Ausgabe 110 (KW 17-20/2025)

1.1 EDSA: Jahresbericht für 2024

Der Europäische Datenschutzausschuss (EDSA) hat seinen Jahresbericht für das Jahr 2024 veröffentlicht. Der Bericht gibt einen Überblick über die Arbeit des EDSA im Jahr 2024 und geht auf wichtige Meilensteine ein, wie die Annahme der Strategie 2024-2027, die Zunahme der Kohärenzgutachten nach Art. 64 Abs. 2 DS-GVO und die fortgesetzten Bemühungen Orientierungshilfe und Rechtsberatung zu leisten. Es gibt den Bericht auch als Zusammenfassung. Im Jahr 2024 setzte der EDSA die Zusammenarbeit mit Interessengruppen fort, um einen offenen Dialog und das gegenseitige Verständnis zwischen Regulierungsbehörden, Branchenvertretern, Organisationen der Zivilgesellschaft und akademischen Einrichtungen zu fördern. Um relevante Erkenntnisse von Organisationen zu sammeln, die über Fachwissen zu datenschutzrelevanten Themen verfügen, leitete der Ausschuss öffentliche Konsultationen zu seinen angenommenen Leitlinien ein und organisierte zwei Veranstaltungen für Interessengruppen, die sich auf die bevorstehenden Leitlinien zu „Einwilligung oder Bezahlung“-Modellen und auf die Vorbereitung der Stellungnahme zu KI-Modellen bezogen.

1.2 BfDI zum Koalitionsvertrag

Was die BfDI zum Koalitionsvertrag denkt, wie sie die Datennutzung stärker forcieren möchte und wie sie mit der Reduzierung ihrer Befugnisse bei den Nachrichtendiensten umgehen möchte, schildert die BfDI in diesem Interview. Dabei geht es auch um ihre Einstellung zum Verfahren zu den Facebook-Fanpages und um den Datentransfer in die USA.

1.3 BfDI unterwegs in die USA

Wie sie selbst auf ihrer Webseite informiert, ist die BfDI in die USA gereist, um sich mit ihrer Delegation mit verschiedenen Ansprechpartnern zu unterhalten, u.a. mit Vertretern des US-Department of Commerce, des US-Department of Justice und dem Privacy and Civil Liberties Oversight Board. Auch mit Unternehmensvertretern möchte sie sprechen.

1.4 Datenweitergabe an Fahrzeughersteller zur Fortentwicklung der Fahrassistenzsysteme

Der LfDI Baden-Württemberg informiert, dass er zusammen mit den Datenschutzaufsichtsbehörden Bayerns und Niedersachsens im engen Austausch mit der Volkswagen AG und ihren deutschen Tochtermarken über die Einführung neuer Verfahren zur Verarbeitung von Fahrzeugdaten zur Verbesserung und Fortentwicklung der Fahrassistenz- und Fahrsicherheitssysteme steht.
Die Volkswagen AG nutzt Sequenzen von Sensor- und Bilddaten der Umgebung aus Kundenfahrzeugen, um Fahrerassistenzsysteme und automatisierte Fahrfunktionen als zentrale Technologien für die Verbesserung der Verkehrssicherheit schneller und kontinuierlicher weiterentwickeln zu können. Im vierten Quartal 2024 hat das Unternehmen bei Zustimmung der Fahrzeugnutzenden damit begonnen in einigen Fahrzeugserien – zunächst nur in Deutschland – anhand vorher festgelegter, eng definierter Szenarien das Ausleiten von solchen Daten auszulösen und diese zu verarbeiten. Solche Szenarien können laut Volkswagen zum Beispiel der Einsatz des Notbremsassistenten oder plötzliche Ausweichmanöver sein. Eine dauerhafte Datenübertragung zu diesem Zweck findet laut dem Unternehmen nicht statt. Mehr Informationen zur Technik und den in Betracht kommenden Fahrzeugmodellen hat die Volkswagen AG am 26. September 2024 auf ihrer Webseite veröffentlicht.
Die Datenschutzbehörden haben diese technische Innovation mit ihrer Expertise eng begleitet. Gemeinsames Ziel war es die Verantwortlichen frühzeitig für datenschutzrechtliche Risiken und geeignete Maßnahmen zur Gewährleistung der Betroffenenrechte zu sensibilisieren und zur Einhaltung datenschutzrechtlicher Anforderungen anzuhalten. Die Aufsichtsbehörden stimmen überein, dass die neuen Verfahren bei zielgerichtetem Einsatz dazu geeignet sein können die Fahrassistenzsysteme weiter zu verbessern und damit auch die Verkehrssicherheit zu erhöhen.

1.5 Hamburg: Tracking durch Drittdienste

Der HmbBfDI informiert über seine Prüfung, ob beim Einsatz von Drittdiensten die Datenschutzvorgaben eingehalten wurden. Bei 185 Webseiten von den 1.000 geprüften müsse nachgebessert werden. Die Betreiber:innen würden nun per Brief über die Mängel informiert und erhielten Gelegenheit diese zu beheben. Es wurden sowohl die Vorgaben nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) als auch die nach der Datenschutz-Grundverordnung (DS-GVO) geprüft. Ziel der Prüfaktion sei Betreiber:innen von Websites mit Sitz in Hamburg für Tracking zu sensibilisieren und die Compliance ihrer Web-Auftritte zu verbessern. Dazu begleitet der HmbBfDI die Prüfung mit einem Beratungsangebot und einer Telefonsprechstunde für die angeschriebenen Betreiber:innen.

1.6 Liechtenstein: Videoüberwachung im Nachbarschaftsbereich

Die Datenschutzstelle Liechtenstein informiert auf ihrer Webseite über Anforderungen bei Videoüberwachung im Nachbarschafts- und Wohnbereich. Dabei befasst sie sich u.a. mit der Haushaltsausnahme, den Informationspflichten, Fragen bei Tonaufnahmen und Türspionen.

1.7 Österreich: Kamerafahrten von Apple

Die Datenschutzbehörde Österreich (DSB) informiert, wann das Unternehmen Apple für seine Funktionalität „Look Around“ Kamerafahrten in Österreich unternimmt. Leider bietet die DSB keine weiterführenden Informationen dazu an. Daher verlinke ich hier auf Informationen des BayLDA dazu mit Hinweisen zum Einlegen von Widersprüchen.

1.8 Italien: Bußgeld für unerbetenen Kontaktaufnahme durch Rechtsanwaltskanzlei

Die Italienische Datenschutzaufsicht Garante verhängte eine Geldstrafe von 15.000 Euro gegen eine Anwaltskanzlei wegen der rechtswidrigen und unaufgeforderten Kontaktaufnahme mit den 15.000 Aktionären einer säumigen Bank, um sie für eine Sammelklage gegen die Bank zu gewinnen. Laut den Ausführungen der Garante entspricht die Höhe der Sanktion ca. 0,075 % der möglichen Höchststrafe.

1.9 CNIL: Konsultation zur Empfehlung bei Einwilligung für mehrere Endgeräte

Die französische Datenschutzbehörde CNIL startet eine öffentliche Konsultation zu ihrem Empfehlungsentwurf zur Einholung einer geräteübergreifenden Einwilligung. Ziel ist es Akteuren, die diese Praxis nutzen möchten, dabei zu helfen Einwilligungen in Übereinstimmung mit den Anforderungen der DS-GVO einzuholen.
Benutzer interagieren jetzt mit Websites oder mobilen Anwendungen über verschiedene Geräte: Computer, Smartphone, Tablet oder Connected TV, manchmal während sie in einem Benutzerkonto angemeldet sind. Mit der Verbreitung vernetzter Objekte sind die Anfragen nach Zustimmung für die Verwendung von Cookies und Trackern immer häufiger geworden.
In diesem Zusammenhang versuchen einige digitale Akteure eine einzige Einwilligung einzuholen, die auf allen Geräten desselben Nutzers gültig ist. Rückmeldung kann bis 5. Juni 2025 eingereicht werden.
Das erinnert mich an die technische Umsetzung dessen, was in Deutschland rechtlich über die Verordnung nach § 26 Abs. 2 TDDDG (wir berichteten) versucht wird.

1.10 Belgien: Zuständigkeiten bei Mitarbeiterexzess

Ein Krankenhausmanager, der die Krankenakte seines Untergebenen über seine internen Zuständigkeiten hinaus konsultiert, agiert dabei als Verantwortlicher für diese Verarbeitung und nicht als Vertreter des Krankenhauses. Das Krankenhaus habe es jedoch versäumt die Datenschutzverletzung der Datenschutzbehörde mitzuteilen. Die belgische Aufsicht sieht hier weiterhin das Krankenhaus in der Pflicht diesen Mitarbeiterexzess als Datenschutzverletzung zu melden (Rn. 66).

1.11 Niederlande: Aufruf zur Mitteilung von Beispielen zur Vermittlung von KI-Kompetenz

Die Datenschutzbehörde bittet Organisationen, ihren Ansatz zur Vermittlung von KI-Kompetenz mitzuteilen. Diese Praxisbeispiele können zur weiteren Bewusstseins- und Wissensentwicklung beitragen. Bis 14. Mai 2025 sollten sie der Aufsicht zugehen. Näheres dazu hier.

1.12 Niederlande: „Tag des DSB“ am 18.09.2025

Die niederländische Datenschutzaufsicht kündigt einen „Tag des DSB“ für den 18. September 2025 an. Dieser Tag soll im Zeichen des Wissensaustauschs und der Diskussion über die Chancen und Herausforderungen für DSB, jetzt und in Zukunft abbilden. Während des Tages des DSB können die Besucher nach einem Plenarprogramm aus verschiedenen Untersitzungen wählen. Der AP bietet eine Reihe von Untersitzungen an, es werden ausdrücklich andere Organisationen eingeladen, ebenfalls eine Sitzung anzubieten. Der Antrag dafür muss bis zum 14. Mai 2025 über das Anmeldeformular eingereicht werden. Die Anzahl der Plätze ist begrenzt. Anfang Juni 2025 werden die ausgewählten Partner informiert.

1.13 Spanien: Leitfaden zur Generierung synthetischer Daten

Die spanische Aufsicht AEPD veröffentlichte eine spanische Übersetzung dieses Dokuments der Datenschutzbehörde von Singapur, da dieses nach Ansicht der AEPD für Datenverantwortliche, Datenverarbeiter und Datenschutzbeauftragte einen Mehrwert bringe. Synthetische Daten sind ein Schlüsselinstrument für Innovation und Datenschutz bei der Entwicklung von KI-Systemen und -Modellen. Der Leitfaden findet sich hier.

1.14 BSI: Biometrie-Standard nutzt BSI-Lichtbildbewertung OFIQ

Das BSI informiert, dass der internationale Biometrie-Standard ISO/IEC 29794-5 als Referenzimplementierung für die Qualitätsbewertung von Lichtbildern einen Open-Source-Algorithmus enthält. Dieser wurde im Rahmen des Projekts OFIQ (Open Source Face Image Quality) des BSI entwickelt. Er ermöglicht erstmals die transparente und detaillierte Bewertung der Qualität digitaler Lichtbilder. Zudem stellt der Algorithmus ein einheitliches Qualitätsniveau in der automatisierten Biometrie-Erkennung sicher.

1.15 EU-Kommission: Sanktionen gegen Meta und Apple nach dem DMA

Die EU-Kommission verhängt gegen Apple und Meta Sanktionen, weil sie gegen den DMA (Digital Markets Act) verstoßen hätten. Apple schränke die Möglichkeit von App-Entwicklern ein, Angebote außerhalb des App Stores zu bewerben, und das "Consent or Pay"-Modell von Meta biete Nutzern keinen Zugang zu einem gleichwertigen Dienst, der weniger personenbezogene Daten für Anzeigen verwendet. Apple bekommt dafür 500 Mio. Euro und Meta 200 Mio. Euro Bußgeld. Apple und Meta sind verpflichtet, den Entscheidungen der Kommission innerhalb von 60 Tagen nachzukommen, andernfalls drohen Zwangsgelder. Und beide werden es natürlich gerichtlich überprüfen lassen.
Der European Parliamentary Research Service hat zur Durchsetzung des DMA auch aktualisierte Informationen bereitgestellt.

1.16 LDA Brandenburg: Hinweis zu Training durch Ebay

Auch Ebay kündigt an, die eingestellten Informationen zum Training einer KI zu nutzen und auch hier kann widersprochen werden. Die LDA Brandenburg informiert hier dazu, auch wie widersprochen werden kann.

1.17 Hamburg: Hinweise zu Data Act und Datenschutz

Der HmbBfDI veröffentlichte eine Handreichung zur Vereinbarkeit von Data Act und Datenschutz. Nach Ansicht des HmbBfDI müssen Datenschützer:innen in Unternehmen und Behörden sich nun der herausfordernden Aufgabe, den Zugang zu Daten zu gewähren und dabei die Datenschutzbestimmungen einzuhalten, stellen. (Nach meiner Ansicht müssen sie dazu beraten.) Wer die Chancen aus dem Data Act für sich nutzen möchte, sollte sich mit den Zugangsansprüchen auseinandersetzen. Wer künftig den Pflichten des Rechtsakts unterliegt, muss sich auf Zugangsanträge vorbereiten und Strategien für den Schutz personenbezogener Daten und Geschäftsgeheimnisse entwickeln. Aufsichtsbehörden, darunter auch die Datenschutzbehörden, müssen sich auf neue Aufgaben und Befugnisse vorbereiten.
Neben einem Überblick über die Inhalte des Data Acts zeigt das Papier die Handlungsbedarfe auf und skizziert die Möglichkeiten der datenschutzbehördlichen Aufsicht.
Der HmbBfDI verwies dabei auch auf eine Veranstaltung in Hamburg am 15. Mai 2025, die sich damit befasste.

1.18 Österreich: Videoüberwachung zum Schutz einer pflegebedürftigen Person

Die Datenschutzbehörde Österreich (DSB) hatte einen kniffligen Fall zu bewerten. Ein Erwachsenenvertreter installierte Videokameras zur Bild- und Tonaufnahme in der Wohnung des Vertretenen, um dessen Sicherheit zu gewährleisten. Dadurch wurde das Pflegepersonal beim Betreten und Verlassen der Wohnung sowie während der Pflege überwacht. Allein eine Abdeckung während der Pflegetätigkeiten hätte die Tonaufnahmen nicht unterbunden. Die DSB bewertete jede einzelne Kamera, deren Zweck darin bestand, die Pflegebefohlenen zu schützen.
Hinsichtlich der Kameras im Wohnzimmer und im Vorzimmer wurde der Beschwerde stattgegeben.

1.19 CNIL: Risiken durch Datenabzug bei Subunternehmer

Die französische Datenschutzaufsicht CNIL sensibilisert zu Angriffsszenarien, bei denen Informationen verwendet werden, die zuvor bei einem Subunternehmer kompromittiert wurden. Nicht nur in Frankreich ein Risiko.

1.20 Garante: Konsultation zu “Pay or Ok“-Modellen

Die italienische Aufsicht Garante führt eine Konsultation durch, bei der sie sich Beiträge, Erfahrungen, Bemerkungen und Vorschläge zur Umsetzung des „Pay oder Ok“-Systems, wie es bisher von Aufsichtsbehörden erwartet wird, erhofft. Bis Ende Juni 2025 können Rückmeldungen gegeben werden.

1.21 Spanien: Geldbuße bei „beschleunigtem“ Einwilligungsverfahren gegen Bank

Zunächst dachte, ich, dies sei wieder ein Fall von Mitarbeiterexzess, als sich ein Ehepaar in Spanien beschwerte, dass eine Einwilligungserklärung zu Marketingmaßnahmen durch einen Sachbearbeiter der Bank gefälscht wurde. Doch es stellte sich laut Entscheidung der spanischen Aufsicht AEPD nach eingehenden Untersuchungen heraus, dass dies in der betroffenen Filiale öfter vorkam, um Entscheidungen zu „beschleunigen“ und die Kunden besser bewerben zu können. Weil die Bank bereits häufiger datenschutzrechtlich negativ auffiel (vgl. z.B. hier), bekam sie ein Bußgeld in Höhe von 200.000 Euro, das nach den Möglichkeiten in Spanien auf 120.000 Euro reduziert wurde. In Spanien kann es eine Reduzierung geben, wenn das Fehlverhalten eingestanden und die Zahlung der Geldstrafe akzeptiert wird, das bringt jeweils 20 % Ermäßigung.

1.22 Estland: Empfehlungen zur Datensicherheit von E-Shops

Die Datenschutzaufsicht in Estland hat Empfehlungen für Online-Shops veröffentlicht. Dabei geht es u.a. um die Informationspflichten, Speicherdauern, Rechtsgrundlagen, ggf. Opt-Out-Möglichkeiten; Anforderungen bei einem Gastkonto; Passwortanforderungen und Authentifizierungsmaßnahmen, Einbindung von Dienstleistern, Tracking über Webseiten und Schutzmaßnahmen.

1.23 Spanien: Datenschutz im Arbeitsverhältnis

Anlässlich des Internationalen Tags der Arbeit erinnerte die spanische Aufsicht AEPD an ihren Leitfaden zum Datenschutz in den Arbeitsbeziehungen. Darin werden Fragestellungen behandelt, wie Einsichtnahme des Arbeitgebers in soziale Netzwerke, Einsatz von Videokameras in Arbeitsräumen, Zutrittskontrolle und Zeiterfassung und Hinweise zu internen Hinweisgebersystemen.

1.24 Finnland: Beteiligung an der Prüfung von Löschverfahren

Wie die finnische Datenschutzaufsicht berichtet, beteiligt sie sich an der europäischen Aktion der Prüfung der Löschverfahren. Den Fragebogen hat sie an 61 Organisationen verschickt, die in verschiedenen Sektoren tätig sind. Die Befragung richtet sich an alle Hochschulen, Inkassounternehmen sowie Versicherungs- und Rentenversicherungsgesellschaften. Bei der Auswahl der Branchen wurden beispielsweise die Prävalenz von Löschanträgen in den betroffenen Sektoren, die Ziele der Untersuchungen in den Vorjahren und die im Dezember 2022 in Kraft getretene Novelle des Kreditinformationsgesetzes zur Verkürzung der gesetzlichen Aufbewahrungsfristen für Zahlungsverzugseinträge berücksichtigt. Die Aktion läuft bis zum 13. Juni 2025.

1.25 ICO: 23andMe – Was passiert mit den Daten?

Bei 23andMe handelt es sich um ein US-Gentest-Unternehmen in Insolvenz, das über einige der persönlichsten und sensibelsten Informationen seiner Kunden, darunter genetische Daten, Gesundheitsberichte und selbst gemeldete Gesundheitszustände, verfügt. Der ICO informiert, dass er zusammen mit der Aufsicht Kanadas sich an den US-Treuhänder wendete, um zusammen den Schutz der sensiblen personenbezogenen Daten von Kunden von 23andMe in UK und Kanada während und nach dem Insolvenzverfahren des Gentest-Unternehmens zu fordern. Der US-Treuhänder dient der Überwachung von Insolvenzfällen, der Überwachung der Fallverwaltung und der Prozessführung zur Durchsetzung der Insolvenzgesetze.
In dem Brief wird auch auf die Verpflichtungen hingewiesen, die sowohl 23andMe als auch jedem potenziellen Käufer der personenbezogenen Daten des Unternehmens oder seiner Kunden nach britischem und kanadischem Recht auferlegt werden, und davor gewarnt, dass die beiden genannten Aufsichtsbehörden nicht zögern werden Nachforschungen anzustellen und geeignete Maßnahmen zu ergreifen, wenn es Beweise für die Nichteinhaltung der geltenden Datenschutzgesetze gibt.
Vorausgegangen waren gemeinsame Untersuchungen in Kanada und UK und die Ankündigung aufgrund der Untersuchung einer Datenschutzverletzung ein Bußgeld zu verhängen.

1.26 Kanada: Unterrichtsmaterialien für die Klassenstufe 2 bis 8

Die Datenschutzaufsicht für Ontario (IPC) hat vier Unterrichtspläne für das Klassenzimmer veröffentlicht, um Pädagog:innen dabei zu helfen Schüler:innen der Klassen 2 bis 8 beizubringen, warum Privatsphäre wichtig ist und wie sie ihre Privatsphäre online schützen können. Dazu gehören Handouts für Schüler:innen, die ausgedruckt oder als ausfüllbare PDF-Datei ausgefüllt werden können. Die Unterrichtspläne sind so konzipiert, dass sie mit der Privacy Pursuit des IPC verwendet werden können, wie auch das Aktivitätsheft gefüllt mit Wortsuchen, Kreuzworträtseln, zum Nachdenken anregenden Fragen und anderen unterhaltsamen Aktivitäten, um etwas über Privatsphäre zu lernen.

1.27 EDSA: Stellungnahme zu Datenschutz bei EU-Patentorganisationen

Der EDSA veröffentlichte seine Stellungnahme 07/2025 zum Entwurf eines Durchführungsbeschlusses der Europäischen Kommission gemäß der Verordnung (EU) 2016/679 über die Angemessenheit des Schutzes personenbezogener Daten durch die Europäische Patentorganisation (Europäisches Patentamt – EPA).
Das EPA ist eine internationale Organisation, die Patente für Erfindungen in Europa erteilt. Zu seinem Mandat gehört es Erfindern und Unternehmen europäische Patente zu erteilen und die Zusammenarbeit bei der Harmonisierung des Patentrechts in den europäischen Ländern zu fördern. Das EPA hat seinen Sitz in München, 39 Staaten sind über Verträge eingebunden. In seiner Stellungnahme stellt der EDSA Ähnlichkeiten zwischen dem Datenschutzrahmen des EPA und der DS-GVO fest. Besonders hervorzuheben sei, dass das EPA zusätzliche Maßnahmen ergriffen hat, um einen angemessenen Schutz sensibler Daten zu gewährleisten. Der EDSA lobt die Grundsätze der Rechenschaftspflicht des EPA, die eine vollständige Dokumentation aller Verarbeitungsvorgänge vorschreiben und ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Dabei empfiehlt der EDSA die Verantwortlichkeiten des EPA als für die Verarbeitung Verantwortlicher bei Verstößen gegen Datenschutzvorschriften zu klären, unabhängig davon, ob das EPA als internationale Organisation die Verarbeitung personenbezogener Daten den in den Ländern ansässigen Einheiten überträgt. Der EDSA schlägt u.a. auch vor die Garantien für die Weiterübermittlung personenbezogener Daten an Behörden in den Vertragsstaaten des EPA zu präzisieren.

1.28 EDSA und EDSB: Joint Letter zu Änderungsgedanken zur DS-GVO

Der EDSA und der Europäische Datenschutzbeauftragte (EDSB) haben ein an die Europäische Kommission gerichtetes Schreiben über den bevorstehenden Vorschlag zur Vereinfachung der Dokumentationspflichten nach Art. 30 DS-GVO verfasst.
Das gemeinsame Schreiben ist eine Antwort auf das Schreiben der Europäischen Kommission an den EDSA und den EDSB vom 6. Mai 2025, in dem die Kommission erläutert, wie sie beabsichtigt, spezifische Änderungen an der DS-GVO vorzunehmen. Darin geht es um Ausnahmen von der Erfassung des Verzeichnisses für Verarbeitungstätigkeiten durch Unternehmen bis zu einer gewissen Größe. Der EDSA und der EDSB gehen davon aus, dass nach der Veröffentlichung der vorgeschlagenen Gesetzesänderung eine formelle Konsultation stattfinden wird.
Der EDSA und der EDSB teilten mit, dass sie zum jetzigen Zeitpunkt diese gezielte Vereinfachungsinitiative vorläufig unterstützen können, wobei sie berücksichtigen, dass dies die Verpflichtung der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter zur Einhaltung anderer Verpflichtungen aus der DS-GVO nicht beeinträchtigen würde. Dennoch forderten der EDSA und der EDSB die Kommission auf die Auswirkungen auf die von dieser Änderung betroffenen Organisationen besser zu bewerten, um zu beurteilen, ob der Vorschlagsentwurf ein angemessenes und gerechtes Gleichgewicht zwischen dem Schutz personenbezogener Daten und den Interessen von Organisationen mit weniger als 500 Mitarbeitern gewährleistet.

1.29 EDSA: Verlängerung des UK-Angemessenheitsbeschluss

Auch der EDSA findet eine kurzfristige Verlängerung des bestehenden Angemessenheitsbeschlusses bis 27.12.2025 gut, geht aber davon aus, dass die EU-Kommission alle rechtlichen Entwicklungen in dem Vereinigten Königreich entsprechend bei ihrer Entscheidung berücksichtigt.

1.30 EDSB: Jahresbericht für 2024

Der Europäische Datenschutzbeauftragte veröffentlichte seinen Jahresbericht für das Jahr 2024.
Mit Blick auf das Jahr 2024 konzentrierte der EDSB seine Bemühungen auf die Vorbereitung auf die sich entwickelnde digitale Landschaft und ihre Zukunft, wobei die Datenschutzrechte des Einzelnen im Vordergrund standen. Konkrete Maßnahmen beziehen sich auf künstliche Intelligenz, Technologieüberwachung und vorausschauende Initiativen und Projekte, gesetzgeberische Beratung des EU-Mitgesetzgebers zu bevorstehenden EU-Verordnungen, die sich direkt auf die Grundrechte der EU-Bürger auf Privatsphäre auswirken, und die tägliche Überwachung und Durchsetzung der Organe, Einrichtungen, Ämter und Agenturen der EU (EUI). Nicht zu vergessen ist die wichtige Arbeit und der Einfluss, den er im Rahmen der internationalen Zusammenarbeit ausübt, um das EU-Datenschutzrecht auf globale Standards zu heben. In Zukunft will der EDSB als unabhängige Institution, die für die Aufsicht über die EU-Institutionen zuständig ist, weiterhin sein Fachwissen und seine Ressourcen einsetzen, um sich auf die vielfältigen Möglichkeiten und Risiken vorzubereiten, die die digitale Landschaft mit sich bringt.
Interessant aus seinem Tätigkeitsbericht sind die Aussagen im Rahmen des internationalen Datentransfers in Ziffer 3.10 (Seite 49), als die Europäische Investitionsbank (EIB) den EDSB ersuchte die Übermittlung von personenbezogenen Daten – insbesondere von Kontaktdaten – an eine Reihe von Nicht-EU/EWR-Ländern, darunter Brasilien, Türkei, Indien und Fidschi, im Februar 2024 zu bewerten. Nach Prüfung dieser Anträge verweigerte der EDSB die Übermittlung, weil ihm nicht genügend Beweise und Belege dafür vorlagen, dass diese Länder die personenbezogenen Daten der Bürger in gleicher Weise wie in der EU schützen können, als „im Wesentlichen gleichwertiges Datenschutzniveau“. In Anbetracht des begrenzten und gelegentlichen Charakters dieser Übermittlungen personenbezogener Daten empfahl er der EIB, sich auf Ausnahmeregelungen zu stützen, die die Weitergabe personenbezogener Daten außerhalb der EU/des EWR ausnahmsweise aus Gründen des öffentlichen Interesses im Rahmen des EU-Datenschutzrechts zulassen.

1.31 BfDI, KI-Reallabore und Datenschutzaufsicht

Im Rahmen der Vorstellung eines simulierten Reallabors zusammen mit dem Digitalministerium Hessens und der BNetzA überraschte die BfDI mit der Aussage, sie sei die zuständige Aufsicht dafür. Wenn sich das herumspricht, dass nun auch Möglichkeiten ohne erforderliche Rechtsgrundlage genutzt werden können, wird es spannend, wie sie ihre Aufsichtstätigkeiten in den Bereichen, in denen sie bereits tatsächlich gesetzlich geregelt zuständig ist, umsetzt.
Ziel des Projekts, zu dem ein Letter of Intent unterzeichnet wurde, ist es unter realitätsnahen Bedingungen zentrale Anforderungen, Abläufe und Herausforderungen von KI-Reallaboren im Sinne der im August 2024 in Kraft getretenen europäischen KI-Verordnung (KI-VO) zu simulieren und damit Wissen und Kenntnisse über Reallabore zu vergrößern. Die Ergebnisse aus dem Vorhaben sollen bis Ende 2025 vorliegen.

1.32 BfDI: Elektronische Patientenakte und Löschfunktionen

Wie hier berichtet wird, kündigt die BfDI an sich die tatsächlichen Prozesse bei Löschbegehren gegenüber der Krankenkasse Barmer im Umfeld der elektronische Patientenakte genauer anzusehen. Dem Bericht zufolge seien die Prüfungen der Berechtigungen zur Ausübung von Löschrechten nicht optimal. Es gab auch bereits andere Hinweise, dass Prozesse dort nicht optimal liefen.

1.33.1 LDA Brandenburg: Tätigkeitsbericht für 2024 – Videoüberwachung in Beherbergungsbetrieb

Auch zu Fragen der Videoüberwachung hat die LDA Brandenburg Fälle zu berichten. In Ziffer A II 2, ab Seite 24 schildert sie einen weitreichenden Fall der Videoüberwachung in einem Hotel. Anlass der Überprüfung der über 40 dort eingesetzten Kameras war eine Beschwerde über eine Kamera auf dem Dach des Hotelgebäudes. Die Betreiberin gab als Grund für die Videoüberwachung den Schutz von Personen sowie die Verhinderung von Vandalismus an.  Im Ergebnis untersagten die LDA die umfassende Überwachung der Lobby und der Aufenthaltsbereiche für die Gäste, die hier unbeobachtet ihre Freizeit verbringen wollen, der Aufzugskabinen, der Flure vor den Zimmern sowie der Sitzgelegenheiten im Außenbereich. Kameras in den Fluren wurden beseitigt. Die Betreiberin wurde verpflichtet den Erfassungsbereich einer auf dem Dach befindlichen Kamera so einzustellen, dass Nachbargebäude nicht mehr erfasst werden. Der Bescheid der Aufsicht wird gerichtlich überprüft.

1.33.2 LDA Brandenburg: Tätigkeitsbericht für 2024 – Unternehmensinterne Kommunikation über Abwesenheiten

Es reicht nach Ansicht der LDA Brandenburg (Ziffer A II 6., Seite 40) nicht aus einen Aushang krankheitsbedingter Abwesenheitstage im Dienstplan innerhalb des Unternehmens damit zu rechtfertigen, dass neue Beschäftigten im Rahmen eines „Welcome Days“ zugestimmt hätten.
Die Abwesenheiten wurden dann im Krankheitsfall auf einem Schichtplan mit dem Buchstaben „K“ eingetragen. Der Plan war für einen weiten Personenkreis zugänglich; selbst die Einsichtnahme durch externe Dritte hatte das Unternehmen nicht ausgeschlossen. Die LDA Brandenburg bemängelte die fehlende freiwillige Einwilligung in diesem Kontext und wirkte auf eine Änderung der Darstellung der Abwesenheiten hin.

1.33.3 LDA Brandenburg: Tätigkeitsbericht für 2024 – Mitarbeiterexzess – wieder bei der Polizei

Neben dem Klassiker bei datenschutzrechtlichen Mitarbeiterexzessen der Polizei, dem Datenzugriff für private Zwecke (vgl. Ziffer A II 8.1 ab Seite 45) und einem dafür verhängten Bußgeld in dreistelliger Höhe beschreibt die LDA Brandenburg einen weiteren Fall (Ziffer A II 8.2. ab Seite 46): Ein Polizist hatte tausende polizeiinterne Daten auf eine private Festplatte kopiert. Darunter befanden sich Angaben zu Beschuldigten, Geschädigten sowie Zeuginnen und Zeugen. Ferner kopierte der Beamte Adressen und Telefonnummern von Polizeibeschäftigten, Angaben zu deren Gesundheit und dienstliche Beurteilungen sowie Schulungsunterlagen zum Thema Kinderpornografie. Die Polizei meldete der LDA Brandenburg diesen Datenschutzvorfall. Unabhängig davon, ob der Polizist die Absicht hatte, die Daten nur zu beruflichen Zwecken zu nutzen, sei bereits das Speichern der dienstlichen Dateien auf einer privaten Festplatte unzulässig. Dies sehe im Übrigen auch eine entsprechende Richtlinie der Polizei Brandenburg vor. In seiner bewussten Entscheidung, die Daten dennoch zu überspielen, erkannte die Landesbeauftragte ein vorsätzliches Handeln und verhängte ein Bußgeld in vierstelliger Höhe.
Unabhängig von diesem Ordnungswidrigkeitenverfahren befasste sich die Datenschutzaufsicht mit der Verantwortung der Polizeibehörde für das Datenschutzmanagement (Ziffer B I, Seite 115). Dabei standen die Wirksamkeit der Sensibilisierung der Beschäftigten für Datenschutzfragen sowie die Mängel bei der (verspäteten) Meldung der Datenschutzverletzung im Vordergrund. Im Ergebnis beanstandete die LDA Brandenburg die entsprechenden Verstöße gegenüber dem Polizeipräsidium.

1.33.4 LDA Brandenburg: Tätigkeitsbericht für 2024 – Gesichtserkennungssystem PerlS

Ausführlich äußert sich die LDA Brandenburg zum Einsatz des Gesichtserkennungssystems Personen-Identifikations-System (PerIS) (in Ziffer B 2, ab Seite 119) durch die Polizei. Durch Medienberichte und eine Drucksache des Landtages Sachsen wurden sie darauf aufmerksam, dass im Rahmen der Amtshilfe durch den Freistaat Sachsen dieses System auch in Brandenburg zum Einsatz kommt. Eine entsprechende Anfrage der Landesbeauftragten beantwortete das Polizeipräsidium Brandenburg letztlich erst nach vier Monaten. Daraus ergab sich, dass das Landeskriminalamt in zwei Ermittlungsverfahren der Staatsanwaltschaft Frankfurt (Oder) auf das Verfahren PerIS im Rahmen strafprozessualer Observationsmaßnahmen zurückgegriffen hatte. Es handelte sich um Ermittlungen zu schwerer grenzüberschreitender Eigentumskriminalität. Im Wesentlichen ermöglicht das Verfahren PerIS neben der Aufnahme von Bildern im öffentlichen Raum deren späteren biometrischen Abgleich mit bereitgestellten Bilddaten. Ergibt dieser keinen Treffer, werden die Aufnahmen nicht etwa sofort automatisch gelöscht. Dies geschieht vielmehr erst nach voreingestellten Fristen oder händisch, wenn festgestellt wurde, dass die Bilder nicht mehr benötigt werden. Nach den Vorschriften der Strafprozessordnung kann eine gezielte, längerfristige Observation zwar auch Unbeteiligte betreffen, wenn dies nicht zu vermeiden ist. Hier geht es jedoch um die Erfassung – und sogar den Bildabgleich – von Gesichtern hunderter oder tausender Unbeteiligter. Dies gehe laut der LDA Brandenburg über das von der Strafprozessordnung Erlaubte weit hinaus. Auch als Rasterfahndung könne der Einsatz von PerIS nicht qualifiziert werden. Schließlich zeichne diese sich gerade dadurch aus, dass nur Daten von Personen in den maschinellen Abgleich einbezogen werden, die bestimmte Prüfmerkmale erfüllten. Die Landesbeauftragte sieht die Datenverarbeitung im Ergebnis ihrer ersten Prüfung als nicht verhältnismäßig an.
Da die konkrete Sachverhaltsermittlung in den brandenburgischen Ermittlungsverfahren noch nicht abgeschlossen sei, könne sie zu den Details der richterlichen Anordnungen und dem erhobenen Bildmaterial noch keine Aussagen treffen. Darüber hinaus sei sie nicht für die Kontrolle von Gerichten zuständig, sodass ihr in beiden Fällen eine datenschutzrechtliche Bewertung der Entscheidungen verwehrt sei. Jedoch sei sie der Auffassung, dass weder die Datenerhebung noch der nachfolgende biometrische Gesichtsabgleich auf die von der Staatsanwaltschaft herangezogenen Rechtsgrundlagen der Strafprozessordnung gestützt werden könne.

1.33.5 LDA Brandenburg: Tätigkeitsbericht für 2024 – Digitaler Telefonassistent einer Arztpraxis

Hier hätte ich mir mehr datenschutzrechtliche Ausführungen gewünscht. Ein digitaler Telefonassistent war in einer Arztpraxis dauerhaft aktiviert und fragte eine Einwilligung für einen Rückruf ab. Die LDA Brandenburg begnügte sich in Ziffer IV 4 mit dem Ergebnis, das der digitale Assistent nur für Schließ- und Pausenzeiten aktiviert würde. Spannende Aussagen zur grds. datenschutzrechtlichen Zulässigkeit von digitalen Telefonassistenten konnten damit vermieden werden.

1.33.6 LDA Brandenburg: Tätigkeitsbericht für 2024 – Bußgeld – auch wegen Newsletterversand nach Widerruf der Einwilligung

Im Jahr 2024 verhängte die Bußgeldstelle der Landesbeauftragten in fünf Fällen ein Bußgeld wegen festgestellter datenschutzrechtlicher Verstöße. Die Gesamtsumme der festgesetzten Bußgelder betrug knapp 33.500 Euro (vgl. Ziffer A VI 5.2, Seite 109). Eine Geldbuße in fünfstelliger Höhe verhängte die Bußgeldstelle gegen deutschlandweit agierendes Augenoptik-Unternehmen wegen des unberechtigten Versands von Newslettern (vgl. Ziffer A II 8.3, Seite 48). Das Unternehmen schickte über einen Zeitraum von neun Monaten 63 Werbe-E-Mails an einen Kunden, der die entsprechende Einwilligung bereits dreieinhalb Jahre zuvor widerrufen hatte. Bereits in einer ersten Anhörung durch die LDA teilte das Unternehmen mit, die E-Mail-Adresse des Kunden sei durch einen Fehler bei der Datenmigration wieder in den Verteiler aufgenommen worden. Es gab zwar gegenüber der LDA Brandenburg an den Fehler behoben zu haben, entfernte aber die Adresse des Kunden erst, als dieser sich ein zweites Mal bei der Landesbeauftragten beschwerte. Der Kunde war indes nicht verpflichtet sich erneut über den in den E-Mails vorgehaltenen Link vom Newsletter abzumelden. Vielmehr sei es Aufgabe des Verantwortlichen die Abmeldung unmittelbar nach dem Widerruf des Einverständnisses vorzunehmen. Das Unternehmen war wegen ähnlicher Verstöße bereits mehrfach in den Fokus der Landesbeauftragten geraten und verhielt sich bei der Aufklärung des Sachverhalts sowie bei der Abstellung des Verstoßes wenig kooperativ.
Die LDA Brandenburg empfiehlt dem Unternehmen auch bei Werbung den Durchblick zu behalten.

1.33 LDA Brandenburg: Tätigkeitsbericht für 2024

Auch der Tätigkeitsbericht für das Jahr 2024 aus Brandenburg ist nun veröffentlicht. Daraus einige subjektiv ausgewählte Themen:

1.34 LDI NRW zu erweitertem Führungszeugnis zur Vorlage bei Vereinen

Die Sportsaison im Verein startet und neue ehrenamtliche Trainer:innen und Betreuer:innen stehen in den Startlöchern. Damit einher geht oft die Frage, ob die Vereine von den Neuen vorab ein erweitertes Führungszeugnis verlangen dürfen. Die LDI NRW nimmt dazu Stellung, denn das Vorleben seiner Mitglieder und Beschäftigten dürfe ein Verein nicht grundlos ausforschen. So könnten Vereine unter bestimmten Voraussetzungen ein erweitertes Führungszeugnis abfragen, wenn sie als freie Träger der Jugendhilfe nach § 72a Abs. 2 und 4 des Sozialgesetzbuchs VIII dazu verpflichtet wurden. Ein erweitertes Führungszeugnis enthält gegenüber dem normalen Führungszeugnis zusätzlich Verurteilungen wegen Sexualdelikten, die für die Aufnahme in das einfache Zeugnis zu geringfügig sind, wie zum Beispiel Erstverurteilungen zu geringfügigen Strafen. Zu den Trägern der freien Jugendhilfe zählen mit Jugendhilfemitteln geförderte Vereine. Sie können aufgrund der Verpflichtung, die sie nach der Vorschrift eingehen müssen, ein berechtigtes Interesse an der Erhebung von Daten aus dem erweiterten Führungszeugnis geltend machen.
Mit der gesetzlich vorgesehenen Verpflichtung der Vereine solle sichergestellt werden, dass sie keine Personen bei der Betreuung von Kindern- und Jugendlichen einsetzen, die rechtskräftig wegen bestimmter Straftaten verurteilt wurden. Hierbei handelt es sich vor allem um Straftatbestände im Zusammenhang mit der Verletzung von Schutz- und Fürsorgepflichten sowie Sexualstraftaten. Zu den Personen zählen alle hauptamtlich im Verein Beschäftigte. Außerdem sind alle neben- und ehrenamtlich Tätigen einbezogen, die Aufgaben der Jugendhilfe wahrnehmen und Kinder oder Jugendliche beaufsichtigen, betreuen, erziehen oder ausbilden oder einen vergleichbaren Kontakt haben. Dazu gehören in jedem Fall leitende Betreuungspersonen. Ob auch Personen, die einen vergleichbaren Kontakt haben, der Regelung unterfallen, hänge hingegen vom Einzelfall ab. Dabei spiele die Art des Kontakts eine wichtige Rolle und die Frage, ob ein besonderes Vertrauensverhältnis missbraucht werden könnte, etwa durch eine große Altersdifferenz oder ein Macht-/Hierarchieverhältnis zwischen Betreuer:in und Kind.

1.35 LfD Bayern: Meldedatenübermittlung zur Rundfunkfinanzierung (Kurz-Information 63)

Der LfD Bayern informiert in seiner Kurz-Mitteilung 63 über die datenschutzrechtlichen Rahmenbedingungen bei der Rundfunkfinanzierung. Die Landesrundfunkanstalt/der Beitragsservice erhält Daten aus den Melderegistern im Einzelfall, durch anlassbezogene regelmäßige Datenübermittlungen sowie im Rahmen periodischer Datenabgleiche. Die Details wurden durch die Gesetzgeber sehr akribisch geregelt und dabei auch für eine strikte Zweckbindung gesorgt.

1.36 BBfDI: Welche Fehler von Unternehmen beim Einsatz Künstlicher Intelligenz machen

In ihrem Newsletter 2/2025 informiert die BBfDI über Erkenntnisse bei Prüfverfahren zum Einsatz von KI. Sie befasst sich mit zwei wesentlichen Fragen: Welche Rechtsgrundlage wird für die Verarbeitung von personenbezogenen Daten genutzt? Viele Unternehmen stützen sich hier auf das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Danach ist die Rechtmäßigkeit davon abhängig zu machen, dass die Verarbeitung zur Wahrung der berechtigten Interessen der Verantwortlichen oder Dritter erforderlich ist und keine schutzwürdigen Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen.
Und wird die Entwicklung oder der Einsatz von KI gegenüber den betroffenen Personen transparent gemacht? Viele Unternehmen informieren die betroffenen Personen bisher entweder gar nicht oder nicht ausreichend über ihre Datenverarbeitung im Zusammenhang mit ihren KI-Systemen. So hat die BBfDI zum Beispiel KI-Chatbots auf Websites ohne Informationen zur damit einhergehenden Verarbeitung personenbezogener Daten vorgefunden.
Dazu stellt sie fest, dass dieser Verstoß gegen die Informationspflichten nach Art. 13 bzw. Art. 14 DS-GVO sich unmittelbar auf die Rechtmäßigkeit der Datenverarbeitung auswirken kann. Gerade wenn sich Verantwortliche auf die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen berufen, gehen die BBfDI nach der Rechtsprechung des EuGH davon aus, dass dies unzulässig ist, wenn betroffenen Personen nicht einmal das berechtigte Interesse mitgeteilt wird, auf das sich die Verantwortlichen berufen.
So bringt sie Beispiele aus ihrem Prüfverfahren wie eine vorgebliche Anonymisierung bei einem KI-basierten Forderungsmanagement oder wie eine Fotoplattform, bei der nach ihrer derzeitigen Kenntnis bereits ins Internet hochgeladene Fotos, die zumindest zum Teil als personenbezogen einzustufen waren, Unternehmen gegen Bezahlung unter anderem für das Training von KI-Modellen anbot oder dass bei einer Immobilienvermittlungsplattform der Betreiber die abgeschlossene und neu hinzukommende Kommunikation mit Kund:innen für das Training eines KI-Systems zur effizienteren Bearbeitung von Kundenanfragen nutzte, ohne jedoch die Kund:innen auf diese Verarbeitung hinzuweisen.
In allen Fällen würden die die Prüfverfahren aktuell noch andauern. Weitere Informationen und Beispiele zu den KI-Verfahren kündigt sie in ihrem Tätigkeitsbericht 2024 an, der am 26. Mai 2025 veröffentlicht werden soll.

1.37 Belgien: Zur Unzulässigkeit des Einsatzes eines TCF-Strings durch IAB

Das Berufungsgericht in Belgien entschied (Link geht auf maschinell übersetztes Urteil durch ICCL, in Flämisch hier) in der Bewertung der datenschutzrechtlichen Beurteilung der Bewertung der belgischen Aufsicht vom Februar 2022 in der Gestaltung der Einbindung der Werbeinformationen durch Webseitenbetreiber. Dabei schaffte es das Kunststück, dass sich hinterher beide Seiten bestätigt fühlten. IAB freut sich, dass das Gericht das Interactive Advertising Bureau (IAB) nur für einen Teil der Verarbeitung (des Transparency and Consent Framework TCF-Strings) als verantwortlich ansieht und nicht für die damit verbundenen Verarbeitungen zu Analyse- und Werbezwecke.
Die Bürgerrechtsbewegungen heben hervor, dass sich das Gericht das Geschäftsmodell der IAB deutlich als nicht rechtskonform feststellte (Referenz auf Ziffer 535 des Beschied der belgischen Aufsicht. Zur Klage und zum Verfahren hatten wir bereits berichtet.
Das TCF stellt eine Infrastruktur bereit, mit der Nutzereinwilligungen zur Datenverarbeitung im Werbekosmos erhoben und in der technologischen Kette weitergegeben werden. Das IAB hat es entwickelt und der Werbeindustrie zur Verfügung gestellt, vor allem um das Ökosystem um die programmatische Werbung abzusichern. Heute greifen etliche Marktteilnehmer in der Digitalwerbung auf das Framework zurück.

Franks Nachtrag: Hier und auch dort wird über das Urteil berichtet.

1.38 Kroatien / Italien: KI-Tool Olivia zur DS-GVO für KMU

Das ARC2-Konsortium, bestehend aus kroatischen und italienischen Datenschutzbehörden, der Fakultät für Organisation und Informatik der Universität Zagreb, der Vrije Universität Brüssel und der Universität Florenz möchte für kroatische und italienische KMU ein Tool anbieten, das die Einhaltung der DS-GVO einfacher als je zuvor zu machen möchte. Auf den Webseiten der Aufsicht findet sich daher das Tool Olivia, das einem nach einer Registrierung Fragen zur DS-GVO interaktiv beantwortet.

1.39 CNIL: Anforderungen bei der Verarbeitung von Gesundheitsdaten

Die CNIL engagiert sich in dem französischen Projekt G_NIUS, auf dessen Plattform Akteure im digitalen Gesundheitsökosystem informiert und verbunden werden. Es finden sich dort u.a. die erforderlichen Formalitäten und Best Practices, die bei der Entwicklung von Lösungen mit Gesundheitsdaten zu beachten sind.

1.40 CNIL: Empfehlungen für mobile Anwendungen

Die Empfehlungen der CNIL für mobile Applikationen (wir berichteten) sind nun auch in Englisch veröffentlicht.

1.41 Spanien: Datenschutzwidrige Ermittlung sozialtarifberechtigter Personen

Die spanische Datenschutzbehörde AEPD stellte fest, dass das Ministerium für den ökologischen Wandel und die demografische Herausforderung (MTERD) im Rahmen des Sozialtarifs für Strom, in Bezug auf seinen Algorithmus BOSCO zur Ermittlung der für eine Sozialtarif berechtigen Personen gegen die Artt. 13, 22 und 35 der DS-GVO verstoßen hat.
Der Sozialtarif für Strom ist ein regulierter Rabatt auf die Stromrechnung für schutzbedürftige Verbraucher, der von den Referenzversorgungsunternehmen (COR) verwaltet und vom MTERD überwacht wird. Um zu bestimmen, wer diesen Rabatt in Anspruch nehmen kann, verwenden die COR das BOSCO-System, eine Computeranwendung, die auf der elektronischen Plattform des Ministeriums gehostet wird. Über BOSCO werden die Daten der Antragsteller eingegeben, und das System führt automatische Überprüfungen (unter Abfrage der Datenbanken der Steuerbehörde und der Sozialversicherung) durch, um zu überprüfen, ob die gesetzlichen Voraussetzungen für eine Bedürftigkeit erfüllt sind, und gibt ein Ergebnis zurück: „erfüllt“, „nicht erfüllt“ oder „Berechnung nicht möglich“. Nach Prüfung des Falls stellt die AEPD folgende Verstöße fest: Einen Verstoß gegen Art. 22 DS-GVO, ein Vorliegen automatisierter Einzelentscheidungen mit rechtlichen Auswirkungen auf die Antragsteller, ohne dass das Recht auf eine sinnvolle menschliche Intervention gewährleistet ist; gegen Art. 35 DS-GVO, das Fehlen einer Datenschutz-Folgenabschätzung trotz der sensiblen Art und des Umfangs der verarbeiteten Daten und ein Verstoß gegen Art. 13 DS-GVO, das Fehlen einer klaren Information der betroffenen Personen über das Vorliegen automatisierter Entscheidungen und ihre damit verbundenen Rechte. Bericht dazu hier.

1.42 Spanien: Hinweise zu Datenschutzverletzungen

Auf was muss bei Datenschutzverletzungen geachtet werden? Welches Risiko führt zu welchen Konsequenzen? Und bei welcher Datenschutzaufsicht muss ich es melden? Warum sich auch in Spanien diese Frage gestellt werden kann? Weil es auch dort aufgrund Autonomieregelungen mehrere gibt, nämlich auch in Katalonien, in Andalusien und in Pais Vasco.
So gehen die Informationen auf den Seiten der spanischen Aufsicht auch auf das Szenario einer durch Ransomware verursachten Verletzung des Schutzes personenbezogener Daten ein. Dies sei immer von den Verantwortlichen in Betracht zu ziehen, die verpflichtet sind geeignete Maßnahmen zu ergreifen, um das Eintreten dieser Bedrohung zu verhindern und gegebenenfalls ihre Auswirkungen zu minimieren. Nicht nur Sicherheitsmaßnahmen, sondern auch Datenschutzmaßnahmen seien von vornherein und durch datenschutzfreundliche Voreinstellungen mitzudenken.

1.43 Polen: Bußgeld wegen Verstoß bei organisatorischer Einbindung des DSB und Profiling

Die polnische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 60.000 Euro wegen Verstoßes gegen Art. 38 Abs. 3 DS-GVO (organisatorische Stellung des DSB) und 72.000 Euro wegen Nichtberücksichtigung von Profiling in der Dokumentation gegen einen Bank, wie hier berichtet wird. Der DSB berichtete nicht direkt an die oberste Führungsebene der Bank, d. h. an den Vorstand, und der DSB der Bank arbeitete als IT-Prüfer/Sicherheitsspezialist im Sicherheitsteam und dann in der Sicherheitsabteilung, wo er direkt dem Direktor dieser Abteilung unterstellt war. Auch versäumte es die Bank, das Profiling in das Verzeichnis der Verarbeitungstätigkeiten und die Datenschutz-Folgenabschätzung mit aufzunehmen. Die Bank erstellte Profile zahlreicher Kundendaten, um deren Kreditwürdigkeit zu bestimmen. Die Bank verarbeitete dabei auch das Ergebnis des sogenannten Credit Scores, d.h. der Kreditrisikobewertung und der Zuordnung einer von der Bank definierten Risikokategorie. Es handelte sich um die Bewertung des Kreditrisikos und die Zuweisung einer Kreditrisikokategorie, die die Erstellung von Datenprofilen beinhaltete.

1.44 ICO: Verschlüsselung und Datenschutz

Der ICO hat seine Leitlinien zu Fragen der Verschlüsselung in aktualisierter Fassung veröffentlicht. Die einzelnen Fragen / Antworten können auch als PDF heruntergeladen werden. Damit will er helfen, dass die Erwartungen des ICO diesbezüglich verstanden werden, und aufzeigen, wie Verschlüsselung in der Praxis eingesetzt werden kann.
Der aktualisierte Leitlinienentwurf umfasst neue Abschnitte zu Verschlüsselung und Internet-of-Things-Geräten sowie zu Verschlüsselung auf Smartphones. Er enthält auch Erklärungen und Fallstudien, um zu zeigen, wie beurteilt werden kann, ob eine Verschlüsselung angemessen ist, und einen neuen Abschnitt "Kurzanleitung", um in die Grundlagen der Verschlüsselung einzuführen. Zu diesem Entwurf der Leitlinien führt er eine Konsultation durch, bis 24. Juni 2025 können Hinweise eingereicht werden.

1.45 ICO: 40 Jahre Datenschutzaufsicht

Seit 40 Jahren gibt es die Datenschutzaufsicht im Vereinigten Königreich. Aus diesem Anlass gibt es ein passendes Video dazu, eine Ausstellung in Manchester, die auch online anzusehen ist und eine Umfrage auf der Webseite des ICO.

1.46 Kanada: Auswirkungen von KI-ChatBots und Tipps dazu

Die kanadische Aufsicht weist auf Risiken hin, die beim Einsatz eines KI-ChatBots entstehen können, dass z.B. anfallende Informationen bei der Nutzung gesammelt und gespeichert werden können. In einigen Fällen erklären Plattformen möglicherweise nicht klar, wie personenbezogene Daten verwendet, gespeichert oder wo sie weitergegeben werden können. Auch könnten diese Informationen verwendet werden, um das KI-System weiter zu trainieren oder um Profile über die Nutzenden zu erstellen oder Entscheidungen über diese zu treffen. Sind die Zwecke nicht klar definiert, können auch zukünftige andere Verwendungen nicht ausgeschlossen werden. Zudem könnte ein KI-Chatbot die Informationen, die er über die Nutzenden erlernt hat, an andere Benutzer weitergeben.
Sie gibt dazu aber konstruktive Tipps bei der Verwendung von KI-Chatbots: Einschränkung der persönlichen Informationen, die selbst geteilt werden. Keine sensiblen oder identifizierbaren personenbezogenen Daten bei der Nutzung zu verwenden, sondern lieber Aliasse für Namen zu verwenden und identifizierbare Details zu ändern. Prüfen, ob es möglich ist und wenn möglich Chatverlauf löschen. Aber auch keine Informationen über andere Personen weitergeben, schon gar nicht Bilder oder Informationen über Minderjährige.

1.47 ENISA: Warnung vor Desinformation

Die EU-Agentur für Cybersicherheit (ENISA) ist sich der Desinformation bewusst, die über soziale Medien und verschiedene Messaging-Apps zirkuliert, die den Namen der ENISA in den Zusammenhang mit dem Stromausfall in Teilen Südeuropas stellen und zu Unrecht einen Cyberangriff sowie zusätzliche Desinformationen über einen angeblichen Cyberangriff auf europäische Banken behaupten. Daher nimmt sie dies zum Anlass, vor dieser Desinformation zu warnen.

2.1 Bezirksgericht Midden-Nederland: von pseudonymisiert zu anonymisiert

Das niederländische Bezirksgericht hatte ein Vorgehen hinsichtlich des Personenbezugs zu bewerten. Daten, die bei der niederländischen Gesundheitsbehörde über einen beantworteten Fragebogen zur psychischen Gesundheitsversorgung (HoNOS+-Daten) eingehen, wurden vom Gericht als effektiv anonym angesehen, weil die Daten durch Hashing pseudonymisiert (verschlüsselt) werden, die empfangende Behörde nicht über technische Mittel (Quantencomputer) verfügte das Hashing zu entschlüsseln; die Daten nicht eindeutig genug seien, um mit zusätzlichen Daten verknüpft zu werden; und die Behörde nicht befugt sei zusätzliche Daten vom Krankenversicherer anzufordern. Zudem sei Hacking gesetzlich verboten und könne daher nicht als angemessenes Mittel zur Identifizierung betroffener Personen angesehen werden (ErwGr. 26 DS-GVO), außerdem müssten Hacker illegal mehrere Parteien hacken (vgl. Rn. 3.5 – 3.13).
Daher verfüge im Ergebnis die niederländische Gesundheitsbehörde nicht über angemessene Mittel, um die betroffene Person zu identifizieren, und folglich sei die DS-GVO nicht auf die betroffenen Daten anwendbar.
Zu dem Thema, ob und wann pseudonymisierte Daten als anonymisierte Daten gelten können, siehe auch das Urteil des LG Hannover [Ziffer 2.4]. Welche Folgefragen sich daraus entwickeln können, wurde im Podcast des LfDI BW vom ab Min 16:35 angesprochen.

2.2 BGH: Anwendbarkeit des § 21 Abs. 2 TDDDG

Wann muss ein Dienstanbieter nach § 21 Abs. 2 TDDDG Bestandsdaten herausgeben? Nach dem BGH nur dann, wenn nicht ausgeschlossen werden kann, dass der Beitrag noch von der Meinungsäußerung gedeckt ist und keiner der in Abs. 2 aufgezählten Tatbestände erfüllt ist. Im konkreten Fall ging es um eine Äußerungen auf einer Arbeitgeberbewertungsplattform. Eine Bewertung der Entscheidung gibt es in diesem Blog-Beitrag.

2.3 BAG: Schadenersatz bei verspäteter Auskunft nach Art. 15 DS-GVO

Das Bundesarbeitsgericht entschied, dass eine verspätete Auskunft nach Art. 15 DS-GVO allein keinen Anspruch auf immateriellen Schadensersatz wegen eines Kontrollverlusts begründe.
Ein ehemaliger Arbeitnehmer fühlte sich durch die verzögerte Auskunft seines ehemaligen Arbeitgebers beeinträchtigt und verlangte Schadensersatz in Höhe von 2.000 Euro wegen eines behaupteten Kontrollverlusts bzgl. seiner personenbezogenen Daten. Es fehle an einer objektiv nachvollziehbaren Befürchtung eines Datenmissbrauchs. Allgemeine Gefühle wie Ärger, subjektives Unbehagen, abstrakte Sorgen oder ein „gefühlter Kontrollverlust“ genügten nicht (Rn. 17 ff). Nach Ansicht des BAG müsse auch nicht das Verfahren vor dem EuGH C-526/24 (Brillen Rottner) abgewartet werden (Rn. 27).
In der Konsequenz der Rechtsprechung des BAG müssen Betroffene, die aufgrund einer fehlerhaften oder verspäteten DS-GVO-Auskunft Schadensersatz aufgrund eines Kontrollverlusts fordern, zumindest nachvollziehbar darlegen, dass sie eine missbräuchliche Verwendung ihrer Daten befürchten. Dies ergibt sich nicht bereits daraus, dass die Auskunft verspätet erfolgt ist. Das Urteil wird bereits hier und da besprochen.

2.4 LG Hannover: Wann sind Daten „quasi anonym“?

Wann liegt ein anonymes Datum vor? Das LG Hannover befasste sich anlässlich der Überprüfung eines Bußgeldes im Verfahren 128 OWiLG 1/24 damit und kam in seinem Beschluss am 26.02.2025 in Rn. 55 zu dem Ergebnis, dass

„Die Pseudonymisierung kommt hier jedoch einer Anonymisierung tatsächlich sehr nahe (Stichwort: anonymisierende Pseudonymisierung). Der außerhalb des Betriebes stehende, im Ausland befindliche Monitor war nämlich nicht in der Lage, die Personalnummern bestimmten Personen zuzuordnen. Die Annahme des LfD, dass dieses „aufgrund von Datenerhebungen und Datenverknüpfungen und geführten Gesprächen durchaus in bestimmten Fällen möglich gewesen sein dürfte“ ist spekulativ und verkennt, dass der Monitor dazu gar keine Veranlassung hatte, weil er nach den vertraglichen Vereinbarungen die Offenlegung von Klarnamen hätte verlangen können. Solange er dies nicht tat und sich mit den Personalnummern begnügte, waren die dahinterstehenden Personen für ihn quasi anonym.“

In dem Verfahren ging es um die Weitergabe von Daten an einen „Monitor“ in den USA, der die Einhaltung von bestimmten Vereinbarungen im Umfeld der „Diesel-Gestaltung“ überwachen sollte. Es war streitig, ob dabei datenschutzrechtliche Vorgaben eingehalten wurden. Das Gericht kam zu dem Ergebnis, dass bei den übermittelten Daten für den Empfänger ein Personenbezug nicht möglich war. Der Beschluss ist bislang nur hinter einer Paywall veröffentlicht.
Bericht dazu auch hier.

2.5 AG Hanau: Zugang einer E-Mail

Muss ich mir den Inhalt einer E-Mail auch dann als zugegangen werten lassen, wenn ein Autoresponder den Absender informiert, dass diese E-Mail-Adresse nicht mehr in Funktion ist und die E-Mail nicht weitergeleitet werde? Damit befasste sich das AG Hanau und kam zu dem Ergebnis: Natürlich. Die Details aus dem Fall von Hanau brauchen uns hier nicht weiter zu interessieren. Wichtig ist aus Datenschutzsicht dabei, dass es sich daher empfiehlt für alle Kommunikation, die wichtig und relevant sein kann, feste Kontaktvorgabe n perVertrag zu regeln, damit Hinweise von Vertragspartner auf Datenschutzverstöße auch zeitnah wahrgenommen werden. Um Informationen von Personen, mit denen keine festen Kommunikationswege vertraglich vereinbart werden können, verbindlich zu erhalten, empfiehlt es sich durch interne Anweisungen sicherzustellen, dass E-Mails an abwesenden Personen auch während deren Abwesenheit durch vertretungsbefugte Personen wahrgenommen werden können, um z.B. Fristen bei Betroffenenrechten nicht zu versäumen.

2.6 EuGH-Vorschau: Anwendbarkeit der DS-GVO auch bei Anti-Doping Berichterstattung (C-474/24)

Zu der Frage der Anwendbarkeit der DS-GVO auf Daten zu Sportler:innen über Aktivitäten im Rahmen der Anti-Doping-Regelungen verhandelt der EuGH am 13. Mai 2025 im Verfahren C-474/24 (NADA Austria).

2.7 EuGH-Vorschau: Umfang der Gesetzgebungskompetenz nach Art. 85 DS-GVO (C-199/24)

Im Verfahren C-199/24 aus Schweden geht es um eine Datenbank, die personenbezogene Daten von Menschen veröffentlicht, gegen die ein strafrechtliches Verfahren geführt wurde. Eine betroffene Person wurde dort noch geführt, auch nachdem im staatlichen Strafregister die Verurteilung bereits gelöscht war. Im Rahmen des Schadenersatzprozesses verteidigt sich die Datenbank mit Verweis auf eine vermeintliche Rechtsgrundlage aus einem schwedischen „Grundgesetz über die Meinungsfreiheit“ (Yttrandefrihetsgrundlag). Weitere Details zum Fall im Rahmen der Vorlagefrage siehe hier.
Nun muss der EuGH entscheiden, ob über dieses Gesetz zulässige Regelungen getroffen wurden.
Ermöglicht es Art. 85 Abs. 1 DS-GVO den Mitgliedstaaten, über die ihnen gemäß Art. 85 Abs. 2 DS-GVO obliegenden Aufgaben hinaus Gesetzgebungsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Daten zu erlassen, die zu anderen als journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt?
Und wenn dies bejaht wird: Erlaubt Art. 85 Abs. 1 der DS-GVO, das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung dadurch mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang zu bringen, dass Personen, deren personenbezogenen Daten in der Form verarbeitet werden, dass Angaben zu strafrechtlichen Verurteilungen dieser Personen der Öffentlichkeit gegen Entgelt im Internet zugänglich gemacht werden, sich hiergegen rechtlich nur dadurch wehren können, dass sie Strafanzeige wegen Verleumdung stellen oder Schadensersatz wegen Verleumdung verlangen? Falls die erste Frage oder die zweite Frage verneint wird: Kann eine Tätigkeit, die darin besteht ohne Anpassung oder redaktionelle Überarbeitung öffentliche Dokumente, nämlich strafrechtliche Verurteilungen, der Öffentlichkeit gegen Entgelt im Internet zugänglich zu machen, als Verarbeitung personenbezogener Daten angesehen werden, die zu den in Art. 85 Abs. 2 der DS-GVO genannten Zwecken erfolgt?
Die mündliche Verhandlung dazu findet am 14. Mai 2025 statt.

Franks Nachtrag: Sie möchten hier weiterlesen.

2.8 EuGH-Vorschau: Prüfung der Plattformentscheidung über WhatsApp (T-1078/23)

Die mündliche Verhandlung im Verfahren Meta gegen die EU-Kommission (T-1078/23) zur Frage, ob WhatsApp als Plattform nach dem DMA einzustufen ist, findet am 15. Mai 2025 statt.

2.9 EuGH-Vorschau: Fragen zu rechtsstaatlichem Verfahren und Transparenz (C-159/25)

Die polnische Justiz nutzt eine Software, um Gerichtsfälle nach dem Zufallsprinzip einzelnen Richtern zuzuweisen. Nun werden dem EuGH im Verfahren C-159/25 dazu Fragen vorgelegt, die sich einerseits mit Fragen der Rechtsstaatlichkeit befassen, aber auch Fragen zur Transparenz des Verfahrens zu klären sind. Mal sehen, ob sich der EuGH dabei auch mit Fragen befasst, ob dies nun eine KI sei oder nicht. Mit grundsätzlichen Fragen dazu befasste sich bereits im Jahr 2021 dieser Aufsatz.

2.10 EuGH-Vorschau: Löschungen aus Taufregistern

Mit den Fragen, inwieweit kirchliche Regularien, die ein Löschen aus einem Taufregister mit Art. 17 DS-GVO vereinbar sind, befasst sich der EuGH im Verfahren C-12/25. Weitere Hintergrundinformationen zu dem Verfahren hier.
Für den nicht-kirchlichen Bereich könnte die Antwort zu der Frage relevant sein, ob auch durch einen Randvermerk dem Recht auf Löschung in gleichwertiger Weise entsprochen werden kann. Im weltlichen Bereich kennt man dies aus der Grundbuchdokumentation, nach § 14 Grundbuchverfügung sind obsolete Eintragungen rot zu unterstreichen.

2.11 USA: Google als missbräuchlicher Werbemonopolist

Google wurde, wie hier berichtet wird, in den USA erneut durch einen Bundesrichter wegen der illegalen Ausnutzung einiger seiner Online-Marketing-Technologien verurteilt. Die gleichnamige Suchmaschine von Google hätte ihre Dominanz illegal ausgenutzt, um Wettbewerb und Innovation zu ersticken.

2.12 ArbG Düsseldorf: Keine Löschpflicht nach Auskunftseingang

Dürfen Daten gelöscht werden, wenn der Zweck deren Verarbeitung erfüllt, sie aber dann von einem Auskunftsanspruch umfasst werden? Nein, meint das ArbG Düsseldorf. Im zu entscheidenden Fall gab es noch ein paar besondere Aspekte, die bei dieser verzögerten und dann unvollständigen Auskunftsbeantwortung nach einem erfolglosen Bewerbungsverfahren hervorgehoben werden könnten. Und dabei meine ich nicht nur die Erklärung für die verspätete Reaktion (Zitat in Rn. 45):

„Ablauf der Frist durch ihren mit Hochzeitsvorbereitungen geplagten externen Datenschutzbeauftragten“

Neben den zeitlichen Verzögerungen stellt das Gericht fest, dass hinzukommt, dass die Beklagte die Daten des Klägers in Kenntnis des Auskunftsanspruchs löschte, statt Art. 17 Abs. 3 lit. b DS-GVO zu beachten, wonach die Abs. 1 und 2 des Art. 17 DS-GVO, die die Löschung von Daten betreffen, nicht gelten, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung – hier aus Art. 15 Abs. 1 DS-GVO – erforderlich ist (Rn. 78). Das ArbG Düsseldorf sprach einen immateriellen Schadenersatz in Höhe von 750,00 Euro zu. Das Urteil ist noch nicht rechtskräftig, sondern wird durch das LAG Düsseldorf überprüft.

2.13 VwGH Österreich: Unterbliebene Informationspflicht kann nicht nachgeholt werden

Der Verwaltungsgerichtshof Österreich widerlegt die Ansicht der Datenschutzbehörde Österreich (DSB), dass es ausreiche, wenn im Rahmen des Verfahrens über Art. 15 DS-GVO die Informationen bereitgestellt werden, die eigentlich über Art. 14 DS-GVO bereitgestellt werden hätten müssen (Rn. 14)
Da vorliegend die geltend gemachte Rechtsverletzung nach Art. 14 DS-GVO in der Unterlassung der (antragslos zu erfolgenden) Mitteilung leige, die nicht durch eine nachträgliche, aufgrund eines Antrags der betroffenen Person im Sinn des Art. 15 DS-GVO erteilte Auskunft gleichsam rückwirkend wieder beseitigt werden kann, fehle es auch nicht an der Beschwer im Entscheidungszeitpunkt der belangten Behörde.

2.14 BVwG Österreich: Anforderungen nach Art. 31 DS-GVO

Das BVwG Österreich prüfte Verfehlungen eines Unternehmens gegen Art. 31 DS-GVO und kam letztendlich zu einer Strafbemessung in Höhe von 10.000 Euro. Interessant sind die Aussagen zu Art. 31 (ab Ziffer 3.2.1 und 3.2.2) und die Berücksichtigung der Leitlinien des EDSA bei der Berechnung der Höhe des Bußgelds (ab Ziffer 3.5).

2.15 BVwG Österreich: Anforderungen an Art. 34 DS-GVO nach Datenschutzverletzung

Eine Person hatte bei einer Bücherei ein Benutzerkonto. Aufgrund eines Hackerangriffs seien Daten der Person (E-Mail-Adresse und vermutlich noch weitere Daten) frei im Internet verfügbar gewesen. Die Person sei nicht darüber informiert worden. Durch den Hackerangriff sei die E-Mail-Adresse unbefugten Dritten bekannt geworden, was durch die betroffene Person durch die Abfrage auf der Homepage https://haveibeenpwned.com/ verifiziert worden sei. Von dem Hackerangriff habe die Person erst durch einen Hinweis auf der Homepage der Bücherei und durch die Medien erfahren. Laut Medienberichten seien ca. 710.000 Personen von dem Hackerangriff betroffen gewesen.
In dem Verfahren ging es u.a. darum, ob durch Hinweise auf der Webseite die Bücherei ihren Benachrichtigungspflichten nach Art. 34 DS-GVO nachkam und inwieweit Ausführung in einer direkten E-Mail an die betroffene Person eine ausreichende Benachrichtigung darstellt. Durch Besonderheiten in der Umsetzungsgesetzgebung im österreichischen Recht wurde die Beschwerde gegenüber der Datenschutzaufsicht aber durch das BVwG als verfristet beurteilt.

2.16 BVwG Österreich: Offenlegung von behördlichen Bearbeitern bei Veröffentlichungen

Das BVwG Österreich befasste sich mit einem Fall, bei dem es um die Angaben zu bearbeitenden Personen durch eine Behörde ging, in dem ein Schreiben der Behörde ungeschwärzt auf einer Webseite veröffentlicht wurde. Es setzt sich dabei mit Fragen des Medienprivilegs auseinander. Letztendlich stellte das BVwG im konkreten Fall fest, dass die Veröffentlichung des Namens der Bearbeiterin/Genehmigerin der Strafverfügung zur Zweckerreichung durch den Webseitenbetreiber im Rahmen seiner Meinungsäußerungsfreiheit nicht erforderlich; er kann sich daher nicht bei der vorgenommenen Datenverarbeitung auf den Rechtmäßigkeitstatbestand des Art. 6 Abs. 1 lit. f DS-GVO berufen.

2.17 Frankreich Arbeitskammer: Interne Systemprotokolle und Zweckbindung

In einem arbeitsrechtlichen Verfahren befasste sich die Arbeitskammer im Rahmen eines arbeitsgerichtlichen Verfahrens (Cour de Cassation – Chambre sociale) mit Fragestellungen der Zweckbindung von internen Systemprotokollen. Der Fall betrifft einen Mitarbeiter, der wegen groben Fehlverhaltens entlassen wurde, zum Teil aufgrund von Beweisen, die aus internen Systemprotokollen, einschließlich einer internen IP-Adresse, gewonnen wurden.
Dem Gericht war klar, dass auch eine interne IP-Adressen ein personenbezogenes Datum gemäß Art. 4 Nr. 1 DS-GVO darstellen kann, da sie eine Person indirekt identifizieren könne, wenn sie mit anderen Informationen verknüpft wird (der Arbeitgeber sah das nicht so). Da der Arbeitgeber die IP-Adresse seiner Beschäftigen nicht als personenbezogenes Datum ansah, hatte er sich auch nicht um entsprechende Rechtsgrundlagen und Erfüllung der Transparenzanforderungen gekümmert. Das Gericht kam daher zu dem Ergebnis, dass die Verarbeitung von Protokolldaten für einen neuen Zweck, – hier die Überwachung und Sanktionierung eines Mitarbeiters – mit dem ursprünglichen Zweck der Erhebung unvereinbar sei. Es läge auch keine Einwilligung für diese Verarbeitung vor. So entschied das Gericht, dass die Beweise unrechtmäßig erlangt wurden und die Kündigung ungültig sei.

2.18 Sammelklageverfahren gegen Facebook eröffnet

Personen, die von dem Datenschutzvorfall bei Facebook betroffen sind, können sich nach der Information des vzbv (Verbraucherzentrale Bundesverband) der nun eröffneten Sammelklage anschließen. In Deutschland sollen ca. 6 Mio. Personen betroffen gewesen sein. Dabei bietet die vzbv bei ihren Informationen auch eine Möglichkeit zu prüfen, ob man betroffen ist. Will man sich beteiligen, ist eine Eintragung in das Klageregister beim Bundesamt für Justiz erforderlich.
Bislang gibt es ja etliche Verfahren in Deutschland zu diesem einen Vorfall mit teilweise sehr unterschiedlichen Ergebnissen. Eine Sammelklage reduziert natürlich den Aufwand für die Justiz und das beklagte Unternehmen; ich bin mir aber spontan unsicher, ob bereits abgewiesene Kläger nun erneut hier ihre Ansprüche geltend machen können. Warten wir es mal ab.

2.19 EuGH: Unzulässige Klage gegen Stellungnahme des EDSA (T-319/24)

Der EuGH wies im Verfahren T-319/24 Meta gegen den EDSA (wir berichteten) eine Klage Metas aus Art. 263 AEUV ab, mit der Meta gegen die nach Art. 64 Abs. 2 DS-GVO verfasste Stellungnahme 8/2024 "Consent or Pay“ vorging. Die Klage sei laut EuGH unzulässig, weil die angefochtene Stellungnahme keine verbindlichen Rechtswirkungen gegenüber Dritten erzeugt (Rn. 30). Auch wurde eine Schadenersatzforderung Metas nach Art. 268 AEUV abgelehnt, den Meta mit einer Verringerung der Werbe- und Abonnementeinnahmen begründete, die sich aus der angeblich in der angefochtenen Stellungnahme auferlegten "Anforderung", den Nutzern eine kostenlose Alternative zu bieten, zusätzlich zu der Wahl, ob sie dem Erhalt verhaltensbezogener Werbung zustimmten oder für den Zugang zu dem betreffenden Dienst kostenpflichtig seien, ergebe. Der EuGH stellte dazu in Rn. 53 fest, dass dieser Schaden auf einem falschen Verständnis der angefochtenen Stellungnahme beruhe, die, wie u. a. in den Rn. 21 und 30 des vorliegenden Urteils festgestellt worden sei, im Wesentlichen nur darauf abziele, einen Rahmen für die Bewertung der "Consent-or-Pay"-Modelle großer Online-Plattformen im Licht der in der DS-GVO vorgesehenen Regeln über die wirksame Einwilligung zu schaffen, und als solche nicht darauf abzielt verbindliche Rechtswirkungen zu erzeugen. (…) Dementsprechend sei die Voraussetzung des Vorliegens eines tatsächlichen und sicheren Schadens nicht erfüllt.

2.20 BAG: Schadenersatz nach unberechtigter Übermittlung von Testdaten

Das BAG sprach einem Beschäftigten 200,00 Euro immateriellen Schadenersatz zu, weil Daten von ihm ohne ausreichende Rechtsgrundlage innerhalb des Konzerns zum Testen eines einzuführenden Systems gegeben wurden. Die Übermittlung war weder für die Durchführung des Beschäftigungsverhältnisses noch im Rahmen einer Interessenswahrung zulässig. Ob im Rahmen einer Betriebsvereinbarung dies hätte geregelt werden können, war nicht Gegenstand der Entscheidung des Gerichts, weil der Beschäftigte hier keine Ansprüche geltend machte. Teilfragen zu Gestaltungsmöglichkeiten einer Betriebsvereinbarung wurden während des Verfahrens durch den EuGH beantwortet (C-65/23 – K GmbH, wir berichteten).
Wichtige Merksätze daraus, auch wenn bisher nur die Pressemeldung veröffentlich ist:
Kein Privileg innerhalb eines Konzerns; auch bei personenbezogenen Daten zum Testen liegt eine Verarbeitung vor, die eine datenschutzrechtliche Rechtmäßigkeitsgrundlagen erfordert und ein immaterieller Schaden kann in einem durch die Überlassung der personenbezogenen Daten an die Konzernobergesellschaft verursachten Kontrollverlust liegen.

2.21 BGH: Anforderungen an Enthaftung einer Unternehmensführung

Reicht es für eine Enthaftung der verantwortlichen Unternehmensorgane keine Ahnung gehabt zu haben? Gut, jede:r kennt sicher Beispiele, bei denen sich die Verantwortlichen nicht mal dumm stellen müssen, um dies geltend zu machen. Aber für eine strafrechtliche Enthaftung im Rahmen eines Verbotsirrtums braucht es mehr, wie der BGH in diesem Urteil definierte. Hier hatte sich die Geschäftsleitung fachlich beraten lassen und dies dokumentiert.
Dann kann sich im Fall regulatorischer Unsicherheit die Geschäftsleitung unter Umständen auf einen unvermeidbaren Verbotsirrtum berufen – selbst wenn Gerichte später eine andere Rechtsauffassung vertreten. Der BGH nennt hierbei ab Rn. 14 mehrere Kriterien, die Vertrauen schaffen:

„Ein Verbotsirrtum ist im Sinne von § 17 Satz 1 StGB unvermeidbar, wenn der Täter trotz der ihm nach den Umständen des Falles, seiner Persönlichkeit sowie seines Lebens- und Berufskreises zuzumutenden Anspannung des Gewissens die Einsicht in das Unrechtmäßige nicht zu gewinnen vermochte. Im Zweifel trifft ihn eine Erkundigungspflicht, wobei Auskunftsperson und erteilte Auskunft verlässlich sein müssen.“

Eine Auskunft ist verlässlich, wenn sie objektiv, sorgfältig, verantwortungsbewusst und insbesondere nach pflichtgemäßer Prüfung der Sach- und Rechtslage erteilt worden ist. Bei der Auskunftsperson ist dies der Fall, wenn sie die Gewähr für eine diesen Anforderungen entsprechende Auskunftserteilung bietet. Allerdings darf der Täter nicht vorschnell auf die Richtigkeit eines ihm günstigen Standpunkts vertrauen und die Augen nicht vor gegenteiligen Ansichten und Entscheidungen verschließen, wobei die jeweiligen Einzelfallumstände – etwa die Persönlichkeit und die berufliche Stellung des Täters – zu berücksichtigen sind. Wendet er sich an einen auf dem betreffenden Rechtsgebiet versierten Anwalt, hat er damit zwar vielfach das zunächst Gebotene getan. Es ist jedoch weiter erforderlich, dass der Täter auf die Richtigkeit der Auskunft nach den für ihn erkennbaren Umständen vertrauen darf. Dies ist nicht der Fall, wenn die Unerlaubtheit des Tuns für ihn auch bei nur mäßiger Anspannung von Verstand und Gewissen leicht erkennbar ist oder er nicht mehr als die Hoffnung haben kann, das ihm bekannte Strafgesetz greife hier noch nicht ein. Daher darf der Täter sich auf die Auffassung eines Rechtsanwalts nicht etwa allein deswegen verlassen, weil sie seinem Vorhaben günstig ist. Eher zur Absicherung als zur wirklich ergebnisoffenen Klärung bestellte "Gefälligkeitsgutachten" scheiden als Grundlage unvermeidbarer Verbotsirrtümer aus.
Auskünfte, die erkennbar vordergründig und mangelhaft sind oder nach dem Willen des Anfragenden lediglich eine "Feigenblattfunktion" erfüllen sollen, können den Täter ebenfalls nicht entlasten. Insbesondere bei komplexen Sachverhalten und erkennbar schwierigen Rechtsfragen ist regelmäßig ein detailliertes schriftliches Gutachten erforderlich, um einen unvermeidbaren Verbotsirrtum zu begründen.
Denken Sie daran, wenn die Datenschutzbeauftragten abgeschafft werden bzw. Personen beraten, für die das bisher geregelte Benachteiligungsverbot aus Art. 38 Abs. 1 und 2 DS-GVO nicht anzuwenden ist oder sonst keine berufsrechtliche Weisungsfreiheit greift.

2.22 OVG Berlin-Brandenburg: Herausgabeanspruch von Videoaufnahmen aus der S-Bahn

Bislang gibt es nur die Pressemitteilung des OVG zu der Entscheidung. Die Betreiberin des öffentlichen S-Bahn-Netzes in Berlin ist nach der Datenschutz-Grundverordnung nicht dazu verpflichtet Fahrgästen eine Kopie der Videoaufnahmen über ihre Fahrt in der S-Bahn herauszugeben. Das OVG Berlin-Brandenburg bestätigte damit eine entsprechende Entscheidung des VG Berlin. Die Betreiberin der S-Bahn Berlin erarbeitete ein Datenschutzkonzept, das sie mit der BBfDI abgestimmt hatte. Dieses sieht vor, dass die Videoaufnahmen seitens der S-Bahn Berlin nicht selbst eingesehen werden können und nur bei Auskunftsanfragen der Strafverfolgungsbehörden an diese herausgegeben werden. Im Übrigen erfolgt eine Löschung durch fortlaufende Überschreibung nach 48 Stunden. Der im Verfahren beigeladenen betroffenen Person wurde seitens der S-Bahn Berlin bereits auf ihr Gesuch hin entsprechend Art. 15 Abs. 1 DS-GVO über die Art und Weise sowie Dauer der Datenspeicherung informiert. Dem OVG genügt das, um festzustellen, dass die S-Bahn Berlin die Herausgabe angesichts ihres Datenschutzkonzeptes verweigern durfte. Dieses verfolge gerade das Ziel den Wertungen der DS-GVO und den Persönlichkeitsrechten der Fahrgäste in größtmöglichem Umfang Rechnung zu tragen. Demgegenüber musste das Interesse des Beigeladenen am Erhalt gerade der Videoaufzeichnung zurücktreten. Die Revision zum BVerwG wurde zugelassen.

2.23 BGH: Unerlaubt zugesandte Werbe-E-Mail begründet keinen Schadenersatz

Das beklagte Unternehmen verkaufte an den Kläger Aufkleber und schrieb ihn danach per E-Mail mit Werbeinhalte an. Dagegen wandte sich der Kläger zunächst mit einer E-Mail und dann auch mit einem Fax und widersprach jeweils der Kontaktaufnahme zu werblichen Zwecken. Auch forderte er eine Unterlassungserklärung und immateriellen Schadenersatz aus Art. 82 DS-GVO von dem Unternehmen. Der BGH entschied in diesem Fall, dass eine rechtswidrig zugesandte Werbe-E-Mail für sich allein keinen Anspruch aus Art. 82 DS-GVOI auf immateriellen Schadenersatz begründe.
Dabei befasst er sich mit den Anforderungen an einen Kontrollverlust und sieht dafür die Zugänglichmachung für einen Dritten erforderlich an (Rn. 18). Dabei bleibt zu beachten, dass nach dem BGH bereits ein kurzzeitiger Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, auch wenn kein Nachweis spürbarer Folgen erbracht wird (Rn. 16). Das Gesetz sehe für einen immateriellen Schaden keine Bagatellgrenze vor (Rn. 8ff). Wenn ein Kontrollverlust nicht nachgewiesen werden kann, reicht die begründete Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen die Verordnung von Dritten missbräuchlich verwendet werden, aus, um einen Schadensersatzanspruch zu begründen. Die Befürchtung samt ihrer negativen Folgen müssen dabei ordnungsgemäß nachgewiesen sein. Demgegenüber genüge die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (Rn. 19).
Die Übersendung der Werbe-E-Mail im konkreten Fall begründet allenfalls den gerügten Verstoß gegen die DS.GVO. Dieser reiche allein nicht aus, um zugleich einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DS-GVO zu begründen Die – durch Übersendung der Werbe-E-Mail erfolgte – Kontaktaufnahme als solche sei nicht ehrverletzend. Die unterbliebene Reaktion des beklagten absenden Unternehmens auf die E-Mail und das Fax könnte einen immateriellen Schaden des Klägers allenfalls vertiefen, aber nicht begründen.
Im Ergebnis bleiben fast mehr Fragen offen, weil sich der BGH nicht mit den technisch eingebundenen Einheiten wie Provider etc. befasste. Es bleibt, dass für einen immateriellen Schaden nach Art. 82 DS-GVO ein „Kontrollverlust“ ausreichen kann, dessen Auslegung erst langsam durch Gerichte bestimmt wird.

2.24 LG Hamburg: Keine Haftung für OpenJur für unzureichende Anonymisierung durch Gericht

Die Plattform OpenJur veröffentlicht gerichtlichen Entscheidungen. Bei einer waren Angaben zu einem Prozessbeteiligten durch das Gericht unzureichend anonymisiert, worauf hin dieser OpenJur in Anspruch nahm. Nun stellte die Pressekammer des LG Hamburg fest, dass OpenJur dafür nicht hafte, dass ein Beschluss des VG Berlin mit vollständigem Namen und Kanzleianschrift des Klägers ein Jahr in der Online-Datenbank für jedermann abrufbar war. Eine Verantwortlichkeit für die Übernahme des vom Gericht fehlerhaft anonymisierten Beschlusses ergebe sich weder aus der DS-GVO noch aus dem BGB.
Das LG Hamburg führt dazu aus, dass die Tätigkeit von OpenJur im Zusammenhang mit der Veröffentlichung von Gerichtsentscheidungen der Bereichsausnahme des Art. 85 Abs. 2 DS-GVO unterfällt. Dies habe zur Folge, dass sich die Frage, ob dem Kläger gegen die Beklagte ein Unterlassungsanspruch zusteht, nicht nach den Regelungen der DSGVO, sondern nach dem einschlägigen nationalen Recht richtet (Rn. 36 ff). Dabei legt das Gericht den Begriff der journalistischen Tätigkeit weit aus (Rn. 38) und stellt dabei fest, dass OpenJur auch die Anforderungen an eine redaktionelle Tätigkeit erfülle. So würden Gerichtsentscheidungen auch gezielt anfordert, wodurch die Tätigkeit von OpenJur einen redaktionellen und auch meinungsbildenden Charakter erhalte. Darüber hinaus leiste OpenJur ein Mindestmaß an Bearbeitung auch dadurch, dass sie Entscheidungen für eine hervorgehobene Veröffentlichung auswählt und Entscheidungen mit einer Beschreibung versieht (Rn. 43). Bericht dazu auch hier.

2.25 EuGH-Vorschau: Vorlage zur Klärung der Anforderungen an eine Einwilligung („Partner“)

Seitens des Staatsrats (Conseil d´Etat) werden dem EuGH im Verfahren Canal+ gegen die CNIL Fragen zu den Anforderungen bei einer Werbeeinwilligung zur Neukundengewinnung vorgelegt. Wie konkret muss bei einer Einwilligung, über die auch Partner zur Verarbeitung der personenbezogenen Daten zu Werbezwecke berechtigt werden, über die Identität der Partner informiert werden? (Stark verkürzt wiedergegeben.) Die CNIL bemängelte die Gestaltung durch Canal+ und verhängte ein Bußgeld in Höhe von 600.000 Euro. Die Frage an den EuGH ist entscheidungsrelevant für das weitere Verfahren. Ein Verfahrenszeichen ist beim EuGH noch nicht vergeben.

2.26 EuGH-Vorschau: Veröffentlichung von Dopingergebnissen (C-474/24)

Im Verfahren C-474/24 (NADA Austria) geht es um Datenverarbeitungen durch die Name von Personen, die ausgeübte Sportart, der begangene Verstoß gegen Anti-Doping-Regelungen, die Sanktion sowie Beginn und Ende der Sanktion auf dem allgemein zugänglichen Teil der Website der Nationalen Anti-Doping Agentur Austria GmbH (NADA Austria) in Form eines Eintrags in einer Tabelle sowie in allgemein zugänglichen Pressemitteilungen der Österreichischen Anti-Doping Rechtskommission veröffentlicht werden. Der EuGH muss u.a. klären, ob dafür die DS-GVO anwendbar ist. Am 13. Mai 2025 fand dazu die mündliche Verhandlung statt.

2.27 EuGH-Vorschau: Zulässigkeit von Auskünften über Strafverfahren (C-199/24)

Der EuGH befasst sich im Verfahren C-199/24 (Legal Newsdesk Sweden) mit Fragen der Gesetzgebungskompetenz der Mitgliedsstaaten unter Art. 85 DS-GVO. Umfasst dies auch die Veröffentlichung von Angaben zu strafrechtlichen Verurteilungen von Personen, die der Öffentlichkeit gegen Entgelt im Internet zugänglich gemacht werden und die sich hiergegen rechtlich nur dadurch wehren können, dass sie Strafanzeige wegen Verleumdung stellen oder Schadensersatz wegen Verleumdung verlangen? (Der gesamte Sachverhalt ist hier wiedergegeben.) Am 14. Mai 2025 fand dazu die mündliche Verhandlung statt.

2.28 EuGH-Vorschau: Auskunft als Verarbeitung und Anforderungen an Schadensersatzansprüche (C-526/24)

Im Verfahren C-526/24 (Brillen Rotter) geht es beim EuGH um insgesamt acht Fragen zur Auskunft und Anforderungen an einen immateriellen Schadenersatz. Zu klären ist bspw., ob eine Auskunft als Verarbeitung nach Art. 4 Nr. 2 DS-GVO klassifiziert werden kann, außerdem Fragen zur Kausalität eines Schadens und ob allein aus der Verletzung eines Auskunftsrechts nach Art. 15 Abs. 1 DS-GVO kein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO zusteht. Für den 5. Juni 2025 ist die mündliche Verhandlung anberaumt.

3.1 Konsultation zu GPAI-Modellen durch die EU-Kommission

Die Europäische Kommission hat eine Konsultation eingeleitet, um ihre bevorstehenden Leitlinien zu den Regeln des KI-Gesetzes für universelle KI-Modelle zu untermauern. Die Leitlinien zielen darauf ab Schlüsselkonzepte zu klären, z. B. was als GPAI-Modell gilt, wann es auf den Markt gebracht wird und wer in verschiedenen Situationen als Anbieter von GPAI-Modellen gilt. Außerdem wird erläutert, wie der Verhaltenskodex den Befolgungsaufwand für Modellanbieter verringern soll. Die Frist für Rückmeldungen endet am 22. Mai 2025. Erläuterungen dazu gibt es auch hier und Hintergrundinformationen dazu dort.

3.2 EU-Kommission und das TADPF

Die EU-Kommission hat Anfragen aus dem EU-Parlament zum TADPF beantwortet. Nicht sehr umfangreich, aber ausreichend, um daraus Schlüsse zu ziehen, wie hier durch eine Kanzlei.

3.3 bitkom zur Digitalgesetzgebung

Der Digitalverband bitkom hat die seiner Meinung nach widersprüchlichen bzw. redundanten Stellen der EU-Digitalrechtsakte zusammen- und gegenübergestellt und unter dem Titel „Konfliktzonen und Wege zur Kohärenz“ veröffentlicht.

3.4 bitkom zur Digitalaufsicht und Verwaltungsmodernisierung

Welche Vorstellungen, Erwartungen und Empfehlungen der bitkom von einer Digitalaufsicht und einer Verwaltungsmodernisierung hat, hat er hier zusammengetragen. Ausgehend von einem Ministeriums für Digitalisierung und Staatsmodernisierung könne es – richtig ausgestattet – die digitalpolitischen Themen im Bund in einer Hand zusammenführen und so zu einem echten Treiber für die Digitalisierung werden. Das neue Ministerium werde nur dann schlagkräftig auftreten können, wenn es die Zuständigkeit für die digitalen Kernthemen erhielte und mit den notwendigen Koordinierungsrechten, einem Digitalvorbehalt und einem auskömmlichen Budget ausgestattet werde. Insbesondere brauche es einen schlagkräftigen nachgeordneten Bereich mit den für die inhaltlichen Zuständigkeiten jeweils einschlägigen Bundesbehörden. Andernfalls würde eine echte Digitalpolitik aus einem Guss nicht gelingen.

3.5 Hessen und KI-Videoüberwachung im öffentlichen Raum

Und schon geht es munter weiter mit der „Überwachungsgesamtrechnung“:
Wie hier berichtet wird, plant Hessen eine KI-Videoüberwachung einzuführen. Begonnen werden soll mit einem Pilotprojekt am Frankfurter Bahnhofsviertel. Grundlage sei das im Jahr 2024 geänderte hessische Polizeigesetz, durch das zur Abwehr "erheblicher Gefahren" auch eine biometrische Gesichtserkennung durch KI vorgesehen ist. Damit sei die Erfassung von Bewegungsmustern der gesamten Bevölkerung möglich. Und natürlich wird der verantwortliche Minister auch damit zitiert, dass keiner chinesische Verhältnisse bei der Videoüberwachung wolle. Er will laut Bericht diese Form der Überwachung in wenigen Jahren flächendeckend einführen und empfiehlt dies überall in Deutschland gleichzutun.

3.6 DSG-EKD: Neue Regelungen seit dem 1. Mai 2025

Das überarbeitete Datenschutzgesetz der Evangelischen Kirche Deutschlands (DSG-EKD) trat zum 1. Mai 2025 in Kraft. Eine Zusammenstellung der Änderungen findet sich hier. Dabei werden die Klarstellungen, Anpassungen an den Sprachgebrauch der DS-GVO und Formulierungsänderungen aber auch substantielle Änderungen, die es umzusetzen gilt, angesprochen.
Erleichterungen gibt es für nichtkirchliche Auftragsverarbeiter: War es bisher für Auftragsverarbeiter, die nicht selbst dem DSG-EKD unterlagen, erforderlich, dass sie sich der kirchlichen Aufsicht unterwerfen, ist diese Voraussetzung nun entfallen. Nunmehr reichen die Anforderungen der DS-GVO wie Art. 28 aus. In der Konsequenz können bestehende AV-Verträge weiterverwendet werden. Bei neuen AV-Verträgen mit nichtkirchlichen Auftragsverarbeitern können gemäß § 30 Abs. 5 DSG-EKD Formulierungen zur Umsetzung der DS-GVO ohne kirchenspezifische Modifikationen verwendet werden, wie hier beschrieben wird.

3.7 „European Blockchain Sandbox“

Die Europäische Kommission beauftragte eine Rechtsanwaltskanzlei und ein Beratungsunternehmen anhand 20 ausgewählter Anwendungsfälle Verfahren und Empfehlungen im Rahmen einer Europäische Blockchain-Sandbox (European Blockchain Sandbox) zu untersuchen. Die Ergebnisse wurden nun in einem zweiten Best-Practices-Bericht vorgestellt und auf den Seiten des „EU Blockchain Observatory and Forum“ der europäischen Kommission veröffentlicht, zielgruppengerecht auch als Abstract mit Executive Summary.
Zeitgleich wurde auch bekanntgegeben, dass das Forschen und Bewerten mit einer weiteren Auswahl zu untersuchender Best Practices mit einer dritten Kohorte munter weiter geht. Mal sehen, ob dabei auch auf die Guidelines des EDSA zum Einsatz einer Blockchain (wir berichteten) referenziert wird.

3.8 Hamburg: Datennutzungsgesetz?

Wie sich aus diesem Antrag in der Bürgerschaft der Freien und Hansestadt Hamburg ergibt, wird der Senat ersucht Vorschläge zu erarbeiten, wie ein Hamburgisches Datennutzungsgesetz gesetzlich umgesetzt werden könne. Ausgehend von den Erfahrungen bei der Grundsteuer, bei der alle Daten bereits in dezentralen Dateien der öffentlichen Verwaltung gespeichert seien, soll über eine Anpassung des NOOTS-Staatsvertrags zur Umsetzung des Nationalen Once Only-Technical-Systems (NOOTS) geprüft werden, wie bei der Umsetzung interner behördlicher Datennutzungen im Rahmen einer bundes- beziehungsweise unionsweiten, interoperablen technischen Infrastruktur eine Datennutzung ermöglicht werden könne. Der Grund für eine mangelnde Effizienz und Bürgerfreundlichkeit der Verwaltungsprozesse liege nicht im Fehlen von Daten, sondern in ihrer fehlenden Verfügbarkeit und Nutzbarkeit über Behördengrenzen hinweg. Diese Informationssilos führten zu unnötiger Bürokratie, Zeitverlust, Mehrfacherhebungen und einer wachsenden Frustration in der Bevölkerung. Sie offenbaren ein strukturelles Defizit, das nicht (allein) technologischer, sondern vor allem auch rechtlicher Natur sei: Der bestehende Rechtsrahmen priorisiere zwar zu Recht den Datenschutz, vernachlässige jedoch das öffentliche Interesse an einer zweckgebundenen Datennutzung innerhalb der Verwaltung und an einem offenen Zugang zu Verwaltungsdaten. Hier fehle bislang eine hinreichende gesetzliche Grundlage, um eine zweckgebundene, sichere und effiziente Datennutzung innerhalb der Verwaltung zu ermöglichen.

3.9 Wie geht´s weiter mit dem „Digital Fairness Act“?

Wie der zuständige EU-Kommissar der EU auf der Webseite zum Digital Fairness Act ankündigt, soll bis Mitte 2026 ein entsprechender Gesetzentwurf erarbeitet werden. Gemäß den Angaben äußerte er auf der European Retail Innovation Summit in Brüssel, dass der kommende Digital Fairness Act sowohl eine verbraucher- als auch eine wirtschaftsfreundliche Initiative sein solle, die den Digital Services Act und den Digital Markets Act ergänzt. Der Digital Fairness Act befasse sich mit manipulativen und unethischen Geschäftspraktiken wie der weit verbreiteten Verwendung von Dark Patterns. Es soll auch Regelungen zu Influencer-Marketing, süchtig machenden Designs, personalisierten Preisen nach Tracking und Profiling, der Währung von Videospielen und anderen Herausforderungen für Verbraucher beinhalten. In den kommenden Wochen soll eine öffentliche Konsultation dazu starten.

3.10 Privacy and AI Deregulation is the Wrong Answer

Entgegen dem allgemeinen Trend, Regulatorik zum Datenschutz als wettbewerbshemmend zu brandmarken, befasst sich dieser Beitrag mit den innovationsfördernden Aspekten einer Regulierung.

3.11 Polen: Fotoverbot seit Mitte April 2025

Wie hier berichtet wird, warnt das Auswärtige Amt vor einem Fotografierverbot in Polen. Hintergrund sei die Befürchtung des Ausspionierens von potentiellen Zielen durch feindlich gesonnene Staaten.

Franks Nachtrag: Doppelt hält immer besser ...

3.12 Minderjährigenschutz nach dem DSA

Die EU-Kommission möchte über eine Altersverifikation auf Plattformen den Minderjährigenschutz stärken. Dazu veröffentlichte sie Leitlinien zum Schutz Minderjähriger im Netz nach dem Digital Service Act (DAS). Bis zum 10. Juni 2025 läuft die öffentliche Konsultation dazu.
Mit den Leitlinien soll sichergestellt werden, dass Kinder nicht mit für sie ungeeigneten Inhalten konfrontiert werden und ihre Daten besonders geschützt sind. Sie sollen Plattformen, die für Minderjährige zugänglich sind, dabei unterstützen ein hohes Maß an Privatsphäre, Sicherheit und Schutz für Kinder zu gewährleisten, wie es der DSA vorschreibt. Sie enthalten eine nicht erschöpfende Liste von Maßnahmen, die alle Plattformen mit Ausnahme von Kleinst- und Kleinunternehmen zum Schutz Minderjähriger umsetzen können, wobei ein Standardansatz zugrunde gelegt wird, der sich an dem Grundsatz „Privacy by Design“ orientiert.
Die Leitlinien folgen demselben risikobasierten Ansatz wie der DSA und tragen damit der Tatsache Rechnung, dass verschiedene Plattformen unterschiedliche Risiken für Minderjährige bergen. So wird sichergestellt, dass Plattformen ihre Maßnahmen auf ihre spezifischen Dienste zuschneiden können und eine unangemessene Einschränkung der Rechte von Kindern auf Teilhabe, Information und freie Meinungsäußerung vermieden wird.
Die Kommission konkretisierte ihren Leitlinienentwurf seit Monaten und arbeitet auch gemeinsam mit privaten Drittanbietern an einer Ausweis-App, der „Mini Wallet“ zur Altersüberprüfung, die eine Übergangslösung bis zur Einführung des EU-Wallet Ende 2026 bieten soll. Diese App, die auf derselben Technologie wie das EU-Wallet basiert, wird es Online-Diensteanbietern ermöglichen ohne Beeinträchtigung der Privatsphäre der Nutzer zu überprüfen, ob diese mindestens 18 Jahre alt sind, wodurch der Schutz Minderjähriger im Internet weiter verbessert werde.
Ziel des Projekts ist die Entwicklung einer EU-weit harmonisierten Lösung zur altersgerechten Identitätsprüfung unter Wahrung der Privatsphäre, einschließlich einer White-Label-Open-Source-App bis zum Sommer 2025. Die erste Fassung der technischen Spezifikationen und die Beta-Version sind bereits auf GitHub verfügbar. Die Kommission arbeitet außerdem an einem Vorschlag für ein Gesetz zur digitalen Fairness, das weitere digitale Fragen im Zusammenhang mit Minderjährigen behandeln könnte, die nicht unter den DSA fallen.

3.13 Vertragsverletzungsverfahren wegen NIS2

Die EU- Kommission treibt ein Vertragsverletzungsverfahren wegen Nichtumsetzung der NIS-2-Richtlinie gegen insgesamt 19 Mitgliedstaaten – darunter Deutschland – weiter voran. Wie sie hier informiert, übersandte sie diesen ein Schreiben, danach haben diese Staaten nun zwei Monate Zeit, um die NIS-2-Richtlinie umzusetzen – sonst droht die nächste Eskalationsstufe: der Gang zum EuGH.
Für Deutschland und die anderen EU-Mitgliedstaaten steigt damit der Druck die NIS-2-Richtlinie nun zügig und vollständig in nationales Recht zu überführen, um das Vertragsverletzungsverfahren möglichst schnell und ohne Sanktionen abzuwenden.

3.14 Organisationserlass Bundesregierung zum BMDS

Wofür ist das zukünftige Bundesministerium für Digitales und Staatsmodernisierung (BMDS) zuständig? Das steht in dem am Abend des 6. Mai 25 veröffentlichten Organisationserlass der neuen Bundesregierung, deren Bundeskanzler Friedrich Merz im zweiten Anlauf vom Bundestag im Amt bestätigt wurde. Mal sehen, wie sich die Webseite des BMDS In Bezug auf den nach Art. 37 Abs. 1 DS-GVO verpflichtend zu benennenden DSB entwickelt. Zunächst fand ich unter bmds.bund.de die Datenschutzhinweise, die auf das BMDS als Verantwortlichen ausweist und zum DSB auf die Pressestelle verweist.

3.15 EU-Kommission: Reduzierung des Schutzes von Verschlüsselungen

Die EU-Kommission kündigte gegenüber dem Europäischen Parlament in ihrer Europäische Strategie für die innere Sicherheit (ProtectEU) (auf Seite 8/9) an, dass sie im Rahmen der Folgemaßnahmen zu ihrem angestrebten Fahrplan einer Bewertung der Auswirkungen der Vorschriften über die Vorratsdatenspeicherung auf EU-Ebene und der Ausarbeitung eines Technologiefahrplans für Verschlüsselung Vorrang einräumen werde, um technologische Lösungen zu ermitteln und zu bewerten, die es den Strafverfolgungsbehörden ermöglichen auf rechtmäßige Weise und unter Wahrung der Cybersicherheit und der Grundrechte auf verschlüsselte Daten zuzugreifen.
In verständlichem Deutsch: Die EU-Kommission will den technischen Schutz verschlüsselter Dateien zugunsten von Strafverfolgungsbehörden lockern. So haben dies auch zahlreiche Organisationen verstanden, die sich hiergegen in einem Brief an die zuständige EU-Kommissarin wenden, darunter der DAV (Deutscher Anwaltverein).

3.16 EU: Studie zu KMU und KI-VO

Die KI-VO stellt hohe Anforderungen an den Einsatz von KI – auch für kleine und mittlere Unternehmen. Doch ein aktuelles Policy Paper des Centre for European Policy Studies (CEPS) im Auftrag der EU-Kommission zeigt: Viele KMU fühlen sich überfordert. Die Anforderungen sind komplex, zentrale Begriffe wie „Autonomie“ oder „Inferenz“ schwer verständlich, und konkrete Umsetzungsbeispiele fehlen. Laut dem Policy Paper machten KMU rund 31 % der teilnehmenden Organisationen in der Konsultation aus. Ihre wichtigsten Forderungen: eine klare Abgrenzung zwischen klassischer Software und KI, verständliche Definitionen, Positiv-/Negativlisten und praxistaugliche Leitlinien. Denn ohne Klarheit wird Regulierung zur Innovationsbremse. Auch Artikel 5 des AI Acts – das Verbot manipulativer, ausnutzender oder diskriminierender KI-Anwendungen – wurde kritisch diskutiert: Was bedeutet „signifikanter Schaden“? Wo beginnt „Social Scoring“? Und wie verhindert man ungewollte Nebenwirkungen bei legitimen Technologien? Das CEPS-Paper empfiehlt daher eine risikoorientierte Regulierung, die stärker auf Wirkung als auf Technikmerkmalen basiert – sowie gezielte Unterstützung für KMU durch verständliche Guidance-Dokumente.

3.17 Algorithmische Diskriminierung gemäß nach KI-VO und DS-GVO

Der Wissenschaftliche Dienst des Europäischen Parlaments befasste sich mit Fragestellungen zum Verhältnis zwischen KI-VO und DS-GVO. Die KI-VO ziele darauf ab eine menschenzentrierte, vertrauenswürdige und nachhaltige KI zu fördern und dabei die Grundrechte und Grundfreiheiten des Einzelnen, einschließlich seines Rechts auf den Schutz personenbezogener Daten, zu achten. Eines der Hauptziele der KI-VO sei es Diskriminierung und Voreingenommenheit bei der Entwicklung, dem Einsatz und der Nutzung von „risikoreichen KI-Systemen“ zu verringern. Um dies zu erreichen, erlaubt die Verordnung die Verarbeitung „besonderer Kategorien personenbezogener Daten“ unter bestimmten Voraussetzungen (z. B. Maßnahmen zum Schutz der Privatsphäre), die darauf abzielen Diskriminierungen zu erkennen und zu vermeiden, die bei der Nutzung dieser neuen Technologie auftreten könnten. Die DS-GVO scheint in dieser Hinsicht jedoch restriktiver zu sein. Die dadurch entstehende Rechtsunsicherheit muss möglicherweise durch eine Gesetzesreform oder weitere Leitlinien beseitigt werden. Bericht dazu auch hier.

3.18 Kommt ein Datengesetzbuch?

Will die Bundesregierung den großen Wurf wagen? Zumindest gibt es aus der Forschung Überlegungen zu einem „Datengesetzbuch“. Neben der Bündelung der Zuständigkeiten werden eine Vielzahl von Einzelregulierungsfeldern betrachtet, die ein „Datengesetzbuch“ potenziell verbinden könnte. Dabei sei es richtig und wichtig, dass das Datenrecht allgemein – sei es auf unionaler Ebene oder auf nationaler Ebene – eine gesamtgesellschaftliche Perspektive auf Daten als nicht-rivales Gut einnimmt. Es sei die Mehrdimensionalität von Daten und Datennutzung, sprich die individuellen, überindividuellen und gemeinwohlbezogenen Mehrwerte und Risiken, auszutarieren – und die damit verbundenen Trade Offs auch zu benennen (etwa das Zurverfügungstellen von Daten zugunsten staatlicher Aufgaben oder auch für Zwecke der Verteidigung bzw. der Vorsorge für Krisenszenarien). Na, dann gucken, wir mal, was sich daraus entwickelt.

4.1 Einsatz von KI-Agenten in Online-Meetings der EU-Kommission

Was anderswo als große Produktivitätssteigerung und Erleichterung proklamiert wird, ist in der EU-Kommission nach diesem Bericht untersagt: Der Einsatz von KI-Agenten in Online-Meetings. So galt die Regel offenbar bei einem digitalen Treffen mit Vertretern des European Digital Innovation Hubs Network, einem Netzwerk von nicht gewinnorientierten Organisationen, die die Digitalisierung von Wirtschaft und Verwaltung unterstützen sollen. Die neue Regel tauchte auf der zweiten Folie der Präsentation auf, die bei diesem Treffen gezeigt wurde. Dort geht es um die Meeting-Regeln: Tipps, wie man sich korrekt identifiziert und sich bei Fragen meldet, oder der Hinweis, dass man sein Mikrofon stummschalten soll. Dabei steht auch die Information, dass man keine KI-Agenten nutzen dürfe, "No AI agents are allowed." Nach diesem Bericht bestätigte die EU-Kommission, dass sie für Online-Meetings neuerdings die Grundregel aufgestellt habe, dass KI-Agenten verboten seien. Zu den Gründen äußerte sich die Kommission nach dem Bericht allerdings nicht.
Denn die spannende Frage wird dann ja sein, wer ist für diesen Einsatz die verantwortliche Stelle, wenn dabei dann z.B. personenbezogene Daten auch für das Training dieser KI verwendet würde?
Allgemeine Hinweise aus Datenschutzsicht bei der Transkription finden sich hier, aber auch bereits im Tätigkeitsbericht des LfDI Baden-Württemberg für 2024 (wir berichteten).

4.2 European Parliamentary Research Service (Think Tank): AI and Copyright

Um ihre Modelle zu trainieren, benötigen Anbieter von allgemeiner Künstlicher Intelligenz (GPAI) große Datensätze, die urheberrechtlich geschütztes Material enthalten können. Trotz der EU-Richtlinie 2019/790 zum Urheberrecht und des EU-Gesetzes über künstliche Intelligenz (KI) haben Forscher rechtliche Beschränkungen und Unsicherheiten bei der Verwendung von urheberrechtlich geschütztem Material für das GPAI-Training festgestellt. Mit dieser Thematik befasst sich diese Zusammenfassung des European Parliamentary Research Service und geht dabei auch auf die diskutierte Ausnahme bei Text- und Data-Mining ein.

4.3 Freundlich sein belastet die Umwelt – Dank OpenAI

Im Rahmen der Kindererziehung (und oft darüber hinaus) halten wir Menschen an freundlich zu sein und „Bitte“ und „Danke“ zu verwenden. Nach dieser Meldung führt dieses beim „prompten” beim Einsatz von ChatGPT aber zu erhöhtem Ressourcenverbrauch. Lassen wir mal die Überlegung beiseite, ob das nur durch ein entsprechendes inhaltliches Screening der Prompts erkennbar war. Lassen wir es nur mal unter Nachhaltigkeitsaspekten wirken. Das reicht schon.

4.4 Niederlande: Positionierung zum Einsatz generativer KI

Die niederländische Regierung hat ihre Position zum Einsatz generativer KI ausgeweitet. Die Regierung hat sich mit Kommunen, Provinzen, Wasserverbänden und Durchführungsorganisationen auf neue Regeln für den Einsatz von generativer KI geeinigt. Die neue Position unterstreicht die Notwendigkeit der Zusammenarbeit mit allen Direktoren und Mitarbeitern von Regierungsorganisationen, klarer Risikoanalysen und des Einsatzes zuverlässiger generativer KI-Modelle. Sie fördert die Nutzung von Anwendungen und Open-Source-Lösungen, die in Europa entwickelt wurden. Nach eigener Einschätzung der Regierung schafft diese Position Klarheit darüber, wie Regierungsorganisationen generative KI auf wertvolle, verantwortungsvolle und ethische Weise einsetzen können.

4.5 KI und Ethik: Wie können ethische Anforderungen in KI-Modellen bewertet werden?

Die Studie „Auditing the Ethical Logic of Generative AI Models“ befasst sich mit der Betrachtung von an robusten Methoden zur Bewertung der ethischen Argumentation generativer KI-Modelle. Dazu wird ein fünfdimensionales Prüfungsmodell vorgestellt, das die analytische Qualität, die Breite der ethischen Überlegungen, die Tiefe der Erklärung, die Konsistenz und die Entscheidungskraft bewertet, um die ethische Logik führender großer Sprachmodelle (LLMs) zu beurteilen. In Anlehnung an die Traditionen der angewandten Ethik und des Denkens höherer Ordnung wird ein mehrstufiger Prompt-Ansatz präsentiert, der neuartige ethische Dilemmas beinhaltet, um die Argumentation der Modelle in verschiedenen Kontexten zu untersuchen. Sieben wichtige LLMs werden verglichen und dabei festgestellt, dass die Modelle zwar im Allgemeinen bei ethischen Entscheidungen konvergieren, sich aber in Bezug auf ihre Erklärungsgenauigkeit und moralische Priorisierung unterscheiden.

4.6 Fluch und Segen der KI

In diesem Vortrag auf der Plattform TED (ca. 15 Min.) geht es um die Vorteile und Risiken durch KI. Im Vergleich zu den sozialen Medien, bei denen durch unzureichende Durchsetzung der Regulierung mittlerweile auch die Risiken in den Fokus geraten, wird dargestellt, welche Möglichkeiten KI bietet. Aber auch, welche Risiken durch unzureichende Durchsetzung der Regulierung droht. Es wird ausgeführt, dass wir die Fehler wiederholen können, die die Technologiebranche mit den sozialen Medien gemacht hat, indem wir so tun, als hätten wir keine Wahl oder als seien die derzeitigen Anreize nicht wirklich gefährlich. Oder wir können aus dieser Trance erwachen. Wir können unsere Handlungsfähigkeit zurückgewinnen und einen anderen Weg einschlagen. Wir tun dies, indem wir uns mit den tatsächlichen Risiken dieser mächtigen Technologie auseinandersetzen und die Einführung von KI mit Umsicht, Weitsicht und Verantwortung koordinieren. Empfehlenswert.

4.7 DeepSeek „Unmasked“

Verweise auf kritische Veröffentlichungen aus den USA werden seltener. Es sei denn, es geht um Unternehmen außerhalb der USA. Hier findet sich das Ergebnis einer Untersuchung von DeepSeek im Auftrag des US-Kongresses. Dabei wird festgestellt, dass DeepSeek ein Open-Source KI-Modell ist, entwickelt in China, welches moderne Hardware-Infrastruktur nutzt, die teilweise aus US-amerikanischen Quellen stammt. Es wird von einem Netzwerk staatlich geförderter Unternehmen getragen und ist in einem innovationspolitischen Kontext eingebettet, der durch die politische Führung gefördert wird. Der Bericht identifiziert unter anderem folgende Themenfelder im Hinblick auf geopolitische und regulatorische Aspekte: Nutzung von Nvidia-Chips trotz Exportkontrollen; den Umgang mit Nutzerdaten in einem anderen rechtlichen Rahmen und den Einfluss politischer Vorgaben auf Modellverhalten und Ausgabeinhalte. Mehr dazu auch hier.

4.8 KI-Kompetenz bei Studierenden und was sich daraus ableiten lässt

KI-Kompetenz muss nach Art. 4 KI-VO bei denen, die KI nutzen, sichergestellt werden. Wie ist dies bei Studierenden? Damit befasst sich diese Studie. Die wichtigsten Erkenntnisse waren, dass Verständnisfragen („Warum ist das so?“ / „Wie funktioniert das?“) mit besserer Leistung in Prüfungen korreliert und dass wer Aufgabenstellungen aktiv formuliert (statt copy-pasten) mehr Konzeptverständnis zeigt.
Für Corporate Learning lässt sich daraus ableiten, was gefördert werden sollte, nämlich Prompt-Coaching: „Wie stelle ich Fragen, die mein Denken vertiefen?“; Reflexionsimpulse: „Was habe ich verstanden? Wo hat mir die KI geholfen – wo nicht?“ und Lernaufgaben stellen, bei denen ChatGPT Sparringspartner ist, nicht Lückenfüller. Vermieden werden sollte eigenes LLM-Coding ohne Kontext, das erzeuge nur Wissenstransfer-Lücken; die Vermeidung einer Copy-Paste-Kultur, dies sei nur kurzfristig effektiv und langfristig riskant. Letztendlich überfordere die unbegleitete KI-Nutzung bei komplexen Aufgaben schwächere Lernende.
Was lässt sich für die eigene KI-Kompetenz daraus ableiten? Aufgaben zu entwickeln, die nicht 1:1 durch KI lösbar sind, sondern Transfer erfordern. Nutzung der KI reflexiv und nicht nur funktional. KI wie ChatGPT sollte als Dialogpartner genutzt werden, der Lernen vertieft – nicht als Antwortgeber, der Denken ersetzt.

4.9 NRW: KI und Steuerverwaltung

Die Finanzverwaltung NRW informiert, dass NRW als erstes Bundesland auf Künstliche Intelligenz in der Steuerveranlagung setzt. Ab Mai 2025 wird in vier Pilotfinanzämtern des Landes erstmals ein KI-Modul zur Unterstützung der Steuerveranlagung eingesetzt. Das Ziel: Steuererklärungen sollen effizienter, schneller und treffsicherer bearbeitet werden – zum Vorteil für Bürgerinnen und Bürger ebenso wie für die Beschäftigten in der Finanzverwaltung. Das neue KI-Modul ergänzt das bewährte Risikomanagementsystem der Finanzverwaltung. Es erkennt Muster in den Steuerdaten und kann gut nachvollziehbare Fälle mit geringem Prüfbedarf gezielt identifizieren. Diese werden automatisiert verarbeitet – und damit schneller abgeschlossen.
Die Pilotierung beginnt im Mai 2025 in den Finanzämtern Brühl, Bielefeld-Außenstadt, Hamm und Lübbecke. Gestartet wird mit klassischen Arbeitnehmerfällen – also Steuererklärungen mit Einkünften aus nichtselbständiger Arbeit, Kapitalerträgen, Vorsorgeaufwendungen, Sonderausgaben, haushaltsnahen Dienstleistungen und ähnlichen Bereichen. Eine Ausweitung auf weitere Fallkonstellationen ist bereits in Planung.
Ein besonderer Fokus liege dabei auf dem zukunftsfähigen und sicheren Einsatz von Künstlicher Intelligenz: Im neuen Rechenzentrum sei der Betrieb eigener KI-Hardware geplant – ein wichtiger Schritt zur digitalen Souveränität der Finanzverwaltung Nordrhein-Westfalen. Bereits jetzt habe das Ministerium der Finanzen generative KI-Chatbots wie ChatGPT und Google Gemini offiziell für den dienstlichen Gebrauch unter klaren Rahmenbedingungen und unter Wahrung des Steuergeheimnisses freigegeben – etwa zur Texterstellung, Recherche oder Bildgenerierung. KI dient als unterstützendes Werkzeug – die Verantwortung verbleibe bei den Beschäftigten. Auch ein neuer Ausbildungs-Podcast wurde vollständig von KI erstellt – vom Text bis zu den Stimmen der Moderatoren.

4.10 Unternehmer-Enthaftung durch Einsatz von KI?

Gibt es eine unternehmerische Pflicht zum Einsatz von KI? Zumindest wird dies hier in dieser Veröffentlichung so dargestellt. Begründet wird dies damit, dass die höchstrichterliche Rechtsprechung verlange, dass der Entscheider „alle verfügbaren Informationsquellen tatsächlicher und rechtlicher Art“ auszuschöpfen hat, wenn es um Entscheidungen zu Risikofrüherkennungen und Problemlösungen gehe. Zur Förderung von Innovationen und Fortschritt hätten Gesetzgeber und Rechtsprechung eine Enthaftungsmethode aufgestellt, die leider noch zu wenig bekannt und genutzt werde: Die Business Judgment Rule (§ 93 Abs.1 Satz 2 Aktiengesetz) sei eine nicht nur für Aktiengesellschaften (enthaftende) Methode für das Treffen unternehmerischer Entscheidungen bei Ermessensspielräumen und finde in diversen Rechtsgebieten, wie z.B. Zivil- oder Strafrecht, Anwendung.

4.11 Schweiz (Kanton Luzern): Whitepaper zu KI und Verwaltung

Wie kann Generative KI (GenAI) datenschutzkonform in der öffentlichen Verwaltung eingesetzt werden? In der Schweiz gibt es dazu eine Ausarbeitung aus dem Kanton Luzern. Das Whitepaper entstand durch die Berner Fachhochschule (Institut IDAS) im Auftrag des Datenschutzbeauftragten des Kantons Luzern. Die Studie beleuchtet praxisnah und differenziert die Anwendungsfelder von GenAI im Verwaltungsumfeld, die technischen, organisatorischen und rechtlichen Rahmenbedingungen, gibt Handlungsempfehlungen für eine datenschutzkonforme Umsetzung und strategische Überlegungen zur digitalen Souveränität.

4.12 Deutschland: KI und (Bundes-)verwaltung

Auch das BMI interessiert sich für das Thema KI und Verwaltung, speziell natürlich die Bundesverwaltung. Wäre ja auch zu blöd, wenn man die Chance auslässt, statt einer Studie 17 (je Bundesland eine und eine für den Bund) lesen zu müssen. Jedenfalls gibt es nun „a class="RuF" href="https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/moderne-verwaltung/ki/BMI25020-leitlinien-ki-bundesverwaltung.pdf?__blob=publicationFile&v=4" target="_blank" rel="noopener">Leitlinien für den Einsatz Künstlicher Intelligenz in der Bundesverwaltung“. Sie sollen einen fundierten Orientierungsrahmen bieten mit dem Ziel eines verantwortungsvollen und gemeinwohlorientierten Einsatzes von KI – und das unter Einhaltung ethischer, rechtlicher und technischer Standards. Prima. Bericht dazu a class="RuF" href="https://www.heise.de/news/KI-Leitlinien-Oeffentliche-Hand-soll-KI-nur-grundrechtskonform-nutzen-10370722.html" target="_blank" rel="noopener">hier.

4.13 Hörfunkbeitrag zu erklärbarer KI

Im Deutschlandfunk werden in diesem Beitrag (Dauer ca. 31 Min.) Aspekte zur Nachvollziehbarkeit von Entscheidungen unter Einfluss von KI angesprochen. Ob Kredite, Jobs oder medizinische Diagnosen: Bei Entscheidungen darüber wird Künstliche Intelligenz bereits eingesetzt. Dabei sind die Einschätzungen komplexer KI-Systeme für Menschen oft kaum im Detail verständlich. Lässt sich das ändern?

4.14 Hörfunkbeitrag zu KI und Wertschätzung intellektueller Leistungen

Wieder ein Beitrag im Deutschlandfunk (Dauer ca. 8 Min.): Ausgehend von der Klage mehrerer US-Musikkonzerne gegen Archive.org wird über den Wert kultureller Güter gesprochen. Und über die Frage, wer eigentlich für gesamtgesellschaftliche Anliegen wie Bildung und technologischen Fortschritt bezahlen soll. Dabei geht es auch um KI und um eine europäische digitale Souveränität.

4.15 Vorschläge zur Zweckbegrenzung für KI

In diesem im International Journal of Law and Informationen Technology veröffentlichten Beitrag geht es um Vorschläge zur Anpassung der Regulatorik bei KI. In „Updating purpose limitation for AI: a normative approach from law and philosophy“* werden Vorschläge zur einer Aktualisierung des unzureichend durchgesetzten und unterschätzten Grundsatzes der Zweckbindung angesprochen, indem der regulatorische Schwerpunkt von einzelnen Datenverarbeitungsvorgängen – die im Zeitalter der KI zunehmend nicht mehr identifizierbar sei – auf die Regulierung von KI-Modellen selbst verlagert werde.
in der digitalen Gesetzgebung der EU wird eine kritische Gesetzeslücke ausgemacht: Das Risiko der Zweitverwendung von trainierten Modellen und anonymisierten Trainingsdatensätzen. Die Verfasser plädieren für ein "Herauszoomen" und für Konzentration dabei auf den gesamten Lebenszyklus von KI-Modellen – von der Erstellung über die Nutzung bis hin zur möglichen Wiederverwendung. Sie argumentieren damit, dass die Erstellung prädikativer und generativer KI-Modelle eine neue Form der Machtasymmetrie einführe. Als Maßnahme wird vorgeschlagen, dass eine Aktualisierung der Zweckbeschränkung bei KI eingeführt werde: Entwickler und Deployer leistungsstarker KI-Systeme müssten die Zwecke der von ihnen verwendeten Datensätze und Modelle deklarieren und dokumentieren – z. B. in der AI Act-Datenbank. Ergebe eine Ex-ante-Risikobewertung ein hochriskantes Zweitverwendungspotenzial, müsse das Modell bei einer zentralen Behörde im Rahmen eines abgestuften Verpflichtungssystems registriert werden.
Ziel ist es die Zweckbindung auszuweiten, aber dabei auch Andere – über die betroffene Person hinaus, einschließlich Gruppen und der Gesellschaft insgesamt – vor den nachgelagerten Folgen der Wiederverwendung von Modellen zu schützen.

*Franks Anmerkung: Wenn dieser Link nicht funktionirt, klicken Sie bitte beim ersten Link auf die PDF. Da scheint ein Zeitstempel, der abläuft, im Link enthalten zu sein (und ohne diesen geht es scheinbar nicht).

4.16 Interview: KI und das Lösen von Problemen

Über die Möglichkeiten mit KI Probleme zu lösen und den Regelungsinhalt der KI-VO geht es in diesem Interview. Behandelt wird auch, was der AI Act bringt und was er für Nutzerinnen und Nutzer bedeutet.

4.17 KI-generierte Kommentare: Gefaktes Vergewaltigungsopfer

In einem Experiment von Forscherinnen und Forschern der Universität Zürich wurde untersucht, wie sich KI-generierte Kommentare einsetzen lassen, um Meinungen zu beeinflussen. Dabei wurden keine Kommentare selbst geschrieben, aber jeder Beitrag manuell gesichtet, um sicherzustellen, dass sie nicht schädlich sind. Die Verantwortlichen wussten, dass ihr Experiment die Regel gegen KI-generierte Kommentare gebrochen hat und entschuldigten sich dafür. Einen Bericht dazu findet sich hier.
Genutzt wurden zwei KI-Modelle. Eines diente dazu Antworten zu generieren. Trainiert wurde es an den Inhalten des "Change My View"-Subreddits, um sich einen für diese Umgebung tauglichen, glaubwürdig wirkenden Schreibstil anzueignen. Zudem wurde der KI beigebracht Antworten spezifisch an das jeweils kommentierte Posting und dessen Verfasserin oder Verfasser anzupassen.
Für dieses "Feintuning" kam das zweite Sprachmodell zum Einsatz. Dieses analysierte die jeweils 100 letzten Beiträge des Accounts, der es verfasst hatte, und versuchte daraus eine Reihe von Eigenschaften abzuleiten: Alter, Geschlecht, ethnische Zugehörigkeit, Land des Aufenthalts und politische Einstellung. Ein Teil der Antworten wurde dann unter Berücksichtigung dieser Kriterien erzeugt.
Jetzt kann darüber diskutiert werden, ob das Vorgehen der Forscher:innen ethisch vertretbar war, wie auch seitens Reddit kritisiert wird. Interessant ist aber, dass die Bots sich nach dem Bericht nicht nur als Vergewaltigungsopfer ausgaben, sondern auch andere heikle Rollen unter dem Sanktus der manuellen Vorabprüfung seitens ihrer Erschaffer einnahmen. Einer der Accounts gab beispielsweise an, ein Afroamerikaner und Gegner der Black-Lives-Matter-Bewegung zu sein, ein anderer erklärte, in einer Zuflucht für Menschen mit Erfahrungen mit häuslicher Gewalt zu arbeiten.
Ein weiterer Bericht darüber findet sich auch hier.

4.18 KI-Nutzung und Digitale Souveränität

Nach einer bitkom-Umfrage nutzen zwar 67 % der Deutschen generative KI, zwei Drittel sehen dabei aber auch eine große Abhängigkeit von Anbietern aus den USA und China. Über die Hälfte der Berufstätigen wünschen sich KI-Unterstützung im Job – 10 Prozent nutzen sie ohne Wissen des Arbeitgebers. Nach den Angaben des bitkom gibt es einen großen Wunsch nach KI-Angeboten aus Deutschland. Zwei Drittel (69 Prozent) würden einen KI-Anbieter aus Deutschland nutzen, deutlich dahinter folgen Frankreich (49 Prozent), Südkorea und Japan (48 Prozent bzw. 45 Prozent) sowie die übrigen EU-Länder und die USA (jeweils 41 Prozent). Einen KI-Anbieter aus Israel würden 31 Prozent nutzen, aus China 30 Prozent und gerade einmal 1 Prozent würde KI-Dienste aus Russland nutzen.

4.19 EU: AI Literacy FAQ

Art. 4 der KI-VO kommt seit dem 2. Februar 2025 zur Anwendung. Er verpflichtet Anbieter und Nutzer von KI-Systemen ein ausreichendes Maß an KI-Kompetenz ihrer Mitarbeiter und anderer Personen, die in ihrem Namen mit KI-Systemen umgehen, sicherzustellen. Zu diesem Zweck sollten Anbieter und Nutzer die technischen Kenntnisse, Erfahrungen, Aus- und Weiterbildung der Personen sowie den Kontext, in dem die KI-Systeme eingesetzt werden sollen, einschließlich der Personen, für die diese KI-Systeme bestimmt sind, berücksichtigen. Die FAQ der EU-Kommission zum Thema KI-Kompetenz enthalten weitere Informationen zu den Anforderungen und zur Durchsetzung von Art. 4 KI-VO.
Die Überwachung und Durchsetzung von Artikel 4 fällt in den Zuständigkeitsbereich der nationalen Marktüberwachungsbehörden, die bis zum 2. August 2025 benannt werden (müssten). In der Zwischenzeit arbeitet das AI Office eng mit den betroffenen Organisationen und Mitgliedstaaten im KI-Ausschuss zusammen, um die Umsetzung und mögliche Einhaltung dieses Artikels zu unterstützen. Im Einzelnen:

• Im Februar 2025 veröffentlichte das AI Office ein lebendes Repository mit KI-Kompetenzpraktiken, in dem Beispiele für Initiativen von mehr als 20 Unterzeichnern des KI-Pakts zusammengestellt sind.
• Im April 2025 hat das KI-Amt eine Umfrage für alle Anbieter und Nutzer von KI-Systemen gestartet, die ihre Erfahrungen teilen möchten. Die Antworten werden zur regelmäßigen Aktualisierung des lebenden Repositorys verwendet.
• Um das Archiv und die Aktivitäten im Zusammenhang mit Art. 4 KI-VO vorzustellen, organisierte das KI-Amt außerdem ein KI-Pakt-Webinar zum Thema KI-Kompetenz.

Allerdings weisen die FAQ auch aus, dass Art. 4 KI-VO zwar am 02.02.2025 in Kraft trat, so dass die Verpflichtung Maßnahmen zu ergreifen, um die AI-Kenntnisse des Personals sicherzustellen, bereits gilt. Die Aufsichts- und Vollzugsvorschriften gelten aber erst ab dem 03.08.2026.
Bitte beachten: Selbst das AI Office der EU-Kommission weist im Haftungsausschluss darauf hin, dass die Übernahme der im Archiv gesammelten Praktiken nicht automatisch bedeute, dass die Einhaltung von Art. 4 KI-VO erreicht wird. Mit der Veröffentlichung der Praktiken gibt die Kommission weder eine Billigung noch eine Bewertung ab.

Franks Nachtrag: In diesem Blog-Beitrag werden die wichtigsten Inhalte der FAQs zusammengefasst, zentrale Klarstellungen darin werden hervorgehoben und noch offene Fragen aufgezeigt.

4.20 KI und die Zukunft der Arbeit

Zu den Auswirkungen von KI auf die Zukunft der Arbeit haben sich schon viele Gedanken gemacht. Die bei National Academies veröffentlichte Arbeit (frei verfügbar nach Angabe einer E-Mail-Adresse) bewertet die jüngsten Fortschritte in der KI-Technologie und ihre Auswirkungen auf die wirtschaftliche Produktivität, die Arbeitskräfte und das Bildungswesen in den Vereinigten Staaten. Der Bericht stellt fest, dass KI ein Werkzeug ist, das das Potenzial hat die menschliche Arbeit zu verbessern und neue Formen wertvoller Arbeit zu schaffen – dies ist jedoch kein unvermeidliches Ergebnis. Die Verfolgung der Fortschritte in der KI und ihrer Auswirkungen auf die Arbeitskräfte wird von entscheidender Bedeutung sein, um Arbeitnehmer und politische Entscheidungsträger zu informieren und zu befähigen flexibel auf KI-Entwicklungen zu reagieren.

4.21 Niederlande: KI und Müll

Nein, es geht nicht darum, dass auch beim Einsatz von KI nur Müll als Ergebnis herauskommt. Und dass auch für Prompts gilt „Garbage in, Garbage“ out. Es geht um den Einsatz von KI im niederländischen Nimwegen, bei dem Abfallverarbeiter nun "intelligente Kameras" für die Einstreu einsetzen dürfen, wie hier berichtet wird. Zwei Müllwagen dürfen mit "intelligenten Kameras" ausgestattet werden, um Müll auf der Straße zu erkennen, Die "KI" Technologie", die die Kameras verwenden, soll eine effektive und effiziente Erkennung von Müll gewährleisten.
Der Antrag dazu wurde bei dem externen Beratungsausschuss für digitale Ethik eingereicht, der positiv entschied. Die von den Kameras aufgenommenen Bilder werden nicht gespeichert oder gesendet, sondern es wird nur der Standort des Abfalls registriert. Für die Transparenz müssen die Bürger informiert werden, dass die Müllwagen mit Kameras ausgestattet sind. Außerdem muss über eine Website erklärt werden, was genau das System macht. Die Dauer der Studie beträgt ein Jahr und wird danach evaluiert.

4.22 SoundCloud: Nutzung der Inhalte für Training von KI

Nun auch SoundCloud: Wie hier berichtet wird, soll SoundCloud seine Nutzungsbedingungen geändert haben, um hochgeladene Inhalte zum Training einer KI nutzen zu dürfen. Die Bedingungen sollen eine Ausnahmeregelung für Inhalte enthalten, die unter „separaten Vereinbarungen“ mit Drittrechtsinhabern wie Plattenlabels fallen.

4.23 SmartGlasses von Meta

Schon gehört oder gesehen? Nach diesem Bericht soll es die Ray-Ban SmartGlasses mit Meta-Anschluss nun auch in Deutschland geben. Damit wird dann die Nutzung von optischen und akustischen Wahrnehmungen direkt durch Meta möglich. Ob die künftig für den nicht-öffentlichen Bereich gerne zuständige BfDI sich dann auch um die Umsetzung der Konsequenzen aus dem EuGH-Urteil von 2003 (C-101/01) zur Haushaltsausnahme kümmern wird?

4.24 Deutschland sei Schlusslicht in der KI-Nutzungs-Kompetenz

Das hätte selbst ich nicht erwartet: Deutschland zählt nach einer Studie im internationalen Vergleich bei KI-Kompetenz zum Schlusslicht, wie hier berichtet wird. Dabei wurden nicht mal Aussagen in Talkshows berücksichtigt, sondern für die Studie „Trust, attitudes and use of artificial intelligence: A global study 2025“ der KPMG wurden zwischen November 2024 und Januar 2025 über 48.000 Menschen in 47 Ländern befragt, mehr als 1.000 allein in Deutschland. Das Ergebnis: Während schon 66 Prozent der Deutschen KI privat, beruflich oder im Studium einsetzen, vertrauen nur 32 Prozent den generierten Ergebnissen. Die deutschen Befragten landen in der Gesamtwertung zur KI-Kompetenz („AI Literacy“) sogar auf dem vorletzten Platz der 47 untersuchten Länder. Diese Platzierung kommt zustande, da weniger als die Hälfte (45 Prozent) sich in der Lage fühlt KI-Ergebnisse zu bewerten oder sinnvoll einzusetzen. 43 Prozent nutzen KI-Tools sogar ohne die Resultate zu hinterfragen (... und spätestens da hätte ich als Grundlage die Auswertung der Aussagen in Talkshows erwartet!).

5.1 Beweismittel und Datenschutz – am Beispiel Nachbarschaftsstreit

Am Beispiel eines Nachbarschaftsstreites befasst sich dieser Blog-Beitrag mit Fragen der Beweissicherung und datenschutzrechtliche Anforderungen. Grundlage der Ausführungen ist ein Urteil des AG Lörrach und dessen Ausführungen zur jeweiligen Erforderlichkeit. Im Rahmen der Darstellung wird innerhalb des Blog-Beitrags auch auf weitere Entscheidungen zu datenschutzrechtlichen Fragestellungen bei privatem Einsatz von Videokameras hingewiesen.

5.2 Podcast zu EuGH C-394/23 – geschlechtliche Anrede

Die Bedeutung des EuGH-Urteils C-394/23 zur geschlechtlichen Anrede (wir berichteten) wird von immer mehr Personen erfasst. Ist nun jede Form der Anrede untersagt? Wie gehe ich damit um? Welche Auswirkungen hat das Urteil grundsätzlich auf die Verwendung der Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DS-GVO? Diese und noch viel mehr Fragen beantwortet der Präsident des BayLDA in diesem Interview (Dauer ca. 44 Min).

5.3 noyb: Beschwerde gegen Spielehersteller – Fragen zur Erforderlichkeit einer Verarbeitung

Gibt es eine Rechtsgrundlage bei einem Videospiel, dass dieses nur über das Internet erfolgen darf, selbst wenn dies technisch nicht erforderlich wäre, damit dadurch das Verhalten der Spielenden erfasst werden kann? Laut Datenschutzinformationen soll das Erlebnis der Nutzer und die Sicherheit ihrer Dienste verbessert werden bzw. auch bestmögliche Nutzererfahrung geboten werden können.
Das möchte noyb mit seiner Beschwerde gegen einen französischen Spielehersteller geklärt wissen, wie das NGO hier informiert.

5.4 Commentary Note to the EDPB Guidelines on Pseudonymisation

Immer wieder Pseudonymisierung / Anonymisierung: Hier befassen sich Expert:innen aus der Perspektive der Industrie mit den Guidelines des EDSA zur Pseudonymisierung und formulieren ihre Interpretation und Erwartungen auch zu den Guidelines zur Anonymisierung, die noch aussteht.

5.5 Podcast zum Urteil zu E-Mails des OLG Schleswig

Auch dieser Podcast (Dauer ca. 52 Min.) befasst sich mit dem Urteil des OLG Schleswig zu Anforderungen an den Rechnungsversand per E-Mail.

5.6 Baden-Württemberg: CyberSicherheitsCheck für Handwerkskammern

In Baden-Württemberg gibt es nun auch einen CyberSicherheitsCheck für Handwerkskammern. Mit einer einfachen und unkomplizierten Einstiegsberatung können sich Handwerksunternehmen künftig besser gegen Cyberangriffe schützen. Der CyberSicherheitsCheck hilft Unternehmen dabei sich zu schützen. Zunächst seit Herbst 2024 bei den Industrie- und Handelskammern (IHK) eingeführt, wird das Angebot nun ausgeweitet: Auch bei den Handwerkskammern sowie Landesinnungs- und -Fachverbänden werden kleine und mittlere Unternehmen auf ihre Cybersicherheit gecheckt.

5.7 ISACA: Sicherheit bei Penetrationstests

Bereits seit Juni 2023 weist die ISACA in ihrem Whitepaper Whitepaper: Physical Elements of Cyber Security auf Risiken bei physischen Penetrationstests hin. Ergänzend dazu gibt es seitens der ISACA auch „Strategies for Physical Penetration Testing Outlined in New ISACA Resource“.

5.8 SIEM und der Datenschutz

Welche datenschutzrechtlichen Aspekte sind bei Security Information and Event Management (SIEM) Systemen zu berücksichtigten? Damit befasst sich dieser Blog-Beitrag, der sich hinsichtlich der datenschutzrechtlichen Rechtsgrundlagen auf Art. 6 Abs. 1 lit. f DS-GVO konzentriert.

5.9 Datenschutzrechtliche Herausforderungen und Lösungen bei OTMS

Mit OTMS sind Online-Terminmanagementsysteme gemeint. Diese werden zunehmend auch bei der Vergabe von medizinisch veranlassten Terminen wie beim Arzt eingesetzt. In einem aktuellen Fachbeitrag in der Ausgabe 1/2025 der BvD News werden zentrale datenschutzrechtliche Aspekte im Umgang mit OTMS betrachtet (auch hier verfügbar). Der Beitrag basiert auf der vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. entwickelten Praxishilfe „Umgang mit Online-Terminmanagementsystemen", die Datenschutzbeauftragten eine strukturierte Orientierung bei der Bewertung und Einführung solcher Systeme bietet und aktuell nur für BvD-Mitglieder zugänglich ist. Thematisch passend dazu befasst sich dieser Blog-Beitrag mit Alternativen zu einem der gängigsten Arztterminvergabe-Angebote.

5.10 Vom Betroffenenrecht und der Pflicht zu Löschen

Es mag ein Wink mit dem Zaunpfahl sein oder eine geschickte Maßnahme, um die Zielgruppe tatsächlich zu erreichen: Informationen zur datenschutzrechtlichen Löschpflicht auf eine Webseite zu packen, die sich mit Unternehmensstrafrecht befasst. Letztendlich wird darauf dargestellt, warum ein Löschkonzept unerlässlich ist, um auch hier compliant zu sein.

5.11 CVE und positive Seiten

Über das Thema des Rückzugs der USA bei der Dokumentation und Meldung von digitalen Schwachstellen hatten wir bereits berichtet. Dieser Beitrag versucht die positiven Seiten für die europäische Übernahme der Verantwortung herauszustellen.

5.12 Cisco: Data Privacy Benchmark Study 2025

Die Cisco Data Privacy Benchmark Study 2025 bringt scheinbar widersprüchliche Ergebnisse. Die Antworten von über 2.600 Befragten aus zwölf Ländern (fünf in Europa, vier in Asien und drei in Amerika) wurden berücksichtigt. So gibt es z.B. Widersprüche bei der Einschätzung zum eigenen Sicherheitsbewusstsein – und der Eingabe in Prompts. Bericht dazu auch hier.

5.13 Blick in die Datenschutz-Geschichte

In diesem Podcast (Dauer ca. 39 Min.) gibt eine unmittelbare Zeitzeugin uns Einblicke in die Geschichte des deutschen Datenschutzes, indem sie über Hintergründen und Details zum Volkszählungsurteil berichtet.

5.14 Meta und KI-Training

Aufsichtsbehörden informieren (wir berichteten), aber auch Medien, wie hier im Deutschlandfunk (Dauer ca. 36 Min.) nehmen es als Thema: Richtig gut findet es niemand, dass sich Tech-Unternehmen nun persönliche Äußerungen und Bilder als Trainingsmaterial aneignen.

5.15 Theorie und Rechtswirklichkeit im Datenschutz

In dieser Studie geht es um eine Untersuchung zwischen regulatorischen Maßnahmen im Datenschutz und deren Auswirkungen auf die rechtliche Wirklichkeit. Unter dem Titel “Mapping the empirical literature of the GDPR's (In-)effectiveness: A systematic review” wird u.a. angeregt die Daten für empirische Bewertungen zu verbessern.

5.16 Datenschutz und Mitbestimmung

In diesem Blog-Beitrag einer Kanzlei geht es um die rechtlichen Rahmenbedingungen unter denen Mitbestimmungsaufgaben zu datenschutzrechtlichen Themen zuzuordnen sind.

5.17 Datenleck bei Überwachungssoftware von Beschäftigten

Die App WorkComposer, die entwickelt wurde, um die Produktivität zu verfolgen, indem sie Aktivitäten protokolliert und regelmäßig Screenshots von den Bildschirmen der Mitarbeiter macht, hinterließ über 21 Millionen Bilder, die in einem ungesicherten Amazon-S3-Bucket offengelegt wurden und Bild für Bild zeigten, wie die Mitarbeiter ihren Tag verbrachten, wie hier berichtet wird.
Das Leck zeigt, wie gefährlich dieses Setup wird, wenn grundlegende Sicherheitshygiene ignoriert wird. Ein Leak dieser Größenordnung macht den Arbeitsalltag zu einer Goldgrube für Cyberkriminelle.

5.18 Umgang mit Risiken bei US-Clouds – Ein Vorschlag zur Bewertung aus der Schweiz

Wieder mal aus der Schweiz kommen Hinweise, wie nun mit den geänderten Rahmenbedingungen in den USA umgegangen werden kann. Eine bestehende Beurteilungsmethode wurde erweitert, um diese Unsicherheiten im Rahmen von Risikobeurteilungen abbilden zu können und so eine saubere Beurteilung und Dokumentation der Risiken zu ermöglichen. Neu sei in diesem Kontext auch eine Beurteilung der Geschäftsfortführungsrisiken eingeführt. Die Beurteilungsmethode ist unter dem Link der bisherigen Veröffentlichung abrufbar und steht zur öffentlichen Kommentierung frei. Der Autor weist auch darauf hin, dass zwar (weiterhin) nicht stimme, dass der US CLOUD Act US-Behörden freien Zugriff auf in der Cloud gespeicherte Daten liefere. Richtig sei allerdings, dass der Schutz vor solchen Zugriffen unter anderem auf geltendem US-Recht basiert und davon abhängig ist, dass die Behörden und die Gerichte sich an solches halten – oder dies mindestens die Gerichte tun. Der Schutz erfordere somit eine funktionierende Gewaltenteilung. Vor diesem Hintergrund sind die Bestrebungen der Trump-Regierung diese auszuhebeln für die Risikobeurteilung relevant.

5.19 Wie geht es mit Microsoft Recall weiter?

Wie hier in diesem Blog-Beitrag berichtet wird, testet Microsoft die Auswirkungen des Einsatzes von „Recall“ in Copilot- und PC-Anwendungen auf die Sicherheit und den Datenschutz. Bei Microsoft Recall handelt es sich um eine Funktion, die alle paar Sekunden Screenshots von dem PC mit OCR erstellt und eine durchsuchbare Textdatenbank mit allem bildet, was von diesem Computer aus angesehen oder geschrieben wurde.

5.20 Wer braucht einen Hyperscaler?

Niemand? Darum geht es in diesem Interview mit dem langjähriger CIO des Deutschen Zentrums für Luft- und Raumfahrt (DLR) und Berater der Bundeswehr. Thematisiert werden u.a. die Schlagworte „Digitale Souveränität“ und wie Europa unabhängiger von den US-amerikanischen Hyperscalern werden kann. Fast schon passend dazu ein Bericht über deutsche Anbieter und die aktuellen Nachfragen seit Trumps Vereidigung.

5.21 Podcast zur KI-VO und Datenschutz – Ein schwieriges Verhältnis

Es geht in diesem Podcast um das Verhältnis zwischen KI-VO und Datenschutz. Nach Beispielen und Metaphern zu Jagdfalken, Mofas auf Autobahnen und Föhns im Betrieb gibt es konkrete Empfehlungen in den letzten 20 Minuten des Podcast, der ca. 1:20 Std. dauert, wie z.B. keine personenbezogenen Daten zum Training in die Prompts eingeben. Und der Hinweis auf mögliche Schadenersatzansprüche betroffener Personen nach der BGH-Rechtsprechung. Und dass z.B. über ChatGPT über einen Regler („für alle verbessern“) die Verarbeitung der personenbezogenen Daten durch OpenAI geändert werden kann, da diese per Default eingestellt wird.
Letztendlich geht es sehr anschaulich um Medienkompetenz und Produkthaftung.

5.22 Elektronische Patientenakte – Eigentlich sollte sie ...

Eigentlich sollte sie sicher sein, eigentlich sollte damit alles besser werden und eigentlich haben wir es dann doch nicht anders erwartet, oder? Kaum war die elektronische Patientenakte offiziell ausgerollt, wurde über erneute Schwachstellenfunde berichtet.

Franks Nachtrag: Gematik erklärt die ePA-Sicherheitslücke für erledigt – aber das eigentliche Problem ist systemisch, so dieser Kommentar.

Franks zweiter Nachtrag: Aber immerhin braucht es ja „erhebliche kriminelle Energie“ und „umfangreiches Technikwissen“, um unathorisiert auf die Daten der ePA zugreifen zu können. Das passiert bestimmt nicht. Außerdem, solange das BSI nicht warnt, passt doch alles, oder? Ups. Ich meine, NGO warnen ja ständig vor irgendetwas ... Wir ja auch, wenn es um die ePA geht. Nun ja.

Franks dritter Nachtrag: Falls Sie die ePA-App nutzen, hier ist eine Art Anleitung. Denn, Sie können ja schließlich auswählen, mit wem Sie welche Daten teilen wollen, das wurde ja versprochen. Wie, doch nicht? Ach, wer braucht das schon.

Franks vierter Nachtrag: Und jetzt könnte ich auch noch Presseberichte über die Sichereitslücken der ePA bringen. Aber dann drehen wir uns ja nur im Kreis, damit fing es ja an ...

5.23 IP-Catching – Rasterfahndung im Netz – und rechtliche Fragestellungen

Unter IP-Catching versteht man eine Überwachungsmaßnahme, bei der ein Telekommunikationsanbieter wie Telefónica in Echtzeit erfasst, welche IP-Adressen mit einer bestimmten Ziel-IP kommunizieren – etwa einem verdächtigen Server im Tor-Netzwerk. Im Gegensatz zum klassischen IP-Tracking, bei dem eine bekannte IP-Adresse zu einem Nutzer aufgelöst wird, ist das Ziel des IP-Catching die Identifizierung einer bislang unbekannten Person aus einer Vielzahl von Nutzern eines bestimmten Dienstes.
Im Jahr 2020 wurde IP-Catching erstmals dokumentiert im Rahmen der Ermittlungen gegen das Darknet-Forum „Boystown“. Die Generalstaatsanwaltschaft Frankfurt beantragte damals beim Amtsgericht Frankfurt die Verpflichtung von Telefónica sämtliche Verbindungen zum Eintritts-Knoten eines Tor-Servers zu erfassen. Ziel war es den Nutzer „Phantom“ zu identifizieren. Tatsächlich gelang es, diesen über seine Mobilfunkverbindung zu de-anonymisieren – ein Erfolg für die Strafverfolgung. Und ein Problem hinsichtlich der rechtlichen Rahmenbedingungen. Mehr dazu in diesem Blog-Beitrag.

5.24 Meta und Schutz der Kinder

Es fällt mir zunehmend schwer die Begrifflichkeiten wie „Meta“ und „Schutz von Kindern“ ohne Verneinung in einem Satz unterzubringen. Wie hier berichtet wird, sind bei Meta Chatbots auf Instagram, Facebook und WhatsApp geplant, die in der Lage sind sich an "romantischen Rollenspielen" zu beteiligen, die „explizit“ werden können. Auch deutsche Medien berichten darüber. Und natürlich schränkte Meta dann das Angebot entsprechend ein, Bericht dazu auch hier.
Ob Google sich davon hat inspirieren lassen, dass sie nun ankündigen, ihren Chatbot Gemini AI auch für Kinder unter 13 Jahren freizugeben, wie hier nachzulesen ist?

5.25 Vertrauensvolle Kommunikation dank Wallets oder bye, bye, PGP?

Wie wird sich die Einführung von Self-Sovereign Identity (SSI) im Rahmen von digitale Identitäts-Wallets auf die Nutzung von PGP auswirken?  Mit den Wallets werden Nutzende in naher Zukunft verifizierbare Credentials (VCs) von allen Arten von Ausstellern in ihren Wallets haben – und damit auch im Besitz von kryptographischen Schlüsseln! Damit befasst sich dieser Aufsatz.

5.26 Vertrauen in Dienstleister – Biometrische Passbilder in der Cloud

In diesem Bericht wird anschaulich gezeigt, wie das Vertrauen beeinträchtigt werden kann, wenn biometrische Bilder in einer Cloud zwischengespeichert werden, selbst, wenn die Dateien verschlüsselt sind und der Serverstandort in Deutschland liegt.

5.27 bitkom: Umfrage zur Digitalkompetenz

Wieder mal hat der bitkom eine Umfrage bei 603 Unternehmen gestartet. Und die halten sich und ihre Beschäftigten zu 73% für digital kompetent, zumindest ist das der Anteil der Beschäftigten, die geschult werden, wie auch hier berichtet wird.
Aber es stellt sich auch heraus, dass die Weiterbildung rund um Digitalthemen Unternehmen allerdings vor Herausforderungen stellt. Ein Drittel (33 Prozent) hält das Angebot an Weiterbildungen für zu unübersichtlich, ebenso viele (33 Prozent) geben an keine Zeit für die Weiterbildung der Belegschaft zu haben. 32 Prozent fehlt es am Geld dafür. Und knapp jedes zweite Unternehmen (46 Prozent) sagt, viele der eigenen Beschäftigten hätten keine Lust auf Weiterbildungen zu Digitalthemen.

5.28 Co-Creating Future: Kollaborative Spekulation

Wie kann die Einbindung der Öffentlichkeit den kreativen Austausch zwischen Wissenschaft und Gesellschaft fördern? Hier wird ein neuer Ansatz durch kollaborative Spekulation für die Wissenschaftskommunikation versucht. Von grundlegenden Konzepten bis hin zu praktischen Workshop-Tools und Arbeitsblättern will dieser Leitfaden bewährte Methoden bieten, um akademische Forschung, Design und Gesellschaft zusammenzubringen und gemeinsam Wege in eine nachhaltige Zukunft zu gestalten.

5.29 Messung des Datenschutzrisikos synthetischer Daten

Was den nun? Meist lesen wir ja, dass es bei synthetischen Daten kein Datenschutzrisiko gäbe und nun das? Reichen entfernungsbasierte Metriken zur Bewertung des Datenschutzrisikos synthetischer Daten nicht mehr aus?

Datensätze, die mit modernsten tabellarischen Diffusionsmodellen (TabDDPM, ClavaDDPM) generiert wurden, die von DCR als "privat" deklariert wurden, sind sehr anfällig für Membership Inference Attacks (MIAs) – sie erreichen eine True-Positive-Rate (TPR) von bis zu 0,35 bei einer niedrigen False-Positive-Rate (FPR)

[Ok, das habe ich nur aus einer Beschreibung kopiert – und nicht verstanden]. Daher hier der Link auf die Veröffentlichung mit dem Titel: „The DCR Delusion: Measuring the Privacy Risk of Synthetic Data“.

5.30 Notfallhandbuch nach Cyberangriff

An was ist alles bei einem IT-Notfall zu denken? Besser vorher als nachher. Hier ist nach Angabe von Kontaktdaten ein Notfallhandbuch verfügbar, dass Vorschläge für die Aktivitäten in den ersten 72 Stunden nach einem Cyberangriff macht und mit dem die bisherige eigene Vorsorge abgeglichen werden kann. Oder, wenn noch keine vorhanden ist, daran ausgerichtet werden sollte.

5.31 Kommunaler Notbetrieb nach Cybervorfällen

Und wer glaubt, es trifft ja fast keinen: Auf dieser privat angebotenen Seite werden in einer Übersichtskarte Cybervorfälle bei Kommunen dokumentiert. Die Informationen gibt es auch in einer Zeitleiste, jeweils mit Link zu einem Bericht zum entsprechenden Cybervorfall.

5.32 Stiftung Datenschutz: Aufzeichnung des Vortrags zu Entwicklungen jenseits des Atlantiks

Wie sind die Entwicklung in den politischen, rechtlichen und gesellschaftspolitischen Veränderungen in den USA zu bewerten, insb. im Hinblick auf datenschutzrechtliche Einschätzungen? Dazu berichtet ein Experte im Format „Datenschutz am Mittag“ der Stiftung Datenschutz. Die Aufzeichnung ist hier anzusehen (Dauer ca. 1 Stunde).

5.33 Normen, die man kennen sollte? Heute: ISO/IEC 19086-1:2018

Ich bin immer wieder erstaunt, welche Normen es gibt. Zum Beispiel hatte ich bislang noch nie etwas von der Norm ISO/IEC 19086-1:2018 gehört, die jedoch beim Cloud Computing Standards vorgibt und für Dienstgütevereinbarung (SLA) Rahmenwerk – Teil 1: Übersicht und Konzepte definiert.
So erläutert sie die Beziehung zwischen Dienstleistungsvereinbarung und SLA: Sie beschreibt die Verbindung zwischen der allgemeinen Cloud-Dienstleistungsvereinbarung und der spezifischen SLA, die die Qualitätsparameter regelt. Es werden zentrale Konzepte vorgestellt, die als Bausteine für die Entwicklung von Cloud-SLAs dienen können. Die Norm stellt einheitliche Definitionen und Begriffe bereit, die in Cloud-SLAs üblich sind, um eine gemeinsame Sprache zu etablieren.

5.34 Huntress Cyber-Bedrohungsbericht

Seitens eines Beratungsunternehmens wurde ein aktueller Cyber-Bedrohungsbericht veröffentlicht, der gegen Angabe von Kontaktdaten verfügbar ist. Kurzfassung: Im vergangenen Jahr waren die Bedrohungsakteure in ihren Aktivitäten sehr produktiv, zeigten eine bemerkenswerte Anpassungsfähigkeit und setzten ausgeklügelte Tools, Taktiken und Techniken in einer Vielzahl von Branchen ein. Vom Gesundheitswesen über Technologie und Bildung bis hin zu Behörden und Fertigung hat sich die Cyber-Bedrohungslandschaft dramatisch weiterentwickelt.

5.35 Kritische Stimme zu US-Cloudanbietern

Was spricht für, was gegen Anbieter mit US-amerikanischem Hintergrund? Hier eine Positionierung, die sich sehr kritisch mit entsprechenden Angeboten vor der aktuellen politischen Entwicklung auseinandersetzt.

5.36.1 Webinar des ICO UK zu seiner Guideline zur Anonymisierung

22.05.2025, 3:00pm to 4:00pm UK time, online: Der ICO UK bietet ein Webinar zu seiner Guideline zur Anonymisierung (wir berichteten) an. Angesprochen wird, was er unter Anonymisierung und Pseudonymisierung versteht, wie sich dies auf datenschutzrechtliche Verpflichtungen und Verantwortlichkeiten auswirkt; es gibt Ratschläge zu bewährten Verfahren zur Anonymisierung personenbezogener Daten und technische und organisatorische Maßnahmen zur Minderung der Risiken für Menschen, deren Daten anonymisiert werden. Weitere Informationen und Anmeldung dazu hier.

5.36.2 recode.talks: Gespräch mit der BfDI, irgendwie über alles

23.05.2025, ab 12:00 Uhr, online: In diesem Online-Termin mit der BfDI werden aktuelle Entwicklungen der Aufsichtsbehörden (Aufsichtsstruktur) angesprochen, die Aussagen zum Datenschutz im Koalitionsvertrag, die Zukunft der Informationsfreiheit, wie das Daten- und KI-Recht das Datenschutzrecht beeinflussen und welche Pläne die BfDI für die Legislaturperiode hat. Weitere Informationen und Anmeldung hier, der Link zur Online-Teilnahme findet sich dort.

5.36.3 European netID Foundation zu Consent, KI und Identity -neu-

02.06.2025, 11:00 – 16:00 Uhr, München: Das Forum Daten und Digitalisierung (FDD) der European netID Foundation veranstaltet in München sein jährliches Symposium. Es geht dabei um Themen, die die digitale Wirtschaft aktuell besonders bewegen wie Consent, KI und Identity. Weitere Informationen und Anmeldung hier.

5.36.4 IFG Days des LfDI Baden-Württemberg in Esslingen

02.06.2025, 18:00 Uhr, – 03.06.2025, 18:00 Uhr, Esslingen: Am 02. und 03. Juni 2025 veranstaltet der LfDI Baden-Württemberg die 6. IFG Days. Dieses Mal findet die Veranstaltung in Kooperation mit dem Landesamt für Denkmalpflege des RP Stuttgart in Esslingen am Neckar statt. Ein frisch restauriertes Gemälde, der Bau einer Schule oder die Ergebnisse einer Verkehrszählung, zu sehr vielen Fragestellungen in unserem direkten Umfeld gibt es bei den öffentlichen Stellen interessante und wertvolle Informationen. Diese entstehen neben der eigentlichen Aufgabenstellung und sind in sehr vielen Fällen zugänglich. Bislang mussten Bürgerinnen und Bürger allerdings konkret nachfragen und Stellen die Einzelfälle bearbeiten. Jetzt stellen immer mehr Einrichtungen Informationen aktiv in Portalen bereit. Eingerahmt von einem interessanten Programm haben Zuständige in Behörden, Fachleute und Interessierte die Chance mehr über die aktuellen Entwicklungen in der Informationsfreiheit zu erfahren. Weitere Informationen und Anmeldung dazu hier.

5.36.5 Akademie der Kulturellen Bildung: Neue digitale Trends – neue Gefährdungen

03.06.2025, 17:00 – 18:30 Uhr, online: Immer früher bestimmen digitale Medien das Leben von Kindern und Jugendlichen. Sie bieten Raum für Austausch, Kreativität, Spiel und Unterhaltung. Gleichzeitig bestehen Risiken und Einflüsse, welche die Entwicklung im Kindes- und Jugendalter beeinträchtigen oder gefährden können. Wie können Kinder und Jugendliche dabei unterstützt werden, digitale Medien altersgerecht und unbeschwert zu nutzen? Wie wirken sich digitale Entwicklungen auf einen modernen Kinder- und Jugendmedienschutz aus? Welche Verantwortung haben Anbieter:innen? Wie können Eltern und Fachkräfte bei ihrem Erziehungsauftrag unterstützt werden. Diese und weitere Fragen können mit Expert:innen der Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) und den Teilnehmenden der Veranstaltungsreihe diskutiert werden. Weitere Informationen und Anmeldung dazu hier.

5.36.6 Stiftung Datenschutz: „Rechtssicheres handeln bei Cybervorfällen“ -neu-

04.06.2025, 13:00 – 14:00 Uhr, online: Cyberangriffe können Unternehmen jeder Größe und Branche treffen. Die Folgen sind oft schwerwiegend und können Vertragsstrafen, Haftungsrisiken, Reputationsschäden und auch die strafrechtliche Verfolgung umfassen. Neben den datenschutzrechtlichen Konsequenzen müssen sich Unternehmen auch mit versicherungsrechtlichen und vertragsrechtlichen Fragen auseinandersetzen. Dazu informieren Expert:innen aus der Praxis in der Veranstaltung der Stiftung Datenschutz, wie man solche Vorfälle rechtlich begleitet. Weitere Informationen und Anmeldung hier.

5.36.7 Ringvorlesung an der Universität Salzburg

Im Rahmen der öffentlichen Ringvorlesung an der Universität Salzburg gibt es interessante Themen, die mittwochs von 17:00 und 18:30 Uhr ausschließlich vor Ort stattfinden.
04.06.2025: „Privacy und Diversity Diversitätsgerechter Privatheitsschutz in digitalen Umgebungen“
18.06.2025: „Arbeitnehmerdatenschutz – Datenschutz und Privatsphäre aus Sicht der Beschäftigten“

5.36.8 Kinder im Netz begleiten: Online-Elternabend für Kita-Eltern

05.06.2025, ab 19:00 Uhr, online: Videos auf dem elterlichen Smartphone, Kontakte über Smart-Watches oder vernetztes Spielzeug: Kinder nutzen immer früher digitale Medien. Das stellt schon Eltern von Kita-Kindern vor die Herausforderung, geeignete Angebote auszuwählen und auf einen verantwortungsvollen Medienkonsum zu achten. Denn: Was sind altersgerechte Inhalte, Nutzungszeiten und Geräteeinstellungen? Wie steht es mit Datensicherheit und Datenschutz bei vernetzten Teddys und Co., wo lauern Kostenfallen in Spiele-Apps und in der Werbung? Welche Rechte anderer Personen sind zu beachten? Im Online-Elternabend der Verbraucherzentrale und des LfDI Rheinland-Pfalz wird über Nutzungsrisiken und Kostenfallen aufgeklärt und über Regeln, Rechte und Pflichten rund um Mediennutzung, Datenschutz und Datenverantwortung informiert. Weitere Informationen und Anmeldung dazu hier.

5.36.9 IAPP – LfDI Baden-Württemberg und Präsident BayLDA u.a. zu „KI und Mitarbeiterdaten“ -neu-

06.06.2025, 10:00 – 11:15 Uhr, online: Bei dieser von der IAPP organisierten Veranstaltung ist nur eine Registrierung und keine Mitgliedschaft erforderlich. Weitere Informationen und Anmeldung hier.

5.36.10 Die FITKO stellt vor: „Grundlagenvortrag Daten“ -neu-

16.06.2025, 09:00 – 10:00 Uhr, online: Daten sind der Schlüssel zur digitalen Transformation der öffentlichen Verwaltung – und zugleich die Voraussetzung für den nächsten Schritt: den Einsatz von Künstlicher Intelligenz. In einem Vortrag der FITKO (Förderale IT-Kooperation) wird aufgezeigt, wie datenbasierte Entscheidungsfindung, intelligente Vernetzung und innovative Technologien die Leistungsfähigkeit, Transparenz und Bürgerorientierung von Behörden nachhaltig verbessern können. Weitere Informationen und Anmeldung hier.

5.36.11 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung

In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:

• Ausgabe 6: Thema wird in Kürze bekannt gegeben*
  18.06.2025 \\ online
• Ausgabe 7: Thema wird in Kürze bekannt gegeben*
  09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin

* Franks Anmerkung: Der Rest der Informationen soll weiterhin „später folgen“. Nun denn.

5.36.15 EU-Digitaltag

21.-29.06.2025: Rund um den EU-Digitaltag finden viele Aktionen, Aktivitäten und Angebote statt. Sie finden viele davon hier, auch mit Filtermöglichkeit.

5.36.13 HdM Stuttgart: KI und Bildung Künstliche Systeme in Unterricht und Lehre

24.06.2025, ab 10:00 Uhr, Stuttgart: Die IDEepolis-Tagung 2025 widmet sich dem Thema "KI und Bildung: Künstliche Systeme in Unterricht und Lehre" und diskutiert die Frage nach der Rolle von KI-Systemen in Schule und Hochschule an der Schnittstelle zwischen Forschung, Lehre, Unterricht und Praxis. Das Konzept der Tagung folgt dabei dieses Jahr dem Kerngedanken eines "ethischen Gesprächssalons", bei dem die eingeladenen Referenten zuerst ihre Thesen vorstellen und dann gemeinsam im Austausch mit dem Publikum weiterentwickeln. Parallel dazu wird der Medienethik-Award META 2024/25 zum Thema „Kinder und Jugendliche in der digitalisierten Welt“ verliehen. Weitere Informationen und Anmeldung hier.

5.36.14 DatenDienstag „Werden Kriminelle durch KI klüger?“ -neu-

01.07.2025, 19:00 – 20:30 Uhr, Nürnberg: Ein bundesweit bekannter IT-Forensiker berichtet darüber, wie Deepfakes, Voicebots oder ChatGPT Cyber-Straftaten verändern. Möglichkeiten von intelligenten Systemen durchdringen unseren Alltag. In jedem Bereich unseres Lebens begegnen uns Anwendungen der künstlichen Intelligenz. Der Phänomenbereich Cybercrime ist davon nicht ausgeschlossen. Kriminelle nutzen solche Anwendungen, um neue Begehensweisen „alter“ Straftaten durchzuführen. Der Enkeltrick wird immer technischer und hat viele Komponenten der KI im Einsatz: Voicebots, Deepfake bis zu ChatGPT und Co. An verschiedenen Beispielen wird erklärt, wie sich intelligente Systeme auf Kriminalität und somit auf die Rolle von Opfern und Tätern auswirken. Können wir unseren Sinnen, z.B. in unserer digitalen Kommunikation, ohne Weiteres trauen? Wenn Erwachsene schon Schwierigkeiten haben zwischen Realität und Fiktion zu unterscheiden, wie muss es dann erst Kindern und Heranwachsenden gehen. Was können IT-Sicherheit und IT-Forensik gemeinsam für die Bekämpfung von Cybercrime-Phänomenen tun? Weitere Informationen und Anmeldung hier.

5.36.15 Nürnberg DIGITAL FESTIVAL: KI & Datensicherheit – Wie KI mit unseren Daten Regie führt -neu-

07.07.2025, 17:00 – 19:00 Uhr, Nürnberg: Im Rahmen der Aktionswoche Nürnberg Digital Festival gibt es ein Panel zu Fragen der Verantwortung, Kontrolle und Transparenz im Umgang mit unseren Daten. Die Veranstaltung findet in Räumen des Staatstheaters Nürnberg statt und vor und nach der Podiumsdiskussion gibt es die Gelegenheit Volker kennenzulernen: Einen intelligenten Staubsaugerroboter, der in der kommenden Spielzeit im Staatstheater auch auf der Bühne zu sehen sein wird und sich schon darauf freut neue Leute kennenzulernen. Weitere Informationen und Anmeldung hier.

5.36 Veranstaltungen

6.1 Welttag des Buches – Schutz der Kreativen

Zum Welttag des Buches der UNESCO zum 23. April 2025 fordern der Verband Europäischer Verleger, die European Writers' Council (EWC) und der CEATL (Europäischer Rat der Vereinigungen für literarische Übersetzungen) die EU-Mitgliedstaaten und die European Commission auf u.a. die von Menschen erstellte Bücher zu schützen und KI-generierte Produkte zu kennzeichnen.

6.2 KI und DeepFake-Pornos

Immer mehr Frauen und Mädchen werden nach diesem Bericht Opfer von Deepfake-Pornos. Was Betroffene tun können und warum die Rechtslage laut Experten lückenhaft ist, wird auch geschildert.

6.3 Schutz vor ungewollter Datenpreisgabe gegenüber ChatGPT

Tipps und Tricks, um die eigenen Daten vor ungewollter Preisgabe zu schützen, bietet HateAid hier an.

6.4 Schüler-ID und Koalitionsvertrag

Im Koalitionsvertrag findet sich die Formulierung

„Die Einführung einer zwischen den Ländern kompatiblen, datenschutzkonformen Schüler-ID unterstützen wir und ermöglichen die Verknüpfung mit der Bürger-ID. Die rechtskreisübergreifende Zusammenarbeit von Schule, Jugend- und Eingliederungshilfe stärken wir und verzahnen Bundeskompetenzen entlang der Bildungsbiografie organisatorisch und inhaltlich stärker.“

Damit befasst sich kritisch dieser Beitrag im MDR: Datenschützer warnen vor unkontrollierbaren Datensammlungen, Lehrerverbände befürchten zusätzlichen Aufwand, und die GEW spricht von falschen Prioritäten. Bildungsforscher sehen die Idee als langfristig sinnvoll, aber aktuell wenig hilfreich.
Spricht also alles dafür, dass es gemacht wird, oder?

6.5 Smartphones und Kinder

Frauen und Technik – diesmal geht es um Kinder und Smartphone. Und natürlich darum, dass sie Lust auf das Programmieren bekommen. Aber es soll dabei natürlich auch um Medienkompetenz gehen. Der Podcast dauert ca. 42 Minuten.

6.6 Sehenswert: Vorträge zu Datenschutz, KI und Demokratie

Auf die Vorträge einer britischen Journalistin hatte ich schon mal hingewiesen. Hier ist sie nun in einem Interview zu den Entwicklungen (Dauer ca. 36 Min.) zu ihren Vorträgen in 2019 und 2025 (This is what a digital coup looks like) (Dauer ca. 18 Min) und welche Risiken sie für die Demokratie durch den Einfluss der TechGiganten auf die Meinungsbildung sieht.
Dazu passt auch der Vortrag zu den Chancen und Risiken von KI (Dauer ca. 15 Min.), in dem auch die Auswirkungen von KI auf die Gesellschaft auf Basis der Erfahrungen mit sozialen Netzen angesprochen werden.

6.7 Noch eine Empfehlung eines Interviews

Hier findet sich frei zugänglich ein Interview mit einem – wie er dort beschrieben wird – Internet-Theoretiker und Tech-Kritiker zu aktuellen Entwicklungen. Passenderweise wird er daraus in der Headline zitiert mit „Ich würde nicht in Panik geraten“. Andere eventuell schon. Sie finden es hier.

6.8 FSM: Jahresstatistik der Beschwerdestelle 2024

Die Freiwillige Selbstkontrolle Multimedia-Dienstanbieter (FSM) hat wieder ihre Jahresstatistik der Beschwerdestelle veröffentlicht. Pornos, Missbrauch oder Hass: Menschen, die online auf problematische und möglicherweise rechtswidrige Inhalte stoßen, können diese bei der FSM-Beschwerdestelle unkompliziert und schnell melden. Im Jahr 2024 erreicht die Beschwerdestelle über 25.000 Meldungen. Jede Meldung wird durch ein dreiköpfiges juristisches Team der FSM-Beschwerdestelle einzeln geprüft. In 68 Prozent der Fälle (17.395 Meldungen) handelte es sich 2024 um begründete Beschwerden, d. h. um Inhalte, die nach umfassender Einzelfallprüfung gegen deutsche Jugendmedienschutzgesetze verstoßen haben. Bei rechtswidrigen Inhalten wirkt die Beschwerdestelle auf eine schnelle Löschung hin. In Fällen von fehlenden Jugendschutzvorrichtungen informiert die Beschwerdestelle den Anbieter und die zuständigen Behörden. Die Pressemeldung dazu findet sich hier.

6.9 Personas in der Medienpädagogik

Auch die Medienpädagogik hat „Personas“ für sich entdeckt. Damit lassen sich Zielgruppen besser verstehen – und adressieren. So wurden 20 Persona-Profile entwickelt, die Einblicke in die Lebensrealitäten und digitalen Kompetenzen älterer Menschen sowie von Eltern minderjähriger Kinder bieten. Sie zeigen prototypisch auf, welche Chancen, Herausforderungen und Bedürfnisse diese Gruppen prägen – und helfen dabei konkrete Angebote passgenau zu entwickeln. Die Steckbriefe zu den Personas finden sich hier<7a>.

6.10 Google und Minderjährige

Immer wieder komme ich an den Punkt, an dem ich glaube, es kann nicht mehr schlimmer kommen. Und dann gibt es immer wieder Meldungen, die mich eines Besseren belehren. So auch nach dieser Meldung, dass Google plant einen KI-Chatbot für Kinder unter 13 Jahren anzubieten.

6.11 BKA warnt vor dem Einstellen von Kinderbildern im Netz

Auch das BKA engagiert sich nun in Awareness-Maßnahmen gegen Kinderbilder im Netz – auch in WhatsApp-Gruppen. Auch wenn diese harmlos scheinen und sich Opa, Oma, Tante, Onkel und das ganze Umfeld daran erfreuen. Pädophile tun es auch – und scheuen sich nicht diese Bilder zu missbrauchen. Doch das BKA weist dabei nicht nur auf das Recht am eigenen Bild hin, sondern verlinkt auch zu Präventionsmaßnahmen-Seiten, auf denen sich Tipps für den Umgang mit Kinderfotos im Netz finden lassen.

7.1 Gewaltenteilung in den USA?

Dieser Beitrag ist wenig beruhigend. Funktioniert in den USA noch die Gewaltenteilung oder findet die Gesetzgebung nicht mehr in Senat und Kongress, sondern im Silikon Valley statt? Nun ja.

7.2 Wieder USA, wieder keine guten Nachrichten: Abschiebesoftware von Palantir

Wie hier berichtet wird, soll die US-Einwanderungs- und Zollbehörde einen dringenden Bedarf an einem neuen Softwaresystem mit einem Auftrag an Palantir gedeckt haben, um die Abschiebepläne der Trump-Regierung umzusetzen. Es wird erwartet, dass verschiedene Datenquellen zusammengeführt werden, um unter anderem eine einfache Schnittstelle für die Auswahl von Ausländern zu bieten, die aus dem Land entfernt werden sollen. Das neue System, ICE Immigration Lifecycle Operating System (ImmigrationOS), wird entwickelt, um der Behörde zwei besondere Funktionen zu bieten, die den derzeitigen Softwaresystemen fehlen. Sie soll bei der "Priorisierung von Zielen und Durchsetzungen" helfen, indem es "Auswahl- und Festnahmevorgänge rationalisiert" und auf ICE-Prioritäten basiert, wie z. B. die Festnahme mutmaßlicher oder nachgewiesener Mitglieder krimineller Banden, Gewalttäter und Personen, die ihre Visa überschreiten.
Die Software soll auch "Echtzeit-Einblick in Fälle von Selbstabschiebung" bieten – d. h. Einwanderer, die gehen, bevor sie rausgeschmissen werden – und eine End-to-End-Verfolgung des Einwanderungslebenszyklus, bei der es laut ICE-Beschreibung weniger um die Verfolgung legaler Einwanderer zu gehen scheint, die durch das System arbeiten, als vielmehr um den "Einwanderungslebenszyklus von der Identifizierung bis zur Abschiebung". Das, so werden die Akquisitionsunterlagen zitiert, werde der ICE helfen Abschiebungen effizienter zu gestalten und "den Zeit- und Ressourcenaufwand zu minimieren".

7.3 Nochmal USA: Supreme Court und die Migrationspolitik

Es gibt noch zarte Zeichen der Hoffnung. Zumindest nach diesem Bericht scheint der US-Supreme Court wenigstens bei der Migrationspolitik der aktuellen US-Administration deutliche Worte zu finden. Mal sehen, wie der aktuelle Präsident und seine Entourage damit umgehen.

7.4 DAK: Suchtstudie zum Medienkonsum

Die aktuelle DAK-Suchtstudie, die in Zusammenarbeit mit dem Universitätsklinikum Hamburg Eppendorf durchgeführt wurde, zeigt, dass 1,3 Millionen Kinder und Jugendliche digitale Medien riskant oder sogar krankhaft nutzen. Eine Präsentation dazu findet sich hier.

7.5 Hinweise bei der Auswahl von Software für die Schule

Schulen können sich ja über den Schul-IT-Navigator zu passender Software informieren. Um zertifizierte Schulsoftware zu erhalten, können die hier hinterlegten Kriterien berücksichtigt werden, zu denen wir bereits berichteten. Aktuell soll es diese nun in einer Version 0.8 geben.

7.6 Online-Interaktionsrisiken von Kindern und Jugendlichen aus psychologischer Sicht

Soziale Interaktionen von Kindern und Jugendlichen finden längst nicht mehr nur auf dem Schulhof statt, sondern zunehmend auch in virtuellen Räumen. Hier ist ein Buch online verfügbar, das die zentralen Risiken beleuchtet, mit denen Kinder und Jugendliche bei ihren Interaktionen im Internet konfrontiert werden können: Cybermobbing, Online-Hatespeech, non-konsensuales Sexting und Cybergrooming. Auf der Grundlage entwicklungs- und medienpsychologischer Befunde und Theorien werden Gemeinsamkeiten und Besonderheiten dieser Risiken, Präventions- und Interventionsansätze sowie Empfehlungen für Forschung und Praxis vorgestellt. Es bietet einen wissenschaftlich fundierten und praxisrelevanten Überblick zu aktuellen Themen der Online-Nutzung im Kindes- und Jugendalter. Es kann hier heruntergeladen werden.

7.7 Medienbildung gegen Desinformationen – Auch in leichter Sprache

Das Medienbildungsprojekt der Freiwilligen Selbstkontrolle Multimedia-Anbieter veröffentlicht ein neues Unterrichtsmaterial zur Stärkung der Informations- und Nachrichtenkompetenz von vulnerablen Zielgruppen. Dies beinhaltet Übungen in Leichter Sprache. „Wie kannst du falsche Informationen im Internet erkennen?“ ist mithilfe von Leichter Sprache und angepassten Aufgabenstellungen in Klassen mit Schülerinnen und Schülern unterschiedlichster Lernvoraussetzungen sowie sonderpädagogischer Förderschwerpunkte einsetzbar. Entsprechende Materialien sind hier verfügbar. Eine ergänzende TaskCards-Pinnwand zeigt alle Übungen sowie eine umfassende Linksammlung zu weiteren unterstützenden Angeboten.

7.8 Unterstützer:innen gesucht: FABB Social Media – Das Skills-Programm

Bis 19. Mai 2025 können sich Initiativen und Projekte bewerben, die auf eine Veränderung des individuellen Nutzer:innenverhaltens durch Bildungsprogramme oder praktische Erfahrungen abzielen. Soziale Medien haben unsere Kommunikation und den Zugang zu Informationen grundlegend verändert – doch die negativen gesellschaftlichen Auswirkungen sind erheblich: Algorithmen fördern Echokammern und emotionale Polarisierung, während der Mangel an zwischenmenschlicher Verbindung und ehrlichem Austausch sowie ständiger Vergleich zu psychischen Problemen wie Angstzuständen, Depressionen und Einsamkeit beiträgt.
Aktuell werden qualifizierte Bewerber:innen gesucht, die Nutzer:innen dabei unterstützen soziale Medien besser zu verstehen, bewusster zu nutzen oder ihren Konsum zu reduzieren. Das Programm sucht Initiativen und Projekte, die individuelle Verhaltensveränderungen durch Bildungsprogramme oder praktische Erfahrungen fördern. Geboten werden Unterstützungen, um die eigene Methodik zu verfeinern, die Wirkung und Effektivität der eigenen Initiative zu messen und das eigene Geschäfts- oder Fundraising-Modell (weiter) zu definieren. Mehr dazu hier.

7.9 Barnum-Effekt

Das hatte ich noch nicht mitbekommen: den Barnum-Effekt. Ich kannte ihn bisher nur von Horoskopen etc., die ja immer irgendwie passen. Und dieser Effekt ist nach einem Zirkusdirektor benannt, der dies nutzte, um die Illusion der Vorhersage zu unterstützen. Und nun der Bezug zu diesem Zirkus: Auch wir suchen z.B. bei neuen Technologien wie KI oft nach Beweisen, die unsere eigenen Überzeugungen bestätigen, und ignorieren Informationen, die dem widersprechen. Das nennt sich dann „Bestätigungsverzerrung“. Sie verstärkt den Einfluss des Barnum-Effekts auf unsere Wahrnehmung. Dadurch verstärken wir den Eindruck, dass die vagen Aussagen in Horoskopen wirklich auf uns zutreffen (oder Aussagen von irgendwelchen IT-Propheten). Mehr zu dem Barnum-Effekt hier.

7.10 USA: Einschränkungen beim Copyright befürchtet

Die Leiterin der US-Behörde zum Schutz der Urheberrechte wurde kurz nach der Veröffentlichung eines Berichts durch den US-Präsidenten von ihrem Amt entbunden, wie hier nachzulesen ist. Im Bericht ging es um die Bewertung der Nutzung urheberrechtlich geschützter Werke durch Unternehmen zum Training von KI. Wir ahnen es: das Ergebnis gefiel dem technologischen Umfeld des Präsidenten nicht. Die Praxis des Trainings von KI sei nicht durch die „Fair-Use-Doktrin“ gerechtfertigt.

7.11 Meta vs. FTC: Instagram-Algorithmen halfen wohl "Groomern" bei der Opfersuch

Im Verfahren von Meta gegen Untersuchungen der FTC zur Aufspaltung der Unternehmensgruppe wurde nun bekannt, dass der Instagram-Algorithmen helfen sollte mögliche Kontakte zu finden. Bei als problematisch erkannten Konten von Erwachsenen empfahlen sie besonders viele Kinder.
Instagram hat 2019 intern ermittelt, dass es die eigenen Algorithmen potenziellen Pädokriminellen merklich leichter gemacht haben mögliche Opfer zu finden. Das gehe laut diesem Bericht aus einem Dokument hervor, das die US-Handelsaufsicht FTC vor Gericht publik gemacht hat. Darin heißt es demnach, dass fast ein Drittel der Konten, die Erwachsenen mit belästigenden oder Missbrauchsabsichten gegenüber Kindern als Kontakte vorgeschlagen wurden, Accounts von Kindern waren. Innerhalb eines Zeitraums von drei Monaten seien zwei Millionen Accounts von Kindern diesen sogenannten "Groomern" vorgeschlagen worden. Insgesamt gehörten demnach 7 Prozent der Konten, die Erwachsenen als Kontakte empfohlen wurden, Kindern.

7.12 Facebook: Manipulation durch KI-Chatbots?

Nach diesem Bericht soll Facebook Teenagern Beauty-Werbung angezeigt haben, wenn diese Selfies löschten. Das ist nur ein Beispiel für manipulative Möglichkeiten, die künftig durch KI-Chatbots noch verstärkt werden können. Ob die Verantwortlichen bei Meta die moralische Größe haben, dem zu widerstehen, lässt sich nach der Lektüre dieses Buches bezweifeln. Die Autorin arbeitete von 2011 bis 2017 bei Facebook und stieg schließlich zur Direktorin für öffentliche Politik auf. Bereits im Jahr 2017, so schreibt sie, habe Facebook nach Möglichkeiten gesucht, um seine Möglichkeiten zur gezielten Werbung auf 13- bis 17-Jährige auf Facebook und Instagram auszuweiten – eine ausgesprochen gefährdete Gruppe, die oft mit pubertären Identitätskrisen und sozialen Problemen zu kämpfen habe.

7.13 Google: Zahlung zur Verfahrenseinstellung in Texas nach Trackingvorwürfen

Wie hier berichtet, wird zahlte Google 1,375 Mrd. US-$, um zwei Verfahren in Texas einzustellen. Dabei ging es um unrechtmäßiges Tracking und die Sammlung von biometrischen Daten.

7.14 Vorbildfunktion bei Löschpflichten?

Da haben wohl manche die Prüfung der Löschkonzepte durch den EDSA missverstanden. Wie hier berichtet wird, wurden auf Bundesebene Mail-Postfächer, Chat-Nachrichten und Kalender ausgeschiedener Regierungsmitglieder gelöscht. Trotz Warnung des Bundesarchives. Betroffen sein sollen auch frühere FDP-Minister. Lieber gar nicht aufbewahren als Falsches aufzubewahren – oder wie ging das noch?

7.15 Diversität in Teams

Weil die Möglichkeit, seine Vielfalt uneingeschränkt zu leben, auch ein Teil der Datenschutz-Thematik ist, hier ein Beitrag zur Diversität als Erfolgsfaktor. Das scheint aktuell bei einigen in Vergessenheit zu geraten.

8.1 Apropos KI ...

Das hätte hier echt viel werden könnne, ich hätte nur genug Zeit haben müssen, beim nächsten Mal gibt es wieder ein buntes Potpouri, verprochen. heute müssen diese paar Meldungen reichen:

• Das ich mal auf LinkedIn verlinke? Aber bei der Überschrift?
  We are Living in The Era of the AI Idiot.
  Da kann ich nicht widerstehen ...
• Manche Leute haben Angst vor KI.
• KI und Kaffeesatz. Lesen Sie einfach selbst ...
• Kennen Sie den Bild-Chatbot? Der kann echt hilfreich sein (schon wieder LinkedIn?).

8.2 OpenAI und die datenschutz-konformen Nutzung

Warum ich das nicht in Apropos KI ... packe? Da geht es vielleicht unter. Wobei, wer liest schon bis zum Kapitel 8? Aber immerhin, so ist die Chance größer (Und ja, es ist schon wieder ein LinkedIn-Post. Aber was soll ich machen?).
Worum geht es?
Ein US-Gericht hat OpenAI verpflichtet alle Chat-Protokolle vorläufig aufzubewahren.
Da hilft dann auch der kostenpflichtige Account, bei dem niemand auf die Prompts und die Ergebnisse zugreifen können soll, scheinbar nichts. .oO( ... )

8.3 Microsoft und das Versprechen ...

Das war doch ein vollmundiges und wohlklingedes Versprechen!
Hat aber scheinbar nicht lange gehalten ...
Na ja, Ihre MS-Cloud-Instanz ist vor solchen Behinderungen bestimmt sicher!

8.4 Cyber Gangsta’s Paradise

Wenn niemand auf Vorträge, direkte Ansprache, veröffentlichte Papiere hört? Dann nehmen wir halt ein Musikvideo auf. Vielleicht hilft das ja.

9.1 Social Media Detox

Vielleicht bieten die Überlegungen zur KI-Nutzung ja den Anstoß: Wie kann die suchtähnliche Nutzung von sozialen Medien reduziert werden? Tipps dazu gibt es hier.