Hier ist der 43. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 15&16/2026)“ – Die DVD-Edition.
Und schon wieder fünf neue Tätigkeitsbereiche für das Jahr 2025, u.a. der BGH zum Anwaltszwang, natürlich etwas zur EU-App zur Altersverifikation, Hinweise der BaFin zum Betrieb von Lösegeldversicherungen, immer noch reichlich Veranstaltungshinweise, Datenschutzverstöße bei einer Dating App, eine Meldung dazu, warum manchmal diejenige, die liest, gewinnt, sowie Videoclips zur Frage, welche Rolle KI künftig in unserem Alltag spielt …
- Aufsichtsbehörden
- EDSA: Tätigkeitsbericht für 2025
- EDSA: Leitlinien für wissenschaftliche Forschung
- EDSA: Leitlinien zur Anonymisierung werden priorisiert
- EDSA: Annahme von Zertifizierungskriterien – auch für Art. 46 DS-GVO
- EDSA: DSFA-Template zur Konsultation veröffentlicht
- LfDI Baden-Württemberg: Videoaufzeichnung zum Tätigkeitsbericht für 2025
- DSB Österreich: Tätigkeitsbericht für 2025
- DSB Österreich: Tätigkeitsbericht für 2025 – Nutzung von „Microsoft 365 Education“ in Bildungseinrichtungen
- DSB Österreich: Tätigkeitsbericht für 2025 – Zur Unzulässigkeit von Straßenfotografie
- DSB Österreich: Tätigkeitsbericht für 2025 – Finanzmarktaufsicht zählt nicht als Empfängerin nach Art. 4 Nr. 9 DS-GVO
- Hessen: Tätigkeitsbericht für 2025
- Hessen: Tätigkeitsbericht für 2025 – Geldbuße gegen einen Rechtsanwalt
- Hessen: Tätigkeitsbericht für 2025 – Niederlegung des Amts als Datenschutzbeauftragte:r
- Hessen: Tätigkeitsbericht für 2025 – Erhebung privater Telefonnummern im Beschäftigungsverhältnis
- Hessen: Tätigkeitsbericht für 2025 – Systemfehler führt zur Missachtung tausender Werbewidersprüche
- Hessen: Tätigkeitsbericht für 2025 – Mindesthaltbarkeitsdatum bei Datennutzung für Werbung
- Hessen: Tätigkeitsbericht für 2025 – Anforderungen an Vertretung bei Auskunftsbegehren
- Hessen: Tätigkeitsbericht für 2025 – Verantwortlicher oder Auftragsverarbeiter?
- Hessen: Tätigkeitsbericht für 2025 – Werkzeug zur Analyse von Datenveröffentlichungen im Darknet
- Hessen: Tätigkeitsbericht für 2025 – Mehr Rechtssicherheit beim Einsatz von Microsoft 365
- Hessen: Tätigkeitsbericht für 2025 – Aufarbeitung und Prävention von Datenschutzvorfällen durch Phishing
- ULD Schleswig-Holstein: Tätigkeitsbericht für 2025
- ULD Schleswig-Holstein: Tätigkeitsbericht für 2025 – Benennung der vertretenen Person bei befristetem Arbeitsvertrag
- ULD Schleswig-Holstein: Tätigkeitsbericht für 2025 – Androhung der Ersatzhaft bei nicht erteilter Auskunft?
- ULD Schleswig-Holstein: Tätigkeitsbericht für 2025 – Bildveröffentlichung eine Kindes durch nicht sorgeberechtigten Elternteil
- ULD Schleswig-Holstein: Tätigkeitsbericht für 2025 – Scheinbare Anonymisierung
- ULD Schleswig-Holstein: Tätigkeitsbericht für 2025 – Analyse von Kundendaten zu Werbezwecken mit Smart-Data-Verfahren
- ULD Schleswig-Holstein: Tätigkeitsbericht für 2025 – Update zu den EDSA-Guidelines zu Pseudonymisierung und Anonymisierung
- LDI Niedersachsen zu Gast in Podcast
- LfD Bayern KI-basierte Sprachübersetzungstools
- LDI NRW: Tätigkeitsbericht für 2025
- LDI NRW: Tätigkeitsbericht für 2025 – Einsatz von KI in der Schule
- LDI NRW: Tätigkeitsbericht für 2025 – Bildaufnahmen auf Schüler:innen-Handys für Lehrkräfte und Schulleitung
- LDI NRW: Tätigkeitsbericht für 2025 – Neue Verhaltensregeln für Versicherungen für den Umgang mit Kund:innendaten
- LDI NRW: Tätigkeitsbericht für 2025 – Betrugsbekämpfung im Zahlungsverkehr
- LDI NRW: Tätigkeitsbericht für 2025 – Zertifizierung 3.0: Anforderungen an datenschutzrechtliche Zertifizierungsprogramme
- LDI NRW: Tätigkeitsbericht für 2025 – Türkontrolle per Smartphone
- LDI NRW: Tätigkeitsbericht für 2025 – Einheitliches Meldeformular
- LfDI Mecklenburg-Vorpommern: Auswärtsspiel bei F.C. Hansa Rostock
- LfDI Mecklenburg-Vorpommern: Warnung vor Betrugsversuch zu Kinderdaten in Arztpraxen
- Irland: Tipps zu Fotoaufnahmen bei Veranstaltungen
- Niederlande: Tipps zum Anonymisieren von Dokumenten
- CNIL: Tracking bei E-Mails
- Belgien: Auswirkungen von Künstlicher Intelligenz auf die Privatsphäre
- BSI: Sicheres Cloud Computing mit C5:2026
- Rechtsprechung
- EuGH: Anforderungen an „Pastiche“ (C-590/23)
- EuGH: Auskunftspflichtigkeit bayerischer Datenschutzaufsichtsbehörden (C-205/25)
- BGH: Vertretung bei Auskunftsansprüchen
- BGH: Anwaltszwang vor dem Landgericht und die DS-GVO
- VG Düsseldorf: Rechtsweg bei Klagen aus Art. 82 DS-GVO gegen öffentliche Stellen
- LAG Hessen: Immaterieller Schadenersatz nach Art. 82 und Aufsichtsbehörden
- LG Köln: Auskunftsanspruch eines Personalvermittlers auf Gehaltsangaben
- BGH: Zur Löschung von überobligatorischen Daten im Handelsregister
- öBVwG: Spendenaufruf nach Rettungseinsatz
- Spanien: Tarifvertragliche Verpflichtung und Datenschutzvorgaben
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- BaFin: Hinweise zum Betrieb von Lösegeldversicherungen
- Blog zur Informationsfreiheit-Rechtsprechung in Österreich
- Löschkonzept für Personaldaten
- Cybersicherheit im Krankenhaus
- Veranstaltungen
- Data Deep Dive – Webinare einer Kanzlei zu datenschutzrechtlichen Schlüsselthemen
- Webinar: Arbeitsrechtsfrühstück zu Mitbestimmung und KI-Systeme
- weitklick: „KI-Desinformation erkennen, Medienbildung stärken“
- LfD Sachsen-Anhalt – Datenschutz am Abend: Entgelttransparenzrichtlinie
- Stiftung Datenschutz: „Datenschutz im Ehrenamt“
- GI: PET Talk 9 – Deployable Differential Privacy -neu-
- Netzwerk „Interaktiv“: „Digitale Räumen für Kinder und Jugendliche“
- Digitale Helden: „Fachtag Medienbildung“ -neu-
- FernUniversität Hagen – Vortragsreihe „Datenschutz aktuell“
- 7. IFG Days – Informationsfreiheitstage des LfDI Baden-Württemberg
- Hamburger Datenschutzgesellschaft: 5. Hamburger Datenschutzforum
- DVD e.V.: Fünfter DatenAbend -neu-
- Webinar zu „Purview Realitätscheck und die DSGVO Katastrophe“
- BzKJ: Neue digitale Trends, neue Gefährdungen: Rechtliche Grundlagen des Kinder- und Jugendmedienschutzes
- AI Transparency Conference
- Zukunft Verband 360°: „KI rechtssicher einsetzen“ -neu-
- EDPS: „From Omnibus to Opportunity: Driving Data Protection and Innovation“
- Universität des Saarlandes: Save-the-Date „Datenschutz im Diskurs => Digitale Resilienz“
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Tätigkeitsbericht für 2025
Der EDSA hat seinen Jahresbericht für das Jahr 2025 veröffentlicht. Der Bericht will einen Überblick über die Arbeit des EDSA im Jahr 2025 geben und auf wichtige Meilensteine eingehen, wie die Annahme der Erklärung von Helsinki zu mehr Klarheit, Unterstützung und Engagement (wir berichteten). Den Bericht gibt es auch als Zusammenfassung, der neben Höhepunkten in den jeweiligen Monaten Angaben zu Zahlen der Gesamtstatistik wiedergibt. Im Bericht selbst gibt es ab Seite 32 beispielhafte Fälle aus den jeweiligen Mitgliedsstaaten. Positiv fällt auf, dass dabei auch auf bisherige Berichte auf den Webseiten des EDSA oder der jeweiligen Aufsicht verlinkt wird, sofern darüber bereits informiert wurde. Dieser Service findet sich auch bei der Zusammenstellung der im Berichtsjahr erstellen Leitlinien, Stellungnahmen und Beratungen zu Gesetzgebungsverfahren sowie zu übrigen Dokumenten des EDSA aber auch zu den Ergebnissen der Mitglieder des Support Pool of Experts (ab Seite 24). Hilfreich finde ich auch die Übersicht der Verfahren vor dem EuGH, an denen der EDSA beteiligt ist (ab Seite 27). Bei der sehr plakativen Darstellung der verhängten Geldbußen aufteilt nach Mitgliedsstaat ab Seite 31 wäre mir noch ein Hinweis lieb gewesen, ob die auch gezahlt wurden oder noch gerichtlich überprüft werden.
1.2 EDSA: Leitlinien für wissenschaftliche Forschung
Der EDSA hat Leitlinien für die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken angenommen. Viele Bereiche der wissenschaftlichen Forschung beruhen auf der Verarbeitung personenbezogener Daten von Einzelpersonen, was zu bedeutenden wissenschaftlichen Durchbrüchen geführt hat, die der Gesellschaft zugutekommen. Der Aufstieg neuer Technologien, wie künstliche Intelligenz, trägt auch zum wissenschaftlichen Fortschritt bei, indem es Forscher:innen ermöglicht wird Daten auf innovative Weise zu nutzen und zu analysieren.
Das Hauptziel der Leitlinien des EDSA zur wissenschaftlichen Forschung besteht darin Forschern mehr Klarheit zu verschaffen und die Einhaltung der DS-GVO zu erleichtern und gleichzeitig den Schutz der Grundrechte des Einzelnen zu gewährleisten.
In seinen Leitlinien erläutert der Ausschuss u.a. den Begriff „wissenschaftliche Forschung“. Um festzustellen, ob die Verarbeitung zu wissenschaftlichen Forschungszwecken im Sinne der DS-GVO erfolgt, stellt der Ausschuss sechs Schlüsselindikatoren zur Verfügung, die neben der Art, dem Umfang, dem Kontext und den Zwecken der Verarbeitung berücksichtigt werden sollten. Dabei handelt es sich um:
- Den methodischen und systematischen Ansatz,
- die Einhaltung ethischer Standards,
- Überprüfbarkeit und Transparenz,
- Autonomie und Unabhängigkeit,
- Ziele der Forschung und
- das Potenzial zu bestehenden wissenschaftlichen Erkenntnissen beizutragen oder vorhandene Kenntnisse auf neuartige Weise anzuwenden.
Wenn die Forschungsaktivitäten diese sechs Faktoren erfüllen, kann davon ausgegangen werden, dass sie wissenschaftliche Forschung darstellen. Andernfalls sollte der Verantwortliche begründen und nachweisen können, warum die Tätigkeiten als wissenschaftliche Forschung im Sinne der DSGVO anzusehen sind.
Es wird davon ausgegangen, dass die Weiterverarbeitung zu wissenschaftlichen Forschungszwecken mit dem ursprünglichen Zweck der Erhebung personenbezogener Daten von Einzelpersonen vereinbar ist. Daher sind die Verantwortlichen nicht verpflichtet den Zweckkompatibilitätstest nach der DS-GVO durchzuführen, um festzustellen, ob die neue Verarbeitung mit dem ursprünglichen Zweck der Erhebung vereinbar ist. Die Verantwortlichen müssen jedoch weiterhin sicherstellen, dass die Rechtsgrundlage der Erstverarbeitung auch für die Weiterverarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken geeignet ist.
Verantwortliche können sich auf eine „breite Zustimmung“ (Broad Consent) stützen, wenn die Forschungszwecke zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig bekannt sind. In diesem Fall sollten die Forscher ethische Standards für die wissenschaftliche Forschung einhalten und zusätzliche Schutzvorkehrungen treffen, um die fehlende Zweckspezifikation auszugleichen. Die Verantwortlichen können auch Einzelpersonen auffordern verschiedenen einzelnen Forschungsprojekten gesondert zuzustimmen, sobald die Zwecke dieser Projekte bekannt werden (dynamische Zustimmung). Eine Kombination aus breiter und dynamischer Zustimmung ist ebenfalls möglich.
Die Guidelines bringen auch immer wieder Beispielsfälle mit der Einordnung durch den EDSA, so z.B. in Beispiel 2, in dem das Training einer KI zur Vermeidung von Verzerrungen (Bias) beschrieben wird.
Darüber hinaus präzisiert der EDSA die Rechte natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten für wissenschaftliche Zwecke.
Bis 25. Juni 2026 können im Rahmen einer Konsultation Hinweise unter Verwendung des bereitgestellten Formulars an den EDSA gesendet werden.
1.3 EDSA: Leitlinien zur Anonymisierung werden priorisiert
Der EDSA informiert auch, dass ein „Sprint-Team“ für den Abschluss der Arbeiten zur Anonymisierung eingerichtet wurde. Dabei wird angestrebt, dass die Fertigstellung der anstehenden Richtlinien zur Anonymisierung bis zum Sommer abgeschlossen werden könnte.
1.4 EDSA: Annahme von Zertifizierungskriterien – auch für Art. 46 DS-GVO
Auch informiert der EDSA, dass er eine Stellungnahme annahm, in der er die aktualisierten Europrivacy–Zertifizierungskriterien als Europäisches Datenschutzsiegel gemäß Art. 42 Abs. 5 DS-GVO billigte. Weitere Informationen zu den Kriterien hier.
Darüber hinaus nahm der Ausschuss erstmals eine Stellungnahme an, in der er die Europrivacy-Zertifizierungskriterien als Europäisches Datenschutzsiegel anerkennt, das als Instrument für Übermittlungen gemäß den Artt. 42 und 46 DS-GVO verwendet werden soll.
Datenimporteure außerhalb Europas, die nicht der DS-GVO unterliegen, können sich nun für die Übermittlung von Daten, die sie erhalten, an das Europrivacy-Zertifizierungssystem wenden. Diese Zertifizierung soll die Erfüllung der Verpflichtung der für die Verarbeitung Verantwortlichen und Auftragsverarbeiter in Europa, nachzuweisen, dass sie angemessene Garantien für die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen bieten. erleichtern.
1.5 EDSA: DSFA-Template zur Konsultation veröffentlicht
Der EDSA hat im schriftlichen Verfahren eine Vorlage für Datenschutz-Folgenabschätzungen (DSFA) verabschiedet und veröffentlicht. Die Vorlage soll Organisationen dabei helfen ihre Berichtsprozesse im Rahmen von Datenschutz-Folgenabschätzungen zu strukturieren, zu harmonisieren und zu dokumentieren. Ergänzt wird die Vorlage durch ein Erläuterungsdokument, das prägnante Erläuterungen zum effektiven Ausfüllen dieser Vorlage enthält, indem es Schlüsselkonzepte in einfacher Sprache aufschlüsselt und auf mögliche Fragen und Wissenslücken eingeht, die bei den für die Verarbeitung Verantwortlichen bestehen könnten.
Verantwortliche können ihre Risikoanalyse- und -managementprozesse nach eigenem Ermessen durchführen und dabei die DPIA-Methodik ihrer Wahl anwenden. Zwar ist die Verwendung der EDPB-Vorlage für Organisationen nicht verpflichtend, doch ermöglicht sie ihnen laut EDSA von vordefinierten Feldern zu profitieren, die zu vollständigen und strukturierten Antworten führen. Dies trägt dazu bei, dass alle erforderlichen Informationen korrekt erfasst werden, während das Fehlerrisiko minimiert und Zeit gespart wird.
Die Vorlage wird bis zum 9. Juni 2026 einer öffentlichen Konsultation unterzogen, die den Interessengruppen die Möglichkeit bietet Kommentare abzugeben und Feedback zu liefern. Im Anschluss an die öffentliche Konsultation werden alle Datenschutzbehörden die notwendigen Schritte einleiten, um diese Vorlage entweder als ihren alleinigen Standard oder als „Meta-Vorlage“ zu übernehmen, an der sich länderspezifische Vorlagen orientieren werden. In der Zwischenzeit werden Organisationen dazu ermutigt diese Vorlage zu verwenden und im Rahmen der öffentlichen Konsultation Feedback zu geben.
1.6 LfDI Baden-Württemberg: Videoaufzeichnung zum Tätigkeitsbericht für 2025
Wer die Vorstellung des Tätigkeitsberichts des LfDI Baden-Württemberg für 2025 verpasste (über den wir berichteten), kann sie sich als Aufzeichnung (Dauer ca. 43 Min.) ansehen.
1.7 DSB Österreich: Tätigkeitsbericht für 2025
Die Datenschutzbehörde (DSB) Österreich hat ihren Tätigkeitsbericht für das Jahr 2025 veröffentlicht. Neben der Darstellung von Statistik (ab Seite 24) wie Zunahmen der Beschwerden etc. und ist auch hervorzuheben, dass im Tätigkeitsbericht (ab Seite 59) wesentliche höchstrichterliche Entscheidungen aufgeführt werden. Dennoch erlaube ich mir einige Fälle und Aussagen herauszugreifen:
1.7.1 DSB Österreich: Tätigkeitsbericht für 2025 – Nutzung von „Microsoft 365 Education“ in Bildungseinrichtungen
In Ziffer 4.3.1-4 informiert die DSB von ihrem Verfahren hinsichtlich des Einsatzes von Microsoft Education in Bildungseinrichtungen (wir berichteten). Sie teilt dazu mit, dass der Bescheid nicht rechtskräftig wurde und aktuell beklagt wird.
1.7.2 DSB Österreich: Tätigkeitsbericht für 2025 – Zur Unzulässigkeit von Straßenfotografie
Zur Unzulässigkeit von Straßenfotografie ohne Einwilligung führt die DSB in Ziffer 4.3.6-2 aus, dass sie ein amtswegiges Prüfverfahren gegen den Betreiber einer öffentlich zugänglichen Website durchführte. Auf der Website befanden sich Fotos von identifizierbaren Personen, darunter Kinder, Personen beim Essen, Frauen mit exponierter Darstellung des Brustbereichs sowie Personen, aus deren Erscheinungsbild religiöse Überzeugungen ableitbar waren. Der Verantwortliche holte für diese Bildaufnahmen und deren Veröffentlichung weder durchgehend Einwilligungen ein noch informierte er die Betroffenen systematisch gemäß Art. 13 DS-GVO.
Mangels wirksamer Einwilligung oder sonstiger tragfähiger Rechtsgrundlage war bereits die Herstellung der Fotos nach den Ausführungen der DSB unzulässig, weshalb auch deren Veröffentlichung rechtswidrig gewesen sei. Der Leistungsauftrag zur Löschung gemäß Art. 58 Abs. 2 lit. g DS-GVO erwies sich daher als angemessen.
1.7.3 DSB Österreich: Tätigkeitsbericht für 2025 – Finanzmarktaufsicht zählt nicht als Empfängerin nach Art. 4 Nr. 9 DS-GVO
Die DSB berichtet in Ziffer 4.3.7.1-3 über eine Entscheidung, die durch das öBVwG bestätigt wurde. Es gab eine Beschwerde, weil ein Kreditinstitut bei einem Auskunftsbegehren nicht die Finanzmarktaufsicht als Empfängerin angab. Die Finanzmarktaufsicht hatte beim beschwerdegegnerischen Kreditinstitut eine Vor-Ort-Prüfung nach § 30 Abs. 1 FM-GwG durchgeführt. Grund für die Prüfung war der Verdacht, dass Mittel der beschwerdeführenden Partei aus illegalen Quellen stammen.
Das BVwG hat im gegenständlichen Erkenntnis die Entscheidung der DSB bestätigt und begründend ausgeführt, dass die Finanzmarktaufsicht als nach § 1 Abs. 1 FMABG eingerichtete Anstalt öffentlichen Rechts mit eigener Rechtspersönlichkeit gesetzlich zur Durchführung der Banken-, Versicherungs-, Wertpapier- und Pensionskassenaufsicht berufen ist. Sie verfügt dabei über konkrete Untersuchungsbefugnisse, wie nach § 25 Abs. 1 FM-GwG zur Überwachung der Einhaltung von Vorschriften zur Verhinderung von Geldwäscherei und Terrorismusfinanzierung. Die Finanzmarktaufsicht ist daher berechtigt Vor-Ort-Prüfungen bei verpflichteten Kredit- und Finanzinstituten durchzuführen. Aufgrund dieser gesetzlichen Untersuchungsbefugnisse fällt die Finanzmarktaufsicht unter die Ausnahme des Art. 4 Nr. 9 Satz 2 DS-GVO und ist nicht als „Empfänger“ anzusehen. Eine Verpflichtung zur Offenlegung im Rahmen des Auskunftsrechts nach Art. 15 Abs. 1 lit. c DS-GVO bestehe nicht.
1.8 Hessen: Tätigkeitsbericht für 2025
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) stellte seine Tätigkeitsberichte zum Datenschutz und zur Informationsfreiheit für das Jahr 2025 vor. Insgesamt zieht er ein positives Fazit, weist aber auf den starken Anstieg der Arbeitslast seiner Behörde hin. Schön ist, dass z.B. auch über die gegenseitigen Austauschprogramme der europäischen Aufsichtsbehörden berichtet wird (ab Seite 24 in Ziffer 2.3), was auch zu einem einheitlichen Verständnis der Interpretation der DS-GVO beiträgt. Auch aus diesem Tätigkeitsbericht nachfolgend einige subjektive Hervorhebungen:
1.8.1 Hessen: Tätigkeitsbericht für 2025 – Geldbuße gegen einen Rechtsanwalt
Erstmals stellte der HBDI einen sanktionswürdigen Verstoß durch einen Berufsgeheimnisträger aus dem Bereich der Rechtspflege fest und erließ erstmalig einen Geldbußenbescheid gegen einen Rechtsanwalt, wie er unter Ziffer 4.6 berichtet. Der Strafverteidiger lud auf seinem öffentlich zugänglichen Instagram-Account ein knapp 30-sekündiges Video hoch, in welchem er einen Aktenordner mit strafrechtlichen Unterlagen durchblätterte und damit die Erfolge seiner Kanzlei bewarb. Die gezeigten Dokumente waren nicht geschwärzt, so dass beim Heranzoomen des Videomaterials personenbezogene Daten von mindestens 20 Personen lesbar waren. Erkennbar waren unter anderem Namen, Anschriften, Geburtsdaten und Staatsangehörigkeit der Mandanten sowie Tatvorwürfe und teilweise verhängte Strafen. In Einzelfällen bestand auch ein Bezug zum Jugendstrafrecht. Das Video wurde über 1.400-mal aufgerufen. Für den Verstoß rief der HBDI eine Geldbuße in Höhe von 4.000 Euro auf.
1.8.2 Hessen: Tätigkeitsbericht für 2025 – Niederlegung des Amts als Datenschutzbeauftragte:r
Mit der Frage, ob ein Datenschutzbeauftragter (DSB) selbst sein Amt niederlegen kann und was dabei zu beachten ist, befasst sich der HBDI ab Seite 112 in Ziffer 8.2. Der HBDI differenziert zunächst zwischen einem DSB bei einer öffentlichen Stelle oder einer nicht-öffentlichen Stelle und ob es sich um einen internen oder externen DSB handele.
Bei internen Datenschutzbeauftragten begründet sich die Möglichkeit der Amtsniederlegung daraus, dass der Datenschutzbeauftragte nicht gegen seinen Willen verpflichtet werden kann das Amt weiter fortzuführen. Anderes gilt, wenn die Beschäftigung ausschließlich auf die Tätigkeit des Datenschutzbeauftragten abzielt. Die Amtsniederlegung ist vom internen Datenschutzbeauftragten gegenüber dem Verantwortlichen zu erklären. Aus Gründen der Nachweisbarkeit sollte diese Erklärung schriftlich erfolgen. Auch sollten hier Vorkehrungen getroffen werden, die den Zugang des Schreibens nachweisen können (z. B. Einschreiben, Zeuge bei der Übergabe). In dem Schreiben ist außerdem zu erklären, zu welchem Datum das Amt niedergelegt werden soll. Dabei ist dem Verantwortlichen ausreichend Zeit für die Benennung eines Nachfolgers einzuräumen. Wie lange dieser Zeitraum sein sollte, ist gesetzlich nicht geregelt und hängt individuell von der Situation beim jeweiligen Verantwortlichen ab (z. B. aktuelle Ausgestaltung der personellen Ressourcen beim Verantwortlichen).
Legt ein interner Datenschutzbeauftragte einer nicht-öffentlichen Stelle jedoch sein Amt aufgrund eines wichtigen Grundes i. S. d. § 626 BGB nieder, so habe er diesen Schritt gegenüber dem Verantwortlichen zu begründen. Im Falle der Amtsniederlegung durch den internen Datenschutzbeauftragten einer nicht-öffentlichen Stelle gelte nach Ansicht des HBDI auch der Kündigungsschutz nach § 6 Abs. 4 Satz 3 BDSG.
Eine öffentliche Stelle i. S. d. HDSIG ist gemäß § 5 Abs. 1 HDSIG verpflichtet auch einen stellvertretenden Datenschutzbeauftragten zu benennen. Die bisherigen Ausführungen (außer den Besonderheiten bei internen Datenschutzbeauftragten einer nicht-öffentlichen Stelle) gelten auch für den internen stellvertretenden Datenschutzbeauftragten einer öffentlichen Stelle, der sein Amt niederlegen möchte. Dass die öffentliche Stelle einen Stellvertreter bereits benannt hat, ist bei der Berechnung der Frist für das Wirksamwerden der Niederlegung des Amtes zu berücksichtigen.
1.8.3 Hessen: Tätigkeitsbericht für 2025 – Erhebung privater Telefonnummern im Beschäftigungsverhältnis
Anlässlich einer Meldung nach dem Hinweisgeberschutzgesetz, die den HBDI durch das Bundesamt der Justiz erreichte, hat er sich im Berichtszeitraum mit der Frage der datenschutzrechtlichen Zulässigkeit der Erhebung privater Telefonnummern im Beschäftigungsverhältnis befasst. In der Meldung wurde durch den Hinweisgeber u. a. mitgeteilt, dass ein großes Speditionsunternehmen mit Sitz in Hessen die privaten Telefonnummern (d. h. die private Mobilnummer oder die private Festnetznummer) seiner Beschäftigten speichere.
Der HBDI zitiert dazu in Ziffer 8.3 ab Seite 114 eine Entscheidung des Landesarbeitsgerichts Thüringen aus dem Jahr 2018. Dieses hatte entschieden, dass die Erhebung oder Erfassung der privaten Telefonnummer eines Beschäftigten gegen seinen Willen wegen des darin liegenden Eingriffs in das allgemeine Persönlichkeitsrecht nur dann zulässig ist, wenn der Arbeitgeber ohne Kenntnis der Mobiltelefonnummer im Einzelfall eine legitime Aufgabe andernfalls nicht, nicht vollständig oder nicht in rechtmäßiger Weise erfüllen kann und ihm eine andere Organisation der Aufgabenerfüllung nicht möglich oder zumutbar ist.
Im konkreten Fall konnte der HBDI die Begründung der Spedition nachvollziehen, hielt sie aber aus datenschutzrechtlichen Gründen nicht für ausreichend. Dabei befasst er sich auch mit den in Frage kommenden Rechtmäßigkeitsgrundlagen und den Auswirkungen des EuGH-Urteils C-34/21 (wir berichteten) zu Grundlagen im Beschäftigtenkontextes.
1.8.4 Hessen: Tätigkeitsbericht für 2025 – Systemfehler führt zur Missachtung tausender Werbewidersprüche
Der HBDI erfuhr, dass ein global tätiges Reiseunternehmen den vor Jahren eingelegten und bis dato umfassend berücksichtigten Werbewiderspruch eines Betroffenen plötzlich nicht mehr beachtete. Dessen Daten wurden stattdessen erneut zu werblichen Zwecken verarbeitet, um Briefwerbung zu versenden. Ursächlich war ein technischer Fehler. Dazu stellt der HBDI in Ziffer 11.2 ab Seite 146 fest, dass technische Fehler werbende Unternehmen nicht von der Pflicht, Werbewidersprüche zu beachten, entbinden. Sie tragen die Verantwortung für ihre technischen Systeme. Ein Bußgeldverfahren wurde eingeleitet. Details dazu schildert der HBDI ab Seite 35. Das Unternehmen erhielt 5.000 Euro Bußgeld, weil es die Rückmeldefrist gemäß Art. 12 Abs. 3 DS-GVO nach Einlegung eines Werbewiderspruchs nicht beachtete. Weitere 70.000 Euro wurden für den Systemfehler bei der Verarbeitung von Werbewidersprüchen verhängt, durch den über 5.000 Kunden trotz Widerspruch beworben wurden.
1.8.5 Hessen: Tätigkeitsbericht für 2025 – Mindesthaltbarkeitsdatum bei Datennutzung für Werbung
Wie lange können rechtliche Möglichkeiten für Werbung genutzt werden? Eine Kundin, die vor mehreren Jahren zum ersten und gleichzeitig letzten Mal bei einem Versandhändler etwas bestellt hatte, erhielt plötzlich Werbung des Unternehmens und beschwerte sich daher über die werbliche Verarbeitung ihrer Kundendaten. Im Fokus des Falls stand die Frage, unter welchen rechtlichen Rahmenbedingungen und vor allem wie lange die Daten ehemaliger Kunden für Marketingmaßnahmen genutzt werden dürfen. Der HBDI gibt in Ziffer 11.3 ab Seite 147 seine differenzierte Bewertung dazu ab. Lesenswert, mit welchen Argumenten er auch eine Ansprache nach neun Jahren für vertretbar erachten könnte, aber auch, warum dies im konkreten Fall dennoch durch den HBDI nicht akzeptiert werden konnte.
1.8.6 Hessen: Tätigkeitsbericht für 2025 – Anforderungen an Vertretung bei Auskunftsbegehren
Welche Anforderungen sind bei Geltendmachung des Betroffenenrechts der Auskunft zu beachten? Antworten finden sich zur Stellvertretung im Tätigkeitsbericht ab Seite 174 unter Ziffer 13.5. Die Ausführungen werden auch in diesem Blog-Beitrag aufgegriffen.
1.8.7 Hessen: Tätigkeitsbericht für 2025 – Verantwortlicher oder Auftragsverarbeiter?
Mit Kriterien zur Abgrenzung der datenschutzrechtlichen Rollen bei einem Dienstleister befasst sich der HBDI in Ziffer 13.8 ab Seite 181. Er tut dies am Beispiel eines Copy-Shops, zu dessen Tagesgeschäft beispielsweise das Scannen, Drucken und Vervielfältigen diverser Arten von Schriftstücken gehört. In aller Regel werden im Rahmen dieser Dienstleistungen auch personenbezogene Daten verarbeitet. Für die datenschutzrechtlichen Pflichten ist entscheidend, ob der Copy-Shop hierbei als Verantwortlicher oder als Auftragsverarbeiter im Sinne der DS-GVO tätig ist.
Die Kundin bemerkte bei der Benutzung eines dort bereitgestellten PC-Systems, dass über das eingesetzte Betrachtungsprogramm für Dokumente Schriftstücke vorheriger Kunden aufgelistet wurden. Vor der weiteren Bearbeitung des Hinweises war zu klären, ob ein Copy-Shop im Rahmen seiner Diensterbringung datenschutzrechtlich als Verantwortlicher gemäß Art. 4 Nr. 7 DS-GVO oder als Auftragsverarbeiter gemäß Art. 4 Nr. 8 DS-GVO einzuordnen ist. Als Auftragsverarbeiter würde der Copy-Shop personenbezogene Daten nur im Auftrag und nach Weisung eines Verantwortlichen verarbeiten. Als Verantwortlicher würde ein Copy-Shop hingegen über den Zweck und die Mittel der Verarbeitung entscheiden. Um diese Fragestellung zu beantworten, betrachtete der HBDI das folgende Szenario: Wenn die Kundin in einen Copy-Shop geht, um dort die gängigen Dienstleistungen in Anspruch zu nehmen (Erstellung von Kopien, Binden lassen von Kopien, Bedrucken von Tassen/T-Shirts) sei die Verarbeitung der personenbezogenen Daten, die auf diesen Dokumenten/Gegenständen ersichtlich sind, grundsätzlich „unvermeidliches Beiwerk“ bei der Ausführung der Dienstleistung. Möchte die Kundin etwa ein Zeugnis im Copy-Shop kopieren, gehe es dem Copy-Shop in erster Linie darum, die Dienstleistung der Vervielfältigung dieses Zeugnisses für die Kundin anzubieten. Dem Copy-Shop gehe es im Kern nicht darum, die darin enthaltenen personenbezogenen Daten zu verarbeiten.
Dass diese Daten dennoch durch den Copy-Shop im Rahmen des Vervielfältigungsprozesses oder im Rahmen der Kopieerstellung verarbeitet werden, erfolgt bei diesem Prozess nur zufällig. Gemäß des Sinns des Art. 4 Nr. 8 DS-GVO i. V. m. Art. 28 Abs. 1 DS-GVO könne in den Fällen, in denen die Datenverarbeitung lediglich im Zusammenhang mit der Erbringung einer (Haupt-)Dienstleistung für einen anderen erfolgt, eine Auftragsverarbeitung abgelehnt werden. Gemäß ErwGr. 81 DS-GVO müsse der Verantwortliche den Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten „betrauen wollen“. Dies könne im Einzelfall verneint werden, wenn die Datenverarbeitung nicht speziell beabsichtigt ist, beziehungsweise nicht den Schwerpunkt oder einen wichtigen (Kern-)Bestandteil der Leistung darstelle. Die Datenverarbeitung ist sodann als „unvermeidliches Beiwerk“ bei der Erfüllung der eigentlichen Dienstleistungspflicht zu betrachten. Der HBDI hält daher fest, dass ein Copy-Shop datenschutzrechtlich grundsätzlich als eigenständiger Verantwortlicher einzuordnen sei.
Ein Copy-Shop braucht als Verantwortlicher aber eine Rechtsgrundlage, um diese personenbezogenen Daten, wenn auch nur als „Beiwerk“, verarbeiten zu dürfen. Grundsätzlich werde sich ein Copy-Shop dabei auf Art. 6 Abs. 1 UAbs. 1 lit. a, b oder f DS-GVO stützen können. Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO ist dann einschlägig, wenn die betroffene Person in die Verarbeitung gemäß den Anforderungen nach Art. 7 DS-GVO eingewilligt hat. Darüber hinaus geht die betroffene Person bei Inanspruchnahme der Dienstleistungen des Copy-Shops einen Vertrag mit diesem ein, so dass die Verarbeitung ihrer personenbezogenen Daten grundsätzlich entsprechend Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO zur Erfüllung dieses Vertrags oder zur Erfüllung vorvertraglicher Maßnahmen erforderlich sein wird. Weiterhin wird der Copy-Shop grundsätzlich ein berechtigtes Interesse an der Zurverfügungstellung seiner Dienstleistungen (z. B. „Vervielfältigung/Kopie“) haben und die Interessen der betroffenen Person werden diesem Interesse des Copy-Shops grundsätzlich nicht entgegenstehen. Zu beachten ist auch, dass es, wenn es um die Verarbeitung von Daten nach Art. 9 Abs. 1 DS-GVO geht (z. B. Taufurkunde, ärztliche Gutachten), die Anforderungen nach Art. 9 Abs. 2 DS-GVO durch den Copy-Shop zu berücksichtigen sind.
Verarbeitet ein Copy-Shop personenbezogene Daten der Kundin zur Abwicklung seiner Dienstleistung, z. B. im Rahmen einer Rechnungsstellung, so sei unzweifelhaft auch in diesem Fall eine Verantwortlichkeit nach Art. 4 Nr. 7 DS-GVO gegeben. Denn in diesem Fall bestimme der Copy-Shop selbst über den Zweck und die Mittel der Datenverarbeitung. Ungeachtet dessen, ob die Verarbeitung personenbezogener Daten nun ein „unvermeidliches Beiwerk“ einer (Haupt-)Dienstleistung darstellt oder der Copy-Shop selbst über den Zweck und die Mittel der Datenverarbeitung entscheidet, ist er gemäß Art. 32 Abs. 1 DS-GVO verpflichtet geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten und die verarbeiteten Daten vor einer Einsichtnahme durch unberechtigte Dritte zu schützen. Als Verantwortlicher müsse er ferner auch den Grundsatz der Vertraulichkeit bei der Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 Buchst. f DS-GVO gemäß Art. 25 Abs. 1 und Art. 32 Abs. 1 DS-GVO durch technische und organisatorische Maßnahmen wirksam umsetzen.
1.8.8 Hessen: Tätigkeitsbericht für 2025 – Werkzeug zur Analyse von Datenveröffentlichungen im Darknet
Ab Seite 224 unter Ziffer 16.4 widmet der HBDI in seinem Tätigkeitsbericht der Thematik erfolgreicher Cyberangriffe. Dazu verweist er auf ein Tool, das seine Behörde bereitstellt, aber er schildert auch rechtliche Konsequenzen und Bewertungen zu dieser Thematik. Sollte eine Datenschutzverletzung bei einem Auftragsverarbeiter vorkommen, verweist er auf seine Ausführungen aus dem Tätigkeitsbericht für 2022 Ziffer 17.3.
1.8.9 Hessen: Tätigkeitsbericht für 2025 – Mehr Rechtssicherheit beim Einsatz von Microsoft 365
Natürlich wird im Tätigkeitsbericht auch über die Prüfung und das Ergebnis der vertraglichen Gestaltung des Einsatzes von Microsoft 365 berichtet (ab Seite 216 unter Ziffer 16.2). Wir berichteten damals dazu.
1.8.10 Hessen: Tätigkeitsbericht für 2025 – Aufarbeitung und Prävention von Datenschutzvorfällen durch Phishing
Phishing ist eine anhaltende Bedrohung für den Schutz personenbezogener Daten und die Rechte und Freiheiten natürlicher Personen. Die Zahl von Meldungen zu Datenschutzverletzungen aufgrund von erfolgreichen Phishing-Angriffen ist signifikant angestiegen. Betroffen waren im Wesentlichen über das Internet zugängliche E-Mail-Konten. Der HBDI schildert daher ab Seite 255 unter Ziffer 16.11 sehr anschaulich sowohl Ablauf wie auch rechtliche Konsequenzen bei einem Phishingangriff.
1.9 ULD Schleswig-Holstein: Tätigkeitsbericht für 2025
Auch das Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) veröffentlichte seinen Tätigkeitsbericht für das Jahr 2025. Bereits in der Pressemeldung sind dazu statistische Angaben und einige Einzelfälle aufgeführt. Einiges aus dem Tätigkeitsbericht wird nachfolgend hervorgehoben:
1.9.1 ULD Schleswig-Holstein: Tätigkeitsbericht für 2025 – Benennung der vertretenen Person bei befristetem Arbeitsvertrag
Eine arbeitsvertragliche Befristung kann einen sachlichen Grund in der Vertretung einer beschäftigen Person haben, wenn diese nicht da ist. Muss bzw. darf deren Name der vertretenen Person mitgeteilt werden? Damit befasst sich das ULD in Ziffer 4.1.7.
Der maßgebliche Sachgrund muss bei Abschluss des befristeten Arbeitsvertrags vorliegen. In Betracht kommen z. B. vorübergehende Beschäftigungsverbote, etwa wegen Mutterschutz, die Wahrnehmung von Elternzeit oder die längere Erkrankung eines Beschäftigten. Fraglich ist, ob Arbeitgeber in einem befristeten Vertrag die zu vertretende Person namentlich bezeichnen müssen.
Aus der Rechtsprechung der Arbeitsgerichte oder aus der Literatur sei laut ULD bisher nicht zu entnehmen, dass die Aufnahme des Namens der vertretenen Person obligatorisch ist. Der Arbeitgeber wird im Streitfall aber belegen müssen, dass die Vorgaben des § 14 Abs. 1 Nr. 3 TzBfG erfüllt sind und hierfür die Umstände der vertretenen Beschäftigten dokumentieren.
Das ULD lässt es offen, ob die Benennung des sachlichen Befristungsgrundes (z. B. Befristung auf Grundlage einer Vertretung in der Elternzeit einer Beschäftigten; Befristung aufgrund der Krankheitsabwesenheit einer Person; Befristung aufgrund der Abordnung eines Beschäftigten) nicht ausreichen soll, um eine höhere Transparenz sicherzustellen, sieht sich aber kompetenzhalber nicht in der Lage diese arbeitsrechtliche Fragestellung abschließend zu beantworten.
1.9.2 ULD Schleswig-Holstein: Tätigkeitsbericht für 2025 – Androhung der Ersatzhaft bei nicht erteilter Auskunft?
Trotz wiederholter Aufforderung auch durch das ULD – und der Androhung einer Ersatzhaft – erteilte ein Arzt einer Patientin keine Auskunft über ihre Patientenunterlagen. In Ziffer 4.5.3 schildert das ULD mit der letzten Auskunftsanordnung und der letzten Zwangsgeldfestsetzung die Arztpraxis mit Nachdruck darauf hingewiesen wurde, dass – wenn die Auskunft weiterhin nicht erteilt wird – in einem nächsten Schritt die Beantragung der Anordnung einer Ersatzzwangshaft beim Schleswig-Holsteinischen Verwaltungsgericht geprüft wird. Die Ersatzzwangshaft beträgt mindestens einen Tag, höchstens zwei Wochen.
1.9.3 ULD Schleswig-Holstein: Tätigkeitsbericht für 2025 – Bildveröffentlichung eine Kindes durch nicht sorgeberechtigten Elternteil
Gegenstand der in Ziffer 5.6 geschilderten Prüfung war die Beschwerde einer Mutter, die sich auf die Verwendung von Bildern ihres fünfjährigen Sohnes auf Facebook bezog. Ihr Ex-Mann hatte regelmäßig Fotos von Aktivitäten mit dem gemeinsamen Sohn auf Facebook hochgeladen. Da das Facebook-Profil des Ex-Mannes auf „öffentlich“ eingestellt war, konnten auch Personen ohne Facebook-Account die Fotos des Sohnes sehen. Das ULD stellte fest, dass für die Veröffentlichung der Bilder keine Einwilligung des gesetzlichen Vertreters, hier der allein Sorgerechtsberechtigten Mutter vorlag.
Der Vater wurde seitens des ULD angeschrieben und zur Löschung aller Bilder, auf denen der Sohn zu sehen war, aufgefordert. Dieser zeigte sich jedoch nicht sehr kooperativ und reagierte nicht auf das Schreiben des ULD. Als nach wiederholter Aufforderung keine Löschung der Bilder von dem Facebook-Profil erfolgte, wurde die Löschung der Bilder unter Androhung eines Zwangsgelds angeordnet.
Die Bilder wurden daraufhin umgehend von dem Facebook-Profil gelöscht. Das aufsichtsbehördliche Verfahren wurde mit einer Warnung an den Vater abgeschlossen, zukünftig ohne vorhandene Rechtsgrundlage (Einwilligung der Sorgeberechtigten) keine Bilder des Sohnes zu veröffentlichen.
1.9.4 ULD Schleswig-Holstein: Tätigkeitsbericht für 2025 – Scheinbare Anonymisierung
Ein schönes Beispiel, welches Wissen wem zugerechnet werden kann, findet sich unter Ziffer 5.12. Eine Trauerrednerin veröffentlichte scheinbar anonymisierte Bilder ihres Einsatzes, indem sie nur Vorname und den ersten Buchstaben des Nachnamens der verstorbenen Person erkennen ließ, ebenso wie auf einem Dankesschreiben einer Hinterbliebenen. Beides veröffentlichte sie unter Angabe des Standortes der Feierlichkeiten – eine kleinere Stadt in Schleswig-Holstein. Dem erfolgten Löschbegehrens eines Angehörigen der verstorbenen Person kam sie nicht nach, so dass das ULD einbezogen wurde. Dieses stellte fest, dass durch die Informationsverknüpfung eine Identifizierbarkeit der verstorbenen Person und der Angehörigen möglich war.
Das ULD führt dazu aus, dass die Veröffentlichung der Informationen einer Rechtsgrundlage nach der DS-GVO bedurfte, weil eine Identifizierbarkeit der angehörigen Person möglich war. Mangels einer Einwilligung des Angehörigen beschränkte sich die Prüfung auf Art. 6 Abs. 1 lit. f DS-GVO, die aber im Ergebnis bei der Interessensabwägung abgelehnt wurde.
1.9.5 ULD Schleswig-Holstein: Tätigkeitsbericht für 2025 – Analyse von Kundendaten zu Werbezwecken mit Smart-Data-Verfahren
Aufgrund einer Nutzung von Bankkundendaten zur Profilbildung ohne Einwilligung verhängte das ULD gegen drei Kreditinstitute eine Geldbuße in einer Gesamthöhe von mehr als 250.000 Euro, wie den Ausführungen in Ziffer 5.19.1 zu entnehmen ist.
Zum Zweck der Profilbildung für zielgerichtete Werbemaßnahmen beauftragten die Kreditinstitute einem externen Dienstleister für die Entwicklung von Analyse- und Prognosemodellen und hatten diesem mehrere Tausend Datensätze ihrer Kundinnen und Kunden zur Verfügung gestellt. Durch den Dienstleister wurden u. a. Zahlungsdaten, Stammdaten sowie Daten zum Wohnumfeld der Kundinnen und Kunden analysiert. Die Analyse zielte darauf ab zu ermitteln, welche Kundinnen und Kunden besonders affin für spezifische Produkte des jeweiligen Kreditinstituts sein könnten. Die Ergebnisse der Analysen wurden den drei Kreditinstituten zur Verfügung gestellt. Auf der Grundlage dieser Berechnungsergebnisse sollte im nächsten Schritt eine gezielte werbliche Ansprache der Kundinnen und Kunden erfolgen. Zu einer Nutzung der Daten und zu Werbemaßnahmen war es nicht mehr gekommen, weil die Kreditinstitute das Verfahren aufgrund der Warnung einer Datenschutzaufsichtsbehörde eines anderen Landes beendet hatten.
1.9.6 ULD Schleswig-Holstein: Tätigkeitsbericht für 2025 – Update zu den EDSA-Guidelines zu Pseudonymisierung und Anonymisierung
Endlich: In Ziffer 6.2.3 gibt das ULD ein Update zum Stand der EDSA-Guidelines zur Pseudonymisierung und zur Anonymisierung. Die Leitlinie zur Pseudonymisierung wird aktuell an das Urteil des EuGH C-413/23 P (wir berichteten) angepasst.
Hinsichtlich der Leitlinie zur Anonymisierung schildert das ULD die Herausforderung dabei die Vorgaben des ErwGr. 26 DS-GVO angemessen abzubilden. Wie könne dabei der Begriff „nach allgemeinem Ermessen wahrscheinlich“ in konkrete Prüfschritte übersetzt werden? Und gibt es über „Aussondern“ hinaus weitere Möglichkeiten einen direkten oder indirekten Personenbezug herzustellen, welche sind das und wie kann man diese Möglichkeiten überprüfen? Die Kunst sei dabei bei der Beschreibung alle realistischen Fälle zu erfassen ohne dabei fernliegende Fälle mit einzuschließen.
Der Abschluss beider Leitlinien werde aber für das Jahr 2026 erwartet.
1.10 LDI Niedersachsen zu Gast in Podcast
In einer Podcast-Folge konnte der LDI Niedersachsen Stellung beziehen und Hintergründe erklären, wie und warum das Bußgeld gegen einen Notebookhändler wegen unzulässiger Videoüberwachung so drastisch reduziert wird.
1.11 LfD Bayern KI-basierte Sprachübersetzungstools
Da viele Einwohnerinnen und Einwohner eine andere Erstsprache erlernt haben als das Deutsche, steigt in der täglichen Arbeit bayerischer öffentlicher Stellen – insbesondere des kommunalen Bereichs – der Bedarf an schnellen, günstigen und zuverlässigen Übersetzungen. KI-basierte Sprachübersetzungstools sind hier ein attraktives Angebot. Sie sind als reine Online-Dienste, aber auch in Kombination mit einem Übersetzungsgerät (Hard- und Software) rund um die Uhr verfügbar, bieten Übersetzungen des geschriebenen und/oder gesprochenen Wortes, auch Dokumentenübersetzungen einer Vielzahl von Sprachen. In vielen Kontexten können sie den Bürgerkontakt öffentlicher Stellen nicht nur erleichtern, sondern auch intensivieren helfen. In datenschutzrechtlicher Hinsicht sind KI-basierte Sprachübersetzungstools oftmals als Betriebsmittel einzustufen. Der LfD Bayern gibt dazu Tipps und Hinweise aus datenschutzrechtlicher Sicht.
1.12 LDI NRW: Tätigkeitsbericht für 2025
Auch die LDI NRW hat ihren Tätigkeitsbericht für das Jahr 2025 veröffentlicht. In der Pressemeldung dazu weist sie auch die Risiken hin, die durch Datennutzung um jeden Preis entstehen können. Hier einige Punkte aus dem Tätigkeitsbericht für das Jahr 2025:
1.12.1 LDI NRW: Tätigkeitsbericht für 2025 – Einsatz von KI in der Schule
Die Thematik des Einsatzes von Large Language Models (LLM) im schulischen Alltag betrachtet die LDI NRW unter Ziffer 6.1 in ihrem Tätigkeitsbericht. Dazu stellt sie fest, dass LLMs auch im Schulalltag eine Menge Potential haben, ihre Nutzung ist aber zugleich mit Risiken für Schüler*innen und Lehrkräfte verbunden. Um die Betroffenen für einen verantwortungsvollen Umgang mit KI zu sensibilisieren, brauchen die Schulen datenschutzfreundliche Lösungen. Sie befasst sich auch mit den denkbaren Rechtsgrundlagen und Anforderungen dazu.
1.12.2 LDI NRW: Tätigkeitsbericht für 2025 – Bildaufnahmen auf Schüler:innen-Handys für Lehrkräfte und Schulleitung
Ob in der Schule oder auf Klassenfahrten: Schüler:innen machen oft Fotos und Filme, um diese weiterzuschicken oder in Social Media hochzuladen. Doch nicht immer ist das rechtens. Dürfen Lehrkräfte oder die Schulleitung die Aufnahmen einsehen? Oder können sich die Schüler:innen und ihre Eltern auf den Datenschutz berufen? In Ziffer 6.3 ihres Tätigkeitsberichtes befasst sich die LDI NRW mit diesen Fragen.
Grundsätzlich dürfen Schüler*innen bei schulischen Veranstaltungen Bildaufnahmen von anderen nur machen, sofern eine Einwilligung vorliegt oder diese Aufnahmen später ausschließlich im Familien-, Freundes- oder Bekanntenkreis gezeigt werden (sog. Haushaltsausnahme). Zu näheren Einzelheiten verweist sie auf ihre Veröffentlichung „Bildaufnahmen in der Schule? Was ist erlaubt? Wo ist die Grenze?“.
Sofern es darum geht, welche Kontrollrechte die Lehrkräfte und Schulleitung in diesem Zusammenhang haben, gehen Schüler:innen und ihre Eltern häufig davon aus, dass der Datenschutz den Schulen verbietet sich die gefertigten Bildaufnahmen auf privaten Handys anzuschauen. Das treffe in dieser Allgemeinheit jedoch nicht zu. Vielmehr sei hier u.a. zu differenzieren: Gehe es um die Aufklärung von möglichen Regelverstößen, ist das Ansehen von Bildern unter gewissen Voraussetzungen erlaubt. Ein eigenmächtiges Durchsuchen von Handys ist allerdings nicht zulässig.
1.12.3 LDI NRW: Tätigkeitsbericht für 2025 – Neue Verhaltensregeln für Versicherungen für den Umgang mit Kund:innendaten
Die LDI NRW informiert in Ziffer 9.4 über neuen Verhaltensregeln für Versicherungen. Die Versicherungswirtschaft hat sich mit den Datenschutzaufsichtsbehörden auf neue Verhaltensregeln für ihre Branche verständigt. Dieser sog. Code of Conduct (CoC) beschreibt insbesondere, unter welchen Bedingungen Versicherungsunternehmen die besonders sensiblen Gesundheitsdaten verarbeiten dürfen.
Einem solchen CoC für die Versicherungsbranche haben die Datenschutzaufsichtsbehörden des Bundes und der Länder im Dezember 2025 grünes Licht erteilt. Der Gesamtverband der Deutschen Versicherungswirtschaft e. V. (GDV) hatte die neuen Verhaltensregeln vorgelegt. Nun steht, zusammen mit der Akkreditierung der entsprechenden Überwachungsstelle, die Genehmigung des Regelwerks durch die Berliner Beauftragte für Datenschutz und Informationsfreiheit an. Die LDI NRW hat sich maßgeblich an der Entstehung des CoC beteiligt. Sie schildert in dem Tätigkeitsbericht auch einige Details der getroffenen Regelungen.
1.12.4 LDI NRW: Tätigkeitsbericht für 2025 – Betrugsbekämpfung im Zahlungsverkehr
Immer schneller, immer digitaler: Unter Ziffer 10.2 schildert die LDI NRW, dass der moderne digitale Zahlungsverkehr viele Vorteile habe, er ziehe aber auch neue Betrugsformen nach sich. Die Deutsche Bundesbank hatte deshalb Vertreter:innen aus allen Bereichen an einen Tisch geholt. Ihr Ziel: der vereinte Kampf gegen die neuen Kriminalitätsformen. Die LDI NRW nahm stellvertretend für die deutschen Datenschutzbehörden daran teil und berichtet, dass im Kontext Betrugsbekämpfung drei Handlungsfelder identifiziert wurden, die in Form gemeinschaftlicher Arbeiten auf Expertenebene weiterverfolgt werden sollen. Dies sind: die gemeinsame Kommunikation gegenüber Verbraucher:innen, der sektorübergreifende Informationsaustausch zu konkreten Betrugsfällen und die Bewertung der (datenschutz-)rechtlichen Grundlagen für die Betrugsbekämpfung. Hierzu sollen konkrete Maßnahmen erarbeitet werden, mit denen Betrug im Zahlungsverkehr branchenübergreifend wirksam bekämpft werden kann.
1.12.5 LDI NRW: Tätigkeitsbericht für 2025 – Zertifizierung 3.0: Anforderungen an datenschutzrechtliche Zertifizierungsprogramme
Unternehmen, die Datenschutz-Zertifikate vergeben wollen, müssen bestimmte Voraussetzungen erfüllen. Dazu gehört auch die Vorlage eines Programms, in dem festgelegt wird, welche Kriterien für die Zertifizierung eine Rolle spielen. Die LDI NRW berichtet in Ziffer 11.3 dazu, dass die DSK nun die entsprechenden Vorgaben dafür überarbeitet und in einer Version 3.0 vorgelegt hat. Es bildet die datenschutzrechtliche Prüfkriterien, Prüfsystematik und Prüfmethoden zur Anpassung und Anwendung der technischen Norm DIN EN ISO/IEC 17067 (Programmtyp 6) ab. Das neue Prüfkriterienpapier wurde auf der Website der DSK veröffentlicht.
1.12.6 LDI NRW: Tätigkeitsbericht für 2025 – Türkontrolle per Smartphone
Immer häufiger setzen Vermieter*innen auf digitale Klingelanlagen und Zutrittskontrollsysteme, die etwa mit den Smartphones von Mieter:innen verbunden werden. Dabei werden allerdings meist personenbezogene Daten der Mieter:innen verarbeitet – und das kann rechtliche Probleme mit sich bringen, wie die LDI NRW in Ziffer 13.3 beschreibt. Im Ergebnis ihrer Ausführungen stellt sie fest, dass eine Einwilligung der Mieter:innen nur dann freiwillig sei und die Verarbeitung ihrer Daten zum Betrieb der Klingel legitimieren könne, wenn Mieter:innen eine Möglichkeit zum Türöffnen erhalten, die ohne die Verarbeitung ihrer Daten auskomme.
1.12.7 LDI NRW: Tätigkeitsbericht für 2025 – Einheitliches Meldeformular
Wer Datenpannen in mehreren Bundesländern oder Mitgliedsstaaten melden will, muss sich bisher mit unterschiedlichen Formularen befassen. Das soll sich bald ändern. Sowohl national als auch in der EU gibt es Bestrebungen ein einheitliches Meldeformular bereitzustellen, wie die LDI NRW in Ziffer 15.1 ausführt. Denn derzeit stellt jede Aufsichtsbehörde ein eigenes Meldeformular bereit. Es mehren sich aber auch Fälle, bei denen aufgrund eines Vorfalls mehrere Meldungen bei unterschiedlichen Aufsichtsbehörden erfolgen müssten.
Betroffen sind vor allem Unternehmen aus Drittstaaten ohne Niederlassung in der EU sowie zentrale Datenschutzabteilungen in Unternehmensgruppen und externe Dienstleistungsunternehmen, aber auch Datenschutzberater:innen, die Meldungen für Verantwortliche in verschiedenen Bundesländern oder Mitgliedsstaaten übernehmen. Gerade bei Cyberangriffen auf IT-Dienstleister, die für verschiedene Unternehmen und andere Stellen tätig sind, muss der gleiche Sachverhalt meist an mehrere Aufsichtsbehörden gemeldet werden.
Den Aufwand dafür zu verringern sei sowohl der DSK als auch dem EDSA ein wichtiges Anliegen. Dabei soll künftig ein gemeinsames Meldeformular für Datenpannen helfen. Die DSK hatte das Thema mit einer Arbeitsgruppe bereits aufgegriffen, als der EDSA es in seiner Helsinki-Erklärung im Juli 2025 ebenfalls propagierte. Der EDSA plane nun die Umsetzung für sein Arbeitsprogramm 2026-2027.
Die Europäische Kommission schlage sogar eine zentrale Meldestelle („Single Entry Point”) für Meldungen von Datenpannen bzw. Sicherheitsvorfällen bei der Agentur für Cybersicherheit der Europäischen Union (ENISA) vor. Darüber sollen mit einer Meldung verschiedene Meldepflichten erfüllt werden können. Dies betreffe insbesondere die Meldepflichten nach den europäischen Verordnungen und Richtlinien DS-GVO, NIS-2, DORA, CER und eIDAS. Von einer solchen zentralen Meldestelle würden beispielsweise große Finanzunternehmen profitieren, die bei einem IT-Sicherheitsvorfall Meldepflichten nach verschiedenen Regeln unterliegen können.
1.13 LfDI Mecklenburg-Vorpommern: Auswärtsspiel bei F.C. Hansa Rostock
Der Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI Mecklenburg-Vorpommern) informiert, dass er einen Termin beim F.C. Hansa Rostock wahrgenommen hat, um sich dort mit Vertreter:innen der Deutschen Fußball Liga GmbH (DFL) zu Datenschutzthemen im Profi-Fußball auszutauschen. Die Datenschutzthemen im Profi-Fußball sind äußerst vielfältig. Dabei stellt sich für die großen Organisationen ebenso wie für andere Vereine und Unternehmen die Frage nach praxistauglichen und rechtssicheren Lösungen bei der Umsetzung der DS-GVO. Diesbezüglich kündigt der LfDI Mecklenburg-Vorpommern an seine Präventionsangebote in Form von Informationsveranstaltungen, Handreichungen oder Checklisten stetig zu erweitern.
1.14 LfDI Mecklenburg-Vorpommern: Warnung vor Betrugsversuch zu Kinderdaten in Arztpraxen
Beim Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI Mecklenburg-Vorpommern) ist ein Hinweis eingegangen, wonach sich ein Verein mit einem vermeintlichen Forschungsvorhaben per E-Mail an Arztpraxen – vornehmlich Kinderarztpraxen – wendet und die Übermittlung von medizinischen Daten von Kindern anfragt. Der LfDI Mecklenburg-Vorpommern berichtet, dass erste Nachforschungen darauf hindeuten, dass es sich nicht um einen Einzelfall handelt. Nach Angaben des Hinweisgebers soll der Arzt per E-Mail zur Teilnahme an der angeblichen Studie aufgefordert worden sein. Abgefordert werden insbesondere Fotos, z. B. aus Behandlungsdokumentationen, teils verbunden mit Zusatzangaben wie Alter, Diagnose oder Behandlungsdatum. Die vorgelegten Unterlagen zum Forschungsdesign wirken dabei täuschend echt. Erst bei genauer Prüfung fällt auf, dass teilweise auf Webseiten mit pornographischen Inhalten verwiesen wird und nur schwammige Aussagen zur Datenverarbeitung erfolgen.
1.15 Irland: Tipps zu Fotoaufnahmen bei Veranstaltungen
An was aus datenschutzrechtlichen Gründen beim Fotografieren auf Veranstaltungen zu denken ist, beschreibt die irische Aufsicht zu einer Anfrage auf ihrer Webseite. Dabei differenzieren die Hinweise zwischen großen und kleinen Veranstaltungen.
1.16 Niederlande: Tipps zum Anonymisieren von Dokumenten
Die niederländische Datenschutzaufsicht AP veröffentlichte Tipps, die bei einer Anonymisierung helfen sollen. Neben einer Reihe von grundlegenden Schritten gibt es spezifische Punkte für Textdokumente, für Tabellenkalkulationen und für das Überschreiben (die Anonymisierung) von Dokumenten.
1.17 CNIL: Tracking bei E-Mails
An was ist bei dem Tracking von E-Mails z.B. durch Zählpixels zu denken und wie können Adressaten die Kontrolle behalten, wenn andere ihre digitalen Gewohnheiten erfassen wollen? Dazu informiert<7a> die französische Datenschutzaufsicht CNIL.
1.18 Belgien: Auswirkungen von Künstlicher Intelligenz auf die Privatsphäre
Die belgische DPA veröffentlichte eine Broschüre mit dem Titel „Die Auswirkungen der Künstlichen Intelligenz (KI) auf die Privatsphäre„, die erste Veröffentlichung ihrer Initiative „KI & Datenschutz“. Sie richtet sich an Bürger:innen, die KI-Systeme täglich nutzen oder mit ihnen interagieren. Sie möchte klare und praktische Anleitungen bieten, um zu helfen zu verstehen, wie diese Systeme funktionieren und wie Bürger:innen in einer Welt, in der KI eine dominierende Rolle spielt, eine sinnvolle Kontrolle über ihre persönlichen Daten behalten können.
Zudem will die Broschüre einen zugänglichen Überblick darüber bieten, wie KI-Systeme funktionieren, welche Arten von personenbezogenen Daten sie verarbeiten, welche Risiken diese Systeme für Einzelpersonen darstellen können, und welche Rechte durch Datenschutzgesetze gewährt werden. Den Bürger:innen sollen einfache und nützliche Informationen angeboten werden, die ihnen helfen KI-Technologien selbstbewusst zu nutzen oder mit ihnen zu interagieren.
1.19 BSI: Sicheres Cloud Computing mit C5:2026
Das BSI veröffentlichte den Cloud Computing Compliance Criteria Catalogue (C5) in einer neuen Version (C5:2026). Seit 2016 stelle dieser den deutschlandweit wichtigsten Sicherheitsstandard für Cloud-Anbieter und -Nutzer dar.
Der C5:2026 übersetzt komplexe Sicherheitsanforderungen an zukunftsfähige Cloud-Dienste in prüfbare, nachvollziehbare Kriterien. Für Unternehmen und Behörden bedeutet das nach Angabe des BSI:
- Belastbare Informationen für das eigene Risikomanagement
- Marktübergreifende Transparenz und Orientierung bei der Auswahl von Cloud-Anbietern
- Mehr Transparenz bei der Bewertung von Sicherheitsversprechen
- Höhere Vergleichbarkeit am Markt
Gleichzeitig trage der weiterentwickelte Kriterienkatalog den technologischen Fortschritten der vergangenen Jahre Rechnung. Themen wie Container-Management, Post-Quanten-Kryptographie, Confidential Computing, Supply Chain Management und Mandantentrennung werden gezielt adressiert. Zudem werde der C5 erstmals in einem maschinenlesbaren Format bereitgestellt. Das erleichtere perspektivisch die Nutzung in Governance-, Risiko- und Compliance-Prozessen.
Neben den bekannten Veröffentlichungsformaten als PDF- und Excel-Datei erscheint der C5:2026 erstmalig in maschinenlesbarer Form als YAML-Dateien. Aufgrund der internationalen Verbreitung des Kriterienkatalogs erfolgt die Publikation zunächst in englischer Sprache:
- Download Kriterienkatalog Cloud Computing C5:2026 (engl.) (PDF)
- Download Kriterienkatalog Cloud Computing C5:2026 (engl.) editierbar (Excel Tabelle)
- Download maschinenlesbare Version C5:2026 (engl.) (zip)
- Download C5:2026 Referenztabelle (engl.) (Excel Tabelle)
Eine deutsche Übersetzung soll zeitnah folgen.
2 Rechtsprechung
2.1 EuGH: Anforderungen an „Pastiche“ (C-590/23)
Der EuGH entschied im Fall C-590/23 (Kraftwerk vs. Pelham), dass die Ausnahme für „Pastiches“ i.S.v. Art. 5 Abs. 3 lit. k RL 2001/29/EG auch Sampling-Nutzungen erfasst, sofern die neue Schöpfung an ein bestehendes Werk erinnert, zugleich aber wahrnehmbare Unterschiede aufweist und unter Verwendung geschützter Elemente einen erkennbaren künstlerischen oder kreativen Dialog mit dem Ausgangswerk führt. Erforderlich ist allein die objektive Erkennbarkeit dieses Dialogs für ein sachkundiges Publikum, nicht hingegen eine entsprechende Nutzungsabsicht des Verwenders (wir berichteten bereits dazu). Für eine Nutzung „zum Zwecke von“ Pastiches genügt es, dass der Charakter als „Pastiche“ für diejenigen erkennbar ist, denen das bestehende Werk bekannt ist, dem diese Elemente entnommen sind. Pressemeldung des EuGH dazu hier.
2.2 EuGH: Auskunftspflichtigkeit bayerischer Datenschutzaufsichtsbehörden (C-205/25)
Der Generalanwalt geht in seinen Schlussanträgen im Verfahren C-205/25 (wir berichteten) davon aus, dass die Regelung in Art. 20 BayDSG nicht mit Art. 15 DS-GVO vereinbar sei. Auch müsse das BayLDA als Verantwortlicher grundsätzlich Auskunft geben.
Mal schauen, ob der EuGH den Empfehlungen folgt.
2.3 BGH: Vertretung bei Auskunftsansprüchen
Kann eine in der Schweiz ansässige Aktiengesellschaft, deren Geschäftsmodell es ist sich von Verbrauchern im Wege des Forderungskaufs Ansprüche gegen deren Vertragspartner abtreten zu lassen, um sie im eigenen Namen geltend zu machen, sich auch auf Ansprüche aus Art. 15 DS-GVO berufen? Konkret geht es (wieder einmal) um Prämien für eine Versicherung, deren Zustandekommen hinterfragt wird, und in deren Kontext Auskunftsansprüche geltend gemacht werden. Und was sagt der BGH? Natürlich das, was Sie hier öfter lesen: „Es kommt darauf an.“
Eine Geltendmachung von Ansprüchen aus Art. 15 DS-GVO durch Dritte ist grundsätzlich möglich, auch wenn diese grundsätzlich höchstpersönlicher Natur sind. Die gerichtliche Durchsetzung wäre jedoch im Wege der gewillkürten Prozessstandschaft möglich, sofern eine wirksame Ermächtigung des Betroffenen sowie ein eigenes schutzwürdiges Interesse des Prozessstandschafters vorliegen. Entscheidend sei dabei, dass keine unzulässige Umgehung des Rechtsdienstleistungsgesetzes erfolgt und die Sachherrschaft beim materiell Berechtigten verbleibe.
Im konkreten Fall wurde dies aber nicht erfüllt, so dass die Revision abgewiesen wurde.
2.4 BGH: Anwaltszwang vor dem Landgericht und die DS-GVO
Die DS-GVO regelt, dass Rechtsmittel bei datenschutzrechtlichen Rechtstreitigkeiten zulässig sein müssen („Wirksamer gerichtlicher Rechtsbehelf“, Art. 79). In Deutschland dürfen aber sich gemäß § 78 Abs. 1 Satz 1 ZPO vor den Landgerichten und Oberlandesgerichten Parteien nur durch Rechtsanwälte vertreten lassen – widerspricht dies den europarechtlichen Vorgaben? Der BGH entschied hier, dass das schon in Ordnung sei, wenn grundsätzlich nur durch einen zugelassenen Rechtsanwalt Prozessschritte vorgenommen werden. Dieser Anwaltszwang gelte auch für Verfahren, in denen Ansprüche aus der DS-GVO geltend gemacht werden. Die DS-GVO enthalte keine Regelung, die den nationalen Anwaltszwang in der Revisionsinstanz verdrängen würde.
Die in § 78 Abs. 1 Satz 1 ZPO normierte Erfordernis, dass sich Parteien vor den Landgerichten und Oberlandesgerichten durch einen Rechtsanwalt vertreten lassen müssen, würde durch Art. 80 Abs. 1 DS-GVO nicht modifiziert.
2.5 VG Düsseldorf: Rechtsweg bei Klagen aus Art. 82 DS-GVO gegen öffentliche Stellen
Das VG Düsseldorf entschied, dass auch bei einer Klage gegen eine öffentliche Stelle auf immateriellen Schadensersatz aus Art. 82 DS-GVO der Gerichtsweg zu den ordentlichen Gerichten gegeben sei. Bericht dazu auch hier.
2.6 LAG Hessen: Immaterieller Schadenersatz nach Art. 82 und Aufsichtsbehörden
Die drei tatbestandlichen Voraussetzungen an den immateriellen Schadenersatz aus Art. 82 DS-GVO sind mittlerweile festgelegt: Verstoß, Schaden und Kausalzusammenhang. Ein ehemaliger Beschäftigter klagte gegen seinen früheren Arbeitgeber, bei dem bei einem Ransomware-Angriff Daten abgezogen wurden, darunter auch personenbezogene Daten dieses Mitarbeiters. Die Angreifer stellten davon Dateinamen, nicht aber Daten ins Darknet.
Das LAG Hessen lehnt den Anspruch ab und begründete dies damit, dass hat der Kläger einerseits bereits nicht vorgetragen habe, welche konkreten Daten von ihm kopiert worden seien, obgleich er hierüber Kenntnis habe. Darüber hinaus scheitere ein Anspruch an einem fehlenden Schaden. Zwar könne ein Kontrollverlust hinsichtlich der Daten einen Schaden im Sinne der Vorschrift darstellen, allerdings bedarf es konkreter Anhaltspunkte, dass die klagende Partei nachvollziehbare Befürchtungen bezüglich der Verwendung der Daten darlegt. Hieran fehlte es vorliegend, weil die Daten bereits im Zeitpunkt des Hackerangriffs stark veraltet waren, zum aktuellen Zeitpunkt weiter veraltet seien und die Aufbereitung der Daten durch die Hacker sehr aufwendig und kostenintensiv sein dürfte.
Hervorzuheben ist dabei auch, dass das LAG Hessen die Ausführungen des Arbeitsgerichts unbeanstandet lässt, dass alleine der Umstand, dass Unternehmen Opfer eines Hackerangriffs geworden ist, keinen Nachweis dafür biete, dass unzureichende Maßnahmen ergriffen worden seien. Dabei berücksichtigt das Arbeitsgericht, dass die von der zuständigen Datenschutzaufsichtsbehörde aus Anlass des Hackerangriffs vorgenommene Untersuchung zu dem Ergebnis gekommen sei, Abhilfemaßnahme nach Art. 58 Abs. 2 DS-GVO seien nicht erforderlich.
Das Arbeitsgericht hat sich insoweit von dem in Art. 32 Abs. 3 DS-GVO enthaltenen Rechts- und Wertungsgedanken leiten lassen, bei den in Art. 32 Abs. 3 DS-GVO erwähnten Zertifizierungen handele es sich gemäß Art. 42 DS-GVO um solche, die dazu dienten nachzuweisen, dass die DS-GVO bei Verarbeitungsvorgängen u.a. von den Verantwortlichen eingehalten würden. Lägen derartige Zertifizierungen vor, könne deren Einhaltung gemäß Art. 32 Abs. 3 DS-GVO als Faktor herangezogen werden, um die Erfüllung der in Art. 32 Abs. 1 DS-GVO genannten Anforderungen nachzuweisen. Gemäß Art. 58 Abs. 1 DS-GVO wiederum könnten die Aufsichtsbehörde die erteilten Zertifizierungen überprüfen und ggf. gemäß Art. 42 Abs. 7 DS-GVO widerrufen, wenn die Kriterien für die Zertifizierung nicht mehr erfüllt seien. Erfolge kein Widerruf, könne im Umkehrschluss Art. 32 Abs. 3 DS-GVO zur Anwendung kommen. Die Einschätzung der Aufsichtsbehörde dürfe mithin als Gewähr dafür verstanden werden, dass die von ihr herangezogenen Kriterien tatsächlich vorlägen.
Der gleiche Maßstab sei nach Ansicht des Arbeitsgerichts zur Anwendung zu bringen, wenn die Aufsichtsbehörde im Anschluss an eine Meldung gemäß Art. 33 DS-GVO zu dem Ergebnis gelange, systemische Fehler im Datenverarbeitungssystem lägen nicht vor und Abhilfemaßnahmen gemäß Art. 58 Abs. 2 DS-GVO seien nicht notwendig. Auch in diesem Fall sei, ähnlich wie beim Vorliegen einer nicht widerrufenen Zertifizierung, durch die Aufsichtsbehörde bestätigt, dass die Verarbeitungsvorgänge des Verantwortlichen im Einklang mit der DS-GVO stünden bzw. gestanden hätten.
Ein Bericht zu dem Urteil findet sich auch in diesem Blog-Beitrag.
2.7 LG Köln: Auskunftsanspruch eines Personalvermittlers auf Gehaltsangaben
Darf ein Unternehmen einem Personalvermittler Angaben zur Gehaltsgestaltung einer von ihm vermittelten Person machen, wenn diese Person widerspricht? Das LG Köln bejaht dies in einem Teilurteil. Die Vergütung für eine erfolgreiche Personalvermittlung richtet sich in der Regel nach dem Gehalt der vermittelten Person. Das LG Köln bejahte diesen Anspruch aus dem geschlossenen Vertrag.
Dabei lehnt das LG Köln auch das Darbringen einer rechtlichen Unmöglichkeit der Auskunftserteilung aufgrund eines Widerspruchs des Arbeitnehmers gegen die Datenweitergabe ab. Im Rahmen der Prüfung der Voraussetzungen des Art. 6 Abs. 1lit. f DS-GVO stellt das LG Köln fest, dass die Datenverarbeitung in Form der Weitergabe der Daten an den Personalvermittler diesem als Drittem zur Wahrung von seine berechtigten Interessen und zur Geltendmachung von Ansprüchen dient. Denn der Personalvermittler hat gegen das Unternehmen grundsätzlich einen Anspruch auf Honorar und kann dessen Höhe nur anhand der Gehaltsdaten des Beschäftigten berechnen.
Die Geltendmachung und Beitreibung von Forderungen sei ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Da der Klägerin die Gehaltsdaten zur Berechnung ihres Honorars nicht vorliegen, ist die Weitergabe der Daten an sie auch erforderlich. Bei der Abwägung berücksichtigte das Gericht, dass der Beschäftigte im Rahmen des Verfahrens erklärte, dass bestehendes spezielles Geheimhaltungsinteresse wie beispielsweise die Sorge vor behördlichen Maßnahmen oder vor Streitigkeiten mit Arbeitskollegen nicht bestehe, er habe vielmehr angegeben, dass er generell nicht wolle, dass jemand sein Gehalt kenne und dass er dies auch beispielsweise seinen Geschwistern nicht nennen würde, sondern allenfalls seinem engsten Freund. Konkrete Befürchtungen, dass sein Gehalt veröffentlicht werden könnte, hat er ebenfalls verneint. Im Ergebnis stellte das LG Köln dazu fest, dass dieses allgemeine Geheimhaltungsinteresse Beschäftigten im Rahmen der Abwägung gegenüber dem Interesse der Klägerin am Erhalt der Gehaltsdaten zurückstehen muss.
Bericht dazu auch hier in diesem Blog-Beitrag.
2.8 BGH: Zur Löschung von überobligatorischen Daten im Handelsregister
Auch Unternehmen können sich auf die Vorgaben der DS-GVO berufen. Diese wenig überraschende Erkenntnis ergibt sich aus der Entscheidung des BGH zum Umfang der im öffentlichen Teil des Handelsregisters hinterlegen Daten. Der BGH stellt fest, dass es keine allgemeine registerrechtliche Grundlage dafür gibt in Anmeldungen zum Handelsregister enthaltene personenbezogene Daten, die nicht in das Handelsregister einzutragen sind (sog. überobligatorische Daten), nach Widerruf der Einwilligung des Anmeldenden dauerhaft im Registerordner des Handelsregisters zu speichern. Bericht dazu auch hier.
Gelegentlich könnten Unternehmensverbände darauf hingewiesen werden, dass es schon schön wäre, wenn bei Stichworten wie „Big Data“ oder „Trainingsdaten für KI“ etc. auch mal eigene Daten bereitgestellt werden könnten und nicht nur immer die Daten anderer dazu herangezogen werden sollten.
2.9 öBVwG: Spendenaufruf nach Rettungseinsatz
Darf eine gemeinnützige Rettungsorganisation nach einem Rettungseinsatz dem Geretteten unter Verwendung der beim Einsatz erhobenen Daten einen Spendenaufruf zukommen lassen? Damit befasste sich das österreichische BVwG. Und wie so oft lautet die Antwort: Das kommt darauf an. Geprüft hatte es die Zweckänderung nach Art. 6 Abs. 4 DS-GVO hinsichtlich der beim Rettungseinsatz erhobenen Daten. Und entscheidungsrelevant („kommt darauf an“) war es für das Gericht, dass das Datum zu den Kontaktangaben als Gesundheitsdatum nach Art. 9 Abs. 1 DS-GVO zu klassifizieren sei (Ziffer 3.3.4 der Entscheidung). Es begründet dies damit, dass ein Rettungseinsatz bzw. Krankentransport in kurzem zeitlichen Abstand zur Erhebung der Daten von Namen und Adresse aus dem (Rettungswagen-)System durchgeführt wurde, ein Rückschluss auf den Gesundheitszustand der betroffenen Person insoweit möglich ist, als dadurch für Mitarbeiter der Rettungsorganisation ersichtlich ist, dass ein akuter Gesundheitszustand vorgelegen haben muss. Im Ergebnis bejaht das öBVwG auch eine kompatible Zweckänderung in diesem Fall bei einem Datum nach Art. 9 Abs. 1 DS-GVO.
Da aber die Information nach Art. 13 Abs. 3 DS-GVO im konkreten Fall erst mit dem Spendenaufruf erfolgte, kam das Gericht zu dem Ergebnis, dass ein berechtigtes Interesse für eine zulässige Zweckänderung vorübergehend zu verneinen war.
Die Entscheidung ist nicht rechtskräftig, das Gericht erklärte die Revision für zulässig, weil sowohl die Weiterverarbeitung sensibler Daten nach Art. 9 DS-GVO als auch die Rechtsfolgen verspäteter Information grundsätzliche Rechtsfragen darstellen.
Zu beachten sei aber, dass für eine Zweckänderung nach Art. 6 Abs. 4 DS-GVO die Informationspflichten nach Art. 13 Abs. 3 und Art. 14 Abs. 4 DS-GVO vor dieser Weiterverarbeitung zu erfüllen sind.
2.10 Spanien: Tarifvertragliche Verpflichtung und Datenschutzvorgaben
Im Streit um die tarifvertragliche Regelung zur Veröffentlichungen von Namen und Betriebszugehörigkeiten von Flugbegleitern ging es in diesem Fall auch um die Frage, ob die Angaben dazu nun pseudonymisiert oder anonymisiert waren und inwieweit sie damit der tarifvertraglichen Verpflichtung des Unternehmens zur internen Veröffentlichung entsprachen. Das Gericht orientierte sich in der Entscheidung (STS 1215/2026; ECLI:ES:TS:2026:1215) an den Anforderungen des EuGH aus C-413/23 (wir berichteten).
Es sei eine dynamische Bewertung der Informationen notwendig, um zu bestimmen, ob sie als personenbezogene Daten eingestuft werden können. Es gebe keine feste Definition. Pseudonymisierte Daten oder Daten, die nicht offensichtlich mit einer bestimmten, identifizierten Person verknüpft sind, können abhängig vom Empfänger als personenbezogene Daten betrachtet werden, wenn dieser die Daten vernünftigerweise mit bestimmten Personen in Verbindung bringen kann. Basierend auf diesem dynamischen Konzept könnten die gleichen Daten für einige Empfänger als personenbezogene Daten klassifiziert werden, für andere jedoch nicht, je nachdem, wie gut sie eine solche Verbindung herstellen können. Bericht zu dem Fall auch hier.
3 Gesetzgebung
3.1 EU: Digital Strategie … wieder mal Künstliche Intelligenz
Die EU-Kommission informiert, dass sie entschlossen sei weltweit führend im Bereich Künstliche Intelligenz, zu einem führenden KI-Kontinent zu werden. Das geht natürlich nicht ohne einen KI-Kontinent-Aktionsplan. Und ein Fact Sheet fehlt auch nicht. Wer noch mehr dazu wissen will kann sich mit den FAQ dazu befassen. Im Rahmen der Konsultation dazu können bis 9. Juni 2026 auch Hinweise eingereicht werden. Gemeinsam mit dem Unternehmen EuroHPC fordert die EU-Kommission Interessierte auf ihr Interesse an einem Beitrag zur künftigen Entwicklung der KI-Giga-Factories in der Europäischen Union zu bekunden.
So, damit sind nun alle Register gezogen und Buzzwörter sowie Strukturen untergebracht, die auch für die bisherigen Erfolge der Digital Strategien stehen. Es fehlt nur noch ein Expertenpool, an dem sich die üblichen Hyperscaler (von außerhalb Europas) einbringen können.
3.2 Deutschland: Durchführung der Verordnung 2024/2847 (Cyberresilienz-Verordnung)
Seit Dezember 2024 ist die Cyberresilienz-Verordnung in Kraft getreten, also wäre es schön, wenn es auch ein Durchführungsgesetz gäbe, dass z.B. auch Zuständigkeit der Marktüberwachungsbehörde regelt. Dazu gibt es einen Entwurf des BMI, welches hier zum Gesetzgebungsverfahren informiert und auch die dazu eingereichten Stellungnahmen veröffentlicht. Es ist vorgesehen, dass sich das Kabinett am 29. April 2026 damit befasst.
3.3 Frankreich: Beweiserleichterungen bei Rechteverletzung durch KI
In Frankreich wird ein Gesetz vorbereitet (zur Begründung einer Vermutung der Nutzung kultureller Inhalte durch Anbieter künstlicher Intelligenz), um Urheber und Rechteinhaber besser zu schützen. Bislang trifft die Darlegungs- und Beweislast für die Nutzung ihrer Werke zu Trainingszwecken prinzipiell die klagenden Rechteinhaber.
Durch das neue Gesetz soll eine gesetzliche Vermutung der KI-Nutzung eingeführt werden. Wenn Anhaltspunkte im Zusammenhang mit Entwicklung oder Einsatz einer KI oder mit dem KI-generierten Ergebnis es plausibel erscheinen lassen, dass ein Werk verwendet wurde, muss der KI-Anbieter beweisen, dass dies nicht der Fall war. Gelingt ihm das nicht, wird die Nutzung vermutet.
3.4 EU-Kommission: Entwurf zum Cybersecurity Act 2 – NIS2-Erweiterung
Die EU-Kommission plant seit Januar 2026 die Vorgaben zu NIS2 zu aktualisieren. Was das inhaltlich konkret bedeutet, wird in diesem freundlicherweise frei verfügbaren Fachbeitrag dargestellt. Kernpunkte sind die Stärkung der ENISA, die Neuausrichtung der Zertifizierung als Compliance-Instrument und weitere Anforderungen an die Sicherheit der IKT-Lieferkette. Dazu gibt es auch Veröffentlichungen wie hier dazu. Zum weiteren „Fahrplan“ der Änderungen informiert diese Seite.
3.5 EU-App zur Altersverifikation
Voller Stolz präsentiert die EU-Kommission eine von ihr in Auftrag gegebene App zur Altersverifikation.
Ab dem 15. April 2026 sei die Altersverifizierungslösung technisch einsatzbereit und steht den Bürgern in Kürze in Form einer App zur Verfügung. Die Altersüberprüfungslösung verfüge über die höchsten verfügbaren Datenschutzstandards (laut EU-Kommission), wie in der Blaupause für die Lösung angegeben. Benutzer könnten nachweisen, dass sie älter als ein bestimmtes Alter sind, ohne andere persönliche Informationen zu teilen, und ihre Aktivitäten können nicht verfolgt werden.
Die Lösung sei vollständig Open Source, was bedeutet, dass sie nicht nur von allen Mitgliedstaaten genutzt werden kann, sondern auch von globalen Partnern und Privatunternehmen genutzt werden kann, wenn sie harmonisierte, innovative Lösungen entwickeln möchten. Sie kann von App-Publishern leicht angepasst werden, obwohl diese die Funktionen zur Wahrung der Privatsphäre nicht ändern können. Schließlich sei die Lösung benutzerfreundlich. Sie sei einfach einzurichten und funktioniere auf jedem Gerät – Telefon, Tablet oder Computer. Das Design und die Entwicklung dieses Altersverifikationskonzepts werde durch einen Auftrag an T-Scy (Scytales und T-Systems) unterstützt.
Wie hier nachzulesen ist, gab es in einigen Mitgliedsstaaten dazu vorher Tests. Die technischen Spezifikationen, der Quellcode und ein Beta-Release seien bereits veröffentlicht.
Aber aufgemerkt: Deutschland setzt auf eine eigene Lösung, wie hier berichtet wird.
Laut diesem Bericht besitzt die Lösung allerdings noch – nennen wir es höflich – Verbesserungspotential.
4 Künstliche Intelligenz und Ethik
4.1 NIST: Veröffentlichung des NIST AI 800-4 zu Monitoring von KI-Systemen
Der NIST AI 800-4 in der Reihe „NIST Trustworthy and Responsible AI” widmet sich den „Challenges to the Monitoring of Deployed AI Systems”. Das Dokument kartiert die aktuellen Lücken, Hürden und offenen Fragen bei der Überwachung von KI-Systemen nach der Einführung – und macht deutlich, dass allein die Pre-Deployment-Tests unzureichend sind und dass weiterhin vereinbarte Standards, Methoden und Verantwortlichkeitsstrukturen für die laufende Aufsicht fehlen.
Dabei wird deutlich, dass eine Überwachung nach der Bereitstellung eines KI-Systems nicht mehr optional sei. KI-Systeme müssten nach dem Go-Live kontinuierlich überwacht werden, um Drift, Halluzinationen und reale Ausfälle zu erkennen, die kontrollierte Tests einfach nicht vorhersagen können.
Dazu werden sechs Überwachungskategorien konkretisiert, um diesen Ansatz umzusetzen: Funktionalität, Betriebs-, Human Factors-, Security-, Compliance- und großflächige Auswirkungen
Diese seien eine nützliche Perspektive für jede Organisation, die ein KI-Governance-Programm aufbaut.
5 Veröffentlichungen
5.1 BaFin: Hinweise zum Betrieb von Lösegeldversicherungen
Können sich Unternehmen hinsichtlich der Risiken bei gegen Lösegeldforderungen z.B. bei entführten oder mit Gewalt bedrohten Personen, Cyberangriffen oder Produkterpressungen durch eine Versicherung abdecken? Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sagt „ja, aber“. Das „Aber“ formuliert sie in ihrem Rundschreiben 01/2026 in den „Hinweisen der Bafin zum Betrieb von Lösegeldversicherungen“. Insbesondere erwartet die BaFin, dass die Versicherer sich vor dem Betrieb der Lösegeldversicherung und fortlaufend über die Besonderheiten im Zusammenhang mit Entführungsfällen kundig machen. Der Betrieb der Lösegeldversicherung ist nach der BaFin im Einklang mit dem ordre public (§ 138 Abs. 1 BGB) zulässig, wenn bei diesen besonders sensibel zu handhabenden Verträgen ein hohes Maß an Geheimhaltung beachtet und die Ermittlungsarbeit der Polizei nicht behindert wird. Außerdem muss ein kollusives Zusammenwirken zwischen Tätern, Opfern oder Mitarbeitern des Versicherers vermieden werden. So wird dem Versicherungsnehmer u.a. die Obliegenheit zur Geheimhaltung des Versicherungsschutzes auferlegt. Der Versicherungsnehmer sollte höchstens drei Personen seines Vertrauens über das Bestehen der Versicherung informieren; diese Personen müssen dem Versicherer namentlich benannt und vom Versicherungsnehmer zur Verschwiegenheit angehalten werden. Auch sind der Versicherungsnehmer, seine Vertrauenspersonen und der Versicherer im Schadenfall verpflichtet die Tat bei der Polizei unverzüglich anzuzeigen und das staatliche Strafverfolgungsinteresse zu unterstützen.
Zu strafrechtlichen Aspekten bei Lösegeldzahlungen siehe auch diesen Blog-Beitrag.
5.2 Blog zur Informationsfreiheit-Rechtsprechung in Österreich
Die Regularien zur Informationsfreiheit sind oft eng mit den datenschutzrechtlichen Aspekten – nicht nur über die zusammengelegten Aufsichtsstrukturen – verzahnt. Zum besseren Verständnis hilft dieser Blog, der sich mit Rechtsprechung zur Informationsfreiheit in Österreich befasst.
Dazu gibt es auch den Bericht zu einer Entscheidung zur Einsichtnahme in ein Gutachten, inkl. urheber- und datenschutzrechtlichen Fragestellungen dazu.
5.3 Löschkonzept für Personaldaten
Wie mit personenbezogenen Daten in Personalakten umzugehen ist, wird in diesem Blog-Beitrag beschrieben. Dabei wird der Lebenszyklus einer Personalakte in vier Abschnitte aufgeteilt.
5.4 Cybersicherheit im Krankenhaus
Das Deutsche Krankenhausinstitut und ein Beratungsunternehmen veröffentlichen eine Studie zur Cybersicherheit im Krankenhaus. Danach war jedes fünfte Krankenhaus in den letzten drei Jahren bereits von Cyberkriminalität betroffen. Dabei spielten vor allem Angriffe mittels Malware (z. B. Viren, Würmer, Trojaner, Spyware und Rootkits) eine zentrale Rolle. 90 % der Krankenhäuser schätzen die Bedrohungslage durch Cyberkriminalität für ihre Einrichtung als hoch oder sehr hoch ein und erwarten eine Zunahme in den nächsten zwei Jahren. Als Schutzmaßnahmen seien Basislösungen, wie Antivirensoftware und Firewalls, nahezu flächendeckend eingeführt. Zudem würden Mitarbeiterinnen und Mitarbeiter z. B. durch Schulungen für die Risiken der IT-Sicherheit in den meisten Krankenhäusern sensibilisiert (75 %). Nachholbedarf gebe es z. B. bei der Implementierung von Business Continuity Management Systemen und bei Notfallübungen zu Cyberangriffsszenarien.
Die Umsetzung organisatorischer und technischer Maßnahmen der IT-Sicherheit werde aus Sicht der Krankenhäuser vor allem durch zu viele Anforderungen und Regularien sowie Personal- und Budgetmangel behindert. Strategisch wird die IT-Sicherheit durch Geschäftsführung und IT-Abteilung verantwortet. Die operative Umsetzung obliege zumeist der IT-Abteilung. Eine eigene Abteilung für IT-Sicherheit sei eher selten.
Es gibt viele Gründe mehr für die eigene Gesundheit zu tun – die Erkenntnisse aus der Studie erweitern diese Gründe nur.
5.5 Veranstaltungen
5.5.1 Data Deep Dive – Webinare einer Kanzlei zu datenschutzrechtlichen Schlüsselthemen
23.04.2026, 08:30 – 09:30 Uhr, online: An vier Terminen jeweils von 8:30 – 9:30 Uhr werden relevante Themen aus dem Datenschutzrecht in einem Webinar vertieft. Weitere Informationen und Anmeldung jeweils hinter dem Link:
- 16.04.2026: Gemeinsame Verantwortlichkeit im Sinne von Art. 26 DS-GVO
- 23.04.2026: Die Verarbeitung besonderer Kategorien personenbezogener Daten
- 30.04.2026: Die Voraussetzungen der datenschutzrechtlichen Rechtsgrundlagen
- 07.05.2026: Der Ersatz immaterieller Schäden nach Art. 82 DS-GVO
.
5.5.2 Webinar: Arbeitsrechtsfrühstück zu Mitbestimmung und KI-Systeme
23.04.2026, 09:00 – 10:15 Uhr, online: Bei diesem Arbeits(rechts)frühstück steht die Frage „KI im Unternehmen – Wer entscheidet eigentlich?“ im Fokus. Mit dem Einsatz von Künstlicher Intelligenz verändern sich nicht nur Prozesse, sondern auch die Anforderungen an Mitbestimmung und Beteiligung. Es werden Fragen angesprochen wie
- wann greift Mitbestimmung bei KI überhaupt
- welche Anforderungen gelten bei neuen Tools
- oder wie gelingt eine rechtssichere Umsetzung im Unternehmen.
Weitere Informationen und Anmeldung hier.
5.5.3 weitklick: „KI-Desinformation erkennen, Medienbildung stärken“
23.04.2026, 16:00 – 18:00 Uhr, online: Junge Menschen nutzen Künstliche Intelligenz, um sich ihren Alltag zu erleichtern. Bei der Interaktion mit KI-Chatbots können sie jedoch auch Falschinformationen erhalten. In sozialen Medien stoßen sie immer häufiger auf KI-generierte Desinformation. In diesem Webinar „Zwischen Fakten und Fakes: KI-Desinformation erkennen, Medienbildung stärken“ von weitklick wird der Schwerpunkt darauf gelegt, welche Rolle KI bei Desinformation spielt und wie Lehr- und pädagogische Fachkräfte junge Menschen aufklären und für den Umgang damit stärken können.Weitere Informationen und Anmeldung hier.
5.5.4 LfD Sachsen-Anhalt – Datenschutz am Abend: Entgelttransparenzrichtlinie
23.04.2026, ab 17:00 Uhr, Magdeburg: Zum Juni 2026 ist die Entgelttransparenzrichtlinie ((EU) 2023/970) in nationales Recht umzusetzen. Die LfD Sachsen-Anhalt möchte diese Gelegenheit nutzen, um mit den Gästen die damit verbundenen datenschutzrechtlichen Herausforderungen und Lösungsansätze zu diskutieren. Nach einem Impulsvortrag folgt ein konstruktiver Austausch zur praxisnahen und wirkungsvollen Umsetzung der Entgelttransparenzrichtlinie. Weitere Informationen und Anmeldung hier.
5.5.5 Stiftung Datenschutz: „Datenschutz im Ehrenamt“
Für ehrenamtlich in Vereinen aktive Personen bietet die Stiftung Datenschutz wieder kostenlose Webinare zur Umsetzung der datenschutzrechtlichen Anforderungen an
27.04.2026, ab 18:00 Uhr, online: Grundlagen-Workshop für Vereinsvorstände – Datenschutzpflichten verstehen
04.05.2026, ab 18:00 Uhr, online: Grundlagen-Workshop für die Praxis – Datenschutz koordinieren und umsetzen
Die Stiftung Datenschutz bietet auch einen Verteiler an, um diesbezüglich auf dem Laufenden zu bleiben.
5.5.6 GI: PET Talk 9 – Deployable Differential Privacy -neu-
28.04.2026, 16:00 – 17:00 Uhr, online: Differential Privacy (DP) ist ein mathematisches Rahmenwerk zum Schutz der Privatsphäre von Einzelpersonen bei der Verarbeitung sensibler Daten. Trotz solider Datenschutzgarantien und wachsender institutioneller Unterstützung hat sich DP bislang nur in begrenztem Umfang durchgesetzt. In der Forschung wurden zahlreiche Hindernisse identifiziert, darunter Herausforderungen bei der Bewertung von Datenschutzrisiken, Bedenken hinsichtlich des Nutzens sowie Kommunikationsschwierigkeiten zwischen den verschiedenen Interessengruppen. Insgesamt haben weniger als ein Dutzend Organisationen DP öffentlich eingesetzt, vorwiegend US-Behörden und große Technologieunternehmen.
In diesem Vortrag wird eine Vision für praxistaugliche differentielle Privatsphäre vorgestellt, die u.a. auf eigenen Forschungsarbeiten basiert. Angesichts der steigenden Nachfrage nach Veröffentlichungen im „Mikrodatenformat“ wird sich der Vortrag auf differentiell private synthetische Daten konzentrieren. Weitere Informationen und Anmeldung (bis 26. April 2026) hier.
5.5.7 Netzwerk „Interaktiv“: „Digitale Räumen für Kinder und Jugendliche“
28.04.2026, ab 19:00 Uhr, München und online: Beim Mediensalon des Netzwerks „Interaktiv“ geht an diesem Abend nach einer Keynote um den schwierigen Spagat zwischen Schutz, Verbot und Selbstbestimmung in digitalen Räumen für Kinder und Jugendliche gelingen kann und welche praxistauglichen Lösungsansätze denkbar sind. Weitere Informationen und Anmeldung hier.
5.5.8 Digitale Helden: „Fachtag Medienbildung“ -neu-
29.04.2026, 14:00 – 18:00 Uhr, online: An diesem Fachtag soll pädagogischen Fachkräften Raum für fachliche Impulse, praxisnahe Einblicke und kollegialen Austausch geboten werden. Die Veranstaltung richtet sich insbesondere an Lehrkräfte und pädagogische Fachkräfte an weiterführenden Schulen (Sekundarstufe I) sowie an alle Interessierten aus dem schulischen Umfeld. Ziel des Online-Fachtags ist es den Teilnehmenden aktuelle Erkenntnisse zu Hass im Netz, Desinformation und KI-gestützten Manipulationsformen zu bieten und sie zu befähigen Risiken digitaler Kommunikation einzuschätzen sowie Interventionen und präventive Maßnahmen im schulischen Kontext umzusetzen. Weitere Informationen und Anmeldung (bis 22. April 2026) hier.
5.5.9 FernUniversität Hagen – Vortragsreihe „Datenschutz aktuell“
29.04.2026, 18:00 – 19:30 Uhr, online: Im Sommersemester 2026 bietet die FernUniversität Hagen Online-Veranstaltungen zu aktuellen Fällen des Datenschutzrechts an. Anhand aktueller Rechtsfragen und persönlicher Erfahrungsberichte aus Anwaltschaft, Journalismus, Verwaltung und Wissenschaft werden unterschiedliche Perspektiven beleuchtet:
- 29.04.2026: „Öffentliche Äußerungen von Datenschutzbehörden – Was geht, was geht nicht?“
- 10.06.2026: „Einblicke in das kirchliche Datenschutzrecht – Art. 91 DSGVO im Fokus“
- 24.06.2026: „Sensible Daten, sensible Nähe: Datenschutzrechtliche Herausforderungen der KI-Sexrobotik“
Weitere Informationen und Anmeldung hier.
5.5.10 7. IFG Days – Informationsfreiheitstage des LfDI Baden-Württemberg
05./06.05.2026, Stuttgart und online: Die 7. IFG Days stehen unter dem Motto „10 Jahre Informationsfreiheit in Baden-Württemberg: Gemeinsam Transparenz voranbringen“ mit dem Ziel über den Stand der Informationsfreiheit zu sprechen, Ausblicke zu formulieren und Expert:innen und Bürger:innen miteinander zu verknüpfen. Weitere Informationen und Anmeldung hier.
5.5.11 Hamburger Datenschutzgesellschaft: 5. Hamburger Datenschutzforum
06.05.2026, 14:00 – 17:00 Uhr, Hamburg: Die Hamburger Datenschutzgesellschaft führt wieder das Hamburger Datenschutzforum durch. Angesprochen werden nach acht Jahren Anwendungspraxis die Erfahrungen mit der DS-GVO und wo es Reformbedarf geben kann. Was plant der Verordnungsgeber auf europäischer Ebene dazu und wie soll im Paket mit anderen Digitalrechtsakten eine Vereinfachung und ein KI-fähiges datenschutzrecht entstehen? Die Vorschläge betreffen viele verschiedene Bereiche, die für Unternehmen Entlastung bringen sollen, wie beispielsweise eine Definition personenbezogener Daten, die Anonymisierung erleichtert, Vereinfachungen bei der Meldung von Datenpannen sowie Erlaubnisnormen für das KI-Training. Zudem plant Deutschland, innerhalb des nationalen Spielraums die Pflicht zur Benennung eines Datenschutzbeauftragten stark zu begrenzen. Weitere Informationen und Anmeldung hier.
5.5.12 DVD e.V.: Fünfter DatenAbend -neu-
12.05.2026, 19:00 – 20:30 Uhr, online: Der fünfte DVD-DatenAbend mit Rainer Rehak vom Weizenbaum-Institut hat das Thema „Grundrechtsschutz im Ausnahmezustand“. Weitere Informationen (inklusive des Berichts zum vierte DatenAbend) und Anmeldung hier.
5.5.13 Webinar zu „Purview Realitätscheck und die DSGVO Katastrophe“
20.05.2026, 10:00 – 11:00 Uhr, online: In diesem kostenfreien Webinar werden die Möglichkeiten von Microsoft Purview als zentrale Plattform für Data Governance und Compliance betrachtet. Dabei geht es u.a. um praxisnahe Ansätze, wie Security- und Compliance-Ziele zusammengeführt werden können: bessere Datenauffindbarkeit, Risikobewertung nach Sensitivität, automatisierte Bereinigung/Löschung, Retention & Legal Hold sowie messbare KPIs für Coverage und Risiko-Reduktion. Weitere Informationen und Anmeldung hier.
5.5.14 BzKJ: Neue digitale Trends, neue Gefährdungen: Rechtliche Grundlagen des Kinder- und Jugendmedienschutzes
02.06.2026, 17:00 – 18:30 Uhr, online: Die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) bietet auch im Jahr 2026 wieder eine kostenfreie Online-Veranstaltungsreihe in Kooperation mit der Akademie der Kulturellen Bildung des Bundes und des Landes NRW an. Die Workshops richten sich an alle, die sich für den Kinder- und Jugendmedienschutz interessieren – sei es beruflich, ehrenamtlich oder privat. Die Online-Veranstaltungen bauen nicht aufeinander auf und können unabhängig voneinander besucht werden. Weitere Informationen und Anmeldung dazu hier.
Weitere Termine und Themen sind:
- 15.09.2026 (17:00 – 18:30 Uhr)
Radikal online: Kinder und Jugendliche als Zielgruppe extremistischer Online-Aktivitäten - 01.12.2026 (17:00 – 18:30 Uhr)
Pornografie, Cybergrooming, Sexting: Abgrenzung, Rechtslage und Konsequenzen für die Kinder- und Jugendarbeit
5.5.15 AI Transparency Conference
05./06.06.2026, Nürnberg: Die AI Transparency Conference ist eine internationale Forschungskonferenz, die sich auf die Förderung transparenter und menschenkompatibler KI-Systeme konzentriert. Sie möchte Forscher zusammenbringen, die sich mit Interpretierbarkeit, KI-Sicherheit, Kontrolle und Governance befassen.
Die Konferenz ist als Präsenzveranstaltung konzipiert und richtet sich an Doktoranden, Postdoktoranden, Fakultätsmitglieder und Forschungsinstitute. Weitere Informationen und Anmeldung hier.
5.5.16 Zukunft Verband 360°: „KI rechtssicher einsetzen“ -neu-
08.06.2026, 10:00 – 11:30 Uhr, online: Künstliche Intelligenz schafft Effizienz – doch sobald personenbezogene Daten ins Spiel kommen, wird es anspruchsvoll. Gerade für Verbände, die mit Mitgliederdaten, politischen Positionen und sensiblen Inhalten arbeiten, ist ein rechtssicherer und verantwortungsvoller Einsatz von KI unerlässlich. Angesprochen werden die Themen Haftung, Verantwortung, Risiken bei KI, Urheberrecht und geistiges Eigentum, Regulierung und AI Act bis hin zu Datenschutz, Wettbewerb und Compliance. Weitere Informationen und Anmeldung hier.
5.5.17 EDPS: „From Omnibus to Opportunity: Driving Data Protection and Innovation“
08.06.2026, 18:30 – 20:30 Uhr, Brüssel: Der Europäische Datenschutzbeauftragte, die BfDI und der LfD Bayern gestalten eine Debatte über die Omnibus-Vorschläge der Europäischen Kommission und deren Auswirkungen auf die DS-GVO sowie den allgemeinen digitalen Rechtsrahmen der EU. Weitere Informationen und Anmeldung hier.
5.5.18 Universität des Saarlandes: Save-the-Date „Datenschutz im Diskurs => Digitale Resilienz“
22.09.2026: Das Leitthema des Informatik Festivals 2026 ist „Digitale Resilienz“. Zu den Grundvoraussetzungen digitaler Resilienz gehört ein moderner Daten- und Systemschutz, der technikangemessen ist und die freie Entfaltung von Menschen unterstützt. Dieser Workshop will Informatiker und Juristen und sonstige Interessierte zusammenbringen, die an Fragestellungen des technikbasierten Datenschutzes arbeiten. Es sollen Themen adressiert werden, die anwendungsorientiertes Potential für interdisziplinären Diskurs und Zusammenarbeit bieten und die Möglichkeiten aufzeigen, wie Datenschutz durch Technik präzisiert und umgesetzt werden kann. Aktuell gibt es den Call for Papers.
6 Gesellschaftspolitische Diskussionen
6.1 Stiftung Datenschutz: Altersverifikation im Fokus
Die Stiftung Datenschutz hat einen Beitrag zum Thema der Altersverifikation veröffentlicht. Für viele Kinder und Jugendliche ist das Internet ein Raum für Begegnung und Wissensaustausch. Anstatt sie davon auszuschließen, sollte dieser Raum gestärkt werden – durch strukturelle Schutzmaßnahmen, die die digitale Umgebung sicherer machen und sich stärker am Gemeinwohl ausrichten.
Die Stiftung Datenschutz plädiert die Ursachen sozialschädlicher Entwicklungen zu bekämpfen, etwa übermäßige Profit- und Überwachungsinteressen. Eine Altersverifikation löse weder Mobbing noch Suchtmechaniken, die über Plattformen erfolgen. Es verlagert Probleme und schwächt Grundrechte, sofern Nutzende ihr Alter nachweisen müssen, anstatt dass Plattformen in die Verantwortung genommen werden.
6.2 Datenschutzverstöße bei Dating App – Nicht nur in der Liebe blind
Wie hier berichtet wird, gibt es bei einer Dating-App eklatante Verstöße gegen datenschutzrechtliche Vorgaben. Die Autoren verbinden dabei eigene Recherchen mit Aussagen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit in seinem letzten Tätigkeitsbericht. So gebe es Verstöße gegen die Informationspflichten und gegen die Vorgaben zu datenschutzfreundlichen Voreinstellungen.
6.3 Digitale Privatisierung
Die Dissertation „Digitale Privatisierung – Konflikte um Daten und Plattformen in der öffentlichen Daseinsvorsorge“ ist nun online als Open-Access erschienen. Die Arbeit befasst sich damit, dass private Tech-Konzerne sich zunehmend als digitale Verteilungsinfrastrukturen für öffentliche Grundgüter von Mobilität bis Wohnen etablieren und dabei Daten monopolisieren, die eigentlich im Dienst des Gemeinwohls stehen sollten. Gleichzeitig reagieren viele Kommunen mit eigenen Plattformlösungen, die jedoch häufig als Public-Private-Partnerships realisiert werden und so neue technologische Abhängigkeiten und Folgekosten erzeugen, was dann als „doppelte Privatisierung“ der digitalen Daseinsvorsorge beschrieben wird. Aber auch Gegenstrategien werden angesprochen, wie öffentliche Akteure z.B. Ressourcen bündeln, Zugang zu Plattformdaten erstreiten und digitale Steuerungspotenziale zurückgewinnen können.
7 Sonstiges/Blick über den Tellerrand
7.1 Citation-Checker – Überprüfung der Zitate rechtlicher Quellen
Wer bei Ergebnissen von Recherchen (natürlich mit irgendeiner KI) überprüfen will, ob die zitierten Fundstellen schlüssig sind, kann ein kostenloses Onlinetool nutzen. Es zeigt bei zitierten Entscheidungen, ob die Angabe schlüssig ist und signalisiert über ein Farbspektrum das Ergebnis.
Der Citation Checker zeigt, welche Verweise das Tool erkannt hat, ob der Verweis mit Vorsicht zu genießen ist (rot), keine Aussage getroffen werden kann (grau) oder alles plausibel aussieht (grün). Das Tool greift im Hintergrund auf eine entsprechende Datenbank mit Vorschriften und Urteilen zu. Es überprüft (bisher) aber nicht, ob ein vorgetragener Inhalt tatsächlich in der angegebenen Norm oder der gerichtlichen Entscheidung zu finden ist, sondern nur, ob die Fundstelle existiert. Aber das Tool verlinkt soweit möglich zum Text der Norm oder der Entscheidung, so dass die inhaltliche Kontrolle direkt selbst durchgeführt werden kann. Es richtet sich an deutsche und österreichische Juristen, die eigene oder fremde Texte überprüfen wollen. Bericht dazu auch hier.
8. Franks Zugabe
8.1 Apropos KI …
Heute gibt es mal wieder eine Ausgabe „Apropos KI …“, wenn auch nur eine kurze:
- Fangen wir an mit einem Video (YouTube, Dauer ca. 10 Min.) mit dem Titel „Kai vs. KI: Schlägt der Jura-Professor den Chatbot?“. Es ist etwas älter, aber durchaus informativ. Der Professor ist von der Uni Passau und er scheint Humor zu haben. Es geht übrigens nur um die Antworten, die KI-generiert sind, die Videoproduktion an sich ist noch nicht „fake“…
- Der TÜV-Verband hat Ende 2025 eine KI-Studie veröffentlicht. Vielleicht möchte Sie sich diese anschauen? Auf jeden Fall nimmt die Nutzung von KI laut der Studie beständig zu.
- Noch eine etwas ältere Meldung, wenn auch nur einen Monat alt: Sie hatten es bestimmt mitbekommen, bei Amazon gab es Ausfälle bei der Commerce-Plattform. Grund dafür sollen nach diesem Bericht (u.a.) der Gebrauch von KI-Coding-Tools gewesen sein.
Komischerweise nahmen diese Probleme zu, nachdem sich Amazon von ca. 16.000 Mitarbeitern getrennt und viele Programmierprojekte auf KI umgestellt hat… - Vielleicht halten Sie es ja bei Amazon auch nur so wie bei Atlassian. Deren Chef hat verkündet, dass sie keine Menschen durch KI ersetzen, die Menschen aber trotzdem feuern. Das steckt bestimmt eine innere Logik drin in dieser Argumentation.
- Zum Thema KI und Software habe ich auch diese lesenswerten Ausführungen mit dem schönen Titel „The Fat Lady Has Sung“ zum Ende der Software-Industrie, wie wir sie bisher kannten.
- Manchmal hängen wir in Europa und Deutschland ja hinterher. Währed bei uns von einem KI-Boom gesprochen wird, scheint es in den USA eine Flaute zu KI zu geben. So zumindest dieser Bericht.
- Nach diesem Bericht gibt es übrigens noch eine Sache, wo LLM nicht so gut drin sind: Passworte erstellen. In der Untersuchung wird das Problem rund um die Erzeugung von Passworten durch KI ausführlich beschrieben. Gut, wenn KI-Agenten selbstständig Accounts für uns anlegen, oder?
- Möchten Sie mal wieder ein Essay zu KI lesen? Wie wäre es mit Academia and the „AI Brain Drain“
- Wenn wir gerade bei längeren Artikeln sind, wie wäre es mit dem Artikel „Deepfakes: Die technologischen Ermöglicher des Missbrauchs – Ein Kommentar“ zum Thema Deepnudes?
- Da passt es ja inhaltlich ziemlich gut, wenn in diesem Kommentar die Frage gestellt wird, wer den giftigen KI-Müll wegräumt…
- Und noch ein Themenschwenk, hin zu Cybersecurity, konkret zum Essay „Cybersecurity in the Age of Instant Software“, welches einer der Ko-Autoren (Bruce Schneier) noch mit einem Nachtrag (zu Anthropic Mythos) ergänzt hat. Und passend zu Anthropic Mythos gab es dann von ihm noch ein zweites Essay mit dem Titel „Mythos and Cybersecurity“. Hier außerdem ein Kommentar zu Mythos.
Funny times ahead, würde ich mal sagen.
Ach ja, und weil ich das erst am 22.04.2026 veröffentliche hier noch zwei aktuelle Meldungen:
Zum einen soll Anthropic Mythos von Anfang an „unberechtigte“ Nutzer (hier ein deutsch-sprachiger Artikel) gehabt haben, zum anderen will Mozilla dank eben jenem Mythic (auf das die Firefox-Entwickler legalen Zugriff haben) über 270 Sicherheitslücken in Firefox gefunden und geschlossen haben. - Passend dazu gibt es noch eine Untersuchung, was Hacker eigentlich so von KI halten oder erwarten (bezogen auf ihre Nutzungsszenarien).
- Apropos Anthropic: Angestellte von Anthropic haben mit Kirchenleuten darüber gesprochen, wie die KI-Technik ins christliche Weltbild passt. Andere Religionen sollen folgen. Also fragen wir uns jetzt schon, ob KI ein „Kind Gottes“ ist?
- Noch ein Themenschwenk: Wie werden eigentlich Gesetze rund um KI gemacht? Sie ahnen es, die Antwort könnte Sie verstören.
- In diesem Beitrag werden die „sozialen Medien“ besprochen, was aus ihnen geworden ist, so zwischen Bots, Fake News und KI-Slop. Hier die Studie der Medienanstalten, auf die im Beitrag eingegangen wird und dort die Ergebnisse der Studie.
- Eisenbahn oder Tulpen? Dieses Essay endet (u.a.) mit der Frage, welches Ende die aktuelle KI-Blase nimmt. Lesenswert. Vor allen Dingen bei der Herleitung, warum die KI-Blase eben eine solche ist … (übrigens: Eisenbahn, Tulpen).
8.2 Läuft gut bei der ePA …
Hier habe ich zwei Hörempfehlungen für Sie, konkret zwei Folgen einer Podcast-Reihe, die ich mir interessiert angehört habe:
- Ein Jahr „ePA für alle“: Verbraucherschützer sehen derzeit keinen Mehrwert, Dauer ca. 23 Min.
- Fortschritt und Frust bei elektronischer Patientenakte, Dauer ca. 36. Min.
8.3 Von der Werbung zur Überwachung
Es gibt nicht nur die Erkenntnisse aus den DataBroker-Files (wir berichteten), es gibt auch andere Überwachungsvarianten.
8.4 „Dein Handy wird bald nicht mehr dir gehören“
Dieses Mal in der Android Variante. Und hier gehts zur Kampagne gegen Googles Pläne alle alle Android-Apps zu blockieren, deren Entwickler sich nicht bei Google registriert, ihren Vertrag nicht unterzeichnet und nicht bezahlt haben.
8.5 Wer liest, gewinnt
Laut diesem Blog-Beitrag hat eine junge Frau gelesen und eine Reise in die Schweiz gewonnen.
Was sie gelesen hat, fragen Sie? Die Datenschutz-Erklärung eines Anbieters, der darin einen Preis versteckt hatte. Sie hat sich gefreut.
Laut einer Umfrage des eco-Verbands sind die meisten Datenschutz-Erklärungen nicht lese-freundlich.
9. Die gute Nachricht zum Schluss
9.1 Welche Rolle spielt KI künftig in unserem Alltag?
Klicksafe hat gemeinsam mit der Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) und der Medienanstalt Rheinland-Pfalz drei Clips erstellt, die humorvoll Antworten auf die Frage geben will, welche Rolle KI künftig in unserem Alltag spielt. Dazu gibt es drei Szenen: In der Beziehung, bei der Wissensvermittlung und bei der Zuwendung zu älteren Menschen. Natürlich wurden alle Videos mit KI erstellt.