-Software und Betriebssystemen sind rund 70 % abhängig, bei Cloud und Hardware über 50 %.
6.6 Interdisziplinäre Betrachtung der „Chatkontrolle“
Die Folgen des Scannens von Kommunikationsvorgängen mit dem Ziel des Kinderschutzes werden kontrovers diskutiert und im Allgemeinen mit dem Begriff „Chatkontrolle“ zusammengefasst.
Welche technische, rechtliche und soziologische Problemfelder eine Realisierung dieses Vorhabens eröffnen würden, wird in diesem Blog-Beitrag beleuchtet. Er entstand im Umfeld eines Forschungsprojektes zu „Staatlichen Eingriffen in private Endgeräte zur Strafverfolgung“ (SEpES).
7 Sonstiges/Blick über den Tellerrand
7.1 Netflix und Synchronsprecher:innen
Stellt Sie sich vor, Sie haben ein Produkt und Ihr Kunde verlangt, dass er Sie nur einmal dafür bezahlt und Ihr Produkt dann immer wieder verwenden darf. So geht es Synchronsprecher:innen mit dem neuen Vertragsangebot in der sogenannten AOR-Vereinbarung (Assignment of Rights Agreement) von Netflix, das deren Produktionen betrifft, die mit deutschen Stimmen und Sprachen versehen werden sollen. Diese vertragliche Vorgabe wird nun rechtlich überprüft, wie hier berichtet wird. Grundlage der Bedenken finden sich in diesem Rechtsgutachten. Das Gutachten empfiehlt bestimmte Klauseln in Verträgen, die eine Nutzung der Stimme für KI-Training erlauben oder eine nachträgliche Auskunft verweigern, nicht zu unterschreiben. Es wird darauf hingewiesen, dass die Unwirksamkeit von Klauseln oft individuell gerichtlich durchgesetzt werden muss.
7.2 Förderprogramm der Bzkj fördert kindgerechte digitale Angebote
Die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) fördert bereits zum dritten Mal innovative digitale Angebote und Maßnahmen mit überregionaler Bedeutung, die Kindern altersgerechte digitale Erfahrungen ermöglichen. In diesem Jahr liegt der Fokus auf Interaktion, Teilhabe, KI und Demokratiefähigkeit. Maßnahmen, die Kinder und Jugendliche aktiv einbinden, sind besonders förderungswürdig. Dazu stellt die BzKJ insgesamt bis zu 200.000 Euro zur Verfügung.
Weitere Details zu Antragstellung und Kontaktdaten für Rückfragen sind dem Förderprogramm zu entnehmen. Vollständige Bewerbungen sind bis zum 27.02.2026 einzureichen. Die Maßnahme kann frühestens ab dem Zeitpunkt der Bewilligung beginnen und muss bis zum 30.11.2026 abgeschlossen sein.
7.3 bkj: Tool zur Risikoanalyse zum Schutzkonzept für Kinder- und Jugendliche
Alle Organisationen, die mit Kindern und Jugendlichen arbeiten, müssen laut § 1 Abs. 2 Antimissbrauchsbeauftragtengesetz (UBSKMG) von 2025 ein Schutzkonzept vorweisen. Zu einem Schutzkonzept gehört immer auch eine Risiko- und Potenzialanalyse. Sie ist die Basis, auf der notwendige Schutzmaßnahmen aufbauen. Die Bundesvereinigung Kulturelle Kinder- und Jugendbildung e.V. (BKJ) bietet dazu ein Tool zur Risikoanalyse an. Dieses Tool soll diesen Prozess, insbesondere die Zusammenarbeit mit Kindern, Jugendlichen, Erziehungsberechtigten und Mitarbeiter:innen, unterstützen.
7.4 Nacktbilder in der Schule
An einer Schule in der Steiermark ist erstmals ein Schüler suspendiert worden, weil er Fotos von Mitschülerinnen gemacht und daraus mithilfe einer KI sexualisierte Bilder erstellt haben soll. Der Fall wurde von ORF Steiermark berichtet. Möglich gemacht worden sein soll die Manipulation unter anderem durch „Grok“, die KI von X. Solche Tools können reale Fotos so verändern, dass Kleidung digital entfernt oder Körper künstlich sexualisiert dargestellt werden.
Eine rechtliche Einordnung für Deutschland und Österreich finden sich hier, ebenso Hinweise, wie sich Eltern verhalten können, wenn ihr Kind betroffen ist.
8. Franks Zugabe
8.1 Apropos KI …
… fällt heute aus.
Stattdessen habe ich die sehr hörenswerte Kurz-Geschichte „Lily, The Immortal“ (Dauer ca. 58 Min.) der Autorin Kylie Lee Baker gelesen von Wil Wheaton für Sie. Wenn Sie auf englisch-sprachige Kurzgeschichten stehen, dann nehmen Sie das gleich auch noch als Podcast-Empfehlung, bisher hat mich jede Geschichte aus dieser Reihe irgendwie berührt.
8.2 Meine Recherchen zu OpenClaw
Angefangen hat es mit einem normalen Artikel zu KI, eigentlich sogar zweien bei einer Quelle, die ich regelmäßig nach für mich interessanten Inhalten durchsuche. Aber dann ging es weiter mit einer Erwähnung in einem Newsletter eines Autors, den ich für manche seiner Bücher schätze. Der wiederum auf einen Experten verwies, der aus nachvollziehbaren Gründen sein OpenClaw-Experiment abgebrochen hat.
Und meine Recherche endet momentan mit dieser Meldung, die meine Meinung zu OpenAI jetzt nicht wirklich erschüttert… Es wächst zusammen, was zusammen gehört.
8.3 10 Thoughts On “AI,” February 2026 Edition
Sie merken, ich stehe auf englisch-sprachige Autoren. John Scalzi hatte ich ja bereits das eine oder andere Mal verlinkt, dieser hat sich mal wieder zu KI und seiner Autoren-Tätigkeit geäußert. Wenn Sie so etwas interessiert, dann klicken Sie hier.
9. Die gute Nachricht zum Schluss
9.1 Cyber Risk – WarnApp
Zum Safer Internet Day veröffentlichte ein Unternehmen eine App zur Warnung vor Cyberangriffen. Der Cyber Risk Observation Service, kurz CYROS, verbindet konkrete Vorfälle im Cyberraum mit Hilfestellungen zum Selbstschutz. Diese Informationen sind auch im Netz verfügbar. Bericht dazu hier.