Hier ist der 42. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 12-14/2026)“ – Die DVD-Edition.

Weiterhin sind es viele Veranstaltungen (sogar noch eine mehr als im 4. Zwischenspiel, mittlerweile 23* an der Zahl. Aber, fast noch besser, neben reichlich anderen Meldungen haben wir fünf Tätigkeitsberichte von Datenschutzaufsichtsbehörden und den Bericht des EuGH, jeweils für das Jahr 2025. Außerdem eine Meldung zur nächsten europaweiten Prüfung durch Mitglieder des EDSA, eine Ankündigung eines EuGH-Urteils zu einem Rechtsstreit, der bereits Rechtsgeschichte geschrieben hat, Stellungnahmen zum Digitalen Omnibus, eine gute Dokumentation zu KI, eine erfreuliche Umfrage, eine Podcast-Empfehlung nach Herrn Kramers Geschmack, hilfreiche Maßnahmen gegen Accountsperren und eine Frage, in der alle Ameisen, 100 Menchen und die gesamte KI vorkommen.

* Franks Anmerkung (ja, die gehen hier auch, warum auch nicht, ist ja unsere Blog-Reihe): Extra-Nerdpunkte, wer gerade daran gedacht hat…

1. Aufsichtsbehörden
   1. EDSA und EDPS: Gemeinsame Stellungnahme den Vorschlägen zum CSA2 und zur Änderung an NIS2
   2. EDSA: Beginn der europaweit angelegten Prüfung zur Transparenz
   3. EDSA: SPE zu OSS und zum berechtigten Interesse
   4. EDPS: Ausführungen zur vorherigen Konsultation
   5. DSK: Orientierungshilfe zu Mietauskünften
   6. DSK: Digital Fitness Check und Vorschläge der Modifikation zur DS-GVO
   7. DSK: Ankündigung von Handlungsempfehlungen für die Digitalisierung der Verwaltung
   8. DSK: Hinweise zu geplanten Ermittlungsbefugnissen auf Bundesebene
   9. BfDI: Ausschreibung für ReguLab
   10. LfDI Baden-Württemberg: Podcast Datenfreiheit
   11. LfDI Baden-Württemberg: Tätigkeitsbericht für 2025
   1. LfDI Baden-Württemberg: Tätigkeitsbericht für 2025 – RAG-Methode: Generative KI-Modelle verlässlicher gestalten
   2. LfDI Baden-Württemberg: Tätigkeitsbericht für 2025 – Auskunftsansprüche nach Art. 15 DS-GVO gegen Rechtsanwälte
   3. LfDI Baden-Württemberg: Tätigkeitsbericht für 2025 – Maßnahmen bei Fehlversendung
   4. LfDI Baden-Württemberg: Tätigkeitsbericht für 2025 – Anforderungen an Sicherheitsüberprüfungen im Beschäftigtenkontext
   5. LfDI Baden-Württemberg: Tätigkeitsbericht für 2025 – Tücken der Mitarbeitendenbefragung
   12. LfD Bayern: Meldung von Datenschutzverletzungen durch Sozialbehörden
   13. LfD Bayern: KI in der öffentlichen Verwaltung
   14. Berliner BfDI: Schulungsangebote für Start-ups, Kleinunternehmen und Vereine
   15. HmbBfDI: Tätigkeitsbericht für 2025
   1. HmbBfDI: Tätigkeitsbericht für 2025 – MS 365 in der öffentlichen Verwaltung
   2. HmbBfDI: Tätigkeitsbericht für 2025 – Beschäftigtendaten im Konzern und Rechtsgrundlagen
   3. HmbBfDI: Tätigkeitsbericht für 2025 – Einheitlicher Prüfstandard für digitale Projekte
   4. HmbBfDI: Tätigkeitsbericht für 2025 – Bewertung des KI-Systems LLMoin der Verwaltung
   5. HmbBfDI: Tätigkeitsbericht für 2025 – AI Glasses (KI-Brillen)
   16. LfD Niedersachsen: Schulungsangebote für Mitarbeitende der öffentlichen Verwaltung
   17. UDZ Saarland: Tätigkeitsbericht für 2025
   1. UDZ Saarland: Tätigkeitsbericht für 2025 – Blacklisting ehemaliger Mieter:innen
   2. UDZ Saarland: Tätigkeitsbericht für 2025 – Datenübermittlungen an Strafverfolgungsbehörden durch private Stellen
   18. SDTB: Tätigkeitsbericht für 2025
   1. SDTB: Tätigkeitsbericht für 2025 – Werbliche Ansprache durch Rechtsanwälte
   2. SDTB: Tätigkeitsbericht für 2025 – Herausgabe von Zugriffsdaten bei einem Mitarbeiterexzess
   19. Rundfunkbeauftragter des NDR: Tätigkeitsbericht für 2025
   1. Rundfunkbeauftragter des NDR: Tätigkeitsbericht für 2025 – Tagesschau-App und Emotionen
   2. Rundfunkbeauftragter des NDR: Tätigkeitsbericht für 2025 – Auskunft im Kontext Rundfunkbeitrag
   3. Rundfunkbeauftragter des NDR: Tätigkeitsbericht für 2025 – Talentmanagement-Tool
   20. CNIL: Kontrollthemen für 2026, u.a. Einstellungsprozesse
   21. Luxemburg: Anforderungen an das Verzeichnis der Verarbeitungstätigkeiten
   22. Niederlande: Praxisleitfaden „Gesundheitsdaten in der Cloud“
   23. Niederlande: Anforderungen an digitale Lernmittel
   24. Norwegen: Abschlussberichte aus vier Sandbox-Projekten aus dem Finanzumfeld
   25. Schweden: Hinweise zur Nutzung einer KI-Brille
   26. Spanien: Grundprinzipien für Vergabe und Nutzung digitaler Bildungsplattformen
   27. Spanien: Sanktion bei Altersverifikation über biometrische Daten
   28. Spanien: Wie beeinflussen Algorithmen automatisierte Systeme von KI?
   29. ICO: Kontrolle der Einstellungsprozesse
   30. ICO: Definition einer automatisierten Entscheidungsfindung
   31. GPEN: Sweep Report zu Kindern im Netz
   32. BSI: Leitfaden zur Methodik Grundschutz++
2. Rechtsprechung
   1. EuGH: Jahresbericht für 2025
   2. EuGH: Erklärvideo zum Recht auf Vergessenwerden
   3. EuGH: Kirchenaustritt und Kündigungsgrund (C-258/24)
   4. EuGH: Ausschluss von Anbietern von Hard- und Software für Telekommunikations-Infrastrukturen (C-354/24)
   5. LG Berlin II: Untersagung der Kontaktweitergabe von WhatsApp an Facebook
   6. VG Berlin: Verhältnismäßigkeit auch bei Verbot von entwicklungsbeeinträchtigenden Darstellungen
   7. LG Bamberg: Werbekennzeichnung bei YouTube-Videos
   8. LG Ellwangen: Ausschlussgründe bei immateriellem Schadenersatz nach Art. 82 DS-GVO
   9. FG Leipzig: Schadenersatz bei Fehlversand von Steuerunterlagen
   10. EuGH-Vorschau: Vorlagefrage zu Pastiche im Verfahren Kraftwerk vs. Pelham (C-590/23)
   11. EuGH-Vorschau: Schlussanträge zur Auskunftseinschränkung beim BayLDA (C-205/25)
3. Gesetzgebung
   1. KRITIS-Dachgesetz veröffentlicht
   2. Stellungnahmen zum Digitalen Omnibus
   1. Stellungnahmen zum Digitalen Omnibus – Bundesrat
   2. Stellungnahmen zum Digitalen Omnibus – DAV
   3. Stellungnahmen zum Digitalen Omnibus – European Law Institute
   3. AI Act – rasanter Omnibus
   4. Biometrische Daten für Fluglinien?
   5. Erweiterte Befugnisse für Geheimdienste?
   6. Berichte zu „Bürger-App“
   7. Chatkontrolle endet – vorerst – oder auch nicht
   8. Fahndungsfotos offiziell und privat
4. Künstliche Intelligenz und Ethik
   1. KI-Nutzung, bis der Arzt kommt
   2. KI-VO und GPAI – Die erste Studie zur Wirksamkeit des Art. 53 Abs. 1 KI-VO
   3. KI außer Kontrolle? Zweiteilige Dokumentation des ORF
   4. EU: Aktualisierung der KI-FAQ
   5. Rechtsgrundlagen für KI-Training – nach Guidelines
   6. KI und Nachvollziehbarkeit
5. Veröffentlichungen
   1. Sprach-Tools der EU
   2. Tagungsband “Big Data for Better Healthcare”
   3. Online-Kommentar zur KI-VO … durch KI
   4. IT-Planungsrat: Open Source in der Verwaltung
   5. IT-Planungsrat: Aktualisierungen bei Datenschutzdokumenten
   6. reCaptcha-Umstellung bei Google
   7. Umfrage: Unternehmen und Datenschutz 2026
   8. Änderungen bei Sub-Dienstleister von Deepl
   9. Nachweis der Einwilligungen
   10. Podcast zu MS 365
   11. EU-weite Leitlinien für geschlechtsneutrale Arbeitsplatzbewertung und -klassifizierung
   12. Veranstaltungen
       1. D64 – KI gestalten, bevor KI uns gestaltet: Positionen für eine wertebasierte Digitalpolitik
       2. DVD e.V.: Vierter DatenAbend -neu-
       3. Stiftung Datenschutz: „Politische Parteien zwischen Öffentlichkeit und Vertraulichkeit“
       4. ReaLRM: Abgehängt durch Digitalisierung – als Mieter?!
       5. BSI: 21. Deutscher IT-Sicherheitskongress
       6. Data Deep Dive – Webinare einer Kanzlei zu datenschutzrechtlichen Schlüsselthemen
       7. IAPP Joint KnowledgeNet: Gespräch mit den Aufsichten Hamburg und Bayern -neu-
       8. HSPV NRW: Ringvorlesung „Die wehrhafte Demokratie – ein zahnloser Tiger?“ -neu-
       9. Vortragsreihe „Zukunftsdialog KI und Recht“ der SRH University Heidelberg
       10. Deutsche Stiftung Verbraucherschutz: „Wenn Vertrauen teuer wird – Gemeinsam gegen Kontobetrug und Scamming“
       11. Webinar: Arbeitsrechtsfrühstück zu Mitbestimmung und KI-Systeme
       12. weitklick: „KI-Desinformation erkennen, Medienbildung stärken“
       13. LfD Sachsen-Anhalt – Datenschutz am Abend: Entgelttransparenzrichtlinie
       14. Stiftung Datenschutz: „Datenschutz im Ehrenamt“
       15. Netzwerk „Interaktiv“: „Digitale Räumen für Kinder und Jugendliche“
       16. FernUniversität Hagen – Vortragsreihe „Datenschutz aktuell“
       17. 7. IFG Days – Informationsfreiheitstage des LfDI Baden-Württemberg
       18. Hamburger Datenschutzgesellschaft: 5. Hamburger Datenschutzforum
       19. Webinar zu „Purview Realitätscheck und die DSGVO Katastrophe“
       20. BzKJ: Neue digitale Trends, neue Gefährdungen: Rechtliche Grundlagen des Kinder- und Jugendmedienschutzes
       21. AI Transparency Conference
       22. EDPS: „From Omnibus to Opportunity: Driving Data Protection and Innovation“
       23. Universität des Saarlandes: Save-the-Date „Datenschutz im Diskurs => Digitale Resilienz“
6. Gesellschaftspolitische Diskussionen
   1. HateAid: Safety by Design – Pathways to Safer Social Media Platforms
   2. Zertifizierung von Microsofts-Cloudlösung GCC High
   3. Neue Podcast-Empfehlung: „Bits und Bratwurst“
7. Sonstiges / Blick über den Tellerrand
   1. Weisser Ring: Schadenshöhe durch „Love-Scam“
   2. Maßnahmen gegen Accountsperren in sozialen Netzwerken
8. Franks Zugabe
   1. Alle Ameisen oder 100 Menschen? Oder das gesamte Potential von KI?
   2. Update zu Bernie vs. Claude
   3. Warum Vorschautexte von Messenger-Nachrichten keine gute Idee sind
   4. Digitale Souveränität, heute: Frankreich
   5. Der Entwurf zum Cybersecurity Act 2
   6. Lasst es Daten regnen!
   7. Reichlich spät für einen April-Scherz
9. Die gute Nachricht zum Schluss
   1. Der natürlichen Intelligenz eine Chance

Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 EDSA und EDPS: Gemeinsame Stellungnahme den Vorschlägen zum CSA2 und zur Änderung an NIS2

Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) haben eine gemeinsame Stellungnahme zum Vorschlag der Europäischen Kommission für ein Gesetz zur Cybersicherheit 2 (CSA2) und zum Vorschlag für Änderungen der Richtlinie über Netz- und Informationssicherheit 2 (NIS2) verabschiedet. Die EU-Kommission veröffentlichte einen Vorschlag für ein Cybersicherheitspaket, um die Cybersicherheit in Europa weiter zu stärken und gleichzeitig Organisationen die Einhaltung der Cybersicherheitsvorschriften zu erleichtern. EDSA und der EDPS unterstützen den Vorschlag für die CSA2, die Rolle der Agentur der Europäischen Union für Cybersicherheit (ENISA) zu stärken und die Einführung von Cybersicherheitszertifizierungen zu erleichtern, sowie das Ziel den verschiedenen Risiken für IKT-Lieferketten, einschließlich nichttechnischer Risiken, weiter Rechnung zu tragen.
Die gemeinsame Stellungnahme begrüßt die Synergien, die sich aus der Zusammenarbeit zwischen der ENISA und anderen EU-Organen und -Einrichtungen ergeben könnten, und empfiehlt zudem einen ausdrücklichen Verweis auf den EDSA als EU-Einrichtung aufzunehmen, mit der die ENISA zusammenarbeiten würde.
Bei der Einführung von Cybersicherheitszertifizierungen sollte der Anwendungsbereich des Europäischen Cybersicherheits-Zertifizierungsrahmens und dessen Verhältnis zur DS-GVO-Zertifizierung weiter präzisiert werden. Um Kohärenz zu gewährleisten, sollte die ENISA den EDSA konsultieren, bevor sie ein Zertifizierungssystem im Zusammenhang mit der Sicherheit der Verarbeitung personenbezogener Daten verabschiedet. Darüber hinaus sollten Zertifizierungssysteme für Produkte, Dienstleistungen und Prozesse, die voraussichtlich bei Datenverarbeitungsvorgängen zum Einsatz kommen, Sicherheitskontrollen berücksichtigen, die dazu beitragen können die Erfüllung der DS-GVO-Anforderungen so weit wie möglich nachzuweisen.
Im Einklang mit der jüngsten gemeinsamen Stellungnahme des EDSA und des EDPS zum Vorschlag für die Digital-Omnibus-Verordnung (wir berichteten) sprechen sich der EDSA und der EDPS für die Einrichtung einer zentralen Anlaufstelle für die Meldung von Verletzungen des Schutzes personenbezogener Daten aus, da dies den Verwaltungsaufwand für meldepflichtige Organisationen verringern würde ohne das Schutzniveau für Einzelpersonen zu beeinträchtigen.

zurück zum Inhaltsverzeichnis

1.2 EDSA: Beginn der europaweit angelegten Prüfung zur Transparenz

Der EDSA informiert, dass er mit der CEF-Maßnahme (Coordinated Enforcement Framework) für das Jahr 2026 beginnt. Der Schwerpunkt wird in diesem Jahr auf die Einhaltung der Transparenz- und Informationspflichten gemäß der DS-GVO gelegt. Die DS-GVO stellt sicher, dass betroffene Personen informiert werden, wenn ihre Daten verarbeitet werden (gemäß Artt. 12, 13 und 14 DS-GVO). Im Laufe des Jahres 2026 werden sich 25 Datenschutzbehörden aus ganz Europa an dieser Initiative beteiligen. Sie werden genau prüfen, ob die Verantwortlichen ihren Transparenzpflichten gemäß der DS-GVO nachkommen. Die teilnehmenden Datenschutzbehörden wollen in Kürze Kontakt zu Verantwortlichen aus verschiedenen Branchen in ganz Europa aufnehmen, entweder im Rahmen von Durchsetzungsmaßnahmen oder im Rahmen von Erhebungen. Im letzteren Fall könnten sie bei Bedarf auch beschließen zusätzliche Folgemaßnahmen zu ergreifen.
In der zweiten Jahreshälfte wollen die teilnehmenden Datenschutzbehörden ihre Erkenntnisse austauschen und gemeinsam erörtern, um die Ergebnisse ihrer nationalen Maßnahmen zusammenzufassen und tiefere Einblicke in das Thema zu gewinnen. Anschließend soll ein konsolidierter Bericht erstellt und dem EDSA zur Annahme vorgelegt werden, was gezielte Folgemaßnahmen sowohl auf nationaler als auch auf EU-Ebene ermöglicht.
Aus Deutschland nehmen bislang die Datenschutzaufsichten aus Brandenburg und Niedersachsen teil.

zurück zum Inhaltsverzeichnis

1.3 EDSA: SPE zu OSS und zum berechtigten Interesse

Aus der Support Pool Expert (SPE) Gruppe des EDSA gibt es eine neue Veröffentlichung, die sich diesmal mit dem berechtigten Interesse befasst. In „One-Stop-Shop case digest on the legal basis of legitimate interest“ wird mit Stand Dezember 2025 dargestellt, in welchen Fällen Datenschutzbehörden davon ausgehen, dass sich der Verantwortliche auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO berufen kann. Die Auflistung orientiert sich an den Prüfungsaspekten berechtigtes Interesse, Erforderlichkeit und Abwägung. Zudem werden Entscheidungen aus dem One-Stop-Shop-Mechanismus (OSS-Mechanismus) angesprochen.

zurück zum Inhaltsverzeichnis

1.4 EDPS: Ausführungen zur vorherigen Konsultation

Der Europäische Datenschutzbeauftragte äußert sich zu den Erfordernissen einer vorherigen Konsultation. Vorherige Konsultationen sind erforderlich, wenn ein geplanter Datenverarbeitungsvorgang wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führen wird, auch nachdem Minderungsmaßnahmen festgestellt wurden. In solchen Fällen muss der für die Verarbeitung Verantwortliche (d. h. die für die Datenverarbeitung zuständige Organisation) vor dem Verfahren die zuständige Aufsichtsbehörde konsultieren.
Die Verpflichtung zur Durchführung früherer Konsultationen beruht auf dem EU-Datenschutzrecht, insbesondere auf der DS-GVO und auf der Verordnung (EU) 2018/1725, die die Datenverarbeitung durch EU-Organe, Einrichtungen, Ämter und Agenturen regelt. Für Agenturen wie Europol und Eurojust wird dieser Rahmen in ihren branchenspezifischen Regelungen weiter festgelegt.
Ein besonders bemerkenswertes Beispiel für eine wirksame Vorabkonsultationspraxis sieht der EDPS im Jahr 2025 in der Abwicklung von zehn Konsultationen von Europol und Eurojust (der Europäischen Agentur für die Zusammenarbeit im Strafrechtsbereich), die er in seiner Meldung auch auflistet. Alle zehn vorherigen Konsultationen habe er innerhalb der geltenden gesetzlichen Fristen bewertet und abgeschlossen — sechs Wochen nach der Europol-Verordnung (verlängerbar um einen weiteren Monat) und zwei Monate nach der Eurojust-Verordnung.

zurück zum Inhaltsverzeichnis

1.5 DSK: Orientierungshilfe zu Mietauskünften

Die Datenschutzkonferenz veröffentlichte eine Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressenten. Ergänzt wird dies durch einen Musterfragebogens einer Selbstauskunft durch Vermieter:innen.

zurück zum Inhaltsverzeichnis

1.6 DSK: Digital Fitness Check und Vorschläge der Modifikation zur DS-GVO

Die Datenschutzkonferenz hat in einer Entschließung Vorschläge zur Modifikation der DS-GVO als Digital Fitness Check vorgelegt. Kleine und mittelständische Unternehmen sollen entlastet werden.
So sieht sie eine Entlastung der Wirtschaft und erwartet einen spürbaren Bürokratieabbau durch eine Anpassung des Art. 37 Abs. 7 DS-GVO zu erreichen, indem die Pflicht zur Mitteilung der Kontaktdaten von Datenschutzbeauftragten an die Aufsichtsbehörde gestrichen wird. Ebenso fordert die DSK Konkretisierungen bei der Definition von „biometrischen Daten“ sowie dem Umgang mit besonders sensiblen Daten (Artikel-9-Daten). Die DSK formuliert Modifikationen, wie das Auskunftsrecht erhalten, aber auch die Rechte und Freiheiten Dritter vor unverhältnismäßiger Beeinträchtigung in begründeten Einzelfällen ausgeglichen werden können. Zur Effektivierung der Funktion der Aufsichtsbehörden schlagen sie vor bei der Bearbeitung von Beschwerden mehr Spielraum zu erhalten, um die begrenzten Ressourcen sach- und interessengerecht einsetzen zu können; unter anderem deshalb, weil die Beschwerdezahlen europaweit signifikant angestiegen sind.
So müssten Hersteller und Anbieter von Hard- und Software in das System datenschutzrechtlicher Pflichten stärker einbezogen werden. Die DS-GVO stellt bereits heute mit Data Protection by Design and by Default (Art. 25 DS-GVO) Grundsätze auf, die an Hersteller, Importeure und Anbieter gerichtet sein müssten. Gegenwärtig werden ausschließlich die Anwender von Hard- und Software datenschutzrechtlich in die Pflicht genommen.

zurück zum Inhaltsverzeichnis

1.7 DSK: Ankündigung von Handlungsempfehlungen für die Digitalisierung der Verwaltung

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) kündigt an unterstützende Handlungsempfehlungen für Verantwortliche zur datenschutzrechtlichen Umsetzung von Projekten der Verwaltungsdigitalisierung zu erarbeiten.

zurück zum Inhaltsverzeichnis

1.8 DSK: Hinweise zu geplanten Ermittlungsbefugnissen auf Bundesebene

Die DSK kritisiert in einer Pressemeldung drei Gesetzesinitiativen der Bundesregierung zur Erweiterung digitaler Ermittlungsbefugnisse. Nach den Gesetzesplänen sollen die automatisierte Datenanalyse und der biometrische Abgleich mit Daten aus dem Internet in Strafverfahren sowie für die Polizeibehörden des Bundes zur Gefahrenabwehr eingeführt werden. In der vorgesehenen Form sind diese Befugnisse nicht mit den verfassungsrechtlichen Vorgaben vereinbar. Sie gefährden die verfassungsrechtlich geschützten Rechte Unbeteiligter erheblich. Die DSK fordert die Bundesregierung u.a. deshalb auf gegenüber der Bevölkerung maßvoll vorzugehen und die Grundrechte Unbeteiligter besser zu schützen.
Zahlreiche Organisationen warnen in einer gemeinsamen Stellungnahme vor den verfassungs- und menschenrechtlichen Risiken der geplanten Einführung von digitalen Ermittlungsbefugnissen mittels KI-Systemen wie PimEyes oder Palantir in der Polizeiarbeit. Die Organisationen beteiligen sich mit ihrer gemeinsamen Stellungnahme an der Verbändebeteiligung zu den Gesetzentwürfen. Diese finden sich aufgelistet als weiterführende Links hier.

zurück zum Inhaltsverzeichnis

1.9 BfDI: Ausschreibung für ReguLab

Ziel des ReguLab ist es Projekte frühzeitig bei der datenschutzkonformen Gestaltung und Umsetzung zu begleiten. Die BfDI unterstützt die Teilnehmenden dabei konkrete Datenschutzfragen zu klären, tragfähige Lösungen zu entwickeln und Rechtsklarheit für den weiteren Einsatz ihrer Anwendungen zu schaffen. Das ReguLab wurde Anfang 2026 von der BfDI als strukturiertes Beratungsprogramm ins Leben gerufen (wir berichteten). Es begleitet über einen Zeitraum von bis zu zwölf Monaten bis zu drei Projekte intensiv. Voraussetzung ist, dass die Konzeptionsphase bereits abgeschlossen ist. Im Fokus steht die frühzeitige Klärung konkreter Fragen zur datenschutzkonformen Ausgestaltung und Umsetzung. Die im sogenannten Sandbox-Verfahren gewonnenen Erkenntnisse werden anschließend verallgemeinert und in einem „ReguLab-Report“ veröffentlicht, um auch anderen Innovatorinnen und Innovatoren Orientierung zu bieten.
Bewerben können sich bis zum 3. Mai 2026 bundesunmittelbare gesetzliche Kranken- und Pflegekassen – auch gemeinsam mit ihren Dienstleistern –, die innovative datenbasierte Anwendungen entwickeln. Mehr dazu hier.

zurück zum Inhaltsverzeichnis

1.10 LfDI Baden-Württemberg: Podcast Datenfreiheit

Wieder wurde der „Datenzirkus“ in eine Podcast-Folge des LfDI Baden-Württemberg zu ausgewählten Themen eingeladen. Die Folge dauert ca. eine Stunde und wie immer finden sich auch Links dazu in den ShowNotes.

zurück zum Inhaltsverzeichnis

1.11 LfDI Baden-Württemberg: Tätigkeitsbericht für 2025

Auch aus Baden-Württemberg liegt nun der Tätigkeitsbericht für das Jahr 2025 vor, zudem sich eine Zusammenfassung auf den Webseiten des LfDI BW finden. Auch hier finden sich Hinweise auf Beschwerden und Beratungen, die hervorgehoben werden sollten. Es natürlich auch viel mehr lesenswerte Themen, aber die Leseempfehlung für die jeweilige ganzen Tätigkeitsberichte bleiben ja von den Hervorhebungen hier unberührt.
Die Vorstellung des Tätigkeitsberichts können Sie sich hier (Dauer ca. 43 Min.) anschauen.

zurück zum Inhaltsverzeichnis

1.11.1 LfDI Baden-Württemberg: Tätigkeitsbericht für 2025 – RAG-Methode: Generative KI-Modelle verlässlicher gestalten

Der LfDI Baden-Württemberg berichtet in Ziffer 2.4 ab Seite 25, dass der Arbeitskreis KI (AK KI) der Datenschutzkonferenz im Oktober 2025 eine Orientierungshilfe zu datenschutzrechtlichen Besonderheiten generativer KI-Systeme mit RAG-Methode veröffentlicht (RAG: Retrieval Augmented Generation) hat (wir berichteten). Mithilfe der RAG-Methode soll die Genauigkeit, Nachvollziehbarkeit und Verlässlichkeit der Ausgaben generativer KI-Systeme erhöht werden, während gleichzeitig die Wahrscheinlichkeit für Halluzinationen und unrichtige Ausgaben verringert wird.
Er betont dabei, dass für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage erforderlich sei. Mit Bezugnahme auf die Orientierungshilfe weist er darauf hin, dass bei RAG-Systemen zu beachten sei, dass bei einem ggf. rechtswidrig trainierten LLM unabhängig von der Integration im RAG-System das Training weiterhin rechtswidrig bleiben würde.
Die RAG-Methode kann bestimmte Schwächen von KI-Systemen, wie beispielsweise Halluzinationen, reduzieren. Die jeweiligen Herausforderungen und Erleichterungen sind jedoch im Einzelfall zu prüfen. Unter Umständen könne die Nutzung der RAG-Methode als eine mitigierende Maßnahme im Sinne der EDSA-Stellungnahme 28/2024 (wir berichteten) betrachtet werden.

zurück zum Inhaltsverzeichnis

1.11.2 LfDI Baden-Württemberg: Tätigkeitsbericht für 2025 – Auskunftsansprüche nach Art. 15 DS-GVO gegen Rechtsanwälte

Muss ein Rechtsanwalt Auskunftsansprüche nach Art. 15 DS-GVO erfüllen? Manche Rechtsanwälte weigern sich vehement und über so einen Fall berichtet der LfDI Baden-Württemberg in Ziffer 5.3.6 ab Seite 85. Eine Rechtsanwaltskanzlei hatte Forderungsschreiben an eine alte Adresse der beschwerdeführenden Person übermittelt. Diese teilte daraufhin der Kanzlei ihre neue Adresse mit und stellte einen Antrag nach Art. 15 DS-GVO.
Natürlich kam die Kanzlei dem nicht nach, sonst würde der LfDI Baden-Württemberg ja nicht darüber berichten, unter Verweis auf § 29 BDSG.
Nach § 29 Abs. 1 S. 2 BDSG besteht das Recht auf Auskunft somit nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden Interessen eines Dritten, geheim gehalten werden müssen. Bei der Verschwiegenheitspflicht der Rechtsanwält:innen, die sich aus § 43 a Abs. 2 BRAO ergibt, handelt es sich um eine solche Rechtsvorschrift.
Die Verschwiegenheitspflicht bezieht sich auf alles, was dem/der Rechtsanwält:in in Ausübung seines/ihres Berufes bekanntgeworden ist. Sie gelte nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen (häufig z.B. bereits genutzte Adressdaten). Es sei bei der Prüfung für jede Datenkategorie aus Art. 15 Abs. 1 DS-GVO einzeln festzustellen, ob Auskunft gegenüber der betroffenen Person, die das Auskunftsersuchen gestellt hat, erteilt werden kann. In Betracht kommen daher auch Teilauskünfte. Der LfDI Baden-Württemberg wies die Kanzlei darauf hin und erließ schließlich eine Anweisung nach Art. 58 Abs. 2 Buchst. c) DS-GVO das Auskunftsersuchen erneut zu prüfen und entsprechend der durch ihn dargestellten Rechtslage zu beauskunften.
Das Verfahren vor dem Verwaltungsgericht ist noch nicht entschieden.

zurück zum Inhaltsverzeichnis

1.11.3 LfDI Baden-Württemberg: Tätigkeitsbericht für 2025 – Maßnahmen bei Fehlversendung

Sollte es bei Versendungen zu Fehlversendungen kommen, hat der LfDI Baden-Württemberg einige Empfehlungen in Ziffer 5.4.1 auf Seite 89 parat. Hierzu gehört, dass der Empfänger des Irrläufers zur Rücksendung aufgefordert wird. Anders als bei einer bloßen Aufforderung, die Unterlagen zu vernichten, ließe sich durch eine Rücksendung verhindern, dass das Schreiben beim Empfänger etwa im Hausmüll entsorgt wird, was wiederum ein nicht geringes Missbrauchsrisiko durch weitere Personen zur Folge haben würde. Zudem sollte nach Ansicht des LfDI Baden-Württemberg gegenüber dem Fehlempfänger ein Verwertungsverbot in Bezug auf die personenbezogenen Daten Dritter ausgesprochen werden. Der Fehlempfänger sollte zusätzlich aufgefordert werden Verschwiegenheit über die ihm unrechtmäßig bekannt gewordenen Daten zu bewahren. Außerdem sollte er gebeten werden zu versichern, dass er die Daten vollständig zurückgegeben – also insbesondere keine Kopien gefertigt und zurückbehalten – hat.

zurück zum Inhaltsverzeichnis

1.11.4 LfDI Baden-Württemberg: Tätigkeitsbericht für 2025 – Anforderungen an Sicherheitsüberprüfungen im Beschäftigtenkontext

Beschäftigte, die während ihrer Tätigkeit Zugang zu sicherheitsrelevanten Informationen erhalten, müssen ggf. sicherheitsüberprüft werden. Grundlage dafür finden sich auf Bundesebene im Sicherheitsüberprüfungsgesetz (SÜG) bzw. im Landessicherheitsüberprüfungsgesetz (LSÜG) des jeweiligen Bundeslandes. Der LfDI Baden-Württemberg befasst sich damit, als Beschäftigte eines Unternehmens eine Sicherheitserklärung nach dem Sicherheitsüberprüfungsgesetz (SÜG) abgeben sollten, damit der Arbeitgeber einen Auftrag erhalten könne. Er gibt seine Hinweise dazu in Ziffer 5.5.1 ab Seite 108.
Nach § 2 Abs. 1 SÜG bzw. LSÜG ist eine Person, die mit einer sicherheitsempfindlichen Tätigkeit betraut werden soll (betroffene Person), vorher einer Sicherheitsüberprüfung zu unterziehen. Die Sicherheitsüberprüfung bedarf der Zustimmung der betroffenen Person in der gesetzlich vorgeschriebenen Form. Die Sicherheitsüberprüfung betrifft Personen, die nach den internen Planungen mit hoher Wahrscheinlichkeit eine sicherheitsempfindliche Tätigkeit ausüben werden. Der LfDI Baden-Württemberg skizziert dabei die verschiedenen Arten einer Sicherheitsüberprüfung (einfache Sicherheitsüberprüfung, erweiterte Sicherheitsüberprüfung und erweiterte Sicherheitsüberprüfung mit Sicherheitsermittlungen). Arbeitgeber benötigen für die Übermittlung der Daten im Rahmen einer Sicherheitsüberprüfung eine Grundlage. Wenn die Voraussetzungen für die Abgabe der Sicherheitserklärung vorliegen, kann die entsprechende Datenübermittlung auf Art. 6 Abs. 1 lit. b DS-GVO gestützt werden, wenn sie zur Durchführung des Arbeitsverhältnisses erforderlich ist, da die Beschäftigten ihre vertraglich geschuldete Arbeitsleistung sonst nicht erbringen können. Gegebenenfalls ist auch Art. 6 Abs. 1 lit. f DS-GVO einschlägig, wenn das Interesse der Arbeitgeber:innen an dem Auftrag nicht von dem Interesse der betroffenen Beschäftigten überwogen wird, keiner Sicherheitsüberprüfung unterzogen zu werden. Zu beachten ist, dass die Beschäftigten sich ausdrücklich und schriftlich damit einverstanden erklären müssen, den Fragebogen für die Sicherheitserklärung auszufüllen
In diesem Kontext weist der LfDI Baden-Württemberg auf die Materialien der BfDI zum Thema Sicherheitsüberprüfung hin. Ein Unternehmen, das einen Auftrag erhält, für dessen Erteilung eine Sicherheitsüberprüfung der mit der Ausführung des Auftrags befassten Beschäftigten nötig ist, sollte sorgfältig prüfen, ob die Voraussetzungen für eine solche vorliegen.

zurück zum Inhaltsverzeichnis

1.11.5 LfDI Baden-Württemberg: Tätigkeitsbericht für 2025 – Tücken der Mitarbeitendenbefragung

Mit den datenschutzrechtlichen Aspekten bei einer Mitarbeiterbefragung befasst sich der LfDI Baden-Württemberg in Ziffer 5.5.6 ab Seite 117. Dabei weist er auf die Problematik der passenden Rechtsgrundlagen hin.
Wird die Einwilligung gewählt sei die Freiwilligkeit sicherzustellen. Zudem könne eine nicht ausreichende Darstellung über die Anonymität der Auswertung oder andere wesentliche Informationen Auswirkung auf die Rechtmäßigkeit haben. In diesem Kontext macht er weitreichende Ausführungen hinsichtlich des Einbezugs von Dienstleistern, die im Auftrag Befragungen und dabei Anonymisierungen durchführen.
Die im konkreten Beschwerdefall gewählte Zuordnungsgröße von fünf Personen, ab der ein Ergebnis in der Regel nicht mehr auf Einzelne rückführbar sei, kritisierte er nicht.

zurück zum Inhaltsverzeichnis

1.12 LfD Bayern: Meldung von Datenschutzverletzungen durch Sozialbehörden

In der Aktuelle Kurz-Information 18 wurde der Vollzug der Meldepflicht nach § 83a Zehntes Buch Sozialgesetzbuch erläutert, wie der LfD Bayern informiert. Die Vorschrift ist aber zwischenzeitlich durch Art. 11 Nr. 6 Gesetz zur Anpassung des Sechsten Buches Sozialgesetzbuch und anderer Gesetze vom 22. Dezember 2025 (BGBl. I Nr. 355) aufgehoben worden. Die gesetzgeberische Maßnahme diente der Entbürokratisierung (vgl. BT-Drs. 21/1858 S. 72). Die Meldepflicht für Datenpannen nach Art. 33 DS-GVO bleibt davon unberührt.

zurück zum Inhaltsverzeichnis

1.13 LfD Bayern: KI in der öffentlichen Verwaltung

Der LfD Bayern hat Dokumente mit Hinweisen und Orientierung zu KI und KI in der bayerischen Verwaltung veröffentlicht. Zudem gibt es Unterstützung durch Empfehlungen zur Anbindung eines RAG-Systems an ein KI-System mit Sprachmodell. Hintergrund seiner Aktivitäten ist der zunehmend Einsatz von KI-Produkten in bayerischen öffentlichen Stellen. Werden dabei personenbezogene Daten verarbeitet sind auch datenschutzrechtliche Vorgaben zu beachten. Dazu bietet er eine neue, umfassende Orientierungshilfe, die den datenschutzrechtlichen Handlungsrahmen für den KI-Einsatz im Verbund der KI-Verordnung mit dem Unions- und nationalen Datenschutzrecht erläutert. Diese befasst sich u.a. mit den Rechtsgrundlagen (ab RN. 216 ff, wobei auch darauf hingewiesen wird, dass sich Behörden nicht für die in Erfüllung ihrer Aufgaben vorgenommenen Verarbeitungen auf das berechtigte Interesse berufen können, siehe RN. 217), aber auch mit den Informationspflichten beim Einsatz von KI (RN. 296 ff).
Sukzessive ergänzt und themenspezifisch erschlossen wird die Orientierungshilfe durch kurze Papiere zu einzelnen, in der bisherigen Prüfungs- und Beratungspraxis des Landesbeauftragten bereits aufgetretene Einsatzszenarien. Diese Papiere (AKI = Aktuelle Kurz-Informationen) möchten komprimierte Informationen in überschaubarem Umfang bieten:

• AKI 48: Datenschutz bei Rechtschreibkorrektur im Webbrowser
• AKI 55: Fotos veröffentlichen = KI trainieren?
• AKI 60: KI ohne Grenzen? Einsatz von Drittlandsprodukten in der bayerischen Verwaltung

Neu ist in diesem Kontext die Veröffentlichung zur Anbindung eines RAG-Subsystems an ein KI-System mit Sprachmodell (AI in a nutshell 1). Die Anbindung eines RAG-Subsystems an ein KI-System mit Sprachmodell ist besonders geeignet für die schnelle und unmittelbare Zugänglichmachung externer, auch behördeninterner, und/oder sich häufig verändernder Datenquellen, da diese bei Anbindung mittels RAG-Subsystems – im Gegensatz zum Initialtraining oder Fine-Tuning – nicht in das Sprachmodell selbst integriert werden.

zurück zum Inhaltsverzeichnis

1.14 Berliner BfDI: Schulungsangebote für Start-ups, Kleinunternehmen und Vereine

Die Berliner BfDI bietet ab April 2026 kostenlose und praxisorientierte Schulungsangebote zum Thema Datenschutz an. Zielgruppe sind Berliner Start-ups, Kleinunternehmen und Vereine. Die Auftaktveranstaltung findet am 14. April 2026 statt und widmet sich den Grundlagen des Datenschutzrechts. Danach folgt monatlich ein weiterer Themenblock mit jeweils zwei Workshops, zum Beispiel zum Einsatz von KI-Anwendungen oder zu Cookie-Bannern auf Webseiten. Alle Termine finden in den Räumen der Berliner Beauftragten für Datenschutz und Informationsfreiheit in Berlin-Moabit statt. Die Workshops bauen inhaltlich aufeinander auf, können aber auch einzeln besucht werden. Weitere Informationen auch zur Anmeldung finden sich hier.

zurück zum Inhaltsverzeichnis

1.15 HmbBfDI: Tätigkeitsbericht für 2025

Der Hamburgische beauftragte für Datenschutz und Informationsfreiheit veröffentlichte seinen Tätigkeitsbericht für das Jahr 2025. Neben Aussagen zur Statistik insb. dem Anstieg bei Beschwerden finden sich auch einige Berichte zu Beratungen und Prüfungen, wie z.B.

zurück zum Inhaltsverzeichnis

1.15.1 HmbBfDI: Tätigkeitsbericht für 2025 – MS 365 in der öffentlichen Verwaltung

Der HmbBfDI erläutert in Ziffer III.5, dass der Senat MS 365 für die überwiegende Zahl der Dienstrechner in der FHH einführt. Der HmbBfDI hat das Projekt beratend begleitet. Auf Basis der gegenüber Microsoft erwirkten vertraglichen Verbesserungen und der mit dem Senat abgestimmten Einstellungen sei der Einsatz bei nichtsensiblen Daten vertretbar. Bei Daten mit hohem Schutzbedarf wären hingegen noch zahlreiche Fragen zum Schutzkonzept offen.
Bezüglich der Verarbeitung von Daten zu eigenen Zwecken durch Microsoft konnte dem HmbBfDI glaubhaft dargelegt werden, dass Microsoft ausschließlich pseudonymisierte Telemetrie- und Diagnosedaten verarbeite. Diese dienten der Verbesserung der Dienste und der Fehlerbehebung. Inhaltsdaten der Kunden würden nicht für eigene Zwecke verarbeitet. Die Telemetriedaten umfassten technische Informationen zur Nutzung und Leistung der Dienste und würden in aggregierter und anonymisierter Form ausgewertet. Die Prozesse zur Erstellung von Reports sowie zur Anonymisierung und Aggregation der Daten wurden erläutert, wobei noch Detailfragen offen sind, insbesondere hinsichtlich der Kriterien und Verfahren zur Genehmigung der Reports. Die Rückführbarkeit der Telemetriedaten auf einzelne Personen wird als sehr gering eingeschätzt, was das Risiko einer Identifikation minimiert. Dennoch empfiehlt der HmbBfDI eine weitere Klärung der genauen Anonymisierungsverfahren und der Kontrollmechanismen, um Transparenz und Datenschutzkonformität sicherzustellen.

zurück zum Inhaltsverzeichnis

1.15.2 HmbBfDI: Tätigkeitsbericht für 2025 – Beschäftigtendaten im Konzern und Rechtsgrundlagen

Werden Matrixstrukturen als Organisationsmodell für die personelle Zusammenarbeit in Unternehmensgruppen und Konzernen genutzt, müssen die Datenübertragungsvorgänge von Beschäftigtendaten auf eine Rechtsgrundlage gestützt werden, so der HmbBfDI in Ziffer III.11 seines Tätigkeitsberichts. Im Berichtszeitraum hatte der HmbBfDI über zwei Beschwerden zur Weitergabe von Beschäftigtendaten in Konzernstrukturen zu entscheiden. Dabei wurden Beschäftigtendaten konzernintern übermittelt, um eine einheitliche Vergütungsstruktur und gleiche Arbeitsbedingungen im Konzern zu schaffen. Übermittelt wurden Gehaltslisten mit Angaben zu Namen, Gehalt, Tarif/AT, Eintritts-/Austrittsdatum, Abteilung und Position. Der HmbBfDI stellte in seiner rechtlichen Bewertung in diesen Fällen eine unrechtmäßige Verarbeitung personenbezogener Daten gemäß Art. 5 DS-GVO fest, da keiner der in Art. 6 Abs. 1 DS-GVO genannten Tatbestände erfüllt war und keine Einwilligung der Beschäftigten vorlag.

zurück zum Inhaltsverzeichnis

1.15.3 HmbBfDI: Tätigkeitsbericht für 2025 – Einheitlicher Prüfstandard für digitale Projekte

Der HmbBfDI strebt gemeinsam mit dem Senat an, um Prüfstandards für digitale Projekte zu vereinheitlichen, wie in Ziffer III.26 berichtet wird. Damit sollen die in der DS-GVO genannten Grundsätze wie Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz im Hinblick auf die fortschreitende Digitalisierung und unter Berücksichtigung föderaler Grundsätze weiterhin hinreichend sichergestellt werden durch die verantwortlichen Stellen und gleichzeitig Effizienz bei digitalen Anwendungen gewährleistet werden.
Einzelne Projektphasen sind:

• Phase 1: Projektinitiierung (Vorprojektphase)
• Phase 2: Projektplanung
• Phase 3: Projektdurchführung und Controlling
• Phase 4: Projektabschluss
• Phase 5: Sonderfall – Vorabkonsultation (Art. 36 DSGVO)

Diesen Phasen werden datenschutzrechtliche Mindestanforderungen im Einzelnen zugeordnet. Der Prüfstandard umfasst eine formelle und materielle datenschutzrechtliche Prüfung. Ein abschließendes Ergebnis für das laufende Jahr 2026 angestrebt.

zurück zum Inhaltsverzeichnis

1.15.4 HmbBfDI: Tätigkeitsbericht für 2025 – Bewertung des KI-Systems LLMoin der Verwaltung

In Ziffer IV.2 skizziert der HmbBfDI die Ergebnisse seiner Prüfung des KI-Systems LLMoin, die er im Oktober 2025 abschloss. Die Ergebnisse sind im Sinne des „Einer prüft für Alle“ (EfA-Prinzip) auch für die Datenschutzaufsichtsbehörden anderer Bundesländer verfügbar, die LLMoin einsetzen möchten. Im Ergebnis kommt der HmbBfDI zu dem Schluss, dass LLMoin ein datenschutzfreundlich konzipiertes KI-System sei, dessen Risiken durch eine Kombination aus technischen und organisatorischen Maßnahmen ausreichend gemindert werden. Die vom HmbBfDI vorgebrachte Kritik hinsichtlich des aktuellen Systemprompts und der Erfüllung von Informationspflichten gegenüber Bürger:innen wird nach Kenntnis des HmbBfDI bereits durch Maßnahmen der Senatskanzlei adressiert. Insgesamt bestehen daher keine durchgreifenden Bedenken gegen den produktiven Einsatz von LLMoin in der öffentlichen Verwaltung.

Kleine Ergänzung:
Im Rahmen einer Veranstaltung äußerte der HmbBfDI auf eine entsprechende Frage, dass er prüft, inwieweit das dahinterliegende Konzept der Nutzung veröffentlicht werden könne.

Und noch eine Ergänzung:
Der LfDI Baden-Württemberg hat in seinem Tätigkeitsbericht für das Jahr 2024 ab Seite 15 zu dem KI-System „F13“ der landeseigenen Verwaltung auf Seite seine Hinweise und Anforderungen ausgeführt.

zurück zum Inhaltsverzeichnis

1.15.5 HmbBfDI: Tätigkeitsbericht für 2025 – AI Glasses (KI-Brillen)

Wie sind AI Glasses – oder KI-Brillen – datenschutzrechtlich zu bewerten? Erste Fragestellungen und Antworten dazu finden sich im Tätigkeitsbericht unter der Ziffer IV.7.
Seit Sommer 2025 prüft der HmbBfDI die Ray-Ban Meta KI-Brille umfassend auf ihre datenschutzrechtlichen Implikationen. Ziel ist es die Funktionsweise, die Erkennbarkeit von Aufnahmen sowie letztlich die Einhaltung der datenschutzrechtlichen Vorgaben zu bewerten. Ein besonderer Fokus lag auf der Frage, inwieweit die Brille im Alltag durch ihre Nutzer:innen datenschutzkonform eingesetzt werden kann und ob die Rechte von Nutzer:innen und Dritten gewahrt bleiben. Die Untersuchung ist noch nicht abgeschlossen; ein Prüfbericht wird für das Jahr 2026 erwartet. Der finale Prüfbericht wird auch der federführenden Aufsichtsbehörde in Irland (IDPC) vorgelegt, die etwaige Maßnahmen ergreifen oder Empfehlungen abgeben kann, wenn sich noch Nachbesserungsbedarf aus datenschutzrechtlicher Sicht auf Seiten von Meta ergeben sollte.

Weil es gut zum Thema passt: In dieser Podcast-Folge (Dauer ca. 75 Min) kommt auch ein Experte zu Wort, der sich mit den datenschutzrechtlichen Aspekten solcher Brillen seit längerem befasst.

zurück zum Inhaltsverzeichnis

1.16 LfD Niedersachsen: Schulungsangebote für Mitarbeitende der öffentlichen Verwaltung

Die Schulungsangebote des Jahres 2026 richten sich mit wenigen Ausnahmen an Mitarbeitende aus der öffentlichen Verwaltung im Land Niedersachsen. Sie finden sich hier.

zurück zum Inhaltsverzeichnis

1.17 UDZ Saarland: Tätigkeitsbericht für 2025

Das Unabhängiges Datenschutzzentrum Saarland (UDZ) veröffentlichte seinen Tätigkeitsbericht für das Jahr 2025. Zwei Punkte möchte ich aus dem Tätigkeitsbericht hervorheben:

zurück zum Inhaltsverzeichnis

1.17.1 UDZ Saarland: Tätigkeitsbericht für 2025 – Blacklisting ehemaliger Mieter:innen

Unter Ziffer 5.2 befasst sich der Tätigkeitsbericht mit der Datenerhebung bei Begründung eines Mietverhältnisses. Dabei gibt es auch Aussagen zum sog. Blacklisting von Personen. Dies beschreibt die Erfassung von zu vertrags-/treuwidrigem Verhalten oder Mietausfällen, allerdings müssen in diesem Zusammenhang die Grundsätze der Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DS-GVO, insbesondere mit Blick auf Transparenz, Zweckbindung und Datenminimierung, ausreichend operationalisiert werden.
Da im konkreten, beschwerdegegenständlichen Fall keine transparente Informationserteilung hinsichtlich der Datenverarbeitung für ein solches Blacklisting im Sinne des Art. 13 oder 14 DS-GVO erfolgt war, kein Nachweis für die Umsetzung eines geeigneten Informationsprozesses für Altfälle als organisatorische Maßnahme geführt werden konnte oder überhaupt nach Beendigung des Mietverhältnisses irgendeine Kontaktaufnahme mit dem Beschwerdeführer hinsichtlich des Mietausfalls dokumentiert war, war für das UDZ nicht ersichtlich, dass dieser vernünftigerweise mit der ihn betreffenden Datenverarbeitung (noch) rechnen musste. Auch eine erteilte Restschuldbefreiung prägte vor dem Hintergrund des Informationsdefizits die Erwartungshaltung entscheidend, da diese gerade darauf abzielt eine erneute Teilnahme am Wirtschaftsleben zu ermöglichen.
Zudem wäre nach Ansicht des UDZ der Verantwortliche für den Fall einer früheren Datenlöschung nicht schlechter gestellt, da dieser vor Eingehung des Mietverhältnisses Bonitätsauskünfte über Mietinteressent:innen einholte und damit ein hinreichend geeignetes Instrument eingesetzt wurde, um die Kreditwürdigkeit bei der Mietanbahnung zu prüfen und das Risiko von zukünftigen Mietausfällen zu reduzieren.
Der Verantwortliche wurde durch das UDZ zur Löschung der für Zwecke des Blacklistings verarbeiteten Daten des Beschwerdeführers und zur Erstellung eines geänderten Löschkonzepts aufgefordert.

zurück zum Inhaltsverzeichnis

1.17.2 UDZ Saarland: Tätigkeitsbericht für 2025 – Datenübermittlungen an Strafverfolgungsbehörden durch private Stellen

Schön ausführlich befasst sich der Tätigkeitsbericht in Ziffer 6.1 mit Übermittlungspflichten personenbezogener Daten in Ermittlungsverfahren. Dabei werden anschaulich der Unterschied zwischen Auskunftsersuchen (§§ 161, 163 StPO) und Herausgabeverlangen (§ 95 StPO) durch Strafverfolgungsbehörden und das „Doppeltürmodell“ beschrieben.
Nach dem vom Bundesverfassungsgericht entwickelten Doppeltürmodell vollzieht sich ein Datenaustausch zwischen zwei verantwortlichen Stellen in zwei miteinander korrespondierenden Schritten: Während auf Seiten der auskunftsersuchenden Ermittlungsbehörde personenbezogene Daten erhoben werden, übermittelt die ersuchte Stelle diese Daten. Bei einem solchen Datenaustausch stellen sowohl die Abfrage als auch die Bereitstellung personenbezogener Daten selbstständige Eingriffe in das Recht auf informationelle Selbstbestimmung dar und bedürfen jeweils einer eigenständigen Rechtsgrundlage.
Beim Auskunftsersuchen käme als Rechtmäßigkeitsgrundlage Art. 6 Abs. 1 lit. f DS-GVO in Frage, bei einem Herausgabeverlangen dann Art. 6 Abs. 1 lit. c DS-GVO. In einem Exkurs erklärt das UDZ dabei auch die Fälle des § 24 BDSG.
Die Ausführungen des UDZ berücksichtigen schließlich auch die Verpflichtungen aus Artt. 13, 14 DS-GVO.

zurück zum Inhaltsverzeichnis

1.18 SDTB: Tätigkeitsbericht für 2025

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) veröffentlichte ihren Tätigkeitsbericht für das Jahr 2025. Neben Aussagen zur Statistik finden sich in dem Tätigkeitsbericht auch Beispiele zu Beschwerden.

zurück zum Inhaltsverzeichnis

1.18.1 SDTB: Tätigkeitsbericht für 2025 – Werbliche Ansprache durch Rechtsanwälte

Wann können Informations- und Werbeanschreiben durch Rechtsanwälte datenschutzrechtlich noch zulässig sein? Damit befasst sich die SDTB in Ziffer 2.2.4. Außer Acht lässt sie dabei berufsrechtliche Regelungen.

zurück zum Inhaltsverzeichnis

1.18.2 SDTB: Tätigkeitsbericht für 2025 – Herausgabe von Zugriffsdaten bei einem Mitarbeiterexzess

In Ziffer 3.2.3 stellt die SDTB fest, wann Betroffenen von einem Verantwortlichen Zugriffsdaten bei einem Mitarbeiterexzess verlangen können, um eigene Rechte gegen diese Person geltend machen zu können. Damit die betroffene Person aber in die Lage versetzt werden kann, die ihr zustehenden Ansprüche geltend zu machen, steht ihr ein Auskunftsanspruch gegen die – in diesem Fall verantwortliche – Behörde zu: In diesen Fällen hat die Behörde auch den Namen des/der Bediensteten zu offenbaren. Der Schutz dieser Daten (Art. 15 Abs. 4 DS-GVO) muss hinter den Auskunftsanspruch zurücktreten. Zu beauskunften sind grundsätzlich auch die Protokolldaten der Zugriffe.
Damit erfahre der vom EuGH bestätigte Grundsatz, dass über die Identität der Beschäftigten, die rechtmäßig und im Rahmen der dienstlichen Weisungen Daten abgerufen haben, keine Auskunft nach Art. 15 DS-GVO zu erteilen ist, eine Ausnahme: in Fällen des Mitarbeiterexzesses.

zurück zum Inhaltsverzeichnis

1.19 Rundfunkbeauftragter des NDR: Tätigkeitsbericht für 2025

Auch der Rundfunkdatenschutzbeauftragte des Norddeutschen Rundfunks hat seinen Tätigkeitsbericht für das Jahr 2025 vorgelegt. Natürlich finden sich darin auch Aussagen zum Digitalen Omnibus, KI und Drittstaatentransfer. Daher hier nur einige subjektive Hervorhebungen, die mir vorher nicht bekannt / bewusst waren:

zurück zum Inhaltsverzeichnis

1.19.1 Rundfunkbeauftragter des NDR: Tätigkeitsbericht für 2025 – Tagesschau-App und Emotionen

Der Bericht informiert ab Seite 24 auch über die Überarbeitung der Datenschutzerklärung der Tagessschau-App. Noch in Klärung befinde sich danach noch eine Anfrage zu „Emotionen“. Denn es besteht die Möglichkeit zu den Nachrichten ein Stimmungsbild zu jeder Meldung zu erzeugen. Durch eine Abstimmung entsteht unter den täglich Millionen Nutzenden der tagesschau-App ein differenziertes Stimmungsbild, das bei jeder Meldung ab einer Beteiligung von 500 Nutzenden direkt im Abstimmungsfenster angezeigt werden kann. Der einzelne Nutzende sieht so, wie eine bestimmte Meldung auf andere Nutzende wirkt. Die Beteiligung an der Abstimmung sei freiwillig und erfolge völlig anonym.
Begründet wird diese Abstimmungsfunktion mit einer gewissen Nachrichtenmüdigkeit, die in wissenschaftlichen Untersuchungen und Befragungen des Publikums häufig beschrieben wird. Gemeint ist damit, dass viele der aktuellen Nachrichten negative Folgen bei Nutzenden haben können, berichtet wird über Stress, Erschöpfung oder Depression.
Diesbezüglich wird noch untersucht, welche Datenströme die Teilnahme an der Herstellung eines solchen Stimmungsbildes hervorruft.

zurück zum Inhaltsverzeichnis

1.19.2 Rundfunkbeauftragter des NDR: Tätigkeitsbericht für 2025 – Auskunft im Kontext Rundfunkbeitrag

Bei den Beschwerden werden ab Seite 28 diejenigen hervorgehoben, die im Kontext der Rundfunkgebühr geltend gemacht werden und sich auf Auskünfte beziehen. Dabei wird auf § 11 Abs. 8 Rundfunkbeitragsstaatsvertrag (RBStV) verwiesen, der diesen Anspruch konkretisiert, aber auch begrenzt. Der Auskunftsanspruch umfasse nicht das Recht Kopien von Schriftstücken zu erhalten. Das datenschutzrechtliche Auskunftsrecht des Rundfunkbeitragsstaatsvertrages sei kein Recht auf Akteneinsicht und kein Recht auf Übersendung von Kopien aller zu einer Person verarbeiteten Schriftstücke. Der Verantwortliche hat eine strukturierte Zusammenfassung der personenbezogenen Daten zur Verfügung zu stellen, nicht aber eine Übersendung aller Dokumente in Kopie vorzunehmen. Diese Praxis habe auch das Schleswig-Holsteinische VG mit Urteil vom 25.09.2025, Az. 6 A 70/25 bestätigt.

zurück zum Inhaltsverzeichnis

1.19.3 Rundfunkbeauftragter des NDR: Tätigkeitsbericht für 2025 – Talentmanagement-Tool

Auch wenn beim NDR laut Bericht ab Seite 35 die Bewertungen für den Einsatz eines Talentmanagementtools noch nicht abgeschlossen sind, lassen sich die dort aufgeführten Fragestellungen auch für eigene Bewertungen nutzen.
Mittels Talentmanagement-Tool sollen Leistungs- und „Performance-“ Daten von Beschäftigten erfasst werden. Hintergrund sei eine intendierte Personalplanung, mit der registriert wird, ob einzelne Beschäftigte für bestimmte Positionen oder Projekte geeignet sind.

zurück zum Inhaltsverzeichnis

1.20 CNIL: Kontrollthemen für 2026, u.a. Einstellungsprozesse

Die französische Datenschutzaufsicht CNIL hat ihre Prioritätskontrollthemen veröffentlicht. Unter denen, die für das Jahr 2026 ausgewählt wurden, sind die Rekrutierung, das einzelne Wahlverzeichnis und die Sportverbände. Weitere Ankündigungen im Zusammenhang mit der Cybersicherheit werden anlässlich der Veröffentlichung des Jahresberichts der CNIL im Mai 2026 erfolgen.
Im Januar 2023 veröffentlichte die CNIL einen Leitfaden zur Begleitung von Personalvermittlern, die die personenbezogenen Daten von Kandidaten sammeln und nutzen, was ihre speziellen Ressourcen ergänzt. Drei Jahre nach dieser Veröffentlichung soll zu diesem Thema die Einhaltung der DS-GVO durch die Akteure überprüft werden. Die Kontrollen konzentrieren sich auf die wichtigsten Themen, die im Leitfaden entwickelt wurden, wie automatisierte Entscheidungssysteme, Kandidateninformationen und Aufbewahrungsfristen.
Diese Kontrollen werden sich auf große Unternehmen und Personalvermittlungsunternehmen konzentrieren, da sie die Vielzahl der Bewerbungen und die Auswahlen, die sie treffen, erhalten. Dieses Thema wird die Ausübung der künftigen Verantwortung durch die CNIL als Marktüberwachungsbehörde im Bereich der „Arbeit“ im Rahmen der Verordnung über künstliche Intelligenz vorwegnehmen.

zurück zum Inhaltsverzeichnis

1.21 Luxemburg: Anforderungen an das Verzeichnis der Verarbeitungstätigkeiten

Die Luxemburger Datenschutzaufsicht CNPD bemängelte ein Unternehmen wegen der Führung des Verzeichnisses der Verarbeitungstätigkeiten. Dieses wurde bei einer Vor-Ort-Begehung nur als Onlineversion innerhalb des Konzerns bereitgestellt. In den nachgereichten 40 Excel-Dateien als Auszug aus der Online-Variante stellt die Behörde fest, dass einige Angaben erst nach dem Vor-Ort-Termin ergänzt wurden. Inhaltlich wurde u.a. bemängelt, dass die Angaben zu Verantwortlichem und Datenschutzbeauftragten sowie bei einzelnen Verarbeitungen die zu betroffenen Personen bzw. zu den Empfängern nicht vollständig aufgeführt waren. Auch seien die Angaben zu den Empfängern im Drittland zu ungenau gewesen. Die Aufsicht ist hier der Ansicht, dass die Empfänger genau zu identifizieren sind, sobald eine Übermittlung personenbezogener Daten in ein Drittland ausdrücklich angegeben wird. Im Ergebnis wurde das Unternehmen verwarnt, und ihm auferlegt die unzureichenden Stellen des Verzeichnisses nachzubessern und eine Verwaltungsstrafe in Höhe von 7.000 Euro zu zahlen.

zurück zum Inhaltsverzeichnis

1.22 Niederlande: Praxisleitfaden „Gesundheitsdaten in der Cloud“

Die niederländische Aufsucht AP veröffentlichte den Praxisleitfaden „Gesundheitsdaten in der Cloud“. Der Praxisleitfaden konzentriert sich auch auf Gesundheitsdaten in einem weiteren Sinne, wie z.B. Daten in Krankenakten, Daten über die Gesundheit in Bezug auf die Arbeit, Testergebnisse und Daten aus digitalen Pflegeanwendungen. Die verschiedenen daran beteiligten Organisationen werden ebenfalls diskutiert, wie Gesundheitsdienstleister, Arbeitsschutzdienste, IT-Lieferanten und andere Kettenpartner.
Ergänzt wird dieses Angebot um eine Schritt-für-Schritt-Anleitung, um die wichtigsten Punkte zu beachten.

zurück zum Inhaltsverzeichnis

1.23 Niederlande: Anforderungen an digitale Lernmittel

Die niederländische Aufsicht AP hat einen Bericht veröffentlicht, in welchem sie vor den Folgen der Entwicklungen auf dem Markt für digitale Lernressourcen warnt. So hätten Schulen aufgrund des Einflusses großer Technologieunternehmen immer weniger Auswahl zwischen Lieferanten. Oft sei auch unklar, was mit den Daten der Schüler passiere. Die AP fordert daher Schulen und Lieferanten auf,entsprechende Vereinbarungen zu treffen und offen die Verarbeitung von Schülerdaten zu regeln, damit die Privatsphäre der Schüler geschützt ist und die Schüler und ihre Eltern wissen, was mit den Daten passiert.

zurück zum Inhaltsverzeichnis

1.24 Norwegen: Abschlussberichte aus vier Sandbox-Projekten aus dem Finanzumfeld

Die norwegische Datenschutzaufsicht hat vier Abschlussberichte zu Sandbox-Projekten veröffentlicht, die sie zusammen mit der norwegischen Finanzaufsichtsbehörde Finanstilsynet durchführte. Dazu wurden Finanzinstitute zur Teilnahme an Sandbox-Projekten eingeladen. Ziel war es zu untersuchen, wie der Datenaustausch zur Bekämpfung der Wirtschaftskriminalität im Rahmen der geltenden Regelungen genutzt werden kann.
Die vier Abschlussberichte untersuchen verschiedene Formen des Datenaustauschs bei den Bemühungen zur Bekämpfung der Wirtschaftskriminalität. Die Berichte enthalten auch die rechtlichen Bewertungen der Teilnehmer. Nachfolgend findet sich eine kurze Beschreibung und Links zu zusammenfassenden Artikeln und Abschlussberichten:

• DNB, Norsk Regnesentral, SpareBank 1, Nordea und Eika haben den rechtlichen Rahmen für den Informationsaustausch zwischen Banken, insbesondere im Zusammenhang mit der Bekämpfung von Zahlungsbetrug, bewertet: Informationsaustausch zur Bekämpfung von Zahlungsbetrug
• Stø hat rechtliche Fragen für die erweiterte Erhebung, Weitergabe und Verarbeitung von Daten von BankID analysiert: Erweiterte Erhebung, Weitergabe und Verarbeitung von Daten von BankID
• Finance Norway Insurance Operations haben die Möglichkeit geprüft einen Tippkanal einzurichten, um Versicherungsbetrug aufzudecken und zu verhindern: Tipp Channel mit Finance Norway Insurance Operations
• Eika Gruppen und KPMG haben rechtliche Fragen im Zusammenhang mit der Zentralisierung der Bemühungen um die Bekämpfung des White-Washing in den Banken der Eika-Gruppe geprüft: Informationsaustausch zur Stärkung der Anti-Geldwäsche-Arbeit der Eika-Banken

Die Teilnehmer der Projekte präsentierten die Ergebnisse während eines Seminars, das von der norwegischen Datenschutzbehörde und Finanstilsynet organisiert und aufgezeichnet wurde. Die Aufzeichnung (Dauer 2:30 Std.) ist hier abrufbar.

zurück zum Inhaltsverzeichnis

1.25 Schweden: Hinweise zur Nutzung einer KI-Brille

Die schwedische Aufsicht IMY befasst sich mit aktuellen KI-Brillen. Brillen mit eingebauten Kameras und mit anderer Technologie – bekannt als Smart Glasses – sind immer schwieriger von gewöhnlichen Brillen zu unterscheiden und die Technologie wird immer fortschrittlicher. Die IMY weist darauf hin, dass es bei der Verwendung immer wichtiger wird vorher zu überlegen, zu welchen Zwecken sie eingesetzt werden sollen. Um sicherzustellen, dass die smarte Brille sicher und verantwortungsbewusst verwendet wird, sollten sich die Risiken und die geltenden Regeln bewusst gemacht werden. Die IMY weist Nutzende auf zehn Punkte hin, die bedacht werden sollten:

1. Das Filmen mit einer smarten Brille ist wie das Filmen mit einer Handykamera.
2. Selbst wenn nicht gefilmt wird, fühlen sich die Menschen möglicherweise unwohl.
3. Smart Glasses haben oft zahlreiche fortgeschrittene Mikrofone, die Gespräche von Menschen im Hintergrund aufnehmen können.
4. Es besteht immer die Gefahr, dass das, was aufgezeichnet wird, in die Hände Dritter gelangen könnte.
5. Andere Informationen als die aufgenommenen Aufnahmen können ebenfalls in die Hände Dritter gelangen.
6. In bestimmten Situationen ist das Filmen nicht erlaubt und es kann so eine Straftat begangen werden.
7. Das, was gefilmt wurde, zu teilen kann eine Straftat sein.
8. Wenn Videos von anderen Personen online geteilt werden, müssen möglicherweise die Regelungen der DS-GVO eingehalten werden.
9. Wenn Unternehmen Smart Glasses im Unternehmen verwenden, müssen die Vorgaben der DS-GVO eingehalten werden.
10. Einige Orte erlauben möglicherweise nicht die Verwendung von Smart Glasses.

zurück zum Inhaltsverzeichnis

1.26 Spanien: Grundprinzipien für Vergabe und Nutzung digitaler Bildungsplattformen

Die spanischen Datenschutzbehörden veröffentlichen ein Dekalog mit Grundprinzipien für die Vergabe und Nutzung digitaler Bildungsplattformen, die die Aspekte enthält, die Bildungsverwaltungen und Unternehmen, die Bildungsdienstplattformen in der Cloud anbieten, berücksichtigen sollten. Diese Prinzipien gelten in Spanien auch für öffentliche, staatlich subventionierte und private Schulen.
Dadurch erinnern die Behörden an den spezifischen Schutz, der für die Verarbeitung von Minderjährigendaten erforderlich ist, sowie daran, dass die Nutzung dieser Plattformen für Schüler oder deren Familien nicht freiwillig ist.

zurück zum Inhaltsverzeichnis

1.27 Spanien: Sanktion bei Altersverifikation über biometrische Daten

Die spanische Datenschutzaufsicht AEPD verhängte eine Sanktion in Höhe von 950.000 Euro gegen ein Unternehmen, das bei der Altersverifikation datenschutzrechtliche Vorgaben – auch hinsichtlich Personen unter 14 Jahren, nicht beachtete. Zudem war die Nutzung von Daten für Forschungs-, Analyse- und interne Entwicklungszwecke durch Einstellungen ermöglicht, die standardmäßig aktiviert waren. Bericht dazu auch hier.

zurück zum Inhaltsverzeichnis

1.28 Spanien: Wie beeinflussen Algorithmen automatisierte Systeme von KI?

Das IT-Labor der spanischen Aufsicht AEPD veröffentlichte eine Darstellung einer externen Beraterin, wie Algorithmen automatisierte Systeme mithilfe von künstlicher Intelligenz (KI) beeinflussen. Sie weist dabei darauf hin, dass für den Fall, dass eine betroffene Person automatisierten Entscheidungen oder in dem in Art. 22 der DS-GVO genannten Profiling unterliegt, ein wichtiger Aspekt gemäß Art. 13 Abs. 2 lit. f DS-GVO in der Information über die „angewandte Logik“ und „die Bedeutung und die vorhergesehenen Konsequenzen“ liegt. Allerdings bestehe kein allgemeines Recht die Algorithmen oder den Quellcode der verwendeten Systeme zu kennen.
Die AEPD weist auf ihrer Webseite auch darauf hin, dass die veröffentlichten Inhalte, Meinungen oder Kommentare in der alleinigen Verantwortung ihrer Autor:innen liegen und die offiziellen Mitteilungen, Visionen oder Richtlinien der AEPD nicht widerspiegeln.

zurück zum Inhaltsverzeichnis

1.29 ICO: Kontrolle der Einstellungsprozesse

Auch die britische ICO kündigt an im Rahmen von Prüfungen der Einstellungsprozesse insb. automatisierte Entscheidungsfindungen betrachten zu wollen.

zurück zum Inhaltsverzeichnis

1.30 ICO: Definition einer automatisierten Entscheidungsfindung

Die britische ICO informiert über ihre Hinweise zu einer automatisierten Entscheidungsfindung und datenschutzrechtlichen Anforderungen nach dem britischen Datenschutzrecht. Unter eine automatisierte Entscheidungsfindung können auch bereits Systeme fallen, wenn diese keine komplexen Algorithmen, künstliche Intelligenz (KI) oder andere Arten fortschrittlicher Verarbeitung beinhalten.

zurück zum Inhaltsverzeichnis

1.31 GPEN: Sweep Report zu Kindern im Netz

Der Global Privacy Enforcement Network (GPEN) informiert, dass es seinen neuen Sweep Report veröffentlicht hat. 27 Datenschutzbehörden weltweit haben 876 Websites und Apps untersucht, die von Kindern genutzt werden. Aus dem Geltungsbereich der DS-GVO nahmen die Datenschutzaufsichtsbehörden aus Frankreich, Italien, Niederlanden und Norwegen teil. Das Fazit nach 10 Jahren: Es gibt Fortschritte, jedoch sind die Risiken in entscheidenden Punkten gestiegen. Bezogen auf Kinder im Netz hat die Umsetzung datenschutzrechtlicher Vorgaben noch viel Luft nach oben.

zurück zum Inhaltsverzeichnis

1.32 BSI: Leitfaden zur Methodik Grundschutz++

Das BSI hat einen Leitfaden zur Methodik Grundschutz++ veröffentlicht. Dieser soll einen gerichteten Ordnungsrahmen für den systematischen Aufbau und die Weiterentwicklung eines Informationssicherheitsmanagementsystems bieten. Er beschreibt eine entlang des PDCA-Zyklus strukturierte Methodik, die strategische Verankerung, Anforderungsanalyse, Umsetzung, Überwachung und kontinuierliche Verbesserung zu einem konsistenten Sicherheitsprozess verbindet. Damit will das Dokument eine Grundlage schaffen, um Informationssicherheit institutionell wirksam, skalierbar und nachhaltig am Stand der Technik auszurichten. Bericht zum Hintergrund und Ausblick dazu hier.

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 EuGH: Jahresbericht für 2025

Nicht auch noch der EuGH mit einem Jahresbericht? Doch, auch der – er stellt damit die Tätigkeit des Gerichtshofs und die wichtigste Rechtsprechung des Gerichtshofs und des Gerichts aus dem vergangenen Jahr dar. Der Jahresbericht umfasst einen Überblick über die wichtigsten Ereignisse des Jahres, Statistiken über die Arbeit der beiden Gerichte und einen Abschnitt „Rechtsvorsatz“, der klare und umfassende Überprüfungen der wichtigsten Fälle des Jahres bietet. Der Bericht enthält auch Beiträge der Präsidenten beider Gerichte, des Vizepräsidenten des Gerichts und des Kanzlers des Gerichtshofs, die die Entwicklungen und Errungenschaften jedes Gerichts und des Organs als Ganzes widerspiegeln. Der Bericht ist derzeit in Deutsch, Englisch und Französisch auf der Webseite des EuGH verfügbar, weitere Sprachen sollen folgen.
Übrigens, die Fälle aus dem Datenschutzrecht (auf den Seiten 69 und 70 der deutschen Fassung des Jahresberichts) hatten wir alle in unserer Blog-Reihe.

zurück zum Inhaltsverzeichnis

2.2 EuGH: Erklärvideo zum Recht auf Vergessenwerden

In diesem kurzen Video des EuGH (Dauer 2:42 Min.) erklärt dieser, wie unsere veralteten oder sensiblen Daten mit der Zeit nachteilig für uns sein können. Es wird erläutert, wie der Gerichtshof der EU das Recht auf Vergessenwerden anerkannt hat, um die Privatsphäre zu schützen, gleichzeitig aber das Recht auf Information garantiert.

zurück zum Inhaltsverzeichnis

2.3 EuGH: Kirchenaustritt und Kündigungsgrund (C-258/24)

Ist es europarechtlich zulässig, das mit einem Kirchenaustritt auch ein Arbeitsverhältnis durch den Arbeitgeber beendet werden kann? Vor diesem Hintergrund wendete sich das Bundesarbeitsgericht an den EuGH. Ein spezialisierter Verein innerhalb der deutschen katholischen Kirche widmet sich der Hilfe für Kinder, Jugendliche, Frauen und ihren Familien in besonderen Lebenslagen. Zu seinen Aufgaben gehört u. a. die Beratung von schwangeren Frauen. Im Rahmen der nach den staatlichen Vorschriften durchgeführten Schwangerschaftsberatungen wendet der Verein die Richtlinien der katholischen Kirche an, zu deren Einhaltung sich alle in den katholischen Beratungszentren tätigen Mitarbeiter schriftlich verpflichten und deren Nichtbeachtung arbeitsrechtliche Folgen nach sich zieht. Diese Richtlinien sehen im Wesentlichen vor, dass jede Schwangerschaftsberatung den Schutz des Lebens des ungeborenen Kindes zum Ziel hat und sich somit von dem Bemühen zu leiten lassen hat die schwangere Frau zur Fortsetzung der Schwangerschaft und zur Annahme ihres Kindes zu ermutigen. Eine Beschäftigte war in der Schwangerschaftsberatung eingesetzt. Dann erklärte sie gemäß dem in den nationalen Vorschriften vorgesehenen Verfahren vor der zuständigen kommunalen Behörde den Austritt aus der katholischen Kirche. Zur Begründung führte sie aus, dass die Diözese zusätzlich zur staatlichen Kirchensteuer ein Kirchgeld von katholischen Personen erhebe, die wie sie im Rahmen einer glaubensverschiedenen Ehe mit einem gut verdienenden Ehepartner verheiratet seien.
Nachdem der Verein vergeblich versucht hatte, die Beschäftigte zum Wiedereintritt in die katholische Kirche zu bewegen, kündigte er ihr wegen ihres Austritts aus der katholischen Kirche gemäß Art. 5 Abs. 2 Nr. 2 Buchst. a und Art. 3 Abs. 4 GrO (technisch schwer lesbare Fundstelle, aber zum Zeitpunkt der Entscheidung geltende Regelung). Aus dem Vorlagebeschluss geht hervor, dass der Verein zum Zeitpunkt dieser Kündigung in der Schwangerschaftsberatung, in der sie tätig war, vier der katholischen Kirche angehörende und zwei nicht dieser Kirche angehörende Arbeitnehmerinnen beschäftigte.
In seinem Urteil dazu im Verfahren C-258/24 (Katholische Schwangerschaftsberatung) stellt der EuGH fest, dass mit europäischem Recht nicht vereinbar ist, dass eine private Organisation, deren Ethos auf religiösen Grundsätzen beruht, von einem Beschäftigten, der Mitglied einer bestimmten Kirche ist, die diese religiösen Grundsätze praktiziert, bei sonst drohender Kündigung verlangen kann, dass er während des Arbeitsverhältnisses nicht aus dieser Kirche austritt oder, um das Arbeitsverhältnis fortzusetzen, nach einem Austritt wieder in diese Kirche eintritt, während

• diese Organisation andere Personen beschäftigt, die die gleichen Aufgaben wie der betreffende Beschäftigte wahrnehmen, ohne von ihnen zu verlangen, dass sie Mitglieder dieser Kirche sind, und
• dieser Beschäftigte sich nicht öffentlich wahrnehmbar sie betreffend kirchenfeindlich betätigt.

In diesem kurzen Video erläutert ein EuGH-Richter die wesentlichen Punkte des Urteils, die Pressemeldung des EuGH finden Sie hier und einen Bericht dazu auch dort.

zurück zum Inhaltsverzeichnis

2.4 EuGH: Ausschluss von Anbietern von Hard- und Software für Telekommunikations-Infrastrukturen (C-354/24)

In dem Verfahren C-354/24 (Elisa Festi) empfiehlt die Generalanwältin dem EuGH in ihren Schlussanträgen, dass Mitgliedstaaten Hard- und Software von 2G-, 4G- und 5G-Telekommunikationsinfrastrukturen mit der Begründung ausschließen dürfen, dass der Hersteller ein Risiko für die nationale Sicherheit darstelle. Maßnahmen zum Schutz der nationalen Sicherheit eines Mitgliedstaats müssten jedoch nach dem Unionsrecht verhältnismäßig sein.
Im Jahr 2022 beantragte die Elisa Eesti AS, ein estnischer Telekommunikationsanbieter, bei den estnischen Behörden die Genehmigung Hard- und Software des chinesischen Telekommunikationsausrüstungsherstellers Huawei in ihren 2G-, 4G- und 5G-Telekommunikationsnetzen zu verwenden. Die zuständigen estnischen Behörden waren der Ansicht, dass die Hard- und Software aufgrund des „hohen Risikos“, das mit Huawei verbunden sei, ein Risiko für die nationale Sicherheit Estlands darstelle. Diese Entscheidung wurde beim Verwaltungsgericht Tallinn angefochten, das um eine Vorabentscheidung ersucht hat.
Die Schlussanträge sind für den Gerichtshof nicht bindend. Der EuGH kann auch davon abweichen.
Die Pressemeldung des EuGH dazu findet sich hier.

zurück zum Inhaltsverzeichnis

2.5 LG Berlin II: Untersagung der Kontaktweitergabe von WhatsApp an Facebook

Das Berliner LG stellte im Klageverfahren des verbraucherzentrale bundesverband (vzbv) fest, dass der Messenger-Dienst WhatsApp personenbezogene Daten von Nutzer:innen in Deutschland – und auch Daten von Menschen ohne WhatsApp – nicht an Facebook weitergeben durfte. Die eingeholte Einwilligung sei unwirksam.
Der klagende vzbv hatte in dem Verfahren, das sich gegen eine Änderung der Nutzungsbedingungen und der Datenschutzrichtlinie von 2016 richtete, auch eine Löschung bereits übermittelter Daten gefordert. Hier ging das Gericht allerdings nicht mit. Vielmehr verwies das LG Berlin II darauf, dass die Beklagte erklärt habe, „nie Daten an Facebook als Verantwortlichen weitergegeben zu haben“.
Das Verfahren hatte sich fast zehn Jahre lang hingezogen, weil erst geklärt werden musste, wer bei Verstößen gegen die Datenschutz-Grundverordnung überhaupt zur Klage berechtigt ist. Das Urteil ist noch nicht rechtskräftig. Bericht dazu auch hier.

zurück zum Inhaltsverzeichnis

2.6 VG Berlin: Verhältnismäßigkeit auch bei Verbot von entwicklungsbeeinträchtigenden Darstellungen

Hält die Medienanstalt Berlin-Brandenburg (mabb) ein Instagram-Angebot für in Teilen entwicklungsbeeinträchtigend auf Kinder und Jugendliche, darf es dies nicht in seiner Gesamtheit verbieten, sondern muss ihre Maßnahmen auf die Teile des Angebots beschränken, von denen die entwicklungsbeeinträchtigende Wirkung ausgeht. Damit hatte sich das VG Berlin zu befassen.
Die Klägerin war eine Erotikdarstellerin, die Beiträge auf Instagram veröffentlicht. Sie hat über 100.000 Follower. Im November 2022 beanstandete die mabb das gesamte Instagram-Angebot der Klägerin und untersagte dessen weitere Verbreitung. Die Klägerin stelle sich betont sexualisiert dar. Ihre Inhalte vermittelten ein einseitiges Bild von Sexualität und darauf fokussierten Geschlechterrollen, was Kinder und Jugendliche zwischen 13 und 15 Jahren, für die Instagram offiziell zugänglich sei, verstören und verunsichern könne. Auch wenn dies nicht auf alle Beiträge der Klägerin zutreffe, sei ihr gesamtes Angebot zu verbieten. Hiergegen wendet sich die Klägerin mit ihrer Klage. Erfolgreich. Das VG Berlin stellte fest, dass die Entscheidung der mabb unverhältnismäßig sei. Die mabb dürfe nur diejenigen Inhalte beanstanden, die tatsächlich entwicklungsbeeinträchtigende Wirkung hätten. Sie müsse diese Beiträge konkret bezeichnen. Dies sei der mabb auch zuzumuten. Bei etwas mehr als 1.000 Bildern nebst Textbeiträgen, die die Klägerin auf Instagram veröffentlicht habe, sei dies leistbar. Zudem werde der Klägerin dadurch – auch für die Zukunft – vor Augen geführt, welche Inhalte zulässig seien und welche nicht.
Pressemeldung der Entscheidung des VG Berlin vom 23.2.2026, Az. 32 K 20/23 hier.

zurück zum Inhaltsverzeichnis

2.7 LG Bamberg: Werbekennzeichnung bei YouTube-Videos

Ein Finfluencer bewarb in einem zehnminütigen Video eine Broker-App. Der Hinweis „Enthält bezahlte Werbung“ tauchte aber nur in den ersten 10 Sekunden auf. Danach und beim Zurückspulen war es nicht mehr zu sehen. Das reichte dem LG Bamberg nicht, ein Werbehinweis hätte permanent vorhanden sein müssen, es gab der Klage der Verbraucherzentrale Baden-Württemberg e.V. gegen Google Ireland Limited statt. Das Urteil ist noch nicht rechtskräftig. Sollte es rechtskräftig werden, müsste Google dafür sorgen, dass Zuschauer bei Werbevideos jederzeit erkennen können, wenn ein Video gesponsert ist. Die Klage hätte natürlich auch gegen die einzelnen Influencer erhoben werden können. Bericht dazu auch hier.

zurück zum Inhaltsverzeichnis

2.8 LG Ellwangen: Ausschlussgründe bei immateriellem Schadenersatz nach Art. 82 DS-GVO

Im Klageverfahren um den Einsatz von Meta Business Tool und darauf begründeten Schadenersatz- und Löschanforderungen hat sich das LG Ellwangen zu einigen Aspekten befasst, die diese Forderungen ausschließen.
In RN. 59 stellt es fest, dass ein allein auf die Löschung mittels Meta Business Tools erlangter Daten gerichteter Klageantrag nicht hinreichend bestimmt sei (§ 253 Abs. 2 Nr. 2 ZPO), da sodann im Vollstreckungsverfahren aufwendig hinsichtlich sämtlicher Daten zu prüfen wäre, welchen Ursprung diese haben. Ein solcher Antrag sei unzulässig.
Wer innerhalb des Tools einer Datennutzung von Cookies in anderen Apps und auf anderen Websites zustimmt, setzt sich in Widerspruch zu seinem eigenen Verhalten, wenn er im Klagewege von der Beklagten Unterlassung dieser Datenverarbeitung fordert. Selbst wenn der konkrete Nutzer nicht über die erforderliche Kenntnis verfügt, muss er sich die Kenntnis seiner Prozessbevollmächtigten insofern zurechnen lassen (das LG Ellwangen formuliert dies feiner in den RN. 107 und 109).
Das berücksichtigt das LG Ellwangen dann auch bei der Ablehnung eines immateriellen Schadenersatzanspruchs in den RN. 131 und 139: Ein Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO wegen Verletzung der Vorgaben der DS-GVO setze über die bloße Behauptung eines Kontrollverlustes und Unmutsgefühls voraus, dass der individuelle Kläger einen solchen Schaden tatsächlich erlitten hat. Empfindet ein Kläger einen Kontrollverlust nicht als solchen, wofür etwa das Fehlen einer entsprechenden Anpassung des eigenen Verhaltens sprechen kann, liege kein ersatzfähiger Schaden vor (RN. 131, RN. 139).
Das Gericht lehnt (in den RN. 145 und RN. 152) auch einen zivilrechtliche Anspruch auf Geldentschädigung wegen eines Verstoßes gegen Vorgaben der DS-GVO nach § 823 Abs. 1 BGB i.V.m. den Artt. 1 Abs. 1, 2 Abs. 1 GG ab. Ein solcher sei insbesondere nicht zur effektiven Vermeidung künftiger Verstöße erforderlich, da die zuständigen Aufsichtsbehörden über entsprechende Befugnisse verfügen (Art. 83 DS-GVO). Der Einzelne könne solche Maßnahmen durch die Aufsichtsbehörde auch individuell veranlassen (Artt. 77 Abs. 1, 78 Abs. 1 DS-GVO). Einer präventiv ausgerichteten Schadensersatzzahlung an den Betroffenen bedürfe es daher nicht.
Immerhin konkretisiert es im Sinne des Kläger in RN. 94 und RN. 98 den Umfang des Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO, der nicht dadurch erfüllt werde, dass zu diesem über ein Self-Service-Tool lediglich ein Auszug ausgewählter Informationen zur Verfügung gestellt werde. Auch bei einer großen Datenmenge ist umfassende Auskunft zu erteilen, so diese gewünscht ist.
Das Urteil ist nicht rechtskräftig, der Verfahren ist in der nächsten Instanz beim OLG Stutgart.

zurück zum Inhaltsverzeichnis

2.9 FG Leipzig: Schadenersatz bei Fehlversand von Steuerunterlagen

Das FG Leipzig musste in einem Fall über immateriellen Schadenersatz entscheiden, bei dem im Rahmen des Vorgangs des Einscannens („SESAM“) einem Steuerpflichtigen („Zeuge K“) hinterher die Unterlagen eines anderen Steuerpflichtigen zugesandt wurden. Der Fehlempfänger verhielt sich redlich und brachte diese selbst zum Finanzamt zurück, nachdem er bemerkte, dass es sich nicht um seine Unterlagen handelte. Durch das Finanzamt erfolgte eine entsprechende Meldung an die zuständige Datenschutzaufsicht (Art. 33 DS-GVO) und auch eine Benachrichtigung an den betroffenen Steuerpflichtigen (Art. 34 DS-GVO). Dieser war „not amused“ und forderte nun am FG Leipzig immateriellen Schadenersatz, nachdem das Amtsgericht Dresden die Zuständigkeit des Finanzgerichts in diesem Fall geklärt hatte.
Das FG Leipzig stellte zunächst in Ziffer 2.2.1 seines Urteils fest, dass der immaterielle Schaden des Klägers in einem Kontrollverlust über seine in der Einkommensteuererklärung 2022 enthaltenen persönlichen Daten liegt, der darauf beruht, dass die Erklärung samt Anlagen offen in den Gewahrsam des Zeugen K. und dessen Ehefrau sowie – nach dem Ergebnis der Beweisaufnahme – zumindest des zuletzt zustellenden Paketboten gelangt ist. (…)
Zum Streitfall habe die Beweisaufnahme ergeben, dass zwar weder der Zeuge K. noch dessen Ehefrau oder Tochter die Steuererklärung des Klägers samt Anlagen zur Kenntnis genommen hat. Die Beweisaufnahme habe allerdings auch zu Tage gebracht, dass entgegen dem bisherigen Gesamtbild der Verhältnisse nicht nur eine, sondern zwei Postkisten fälschlicherweise an den Zeugen K. gesandt wurden, und insbesondere ergeben, dass diese Kisten bei ihm geöffnet mit lose aufliegendem Lieferschein angekommen sind. Unklar bleibt, ob die Kisten beim Beklagten nicht oder nur unzureichend verschlossen wurden, ob sie auf dem Versandweg versehentlich oder bewusst geöffnet wurden und im letzten Fall, ob eine Öffnung durch den Paketdienstleister aufgrund der ungewöhnlichen Adressierung zur Verifizierung des Empfängers anhand der Lieferscheine oder in Missbrauchsabsicht erfolgt ist. Jedenfalls steht im Ergebnis der Beweisaufnahme fest, dass neben dem Zeugen K. und dessen Familienmitgliedern (…) Paketboten Gewahrsam an den geöffneten Kisten hatte und sich somit jederzeit von dem Inhalt der Steuererklärung des Klägers Kenntnis verschaffen konnten. Wahrscheinlich gilt das auch für weitere am Versand beteiligte Mitarbeiter des Paketdienstleisters. Im Streitfall kann deshalb nicht davon ausgegangen werden, dass kein Dritter die personenbezogenen Daten in der Steuererklärung des Klägers zur Kenntnis genommen hat, so dass kein rein hypothetisches Risiko, sondern die konkrete Gefahr einer missbräuchlichen Verwendung der Daten durch eine unbefugte Person besteht.
Das FG Leipzig sprach dem Kläger 1.000 Euro immateriellen Schadenersatz zu und außerdem den Ersatz der Rechtsanwaltskosten in Höhe von 250,50 Euro als materiellen Schaden.
Bericht dazu auch hier.
Bemerkenswert für mich ist dabei, dass das redliche Verhalten des Fehlempfängers zu keiner Minderung führt, das Risiko und der Schaden (Kontrollverlust) laut FG Leipzig bereits mit der Fehlzustellung entstand. Bei der Höhe des immateriellen Schadens wurde auch eine größere Unsicherheit hinsichtlich der Zugänglichkeit der Daten für unbefugte Dritte mitberücksichtigt. Das FG Leipzig klassifizierte den Paketdienstleister zudem auch als Auftragsverarbeiter ohne dies tiefer zu begründen (Ziffer 2.3).
Zur Erinnerung: Das AG Wesel sprach in einem vergleichbaren Fall bei einem Fehlversand von Steuerunterlagen, der durch einen Steuerberater verursacht wurde, 500 Euro immateriellen Schadenersatz zu, nachdem damals auch den EuGH einbezogen wurde (C-590/22, wir berichteten).

zurück zum Inhaltsverzeichnis

2.10 EuGH-Vorschau: Vorlagefrage zu Pastiche im Verfahren Kraftwerk vs. Pelham (C-590/23)

Für den 14. April 2026 ist die Entscheidung des EuGH angekündigt in einem Rechtsstreit, der schon viele Instanzen gesehen hat und dadurch allein Rechtsgeschichte schrieb. Inhaltlich geht es um die Nutzung eines 2-sekündigen Samples aus dem Kraftwerk-Stück „Metall auf Metall“ für ein anderes Lied. Fachlich nennt man Pastiche ein intertextuelles Werk, insofern es ein Original imitiert. Der EuGH entscheidet nun die Vorlage zu urheberrechtlichen Fragestellungen.

zurück zum Inhaltsverzeichnis

2.11 EuGH-Vorschau: Schlussanträge zur Auskunftseinschränkung beim BayLDA (C-205/25)

Für den 16. April 2026 sind auch die Schlussanträge des Generalanwalts beim EuGH im Verfahren C-205/25 angekündigt. Dabei geht es um die Frage der Europarechtskonformität des Art. 20 Abs. 2 BayDSG („Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden bestehen nicht“). Der Kläger beschwert sich u.a. über Unternehmen und möchte wissen, was das BayLDA in seiner Sache unternommen hat und über Art. 15 DS-GVO z.B. auch Zugriff auf Korrespondenz des BayLDA erhalten.

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 KRITIS-Dachgesetz veröffentlicht

Das KRITIS-Dachgesetz wurde am 17. März 2026 im Bundesgesetzblatt veröffentlicht. Was dieses enthält wird hier ausgeführt.

zurück zum Inhaltsverzeichnis

3.2 Stellungnahmen zum Digitalen Omnibus

Immer mehr Stellungnahmen zum Digitalen Omnibus werden erstellt und veröffentlicht, hier ein Auszug:

zurück zum Inhaltsverzeichnis

3.2.1 Stellungnahmen zum Digitalen Omnibus – Bundesrat

Der Beginn der Stellungnahme (Beschluss 34/26) des Bundesrates liest sich erstmal sehr positiv: „Der Bundesrat begrüßt, er befürwortet, er weist darauf hin, er unterstreicht, er stellt fest, er unterstützt …“
Dann wird er konkreter: Er erinnert, dass digitale Souveränität auch durch den Einsatz offener Standards, quelloffener Software sowie nachhaltiger IT erreicht werde. Hier einige Hervorhebungen seiner Stellungnahme:
Bei den vorgeschlagenen Änderungen zur Definition personenbezogener Daten befürchtet er, dass damit kein Entlastungseffekt erreicht würde, da Rechtsunsicherheiten verstärkt würden. Er sieht sich veranlasst, die Bundesregierung zur Beachtung der Vorgaben zur Zweckbindung aus der EU-Charta der Grundrechte zu erinnern. Auch weist er auf die Risiken einer nicht autorisierten Offenlegung besonderer Kategorien personenbezogener Daten bei der Verwendung dieser für die Entwicklung von KI-Systemen hin.
Bei den Betroffenenrechten wünscht sich der Bundesrat eine deutlichere Gestaltung der Ausnahmen bzw. Beschränkung von Art. 15 DS-GVO und bei den Informationen nach Art. 13 DS-GVO weniger Rückausnahmen. Hier ein Bericht zur Stellungnahme.

zurück zum Inhaltsverzeichnis

3.2.2 Stellungnahmen zum Digitalen Omnibus – DAV

Der Deutsche Anwaltverein (DAV) hat seine Stellungnahme zum Digitalen Omnibus veröffentlicht und fokussiert sich dabei auf die Aspekte zur Künstlichen Intelligenz. Die Stellungnahme wurde auch auf Englisch bereitgestellt. Die Bestimmungen über künstliche Intelligenz im Digitalomnibuspaket (Kommissionsvorschläge COM(2025) 837 final und COM(2025) 836 final), speziell die Änderungen des Art. 9 DS-GVO und einen neuen Art. 88c DS-GVO, um die spezifischen datenschutzrechtlichen Fragen zu adressieren, die sich bei der Verwendung personenbezogener Daten zum Training und Betrieb von KI-Anwendungen stellen, werden im Grundsatz begrüßt. Im Detail sieht der DAV jedoch noch Anpassungsbedarf.

zurück zum Inhaltsverzeichnis

3.2.3 Stellungnahmen zum Digitalen Omnibus – European Law Institute

Auch das European Law Institute (ELI) formulierte eine Stellungnahme zum Digitalen Omnibus. ELI begrüßt die Vereinfachungsagenda der Kommission und teilt gezielte Vorschläge zur Verbesserung der rechtlichen Klarheit, zum Schutz von Rechten und zur Förderung der Wettbewerbsfähigkeit in Europa. Das ELI fordert die EU-Institutionen außerdem auf sich die nötige Zeit zu nehmen, um es richtig zu machen, und für jedes Gesetz eine robuste „Europäische Souveränitätskontrolle“ anzuwenden.

zurück zum Inhaltsverzeichnis

3.3 AI Act – rasanter Omnibus

Mittlerweile haben sowohl der EU-Rat wie auch das EU-Parlament ihre Fassungen für die Trilog-Verhandlungen beschlossen. Die EU-Rats-Position und die des EU-Parlaments sehen u.a. neue Anwendungsfristen für Hochrisiko-KI vor: Für „stand alone“ Hochrisiko-KI-Systeme soll die Verordnung ab dem 2. Dezember 2027 gelten, für Hochrisiko-KI-Systeme, die in Produkte integriert sind, ab dem 2. August 2028. Die Übergangsfrist für die Kennzeichnungspflicht (Wasserzeichen) KI erzeugter Inhalte, die vor dem 2. August 2026 auf dem Markt platziert wurden, soll nach Ansicht des EU-Rates und des EU-Parlaments bis 2. November 2026 verlängert werden. Der EU-Kommissionsvorschlag sah eine Frist bis zum 2. Februar 2027 vor. Beide sprechen sich für die Wiedereinführung der Registrierungspflicht für Anbieter von Hochrisiko-KI in einer EU-Datenbank aus. Die Registrierung soll jedoch vereinfacht werden und angemessener gestaltet werden.
Die im EU-Kommissionsvorschlag vorgesehene Möglichkeit, besonders sensible personenbezogene Daten zur Bias-Erkennung und -Korrektur nutzen zu dürfen, ist teilweise stark kritisiert worden. Sowohl das Mandat des EU-Rates als auch das Mandat des EU-Parlaments sehen den Zusatz des Kriteriums der strikten Erforderlichkeit der Nutzung besonderer Kategorien personenbezogener Daten vor.
Zudem sollen besondere Kategorien personenbezogener Daten nur verwendet werden, wenn der zugrunde liegende Bias Gesundheit, Sicherheit, Grundrechten oder dem Diskriminierungsverbot schaden würde. Eine Verpflichtung zur Bias-Kontrolle soll nicht bestehen.
Mal sehen, was im Trilog dann herauskommt. Es sind keine Punkte erkennbar, die den geplanten Zeitplan, die Änderungen noch vor der Sommerpause, d.h insb. vor dem 2. August 2026, abschließen zu können, in Frage stellen würden.

zurück zum Inhaltsverzeichnis

3.4 Biometrische Daten für Fluglinien?

Wie hier berichtet wird, plant die Bundesregierung, dass biometrischen daten an Fluglinien zu geben, damit die Fluggastabfertigung am Flughafen digital abgewickelt werden könnte. Konkret gehe es in dem Gesetz um das biometrische Foto, das auf dem Chip des Ausweisdokumentes gespeichert ist. Dieses soll den Fluglinien beispielsweise beim Einchecken zur Verfügung gestellt werden, damit diese die Fluggäste bei der Abfertigung biometrisch identifizieren können. Passagiere würden beim Check-In fotografiert, biometrisch erfasst und dann über den Pass oder Personalausweis von den Luftfahrtunternehmen identifiziert werden.

zurück zum Inhaltsverzeichnis

3.5 Erweiterte Befugnisse für Geheimdienste?

Mit den Ergebnissen der bundesdeutschen Geheimdienste sind die wenigsten zufrieden, mal wissen sie zu wenig, mal zu spät oder sie machen zu viel oder lassen sich nicht kontrollieren. So verwundert es kaum, wenn über Gesetzesänderungen nachgedacht wird. Und wie hier berichtet wird, soll das auch eine gehörige Ausweitung der sog. strategischen Fernmeldeaufklärung umfassen. Die an überwachten Datenknotenpunkten durchströmende Internetkommunikation sollen gespeichert werden können und statt alleine Metadaten soll in der Breite auch Inhaltsdaten auf Stichwörter durchsucht werden können. Insgesamt soll das BND-Gesetz aufgeräumt werden und von den zahlreichen Verweisen auf das Verfassungsschutzgesetz befreit werden.

zurück zum Inhaltsverzeichnis

3.6 Berichte zu „Bürger-App“

Wie gewöhnlich gut unterrichtete Kreise berichten, werden zwei deutsche Großunternehmen beauftragt eine Bürger-App zu erstellen. Damit sollen Anträge gestellt, Termine gebucht, Idenditäten nachgewiesen und Leistungen abgerufen werden können.

zurück zum Inhaltsverzeichnis

3.7 Chatkontrolle endet – vorerst – oder auch nicht

Dadurch, dass sie die gesetzgebenden Organe auf Europaebene nicht über eine Fortsetzung einer Grundlage verständigen konnten, über die Anbieter die Inhalte auf Basis einer Rechtsgrundlage nach Hinweisen auf Material zu Missbrauch von Kindern durchsuchen dürfen, fällt diese Maßnahme nun weg, auch, wenn wie hier berichtet wird, noch nach einer Lösung gesucht würde.
Aber wir kennen doch die relevanten Player. Und die Frage nach einer rechtlichen Grundlage war scheinbar noch nie das große Hindernis, wenn es um die Nutzung von Daten durch Meta oder Google ging. Also wird, wie hier nachzulesen ist, wohl erstmal weitergescannt, d.h. Inhalte von Kommunikationsdaten nach verdächtigem Material durchsucht.

zurück zum Inhaltsverzeichnis

3.8 Fahndungsfotos offiziell und privat

Während staatliche Strafverfolgungsbehörden zur Fahndung nach Verdächtigen über die Bildersuche im Netz eine Rechtsgrundlage benötigen und dann wie hier durch die Kantonspolizei Bern „nur“ einen Aufruf starten können, nutzen Privatpersonen die Bildersuche über öffentlich zugängliche Bilddateien. Dabei wird nicht berücksichtigt, dass diese Dateien ohne Rechtsgrundlage entstanden sind.
Die Stiftung Datenschutz hat sich mit möglichen Rechtsgrundlage der digitalen Fotofahndung befasst, nachdem das BMJV dazu eine Rechtsgrundlage für neue digitale Ermittlungsmaßnahmen vorgeschlagen hat. Weitere Informationen dazu hier.

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 KI-Nutzung, bis der Arzt kommt

Eigentlich sollte es ja nur helfen, schnell eine Terminvereinbarung bei einem Arzt hinzubekommen, so dass die Patient:innen sich über freie Plätze schnell einen passenden Arzt suchen können, ähnlich wie bei einer Tischreservierung in einem Restaurant. Das entlastet das Personal in den Praxen und bringt den Patienten schnell eine Übersicht über zeitliche Möglichkeiten. Doch was, wenn das Tool selbst mit den dabei gespeicherten Informationen weitere Möglichkeiten nutzen möchte? Das Tool Doctolib war bereits Gegenstand einer Betrachtung durch das Netzwerk Datenschutzexpertise im Jahr 2023*. Nun hat sich auch die Verbraucherzentrale Bayern die Änderungen der AGB von Doctolib zum 22.2.2025 angesehen und weist darauf hin, dass Doctolib eine Vielzahl von Daten nutzen möchte, um eigene KI-Systeme zu trainieren. Durch KI-Systeme sollen bestimmte Aufgaben automatisiert übernommen und ausgeführt werden. Dazu muss das System zunächst mit vielen Daten gefüttert werden, damit es lernt, die ihm gestellte Aufgabe möglichst gut zu lösen und diese Lösung auch immer weiter zu verbessern. Doctolib gibt in seinen Datenschutzbestimmungen an, dass eine Nutzung der Gesundheitsdaten für das KI-Training nur mit ausdrücklicher Einwilligung der Nutzerinnen und Nutzer erfolgt. Die Verbraucherzentral Bayern empfiehlt, dass die Einwilligung verweigert werden sollte, wenn nicht gewünscht wird, dass die Daten hierfür verwendet werden.
In den Datenschutzeinstellungen des eigenen Doctolib-Kontos unter „Meine Präferenzen“ kann geprüft werden, welche Einstellung aktuell getroffen wurde und dort könne dies auch den eigenen Wünschen angepasst werden.
Mit der Thematik befasste sich nun auch eine Late-Night-Show des ZDF (Mediathek, Dauer ca. 30 Min.).
Im Übrigen weist mittlerweile auch das Deutsche Ärzteblatt auf möglichen Risiken und Nebenwirkungen beim Einsatz von KI – insbesondere bei der Haftungsfragen – hin.

* Franks Anmerkung: Den BigBrotherAward für Doctolib aus dem Jahr 2021 (wir berichteten) wollen wir auch nicht vergessen…

zurück zum Inhaltsverzeichnis

4.2 KI-VO und GPAI – Die erste Studie zur Wirksamkeit des Art. 53 Abs. 1 KI-VO

Dieser Artikel befasst sich mit der Umsetzung der Verpflichtung aus Art. 53 KI-VO, der Verpflichtung für Anbieter von GPAI-Modellen (Modellen mit allgemeinem Verwendungszweck). Art. 53 KI-VO besteht aus sieben Absätzen, von denen der erste (Abs. 1) die vier Hauptverpflichtungen enthält, die durch die Bestimmung auferlegt sind. Diese Verpflichtungen gelten nicht wahllos: Open-Source-GPAI-Anbieter sind bis zu einem gewissen Grad von der Einhaltung der lit. a) und b) ausgenommen, es sei denn, ihre Modelle stellen ein gewisses Maß an systemischem Risiko dar (Abs. 2). Allerdings sind alle GPAI-Anbieter verpflichtet, die lit. c) und d) einzuhalten.
Der Beitrag „Quality Assessment of Public Summary of Training Content for GPAI models required by AI Act Article 53(1)(d)“ bewertet die Wirksamkeit der Norm in Art. 53 Abs. 1 lit. d KI-VO sechs Monate (Jan. 2026) nach ihrer offiziellen Durchsetzung. Die Forscher analysieren, wie die wenigen öffentlich verfügbaren verpflichtenden Zusammenfassungen der Daten, die zur Ausbildung der GPAI-Modelle verwendet wurden, dazu beigetragen haben den in der Norm festgelegten Zweck zu erreichen, auf die sie sich beziehen. Kurz gesagt bewertet das Papier, ob die von GPAI-Modellanbietern bereitgestellten Schulungsinformationen ausreichend detailliert und genau sind, um in Untersuchungen von Fundamentalrechtsverletzungen (Datenschutz, geistiges Eigentum, usw.) eingesetzt zu werden.

zurück zum Inhaltsverzeichnis

4.3 KI außer Kontrolle? Zweiteilige Dokumentation des ORF

In dieser zweiteiligen Dokumentation werden im ersten Teil (Dauer ca. 20 Min.) die Fragen der Abhängigkeit und Steuerungsmöglichkeiten des Einsatzes moderner KI-Systeme thematisiert. Zu Wort kommen Menschen, die sich in eine KI verliebt haben, und Techniker, die KI-Klons ganzer Chefetagen erstellen. Im zweiten Teil (Dauer ca. 25 Min.) geht es dann um Versuche, KI-Systemen einen eigenen Willen anzutrainieren. Ein Experiment zeigt auch: Künstliche Intelligenz unternimmt alles, um nicht abgedreht zu werden. Auch militärisch seien KI-Anwendungen längst im Einsatz – mit ungewissem Ausgang im Ernstfall.

zurück zum Inhaltsverzeichnis

4.4 EU: Aktualisierung der KI-FAQ

Die Europäische Kommission hat ihre KI-FAQ aktualisiert. Dazu gehört nun auch der ‚KI-Agent‘. Der Begriff „Agentische KI“ wird manchmal verwendet, um ausgefeiltere Konfigurationen zu beschreiben, die mehrere KI-Agenten integrieren. Dennoch entwickelt sich die genaue Wechselbeziehung zwischen diesen beiden Begriffen weiter. Typischerweise enthält ein KI-Agent mindestens ein allgemeines KI-Modell (GPAI) und stellt ein KI-System dar, da er in der Regel eine Art Schnittstelle besitzt, die als Systemkomponente betrachtet wird (ErwGr. 97 KI-VO). Eine genauere Aussage als ‚typisch‘ ist schwer zu treffen, da der Begriff KI-Agent nicht rechtlich definiert ist und umgangssprachlich für verschiedene Arten von Artefakten verwendet wird. Daher sind KI-Agenten zwar keine eigenständige KI-Kategorie nach dem KI-Gesetz, doch die Definitionen eines KI-Systems in Art. 3 Abs. 1 KI-VO und eines GPAI-Modells in Art. 3 Abs. 63 KI-VO reichen aus, um KI-Agenten abzudecken. Das bedeutet, dass die für KI-Systeme und GPAI-Modelle nach dem KI-Gesetz geltenden Regeln auch für KI-Agenten gelten.

zurück zum Inhaltsverzeichnis

4.5 Rechtsgrundlagen für KI-Training – nach Guidelines

Manchmal passt der Titel einer Veröffentlichung (die hier veröffentlicht wurde) nicht in eine Überschrift, insb. wenn der Titel „How the Legal Basis for AI Training is Framed in Data Protection Guidelines and Interventions: Comparative Perspectives and the Prospect of Global Convergence” lautet.
Wer es übersichtlicher haben möchte, kann sich gleich an der ONKIDA-Übersicht des LfDI Baden-Württemberg (Stand 2.1 Nov. 2025) halten, die regelmäßig aktualisiert wird.

zurück zum Inhaltsverzeichnis

q.

4.6 KI und Nachvollziehbarkeit

Da scheine ich eine interessante Fachtagung („Automatisierung der Arbeit“) verpasst zu haben. Aber dieser Nachbericht befasst sich mit der dort erörterten Fragestellung „Wer erklärt mir, warum die KI so entschieden hat?“. Dieser Vortrag berücksichtigte dabei die Ergebnisse einer Untersuchung „Aufklärung 4.0 – Entscheidungen der KI als Mensch verstehen“, die im Auftrag des österreichischen Bundesministerium für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz (BMASGPK) entstand.

Und weil´s gut dazu passt: Auf den Seiten des BMASGPK fand ich auch den Link zu einem „Wissenschaftlichen Rechtsgutachten zur Erläuterungspflicht nach Art. 86 KI-VO“.

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 Sprach-Tools der EU

Die EU-Kommission bietet einige Tools zur kostenlosen Nutzung an, die z.B. zur Übersetzung, Berichterstellung, Zusammenfassung, Beantwortung, Content-Optimierung und sogar zur Anonymisierung von Texten genutzt werden können. Sie lassen sich hier finden.
Voraussetzung für die Nutzung ist eine Einrichtung eines EU-Login-Kontos, falls Sie noch keines haben, und anschließend die Registrierung für die Nutzung der Tools. Auf den Hilfeseiten finden sich Video-Anleitungen, Schritt-für-Schritt-Anleitungen und toolspezifischer Support. Es lässt sich auch das gesamte Angebot an Tools auf dem Sprachtools-Portal erkunden, der zentralen Anlaufstelle der Europäischen Kommission für KI-basierte mehrsprachige Dienste.

zurück zum Inhaltsverzeichnis

5.2 Tagungsband “Big Data for Better Healthcare”

Die Bayerische Akademie der Wissenschaften hat einen Tagungsband zu der Veranstaltung „Big Data for Better Healthcare – European Perspectives International Strategies for Data-driven, Patient-centered Healthcare” veröffentlicht.
Die Digitalisierung des Gesundheitswesens und der Einsatz von KI-gestützten Verfahren bieten enorme Chancen für eine qualitativ bessere, effizientere und stärker patientenzentrierte Gesundheitsversorgung. Große, qualitativ hochwertige Gesundheitsdatensätze bilden die Grundlage für Fortschritte in Prävention, Diagnostik und Therapie sowie für Innovationen in der medizinischen Forschung und der Versorgungssteuerung. Gleichzeitig zeigen sich europaweit strukturelle Defizite bei der Nutzung dieser Daten: Fragmentierte IT-Landschaften, fehlende Interoperabilität und heterogene Governance-Modelle begrenzen bislang den systematischen Einsatz von Gesundheitsdaten. Der Tagungsband fasst die zentralen Ergebnisse zusammen und formuliert Empfehlungen für die Weiterentwicklung von Gesundheitsdatenräumen.

zurück zum Inhaltsverzeichnis

5.3 Online-Kommentar zur KI-VO … durch KI

Im Rahmen eines Pilotprojektes entstand ein Kommentar zur KI-VO – erstellt durch eine KI. Er ist nach Anmeldung hier erhältlich.

zurück zum Inhaltsverzeichnis

5.4 IT-Planungsrat: Open Source in der Verwaltung

Der IT-Planungsrat hat EVB-IT-Musterverträge überarbeitet. Bei neuer Software wird Open Source zum Standard, inklusive Bereitstellung auf OpenCoDE. Acht der sogenannten Ergänzenden Vertragsbedingungen für IT-Dienstleistungen (EVB-IT) wurden nun so angepasst, dass Bund, Länder und Kommunen Open-Source-Software künftig rechtssicher beschaffen können. Bislang waren die Vertragsvorlagen ausschließlich auf proprietäre Software ausgelegt. Die neuen Vertragsvorlagen sind auf der Webseite des BMDS veröffentlicht und auch bereits in das Tool EVB-IT Digital integriert.
Über die Änderungen informiert auch die Open Source Business Alliance auf ihrer Webseite. Bericht dazu auch hier.

zurück zum Inhaltsverzeichnis

5.5 IT-Planungsrat: Aktualisierungen bei Datenschutzdokumenten

Der IT-Planungsrat hat seine Arbeitsergebnisse hinsichtlich des Datenschutzdokumenten-Generators aktualisiert. Er löst damit den bisherigen „Datenschutzhinweis-Generator“ ab.

zurück zum Inhaltsverzeichnis

5.6 reCaptcha-Umstellung bei Google

Wer es noch nicht mitbekommen hat: Google hat sein Angebot zu reCaptcha zum 2. April 2026 auf Auftragsverarbeitung umgestellt. Also geschwind prüfen, ob Anpassungen z.B. in den Informationspflichten oder in der vertraglichen Gestaltung bereits umgesetzt wurden – sofern es eingesetzt wird. Schön die Begründung dafür – es werde DS-GVO-konformer, wie hier berichtet wird.

zurück zum Inhaltsverzeichnis

5.7 Umfrage: Unternehmen und Datenschutz 2026

Die Stiftung Datenschutz veröffentlichte eine Untersuchung, die das Stimmungsbild 2026 zwischen Unternehmen und Datenschutz widerspiegeln sollte. Aus ihr geht hervor, warum DS-GVO-Standards Unternehmen resilient und erfolgreich für die Zukunft aufstellen. Bericht dazu hier.

zurück zum Inhaltsverzeichnis

5.8 Änderungen bei Sub-Dienstleister von Deepl

Das Übersetzungsangebot von Deepl aus Deutschland galt lange Zeit auch deshalb als empfehlenswert, weil die Leistungen ausschließlich über europäische Subdienstleister erbracht wurden. Deepl kündigt an das zu ändern und AWS zu nutzen und wer nicht mitginge, müsse zum 20. Mai 2026 kündigen. Dazu gibt es nun zahlreiche Berichte und Äußerungen.

zurück zum Inhaltsverzeichnis

5.9 Nachweis der Einwilligungen

Dieser Blog-Beitrag im Vorfeld einer Veranstaltung setzt sich mit den Nachweisanforderungen einer Einwilligung auseinander. Das sollte nicht unterschätzt werden, thematisiere es doch auch das BayLDA in seinem Tätigkeitsbericht 2025 unter Ziffer 7.1 (wir berichteten).

zurück zum Inhaltsverzeichnis

5.10 Podcast zu MS 365

Natürlich ist MS 365 nicht das einzige Thema, das bei einem Podcast zieht – aber das zieht immer. Einfach weil es Microsoft versteht durch seine Gestaltung das Gefühl eines rechtskonformen Einsatzes – sagen wir es vorsichtig – nicht immer gleich aufzudrängen. Zuvor geht es aber in dieser Podcast-Folge (Dauer 75 Min.) um die Anzahl der Beschwerden bei Aufsichtsbehörden und das EuGH-Urteil zu Missbrauch bei Auskünften und immateriellem Schadenersatz.

zurück zum Inhaltsverzeichnis

5.11 EU-weite Leitlinien für geschlechtsneutrale Arbeitsplatzbewertung und -klassifizierung

Wer das Online-Event der Europäische Stiftung zur Verbesserung der Lebens- und Arbeitsbedingungen zu den EU-weit gültigen Leitlinien für geschlechtsneutrale Arbeitsplatzbewertung und -klassifizierung verpasst hat, sei getröstet: Das Event gibt es nun auch auf YouTube (Dauer ca. 2 Stunden) anzusehen.
Wer das Thema „Entgelttransparenz“ noch nicht auf dem Schirm hat: Es ist noch nicht zu spät!

zurück zum Inhaltsverzeichnis

5.12 Veranstaltungen

5.12.1 D64 – KI gestalten, bevor KI uns gestaltet: Positionen für eine wertebasierte Digitalpolitik

14.04.2026, 18:00 – 19:00 Uhr, online: Im Webinar werden die zentralen KI-Entwicklungen sowie die Forderungen von D64 dazu vorgestellt und gemeinsam mit den Teilnehmenden diskutiert. Wer in Politik, Verwaltung oder Wissenschaft mit KI-Regulierung befasst ist, bekommt hier einen kompakten Einstieg und die Möglichkeit direkt mit den Autor:innen ins Gespräch zu kommen. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.21.2 DVD e.V.: Vierter DatenAbend -neu-

14.04.2026, ab 19:00 Uhr, online: Einladung zum vierten DVD-DatenAbend am Dienstag, 14.04.2026, ab 19:00 Uhr, mit Alexander Pfingstl von BFIT-bund: KI, Datenschutz und Barrierefreiheit – Herausforderungen und Lösungsansätze
KI-Einsatz erhöht die Barrierefreiheit, jedoch auf Kosten des Datenschutzes. Wir fragen: Welche Lösungen verhindern den gläsernen Nutzenden ohne Menschen von digitalen Angeboten auszuschließen?
Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.12.3 Stiftung Datenschutz: „Politische Parteien zwischen Öffentlichkeit und Vertraulichkeit“

15.04.2026, 13:00 – 14:00 Uhr, online: In der Reihe „Datenschutz am Mittag“ befasst sich die Stiftung Datenschutz mit Fragen des Datenschutzrechts: Politische Parteien zwischen Öffentlichkeit und Vertraulichkeit. In den Worten Max Webers strebt, wer Politik betreibt, nach Macht. In unserer repräsentativen Demokratie muss Öffentlichkeit erdulden, wer Macht erhält. Ganz erhebliche Macht haben in der Parteiendemokratie politische Parteien: Ihre Programme bestimmen Koalitionsverträge und damit im Ergebnis staatliches Handeln sowohl der Legislative als auch der Exekutive. Dort entsteht ein Spannungsfeld zwischen dem demokratischen Grundprinzip der Öffentlichkeit und dem datenschutzrechtlichen Grundprinzip der Vertraulichkeit. Ein Thema, dass somit alle betrifft, die sich für gesellschaftliche Themen und Politik interessieren. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.12.4 ReaLRM: Abgehängt durch Digitalisierung – als Mieter?!

15.04.2026, ab 18:30 Uhr, Frankfurt am Main: Die Bürgerinitiative Recht auf analoges Leben Rhein-Main lädt ein zu einem Gruppentreffen mit dem Schwerpunktthema „Abgehängt durch Digitalisierung – als Mieter?!“. Dazu werden u.a. die Themen:

• Digitale Erfassung von Heizungs- und Wasserverbrauch und deren Funkübertragung.
• Rauchwarnmelder, die per Funk Fehlfunktionen und echte Warnungen übertragen.
• Betriebskostenabrechnung nur noch in der App – kann ich die gedruckte Version verlangen?

Nicht alle Mieter*Innen kommen mit diesen Neuerungen zurecht und sie wissen nicht, wie man sich verhalten soll.
Weitere Informationen zu Veranstaltung und zur Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.12.5 BSI: 21. Deutscher IT-Sicherheitskongress

15./16.04.2026, online: Das BSI bietet eine Plattform für alle, die an der Zukunft der digitalen Sicherheit arbeiten. Unter dem Motto „Cybernation Deutschland: gemeinsam, sicher, digital“ wird ein vielseitiges, virtuelles Programm angeboten. Den Schwerpunkt bilden Themen wie quantensichere Kryptografie, Künstliche Intelligenz, Zero Trust und die Umsetzung der NIS-2-Richtlinie. Neben Fachvorträgen und Podiumsdiskussionen gibt es auch die Möglichkeit, mit anderen Teilnehmenden in fachspezifischen Chaträumen zu netzwerken. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.12.6 Data Deep Dive – Webinare einer Kanzlei zu datenschutzrechtlichen Schlüsselthemen

16.04.2026, 08:30 – 09:30 Uhr, online: An vier Terminen jeweils von 8:30 – 9:30 Uhr werden relevante Themen aus dem Datenschutzrecht in einem Webinar vertieft. Weitere Informationen und Anmeldung jeweils hinter dem Link:

• 16.04.2026: Gemeinsame Verantwortlichkeit im Sinne von Art. 26 DS-GVO
• 23.04.2026: Die Verarbeitung besonderer Kategorien personenbezogener Daten
• 30.04.2026: Die Voraussetzungen der datenschutzrechtlichen Rechtsgrundlagen
• 07.05.2026: Der Ersatz immaterieller Schäden nach Art. 82 DS-GVO

.

zurück zum Inhaltsverzeichnis

5.12.7 IAPP Joint KnowledgeNet: Gespräch mit den Aufsichten Hamburg und Bayern -neu-

18.06.2026, 14:00 – 15:00 Uhr, online: Hamburg trifft Bayern! Der HmbBfDI und der Präsident des BayLDA sind die Gäste bei dieser Veranstaltung der IAPP, die zwar auf Englisch beworben, aber auf Deutsch stattfinden wird. Weitere Informationen und Anmeldung dazu hier.

zurück zum Inhaltsverzeichnis

5.12.8 HSPV NRW: Ringvorlesung „Die wehrhafte Demokratie – ein zahnloser Tiger?“ -neu-

16.04.2026, 13:00 – 14:30 Uhr, online: Der Vortrag „Die wehrhafte Demokratie – ein zahnloser Tiger?“ im Rahmen der digitalen Ringvorlesung „Demokratie im Fokus“ beleuchtet die verfassungsrechtlichen Voraussetzungen und Grenzen demokratischer Selbstbehauptung und thematisiert die Spannung zwischen Freiheitssicherung und Verfassungsschutz. Im Zentrum steht die Überlegung, dass die Wehrhaftigkeit der Demokratie nicht allein von ihren rechtlichen Instrumenten abhängt, sondern wesentlich von der politischen Kultur und von der Bereitschaft zur aktiven Verteidigung ihrer normativen Grundlagen.
Weitere Termine dieser Ringvorlesung:
21.05.2026: „Debattieren, aber richtig – warum es in der Demokratie auf gelungene Debatten ankommt“
11.06.2026: „Desinformation, „Fake News“ und Verschwörungsdenken – Demokratie in Gefahr?!“
Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.12.9 Vortragsreihe „Zukunftsdialog KI und Recht“ der SRH University Heidelberg

In der Veranstaltungsreihe der SRH University Heidelberg werden an verschiedenen Terminen verschiedene Themen vor Ort und online diskutiert. Mehr dazu hier. Das vollständige Programm ist hier hinterlegt. Der Zugangs-Link wird nach Anmeldung am Tag vor der Veranstaltung verschickt:

• 16.04.2026, 16:00 – 18:30 Uhr: „Kreativität, Markt & Macht“
  Drei Impulsvorträge zu „Autorenschaft neu denken: Urheberrecht im KI-Zeitalter“, „KI, Markt und Macht: Wettbewerb im digitalen Zeitalter“ und „Europa als KI-Kontinent: Digitale Souveränität, Regulierung und globale Handlungsfähigkeit“.

zurück zum Inhaltsverzeichnis

5.12.10 Deutsche Stiftung Verbraucherschutz: „Wenn Vertrauen teuer wird – Gemeinsam gegen Kontobetrug und Scamming“

21.04.2026, ab 15:00 Uhr, Berlin: Finanz-Scamming nimmt rasant zu, von täuschend echten Phishing-Mails über Anlage- und Krypto-Fakes bis hin zu professionellen Social-Engineering-Tricks wie „Romance Scam“ oder manipulierten Service-Hotlines. Die Maschen sind so glaubwürdig geworden, dass sie für Verbraucher:innen kaum mehr als Betrug erkennbar sind. Gemeinsam mit dem Fachpublikum diskutieren Speaker:innen bei der Veranstaltung der deutschen Stiftung Verbraucherschutz, wo systemische Schwachstellen liegen und welche gemeinsamen intersektionalen Lösungsansätze die Verbraucher:innen schützen können. Weitere Informationen hier und Anmeldung dort.

zurück zum Inhaltsverzeichnis

5.12.11 Webinar: Arbeitsrechtsfrühstück zu Mitbestimmung und KI-Systeme

23.04.2026, 09:00 – 10:15 Uhr, online: Bei diesem Arbeits(rechts)frühstück steht die Frage „KI im Unternehmen – Wer entscheidet eigentlich?“ im Fokus. Mit dem Einsatz von Künstlicher Intelligenz verändern sich nicht nur Prozesse, sondern auch die Anforderungen an Mitbestimmung und Beteiligung. Es werden Fragen angesprochen wie

• wann greift Mitbestimmung bei KI überhaupt
• welche Anforderungen gelten bei neuen Tools
• oder wie gelingt eine rechtssichere Umsetzung im Unternehmen.

Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.12.12 weitklick: „KI-Desinformation erkennen, Medienbildung stärken“

23.04.2026, 16:00 – 18:00 Uhr, online: Junge Menschen nutzen Künstliche Intelligenz, um sich ihren Alltag zu erleichtern. Bei der Interaktion mit KI-Chatbots können sie jedoch auch Falschinformationen erhalten. In sozialen Medien stoßen sie immer häufiger auf KI-generierte Desinformation. In diesem Webinar „Zwischen Fakten und Fakes: KI-Desinformation erkennen, Medienbildung stärken“ von weitklick wird der Schwerpunkt darauf gelegt, welche Rolle KI bei Desinformation spielt und wie Lehr- und pädagogische Fachkräfte junge Menschen aufklären und für den Umgang damit stärken können.Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.12.13 LfD Sachsen-Anhalt – Datenschutz am Abend: Entgelttransparenzrichtlinie

23.04.2026, ab 17:00 Uhr, Magdeburg: Zum Juni 2026 ist die Entgelttransparenzrichtlinie ((EU) 2023/970) in nationales Recht umzusetzen. Die LfD Sachsen-Anhalt möchte diese Gelegenheit nutzen, um mit den Gästen die damit verbundenen datenschutzrechtlichen Herausforderungen und Lösungsansätze zu diskutieren. Nach einem Impulsvortrag folgt ein konstruktiver Austausch zur praxisnahen und wirkungsvollen Umsetzung der Entgelttransparenzrichtlinie. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.12.14 Stiftung Datenschutz: „Datenschutz im Ehrenamt“

Für ehrenamtlich in Vereinen aktive Personen bietet die Stiftung Datenschutz wieder kostenlose Webinare zur Umsetzung der datenschutzrechtlichen Anforderungen an
27.04.2026, ab 18:00 Uhr, online: Grundlagen-Workshop für Vereinsvorstände – Datenschutzpflichten verstehen
04.05.2026, ab 18:00 Uhr, online: Grundlagen-Workshop für die Praxis – Datenschutz koordinieren und umsetzen
Die Stiftung Datenschutz bietet auch einen Verteiler an, um diesbezüglich auf dem Laufenden zu bleiben.

zurück zum Inhaltsverzeichnis

5.12.15 Netzwerk „Interaktiv“: „Digitale Räumen für Kinder und Jugendliche“

28.04.2026, ab 19:00 Uhr, München und online: Beim Mediensalon des Netzwerks „Interaktiv“ geht an diesem Abend nach einer Keynote um den schwierigen Spagat zwischen Schutz, Verbot und Selbstbestimmung in digitalen Räumen für Kinder und Jugendliche gelingen kann und welche praxistauglichen Lösungsansätze denkbar sind. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.12.16 FernUniversität Hagen – Vortragsreihe „Datenschutz aktuell“

29.04.2026, 18:00 – 19:30 Uhr, online: Im Sommersemester 2026 bietet die FernUniversität Hagen Online-Veranstaltungen zu aktuellen Fällen des Datenschutzrechts an. Anhand aktueller Rechtsfragen und persönlicher Erfahrungsberichte aus Anwaltschaft, Journalismus, Verwaltung und Wissenschaft werden unterschiedliche Perspektiven beleuchtet:

• 29.04.2026: „Öffentliche Äußerungen von Datenschutzbehörden – Was geht, was geht nicht?“
• 10.06.2026: „Einblicke in das kirchliche Datenschutzrecht – Art. 91 DSGVO im Fokus“
• 24.06.2026: „Sensible Daten, sensible Nähe: Datenschutzrechtliche Herausforderungen der KI-Sexrobotik“

Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.12.17 7. IFG Days – Informationsfreiheitstage des LfDI Baden-Württemberg

05./06.05.2026, Stuttgart und online: Die 7. IFG Days stehen unter dem Motto „10 Jahre Informationsfreiheit in Baden-Württemberg: Gemeinsam Transparenz voranbringen“ mit dem Ziel über den Stand der Informationsfreiheit zu sprechen, Ausblicke zu formulieren und Expert:innen und Bürger:innen miteinander zu verknüpfen. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.12.18 Hamburger Datenschutzgesellschaft: 5. Hamburger Datenschutzforum

06.05.2026, 14:00 – 17:00 Uhr, Hamburg: Die Hamburger Datenschutzgesellschaft führt wieder das Hamburger Datenschutzforum durch. Angesprochen werden nach acht Jahren Anwendungspraxis die Erfahrungen mit der DS-GVO und wo es Reformbedarf geben kann. Was plant der Verordnungsgeber auf europäischer Ebene dazu und wie soll im Paket mit anderen Digitalrechtsakten eine Vereinfachung und ein KI-fähiges datenschutzrecht entstehen? Die Vorschläge betreffen viele verschiedene Bereiche, die für Unternehmen Entlastung bringen sollen, wie beispielsweise eine Definition personenbezogener Daten, die Anonymisierung erleichtert, Vereinfachungen bei der Meldung von Datenpannen sowie Erlaubnisnormen für das KI-Training. Zudem plant Deutschland, innerhalb des nationalen Spielraums die Pflicht zur Benennung eines Datenschutzbeauftragten stark zu begrenzen. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.12.19 Webinar zu „Purview Realitätscheck und die DSGVO Katastrophe“

20.05.2026, 10:00 – 11:00 Uhr, online: In diesem kostenfreien Webinar werden die Möglichkeiten von Microsoft Purview als zentrale Plattform für Data Governance und Compliance betrachtet. Dabei geht es u.a. um praxisnahe Ansätze, wie Security- und Compliance-Ziele zusammengeführt werden können: bessere Datenauffindbarkeit, Risikobewertung nach Sensitivität, automatisierte Bereinigung/Löschung, Retention & Legal Hold sowie messbare KPIs für Coverage und Risiko-Reduktion. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.12.20 BzKJ: Neue digitale Trends, neue Gefährdungen: Rechtliche Grundlagen des Kinder- und Jugendmedienschutzes

02.06.2026, 17:00 – 18:30 Uhr, online: Die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) bietet auch im Jahr 2026 wieder eine kostenfreie Online-Veranstaltungsreihe in Kooperation mit der Akademie der Kulturellen Bildung des Bundes und des Landes NRW an. Die Workshops richten sich an alle, die sich für den Kinder- und Jugendmedienschutz interessieren – sei es beruflich, ehrenamtlich oder privat. Die Online-Veranstaltungen bauen nicht aufeinander auf und können unabhängig voneinander besucht werden. Weitere Informationen und Anmeldung dazu hier.
Weitere Termine und Themen sind:

• 15.09.2026 (17:00 – 18:30 Uhr)
  Radikal online: Kinder und Jugendliche als Zielgruppe extremistischer Online-Aktivitäten
• 01.12.2026 (17:00 – 18:30 Uhr)
  Pornografie, Cybergrooming, Sexting: Abgrenzung, Rechtslage und Konsequenzen für die Kinder- und Jugendarbeit

zurück zum Inhaltsverzeichnis

5.12.21 AI Transparency Conference

05./06.06.2026, Nürnberg: Die AI Transparency Conference ist eine internationale Forschungskonferenz, die sich auf die Förderung transparenter und menschenkompatibler KI-Systeme konzentriert. Sie möchte Forscher zusammenbringen, die sich mit Interpretierbarkeit, KI-Sicherheit, Kontrolle und Governance befassen.
Die Konferenz ist als Präsenzveranstaltung konzipiert und richtet sich an Doktoranden, Postdoktoranden, Fakultätsmitglieder und Forschungsinstitute. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.12.22 EDPS: „From Omnibus to Opportunity: Driving Data Protection and Innovation“

08.06.2026, 18:30 – 20:30 Uhr, Brüssel: Der Europäische Datenschutzbeauftragte, die BfDI und der LfD Bayern gestalten eine Debatte über die Omnibus-Vorschläge der Europäischen Kommission und deren Auswirkungen auf die DS-GVO sowie den allgemeinen digitalen Rechtsrahmen der EU. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

5.12.23 Universität des Saarlandes: Save-the-Date „Datenschutz im Diskurs => Digitale Resilienz“

22.09.2026: Das Leitthema des Informatik Festivals 2026 ist „Digitale Resilienz“. Zu den Grundvoraussetzungen digitaler Resilienz gehört ein moderner Daten- und Systemschutz, der technikangemessen ist und die freie Entfaltung von Menschen unterstützt. Dieser Workshop will Informatiker und Juristen und sonstige Interessierte zusammenbringen, die an Fragestellungen des technikbasierten Datenschutzes arbeiten. Es sollen Themen adressiert werden, die anwendungsorientiertes Potential für interdisziplinären Diskurs und Zusammenarbeit bieten und die Möglichkeiten aufzeigen, wie Datenschutz durch Technik präzisiert und umgesetzt werden kann. Aktuell gibt es den Call for Papers.

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 HateAid: Safety by Design – Pathways to Safer Social Media Platforms

Das NGO HateAid fordert präventives Vorgehen gegen Risiken. Aus den Ergebnissen der Untersuchung Safety by Design – Pathways to Safer Social Media Platforms ergebe sich, dass die Gestaltung sozialer Medien systematisch Risiken wie Gewalt und Desinformation verstärkt. Es werden daher grundlegende Änderungen im Plattformdesign gefordert. Grundlage der Ergebnisse sind zwei Expertenberichte sowie eine Auswertung von mehr als 200 konkreten Handlungsempfehlungen. HateAid fordert „Safety-by-Design“ verpflichtend zu machen und Plattformdesign stärker zu regulieren. Aufsichtsbehörden sollten befugt sein Algorithmen und Risikostrukturen wirksam zu prüfen. Auch eine mögliche Haftung von Führungspersonen bei schweren Schäden solle geprüft werden.

zurück zum Inhaltsverzeichnis

6.2 Zertifizierung von Microsofts-Cloudlösung GCC High

Nach diesem Bericht kritisieren interne Berichte und Experten die Zertifizierung von Microsofts -Cloudlösung GCC High für US-Behörden scharf. Interne Prüfer des FedRAMP-Programms hätten erhebliche Sicherheitsbedenken angemeldet.

zurück zum Inhaltsverzeichnis

6.3 Neue Podcast-Empfehlung: „Bits und Bratwurst“

Als Franke bin ich natürlich bei dem Titel getriggert und ich muss gar nicht erst die scheinbare Rivalität hinsichtlich irgendwelcher Daten bei Bratwürsten bemühen. Im Podcast selbst gibt es aktuelle Informationen, diesmal zur angestrebten digitalen Souveränität in der Folge „Kloß trifft Code“ (Dauer ca. 34 Min.).

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 Weisser Ring: Schadenshöhe durch „Love-Scam“

Durch Love-Scams haben Betroffene in Deutschland im Jahr 2024 mindestens 50 Millionen Euro verloren. Das geht aus einer Umfrage des Weisser Ring Magazins bei allen 16 Landeskriminalämtern hervor. Love-Scam ist der Heiratsschwindel des digitalen Zeitalters: Betrüger bauen auf Dating-Plattformen, in sozialen Netzwerken oder per E-Mail Vertrauen auf, sprechen von Gefühlen, spielen dann eine Notlage vor und drängen ihre Opfer zu Überweisungen. Der Länderumfrage zufolge betrug der Schaden durch Love-Scams im Jahr 2024 allein in Baden-Württemberg rund 18 Millionen Euro. Sachsen-Anhalt meldete für das Jahr Verluste in Höhe von insgesamt 1,6 Millionen Euro, im Jahr 2020 waren es noch knapp 786.000 Euro. In Mecklenburg-Vorpommern wuchs der registrierte Schaden von rund 330.000 Euro im Jahr 2022 auf mehr als 2,1 Millionen Euro im Jahr 2024. Online-Liebesbetrug war in dem Bundesland die ertragreichste Masche aller polizeilich registrierten Trickbetrügereien.

zurück zum Inhaltsverzeichnis

7.2 Maßnahmen gegen Accountsperren in sozialen Netzwerken

Wem der Account bei einem sozialen Netzwerk gesperrt wird und wer nicht weiß warum oder wer auch gerade deswegen dagegen vorgehen will, kann sich hier versierte Informationen zum Vorgehen holen. Spätestens dann wird klar, wer hier Produkt und wer Nutzer ist. Aber diese Erkenntnis hilft dann erstmal auch nicht weiter.

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 Alle Ameisen oder 100 Menschen? Oder das gesamte Potential von KI?

In dieser Podcast-Folge können Sie live mithören, wie eine KI die Prioritäten setzt (ab 16:45 Min.).
Spoiler: Es ist nicht erfreulich.

zurück zum Inhaltsverzeichnis

8.2 Update zu Bernie vs. Claude

Und? haben Sie sich dieses Video angeschaut? Im Beitrag mit dem Titel „The Witness Is Compromised: Bernie Sanders, Bruce Schneier, and What the AI Actually Did“ wird das Video ausführlich besprochen und dargelegt, wie die Macher ihre Botschaft transportiert haben.

zurück zum Inhaltsverzeichnis

8.3 Warum Vorschautexte von Messenger-Nachrichten keine gute Idee sind

Sie kennen das: Sie bekommen eine Nachricht über einen sicheren Messenger, lassen sich den Inhalt bereits als Vorschau anzeigen.
Mal abgesehen davon, dass so etwas (speziell auf dem Sperrbildschirm) eine blöde Idee sein kann, sobald Sie das Smartphone unbeaufsichtigt liegen lassen oder aus der Hand geben, kann es auch ganz konkrete Konsequenzen haben, wie das FBI anschaulich demonstriert hat.
Conclusio? Turn off the Preview-Feature!
Und nein, deswegen ist Signal nicht unsicher, das ist Messenger-unspezifisch ein Problem.

zurück zum Inhaltsverzeichnis

8.4 Digitale Souveränität, heute: Frankreich

Und wieder ein Staat, der sich Großes vorgenommen hat. Frankreich will weg von Windows, hin zu Linux und mehr Open Source. Wenn Sie wie ich eher wenig der französischen Sprache mächtig sind, lesen Sie stattdessen hier.

zurück zum Inhaltsverzeichnis

8.5 Der Entwurf zum Cybersecurity Act 2

Da eine Fachzeitschrift dem Autor seinen Artikel zur Publikation dankenswerter Weise zur Verfügung gestellt hat, können Sie den Artikel zum Entwurf des Cybersecurity Act 2 hier lesen.

zurück zum Inhaltsverzeichnis

8.6 Lasst es Daten regnen!

Getreu dem Motto „Geht in die Cloud, sagen sie, die kennen sich mit Sicherheit aus, sagen sie …“ berichtet der CCC von einer Kanzleisoftware (mit Cloud-Anbindung), die genau das macht. Sie lässt Daten regnen. Nicht so gut für die Kanzleien, die diese Software einsetzten, (und deren Mandant:innen) würde ich vermuten.
Und: Der Hackerparagraf in seiner Ausprägung, die legitime Sicherheitsforscher:innen, die Sicherheitslücken nur zum Nutzen Aller bekanntgeben wollen, einer Strafe aussetzt, muss weg! Danke CCC, dass Ihr Euch vor die Sicherheitsforscher:innen stellt!

zurück zum Inhaltsverzeichnis

8.7 Reichlich spät für einen April-Scherz

Und es war auch keiner: Wobei einige Administror:innen das sicherlich gedacht haben, als sie am 1. April 2026 die aktuelle Folge des Passwort-Podcasts angehört und ab Minute 43 (durch den Warnton) nervös wurden. Es wurde eine Sicherheitslücke in su in UNIX v4 (aus dem Jahr 1973) gefunden. Und wenn Sie die Podcast-Folge nicht anhören wollen, dann können Sie das auch hier oder dort nachlesen (unter anderem auch, wie sie diese UNIX-Version überhaupt gefunden haben). Ob es noch irgendwo auf der Welt ein System gibt, welches mit UNIX v4 läuft? Ich würde es zumindest nicht kategorisch ausschließen wollen.
Mein Lieblingszitat? Ein Kommentar im Quellcode: „You are not expected to understand this …“

zurück zum Inhaltsverzeichnis

9. Die gute Nachricht zum Schluss

9.1 Der natürlichen Intelligenz eine Chance

Wenn man diesem Bericht über Konsequenzen Glauben schenkt, der aufzeigt, dass Gerichte in den USA zunehmend gegenüber Anwälten die Geduld verlieren, die mit KI-erstellte Schriftsätze ohne Qualitätssicherung einsetzen, dann lässt das dann doch etwas Hoffnung zu.
Eventuell können dann auch hier Einige dem Art. 4 KI-VO etwas mehr Verständnis entgegenbringen, der gerade solche Ergebnisse vermeiden helfen sollte. Bericht dazu auch hier.

zurück zum Inhaltsverzeichnis