Ausgabe 116 (KW 34-42)

1.1 EDSA: Leitlinien 03/2025 zum Zusammenspiel zwischen dem DSA und der DS-GVO

Das Gesetz über digitale Dienste (DSA) zielt darauf ab die Vorschriften der DS-GVO zu ergänzen, um ein Höchstmaß an Grundrechtsschutz im digitalen Raum zu gewährleisten, wie der EDSA mitteilt. Ihr Hauptziel besteht darin ein sichereres Online-Umfeld zu schaffen, in dem die Grundrechte aller Nutzer, einschließlich des Rechts auf freie Meinungsäußerung, geschützt werden. Sie gilt für Online-Vermittlungsdienste wie Suchmaschinen und Plattformen. Mehrere Bestimmungen des Gesetzes über digitale Dienste sehen die Verarbeitung personenbezogener Daten durch Anbieter von Vermittlungsdiensten vor. Die Guidelines 3/2025 on the interplay between the DSA and the GDPR Version 1.1 des EDSA sollen zur einheitlichen Anwendung des Gesetzes über digitale Dienste und der DS-GVO beitragen, soweit einige Bestimmungen des Gesetzes über digitale Dienste die Verarbeitung personenbezogener Daten durch Anbieter von Vermittlungsdiensten betreffen und Verweise auf Konzepte und Definitionen der DS-GVO enthalten. Zwar obliegt es den zuständigen Behörden im Rahmen des Gesetzes über digitale Dienste – mit Unterstützung des Europäischen Gremiums für digitale Dienste und der EU-Gerichte – das Gesetz über digitale Dienste auszulegen, doch gibt es eine Reihe von Bestimmungen, die sich auf die DS-GVO beziehen.
Bis 31. Oktober 2025 können Rückmeldungen zur Leitlinie beim EDSA eingereicht werden.

1.2 EDSA: Leitlinien zum Zusammenspiel zwischen dem Digital Markets Act und der DS-GVO

Zusammen mit der Europäischen Kommission hat der EDSA Leitlinien zum Zusammenspiel zwischen Digital Markets Act (DMA) und der DS-GVO veröffentlicht und die Konsultation dazu eröffnet. Das Gesetz über digitale Märkte und die DS-GVO schützen beide Einzelpersonen in der digitalen Landschaft, aber ihre Ziele ergänzen sich, da sie miteinander verbundene Herausforderungen angehen: individuelle Rechte und Privatsphäre im Falle der DS-GVO und Fairness und Bestreitbarkeit digitaler Märkte im Rahmen des Gesetzes über digitale Märkte. Mehrere vom Gesetz über digitale Märkte geregelte Tätigkeiten umfassen die Verarbeitung personenbezogener Daten durch Gatekeeper, und in mehreren Bestimmungen verweist das Gesetz über digitale Märkte ausdrücklich auf Definitionen und Konzepte, die in der DS-GVO enthalten sind. In den gemeinsamen Leitlinien wird klargestellt, wie Gatekeeper diese DMA-Bestimmungen im Einklang mit dem EU-Datenschutzrecht umsetzen können. Beispielsweise legen der EDSA und die EU-Kommission fest, welche Elemente Gatekeeper berücksichtigen sollten, um die Anforderungen an eine spezifische Auswahl und eine gültige Einwilligung gemäß Artikel 5 Absatz 2 DMA und der DS-GVO zu erfüllen und so personenbezogene Daten in zentralen Plattformdiensten rechtmäßig zu kombinieren oder zu nutzen.
Der EDSA und die Kommission befassen sich auch mit anderen Bestimmungen, unter anderem in Bezug auf den Vertrieb von Apps und Stores Dritter, die Datenübertragbarkeit, Datenzugangsanfragen und die Interoperabilität von Nachrichtendiensten. Bis 4. Dezember 2025 können dazu Hinweise und Anregungen eingereicht werden.

1.3 EDSA: EU Entry Exit System (EES)

Der EDSA weist darauf hin, dass seit dem 12. Oktober 2025 das EU Entry Exit System (EES) (Einreise-/Ausreisesystem) in Betrieb genommen wurde. Der Koordinierte Aufsichtsausschuss (CSC) wird das EES-System in seinen Zuständigkeitsbereich aufnehmen. Dieses System registriert Nicht-Schengen-Bürger, die mit einem Visum für einen kurzfristigen Aufenthalt reisen, oder Reisende, die von der Visumpflicht befreit sind. Das EES ist ein von der EU entwickeltes groß angelegtes IT-System, das irreguläre Migration verhindern und die Sicherheit im Schengen-Raum verbessern soll. Es ersetzt schrittweise die Passabfertigung an den Außengrenzen des Schengen-Raums, um die Grenzabfertigung effizienter zu gestalten. Das System erfasst, welche Reisenden aus Drittländern mit oder ohne Visum in den Schengen-Raum einreisen und aus ihm ausreisen. Die Einführung des EES erfolgt schrittweise. Die europäischen Länder haben die Möglichkeit dieses System über einen Zeitraum von sechs Monaten schrittweise einzuführen, beginnend mit der Registrierung von Drittstaatsangehörigen an 10 % der Grenzübergänge. Bis zum Ende des Sechsmonatszeitraums sollten die europäischen Länder die vollständige Registrierung aller Personen erreichen.
Das EES erfasst personenbezogene Daten aus Reisedokumenten wie Name, Geburtsdatum und Geburtsort. Es registriert auch die Ein- und Ausreisedaten von Reisenden sowie biometrische Daten wie Gesichtsbilder und Fingerabdrücke. Angesichts der Sensibilität der von diesem System verarbeiteten personenbezogenen Daten ist es von entscheidender Bedeutung, dass die Betroffenen ihre Rechte wirksam ausüben können und die Verarbeitung personenbezogener Daten überwacht wird.

1.4 EDSA: Leitlinien zur Anonymisierung

Schon lange hat der EDSA Leitlinien zur Anonymisierung auf der Agenda. Mit dem Urteil des EuGH C-413/23 (wir berichteten) gibt es nun auch aktuell justierte Leitplanken, die dabei berücksichtigt werden können. Der EDSA lädt aber auch ein, eigene Hinweise und Positionen in die Meinungsbildung zu den Aussagen des EDSA zu Pseudonymisierung und Anonymisierung einfließen zu lassen und kündigt dazu gegen Ende des Jahres eine Veranstaltung an.

1.5 EDSA: CEF zu Betroffeneninformationspflichten

Der EDSA legte für 2026 die Themen für das Coordinated Enforcement Framework (CEF) fest. Die gemeinsam durchgeführten Kontrollen befassen sich mit den Informationspflichten aus Artt. 12, 13 und 14 DS-GVO.

1.6 BfDI: Konsultation zu KI-Modellen und Datenschutz

Manche Stellungnahmen zu der Konsultation der BfDI wurden veröffentlicht, wie die der Gesellschaft für Informatik oder die der Universität Erlangen-Nürnberg.

1.7 DSK: Entschließung: Nein zur „Chatkontrolle“

Auch die DSK (hier mal wieder mit der BfDI) hat sich zur geplanten „Chatkontrolle“ positioniert. Sie fordert die Bundesregierung in ihrer Entschließung auf, die Zustimmung auf europäischer Ebene zu verweigern.

Franks Nachtrag: Zur technischen Sinnhaftigkeit der Chatkontrolle höre ich gerade eine aktuelle Podcast-Folge (ab 14:45 Min., Dauer insgesamt 1:55 Std., auch schön der Teil zu Oracle), die Sie sich vielleicht auch anhören wollen.

1.8 DSK: Orientierungshilfe zu KI-Systemen mit Retrieval Augmented Generation (RAG)

Die Konferenz der unabhängigen Datenschutzbehörden von Bund und Ländern (DSK) hat eine Orientierungshilfe für Unternehmen und Behörden veröffentlicht, die KI-Systeme mit sogenannter Retrieval Augmented Generation (RAG) bereits einsetzen oder einsetzen möchten. Auf 18 Seiten bietet die Orientierungshilfe rechtliche und technische Hinweise, wie die Potenziale solcher KI-Systeme genutzt und zugleich die Risiken für die Betroffenen verringert werden können.
RAG ist eine KI-Technologie, bei der große Sprachmodelle durch gezielten Zugriff auf unternehmens- oder behördeneigene Wissensquellen ergänzt werden, um kontextspezifische Antworten zu liefern. Typische Anwendungsbeispiele sind unternehmensinterne Chatbots, die auf aktuelle Geschäftsdaten zugreifen, und wissenschaftliche Assistenzsysteme, die Forschungsdatenbanken nutzen. RAG-Systeme sollen die Genauigkeit, Nachvollziehbarkeit und Verlässlichkeit der KI-Ausgaben erhöhen, während die für große Sprachmodelle typischen Halluzinationen und unrichtigen Ausgaben vermindert werden sollen.
RAG-Systeme können eigenständig entwickelt, betrieben und kontrolliert werden und damit Datenschutz-by-Design abbilden. Zudem können sie den Einsatz kleinerer und auch lokal betriebener Modelle ermöglichen, was beispielsweise einen Betrieb des Systems ohne Übermittlung personenbezogener Daten an Dritte – wie etwa Hyperscaler – ermöglicht. Damit kann die RAG-Methode einen wichtigen Beitrag zur digitalen Souveränität leisten.
RAG-Systeme bringen gleichwohl auch datenschutzrechtliche Risiken mit sich, die Verantwortliche im Blick haben müssen. Sie beseitigen beispielsweise nicht die datenschutzrechtlichen Probleme eines rechtswidrig trainierten Large Language Modells (LLMs). Je nach Ausgestaltung können sie aber Teil einer Antwort auf solche unrechtmäßig trainierten Systeme sein. Auch bleibt es herausfordernd Transparenz, Zweckbindung und die Umsetzung von Betroffenenrechten im gesamten System sicherzustellen. Verantwortliche Stellen, die solche RAG-Systeme einsetzen wollen, müssen die datenschutzrechtlichen Bewertungen der einzelnen Verarbeitungen im Einzelfall vornehmen und ihre technisch-organisatorischen Maßnahmen immer auf dem aktuellen Stand halten.

1.9 LfD Bayern: Verweis zu den Regelungen zu Binnengrenzkontrollen „Schengen“

Wer aus dem Urlaub nach Deutschland zurückkehrt fragt sich angesichts der Kontrollstationen an den Grenzen, wie das eigentlich datenschutztechnisch aussieht. Der Landesbeauftragte für den Datenschutz Bayern weist auf seiner Webseite diesbezüglich auf das Schengener Informationssystem (SIS) hin, das eigentlich den Wegfall der Binnengrenzkontrollen in Europa ausgleiche sollte und dem Datenaustausch zwischen den sog. Schengen-Staaten dient. Vor allem die Zusammenarbeit bei der Kriminalitätsbekämpfung sowie bei der Grenzüberwachung soll durch das SIS erleichtert werden. Für weitere Informationen zum SIS und damit in Zusammenhang stehenden Systemen sowie zur Datenschutzaufsicht in diesem Kontext verweist er auf die Homepage der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

1.10 LDI NRW: Bußgeld gegen Personalvermittlung

„Ignoranz beim Datenschutz zahlt sich nicht aus.“ Mit dieser klaren Botschaft berichtet die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW) davon ein Bußgeld von über 35.000 Euro gegen ein Unternehmen aus Düsseldorf verhängt zu haben. Die Personalvermittlung hatte nicht nur die Datenschutzrechte der Arbeitssuchenden konstant ignoriert, sondern auch Aufforderungen der LDI NRW als Aufsichtsbehörde. Im Mittelpunkt der Beschwerden standen Auskunftsersuchen der Arbeitskräfte, ob und welche Daten das Unternehmen von ihnen verarbeitet hatte. Außerdem verlangten einige der Personen die Löschung ihrer Daten. Die Firma ignorierte jedoch nicht nur die zu Recht geltend gemachten Ansprüche. Sie reagierte auch nicht auf Schreiben der LDI NRW, in denen sie um Auskunft gebeten und über die Pflicht, die Rechte der Betroffenen zu wahren, aufgeklärt wurde.

1.11 LDI NRW: iPad-Klassen an Schulen

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen gibt zum Schulbeginn Hinweise zur datenschutzgerechten Nutzung von iPads im Unterricht.
Schulen, die iPads einsetzen, stehen vor einer großen Herausforderung: Wie sollen sie ihre datenschutzrechtlichen Pflichten gegenüber Schüler*innen und Lehrkräften erfüllen? Vertragsunterlagen und Datenschutzrichtlinie des US-Konzerns Apple legen laut ihr nahe, dass auf dem iPad erfasste Nutzungsdaten über die iCloud auch in die USA übermittelt werden, weil Apple sie zur Produktentwicklung verwenden möchte. Schulen sei es aber nicht erlaubt Nutzungsdaten einem Unternehmen für eigene Zwecke zur Verfügung zu stellen. Darüber hinaus gibt es Hinweise auf eine Datenübermittlung in weitere Drittländer ohne angemessenes Datenschutzniveau.

1.12 LfD Sachsen-Anhalt: Datenschutz im Urlaub

Auf was im Urlaub hinsichtlich des eigenen Datenschutzes geachtet werden kann, hat die LfD Sachsen-Anhalt in einem Flyer zusammengefasst. Dabei geht es um Themen vor der Reise, während der Reise, Datensicherheit und Kinderbilder im Netz.
Auch der LfDI Baden-Württemberg hatte sich mit der Thematik bereits in seinem Podcast Datenfreiheit extra #12 (ab Min 51:49) befasst – wieder mit Links in den Shownotes.

1.13 LfDI Rheinland-Pfalz: Best of Datenschutz aus 2024 und 2025

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat wieder ausgewählte Beratungsanlässe zusammengefasst veröffentlicht. Ein Beispiel möchte ich herausgreifen: Eine nonverbale Kommunikation zwischen zwei Autofahren führte zu Ermittlungen und 800 Euro Bußgeld. Einem Autofahren wurden durch einen anderen, der neben ihm fuhr, seine Zulassungsdaten auf Basis des Kfz-Kennzeichens durch die Fahrerseite gezeigt. Dieser beschwerte sich und die Ermittlungen des LfDI Rheinland-Pfalzl ergaben, dass der andere Fahrer die Daten aus dem Zentralen Verkehrsinformationssystem nicht legal erlangt hatte. Ein ihm bekannter Mitarbeiter der Zulassungsstelle, den er während der Autofahrt kurzerhand angerufen hatte, erteilte ihm unbefugt die Auskunft und verschaffte ihm so Zugang zu den personenbezogenen Daten des anderen Fahrers. Gegen den Mitarbeiter der Zulassungsstelle wurde ein Bußgeld in Höhe von 800 Euro verhängt. Für die illegale Datenabfrage sei letztlich der Mitarbeiter rechtlich verantwortlich, nicht der Anrufer, gegen dessen fragwürdiges Verhalten es zumindest datenschutzrechtlich keine Handhabe gebe.

1.14 LfDI Baden-Württemberg: Podcast zu Videoüberwachung

„Es kommt darauf an“ – nirgendwo ist diese Rückfrage berechtigter als bei Fragen zur Zulässigkeit einer Videoüberwachung. Im Podcast (Dauer ca. 42 Min.) des LfDI Baden-Württemberg wird dies kompetent durch den LfDI Baden-Württemberg zusammen mit seiner Abteilungsleiterin zu dem Thema behandelt, und das sowohl für den privaten wie auch für den öffentlichen Bereich.

1.15 LfDI Baden-Württemberg: Werdegang – hier privat

In diesem YouTube-Video (Dauer ca. 49 Min.) wird der LfDI Baden-Württemberg zu seinem privaten Werdegang befragt – daher agiert er dabei nicht als LfDI Baden-Württemberg.

1.16 LfD Sachsen-Anhalt: Tätigkeitsberichte für 2021 bis 2023

Die Landesbeauftragte für den Datenschutz Sachsen-Anhalt legte die Tätigkeitsberichte für die Jahre 2021 bis 2023 vor. Aufgrund der jahrelangen Nichtbesetzung ihrer Position gab es da entsprechende Verzögerungen. Einige der Themen haben mittlerweile rechtshistorischen Charakter, wie Aussagen zu Fragestellungen in der Pandemie. Andere Themen haben noch aktuelle Aussagekraft.
In den Berichtszeitraum 2021 (Seite 2 bis 64 des Tätigkeitsberichts) fallen Beratungen zu den Themen BAföG Digital, der verschlüsselten Datenübertragung bei Funkmesszählern (S. 13), zur Einrichtung einer zentralen Glücksspielaufsicht (LUGAS) mit Sitz in Sachsen-Anhalt (S. 20) sowie die Prüfung der Rechtmäßigkeit von Videoüberwachungsmaßnahmen der Polizeiinspektionen (S. 21), die Einhaltung von Aussonderungsprüf- und Löschfristen beim LKA (S. 21) und Datenübermittlungen von Versicherungen an Polizeidienststellen (S. 53). Themen von Homeoffice (S. 44) bis zu Warn-Apps (S. 30) betrafen auch die datenschutzrechtlichen Auswirkungen der Corona-Pandemie (S. 30 ff.) sowie die Zulässigkeit Zeugnisnoten per E-Mail zu übermitteln (S. 27).
Im Berichtszeitraum 2022 (Seite 65 bis 113 des Tätigkeitsberichts) lagen Schwerpunkte unter anderem auf der Beurteilung von Löschkonzepten (S. 73), dem Einsatz von Cookies und Trackingmechanismen (S. 80), Fragen im Bereich der Forschung (S. 85), digitalen Funkmeldungen des Rettungsdienstes (S. 94), Übermittlung von Gesundheitsdaten mittels WhatsApp (S. 89), Beschwerden im Zusammenhang mit dem Zensus 2022 (S. 104), dem Mithören von Mitarbeitergesprächen im Rahmen des Beschäftigtendatenschutzes (S. 101) sowie Bildaufnahmen von Kindern (S. 109).
Ein Fall mit weitreichender Bedeutung war der über mehrere Jahre währende regelmäßige Abruf von Meldedaten zu privaten Zwecken durch eine Beschäftigte des Universitätsklinikums. Brisant war daran, dass es sich um Meldedaten von Personen handelte, die der politischen Orientierung der Beschäftigten entgegenstanden (S. 91).
Im Berichtszeitraum 2023 (Seite 115 bis 167 des Tätigkeitsberichts) beschäftigte sich die Aufsichtsbehörde mit den „Klassikern“: Chatkontrolle (S. 131), Google Street View (S. 132) und Pur-Abo-Modelle (S. 132). Weitere Themen waren das Führen eines elektronischen Fahrtenbuchs für Dienstfahrzeuge (S. 143), Livestreams von Ratssitzungen (S. 145), der Aushang von Hausverboten (S. 156), die Herausgabe von Aufnahmen einer Videoüberwachung an private Personen (S. 157) sowie Kameradummies (S. 180) und Klingelkameras (183).

1.17 HmbBfDI / ULD: Bridge Blueprint – Brücke zwischen DS-GVO und KI-VO

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit und das Unabhängige Landeszentrum für Datenschutz Schleswig Holstein (ULD) haben zusammen einen Vorschlag erarbeitet, um Fragestellungen zwischen der DS-GVO und der KI-VO zu beantworten. Mit dem the Bridge Blueprint möchten sie Brücken schlagen. Sie machten vier Themenstellungen aus, zu denen sie einen Lösungsvorschlag erarbeiteten. Konkret geht es um die Rechtsgrundlage Wahrung berechtigter Interessen, das Training mit Daten besonderer Kategorien (Art. 9 DS-GVO), automatisierte Entscheidungen mit Betroffenenrechten und den Anforderungen an eine Datenschutz-Folgenabschätzung. Sie sehen ihren Beitrag als Diskussionsgrundlage. Bis 15. November 2025 können dazu Rückmeldungen eingereicht werden.
Der Deutsche Anwaltverein (DAV) begrüßt diesen Vorschlag als „Brückenschlag mit Sprengkraft“. Empfehlenswert ist dazu auch dieser Podcast (Dauer ca. 44 Min.) mit einem der mitwirkenden Autoren, der zu den Hintergründen und der Zielrichtung erläuternde Hinweise gibt.

1.18 HmbBfDI: Elektronische Patientenakte

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) informiert zur elektronischen Patientenakte, bei der seit 1. Oktober 2025 die grundsätzliche Pflicht zur Befüllung durch Praxen und andere medizinische Einrichtungen für gesetzlich versicherte Personen besteht. Dazu bietet der eine FAQ-Liste an.

1.19 HmbBfDI: Datenschutzsprechstunde

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) bietet Datenschutzsprechstunden zu verschiedenen Schwerpunktthemen oder auch zu eigenen Fragen und Problemstellungen an. Die nächsten Veranstaltungen sind:

• 16. Oktober 2025: „Die elektronische Patientenakte: Alles, was Sie darüber wissen müssen“ (online)
• 5. November 2025: “Ihre Fragen. Unsere Antworten.” Sichern Sie sich jetzt Ihren individuellen Beratungstermin. Erforderlich Angabe eines Terminwunsches und einer kurzen Beschreibung Ihres Anliegens
• 20. November 2025: „Kleine Gesichter, große Rechte – Fotografieren in der Kita“ (online)
• 3. Dezember 2025: “Ihre Fragen. Unsere Antworten.” Erforderlich Angabe eines Terminwunsches und einer kurzen Beschreibung Ihres Anliegens

Details zu Anmeldung und Zugang über obigen Link.

1.20 LfD Bayern: Kurz-Information 64 – Datenschutzkonzepte für Digitalisierungsvorhaben

Der Bayerische Landesbeauftragte für den Datenschutz richtet seine Kurz-Information 64 in erster Linie an bayerische öffentliche Stellen, die komplexere datenschutzrelevante Digitalisierungsvorhaben umsetzen möchten. Gleichzeitig bietet es Fördergebern eine Hilfestellung. In einem Förderverfahren sollte die Datenschutzkonformität des jeweiligen Vorhabens gezielt eingefordert werden: Mit einem tragfähigen Datenschutzkonzept sind Fördergeber wie geförderte Stellen "auf der sicheren Seite". Das hier behandelte Datenschutzkonzept für ein Digitalisierungsvorhaben ist von einem Konzept zu unterscheiden, das sich primär auf das gesamte Datenschutz-Managementsystem einer Stelle bezieht. Zusammenfassend beruht ein gelungenes Digitalisierungsvorhaben auch auf einem gelungenen Datenschutzkonzept. Das Datenschutzkonzept leitet zu einer schrittweisen Erstellung der datenschutzrechtlichen Nachweise an und hilft dem Projektverantwortlichen den Überblick zu behalten. Darüber hinaus sieht er in einem Datenschutzkonzept auch sonst sehr viele Vorteile.

1.21 Berlin, Niedersachsen, NRW: Rechte und Pflichten bei Wahlwerbung

Die Berliner BfDI, der LfD Niedersachsen und die LDI Nordrhein-Westfalen informieren zu den Konsequenzen aus der EU-Verordnung zu Transparenz und Targeting bei politischer Werbung (TTPW-VO) (wir berichteten). Diese Verordnung kommt seit dem 10. Oktober 2025 zur Anwendung und soll demokratische Wahlen in der EU vor Manipulation schützen. Die Verordnung soll Transparenz bei politischen Kampagnen zur Wahlbeeinflussung herstellen, indem deren Finanzierung offengelegt werden muss und die Verarbeitung personenbezogener Daten zum Zweck des Targetings künftig einer expliziten Einwilligung bedarf. Mit der TTPW-VO werden bestehende Transparenz- und Widerspruchsregelungen der DS-GVO und des Digitale-Dienste-Gesetzes (DGG) ergänzt. Betroffenen steht damit neben dem Auskunfts- und Widerspruchsrecht zudem der Beschwerdeweg über die Datenschutzbehörden offen. Einzelheiten der deutschen Umsetzung werden durch das Politische-Werbung-Transparenz-Gesetz (PWTG) geregelt, das sich gegenwärtig noch im Gesetzgebungsverfahren befindet.
Dazu informiert der LfD Niedersachsen auf seiner Webseite noch ausführlich und die Berliner BfDI hat eine FAQ-Liste veröffentlicht.
Bei der Berliner BfDI findet sich auch ein Ratgeber zu Datenschutz und Wahlwerbung.

1.22 LfD Niedersachsen: Symposium zu Künstlicher Intelligenz

Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) lädt* am 13. November 2025 zu einem Forum zur Künstlichen Intelligenz ein. Die Veranstaltungrichtet sich an am Thema Künstliche Intelligenz Interessierte aus Wirtschaft, Wissenschaft, Verwaltung, der Landespolitik sowie thematisch befasste NGOs und weitere Organisationen und Verbände der Zivilgesellschaft. Im Rahmen des Symposiums stellt der LfD Niedersachsen die Ergebnisse der von ihm durchgeführten KI-Expertengespräche vor. Auf der Veranstaltung sollen diese Ergebnisse diskutiert und vertieft werden, zudem sind mehrere Vorträge zum Einsatz Künstlicher Intelligenz in Verwaltung und Wirtschaft geplant. Anmeldung ist bis 31. Oktober 2025 möglich.

* Franks Anmerkung: Mittlerweile gibt es nur noch Plätze auf der Warteliste.

1.23 Sachsen: Newsletter-Angebot

Auch die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) bringt nun einen Newsletter heraus. In der ersten Ausgabe geht es u.a. um einen Entwurf zur Änderung des Sächsischen Polizeivollzugsdienstgesetzes (SächsPVDG) und um Hinweise auf Online-Angebote.

1.24 LfDI Baden-Württemberg: Keber quarterly

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg führt ein neues Format ein: „Keber Quarterly“ befasst sich mit jeweils aktuellen Themen, es beginnt mit Videoüberwachung. Von der Veranstaltung gibt es eine Aufzeichnung und es wird auch auf ein Hinweisblatt aus dem Januar 2025 verwiesen, die sich mit Videoüberwachung in der Nachbarschaft befasst, und auf weitere Veröffentlichungen zu diesem Thema.

1.25 Liechtenstein: Hinweise zur Auskunft an ehemalig Beschäftigte

Die Datenschutzstelle Liechtenstein veröffentlicht im Kontext aktueller Fragestellungen Hinweise im Zusammenhang mit Auskunftsbegehren durch ehemalige Beschäftigte. Dabei gibt sie z. B. Hinweise zur Beauskunftung von E-Mails, an denen die betroffene Person beteiligt war, oder in denen sie genannt wurde.

1.26 Liechtenstein: Hinweise zur Nutzung Cloud-basierter KI-Systeme

Die Datenschutzstelle Liechtenstein veröffentlicht im Kontext aktueller Fragestellungen Hinweise zur Nutzung öffentlich zugänglicher, Cloud-basierter, generativer KI-Systeme mit personenbezogenen Daten.

1.27 Österreich: Einsatz von Microsoft Education 365 an Schulen (Verantwortlichkeit)

Die österreichische Datenschutzbehörde (DSB) befasste sich im Rahmen einer Beschwerde mit dem Einsatz von Microsoft Education 365 an Schulen. Dabei ging es um Auskunftsbegehren einer Schülerin, vertreten durch ihren Vater. Einige Verarbeitungen wurden den betroffenen Personen auch nicht über die Datenschutzinformationen mitgeteilt, zudem war unklar, wer in der Konstellation Bildungsministerium (Rahmenvertrag mit Microsoft zum Einsatz an Schulen), der jeweiligen Schule und Microsoft nun tatsächlich Kenntnis von den konkreten Verarbeitungen hatte und dies hätte mitteilen müssen.
Die DSB stellte fest, dass die Schule und das Bildungsministerium hinsichtlich des Einsatzes von Microsoft Education 365 als gemeinsame Verantwortliche anzusehen seien und Microsoft eine eigene Verantwortlichkeit hinsichtlich einiger Cookies habe, da durch diese Daten der Schülerin zu „eigenen Geschäftstätigkeiten“ verarbeitet würden. Auch stellte die DSB fest, dass der Beschwerdeführerin bis zum Abschluss des Verfahrens keine Auskunft über die konkret verarbeiteten Daten im Zusammenhang mit den (Tracking-)Cookies erteilt wurde. Insbesondere blieb unklar, welche konkreten Daten auf welcher Rechtsgrundlage im Rahmen des Einsatzes von Microsoft Education 365 an Microsoft übermittelt wurden.
Unbeauskunftet blieb auch, weshalb in den von der Beschwerdeführerin vorgelegten Protokolldaten, die im Zuge der Nutzung von Microsoft Education 365 durch die Beschwerdeführerin (bzw. deren Parteienvertretung) gesichert wurden, Drittanbieter wie LinkedIn, ChatGPT (bzw. OpenAI) oder Xandr erscheinen. Vor dem Hintergrund dieser Überlegungen könne von keiner vollständigen Auskunft ausgegangen werden. Die Unvollständigkeit der Auskunft betrifft aber nur den Umstand, dass nicht dargelegt wurde, in welchem Umfang personenbezogene Daten im Rahmen des Einsatzes von Microsoft Education 365 an Microsoft übermittelt wurden. Die Verantwortlichkeit der Schule und des Bildungsministeriums erstreckt sich hingegen nicht auf die Datenverarbeitung durch Microsoft, die nach Erhalt der Daten in deren eigenem Interesse erfolgt.
Die DSB forderte nun u.a. Microsoft auf, die entsprechenden Informationen zu beauskunften. Der Vater ließ sich von noyb vertreten, so dass auch hier entsprechend berichtet wurde.

1.28 AEPD: Tracking durch Wi-Fi-Technologie

Der Einsatz von Wi-Fi-Tracking-Technologie kann dazu führen, dass es unter bestimmten Umständen möglich ist Personen herauszupicken oder an einem bestimmten Ort zu lokalisieren. Die spanische Aufsicht AEPD befasste sich damit und stellt fest, dass die Implementierung dieser Technik am Arbeitsplatz, z. B. in einem Gebäude, Informationen über einen Teil der Tätigkeit liefern kann, der durch arbeitsrechtliche Vorschriften geschützt ist, wie z. B. die Kontrolle, wie viel Zeit in öffentlichen Bereichen verbracht wird, welche Funktionseinheiten aufgesucht werden, mit wem man spricht und wie lange, der Besuch von Toiletten oder der Aufenthalt außerhalb des Firmengeländes gestaltet wird. Welche Risiken Wi-Fi-Tracking-Technologien für die Rechte und Freiheiten der Menschen beinhalten hat die AEPD mit den weiteren spanischen Datenschutzaufsichten in diesem Papier erörtert.

1.29 AEPD: Löschverpflichtung nach rechtswidriger Verarbeitung

Die spanische Aufsicht AEPD hat eine Entscheidung veröffentlicht, in der sie eine Organisation angewiesen hat, die Verarbeitung personenbezogener Daten im B2B-Umfeld, die sie von Dritten erhalten hat, einzustellen, bis eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DS-GVO vorliegt. Alle Daten, die ohne eine solche Rechtsgrundlage verarbeitet werden, seien innerhalb von drei Monaten nach dem Datum der Bekanntgabe der Entscheidung an die Organisation zu löschen. Parallel gab es ein Bußgeld in Höhe von 900.000 Euro für die Verarbeitung personenbezogener Daten ohne Grundlage nach Art. 6 Abs. 1 DS-GVO und ebenfalls 900.000 Euro für die nicht erfolgte Information nach Art. 14 Abs. 5 lit. b DS-GVO. Die Argumentation des Unternehmens, bei über 1,6 Mio. betroffener Personen sei eine Information nach Art. 14 Abs. 5 lit. b DS-GVO zu aufwändig, überzeugte die Aufsicht nicht.
Diesbezüglich weist die AEPD darauf hin, dass die Ausnahme wegen einer unverhältnismäßigen Belastung weder weit ausgelegt noch automatisch angewendet werden könne. Gemäß den Leitlinien der Artikel-29-Datenschutzgruppe zur Transparenz erfordere die Anwendung dieser Ausnahme eine Einzelfallprüfung, bei der die Anzahl der betroffenen Personen, das Alter der Daten und die implementierten Garantien abgewogen werden müssen. Das Unternehmen habe nicht nachgewiesen, dass es diese Bewertung tatsächlich durchgeführt hat, sondern sich darauf beschränkt, die hohe Anzahl der verarbeiteten Datensätze als einziges Kriterium für die Anwendung der Ausnahme anzuführen. Die Veröffentlichung auf der Website sei kein ausreichender Mechanismus, um die Information der betroffenen Personen zu gewährleisten. Die bloße Veröffentlichung der Informationen sei keine angemessene Maßnahme zur Einhaltung des Grundsatzes der Transparenz, es sei denn, sie wird mit anderen aktiven Maßnahmen kombiniert, die sich an die betroffenen Personen richten. Die Tatsache, dass die Informationen auf der Website verfügbar sind, bedeute nicht, dass die betroffenen Personen tatsächlich informiert wurden oder Kenntnis von ihrer Verarbeitung haben.

1.30 AEPD: Keine Exkulpation trotz Ransomwareangriff auf Sub-Unternehmer

Kann sich ein Verantwortlicher exkulpieren, wenn der Datenschutzverstoß seine Ursache in einem Ransomwareangriff bei einen Sub-Unternehmer (Dienstleister des Auftragsverarbeiters) hatte? Die Antwort lautet- wie so oft: „es kommt darauf an“. Im konkreten Fall ließ die spanische AEPD eine Exkulpation nicht gelten, das verantwortliche Unternehmen musste sich die unzureichenden Schutzmaßnahmen in der Sphäre des Sub-Auftragsverarbeiters zurechnen lassen. Im konkreten Fall vergab das verantwortliche Unternehmen Verbraucherkredite und bediente sich zur Rechnungsstellung, Inkasso, Einzug und Kundendienst für seine Kunden eines Dienstleisters, der wiederum für die Eintreibung der Forderungen einen weiteren Dienstleister einsetzte. Bei dem schlug letztendlich ein krimineller Ransomwareangriff erfolgreich zu und Daten des Verantwortlichen landeten im DarkNet. Bei den Daten waren z.B. auch vollständige IBAN von Personen neben deren weiteren Daten wie Namen und Anschrift. Die Aufsicht stellte bei ihren Ermittlungen fest, dass die vertragliche Gestaltung hinsichtlich der technischen und organisatorischen Maßnahmen nicht dem Stand der Technik entsprach und dass die Kontrollen des Verantwortlichen unzureichend waren (z.B. keine Verschlüsselung oder Pseudonymisierung der IBAN). Dass Letztendendes eine kriminelle Handlung eines Dritten Einfluss hatte, schließt oder mindert Vorwerfbarkeit zu den unzureichenden Maßnahmen nicht aus, da die Verantwortung der klagenden Partei nicht aus der Handlung des Dritten, sondern aus ihrer eigenen Handlung resultiert.
Der Bescheid behandelt i.ü. verwaltungsrechtliche Fragen, zitiert bei der materiellrechtlichen Entscheidung zur Verantwortlichkeit aber auch die EuGH-Entscheidungen C-807/21 (ab Seite 41) (wir berichteten), C-683/21 (ab Seite 42) (wir berichteten) sowie C-340/21 (Seite 44) (wir berichteten) und macht auch klare Aussagen zur Rechenschaftspflicht zur Einhaltung der datenschutzrechtlichen Anforderungen durch den Verantwortlichen (Seite 45 der Entscheidung). Das Bußgeld wurde auch 500.000 € festgelegt.

1.31 Belgien: Meldepflicht nach Art. 33 DS-GVO bei Mitarbeiterexzess im Krankenhaus?

Wenn Beschäftigte den Zugang zu personenbezogen Daten für private Zwecke nutzen, wird dies oft als „Mitarbeiterexzess“ bezeichnet. Aber löst dies eine Meldepflicht des Arbeitgebers nach Art. 33 DS-GVO aus? Im Fall aus Belgien ging es darum, dass in einem Krankenhaus eine Vorgesetzte in die Krankenakte eines Mitarbeiters Einsicht nahm, um nach ihrer Darstellung zu überprüfen, ob der Beschäftigte in einem Zustand sei, um von seiner Entlassung zu erfahren. Der Arbeitgeber leitete ein Disziplinarverfahren gegen die Vorgesetzte ein.
Das Krankenhaus begründet die Nichtmeldung der Verletzung der personenbezogenen Daten des Beschäftigten an die Datenschutzbehörde damit, dass nach einer gemeinsamen Analyse durch ihren Datenschutzbeauftragten und ihre Rechtsabteilung festgestellt wurde, dass diese Verletzung kein erhebliches Risiko für die Rechte und Freiheiten des Beschwerdeführers darstelle. Darüber hinaus weist das Krankenhaus darauf hin, dass es den Beschäftigten über diese Verletzung informiert habe. Es führt weiter aus, dass zwar sensible Daten unbefugt eingesehen worden seien, die Verletzung jedoch ausschließlich die Person des Beschäftigten betreffe, dass die Vorgesetzte keine böswilligen Absichten gehabt habe und dass gegen sie ohnehin ein Disziplinarverfahren eingeleitet worden sei.
Die Aufsicht stellte fest, dass des sich dabei um Art. 9-Daten handelte, die zudem durch ein Berufsgeheimnis geschützt seien und besondere Wachsamkeit erforderten. Zudem macht die Behörde Ausführungen, dass die Anzahl der unberechtigten Kenntnis genommenen Personen kein alleiniges Indiz für das Risiko für die betroffenen Person sei, denn auch eine auf eine einzige betroffene Person beschränkte Datenverletzung könnte eine Gefahr für die Rechte und Freiheiten der betroffenen Person darstellen. Dies sei offensichtlich der Fall, wenn die Datenverletzung Daten über die Gesundheit der betroffenen Person betrifft und der Verantwortliche keine Gewissheit über die Motive der Person haben kann, die den unberechtigten Zugriff auf die betreffenden Daten vorgenommen hat (Rn. 46 der Entscheidung).
Die Aufsicht prüfte im weiteren Verfahren die jeweiligen technischen und organisatorischen Maßnahmen in dem Krankenhaus, die ihnen unberecht8igten Zugriff verhindern sollten. Da der Vorfall bereits im Jahr 2020 erfolgte und damals viele Details der Meldepflicht noch unklar gewesen seien, stellt sie das Verfahren ein, äußert sich aber dahingehend, dass sie bei einer Wiederholung eine Meldung nach Art. 33 DS-GVO durch das Krankenhaus erwarte.

1.32 Belgien: Bildungspaket Datenschutz für Kinder „Pixel Mag“

Die belgische Aufsicht informiert, dass der Oberste Rat für Medienerziehung (CSEM) eine neue Reihe von pädagogischen Hilfsmitteln zur Medienerziehung mit dem Titel „Actimédia” herausbringt. Die erste Ausgabe, die in Zusammenarbeit mit der Datenschutzbehörde im Rahmen ihres Projekts „Je Décide” und dem Radio Télévision Belge Francophone (RTBF) entstanden ist, widmet sich dem Thema Datenschutz.
Ausgehend von den Nutzungsgewohnheiten junger Menschen soll diese Ausgabe von Actimédia mit dem Titel „Pixel Mag” den Schülern helfen, sich der Folgen und Risiken der Weitergabe ihrer personenbezogenen Daten bewusst zu werden, und sie dabei unterstützen die richtigen Reflexe zu entwickeln. Das pädagogische Dossier richtet sich an Schüler der 6. Klasse der Grundschule und der 1. Klasse der Sekundarstufe und bietet ihnen die Möglichkeit in die Rolle von Journalisten des Pixel Mag zu schlüpfen und Rubriken für diese Zeitung zum Thema Datenschutz zu erstellen. In fünf interaktiven Aufgaben erkunden sie die verschiedenen Facetten der Erhebung und Verwendung personenbezogener Daten, um ihre Rechte besser zu verstehen und die Mechanismen zu analysieren, die hinter der Profilerstellung stehen.
Schließlich ergänzen audiovisuelle Inhalte die Behandlung des Themas. Sie ermöglichen es die wichtigsten Elemente im Zusammenhang mit dem behandelten Thema in Erinnerung zu rufen. Alle Materialien von Actimédia finden sich unter diesem Link. Die belgische Aufsicht hat im vergangenen Jahr auch an der Erstellung eines Lehrmaterials in niederländischer Sprache mitgewirkt: der Edubox.

1.33 CNIL: Erforschung der Herausforderungen des digitalen Todes

In ihrem Zukunftspapier Nr. 10 befasst sich die französische Datenschutzaufsicht CNIL mit der Frage: „Unsere Daten nach uns – Erforschung der Herausforderungen des digitalen Todes“.
Die CNIL veröffentlicht ihre 10. Innovation and Foresight Notebook, "Nos données aprés nous“, eine beispiellose Erkundung der Nutzung und Herausforderungen von Post-Mortem-Daten. In einer Welt, in der unsere digitalen Spuren fortbestehen, hinterfragt dieses neue Thema die Kontoführung, die Datenübertragung und das Aufkommen von Conversational Agents, die auf den Daten der Verstorbenen basieren.
Basierend auf einer Umfrage von Harris Interactive und CNIL, einer Designanalyse, die vom Digital Innovation Laboratory (LINC) der CNIL durchgeführt wurde, und vier fiktiven Geschichten, die mit der Agentur Mon Oncle produziert wurden, bietet diese Broschüre einen Einblick in die vielfältigen Dimensionen des digitalen Todes: Erinnerung, Erbe, Transzendenz und Materialität.
Das IP-Notizbuch Nr. 10 beleuchtet auch die rechtlichen und ethischen Fragen im Zusammenhang mit der Verwaltung von Daten nach dem Tod und gibt Empfehlungen zur Sensibilisierung der Öffentlichkeit, zur Klärung der Rechte und zur Regelung der Nutzung von Datenkünstlicher Intelligenz auf der Grundlage von Post-Mortem-Daten. Weitere Informationen dazu auch hier.

1.34 Niederlande: Unzulässigkeiten bei Auskunftei führten zu Geschäftseinstellung

Die niederländische Datenschutzbehörde (AP) hat eine Geldstrafe in Höhe von 2,7 Mio. Euro gegen Auskunftei verhängt. Diese stellte ihren Kunden bis zum 1. Januar 2025 Kreditratings von Personen zur Verfügung. Dazu sammelte das Unternehmen Daten zum Beispiel zu negativem Zahlungsverhalten, ausstehenden Schulden oder Insolvenzen. Die niederländische Datenschutzbehörde stellte fest, dass die Auskunftei gegen gesetzliche Vorgaben verstoßen hat, indem es personenbezogene Daten missbräuchlich verwendet hat. Das Unternehmen informierte die betroffenen Menschen auch nicht ausreichend darüber.
Die Bonitätsauskünfte über Personen wurden auf Wunsch der Kunden wie Telekommunikationsunternehmen, Online-Shops oder Vermietern erstellt. Dabei handelte es sich um Personen, die im Nachhinein einen Einkauf bei diesen Organisationen bezahlen wollten oder die einen Vertrag über z.B. ein Telefonabonnement abschließen wollten und zu denen ein Kredit-Score erstellt wurde. Ein solcher Score gibt an, in welchem Umfang jemand die Rechnungen bezahlen kann und ob ein Ausfallrisiko besteht. Die Kunden von der Auskunftei verwenden die Kreditwürdigkeit, um zu entscheiden, ob und wie Menschen ein Produkt kaufen können.
Das Unternehmen konnte bei vielen Daten weder die Erforderlichkeit noch, dass die Personen informiert wurden, nachweisen. Nach Angabe der Aufsicht wird das Unternehmen seine Datenbank bis Ende 2025 löschen und hat seine Aktivität in den Niederlanden eingestellt. Der Bescheid ist hier veröffentlicht.

1.35 Italien: Sanktion gegen Kindergarten

10.000 Euro Bußgeld gegen einen Kindergarten sind bisher die Ausnahme, auch wenn hin- und wieder festgestellt werden kann, dass auch im frühkindlichen Bildungsbereich der Datenschutz in den Kinderschuhen steckt. Im kinderlieben Italien verhängte die dortige Aufsicht Garante nun diese Summe gegen eine Kita. Bei der dort durchgeführten Videoüberwachung war selbst für eine wohlwollende Aufsicht ein Wegsehen nicht mehr möglich. Eine Nutzung des Kindergartens war nur unter Einwilligung der Eltern zu einer umfangreichen Videoüberwachung möglich. Die Garante stellte dann bei der Untersuchung fest, dass der Kindergarten sowohl auf der Website als auch auf seinem "Google Maps"-Profil zahlreiche Bilder von Minderjährigen zu verschiedenen Tageszeiten veröffentlicht hatte, auch in besonders heiklen Kontexten (Schlaf, Kantine, Toilettenbenutzung, Windelwechsel, Säuglingsmassagen). In Situationen und Aktivitäten, die sich durch eine besondere Feinfühligkeit auszeichnen oder dazu bestimmt sind vertraulich zu bleiben. Dies geschah ohne Berücksichtigung der Risiken, die mit der zunehmenden Exposition von Bildern im Internet und ihrer möglichen Wiederverwendbarkeit durch böswillige Personen für illegale Zwecke oder Straftaten gegen Minderjährige verbunden sind.
Die Garante führte dazu aus, dass die vom Kindergarten durchgeführte Verarbeitung rechtlich nicht auf der Einwilligung der Eltern beruhen konnte, wobei jedoch das übergeordnete Interesse der Minderjährigen überwiegt die Fotografien, die sie in besonders intimen Momenten ihrer schulischen Bildungserfahrung zeigen, nicht online veröffentlicht zu sehen, um die Tätigkeit des Kindergartens zu fördern. Im Übrigen wäre eine solche Einwilligung nicht als bewusst und freiwillig angesehen worden, da im Fall der Verweigerung die Möglichkeit, die Kinder in den Kindergarten anzumelden, ausgeschlossen gewesen wäre. Sogar das Videoüberwachungssystem, das Bilder von Minderjährigen, pädagogischem Personal sowie Eltern, Lieferanten und Besuchern sammelte, wurde unter Missachtung des Arbeitnehmerstatuts und der Datenschutzgesetze eingesetzt.
Der Fall wird auch in diesem Podcast (Dauer, 39 Min., ab 10:15 Min.) angesprochen.

1.36 Estland: Nach Verstoß gegen Schutzmaßnahmen Bußgeld i.H.v. 3 Mio. Euro

Die estnische Datenschutzbehörde hat laut dieser Pressemeldung ein Bußgeld in Höhe von 3 Millionen Euro verhängt aufgrund unzureichender Maßnahmen zur Datensicherheit entsprechend den Vorgaben des Art. 32 DS-GVO. Ein Dienstleister der Apothekenkette „Apotheka“ (Allium UPI) betreut unter anderem deren Kundenbindungsprogramm. Im Jahr 2024 kam es bei Allium UPI zu einer Datenpanne. Unbefugte Dritte verschafften sich Zugriff auf Backups und erhielten dadurch Einsicht in eine große Zahl sensibler Daten. Betroffen waren nicht nur Kontaktdaten wie Name, E-Mail, Adresse und Telefonnummer, sondern auch Kaufhistorien derjenigen Kunden, die sich zwischen 2014 und 2020 für das Treueprogramm registriert hatten. Aus diesen Historien ging hervor, welche Medikamente, medizinischen Geräte und apothekenüblichen Artikel (z. B. Schwangerschaftstests) erworben worden waren – betroffen waren also vor allem auch Daten nach Art. 9 DS-GVO.
Im Rahmen ihrer Untersuchung stellte die Aufsichtsbehörde fest, dass Allium UPI eine Reihe von grundlegenden Sicherheitsmaßnahmen nicht umgesetzt hatte. So wurde beispielsweise keine Multi-Faktor-Authentifizierung (MFA) eingesetzt. Zudem nutzten mehrere Personen ein einziges Administratorkonto mit identischen Zugangsdaten. Log-Dateien wurden unzureichend überwacht und Backups der Datenbank wurden unsicher gespeichert. Auch die Rollen und Verantwortlichkeiten im Unternehmen waren nicht klar definiert.

1.37 CNIL: Gemeinsame Erklärung zu vertrauenswürdiger Daten-Governance für KI

Die CNIL informiert, dass sich zwanzig Datenschutzbehörden zu innovativer und die Privatsphäre schützender KI verpflichten. In einer gemeinsamen Erklärung forderten sie den Aufbau eines verlässlichen Governance-Rahmens für vertrauenswürdige KI.
In der Erklärung wird auf die vielfältigen Möglichkeiten hingewiesen, die KI in verschiedenen Bereichen bietet. Gleichzeitig werden mehrere Risiken hervorgehoben, darunter Bedenken hinsichtlich des Datenschutzes und der Privatsphäre, Diskriminierung und Voreingenommenheit, Fehlinformationen und KI-bezogene Halluzinationen.
Um sicherzustellen, dass KI-Systeme den geltenden rechtlichen Rahmenbedingungen entsprechen, plädieren die Datenschutzbehörden für die Integration von Datenschutzgrundsätzen by Design, die Etablierung einer robusten Data Governance und die Antizipation eines Risikomanagements.
Die Erklärung unterstreicht auch die zunehmende Komplexität der Datenverarbeitung im Zusammenhang mit der Entwicklung und Nutzung von KI und die Vielfalt der beteiligten Akteure sowie die Notwendigkeit eines an den technologischen Fortschritt angepassten Rechtsrahmens.

1.38 CNIL: Sanktion bei verdeckter Videoüberwachung

Dass es eine Sanktion geben kann, wenn in einem Kaufhaus über Rauchmelder eine verdeckte Videoüberwachung erfolgt, ist eigentlich nicht erwähnenswert. Auch nicht, dass dies nur zu Testzwecken erfolge (die Überwachung, nicht die Sanktion!). Hervorzuheben ist aber, dass die CNIL hier auch negativ bewertet, dass eine frühzeitige Einbindung der Datenschutzbeauftragten unterblieb und damit gegen Art. 38 Abs. 1 DS-GVO verstoßen wurde (im Bescheid unter lit. E). Insgesamt wurde ein Bußgeld in Höhe von 100.000 Euro verhängt.

1.39 Kanada: Richtlinie zur De-Identifikation von strukturierten Daten

Der Information and Privacy Commissioner (IPC) of Ontario veröffentlichte seine Richtlinien zur De-Identifizierung von strukturierten Daten. Die aktualisierten Leitlinien zur Anonymisierung berücksichtigen aufkommende Datenschutzrisiken, die sich entwickelnde regulatorische Landschaft und Entwicklungen bei Technologien zur Verbesserung des Datenschutzes seit der ursprünglichen Version im Jahr 2016. Die IPC-Richtlinien wurden aktualisiert und erweitert, um dem Bedarf an mehr operativen Leitlinien gerecht zu werden, wobei der Schwerpunkt stärker auf der Interoperabilität liegt. Sie sollen aufkommende internationale Standards und regulatorische Entwicklungen ergänzen und Ontario helfen mit den globalen Best Practices in Bezug auf Datenschutz und Governance Schritt zu halten.

1.40 Erweiterte Leitung bei der irischen DPC

Das Leistungsteam wird um eine weitere Persönlichkeit erweitert, der Erfahrungen im Kontext Datenverarbeitung, Sanktionen und im Umgang mit europäischen Aufsichtsbehörden nachgesagt werden. Nicht jeden freut das, wie hier zu lesen ist. Und auch da.

1.41 BSI: Konfigurationsempfehlungen für Microsoft Office

Das BSI stellt Empfehlungen zur sicheren Konfiguration von Microsoft Office-Produkten für das Betriebssystem Microsoft Windows bereit. Damit ergänzt die aktuelle Veröffentlichung Empfehlungen zur Version 2024. Die BSI-Empfehlungen beinhalten konkrete Hinweise und Einstellungen, die in den Office-Anwendungen angepasst werden sollten, um das IT-Sicherheitsniveau schnell und effizient zu erhöhen. Diese Empfehlungen sind für die Office-Anwendungen Microsoft Access, Microsoft Excel, Microsoft Outlook, Microsoft PowerPoint, Microsoft Visio sowie Microsoft Word verfügbar. Die Konfigurationshinweise wurden insbesondere für mittelgroße bis große Organisationen, die ihre Endgeräte über Gruppenrichtlinien in einer Active Directory Umgebung verwalten, entwickelt. Jedoch können auch andere versierte IT-Nutzende die Gruppenrichtlinien lokal anwenden. Eine Umsetzung dieser bietet im Vergleich zur Konfiguration in der Benutzeroberfläche (GUI) den Vorteil, dass eine höhere Anzahl von Konfigurationsmöglichkeiten vorhanden ist. Die Vorgaben umfassen u.a. Computer- und Benutzerrichtlinien wie Sicherheitseinstellungen, das Berechtigungsmanagement, Servereinstellungen und Datenschutz.

1.42 BSI: Hinweise anlässlich des Weltkindertags

Das BSI verweist auf seine Broschüre zu einem digitalen Familienalltag, über die die Sicherheit der Kinder und ihrer Geräte erhöht werden und wie Jugendschutzeinstellungen auf den Geräten vorgenommen werden können.

1.43 BSI: Medienpaket zur Cybersicherheit

Wir können nicht früh genug anfangen: Daher stellt das BSI auch zahlreiche Materialen für die Vermittlung von Grundwissen zur Cybersicherheit in einem Medienpaket zur Cybersicherheit bereit. Die Lern- und Unterrichtseinheiten umfassen Themen wie Smartphone- und App-Sicherheit, Methoden der Cyberkriminalität und Schadprogramme und Account-Schutz.

1.44 BSI: Aufsicht über den Cyber Resilience Act

Das BSI informiert, dass es die Aufsicht über den Cyber Resilience Act (CRA) zugewiesen bekommen hat. Der Cyber Resilience Act wird den europäischen Markt für IT-Produkte und Geräte mit digitalen Elementen grundlegend verändern. Denn: IT-Sicherheitseigenschaften der Produkte werden künftig ein entscheidendes Kriterium für den Marktzugang in der EU. Das BSI wurde nun offiziell als notifizierende und marktüberwachende Behörde gegenüber der Europäischen Kommission benannt. Damit übernimmt das BSI u.a. folgende Aufgaben:

• Als notifizierende Behörde bewertet und notifiziert es Drittstellen, damit diese IT-Produkte unabhängig auf die Anforderungen des CRA prüfen können.
• Als marktüberwachende Behörde prüft es stichprobenartig oder gezielt IT-Produkte auf deren Cybersicherheit. Bei Verstößen können Sanktionen und Bußgelder in Höhe von bis zu 15 Mio. Euro bzw. bis zu 2,5 % des weltweiten Vorjahresumsatzes verhängt werden. Zudem erhält das BSI die Möglichkeit Produkte mit digitalen Elementen vom Markt zu nehmen, wenn sie den Anforderungen des CRA nicht gerecht werden.

Ab dem 11. Dezember 2027 wird der CRA die Cybersicherheit innerhalb der EU stärken, indem er erstmals einheitliche und verbindliche, grundlegende Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Dadurch müssen Hersteller über den gesamten Supportzeitraum dieser Produkte die Verantwortung für deren Cybersicherheit übernehmen. Das BSI hat dazu Informationen auf seiner Webseite bereitgestellt.

1.45 BSI: Grundschutz++ auf Github

Das BSI veröffentlichte seine „Stand der Technik-Bibliothek“ auf GitHub: Damit stellte es die Cybersecurity-Anforderungen in der Stand-der-Technik-Bibliothek auch im maschinenlesbaren Format bereit. Damit können künftig IT-Sicherheitskonzepte toolgestützt erstellt werden. Initial befüllt ist die Bibliothek mit den neuen abstrakten Anforderungen des Grundschutz++. Konkrete Maßnahmen sollen sukzessiv erweitert werden.
Als Grundlage für die Maschinenlesbarkeit wurde auf den internationalen Standard für Sicherheitsanforderungen OSCAL zurückgegriffen. Das OSCAL-Framework dient als einheitliches Format für maschinenlesbare Dokumente im Compliance-Prozess und ermöglicht einen datenzentrierten Ansatz für die Sicherheitsdokumentation. Das BSI legt damit den Grundstein für die Weiterentwicklung des Grundschutz++ hin zu mehr Digitalisierung in Prozessen zum Management von Informationssicherheit. Ziel ist es Anwenderinnen und Anwendern künftig ein noch effizienteres Arbeiten mit IT-Sicherheitskonzepten zu ermöglichen. Das Repository ist seit Ende September 2025 über die Github-Seite des BSI erreichbar.

1.46 BNetzA: Kein Fernmeldegeheimnis bei erlaubter Nutzung durch Beschäftigte?

Unterliegen Arbeitgeber, die ihren Beschäftigten die Nutzung dienstlicher Kommunikationsmittel wie Telefon oder E-Mail erlauben, den Vorgaben des Fernmeldegeheimnisses? Mit dieser Frage beschäftigten sich in Deutschland schon lange zahlreiche Veröffentlichungen vor dem Hintergrund der Regelungen in § 3 Abs. 2 Nr. 1 und 2 TDDDG. Nun hat die BNetzA dazu ihre Ansicht kundgetan. In ihrem Hinweispapier zur Einstufung von nummernunabhängigen interpersonellen Telekommunikationsdiensten (NI-ICS) mit Stand Juli 2025 befasst sie sich ab Seite 11 mit dem erforderlichen Tatbestandsmerkmal „in der Regel gegen Entgelt erbracht wird“. Unter Berücksichtigung der Rechtsprechung des EuGH, der von einem weiten Entgeltbegriff ausgeht, könne von einer Entgeltlichkeit der Dienstleistung bereits dann ausgegangen werden, wenn es sich um wirtschaftliche Tätigkeiten handelt, die einen Teil des Wirtschaftslebens ausmache. Das Tatbestandsmerkmal „gewöhnlich bzw. in der Regel gegen Entgelt“ diene nach der Rechtsprechung des EuGH einer Abgrenzung von wirtschaftlichen zu rein privaten Sachverhalten. Und die BNetzA kommt dann zu dem Ergebnis, dass in der Regel Angebote zwischen Arbeitgeber und Arbeitnehmer nicht erfasst seien (Seite 12 unten). Besprechung dazu auch hier.

1.47 BSI: NIS2-Geschäftsleitungsschulung

Sollte auf Basis der Haftungsregelungen für unzureichende IT-Sicherheitsmaßnahmen sich das Interesse bei Geschäftsleitungsmitgliedern an Vorsorge, Awareness und haftungsreduzierende Maßnahmen sprunghaft steigern, hat das BSI eine vorläufige Handreichung zur NIS2-Geschäftsleitungsschulung veröffentlicht, die auf Basis der aktuellen Umsetzungsgesetzgebung beruht.

2.1 EuG: Keine Nichtigkeit des TADPF (T-553/23)

In der Entscheidung des EuG im Verfahren T-553/23 zur Klage des EU-Abgeordneten Latombe gegen die EU-Kommission hinsichtlich des Angemessenheitsbeschlusses zum Trans Atlantik Data Privacy Framework (TADPF) sieht dieser keinen Anlass die Nichtigkeit des Angemessenheitsbeschlusses festzustellen. Wir berichteten bereits zu den bisherigen Verfahren dazu. Das EuG betrachtete für seine Bewertung die Rechtslage zum Zeitpunkt des Erlasses des Angemessenheitsbeschlusses (Juli 2023). Die Entscheidung kann noch durch den EuGH überprüft werden.

2.2 EuGH: Nachweispflichten und Anonymität (C-413/23)

Wir berichteten bereits dazu. Im Verfahren C-413/23 entschied der EuGH am 4. September 2025 in der 2. Instanz die noch offenen Fragen aus dem Verfahren SRB vs. EDPS. Rechtliche Basis ist zwar die VO 2018/1725, die Thematik ist aber auch unmittelbar aussagekräftig für die DS-GVO: Wann kann für ein Datum Anonymität angenommen werden und wer muss was dazu darlegen?
Der EuGH stellte dazu fest, dass pseudonymisierte Daten eines Verantwortlichen bei einem Empfänger keine personenbezogenen Daten sein müssen, wenn dieser nicht in der Lage ist, einen Personenbezug herzustellen (Rn. 77 ff). Dabei referenziert der EuGH zu vielen bisher ergangenen Urteilen zu Fragen des Personenbezugs wie C-479/22 (Rn. 51 – 64) (wir berichteten), C-582/14 (Rn. 44, 47 und 48), C-604/22 (Rn. 43 und 48) (wir berichteten) und C-319/22 (Rn. 46 und 49) (wir berichteten).
Ebenso sei anzunehmen, dass ein Mittel nach allgemeinem Ermessen wahrscheinlich nicht genutzt wird, um die betreffende Person zu identifizieren, wenn das Risiko einer Identifizierung de facto unbedeutend erscheint, weil die Identifizierung dieser Person gesetzlich verboten oder praktisch nicht durchführbar ist, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde. Diese Rechtsprechung bestätige die Auslegung, wonach die Existenz von zusätzlichen, die Identifizierung der betroffenen Person ermöglichenden Informationen für sich genommen nicht bedeutet, dass pseudonymisierte Daten für die Zwecke der Anwendung der Verordnung 2018/1725 in jedem Fall und für jede Person als personenbezogene Daten zu betrachten sind (Rn. 82). Dies wird man m.E.n. auch für die DS-GVO annehmen dürfen.
Aus dem Urteil ergaben sich dazu Fragen, wie z.B., ob dann bei der Weitergabe von pseudonymisierten Daten, die für den Verantwortlichen weiterhin ein personenbezogenes Datum sind, an einen Empfänger, von dem anzunehmen ist, dass er keine Möglichkeit, einen Personenbezug herzustellen, hat, dann datenschutzrechtliche Vorgaben bei der Weitergabe zu beachten sind.
Von Verantwortlichem zu Verantwortlichem mag das noch leicht zu bejahen sein, ist doch bereits die Übermittlung eine Verarbeitung, die einer Rechtmäßigkeitsgrundlage bedarf. Bei einem Dienstleister, der Verarbeitungen im Auftrag ausführt, mag dies diskutiert werden können. Im Podcast des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg vom 1. März (ca. ab Min. 23) wurde diese Thematik bereits nach den Schlussanträgen des Generalanwalts aufgeworfen. Eine ausführlichere Darstellung der verschiedenen Optionen findet sich hier.  Auch in diesem aktuellen Podcast zum Urteil (Dauer ca. 51 Min.) wird dies thematisiert.

2.3 EuGH: Amtliche Entscheidungen und Verjährungsfristen (C-21/24)

Der Fall beim EuGH C-21/24 (Nissan) hat nichts mit Datenschutzrecht zu tun – könnte sich aber auf Fragen der Verjährungsfristen von Ansprüchen aus Art. 82 DS-GVO auswirken. Das Vorabentscheidungsersuchen betraf die Auslegung von Art. 101 AEUV im Licht des Effektivitätsgrundsatzes. Es erging im Rahmen eines Rechtsstreits zwischen einer natürlichen Person und Nissan wegen einer Klage auf Ersatz des Schadens, der der natürlichen Person angeblich durch eine von der Nationalen Kommission für Markt und Wettbewerb u.a. gegen Art. 101 AEUV festgestellte Zuwiderhandlung durch Nissan entstanden ist.
Der Fall knüpft an Rechtssachen des EuGH betreffend die für Schadensersatzklagen wegen Zuwiderhandlungen gegen das Wettbewerbsrecht der Union geltenden Verjährungsfristen und insbesondere die Bestimmung des Beginns solcher Fristen an. Der vorliegende Fall unterscheidet sich jedoch von diesen Rechtssachen insofern, als die Schadensersatzklage im Anschluss an eine auf ihrer Website veröffentlichte Entscheidung einer nationalen Wettbewerbsbehörde und nicht im Anschluss an einen Beschluss der Europäischen Kommission erhoben wurde, von dem eine Zusammenfassung im Amtsblatt der Europäischen Union veröffentlicht wurde.
So sollte der EuGH dazu klären, ob es im Recht der Europäischen Union eine Rechtsgrundlage für die Unterscheidung zwischen der Möglichkeit und der Verpflichtung, eine Schadensersatzklage wegen Zuwiderhandlung gegen das Wettbewerbsrecht zu erheben, gibt oder der Geschädigte vielmehr eine solche Klage erheben muss und somit die Verjährungsfrist zu laufen beginnt, sobald er sowohl davon, dass er durch die Zuwiderhandlung einen Schaden erlitten hat, als auch von der Identität des Urhebers dieser Zuwiderhandlung, Kenntnis erlangt hat, oder sobald diese Kenntnis vernünftigerweise erwartet werden kann?
Davon hängt dann ab, ob mit der Erhebung einer Schadensersatzklage abzuwarten ist, bis die Sanktion bestandskräftig wurde, oder ob vielmehr davon auszugehen ist, dass die Schadensersatzklage erhoben werden kann und die Verjährungsfrist zu laufen beginnt, wenn die vollständig veröffentlichte Entscheidung der Nationale Kommission für Markt und Wettbewerb (CNMC) die Identität der Urheber der in Rede stehenden Zuwiderhandlung, deren genaue Dauer und die von der Zuwiderhandlung betroffenen Waren enthält?
Ist davon auszugehen, dass die Veröffentlichung der vollständigen Sanktion auf der amtlichen, öffentlichen Website der CNMC für den Beginn der Verjährungsfrist der Veröffentlichung der Zusammenfassung der von der Europäischen Kommission getroffenen Entscheidung im Amtsblatt der Europäischen Union gleichsteht, wobei die Veröffentlichung der Entscheidungen der CNMC nur auf der amtlichen Website erfolgt?
Der Generalanwalt ging in seinen Schlussanträgen davon aus, dass über Art. 101 AEUV und dem Effektivitätsgrundsatz die Verjährungsfrist – für Schadensersatzklagen wegen einer Zuwiderhandlung gegen das Wettbewerbsrecht der Union, die in einer Entscheidung der nationalen Wettbewerbsbehörde festgestellt wurde (Folgeklagen auf Schadensersatz) – nicht zu laufen beginnt, bevor diese Entscheidung, gegebenenfalls nach Bestätigung durch die zuständigen nationalen Gerichte, bestandskräftig geworden ist. Der EuGH schloss sich im Ergebnis dieser Interpretation in seiner Entscheidung am 4. September 2025 an.
Etwas deutlicher formuliert: Verjährungsfristen für kartellrechtliche Folgeschadensersatzansprüche aufgrund von Entscheidungen der nationalen Wettbewerbsbehörden beginnen dann zu laufen, wenn die Entscheidung rechtskräftig wird, nicht aber bereits mit ihrer Veröffentlichung.

2.4 EuGH: Gestaltungsoptionen bei Art. 85 DS-GVO (C-199/24)

Im Verfahren Rechtssache C-199/24 (Garrapatica) aus Schweden geht es um die Möglichkeit der Mitgliedsstaaten Art. 85 Abs. 1 DS-GVO auszugestalten (wir berichteten). Die Garrapatica AB betreibt die Datenbank Lexbase und veröffentlicht dort personenbezogene Daten von Menschen, gegen die strafrechtliche Verfahren geführt wurden. Die schwedische Agentur für Presse, Radio und Fernsehen (Myndigheten för press, radio och tv, inzwischen Mediamyndigheten) erteilte für Lexbase ein sog. „utgivningsbevis“ (Veröffentlichungszertifikat). Am 17. Januar 2011 wurde der Betroffene wegen einer Straftat verurteilt und das entsprechende Urteil war bis Februar 2024 auf Lexbase abrufbar. Im staatlichen Strafregister war die strafrechtliche Verurteilung gelöscht worden. Gegenstand des Verfahrens sind Schadenersatzansprüche des Betroffenen gegen die Garrapatica wegen Verletzung der DS-GVO. Diese beruft sich auf „journalistische“ Tätigkeiten (sehr verkürzt wiedergegeben).
In seinen Schlussanträgen empfiehlt der Generalanwalt, dass Art. 85 Abs. 1 DS-GVO dahin auszulegen sei, dass er einer nationalen Regelung entgegenstehe, nach der eine Person, deren personenbezogene Daten durch die gegen Entgelt erfolgte Veröffentlichung von strafrechtlichen Verurteilungen dieser Person im Internet verarbeitet werden, als einzigen Rechtsbehelf die Einleitung eines Strafverfahrens wegen Verleumdung oder die Geltendmachung von Schadensersatz wegen Verleumdung zur Verfügung steht. Art. 85 Abs. 2 DS-GVO sei dahin auszulegen, dass eine Tätigkeit, die darin besteht öffentliche Dokumente in Form von strafrechtlichen Verurteilungen ohne Bearbeitung oder Bearbeitung gegen Entgelt im Internet öffentlich zugänglich zu machen, keine Verarbeitung personenbezogener Daten zu journalistischen Zwecken darstelle.

2.5 EuGH: Fragen zu internen Ermittlungen gegen Polizeibeamten und Speicherdauer (C-312/24)

In dem Verfahren C-312/24 („Darashev“) geht es um datenschutzrechtliche Fragestellungen im Rahmen eines internen Ermittlungsverfahrens. Eine Person hatte den Status eines Verdächtigten gehabt, ohne förmlich beschuldigt worden zu sein, und klagte deswegen auf immateriellen Schadenersatz. Begründet wird dies damit, dass er für einen Zeitraum von 24 Stunden festgenommen wurde, die Festnahme sei vor allen Kollegen und Bediensteten in seiner Dienststelle erfolgt, er habe keine Informationen erhalten, weswegen das Ermittlungsverfahren eingeleitet worden sei, er konnte keinen Anwalt treffen oder Angehörige kontaktieren, sein Telefon sei beschlagnahmt worden. Es seien Ermittlungsmaßnahmen gegen ihn durchgeführt worden und er habe später Nachteile bei der Beförderung gehabt. Dem EuGH sind dazu Fragen grundsätzlicher Art zur Interpretation vorgelegt worden. In seinen Schlussanträgen spricht der Generalanwalts dafür aus, dass eine Anwendung der DS-GVO möglich ist, dass alleine die Natur der Aufgaben eines Polizeibeamten einer Löschung nach Art. 17 DS-GVO nicht widersprechen und dass nicht gegen den Gleichbehandlungsgrundsatz verstoßen werde, wenn einem Bediensteten der berufliche Aufstieg nur deshalb verwehrt wird, weil er im Rahmen eines eingestellten strafrechtlichen Ermittlungsverfahrens verdächtigt wurde.

2.6 EuGH: Zweigleisigkeit des Rechtsschutzes in der DS-GVO (C-414/24)

In dem Verfahren C-414/24 geht es um Fragen der Zweigleisigkeit des Rechtsschutzes nach Art. 77 (Recht auf Beschwerde bei einer Aufsichtsbehörde) und Art. 79 (Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter) DS-GVO. In seinen Schlussanträgen empfiehlt der Generalanwalt, dass die Einlegung eines gerichtlichen Rechtsbehelfes mit demselben Gegenstand nicht ausreiche, um eine Beschwerde zurückzuweisen. Im vorliegenden Fall suchte die betroffene Person parallel über den Zivilrechtsweg eine Löschung personenbezogener Daten auf einer Ärztesuchplattform zu erreichen.

2.7 EuGH: Schadenersatzansprüche bei unzureichender Auskunft (C-526/24)

Im Fall C-526/24 (Brillen-Rottler) hat der Generalanwalt seine Schlussanträge veröffentlicht. Zum Fall und den Fragen selbst hatten wir bereits berichtet (Wann ist ein Auskunftsantrag exzessiv und kann es für die Verletzung des Auskunftsrechts auch ein immaterieller Schaden geltend gemacht werden?).
Demnach sei Art. 12 Abs. 5 Satz 2 DS-GVO dahin eng auszulegen (Rn. 26 – 34), dass ein erster Auskunftsantrag, der gemäß Art. 15 DS-GVO bei einem Verantwortlichen gestellt wird, als „exzessiv“ eingestuft werden kann, wenn Letzterer anhand aller relevanten Umstände des Einzelfalls nachweist, dass die betroffene Person eine Missbrauchsabsicht verfolgt, wobei eine solche Absicht festgestellt werden kann, wenn diese Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, um diesen Auskunftsantrag stellen und anschließend Schadenersatz verlangen zu können. Ein solcher Antrag könne nicht allein deshalb als „exzessiv“ eingestuft werden, weil öffentlich zugängliche Informationen den Schluss zulassen, dass die betroffene Person in zahlreichen Fällen bei Verletzungen des Datenschutzrechts ihr Recht auf Schadenersatz gegenüber einem Verantwortlichen geltend gemacht hat (Rn. 47 – 51).
Art. 82 Abs. 1 DS-GVO sei dahin auszulegen, dass der betroffenen Person aufgrund eines Verstoßes gegen diese Verordnung entstandene Schäden auch dann ersatzfähig sind, wenn sie nicht infolge einer Verarbeitung personenbezogener Daten dieser Person verursacht wurden. Der Generalanwalt legt dazu das Tatbestandsmerkmal der „Verarbeitung“ weit aus (Rn. 78 – 86).
Bericht dazu auch hier.

2.8 EuGH: Anforderungen an Änderungen der Geschlechtsidentität (C-43/24)

In dem Fall (C-43/24) (Shipov) aus Bulgarien geht es um Fragen der Änderung von Dokumenten und Angaben in Registern an eine Anpassung des Geschlechts. Der Generalanwalt empfiehlt dem EuGH zu entscheiden, dass Regelungen in den Mitgliedsstaaten, die eine Änderung der Geschlechtsidentität auch ohne geschlechtsangleichende Operation oder eine Änderung ihres Namens oder ihrer persönlichen Identifikationsnummer rechtlich nicht anerkennen lassen und nicht in ihre Geburtsurkunde eintragen lassen, obwohl eine Änderung der Angaben in ihren Ausweispapieren von einer solchen Eintragung abhängt, nicht mit europäischem Recht vereinbar sind.

2.9 EuGH: Angaben zu Dopingverstößen und DS-GVO (C-474/24)

Welche Anforderungen sind datenschutzrechtlich bei der Bekanntgabe von Dopingverstößen durch die zuständige Rechtskommission (hier Österreich) zu beachten, insbesondere hinsichtlich der Klassifizierung der Informationen als besondere Kategorie? Damit befasst sich der EuGH im Verfahren C-474/24 (NADA) (wir berichteten). Der Generalanwalt hat nun seine Schlussanträge veröffentlicht.
Demnach verstoße die Veröffentlichung des Namens jedes Berufssportlers, der gegen Anti-Doping-Regeln verstoßen hat, im Internet gegen das Unionsrecht. Der Grundsatz der Verhältnismäßigkeit gebiete es nämlich, die besonderen Umstände jedes Einzelfalls zu berücksichtigen. Dem Verfahren liegen die Rügen von vier Berufssportlern zugrunde, die gegen Anti-Doping-Regeln verstoßen haben und deren Namen, die betreffende Sportart, die Dauer ihres Ausschlusses von Sportveranstaltungen sowie die Gründe für diesen Ausschluss auf den Internetseiten der österreichischen unabhängigen Dopingagentur (NADA Austria) veröffentlicht wurden oder werden.
Der Generalanwalt ist der Ansicht, dass eine Verpflichtung zur Veröffentlichung personenbezogener Daten wie die hier in Rede stehende nur zulässig sei, wenn sie in Anbetracht der angestrebten Ziele der Abschreckung und der Verhinderung der Umgehung der Anti-Doping-Regeln sowie unter Berücksichtigung der besonderen Umstände des Einzelfalls, insbesondere hinsichtlich der Reichweite und der Dauer der Veröffentlichung, verhältnismäßig bleibe. Dies zu prüfen sei Aufgabe des österreichischen Gerichts.

2.10 BVerfG: Unzulässige Verfassungsbeschwerde gegen Durchsuchung in Rechtsanwaltskanzlei

Das Bundesverfassungsgericht hat mit Beschluss eine Verfassungsbeschwerde nicht zur Entscheidung angenommen, die sich gegen die Durchsuchung einer Rechtsanwaltskanzlei richtet. Die Verfassungsbeschwerde ist unzulässig. Der Beschwerdeführer, ein Rechtsanwalt, habe nicht substantiiert vorgetragen den Rechtsweg erschöpft zu haben. Die Kammer betont in dem Beschluss aber, dass die Durchsuchungsanordnung und die Entscheidung über die Beschwerde den strengen Anforderungen der Verhältnismäßigkeit bei der Durchsuchung bei Rechtsanwälten nicht gerecht werden dürften. Aufgrund der Unzulässigkeit kam es hierauf jedoch nicht mehr an. Pressemeldung des BVerfG hier, Bericht dazu dort.

2.11 BVerfG: Zulässigkeit der Benennung von Unternehmen durch Aufsichten

Das Bundesverfassungsgericht hat mit Beschluss entschieden, wann eine beabsichtigte Veröffentlichung von Informationen über einen Verstoß gegen lebensmittelrechtliche Vorschriften unzulässig ist. Im konkreten Fall zog sich das Verfahren zu Klärung so lange hin, dass damit auch keine Warnfunktion verbunden sein konnte, eine diesen Anforderungen entsprechende einzelfallbezogene Abwägung ließ laut BVerfG die angegriffene Entscheidung vermissen, so dass das Unternehmen in seinen Rechten aus Art. 12 GG beeinträchtigt wurde.
Bedeutung kann diese Entscheidung für Veröffentlichung von Namen von Unternehmen in Bußgeldverfahren der Datenschutzaufsichten haben.
Bericht dazu hier und außerdem ein Thema in dieser Podcast-Folge (Dauer ca. 39 Min.).

2.12 BAG: Anforderungen zu Geheimnisschutz- und Abgeltungsklauseln

Mit seinem Urteil zu Anforderungen an Geheimnisschutz- und Abgeltungsschutzklauseln hat das BAG bei vielen Formulierungen in Arbeitsverträgen für Anpassungsbedarf gesorgt. Zu prüfen war eine Klausel, die wie folgt lautete:

„Der Mitarbeiter wird über alle Betriebs- und Geschäftsgeheimnisse sowie alle sonstigen ihm im Rahmen der Tätigkeit zur Kenntnis gelangenden Angelegenheiten und Vorgänge der Gesellschaft Stillschweigen bewahren. Er wird dafür Sorge tragen, dass Dritte nicht unbefugt Kenntnis erlangen. Die Verpflichtung zur Geheimhaltung besteht über die Beendigung des Arbeitsverhältnisses hinaus und umfasst auch die Inhalte dieses Vertrages.“

Nach dem BAG fehlte es an den zu ergreifenden angemessenen Geheimhaltungsmaßnahmen. Es beanstandete nicht die Feststellungen des LAG, es fehle an arbeitsvertraglichen Verschwiegenheitsklauseln hinsichtlich konkreter Informationen und der Einrichtung eines Kontrollsystems. Der Vortrag der Klägerin bzgl. technischer Sicherheitsmaßnahmen und einer angemessenen IT- Sicherheit beschränke sich auf pauschale Behauptungen, die einer Beurteilung der Angemessenheit des Geheimnisschutzes nicht zugänglich seien (Rn. 27)
Zwar könnten auch der Geheimnisschutz über das GeschGehG hinaus vertraglich erweitert werden.
Dies betrifft insbesondere den Schutz von Informationen, die keine Geschäftsgeheimnisse i.S.v. § 2 Nr. 1 GeschGehG sind. Die hier vereinbarte Geheimhaltungsverpflichtung sei jedoch unwirksam. Es handele sich um eine sog. Catch-all-Klausel, die uneingeschränkt und unendlich zur Verschwiegenheit verpflichten soll. Damit benachteiligt sie unangemessen i.S.v. § 307 Abs. 1 Satz 1 BGB (ab Rn. 32 mit weiteren Details).

2.13 BVwG Österreich: Anforderungen an menschlichen Eingriff nach Art. 22 DS-GVO

In Österreich entschied das BVwG über den Einsatz eines „Arbeitsmarktchancen-Assistenz-Systems“ (AMAS), dass bei dessen Einsatz die Anforderungen des Art. 22 Abs. 1 DS-GVO gewahrt würden. Das AMAS berechnet – auf Basis u.a. von Alter, Ausbildung, Berufsgruppe, Betreuungspflichten, gesundheitlichen Beeinträchtigungen und regionalen Arbeitsmarktdaten – einen Integrations-Wahrscheinlichkeitswert („IC-Wert“) und ordnet Arbeitssuchende in drei Chancen-Segmente (hoch/mittel/niedrig) ein. Das Ergebnis dient den Berater:innen als „zweite Meinung“; sie können (und müssen) den AMAS-Wert anpassen, dokumentieren und bleiben für die Gruppenzuordnung verantwortlich. Ein Controlling überwacht Umstufungen; Schulungen und Richtlinien verpflichten zur aktiven Prüfung. Die zuständige Datenschutzbehörde in Österreich sah darin einen Verstoß gegen Art. 22 DS-GVO, weil sie davon ausging, dass das Ergebnis es AMAS als „automatisierte Entscheidung“ i.S.d. Art. 22 DS-GVO anzusehen sei, wenn es die menschliche Entscheidung „maßgeblich leite“.
Das BVwG lehnt einen Verstoß gegen Art. 22 Abs. 1 DS-GVO ab, weil u.a. die zuständigen Berater:innen die Letztentscheidung über die Segmentzuordnung treffen; AMAS sei hier eine Assistenz („zweite Meinung“). Dabei sind Abweichungen verbindlich zu prüfen und zu dokumentieren, korrigierte Werte werden nicht überschrieben. Förderentscheidungen erfolgen erst im nächsten Schritt. Die Segmentierung bestimmt den Förderpool, die konkrete Maßnahme wählt jedoch der/die Berater:in im Einzelfall. Eine „routinemäßige Übernahme“ der Ergebnisse soll durch Schulungen, Richtlinien und Controlling verhindert werden. Bericht dazu auch hier.

2.14 BVwG: Verantwortlichkeiten bei Art. 22 DS-GVO

Wer ist für die Einhaltung von Art. 22 DS-GVO verantwortlich? In einer kürzlich bekannt gewordenen Entscheidung des österreichischen BVwG wurde auf die Gefahr einer Umgehung von Art. 22 DS-GVO hingewiesen, wenn Entscheidungsprozesse unterschiedliche Einheiten betreffen und zu unterschiedlichen Zwecken durchgeführt werden können. Das Gericht betonte, dass eine Einstufung der Wahrscheinlichkeitsermittlung als rein vorbereitende Einstufung unter Berücksichtigung nur der Handlung des Dritten als "Entscheidung" Rechtslücken schaffen und die Umgehung von Art. 22 DS-GVO ermöglichen könnte.
Konkret führte das BVwG in Rn. 61 aus:

"Demgegenüber bestünde unter Umständen wie den des Ausgangsverfahrens, an denen drei Akteure beteiligt sind, die Gefahr einer Umgehung von Art. 22 DS-GVO und damit einer Rechtsprechungslücke, wenn einer restriktiven Auslegung dieser Vorschrift der Vorzug gegeben würde, wonach die Bestimmung des Wahrscheinlichkeitswerts nur als vorbereitende Handlung anzusehen ist und nur die Handlung des der Dritte gegebenenfalls als 'Entscheidung' im Sinne von Art. 22 Abs. 1 dieser Verordnung eingestuft werden kann."

Im vorliegenden Fall stellte das Gericht (Rn. 62 ff) fest, dass ein auf personenbezogenen Daten basierender Wahrscheinlichkeitswert über die Fähigkeit einer mit-teilnehmenden Partei, zukünftigen Zahlungsverpflichtungen einer Kreditauskunftei (die als datenschutzrechtlich Verantwortliche fungiert) nachzukommen, entscheidend ist. Die rechtlichen Voraussetzungen hierfür waren jedoch mangels einer Ausnahme nach Art. 22 Abs. 2 DS-GVO nicht gegeben. Darüber hinaus stellte das Gericht fest, dass die Wirtschaftsauskunftei im Falle des Profilings weitergehenden Informationspflichten aus Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DS-GVO nicht nachgekommen sei.
Ferner führt das Gericht aus (Ziffer II.3.1.20, Seite 49) aus, die Wirtschaftsauskunftei habe ihre Vertragspartner, d.h. die Unternehmen, die sich nach der Bonität des Mitbeteiligten erkundigen, nicht hinreichend darüber informiert, dass das eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DS-GVO stattgefunden habe. Das "Kredit-Scoring" wurde ausschließlich auf der Grundlage der Informationen über die außergerichtliche Einigung von XXXX mit "0 – Berechnung nicht möglich" berechnet und dem Mitbeteiligten wurde nicht ausreichend Gelegenheit gegeben, seine Position als dem Anwendungsbereich der DS-GVO unterliegendes Unternehmen als Unternehmen, das seine Kreditwürdigkeit in Frage stellt, darzustellen.
Für eine ordnungsgemäße Einhaltung wäre es erforderlich, dass aus dem Bonitätsauszug ersichtlich ist, dass der Bonitätsscore nicht auf der Grundlage verschiedener Daten des Zahlungsverhaltens berechnet wurde, sondern dass eine numerische Bewertung aufgrund der verwendeten Berechnungsformel nicht möglich war, oder dass dieser Umstand nicht zwingend auf eine negative Einstufung hindeutet.
Im Ergebnis war der betreffende Eintrag zu löschen, weil die Verantwortliche bei der Verarbeitung personenbezogener Daten zur Erstellung von Wahrscheinlichkeitsaussagen („Bonitäts-Score“) zur Bonität des Betroffenen gegen die Grundsätze der „Rechtmäßigkeit“ und der Verarbeitung nach „Treu und Glauben“ im Sinne von Art. 5 Abs. 1 lit. a DS-GVO verstoßen habe.

2.15 BGH: Vertragsgestaltung mit Verweisungen über Links im Verbraucherrecht

Auf was ist zu achten, wenn Verträge gestaltet werden, in denen auf weitere Dokumente verwiesen (verlinkt) wird? Damit befasst sich der BGH im Verbraucherrecht zum Abschluss eines Vertrages zu einem DSL-Anschluss. Dazu wurde in den Vertragstexten auf die AGB per Linkangabe verwiesen. Das genüge laut BGH aber in diesen Fällen nicht. Bericht dazu in diesem Blog-Beitrag.
Für den gewerblichen Bereich lassen sich zumindest Ableitungen finden, dass dort zwar Verlinkungen eher möglich sind, aber dass dabei auch klar sein muss, auf welches Dokument (bzw. welche Version davon) verwiesen wird.

2.16 LG Frankfurt: Strafbarkeit von Gutachten (hier im Umfeld von Cum-/Ex-Geschäften)

Das LG Frankfurt stellte hinsichtlich der Aktivitäten eines Steuerberaters und Rechtsanwalts fest, wann dessen gutachterliche Tätigkeit nicht mehr als bloße Berufsausübung, sondern als Beihilfe zur Steuerhinterziehung gewertet werden kann. Im konkreten Fall wurden die Grenzen der zulässigen Berufsausübung überschritten, weil der Berufsträger

• die Absprachen zwischen Käufer und Verkäufer nicht offenlegte und damit Tatsachen verschleierte,
• Rechtsfragen einseitig darstellte, obwohl er wusste, dass die Finanzverwaltung die Geschäfte bei vollständiger Kenntnis des Sachverhalts nicht anerkennen würde und
• bewusst in Kauf nahm, dass seine Gutachten der Bank als Werkzeug dienten, um Steuern zu hinterziehen.

Mit den daraus resultierenden Fragen befasst sich auch dieser Blog-Beitrag.
Der BGH hat die Revision zum Urteil des LG Frankfurt verworfen, es wurde damit rechtskräftig.
Was das mit Datenschutz oder Informationssicherheit zu tun hat? Na ja, es gibt ja noch den § 42 BDSG, der Personen bestraft, die wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen ohne Berechtigung übermitteln oder auf andere Weise zugänglich machen, bzw. die personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.
Und auch dazu kann Beihilfe durch entsprechende Gutachten geleistet werden.

2.17 OLG Frankfurt: Anforderungen an unzulässige Rechtsdienstleistung

Das Angebot eines nicht als Rechtsanwaltsgesellschaft oder Rechtsdienstleisterin zugelassenen Unternehmens, negative Bewertungen löschen zu lassen, ist nach dem Urteil des OLG Frankfurt eine unzulässige Rechtsdienstleistung (§ 3a UWG i.V.m. § 2 Abs. 1, § 3 RDG), wenn das Unternehmen zwar nur mit einem Standardschreiben einen fehlenden Anknüpfungspunkt für die Bewertung/en gegenüber den Portalbetreibern behauptet, objektiv aber den Eindruck einer Einzelfallprüfung erweckt.

2.18 AG Wesel: Schadenersatz bei Fehlversand berufsrechtlich geschützter Unterlagen

Fragen zum Verfahren wurden durch den EuGH bereits im Verfahren C-590/22 beantwortet. Es ging dabei um die Berücksichtigung eines Post-Fehlversandes von Belegen zur Einkommensteuer eines Mandanten, der daraufhin 15.000 Euro Schadenersatz nach Art. 82 DS-GVO forderte, durch einen Steuerberater (wir berichteten). Das AG Wesel entschied nun im Juli 2025 und sprach 500 Euro immateriellen Schadenersatz zu. Ursächlich war ein Verstoß gegen die Richtigkeit der aktuellen Adresse der Mandanten. Zum Schaden macht es dabei im Rn. 25 detailliertere Angaben:

Sowohl der Gerichtshof als auch der BGH haben klargestellt, dass schon der kurzzeitige Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (EuGH a.a.O., BH a.a.O.). Dies wird insbesondere auf den ersten Satz des 85. Erwägungsgrunds der DS-GVO gestützt, in dem es heißt, dass "(e)ine Verletzung des Schutzes personenbezogener Daten ... – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen (kann), wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten.
Diese Formulierung spiegelt auch die zu unterscheidenden Tatbestandsmerkmale des Art. 82 DS-GVO: Die in Art. 82 Abs. 1 DS-GVO vorausgesetzte Datenschutzverletzung, kann, muss aber nicht zu einem die Ersatzpflicht auslösenden Schaden führen; dieser ist gesondert festzustellen, kann aber beispielsweise in dem Kontrollverlust, der mögliche, aber nicht zwingende Folge des Verstoßes ist, liegen. Der Anspruchsteller muss aus diesem Grund lediglich den eingetretenen Kontrollverlust, diesen aber vollumfänglich, beweisen.

Und es stellt in Rn. 26 fest, dass einen derartigen Kontrollverlust die Kläger bereits mit der Versendung der Unterlagen an ihre ehemalige Adresse und dem dortigen Zugang erlitten haben. Hinsichtlich der Höhe ist anzumerken, dass im konkreten Fall strittig blieb, welche Unterlagen und Informationen tatsächlich betroffen waren und ob daraus Informationen weitergegeben wurden (Rn. 27).

2.19 LG München: Ablehnung eines Schadenersatzes bei Datentransfer in USA durch Facebook

Das LG München lehnte einen Anspruch auf immateriellen Schadenersatz ab, weil es darin eine rechtsmissbräuchliche Forderung sah. Sehr verkürzt ging es um eine Klage gegen Facebook (Meta), weil im Zeitraum zwischen dem EuGH-Urteil zum Privacy Shield im Juli 2020 und dem TADPF Daten in die USA übermittelt wurden, detaillierter im Urteil in Rn. 2-6).
Zu klären war, ob die Datenübermittlung in die USA noch rechtmäßig war, sich die Beklagte auf Art. 46 DS-GVO (Standarddatenschutzklauseln) oder Art. 49 Abs. 1 lit. c DS-GVO (Vertragserfüllung) stützen konnte, ob der Kläger (Nutzer) einen immateriellen Schaden erlitten habe, der kausal auf den Datentransfer zurückzuführen sei und ob die Geltendmachung der Ansprüche gegen § 242 BGB verstößt, wenn der Kläger den Dienst trotz Kenntnis des Datentransfers weiter nutzte.
Das Gericht befasste sich dann damit, dass sich Facebook im Zeitraum ohne Angemessenheitsbeschluss auf die Standarddatenschutzklauseln berief, und bewertet dies als ausreichende Zulässigkeitsmaßnahme (Rn. 39). Auch könne sich Facebook auf Art. 49 Abs. 1 lit. c DS-GVO berufen, das Gericht zitiert dazu ab Rn. 40 ein Urteil des LG Hof (dort Rn. 40). Für weltweite Netzwerke müssen zwangsläufig Daten international ausgetauscht werden (Rn. 41). Auch lehnt das Gericht eine Kausalität zu einem Schaden bei einem Transfer in die USA ab und bewertet dabei auch die aktuelle politische Situation in den USA (Rn. 47).
Zuletzt bestünde auch kein Schadensersatzanspruch des Klägers gegen die Beklagte, weil dessen Geltendmachung gegen das Gebot von Treu und Glauben verstoße (§ 242 BGB) (Rn. 48)
Das Gericht formuliert zudem in Rn. 49, dass aus Sicht des Gerichts die vorliegende Klage zeige, dass es dem Kläger nicht um den Ersatz tatsächlich erlittener Schäden geht, sondern er einen ihn tatsächlich nur eingeschränkt betreffenden Vorgang (die Datenübertragung in die USA) nutzen will, um hierfür eine Geldentschädigung zu erlangen. Fühlte sich der Kläger tatsächlich so schwer beeinträchtigt durch den Datentransfer in die USA, so hätte es sich angeboten, nicht nur Facebook schon ursprünglich nicht zu nutzen, jedenfalls aber die Nutzung zu stoppen (letzteres gibt der Kläger auch an), sondern ebenso die Nutzung des Dienstes Instagram, der ebenfalls von der Beklagten betrieben wird und bei dem sich mutmaßlich ein ähnliches Problem wie bei Facebook ergibt. Die Geltendmachung von Schadensersatz ohne tatsächlich erlittene Schäden kann ebensowenig Sinn und Zweck eines Anspruchs aus Art. 82 DS-GVO sein wie die massenhafte Geltendmachung von Schadensersatz- und weiteren Ansprüchen durch die Prozessbevollmächtigten des Klägers durch weitgehend aus Textbausteinen bestehende Klagen, um durch diese Klagen und ggf. noch weiter zu führende Rechtsmittelverfahren ein hohes Maß an Gebühren für die Rechtsanwälte zu generieren, wobei es dabei sogar unerheblich ist, wie diese Verfahren im Ergebnis ausgehen.
Daneben ist noch anzumerken, dass das Gericht Unterlassungsanträge als unzulässig abwies, weil diese zu ungenau bestimmt gewesen wären, und dass ein Auskunftsanspruch auch als unzulässig abgewiesen wurde, weil dem Kläger ein Selbsthilfetool zur Verfügung stehen würde und somit das Rechtsschutzbedürfnis entfalle (Rn. 29-32).

2.20 USA: Klage in USA zu Copyright-Verletzungen durch Anthropic

In den Klagen in den USA gegen Anbieter von Large Language Models wegen Urheberrechtsverletzungen beim Training eines LLM gibt es etwas Bewegung. Wie hier berichtet wird, plant Anthropic einen Vergleich über 1,5 Mrd. $-US mit Autoren. Allerdings kritisiert ein US-Richter diesen Vergleichsüberlegungen, wie sich hier nachlesen lässt. Der vorgeschlagene Vergleich würde Autoren und Verlegern rund 3.000 Dollar für jedes der rund 465.000 Bücher zahlen, denen Anthropic beschuldigt wird, Schattenbibliotheken wie LibGen und PiLiMi zu raubkopieren, um seinen Claude-Chatbot zu trainieren. Die Musikindustrie ist in Aufruhr, und die Verlage signalisieren, dass sie ähnliche Ansprüche geltend machen werden, wenn Piraterie in Song-Datensätzen aufgedeckt wird. Stockfotobibliotheken beobachten dies ebenso genau. Die Bedenken des Richters sind verfahrensrechtlicher Natur, aber sie betreffen den Kern der Frage, ob der Vergleich Anthropic die Rechtssicherheit bringt, für die es zahlt, und ob die Autoren darauf vertrauen können, dass sie tatsächlich bezahlt werden, bspw. Wenn Verbände einegschaltet würden oder auch nur ein Mit-Autor nicht zustimmt. Für Anthropic sollte der Vergleich das katastrophale rechtliche Risiko beenden. Bei gesetzlichen Schadenersatzforderungen von bis zu 150.000 Dollar pro Werk und fast einer halben Million Titeln, um die es ging, hätte die Veröffentlichung bis zum Bankrott reichen können, der Hunderte von Milliarden ausgelöst hätte

2.21 Hanseatisches OLG: Sammelklage gegen Meta

Aktuell scheint es nach diesem Bericht noch offen, ob das Hanseatische OLG zuständig ist. In der Klage geht es um eine Sammelklage gegen Meta nach einer Datenschutzverletzung bei Facebook, die der vbzv (Verbraucherzentrale Bundesverband) anstrengte. Bericht dazu auch hier.

2.22 VGH München: Zurechenbarkeit von Datenweitergaben durch Behördenmitarbeiter

In dem Verfahren zu einer einstweiligen Anordnung gegenüber einem Veterinäramt befasste sich der VGH München mit Verantwortlichkeiten und Schutzmaßnahmen von Betriebs- und Geschäftsgeheimnissen. Bei einer Demonstration gegen einen Schlachtbetrieb wurden Lichtbildaufnahmen verwendet, die zuvor im Rahmen einer Ortsbegehung durch das zuständige Veterinäramt aufgenommen wurden. Der Schlachtbetrieb begehrt in seinem Antrag eine Unterlassungserklärung des Amtes, bei der es auch um die Offenlegung des Namens der internen Tierschutzbeauftragten geht (verkürzt wiedergegeben). Das Gericht lehnte die Beschwerde des Schlachtbetriebs ab.
Gegen eine dem Hoheitsträger zurechenbare unbefugte Offenbarung von Betriebs- und Geschäftsgeheimnissen i.S.d. Art. 30 BayVwVfG durch eine Behörde könne der Betroffene einen öffentlich-rechtlichen Unterlassungsanspruch nur geltend machen, wenn deren rechtswidrige Veröffentlichung (erneut) konkret zu befürchten sei (Rn. 38).
Und ab da wird es dann in der Entscheidung interessant. Das Gericht führt zunächst aus, dass es sehr wahrscheinlich sei, dass die Aufnahmen aus dem Veterinäramt stammten. Es verneinte aber wie bereits die Vorinstanz eine Zurechnung (Rn. 51 f). Eine Zurechnung sei dann zu verneinen, wenn die Behörde hinreichende Maßnahmen zur Datensicherheit ergriffen habe und Dritte diese gezielt und nicht konkret vorhersehbar überwinden würden. Kundgebungsakte von ordnungsgemäß und zur Vertraulichkeit verpflichteten Behördenbediensteten oder Verwaltungshelfern seien der Behörde nur zurechenbar, wenn diese im dienstlichen Rahmen agierten, nicht jedoch bei einer Kundgabe im rein privaten Gespräch. Der dienstpflichtwidrigen Weitergabe von Lichtbildern und Informationen an private Tierschutzorganisationen lägen naturgemäß Privatinteressen zugrunde. Es sei nicht davon auszugehen, dass eine etwaige Weitergabe an die Tierschutzaktivisten bzw. sonstige Dritte „im dienstlichen Rahmen“ erfolgt sei.
Später ergänzt es ab Rn. 53, dass aus den von der Behörde im Beschwerdeverfahren vorgelegten Dienstanweisungen und Leitlinien hervorgehe, dass diese allgemeine hinreichende sowie geeignete technische und organisatorische Vorkehrungen und Maßnahmen zur Datensicherheit, zur sicheren Gestaltung der Verarbeitungsprozesse und zur Sicherung von Daten gegen unbefugte Zugriffe getroffen habe, und führt diese im Detail aus.
Dabei liege es laut VGH München auf der Hand, dass trotz dieser Maßnahmen bei einem dienst- bzw. arbeitspflichtwidrigen Vorgehen Informationen über Akten sowie Kopien etc. von Dateien jederzeit weitergegeben werden können, ohne dass dies allein durch technische Sicherungsmaßnahmen im Einzelfall verhindert werden kann. Deshalb kommen Belehrungen der Mitarbeiter sowie Hinweisen auf Konsequenzen bei Verstößen wie straf- und disziplinarrechtliche Folgen bei der Verhinderung solcher Taten besondere Bedeutung zu (Rn. 66).

2.23 BVwG: Bußgeld für rechtswidrige Videoüberwachung

Das österreichische Bundesverwaltungsgericht bestätigte eine Sanktion der österreichischen Datenschutzbehörde gegen ein Handelsunternehmen. Für die rechtswidrige Videoüberwachung gibt es 1,5 Mio. Euro Bußgeld. Bezüglich der Höhe ist hervorzuheben, dass der Konzernumsatz den Ausschlag gab – lokale Einzelfallargumente halfen wenig, und auch wenn die Konzernzentrale keinen Einfluss auf die konkrete Verarbeitung, die den Verstoß verursachte, hat, ist der Konzernumsatz für die Bemessung maßgebend (ab Ziffer 1.8 und in Ziffer 3.8.2 der Entscheidung). Die Entscheidung ist noch nicht rechtskräftig. Bericht dazu auch hier.

2.24 BVwG: Keine Nennung von Klarnamen bei öffentlicher Reaktion auf Rezension

Manchmal wundert man sich, was immer noch vor Gerichten landet. Die österreichische Datenschutzbehörde ahndete mit 400 Euro Bußgeld, dass ein Unternehmen bei einer Reaktion auf eine negative Rezension einer Kundin auf der Google-Plattform deren Klarnamen angab. Die dagegen gerichtete Beschwerde wies das österreichische BVwG ab. Bericht dazu auch hier.

2.25 VG Bremen: Automatisierte Bescheide und Art. 22 DS-GVO

Das VG Bremen hat sich in einem Urteil mit den Anforderungen an einen Ausgangsbescheid zur Abfallgebühr befasst, ab wann es sich dabei um eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung im Sinne des Art. 22 Abs. 1 DS-GVO handelt, die nicht durch eine Rechtsvorschrift zugelassen ist. Ein Kläger wandte sich gegen einen Gebührenbescheid, der rechtswidrig sei, da er automatisiert erstellt wurde und damit gegen Art. 22 Abs. 1 DS-GVO verstoße.
Das VG Bremen gab ihm Recht: Stichprobenartige Kontrollen oder das Starten von Programmen durch Behördenmitarbeiter änderten nichts am Charakter einer automatisierten Entscheidung. Auch die Auffassung der Widerspruchsbehörde, es handele sich lediglich um eine programmgestützte Berechnung, wies das Gericht zurück.
Kritisch kann angemerkt werden, dass das VG Bremen davon ausgeht, dass der Mangel im Widerspruchsverfahren als geheilt angesehen werden kann, da der Widerspruchsbescheid durch einen Sachbearbeiter erlassen wurde (Ziffer 2 b des Urteils). Ob eine solche Heilung, die die verwaltungsgerichtliche Praxis Behörden bei formellen Fehlern oft sehr freimütig zugesteht, mit Art. 22 DS-GVO vereinbar ist, thematisiert das Urteil nicht. Immerhin sieht Art. 22 Abs. 2 lit. b DS-GVO auch gesetzliche Grundlagen dafür vor.

2.26 BVwG: Entscheidung zum Umfang der Auskunft nach Artt. 15 und 22 DS-GVO

Das österreichische BVwG entschied nach einer Beschwerde hinsichtlich einer Auskunft, zu der es bereits den EuGH mit einer Vorlagefrage einbezog (C-203/22, Dun & Bradstreet), wir berichteten. Nun entschied es, dass in dem konkreten Fall die bisherige Auskunft unzureichend gewesen sei hinsichtlich der Berechnung der Bonität des Beschwerdeführers.
Das BVwG stellte fest, dass im vorliegenden Fall eine automatisierte Entscheidungsfindung bei der Erstellung einer Bonitätsbewertung / Errechnung eines Scorewertes des Beschwerdeführers vorliege. Es sei eine automatisierte Entscheidung im Einzelfall i.S.d. Art. 22 DS-GVO gegeben, weil durch die Beschwerdegegnerin ein auf personenbezogene Daten des Beschwerdeführers gestützter Wahrscheinlichkeitswert in Bezug auf dessen Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen automatisiert erstellt worden sein (also ein Scorewert). Der zum Beschwerdeführer errechnete Scorewert habe die Entscheidung des Kunden der Beschwerdegegnerin, ob er mit dem Betroffenen einen Vertrag abschließt bzw. durchführt, maßgeblich beeinflusst.
Zur Frage, welche Informationen unter den Wortlaut von Art. 15 Abs. 1 lit. h DS-GVO zu subsumieren sind, habe der EuGH ausgesprochen (im Urteil ab Seite 37), dass dies alle Informationen, die für das Verfahren und die Grundsätze der automatisierten Verarbeitung personenbezogener Daten zum Erreichen eines bestimmten Ergebnisses auf der Grundlage dieser Daten maßgeblich sind, betrifft, sohin auch Informationen zur Tragweite und den angestrebten Auswirkungen. Der Betroffene habe ein echtes Recht auf Erläuterung der Funktionsweise des Mechanismus der automatisierten Entscheidungsfindung, der diese Person unterworfen worden ist, und des Ergebnisses, zu dem diese Entscheidung geführt hat. Weder die bloße Übermittlung einer komplexen mathematischen Formel (etwa eines Algorithmus), noch die detaillierte Beschreibung jedes Schritts einer automatisierten Entscheidungsfindung genügen diesen Anforderungen, da beides keine ausreichend präzise und verständliche Erläuterung darstelle. Die „aussagekräftigen Informationen über die involvierte Logik“ einer automatisierten Entscheidungsfindung im Sinne von Art. 15 Abs. 1 Buchst. h DS-GVO müssten also das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der in Rede stehenden automatisierten Entscheidungsfindung auf welche Art verwendet wurden, ohne dass die Komplexität der im Rahmen einer automatisierten Entscheidungsfindung vorzunehmenden Arbeitsschritte den Verantwortlichen von seiner Erläuterungspflicht entbinden könnte. Was konkret ein Profiling wie das im Ausgangsverfahren in Rede stehende betrifft, könnte es insbesondere als ausreichend transparent und nachvollziehbar erachtet werden die betroffene Person zu informieren, in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnis geführt hätte (EuGH C-203/22, Rz. 43 ff).

2.27 BVwG: Zurechenbarkeit der Fehleinschätzung des DSB

Ein Unternehmen kann sich laut österreichischem Bundesverwaltungsgericht nicht darauf berufen, dass der Datenschutzbeauftragte in einer Vorgehensweise des Unternehmens kein Fehlverhalten sah. Es muss sich dessen Fehleinschätzungen zurechnen lassen. Bericht dazu auch hier.

2.28 Niederlande: Interessensabwägung bei involvierter Logik und Geschäftsgeheimnissen

Das Berufungsgericht Amsterdam hat eine Verfahrensentscheidung über den Umfang des Zugangs und das sogenannte Recht auf Erläuterung der involvierten Logik nach Art. 15 Abs. 1 lit. h DS-GVO erlassen. Wie ist vorzugehen, wenn hinsichtlich der Offenlegung einer involvierten Logik Geschäftsgeheimnisse seitens des Verantwortlichen geltend gemacht werden?
In dem Fall geht es um X (ehemals Twitter) und eine betroffene Person, die gemäß Artikel 15 DS-GVO einen Antrag auf Auskunft gestellt hatte, einschließlich Informationen über die automatisierte Entscheidungsfindung nach Art. 22 DS-GVO. Konkret bat die betroffene Person X Zugang zu Daten und Informationen über "Reputationsbewertungen", "Labels" und ein internes System mit der Bezeichnung [y] zu gewähren. Diese dienten angeblich dazu das Nutzerverhalten auf der Plattform auszuwerten oder einzuordnen. Die Anfrage enthielt auch eine Erklärung, wie solche automatisierten Systeme funktionieren und ob sie Profiling beinhalten, das sich auf die Sichtbarkeit des Nutzers oder die Ergebnisse der Inhaltsmoderation auswirken könnte.
Zunächst ordnete das Bezirksgericht Amsterdam an, dass X auf die Aufforderung antworten und Informationen über Reputationsbewertungen, Labels und das interne System [y] bereitstellen muss, und verhängte eine tägliche Geldstrafe von 4.000 Euro wegen Nichteinhaltung. X legte Berufung ein und argumentierte, dass die Offenlegung Geschäftsgeheimnisse und vertrauliche Details über die Moderation von Inhalten und die Sicherheitsmechanismen offenlegen und es Dritten möglicherweise ermöglichen würde diese Systeme zu manipulieren oder zu umgehen.
In seinem Urteil bestätigte das Berufungsgericht seine Zuständigkeit und die Zulässigkeit der Berufung von X. Es lehnte jedoch den Antrag von X auf eine Geheimhaltungsanordnung ab, um die betroffene Person daran zu hindern Informationen in den ungeschwärzten "Guano Notes" weiterzugeben. Stattdessen stützte sich das Gericht auf Art. 22 Abs. 2 und 3 der niederländischen Zivilprozessordnung und wandte den Mechanismus des beschränkten Zugangs an – nur die Richter überprüfen die ungeschwärzte Version des Dokuments, um die Vertraulichkeitsansprüche von X zu überprüfen.
Damit setzt m.E.n. dieser verfahrensrechtliche Ansatz um, was der EuGH in seinem Urteil bei Dun & Bradstreet Austria C-203/22 (wir berichteten) vorgeschlagen hat, und zielt darauf ab die konkurrierenden Rechte gegeneinander abzuwägen: das Recht des Einzelnen auf Zugang und Transparenz nach Art. 15 Abs. 1 lit. h und Art. 22 Abs. 3 DS-GVO und das Recht des Verantwortlichen auf Schutz von Geschäftsgeheimnissen sowie die Rechte und Freiheiten anderer nach Art. 15 Abs. 4 DS-GVO. Der Gerichtshof erkannte an, dass das Erfordernis der Transparenz mit legitimen Geheimhaltungsinteressen in Einklang gebracht werden muss, lehnte es jedoch ab, die gerichtliche Aufsicht aus dieser Beurteilung herauszunehmen.
Für den 21. Oktober 2025 wurde der Fortgang des Verfahrens angekündigt.

2.29 BGH-Vorschau: Speicherdauer von Zahlungsstörungen durch Auskunfteien

Der Verhandlungstermin vor dem BGH zur Frage, ob und gegebenenfalls wie lange eine Speicherung von Informationen über Zahlungsstörungen durch eine Wirtschaftsauskunftei nach Ausgleich der Forderungen zulässig ist, ist für den 6. November 2025 angekündigt.

2.30 EuGH-Vorschau: BGH-Vorlagefrage an den EuGH zu Art. 82 DS-GVO

Im Rahmen eines Verfahrens um Abmahnungen hinsichtlich des Einsatzes von „Google-Fonts“ und um eine Rückzahlung von 170 Euro legt der BGH dem EuGH Fragen zum Personenbezug von IP-Adressen und zum immateriellen Schadenersatz vor.
Unter anderem möchte der BGH wissen:

• Ist Art. 4 Nr. 1 DS-GVO dahingehend auszulegen, dass im Falle der automatisierten Übermittlung einer IP-Adresse diese bereits dann ein personenbezogenes Datum darstellt, wenn ein Dritter nicht über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt? Oder ist Voraussetzung für die Annahme eines personenbezogenen Datums, dass der für die Übermittlung Verantwortliche oder der Empfänger über Mittel verfügen, die vernünftigerweise eingesetzt werden können, die betreffende Person – gegebenenfalls mit Hilfe eines Dritten – bestimmen zu lassen? [...]
• Ist Art. 82 Abs. 1 DS-GVO dahingehend auszulegen, dass ein immaterieller Schaden auch dann vorliegen kann, wenn die betroffene Person einen Verstoß des Verantwortlichen gegen die DSGVO bewusst und allein zu dem Zweck herbeiführt, um den Verstoß dokumentieren und gegenüber dem Verantwortlichen geltend machen zu können?
• Ist Art. 82 Abs. 1 DS-GVO dahingehend auszulegen, dass in einem Fall der in Frage 2 beschriebenen Art ein Anspruch auf Ersatz immateriellen Schadens wegen missbräuchlichen Verhaltens der betroffenen Person verneint werden kann, weil trotz formaler Einhaltung der in der Unionsregelung vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht wurde und die Absicht bestand, sich einen aus der Unionsregelung resultierenden Vorteil zu verschaffen, indem die Voraussetzungen für seine Erlangung künstlich geschaffen werden? Kommt es insoweit darauf an, ob die Erlangung eines finanziellen Vorteils die alleinige Motivation für die Provokation des Verstoßes gegen die Verordnung war?

2.31 EuGH-Vorschau: BGH-Vorlageanfrage an den EuGH zu „kostenlos“

Diesmal geht es zwar nicht um eine Auslegung der DS-GVO, sondern um Fragen der Richtlinie über unlautere Geschäftspraktiken (2005/29/EG), genauer um Art. 5 Abs. 5 der RL („Anhang I enthält eine Liste jener Geschäftspraktiken, die unter allen Umständen als unlauter anzusehen sind.“) in Verbindung mit Nr. 20 der Anlage 1: „Ein Produkt wird als „gratis“, „umsonst“, „kostenfrei“ oder Ähnliches beschrieben, obwohl der Verbraucher weitere Kosten als die Kosten zu tragen hat, die im Rahmen des Eingehens auf die Geschäftspraktik und für die Abholung oder Lieferung der Ware unvermeidbar sind.“
Der BGH möchte nun vom EuGH geklärt wissen, ob der Begriff der "Kosten" im Sinne von Nr. 20 des Anhangs I in Verbindung mit Art. 5 Abs. 5 der Richtlinie 2005/29/EG auch die Preisgabe personenbezogener Daten und die Einwilligung in ihre Nutzung zu kommerziellen Zwecken erfasst.

2.32 EuGH-Vorschau: LG Lübeck zu positiven Vertragsdaten und Auskunfteien

Ein Mobilfunkunternehmen hatte ohne Einwilligung des Kunden Name, Geburtsdatum, Anschrift, Datum des Vertragsschlusses und Vertragsnummer an die Schufa weitergegeben. Die Schufa hatte ca. 2 Jahre später mitgeteilt, dass die Daten in den von der Schufa berechneten „Bonitätsscore“ eingeflossen waren. Der Betroffene verlangt nun von dem Mobilfunkunternehmen künftig derartige Datenübermittlungen an Auskunfteien wie die Schufa zu unterlassen. Zudem begehrt er Schadensersatz. Das Mobilfunkunternehmen hingegen argumentiert, die DS-GVO erlaube die Datenübermittlung an die Schufa.
Das LG Lübeck will jetzt wissen,

• ob die Bestimmung, auf die sich das Mobilfunkunternehmen beruft, nämlich Art. 6 Abs. 1 lit. f DS-GVO, auf derartige Fälle überhaupt Anwendung findet. Das Gericht habe daran Zweifel, da die massenhafte Übermittlung derartiger Daten an die Schufa die Grundrechte sehr vieler Bürger berühre. Es sei deshalb Aufgabe der Europäischen Union genau zu regeln, wer was zu welchem Zweck an die Schufa übermitteln dürfe. Das sei bislang nicht geschehen,
• ob die Übermittlung von Daten an die Schufa jedenfalls dann rechtswidrig sei, wenn die Schufa die Daten zur Profilbildung (zum sogenannten Scoring) verwendet
• und ob die betroffenen Verbraucher auch dann Schadensersatz verlangen können, wenn sie vor Vertragsschluss zwar nicht nach ihrer Zustimmung gefragt wurden, aber immerhin auf die Datenübermittlung hingewiesen wurden.

Das Landgericht Lübeck hat laut der Pressemeldung sein Verfahren ausgesetzt, um dies für sein Urteil klären zu lassen.

2.33 EuGH-Vorschau: BVwG-Vorlage zu Art. 22 Abs. 1 und 2 DS-GVO

Das österreichische BVwG möchte vom EuGH einige datenschutzrechtliche Fragen geklärt haben, die im Kontext der Auswahl von Zahlungsarten bei Online-Verträgen aufkommen werden und in einem Fall entscheidungsrelevant sind. Bei Kauf auf Rechnung oder einem Finanzierungskauf wird in den Geschäftsbedingungen auf den Einsatz einer Bonitätsprüfung und eines Scorings hingewiesen.
Im Falle eines Neukunden, der auf offene Rechnung oder Teilzahlung bestellt, erfolgt automatisch eine Anfrage bei der Auskunftei mit den vom Kunden bekannt gegebenen Daten. Wenn der Kunde dort unbekannt ist, lehnt die Beklagte eine Geschäftsbeziehung mit Teilzahlung oder auf offene Rechnung ab und verständigt den Kunden, dass er über Kreditkarte oder PayPal beliefert würde. Wenn der Kunde bekannt ist, gibt es drei Möglichkeiten, Scorings mit drei verschiedenen Farben. Wenn die Farbe rot ist, wird ebenfalls die unsichere Zahlungsart abgelehnt, bei gelb prüft ein Mitarbeiter der beklagten Partei und bei grün wird die Bestellung angenommen. Im Fall eines gelben Scorings nimmt der Mitarbeiter selbst Einsicht in die Datenbank und entscheidet, ob und gegebenenfalls unter welchen Bedingungen der Auftrag freigegeben wird.
Das BVwG möchte dazu vom EuGH Fragen zu Art. 22 DS-GVO geklärt haben, u.a. ob dieses System bereits eine „rechtliche Wirkung“ im Sinne des Art. 22 Abs. 1 DS-GVO entfaltet, ferner, ob dieses System für den Abschluss eines Vertrags zwischen dem Kunden und dem Versandhändler „erforderlich“ ist, und ob es darauf ankommt, dass zwischen dem Vertragszweck des mit dem Kunden abzuschließenden Vertrags und der Einschätzung der Zahlungsausfallswahrscheinlichkeit des Kunden ein unmittelbarer sachlicher Zusammenhang bestehen muss.
Wen das Thema interessiert, kann sich auch hier den Beitrag ab Seite 91 ansehen: „Human Oversight under the AI Act and its interplay with Art. 22 GDPR“, der durch den Verein für Recht und Digitalisierung e.V. (VRD) an der Universität Trier in der Reihr der irdt-schriften im Band „Artificial Intelligence and Fundamental Rights: The AI Act of the European Union and its implications for global technology regulation“ veröffentlicht wurde.

2.34 Spanien: Verpflichtung zur Offenlegung des Algorithmus von „BOSCO“

Der Oberste Gerichtshof fordert den Staat auf den Algorithmus zu öffnen, der den Sozialbonus zuweist, wie hier berichtet wird. Damit erkannte das Gericht das verfassungsmäßige Recht der spanischen Bürgerinnen und Bürger auf Zugang zu den von Behörden verwendeten Algorithmen an. Es wies die Verwaltung an der klagenden Bürgerrechtsvereinigung Fundación Civio Zugang zum Quellcode der BOSCO-Anwendung zu gewähren, einem Softwaresystem, das von Stromversorgern verwendet wird, um automatisch festzustellen, ob Antragsteller die gesetzlichen Kriterien erfüllen, um als "schutzbedürftige Verbraucher" zu gelten und sich somit für den spanischen Sozialtarif (bono social) auf Energierechnungen zu qualifizieren.
Über das Verfahren der spanischen Datenschutzaufsicht AEPD dazu wird hier berichtet.

2.35 EuGH-Vorschau: Beweisverwertungsverbot bei Datenschutzverstoß (C-484/24)

Im Verfahren C-484/24 (NTH Haustechnik) geht es u.a. um Fragen zu Verarbeitungen personenbezogener Daten im Kontext justizieller Verarbeitungstätigkeiten nach Art. 17 Abs. 3 lit. e DS-GVO und Beweisverwertungsverboten. Dürfen Kenntnisse eines Arbeitgebers, die möglicherweise durch einen Datenschutzverstoß erlangt wurden, durch ein Gericht verwertet werden? Wir berichteten bereits dazu. Damit befasst sich auch dieser Beitrag. Für den 16. Oktober 2025 waren die Schlussanträge angekündigt.

2.36 EuGH-Vorschau: Abgrenzung Art. 13 Abs. 2 ePrivacy-RL und DS-GVO (C-654/23)

Für den 13. November 2025 ist das Urteil des EuGH im Verfahren C-654/23 (Inteligo Media) angekündigt. Salopp gesagt geht es um die Frage, ob bei einer Verarbeitung personenbezogener Daten aus der ePrivacy-RL für Direktwerbungen mittels elektronischer Post noch Rechtmäßigkeitsgrundlagen aus der DS-GVO herangezogen werden müssen. Konkreter geht es um Art. 13 Abs. 2 der RL 2002/58/EG

„Ungeachtet des Abs. 1 kann eine natürliche oder juristische Person, wenn sie von ihren Kunden im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung gemäß der Richtlinie 95/46/EG deren elektronische Kontaktinformationen für elektronische Post erhalten hat, diese zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen verwenden, sofern die Kunden klar und deutlich die Möglichkeit erhalten, eine solche Nutzung ihrer elektronischen Kontaktinformationen bei deren Erhebung und bei jeder Übertragung gebührenfrei und problemlos abzulehnen, wenn der Kunde diese Nutzung nicht von vornherein abgelehnt hat.“

im Kontext der Anforderung eines Newsletters.
Bei dem unentgeltlichen Newsletter handelt es sich um Informationen zu Gesetzesänderungen an eine breite Öffentlichkeit, nicht an ein Fachpublikum. Zusätzliche Information sind entgeltlich erhältlich. Das vorlegende rumänische Gericht will dazu u.a. wissen, ob dieses Angebot von Art. 13 Abs. 2 der ePrivacy-RL umfasst wird („Verkauf eines Produkts oder einer Dienstleistung“) und wenn ja, welche der Rechtmäßigkeitsvoraussetzungen aus Art. 6 Abs. 1 lit. a bis f DS-GVO als anwendbar auszulegen wäre.
Zudem soll geklärt werden, inwieweit so ein Newsletter als elektronische Post für die Zwecke der Direktwerbung bewertet werden könne und inwieweit eine Datenschutzaufsicht bei der Verhängung von Sanktionen auf einzelne Kriterien aus Art. 83 Abs. 2 lit. a bis k DS-GVO eingehen muss.
Zu den Schlussanträgen des Generalanwalts hatten wir bereits berichtet. Er geht davon aus, dass bei Erfüllung des Art. 13 Abs. 2 ePrivacy-RL keine weitere Rechtmäßigkeitsgrundlage des Art. 6 Abs. 1 DS-GVO erforderlich wäre.

2.37 LG Karlsruhe: Anscheinsvollmacht bei In-App-Käufen durch Kinder

Denken Sie daran, wenn Sie Ihren Kindern ein Smartphone in die Hand geben, was damit alles passieren kann. Und damit meine ich diesmal nicht Gefahren aus dem Bereich des Datenschutzes oder der Kindergesundheit. Ein Vater gab seinem siebenjährigen Sohn ein Smartphone. Am Anfang installierte der Vater selbst zwei verschiedene Spiele und gesondert die Applikation "Lesen lernen Teil 1" für einen Gesamtbetrag in Höhe von 47,92 Euro. Der Filius nutze dann das Smartphone ohne Aufsicht und war sehr aktiv. Der Vater war auch etwas nachlässig im Kontrollieren seiner Abbuchungen.
Im Zeitraum vom Februar 2021 bis zum September 2022 kam es zu 1.210 weiteren Einkäufen über das Konto des Vaters über einen Gesamtbetrag in Höhe von zumindest 33.748 Euro*. In verschiedenen Monaten kam es dabei jeweils zu einem Transaktionsvolumen von mehreren tausend Euro. Die Einkäufe bezogen sich ganz überwiegend auf den Erwerb von Spielen oder Spielinhalten zu Einzelpreisen zwischen 0,99 Euro und 109,99 Euro. Der Vater forderte das Geld zurück (Details zu Gerichtsstand, weil der App-Anbieter nicht in Deutschland saß, lassen wir hier mal weg).
Das LG Karlsruhe lehnt den Anspruch als unbegründet ab (Rn. 39), weil der Verkäufer von einer Anscheinsvollmacht ausgehen konnte.
Eine Anscheinsvollmacht ist gegeben, wenn der Vertretene das Handeln des Scheinvertreters nicht kennt, er es aber bei pflichtgemäßer Sorgfalt hätte erkennen und verhindern können, und wenn der Geschäftspartner annehmen durfte, der Vertretene kenne und billige das Handeln des Vertreters. Allerdings greifen die Rechtsgrundsätze der Anscheinsvollmacht in der Regel nur dann, wenn das Verhalten des einen Teils, aus dem der Geschäftsgegner auf die Bevollmächtigung des Dritten glaubt schließen zu können, von einer gewissen Dauer und Häufigkeit ist, selbst wenn das jeweilige genutzte Konto – wie hier – an sich auch so eindeutig zugeordnet und durch Passwort gesichert ist.

* Franks Anmerkung: Wer bitte merkt nicht, wenn über 30.000 Euro im Laufe von anderthalb Jahren vom eigenen Konto verschwinden?

2.38 LAG Niedersachsen: Zulässigkeit der Befragung von Beschäftigten bei Verdachtsermittlung

Das LAG Niedersachsen stellte fest, dass die Befragung sämtlicher Mitarbeiter des Betriebes im Zusammenhang mit Verdachtsmomenten gegen einen Arbeitnehmer unter Anwendung eines Fragenkataloges mit etwa 150 vorformulierten Fragen zur Sachverhaltsaufklärung gerechtfertigt sein kann. Zwar werden durch die Befragung aller Mitarbeiter des Betriebes die gegenüber dem Arbeitnehmer erhobenen Vorwürfe dokumentiert und damit eine betriebliche Verbreitung der Vorwürfe ermöglicht. Der Arbeitnehmer muss diese Folge hinnehmen, soweit die Arbeitgeberin die durch die Befragung der Mitarbeiter gewonnenen Informationen dazu verwendet, um den Beweis in einem Kündigungsschutzprozess zu führen. Die Informationen dienen lediglich der Durchsetzung rechtlich geschützter Belange der Arbeitgeberin. § 26 Abs. 1 Satz 2 BDSG erfordert nicht, dass von einer auf ihrer Grundlage vorgenommenen Kontrollmaßnahme ausschließlich Arbeitnehmer betroffen sein können, hinsichtlich derer es bereits einen konkretisierten Verdacht gibt. § 94 Abs. 1 BetrVG normiert kein globales, alle vorformulierten Fragenkataloge betreffendes Mitbestimmungsrecht des Betriebsrates. Rein sachbezogene Fragen, auch wenn sie mit dem Ziel der Aufklärung von Straftaten gestellt werden, die Angaben nicht anonymisiert erfolgen und die Teilnahme bzw. Beantwortung der Fragen für die Arbeitnehmer verbindlich ist, sind von § 94 Abs. 1 BetrVG nicht erfasst.

3.1 CEPS: 20 Digitalgesetz, die bekannt sein sollten

Das CEPS (Centre for European Policy Studies) veröffentlichte die 20 Digitalgesetze und Vorgaben, die alle Digital-Expert:innen kennen sollten. Die Rankings basieren auf den beruflichen Aktivitäten der Autor:innen, umfangreichen Recherchen und zahlreichen Gesprächen mit Expert:innen für Digitalpolitik in Brüssel und darüber hinaus. Die Liste mit Begründung für die Auswahl finden Sie hier.

3.2 Europarat: Guidelines zu Data Protection und LLM

Der Europarat veröffentliche Anfang September 2025 den Entwurf von Leitlinien zur Privatsphäre und Datenschutz im Kontext von Large Language Models.

3.3 Durchführungsgesetz zur KI-Verordnung

Das BMDS hat am 12.09.2025 den Entwurf eines Gesetzes zur Durchführung der KI-Verordnung mit Stand 11.09.2025 veröffentlicht und die Länder- und Verbände-Anhörung eröffnet. Bis 10. Oktober 2025 konnten Rückmeldungen eingereicht werden. Geregelt werden soll durch dieses Gesetz auch die Zuständigkeiten der Aufsichten. Die KI-Verordnung gibt vor, dass die nationale Aufsichtsstruktur bis zum 2. August 2025 geregelt wird. Diese Frist konnte laut BMDS wegen der vorgezogenen Bundestagswahl nicht gewahrt werden. Die Bundesregierung arbeite unter Hochdruck daran den Gesetzentwurf nun zügig ins Kabinett zu bringen.

3.4 Data Act: Informationen und Berichtigungen

Seit 12. September 2025 kommt er zur Anwendung – und es gibt etliche Veröffentlichungen dazu, die darstellen, was für wen gilt und warum. Ein Beispiel: Was er regelt – und was Unternehmen jetzt tun müssen.
Aber es gibt auch Berichtigungen in den Sprachfassungen. Die der deutschen Fassung ist hier veröffentlicht.

3.5 Regierungsentwurf zum Gesetz zur Modernisierung des Produkthaftungsrechts

Mit dem vorliegenden Entwurf der Bundesregierung soll das deutsche Produkthaftungsrecht zum ersten Mal seit 1989 umfassend reformiert werden. Er dient der Umsetzung der Richtlinie (EU) 2024/2853 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über die Haftung für fehlerhafte Produkte und zur Aufhebung der Richtlinie 85/374/EWG. Diese Richtlinie modernisiert das bisherige EU-Produkthaftungsrecht und hat das Ziel zum Funktionieren des Binnenmarktes beizutragen und gleichzeitig ein hohes Schutzniveau für Geschädigte sicherzustellen. Die Umsetzung hat bis zum 9. Dezember 2026 zu erfolgen. Wegen der Vielzahl der Änderungen soll das Produkthaftungsgesetz neu gefasst werden, das 1989 die ursprüngliche EU-Produkthaftungsrichtlinie von 1985 umgesetzt hat. Im Vordergrund der Modernisierung steht dabei die Anpassung an die Digitalisierung, an die Kreislaufwirtschaft und an die globalen Wertschöpfungsketten. Nach dem Entwurf wird Software (z.B. auch KI) künftig unabhängig von der Art ihrer Bereitstellung oder Nutzung in die Produkthaftung einbezogen. Das neue Produkthaftungsrecht trägt dem Umstand Rechnung, dass Hersteller häufig auch nach dem Inverkehrbringen noch Kontrolle über ihr Produkt ausüben, etwa durch Software-Updates oder durch die Anbindung an digitale Dienste. Zur Anpassung an die Kreislaufwirtschaft enthält das neue Produkthaftungsrecht Regelungen zu Produkten, die nach ihrem Inverkehrbringen wesentlich verändert werden. Beispielsweise können durch „Upcycling“ Produkte so umgestaltet werden, dass sie ein geändertes Risikoprofil erhalten und infolgedessen haftungsrechtlich als neue Produkte anzusehen sind. In diesem Fall gilt derjenige als Hersteller, der die wesentliche Veränderung vorgenommen hat. Wenn der Hersteller eines Produkts außerhalb der EU ansässig ist, können unter bestimmten Voraussetzungen auch weitere Akteure haften, namentlich Importeure, Beauftragte des Herstellers, Fulfilment-Dienstleister, Lieferanten sowie bestimmte Anbieter von Online-Plattformen. Darüber hinaus enthält das neue Produkthaftungsrecht Regelungen über die Offenlegung von Beweismitteln und zur Beweislast, die Klägerinnen und Klägern erleichtern sollen Schadensersatzansprüche geltend zu machen, und mit denen insbesondere auf die zunehmende Komplexität moderner Produkte reagiert werden soll.
Zu dem Entwurf gibt es auch eine FAQ.

3.6 NIS2-Umsetzungsgesetz

Es geht voran. Mitte Oktober 2025 fand im Ausschuss eine Anhörung zum Entwurf statt, nachdem der Bundestag im September den Entwurf in die Ausschüsse verwiesen hatte. Die Stellungnahmen sind hier veröffentlicht. Die Anhörung ist hier aufgezeichnet (Dauer 1:40 Std.). Der aktuelle Stand des Gesetzgebungsverfahren mit Stellungnahme des Bundesrates und der Reaktion der Bundesregierung ist hier zu lesen. Es irritiert, wenn die Bundesregierung den Vorschlag des Bundesrates (hier unter Ziffer 12 zu § 40 Abs. 3 BSIG-E), auf der Webseite des BSI ein gemeinsames Meldeportal für Meldungen nach NIS2 und Art. 33 DS-GVO zu errichten, ablehnt (vgl. Stellungnahme Ziffer 12 auf Seite 16).
Und zumindest originell kann es gefunden werden, wenn auf der Website des Bundestags die erste Lesung des Gesetzes mit "Informationssicherheit in der Bundesverwaltung" überschrieben wird – zwar ist das auch ein regulatorischer Teilbereich, der durch das Gesetz adressiert wird, aufgrund der umfassenden Bereichsausnahmen für den öffentlichen Sektor aber im Vergleich zur Privatwirtschaft bislang nur ein verschwindend geringer.

3.7 EU und Microsoft einigen sich auf neue Vorgaben für Videosoftware Teams

Um die Bedenken der EU-Kommission auszuräumen, hat sich Microsoft zu mehreren wesentlichen Schritten verpflichtet, wie hier berichtet wird. Dazu gehört vor allem die Entbündelung der Softwarepakete. Microsoft muss ab sofort Versionen seiner Cloud-gestützten Office-Pakete ohne die Videokonferenzlösung im Europäischen Wirtschaftsraum (EWR) zu einem "deutlich geringeren Preis" anbieten. Zu der Freihandelszone gehören neben den EU-Staaten Island, Liechtenstein und Norwegen.

3.8 EU: Chat-Kontrolle – noch nicht vom Tisch

Die Entwicklungen sind rasant. Kommt nun auf europäischer Ebene eine gesetzliche Vorgabe Schutzmaßnahmen einzuschränken (natürlich nur, um sexuelle Gewalt gegen Kinder zu bekämpfen) oder nicht? Sollte sie kommen, wird bestimmt dagegen geklagt. Die Bundesregierung hat auch noch nicht final ihre Zustimmung signalisiert, im Gegenteil, es gibt auch Stimmen innerhalb der Koalition dagegen. Auch gab es eine Petition und einen offenen Brief von Wissenschaftlern gegen die Zustimmung zur Chatkontrolle, die offenbar auch Wirkung zeigten.

3.9 DS-GVO Reform: Ideen des Ministerrates

Es mehren sich die Initiativen, Stellungnahmen und Vorschläge, ob nun gefragt oder nicht. Nach dem Entwurf der EU-Kommission vom Mai 2025 im Rahmen des Omnibus IV gibt es Änderungsvorschläge seitens des EU-Rates. Danach sollen z.B. die Unternehmensgrößen, für die dann Ausnahmen gelten können, angehoben werden (vgl. Rn. 7). Auch wird klargestellt, dass, sollten die Rückausnahmen greifen, dann nur diese „Hochrisiko“-Verarbeitungen im Rahmen des Art. 30 Abs. 1 und 2 DS-GVO dokumentiert werden sollten (Rn. 9).

3.10 VDS: Stellungnahme des DAV

Der Deutscher Anwaltverein (DAV) hat seine Stellungnahme zur öffentlichen Konsultation der EU-Kommission zur Vorratsdatenspeicherung veröffentlicht. Er äußert darin Bedenken hinsichtlich der Ausgestaltung des Konsultationsprozesses sowie der darin angelegten Prämissen. Insbesondere erscheint die Fragestellung tendenziös und nicht ergebnisoffen, wodurch zentrale Risiken einer anlasslosen Vorratsdatenspeicherung unzureichend berücksichtigt werden. Von besonderer Relevanz sei zudem der Schutz des anwaltlichen Berufsgeheimnisses, das nach der Rechtsprechung von EuGH und EGMR einen unverzichtbaren Bestandteil rechtsstaatlicher Verfahren bildet. Eine anlasslose Speicherung von Metadaten gefährdet die Vertraulichkeit zwischen Anwalt und Mandant und kann so die Wahrnehmung der Verteidigungsrechte erheblich beeinträchtigen. Der DAV fordert daher klare gesetzliche Vorkehrungen, einschließlich technischer Schutzmechanismen wie eines Whitelisting-Verfahrens, sowie strikte Beschränkungen bei Speicherung und Zugriff.

3.11 Digital Fairness Act – Konsultationsverfahren

Die Europäische Kommission hat im vergangenen Jahr mit dem Abschlussbericht des "Digital Fairness Fitness Check" festgestellt, dass das geltende EU-Verbraucherrecht den Herausforderungen durch die digitale Welt nicht mehr ausreichend gerecht wird. Denn: Problematische Geschäftspraktiken machen es für Verbraucherinnen und Verbraucher im Internet schwer ihre Interessen zu wahren. Sogenannte Dark Patterns in Websites oder Apps verleiten bspw. dazu persönliche Daten herauszugeben. Darüber hinaus sind z. B. Apps suchterzeugend gestaltet – so entstehen stundenlange Bildschirmzeiten. Davon sind auch besonders Kinder und Jugendliche betroffen.
Die EU will mit einem Gesetz, dem Digital Fairness Act, gegensteuern. Im Hinblick darauf hat der Sachverständigenrat für Verbraucherfragen einen Policy Brief erarbeitet. Darin werden Impulse für die Gestaltung des Digital Fairness Acts formuliert.
Rückmeldungen zu Entwurf der Kommission können bis 24. Oktober 2025 eingereicht werden, auch klicksafe ruft zur Beteiligung auf.

3.12 Durchführungsgesetz zur KI-VO

Das BMDV hat einen überarbeiteten Entwurf eines Durchführungsgesetzes zur KI-VO vorgelegt.
Die KI-Verordnung gilt schon jetzt unmittelbar in allen Mitgliedstaaten. Eigentlich braucht es also keine nationalen Umsetzungsgesetze. Aber: Die Mitgliedstaaten haben über die KI-VO eigene "Hausaufgaben" bekommen – etwa die Einrichtung einer Marktüberwachungsbehörde, die die Einhaltung der Vorgaben prüft und Verstöße sanktioniert. In Deutschland sollte ursprünglich die Bundesnetzagentur allein für die Marktüberwachung zuständig sein, doch der neue Entwurf hält eine Änderung bereit, die gerade für Finanzdienstleister spannend klingt: Das BaFin soll künftig die Marktüberwachung übernehmen, wenn es um Hochrisiko-KI-Systeme im Zusammenhang mit regulierten Finanztätigkeiten geht. Die Liste der betroffenen Unternehmen kommt einem dabei sehr vertraut vor – im Wesentlichen handelt es sich um die nach der DORA-Verordnung regulierten Finanzunternehmen. Mit dabei sind u. a. Kreditinstitute, Zahlungsinstitute, CCPs, Versicherungen, Kryptodienstleister und viele mehr.

3.13 DMA: Konsultation abgeschlossen

Die EU-Kommission hat eine öffentliche Konsultation zur ersten Überprüfung des Digital Markets Act (DMA) am 24. September 2025 abgeschlossen. Warten wir mal ab, was dazu noch passiert.

3.14 Digitale Identitäten – wer weiß was?

Wie hier berichtet wird, ist die Bundesregierung bemüht Bedenken rund um Datenschutz und Nachverfolgbarkeit bei der geplanten E-Brieftasche auf Basis des Rechtsakts für eine europäische digitale Identität (EUid) auszuräumen. Die in Deutschland vorgesehene Wallet für die EuDI (European Digital Identity) werde ausschließlich direkte Kommunikation zwischen der entsprechenden App und der empfangenden Prüfstelle nutzen, schreibt das federführende Digitalministerium in einer jetzt veröffentlichten Antwort auf eine Anfrage im Bundestag.

3.15 EU: Sanktion gegen Google wegen Kartellrechtsverstoß

Die EU-Kommission hat gegen Google 3 Mrd. Euro Geldbuße wegen Verstoßes gegen europäisches Kartellrecht verhängt. Es hatte sich bereits angekündigt. Konkret wirft die EU-Kommission dem Unternehmen vor seine eigenen Technologiedienste in der Werbetechnologiebranche („adtech“) für Online-Werbeanzeigen zum Nachteil konkurrierender Anbieter von Werbetechnologie, von Werbetreibenden und von Online‑Publishern zu bevorzugen.

3.16 TUM: Projektgruppe DS-GVO-Reform

Im TUM Think Tank Netzwerk startete ein neues Projekt: Eine Arbeitsgruppe DS-GVO-Reform will bis Dezember 2025 konkrete Reformbausteine vorlegen. Dabei befassen sie sich mit zentralen Fragen: Wie lässt sich der Datenschutz stärken und effektiver gestalten und wie kann die Datennutzbarkeit verantwortungsvoll für wirtschaftliche Innovationen und gesellschaftliche Problemlösungen erhöht werden? Das Ziel sei verständliche, anschlussfähige und umsetzbare Reformbausteine, die Datenschutz und Datennutzung gemeinsam denken, – mit konkretem Mehrwert für Anwendungspraxis und politische Debatte – zu erarbeiten. Zwischen September und Dezember 2025 sollen vier konkrete Maßnahmenempfehlungen für eine praxisnahe Weiterentwicklung der DS-GVO entwickelt werden, begleitet von Konsultationsformaten mit Stakeholdern aus Politik, Verwaltung, Wirtschaft und Zivilgesellschaft. Die Ergebnisse sollen Ende 2025 veröffentlicht und öffentlich vorgestellt werden. Die Arbeitsgruppe bringt Expertinnen und Experten aus Wissenschaft, Aufsicht, Praxis und Zivilgesellschaft zusammen wie Vertreter der Datenschutzaufsichten aus Hamburg, des BayLDA und der BfDI, des BvD sowie von noyb, Wissenschaft, europäischen Akteuren und Rechtsberatung.

4.1 EU-Kommission: Fragen zur KI-VO und Strategien zur Beschleunigung der KI-Einführung

Diese Liste mit häufig gestellten Fragen zur KI-VO wurde auf Grundlage von Fragen, die während der AI-Act-Webinare des AI Office gestellt wurden, sowie von Beiträgen von Interessengruppen zusammengestellt. Diese Liste wird regelmäßig und nach Bedarf aktualisiert. Passend dazu initiiert die EU-Kommission zwei Strategien zur Beschleunigung der KI-Einführung in der europäischen Wirtschaft und Wissenschaft.
In der Strategie „KI anwenden“ wird dargelegt, wie die KI-Nutzung in den Schlüsselindustrien und im öffentlichen Sektor in Europa beschleunigt werden kann. Der Schwerpunkt der Strategie „KI in der Wissenschaft“ liegt darauf Europa in der KI-gestützten Forschung und wissenschaftlichen Exzellenz an vorderster Front zu platzieren.

4.2 Der Kampf zwischen Scraping und Datenschutz

Weil das Thema immer noch aktuell ist und das Dokument entsprechend aktualisiert wurde: Der Hinweis auf die Arbeit „Der große Konflikt: Der Kampf zwischen Scraping und Datenschutz“.

4.3 ISO/IEC AWI 25959: Angriffspotenziale auf Deep-Learning basierte Technologie

Es gibt einen weiteren Standard im KI-Umfeld, der aktuell in Entwicklung ist. Der ISO/IEC AWI 25959 Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre – Anwendung von Angriffspotenzialen auf Deep-Learning-basierte Technologie hat den Status „in Entwicklung“, eine Arbeitsgruppe hat einen Entwurf erarbeitet. Dieser Standard definiert eine Angriffspotenzialtabelle für die Deep-Learning-basierte Bilderkennung, die für verschiedene Bereiche wie Gesichtserkennung, autonomes Fahren und Videoüberwachung verwendet werden kann. Obwohl dieser Standard in erster Linie für solche Anwendungen vorgesehen ist, kann er bei Bedarf auch in anderen Bereichen eingesetzt werden.

4.4 DeepFake in Österreich: Warnung des BKA

Das Bundeskriminalamt Österreich warnte angesichts eines DeepFake-Videos mit dem Innenminister vor einer neuen Betrugs-Variante. Über vermeintliche Aussagen des Innenministers sollten Zahlungen bei den Opfern initiiert werden.

4.5 KI-Nutzung durch Jugendliche – mehr Schutz erforderlich

In den USA wird auch anlässlich eines Suizids eines Jugendlichen über den Schutz vor KI diskutiert. Der Jugendliche nutzte KI für die Hausaufgaben, bevor ihm die KI bei Suizid unterstützte. Die Eltern werfen nun OpenAI vor zu wenig Sicherheitsmaßnahmen in ihren Chatbot integriert zu haben, wie hier berichtet wird. Bereits vorher gab es aber schon Überlegungen in den USA dazu, wie hier nachgelesen werden kann. Zu dem konkreten Fall ließ sich vernehmen, dass OpenAI dies „herzzerreißend“ findet.

4.6 Practical Library Of Threats 4 Artificial Intelligence

Wer sich mit Bedrohungsanalysen bei KI befasst, sollte sich diese Quelle ansehen. PLOT4ai ist eine umfassende Methodik zur Bedrohungsmodellierung, die für Entwickler und Betreiber von KI-Systemen konzipiert wurde, um die Identifizierung und Minderung von KI-Risiken zu unterstützen. Sie umfasst eine Bibliothek mit 138 KI-bezogenen Bedrohungen, die acht Bereiche abdecken:

• Daten und Datenverwaltung
• Datenschutz und Datensicherheit
• Voreingenommenheit, Fairness und Diskriminierung
• Sicherheit und Umweltauswirkungen
• Cybersicherheit
• Ethik und Grundrechte
• Transparenz und Zugänglichkeit
• Rechenschaftspflicht und Aufsicht

4.7 OWASP: Reifegradmodelle für KI-Systeme (AIMA)

Wer ein Datenschutz-Reifegradmodell für den Einsatz von KI erstellen will, kann sich an dem Vorschlag der OWASP orientieren. Die OWASP AI Maturity Assessment (AIMA) (hier in der Version 1.1) soll Unternehmen dabei helfen den Einsatz künstlicher Intelligenz zu bewerten, zu steuern und zu verbessern. Da KI zunehmend eine zentrale Rolle in moderner Software und Entscheidungsfindung spielt, biete AIMA einen praktischen, strukturierten Ansatz für eine verantwortungsvolle, sichere und effektive Integration von KI.
AIMA unterstützt Unternehmen dabei zu bewerten, inwieweit ihre KI-Systeme mit strategischen Zielen, ethischen Grundsätzen und betrieblichen Anforderungen übereinstimmen. Das Modell umfasst fünf Kernbereiche: Strategie, Design, Implementierung, Betrieb und Governance. Jeder Bereich enthält umsetzbare Reifegrade, die als Leitfaden für die Einführung und Verbesserung dienen.
AIMA wurde als gemeinschaftsorientiertes OWASP-Projekt entwickelt und stützt sich auf bewährte Verfahren in der Software-Sicherung, während es gleichzeitig die besonderen Herausforderungen der KI angeht – wie Erklärbarkeit, Datenrisiken und gegnerische Bedrohungen. Das Excel-Toolkit dazu ist hier veröffentlicht.

4.8 Alan Turing Institute: Data Poisoning of LLM

Forscher des Alan Turing Institute, der Anthropic und des AI Security Institute haben die bisher größte Untersuchung zur „Datenvergiftung“ durchgeführt. Dabei wurde festgestellt, dass nur 250 bösartige Dokumente verwendet werden müssten, um ein Sprachmodell zu "vergiften", selbst wenn die Modellgröße und die Trainingsdaten zunehmen. Data Poisoning tritt auf, wenn Angreifer Online-Inhalte verbreiten, die darauf abzielen die Trainingsdaten eines KI-Modells zu beschädigen und potenziell schädliche Ergebnisse zu erzeugen. Dazu gehört auch das Einfügen von Hintertüren. Zum Beispiel eine bestimmte Phrase, die ein ansonsten verborgenes Verhalten auslöst. Hintertüren können sogar dazu führen, dass Models persönliche oder kommerziell sensible Daten preisgeben. Frühere Arbeiten gingen davon aus, dass Angreifer einen bestimmten Prozentsatz der Daten vergiften müssten, um erfolgreich zu sein, aber die Ergebnisse deuten darauf hin, dass dies nicht der Fall sei. Das bedeutet, dass reale Giftangriffe realer sein könnten als bisher angenommen.

4.9 Microsoft 365 Copilot und Zugriffsprotokolle

Nach dieser Meldung war es für Nutzer nicht erkennbar, dass der Copilot bei der Gestaltung seiner Antworten auf geheime Informationen innerhalb eines Unternehmens zugriff, ohne dass dies protokolliert wurde. Das sei zwischenzeitlich behoben – sagt Microsoft.

Franks Nachtrag: In dieser Podcast-Folge (Dauer 2:01 Std.) können Sie sich anhören, wie der Umgang Microsofts mit dieser Situation (ab ca. Minute 95) bewertet wird. Spoiler: Nicht so gut.

4.10 Ethics by Design

Der Sachstandsbericht des Deutschen Referenzzentrums für Ethik in den Biowissenschaften (DRZE) zum Thema „Ethics by Design" ist nun in der Open-Access-Version verfügbar.

4.11 HOOU: PDF und KI-Chatbots – Beispiele für die Lehre

Bei der Nutzung von KI (LLM) treten viele Rechtsfragen auf. Und oft gibt es noch keine höchstrichterlich geklärten Antworten. Auch an Schulen, Hochschulen und Universitäten treten diese Fragen auf, auch unter Berücksichtigung eines gewissen Privilegs. Dürfen fremde PDFs in einem KI-Chatbot hochgeladen werden? Können KI-generierte Bilder einfach genutzt werden? Müssen KI-generierte Inhalte überhaupt gekennzeichnet werden? KI-Output ist oft nicht urheberrechtlich geschützt, aber die Nutzungsbedingungen der Anbieter können trotzdem Grenzen setzen. Doch wann gilt was? Eine Broschüre der Hamburg Open Online University (HOOU) versucht hier die zehn häufigsten Rechtsfragen zu KI im Bildungsbereich mit Stand April 2025 zu beantworten. Die Broschüre mit dem Titel „10 Fragen zu KI-Output, Urheberrecht & OER“ finden Sie hier.

4.12 Study smart: KI-Guide für Studierende

Von der Universität Hamburg gibt es einen KI-Guide für Studierende. Er soll beim Einsatz von KI unterstützen, z.B. darüber informieren, welche Vorgaben es an der Universität zu KI gibt, und mit praktischen Tipps, Checklisten und Beispielen den Studienalltag erleichtern. Der Study-Guide ist als Poster gestaltet.

4.13 Arbeiterkammer Wien: KI am Arbeitsplatz

Für die Arbeiterkammer Wien wurde eine Studie erstellt, die sich mit Überwachungsrisiken durch den Einsatz von KI befasst. Die Studie „Algorithmisches Management via Smartphone“ zeigt auf, wie Beschäftigte im Außendienst – von technischer Wartung bis mobiler Pflege – via Smartphone zunehmend digital gesteuert und überwacht werden können. Über Apps erhalten sie Aufgaben, Routen und Zeitvorgaben. Gleichzeitig erfassen diese Systeme Daten über Arbeitsverhalten, Bewegungen und Leistung – oft in Echtzeit und mit detaillierter Auswertung. Diese digitale Kontrolle bringe zahlreiche Risiken mit sich: Stress, steigende Arbeitsverdichtung, sinkender Handlungsspielraum und Druck durch algorithmische Bewertung. Besonders betroffen sind Branchen wie Pflege, Reinigung und technische Services. Die Studie analysiert den Einsatz solcher Systeme (z. B. von Microsoft, SAP oder Salesforce), ihre Wirkungen auf Beschäftigte und zeigt anhand österreichischer Fallbeispiele, wie sehr digitale Kontrolle bereits verbreitet ist. Die Studie geht aber auch auf Handlungsoptionen für die betriebliche Interessensvertretung ein.

4.14 INCITS: Videoreihe zu ISO 42005

Das InterNational Committee for Information Technology Standards (INCITS) veröffentlichte eine sechsteilige Videoreihe auf YouTube („Mastering AI Impact Assessments with ISO/IEC 42005“, Gesamtdauer ca. 140 Min.), die sich mit der Umsetzung der KI-Folgenabschätzung auf Basis des ISO/IEC 42005 befasst. Dabei wird gezeigt, wie Folgenabschätzungen für KI-Systeme entworfen, ausgeführt und dokumentiert werden können.

4.15 „telli“: Chatbot für die Schulvorbereitung

Der KI-gestützte Chatbot „telli“ ist ab sofort für alle Schulen in Baden-Württemberg verfügbar. Er unterstützt Lehrkräfte bei der Unterrichtsvorbereitung und Schülerinnen und Schüler im Schulalltag. „telli“ ist ein KI-gestützter Chatbot, der speziell für den schulischen Einsatz entwickelt wurde. Er geht im ersten Schritt mit einer schlanken Ausstattung an den Start. Ziel ist es gemeinsam mit den Nutzerinnen und Nutzern und dem von dort kommenden Feedback eine kontinuierliche Verbesserung und Erweiterung des Angebots zu erzielen. Es handelt sich also nicht um eine fertige Lösung, sondern um eine Grundversion, die über die Zeit von einer hohen Nutzerzahl und entsprechender Weiterentwicklung profitieren soll. In der Startversion bietet „telli“ verschiedene Features wie Chat, Dialogpartner, Lernszenario und Assistenten, um den Nutzern eine vielfältige Interaktion zu ermöglichen. „telli“ kann sowohl zur Unterrichtsvorbereitung als auch im unterrichtlichen Kontext eingesetzt werden und ermöglicht es Lehrkräften Ideen für den Unterricht zu entwickeln, Schülerinnen und Schüler zu unterstützen und verschiedene Personas für den Unterricht zu erstellen.

5.1 Microsoft: Dokumente zum Einsatz von MS 365

Microsoft stellt weitere Dokumente bereit, um seinen Kunden einen datenschutzkonformen Einsatz zu ermöglichen. Dies umfasst ein MS-365-Kit, auf den Kunden nach dem Einloggen Zugriff erhalten und bei dem u.a. das BayLDA Hinweise gab. Enthalten sind u.a. Mustertexte für zentrale Bausteine der Datenschutzdokumentation – von Ausführungen zu den Rechtsgrundlagen, zum Verzeichnis der Verarbeitungstätigkeiten, zu Schwellwertanalysen, zu Hinweisen zur Anonymisierung bis hin zu einer Datenschutzerklärung. Auch fehlen nicht Hinweise zur Umsetzung einer Datenschutz-Folgenabschätzung bei Office 365 for Enterprises, Office 365 for Public Sector, Office 365 Copilot for Enterprises sowie Office 365 Copilot for Public Sector.
Und wem das noch nicht zum Durcharbeiten reicht, kann hier noch ein Cloud Compendium von Microsoft auch zu Datenschutz und KI durcharbeiten. Bericht dazu auch hier.
Und es gibt auch ein neues Data Protection Addendum, Stand September 2025, sowie die Synopse zur Vorfassung.

5.2 DSFA zu Microsoft 365 Copilot for Education

Aus den Niederlanden gibt es eine Aktualisierung der Datenschutz-Folgenabschätzung (DSFA) für den Schuleinsatz von Microsoft 365 for Education durch Surf. Über die erste Fassung hatten wir bereits berichtet. Microsoft befasste sich zwischenzeitlich mit den damals aufgezeigten Problemen.

5.3 Veröffentlichung von Unternehmensnamen durch Datenschutzaufsichtsbehörden

Wann dürfen in Deutschland Datenschutzaufsichtsbehörden die Namen von sanktionierten Unternehmen veröffentlichen? Damit befasst sich anlässlich eines Urteils des Bundesverfassungsgerichts bei Verstoß gegen lebensmittelrechtliche Vorgaben dieser Blog-Beitrag. Zu diesem sogenannten „Naming und Shaming“ werden verschiedene Rechtsgrundlagen betrachtet.

5.4 GDD-Kurzpapier zur Beendigung der Auftragsverarbeitung

Im Rahmen der Auftragsverarbeitung treffen den Verantwortlichen und den Auftragsverarbeiter diverse Pflichten. Während sich der Großteil der Pflichten auf das laufende Auftragsverarbeitungsverhältnis bezieht, betreffen einige der Pflichten auch die Beendigung des Vertragsverhältnisses. Das neue GDD-Kurzpapier Praxistipps für die Beendigung der Auftragsverarbeitung will praxisnahe Hinweise zur datenschutzkonformen Abwicklung und Beendigung des Auftragsverarbeitungsverhältnisses für Verantwortliche bieten, um so einerseits die Rechte und Freiheiten der betroffenen Personen wirksam zu schützen und um andererseits die Verantwortlichen gegen Haftungsrisiken abzusichern.

5.5 Schweden: Cyberattacke auf IT-Lieferanten von Kommunen

Wie hier bereits im August 2025 berichtet wurde, waren in Schweden 200 Gemeinden von einer Cyberattacke auf ihren Dienstleister Miljödata betroffen. Miljödata ist ein schwedisches Softwareunternehmen, das Arbeitsumgebungs- und Personalmanagementsysteme für Kommunen, Regionen und Organisationen entwickelt und bereitstellt. Neben der Unterbrechung des Dienstes gibt es Bedenken, dass Angreifer auch sensible Daten gestohlen haben. Lokale Medien berichteten, dass der Bedrohungsakteur von Miljödata ein Lösegeld von 1,5 Bitcoins (derzeit rund 168.000 US-Dollar) verlangte, um gestohlene Informationen nicht preiszugeben.

5.6 Australien: WLAN-Standortdaten und Protestierende

Anhand von WLAN-Standortdaten identifizierte die Universität Melbourne Studenten nach Protesten. Dabei wurde gegen den Datenschutz verstoßen. Der Datenschutzbeauftragte des australischen Bundesstaates Victoria stellte fest, dass die Nutzung dieser Daten eine Verletzung der Privatsphäre darstellte. Bericht dazu hier.

5.7 BGH und immaterieller Schadenersatz nach Art. 82 DS-GVO

Dieser Blog-Beitrag fasst die bisherige Rechtsprechung des BGH zum Art. 82 DS-GVO zusammen und analysiert die einzelnen Anforderungen daraus.

5.8 IT-Planungsrat: Generator für Datenschutzhinweise für öffentliche Verwaltung

Der IT-Planungsrat hat einen Generator für Datenschutzhinweise veröffentlicht. Für viele Fachbereiche in Behörden ist es eine Herausforderung Datenschutzdokumentationen eigenständig und in hoher Qualität zu erstellen. Oft bedeutet dies einen hohen Abstimmungs- und Ressourcenaufwand zwischen Fachabteilungen und Datenschutzbeauftragten. Um hier zu unterstützen, hat das „Kompetenzteam Datenschutz“ im Schwerpunktthema Datennutzung des IT-Planungsrates unter Federführung der Freien und Hansestadt Hamburg den Datenschutzhinweis-Generator entwickelt. Mit diesem Tool sollen Fachbereiche eigenständig Datenschutzhinweise zu Verwaltungsverfahren erstellen können und auch ohne vertiefte datenschutzrechtliche Vorkenntnisse auf eine praxisnahe Orientierungshilfe zurückgreifen. Der Generator richtet sich an Verfahren im Kontext der allgemeinen Verwaltung und berücksichtigt Datenverarbeitungen nach DS-GVO.

5.9 IT-Planungsrat: Eckpunktepapier zur behördenübergreifenden Datennutzung

Das Kompetenzteam Datenschutz im IT-Planungsrat hat zentrale Ergebnisse zur Nutzung von Verwaltungsdaten über Organisations- und Ebenengrenzen hinweg zusammengefasst. Die Analyse zeigt: Der bestehende datenschutzrechtliche Rahmen erlaube bereits eine behördenübergreifende Datennutzung. Die wesentlichen Anforderungen wie Erlaubnisvorbehalt, Zweckbindung und Datenübermittlungen sind rechtlich abgesichert. Die Hemmnisse lägen weniger im Recht, sondern überwiegend in der praktischen Umsetzung.
Damit wird deutlich: Für eine erfolgreiche Digitalisierung der Verwaltung ist es entscheidend vorhandene Spielräume konsequent zu nutzen und Umsetzungsprobleme gezielt anzugehen. Ein zweiter Teil des Eckpunktepapiers will Ende 2025 Maßnahmenvorschläge zur Lösung dieser Herausforderungen vorstellen.

5.10 Weltbank: Data Markets Module zum Datenschutz und Datenmärkten

Die Weltbank veröffentlichte einen Bericht über die Gesetze, Institutionen und Durchsetzung, die vertrauenswürdige Datenmärkte unterstützen: „Global Regulations, Institutional Development, and Market Authorities Perspective Toolkit“. Der Bericht zielt darauf ab Schwellenländern ein Toolkit an die Hand zu geben, um innovative Datenmärkte mit dem für Wachstum notwendigen Vertrauen aufzubauen. Er bietet empirische Forschung in 52 Ländern, die sich mit deren Datenschutzgesetzen und Durchsetzungsbehörden befasst und untersucht, wie sie mit Ressourcen ausgestattet und in der Praxis eingesetzt wurden. Viele/die meisten der befragten Länder verfügen über einen starken Rechtsrahmen und institutionelle Regelungen, aber eine schwächere Umsetzung und Durchsetzung. Es überrascht nicht, dass viele dieser Frameworks auf dem DS-GVO-Modell basieren, aber noch nicht vollständig implementiert wurden. Einige Länder haben eine "überraschend" strenge Durchsetzung, selbst wenn es keine robusten rechtlichen Rahmenbedingungen gibt.
Alle 52 Länder haben die folgenden zehn wichtigsten Datenschutzpraktiken für Informationen übernommen: Stärkerer Schutz der Privatsphäre für sensible Daten, Definition der Datenverarbeitung, Grenzwerte für die Datenspeicherung, Verpflichtung zur Verarbeitung nach Treu und Glauben, Spezifikation des Zwecks, Einwilligung nach Aufklärung, angemessene Sicherheitsmaßnahmen, Recht auf Auskunft, Recht auf Berichtigung und Widerspruchsrecht.

5.11 Podcast zur Abhängigkeit der deutschen IT von den USA

In dieser Podcast-Folge (Dauer ca. 40 Min.) aus dem August 2025 in der Reihe „Breitband“ des Deutschlandfunks wird die Umsetzung der NIS-2-Richtlinie angesprochen. Was ändert sich für Betreiber von IT-Systemen? Welche Regeln gelten für die staatseigenen Systeme? Und sollte bei der Gelegenheit das BSI unabhängig werden?

5.12 „Cybernation Deutschland“

Digitale Souveränität könne nur durch Zusammenarbeit entsteht und was das für Unternehmen bedeutet, wird in diesem Post auf LinkedIn erklärt. Ausgangspunkt ist die Vision des BSI dazu.

5.13 Nachweismöglichkeiten bei der Auskunfterteilung

Bei der Auskunft kann es oft zu Nachfragen kommen, wann und ob ein Auskunftsbegehren ausreichend beantwortet wurde. Welche Daten sind dazu erforderlich und wie begründen sich diese Speicherungen? Damit befasst sich dieser Blog-Beitrag.

5.14 Datenschutz-Informationen für Bewerber:innen

In diesem Blog-Beitrag finden sich Formulierungsmuster für die Umsetzung der Datenschutzinformationspflicht für Bewerber:innen. Natürlich sollte geprüft werden, ob die tatsächlichen Verarbeitungen auch dem angebotenen Muster entsprechen.

5.15 ForDaySec: Whitepaper „Cybersicherheit im Alltag“

Die Digitalisierung des Alltags stellt eine der zentralen Herausforderungen unserer Gesellschaft dar. Vernetzte Systeme durchdringen alle Lebensbereiche – von der Mobilität über die Gesundheitsversorgung bis hin zur Verwaltung. Während in Unternehmen eigene Abteilungen mit Kompetenz im Bereich Digitalisierung und digitaler Sicherheit über die Einführung und Nutzung neuer Technologien wachen, fehlt es in privaten Haushalten oft an Wissen, Ressourcen und struktureller Unterstützung. Hier soll das Whitepaper „Cybersicherheit im Alltag Ein Lagebild mit Szenarien, Forschungsperspektiven und Handlungsoptionen“ helfen.

5.16 Microsoft Digital Defence Report 2025

Microsoft hat seinen Digital Defence Report 2025 veröffentlicht. Alleine eine Zwei-Faktor-Authentifizierung könnte viele Abgriffe abwehren. Zu weiteren Details wird hier berichtet.

5.17.1 DS-GVO-Reformideen an der TUM -neu-

29.10.2025, 16:00 – 17:30 Uhr, online: Die Reformgruppe lädt zum Austausch. In den letzten Wochen hat die Arbeitsgruppe DSGVO-Reform an der TUM konkrete Vorschläge erarbeitet, die sowohl Datenschutz wirksamer machen als auch verantwortliche Datennutzung für Wirtschaft und Gesellschaft erleichtern sollen. Nun will sie in einen offenen Austausch mit einem breiten Fachpublikum aus Politik, Aufsichtsbehörden, Wirtschaft, Zivilgesellschaft und Wissenschaft treten. Weitere Informationen und Anmeldung (bis spätestens 26.10.!) dazu hier.

5.17.2 IHK Schwaben: KI-Prüfung aus Sicht der Datenschutzaufsicht

30.10.2025, 15:00 – 16:00 Uhr, online: Folgende Fragestellungen werden durch eine Bereichsleiterin des BayLDA behandelt:

• Wie prüft die Datenschutzaufsicht KI?
• Welche Fallkonstellationen sind derzeit am häufigsten, wo gibt es aus datenschutzrechtlicher Sicht die größten Probleme?
• Überblick über die Grundsatzfragen, die sich im Zusammenhang mit datenschutzkonformem Einsatz von KI stellen, am Beispiel eines HR-Tools zur Bewertung von Lebensläufen.
• Wo greifen Synergieeffekte zwischen KI-Verordnung und DS-GVO?
• Wie gelingt eine Datenschutz-Folgenabschätzung in diesem Zusammenhang?
• Welche Bedeutung hat die Stellungnahme des Europäischen Datenschutzausschusses für die Anwendung von KI-Tools für Unternehmen?

Weitere Informationen und Anmeldung (nur für Mitglieder der IHK Schwaben) hier.

5.17.3 LfDI Baden-Württemberg: KI-Woche – „Wer/wem nutzt KI?“ -neu-ish-

02./03.11.2025, Stuttgart: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg lädt zu seiner KI-Woche ein. An zwei Tagen geht es um Anwendungen und rechtliche Fragestellungen beim Einsatz von KI.

5.17.4 LfDI Rheinland-Pfalz: ePA für alle – Daten für alle? -neu-

06.11.2025, 14:00 – 17:30 Uhr, Mainz: Unter dem Titel „ePA für alle – Daten für alle? Deutschland im Zwiespalt zwischen digitalen Chancen und reellen Gefahren“ lädt der Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz zusammen mit der Verbraucherzentrale Rheinland-Pfalz ein. Mit Vertreterinnen und Vertretern aus der Zivilgesellschaft, der Ärzteschaft und des Verbraucherschutzes, von Krankenkassen, Wissenschaft und Politik wird über die bisherigen Erfahrungen mit der elektronischen Patientenakte und die daraus zu ziehenden Schlüsse für die Zukunft diskutiert. Weitere Informationen und Anmeldung hier.

5.17.5 Neues Datenrecht: Pflicht zum Teilen von (personenbezogenen) Daten

11.11.2025, 10:00 – 11:00 Uhr, online: Seit dem 12. September 2025 gelten die neuen Pflichten des Data Acts zum Teilen von Daten (Data Sharing). Unternehmen sind nun angewiesen Daten – darunter auch personenbezogene – mit Dritten zu teilen. Die Zielsetzung des Data Acts liegt im Abbau von Wettbewerbsbeschränkungen, steht damit aber im Widerspruch zum Datenschutzrecht. Für Datenschutzbeauftragte ergibt sich dadurch eine besondere Herausforderung: Wie lassen sich die Anforderungen des Data Acts mit den Vorgaben der DS-GVO in Einklang bringen? Dieses Spannungsverhältnis muss in der Praxis gelöst werden. Denn es müssen die Pflichten sowohl nach Data Act als auch nach DS-GVO eingehalten werden, was differenzierte Lösungen und die dringende Kenntnis beider Rechtsakte erfordert. Das Webinar will einen kompakten Überblick über die zentralen Pflichten des Data Acts geben und aufzeigen, wo Konflikte mit dem Datenschutzrecht entstehen können. Weitere Informationen und Anmeldung hier.

5.17.6 FragFinn und JFF: Virtueller Elternabend zur frühkindlichen Medienerziehung -neu-

13.11.2025, 17:00 – 18:00 Uhr, online: Beim Einstieg in die Medienwelt stellen sich Eltern viele Fragen: “Brauchen das die Kleinen überhaupt? Schon so früh? Und muss man Kinder jetzt schon zum Medienkonsum animieren?” Weil die Welt nicht stillsteht und auch Kinder der Digitalisierung im Alltag nicht entkommen können, ist Begleitung von Anfang an wichtig. Eltern sollten Kinder verantwortungsvoll und einfühlsam bei ihren ersten Erfahrungen mit Medien unterstützen. Dieser Elternabend möchte mit Referent:innen von JFF praktische Ratschläge und leicht umsetzbare Tipps vermitteln. Vorgestellt werden dabei pädagogische Medienempfehlungen – von kindgerechten Apps über altersgerechte, spaßige und lernförderliche Angebote wie Hörspiele, Games oder Videos – bis hin zu Ideen und Anleitungen, wie Kinder selbst Medien gestalten und produzieren können. Weitere Informationen und Anmeldung dazu hier.

5.17.7 Universität Kassel „Digitale Gesellschaft - Eine Gestaltungsaufgabe" (Wintersemester 2025 / 2026)

In (ursprünglich) fünf Beiträgen aus unterschiedlichen Disziplinen beleuchten die Vorträge komplexe Fragen der Gestaltung der Technik der Zukunft. Dahinter stehen konkrete Einzelprobleme - aber immer auch die Frage: Wie wollen wir in Zukunft leben? Zwei Vorträge gibt es in Präsenz in Kassel, alle anderen erfolgen online:

• 19.11.2025, 17 Uhr (Präsenz) "The Indirect Disclosure Effect: How Disclosing Generative AI Use Impacts Creators' Collaboration with AI"
• 10.12.2025 17 Uhr (online).: "Was ist effektive menschliche Aufsicht über KI?"
• 21.01.2026 17 Uhr (Präsenz): "Wie sich erlernte von designter Technik unterscheidet: Die neue Agency generativer KI und das Erfordernis der strategischen Interaktion mit ihr"
• 11.02.2026 17 Uhr (online): "Zwischen Halluzination und Realität: KI-Regulierung entlang der Wertschöpfungskette"

Weitere Informationen und Anmeldung hier.

5.17.8 Stiftung Datenschutz: Zweiteiliges Webinar zu der Verarbeitung von (u.a.) Kinderbildern durch Vereine -neu-

24.11.2025 & 01.12.2025, jeweils 18:00 – 19:00 Uhr, online: In der zweiteiligen Reihe der Stiftung Datenschutz zeigt eine Rechtsanwältin auf, worauf Vereine bei der Verarbeitung von Daten Minderjähriger achten müssen. Die Verarbeitung personenbezogener Daten von Kindern und Jugendlichen wirft besondere Fragen auf: Die DS-GVO enthält zwar einige Regelungen, lässt aber auch wichtige Aspekte offen. Hinzu kommen Vorgaben aus dem deutschen Recht, etwa im Vertragsrecht. Um dieses komplexe Themenfeld zu beleuchten, hat die Stiftung Datenschutz ein Gutachten in Auftrag gegeben. In dem zweiteiligen Webinar werden die wichtigsten Ergebnisse vorgestellt und es gibt praxisnahe Handlungsempfehlungen.
Im ersten Teil der Reihe geht es um die Rechtmäßigkeit der Datenverarbeitung: Auf welche Rechtsgrundlage können Vereine die Verarbeitung von Daten ihrer minderjährigen Mitglieder stützen? Ab wann können die Minderjährigen selbst in die Datenverarbeitung einwilligen? Wann eignet sich die Vertragserfüllung, und wer kann diese Verträge abschließen? Und wozu braucht es die Zustimmung der Eltern?
Der zweite Teil rückt die Betroffenenrechte der Kinder und Jugendlichen in den Mittelpunkt und erläutert, wie Vereine am besten ihre Informationspflichten erfüllen – zum Beispiel mit altersgerecht formulierten Datenschutzhinweisen. Und was passiert eigentlich, wenn die Jugendlichen volljährig werden? Oder wenn die Eltern mal nichts erfahren sollen?
Wichtig: Beide Teile bauen aufeinander auf. Eine Anmeldung umfasst daher automatisch beide Webinare. Falls der erste Termin nicht wahrgenommen werden kann, steht die Aufzeichnung rechtzeitig vor dem zweiten Webinar online zur Verfügung. So kann trotzdem problemlos eingestiegen werden. Weitere Informationen und Anmeldung hier.

5.17.9 Daten mit echter Wirkung: Regulatorische Gestaltungsspielräume smart nutzen

25.11.2025, 09:00 – 10:30 Uhr, online: Daten sind der zentrale Rohstoff für Steuerung, Innovation und Differenzierung – über alle Unternehmensbereiche hinweg. Ob in der operativen Effizienz, in digitalen Produkten oder als Entscheidungsgrundlage: Wer Daten strategisch einsetzen will, muss Technik, Organisation und Regulierung zusammendenken. Denn gleichzeitig entstehen im Zusammenspiel von KI-VO, Data Act, DS-GVO und Gesundheitsdatennutzung neue rechtliche Rahmenbedingungen, die nicht nur Grenzen setzen, sondern auch Gestaltungsspielräume und Effizienzen eröffnen. Wer die Orchestrierung der Regulatoriken beherrscht, verschafft sich in Zukunft einen klaren Wettbewerbsvorteil. In dieser Veranstaltung soll genau diese Perspektiven zusammengebracht werden: Wie lässt sich eine datenbasierte Strategie aufbauen, die technologisch skalierbar, rechtlich tragfähig und wirtschaftlich sinnvoll ist? Und: Wie können Unternehmen darin schnell und souverän handlungsfähig werden? Weitere Informationen und Anmeldung hier.

5.17.10 KI und Datenschutz: Aktuelle Urteile und Handlungsempfehlungen -neu-

25.11.2025, 13:00 – 14:00 Uhr, online: In der Veranstaltung der Stiftung Datenschutz aus der Reihe „Datenschutz am Mittag“ werden die Urteile des OLG Köln und des OLG Schleswig ebenso wie die Orientierungshilfen und Aussagen der DSK analysiert und diskutiert. Darüber hinaus werden jüngere Handreichungen u.a. des BSI, der CNIL, des IT-Planungsrates und der BfDI besprochen. Weitere Informationen und Anmeldung hier.

5.17.11 IHK München: 13. Datenschutztag -neu-

04.12.2025, 13:30 – 18:30 Uhr, München: Der 13. Münchner Datenschutz-Tag geht der Frage nach, wie der Weg in die Digitalisierung gelingen kann.  Braucht es eine Reform der DS-GVO und/oder z. B. neue Rechtsgrundlagen, um KI zu ermöglichen? Gibt es hierbei den europäischen Weg, der gleichzeitig die Wirtschaft entlastet und die Digitalisierung vorantreibt? Wie können Drittstaatentransfers langfristig abgesichert werden? Die EU-Kommission hat in der neuen Amtsperiode die Aufgabe die Anforderungen der DS-GVO mit denjenigen der EU-Datenökonomie in Einklang zu bringen. Für Unternehmen in Europa ist es unabdingbar digitale und innovative Geschäftsmodelle auf gesicherter rechtlicher Grundlage zu entwickeln. Die Veranstaltung will eine Plattform für einen Dialog zwischen Wirtschaft, Legislative, Exekutive und Datenschutzaufsicht zu diesen praxisrelevanten und zukunftsweisenden Themen bieten. Weitere Informationen und Anmeldung hier.

5.17 Veranstaltungen

6.1 Datenschutz und Gesellschaft

„Was erwartete die Gesellschaft vom Datenschutz?“ war der Titel eines Vortrags des Vorstands der Stiftung Datenschutz auf der re:publica, der hier auf YouTube (Dauer ca. 41 Min.) anzusehen ist. Dabei werden aktuelle Herausforderungen und gesellschaftliche Erwartungen betrachtet und es wird an die Bedeutung des Grundrechts auf Datenschutz für die Demokratie erinnert.

6.2 Auswirkungen von KI auf Denkleistungen von Schüler:innen

Wie wirkt sich der Einsatz von KI auf die Denkleistung von Schüler:innen aus? Damit befasste sich eine Oxford-Studie und kam zu dem Ergebnis, dass die Nutzung von KI auch die Art und Weise verändert, wie Jugendliche denken. Bericht dazu hier.
Ein Ergebnis sei, dass sich die Bildungssysteme weiterentwickeln müssten. Schulen sollten neue Wege finden, um mit KI zu unterrichten ohne die Art und Weise, wie Jugendliche denken, zu verändern.

6.3 Einsatz von Software von Palantir bei Sicherheitsbehörden in Deutschland

Um was geht es? Über Software des US-Herstellers können Informationen aus unterschiedlichen Datenbanken zusammengefasst und analysiert werden. Damit ist auch schon alles gesagt. Wunsch und Befürchtung liegen in diesem Satz. Zur Einführung dieses YouTube-Video (Dauer ca. 28 Min). Auch die Kulturzeit widmet sich diesem Thema hier auf YouTube (ca. 26 Min).
Auch liegt zwischenzeitlich ein Gutachten im Auftrag von AlgorithmWatch vor, dass sich mit dem biometrischen Abgleich zwischen Aufnahmen von Überwachungskameras und im Internet verfügbaren Bildern ohne Verwendung einer Datenbank befasst. Es kommt zum Schluss, dass dies ohne Erstellung einer Datenbank nicht möglich sei.
Wie schnell so eine Software zum Einsatz kommen kann und auch KI-gestützte Gesichtserkennung eingesetzt wird, zeigt ein Fall aus Frankfurt am Main vom Oktober 2025, über den hier berichtet wird: Ein junges Mädchen entwich aus einer psychiatrischen Einrichtung. Über eine Freigabe einer Richterin durfte deren Bild mit den Aufnahmen von Überwachungskameras abgeglichen werden. Noch am gleichen Tag wurde sie so in der Nähe des Hauptbahnhofes erkannt und konnte durch eine Polizeistreife aufgegriffen werden.

6.4 HIIG: Zine zum DSA

Das Alexander von Humboldt Institut für Internet und Gesellschaft (HIIG) informiert zum DSA. Der Digital Service Act (DSA) soll digitale Plattformen regulieren. Diese Plattformen werden von privaten Unternehmen betrieben, die mit eigenen Regeln und Algorithmen bestimmen, welche Inhalte sichtbar sind und wie viele Menschen sie erreichen. Besonders in sozialen Netzwerken wie zum Beispiel Instagram, Facebook oder X (früher Twitter) ist das bedeutsam, denn hier überschneiden sich öffentliche Debatten und private Kommunikation. Das heißt: Die Entscheidungen der Plattformen beeinflussen wesentlich, welche Themen Aufmerksamkeit finden und welche Stimmen gehört werden. Gerade weil Plattformen so tief in öffentliche Kommunikation eingreifen, braucht es klare Regeln, die ihre Verantwortung gegenüber der Gesellschaft festschreiben.
Dazu gibt es nun ein Zine. Zines (ausgesprochen: “Siiines”, wie das Ende von Magazine im Englischen) sind Teil der Geschichte von Gegenkultur. Sie sind oftmals künstlerisch gestaltete, selbst publizierte kleine Formate, die in geringer Auflage gedruckt und gut verteilt werden können. Sie passen in jede Tasche und genau darum sollte es auch gehen, wenn es um die dominanten Diskurse unserer Gesellschaft geht. Wenn wir wollen, dass alle Beteiligten und Betroffenen mitsprechen können, dann muss das nötige Wissen auch für alle zugänglich sein.
Das Zine bietet eine leicht verständliche Einführung in die Neuerungen, die sich durch den Digital Services Act ergeben. Es stellt dar, warum wir Plattformregulierung brauchen und wie genau unsere Rechte im Internet durch den DSA geschützt werden können. Plattformen haben bestimmte Pflichten im Umgang mit schädlichen Inhalten wie Hassrede und Desinformation. Gleichzeitig wird erklärt, welche Handlungsmöglichkeiten die Nutzenden in diesen Fällen haben. Das Zine findet sich hier.

6.5 Podcast zu Datenschutz in der Schule

In dieser Podcast-Reihe geht es in dieser Folge (Dauer ca. 31 Min.) um „Datenschutz in der Schule“.

6.6 USA: Vorgehen gegen „Doomscrolling“ durch große Netzwerke

Mit „Doomscrolling“ wird ein Zustand beschrieben, bei dem man alles um sich herum vergisst, während man in digitale Welten eintaucht. Nach diesem Bericht hat die Stadt New York die Social-Media-Giganten Google, Bytedance und Meta verklagt, weil diese nicht ausrechend genug den Jugendschutz beachteten. Es wird ihnen vorgeworfen gezielt die psychische Gesundheit von Jugendlichen zu gefährden. Die Plattformen sollen ihre Algorithmen mit Absicht so gestaltet haben, dass sie Kinder und Teenager regelrecht abhängig machen. Laut der 327-seitigen Klageschrift sollen die Unternehmen "das Suchtrisiko von Jugendlichen bewusst ausgenutzt" haben, um ihre Gewinne zu steigern. Google wies die Vorwürfe zurück und erklärte, YouTube sei kein soziales Netzwerk, sondern eine Streamingplattform. Mehr dazu hier und dort.

7.1 klicksafe: Quiz zum Datenschutz

klicksafe hat in Zusammenarbeit mit YoungData ein Quiz zum Datenschutz erstellt. Warum ist Datenschutz für uns alle so wichtig? Welche Rechte haben wir durch die DS-GVO? Und wie beeinflusst Künstliche Intelligenz heute den Umgang mit unseren Daten? Diese Fragen – und viele mehr – will das interaktive Quiz beantworten: „Bist du ein Datenprofi im Internet?“. Jugendliche zwischen 13 und 18 Jahren sollen dabei spielerisch lernen, wie sie ihre Daten schützen können und welche Gefahren im digitalen Alltag lauern.
klicksafe hält es besonders geeignet für den Einsatz in Schule und Unterricht, bei Workshops oder Projekttagen mit Jugendlichen – aber auch zum Selbst-Check für alle Interessierten.

7.2 USA: Gegenwind zur aktuellen Politik

Neben landesweiten Protesten fällt ein Gouverneur auf, der aktuell offen Widerstand gegen die Politik der Trump-Administration zeigt: Der Gouverneur aus Kalifornien, wie hier berichtet wird. Ist sicherlich nicht verkehrt, wenn man sieht, wie die USA aktuell mit Kritik umgeht: Einem deutschen Journalisten wurden nach einem Post zum Mord an Charlie Kirk das US-Visum entzogen, wie dort berichtet wird.

7.3 USA: Strompreise durch KI teurer

Das hatten sich viele US-Bürger:innen auch anders vorgestellt. Nach diesem Bericht steigen die Strompreise durch die Zunahmen des Strombedarfs durch den Einsatz von KI an.

7.4 TUM: Frontiers in Child Digital Safety Report – Literaturtipps

Zusammen mit der Universität Harvard und der Universität Zürich hat die Technische Universität in München (TUM) Lektürehinweise für Pädagogen und Eltern erstellt. Diese Auswahl entstammt aus dem Bericht "Frontiers in Child Digital Safety" und bietet Einblicke, die helfen sollen Kinder und Jugendliche bei der Navigation in der heutigen digitalen Welt zu unterstützen.
Die Tipps sollen helfen die digitale Resilienz zu fördern, sichere und leistungsfähige Online-Erlebnisse zu ermöglichen und die Risiken und Chancen neuer Technologien besser verstehen zu können. Auch wenn in der Weltmetropole München beheimatet und mit deutschem Steuergeld finanziert, ist es der TUM nicht peinlich diese Liste nur in Englisch zu veröffentlichen.

7.5 Kinderschutz Schweiz: 90 Sekunden bis zur pädokriminellen Straftat

Es braucht oft nur 90 Sekunden. Ein harmloser Klick, ein Spiel, ein Chat und schon beginnt ein gefährliches Spiel mit fatalem Ausgang. ⁠Kinder und Jugendliche werden im Internet manipuliert, belästigt und ausgebeutet, oft ohne das es jemand merkt. Denn Pädokriminalität im Internet kann jedes Kind treffen. ⁠⁠Um das gesellschaftliche Bewusstsein für diese Problematik zu schärfen, lancieren der Kinderschutz Schweiz in Zusammenarbeit mit der nationalen Plattform «Jugend und Medien» des Bundesamtes für Sozialversicherungen BSV, der Schweizerische Kriminalprävention SKP und zahlreichen weiteren Partner:innen die zweite Phase der nationalen Kampagne «Gemeinsam gegen Cybersexualdelikte an Kindern und Jugendlichen».⁠ ⁠Dieses Jahr richtet sich die Aufmerksamkeit auf das Thema «Pädokriminalität im Netz». Ziel ist es Eltern, Bezugspersonen und die breite Öffentlichkeit zu sensibilisieren und ihnen konkrete Schutzstrategien an die Hand zu geben.⁠ ⁠Denn sexualisierte Gewalt – unabhängig davon ob online oder offline – ist nie die Schuld des Kindes. Verantwortlich ist immer die Tatperson. Wenn etwas passiert, ist es wichtig ruhig zu bleiben, zuzuhören und Hilfe zu holen: bei clickandstop.ch und bei der Polizei.

7.6 Schweiz: Geschichten aus dem digitalen Alltag

Die Präventionskampagne "Geschichten aus dem digitalen Alltag" verschiedener Bundesstellen und der Schweizerischen Kriminalprävention will die Bevölkerung für ein eigenverantwortliches Verhalten im Internet und einen gesunden Umgang mit Handy, Computer und den eigenen Daten sensibilisieren. Das schweizer Bundesamt für Kommunikation (BAKOM) leitet diese nationale Kampagne in Form von Comic-Geschichten. Die Comics rund um die Familie Webster erscheinen in allen vier Landessprachen und in Englisch. Sie dienen Lehrpersonen, Eltern und Großeltern als Leitfaden für die Diskussion mit Jugendlichen rund um den digitalen Alltag und bieten praktische Ratschläge in Geschichten aus dem Internet (websters.swiss) Season 1, Geschichten aus dem digitalen Alltag Season 2, Geschichten aus dem digitalen Alltag Season 3 und Geschichten aus dem digitalen Alltag Season 4.

8.1 KI-Training durch LinkedIn? Widersprechen? Sinnvollerweise vor dem 03.11.2025 ...

So zumindest die Empfehlungen des LfDI Mecklenburg-Vorpommern und des HBDI.
Ab dem 3. November 2025 will LinkedIn anfangen mit den Daten der Nutzer:innen KI zu trainieren. Sowohl der LfDI Mecklenburg-Vorpommern als auch der HBDI haben eine Anleitung zum Widersprechen veröffentlicht.

8.2 BigBrotherAwards 2025

Die diesjährigen BigBrotherAwards begingen das 25. Jubiläum. Deswegen gab es leichte Veränderungen. Preisträger waren:

• In der Kategorie Technik: Google für den KI-Assistenten Gemini
• In der Kategorie Behörden und Verwaltung: Innenminister Alexander Dobrindt (CSU) für sein geplantes „Sicherheitspaket“
• In der Kategorie Arbeitswelt: Das Verwaltungsgericht Hannover und das Bundesarbeitsgericht für krasse Fehlurteile in Sachen Amazon
• In der Kategorie Social Media: Die chinesische Plattform TikTok für Verletzungen des Datenschutzes, für die Verbreitung von Fake-News und Hatespeech, für die Manipulation von Menschen in Bezug auf ihre politischen Überzeugungen, ihre Wertvorstellungen und ihr Konsumverhalten durch undurchsichtige Algorithmen sowie für die Schaffung von Abhängigkeiten, insbesondere bei Minderjährigen
• In der Kategorie "Was mich wirklich wütend macht": Der Bürokratieabbau, weil es dabei oft um Deregulierung und den Abbau von Gesetzen, die Verbraucher.innen schützen, geht

Besonders erwähnenswert war für mich, dass mit dem Präsident des frisch prämierten Verwaltungsgerichts Hannover einer der Preisträger 2025 diesen Preis auch entgegennahm und in seiner Rede in den Dialog ging. Nachahmenswert!
Wenn Sie die Preisverleigung verpasst haben und jetzt neugierig geworden sind, Sie können die Veranstaltung z.B. hier auch nachschauen. Bis zum Ende durchhalten kann informativ sein...

8.3 KI? Versteh ich nicht ...

Die Maus kann helfen.

9.1 Peinliche Interviews im Netz nach Straßenumfrage?

Wer freut sich nicht, wenn er um seine Meinung gefragt wird? Manchmal passiert das auch auf der Straße mit Mikrophon und / oder Kamera und schnell können spontane Aussagen und Reaktionen bereut werden, insb. wenn diese dann im Internet mit Bild und Ton veröffentlicht werden. Welche rechtlichen Anforderungen dazu bestehen und welche Möglichkeiten es gibt, wenn diese nicht beachtet werden – gerade wenn es sich bei den befragten Personen um Minderjährige handelt – wird hier in diesem Blog-Beitrag einer Kanzlei thematisiert.

9.2 Digitale Vorbilder

Über die Initiative #Digitale Vorbilder aus Hamburg hatten wir bereits berichtet. Hier finden sich immer wieder aktuelle Tipps und auch Hinweise auf Veranstaltungen – auch online.