Hier ist der 41. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 11/2026)“ – Die DVD-Edition.
OK, das kam nun unerwartet. Was haben wir noch in diesem Blog-Beitrag? Neben dem zweiten Tätigkeitsbericht einer Datenschutzaufsicht für das Jahr 2025 (Radio Bremen war noch schneller) u.a. ein EuGH-Video-Tutorial, den aktuellen Stand zur europäischen Chatkontrolle, eine Muster-AVV für Hochschulen, wieder neue Veranstaltungen, eine komische Vorstellung zur Digitalisierung, einen von einem breiten Bündnis gezeichneten offenen Brief zum DFA und viele weitere Meldungen.
- Aufsichtsbehörden
- EDSA: Stellungnahme zum geplanten Biotech-Gesetz
- EDSA: Änderungen der Einreisebedingungen in die USA
- BfDI: Rückzug vom Amt
- BfDI: Unterrichtsmaterialien für Klassen 4 bis 7
- BfDI: Abschluss des trilateralen Pilotprojekts zur Simulation eines KI-Reallabors
- LfD Bayern: Orientierungshilfe zum Datenschutz- und Gesundheitsdatennutzungsgesetz
- BayLDA: Tätigkeitsbericht für 2025
- BayLDA: Tätigkeitsbericht für 2025 – Löschverpflichtungen … bei E-Mailadressen
- BayLDA: Tätigkeitsbericht für 2025 – Kontaktmöglichkeiten zu Datenschutzbeauftragten
- BayLDA: Tätigkeitsbericht für 2025 – Datenschutzrechtliche Verpflichtungen nach gesellschaftlichen Veränderungen
- BayLDA: Tätigkeitsbericht für 2025 – Anforderungen an den Nachweis einer Einwilligung bei Direktwerbung
- BayLDA: Tätigkeitsbericht für 2025 – Datenschutzrechtliche Verantwortlichkeit von Privatpersonen – konkret bei WEG
- BayLDA: Tätigkeitsbericht für 2025 – Terminbuchungen und Terminmanagement für Arztpraxen
- BayLDA: Tätigkeitsbericht für 2025 – Transkription von Videokonferenzen
- DSB Österreich: Drohnenfotos von Nachbarhäusern durch Immobilienmakler
- Spanien: Bußgeld wegen Datenschutzmängeln bei der Online-Identifizierung
- CNIL: Aktualisierung der Entscheidungsübersichten
- ICO: Bußgeld gegen Police Scotland und was daraus gelernt werden kann
- Rechtsprechung
- EuGH-Tutorial zur Klagebefugnis von Bürger:innen
- EuGH: Datenschutz in Rechtssachen vor dem EuG
- EuGH: Änderungen der geschlechtlichen Identität C-43/24
- AG Duisburg: Anforderungen an datenschutzrechtliche Haftung durch Softwarefehler
- ArbG Düsseldorf: Rechtsweg bei Art. 82 DS-GVO in kirchlichen Arbeitsverhältnissen
- AG Darmstadt: Zur Rechtsmissbräuchlichkeit einer Datenauskunft
- AG München: Digitale Kompetenz im Gerichtssaal – Befangenheitsantrag gegen Schöffen
- VG Berlin: Auskunftsanspruch gegen AfD über Werbeauftritte in sozialen Medien
- LAG Rheinland-Pfalz: Kündigungsgrund bei Mitarbeiterexzess
- VerwGH Luxemburg: Bescheid über Bußgeld gegen Amazon muss nachgebessert werden
- EuGH-Vorschau: Vorlagefragen zu Art. 9 DS-GVO
- Gesetzgebung
- Öffentliche Anhörung im Bundestag zu KI-Durchführungsgesetz
- EU: Bisher keine Einigung zur Chatkontrolle
- Podcast zum Omnibus
- EU-Wallet: Vertrauen auf dem Prüfstand
- KI-Omnibus – offener Brief
- Offener Brief an die EU-Kommission zum Digital Fairness Act
- Diskussion um Polizeigesetz Niedersachsen: Palantir
- Künstliche Intelligenz und Ethik
- KI (LLM) und Entscheidungen bei Mehrdeutigkeiten
- NIST Report zu Herausforderungen bei der Überwachung eingesetzter KI-Systeme
- Memorisierung und „Auswendiglernen“
- Fachbereich Europa im Bundestag: Biometrischer Abgleich mit Bildern aus dem Internet
- KI-Policy-Generator für Richtlinien für Lehrveranstaltungen
- Universität Graz: Ethischer und rechtlicher Leitfaden für KI-Einsatz in der Bildung
- Deutsche Forschungsgemeinschaft: KI im Einsatz bei den Finanzierungsprozessen
- Veröffentlichungen
- MS 365 Copilot: Bug oder Feature oder Missverständnis?
- Dark Pattern: Blinde Flecken im europäischen Verbraucher:innenleitbild?
- Podcast zu Datenschutz und Rechtsstreitigkeiten
- IoT-Kameras und Sicherheit
- PETs und die Einschränkung der Datennutzung
- Pseudonym, Anonym, oder was?
- SCHUFA-Score und Art. 22 DS-GVO
- Beschäftigtendatenschutz und Verdacht auf Straftaten
- Was ist eine Verarbeitungstätigkeit?
- bitkom: Datenschutz in der deutschen Wirtschaft
- Auftragsverarbeitungsverträge für Hochschulen
- Veranstaltungen
- EAID: „USA-Reisen und der Datenschutz“
- Salzburg: Ringvorlesung „Privatsphäre in der digitalen Welt“
- Datenschutzsprechstunde des HmbBfDI: „Digitaler Frühjahrsputz“ -neu-
- Kinderrechte digital: Workshopangebote für Erkenntnisse einer Expertenkommission
- Universität des Saarlandes – Öffentliche Vorlesungsreihe: Datenschutz in der Praxis
- Gautinger Internettreffen: Digitale Souveränität in der Jugendarbeit
- BlnBfDI: 3. Fachtag „Datenschutz trifft Medienkompetenz“
- ForDaySec: „Beyond Awareness. Cybersicherheit im Alltag“ -neu-
- Webinar: „KRITIS, NIS2 & DSGVO erfüllen und Daten automatisiert bereinigen“ -neu-
- Universität Graz: „Data Act trifft DSGVO“ -neu-
- Stiftung Datenschutz: „Politische Parteien zwischen Öffentlichkeit und Vertraulichkeit“ -neu-
- BSI: 21. Deutscher IT-Sicherheitskongress
- Vortragsreihe „Zukunftsdialog KI und Recht“ der SRH University Heidelberg
- weitklick: „KI-Desinformation erkennen, Medienbildung stärken“ -neu-
- Stiftung Datenschutz: „Datenschutz im Ehrenamt“
- Webinar zu „Purview Realitätscheck und die DSGVO Katastrophe“
- BzKJ: Neue digitale Trends, neue Gefährdungen: Rechtliche Grundlagen des Kinder- und Jugendmedienschutzes
- AI Transparency Conference
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Stellungnahme zum geplanten Biotech-Gesetz
Zusammen mit dem Europäischen Datenschutzbeauftragten (EDPS) unterstützt der EDSA die Harmonisierung klinischer Prüfungen im Rahmen des europäischen Biotech-Gesetzes, fordert jedoch spezifische Schutzvorkehrungen für sensible Gesundheitsdaten. In der gemeinsamen Stellungnahme begrüßen beide das Ziel des Vorschlags die Wettbewerbsfähigkeit der EU zu fördern und die bestehende Fragmentierung bei der Anwendung der Verordnung über klinische Prüfungen anzugehen. Insbesondere begrüßen sie das Ziel eine einheitliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Sponsoren und Ermittler zu schaffen, was die Rechtsklarheit in ganz Europa erheblich verbessern wird. Gleichzeitig betonen der EDSA und der EDSB, dass die Sensibilität von Gesundheits- und genetischen Daten, die im Rahmen klinischer Prüfungen verarbeitet werden, ein hohes Schutzniveau erfordert. Die Gemeinsame Stellungnahme enthält mehrere Empfehlungen, um sicherzustellen, dass die vorgeschlagenen Vereinfachungen das Schutzniveau für Teilnehmer klinischer Prüfungen nicht senken.
1.2 EDSA: Änderungen der Einreisebedingungen in die USA
Der EDSA äußert sich in einem Schreiben an die Europäische Kommission zu den datenschutzrechtlichen Auswirkungen der jüngsten Gesetzesänderungsvorschläge bezüglich der Einreisebedingungen für EWR-Bürger in die Vereinigten Staaten. Dazu berichteten wir bereits.
Der EDSA weist auf seine Bedenken hin, fragt nach bisherigen Aktivitäten der EU-Kommission diesbezüglich und bietet der EU-Kommission seine Unterstützung an.
1.3 BfDI: Rückzug vom Amt
Die BfDI erklärt, dass sie sich aus gesundheitlichen Gründen von ihrem Amt zurückzuzieht, sobald die Nachfolge geregelt ist.
Franks Nachtrag: Ich spreche für den Kollegen Kramer und mich, wenn ich sage, dass wir beide Frau Specht-Riemenschneider alles erdenklich Gute, viel Kraft bis zum tatsächlichen Ausscheiden und eine vollständige Genesung wünschen!
1.4 BfDI: Unterrichtsmaterialien für Klassen 4 bis 7
Die BfDI führt das Engagement ihrer beiden Vorgänger hinsichtlich der Sensibilisierung von Kindern fort. Nunmehr mit konkretem Unterrichtsmaterial für die Klassenstufen 4 bis 7.
Die Materialien wurden in Zusammenarbeit mit dem Carlsen Verlag entwickelt und knüpfen an die bekannte Welt der beliebten Pixi-Bücher der BfDI an. Ziel ist es zentrale Fragen rund um persönliche Daten, Privatsphäre, Suchmaschinen, sichere Passwörter, informationelle Selbstbestimmung sowie Social Media und Cybermobbing kindgerecht, praxisnah und Lebenswelt-orientiert zu vermitteln. In sechs Folgen vermitteln die „Daten-Füchse“ Grundlagen rund um die Nutzung personenbezogener Daten. Dazu gibt zu den Materialien und Medienpädagogik auch eine FAQ-Liste und Verlinkungen zu anderen Materialien.
Die Reihe eignet sich für den Einsatz im Sachunterricht, Politikunterricht, in der Medienbildung sowie für Projektwochen, fächerübergreifende Einheiten oder Vertretungsstunden. Lehrkräfte erhalten direkt einsetzbare Arbeitsblätter und didaktische Hinweise mit Lösungen. Die Materialien können sowohl digital als auch ausgedruckt im Unterricht genutzt werden.
1.5 BfDI: Abschluss des trilateralen Pilotprojekts zur Simulation eines KI-Reallabors
Die BfDI informiert, dass das gemeinsame Pilotprojekt mit der Bundesnetzagentur und dem Hessischen Ministerium für Digitalisierung und Innovation zur Simulation eines KI-Reallabors abgeschlossen wurde.
Ziel des im Mai 2025 gestarteten Projekts war es anhand von zwei Anwendungsfällen von Start-up-Unternehmen zentrale Anforderungen, Abläufe und Herausforderungen von KI-Reallaboren im Sinne der europäischen KI-Verordnung zu simulieren.
Ein Ergebnis des Pilotprojekts ist die Erstellung einer detaillierten Roadmap. Sie zeigt, wie die Anforderungen der KI-Verordnung und der Medizinprodukte-Verordnung bei der Entwicklung eines Medizinprodukts mit integriertem Hochrisiko-KI-System zusammenwirken. „Regulatory Sandboxes sind daher ein wichtiges Instrument zur Förderung grundrechtskonformer Innovationen“. Mehr dazu in dem gemeinsamen Abschlussbericht für den die BfDI auf die Seiten der BNetzA verweist, die ihn hier hinterlegt hat.
1.6 LfD Bayern: Orientierungshilfe zum Datenschutz- und Gesundheitsdatennutzungsgesetz
Der LfD Bayern hat seine Orientierungshilfe zum Datenschutz- und Gesundheitsdatennutzungsgesetz veröffentlicht. Er begründet dies damit, dass die medizinische Forschung ein großes Interesse daran hat vorhandene Gesundheitsdaten für wissenschaftliche Zwecke zu nutzen. Die Datennutzung kommt auch dem Fortschritt in der Gesundheitsversorgung zugute. Dass die Persönlichkeitsrechte der Patientinnen und Patienten dabei gewahrt bleiben, ist Anliegen des Datenschutzes.
Die Orientierungshilfe soll Forschungseinrichtungen, die an Vorhaben mit Gesundheitsdaten mitwirken, eine datenschutzkonforme Gestaltung ihrer Projekte erleichtern. Hier kommt es darauf an die relevanten Rahmenbedingungen frühzeitig zu erkennen und von ihnen geforderte Schutzmechanismen konsequent umzusetzen. Dann werde Datenschutz als ein probates Mittel, das Vertrauen der Patientinnen und Patienten zu gewinnen, erlebbar. Dieses Vertrauen ist eine entscheidende Voraussetzung für erfolgreiche Forschung mit großen Datenmengen.
Interessant finde ich daran insbesondere die Ausführungen zu der Befugnis zur Anonymisierung, die der Gesetzgeber in § 6 Abs. 3 Satz 3 GDNG geregelt hat.
1.7 BayLDA: Tätigkeitsbericht für 2025
Das Bayerische Landesamt für Datenschutzaufsicht hat seinen Tätigkeitsbericht für das Jahr 2025 veröffentlicht. Es beschreibt darin neben Angaben zur Statistik, der Zunahme von Beschwerden, der Entwicklung und Aussicht hinsichtlich der Personalstellen auch Erkenntnisse und Entscheidungen aus einzelnen Beschwerdeverfahren. Im Rahmen der Veröffentlichung erstellte das BayLDA auch wieder einen Podcast (Dauer ca. 62 Min.). Im Tätigkeitsbericht finden sich auch Hinweise auf unterjährige Veröffentlichung wie zur Cybersicherheit (in Ziffer 15.1) oder auch zum Data Act (in Ziffer 13.4). Nachfolgende aus dem Tätigkeitsbericht einige Beispiele zu Entscheidungen nach Beschwerden:
1.7.1 BayLDA: Tätigkeitsbericht für 2025 – Löschverpflichtungen … bei E-Mailadressen
Auf eine – meist unbewusste – Schwachstelle bei Löschverpflichtungen weist das BayLDA in Ziffer 4.1 hin: Oftmals wird nicht bedacht, dass E-Mailadressen noch über die Autovervollständigungsfunktion bestimmter E-Mailprodukte weiterhin gespeichert sind. Das wird dann ärgerlich, wenn Personen weiterhin E-Mails bekommen, obwohl diesen bereits die Löschung der E-Mail-Adresse bestätigt wurde. Das BayLDA erläutert auch, wie dies vermieden werden könnte.
1.7.2 BayLDA: Tätigkeitsbericht für 2025 – Kontaktmöglichkeiten zu Datenschutzbeauftragten
Aufgrund der Tatsache, dass Datenschutzbeauftragten einer Verschwiegenheitspflicht unterliegen können, wenn sich Betroffene an sie wenden, informiert das BayLDA, dass daher im Kommunikationsverkehr sichergestellt werden muss, dass eine Kontaktaufnahme ohne Kenntnis des Verantwortlichen möglich ist. Details finden sich im Bericht unter Ziffer 5.1.
1.7.3 BayLDA: Tätigkeitsbericht für 2025 – Datenschutzrechtliche Verpflichtungen nach gesellschaftlichen Veränderungen
Fusionieren zwei Kreditinstitute, so entbindet dies beide nicht jeweilige datenschutzrechtliche Verpflichtungen weiterhin zu beachten. Das BayLDA berichtet in Ziffer 6.3, dass im Rahmen der Prüfung einer Beschwerde festgestellt wurde, dass ein Kreditinstitut geraume Zeit nach Ablauf gesetzlicher Aufbewahrungspflichten oder sonstiger Aufbewahrungserfordernisse noch über Daten der betroffenen Personen, z. B. zu beendeten Verträgen, verfügte. Es wies zudem darauf hin, dass damit nicht nur gegen Löschverpflichtungen verstoßen wurde, sondern auch für das weitere Speichern keine Rechtmäßigkeitsgrundlage nachgewiesen werden konnte.
1.7.4 BayLDA: Tätigkeitsbericht für 2025 – Anforderungen an den Nachweis einer Einwilligung bei Direktwerbung
Unter Ziffer 7.1 befasst sich das BayLDA mit den Nachweisanforderungen bei Einwilligungen. Es zitiert dabei auch eine Entscheidung des BGH aus dem Jahr 2011, nach der der Verantwortliche die konkrete Einverständniserklärung jeder einzelnen betroffenen Person vollständig zu dokumentieren habe. Im Fall einer elektronisch übermittelten Einverständniserklärung setze das deren Speicherung und die jederzeitige Möglichkeit, sie auszudrucken, voraus. Das bloße Abspeichern einer IP-Adresse und die Behauptung, dass von dieser eine Einwilligung erteilt worden sei, genügten den Anforderungen an eine Nachweisbarkeit nicht. In der genannten Entscheidung des BGH wird die Vorlage einer Bestätigungs-E-Mail als Nachweismöglichkeit angesprochen; bei einer solchen könnte anhand der eingesetzten digitalen Signaturen (z. B. DKIM Signatur) die Authentizität der E-Mails und damit der Einwilligung nachgewiesen werden. Zudem verweist das BayLDA hierzu auch auf Veröffentlichungen der Datenschutzkonferenz und des EDSA dazu.
1.7.5 BayLDA: Tätigkeitsbericht für 2025 – Datenschutzrechtliche Verantwortlichkeit von Privatpersonen – konkret bei WEG
Unter welchen Voraussetzungen Privatpersonen als Mitglieder einer Wohnungseigentümergemeinschaft (WEG) Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO werden können, schildert das BayLDA in Ziffer 8.2 seines Tätigkeitsberichts. Im konkreten Fall ging es um die Einrichtung einer E-Mailadresse, um Verstöße gegen die Hausordnung zu erheben.
1.7.6 BayLDA: Tätigkeitsbericht für 2025 – Terminbuchungen und Terminmanagement für Arztpraxen
Es ist so einfach: Statt sich mühevoll durchzutelefonieren, um einen Termin zum gewünschten Zeitraum zu erhalten, wird eine App genutzt! Doch wie sieht es datenschutzrechtlich mit Verantwortlichkeiten und Verwendung der Daten und der jeweilige Rechtsgrundlage dazu aus? Auch für beratende Personen außerhalb des medizinischen Umfeldes bieten diese Fragestellungen und die Antworten des BayLDA in Ziffer 11.1 Anhaltspunkte für den Alltag.
1.7.7 BayLDA: Tätigkeitsbericht für 2025 – Transkription von Videokonferenzen
Auch wenn es dazu kaum Beschwerden gab, war die Fragestellung zur rechtskonformen Gestaltung von Transkriptionen ein häufiges Beratungsthema beim BayLDA (ausführlich erläutert in Ziffer 13.1) im Jahr 2025.
1.8 DSB Österreich: Drohnenfotos von Nachbarhäusern durch Immobilienmakler
Wer sich für eine Immobilie interessiert, sei es als Mieter oder als Käufer, freut sich, wenn nicht für den ersten Eindruck immer gleich hingefahren werden muss. Bilder helfen dabei bei der Vorauswahl. Auch die Umgebung und der Blick auf das Objekt von außen können der Entscheidungsfindung dienen. So bieten Immobilienmakler, aber auch oft private Anbieter, neben Bildern auch Aufnahmen mittels Drohne an. Anlässlich einer Beschwerde einer Person, deren Liegenschaft dabei auch mit abgebildet wurde, befasste sich die österreichische Datenschutzbehörde (DSB) damit. Das Haus der Beschwerdeführerin ist ebenfalls auf dem Bild erkennbar, das in einem Inserat auf einer Webseite veröffentlicht wurde. Die Beschwerdeführerin selbst ist auf den Aufnahmen nicht abgebildet.
Die DSB stellt dazu fest, dass der Anwendungsbereich des Datenschutzrechts eröffnet ist, weil aus den Informationen über die Adresse der beworbenen Liegenschaft und der hierzu veröffentlichten Drohnenaufnahme auf die Adresse oder andere personenbezogene Daten der Beschwerdeführerin geschlossen werden kann. Die Beschwerdeführerin ist damit als natürliche Person bzw. als betroffene Person identifizierbar.
Für den Immobilienmakler käme bei der Datenverarbeitung auf den Erlaubnistatbestand „berechtigte Interessen Dritter“ in Betracht, weshalb in weiterer Folge eine Bewertung der berechtigten Interessen des Beschwerdeführers und Dritter (insbesondere der Zweitbeschwerdegegnerin) zu erfolgen habe und es seien jene Interessen sowie möglichen Folgen für den Beschwerdeführer (als betroffene Personen) zu berücksichtigen, die sich durch die gegenständliche Verarbeitung ergeben. Die Anforderungen daran werden durch die DSB auch grds. bejaht, allerdings weist sie darauf hin, dass der Immobilienmakler jedoch das Haus der Beschwerdeführerin unverpixelt und gut erkennbar mit dem Inserat mitveröffentlicht habe. Die Umgebung der Liegenschaft hätte ebenso verpixelt dargestellt werden können, sodass potentielle Kund:innen sich vorstellen können, wie die umliegenden Häuser und Gärten in etwa aufgeteilt und gestaltet sind. Zur Erreichung des gewünschten Verarbeitungszwecks ist die Veröffentlichung der unverpixelten Drohnenaufnahmen, die das Haus der Beschwerdeführerin zeigen, jedenfalls nicht erforderlich, eine weitere Verhältnismäßigkeitsprüfung kann daher unterbleiben. Sie hat daher der Beschwerde stattgegeben.
1.9 Spanien: Bußgeld wegen Datenschutzmängeln bei der Online-Identifizierung
Die spanische Datenschuttaufsicht AEPD hat eines der größten Identitätsverifizierungsunternehmen im Internet, das beispielsweise von Instagram oder Epic Games genutzt wird, mit 950.000 Euro Bußgeld für mehrere Verstöße gegen die DS-GVO im Zusammenhang mit ihrem Identitäts- und Altersverifikationssystem belegt.
Die Aufsicht wirft dem Unternehmen vor, dass es biometrische Daten nicht ordnungsgemäß verarbeitet hat. Zudem sei die Rechtsgrundlage der Einwilligung bemängelt worden, bei der die Nutzung für die Weiterentwicklung standardmäßig aktiviert gewesen sei. Auch sei gegen Löschpflichten verstoßen worden, wenn Daten länger als für die Zweckerreichung erforderlich gespeichert wurden. Das Bußgeld teilt sich daher in folgende Beträge auf: 500.000 Euro für den Verstoß gegen Art. 9 DS-GVO, 200.000 Euro für den Verstoß gegen Art. 7 DS-GVO und 250.000 Euro für den Verstoß gegen Art. 5. Abs. 1 lit. e DS-GVO.
Zudem wird dabei auch die Sensibilität des Falls deutlich, wenn bei Altersverifikationsinstrumenten die mögliche Auswirkung auf Minderjährige berücksichtigt wird, wenn diese Tools zum Beispiel auf der Videospielplattform Epic Games verwendet werden.
1.10 CNIL: Aktualisierung der Entscheidungsübersichten
Die CNIL hat ihre Übersichten zu Datenschutzentscheidungen aktualisiert. Die Version des Jahres 2026 richtet sich an das Fachpublikum. Die CNIL sammelt damit die aus ihrer Sicht wesentliche Rechtsprechung und Entscheidungsverfahren zum Schutz personenbezogener Daten.
1.11 ICO: Bußgeld gegen Police Scotland und was daraus gelernt werden kann
Der ICO verhängte ein Bußgeld in Höhe von 66.000 £ gegen die Police Scotland, weil diese den gesamten Inhalt eines Mobiltelefons extrahierte, nachdem eine angebliche Straftat gemeldet wurde, ohne sicherzustellen, dass ausreichende Schutzmaßnahmen vorhanden waren, um den Zugang zu irrelevanten persönlichen Informationen zu verhindern. Infolgedessen sammelten die Beamten eine beträchtliche Menge hochsensibler Informationen, von denen viele keinen Einfluss auf die Untersuchung hatten. Im fortlaufenden Verfahren wurde diese Informationen ungeschwärzt einer dritten Partei offengelegt.
Der ICO bietet im Übrigen auch Informationen, wie mit vertraulichen Informationen bei Offenlegungsansprüchen umzugehen ist, an. Auch unterstützt er mit Ratschlägen zur angemessen Sicherung digitaler Beweise angemessen, wie mit Hinweisen auf technische Schutzmaßnahmen wie Verschlüsselung, Passwortschutz und eingeschränkter Zugang. Unverschlüsselte Geräte, Festplatten oder Laufwerke stellen demnach ein inakzeptables Risiko dar. Zur Extraktion von Mobiltelefonen bietet er spezielle Hinweise an, ebenso wie zum Management von Aufzeichnungen und Dokumenten.
2 Rechtsprechung
2.1 EuGH-Tutorial zur Klagebefugnis von Bürger:innen
Wer kann vor dem EuGH bzw. dem EuG klagen? In seinem Video-Tutorial (Dauer ca. 23 Min.) erläutert der EuGH, wie Bürger:innen und Unternehmen vor dem Gericht Klage erheben können. Was es für diesen Blog besonders charmant macht: Das Beispiel orientiert sich am Fall T-354/22 (Bindl), über den wir berichteten). Das Video ist mit Untertiteln in allen EU-Sprachen verfügbar.
2.2 EuGH: Datenschutz in Rechtssachen vor dem EuG
Ich finde mich auf den neu gestalteten Webseiten des EuGH (wir berichteten) noch nicht so zurecht. Doch dabei entdecke ich immer wieder etwas, das ich gerne teile – zum Beispiel die Informationen, wie es denn um den Datenschutz in Rechtssachen vor dem EuG stehe.
Und weil wir schon dabei sind: Auch hier bietet der EuGH Zusammenstellungen zu Rechtsprechungsübersichten nach Themengebieten an, darunter auch zum Schutz personenbezogener Daten (auch in verschiedenen Sprachfassungen).
2.3 EuGH: Änderungen der geschlechtlichen Identität C-43/24
Darf ein Mitgliedsstaat sich auf eigene gesetzliche Vorgaben berufen, die eine Anerkennung und damit Änderung der geschlechtlichen Identität untersagt, wenn dies in einem anderen Mitgliedsstaat der EU auf Basis EU-rechtlicher Vorgaben umgesetzt wurde? Darum geht es (stark verkürzt, wir berichteten) in dem Fall C-43/24 (Shipova) vor dem EuGH, der aus Bulgarien vorgelegt wurde.
Eine bulgarische Staatsangehörige wurde bei ihrer Geburt als männliche Person mit einem Namen, einer persönlichen Identifikationsnummer und Ausweisdokumenten registriert, die diesem Geschlecht entsprechen. Sie lebt derzeit in Italien, wo sie eine Hormontherapie begonnen hat, und tritt heute als Frau auf. Sie rief die bulgarischen Gerichte mit dem Ziel, festzustellen, dass sie eine weibliche Person ist, und die Änderung ihrer Personenstandsdaten in ihrer Geburtsurkunde zu erwirken, an. Trotz ärztlicher Gutachten und gerichtlicher Feststellungen, mit denen die vorgetragene Geschlechtsidentität bestätigt wurde, wurde ihr Antrag abgelehnt. Nach der nationalen Regelung in ihrer Auslegung durch die Vereinigten Zivilkammern des bulgarischen Obersten Kassationsgerichts bezieht sich der Begriff „Geschlecht“ auf die biologische Bedeutung, so dass jede Änderung der Angaben zum Geschlecht, zum Namen und zur Identifikationsnummer ausgeschlossen sei. Das öffentliche Interesse, das auf den moralischen und/oder religiösen Werten der bulgarischen Gesellschaft beruhe, habe somit Vorrang vor den Interessen von Transgender-Personen. Das mit dem Rechtsstreit befasste bulgarische Oberste Kassationsgericht hat Zweifel an der Vereinbarkeit dieser Regelung mit dem Unionsrecht und befragte den Gerichtshof.
Der EuGH entschied nun, dass das Unionsrecht einer Regelung eines Mitgliedstaats entgegensteht, die einem Staatsangehörigen dieses Mitgliedstaats, der von seinem Recht, sich in einem anderen Mitgliedstaat frei zu bewegen und aufzuhalten, Gebrauch gemacht hat, eine Änderung der in die Personenstandsregister eingetragenen Daten betreffend das Geschlecht nicht erlaubt.
Darüber hinaus stellt der Gerichtshof fest, dass das Unionsrecht dem entgegensteht, dass ein Gericht an eine Auslegung durch sein Verfassungsgericht gebunden ist, wenn diese ein Hindernis für die Anwendung des Unionsrechts in seiner Auslegung durch den Gerichtshof darstellt.
Etwas salopper formuliert: Stehen nationale Regelungen – sei es auch aus religiösen Werten und Moralvorstellungen – entgegen europäischem Recht, so gehe i.d.R. europäisches Recht vor.
2.4 AG Duisburg: Anforderungen an datenschutzrechtliche Haftung durch Softwarefehler
Eine Lebens- und allgemeine Versicherungsgesellschaft nutzte zur Datenübertragung eine Software von Drittanbietern. Unbekannte Täter nutzten eine Schwachstelle in dieser Software aus, um persönliche Daten zu extrahieren, darunter Namen, die Adresse, das Geburtsdatum und den Ort des Klägers sowie die Steueridentifikationsnummer des Klägers, der einen Pensionsversicherungsvertrag mit dem Unternehmen abgeschlossen hatte. Der Kläger forderte nun 1.000 Euro immateriellen Schadenersatz u.a. mit der Angabe, dass das Unternehmen von früheren Schwachstellen in der Software Kenntnis hatte.
Das Unternehmen sei nicht für den Verstoß verantwortlich, entschied das AG Duisburg (ab RN. 64). Art. 32 DS-GVO verlange keinen 100 % Schutz, nach der Rechtsprechung des Europäischen Gerichtshofes verlange die DS-GVO von dem Verantwortlichen, ein Risikomanagementsystem einzuführen (RN. 65). Verantwortliche würden nicht verpflichtet alle Datenschutzrisiken zu beseitigen. Es verlangt von ihnen ein Sicherheitsniveau zu implementieren, das den mit der Verarbeitung verbundenen Risiken entspricht.
Wenn eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DS-GVO von Cyberkriminellen und damit von „Dritten“ im Sinne von Art. 4 Nr. 10 DS-GVO begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DS-GVO, insbesondere der Verpflichtung zum Datenschutz, die ihm nach Art. 5 Abs. 1 lit. f, Art. 24 und Art. 32 DS-GVO obliegt, ermöglicht hat. Hackerangriffe entlasten den Verantwortlichen, wenn dieser die übliche Sorgfalt zum Schutz der Daten angewendet hat, wobei gerade zu berücksichtigen ist, dass die DS-GVO nicht erfordert alle theoretisch möglichen Schutzvorkehrungen vorzusehen (RN. 67).
Das AG Duisburg zitiert dabei den EuGH C-340/21, der sich bereits mit den datenschutzrechtlichen Verantwortlichkeiten bei einem Hackerangriff befasste (wir berichteten).
2.5 ArbG Düsseldorf: Rechtsweg bei Art. 82 DS-GVO in kirchlichen Arbeitsverhältnissen
Die Parteien streiten über einen Anspruch auf Auskunft gemäß Art. 15 DS-GVO sowie einen Anspruch auf Schadensersatz gemäß Art. 82 Abs. 1 DS-GVO und vorab über die sachliche Zuständigkeit der Arbeitsgerichtsbarkeit. Der Kläger bewarb sich bei einer kirchlichen Stelle, zog die Bewerbung zurück und verlangte nach DS-GVO Auskunft. Die Beklagte beruft sich auf das DSG-EKD und die Zuständigkeit kirchlicher Gerichte. Der Kläger hält staatliche Arbeitsgerichte und die DS-GVO für anwendbar.
Das ArbG Düsseldorf stellt dazu fest, dass der Rechtsweg zu den Arbeitsgerichten eröffnet sei. Die Bewerbung des Klägers stellt eine Verhandlung über die Eingehung eines Arbeitsverhältnisses dar. Auskunfts- und Schadensersatzansprüche nach DS-GVO weisen daher einen arbeitsrechtlichen Bezug auf. Das kirchliche Selbstbestimmungsrecht schließe die Zuständigkeit staatlicher Gerichte bei privatrechtlichen Arbeitsverhältnissen nicht aus. Zudem erlaube Art. 91 DS-GVO zwar eigene Datenschutzregeln und Aufsichtsbehörden, nicht jedoch eine eigenständige kirchliche Gerichtsbarkeit (RN. 30 ff).
2.6 AG Darmstadt: Zur Rechtsmissbräuchlichkeit einer Datenauskunft
Das AG Darmstadt hat sich im Urteil vom 04.03.2026 (313 C 179/25) mit Fragen zur Rechtsmissbräuchlichkeit bei datenschutzrechtlichen Auskunftsbegehren befasst. Das Urteil selbst habe ich noch nicht veröffentlicht gefunden. Der Beklagtenvertreter berichtet hier darüber.
Demnach meldete sich der Kläger im Frühjahr 2025 auf der Website des Beklagten zu dessen Newsletter an und stellte kurz darauf ein schriftliches Auskunftsersuchen nach Art. 15 DS-GVO. Der Beklagte versagte dem Kläger mit anwaltlichem Schreiben die Auskunft. Der Kläger forderte mit zwei weiteren Anwaltsschreiben die Erteilung der begehrten Auskunft. Diese wurde dem Kläger durch den Beklagten nicht erteilt, woraufhin der Kläger schließlich Klage erhob.
Das AG Darmstadt wies die Klage ab und gelangte zu der Überzeugung, dass das Vorgehen des Klägers nicht dem Schutz persönlicher Daten diene, sondern primär der Generierung finanzieller Ansprüche.
Das Gericht stelle fest, dass der Kläger sein formell bestehendes Auskunftsrecht nicht zur Kontrolle der Datenverarbeitung, sondern zur Erzielung finanzieller Vorteile nutze und damit ein rechtsmissbräuchliches Verhalten zeige. Entscheidend sei stets eine Gesamtwürdigung aller Umstände: Werde ein Anspruch nach Art. 15 DS-GVO erkennbar zweckwidrig eingesetzt, könne dies den Missbrauch begründen. Die Argumentation des Klägers, Auskunftsersuchen seien nach der DSGVO unbegrenzt zulässig, wies das Gericht zurück. Art. 12 Abs. 5 DS-GVO ermögliche ausdrücklich die Ablehnung offenkundig unbegründeter oder exzessiver Anträge. Solche exzessiven Anträge könnten sich nicht nur aus häufigen Wiederholungen gegenüber einem Unternehmen ergeben, sondern auch daraus, dass eine Person ohne erkennbaren Anlass massenhaft Auskunftsersuchen an zahlreiche Verantwortliche richtet. Das Gericht stelle klar, dass der Auskunftsanspruch nur im Rahmen eines sachbezogenen, nicht grenzenlosen Gebrauchs bestehe.
2.7 AG München: Digitale Kompetenz im Gerichtssaal – Befangenheitsantrag gegen Schöffen
Dieser Bericht erfolgt eher zur Kenntnisnahme, denn zum Erkenntnisgewinn – zumindest erhoffe ich dies bei unseren Leser:innen! Vor dem AG München ging ein Befangenheitsantrag gegen einen Schöffen, dem vorgeworfen wurde, nicht aufmerksam der Verhandlung gefolgt zu sein und damit nicht in der Lage zu sein bei einer objektiven Urteilsfindung mitzuwirken, durch. Er hatte mindestens zwei Minuten lang sein Handy benutzt. Allein das ist schon diskussionswürdig und das AG stellt auch fest, dass die Begründung des Gesuchs auf Befangenheit „zumindest in Teilen geeignet [sei], die Besorgnis der Befangenheit gegen den abgelehnten Schöffen … zu rechtfertigen.“
Der Schöffe selbst legte eine Stellungnahme vor, nach der die Nutzung nur in den „Randzeiten“ des Verfahrens erfolgte – ohne diese genau zu definieren. Und das Gericht hegt offenbar in RN 12 seines Beschlusses Zweifel, ob diese Stellungnahme nicht mittels KI erstellt wurde:
„Die offensichtlich unkritische Einstellung des Schöffen gegenüber seinem Fehlverhalten in der Hauptverhandlung lassen aus Sicht eines verständigen Angeklagten zum einen befürchten, dass er auch im weiteren Verlauf der Hauptverhandlung nicht bereit wäre, an der Urteilsfindung auf der Grundlage aller der in der Hauptverhandlung erzielten Ergebnisse mitzuwirken, sondern für sich erneut in Anspruch nehmen könnte, gegebenenfalls auch für die Entscheidung relevante Inhalte der Beweisaufnahme als bloßes „Randgeschehen“ als unbeachtlich zu betrachten. Verschärft wird dieser Eindruck durch die umfassenden rechtlichen Würdigungen des Schöffen in seiner dienstlichen Stellungnahme, seien diese nun ohne entsprechende Offenlegung durch KI generiert oder nicht. Diese unaufgefordert erfolgten Äußerungen des Schöffen, in denen er letztlich für sich feststellte, dass die Ablehnungsgesuche als unbegründet zurückzuweisen sein, lassen ebenfalls befürchten, dass es dem Schöffen an der gebotenen richterlichen Distanz und Neutralität fehlt. Zudem lässt dieses Verhalten daran zweifeln, dass der Schöffe ein zutreffendes Verständnis seiner Aufgabe als Schöffe hat und dies deutlich von der Aufgabenstellung eines Berufsrichters zu unterscheiden weiß.
2.8 VG Berlin: Auskunftsanspruch gegen AfD über Werbeauftritte in sozialen Medien
Wie hier das VG Berlin in einer Pressemitteilung informiert, muss die Partei Alternative für Deutschland (AfD) der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBfDI) Auskunft über Werbeauftritte in sozialen Medien im Bundestagswahlkampf 2021 erteilen.
Die AfD warb im Bundestagswahlkampf 2021 auf der Plattform Facebook mit einem TV-Spot zur Bundestagswahl. Eine Person, der diese Werbung angezeigt wurde, beschwerte sich daraufhin bei der BlnBfDI. Die Person machte geltend, die AfD habe für die Verbreitung des Werbeauftritts unrechtmäßig auf personenbezogene Daten von Facebook-Nutzern zugegriffen. Die Werbung sei nur in Deutschland wohnenden Männern zwischen 11 und 48 Jahren mit Interesse an der Freien Demokratischen Partei angezeigt worden. Die BlnBfDI forderte die AfD daraufhin u.a. dazu auf ihr die vollständigen Auswertungen und Abrechnungen zu dieser Werbeanzeige zu übersenden. Ferner sollte sie mitteilen, ob im Jahr 2021 weitere Anzeigen in sozialen Medien geschaltet worden seien und gegebenenfalls Inhalt, Reichweite und Merkmale der Zielgruppen der einzelnen Anzeigen auflisten. Dagegen wehrte sich die AfD vor dem VG Berlin, das die Klage abwies.
Die AfD sei nach der DS-GVO verpflichtet die Auskünfte zu erteilen. Die BlnBfDI könne Informationen auch dann verlangen, wenn sie über Risiken bestimmter Verarbeitungsvorgänge aufklären oder sich vergewissern wolle, ob überhaupt personenbezogene Daten verarbeitet würden. Gerade zur Aufklärung der Datenverarbeitung beim sog. political targeting – der datengetriebenen, individualisierten Ansprache von Wählerinnen und Wählern in den sozialen Medien – seien umfassende Informationen erforderlich. Die BlnBfDI habe diese Informationen überdies von allen Parteien mit Sitz in Berlin, die 2021 im Bundestag vertreten gewesen seien, angefordert. Die Entscheidung ist noch nicht rechtskräftig.
2.9 LAG Rheinland-Pfalz: Kündigungsgrund bei Mitarbeiterexzess
Das Urteil des LAG Rheinland-Pfalz ist zwar schon vom Juli 2025, wird aber aktuell hier schön besprochen. Ein Beschäftigter bei der Arbeitsagentur nahm Zugriff auf die Datei seiner Mutter, für die er dienstlich keine Zuständigkeit hatte. Das LAG Rheinland-Pfalz bestätigte die ordentliche Kündigung, da es sich in der Prognose der Bewertung der Arbeitgeberin anschloss, eine Abmahnung sei in diesem Fall entbehrlich gewesen (RN. 60). Eine negative Prognose hinsichtlich einer an sich möglichen Verhaltensänderung des Arbeitnehmers in der Zukunft sei insbesondere dann gerechtfertigt, wenn der Arbeitnehmer die Vertragswidrigkeit eines Verhaltens sowie die damit verbundene Gefährdung seines Arbeitsverhältnisses gekannt habe oder habe kennen müssen, z.B. aus entsprechenden Hinweisen bei früheren Anlässen, im Arbeitsvertrag, in Rundschreiben, Verwaltungsanweisungen oder Betriebsaushängen.
Insbesondere von mit sachbearbeitenden Aufgaben betrauten Mitarbeitenden könne im Übrigen erwartet werden, dass die für das jeweilige Arbeitsverhältnis gültigen und einschlägigen Regelungen eigenständig erschlossen, gelesen und verstanden würden. Im Zweifelsfall sei entsprechend der dahingehenden Belehrung in der Erklärung zur Einstellung der Interne Service Personal zu kontaktieren, um sich über Einzelheiten der für das jeweilige Arbeitsverhältnis maßgeblichen Bestimmungen unterrichten zu lassen (RN. 61).
2.10 VerwGH Luxemburg: Bescheid über Bußgeld gegen Amazon muss nachgebessert werden
In der zweiten Instanz hat der Verwaltungsgerichtshof der Aufsichtsbehörde Luxemburg Aufgaben mitgegeben. Diese hatte im Jahr 2021 gegen AWS von Amazon ein Bußgeld in Höhe von 746 Mio. Euro verhängt (wir berichteten), gegen das Amazon natürlich klagte. Vorgeworfen wurde u.a., dass Werbeprofile ohne Einwilligung erstellt würden sowie Interessenswahrung zu dieser Verarbeitung nicht ausreichen würde. In der ersten Instanz bestätigte das VG Luxemburg diese Entscheidung (wir berichteten). In der zweiten Instanz hob der Verwaltungsgerichtshof die Rekordstrafe gegen Amazon auf und verweist den Fall zurück. Jetzt muss die Datenschutzbehörde nachbessern. Der Verwaltungsgerichtshof hob dabei hervor, dass sich Amazon mittlerweile rechtskonform verhalte. Unter Verweis auf EuGH-Urteile (C-807/21, wir berichteten, und C-683/21, wir berichteten), welche zwischenzeitlich ergangen waren, sei auch geklärt, dass ein Bußgeld nur verhängt werden könne, wenn fahrlässig oder vorsätzlich gehandelt worden sei. Dazu habe aber die Aufsicht keine Aussage getroffen (Anmerkung: Die beiden Urteile des EuGH ergingen erst nach dem Bescheid im Jahr 2021). Ebenso müsse die Höhe der Strafe überprüft werden, ob auch mildere Mittel zur Verfügung gestanden hätten.
Zu all dem habe ich bislang keine Originaldokumente frei verfügbar im Netz gefunden, immerhin aber eine Information des Rechtsvertreters von Amazon auf LinkedIn. Dazu gibt es auch einen ausführlichen Bericht.
2.11 EuGH-Vorschau: Vorlagefragen zu Art. 9 DS-GVO
Der Oberste Gerichtshof in den Niederlanden will dem EuGH spannende Fragen vorlegen. Es geht um die Zulässigkeit von Ausweiskopien und die Bewertung der dabei genutzten Bilddateien. Ausgangspunkt ist die Verpflichtung der Anfertigung von Ausweiskopien im Rahmen der Geldwäsche-Prävention bei der Eröffnung von Bankkonten.
Geklärt werden soll die Rechtmäßigkeitsgrundlage dazu aus datenschutzrechtlicher Sicht, die Aufbewahrungsdauer der gespeicherten Informationen, inwieweit die Abbildungen der Personen unter Art. 9 Abs. 1 DS-GVO fallen und ob sich aus den Abbildungen der Person dann Informationen über die rassische oder ethnische Herkunft mit ausreichender Gewissheit erschließen lassen.
Nur zur Vollständigkeit: Bereits im Jahr 2010 hatte sich der Oberste Gerichtshof der Niederlande damit befasst und damals eine Bezugnahme auf rassische oder ethnische Informationen nur gelten lassen, wenn die Verarbeitung dazu bestimmt war diese relevanten sensiblen Informationen aus den Abbildungen abzuleiten.
3 Gesetzgebung
3.1 Öffentliche Anhörung im Bundestag zu KI-Durchführungsgesetz
Für den 23. März von 14:00 – 16:00 Uhr ist im Ausschuss für Digitales und Staatsmodernisierung die Anhörung zum Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Gesetz zur Durchführung der Verordnung über künstliche Intelligenz)“ angesetzt. Die Liste der Sachverständigen ist hier hinterlegt.
3.2 EU: Bisher keine Einigung zur Chatkontrolle
Zwar hat sich das Europäische Parlament auf eine Fassung verständigt, die eine europäische Ausnahmeregelung mit Nachbesserungen vorsah. Wie hier berichtet wird, stimmten Abgeordneten in Straßburg für die abgespeckte Version eines Vorschlags der Europäischen Kommission. Insbesondere wollten sie eine Befristung der Regeln bis zum 3. August 2027 statt bis zum 3. April 2028. Die Parlamentarierinnen und Parlamentarier wollten die Maßnahmen zudem auf Material beschränken, das etwa von Strafverfolgungsbehörden als potenzielles Missbrauch-Material gemeldet wurde. Bericht dazu auch hier.
Allerdings fand sich im EU-Rat dazu, wie dort berichtet wird, bislang keine Mehrheit, so dass aktuell die freiwillige Kontrolle von privater Kommunikation im Internet durch Online-Plattformen im Kampf gegen die Darstellung von sexuellem Kindesmissbrauch nicht verlängert wird. Die bisher geltende Regelung, die sogenannte Chatkontrolle, läuft damit am 3. April 2026 ab. Unterhändler der EU-Staaten und des EU-Parlaments konnten sich nicht auf einen Kompromiss einigen, wie eine Sprecherin der zyprischen Ratspräsidentschaft in Brüssel mitteilte.
3.3 Podcast zum Omnibus
In dieser Podcast-Folge (Dauer ca. 58 Min.) geht es u.a. um die Vorstellungen zu Änderungen an der DS-GVO, die im Rahmen eines Think Tank an der Technischen Universität München (TUM) entwickelt wurden. Über deren Vorstellungen haben wir bereits berichtet. Und um bei den Metaphern rund um den Omnibus zu bleiben – die Zahl der Mitfahrenden scheint mehr zu werden.
Und bei der Abkürzung des BvD (bei Min. 5:20) muss noch etwas geübt werden, denn der BVDW ist was anderes.
3.4 EU-Wallet: Vertrauen auf dem Prüfstand
Ende dieses Jahres soll die digitale Brieftasche auf EU-Ebene für alle kommen. Wie hier berichtet wird, warnen Bürgerrechtsorganisationen, dass die EU-Kommission zentrale Datenschutzgarantien aushöhlen und Nutzer:innen zur Weitergabe biometrischer Daten zwingen will. Sie weisen in einer Stellungnahme darauf hin, dass weit mehr Daten schon bald bei der geplanten EUDI-Wallet ausgetauscht werden könnten. Wer die digitale Brieftasche künftig einsetzt, könnte dann sogar gezwungen sein die eigenen biometrischen Gesichtsdaten an Unternehmen weiterzugeben.
Konkret bezieht sich die Kritik auf drei aktuelle Konsultationsentwürfe von sogenannten Durchführungsrechtsakten. Als besonders problematisch werden Regelung bewertet, wonach „vertrauenswürdige Parteien“ je nach Mitgliedstaat sogenannte Registrierungszertifikate nicht verpflichtend, sondern nur optional erhalten sollen. Dies könnten dann Unternehmen und öffentliche Einrichtungen sein. Sie müssen sich laut eIDAS-Verordnung vorab in einem EU-Mitgliedstaat registrieren. Dabei müssen sie darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden.
3.5 KI-Omnibus – offener Brief
In einem offenen Brief rufen nicht nur Bürgerrechtsorganisationen und eine einer Reihe prominenter europäischer Organisationen (z.B. DEKRA oder der TÜV Verband) alle EU-Regierungen im Rat, die Mitglieder des Europäischen Parlaments und die Europäische Kommission auf im Rahmen des KI-Omnibus die vorgesehenen Schutzmaßnahmen nicht zu reduzieren. Konkret geht es um die Übertragung der harmonisierten Produkte von ANNEX IA auf IB. In der Konsequenz müssten laut den Verfassern danach Unternehmen für zahlreiche Produktbereiche ihre eigenen KI-Regeln (im Einklang mit dem KI-Gesetz) aufstellen, ohne Frist. Separate (Änderungen an) Richtlinien und Vorschriften sowie zusätzliche Durchführungsakte müssten für KI-Maschinen (Roboter), KI-Spielzeuge, KI-Medizingeräte, KI-Sicherheitskomponenten für Aufzüge usw. ausgearbeitet und vereinbart werden.
3.6 Offener Brief an die EU-Kommission zum Digital Fairness Act
Mehr als 85 Organisationen und über 115 Expertinnen und Experten haben einen offenen Brief an die EU-Kommission veröffentlicht, in welchem die Unterzeichnerinnen und Unterzeichner diese auffordern ein ehrgeiziges Gesetz zur digitalen Fairness (den DFA) zu beschließen, um Menschen im Internet besser zu schützen. Der offene Brief ist im englischen Original bei BEUC (inklusive allen Unterzeichnerinnen und Unterzeichnern) hinterlegt.
3.7 Diskussion um Polizeigesetz Niedersachsen: Palantir
Im Ausschuss für Inneres und Sport des Niedersächsischen Landtages fand die Anhörung von Expert:innen zum Antrag der Fraktion der CDU „Polizeiarbeit in das Zeitalter der Digitalisierung überführen – verfahrensübergreifende Datenanalysen in Echtzeit ermöglichen“ statt. Letztendlich geht es um die Einführung einer Software des Unternehmens Palantir. Die Stellungnahme der AG KRITIS und des Cyberintelligence Institut dazu habe ich im Netz gefunden. Auch der LfD Niedersachsen hat sich dazu geäußert. Ungewöhnlich war hier auch, dass Vertreter des beteiligten Unternehmens zu der Anhörung eingeladen wurden – natürlich durch eine Partei, die dessen Einsatz auch wünscht, wie hier angemerkt wird.
q.
4 Künstliche Intelligenz und Ethik
4.1 KI (LLM) und Entscheidungen bei Mehrdeutigkeiten
Unter den zahlreichen Einsatzgebieten von KI gewinnt rechtliche KI an Bedeutung in verschiedenen Rechtsordnungen weltweit. Vor diesem Hintergrund befasst sich die Arbeit „Ambiguity Collapse by LLMs: A Taxonomy of Epistemic Risks“ mit Einschränkungen, die prädiktive Modelle bei der Interpretation komplexer Textinformationen, die per Definition offen für Interpretation sind, mit sich bringen. In einer gemeinsamen Analyse haben die Autoren eine neue Definition für ein potenziell unerwünschtes Ergebnis in LLM-Inferenzen entwickelt.
Das Konzept des „Ambiguitätskollaps“ definiert alle Situationen, in denen LLM zwischen Schlussketten wählen müssen, die sich auf ein Wort-Token beziehen und in verschiedenen Kontexten mehrere Bedeutungen haben können. Der Punkt sei, dass LLM dazu neigen die meisten Bedeutungen abzutun, die für ein bestimmtes Wort wirklich relevant sind. Angesichts der zunehmenden Rolle, die LLMs bei der Gestaltung der Bedeutung von Sprache spielen, berge der Zusammenbruch von Mehrdeutigkeiten erhebliche Risiken bei der Einführung von LLM in verschiedenen Sektoren.
Deshalb nennt der Artikel Abschwächungsmaßnahmen, die in jeder Phase des Lebenszyklus eines LLM ergriffen werden sollten, insbesondere wenn sie auf das Auftreten des Phänomens –definiert als Mehrdeutigkeitskollaps – relevant sind. Auf Trainingsebene empfehlen die Forscher Belohnungen, die Konvergenz auf wahrscheinlichen Pfaden loben, zu vermeiden. Was die Verbreitung betrifft, so können binäre Bezeichnungen und politische Entscheidungen das Risiko von Halluzinationen oder im Zusammenhang mit der Sicherheit und Privatsphäre von Personen verringern, aber zur Zerstörung von Mehrdeutigkeiten führen. Schließlich würden LLM über Schnittstellen und Prompt-Design ermutigt eine Ja/Nein-Antwort zu geben.
4.2 NIST Report zu Herausforderungen bei der Überwachung eingesetzter KI-Systeme
Das US-amerikanische National Institute for Standards and Technology (NIST) hat einen Bericht (NIST AI 800-4) mit dem Titel „Herausforderungen bei der Überwachung eingesetzter KI-Systeme“ („Challenges to the Monitoring of Deployed AI Systems“) veröffentlicht. Der Bericht identifiziert Überwachungskategorien und Herausforderungen beim Einsatz von KI, darunter Lücken, Hindernisse und offene Fragen, um Anhaltspunkte für die zukünftige Forschung auf diesem Gebiet zu liefern. Der Bericht ist das Ergebnis von drei Workshops für KI-Praktiker, die vom Center for AI Standards and Innovation veranstaltet wurden, sowie einer Auswertung der vorhandenen Literatur zu den Herausforderungen der kontinuierlichen Überwachung. Der Hauptbeitrag dieses Berichts ist die Identifizierung, Organisation und Dokumentation von Überwachungsherausforderungen und die Berichterstattung über die von Experten auf diesem Gebiet geäußerten Ansichten. Sechs gängige Kategorien von Monitoring, die über die thematische Codierung entwickelt wurden, werden dazu tabellarisch aufgeführt. Im Anhang B des Berichts wird die vollständige Methodik und im Anhang C das zugehörige Codebuch dargestellt.
4.3 Memorisierung und „Auswendiglernen“
Die Frage, ob ein LLM nun die Informationen verwendet oder immer wieder neu aus Teil-Fragmenten bildet, ist relevant für Bewertungen zur Nutzung nach urheberrechtlichen Maßstäben und bei der Frage der „Verarbeitung“ und des Personenbezugs. Der Blog-Beitrag „The persistence of memorization“ befasst sich dabei mit dem Argument des „Auswendiglernens“ in dieser Debatte.
4.4 Fachbereich Europa im Bundestag: Biometrischer Abgleich mit Bildern aus dem Internet
Der Fachbereich Europa hat eine Arbeit veröffentlicht, die sich mit Fragestellungen zur KI-VO befasst. In „Biometrischer Abgleich mit Bildern aus dem Internet – Technische Umsetzung und Vereinbarkeit mit der KI-Verordnung“ werden u.a. Aspekte des Einsatzes von Künstlicher Intelligenz (KI) zum Zweck der Gesichtserkennung thematisiert. Klarstellend sei erwähnt, dass die Arbeiten des Fachbereichs Europa nicht die Auffassung des Deutschen Bundestags, die eines seiner Organe oder die der Bundestagsverwaltung wiedergeben.
4.5 KI-Policy-Generator für Richtlinien für Lehrveranstaltungen
Der KI-Policy-Generator der Universität Bamberg ist ein Online-Tool, um zügig ohne Anmeldung eine passende Richtlinie für die eigene Lehrveranstaltung zu erstellen. Er ist aktuell in der dritten Version (v3) verfügbar und wurde gezielt um einige Funktionen und hinsichtlich des Designs angepasst. Es können verschiedene Vorgaben verwendet werden, wie z.B. „Kein KI-Einsatz“ über „KI zum Lernen“, „KI bei Abgaben erlaubt“ bis hin zu „KI-Kompetenz ist Lernziel, Prozess und Ergebnis werden bewertet“. Auch der Switch auf Englisch ist möglich.
4.6 Universität Graz: Ethischer und rechtlicher Leitfaden für KI-Einsatz in der Bildung
Die Universität Graz informiert, dass im Rahmen des von der EU geförderten Projekts EducationalAI die Gesetzeslage der Europäischen Union durchpflügt und die relevanten Punkte in einem Leitfaden für Lehrende und Führungskräfte im Bildungsbereich zusammengefasst wurden. Diese finden sich nun in der Veröffentlichung „Ethischer & rechtlicher Leitfaden für den verantwortungsvollen Einsatz von KI in der Bildung“. Dieser Leitfaden richte sich an Lehrende und Führungskräfte im Bildungsbereich, die künstliche Intelligenz (KI) bereits einsetzen oder dies planen – sei es im Unterricht oder in administrativen Abläufen. Der Leitfaden behandele zentrale ethische und rechtliche Fragestellungen, die beim Einsatz von KI im Bildungsbereich auftreten (können). Ziel ist es Lehrenden und Führungskräften Orientierung im Umgang mit diesem Thema zu bieten und praxisnahe Hinweise für einen verantwortungsvollen, reflektierten und rechtskonformen KI Einsatz zu geben. Der Leitfaden, der ausgewählte unionsrechtliche Grundlagen enthält, steht frei zum Download in verschiedenen Sprachen zur Verfügung.
4.7 Deutsche Forschungsgemeinschaft: KI im Einsatz bei den Finanzierungsprozessen
Künstliche Intelligenz verändert auch die Finanzierungsprozesse der Forschung. Dies wirke sich zwangsläufig auf den Überprüfungsprozess aus, das zentrale Instrument der Qualitätssicherung im Finanzierungssystem der Deutsche Forschungsgemeinschaft (DFG). Die DFG hat daher eine gründliche Untersuchung der Nutzung KI-Systeme durchgeführt und einen verbindlichen Rahmen geschaffen. Die neuen Vorschriften treten ab dem 16. April 2026 in Kraft. Ziel ist es einen rechtlich fundierten und transparenten Ansatz für KI sicherzustellen, der technologische Entwicklungen berücksichtigt und gleichzeitig die Prinzipien der Forschungsintegrität wahrt.
Die neu veröffentlichte Leitlinie und das begleitende Whitepaper legen die Bedingungen fest, unter denen KI im Peer-Review eingesetzt werden darf.
Die Kernelemente der Leitfaden umfassen
- Vertraulichkeit: Vorschläge dürfen nur in Systemen verarbeitet werden, die eine sichere, zweckgebundene Nutzung garantieren. Der Schutz unveröffentlichter Forschungsideen und -daten ist von größter Bedeutung.
- Transparenz: Jeglicher Einsatz von KI bei der Erstellung einer Bewertung muss offengelegt werden.
- Qualitätssicherung: KI-generierte Inhalte müssen kritisch geprüft werden – insbesondere hinsichtlich Genauigkeit, möglicher Verzerrung und disziplinarischer Angemessenheit.
- Verantwortung: Die volle Verantwortung für den Inhalt der Rezension liegt beim Gutachter. KI ersetzt das akademische Urteil nicht.
KI kann ausschließlich in unterstützender Funktion eingesetzt werden, zum Beispiel für Strukturierung, linguistische Überarbeitung oder Literaturrecherche. Die akademische Analyse, Bewertung und Finanzierungsempfehlungen bleiben ausschließlich in der Verantwortung der Gutachter.
5 Veröffentlichungen
5.1 MS 365 Copilot: Bug oder Feature oder Missverständnis?
Was passierte als bei einigen Nutzenden von Microsoft 365 Copilot Informationen verwendet wurden, die da nicht vorgesehen waren, wie z.B. hier berichtet wurde? Dieser Blog-Beitrag befasst sich damit und gibt Antworten.
5.2 Dark Pattern: Blinde Flecken im europäischen Verbraucher:innenleitbild?
Die Arbeit „Blinde Flecken im europäischen Verbraucher:innenleitbild – Dark Patterns und Dark AI“ befasst sich mit der Fragestellung, ob Dark Pattern und Dark AI bisher in der Richtlinie über unlautere Handelspraktiken (Unfair Commercial Practices Directive – UCPD) (RL 2005/29/EG) unzureichend berücksichtigt werden.
Verbraucher:innen seien in digitalen Entscheidungsumgebungen zahlreichen Einflussnahmen ausgesetzt. Die Oberflächen von Websites oder Apps würden häufig bewusst so gestaltet, dass sie Rationalitätsdefizite von Verbraucher:innen gezielt ausnutzen und ihre Entscheidungen lenken (Dark Patterns).
Mit der Verbreitung von Künstlicher Intelligenz (KI) sei zu erwarten, dass KI-Systeme zunehmend eingesetzt werden, um Verbraucher:innen subtil zu beeinflussen (Dark AI). Der Beitrag untersucht solche manipulativen Techniken aus der Perspektive des europäischen Wettbewerbsrechts: Die Richtlinie über unlautere Geschäftspraktiken (UCPD) gehe traditionell von einer robusten Verbraucher:in aus, die grundsätzlich rational entscheidet und Einflüssen auf Entscheidungsprozesse standhalten kann. Demnach würden viele Formen von Dark Patterns und Dark AI – trotz ihrer Wirksamkeit – nicht von den Verbotstatbestände der UCP-RL erfasst. Allerdings ließe sich die gesetzgeberische Wertung des Art. 25 DSA und Art. 5 KI-VO auf die Generalklausel des Art. 5 Abs. 2 UGP-RL übertragen. Ein Verstoß gegen diese Regelungen stelle demnach gleichermaßen einen Verstoß gegen die berufliche Sorgfalt dar. Mit diesem Ansatz wird die Schutzkonzeption der UGP-RL sektoral neukonfiguriert – hin zur Figur einer beeinflussbaren Durchschnittsverbraucher:in.
5.3 Podcast zu Datenschutz und Rechtsstreitigkeiten
In dieser Folge einer Podcast-Reihe (Dauer 74 Min.) rund um den Datenschutz geht es um Datenschutz-Litigation – mit einem Experten, der erklärt, was nach einem Bußgeld einer Datenschutzaufsichtsbehörde wirklich passiert und wie Unternehmen juristisch am besten reagieren können. Eigentlich auch für diejenigen etwas, die vor dem Bußgeld nicht richtig zugehört haben. Hervorzuheben sind auch die Show-Notes zu dem Thema.
5.4 IoT-Kameras und Sicherheit
Kameras, die mit dem Internet verbunden sind: Immer wieder bieten sie Anlass darauf hinzuweisen, dass auch diese ausreichend geschützt werden müssten, sollten nicht Unbefugte sie oder ihre Aufnahmen nutzen können. Dieser Beitrag thematisiert die Nutzung solcher Kameras durch Behörden und Geheimdienste im Nahen Osten und in der Ukraine.
Die Unsicherheit vernetzter ziviler Kameras würde Teil der Verfahren der jeweiligen Streitkräfte auf der ganzen Welt: Ein relativ billiges und zugängliches Mittel, um ein Ziel zu betrachten, das Hunderte oder Tausende von Kilometern entfernt ist. Manche Leser:innen können sich vielleicht noch an den Film „Der Staatsfeind Nr. 1“ („Enemy of the State“) aus dem Jahr 1998 erinnern.
5.5 PETs und die Einschränkung der Datennutzung
Welche Lehren können aus Apples NeuralHash-Erkennungsvorschlag und Googles Privacy Sandbox gezogen werden? Damit befasst sich hinsichtlich der Privacy-Enhancing Technologies (PETs) dieser Beitrag “Protecting the ‘Privacy’ in Privacy-Enhancing Technologies: Lessons from Apple’s NeuralHash Detection Proposal and Google’s Privacy Sandbox“.
PETs werden häufig als Tools präsentiert, die den freien Datenfluss ermöglichen und gleichzeitig personenbezogene Daten schützen. In der Praxis fehlt PETs jedoch häufig ihr Versprechen, die Privatsphäre zu schützen, ohne die Datennutzung einzuschränken. Wenn die Privatsphäre auf eine enge Vorstellung von Vertraulichkeit reduziert wird, werden die Instrumente zur Verbesserung des Datenschutzrisikos untergraben und bestehende Machtkonzentrationen festigen. Auf der Grundlage von zwei hochkarätigen Versuchen, diesen realen Einsatz zu unterbinden, die letztendlich eingestellt wurden, zeigt dieser Bericht, wie die derzeitigen Ansätze für PETs wichtige Risiken verdecken können und dass PETs als eine Komponente eines breiteren, rechtsbasierten Governance-Rahmens und nicht als technische Lösung für Datenschutzprobleme verstanden werden müssen. Entscheidend ist die breite Auseinandersetzung mit verschiedenen interdisziplinären Stakeholdern als ein wesentlicher Bestandteil des Prozesses. In einer Zeit des legislativen Wandels, in der „Vereinfachung“ bei der Verfolgung von Innovation in politischen Diskussionen von Bedeutung ist, müssen die Grenzen von PETs als Sammellösung genau verstanden werden. Dies ist insbesondere der Fall, da die laufenden Debatten über den „Vortrag personenbezogener Daten“, wie sie in den Vorschlägen für digitalen Omnibus der EU enthalten sind, das Potenzial haben den technischen Schutz auf der Grundlage von Konzepten der Identifizierbarkeit auf Kosten der vollständigen Berücksichtigung von Datenschutzschäden weiter zu betonen.
5.6 Pseudonym, Anonym, oder was?
Dieser Blog-Beitrag auf LinkedIn befasst sich mit den Fragestelllungen rund um die Anonymisierung, nicht nur mit den Erkenntnissen aus dem SRB-Urteil des EuGH (C-413/23, wir berichteten), sondern auch was der EU-Gesetzgeber unter „Anonymisierung“ meint, insbesondere unter dem Data Act, dem Digital Markets Act und der European Health Data Space Regulation. Die Stellungnahme der Arbeitsgruppe Artikel 29 zu Anonymisierungstechniken spielt dabei eine Rolle, ebenso wie die Frage der Re-Identifizierung versus Heraushebung und Verlinkbarkeit. Letztendlich wird auch hinsichtlich der relativen Nähe zwischen „Pseudonym“ und „Anonym“ in Frage gestellt, ob der EDSA dazu wirklich zwei getrennte Leitfäden erstellen müsste.
5.7 SCHUFA-Score und Art. 22 DS-GVO
Der vollständige Titel der Veröffentlichung lautet „Wie das Datenschutzrecht über soziale Teilhabe mitentscheidet – Der Schufa-Score vor dem Hintergrund aktueller EuGH-Rechtsprechung zu Art. 22 DSGVO“ und diese analysiert die deutsche Rechtsprechung seit der SCHUFA-Entscheidung des EuGH (C-634/21, wir berichteten). Ausgangspunkt des Beitrags ist eine rechts- und sozialtheoretische These zur Machtstellung von Auskunfteien: Scoringverfahren nehmen heute eine modal-strukturelle Machtposition ein, weil sie in vielen Bereichen darüber mitentscheiden, wer Zugang zu wirtschaftlichen und sozialen Teilhabechancen erhält – und damit auch bestehende Ungleichheiten reproduzieren können.
Dogmatisch steht die Frage im Zentrum, unter welchen Voraussetzungen ein externer Credit-Score selbst bereits eine „automatisierte Entscheidung“ i.S.v. Art. 22 Abs. 1 DS-GVO darstellt, weil er für die Entscheidung eines Dritten maßgeblich ist. Die Arbeit bietet dann auch Lösungsmöglichkeiten hinsichtlich der Bewertung der Maßgeblichkeit an.
5.8 Beschäftigtendatenschutz und Verdacht auf Straftaten
Kann es arbeitsrechtliche Folgen haben, wenn Beschäftigte außerhalb der Arbeit Straftaten begehen, dabei aber betriebliche Mittel verwenden? Auf diese spannende Fragestellung weist dieser Blog-Beitrag im Hinblick auf § 26 Abs. 1 S. 2 BDSG hin. Werden Straftaten außerhalb der Arbeitszeit begangen und zugleich betriebliche Mittel (etwa Laptop oder Mobiltelefon) eingesetzt, wird in dem Beitrag besprochen, ob sich interne Untersuchungen in solchen Konstellationen auf § 26 Abs. 1 Satz 2 BDSG stützen lassen oder ob hierfür eine Einwilligung der betroffenen Person erforderlich ist.
5.9 Was ist eine Verarbeitungstätigkeit?
Es ist (neben der Frage der Anonymität) eine der Gretchenfragen im Datenschutzrecht: Was ist eine Verarbeitungstätigkeit? Davon hängt die Dokumentation und die Dokumentationstiefe z.B. im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO ab. Anlässlich des Urteils des VG Hannovers vom Juni 2025 befasst sich dieser Blog-Beitrag damit.
5.10 bitkom: Datenschutz in der deutschen Wirtschaft
Der bitkom hat wieder eine Umfrage veröffentlicht. Und wieder zum Datenschutz. Ihn interessierte, wie es um den Datenschutz in der deutschen Wirtschaft steht. Denn Datenschutz ist fester Bestandteil der digitalen Wirtschaft – und zugleich eine zentrale Herausforderung für Unternehmen. Acht Jahre nach Inkrafttreten der DS-GVO zeigt dieser Studienbericht, wie Unternehmen in Deutschland die aktuelle Regulierung bewerten und welche Auswirkungen sie im betrieblichen Alltag hat. Die Ergebnisse verdeutlichten, wo der Umsetzungsaufwand besonders hoch sei, welche praktischen Hürden bestehen und an welchen Stellen die Wirtschaft Reformbedarf sieht. Zugleich beleuchtet er die Rolle internationaler Datentransfers, die Praxis der Datenschutzaufsicht sowie die wachsende Bedeutung von Künstlicher Intelligenz. Grundlage der Studie ist eine repräsentative Befragung von 603 Unternehmen ab 20 Beschäftigten in Deutschland aus dem Jahr 2025.
Die Ergebnisse der Umfrage überraschen in der Summe nicht, einzelne sind dennoch hervorzuheben, z.B. zur Zentralisierung der Datenschutzaufsicht auf Seite 13, nur 12 % befürworten dies uneingeschränkt und 41 % befürworten dies eher. Genauso ist hervorzuheben, dass es bei 59 % der befragten Unternehmen in den letzten 12 Monaten keine Datenschutzverstöße gab.
Bei den Datentransfers in ein Nicht-EU-Land wurden die Nutzung von Cloud-Angebote außerhalb der EU, Kommunikations- und Videokonferenzsysteme außerhalb der EU und der weltweite 24/7 Security-Support als häufigste Begründung genannt.
5.11 Auftragsverarbeitungsverträge für Hochschulen
Vielfach werden im Hochschulumfeld Dienstleister eingesetzt, die im Auftrag und nach Weisung der Hochschulen personenbezogene Daten verarbeiten. Gemäß Art. 28 Abs. 3 DS-GVO muss diese Verarbeitung personenbezogener Daten durch einen Dienstleister – einem Auftragsverarbeiter – auf Grundlage eines Vertrages erfolgen. Die Zentren für Kommunikation und Informationsverarbeitung e.V. (zki) haben ein Muster für eine Vereinbarung für Auftragsverarbeitung für Hochschulen veröffentlicht.
5.12 Veranstaltungen
5.12.1 EAID: „USA-Reisen und der Datenschutz“
18.03.2026, 16:00 – 17:00 Uhr, online: Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) lädt herzlich zu einer Online-Diskussion im Rahmen der Reihe „Perspektivwechsel“ ein: „Immer mehr Daten für US-Behörden – Wie gläsern werden USA-Reisende?“
Die von Trump-Administration geplanten verschärften Einreiseregeln sehen vor, dass die Reisenden bei der visumfreien Einreise im Rahmen der Beantragung einer elektronischen Einreisegenehmigung auch ihre Social-Media-Konten der letzten fünf Jahre (z. B. Benutzername), Telefonnummern, E-Mail-Adressen, Namen und Kontaktinformationen von Familienmitgliedern und andere persönliche Kontakte offenlegen müssen. Darüber hinaus sollen die Herkunftsländer – soweit verfügbar – erweiterte biometrische Angaben über die Reisenden liefern (z. B. Gesichtsdaten, Fingerabdrücke).
Es ist zweifelhaft, inwieweit diese zusätzlichen Datenerhebungen mit dem deutschen und dem europäischen Recht vereinbar sind. In der Veranstaltung wird angesprochen, ob es Möglichkeiten gibt, den mit Sicherheits-Argumenten begründeten Datenhunger der US-Behörden zu stoppen, und wie die Europäische Union und Deutschland darauf reagieren sollten. Nach einem kurzen Impuls des Referenten besteht Gelegenheit zur Diskussion.
Anmeldung per E-Mail wird erbeten unter anmeldung_18_03_26@eaid-berlin.de, Zugang zur Veranstaltung erhalten Sie hier.
5.12.2 Salzburg: Ringvorlesung „Privatsphäre in der digitalen Welt“
18.03.2026, 17:00 – 18:30 Uhr, Salzburg: In Salzburg gibt es an der Universität eine frei zugängliche Ringvorlesung „Privatsphäre in der digitalen Welt“ beginnend im März 2026, jeweils jeden zweiten Mittwoch von 17:00 bis 18:30 Uhr (bis zum Juni 2026).
Die fakultätsübergreifende Ringvorlesung beleuchtet das Spannungsfeld der individuellen Privatsphäre im zunehmend digitalen Alltag im Sommersemester 2026 aus verschiedenen Blickwinkeln: Wissenschaftler:innen der Universität Salzburg, aber auch von anderen Universitäten, stellen ihre aktuelle Forschung zur Privatsphäre im digitalen Raum vor. Neben den einzelnen Expertenpositionen und Informationen zu aktuellen Forschungsprojekten an der Universität Salzburg und im deutschsprachigen Raum sollen Schlaglichter auf das Thema Privatsphäre geworfen werden, um ein differenziertes und wissenschaftlich fundiertes Verständnis zu entwickeln.
- 18.03.2026 von 17:00 – 18:30 Uhr, „Social-Media-Verbote für Kinder: Privat, geheim, offline?“
- 15.04.2026 von 17:00 – 18:30 Uhr, „Was digitale Spuren verraten – Cybercrime, IT-Forensik und Privatsphäre im Alltag“
- 29.04.2026 von 17:00 – 18:30 Uhr, „Wer bewacht die Wächter? Zur Rolle von Plattformbetreibern für den Datenschutz bei Mobilen Apps“
- 13.05.2026 von 17:00 – 18:30 Uhr, „Privatheit und Gesetzesvollzug: Ein Abwägung für zukünftige Digitalwährungen“
- 27.05.2026 von 17:00 – 18:30 Uhr, „KI in der öffentlichen Verwaltung“
- 10.06.2026 von 17:00 – 18:30 Uhr, „Klimaschutz und Privatsphäre“
- 24.06.2026 tbd
Weitere Informationen und Anmeldung hier.
5.12.3 Datenschutzsprechstunde des HmbBfDI: „Digitaler Frühjahrsputz“ -neu-
19.03.2026, 12:30 – 13:30 Uhr, online: Der Frühling ist perfekt, um nicht nur zu Hause, sondern auch in unseren Daten mal richtig aufzuräumen. Welche Unterlagen und Daten werden wirklich noch gebraucht? Und dann kann alles gelöscht werden, was nicht mehr nötig ist, natürlich datenschutzkonform. In der digitalen Datenschutzsprechstunde des HmbBfDI wird gezeigt, wie Löschkonzepte auf den neuesten Stand gebracht werden können und worauf bei der Datenlöschung zu achten ist. Weitere Informationen hier und Teilnahme einfach dort.
5.12.4 Kinderrechte digital: Workshopangebote für Erkenntnisse einer Expertenkommission
21.03.2026, 10:00 – 15:00 Uhr, Aichach-Friedberg/ Augsburg: Die Bundesregierung hat eine Expertenkommission zum Kinder- und Jugendschutz in der digitalen Welt eingesetzt. Ziel der Kommission ist es Empfehlungen für einen zeitgemäßen und wirksamen Schutz von Kindern und Jugendlichen im digitalen Raum zu entwickeln. Ein wesentlicher Bestandteil ist dabei die Beteiligung junger Menschen. Um in diesen Prozess die Perspektiven von Kindern und Jugendlichen einbringen zu können, führt das Projekt Kinderschutz und Kinderrechte in der digitalen Welt der Stiftung Digitale Chancen, partizipative Workshops mit jungen Menschen im Alter von 12 bis 17 Jahren an verschiedenen Orten in Deutschland durch, um ihre Sichtweisen, Bedarfe und Empfehlungen für mehr Schutz im digitalen Umfeld zu ermitteln.
Weitere Termin finden wie folgt statt:
- 28. März 2026 von 09:00 bis 14:00 Uhr in St. Wendel (Saarland)
- 11. April 2026 von 10:00 bis 15:00 Herford (Nordrhein-Westfalen)
- 12. April 2026 von 11:00 bis 16:00 Uhr in Schneverdingen (Niedersachsen)
Weitere Informationen und Anmeldung hier.
Rudis Anmerkung: Was nützen Erkenntnisse, die zu Regeln führen, wenn diese Regeln nicht durchgesetzt werden?
5.12.5 Universität des Saarlandes – Öffentliche Vorlesungsreihe: Datenschutz in der Praxis
Im Wintersemester 2025/26 findet die öffentliche Vorlesungsreihe „Datenschutz in der Praxis“ statt. An insgesamt zehn Terminen im Zeitraum Januar bis März 2026 werden hochrangige Datenschutzexperten zu aktuellen Fragen des Datenschutzrechts aus Sicht der Praxis referieren. Es werden zahlreiche Landesdatenschutzbeauftragte als Gastdozenten fungieren.
Weitere Informationen und Anmeldung dazu hier.
- 24.03.2026, 18:00 – 19:30 Uhr, online: Grenzüberschreitender Datenverkehr – Status Quo. An diesem Termin geht es um den Status Quo beim grenzüberschreitenden Datenverkehr. Es referiert der TLfDI. Der Teilnahmelink.
- 31.03.2026, 18:00 – 19:30 Uhr, online: IT-Sicherheit und Datenschutz – Was muss, was darf? An diesem Termin geht es um „IT-Sicherheit und Datenschutz – Was muss, was darf?“ Es referiert die Landesbeauftragte für Datenschutz Schleswig-Holstein. Der Teilnahmelink.
5.12.6 Gautinger Internettreffen: Digitale Souveränität in der Jugendarbeit
24./25.03.2026, ab 18:00 Uhr, Gauting: Das Thema digitale Souveränität spielte in den letzten Jahren nur eine nachrangige Rolle in der öffentlichen Debatte – doch es ist ein immens wichtiges Anliegen, wie u.a. der Ausfall der AWS-Server im Oktober 2025 bewies, der diverse Dienste wie Signal, Slack und Snapchat beeinträchtigt hat. Auch bei Hard- und Software-Lösungen in der Bildungsarbeit (Dominanz von Microsoft 365 sowie iPad- bzw. Windows-Laptop-Klassen), bei Suchmaschinen (Google), KI-Tools (OpenAI) oder im Social Web (Meta) wird Monopolen bzw. Oligopolen oft sehr unkritisch gegenübergestanden, obwohl es alternative Lösungen gibt. Beim git26 (26. Gautinger Internettreffen) im März 2026 wird unter dem Titel „Digital und selbstbestimmt“ die Frage gestellt, wie eine souveräne Mediennutzung in der Jugendarbeit, der Schule und der Medienpädagogik gestaltet werden kann. Weitere Informationen hier und die Anmeldung dort.
5.12.7 BlnBfDI: 3. Fachtag „Datenschutz trifft Medienkompetenz“
25.03.2026, 09:00 – 15:30 Uhr, Berlin: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBfDI) und jugendnetz.berlin laden Fachkräfte der Kinder- und Jugendarbeit zum 3. Fachtag ein, um sich auszutauschen, wie auch in der Arbeit mit Kindern und Jugendlichen eine gute, zeitgemäße Medienarbeit unter Beachtung des Datenschutzes gelingen kann. Datenschutz und Medienkompetenz hängen eng miteinander zusammen, da die Nutzung von Medien und Technologie immer auch mit der Verarbeitung von persönlichen Daten verbunden ist. Es sei daher wichtig, dass Kinder und Jugendliche sowohl über entsprechende Kenntnisse im Bereich Datenschutz als auch über die notwendige Medienkompetenz verfügen, um ihre Privatsphäre und ihre persönlichen Daten im digitalen Zeitalter schützen zu können. Weitere Informationen und Anmeldung hier.
5.12.8 ForDaySec: „Beyond Awareness. Cybersicherheit im Alltag“ -neu-
25.03.2026, 16:00 – 19:00 Uhr, München: Wie gehen Menschen mit dem zunehmend vernetzten digitalen Alltag um? Wie wird Cybersicherheit im privaten und beruflichen Kontext wahrgenommen und umgesetzt? Das ForDaySec-Teilprojekt „Alltagsdigitalisierung“ hat genau zu diesen hochaktuellen Fragen geforscht und die Ergebnisse jetzt im Working Paper „IT-Sicherheit in Arbeits- und Wohnalltag“ veröffentlicht. Weitere Informationen und Anmeldung dazu hier.
5.12.9 Webinar: „KRITIS, NIS2 & DSGVO erfüllen und Daten automatisiert bereinigen“ -neu-
26.03.2026, 10:00 – 11:00 Uhr, online: Dieses Angebot eines Weiterbildungsdienstleisters richtet sich an Datenschutzbeauftragte und Privacy-Verantwortlichen, um ihnen zu zeigen, wie sie DS-GVO-Compliance, NIS2-Anforderungen und KRITIS-Vorgaben praktisch zusammenbringen – und dabei gleichzeitig personenbezogene Daten, Altbestände (Dark Data) und unstrukturierte Daten in Dateiablagen, SharePoint, E-Mail & Kollaborationstools automatisiert identifizieren, klassifizieren und bereinigen. Angesprochen werden Lösch- und Aufbewahrungsfristen, Datenminimierung, Auditfähigkeit, Risikoreduktion und wie IT-Sicherheitsanforderungen mit automatisierten Workflows umgesetzt werden können – inklusive Best Practices für Datenlöschung. Weitere Informationen und Anmeldung hier und zur Anmeldung dort.
5.12.10 Universität Graz: „Data Act trifft DSGVO“ -neu-
13.04.2026, 17:00 – 19:00 Uhr, online: Bei dieser Podiumsdiskussion mit kompetenten Teilnehmer:innen der Grazer Universität geht es um die Schnittstellen und Abgrenzungen zwischen Data Act und DS-GVO, denn sobald in zugangspflichtigen Datensätzen personenbezogene Daten enthalten sind, treffen diese zwei zentralen Bausteine der europäischen Datenstrategie unmittelbar aufeinander. Weitere Informationen und Anmeldung hier.
5.12.11 Stiftung Datenschutz: „Politische Parteien zwischen Öffentlichkeit und Vertraulichkeit“ -neu-
15.04.2026, 13:00 – 14:00 Uhr, online: In der Reihe „Datenschutz am Mittag“ befasst sich die Stiftung Datenschutz mit Fragen des Datenschutzrechts: Politische Parteien zwischen Öffentlichkeit und Vertraulichkeit. In den Worten Max Webers strebt, wer Politik betreibt, nach Macht. In unserer repräsentativen Demokratie muss Öffentlichkeit erdulden, wer Macht erhält. Ganz erhebliche Macht haben in der Parteiendemokratie politische Parteien: Ihre Programme bestimmen Koalitionsverträge und damit im Ergebnis staatliches Handeln sowohl der Legislative als auch der Exekutive. Dort entsteht ein Spannungsfeld zwischen dem demokratischen Grundprinzip der Öffentlichkeit und dem datenschutzrechtlichen Grundprinzip der Vertraulichkeit. Ein Thema, dass somit alle betrifft, die sich für gesellschaftliche Themen und Politik interessieren. Weitere Informationen und Anmeldung hier.
5.12.12 BSI: 21. Deutscher IT-Sicherheitskongress
15./16.04.2026, online: Das BSI bietet eine Plattform für alle, die an der Zukunft der digitalen Sicherheit arbeiten. Unter dem Motto „Cybernation Deutschland: gemeinsam, sicher, digital“ wird ein vielseitiges, virtuelles Programm angeboten. Den Schwerpunkt bilden Themen wie quantensichere Kryptografie, Künstliche Intelligenz, Zero Trust und die Umsetzung der NIS-2-Richtlinie. Neben Fachvorträgen und Podiumsdiskussionen gibt es auch die Möglichkeit, mit anderen Teilnehmenden in fachspezifischen Chaträumen zu netzwerken. Weitere Informationen und Anmeldung hier.
5.12.13 Vortragsreihe „Zukunftsdialog KI und Recht“ der SRH University Heidelberg
In der Veranstaltungsreihe der SRH University Heidelberg werden an verschiedenen Terminen verschiedene Themen vor Ort und online diskutiert. Mehr dazu hier. Das vollständige Programm ist hier hinterlegt. Der Zugangs-Link wird nach Anmeldung am Tag vor der Veranstaltung verschickt:
- 16.04.2026, 16:00 – 18:30 Uhr: „Kreativität, Markt & Macht“
Drei Impulsvorträge zu „Autorenschaft neu denken: Urheberrecht im KI-Zeitalter“, „KI, Markt und Macht: Wettbewerb im digitalen Zeitalter“ und „Europa als KI-Kontinent: Digitale Souveränität, Regulierung und globale Handlungsfähigkeit“.
5.12.14 weitklick: „KI-Desinformation erkennen, Medienbildung stärken“ -neu-
23.04.2026, 16:00 – 18:00 Uhr, online: Junge Menschen nutzen Künstliche Intelligenz, um sich ihren Alltag zu erleichtern. Bei der Interaktion mit KI-Chatbots können sie jedoch auch Falschinformationen erhalten. In sozialen Medien stoßen sie immer häufiger auf KI-generierte Desinformation. In diesem Webinar „Zwischen Fakten und Fakes: KI-Desinformation erkennen, Medienbildung stärken“ von weitklick wird der Schwerpunkt darauf gelegt, welche Rolle KI bei Desinformation spielt und wie Lehr- und pädagogische Fachkräfte junge Menschen aufklären und für den Umgang damit stärken können.Weitere Informationen und Anmeldung hier.
5.12.15 Stiftung Datenschutz: „Datenschutz im Ehrenamt“
Für ehrenamtlich in Vereinen aktive Personen bietet die Stiftung Datenschutz wieder kostenlose Webinare zur Umsetzung der datenschutzrechtlichen Anforderungen an
27.04.2026, ab 18:00 Uhr, online: Grundlagen-Workshop für Vereinsvorstände – Datenschutzpflichten verstehen
04.05.2026, ab 18:00 Uhr, online: Grundlagen-Workshop für die Praxis – Datenschutz koordinieren und umsetzen
Die Stiftung Datenschutz bietet auch einen Verteiler an, um diesbezüglich auf dem Laufenden zu bleiben.
5.12.16 Webinar zu „Purview Realitätscheck und die DSGVO Katastrophe“
20.05.2026, 10:00 – 11:00 Uhr, online: In diesem kostenfreien Webinar werden die Möglichkeiten von Microsoft Purview als zentrale Plattform für Data Governance und Compliance betrachtet. Dabei geht es u.a. um praxisnahe Ansätze, wie Security- und Compliance-Ziele zusammengeführt werden können: bessere Datenauffindbarkeit, Risikobewertung nach Sensitivität, automatisierte Bereinigung/Löschung, Retention & Legal Hold sowie messbare KPIs für Coverage und Risiko-Reduktion. Weitere Informationen und Anmeldung hier.
5.12.17 BzKJ: Neue digitale Trends, neue Gefährdungen: Rechtliche Grundlagen des Kinder- und Jugendmedienschutzes
02.06.2026, 17:00 – 18:30 Uhr, online: Die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) bietet auch im Jahr 2026 wieder eine kostenfreie Online-Veranstaltungsreihe in Kooperation mit der Akademie der Kulturellen Bildung des Bundes und des Landes NRW an. Die Workshops richten sich an alle, die sich für den Kinder- und Jugendmedienschutz interessieren – sei es beruflich, ehrenamtlich oder privat. Die Online-Veranstaltungen bauen nicht aufeinander auf und können unabhängig voneinander besucht werden. Weitere Informationen und Anmeldung dazu hier.
Weitere Termine und Themen sind:
- 15.09.2026 (17:00 – 18:30 Uhr)
Radikal online: Kinder und Jugendliche als Zielgruppe extremistischer Online-Aktivitäten - 01.12.2026 (17:00 – 18:30 Uhr)
Pornografie, Cybergrooming, Sexting: Abgrenzung, Rechtslage und Konsequenzen für die Kinder- und Jugendarbeit
5.12.18 AI Transparency Conference
05./06.06.2026, Nürnberg: Die AI Transparency Conference ist eine internationale Forschungskonferenz, die sich auf die Förderung transparenter und menschenkompatibler KI-Systeme konzentriert. Sie möchte Forscher zusammenbringen, die sich mit Interpretierbarkeit, KI-Sicherheit, Kontrolle und Governance befassen.
Die Konferenz ist als Präsenzveranstaltung konzipiert und richtet sich an Doktoranden, Postdoktoranden, Fakultätsmitglieder und Forschungsinstitute. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Antifeminismus auf TikTok
Gibt es Antifeminismus auf TikTok? Ein ästhetisch inszeniertes Video über „wahre Weiblichkeit“ und Selbstverwirklichung in traditionellen Rollenbildern. Ein Coach, der erklärt, warum „echte Männer“ keine Gefühle zeigen dürfen. Ein Clip „gegen Gender-Ideologie“, inszeniert als mutiger Tabubruch. Was hier wie Lifestyle, Selbstoptimierung oder individuelle Meinungsäußerung erscheint, folgt nach Darstellung des Vereins für Medienbildung e.V. häufig klar erkennbaren antifeministischen Narrativen. Antifeminismus richte sich gegen die Gleichstellung der Geschlechter, stelle feministische Errungenschaften infrage und ziele auf die Delegitimierung von Rechten von Frauen und queeren Menschen. In sozialen Medien trete er jedoch selten offen als politische Ideologie auf – sondern in Form von Trends, ästhetischen Inszenierungen oder vermeintlich wissenschaftlichen Erklärungen.
Es werden Hinweise und Tipps gegeben, wie damit als Herausforderungen für die politische Bildung umgegangen werden kann. Die Publikation mit einem umfassenden Methodenset wurde von der Universität Köln, Mediale Pfade – Verein für Medienbildung e.V. und der Berliner Landeszentrale für politische Bildung herausgegeben. Sie ist das Ergebnis des gleichnamigen Projekts der Universität Köln und Mediale Pfade, gefördert von der Volkswagen Stiftung.
7 Sonstiges/Blick über den Tellerrand
7.1 Politische Manipulation durch Metas Angebote
Ja, klar: Das ist ja gar nicht Meta, das sind ja andere und Meta macht ja was dagegen. Soviel zu den Gegenargumenten. Seit fast zehn Jahren wissen wir, dass politische Manipulation über soziale Medien durch Meta erfolgt (vgl. die Rede bei TED im April 2019, Dauer ca. 15 Min). Und immer noch kommt es vor, dass nun mit KI-erstellte Informationen manipulativ mit Falschinformationen eingesetzt werden, um politische Meinungen zu beeinflussen.
Aktuell am Beispiel des Facebook-Accounts Inside Australia, der, wie hier berichtet wird, aufrührerische, KI-generierte Inhalte veröffentlicht und anti-immigrantische Ansichten, die man normalerweise nicht so offen äußern würde, in eine Persönlichkeit verpackt.
Egal, was Meta diesbezüglich macht, es scheint nicht ausreichend zu sein.
7.2 „Gehe ich zur EAID oder zu Mason Hayes & Curran?“
In der Berliner Europäische Akademie für Informationsfreiheit und Datenschutz e.V. (EAID) engagieren sich einige Persönlichkeiten, die früher bei deutschen Aufsichtsbehörden eine Leitungsfunktion hatten. Das schien aber der früheren Leiterin der irischen Datenschutzaufsicht nicht attraktiv genug zu sein, denn wie hier berichtet wird, wechselt sie nun nach ihrem Ausscheiden zur der Anwaltskanzlei Mason Hayes & Curran, die bislang Meta gegen die irische Aufsicht DPC vertritt (FunFact: Bei Legal500 wird die Kanzlei dem Rechtsbereich „White-collar crime“ zugerechnet).
Ob außerhalb der bisherigen Zusammenarbeit noch ein zusätzliches Bewerbungsverfahren erforderlich war, ist nicht bekannt. Die Zeit zwischen diese beiden Engagements verbrachte sie bei der irischen Telekommunikationsaufsicht. Damit werden die Interessen Metas weiterhin umfassend vertreten. Zudem können die Blickwinkel Metas künftig auch durch die Berichterstatterin zum Digitalen Omnibus im Europäischen Parlament und in der Leitung der irischen Datenschutzaufsicht bei der Entscheidungsfindung angemessen berücksichtigt werden, verfügen doch beide Persönlichkeiten über ausreichende Berufserfahrung bei Meta.
7.3 Einstellung der Ende-zu-Ende-Verschlüsselung bei Instagram-Direktnachrichten
Wie hier berichtet wird, stellt Meta nach dem 8. Mai 2026 die Ende-zu-Ende-Verschlüsselung für Instagram-Direktnachrichten ein. Nutzer werden in der App benachrichtigt und können Medien vor Ablauf der Frist herunterladen. Nachrichten werden zur Standardverschlüsselung zurückgekehrt. Dies geschehe vor dem Hintergrund des Drucks sexuelles Material von Kindesmissbrauch auf verschlüsselten Plattformen erkennen zu können.
Was soll ich dazu noch aus Datenschutzsicht hinzufügen – das ist wie wenn ich Raucher darauf hinweise, welche gesundheitlichen Folgen das haben kann.
Franks Nachtrag: Ich hätte da eine Empfehlung… (als Ersatz für Instagram, gefunden hier).
7.4 Kein Erweiterungsbau für die Nationalbibliothek zugunsten einer digitale Sammlung?
Die deutsche Nationalbibliothek hat die kulturell reizende Aufgabe alle Medienwerke in Schrift, Bild und Ton, die seit 1913 in und über Deutschland oder in deutscher Sprache veröffentlicht werden, zu sammeln, zu dokumentieren und zu archivieren. Ob Bücher, Zeitschriften, CDs, Schallplatten, Karten oder Online-Publikationen – alles wird gesammelt ohne Wertung, im Original und lückenlos.
Das braucht Platz – und der sollte durch einen Erweiterungsbau geschaffen werden. Sollte. Denn wie hier berichtet wird, soll der seit Jahren geplante Erweiterungsbau der Deutschen Nationalbibliothek in Leipzig nun doch nicht umgesetzt werden. Wie die Nationalbibliothek mitteilte, hat das der Beauftragte der Bundesregierung für Kultur und Medien entschieden. Dieser argumentierte demnach, eine Sammlung „körperlicher Medienwerke“ bis weit in die Zukunft hinein sei nicht mehr zeitgemäß. Die Deutsche Nationalbibliothek solle sich stärker auf die digitale Sammlung konzentrieren.
8. Franks Zugabe
8.1 AI chatbot ‘Patty’ is going to live inside employees’ headsets
Na, das ist doch mal ein angenehmes Arbeiten, wenn eine KI kontrolliert, ob Sie auch genug „Bitte“ und „Danke“ sagen …
Franks Nachtrag: Und schon wieder kein Apropos KI …
8.2 Was soll schon mit meinen Daten passieren? … Heute: UK BioBank
„Für meine Daten interessiert sich doch eh keiner.“ Den Satz kennen Sie, oder? Und auch gut: „Meine Daten sind doch eh alle schon online.“
Das trifft wohl zumindest für einige Patient:innen der UK Biobank zu. Details im Artikel.
8.3 Apropos Metas RayBan-Brillen …
Für manche ist es nur hip und in, solche Smart-Glasses zu tragen. Andere wollen in allen Phasen ihres Lebens von KI-Assistenz begleitet sein. Sieht ja auch sonst keiner, was ich mit so einer Ray-Ban auf der Nase mache, oder? ODER?!? 🥸🤦🏼♂️
9. Die gute Nachricht zum Schluss
9.1 YouTube ade! Hallo PeerTube!
Und es geht, wenn wir nur wollen. Hier berichten zwei Wissenschaftler, wie sie – inspiriert vom DI.Day – für sich beschlossen haben in Zukunft auf PeerTube anstelle von YouTube zu setzen. Eine gute Nachricht, wenn da nun nur noch mehr mitmachen würden. Im Beitrag wird auch über die Motivation und über Hürden geschrieben. Lesens- und nachahmungswert.
Franks Nachtrag: Ja, auch diese Nachricht geht wieder auf mich …