Hier ist der 4. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 12-14/2026)“ – Ein Zwischenspiel – Die DVD-Edition.
Passend zum Osterfest (damit Sie sich auf die vielen Veranstaltungen nach Ostern vorbereiten können) hier ein Zwischenspiel. Der nächste Blog-Beitrag wird wieder deutlich umfangreicher, aber das erst nach Ostern.
- Aufsichtsbehörden
- Rechtsprechung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Gibt es noch eine „anonyme“ Online-Nutzung bei KI?
- CRA Navigator: Die Akteure im Cyber Resilience Act
- Veranstaltungen
- Kinderrechte digital: Workshopangebote für Erkenntnisse einer Expertenkommission
- Universität Graz: „Data Act trifft DSGVO“ -neu-
- D64 – KI gestalten, bevor KI uns gestaltet: Positionen für eine wertebasierte Digitalpolitik -neu-
- Stiftung Datenschutz: „Politische Parteien zwischen Öffentlichkeit und Vertraulichkeit“
- ReaLRM: Abgehängt durch Digitalisierung – als Mieter?! -neu-
- BSI: 21. Deutscher IT-Sicherheitskongress
- Data Deep Dive – Webinare einer Kanzlei zu datenschutzrechtlichen Schlüsselthemen -neu-
- Vortragsreihe „Zukunftsdialog KI und Recht“ der SRH University Heidelberg
- Deutsche Stiftung Verbraucherschutz: „Wenn Vertrauen teuer wird – Gemeinsam gegen Kontobetrug und Scamming“ -neu-
- Webinar: Arbeitsrechtsfrühstück zu Mitbestimmung und KI-Systeme -neu-
- weitklick: „KI-Desinformation erkennen, Medienbildung stärken“
- LfD Sachsen-Anhalt – Datenschutz am Abend: Entgelttransparenzrichtlinie -neu-
- Stiftung Datenschutz: „Datenschutz im Ehrenamt“
- Netzwerk „Interaktiv“: „Digitale Räumen für Kinder und Jugendliche“ -neu-
- FernUniversität Hagen – Vortragsreihe „Datenschutz aktuell“ -neu-
- 7. IFG Days – Informationsfreiheitstage des LfDI Baden-Württemberg -neu-
- Hamburger Datenschutzgesellschaft: 5. Hamburger Datenschutzforum -neu-
- Webinar zu „Purview Realitätscheck und die DSGVO Katastrophe“
- BzKJ: Neue digitale Trends, neue Gefährdungen: Rechtliche Grundlagen des Kinder- und Jugendmedienschutzes
- AI Transparency Conference
- EDPS: „From Omnibus to Opportunity: Driving Data Protection and Innovation“ -neu-
- Universität des Saarlandes: Save-the-Date „Datenschutz im Diskurs => Digitale Resilienz“ -neu-
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 LfD Bayern – Aktuelle Kurz-Information 66: Dokumente erfolgreich schwärzen
Der LfD Bayern gibt mit der „Kurz-Information 66: Dokumente erfolgreich schwärzen“ Hinweise zu einer erfolgreichen Schwärzung von Dokumenten. Dabei betont er, dass die Schwärzung von Dokumenten ein zentrales Instrument zur Sicherstellung des (Dritt-)Datenschutzes bei der Erfüllung von Transparenzpflichten ist. Besonders bei PDF-Dokumenten müssen geschwärzte Inhalte technisch vollständig entfernt werden, um Rekonstruktionen zu verhindern. Für Papierdokumente ist ein deckendes Verfahren mit Kontrolle erforderlich.
Er hebt hervor er, dass es einer rechtlichen Bewertung im Einzelfall bedarf, welchen Umfang Schwärzungen haben (müssen). Im Kontext von Art. 15 DS-GVO gelten andere Maßstäbe als beim Informationszugang im Informationsfreiheits- oder Presserecht, bei der Akteneinsicht oder der Offenlegung von Verwaltungsvorgängen im Zuge gerichtlicher Verfahren. Die rechtlichen Details all dieser Konstellationen kann durch die Kurz-Information 66 nicht nachgezeichnet werden. Sie lege den Schwerpunkt vielmehr auf die Schwärzung als technisch-organisatorische Maßnahme nach Art. 32 Abs. 1 DS-GVO, wobei die Empfehlungen unter RN. 10 ff. auch im Kontext von spezifischen datenschutzrechtlichen „Schwärzungspflichten“ sowie im Kontext von Schwärzungen zum Schutz anderer Vertraulichkeitsbelange hilfreich sein dürften.
Zwar richtet sich seine Kurz-Informationen an bayerische öffentliche Stellen, aber die Hinweise sind auch für nicht-öffentliche Stellen hilfreich, um sich mit den Anforderungen an Schwärzung auseinanderzusetzen.
1.2 Norwegen: Hinweise zu berechtigten Interessen inkl. Chatbot-Nutzung
Die norwegische Datenschutzbehörde hat ihre Hinweise zu berechtigten Interessen überarbeitet und nun Beispiele aus ihrem KI-Sandbox-Projekt aufgenommen. Ein Teilnehmer an der Sandbox wollte eine Lösung für Arbeitsmarktmaßnahmen schaffen. Der Benutzer in der Maßnahme sollte Fragen von einem KI-Chatbot beantworten. Der Chatbot generierte dann Informationen über den Fortschritt des Benutzers und gab Feedback.
Phase 1: Diese Informationen wurden nur dem Nutzer selbst gezeigt, um ihre Motivation zu steigern.
Phase 2: Der Nutzer könnte dem Betreuer auch Informationen über sich selbst beim Initiativenveranstalter zur Verfügung stellen. Ziel war es, sowohl die Motivation des Nutzers zu stärken als auch dem Vorgesetzten bei der Nachbereitung zu helfen.
Die norwegische Datenschutzaufsicht macht deutlich, dass, wenn der Sandbox-Teilnehmer zu Phase 2 übergehen würde, er die Privatsphäre der Benutzer sorgfältig berücksichtigen müsste. Je detailliertere Informationen über den Benutzer, auf die der Supervisor aus der Arbeitsbehörde zugreifen kann (z. B. das gesamte Chat-Protokoll), desto mehr braucht es, um die Interessensabwägung zu überstehen. Das Teilen kurzer Zusammenfassungen oder aggregierter Zahlen ist weniger aufdringlich.
Mehr zu dem Sandbox-Projekt „InkludMI“ findet sich hier. Mit ihm sollte ein Unterstützungsinstrument für zwei Zielgruppen untersucht werden: für Vorgesetzte und für Menschen, die Hilfe benötigen, um in die Arbeit einzusteigen oder sie zu behalten. Die Hauptfunktion des Tools sollte ein Chatbot sein, den sowohl der Supervisor als auch der Benutzer verwenden können sollten. Der Chatbot sollte Methoden verwenden, die aus dem Motivationsinterview und „Playfiction“ bekannt sind, um zu helfen. Um die bestmögliche Unterstützung zu bieten, muss der Chatbot Zugriff auf Informationen über den Benutzer haben, z. B. wie das Follow-up verlaufen ist, wie motiviert der Benutzer war und Informationen darüber, wie sich der Benutzer in einem Prozess befindet. Der Abschlussbericht dazu ist hier veröffentlicht.
2 Rechtsprechung
2.1 EuGH: Art. 15 DS-GVO, Missbräuchlichkeit und Schadenersatzpflicht (C-526/24)
Im Verfahren C-526/24 (Brillen Rottler) befasste sich der EUGH mit Fragestellungen zur Missbräuchlichkeit eines Auskunftsbegehrens und ob unzureichende Beauskunftungen nach Art. 15 DS-GVO Grundlage eines immateriellen Schadenersatzes sein können. Bereits der Generalanwalt schloss beides in seinen Schlussanträgen nicht grundsätzlich aus.
Der EuGH entschied nun, dass ein Antrag auf Auskunft über die eigenen personenbezogenen Daten als missbräuchlich eingestuft und zurückgewiesen werden kann, wenn er allein in der Absicht gestellt wird, um anschließend Schadensersatz wegen eines angeblichen Verstoßes gegen die Datenschutz-Grundverordnung (DS-GVO) zu fordern.
Dies ist der Fall, wenn der Verantwortliche nachweist, dass trotz formaler Einhaltung der in der DS-GVO vorgesehenen Voraussetzungen für die Stellung eines Auskunftsantrags dieser Antrag nicht gestellt wurde, um sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen, sondern in der als „missbräuchlich“ einzustufenden Absicht künstlich die Voraussetzungen für die Erlangung von Schadensersatz nach der DS-GVO zu schaffen. Dass die betroffene Person nach öffentlich zugänglichen Informationen etwa mehrere Anträge auf Auskunft über ihre personenbezogenen Daten, gefolgt von Schadensersatzforderungen gegenüber verschiedenen Verantwortlichen, gestellt hat, kann für die Feststellung einer solchen missbräuchlichen Absicht berücksichtigt werden.
Außerdem hat eine Person, der wegen eines Verstoßes gegen die DS-GVO – einschließlich einer Verletzung des Rechts auf Auskunft über ihre personenbezogenen Daten – ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Ersatz des betreffenden Schadens gegen den Verantwortlichen. Der Gerichtshof stellt jedoch klar, dass die betroffene Person als Voraussetzung für einen solchen Schadensersatz u. a. nachweisen muss, dass ihr tatsächlich ein entsprechender Schaden entstanden ist. Im Übrigen kann diese Person keinen Schadensersatz nach der DS-GVO erhalten, wenn ihr eigenes Verhalten die entscheidende Ursache für den Schaden ist. Hervorgehoben werden kann dabei, dass der EuGH in RN. 53 klarstellt, dass Art. 82 Abs. 1 DS-GVO die Verwirklichung der Ziele der DS-GVO gewährleisten soll, zu denen u. a. das in deren elftem Erwägungsgrund genannte Ziel, die Rechte der betroffenen Personen zu stärken und die Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, zu verschärfen, gehört. Mit Bezugnahme auf die Ausführungen des Generalanwalts in seinen Schlussanträgen in RN. 72 würden aber diese Rechte erheblich geschwächt, wenn Art. 82 Abs. 1 DS-GVO dahin ausgelegt werden sollte, dass er allein Schäden erfasst, die sich aus rechtswidrigen Handlungen ergeben, die eine Datenverarbeitung umfassen.
Um dem vorlegenden Gericht eine zweckdienliche Antwort zu geben, weist der EuGH in RN. 65 noch darauf hin, dass der Kausalzusammenhang zwischen dem behaupteten Verstoß und dem behaupteten Schaden durch die Handlungsweise der betroffenen Person unterbrochen werden kann, sofern sich diese Handlungsweise als die entscheidende Ursache für den Schaden erweist. Eine entsprechende Handlung kann u. a. in einer Entscheidung der geschädigten Person bestehen, allerdings nur, sofern diese Entscheidung für sie nicht zwingend war.
Die Pressemeldung des EuGH dazu findet sich hier.
2.2 EuGH: Vorlagepflicht von Gerichten an den EuGH (C-767/23)
Wann muss ein Gericht Fragen dem EuGH vorlegen? Damit hatte sich der EuGH zu befassen und entschied nun im Verfahren C-767/23 (Remling). Ein in letzter Instanz entscheidendes nationales Gericht muss stets begründen, warum es eine Vorlage an den Gerichtshof ablehnt. Selbst wenn ein solches Gericht Rechtsbehelfe mit summarischer Begründung zurückweisen darf, muss es in jedem Fall spezifisch und konkret darlegen, warum eine der Ausnahmen von der Vorlagepflicht Anwendung findet.
In dieser Rechtssache hatte der Gerichtshof darüber zu entscheiden, ob die nach niederländischem Recht bestehende Möglichkeit für ein oberstes Gericht, eine Berufung mit einer nur summarischen Begründung zurückzuweisen, mit dem Unionsrecht vereinbar ist. Ziel dieser Regelung ist im Interesse einer geordneten Rechtspflege die Dauer der Gerichtsverfahren zu verkürzen und es dem Gericht zu ermöglichen mehr Zeit auf wichtige Rechtssachen zu verwenden. Nachdem der Gerichtshof die grundlegende Rolle des Vorabentscheidungsverfahrens im Allgemeinen und der Vorlagepflicht im Besonderen für das Gerichtssystem der Europäischen Union hervorgehoben hat, weist er darauf hin, dass ein oberstes Gericht einer Vorlagepflicht unterliegt, von der es nur in drei Fällen befreit sein kann, nämlich
- wenn die aufgeworfene unionsrechtliche Frage nicht entscheidungserheblich ist,
- wenn die betreffende Bestimmung des Unionsrechts bereits vom Gerichtshof ausgelegt worden ist
- oder wenn deren richtige Auslegung derart offenkundig ist, dass für einen vernünftigen Zweifel keinerlei Raum bleibt.
Wenn ein oberstes Gericht der Ansicht ist, sich in einer dieser drei Situationen zu befinden, muss es seine Ablehnung der Anrufung des Gerichtshofs begründen, indem es in jedem Fall spezifisch und konkret darlegt, aus welchen Gründen es sich nicht veranlasst sieht den Gerichtshof zu befragen.
Diese drei Aspekte definierte der EuGH im Urteil vom 6. Oktober 1082 in C-283/81, RN. 21.
2.3 VG Düsseldorf: Veröffentlichung auf Social Media benötigt Rechtsgrundlage
Ein Unternehmen vermittelt Kreuzfahrten verschiedener Reedereien und damit verbundene Reiseleistungen. Auf seinem Facebook-Account dokumentieren bei ihr tätige Personen in unterschiedlich langen Videos ihre Reiseerlebnisse. In einem Video waren der Aura-Skypool in Dubai und die Aussicht sowie die dort aufhältigen Personen zu sehen, wobei die Betroffenen in dem Video teilweise zu erkennen waren.
Nach einer Beschwerde bei der zuständigen Datenschutzaufsicht und der daraufhin erfolgten Korrespondenz teilte das Unternehmen unter anderem mit, es bestehe keine Veranlassung die verfahrensgegenständlichen Videoaufnahmen zu löschen oder durch Verwischen/Verschwimmen oder den Einsatz eines anderen Filters zu bearbeiten. Letztendlich erließ die Datenschutzaufsicht einen Bescheid, in dem sie dem Unternehmen aufgab, durch geeignete Maßnahmen die Aufnahmen irreversibel so zu verändern, dass eine Identifizierung von Personen unter Berücksichtigung aller Mittel, „die von Ihnen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden“, nicht möglich ist, es sei denn, es liege eine Einwilligung der abgebildeten Personen in die Veröffentlichung ihrer Daten vor.
Das VG Düsseldorf bestätigte die Bewertung der Datenschutzaufsicht und die aufgegebene Maßnahme. Das Unternehmen kann sich nicht auf eine Datenverarbeitungsgrundlage im Sinne von Art. 6 Abs. 1 DS-GVO berufen. Eine Einwilligung der betroffenen Personen im Sinne von Art. 6 Abs. 1 lit. a DS-GVO liege nicht vor. Das Unternehmen könne sich auch nicht auf Art. 6 Abs. 1 lit. f DS-GVO berufen. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Die Veröffentlichung eines Videos, auf dem viele der anwesenden Personen ohne weiteres erkennbar sind, ist zur Wahrung der wirtschaftlichen Interessen des Unternehmens aber nicht erforderlich. Voraussetzung einer Erforderlichkeit ist, dass kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen.
Nach der Rechtsprechung des EuGH muss eine Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO innerhalb der Grenzen dessen erfolgen, was zur Verwirklichung der berechtigten Interessen „unbedingt notwendig“ ist. Entsprechend könne die Erforderlichkeit nicht allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt.
Das Unternehmen hat nicht dargelegt, warum in den von ihm veröffentlichten Filmaufnahmen unbeteiligte Personen zur Verfolgung des genannten Werbezwecks identifizierbar bleiben müssen. Sie schildern weder ihre Reiseeindrücke noch tragen sie in sonstiger Weise zum Inhalt des Videos bei.
Somit liege ein Datenschutzverstoß vor. Eine Verarbeitungsgrundlage sei nicht gegeben. Bei einer Abwägung der berechtigten Interessen eines Reiseveranstalters überwögen die Interessen der betroffenen Personen, nicht in den Videos erkennbar bzw. identifizierbar dargestellt zu werden. Sie befänden sich im Urlaub und damit in ihrer Freizeit. Zudem seien die betroffenen Personen leicht bekleidet, teilweise nur in Badesachen. Hinzu komme, dass das Video auf Facebook weltweit Millionen Inhabern eines Accounts zugänglich sei. Das Kunsturhebergesetz sei nicht anwendbar. Die Antragstellerin verfolge den Zweck mit den Aufnahmen Werbung zu betreiben.
Die Anordnung der Datenschutzaufsicht sei geeignet, erforderlich und angemessen, um einen rechtmäßigen Zustand herzustellen. Die Anordnung der sofortigen Vollziehung sei geboten, da diese im besonderen öffentlichen Interesse liege, und weil andernfalls im Falle einer Klage bis auf Weiteres ein nicht länger hinzunehmender rechtswidriger Zustand mit großer Breitenwirkung fortbestünde.
3 Gesetzgebung
3.1 Data Act Durchführungsgesetz und Data Governance Act Durchführungsgesetz
Der Bundestag hat das Gesetz zur Durchführung des Data Act und das Gesetz zur Durchführung des Data Govenance Acts verabschiedet, wie der Deutsche Bundestag informiert. Sowohl der Entwurf für ein Data Act-Durchführungsgesetz (21/2998, 21/3508) als auch das Daten-Governance-Gesetz (21/3544, 21/3946) wurden zuvor im Ausschuss für Digitales und Staatsmodernisierung noch in Teilen geändert (21/4998, 21/4994).
3.2 Verfahrensregeln für die Durchsetzung der DS-GVO ab 2. April 2027
Die Verordnung (EU) 2025/2518 zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DS-GVO ist seit dem 1. Januar 2026 in Kraft – ab dem 2. April 2027 wird sie verbindlich angewendet.
Damit soll eine bessere Abstimmung zwischen den nationalen Datenschutzbehörden, schnellere Verfahren und stärkere Rechte für Bürgerinnen und Bürger bei der Beschwerdebearbeitung erreicht werden. Bericht dazu hier.
4 Künstliche Intelligenz und Ethik
4.1 KI und die Bedeutung von KI-Governance-Standards
Wer in der KI-Governance tätig ist, wird mit Angaben wie NIST AI Risk Management Framework, ISO/IEC 42001 und OECD-KI-Grundsätze etwas anfangen können. Oft werden diese als Orientierungshilfen, als freiwillige Best Practices betrachtet. Dieser Beitrag befasst sich damit, wie solche Standards im Rahmen von Rechtsstreitigkeiten hervorgehobene Bedeutung erlangen können.
Er berücksichtigt dabei Untersuchungen des Future of Privacy Forums in den USA.
Dabei wird dargestellt, dass Gerichte bereits Frameworks wie die AI RMF von NIST verwenden, um den Standard der Sorgfalt in Fahrlässigkeit und strengen Haftungsfällen zu definieren, unabhängig davon, ob ein Gesetz es vorschreibt.
In diesem Kontext weist der Bericht auch darauf hin, dass die NIST zwischenzeitlich „Crosswalk-Dokumente“ veröffentlichte, die die AI RMF auf ISO 42001, die OECD-KI-Prinzipien und andere Frameworks abbilden.
Und wer sich für Standards zur KI-VO interessiert, sollte sich auch diese Webseite ansehen, die versucht die verschiedenen Standards zu mappen.
4.2 „Große Sprachmodelle – neue Kommunikation“
Aus dem Studiengang Digital- und Medienwirtschaft der Hochschule der Medien Stuttgart wurde aus einem Forschungsprojekt der Studierenden nun das Ergebnis veröffentlicht. Unter dem Oberthema „Sprachen lernen und gebrauchen mit Hilfe von Künstlicher Intelligenz“ sollten die Teilnehmer eigenständig erforschen, wie Menschen große Sprachmodelle (LLMs) in interkulturellen Situationen einsetzen.
Entstanden sind daraus mehrere empirische Studien, für die sich die Studierenden an ungewohnte Settings begeben haben. Sie haben für ihre Fallstudien Beobachtungen gemacht, Forschungsinterviews geführt, auf diese Weise Daten gesammelt und sie anschließend systematisch ausgewertet. Das Themenspektrum umfasste u.a. die Frage, ob der schulische Fremdsprachenunterricht bereits obsolet sei über die Auswirkungen des Einsatzes von Chatbots in Behörden auf Personen mit fehlenden oder geringen Deutschkenntnissen und in anderen interkulturellen Situationen bis hin zur Rolle des sprachlichen Anthropomorphismus und damit der Akzeptanz von Chatbots.
Die Ergebnisse erschienen nun als Open-Access-E-Book: „Große Sprachmodelle – neue Kommunikation? Der Einsatz von KI für Spracherwerb und interkulturellen Austausch“
5 Veröffentlichungen
5.1 Gibt es noch eine „anonyme“ Online-Nutzung bei KI?
Diese Studie untersuchte, inwieweit eine Online-Nutzung mit Pseudonymen unter dem Einsatz von KI noch als anonym bezeichnet werden kann. In dem Beitrag „Large-scale online deanonymization with LLMs“ wird gezeigt, dass große Sprachmodelle zur skalierten De-Anonymisierung verwendet werden können. Allein unter Angabe pseudonymer Online-Profile und -Gespräche konnten Zuordnungen erfolgen. Aus normalen Forenbeiträgen wird ein Profil extrahiert, per Embedding-Suche werden Kandidaten identifiziert, ein LLM verifiziert die besten Treffer und am Ende wird eine Konfidenz ausgegeben. Bericht dazu auch hier.
5.2 CRA Navigator: Die Akteure im Cyber Resilience Act
Wer sind die Akteure des Cyber Resiliance Acts und was sind deren Pflichten? Zu beiden Fragen bietet eine Kanzlei auf ihren Webseiten Antworten an. Der Cyber Resilience Act verpflichtet nicht nur Hersteller. Bevollmächtigte, Einführer, Händler und sogar Open-Source-Software-Stewards werden mit eigenen Pflichten belegt – abgestuft, aber durchsetzbar. In dem Beitrag „Die Akteure im Cyber Resilience Act“ werden die Akteursrollen und deren Pflichten systematisch eingeordnet.
Wer nun wissen will, ob das eigene Produkt betroffen ist und welche Folgen das haben kann, findet im CRA-Navigator erste Einschätzungen.
5.3 Veranstaltungen
5.3.1 Kinderrechte digital: Workshopangebote für Erkenntnisse einer Expertenkommission
11.04.2026, 10:00 – 15:00 Uhr, Herford: Die Bundesregierung hat eine Expertenkommission zum Kinder- und Jugendschutz in der digitalen Welt eingesetzt. Ziel der Kommission ist es Empfehlungen für einen zeitgemäßen und wirksamen Schutz von Kindern und Jugendlichen im digitalen Raum zu entwickeln. Ein wesentlicher Bestandteil ist dabei die Beteiligung junger Menschen. Um in diesen Prozess die Perspektiven von Kindern und Jugendlichen einbringen zu können, führt das Projekt Kinderschutz und Kinderrechte in der digitalen Welt der Stiftung Digitale Chancen, partizipative Workshops mit jungen Menschen im Alter von 12 bis 17 Jahren an verschiedenen Orten in Deutschland durch, um ihre Sichtweisen, Bedarfe und Empfehlungen für mehr Schutz im digitalen Umfeld zu ermitteln.
Ein weiterer Termin findet wie folgt statt:
- 12. April 2026 von 11:00 bis 16:00 Uhr in Schneverdingen (Niedersachsen)
Weitere Informationen und Anmeldung hier.
Rudis Anmerkung: Was nützen Erkenntnisse, die zu Regeln führen, wenn diese Regeln nicht durchgesetzt werden?
5.3.2 Universität Graz: „Data Act trifft DSGVO“
13.04.2026, 17:00 – 19:00 Uhr, online: Bei dieser Podiumsdiskussion mit kompetenten Teilnehmer:innen der Grazer Universität geht es um die Schnittstellen und Abgrenzungen zwischen Data Act und DS-GVO, denn sobald in zugangspflichtigen Datensätzen personenbezogene Daten enthalten sind, treffen diese zwei zentralen Bausteine der europäischen Datenstrategie unmittelbar aufeinander. Weitere Informationen und Anmeldung hier.
5.3.3 D64 – KI gestalten, bevor KI uns gestaltet: Positionen für eine wertebasierte Digitalpolitik -neu-
14.04.2026, 18:00 – 19:00 Uhr, online: Im Webinar werden die zentralen KI-Entwicklungen sowie die Forderungen von D64 dazu vorgestellt und gemeinsam mit den Teilnehmenden diskutiert. Wer in Politik, Verwaltung oder Wissenschaft mit KI-Regulierung befasst ist, bekommt hier einen kompakten Einstieg und die Möglichkeit direkt mit den Autor:innen ins Gespräch zu kommen. Weitere Informationen und Anmeldung hier.
5.3.4 Stiftung Datenschutz: „Politische Parteien zwischen Öffentlichkeit und Vertraulichkeit“
15.04.2026, 13:00 – 14:00 Uhr, online: In der Reihe „Datenschutz am Mittag“ befasst sich die Stiftung Datenschutz mit Fragen des Datenschutzrechts: Politische Parteien zwischen Öffentlichkeit und Vertraulichkeit. In den Worten Max Webers strebt, wer Politik betreibt, nach Macht. In unserer repräsentativen Demokratie muss Öffentlichkeit erdulden, wer Macht erhält. Ganz erhebliche Macht haben in der Parteiendemokratie politische Parteien: Ihre Programme bestimmen Koalitionsverträge und damit im Ergebnis staatliches Handeln sowohl der Legislative als auch der Exekutive. Dort entsteht ein Spannungsfeld zwischen dem demokratischen Grundprinzip der Öffentlichkeit und dem datenschutzrechtlichen Grundprinzip der Vertraulichkeit. Ein Thema, dass somit alle betrifft, die sich für gesellschaftliche Themen und Politik interessieren. Weitere Informationen und Anmeldung hier.
5.3.5 ReaLRM: Abgehängt durch Digitalisierung – als Mieter?! -neu-
15.04.2026, ab 18:30 Uhr, Frankfurt am Main: Die Bürgerinitiative Recht auf analoges Leben Rhein-Main lädt ein zu einem Gruppentreffen mit dem Schwerpunktthema „Abgehängt durch Digitalisierung – als Mieter?!“. Dazu werden u.a. die Themen:
- Digitale Erfassung von Heizungs- und Wasserverbrauch und deren Funkübertragung.
- Rauchwarnmelder, die per Funk Fehlfunktionen und echte Warnungen übertragen.
- Betriebskostenabrechnung nur noch in der App – kann ich die gedruckte Version verlangen?
Nicht alle Mieter*Innen kommen mit diesen Neuerungen zurecht und sie wissen nicht, wie man sich verhalten soll.
Weitere Informationen zu Veranstaltung und zur Anmeldung hier.
5.3.6 BSI: 21. Deutscher IT-Sicherheitskongress
15./16.04.2026, online: Das BSI bietet eine Plattform für alle, die an der Zukunft der digitalen Sicherheit arbeiten. Unter dem Motto „Cybernation Deutschland: gemeinsam, sicher, digital“ wird ein vielseitiges, virtuelles Programm angeboten. Den Schwerpunkt bilden Themen wie quantensichere Kryptografie, Künstliche Intelligenz, Zero Trust und die Umsetzung der NIS-2-Richtlinie. Neben Fachvorträgen und Podiumsdiskussionen gibt es auch die Möglichkeit, mit anderen Teilnehmenden in fachspezifischen Chaträumen zu netzwerken. Weitere Informationen und Anmeldung hier.
5.3.7 Data Deep Dive – Webinare einer Kanzlei zu datenschutzrechtlichen Schlüsselthemen -neu-
16.04.2026, 08:30 – 09:30 Uhr, online: An vier Terminen jeweils von 8:30 – 9:30 Uhr werden relevante Themen aus dem Datenschutzrecht in einem Webinar vertieft. Weitere Informationen und Anmeldung jeweils hinter dem Link:
- 16.04.2026: Gemeinsame Verantwortlichkeit im Sinne von Art. 26 DS-GVO
- 23.04.2026: Die Verarbeitung besonderer Kategorien personenbezogener Daten
- 30.04.2026: Die Voraussetzungen der datenschutzrechtlichen Rechtsgrundlagen
- 07.05.2026: Der Ersatz immaterieller Schäden nach Art. 82 DS-GVO
.
5.3.8 Vortragsreihe „Zukunftsdialog KI und Recht“ der SRH University Heidelberg
In der Veranstaltungsreihe der SRH University Heidelberg werden an verschiedenen Terminen verschiedene Themen vor Ort und online diskutiert. Mehr dazu hier. Das vollständige Programm ist hier hinterlegt. Der Zugangs-Link wird nach Anmeldung am Tag vor der Veranstaltung verschickt:
- 16.04.2026, 16:00 – 18:30 Uhr: „Kreativität, Markt & Macht“
Drei Impulsvorträge zu „Autorenschaft neu denken: Urheberrecht im KI-Zeitalter“, „KI, Markt und Macht: Wettbewerb im digitalen Zeitalter“ und „Europa als KI-Kontinent: Digitale Souveränität, Regulierung und globale Handlungsfähigkeit“.
5.3.9 Deutsche Stiftung Verbraucherschutz: „Wenn Vertrauen teuer wird – Gemeinsam gegen Kontobetrug und Scamming“ -neu-
21.04.2026, ab 15:00 Uhr, Berlin: Finanz-Scamming nimmt rasant zu, von täuschend echten Phishing-Mails über Anlage- und Krypto-Fakes bis hin zu professionellen Social-Engineering-Tricks wie „Romance Scam“ oder manipulierten Service-Hotlines. Die Maschen sind so glaubwürdig geworden, dass sie für Verbraucher:innen kaum mehr als Betrug erkennbar sind. Gemeinsam mit dem Fachpublikum diskutieren Speaker:innen bei der Veranstaltung der deutschen Stiftung Verbraucherschutz, wo systemische Schwachstellen liegen und welche gemeinsamen intersektionalen Lösungsansätze die Verbraucher:innen schützen können. Weitere Informationen hier und Anmeldung dort.
5.3.10 Webinar: Arbeitsrechtsfrühstück zu Mitbestimmung und KI-Systeme -neu-
23.04.2026, 09:00 – 10:15 Uhr, online: Bei diesem Arbeits(rechts)frühstück steht die Frage „KI im Unternehmen – Wer entscheidet eigentlich?“ im Fokus. Mit dem Einsatz von Künstlicher Intelligenz verändern sich nicht nur Prozesse, sondern auch die Anforderungen an Mitbestimmung und Beteiligung. Es werden Fragen angesprochen wie
- wann greift Mitbestimmung bei KI überhaupt
- welche Anforderungen gelten bei neuen Tools
- oder wie gelingt eine rechtssichere Umsetzung im Unternehmen.
Weitere Informationen und Anmeldung hier.
5.3.11 weitklick: „KI-Desinformation erkennen, Medienbildung stärken“
23.04.2026, 16:00 – 18:00 Uhr, online: Junge Menschen nutzen Künstliche Intelligenz, um sich ihren Alltag zu erleichtern. Bei der Interaktion mit KI-Chatbots können sie jedoch auch Falschinformationen erhalten. In sozialen Medien stoßen sie immer häufiger auf KI-generierte Desinformation. In diesem Webinar „Zwischen Fakten und Fakes: KI-Desinformation erkennen, Medienbildung stärken“ von weitklick wird der Schwerpunkt darauf gelegt, welche Rolle KI bei Desinformation spielt und wie Lehr- und pädagogische Fachkräfte junge Menschen aufklären und für den Umgang damit stärken können.Weitere Informationen und Anmeldung hier.
5.3.12 LfD Sachsen-Anhalt – Datenschutz am Abend: Entgelttransparenzrichtlinie -neu-
23.04.2026, ab 17:00 Uhr, Magdeburg: Zum Juni 2026 ist die Entgelttransparenzrichtlinie ((EU) 2023/970) in nationales Recht umzusetzen. Die LfD Sachsen-Anhalt möchte diese Gelegenheit nutzen, um mit den Gästen die damit verbundenen datenschutzrechtlichen Herausforderungen und Lösungsansätze zu diskutieren. Nach einem Impulsvortrag folgt ein konstruktiver Austausch zur praxisnahen und wirkungsvollen Umsetzung der Entgelttransparenzrichtlinie. Weitere Informationen und Anmeldung hier.
5.3.13 Stiftung Datenschutz: „Datenschutz im Ehrenamt“
Für ehrenamtlich in Vereinen aktive Personen bietet die Stiftung Datenschutz wieder kostenlose Webinare zur Umsetzung der datenschutzrechtlichen Anforderungen an
27.04.2026, ab 18:00 Uhr, online: Grundlagen-Workshop für Vereinsvorstände – Datenschutzpflichten verstehen
04.05.2026, ab 18:00 Uhr, online: Grundlagen-Workshop für die Praxis – Datenschutz koordinieren und umsetzen
Die Stiftung Datenschutz bietet auch einen Verteiler an, um diesbezüglich auf dem Laufenden zu bleiben.
5.3.14 Netzwerk „Interaktiv“: „Digitale Räumen für Kinder und Jugendliche“ -neu-
28.04.2026, ab 19:00 Uhr, München und online: Beim Mediensalon des Netzwerks „Interaktiv“ geht an diesem Abend nach einer Keynote um den schwierigen Spagat zwischen Schutz, Verbot und Selbstbestimmung in digitalen Räumen für Kinder und Jugendliche gelingen kann und welche praxistauglichen Lösungsansätze denkbar sind. Weitere Informationen und Anmeldung hier.
5.3.15 FernUniversität Hagen – Vortragsreihe „Datenschutz aktuell“ -neu-
29.04.2026, 18:00 – 19:30 Uhr, online: Im Sommersemester 2026 bietet die FernUniversität Hagen Online-Veranstaltungen zu aktuellen Fällen des Datenschutzrechts an. Anhand aktueller Rechtsfragen und persönlicher Erfahrungsberichte aus Anwaltschaft, Journalismus, Verwaltung und Wissenschaft werden unterschiedliche Perspektiven beleuchtet:
- 29.04.2026: „Öffentliche Äußerungen von Datenschutzbehörden – Was geht, was geht nicht?“
- 10.06.2026: „Einblicke in das kirchliche Datenschutzrecht – Art. 91 DSGVO im Fokus“
- 24.06.2026: „Sensible Daten, sensible Nähe: Datenschutzrechtliche Herausforderungen der KI-Sexrobotik“
Weitere Informationen und Anmeldung hier.
5.3.16 7. IFG Days – Informationsfreiheitstage des LfDI Baden-Württemberg -neu-
05./06.05.2026, Stuttgart und online: Die 7. IFG Days stehen unter dem Motto „10 Jahre Informationsfreiheit in Baden-Württemberg: Gemeinsam Transparenz voranbringen“ mit dem Ziel über den Stand der Informationsfreiheit zu sprechen, Ausblicke zu formulieren und Expert:innen und Bürger:innen miteinander zu verknüpfen. Weitere Informationen und Anmeldung hier.
5.3.17 Hamburger Datenschutzgesellschaft: 5. Hamburger Datenschutzforum -neu-
06.05.2026, 14:00 – 17:00 Uhr, Hamburg: Die Hamburger Datenschutzgesellschaft führt wieder das Hamburger Datenschutzforum durch. Angesprochen werden nach acht Jahren Anwendungspraxis die Erfahrungen mit der DS-GVO und wo es Reformbedarf geben kann. Was plant der Verordnungsgeber auf europäischer Ebene dazu und wie soll im Paket mit anderen Digitalrechtsakten eine Vereinfachung und ein KI-fähiges datenschutzrecht entstehen? Die Vorschläge betreffen viele verschiedene Bereiche, die für Unternehmen Entlastung bringen sollen, wie beispielsweise eine Definition personenbezogener Daten, die Anonymisierung erleichtert, Vereinfachungen bei der Meldung von Datenpannen sowie Erlaubnisnormen für das KI-Training. Zudem plant Deutschland, innerhalb des nationalen Spielraums die Pflicht zur Benennung eines Datenschutzbeauftragten stark zu begrenzen. Weitere Informationen und Anmeldung hier.
5.3.18 Webinar zu „Purview Realitätscheck und die DSGVO Katastrophe“
20.05.2026, 10:00 – 11:00 Uhr, online: In diesem kostenfreien Webinar werden die Möglichkeiten von Microsoft Purview als zentrale Plattform für Data Governance und Compliance betrachtet. Dabei geht es u.a. um praxisnahe Ansätze, wie Security- und Compliance-Ziele zusammengeführt werden können: bessere Datenauffindbarkeit, Risikobewertung nach Sensitivität, automatisierte Bereinigung/Löschung, Retention & Legal Hold sowie messbare KPIs für Coverage und Risiko-Reduktion. Weitere Informationen und Anmeldung hier.
5.3.19 BzKJ: Neue digitale Trends, neue Gefährdungen: Rechtliche Grundlagen des Kinder- und Jugendmedienschutzes
02.06.2026, 17:00 – 18:30 Uhr, online: Die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) bietet auch im Jahr 2026 wieder eine kostenfreie Online-Veranstaltungsreihe in Kooperation mit der Akademie der Kulturellen Bildung des Bundes und des Landes NRW an. Die Workshops richten sich an alle, die sich für den Kinder- und Jugendmedienschutz interessieren – sei es beruflich, ehrenamtlich oder privat. Die Online-Veranstaltungen bauen nicht aufeinander auf und können unabhängig voneinander besucht werden. Weitere Informationen und Anmeldung dazu hier.
Weitere Termine und Themen sind:
- 15.09.2026 (17:00 – 18:30 Uhr)
Radikal online: Kinder und Jugendliche als Zielgruppe extremistischer Online-Aktivitäten - 01.12.2026 (17:00 – 18:30 Uhr)
Pornografie, Cybergrooming, Sexting: Abgrenzung, Rechtslage und Konsequenzen für die Kinder- und Jugendarbeit
5.3.20 AI Transparency Conference
05./06.06.2026, Nürnberg: Die AI Transparency Conference ist eine internationale Forschungskonferenz, die sich auf die Förderung transparenter und menschenkompatibler KI-Systeme konzentriert. Sie möchte Forscher zusammenbringen, die sich mit Interpretierbarkeit, KI-Sicherheit, Kontrolle und Governance befassen.
Die Konferenz ist als Präsenzveranstaltung konzipiert und richtet sich an Doktoranden, Postdoktoranden, Fakultätsmitglieder und Forschungsinstitute. Weitere Informationen und Anmeldung hier.
5.3.21 EDPS: „From Omnibus to Opportunity: Driving Data Protection and Innovation“ -neu-
08.06.2026, 18:30 – 20:30 Uhr, Brüssel: Der Europäische Datenschutzbeauftragte, die BfDI und der LfD Bayern gestalten eine Debatte über die Omnibus-Vorschläge der Europäischen Kommission und deren Auswirkungen auf die DS-GVO sowie den allgemeinen digitalen Rechtsrahmen der EU. Weitere Informationen und Anmeldung hier.
5.3.22 Universität des Saarlandes: Save-the-Date „Datenschutz im Diskurs => Digitale Resilienz“ -neu-
22.09.2026: Das Leitthema des Informatik Festivals 2026 ist „Digitale Resilienz“. Zu den Grundvoraussetzungen digitaler Resilienz gehört ein moderner Daten- und Systemschutz, der technikangemessen ist und die freie Entfaltung von Menschen unterstützt. Dieser Workshop will Informatiker und Juristen und sonstige Interessierte zusammenbringen, die an Fragestellungen des technikbasierten Datenschutzes arbeiten. Es sollen Themen adressiert werden, die anwendungsorientiertes Potential für interdisziplinären Diskurs und Zusammenarbeit bieten und die Möglichkeiten aufzeigen, wie Datenschutz durch Technik präzisiert und umgesetzt werden kann. Aktuell gibt es den Call for Papers.
6 Gesellschaftspolitische Diskussionen
6.1 Digitale Verwaltungsstrategie in Schleswig-Holstein
Schleswig-Holstein positioniert sich mit der Digitalstrategie 2026 als digitaler Vorreiter im Norden Europas. Die Strategie setzt auf digitale Souveränität, Open Source und gesellschaftlichen Nutzen. Ziel ist eine moderne, resiliente und bürgernahe Verwaltung, die technologische Innovationen konsequent mit den Bedürfnissen von Bürgerinnen und Bürgern sowie Unternehmen verknüpft und so den gesellschaftlichen Fortschritt aktiv gestaltet. Mehr dazu hier.
6.2 Fies oder nur ein Geschäftsmodell?
Im Rahmen eines Verfahrens gegen Meta wurde deutlich gemacht, wie ein Account eines angeblich 13-jähriges Mädchens über den eingesetzten Algorithmus mit altersuntauglichen Themen konfrontiert wird. Bericht dazu hier. Letztendlich führte dies zu einem Verfahren gegen Meta. Und dann auch zu einem Urteil mit einer Strafe in Höhe von 375 Mio $ in den USA. In der entsprechenden Pressemeldung wird der zuständige Generalanwalt von New Mexico zitiert: „Meta-Führungskräfte wussten, dass ihre Produkte Kindern schadeten, Warnungen ihrer eigenen Mitarbeiter missachteten und die Öffentlichkeit darüber belogen, was sie wussten. Heute hat die Jury sich den Familien, Pädagogen und Kindersicherheitsexperten angeschlossen, die Meta sagen, dass genug genug ist.“ Natürlich kündigte Meta an, das Urteil überprüfen zu lassen. Bericht dazu auch hier.
Dies ist jedoch nicht der einzige Fall gegen Social-Media-Unternehmen, die sich auf das Thema Kinderschutz und Sucht konzentrieren. Anfang dieses Jahres begann in Kalifornien ein Verfahren gegen Meta und YouTube, in dem es darum geht, ob diese Unternehmen süchtig machende Funktionen implementiert haben, die Kindern schaden – und ob sie für Schäden haftbar sind.
7 Sonstiges/Blick über den Tellerrand
7.1 EU: Besserer Schutz von Kindern und Jugendlichen durch den DSA
Die Broschüre der EU-Kommission „Das Gesetz über digitale Dienste (DSA) verstehen – Was Online-Plattformen tun sollten, damit Kinder und Jugendliche online sicher sind“ will verständlich erklären, wie der Digital Service Act (DSA) funktioniert und welche Schutzmechanismen vorgesehen sind.
7.2 Digitale Souveränität – Eine andere Perspektive
In diesem Beitrag schildert eine Richterin des Internationalen Strafgerichtshof (International Criminal Court – ICC), wie sich nicht nur ihr digitales Leben änderte, als sie von US-Sanktionen getroffen wurde. Als Berufungsrichterin war sie Teil des ICC-Panels 2020, das den Weg für die Untersuchung angeblicher Kriegsverbrechen durch die Taliban, die afghanischen Nationalen Sicherheitskräfte, das US-Militär und CIA-Personal ebnete.
q.
8. Franks Zugabe
8.1 Bernie vs. Claude
Hier werden wir Zeuge eines Gesprächs (YouTube, Dauer ca. 10 Min.) zwischen US-Senator Bernie Sanders und Claude. Nun ja. Schauen Sie es sich an…
8.2 Company that Secretly Records and Publishes Zoom Meetings
Na, das ist doch auch mal erfreulich …
8.3 Outlook im All?
Am Besten gefällt mir der erste Satz (vielleicht müssen Sie hochscrollen):
„i’m so sorry we’ve sent these souls to the moon and they’re using outlook?“
Aber lesen Sie selbst.
9. Die gute Nachricht zum Schluss
9.1 Niedersachsen: Social-Media-Pass
Der Social-Media-Pass Niedersachsen ist ein Selbstlernangebot für Lehrkräfte, die Schülerinnen und Schüler der Jahrgangsstufe 7 unterrichten. Im Zentrum des Materials stehen Arbeitsblätter für den Einsatz im (Fach-)Unterricht. Ergänzt wird das Material mit Sachinformationen und methodisch-didaktischen Hinweisen für Lehrkräfte. Ziel des Social-Media-Pass Niedersachsen ist es Schülerinnen und Schülern der Jahrgangsstufe 7 zu befähigen sich auf grundlegendem Niveau mit ihrem individuellen Nutzungsverhalten sowie den Funktions- und Wirkungsweisen von sozialen Medien auseinanderzusetzen. Ferner zielt das Angebot darauf ab die Medienkompetenz von Heranwachsenden zu fördern und sie zu einem sicheren, reflektierten und verantwortungsvollen Umgang mit sozialen Medien zu befähigen. Die bisher veröffentlichten drei Module finden sich hier.