Hier ist der 39. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 08/2026)“ – Die DVD-Edition.

Und wieder bekommen Sie eine neue Ausgabe in unserer Blog-Reihe, passend zum Equal-Pay-Day 2026, zu dem wir auch eine Meldung haben. Was haben wir noch? Einige neue Veranstaltungen, neben andere Urteilen ein spannendes Urteil zum Recht auf Auskunft, diverse Meldungen rund um KI, Meldungen zum siebten, dem Digitalen Omnibus, und etwas zum geplanten Social-Media-Verbot.

1. Aufsichtsbehörden
   1. EDSA: Antwort auf offenen Brief zum Einsatz von Spionage-Software in der EU
   2. EDSA: Bericht zum Stakeholder-Einbezug zur Anonymisierungs-Guideline
   3. EDSA: Bericht zur gemeinsamen Prüfung (CEF) zu Löschverpflichtungen
   4. DSK: Abschlussbericht zur gemeinsamen Prüfung der Löschverpflichtung
   5. BfDI: Auszeichnung als innovative Aufsicht bei Sandbox-Projekt
   6. BfDI: Teilnahme am Girl´s Day
   7. NRW: TÜV-Nord-Kriterien für Datenschutz-Zertifizierung genehmigt
   8. Rheinland-Pfalz: Wahlwerbung per Post und Datenschutz
   9. Berlin: Rede zur Vorstellung des Jahresberichts 2024
   10. Hamburg: Post vom Inkassodienstleister
   11. Sachsen-Anhalt: Podcast-Gast zum Minderjährigenschutz
   12. Österreich: Datenschutzverletzung bei unerlaubter Veröffentlichung eines Protokolls
   13. Spanien: Leitlinien für KI-Agenten
   14. Spanien: Bußgeld gegen Auftragsverarbeiter wegen unerlaubtem weiteren Auftragsverarbeiter
   15. Irland: Untersuchung gegen X wegen Deepfake Porn-Darstellungen
   16. Spanien: Warnung gegen World (vormals Worldcoin)
   17. Spanien: Sanktionierung bei verpflichtender Nutzung von Privatgeräten zur Authentifizierung
   18. ENISA: Methodik für Cybersicherheitsübungen
2. Rechtsprechung
   1. ArbG Offenbach: Kündigung bei Verletzung von Überwachungspflichten
   2. VG Düsseldorf: Löschung bei Antrag auf Auskunft
   3. Cour d´ Appel de Paris: Begrenzung des Auskunftsanspruchs ehemaliger Beschäftigter
   4. Conseil d´Etat: Anforderungen an Pseudonymisierung und Anonymisierung
   5. EuGH-Vorschau: Auskunft, Missbrauch und Schadenersatz (C-526/24 Brillen Rottler)
3. Gesetzgebung
   1. EU-Parlament: Digitaler Omnibus zur KI
   2. Digitaler Omnibus zur DS-GVO
   1. Digitaler Omnibus zur DS-GVO – Drittstaatentransfer
   2. Digitaler Omnibus zur DS-GVO – bitkom: Position Paper zum Digitalen Omnibus
   3. Digitaler Omnibus zur DS-GVO – Position der EU-Mitgliedsstaaten
   3. Widerrufbutton nach § 356a BGB-neu ab 19. Juni 2026
   4. Neues KDG in Kraft
4. Künstliche Intelligenz und Ethik
   1. Gesundheitspolitik und KI
   2. Warnung vor KI
   3. EU-Parlament und KI
   4. Europäische Abhängigkeiten
   5. Memorisierung und KI
   6. Urheberrechtsschutz bei Musik
   7. Spanien: Richtlinien zur Einhaltung der KI-VO auf Englisch
   8. LLM und Daten zum Steuerrecht
   9. OECD: Due-Diligence-Leitlinien für verantwortungsvolle KI
   10. DIN SPEC 91527:2025-12 Ziele, Methoden und Metriken für KI
   11. OpenAI und Vorhersagen von Verbrechen
5. Veröffentlichungen
   1. Stiftung Datenschutz zu Bodycams im Bahnbetrieb
   2. Löschverpflichtung in Backups?
   3. Die ambivalente Rolle der IT-Sicherheit im Kontext des Datenschutzrechts
   4. SURF: DSFA für Adobe Creative Cloud & Document Cloud for Education
   5. Risiko der Lieferkette
   6. IT-Forensik im Podcast
   7. Podcast zu Anforderungen bei Zweckänderungen
   8. Einwilligung in Verarbeitung und in KI-Nutzung
   9. Veranstaltungen
      1. Fachgruppe Privacy Enhancing Technologies der Gesellschaft für Informatik: Anonymisierung und rechtliche Rahmenbedingungen in Forschungsdatenzentren -neu-/a>
      2. Universität des Saarlandes – Öffentliche Vorlesungsreihe: Datenschutz in der Praxis -neu-
      3. CCC Frankfurt und ReaLRM: Abgehängt durch Digitalisierung?! -neu-
      4. Stiftung Datenschutz: Datensouveränität in der Frauengesundheit
      5. Veranstaltungsreihe: „The Hidden Threat – Resilienz erleben, Risiken verstehen, Zukunft sichern“
      6. BzKJ: Schutz, Befähigung, Teilhabe: Indizierung jugendgefährdender Medien -neu-
      7. Kinderrechte digital: Workshopangebote für Erkenntnisse einer Expertenkommission -neu-
      8. Gautinger Internettreffen: Digitale Souveränität in der Jugendarbeit
      9. BlnBfDI: 3. Fachtag „Datenschutz trifft Medienkompetenz“
      10. Vortragsreihe „Zukunftsdialog KI und Recht“ der SRH University Heidelberg
      11. AI Transparency Conference -neu-
6. Gesellschaftspolitische Diskussionen
   1. Saugroboter und Möglichkeiten der Fernsteuerung
   2. Social-Media-Verbote für Jugendliche
   1. Social-Media-Verbote für Jugendliche – Auswirkungen eines Social-Media-Verbots
   2. Social-Media-Verbote für Jugendliche – DAK-Studie zu Social-Media-Sucht
   3. Social-Media-Verbote für Jugendliche – Geschäftsmodell des Grauens
7. Sonstiges / Blick über den Tellerrand
   1. Digitale Plattformen in den USA und ICE
8. Franks Zugabe
   1. Apropos KI …
   2. Hacking Things, heute: Rollstühle
   3. Apropos Hacker
   4. Sie suchen Alternativen?
   5. Und noch eine geplante Überwachungsmöglichkeit
9. Die gute Nachricht zum Schluss
   1. Girl´s Day und Equal Pay Day 2026

Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 EDSA: Antwort auf offenen Brief zum Einsatz von Spionage-Software in der EU

Der EDSA veröffentlichte seine Antwort auf einen offenen Brief der Zivilgesellschaft vom Juni 2025 zu Fällen von Spyware-Missbrauch in der EU. In der Antwort legt der EDSA die davon betroffenen europarechtlichen Grundlagen dar. Auch versichert der EDSA, er werde weiterhin die Verwendung solcher Spyware zu Überwachungszwecken im Auge behalten, gegebenenfalls auch durch die Analyse der Verwendung dieser und ähnlicher Technologien. Der EDSA will auch weiterhin die Zusammenarbeit zwischen den Datenschutzbehörden unterstützen, um die Grundrechte der EU-Bürger, insbesondere ihr Recht auf Privatsphäre und Datenschutz, zu gewährleisten.

zurück zum Inhaltsverzeichnis

1.2 EDSA: Bericht zum Stakeholder-Einbezug zur Anonymisierungs-Guideline

Der EDSA scheint auf der Zielgeraden zur Leitlinie zur Anonymisierung zu sein. Nach dem Urteil des EuGH (C-413/23) (wir berichteten) bot er einen Stakeholder-Einbezug im Dezember 2025 an, zu dem er nun einen Bericht veröffentlichte. 115 Einrichtungen und Personen nahmen teil, deren Rückmeldungen in vier Fragen zusammengefasst werden. Sie finden sich hier.

zurück zum Inhaltsverzeichnis

1.3 EDSA: Bericht zur gemeinsamen Prüfung (CEF) zu Löschverpflichtungen

Der EDSA hat seinen Bericht zu seiner Maßnahme des Coordinated Enforcement Framework (CEF) zum Recht auf Löschung oder das „Recht auf Vergessenwerden“ (Art. 17 DS-GVO) verabschiedet. Das Recht auf Löschung ist eines der am häufigsten ausgeübten Rechte der DS-GVO und eines, über das Datenschutzbehörden häufig Beschwerden von Einzelpersonen erhalten. Der EDSA hat außerdem gute Praktiken und die wichtigsten damit verbundenen Herausforderungen identifiziert, mit dem Ziel weitere Leitlinien zu diesem Thema zu geben.
Der Bericht listet die festgestellten Probleme auf und enthält eine Reihe von Empfehlungen an die für die Verarbeitung Verantwortlichen, um ihnen bei der Umsetzung des Rechts auf Löschung zu helfen. Sieben wiederkehrende Hauptherausforderungen wurden von den Datenschutzbehörden identifiziert. Die Ergebnisse bestätigten einige der Erkenntnisse der koordinierten Maßnahme des Jahres 2024 zum Recht auf Auskunft, beispielsweise in Bezug auf das Fehlen geeigneter interner Verfahren zur Bearbeitung von Anträgen oder auf die unzureichende Information der betroffenen Personen. Darüber hinaus berichteten die teilnehmenden Datenschutzbehörden über spezifische Erkenntnisse im Zusammenhang mit der Verwendung ineffizienter Anonymisierungstechniken durch einige Verantwortliche zur Bearbeitung von Anträgen auf Löschung als Alternative zur Löschung. Die Datenschutzbehörden stellten auch uneinheitliche Praktiken und Schwierigkeiten der für die Verarbeitung Verantwortlichen bei der Festlegung von Aufbewahrungsfristen und der Löschung personenbezogener Daten im Zusammenhang mit Sicherungskopien fest.
Da das Recht auf Löschung kein absolutes Recht ist, haben einige für die Verarbeitung Verantwortliche außerdem Schwierigkeiten bei der Beurteilung und Anwendung der Bedingungen für die Ausübung dieses Rechts, einschließlich der Durchführung der verschiedenen Abwägungsprüfungen zwischen dem Recht auf Löschung und anderen Rechten und Freiheiten.

zurück zum Inhaltsverzeichnis

1.4 DSK: Abschlussbericht zur gemeinsamen Prüfung der Löschverpflichtung

Auch die Datenschutzkonferenz informiert zum Abschlussbericht zur gemeinsamen Prüfung der Löschverpflichtung. Aus Deutschland haben sich die Aufsichtsbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz sowie die BfDI beteiligt, die dazu teilweise auch eigene Pressemeldungen veröffentlichten, wie z.B. Niedersachsen.

zurück zum Inhaltsverzeichnis

1.5 BfDI: Auszeichnung als innovative Aufsicht bei Sandbox-Projekt

Die BfDI informiert, dass ihre Behörde zum zweiten Mal mit dem „Most Innovative Regulator Award“ im Rahmen der „European Blockchain Sandbox“ ausgezeichnet wurde.
Die Blockchain Sandbox ist ein Projekt der Generaldirektion CNECT der Europäischen Kommission, bei dem innovative Blockchain-Projekte aus unterschiedlichen Branchen zusammen mit Aufsichtsbehörden regulatorische Fragen zu konkreten Anwendungsfällen klären konnten. Besonderer Fokus lag dabei auf Innovationen aus dem Finanzsektor, wo Blockchain-Technologien besonders breite Anwendung finden. Mehr zu den Sandbox-Projekten findet sich hier und da.

zurück zum Inhaltsverzeichnis

1.6 BfDI: Teilnahme am Girl´s Day

Junge weibliche Personen können den Girl´s Day am 23. April 2026 auch bei der BfDI verbringen, wie diese informiert. Mit zwei verschiedenen Angeboten wird Schülerinnen ab der 7. Klasse die technische Innenwelt einer Datenschutzbehörde gezeigt. Die Technikabteilung zeigt, welche Spuren man im Internet hinterlässt und wie man das genau herausfinden kann. Außerdem soll es Einblicke in das IT-Labor geben. Dort testen die Teilnehmerinnen Webseiten und smarte Geräte auf ihre Datenverarbeitungen. Im zweiten Angebot erfahren die Teilnehmerinnen, wie das digitale Rückgrat einer Behörde aussieht und funktioniert. Hier können die Teilnehmerinnen herausfinden, welche Spuren im Internet hinterlassen werden und welche Rechte sie im Bezug auf die Daten haben.

zurück zum Inhaltsverzeichnis

1.7 NRW: TÜV-Nord-Kriterien für Datenschutz-Zertifizierung genehmigt

Die LDI NRW informiert, dass sie die Kriterien für Datenschutz-Zertifizierung des TÜV Nord genehmigt habe. Der Kriterienkatalog „Trusted Site Data Privacy“ für Prüfungen der Konformität einer IT-Lösung zur Europäischen Datenschutz-Grundverordnung ist hier veröffentlicht.
Sein Einsatzbereich wird mit Datenverarbeitung in Prozessen oder mit Hilfe mehrerer Prozesse/Systeme durch Verantwortliche oder Auftragsverarbeiter beschrieben. Anhand dieser Kriterien kann eine Zertifizierungsstelle prüfen, ob die IT-Anwendung eines Unternehmens dem europäischen Datenschutzrecht entspricht.
Das TÜV-Programm ist für Unternehmen gemacht, die Daten verarbeiten, sowie für diejenigen, die das im Auftrag eines Unternehmens tun. Im Detail geht es um Datenverarbeitungen durch sogenannte informationsverarbeitende Services (IVS). Darunter versteht man etwa Online-Banking-, Buchhaltungs- und KI-Systeme oder auch Suchmaschinen. Zur Erbringung der IVS können sowohl Software- als auch kombinierte Soft- und Hardwarelösungen zum Einsatz kommen. Der Zertifizierungsprozess, der durch eine spezielle Zertifizierungsstelle erfolgt, umfasst in der Regel eine detaillierte Prüfung der Verarbeitungsvorgänge in dem jeweiligen Unternehmen. Dabei werden die technischen und organisatorischen Maßnahmen sowie die Einhaltung der Prinzipien der Datenschutz-Grundverordnung überprüft. 
Neben der Prüfung durch die LDI NRW ist das TÜV-Programm auch vom Europäischen Datenschutzausschuss abgenommen worden.

zurück zum Inhaltsverzeichnis

1.8 Rheinland-Pfalz: Wahlwerbung per Post und Datenschutz

Der LfDI Rheinland-Pfalz informiert auf seiner Webseite zu den gesetzlichen Grundlagen, wann und wie Parteien vor Wahlen wahlberechtigte Bürger:innen per Post kontaktieren können. Und wie dagegen Widerspruch eingelegt werden kann, wenn das nicht gewünscht wird. Auch verlinkt er innerhalb seiner Seite auf Fragen (und Antworten) dazu.

zurück zum Inhaltsverzeichnis

1.9 Berlin: Rede zur Vorstellung des Jahresberichts 2024

Die Rede, die die Berliner BfDI vor dem Abgeordnetenhaus von Berlin zur Stellungnahme des Berliner Senats zum Jahresbericht 2024 gehalten hat, hat sie auf ihrer Webseite veröffentlicht.

zurück zum Inhaltsverzeichnis

1.10 Hamburg: Post vom Inkassodienstleister

Angesichts der Fragestellungen, die im Umfeld von Inkassodienstleistungen bei den Adressaten auftauchten und an ihn gerichtet wurden, hat der HmbBfDI eine FAQ-Liste veröffentlicht. Hervorzuheben ist dabei die Aussage des HmbBfDI in Frage 9, dass hinsichtlich der Frist in Art. 12 Abs. 3 DS-GVO zur Umsetzung der Betroffenenrechte kürzere Fristen durch den Verantwortlichen nicht zu beachten seien. Das sahen Arbeitsgerichte bei Auskunftsbegehren auch schon mal anders (wir berichteten).

zurück zum Inhaltsverzeichnis

1.11 Sachsen-Anhalt: Podcast-Gast zum Minderjährigenschutz

Die LfD Sachsen-Anhalt war Gast in einer Podcast-Folge (Dauer ca. 73 Min.), der das Thema Minderjährigenschutz im Netz aufgriff. Sie schildert darin u.a. ihre Aktivitäten und diejenigen der DSK.

zurück zum Inhaltsverzeichnis

1.12 Österreich: Datenschutzverletzung bei unerlaubter Veröffentlichung eines Protokolls

In Österreich gibt es als datenschutzrechtliches Aufsichtsorgan im Parlament das Parlamentarische Datenschutzkomitee. Dieses hat nun seine erste Entscheidung veröffentlicht, als es die Beschwerde hinsichtlich einer Veröffentlichung eines wörtlichen Protokolls über die öffentliche Befragung des Beschwerdeführers in einem Untersuchungsausschuss unter Nennung seines vollständigen Vor- und Nachnamens behandelte. Durch diese Veröffentlichung landeten diese personenbezogenen Daten auf der Website des Parlaments. Das Parlamentarische Datenschutzkomitee gab der Beschwerde statt.

zurück zum Inhaltsverzeichnis

1.13 Spanien: Leitlinien für KI-Agenten

Die spanische Aufsicht AEPD veröffentlicht Leitlinien zu KI-Agenten aus Sicht des Datenschutzes. Die Erkenntnissen draus überraschen kaum: Agentische KI sind KI-Systeme, die nicht nur in der Lage sind Fragen zu beantworten, sondern auch autonom zu interagieren, um Ziele zu erreichen. Und die Fähigkeiten agentischer KI-Systeme bringen in vielerlei Hinsicht neue Herausforderungen mit sich, darunter auch im Zusammenhang mit dem Schutz personenbezogener Daten.
Das Dokument enthält aber auch Maßnahmen, die ein Verantwortlicher oder ein Auftragsverarbeiter ergreifen könnte, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten.

zurück zum Inhaltsverzeichnis

1.14 Spanien: Bußgeld gegen Auftragsverarbeiter wegen unerlaubtem weiteren Auftragsverarbeiter

Die spanische Aufsicht AEPD gab bekannt, dass sie eine Geldstrafe gegen einen Auftragsverarbeiter verhängte, weil er ohne vorherige spezifische oder allgemeine schriftliche Genehmigung des Verantwortlichen einen Unteraustragsverarbeiter beauftragt hatte. Eine Bank beauftragte ein Kurierunternehmen, um sensible Dokumente von einem Kunden abholen zu lassen. Doch die Dokumente kamen nie bei der Bank an. Im Nachgang stellte sich heraus, dass das beauftragte Kurierunternehmen einen Subdienstleister hatte, der auch einen Sub-Dienstleister einsetzte.
Die Quittung: 15.000 Euro Strafe. Davon 5.000 Euro gegen das Kurierunternehmen wegen Verstoß gegen Art. 28 Abs. 2 DS-GVO, weil es ohne vorherige schriftliche Genehmigung des Verantwortlichen einen Unterauftragsverarbeiter eingesetzte. Weitere 5.000 Euro, weil es seine Pflicht verletzt hatte, den Verantwortlichen über die Beauftragung eines weiteren Subunternehmens durch den ersten Subunternehmen zu informieren, und schließlich nochmal 5.000 Euro, weil kein Unterauftragsvertrag mit dem ersten Sub-Unternehmen gemäß den Anforderungen der DS-GVO vorlag. Die Dokumente tauchten übrigens nicht mehr auf.

zurück zum Inhaltsverzeichnis

1.15 Irland: Untersuchung gegen X wegen Deepfake Porn-Darstellungen

Die irische Datenschutzkommission (DPC) gab bekannt, dass sie eine Untersuchung zu „X“ (X Internet Unlimited Company, XIUC) eingeleitet hat. Die Untersuchung betrifft die offensichtliche Erstellung und Veröffentlichung potenziell schädlicher, nicht einvernehmlicher intimer und / oder sexualisierter Bilder auf der Plattform X, die personenbezogene Daten von betroffenen Personen aus der EU / dem EWR, darunter auch von Kindern, enthalten oder anderweitig deren Verarbeitung beinhalten, unter Verwendung generativer künstlicher Intelligenz-Funktionen, die mit dem großen Sprachmodell Grok innerhalb der Plattform X verbunden sind.
Mit der Untersuchung soll festgestellt werden, ob XIUC seinen Verpflichtungen gemäß der DS-GVO nachgekommen ist, einschließlich seiner Verpflichtungen gemäß Art. 5, Art. 6, Art. 25 und Art. 35 DS-GVO in Bezug auf die verarbeiteten personenbezogenen Daten von betroffenen Personen aus der EU / dem EWR.

zurück zum Inhaltsverzeichnis

1.16 Spanien: Warnung gegen World (vormals Worldcoin)

Die spanische Datenschutzaufsicht AEPD informiert, dass sie eine Warnung an das Projektunternehmen World (Tools for Humanity) vor der Wiederaufnahme ihrer Aktivitäten in Spanien erlässt.
Das Unternehmen Tools for Humanity kündigte daraufhin an, die Wiederaufnahme seiner Aktivitäten in Spanien vorübergehend zu verschieben, während einige Aspekte des Datenschutzes überprüft werden. Das Unternehmen muss in seiner Wirkungsbewertung die Notwendigkeit und Verhältnismäßigkeit der zu implementierenden Behandlung begründen und die Risiken managen, indem wirksame Maßnahmen angewendet werden, die eine akzeptable Risikoschwelle während des gesamten Lebenszyklus der Behandlung garantieren.
Die AEPD weist darauf hin, dass die Warnung Teil der präventiven Aufgaben der Aufsicht sei und angewandt wird, wenn die geplanten Verarbeitungsvorgänge gegen die Bestimmungen der DS-GVO verstoßen könnten, so dass der Datenverantwortliche die entsprechenden Kriterien aus ihr extrahieren und gegebenenfalls die Vorgaben der von ihm beabsichtigten Datenverarbeitung daran anpassen kann.
Die Firma Tools for Humanity hat in Deutschland ihre Hauptniederlassung in Europa. Damit ist die Aufsichtsbehörde an deren Sitz, hier das BayLDA, als federführende Behörde zuständig. Zu dem Vorgang beim BayLDA und dessen Entscheidung hatten wir bereits mehrfach informiert, wie hier und da.

zurück zum Inhaltsverzeichnis

1.17 Spanien: Sanktionierung bei verpflichtender Nutzung von Privatgeräten zur Authentifizierung

Das hätte sich das Unternehmen sparen können. 80.000 Euro Bußgeld durch die spanische Aufsicht AEPD, das dann noch auf 48.000 reduziert wurde, weil das Vergehen anerkannt und die Strafe akzeptiert wurde. Beschäftigte mussten den Zugang zu dienstlich erforderlichen Accounts über ihr privates Smartphone als zweiten Faktor authentifizieren, dazu wurden dann die privaten Daten an Dritte weitergegeben. Der Datenschutzbeauftragte des Unternehmens sprach sich gegen diese Vorgehensweise aus. Eine Authentifizierung über die dienstliche E-Mail-Adresse wollte die Unternehmensleitung nicht.
Die AEPD erkannte dafür keine Rechtsgrundlage, auch nicht nach Art. 6 Abs. 1 lit. b DS-GVO. Dieser decke keine Verarbeitungen ab, die zwar nützlich, aber objektiv nicht erforderlich sind, um die vertraglich vereinbarte Dienstleistung zu erbringen oder die vorvertraglichen Maßnahmen auf Antrag der betroffenen Person durchzuführen, selbst wenn sie für andere geschäftliche Zwecke des für die Verarbeitung Verantwortlichen erforderlich sind.
Die Nutzung des privaten Mobiltelefons kann nicht als für die Ausübung des Arbeitsverhältnisses erforderlich angesehen werden, und die Einwilligung ist keine gültige Grundlage, wenn dem Arbeitnehmer keine Alternative angeboten wird, die keine Verarbeitung seiner personenbezogenen Daten beinhaltet (mit Verweis auf die Leitlinien 2/2017 des EDSA).
Die Möglichkeit, dass der Arbeitgeber die Mobiltelefone und Mobilfunkleitungen des Arbeitnehmers für berufliche Zwecke nutzt, setze voraus, dass diese Nutzung vom Betroffenen freiwillig und frei gewählt wurde, nachdem er die vorgesehenen Informationen über die Verarbeitung seiner personenbezogenen Daten und über die Möglichkeit, die erteilte Einwilligung jederzeit und ohne nachteilige Folgen zu widerrufen, erhalten hat. Diese ausdrückliche Willensbekundung könnte unter anderem dann als frei verstanden werden, wenn das Unternehmen zuvor eine Alternative angeboten hätte. In jedem Fall muss der Arbeitgeber und Verantwortliche für die Verarbeitung personenbezogener Daten außerdem sicherstellen, dass Unternehmensanwendungen keinen Zugriff auf die privaten Daten seiner Mitarbeiter erlangen können und dass eine technische Trennung zwischen der beruflichen und privaten Nutzung der Mobiltelefone der Arbeitnehmer besteht.

zurück zum Inhaltsverzeichnis

1.18 ENISA: Methodik für Cybersicherheitsübungen

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) setzt sich für ein hohes gemeinsames Niveau der Cybersicherheit in ganz Europa ein. Nun hat sie ihre Methodik für Cybersicherheitsübungen veröffentlicht, die darauf abzielt Organisationen bei der Entwicklung wirksamer Cybersicherheitsübungen von Anfang bis Ende zu unterstützen und anzuleiten.
Die Methodik soll einen umfassenden theoretischen Rahmen für die Planung, Durchführung und Bewertung von Cybersicherheitsübungen bieten. Sie will sicherstellen, dass die richtigen Profile und Interessengruppen zum richtigen Zeitpunkt einbezogen werden. Dazu bietet sie theoretisches Material auf der Grundlage von gewonnenen Erkenntnissen, bewährte Verfahren der Branche und Cybersicherheitskompetenz. Die Methodik ist für die Verwendung zusammen mit einem Support-Toolkit konzipiert, das eine Reihe von Vorlagen und Leitfäden enthält, mit denen Planer effektive Übungen organisieren können.

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 ArbG Offenbach: Kündigung bei Verletzung von Überwachungspflichten

Das ArbG Offenbach musste sich mit Kündigungsfragen aufgrund des Vorwurfs der Verletzung von Überwachungspflichten befassen. Einem General Counsel / Chefjustiziar wurde vorgeworfen, die ihm obliegenden Überwachungs-, Kontroll- und Schadensabwehrpflichten bei der Bearbeitung einer Whistleblower-Anzeige über einen längeren Zeitraum schuldhaft verletzt zu haben. Das Gericht stellt dazu unter Ziffer I.I 3 a) (a.) fest, dass der Kläger auf Grund seiner herausgehobenen Positionen gegen die besonderen Überwachungs-, Kontroll- und Schadensabwehrpflichten dadurch verstoßen hat, dass er untätig geblieben ist, als der Compliance Officer nach Eingang der Whistleblower-Anzeige entgegen der Verfahrensordnung nicht die Konzernrevision in die Untersuchung eingebunden hat, dass er nicht kontrolliert hat, ob allen Vorwürfen des Whistleblowers hinreichend nachgegangen worden ist und dass er nicht Sorge dafür getragen hat, dass der vorgeschriebene Abschlussbericht fristgerecht erstellt wird und dass die Antwort an den Whistleblower und die Aufsichtsgremien den Tatsachen entsprechend erfolgt ist. Der Kläger hätte die Abweichungen von der Verfahrensordnung ebenso erkennen können wie den Umstand, dass der Abschlussbericht die gerügten Reinigungspraktiken nur am Rande erwähnt. Diese Umstände hätten für ihn Anlass sein müssen, um seinen Überwachungs-, Kontroll- und Schadensabwehrpflichten nachzukommen und selbst genau zu prüfen, ob die Vorwürfe in der Whistleblower-Anzeige ordnungsgemäß bearbeitet wurden. Stattdessen habe der Kläger den Compliance Officer gewähren lassen.
Das ArbG Offenbach führt aus, dass dies eine ordentliche Kündigung auch ohne vorherige Abmahnung rechtfertige. Im Hinblick auf seine besondere Vertrauensposition habe der Kläger keinen Anspruch auf Weiterbeschäftigung. Hinsichtlich einer zuvor ausgesprochenen fristlosen Kündigung sei die Kündigungserklärungsfrist des § 626 Abs. 2 BGB nicht eingehalten worden.

zurück zum Inhaltsverzeichnis

2.2 VG Düsseldorf: Löschung bei Antrag auf Auskunft

Das VG Düsseldorf entschied, dass eine Erfüllung der Informationspflicht des Verantwortlichen und mit ihr der Wegfall des Zwecks der Verarbeitung frühestens eintritt, nachdem dem Auskunftsantragsteller die begehrten Informationen vollständig und innerhalb der maßgeblichen Frist zur Verfügung gestellt wurden. Was war passiert? Eine Agentur für E-Mail- und Online-Marketing versandte an eine Person Werbung. Diese forderte Auskunft. Nach mehrmaliger Erinnerung übersandte das Unternehmen ein als „Dokumentation“ bezeichnetes Dokument und bestätigte die Löschung der Daten in ihrer Datenbank.
Aufgrund dieser Beschwerde befasst sich die LDI NRW dann damit und sprach gegen das Unternehmen eine Verwarnung aus. Das VG Düsseldorf bestätigte diese nun. Das Unternehmen habe gegen die DS-GVO verstoßen, indem es die personenbezogenen Daten des Beschwerdeführers nach der Stellung des Auskunftsantrags nicht weiter gespeichert hatte. Die Löschung der Daten trotz der Verpflichtung des Unternehmens zur Auskunftserteilung war rechtswidrig (RN. 32)
Auch die Löschung stelle eine Verarbeitung dar, für die es eine Rechtmäßigkeitsgrundlage bräuchte.
Die Löschung der personenbezogenen Daten sei rechtswidrig gewesen, weil für diese Verarbeitung keine der in Art. 6 Abs. 1 DS-GVO genannten Bedingungen erfüllt waren (RN. 32 – 41).
Die personenbezogenen Daten seien für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, weiter notwendig (Art. 17 Abs. 1 lit. a DS-GVO). Aus dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DS-GVO, dem – wie die anderen Grundsätze des Art. 5 DS-GVO auch – jede Datenverarbeitung entsprechen muss, könne das Unternehmen daher nichts für sich herleiten (RN. 43).
Der ursprünglich auf E-Mail-Marketing gerichtete Zweck der Datenverarbeitung dürfte bereits nicht entfallen sein. Der Beschwerdeführer habe lediglich einen Auskunftsantrag gestellt und mit seinen Schreiben, anders als das Unternehmen behauptet, an keiner Stelle kundgetan, dass er keine Werbemails mehr wünsche. Ausgehend von der angeblich erteilten Einwilligung des Beschwerdeführers in die Nutzung und Verarbeitung seiner personenbezogenen Daten für Werbezwecke per E-Mail durfte das Unternehmen im Gegenteil davon ausgehen, weiter Werbemails versenden zu dürfen. Das zeige, dass es sich um eine reine Schutzbehauptung handelte.
Ungeachtet dessen sei die Datenverarbeitung aber nach Stellung des Auskunftsantrags für die Zwecke der Erfüllung der Auskunftsverpflichtung notwendig. Zum Zeitpunkt der Löschung war das Auskunftsverlangen des Beschwerdeführers noch nicht erfüllt.
Die Erfüllung der Pflicht aus Art. 12 Abs. 1 bis 3 DS-GVO setze die fortgesetzte Datenverarbeitung in Form der Speicherung der personenbezogenen Daten bis zur Erfüllung des Auskunftsbegehrens voraus. Die Mitteilungen gemäß Art. 15 DS-GVO z.B. zu den Bearbeitungszwecken oder den Kategorien der verarbeiteten personenbezogenen Daten könnten nur übermittelt werden, wenn der Verantwortliche noch über die personenbezogenen Daten verfüge. Es spricht viel dafür, dass die personenbezogenen Daten, auf die die Auskunft zielt, so lange gespeichert werden müssen, bis die betroffene Person Gelegenheit hatte, die Rechtmäßigkeit der Verarbeitung zu überprüfen (vgl. Erwägungsgrund 63). Wie lange personenbezogene Daten zur Erfüllung eines Auskunftsbegehrens gespeichert werden müssen, brauche hier jedoch nicht entschieden zu werden. Denn jedenfalls tritt Erfüllung der Informationspflicht des Verantwortlichen und mit ihr der Wegfall des Zwecks der Verarbeitung frühestens ein, nachdem dem Antragsteller die begehrten Informationen vollständig und innerhalb der maßgeblichen Frist zur Verfügung gestellt wurden (Art. 12 Abs. 1, Abs. 3 Satz 1 DS-GVO). Das Unternehmen hatte vorliegend die Daten aber bereits gelöscht, bevor dem Beschwerdeführer die Auskunft übermittelt worden sei. Mit Übersendung der als Datenschutzauskunft bezeichneten Daten hatte die Klägerin bereits die Löschung der Daten in ihrer Datenbank bestätigt (RN 43 – 46).
Und das VG Düsseldorf weist in RN. 52 auch vorsorglich darauf hin, dass in Fällen wie dem vorliegenden auch die Verhängung eines Bußgeldes gemäß Art. 58 Abs. 2 lit. i DS-GVO gerechtfertigt sein dürfte. Denn es ist zu berücksichtigen, dass das Unternehmen mit der Löschung nicht nur die Überprüfung der Richtigkeit und Vollständigkeit der Datenschutzauskunft, sondern auch die Überprüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten des Beschwerdeführers vereitelt hat. Es spreche alles dafür, dass dies beabsichtigt war. Das Unternehmen hat die personenbezogenen Daten des Beschwerdeführers angeblich mit dessen Einwilligung verarbeitet, und durfte damit von der Rechtmäßigkeit der Datenverarbeitung ausgehen. Es gab also keinen Grund zur Löschung, es sei denn, die Daten seien tatsächlich rechtswidrig erhoben worden.
Damit bestätigt das VG Düsseldorf die Ansichten der Datenschutzaufsichtsbehörden, wie sie bereits im Tätigkeitsbericht des BayLDA für das Jahr 2021 auf Seite 23 formuliert wurde.

zurück zum Inhaltsverzeichnis

2.3 Cour d´ Appel de Paris: Begrenzung des Auskunftsanspruchs ehemaliger Beschäftigter

Das Berufungsgericht Paris kommt zu der Entscheidung, dass ein Anspruch auf Auskunft zu E-Mails eines Beschäftigten nicht besteht, wenn diese lediglich seine Identitätsangaben enthalten.
Im vorliegenden Fall wurde der Kläger aufgrund unzureichender beruflicher Leistungen aus den in dem Schreiben vom Januar 2025 dargelegten Gründen entlassen und er forderte Unterlagen zur Vorbereitung eines Rechtsstreits in der Hauptsache an, um die Gründe für seine Entlassung anzufechten und eine Klage bezüglich seiner Arbeitszeit (Bezahlung von Überstunden und Schadensersatz) einzureichen.
Der Zweck von Art. 15 DS-GVO bestünde laut Gericht nicht darin Kopien der beruflichen E-Mail-Korrespondenz eines Arbeitnehmers im Rahmen seiner Arbeit zu erhalten, die ihm bekannt sei und die nur seine Identität enthalte. Stattdessen stellte das Gericht fest, dass der Zweck des Artikels darin besteht der betroffenen Person zu ermöglichen die Rechtmäßigkeit der Verarbeitung zu überprüfen, die Richtigkeit der Daten zu kontrollieren und gegebenenfalls die Berichtigung oder Löschung der Daten zu verlangen. Der Betroffene hatte zudem bereits eine Kopie seiner Personalakte erhalten. Bericht dazu auch hier.

zurück zum Inhaltsverzeichnis

2.4 Conseil d´Etat: Anforderungen an Pseudonymisierung und Anonymisierung

Der oberste Gerichtshof der französischen Verwaltung hat sich in einem Fall mit Fragen zur Pseudonymisierung befasst. Er bestätigte eine Sanktion der französischen Aufsicht CNIL über insgesamt 1,8 Mio. Euro gegen eine Unternehmens-Gruppe wegen der Verarbeitung pseudonymisierter Gesundheitsdaten, als wären sie anonym.
Der Unternehmensverbund betrieb zwei Datenbanken, eine für Ärzte und eine für Apotheker. Auf der Grundlage dieser Daten führt das Unternehmen GERS quantitative Studien durch und vermarktet statistische Daten im Gesundheitsbereich an öffentliche und private Kunden. Strittig war nun, ob diese Daten für das Unternehmen pseudonym oder anonym zu bewerten seien.
Der oberste Gerichtshof berücksichtigt bei seiner Bewertung das EuGH-Urteil (C-479/22 OLAF), nach dem Daten durch Pseudonymisierung als anonymisiert angesehen werden können, wenn das Risiko einer Identifizierung unerheblich ist, da eine solche Identifizierung in der Praxis nicht durchführbar ist, insbesondere weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde (wir berichteten).
Im vorliegenden Fall verfügten die klagenden Unternehmen über eine riesige Datenmenge, die sie von Arztpraxen und Apotheken erhoben hatten. Es ist unbestritten, dass die betreffenden Daten Identifikationsmerkmale wie Alter, Geschlecht oder sozio-professionelle Kategorie sowie Gesundheitsdaten wie insbesondere Krankenakten, Verschreibungen, Arbeitsunfähigkeitsbescheinigungen und Impfungen für die von Ärzten übermittelten Daten und gekaufte Medikamente und den verschreibenden Arzt für die von Apotheken übermittelten Daten umfassten. Solche Gesundheitsdaten sind sensible Daten, die durch Art. 9 DS-GVO besonders geschützt sind. Die klagenden Unternehmen machen geltend, dass es sich bei den fraglichen Daten nicht um personenbezogene Daten im Sinne der DS-GVO handele, da sie pseudonymisiert seien, da die bei Ärzten erhobenen Daten nur einen Patientencode und die bei Apotheken erhobenen Daten nur einen Kundencode enthielten.
Das Gericht schließt sich aber den Erkenntnissen der CNIL an, dass aus den in der angefochtenen Entscheidung angeführten Beispielen insbesondere hervorgehe, dass das Risiko einer Re-Identifizierung hoch ist, insbesondere wenn die verschriebenen Behandlungen selten sind und die Verwendung von Informationen, über die die Unternehmen anderweitig verfügen, wie z. B. Daten zur Identifizierung von Angehörigen der Gesundheitsberufe, oder die mögliche Verwendung von Daten Dritter, insbesondere von Geolokalisierungsdaten, dieses Risiko einer Re-Identifizierung erhöhen können. Schließlich hat der Umstand, dass die Unternehmen selbst keine Datenauswertungen vornehmen, keinen Einfluss auf die Bewertung der Möglichkeiten zur Identifizierung natürlicher Personen, die diese Daten bieten.
Daraus ergebe sich, dass die CNIL eine konkrete Bewertung des Risikos einer erneuten Identifizierung der Daten vorgenommen und festgestellt hat, dass es möglich war die Pseudonymisierung der betroffenen Personen mit angemessenen Mitteln aufzuheben.
Für die angegebene Verarbeitung personenbezogener Daten konnten die Unternehmen (stark verkürzt dargestellt) keine Rechtsgrundlagen darlegen. Daher wurde die Sanktion der CNIL bestätigt.
Hervorzuheben ist, dass der Conseil d´Etat gar nicht auf das EuGH-Urteil C-413/23 (SRB) (wir berichteten) einging, es genügte ihm (gemäß EuGH C-479/22 OLAF) zu prüfen, inwieweit eine Re-Identifikation dem Unternehmensverbund möglich gewesen wäre. Eine Identifikation durch Kreuzverweise kann ausreichen. Dann sind Daten auch für den Verantwortlichen personenbeziehbar und somit im Anwendungsbereich der DS-GVO.
Diskutiert wird dazu eine Art „Pseudonymisierungstrategie“, die für jedes Weitergabe-Szenario eine Risikobewertung der Neuidentifizierung sowohl aus der Perspektive des Übertragenden als auch des Empfängers umfasst, eine Kalibrierung von Techniken auf die Tiefe und Granularität des jeweiligen Datensatzes, entsprechende vertragliche Anti-Identifikationsklauseln und Prüfungsrechte mit jedem Empfänger und auch transparente Informationen für die betroffenen Personen aufbewahren.

zurück zum Inhaltsverzeichnis

2.5 EuGH-Vorschau: Auskunft, Missbrauch und Schadenersatz (C-526/24 Brillen Rottler)

Für den 19. März 2026 ist die Urteilsverkündung im Fall C-526/24 (Brillen Rottler) vorgesehen. Neben der Frage, ob aufgrund unzureichender Umsetzung eines Auskunftsanspruchs ein immaterieller Schadenersatz geltend gemacht werden könne, geht es auch um Fragen des Missbrauchs des Auskunftsanspruchs. Unser Bericht zu den Schlussanträgen findet sich hier.

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 EU-Parlament: Digitaler Omnibus zur KI

Der Think Tank des Europäischen Parlaments fasst den bisherigen Stand des Gesetzgebungsverfahrens in seinem Briefing mit Stand 9. Februar 2026 zusammen. Er erläutert u.a. den Anwendungszeitplan der Hochrisiko-KI-Regeln, die Ausweitung des Sonderrechts auf KMU, die zentralisierte Durchsetzung unter der Aufsicht des AI-Office der EU.

zurück zum Inhaltsverzeichnis

3.2 Digitaler Omnibus zur DS-GVO

Nachfolgende aktuelle Ausführungen zum digitalen Omnibus:

Franks Nachtrag: Nanu, vor den anderen Meldungen? Ja. Hier ist die Analyse einer NGO zum Digitalen Omnibus.

zurück zum Inhaltsverzeichnis

3.2.1 Digitaler Omnibus zur DS-GVO – Drittstaatentransfer

Dieser Blog-Beitrag befasst sich mit den Aspekten des Drittstaatentransfers – und ob hier im Rahmen des digitalen Omnibus noch nachgebessert werden sollte. So wird vorgeschlagen, dass bestimmte, risikobasierte TIA-Module Reibungsverluste reduzieren könnten. Auch böten strukturierte, rechtlich solide Safe-Harbor-Konzepte für Szenarien mit geringem Risiko mehr Rechtssicherheit sowie eine stärkere Einbindung der Zertifizierungsstellen nach Art. 42 DS-GVO.

zurück zum Inhaltsverzeichnis

3.2.2 Digitaler Omnibus zur DS-GVO – bitkom: Position Paper zum Digitalen Omnibus

Der bitkom veröffentliche seine Positionen zum bisherigen Stand des Digitalen Omnibus. Das englisch-sprachige Positionspapier nennt zentrale Prioritäten zur Stärkung des Digital Omnibus. Es setzt sich für einen spürbaren Bürokratieabbau, mehr Rechtssicherheit und ein Regelwerk ein, das technologische Innovationen in Europa gezielt unterstützt.

zurück zum Inhaltsverzeichnis

3.2.3 Digitaler Omnibus zur DS-GVO – Position der EU-Mitgliedsstaaten

Die EU-Mitgliedstaaten haben bereits im Dezember 2025 ihre Position formuliert. Da wird es noch viel Diskussionsbedarf geben.

zurück zum Inhaltsverzeichnis

3.3 Widerrufbutton nach § 356a BGB-neu ab 19. Juni 2026

Bis 19. Juni 2026 müssen alle Betreiber von B2C-Online-Shops eine Widerrufsfunktion vorsehen, wie hier berichtet wird. Mit der Thematik befasst sich auch dieses Webinar auf YouTube (Dauer ca. 61 Min.). Informationen zum Thema auch hier.

zurück zum Inhaltsverzeichnis

3.4 Neues KDG in Kraft

Zum 1. März 2026 tritt das geänderte Kirchliche Datenschutzgesetz (KDG) der katholischen Kirche in Kraft.
Auch die Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) wurde angepasst. Eine gute Zusammenfassung zu den Änderungen findet sich hier.

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 Gesundheitspolitik und KI

Das Gesundheitsministerium hat seine Digitalisierungsstrategie zum Gesundheitswesen vorgelegt. Natürlich geht es auch dabei um KI. Woran dabei noch zu denken ist, beschreibt dieser Beitrag.

zurück zum Inhaltsverzeichnis

4.2 Warnung vor KI

Welche Grenzen hat KI und welche sollten wir ihr geben? Damit befasst sich dieser Beitrag über Warnungen eines bekannten US-Sicherheitsforschers auf der Münchner Sicherheitskonferenz. Überraschung: Er fordert Regulierung für diesen Bereich und warnt vor Monopolen.

zurück zum Inhaltsverzeichnis

4.3 EU-Parlament und KI

Während im politischen Raum auf Basis der Vorschläge der EU-Kommission überlegt wird, wie das Training von Large Language Models mit personenbezogenen Daten erleichtert wird, werden auf Diensthandys im Europäischen Parlament KI-Funktionen deaktiviert, wie hier berichtet wird. Aus Sicherheitsgründen. Es sei nicht bekannt, wie dabei mit sicherheitsrelevanten und vertraulichen Informationen umgegangen werden. Ach was.

zurück zum Inhaltsverzeichnis

4.4 Europäische Abhängigkeiten

In diesem Beitrag wird die europäische Abhängigkeit von Technologien aus den USA thematisiert. Sei es in der IT in Behörden und Unternehmen oder selbst bei F-35 Jagdflugzeugen. Der Autor empfiehlt die Anstrengungen für eigene Angebote zu intensivieren.

zurück zum Inhaltsverzeichnis

4.5 Memorisierung und KI

Mit kritischen Aspekten der Memorisierungen innerhalb in KI-Modellen befasst sich diese Veröffentlichung. Es geht dabei auch um urheberrechtliche Fragestellungen und ein Urteil des LG München gegen OpenAI (wir berichteten).

zurück zum Inhaltsverzeichnis

4.6 Urheberrechtsschutz bei Musik

Wenn es um Geld geht, geht vieles. So versucht nun Sony mit technischen Mitteln die Nutzung von urheberrechtlich geschützten Werken in KI-generierten Stücken zu identifizieren. Bericht dazu hier.

zurück zum Inhaltsverzeichnis

4.7 Spanien: Richtlinien zur Einhaltung der KI-VO auf Englisch

Die spanische Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) ist für die Umsetzung der Einhaltung der Vorgaben der KI-VO zuständig. Sie hat Richtlinien veröffentlicht, die bei der Umsetzung und Einhaltung der KI-VO und der anwendbaren Verpflichtungen unterstützen sollen. Obwohl sie nicht bindend sind und die geltenden Vorschriften nicht ersetzen oder weiterentwickeln, liefern sie praktische Empfehlungen im Einklang mit regulatorischen Anforderungen, bis harmonisierte Regeln für alle Mitgliedstaaten genehmigt werden. Die Richtlinien wurden auch auf Englisch veröffentlicht. Die behandeln folgende Themen:

1. Einführung in die künstliche Regulierung
2. Praktischer Leitfaden und Beispiele zum Verständnis des AI Act
3. Leitlinie zur Konformitätsbewertung
4. Leitlinie zum Qualitätsmanagementsystem
5. Leitlinie zum Risikomanagement
6. Leitlinie zur menschlichen Aufsicht
7. Leitlinie zu Daten und Daten-Governance
8. Transparenzrichtlinie
9. Genauigkeitsrichtlinie
10. Robustheitsrichtlinie
11. Leitlinie zur Cybersicherheit
12. Leitfaden für Aufzeichnungen
13. Leitlinie zur Nachbörsenüberwachung
14. Leitlinie für schwere Vorfälle
15. Leitlinie zur technischen Dokumentation
16. Checklistenhandbuch mit Anforderungsrichtlinien

Zudem gibt es dazu auch Checklisten (allerdings auf Spanisch).

zurück zum Inhaltsverzeichnis

4.8 LLM und Daten zum Steuerrecht

Für jede:n wird nach vollziehbar sein, dass Steuerdaten als sensibel einzuschätzen sind. Wie können diese Daten für ein LLM genutzt werden ohne Anforderungen an die Vertraulichkeit zu reduzieren? Damit befasst sich diese Arbeit, die beschreibt, wie ein lokales LLM entwickelt wurde, das speziell auf deutsches Steuerrecht ausgerichtet ist. Statt nur klassisch zu fine-tunen, wurde eine Block-Extension-Strategie verwendet: Das vortrainierte Modell bleibt stabil und zusätzliche trainierbare Blöcke werden eingefügt, um gezielt neues steuerrechtliches Wissen zu induzieren. Als Ergebnis wurde ein echte Domänenkompetenz aufgebaut, ohne die allgemeinen Sprachfähigkeiten zu verlieren.
Das Steuerrecht ist ein Beispiel für diese Herausforderungen, da richtige Antworten genaue Gesetzesverweise, strukturierte rechtliche Argumentation und numerische Genauigkeit unter strengen Benotungsschemata erfordern. Die Autoren generierten algorithmisch SteuerEx, den ersten offenen Benchmark, der aus authentischen deutschen Steuerrechtsprüfungen an Universitäten abgeleitet wurde. SteuerEx umfasst 115 von Experten validierte Prüfungsfragen aus sechs Kernbereichen des Steuerrechts und mehreren akademischen Niveaus und verwendet ein Bewertungsrahmenwerk auf Aussageebene mit Teilpunktwertung, das die reale Prüfungspraxis genau widerspiegelt. Darüber hinaus schufen sie SteuerLLM, ein domänenangepasstes LLM für deutsches Steuerrecht, das auf einem groß angelegten synthetischen Datensatz trainiert wurde, der aus authentischem Prüfungsmaterial unter Verwendung einer kontrollierten, durch Retrieval erweiterten Pipeline generiert wurde. SteuerLLM (28B Parameter) übertreffe durchweg allgemeine, auf Anweisungen abgestimmte Modelle vergleichbarer Größe und in einigen Fällen auch wesentlich größere Systeme, was zeige, dass domänenspezifische Daten und architektonische Anpassungen für die Leistung bei realistischen juristischen Argumentationsaufgaben entscheidender seien als die Parametergröße. Alle Benchmark-Daten, Trainingsdatensätze, Modellgewichte und Bewertungscodes werden offen veröffentlicht, um reproduzierbare Forschung im Bereich der domänenspezifischen künstlichen Intelligenz im Rechtsbereich zu unterstützen. Eine webbasierte Demo von SteuerLLM ist unter dieser Adresse verfügbar.

zurück zum Inhaltsverzeichnis

4.9 OECD: Due-Diligence-Leitlinien für verantwortungsvolle KI

Dieser Bericht der OECD enthält praktische Leitlinien für Unternehmen zur Umsetzung der OECD-Standards für verantwortungsbewusstes unternehmerisches Handeln (RBC) und der OECD-Grundsätze für künstliche Intelligenz (KI) bei der Entwicklung und Nutzung künstlicher Intelligenz (KI). Er soll Innovation, Investitionen und Wachstum von Unternehmen in der KI-Wertschöpfungskette fördern, indem er Unternehmen dabei unterstützt negativen Auswirkungen proaktiv zu begegnen. Der Bericht fördert die Kohärenz der Politik und, soweit möglich, die Interoperabilität zwischen den KI-Risikomanagementrahmen der OECD und anderen nationalen oder internationalen Rahmenwerken. Ein Executive Summary dazu findet sich hier.

zurück zum Inhaltsverzeichnis

4.10 DIN SPEC 91527:2025-12 Ziele, Methoden und Metriken für KI

Die DIN SPEC 91527:2025-12 heißt offiziell „Ziele, Methoden und Metriken für die automatisierte / teilautomatisierte Laufzeitüberwachung von KI-Systemen gegenüber nicht-adversarialer Leistungseinbußen“ – der Name ist damit zu lang für eine Überschrift hier. Der SPEC befasst sich mit der Überwachung von Komponenten der künstlichen Intelligenz (KI) während des Systembetriebs, insbesondere in Systemen mit fortgeschrittener Autonomie.
Nach ihr benötigen KI-basierte Systeme während ihres gesamten Lebenszyklus eine kontinuierliche Aufsicht (vgl. Art. 15 KI-VO), um eine zuverlässige und sichere Funktion zu gewährleisten. Die Überwachung kann von externen Systemen, über eingebaute Selbstüberwachungsfunktionen oder von menschlichen Experten durchgeführt werden.

zurück zum Inhaltsverzeichnis

4.11 OpenAI und Vorhersagen von Verbrechen

Eine 18-jährige erschießt in Kanada acht Menschen. Danach wendet sich OpenAI an die Behörden und informiert diese, dass es bereits Monate vorher Auffälligkeiten bezüglich des Täterin feststellte, als diese ChatGPT nutzte, wie hier berichtet wird. Der Account wurde aufgrund von Missbrauchserkennungsmaßnahmen wegen „Förderung gewalttätiger Aktivitäten” identifiziert. OpenAI erwägte, den Account an die Royal Canadian Mounted Police weiterzuleiten, sei aber damals zu dem Schluss gekommen, dass die Aktivitäten des Accounts nicht die Schwelle für eine Weiterleitung an die Strafverfolgungsbehörden erreicht hätten. OpenAI sperrte den Account im Juni 2025 wegen Verstoßes gegen seine Nutzungsrichtlinien.

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 Stiftung Datenschutz zu Bodycams im Bahnbetrieb

Der Schutz von Bahnbeschäftigten und Reisenden vor tätlichen Angriffen hat höchste Priorität. Beschäftigte, die täglich mit einer Vielzahl von Fahrgästen in direkten Kontakt treten, sind nicht selten verbalen und körperlichen Angriffen ausgesetzt. Ihr Bedürfnis nach Sicherheit und einer weitgehend angstfreien Ausübung ihrer Tätigkeit ist uneingeschränkt legitim. Gleichzeitig stellt sich die Herausforderung, den Schutz mit den Rechten der Fahrgäste und den Versprechen einer freiheitlichen Gesellschaft in Einklang zu bringen. Die Stiftung Datenschutz befasst sich mit den datenschutzrechtlichen Aspekten.

zurück zum Inhaltsverzeichnis

5.2 Löschverpflichtung in Backups?

Dieser Blog-Beitrag befasst sich auf Basis des Berichts des EDSA zur gemeinsamen Prüfung der Löschverpflichtungen mit Fragen des Löschens in Backups. Werden personenbezogene Daten, die eigentlich gelöscht werden müssten, nicht gelöscht und dann aus dem Backup wieder in das Live-System eingespielt, muss der Verantwortliche Maßnahmen und Prozesse etablieren, dass diese Daten gelöscht werden.

zurück zum Inhaltsverzeichnis

5.3 Die ambivalente Rolle der IT-Sicherheit im Kontext des Datenschutzrechts

Welche Anforderungen stellen sich an den Schutz personenbezogener Daten und an die Rechtsgrundlage, wenn der Zweck der Verarbeitung in der Umsetzung von IT-Sicherheitsmaßnahmen besteht? Damit befasst sich diese Dissertation, die in zwei Teilen frei verfügbar ist (Teil eins hier und Teil zwei dort). Um den Schutz seiner Systeme und die Sicherheit der Verarbeitung im Sinne der DS-GVO sicherzustellen, ist der datenschutzrechtlich Verantwortliche auf den Einsatz von IT-Sicherheitsmaßnahmen angewiesen. Da diese jedoch für ihr ordnungsgemäßes Funktionieren auch auf die Verarbeitung personenbezogener Daten angewiesen sind, befindet sich der Verantwortliche in einem rechtlichen Dilemma.
Die Gewährleistung des Schutzes personenbezogener Daten durch Technik aber auch vor der Technik bildet den zentralen Untersuchungsgegenstand der Arbeit. Neben der normativen Analyse der aktuellen Gesetzgebungslage werden auch typische IT-Sicherheitsmaßnahmen einer datenschutzrechtlichen Bewertung unterzogen und auch nicht-gesetzliche Handlungsempfehlungen und Leitlinien untersucht.

zurück zum Inhaltsverzeichnis

5.4 SURF: DSFA für Adobe Creative Cloud & Document Cloud for Education

SURF (eine niederländische IT-Genossenschaft für Bildung und Forschung) und Privacy Company haben eine Datenschutz-Folgenabschätzung (DSFA) zu Adobe Creative Cloud und Document Cloud for Education durchgeführt. SURF bestätigt, dass Institutionen diese Produkte weiterhin nutzen dürfen, da Adobe sich verpflichtet hat Maßnahmen zur Bewältigung der identifizierten Risiken umzusetzen. Ende 2026 wollen die Verfasser prüfen, ob diese Maßnahmen vollständig umgesetzt wurden.

zurück zum Inhaltsverzeichnis

5.5 Risiko der Lieferkette

Wie angreifbar Unternehmen und Infrastrukturen durch Angriffe über einen Lieferanten sind, zeigt sich an diesem Beispiel. Ein Lieferant für Flughafen hatte unzureichende Schutzmaßnahmen in der Absicherung.

zurück zum Inhaltsverzeichnis

5.6 IT-Forensik im Podcast

Wie kommt man zur IT-Forensik, worin liegen die Herausforderungen dabei? Ein renommierter Digital-Forensiker spricht in dieser Podcast-Folge (Dauer ca. 45 Min.) über neue Technologien im Gerichtssaal, die Sorge vor Deepfakes und die Frage, warum seine Studierenden häufig Jobs bei Bosch oder Siemens finden.

zurück zum Inhaltsverzeichnis

5.7 Podcast zu Anforderungen bei Zweckänderungen

Beim Thema Zweckänderungen verweisen viele nur auf Art. 6 Abs. 4 DS-GVO. Dass aber mehr drin steckt, zeigen diese Podcast-Folgen, bei denen es zunächst um die Anforderungen aus den Informationspflichten nach Art. 13 Abs. 3 DS-GVO geht (Dauer ca. 30 Min.) und im zweiten Teil um Art. 6 Abs. 4 DS-GVO (Dauer ca. 40 Min). Betrachtet wird dabei insbesondere ein Urteil des VG Hannover vom 5. Juni 2024. Hören- bzw. lesenswert für alle, die Verarbeitungen auf geänderte Zwecke stützen wollen.

zurück zum Inhaltsverzeichnis

5.8 Einwilligung in Verarbeitung und in KI-Nutzung

Inwieweit die Einwilligung für bestimmte Verarbeitung und zur Nutzung der Daten für eine KI noch zeitgemäß sei, fragt sich ein Vordenker in diesem Blog-Beitrag.

zurück zum Inhaltsverzeichnis

5.9 Veranstaltungen

5.9.1 Fachgruppe Privacy Enhancing Technologies der Gesellschaft für Informatik: Anonymisierung und rechtliche Rahmenbedingungen in Forschungsdatenzentren -neu-

03.03.2026, 16:00 – 17:00 Uhr, online: In der Reihe PET & Talk der Fachgruppe Privacy Enhancing Technologies der Gesellschaft für Informatik geht es in der Folge 8 um Anonymisierung und rechtliche Rahmenbedingungen in Forschungsdatenzentren in Deutschland und darum, ob der vorgeschlagene Research Data Act den Zugang zu öffentlich produzierten Daten in Deutschland neu gestalten wird. Im Rahmen des Vortrags werden auch zentrale Erkenntnisse des AnigeD-Projekts (Anonymisierung georeferenzierter und integrierter Daten, 2023–2025) reflektierten und die bevorstehenden Herausforderungen und Chancen diskutiert. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.9.2 Universität des Saarlandes – Öffentliche Vorlesungsreihe: Datenschutz in der Praxis

Im Wintersemester 2025/26 findet die öffentliche Vorlesungsreihe „Datenschutz in der Praxis“ statt. An insgesamt zehn Terminen im Zeitraum Januar bis März 2026 werden hochrangige Datenschutzexperten zu aktuellen Fragen des Datenschutzrechts aus Sicht der Praxis referieren. Es werden zahlreiche Landesdatenschutzbeauftragte als Gastdozenten fungieren.
Weitere Informationen und Anmeldung dazu hier.

• 03.03.2026, 18:00 – 19:30 Uhr, online: Datenschutzrechtliche Bußgeldverfahren in der Praxis. An diesem Termin geht es um Datenschutzrechtliche Bußgeldverfahren in der Praxis. Es referiert der LfD Niedersachsen. Der Teilnahmelink.
• 10.03.2026, 18:00 – 19:30 Uhr, online: Zusammenspiel von KI-Verordnung und DS-GVO. An diesem Termin geht es um das Zusammenspiel von KI-Verordnung und DS-GVO. Es referiert der LfDI Baden-Württemberg. Der Teilnahmelink.
• 17.03.2026, 18:00 – 19:30 Uhr, online: Datenschutz bei Gericht. An diesem Termin geht es um Datenschutz bei Gericht. Es referiert der LfDI Mecklenburg-Vorpommern. Der Teilnahmelink.
• 24.03.2026, 18:00 – 19:30 Uhr, online: Grenzüberschreitender Datenverkehr – Status Quo. An diesem Termin geht es um den Status Quo beim grenzüberschreitenden Datenverkehr. Es referiert der TLfDI. Der Teilnahmelink.
• 31.03.2026, 18:00 – 19:30 Uhr, online: IT-Sicherheit und Datenschutz – Was muss, was darf? An diesem Termin geht es um „IT-Sicherheit und Datenschutz – Was muss, was darf?“ Es referiert die Landesbeauftragte für Datenschutz Schleswig-Holstein. Der Teilnahmelink.

zurück zum Inhaltsverzeichnis

5.9.3 CCC Frankfurt und ReaLRM: Abgehängt durch Digitalisierung?! -neu-

10.03.2026, ab 19:00 Uhr, Frankfurt a.M.: Die die gemeinsame Veranstaltung des CCC Frankfurt und der Bürgerinitiative Recht auf analoges Leben Rhein-Main liefert Denkanstöße für kritische Nutzende digitaler Hilfsmittel, Argumente gegen eine ersatzlose Digitalisierung und benennt Datenschutz-Instrumente für mehr Transparenz. Die anschließende Diskussion vertieft das Thema. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.9.4 Stiftung Datenschutz: Datensouveränität in der Frauengesundheit

11.03.2026, 09:00 – 15:30 Uhr, online: Der Vortrag gibt einen Einblick in die aktuelle Forschung zum Umgang mit Daten im Bereich der digitalen Frauengesundheit. Auf Basis von Analysen der Privacy Policies von FemTech-Anwendungen sowie den tatsächlichen Anforderungen und Erwartungen von Nutzerinnen wird sichtbar, wie bislang intransparente Datenpraktiken entstehen und welche konkreten Nachteile dies für Betroffene haben kann. Darauf aufbauend werden forschungsbasierte Ansätze vorgestellt, wie digitale Technologien echte Datensouveränität und Kontrolle für Nutzerinnen ermöglichen können. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.9.5 Veranstaltungsreihe: „The Hidden Threat – Resilienz erleben, Risiken verstehen, Zukunft sichern“

Foryouandyourcustomers lädt zusammen mit der Hochschule der Bundeswehr zu einem Spielevent in München ein. Bei diesem Tabletop-Serious-Game geht es darum sich spielerisch mit Fragen zu Angriffen in den Lieferkette auseinanderzusetzen. Das analoge Lern- und Simulationsspiel wurde im Rahmen des Forschungsprojekts LIONS entwickelt – einem Ansatz, der Organisationen dabei unterstützt, widerstandsfähiger gegenüber Störungen, Cyberangriffen und Unsicherheiten in modernen Lieferketten zu werden.
Das Serious Game „The Hidden Threat“ zeigt spielerisch

• wie schnell digitale und physische Lieferketten ins Wanken geraten,
• welche Schwachstellen im Alltag oft unentdeckt bleiben,
• wie mit klaren Entscheidungen und guter Zusammenarbeit Ausfälle begrenzt werden können
• und wie Unternehmen resilienter, sicherer und agiler aufgestellt werden können.

Der Abend vermittelt Impulse und Denkanstöße zu Fragen wie:

• Wie gut sind wir auf Störungen vorbereitet?
• Wie erkennen wir Risiken früher?
• Wie verbinden wir operative Abläufe, Handel und Zusammenarbeit sicherer?
• Und wie können wir in schwierigen Situationen schneller und klarer reagieren?

Das Spiel wird an zwei Terminen angeboten:

• 26.02.2026, ab 17:00 Uhr, München: Dieser Termin hat bereits stattgefunden.
• 12.03.2026, ab 17:00 Uhr, München: Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.9.6 BzKJ: Schutz, Befähigung, Teilhabe: Indizierung jugendgefährdender Medien -neu-

17.03.2026, 17:00 – 18:30 Uhr, online: Die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) bietet auch im Jahr 2026 wieder eine kostenfreie Online-Veranstaltungsreihe in Kooperation mit der Akademie der Kulturellen Bildung des Bundes und des Landes NRW an. Die Workshops richten sich an alle, die sich für den Kinder- und Jugendmedienschutz interessieren – sei es beruflich, ehrenamtlich oder privat. Die Online-Veranstaltungen bauen nicht aufeinander auf und können unabhängig voneinander besucht werden. Weitere Informationen und Anmeldung dazu hier.
Weitere Termine und Themen sind:

• 02.06.2026 (17:00 – 18:30 Uhr)
  Neue digitale Trends, neue Gefährdungen: Rechtliche Grundlagen des Kinder- und Jugendmedienschutzes
• 15.09.2026 (17:00 – 18:30 Uhr)
  Radikal online: Kinder und Jugendliche als Zielgruppe extremistischer Online-Aktivitäten
• 01.12.2026 (17:00 – 18:30 Uhr)
  Pornografie, Cybergrooming, Sexting: Abgrenzung, Rechtslage und Konsequenzen für die Kinder- und Jugendarbeit

zurück zum Inhaltsverzeichnis

5.9.7 Kinderrechte digital: Workshopangebote für Erkenntnisse einer Expertenkommission -neu-

21.03.2026, 10:00 – 15:00 Uhr, Aichach-Friedberg/ Augsburg: Die Bundesregierung hat eine Expertenkommission zum Kinder- und Jugendschutz in der digitalen Welt eingesetzt. Ziel der Kommission ist es Empfehlungen für einen zeitgemäßen und wirksamen Schutz von Kindern und Jugendlichen im digitalen Raum zu entwickeln. Ein wesentlicher Bestandteil ist dabei die Beteiligung junger Menschen. Um in diesen Prozess die Perspektiven von Kindern und Jugendlichen einbringen zu können, führt das Projekt Kinderschutz und Kinderrechte in der digitalen Welt der Stiftung Digitale Chancen, partizipative Workshops mit jungen Menschen im Alter von 12 bis 17 Jahren an verschiedenen Orten in Deutschland durch, um ihre Sichtweisen, Bedarfe und Empfehlungen für mehr Schutz im digitalen Umfeld zu ermitteln.
Weitere Termin finden wie folgt statt:

• 28. März 2026 von 09:00 bis 14:00 Uhr in St. Wendel (Saarland)
• 11. April 2026 von 10:00 bis 15:00 Herford (Nordrhein-Westfalen)
• 12. April 2026 von 11:00 bis 16:00 Uhr in Schneverdingen (Niedersachsen)

Weitere Informationen und Anmeldung hier.

Rudis Anmerkung: Was nützen Erkenntnisse, die zu Regeln führen, wenn diese Regeln nicht durchgesetzt werden?

zurück zum Inhaltsverzeichnis

5.9.8 Gautinger Internettreffen: Digitale Souveränität in der Jugendarbeit

24./25.03.2026, ab 18:00 Uhr, Gauting: Das Thema digitale Souveränität spielte in den letzten Jahren nur eine nachrangige Rolle in der öffentlichen Debatte – doch es ist ein immens wichtiges Anliegen, wie u.a. der Ausfall der AWS-Server im Oktober 2025 bewies, der diverse Dienste wie Signal, Slack und Snapchat beeinträchtigt hat. Auch bei Hard- und Software-Lösungen in der Bildungsarbeit (Dominanz von Microsoft 365 sowie iPad- bzw. Windows-Laptop-Klassen), bei Suchmaschinen (Google), KI-Tools (OpenAI) oder im Social Web (Meta) wird Monopolen bzw. Oligopolen oft sehr unkritisch gegenübergestanden, obwohl es alternative Lösungen gibt. Beim git26 (26. Gautinger Internettreffen) im März 2026 wird unter dem Titel „Digital und selbstbestimmt“ die Frage gestellt, wie eine souveräne Mediennutzung in der Jugendarbeit, der Schule und der Medienpädagogik gestaltet werden kann. Weitere Informationen hier und die Anmeldung dort.

zurück zum Inhaltsverzeichnis

5.9.9 BlnBfDI: 3. Fachtag „Datenschutz trifft Medienkompetenz“

25.03.2026, 09:00 – 15:30 Uhr, Berlin: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBfDI) und jugendnetz.berlin laden Fachkräfte der Kinder- und Jugendarbeit zum 3. Fachtag ein, um sich auszutauschen, wie auch in der Arbeit mit Kindern und Jugendlichen eine gute, zeitgemäße Medienarbeit unter Beachtung des Datenschutzes gelingen kann. Datenschutz und Medienkompetenz hängen eng miteinander zusammen, da die Nutzung von Medien und Technologie immer auch mit der Verarbeitung von persönlichen Daten verbunden ist. Es sei daher wichtig, dass Kinder und Jugendliche sowohl über entsprechende Kenntnisse im Bereich Datenschutz als auch über die notwendige Medienkompetenz verfügen, um ihre Privatsphäre und ihre persönlichen Daten im digitalen Zeitalter schützen zu können. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.9.10 Vortragsreihe „Zukunftsdialog KI und Recht“ der SRH University Heidelberg

In der Veranstaltungsreihe der SRH University Heidelberg werden an verschiedenen Terminen verschiedene Themen vor Ort und online diskutiert. Mehr dazu hier. Das vollständige Programm ist hier hinterlegt. Der Zugangs-Link wird nach Anmeldung am Tag vor der Veranstaltung verschickt:

• 16.04.2026, 16:00 – 18:30 Uhr: „Kreativität, Markt & Macht“
  Drei Impulsvorträge zu „Autorenschaft neu denken: Urheberrecht im KI-Zeitalter“, „KI, Markt und Macht: Wettbewerb im digitalen Zeitalter“ und „Europa als KI-Kontinent: Digitale Souveränität, Regulierung und globale Handlungsfähigkeit“.

zurück zum Inhaltsverzeichnis

5.9.11 AI Transparency Conference -neu-

05./06.06.2026, Nürnberg: Die AI Transparency Conference ist eine internationale Forschungskonferenz, die sich auf die Förderung transparenter und menschenkompatibler KI-Systeme konzentriert. Sie möchte Forscher zusammenbringen, die sich mit Interpretierbarkeit, KI-Sicherheit, Kontrolle und Governance befassen.
Die Konferenz ist als Präsenzveranstaltung konzipiert und richtet sich an Doktoranden, Postdoktoranden, Fakultätsmitglieder und Forschungsinstitute. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 Saugroboter und Möglichkeiten der Fernsteuerung

Hier wird anschaulich geschildert, wie ein Kunde eines Saugroboters, der diesen mit seinem Gamepad fernsteuern wollte, auf einmal Zugriff auf ca. 7.000 baugleichen Exemplare hatte. Er konnte sie fernsteuern und über ihre Live-Kamera-Feeds sehen und hören.

zurück zum Inhaltsverzeichnis

6.2 Social-Media-Verbote für Jugendliche

Nachfolgend mehrere Beiträge rund ums Thema:

zurück zum Inhaltsverzeichnis

6.2.1 Social-Media-Verbote für Jugendliche – Auswirkungen eines Social-Media-Verbots

Wie wirkte sich ein Social-Media-Verbot auf die kritische Mediennutzung junger Menschen aus? Das wird hier in diesem Gespräch mit einem Forscher angesprochen.
Passend dazu auch ein Hörfunkbeitrag mit einer Philologin (Dauer ca. 12:30 Min.). Eigentlich reicht es nur bestehende Regularien durchzusetzen, wie hier ausgeführt wird.

zurück zum Inhaltsverzeichnis

6.2.2 Social-Media-Verbote für Jugendliche – DAK-Studie zu Social-Media-Sucht

Laut einer aktuellen Studie der DAK, über die hier berichtet wird, sind hunderttausende junger Menschen von einer Social-Media-Sucht betroffen. Passenderweise wird über die Studie auch auf einer informiert, die seit Jahren Social Media aktiv für ihre Absatztätigkeiten einsetzen wollen.
Ergänzend kann zum Thema auch auf die Ergebnisse der der BARMER zurückgegriffen werden.

zurück zum Inhaltsverzeichnis

6.2.3 Social-Media-Verbote für Jugendliche – Geschäftsmodell des Grauens

In einem aktuellen Gerichtsverfahren in den USA wird das Geschäftsmodell von Meta betrachtet. Klägerin ist eine junge Frau, die Meta verantwortlich macht, dass sie von Social Media abhängig sei. Die Aussagen des Managements und ehemaliger Beschäftigter zum Umgang mit Risiken durch die Geschäftsführung erregt dabei Aufmerksamkeit. Bericht dazu auch hier.
Aber ich bin sicher, dass selbst, wenn schon das Morgenmagazin des ZDF dazu berichtet, keine Marketingverantwortliche deshalb Pixels von Meta und TikTok von ihren Seiten nehmen.

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 Digitale Plattformen in den USA und ICE

Wie wirken die großen Anbieter digitaler Angebote in den USA mit der Preisgabe von Daten daran mit, dass die Schutzstaffel der Einwanderungs- und Zollbehörde ICE Personen ausfindig machen kann, die sie abschieben will? Dazu berichtet dieses Magazin. Danach können die Social-Media-Plattformen selbst entscheiden, ob sie den Auskunftsanforderungen der Sicherheitsbehörde nachkommen, solange keine richterliche Anordnung vorliegt. Einige Plattformbetreiber benachrichtigten die Personen, über die die Regierung Daten angefordert hatte, und gaben ihnen 10 bis 14 Tage Zeit, um das Vorgehen von Homeland Security vor Gericht anzufechten. Die Anwälte der US-Behörde argumentierten in solchen Verfahren, dass sie Informationen einholen, um die Sicherheit der ICE-Beamten im Einsatz zu gewährleisten.

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 Apropos KI …

Diese Wochen sollen Sie wieder mehr Meldungen bekommen:

• Manchmal übernehme ich von Meldungen, die ich lese, einfach nur gerne die Überschrift. So auch hier:
  Wie KI (endlich?) Social Media kaputtmacht
  Ich bin hin- und herggerissen, da ich bei beidem kein Freund bin. Ich kann mich aber auch nicht einfach Popcorn-essend zurücklehnen. Dafür sind die gesellschaftlichen Konsequenzen einfach zu groß …
• Nicht ganz KI, aber Profiling und automatisierte Einzelfallentscheidung (und wahrscheinlich tief im System dann doch wieder „KI“): In Holland wurde die Strafrückfälligkeit von Strafgefangenen von einem fehlerhaften Algorithmus ermittelt. Apropos gesellschaftliche Konsequenzen, die erste …
• Da sind die Engländer viel weiter. Dort wird KI genutzt, um zu ermitteln, welche „Problem“-Kinder wohl kriminell werden werden. Hier gehts zum Bericht (wenn Sie an einer Paywall scheitern, hier ist ein LinkedIn-Post mit einer Zusammenfassung der Inhalte).
  Und wenn Sie noch einen Trick wissen wollen (Apropos Paywall): Klicken Sie mal hier.
  Und zurück zum Thema: Das ist doch mal voll Minority Report!
  Apropos gesellschaftliche Konsequenzen, die zweite …
• Reden wir doch mal nicht von gesellschaftlichen Konsequenzen, reden wir von persönlichen Konsequenzen: Wenn die KI einem selbstständig Schmähbriefe schreibt… Hier gibt es noch vier weitere Quellen, die den Vorfall detaillierter beschreiben.
• Ab und zu kommen aus den USA doch mal ab und zu nicht ganz so schlimme Nachrichten. Zum Beispiel diese hier: Städte in den USA kündigen ihre Verträge mit Flock. Wobei, die Tatsache, dass sie diese Verträge überhaupt hatten, ist eher wieder betrüblich. Nun ja… Wir sind ja schon über Kleinigkeiten erfreut.
• Flock scheint grundsätzlich nicht mehr beliebt zu sein, wenn Amazon seine Partnerschaft mit Flock aufkündigt.
  Apropos Ring-Tür-Kameras … da habe ich noch einen Tipp.
• Aber KI läuft immer noch wie geschnitten Brot, oder? Nach diesem Bericht scheint zumindest OpenAI beim Ausgeben auf die Bremse zu steigen.
  Witzig ist übrigens auch die Stelle im Artikel zum „cringe masterpiece“: Und wenn Sie darüber mehr lesen wollen, klicken Sie hier.
• Apropos KI und Geld verdienen. Manche Ideen, wie sie, also die KI-Firmen, es ausgeben wollen, sind aber auch wirklich mehr als utopisch. Beispiel gefällig? Ich zitiere mal wieder den Titel der Meldung:
  „Höhepunkt des Wahnsinns“: Analyse zerpflückt Pläne für Rechenzentren im All
• Und dann ist KI auch noch für immer mehr Branchen zumindest psychologisch echt gefährlich. Da analysiert sich jemand etwas zusammen, wie KI die Wirtschaft zum Abstürzen bringen könnte, und dann reagiert die Wirtschaft wirklich. So ganz ohne KI.
• Oder KI verspricht Probleme zu lösen, auf denen sich bisher Anbieter ausgeruht haben (Wer erinnert sich nicht noch ans Y2K-Problem und die Frage nach Cobol-Programmierern?). Das ist dann ein echtes wirtschaftliches Problem für besagte Anbieter.
• Und Apropos gesellschaftliche Konsequenzen, mittlerweile die dritte: Gut, wenn wir Konflikte nicht autonom durch KI lösen lassen. Nach dieser Studie würden die (anders als damals in WarGames, wer erinnert sich noch an diesen Film) aktuelle KI-Modelle deutlich schneller und energischer für Atomwaffen entscheiden. Vertrauenserweckend…
• Dabei wollen wir Menschen doch, wenn wir denn KI-Agenten wollen, nur zuverlässige Helferlein, die dann aber transparent agierend, nicht als Black-Box-Systeme, bei denen niemand versteht, wie sie zu Entscheidungen kommen. So zumindest diese Studie.
• Wir hatten es ja schon ab und zu mit Möglichkeiten der negativen Beeinflussung von KI-Systemen. In diesem Essay wird über die „Promptware Kill Chain“ geschrieben. Lesenswert.
• Und passend dazu sind hier drei drei Side-Channel-Attacks auf LLM aufgeführt.
• Und dort wird beschrieben, wie eine in zwanzig Minuten zusammengeschriebene Webseite ausreichte, um die meisten großen LLM zu Falschaussagen zu bewegen.
• Es ist mittlerweile für Einige mehr als deutlich geworden, dass KI für viele gesellschaftliche Bereiche – nennen wir es disruptiv – disruptiv wirkt. Dieses Essay beschäftigt sich mit der Frage, wie KI Einfluss auf die Demokratie nimmt.
• Manche scheinen auch Vorteile aus der (bewussten und stark überwachten) Arbeit mit KI zu ziehen. Aktuelles Beispiel? OpenSSL.
• Auch der Papst ist kein Freund der unreflektierten Nutzung von KI.
• Schön, dass die KI uns wenigstens noch Nischen übrig lässt:
  rentahuman.ai: Wenn KI wen braucht, der das Gras anfasst

Da war doch sicherlich für alle etwas dabei, oder?

zurück zum Inhaltsverzeichnis

8.2 Hacking Things, heute: Rollstühle

Das ist für Betroffene nicht gut.

zurück zum Inhaltsverzeichnis

8.3 Apropos Hacker

Wenn es Sie interessiert zu erfahren, wie manche Hacker in den 80ern dachten, dann lesen Sie diesen Artikel aus dem Magazin Phrack. Falls Sie Phrack nicht kennen, wir berichteten bereits darüber.

zurück zum Inhaltsverzeichnis

8.4 Sie suchen Alternativen?

Wie wäre es mit den Open-Source-Tools, die die Mitglieder von Digitalcourage lieben?

zurück zum Inhaltsverzeichnis

8.5 Und noch eine geplante Überwachungsmöglichkeit

Diesesmal per 3D-Drucker. Na prima.

zurück zum Inhaltsverzeichnis

9. Die gute Nachricht zum Schluss

9.1 Girl´s Day und Equal Pay Day 2026

Passenderweise kommt vor dem Girl´s Day 2026 (23. April 2026) der Equal Pay Day am 27. Februar 2026. Und auch da gibt es bereits einige Angebote, die sich mit dem Thema EqualPay befassen, wie das Journal 2026 oder eine eigene Webseite dazu, so dass der Schock dann gar nicht so groß werden sollte, wenn im Juni 2026 die Entgelttransparenz-Richtlinie umgesetzt sein sollte (wir berichteten).

zurück zum Inhaltsverzeichnis