Ausgabe 118 (KW 44-52)

1.1 EDSA: Welche Vorlagen zur Umsetzung datenschutzrechtlicher Vorgaben sind gewünscht?

Der EDSA interessiert sich dafür, welche Muster und Vorlagen für die Einhaltung der Vorgaben der DS-GVO aus der Praxis gewünscht werden. Bis 3. Dezember 2025 konnten hierzu Vorschläge und Wünsche eingereicht werden. Weiteres dazu findet sich hier.

1.2 EDSA: Empfehlungen 2/2025 – Errichtung von Benutzerkonten auf E-Commerce-Websites

Die Empfehlungen des EDSA 2/2025 zur rechtlichen Grundlage für die Errichtung von Benutzerkonten auf E-Commerce-Websites wurden veröffentlicht und die Konsultation bis 12. Februar 2026 dazu eröffnet.
Zum Thema des Gastzugangs bei Webseiten siehe auch diese Darstellung einer Kanzlei.

1.3 EDPS: Leitlinien für den Einsatz generativer KI

Der Europäische Datenschutzbeauftragte hat seine überarbeiteten und aktualisierten Leitlinien für den Einsatz generativer KI und die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der EU veröffentlicht, die der schnelllebigen technologischen Landschaft und den sich wandelnden Herausforderungen durch generative KI-Systeme Rechnung tragen.
Mit dem aktualisierten Leitfaden will der EDPS EU-Organe bei der vollständigen Einhaltung ihrer Datenschutzverpflichtungen gemäß der Verordnung (EU) 2018/1725 unterstützen. Aufbauend auf dem Feedback der EU-Organe bieten die überarbeiteten Leitlinien klarere und praktischere Anweisungen für die verantwortungsvolle Entwicklung und den Einsatz generativer KI-Tools. Im Vergleich mit der ersten Fassung (wir berichteten) ergeben sich Änderungen: u.a. eine verfeinerte Definition von generativer KI für mehr Klarheit und Konsistenz; eine neue, handlungsorientierte Compliance-Checkliste, die EU-Organe dabei unterstützen soll die Rechtmäßigkeit ihrer Verarbeitungstätigkeiten zu bewerten und sicherzustellen; Klärung der Rollen und Zuständigkeiten; Unterstützung der EU-Organe bei der Feststellung, ob sie als Verantwortliche oder gemeinsame Verantwortliche oder Auftragsverarbeiter handeln und eine ausführliche Beratung zu Rechtsgrundlagen, Zweckbindung und dem Umgang mit Betroffenenrechten im Rahmen generativer KI.

1.4 EDPS: Sichere Mehrparteienberechnung (Secure Multi Party Computation: SMPC)

Ende Oktober 2025 hielt der der EDPS eine Veranstaltung zum Thema "Sichere Mehrparteienberechnung" ab, bei der die Teilnehmer über Risiken und Vorteile der Technologie diskutierten (wir berichteten). „Secure Multi Party Computation“ (SMPC) basiert auf einer einfachen, aber wirkungsvollen Idee: Mehrere Parteien können zusammenarbeiten, um ein Ergebnis aus ihren privaten Daten zu berechnen, ohne diese Daten jemals einander preiszugeben.
Stellen Sie sich vor, Krankenhäuser würden Krankheitsvorhersagemodelle anhand von Patientendaten verbessern, ohne dass ein Krankenhaus jemals die Aufzeichnungen eines anderen zu Gesicht bekommt. Oder Banken, die grenzüberschreitende Betrugsmuster aufdecken ohne die Vertraulichkeit der Kunden zu gefährden.
Im Gegensatz zur herkömmlichen Verschlüsselung, bei der Daten nur geschützt werden, während sie gespeichert oder übertragen werden, gewährleistet SMPC die Vertraulichkeit während des gesamten Berechnungsprozesses selbst. Dieses "Compute without Exposure"-Paradigma stelle einen grundlegenden Wandel in der Art und Weise dar, wie über die gemeinsame Nutzung von Daten gedacht wird – sie wird von der "Datenübergabe" in Privacy by Design umgewandelt.
Das größte Versprechen von SMPC liege in seiner Fähigkeit die Zusammenarbeit zu ermöglichen ohne die Privatsphäre zu beeinträchtigen. Es ermögliche Unternehmen wertvolle Erkenntnisse zu gewinnen und Modelle für maschinelles Lernen zu trainieren und gleichzeitig sicherzustellen, dass keine Person oder Institution unrechtmäßigen Zugriff auf die Daten anderer erhält.
Durch die Verteilung von Berechnung und Speicherung auf mehrere Parteien trage SMPC auch dazu bei die Auswirkungen externer Angriffe zu mildern. Es gibt kein einzelnes Datenrepository, das verletzt werden kann, wodurch systemische Risiken und die potenziellen Folgen von Cybervorfällen reduziert werden. In Kombination mit anderen „PETs“ wie homomorpher Verschlüsselung oder vertrauenswürdigen Ausführungsumgebungen werde SMPC Teil eines umfassenderen Privacy-Engineering-Toolkits, das die Widerstandsfähigkeit digitaler Ökosysteme erhöht. Zu der Veranstaltung gibt es auch ein Video.

1.5 EDPS: Leitfaden für das Risikomanagement von Systemen der Künstlichen Intelligenz

Der Leitfaden für das Risikomanagement von Systemen der Künstlichen Intelligenz soll wertvolle Einblicke und praktische Empfehlungen liefern, um häufige technische Risiken im Zusammenhang mit KI-Systemen zu identifizieren und zu mindern und so zum Schutz personenbezogener Daten beizutragen.

1.6 EDPS: Die Rolle des DSB bei den Einrichtungen der EU

Der EDPS hat neue Leitlinien herausgegeben, die die Rolle und Position der Datenschutzbeauftragten (DSB) in EU-Institutionen, Einrichtungen, Büros und Behörden gemäß der Verordnung (EU) 2018/1725 klarstellen. Es soll diesen Einheiten helfen eine effektive, unabhängige und einheitliche Anwendung des Datenschutzgesetzes der Union sicherzustellen und gleichzeitig die DSB als zentralen internen Schutz für den Schutz personenbezogener Daten zu stärken.
Auch wird dabei angekündigt, dass die Entscheidung des EDPS, die die Regeln zur vorherigen Zustimmung des EDPS für die Entlassung von DSB festlegt, die in der Leitlinie erwähnt wird, im Amtsblatt der Europäischen Union Anfang 2026 veröffentlicht werden soll und am 20. Tag nach ihrer Veröffentlichung in Kraft tritt.

1.7 EDPS: Der EDPS als Marktüberwachungsbehörde zur KI-VO

Nach Art. 77 Abs. 2 KI-VO fungiert der EDPS als notifizierte Stelle und als Marktüberwachungsbehörde für Hochrisiko-KI-Systeme, die von EU-Institutionen, Einrichtungen und -Behörden (EUIs) entwickelt, eingesetzt oder genutzt werden. Außerdem will der EDPS sicherstellen, dass die Nutzung und Bereitstellung von KI-Systemen durch EUIs kohärent und mit dem KI-Gesetz vereinbar ist. Der EDPS informiert dazu über seine Webseiten in einem Video, aber auch wie hier zu speziellen Themen wie zu Hochrisiko-KI-Systemen bei Einrichtungen der EU.

1.8 EDPS: TechSonar Report 2025-2026

Der EPDS veröffentlicht regelmäßig TechSonar-Berichte zu neuen Technologien. Während die TechDispatch-Berichte weiterhin eingehende Analysen zu neuen Technologien liefern, zielen die TechSonar-Berichte darauf ab neue Technologietrends zu antizipieren. Das Hauptziel dieser Initiative ist es, zukünftige Entwicklungen im Technologiesektor aus Sicht des Datenschutzes besser zu verstehen. Auf der Grundlage der kollektiven Intelligenz der EDPS-Mitarbeiter möchte der EDPS einen Beitrag zur breiteren Debatte über Zukunftsforschung innerhalb der europäischen Institutionen leisten. Der TechSonar Report 2025-2026 findet sich hier.

1.9 BfDI: Datenbarometer und PIMS (Cookieeinsatz)

Die BfDI veröffentlichte die Ergebnisse ihrer Befragung zum Cookieeinsatz und zur Einwilligungsverwaltung. Diese umfassen den Fragebogen zur Cookie-Einwilligung, den Tabellenband, den Ergebnisbericht und den Methoden- und Feldbericht. In einem Gastbeitrag (auch direkt hier) äußert sie sich zu den Ergebnissen. So würden die dabei gewonnenen aktuelle Zahlen bestätigen, dass nur 43 % aller Internetnutzerinnen und -nutzer angeben genau zu wissen, was Cookies sind und wofür sie verwendet werden. 60  % der Befragten lehnen meistens alle Cookies pauschal ab, jedenfalls wenn das mit nur einem Klick möglich ist. 19 % wählen ihre Einstellungen individuell und 18 % akzeptieren alle Cookies. Zwei Prozent geben an einfach irgendetwas anzuklicken.

1.10 BfDI: Handreichung „KI in Behörden – Datenschutz von Anfang an mitdenken“

Die BfDI veröffentlichte die Handreichung "KI in Behörden – Datenschutz von Anfang an mitdenken". Die Handreichung soll die öffentlichen Stellen des Bundes dabei unterstützen datenschutzrechtliche Fragestellungen bei der Entwicklung und dem Einsatz von KI, insbesondere von Large Language Models (LLMs), zu identifizieren und eine strukturierte, lösungsorientierte Herangehensweise an KI-Projekte zu entwickeln.

1.11.1 DSK: Entschließung zur DS-GVO-Reform

Nach Ansicht der DSK sollen IT-Hersteller in die Verantwortung genommen werden. Aber auch Rechtssicherheit und Innovation sollten Hand in Hand gehen – wofür Anpassungen für KI erforderlich werden.

1.11.2 DSK: Entschließung Kinder stärker zu schützen

Die DSK fordert auch Verbesserungen des Datenschutzes von Kindern in der DS-GVO.

1.11.3 DSK: Orientierungshilfe zur Zusammenarbeit mehrerer Aufsichtsbehörden im Rahmen des § 5 GDNG

Seit dem 26. März 2024 gilt das Gesetz zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG). Ziel des Gesetzes ist es unter anderem für gemeinwohlorientierte Forschungsvorhaben „die Verfahren zur Abstimmung mit den Datenschutzaufsichtsbehörden zu vereinfachen und gleichzeitig den Gesundheitsdatenschutz zu stärken“. Zu diesem Zweck soll bei gemeinsamen Vorhaben der Gesundheitsforschung mehrerer verantwortlicher Stellen, die der Datenschutzaufsicht unterschiedlicher staatlicher Aufsichtsbehörden unterliegen, einer Aufsichtsbehörde die Federführung (§ 5 Absatz 1 bis 3 GDNG) oder die alleinige Zuständigkeit (§ 5 Absatz 4 GDNG) übertragen werden können. Die Ausführungen in der Orientierungshilfe zur Zusammenarbeit mehrerer Aufsichtsbehörden im Rahmen von § 5 GDNG dienen als Hilfestellung für die entsprechenden Anzeige-Verfahren.

1.11.4 DSK: Orientierungshilfe zu Fragestellungen des neuen Onlinezugangsgesetzes

Am 24. Juli 2024 ist das OZG-Änderungsgesetz in Kraft getreten. In der Version 1.0 dieser Orientierungshilfe haben die Datenschutzaufsichtsbehörden die aus ihrer Sicht wesentlichen datenschutzrelevanten Änderungen gegenüber der alten Rechtslage zusammengestellt, um die von der Gesetzesänderung betroffenen Stellen bei der Rechtsanwendung zu unterstützen. Als Artikelgesetz umfasst das OZG-Änderungsgesetz in Art. 1 eine Änderung des Onlinezugangsgesetzes, in Art. 2 eine Änderung des E-Government-Gesetzes des Bundes und in den weiteren Artikeln Gesetzesänderungen, auf die in der Orientierungshilfe nicht eingegangen wird. In der vorliegenden Version 1.1 der Orientierungshilfe zu ausgewählten Fragestellungen des neuen Onlinezugangsgesetzes (OZG) befassen sich die Aufsichtsbehörden zusätzlich mit Fragestellungen, die an sie seit der Veröffentlichung der Version 1.0 im Rahmen ihrer Aufsichts- und Beratungspraxis herangetragen wurden.

1.11 DSK: Entschließungen und Orientierungshilfen der Datenschutzkonferenz

In der Pressemeldung der Datenschutzkonferenz informiert die derzeitige Vorsitzende über die Themen, Entschließungen und Orientierungshilfen, die auf der 110. Sitzung der Aufsichten behandelt und beschlossen wurden:

1.12 DSK: Merkblatt zur Verständigung in datenschutzrechtlichen Verfahren über Geldbußen

Welches Vorgehen die staatlichen Aufsichtsbehörden vorsehen, um ein Verfahren nach einem Datenschutzverstoß einvernehmlich mit einer Geldbuße zu beenden („Settlement“), haben sie in diesem Merkblatt zusammengestellt. Sie erwarten damit sowohl für Betroffene als auch für die Datenschutzbehörde eine effiziente und ressourcenschonende Lösung. Sie trage nicht nur in komplexen und ermittlungsintensiven Verfahren zu einer Verkürzung der Verfahrensdauer bei, sondern ermögliche auch eine Minderung der Geldbuße im Vergleich zur regulären Geldbußenbemessung.

1.13.1 LfD Bayern: Tätigkeitsbericht für 2024 – Melderegisterauskünfte und Art. 25 DS-GVO

Darauf, dass auch bei Widersprüchen zur Weitergabe von Daten aus dem Melderegister die Anforderungen an Art. 25 DS-GVO zu beachten sind, weist der LfD Bayern in Ziffer 3.5 hin. In einer bayerischen Gemeinde wurden jedoch auf Grund eines Versehens in Kombination mit einer "datenschutzunfreundlichen" technischen Voreinstellung der eingesetzten IT-Anwendung bereits erhobene Widersprüche nicht beachtet. Dies hat dazu geführt, dass mehrere hundert Datensätze unzulässigerweise trotz solcher Widersprüche an eine politische Partei übermittelt wurden.

1.13.2 LfD Bayern: Tätigkeitsbericht für 2024 – Datenerhebung und Datenminimierung

In Ziffer 4.1 befasst sich der LfD Bayern mit Fragestellungen, inwieweit datenschutzrechtliche Vorgaben Sachverhaltsermittlungen beeinträchtigen, am Beispiel eines Jobcenters im Rahmen der Prüfung der Voraussetzungen zum Bürgergeld. Bei Sachverhaltsermittlungen in Verwaltungsverfahren hat die Behörde im Rahmen des Amtsermittlungsgrundsatzes einen gewissen Spielraum beim Umfang der Datenerhebung. Geht es um eine Leistungsgewährung, legen die fachgesetzlichen Voraussetzungen, unter denen die betreffende Leistung gewährt wird, auch fest, über welche Informationen sich die Behörde "Gedanken machen darf". Klärt die Behörde die tatsächlichen Umstände auf, mit denen die fachgesetzlichen Voraussetzungen belegt werden, steht dem das Datenschutzrecht grundsätzlich nicht entgegen. Grenzen zöge das Datenschutzrecht insbesondere dann, wenn eine Behörde anlässlich eines Verwaltungsverfahrens personenbezogene Daten erheben würde, die aus fachrechtlicher Sicht nicht relevant werden können, im Fall einer Leistungsgewährung also insbesondere bei Informationen, die für die Voraussetzungen der betreffenden Leistung keinen Aussagewert haben können.

1.13.3 LfD Bayern: Tätigkeitsbericht für 2024 – Vollzug der Mitteilungsverordnung bei Datenweitergabe an Finanzbehörden

Den LfD Bayern erreichten Beratungsanfragen im Zusammenhang mit der Mitteilungsverordnung, in der es um Datentransfers von öffentlichen Stellen zu den Finanzämtern geht. In Ziffer 4.3 befasst er sich dazu mit Zahlungen an Pflegeeltern, Leistungen für Heizung und Unterkunft, Mietzahlungen nach Asylbewerberleistungsgesetz und Zahlungen an Dolmetscher.

1.13.4 LfD Bayern: Tätigkeitsbericht für 2024 – Meldepflicht bei Kindeswohlbeeinträchtigungen durch Einrichtungen nach § 45 a SGB VIII

Nach § 47 Abs. 1 Nr. 2 SGB VIII sind durch den Träger einer erlaubnispflichtigen Einrichtung der zuständigen Behörde unverzüglich Ereignisse oder Entwicklungen, die geeignet sind das Wohl der Kinder und Jugendlichen zu beeinträchtigen, zu melden. Mit den datenschutzrechtlichen Aspekten dazu befasst sich der LfD Bayern in Ziffer 4.4.
Zur Orientierung werden in der Praxis unter anderem die "Handlungsleitlinien zur Umsetzung des Bundeskinderschutzgesetzes im Arbeitsfeld der betriebserlaubnispflichtigen Einrichtungen nach § 45 SGB VIII" der Bundesarbeitsgemeinschaft Landesjugendämter herangezogen. Diese Leitlinien definieren die Ereignisse und Entwicklungen, die geeignet sind das Wohl der Kinder und Jugendlichen zu beeinträchtigen, als nicht alltägliche, akute Ereignisse oder über einen gewissen Zeitraum anhaltende Entwicklungen in einer Einrichtung, die sich in erheblichem Maße auf das Wohl von Kindern und Jugendlichen auswirken oder zumindest auswirken können.
Der LfD Bayern führt dazu u.a. aus, dass ein Einverständnis der betroffenen Kinder oder Jugendlichen und/oder ihrer Personensorgeberechtigten nicht benötigt wird, Art. 6 Abs. 1 lit. c DS-GVO fordert eine solche Mitwirkung (gerade) nicht. Dieses Ergebnis sei auch sachgerecht, weil die Norm dem Schutz der Rechtsgüter und Interessen der Kinder und Jugendlichen verpflichtet ist. Sofern die Anzeigepflicht von einem Einverständnis abhängig gemacht werden würde, würde dieser Zweck konterkariert werden.

1.13.5 LfD Bayern: Tätigkeitsbericht für 2024 – Beschäftigtendaten im Internet

Was ist bei einer Veröffentlichung von Beschäftigtendaten im Internet zu beachten? Antworten dazu bringt der LfD Bayern in Ziffer 5.4. Die gesetzlichen Regelungen böten hier eine Balance von Transparenz- und Vertraulichkeitsinteresse und seien gar nicht schwer anzuwenden.

1.13.6 LfD Bayern: Tätigkeitsbericht für 2024 – BEM: Weitergabe von Gutachten an Schwerbehindertenvertretung

Mit der Weitergabe von betriebsärztlichen Gutachten im Betrieblichen Eingliederungsmanagement und im Präventionsverfahren an die Schwerbehindertenvertretung befasst sich der LfD Bayern in Ziffer 5.7. Nach einer Schilderung der jeweiligen rechtlichen Anforderungen und Rahmenbedingungen stellt der LfD Bayern fest, dass im Ergebnis die Entscheidung über die Weitergabe betriebsärztlicher Gutachten im Rahmen des BEM oder des Präventionsverfahrens durch den Arbeitgeber an die Schwerbehindertenvertretung in aller Regel bei der betroffenen Person verbleibt. Verantwortliche haben das Vorliegen etwaiger wirksamer ausdrücklicher Einwilligungen im Rahmen ihrer Rechenschaftspflicht nachzuweisen (vgl. Art. 5 Abs. 2, Art. 7 Abs. 1 DS-GVO).

1.13.7 LfD Bayern: Tätigkeitsbericht für 2024 – Fehleinschätzung bei Auskunftsbegehren und Ausnahmeregelungen

Der LfD Bayern berichtet in Ziffer 6.2 von einem Fall an einer Schule, die einen Auskunftsanspruch auf Prüfungsergebnisse als unbegründet und exzessiv ablehnte. Dabei befasst sich der LfD Bayern ausführlich mit den Anforderungen aus Art. 12 Abs. 5 DS-GVO und möglichen Einschränkungen.

1.13.8 LfD Bayern: Tätigkeitsbericht für 2024 – Fehlversendungen

Zu Fehlversendungen und Anforderungen an den Versender und Aspekte bei der Bewertung des Risikos äußert sich der LfD Bayern in Ziffer 8.2.

1.13 LfD Bayern: Tätigkeitsbericht für 2024

Der Landesbeauftragte für den Datenschutz in Bayern (LfD Bayern) hat seinen Tätigkeitsbericht für das Jahr 2024 vorgestellt. Hier eine kleine, subjektive Auswahl seiner Ausführungen.

1.14.1 TLfDI Tätigkeitsbericht für 2024 – Gemeinsame Verantwortlichkeit beim Betreiben einer Datenbank?

Ein Cyberangriff auf die Unfallkasse Thüringen führte zu einem Datendiebstahl bei Verantwortlichen aus den nicht-öffentlichen und öffentlichen Bereichen. Zu prüfen war, ob eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO vorlag und damit auch die betroffenen Verantwortlichen eine Meldung nach Art. 33 DS-GVO an den TLfDI machen mussten. Der TLfDI kam zu dem Ergebnis, dass dies nicht der Fall war und nur die Unfallkasse eine Meldung abzugeben hatte, nachzulesen unter Ziffer 2.12.

1.14.2 TLfDI Tätigkeitsbericht für 2024 – Schweigepflicht von Schulsozialarbeiter:innen auch gegenüber der Schule

Aus organisatorischen Gründen benötige sie die Namen der Schüler:innen, mit denen die Schulsozialarbeiterin wöchentliche Gespräche führe, gab eine Schulleiterin an und beklagte sich beim TLfDI darüber, dass die an ihrer Schule tätige Schulsozialarbeiterin ihr diese mit Verweis auf den Datenschutz verweigern würde. Für eine bessere Koordinierung der Arbeitszeit sei diese Information für die Schulleitung jedoch wichtig; schließlich würden mit der bloßen Weitergabe der Schüler:innennamen keine schutzwürdigen Interessen der Jugendlichen berührt.
Doch der TLfDI gab der Schulsozialarbeiterin recht, wie er in Ziffer 2.7 des Tätigkeitsberichts erläutert. Berufspsychologen, Familien-, Erziehungs- oder Jugendberater, staatlich anerkannte Sozialarbeiter oder staatlich anerkannte Sozialpädagogen und andere in § 203 Strafgesetzbuch (StGB) aufgeführte Berufsgruppen unterliegen der Schweigepflicht. Ohne eine ausdrückliche Einwilligung der Betroffenen, also der Schülerinnen und Schüler beziehungsweise deren Sorgeberechtigten, dürfen sie keine Daten weitergeben. Es ist dabei unerheblich, ob die Schulsozialarbeiterinnen und Schulsozialarbeiter von Lehrkräften oder der Schulleitung zur Übermittlung von Informationen angefragt werden oder ob sie diese von sich aus übermitteln möchten. Sofern die Schulsozialarbeiterinnen und Schulsozialarbeiter nicht zu den in § 203 StGB aufgeführten Berufsgruppen gehören und auch nicht den Regelungen des Sozialdatenschutzes unterliegen, gilt das allgemeine Datenschutzrecht. Wenn Schülerinnen und Schüler die Schulsozialarbeiterinnen oder Schulsozialarbeiter aufsuchen, offenbaren sie ihre Daten freiwillig, also mit ihrer Einwilligung. Die von den Schülerinnen und Schülern offenbarten Daten unterliegen dann einer engen Zweckbindung, eine Offenlegung an die Schulleitung, Lehrkräfte oder andere Stellen ist daher auch in diesem Fall nur mit einer zuvor erteilten Einwilligung zulässig. Dies umfasst nicht nur die Inhalte der Gespräche und die vereinbarten Maßnahmen zur Hilfe, sondern auch die Namen der Betroffenen, da bereits durch die Offenlegung des Namens Rückschlüsse darüber möglich sind, dass die Betroffenen möglicherweise eine persönliche oder soziale Unterstützung benötigen.
Als Lösung für eine vereinfachte Planung und Koordination der Arbeitszeiten der Schulsozialarbeit könnten lediglich die belegten Zeiträume und nicht die Namen der Schülerinnen und Schüler, mit denen die Gespräche stattfinden, an die Schulleitung übermittelt werden, sofern keine Einwilligung der sorgerechtsberechtigen Personen zur Weitergabe der Namen vorliegt.

1.14.3 TLfDI Tätigkeitsbericht für 2024 – Befugnisse eines Konzernbetriebsrates

Dass es im Datenschutzrecht kein Konzernprivileg gibt, sollte bekannt sein. Im Tätigkeitsbericht unter Ziffer 3.1 macht der TLfDI deutlich, dass auch bei der Kommunikation zwischen dem Betriebsrat vor Ort und dem Konzernbetriebsrat die datenschutzrechtlichen Grundsätze zu beachten sind. Dem Konzernbetriebsrat sind personenbezogene Daten nur insoweit zu übermitteln, als dies für die Erfüllung seiner Aufgaben erforderlich ist.

1.14 TLfDI Tätigkeitsbericht für 2024

Der TLfDI hat seinen Tätigkeitsbericht für das Jahr 2024 veröffentlicht. Im Berichtsjahr 2024 lag die Zahl der Posteingänge beim TLfDI bei 19.042. Es wurden 135 Bußgeldverfahren eröffnet, das sind gut 17 % mehr als im Vorjahr. Davon endeten fünf Verfahren mit einem Bußgeldbescheid. Insgesamt wurden im Jahr 2024 beim TLfDI 38 Bußgeldbescheide erlassen, wovon 27 bis zum Ende des Berichtszeitraumes Rechtskraft erlangten. Die Höhe der insgesamt festgesetzten Bußgelder betrug 50.840 Euro, was eine Steigerung gegenüber dem Vorjahr um gut 61 % bedeutet. Insgesamt gab es 330 Meldungen der Verletzung des Schutzes personenbezogener Daten nach Art. 33 DS-GVO. Dies stellt eine Steigerung im Vergleich zum Vorjahr um rund 10 % dar. Im Berichtszeitraum gingen 468 Beschwerden nach Art. 77 Abs. 1 DS-GVO ein, also Eingaben von Personen, die sich gegen eine sie betreffende Datenverarbeitung durch Thüringer Stellen wandten, knapp 13 % mehr als im Vorjahr.

1.15 Hamburg: Forschungszugang zu nicht-öffentlichen Plattformdaten über den DSA

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) informiert, dass ab dem 29. Oktober 2025 Forschende bei sehr großen Online-Plattformen und Suchmaschinen Datenzugang zur Erforschung systemischer Risiken beantragen können. Dass die datenschutzrechtlichen Anforderungen eingehalten werden, sei dabei eine wichtige Voraussetzung für die Zulassung des Forschungsersuchens.
Zugang zu öffentlichen Plattformdaten besteht bereits seit Geltungsbeginn des Digital Services Act (DSA) im Februar 2024. Mit Verabschiedung des Delegierten Rechtsakts durch die EU-Kommission im Juli 2025 haben Forschende nun auch die Möglichkeit Zugriff auf interne, nicht-öffentliche Daten bei sehr großen Online-Plattformen zu beantragen und deren Wirkung auf die Gesellschaft und die damit verbundenen Risiken zu erforschen. Der HmbBfDI ist die Schnittstelle der deutschen Datenschutz-Aufsichtsbehörden zur BNetzA, der die Anfragen bündelt und dadurch der BNetzA als zentraler Ansprechpartner im föderalen System dient.
Dazu gibt es weitere Informationen wie auf den Seiten des ULD zum DSA und Forschungszugang, eine Checkliste für die Datenschutz- und Datensicherheitsstandards bei Anträgen auf Datenzugang nach Art. 40 Abs. 4 DSA des HmbBfDI, Informationen der BNetzA dazu und das Antragsportal der Europäischen Kommission.

1.16 LfDI Baden-Württemberg: Aktualisierung ONKIDA

Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg hat seinen Orientierungshilfen-Navigator KI & Datenschutz (ONKIDA, wir berichteten) aktualisiert, nachdem der Europäische Datenschutzbeauftragte (EDPS) seine Guidelines on generative AI and the EUDPR (Leitlinien zu generativer Künstlicher Intelligenz unter der EU-Datenschutzverordnung) zum 28.10.2025 aktualisiert und erweitert hat.

1.17 LfDI Baden-Württemberg: KI Woche

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat die Aufzeichnungen der Vorträge und der Panels seiner KI-Woche in seiner Mediathek online gestellt. Natürlich ist alles empfehlenswert, aber dieser Vortrag zu KI und Datenschutz insb. zur Entscheidung des OLG Köln oder zum Einfluss der Big Tech-Unternehmen auf die Demokratie sollten Sie sich schon anschauen.

1.18 Berlin: Newsletter 4/2025

In ihrem Newsletter befasst sich die BBfDI u.a. mit der EU-Verordnung über die Transparenz und das Targeting politischer Werbung (TTPW-VO), mit dem digitalen Euro, mit Ergebnissen der Zwischenkonferenz der Datenschutzkonferenz und sie weist auf die Veranstaltung zum Europäischen Datenschutztag am 28.01.2026 hin.

1.19 HBDI: Stellungnahme zu Microsoft 365

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat seinen Bericht zum Einsatz von Microsoft 365 im öffentlichen Bereich in Hessen, aber auch durch nicht-öffentliche Einrichtungen veröffentlicht. Zwar liegen dem Bericht keine technischen Prüfungen der Datenverarbeitung in Produkten von Microsoft 365, wohl aber von MS-Technikern übermittelte, vertiefende Informationen zu Verarbeitungsvorgängen, zugrunde.
Der Bericht geht dabei nicht nur auf die Hinweise ein, die im September 2022 seitens der DSK bemängelt wurden, sondern befasst sich ausführlich auf 137 Seiten auch mit Rechtsgrundlagen für nicht-öffentliche und öffentliche Stellen in Hessen. Ein Bericht dazu findet sich hier.

1.20 LDI Niedersachsen: KI-Symposium

Der Landesbeauftragte für Datenschutz Niedersachsen berichtet über das von ihm durchgeführte KI-Symposium. Dazu wurden auch die Ergebnisse der KI-Expertengesprächen vorgestellt.

1.21 LDI NRW: Datenschutz und ferngesteuerte Klingelanlagen

Kann in einer Wohnung eine digitale, App-gesteuerte Klingelanlage und Zutrittskontrollsystem ohne Zustimmung der Mieter eingebaut werden? Nach der LDI NRW geht dies nur mit der Einwilligung der Mieter, wie sie hier ausführt.

1.22 LfDI Rheinland-Pfalz: Newsletter 05/2025

In seinem Newsletter Nr. 5 /2025 berichtet der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz u.a über Veranstaltungen zur elektronischen Patientenakte und den Tagungsbericht zu einem Symposium und seinen Angeboten wie seinen regelmäßigen Podcast „Datenfunk“.

1.23 LfDI Rheinland-Pfalz: Datenschutztipps bei Praxisübergabe

Bei der Nachfolgeregelung von Arztpraxen sind auch datenschutzrechtliche Anforderungen zu beachten. Damit befasst sich diese Veröffentlichung zur Praxisübergabe des Rheinland-Pfälzischen Beauftragten für Datenschutz und Informationsfreiheit, die zusammen mit der Kassenärztlichen Vereinigung Rheinland-Pfalz, der Landesärztekammer Rheinland-Pfalz und der Landespsychologenkammer Rheinland-Pfalz erstellt wurde. Manche Aussagen lassen sich vor dem Hintergrund des § 203 StGB auch auf andere Berufsgeheimnisträger übertragen, bzw. auch bei Betriebsärzt:innen bei einem Wechsel anwenden. In dieser Reihe gab in 2025 auch zu folgenden Themen Informationen:

• Tipp #1: Auskunftsanspruch nach der DS-GVO (PDF-Download)
• Tipp #2: Auskunftsanspruch und Praxiswechsel (PDF-Download)
• Tipp #3: Auskunftsanspruch bei Minderjährigen (PDF-Download)
• Tipp #4: Kommunikation per E-Mail (PDF-Download)
• Tipp #5: Einwilligung (PDF-Download)
• Tipp #6: Informationspflicht (PDF-Download)
• Tipp #7: Social-Media (PDF-Download)
• Tipp #8: Einbindung von Dienstleistern (PDF-Download)
• Tipp #9: Aktenaufbewahrung und Löschung (PDF-Download)
• Tipp #10: Cloud Computing (PDF-Download)
• Tipp #11: Meldepflichten (PDF-Download)
• Tipp #12: Praxisübergabe (PDF-Download)

1.24 Sachsen: Datenschutz und Kinder

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) hat auf ihren Seiten Hinweise zur Vermittlung von Datenschutzwissen an Kinder und Jugendliche aufgelistet, die sich auch an Eltern richten.

1.25 KDSZ Nürnberg: Tätigkeitsbericht für 2024

Das Katholische Datenschutzzentrum Nürnberg hat seinen Tätigkeitsbericht für das Jahr 2024 veröffentlicht, über den hier berichtet wird.

1.26 BLM: Tätigkeitsbericht für 2024

Auch der Medienbeauftragte für den Datenschutz bei der Bayerische Landeszentrale für neue Medien veröffentlichte seinen Tätigkeitsbericht für das Jahr 2024. In diesem berichtet der Medienbeauftragte als Mitglied einer TaskForce des EDSA, die der EDSA nach einer Beschwerdewelle zu der Gestaltung von Cookie-Bannern auf Websites einrichtete, unter Ziffer 4.4 seines Tätigkeitsberichtes, dass er dazu spezielle Workshops für Anbieter durchführte.
Danach wurde zunächst eine anlasslose Überprüfung der Websites der Rundfunkanbieter im Bereich Fernsehen und dann im Bereich Radio durchgeführt. Auf dieser Basis wurden zahlreiche Verfahren eingeleitet, die erfreulicherweise zu einer weitgehenden Überarbeitung der betroffenen Websites führten.
Daran anschließend wurde eine Schwerpunktuntersuchung zur Übereinstimmung von Anbieter-Websites mit den oben genannten Anforderungen begonnen. Diese konnte im Berichtszeitraum abgeschlossen werden. Bei dieser Untersuchung lag der Schwerpunkt auf den oben genannten Feststellungen des EDSA zur Gestaltung der Einwilligungs- und Widerrufsprozesse. Diese lassen sich in unterschiedliche Kategorien einteilen, so dass auch die Untersuchung nach diesen differenziert und dementsprechend auch die festgestellten Verstöße jeweils diesen Kategorien zugewiesen werden können. Diese lassen sich laut Medienbeauftragten wie folgt umschreiben: keine echte Alternative zur Einwilligung, irreführende Gestaltung des Prozesses, keine gleichwertige Widerrufsoption und / oder keine Content-Management-Plattform.
Von den 169 eingeleiteten Verfahren konnten im Berichtszeitraum bereits 58 abgeschlossen werden, wobei hierin 34 Verfahren enthalten sind, in denen die anfänglichen Fragen und Problemlagen sehr schnell geklärt beziehungsweise behoben werden konnten.

1.27 CNIL: Manga nun auch auf Englisch

Wir hatten bereits über die Initiative der CNIl, jugendliche Zielgruppen über Mangas zu erreichen, berichtet. Nun gibt es auch eine englische Ausgabe.

1.28 CNIL: Schutz der Privatsphäre in sozialen Netzwerken

In Zusammenarbeit mit dem Radiosender ICI gibt die CNIL niedrig-schwellig Ratschläge, wie die Privatsphäre in sozialen Netzwerken geschützt werden kann. Dies umfasst Möglichkeiten Ergebnisse einer Suchmaschine zu entfernen, die mit der Identität der Personen im Internet verknüpft ist.

1.29 CNIL: Leitfaden zur Umsetzung der DS-GVO

Die CNIL bietet einen Leitfaden an, der bei der Einhaltung des Datenschutzgesetzes und der DS-GVO helfen soll. Mit insgesamt 25 Hinweisen werden die Anforderungen erklärt, danach kann auch eine Auswertung des Erreichten dokumentiert werden.

1.30 CNIL: Eignet sich der DSB als KI-Beauftragter?

Mit dieser Fragestellung befasst sich die französische Datenschutzaufsicht CNIL und startete dazu eine (mittlerweile geschlossene) Umfrage. Auch wenn es zu einigen Überschneidungen bei den Zuständigkeiten kommen kann, könnte die Ernennung des DSB zum KI-Beauftragten möglicherweise zu Interessenkonflikten führen, insbesondere angesichts der unterschiedlichen regulatorischen Rahmenbedingungen und des für jede Rolle erforderlichen Fachwissens. Die Leitlinien der französischen Datenschutzbehörde CNIL legen nahe, dass Unternehmen sorgfältig abwägen sollten, ob die von einem Datenschutzbeauftragten erwarteten Fähigkeiten und Unabhängigkeit mit den umfassenderen Governance- und technischen Anforderungen der KI-Aufsicht übereinstimmen.

1.31 CNIL: Tool zur Unterstützung in Open Source veröffentlichten KI-Modellen

Die französische Datenschutzaufsicht CNIL stellt einen Demonstrator zur Verfügung, um die Genealogie von in Open Source veröffentlichten #KI-Modellen zu durchforsten und die Rückverfolgbarkeit dieses Ökosystems zu untersuchen, insbesondere um die Ausübung von Widerspruchs-, Zugriffs- oder Löschungsrechten zu erleichtern.
Es kann hier auf der HuggingFace-Plattform ausprobiert werden. Ein weiterer Beitrag dazu findet sich hier.

1.32 CNIL: Sanktion wegen Verstoß gegen Art. 32 DS-GVO bei Einsatz einer Software

Die französische Datenschutzbehörde CNIL belegt ein Unternehmen mit einer Geldstrafe, weil dieses keine ausreichenden Sicherheitsmaßnahmen zum Schutz personenbezogener Daten umgesetzt hat, die von einem Unterauftragsverarbeiter verarbeitet werden.
Nach Beschwerden stellte die CNIL fest, dass das Unternehmen eine Software einsetzte, bei der es zu Datenschutzverletzungen kam. Das Tool PCRM wird zur Verwaltung der Beziehungen zu Nutzern im Bereich der Sozialarbeit, insbesondere von den Departementsämtern für Menschen mit Behinderung (MDPH) bestimmter Departements genutzt.
Die CNIL stellte zudem fest, dass die im PCRM festgestellten Schwachstellen

• größtenteils auf eine Unkenntnis des Stands der Technik und der grundlegenden Sicherheitsprinzipien zurückzuführen waren;
• dem Unternehmen dank mehrerer Auditberichte bekannt und identifiziert waren.

Infolgedessen verhängte das für die Verhängung von Sanktionen zuständige Organ der CNIL eine Geldstrafe in Höhe von 1.700.000 Euro gegen das Unternehmen, wobei es die finanziellen Möglichkeiten des Unternehmens, die Missachtung grundlegender Sicherheitsprinzipien, die Anzahl der betroffenen Personen und die Sensibilität der verarbeiteten Daten (insbesondere solche, die eine Behinderung offenlegen) berücksichtigte. Diese Umstände werden durch die Tätigkeit des Unternehmens verschärft, das auf die Beratung im Bereich IT-Systeme und Software spezialisiert ist.

1.33 CNIL: Anforderungen an Produktverbesserungen durch einen Auftragsverarbeiter

Manche erinnern sich noch daran, dass die französische Datenschutzaufsicht CNIL im Januar 2022 ihre Ansicht veröffentlichte, unter welchen Bedingungen Auftragsverarbeiter personenbezogene Daten, die sie im Auftrag verarbeiten, auch für eigene Zwecke nutzen dürften.
Um sich darauf berufen zu können, muss sichergestellt sein, dass Auftragsverarbeiter personenbezogene Daten nur unter strengen Bedingungen für eigene Zwecke wiederverwenden dürfen. Konkret müsse der ursprüngliche Verantwortliche eine ausdrückliche Erlaubnis erteilen, und der neue Zweck muss "kompatibel" mit dem ursprünglichen Verarbeitungszweck sein. Nach der CNIL müsse die Genehmigung eines Verantwortlichen für jede Wiederverwendung von Daten durch seinen Auftragsverarbeiter von Fall zu Fall erteilt werden. Anderweitig wird ein Auftragsverarbeiter, wenn er Daten für eigene Zwecke verwendet, im Wesentlichen zum Datenverantwortlichen für diese Verarbeitung und es können Sanktionen drohen, wenn er die ursprünglichen Anweisungen des Verantwortlichen nicht befolgt, wie in Artikel 29 der DS-GVO festgelegt.
So verhängte die CNIL eine Geldstrafe in Höhe von 1 Mio. Euro gegen einen Auftragsverarbeiter, weil dieser die Daten des Verantwortlichen ohne Anweisungen kopierte und nutzte, um die Leistung seiner eigenen Dienste zu verbessern, die über die Plattform für personalisierte Werbekampagnen bereitgestellt wurden, wie die CNIL hier berichtet. Das Unternehmen erklärte, dass das Kopieren von Nutzerdaten als Teil der Vertragserfüllung betrachtet werden könne, mit der Aussicht die dem Verantwortlichen erbrachten Dienstleistungen allgemein zu verbessern. Die CNIL war allerdings der Ansicht, dass keine vertragliche Klausel dem Bearbeiter erlaube, die Daten des Verantwortlichen ohne vorherige Anweisung des Datenverantwortlichen für einen solchen Zweck zu verwenden (ab RN. 73 der Entscheidung).

1.34 CNIL: Informationen zum Data Act und der Rolle der CNIL

Der Data Act schafft einen europäischen Rahmen für die Organisation des Austauschs und der Nutzung von Daten verbundener Objekte. Sie stärkt die Rechte der Nutzer und schafft neue Pflichten für die Stakeholder. Die CNIL stellt hier ihre Rolle und die neuen anwendbaren Regeln vor.

1.35 CNIL: Sanktionen aufgrund gegen die DS-GVO-verstoßende Wahlwerbung

Im Dezember 2025 hat die CNIL bei den Europa- und Parlamentswahlen 2024 fünf vereinfachte Sanktionen gegen Kandidaten erlassen, wie sie hier berichtet. In Frage gestellt wurde die Zusendung von politischen Prospektionsbotschaften an die Wähler, ohne die Regeln für den Schutz personenbezogener Daten zu beachten.

1.36 CNIL: Hinweise zu Bewertungsplattformen

Fachleute (Ärzte, Rechtsanwälte, Notare, etc.) werden zunehmend online über Verzeichnisse bewertet, die Bewertungs- und Kommentarsysteme integrieren. Die Datenschutzaufsicht CNIL erläutert den geltenden Rechtsrahmen und die Garantien, die zum Schutz des Rufs und der Rechte der Bewerteten bereitgestellt werden. Dabei verweist sie auch auf eine frühere Veröffentlichung zu öffentlichen Verzeichnissen.

1.37 Kroatien: Fragen zum Schutz personenbezogener Daten und zu KI

Die kroatische Datenschutzaufsicht Agentur für den Schutz personenbezogener Daten (AZOP) hat sich mit häufig gestellten Fragen zum Schutz personenbezogener Daten und zu künstlicher Intelligenz befasst. Das Dokument „Datenschutz und künstliche Intelligenz: Häufig gestellte Fragen“ bietet einen Überblick über Schlüsselbegriffe und Definitionen in der KI-Verordnung; das Verhältnis zwischen der KI-VO und der DS-GVO; die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten in KI-Systemen, die Anwendung der DS-GVO in den Phasen der Entwicklung, Erprobung und Nutzung von KI-Systemen und die Rechte von Personen, deren Daten zum Trainieren von KI-Modellen verwendet werden.
Damit soll das Verständnis der neuen regulatorischen Anforderungen erleichtert werden und eine Anleitung für den rechtlichen und ethischen Einsatz von KI im Einklang mit den Grundsätzen der Menschenzentrierung, der Vertrauenswürdigkeit und des Schutzes der Grundrechte gegeben werden.

1.38 Irland: Beschwerde zur Besetzung der Aufsicht

Bei der EU-Kommission wurde eine Beschwerde durch einen irischen Bürgerrechtsverband eingereicht, nachdem Irland hat eine ehemalige Meta-Lobbyisten in das Leitungsteam der irischen Datenschutzaufsicht berufen will, wie hier berichtet wird.

1.39 Irland: Anmerkungen zum KI-Training durch LinkedIn

Zunächst stellt die irische Aufsicht in ihren Hinweisen klar, dass sie kontinuierlich mit vielen Unternehmen zusammen arbeitet, die an vorderster Front der KI-Entwicklung stehen, mit dem Fokus auf die verantwortungsvolle Entwicklung und Einführung der Technologie für Nutzer in der gesamten EU/EEA (besser gleich, bevor Zweifel aufkommen). Unterm Strich ist die DPC nicht begeistert, aber hat dann nach den seitens LinkedIn genannten Maßnahmen auch nichts dagegen, will sich das aber nach ein paar Monaten noch mal ansehen.
Und natürlich lässt es sich die DPC nicht nehmen alle Nutzer von Internetplattformen daran zu erinnern ihre Datenschutzeinstellungen und -kontrollen regelmäßig zu überprüfen, damit diese weiterhin ihre persönlichen Vorlieben widerspiegeln.
War da nicht mal was mit Art. 25 DS-GVO?

1.40 Aufsicht Finnland: Nachweispflicht des Verantwortlichen bei Drittstaatentransfer

Die Entscheidung der finnischen Aufsicht befasst sich mit Fragen der Nachweispflicht. Und Dokumentationsanforderungen bei einem Drittstaatentransfer durch einen weiteren Auftragsverarbeiter.
Die Agentur für digitale und Bevölkerungsdaten (DVV) erbrachte digitale Dienstleistungen für finnische Einwohner. Nach finnischem Recht war die DVV verpflichtet, für die IKT-Infrastruktur das Staatliche Zentrum für Informationstechnologie (Valtori) zu nutzen. Valtori fungierte als Auftragsverarbeiter der DVV gemäß Art. 28 DS-GVO und nutzte Amazon Web Services (AWS) als Unterauftragsverarbeiter für das Hosting von Cloud-Diensten. Die Datenschutzaufsicht prüfte, ob diese Vereinbarung internationale Übermittlungen personenbezogener Daten beinhaltete und ob die DVV die Einhaltung der Artt. 24, 28 und 46 DS-GVO sichergestellt hatte.
Valtori bestätigte, dass AWS im Zusammenhang mit technischem Support und Wartung personenbezogene Daten in Drittländer, darunter auch die Vereinigten Staaten, übermitteln konnte. Valtori stützte sich auf die Standardvertragsklauseln (SCC) der Europäischen Kommission und hatte eine Folgenabschätzung für die Übermittlung durchgeführt, die jedoch Restrisiken hinsichtlich des Zugriffs durch US-Behörden ergab. Die DVV hatte keine direkte Vertragsbeziehung mit AWS, überprüfte die Datenflüsse nicht selbst und verließ sich vollständig auf die Zusicherungen von Valtori hinsichtlich der Einhaltung der Vorschriften.
Zu klären war dabei der Umfang der Prüfpflicht des Verantwortlichen bei einem Drittstaatentransfer durch einen weiteren Auftragsverarbeiter.
Die finnische Datenschutzaufsicht hält dabei fest, dass der Verantwortliche für die gesamte Verarbeitungskette verantwortlich ist und dabei prüfen muss, ob Verarbeitungen in Drittstaaten stattfinden (Rn. 116). Liegt dies vor, muss er sicherstellen, dass die Anforderungen des Kapitel V der DS-GVO eingehalten werden (Rn. 124). Der Auftragsverarbeiter hat den Verantwortlichen dabei zu unterstützen, verfügt er oft über detaillierte Informationen über die konkrete Verarbeitung und Mittel als der Verantwortliche (Rn. 132). Dies bezieht auch auf die zusätzlichen Maßnahmen, die nach der Entscheidung des EuGH (C-311/18) neben den Standarddatenschutzklauseln vorzusehen sind. Welche Schutzmaßnahmen das sein können, führt die Aufsicht ab Rn. 146 aus.
Die Aufsicht stellte im konkreten Fall dazu in Rn. 143 fest, dass die DDV nicht geprüft hat, ob die Rechtsvorschriften eines Drittlandes (in diesem Fall der USA) auf die betreffende Übermittlung personenbezogener Daten anwendbar sind. Auch hat laut Rn. 151 die DVV keine eigentliche Bewertung der Datenübermittlung im Zusammenhang mit der Nutzung der AWS-Cloud-Dienste und der möglicherweise dafür geltenden Schutzmaßnahmen bei der Übermittlung von personenbezogenen Daten in Drittländer vorgenommen. Die DVV hat jedoch die Datenschutzmaßnahmen der von AWS bereitgestellten Cloud-Dienste, die als Unterauftragsverarbeiter von Valtori fungieren, bewertet und die von ihm verwendeten allgemeinen technischen Schutzmaßnahmen offengelegt. Dabei hat die DVV in ihrer Stellungnahme festgestellt, dass sie nicht über lückenlose technische Mittel verfügt, um die unerwünschte Übermittlung personenbezogener Daten durch die Unterauftragsverarbeiter von Valtori in Drittländer zu verhindern.
In Rn. 159ff führt die Aufsicht aus, dass nach ihrer Ansicht der DVV nicht in der Lage war insgesamt wirksame ergänzende Schutzmaßnahmen zu ergreifen. Die zum Zeitpunkt der Prüfung bestehenden Mängel im Bereich des Schutzes personenbezogener Daten seien gemäß den nachrichtendienstlichen Rechtsvorschriften des Drittlandes auf der Grundlage der vom DVV vorgelegten Erläuterungen nicht vollständig behoben werden. Daher konnte bei der tatsächlichen Übermittlung personenbezogener Daten in ein Drittland das in Art. 46 DS-GVO geforderte Datenschutzniveau nicht gewährleistet werden. Die DVV hat keine ausreichenden ergänzenden Schutzmaßnahmen nachgewiesen. Die DVV ist als Verantwortlicher für die Verarbeitung personenbezogener Daten durch ihren Auftragsverarbeiter AWS, einen Unterauftragsverarbeiter von Valtori, im Zusammenhang mit ihren Cloud-Diensten verantwortlich. Die DVV habe es versäumt ihrer Verpflichtung nachzukommen sicherzustellen, dass die in Kapitel V der DS-GVO festgelegten Bedingungen erfüllt sind, wenn ihr Auftragsverarbeiter für personenbezogene Daten, der Unterauftragsverarbeiter von Valtori, personenbezogene Daten in ein Drittland übermittelt. Da die DVV, wie in den Rn. 38 bis 43 dieser Entscheidung festgestellt wurde, erhebliche Mengen personenbezogener Daten verarbeitet, hätte sie auch für ein angemessenes Schutzniveau für personenbezogene Daten sorgen müssen.
Die Aufsicht wies die DDV an die zwischen ihr und dem Auftragsverarbeiter Valtori geschlossenen Verträge über die Übermittlung personenbezogener Daten in Drittländer anzupassen, insbesondere in Bezug darauf, dass den Vertragsparteien klar ist, wie personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. Auch sind die Informationen über die Übermittlung in einen Drittstaat im Verzeichnis der Verarbeitungstätigkeiten von Valtori gemäß Art. 30 Abs. 2 lit. c DS-GVO aufzunehmen.
Ein Bericht zu dem Vorgang findet sich auch hier.

1.41 Dänemark: Hinweise zur Multifaktorauthentifizierung

Die dänische Aufsicht informiert zur Multifaktorauthentifizierung (MFA). MFA bedeutet, dass der Benutzer zwei oder mehr unabhängige Faktoren verschiedener Kategorien angeben muss, um Zugang zu erhalten. Zwei Faktoren gelten als unabhängig, wenn es nicht möglich ist den einen Faktor aus der Kenntnis des anderen Faktors abzuleiten. So gibt sie Beispiele, wann MFA eingesetzt werden sollte und welche Möglichkeiten es gibt, um ein vergleichbares Schutzniveau zu erreichen, wie z. B. "Einmalpasswörter" (OTP), "Zeitbasiertes Einmalpasswort" (TOTP), und/oder biometrische Authentifizierung.
MFA wird auch in weiteren Hinweisen der dänischen Aufsicht behandelt wie in diesem Leitfaden zur Passwortsicherheit.

1.42 Dänemark: Aktualisierte Themenseite zu Schulen und Kitas

Speziell für Schulleiter, Lehrer und Erzieher hat die dänische Datenschutzaufsicht eine Webseite mit Informationen zusammengestellt. Diese bietet praxisorientierte Inhalte und wurde um ein neues, umfassendes FAQ erweitert, das einen umfassenden Überblick über den Datenschutz im schulischen Bereich gibt.
Die aktualisierte Seite will das Auffinden von Wissen und Unterstützung für die Arbeit zum Datenschutz im schulischen Bereich erleichtern. Hier finden sich ein Überblick über den Umgang mit Schülerinformationen und der Nutzung elektronischer Geräte durch Schulen, Checklisten, die sich sowohl an Kitas als auch an Schulen richten und ein digitales Lernspiel (Data Challenge), bei dem Schülerinnen und Schüler der Mittelstufe (4.-6. Klasse) auf spielerische und interaktive Weise etwas über Datenschutz lernen können. Neu ist eine umfassende FAQ, in der die dänische Datenschutzbehörde Antworten auf viele der Fragen gesammelt hat, die in der Praxis häufig auftreten – z. B. zur Einwilligung, zur Verwendung von Bildern, zu Auskunftsanfragen und zur Speicherung personenbezogener Daten.

1.43 Dänemark: Anforderungen an KI-Lösung im Verwaltungsbereich zur Leistungsgewährung

Die Datenschutzbehörde Dänemarks hat auf Anfrage der Bildungs- und Forschungsbehörde die Rechtsgrundlage für eine KI-Lösung im Bereich der Studienbeihilfe geprüft. Dabei prüfte sie, ob die Behörde über eine Rechtsgrundlage für die Entwicklung und den Betrieb einer KI-Lösung verfügt, die als Unterstützung bei der Bewertung von Anträgen auf Behindertenbeihilfe dienen soll. Die Bildungs- und Forschungsbehörde möchte eine KI-Lösung entwickeln und in Betrieb nehmen, die anhand der bei der Behörde eingegangenen und entschiedenen Anträge auf Behindertenzuschläge sowie der dazugehörigen Unterlagen trainiert wird. Die KI-Lösung soll als Unterstützung bei der Beurteilung dienen, ob einem Antrag auf Behindertenzuschlag ausreichende Unterlagen beigefügt sind.
Die Datenschutzbehörde ist der Ansicht, dass die Verarbeitung personenbezogener Daten, die bei der Entwicklung und dem Betrieb einer KI-Lösung stattfindet, grundsätzlich auf der Grundlage der Bestimmung der DS-GVO über die Ausübung öffentlicher Gewalt (Artikel 6 Abs.1 lit. e) und der Bestimmung der Verordnung über die Verarbeitung, die aus Gründen wichtiger gesellschaftlicher Interessen erforderlich ist (Art. 9 Abs. 2 lit. g). Beide Bestimmungen setzen jedoch eine sogenannte ergänzende nationale Rechtsgrundlage voraus.
In ihrer Stellungnahme geht die dänische Aufsicht auch auf das Erfordernis der Informationspflichten ein und auch, welche Anforderungen an die gesetzlichen Grundlagen zu stellen sind. Sie verweist zudem auch auf ihre Anforderungen zur Entwicklung einer KI-Lösung und auf die Stellungnahme zum Betrieb einer KI-Lösung.

1.44 Österreich: Sanktion gegen Tesla-Halter wegen Wächtermodus

In Österreich verhängte die Datenschutzbehörde eine Sanktion in Höhe von 600 Euro gegen den Halter eines Tesla wegen dessen Videoüberwachungsanlage und dem aktivierten Watchdog-Modus mit aktivierter Dashcam sowie aktiviertem Watchdog-Mode mit kamerabasierter Erkennung ohne entsprechender Kennzeichnung samt vorheriger Mitteilung des berechtigten Interesses.
Der Fahrzeughalter beteiligte sich nicht am Verfahren und ließ Anfragen der Behörde unbeantwortet – hat aber gegen die Entscheidung den Rechtsweg beschritten.

1.45 Österreich: Sanktion unterbliebener Meldung nach Art. 33 Abs. 1 DS-GVO

Das Besondere an diesem Fall ist, dass die österreichische Datenschutzbehörde (DSB) ein Bußgeld gegen ein Unternehmen wegen unterbliebener rechtzeitiger Meldung einer Datenschutzverletzungen verhängte, obwohl die DSB von dem fehlerhaften System wusste.
Eine unbekannte Person entdeckte eine Sicherheitslücke auf der Subdomain der Website des Unternehmens, die es ermöglichte persönliche Daten (inkl. Namen, E-Mail-Adressen, Telefonnummern, Geschlecht) aufgrund fehlender technischer Sicherheitsvorkehrungen zu extrahieren. Die Person informierte das Unternehmen per E-Mail, aber die Nachricht wurde durch eine Mitarbeiterin fälschlicherweise als Spam behandelt und erreichte weder das Management noch die IT-Abteilung. Nachdem sie keine Antwort erhalten hatte, schickte eine andere Person (Vertreter einer Organisation) eine zweite E-Mail, diesmal mit der österreichischen Datenschutzbehörde in "CC". Das Unternehmen handelte dann schnell, um die Schwachstelle zu beheben. Die IT-Abteilung dokumentierte den Vorfall, aber das Unternehmen benachrichtigte die DPA immer noch nicht formell.
Die Datenschutzbehörde leitete eine Untersuchung ein und fragte das Unternehmen, warum die Datenschutzbehörde nicht auf der Grundlage von Art. 33 DS-GVO über den Verstoß informiert worden sei. Das Unternehmen argumentierte, dass keine weitere Benachrichtigung erforderlich sei, da sich die Datenschutzbehörde bereits in "CC" der zweiten E-Mail befunden habe. Die Datenschutzbehörde war anderer Meinung und stellte klar, dass eine externe E-Mail über ein potenzielles Sicherheitsproblem keine gültige Benachrichtigung gemäß Art. 33 DS-GVO ist.
In RN. 3.1.7 führt sie dazu aus, dass wenn eine dritte Person die DSB über einen Vorfall informiert, es sich hierbei um eine Verdachtsmeldung bzw. Sachverhaltsanzeige handele. Der Verdacht einer Sicherheitsverletzung kann nur vom Verantwortlichen nach einer internen Prüfung bestätigt oder widerlegt werden. Außerdem müsse vom Verantwortlichen im Zuge der Meldung nicht nur der bestätigte Vorfall beschrieben, sondern auch die in Reaktion darauf ergriffenen Maßnahmen dargelegt werden (siehe Art. 33 Abs. 3 lit. d DS-GVO). Auch habe das Unternehmen bereits mit dem Zugang des Hinweises an die Mitarbeiterin Kenntnis von der Sicherheitsverletzung erhalten (RN. 3.1.9 ff).
Hervorzuheben ist noch, dass die DSB feststellte, dass der Ausnahmetatbestand nach Art. 33 Abs. 1 DSGVO (= kein Risiko für die Rechte und Freiheiten natürlicher Personen) im vorliegenden Fall nicht einschlägig sei (RN. 3.1.12).
Bei der Bußgeldberechnung wandte die DSB die Leitlinien des EDSA an, bei 2 Mio. Vorjahresumsatz legte sie ein Bußgeld in Höhe von 870 Euro fest.

1.46 Österreich: Fehlende Information nach Art. 13 Abs. 1 lit. d bei Art. 6 Abs. 1 lit. f DS-GVO

Es war nicht überraschend: Schon im ErwGr 47 erwartet der Gesetzgeber, dass eine betroffene Person vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Das hat der EuGH bereits schon 2019 noch zum vorherigen Recht z.B. in C-708/2018 RN. 58 festgestellt, dass dies auch bei berechtigtem Interesse gilt. Richtig deutlich wurde der EuGH in C-394/23 RN 46, 63 und 64 [=> eine Verarbeitung kann nicht als Wahrung berechtigter Interessen als erforderlich angesehen werden, wenn der betroffenen Person bei der Erhebung der Daten nicht das verfolgte Interesse mitgeteilt wurde (...)]
Dass dies auch im Alltag Auswirkungen haben kann, zeigt die Entscheidung der österreichischen Aufsicht: Die Datenschutzbehörde informiert in ihrem Newsletter 2/2025 über ihre Entscheidung vom 02.04.2025 (DSB-D124.0475/25 (2025-0.243.398)), dass ohne Umsetzung der Informationspflicht nach Art. 13 Abs. 1 lit. d DS-GVO die Verarbeitung nicht auf Art. 6 Abs. 1 lit. f gestützt werden könne, oder wie sie es formuliert: „Unzureichende Informationserteilung verunmöglicht die Berufung auf berechtigte Interessen“.
Was heißt das für Verantwortlicher? Diese sollten die Dokumentation des berechtigten Interesses im Verzeichnis der Verarbeitungstätigkeiten und die Abbildung dieser Verarbeitungszwecke über Art. 13 Abs. 1 lit. d DS-GVO sicherstellen.

1.47 Österreich: Löschungsanspruch von ehemals Beschäftigten bezüglich Bildern in Social Media

Aus Österreich kommt die Entscheidung der dortigen Aufsicht. Die Datenschutzbehörde entschied, dass ehemalige Beschäftigte gegen den früheren Arbeitgeber einen Löschungsanspruch bezüglich Bildern von ihnen haben, die dieser in Social Media veröffentlichte. Die Datenschutzbehörde befasst sich dabei auch mit den denkbaren Rechtsgrundlagen der Verwendung der Bilder in Social Media.
Sollte die Rechtsgrundlage der Veröffentlichung in einer Einwilligung gelegen haben, stelle eine Löschaufforderung der betroffenen Person einen Widerruf dar.
Mit Beendigung des Arbeitsvertrages entfalle auch eine Rechtsgrundlage aus Art. 6 Abs. 1 lit. b DS-GVO (Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses). Eine Rechtsgrundlage aus Interessenswahrung nach Art. 6 Abs. 1 lit. f DS-GVO scheitere hier an der Erforderlichkeit. Es handelte sich um eine Online-Marketing-Agentur, die damit ihr Können zeigen wollte. Die Datenschutzbehörde weist auch darauf hin, dass auch der Abschluss einer (entgeltlichen) Nutzungsvereinbarung angedacht werde könne. Auch verneinte die Datenschutzbehörde ein Abwägungsergebnis zugunsten des Unternehmens: Die wirtschaftlichen (Werbe- bzw. Repräsentations)-Interessen des Unternehmens sind im Weiteren nicht derart stark zu gewichten, dass sie das Interesse des ehemaligen Beschäftigten am Schutz seiner personenbezogenen Daten überwiegen, zumal die Datenverarbeitung entgegen dessen ausdrücklichen Willens erfolgt.
Anders kann es sein, wenn die ehemals beschäftigte Person eine bestimmte Position im Unternehmen hatte und bei öffentlichen Veranstaltungen zu sehen war, wie die spanische Aufsicht AEPD hier berichtet:
Eine Person, die eine wichtige Position in einer Einrichtung innehatte, beantragte nach ihrem Ausscheiden aus dieser Position bei der Einrichtung die Entfernung von Videos, die auf dem Unternehmenskanal veröffentlicht worden waren und in denen sie aufgrund ihrer Position an öffentlichen Veranstaltungen teilnahm. Die Bilder stammten von Veranstaltungen und Kampagnen, an denen die klagende Person aufgrund ihrer Position teilgenommen hatte, und waren auf der Website, dem YouTube-Kanal und anderen von der Organisation verwalteten digitalen Plattformen veröffentlicht worden. Die Einrichtung lehnte den Antrag ab.
Die spanische Aufsicht erläutert in ihrer Entscheidung dann die Kriterien zu Löschungsrechten.
Unter Anwendung dieser Kriterien auf den konkreten Fall kommt die Aufsicht zu dem Schluss, dass die verarbeiteten Informationen nicht auf das Privatleben des Beschwerdeführers beschränkt sind und nicht als veraltet oder unrichtig angesehen werden können. Der Beschwerdeführer habe auch keine persönlichen Umstände geltend gemacht, die belegen, dass sein Recht in diesem konkreten Fall Vorrang haben sollte, weshalb die Aufsicht der Ansicht ist, dass das Recht auf Datenschutz gegenüber der Meinungs- und Informationsfreiheit und dem Interesse der Internetnutzer an der Kenntnis dieser Informationen zurücktreten muss (Ich füge folgend eine deepl-Übersetzung der Entscheidung bei):

Es kommt also viel auf den Einzelfall an, wenn ein Löschungsanspruch einer ehemals beschäftigten Person geltend gemacht wird ohne, dass eine vertragliche Grundlage für die Verwendung der Aufnahmen für diesen Zweck nachgewiesen werden kann (Model Release Vertrag). Die Kriterien sind dann u.a. welche Position hatte die Person im Unternehmen, ist sie alleine oder mit mehreren abgebildet, war es eine öffentliche oder private Veranstaltung.

(Was mir persönlich bei den Ausführungen der beiden Aufsichten noch fehlt, ist die Berücksichtigung der eigenen Zwecke der jeweiligen Sozialen Netzwerke (und künftig vielleicht auch, ob die Inhalte in den jeweiligen Kanälen zum KI-Training verwendet werden).

1.48 Österreich: Auskunftsrecht nach Art. 15 DS-GVO umfasst auch Audioaufnahmen

In einem Nachbarschaftsstreit um Lärmemissionen durch spielende Kinder hatte eine Partei heimlich Audiomaterial aufgenommen und sich später in Zivilverfahren auf diese Aufnahmen berufen. Die andere Partei beantragte Zugang nach Art. 15 DS-GVO. Die Aufnahmen wurden nicht vollständig offengelegt.
Die österreichische Datenschutzbehörde (DSB) entschied, dass dies das Recht auf Auskunft verletze. Audioaufnahmen, in denen die Stimme einer Person identifiziert werden kann, sind personenbezogene Daten. Wenn diese verarbeitet werden, müssen sie auch beauskunftet werden.
Dies gelte auch dann, wenn die Aufnahmen aufbewahrt und als Beweismittel in einem Zivilstreit verwendet würden. Die bloße Tatsache, dass Daten in Zivilprozessen verwendet werden, schränke Art. 15 DS-GVO nicht ein. Die Berufung auf Prozessstrategien, Verfahrensnachteilung oder "faire Verfahrens"-Argumente reichten nicht aus. Art. 23 DS-GVO könne ohne ein spezifisches nationales Gesetz, das die Zugangsrechte zu diesem Zweck einschränkt, nicht angewiesen werden, und eine solche Regel existiere in Österreich nicht.
Einschränkungen sind nur nach Art. 15 Abs. 4 der DS-GVO möglich. Das erfordert eine konkrete Abwägung, bei der die Rechte und Freiheiten anderer Personen tatsächlich das Auskunftsrecht überwiegen. Abstrakte Referenzen reichten nicht aus.
Das Recht auf Akteneinsicht im Prozess und das Recht auf Auskunft bestehen unabhängig voneinander und daher gelten regelmäßig nebeneinander. Hinsichtlich jener Tonaufnahmen, von welchen der Beschwerdeführer bereits im Zivilverfahren Kenntnis erlangte, sei auch kein (überwiegendes) Interesse der Beschwerdegegnerin an der Geheimhaltung erkennbar. Deren Inhalt ist daher – sofern sie den Beschwerdeführer bzw. dessen Stimme betreffen – jedenfalls vom Auskunftsrecht des Beschwerdeführers mitumfasst.
Allerdings besteht das Auskunftsrecht nur hinsichtlich der eigenen personenbezogenen Daten. Der Beschwerdeführer hat somit jedenfalls kein Recht auf Beauskunftung jener Tonaufnahmen bzw. jener Abschnitte, auf welchen seine Ehegattin und/oder dessen Kinder zu hören sind.

1.49 Österreich: Speicherdauer in der Warnliste der österreichischen Kreditinstitute

Eine Person beantragte die Löschung langjähriger negativer Krediteinträge aus der Warnliste der österreichischen Kreditinstitute mit der Begründung, dass die Daten veraltet seien und sie nach so langer Zeit gelöscht werden müssten. Bei der Warnliste handelt es sich um eine zu Zwecken des Gläubigerschutzes und der Risikominimierung geführte Liste („Bankenwarnliste“), aus der die teilnehmenden Banken einen Warnhinweis auf vertragswidriges Kundenverhalten entnehmen können. Die Einträge zu Kreditausfällen reichen viele Jahre zurück, wobei eine teilweise Rückzahlung erst viel später erfolgte.
Die österreichische Datenschutzbehörde (DSB) lehnte die Beschwerde ab. Die DSB bestätigte, dass die fortgesetzte Speicherung negativer Kreditdaten legal sein könne, wenn sie noch relevant für die Bewertung von Kreditwürdigkeit und Risiko sei (im konkreten Fall nach fünf Jahren). Der bloße Zeitverlauf löse nicht automatisch ein Recht auf Löschung aus.
Banken könnten sich auf das berechtigte Interessen gemäß Artikel 6 Abs. 1 lit. f DS-GVO stützen, um Einträge auf Warnlisten zu führen. Historisches Zahlungsverhalten könne für das Risikomanagement und fürsorgliche Verpflichtungen relevant bleiben. Die DSB betonte, dass es kein festes DS-GVO-"Ablaufdatum" für Kreditdaten gebe. Wichtig ist jedoch, dass die Daten noch geeignet und für den verfolgten legitimen Zweck notwendig sind.
Selbst wenn Informationspflichten in der Vergangenheit unvollkommen erfüllt wurden, stelle dies nach Ansicht der DSB die Verarbeitung nicht automatisch rechtswidrig oder begründe einen automatischen Löschanspruch. Aussagen zu den Feststellungen des EuGH in C-394/23 (Mousse) (wir berichteten) werden in der Entscheidung der DSB nicht getroffen.

1.50 Niederlande: Datenschutzverletzungen und Datenschutzbeauftragte

Welche Rolle nimmt ein Datenschutzbeauftragter bei Datenschutzverletzungen ein? Damit befasste sich die niederländische Aufsicht nach einer Prüfung bei der Zollbehörde. Hierzu stellte sie dann in einem Schreiben (Empfehlungen 4 und 5 ) fest, dass bei der Bewertung einer Datenschutzverletzung der Datenschutzbeauftragte hinzuzuziehen sei. Werde von dessen Empfehlung zu melden abgewichen, sollte dies entsprechend dokumentiert werden.
Zudem erwähnt sie noch, dass gemeldete Fälle von verschlüsselten Mobilgeräten, deren Verbleib ungewiss sei, zwar als Sicherheitsvorfall im Vorfallregister nach Art. 33 Abs. 5 DS-GVO erfasst werden müssen, aber nicht mehr als mögliche Datenpanne an die Datenschutzaufsicht gemeldet werden müssen. Vorausgesetzt, die Verschlüsselung ist angemessen und die Steuerbehörde verfüge über aktuelle Kopien oder Backups der personenbezogenen Daten, die sich auf dem verlorenen verschlüsselten Mobilgerät befinden.

1.51 Niederlande: KI-Systeme für Social Scoring

Das Verbot in Art. 5 Abs. 1 lit. c KI-VO richtet sich gegen solche inakzeptablen, KI-gestützten "sozialen Bewertungs-Praktiken“, die Individuen oder Gruppen anhand ihres sozialen Verhaltens oder ihrer persönlichen Eigenschaften bewerten oder klassifizieren und zu nachteiligen oder ungünstigen Behandlungen führen, insbesondere wenn die Daten aus mehreren, nicht zusammenhängenden sozialen Kontexten stammen oder die Behandlung im Verhältnis zur Schwere des sozialen Verhaltens unverhältnismäßig ist. Das Verbot der "sozialen Bewertung" hat einen breiten Anwendungsbereich sowohl im öffentlichen als auch im privaten Kontext und ist nicht auf einen bestimmten Sektor oder ein Feld beschränkt. Die niederländische Datenschutzaufsicht hat eine Zusammenfassung und die nächsten Schritte veröffentlicht und fordert zu weiteren Beiträgen zu KI-Systemen für die soziale Bewertung auf.

1.52 Niederlande: Hinweise zum Einsatz von Cookies

Die niederländische Aufsicht hat Hinweise veröffentlicht, wie Cookies (und andere Technologien) regelkonform eingesetzt werden können.

1.53 Spanien: Vertraulichkeitsanforderungen auch auf Postumschlägen

Die spanische Aufsicht AEPD erinnert daran, dass bei Schreiben von Behörden über Hinweise auf dem Umschlag keine Informationen erkennbar sein dürfen, die Rückschlüsse auf vertrauliche Inhalte ermöglichen. Im monierten Fall ging es um Angaben wie "Pfändungsvollstreckung" und "Bescheid über den Vollstreckungsbescheid".

1.54 Spanien: Richtlinie zur internen Nutzung generativer KI

Die spanische Datenschutzbehörde (AEPD) hat ein Dokument veröffentlicht, das ihre Interne allgemeine Politik für die Nutzung von generativer KI sowie die Entwicklung und Implementierung dieser Systeme beschreibt. Das Dokument enthält Abschnitte zu spezifischen Anwendungsfällen, Risikoanalysen und Minderungsmaßnahmen sowie ein Beispiel für einen Bereitstellungsplan.
Die Allgemeine Richtlinien für die Verwendung von generativer KI in administrativen Prozessen der AEPD ist die erste ihrer Art im öffentlichen Sektor in Spanien und wurde in Ausübung ihrer Befugnisse als unabhängige Verwaltungsbehörde genehmigt und ist Teil ihrer Informationspolitik. Die Veröffentlichung ist Teil des Strategischen Plans 2025-2030 der Agentur, der die Förderung der sicheren und verantwortungsvollen Nutzung von KI für die Integration dieser Systeme in das normale Funktionieren der öffentlichen Verwaltungen wie in anderen Sektoren einschließt.

1.55 Spanien: Evaluierung der bisherigen Veröffentlichungen

Im Rahmen des Engagements der spanischen Aufsicht AEPD für kontinuierliche Verbesserung und Transparenz wird eine Aktualisierung aller bisher veröffentlichten Empfehlungen und Leitfäden durchgeführt. Davon betroffen sind fast hundert Leitfäden, Richtlinien und technische Dokumente, die auf ihrer Website veröffentlicht wurden. Mit der Überprüfung soll darstellt werden, welche Dokumente aktualisiert wurden, welche gerade aktualisiert werden und welche als historische Dokumente sichtbar bleiben sollen.

1.56 Schweden: Untersuchung mit synthetischen Daten zum KI-Training

Die Schwedische Datenschutzbehörde ((IMY) hat gemeinsam mit einer Kanzlei (Familjens Jurist) die Möglichkeit untersucht personenbezogene Daten zur Erstellung synthetischer Daten zur KI-Trainingsfähigkeit zu nutzen, wie sie hier berichtet. Die Ergebnisse geben Hinweise, wie KI-Training auf datenschutzfreundliche Weise durchgeführt werden kann.
Ziel war eine KI an Daten aus Sorgerechtsfällen zu trainieren ohne personenbezogene Daten zu verarbeiten. Mit der KI sollte erreicht werden vorherzusagen, welche Fälle gefährdet sind konfliktreich zu werden, und geeignete Interventionen zu identifizieren. In seinem regulatorischen Sandkasten hat IMY gemeinsam mit der Kanzlei Fragen im Zusammenhang mit dem Projekt untersucht, einschließlich der Synthese. IMY veröffentlicht die Ergebnisse nun in einem Bericht, der weiteren Unternehmen Leitlinien geben kann. 
Aus den Schlussbemerkungen des Berichts (keine offizielle Übersetzung):

„Die Möglichkeit der Weiterverarbeitung personenbezogener Daten ist für viele Unternehmen relevant, die KI entwickeln und einsetzen möchten. Damit eine Weiterverarbeitung personenbezogener Daten zum Trainieren eines KI-Modells mit personenbezogenen Daten oder zum Erstellen synthetischer Daten erfolgen darf, verlangt der Grundsatz der Zweckbindung, dass die Verarbeitung nicht mit den ursprünglichen Zwecken unvereinbar ist. Häufig ist es möglich personenbezogene Daten für Zwecke der Geschäftsentwicklung weiterzuverarbeiten. Wenn die Weiterverarbeitung dadurch erfolgt, dass personenbezogene Daten im Unternehmen zur Erstellung synthetischer Daten verwendet werden, die keine personenbezogenen Daten mehr sind, handelt es sich nach Einschätzung der IMY in der Regel um eine kompatible Weiterverarbeitung. Bei diesem Projekt gibt es jedoch besondere Umstände, darunter der Kontext, in dem die Daten erhoben wurden, und die Sensibilität der Daten, die dazu führen, dass zusätzliche Schutzmaßnahmen in Betracht gezogen werden müssen. IMY ist jedoch der Ansicht, dass eine Weiterverarbeitung personenbezogener Daten als zulässig angesehen werden könnte, wenn Schutzmaßnahmen in Form von Opt-out-Möglichkeiten eingeführt würden. In diesem Zusammenhang möchte IMY betonen, dass das Training eines KI-Modells mit synthetischen Daten die Risiken für die Rechte der betroffenen Personen verringert und dass die Synthetisierung als bessere Alternative angesehen werden kann als das Training des KI-Modells mit tatsächlichen personenbezogenen Daten.“

Demnach empfiehlt es sich im Rahmen der Prüfung der Erforderlichkeit die Entscheidung zu dokumentieren, warum ein KI-Training mit synthetischen Daten im konkreten Fall nicht für den Zweck ausreichen wurde.

1.57 Liechtenstein: Informationen zu Cookies

Die Datenschutzstelle Liechtenstein aktualisiert ihre Informationen zu Cookies und vergleichbaren Technologien sowie zu den damit einhergehenden Pflichten.
Mit der Revision des (liechtensteiner) Kommunikationsgesetzes (KomG) vom 1. Februar 2025 wurde Art. 61 Abs. 4 neu eingeführt. Die Bestimmung entspricht weitgehend Art. 5 Abs. 3 der ePrivacy-Richtlinie (2002/58/EG in der Fassung 2009), obwohl diese Fassung im EWR noch nicht übernommen wurde. Die Regelung betrifft die Speicherung bzw. das Auslesen von Informationen in Endgeräten (z.B. Cookies, Tracking-Technologien) und setzt grundsätzlich eine informierte Einwilligung nach Datenschutz-Grundverordnung (DS-GVO) voraus. Ausnahmen gelten für (a) die reine Übertragung von Nachrichten über ein elektronisches Kommunikationsnetz und (b) technisch unbedingt erforderliche Massnahmen zur Bereitstellung eines vom Nutzer ausdrücklich gewünschten Dienstes.

1.58 Liechtenstein: Übersicht zu Rechtsprechung zu Betroffenenrechten

Die Datenschutzstelle Liechtenstein publiziert regelmässig kurze Zusammenfassungen datenschutzrechtlich relevanter Gerichtsurteile. In dieser finden sich vier Entscheidungen nationaler Gerichte in Europa, welche jüngst für eine weitere Konkretisierung der Auslegung der (DS-GVO) und indirekt auch des liechtensteinischen Datenschutzgesetzes (DSG) sorgten. Im Anschluss an die Entscheidungen findet sich zumeist noch eine entsprechende Einordnung bzw. Anmerkung durch die DSS. Diesmal liegt der Fokus auf den Schranken bei der Geltendmachung von Betroffenenrechten.

1.59 Belgien: Vorhaben 2026-2028

Die belgische DPA veröffentlichte ihre Strategie 2026-2028, die sich auf Adtech und großflächige Datenverarbeitung durch Datenmakler konzentriert. Dazu will sie ihre Sensibilisierungsarbeit verstärken, Leitlinien einfordern und erarbeiten, aber auch Verstöße wirksam ahnden. Sie will sich zudem auf zwei Themen konzentrieren: Auf die Verarbeitungen, die ein hohes Risiko darstellen, und auf die Verarbeitung personenbezogener Daten von Minderjährigen.

1.60 Ungarn: Bericht über die Verwendung von KI durch Banken

Die ungarische Datenschutzbehörde hat im Jahr 2025 mehrere ungarische Banken untersucht und einen Bericht erstellt, um darzustellen, wie künstliche Intelligenz im Bankensektor in Ungarn zur Verarbeitung personenbezogener Daten eingesetzt wird. Der Bericht ist in ungarischer und englischer Sprache verfügbar. Laut dem Bericht der ungarischen Datenschutzbehörde über den Einsatz von KI im Bankensektor setzen Finanzinstitute verschiedene technische Lösungen in ihrem Betrieb ein, von denen einige möglicherweise nicht eindeutig als künstliche Intelligenz eingestuft werden. Analytische Modelle, die zur Unterstützung der Entscheidungsfindung entwickelt wurden, können Kundenprofile entwickeln, indem sie Elemente wie Kreditrisiko- und Betrugspräventionsbewertungen berücksichtigen. Die von diesen Tools erzeugten Vorhersagen beziehen sich auf eine Reihe von Produkten und Dienstleistungen wie Kredit-, Investitions- oder Kartenangebote.
Angesichts der Komplexität bei der Unterscheidung zwischen diesen technologischen Anwendungen müssen Akteure, die solche Lösungen einsetzen, die Funktionsweise von Entscheidungsmodellen genau prüfen. Die Richtlinien der Europäischen Kommission zur Definition von KI-Systemen geben nützliche Hinweise zur KI-Klassifikation. Dennoch bewahrt die Datenschutzverordnung (DS-GVO) aus Datenschutzsicht die technologische Neutralität. Daher gelten theoretische Datenschutzanforderungen unabhängig davon, welches Gerät für die Datenverarbeitung verwendet wird, wobei der Fokus auf Ergebnissen statt auf Geräten liegt.

1.61 Italienische Wettbewerbsaufsicht: WhatsApp Business Solution Terms

Die italienische Wettbewerbsbehörde hat Meta angewiesen die WhatsApp Business Solution Terms umgehend auszusetzen, um den Wettbewerbern von Meta AI den Zugang zur WhatsApp-Plattform zu sichern. Die italienische Behörde koordiniert sich mit der Europäischen Kommission, um sicherzustellen, dass Metas Verhalten auf die effektivste Weise adressiert wird.

1.62 BSI: Hinweise nach gehacktem Account

Das BSI veröffentlichte Hinweise und Empfehlungen für Privatanwender, deren Account gehackt wurde. In Zusammenarbeit mit der Polizei gibt es eine Checkliste, welche bei der Frage hilft, was zu tun ist, wenn man nach der Kompromittierung entweder keinen Zugriff mehr auf sein Konto hat oder aber noch eingeloggt ist. Die Checkliste soll ein Anhaltspunkt sein, wie am besten und schnellsten reagiert werden sollte, um weiteren Schaden abzuwenden.

1.63 BSI: Leitfaden für moderne verteidigungsfähigen IT-Architektur

Das BSI informiert über einen weiteren Leitfaden. Gemeinsam mit acht internationalen Sicherheitsbehörden hat es Leitlinien für die Konzeption und den Aufbau sicherer IT-Umgebungen erarbeitet. Die Ende Oktober 2025 veröffentlichten Grundlagen für eine moderne verteidigungsfähige Architektur, international abgekürzt als MDA (modern defensible architecture), gehen auf eine Initiative des Australian Cyber Security Centre (ACSC)  zurück. Mitgewirkt haben Cybersicherheitsbehörden aus Tschechien, Kanada, Japan, Neuseeland und Südkorea sowie eine Polizeibehörde aus Japan. Die Veröffentlichungen sollen Organisationen einen klaren Weg aufzeigen, wie sie sichere IT-Designs und -Architekturen von Anfang an in ihre Cybersicherheitsstrategie und Resilienzplanung implementieren. Dabei spielen auch Prinzipien wie Security by Design, Security by Default und Zero Trust eine Rolle.
Die englischsprachige Reihe umfasst drei Veröffentlichungen: Teil 1 Foundations for modern defensible architecture widmet sich den Grundlagen und adressiert technische Projektleitungen sowie IT-Fachpersonal. Teil 2 Modern defensible architecture for senior decision makers soll Entscheidungsträgerinnen und -trägern ein Bewusstsein vermitteln für die aktuelle Bedrohungslage sowie für die Vorteile von MDA im Hinblick auf Prävention, Verteidigung und Vorbereitung auf zukünftige Bedrohungen. Teil 3 Investing in modern defensible architecture unterstützt bei der Entwicklung eines MDA-Investitionsplans, welcher Unternehmensstrategie, Geschäfts- und Sicherheitsziele, Risikoprofil und Bedrohungskontext mit einbezieht.

1.64 BSI: Nis2know – Schneller Einstieg in NIS2

Aus aktuellem Anlass wird erinnert, dass das BSI auf seinen Seiten umfangreiche Informationen zu Anforderungen und Umsetzungen der NIS2-RL hat.

1.65 BSI: Lagebericht zur IT-Sicherheit in Deutschland 2025

Um hinsichtlich des veröffentlichten Lageberichtes 2025 des BSI etwas Positives ableiten zu können, reicht es die entsprechende Botschaft des Bundesinnenministers dazu zu lesen:

„Die Cybersicherheit in Deutschland musste auch im vergangenen Jahr an vielen Fronten verteidigt werden. Durch die geopolitischen Entwicklungen hat sich die Bedrohungslage weiter verschärft: Insbesondere russische Akteure greifen die IT-Strukturen deutscher Unternehmen, Kommunen und Privatleute an. Auch Kriminelle mit rein monetären Interessen haben es auf unsere Daten abgesehen. Gleichzeitig wollen und müssen wir die Digitalisierung in unserem Land voranbringen und dabei für sichere Informationstechnik sorgen.“

Ansonsten freue ich mich über Bonmots wie „Ein gedrucktes Handout zum BSI-Lagebericht 2025 und die Systematik der Lagebewertung als großes Schaubild mit ausgewählten statistischen Diagrammen stehen als PDF zum Download zur Verfügung.“ Inhaltlich helfen diese Schaubilder zum Verständnis.

1.66 BSI: Cybersicherheitsmonitor und Checkliste bei Betroffenheit von Angriffen

Das BSI veröffentliche seine Ergebnisse der Befragung zur Cybersicherheit 2025. Welche Straftaten erleiden Menschen im Internet? Und wie schützen sie ihre Geräte, Anwendungen und Daten vor Cyberkriminellen? Der Cybersicherheitsmonitor von BSI und ProPK gibt Einblicke in den digitalen Alltag der internetnutzenden Bevölkerung in Deutschland. Im Jahr 2025 kommt er dabei zu dem Fazit: Viele Schutzmaßnahmen bleiben von Verbraucherinnen und Verbrauchern weitgehend ungenutzt. Dazu gibt es auch einen Kurzbericht.
Das aktuelle Fokusthema nimmt zudem den digitalen Familienalltag in den Blick. Es geht u.a. den Fragen nach, welche Maßnahmen Eltern zum Schutz ihrer Kinder einsetzen, von welchen Gefahrenszenarien letztere bereits berichtet haben.
Explizit hinweisen möchte ich aber auf Hilfestellungen des BSI bei Ernstfällen, ob Infektion mit einem Schadprogramm, Online-Betrug oder gehackter Account: Die Checklisten von BSI und ProPK zeigen die wichtigsten Schritte bei Betroffenheit auf.

1.67 BSI: Studie "Entwicklungsstand Quantencomputer" aktualisiert

Das BSI informiert zu einem Update seiner Quantencomputing-Studie zu Fortschritten und Herausforderungen für die Cybersicherheit. Ziel der Studie ist es kryptografisch relevante Quantenalgorithmen sowie den Fortschritt aktueller Technologien zur Realisierung eines kryptografisch relevanten Quantencomputers zu bewerten.
Eine Zusammenfassung in Deutsch findet sich hier und ein Bericht dazu findet sich auch dort.

1.58 DSB Österreich: Umfang der Informationsfreiheit

Die Datenschutzbehörde Österreichs (DSB) ist auch die Aufsicht zu Ansprüchen nach Transparenz- und Informationsfreiheitsregularien. Nun hat sie dabei eine Entscheidung veröffentlicht, mit der sie sich mit dem Umfang einer Auskunft befasst. Was zählt dabei als Information? Es besteht danach keine Verpflichtung zur Beantwortung von Rechtsfragen oder zukünftigen Willensbildungen. Bericht dazu auch hier.

2.1 EuGH: Überprüfung des TADPF durch EuGH

Nach der Entscheidung des EuG T-557/23 (wir berichteten) geht der Kläger vor den EuGH, wie hier berichtet wird. Der EuGH wird sich dann mit der Rechtmäßigkeit der Entscheidung der EU-Kommission zum Trans-Atlantik-Data Privacy Framework befassen. Bericht dazu auch hier.

2.2 EuGH: Beweisverwertungsverbot bei Datenschutzverstoß (C-484/24)

Im Verfahren C-484/24 (NTH Haustechnik) geht es u.a. um Fragen zu Verarbeitungen personenbezogener Daten im Kontext justizieller Verarbeitungstätigkeiten nach Art. 17 Abs. 3 lit. e DS-GVO und Beweisverwertungsverboten. Dürfen Kenntnisse eines Arbeitgebers, die möglicherweise durch einen Datenschutzverstoß erlangt wurden, durch ein Gericht verwertet werden? Wir berichteten bereits dazu. Damit befasst sich auch dieser Beitrag. In seinen Schlussanträgen empfiehlt der Generalanwalt, dass der Grundsatz der „Speicherbegrenzung“ aus Art. 5 Abs. 1 lit. de DS-GVO es einem nationalen Gericht nicht verwehrt dürfe eine justizielle Verarbeitung von Daten vorzunehmen, die unter Rückgriff auf andere Daten erlangt wurden, deren ursprüngliche Erhebung oder Speicherung unter Verstoß gegen diesen Grundsatz erfolgte.
Es sei Sache des nationalen Gerichts darüber zu wachen, dass die Modalitäten für die justizielle Verwertung dieser personenbezogenen Daten im geltenden einzelstaatlichen Recht eine Grundlage finden, mit den Grundsätzen der Äquivalenz und der Effektivität in Einklang stehen, einem im öffentlichen Interesse liegenden Zweck entsprechen, hierfür erforderlich sind und in einem angemessenen Verhältnis zu diesem Zweck stehen.

2.3 OLG Nürnberg: Zulässigkeit der Weitergabe von Positivdaten an Auskunftei

Das OLG Nürnberg sieht für die Weitergabe von Positivdaten bei einem Mobilfunkvertrag eine zulässige Rechtsgrundlage in Art. 6 Abs 1 lit. b DS-GVO. Daher lehnt es auch eine entsprechende Schadenersatzklage nach Art. 82 DS-GVO ab. Kontrollverlust ist nicht mit einer unzulässige Datenübermittlung an einen Dritten gleichzusetzen, sondern verlangt die konkrete Befürchtung der missbräuchlichen Verwendung durch den Dritten; dies fehle bei der Übermittlung von Positivdaten an eine Wirtschaftsauskunftei.

2.4 OGH Österreich: Einsatz von KI ohne fachliche Kontrolle => Nichtigkeitsbeschwerde abgewiesen

Der Oberste Gerichtshof Österreichs hat eine Nichtigkeitsbeschwerde zurückgewiesen. Das allein ist sicherlich nicht erwähnenswert für hier, aber wie Rn. 10 des Beschlusses zu entnehmen ist, geht das Gericht davon aus, dass das mit Fehlzitaten durchsetzte Vorbringen durch eine Künstliche Intelligenz erstellt wurde und damit nicht das Argumentationsniveau erreichte, das erforderlich wäre, um vor einem Höchstgericht eingereicht zu werden:

"Das weitere, mit zahlreichen Fehlzitaten (betreffend einerseits vorgebliche Verfahrensergebnisse, andererseits zum Großteil gar nicht oder jedenfalls nicht zum angegebenen Thema existierende oberstgerichtliche Entscheidungen) durchsetzte, offenbar ohne fachliche Kontrolle (vgl aber § 9 Abs 1 RAO; …) durch sogenannte „künstliche Intelligenz“ erstellte Vorbringen genügt dem Erfordernis, Nichtigkeitsgründe deutlich und bestimmt zu bezeichnen, also einen Nichtigkeit begründenden Sachverhalt auf einem dem Obersten Gerichtshof als Höchstgericht angemessenen Argumentationsniveau (….]) anzuführen (vgl § 285a Z 2 StPO), nicht ansatzweise und entzieht sich daher einer inhaltlichen Erwiderung."

2.5 BVwG Österreich: Anforderungen an Granularität bei „Pay or okay“

Das Bundesverwaltungsgericht in Österreich kritisierte in einem Verfahren die unzureichende Granularität bei einer Auswahlentscheidung zu „Pay or okay“. Bericht dazu auch hier und in diesem Blog-Beitrag. Aber das muss noch nicht das letzte Wort sein, denn der Rechtsweg ist noch nicht abgeschlossen.

2.6 BVwG Österreich: Fällt der Versuch einer Verarbeitung unter DS-GVO?

Das Bundesverwaltungsgericht in Österreich musste entscheiden, ob bereits der Versuch einer Verarbeitung den Anwendungsbereich der DS-GVO eröffnet. Die beschwerdeführende Partei wollte in einem Online-Bewerbungsformular keine Angabe zu ihrem Geschlecht machen – das Feld war aber als Pflichtfeld („weiblich“, „männlich“, „divers“) ausgestaltet. Sie brachte daraufhin eine Datenschutzbeschwerde ein, doch das BVwG wies diese zurück: Da das Formular nicht tatsächlich abgeschickt wurde, liege keine Verarbeitung personenbezogener Daten im Sinne der DS-GVO vor. Ohne tatsächliche Übermittlung könne also kein Datenschutzverstoß entstanden sein.
Mit der Fragestellung befasst sich auch dieser Blog-Beitrag, allerdings im Kontext der Entscheidung des EuGH (C-548/21), bei der es um die Frage des Versuchs von Polizeibehörden ging Zugang zu den auf einem Mobiltelefon gespeicherten Daten zu erlangen – auch wenn dieser Versuch scheitert und Daten faktisch nicht verarbeitet werden.

2.7 BVwG Österreich: Haushaltsausnahme und private Videoüberwachung

Wann kann sich auf die Haushaltsausnahme berufen werden, wenn durch private Videoüberwachungsaufnahmen erstellt werden? Im konkreten Fall ging es um Videoaufnahmen einer Überwachungskamera, die in einer Garage versteckt wurde, sowie einer Kamera, die in einem Auto installiert wurde. Die Aufnahmen wurden auch an eine dritte Person weitergegeben. Das Bundesverwaltungsgericht in Österreich (BVwG) entschied, dass, sobald eine Videoaufnahme auch nur teilweise öffentlichen Raum oder den privaten Raum eines Dritten erfasst, sie den privaten Bereich des Verantwortlichen verlässt. Die Haushaltsausnahme greift dann nicht und die DS-GVO gilt mit all ihren Pflichten: Rechtsgrundlage, Informationspflichten, Zweckbindung, Datenminimierung usw.

2.8 OLG Frankfurt: Verantwortlichkeit bei vorgetäuschten CE-Kennzeichen

Das OLG Frankfurt musste in einem Streit um FFP2-Masken entscheiden, inwieweit ein Exporteur von persönlicher Schutzausrüstung in die EU sich ein arglistiges Verhalten des von ihm mit der Prüfung der Einhaltung der Voraussetzungen der VO (EU) 2016/425 und der Anbringung eines CE-Kennzeichens betrauten Prüfinstituts gemäß § 278 BGB zurechnen lassen müsse. Das OLG Frankfurt bejahte hier eine Haftung. Auch erfülle die Beauftragung und Ausstellung von „Voluntary Certificates“, die keinen anderen Zweck haben können als die Einhaltung der Voraussetzungen der VO (EU) 2016/425 und der Anbringung eines CE-Kennzeichens im Rechtsverkehr vorzutäuschen, den Tatbestand eines arglistigen Verhaltens im Sinne des § 377 Abs. 5 HGB.
Ausführliche Besprechung hier, auch mit dem Blick auf Kennzeichnungspflicht für Hochrisiko-KI, die nach der KI-VO erforderlich sind.

2.9 LG Bielefeld: Kein Versicherungsschutz bei Fake-SMS

Aufgemerkt! Wer eine Cyberversicherung abschließt, um Risiken durch schädigende Handlungen anderer zu minimieren, sollte sicherstellen, dass damit auch alle denkbaren Angriffsszenarien abgedeckt werden. Im Fall des LG Bielefeld war dies nicht so: Der Angriff erfolgte über eine Fake-SMS. Das LG Bielefeld entschied, dass in der Hausratversicherung mit Internetschutz kein Versicherungsschutz besteht, da der konkrete Versicherungsschutz nur gefälschte E-Mail umfasste, aber nicht gefälschte SMS. Zudem umfasste im konkreten Fall der Versicherungsschutz nur erschlichene Zahlungsvorgänge, nicht eine Ausstellung von digitalen Girocards. Der Volltext der Entscheidung des LG Bielefeld ist noch nicht veröffentlicht. Meldung dazu aber hier und umfassender Bericht dort.

2.10 VG Berlin: Zur gemeinsamen Verantwortlichkeit bei Lettershopverfahren

Das VG Berlin (Urteil vom 14. Oktober 2025, VG 1 K 74/24 – noch nicht veröffentlicht) hatte in einem Fall über eine gemeinsame Verantwortlichkeit zwischen einem Adresshändler und Werbetreibendem in einem Lettershopverfahren zu entscheiden. Das VG Berlin sieht hier keine gemeinsame Verantwortung. Nach dessen Ansicht müsste für eine Einflussnahme auf die Mittel der Datenverarbeitung es irgendeine über die Auftragserteilung hinausgehende organisatorisch-konzeptionelle Mitwirkung der Klägerin an der Datenverarbeitung gegeben haben, die hier aber nicht ersichtlich gewesen sei. Die Berufung zum OVG wurde zugelassen. Einen Bericht (inklusive des Urteils) dazu gibt es bisher nur bei LinkedIn.

2.11 EuGH-Vorschau: Positivmeldung an Auskunftei durch Mobilfunkunternehmen (C-594/25)

Das LG Lübeck legt dem EuGH im Verfahren C-594/25 Fragen vor zur Zulässigkeit der Weitergabe von Positivdaten an Auskunfteien und zum Schadenersatzanspruch nach Art. 82 DS-GVO. Wir hatten dazu schon berichtet, nur liegt nun auch das Aktenzeichen des EuGH vor (C-594/25). Der EuGH soll klären, ob Art. 6 Abs. 1 lit. f DS-GVO dahingehend auszulegen ist, dass dieser auf Sachverhalte Anwendung findet, in denen über die Zulässigkeit der Übermittlung von Informationen von Mobilfunkunternehmen an privatrechtlich organisierte Wirtschaftsauskunfteien entschieden werden muss, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, sondern die Beauftragung, Durchführung und Beendigung eines Vertrags (im Folgenden: Positivdaten) betreffen?
Falls Frage 1. bejaht wird: Ist Art. 6 Abs. 1 lit. f DSGVO dahingehend auszulegen, dass dieser die Übermittlung von Positivdaten von Mobilfunkunternehmen an privatrechtlich organisierte Auskunfteien ohne Einwilligung der Betroffenen jedenfalls dann nicht zu rechtfertigen vermag, wenn die Auskunfteien die übermittelten Daten sodann auch zur Profilbildung (Scoring) verwenden?
Falls Frage 1 verneint wird oder Frage 1 und 2 bejaht werden: Ist Art. 82 Abs. 1 und 2 DS-GVO dahingehend auszulegen, dass ein schadensbegründender Kontrollverlust auch dann vorliegt, wenn Positivdaten ohne Einwilligung des Betroffenen von Mobilfunkunternehmen an privatrechtlich organisierte Auskunfteien übermittelt und dort frühestens nach deutlich über einem Jahr gelöscht wurden und der betroffene Verbraucher bei Vertragsschluss auf die Datenübermittlung hingewiesen wurde?
Das OLG Nürnberg sah diese Probleme in seinem Fall nicht.

2.12 Österreich: RIS-Veröffentlichungen mit KI zusammenfassen

Urteilszusammenfassungen können mit shrinkwrap.legal aus dem Rechtsinformationssystem in Österreich können nun mittels einer Browser-Erweiterung kostenlos und direkt im RIS zusammengefasst werden.

2.13 EuGH: Anforderungen bei Beschlagnahme geschäftlicher E-Mails (C-258/23, C-259/23 und C-260/23)

Im Rahmen von Ermittlungen wegen Zuwiderhandlungen gegen das Wettbewerbsrecht beschlagnahmte die portugiesische Wettbewerbsbehörde E-Mails, die von den Mitarbeitern der von diesen Ermittlungen betroffenen Gesellschaften ausgetauscht worden waren. Diese Gesellschaften traten dem entgegen und machten geltend, dass ihr Recht auf Briefgeheimnis verletzt worden sei und dass es Sache des Ermittlungsrichters und nicht der Staatsanwaltschaft sei solche Beschlagnahmen zu genehmigen. In der erneuten Befassung damit war zu klären, inwieweit die Rechtsprechung des EuGH (C-548/21 Bezirkshauptmannschaft Landeck) dabei zu berücksichtigen sei.
In ihren Schlussanträgen stellte die Generalanwältin fest, dass der Zugriff auf geschäftliche E-Mail-Konten im Rahmen von wettbewerbsrechtlichen Ermittlungen keinen besonders schweren Eingriff in die Privatsphäre darstelle – insbesondere im Vergleich zur Durchsuchung von Mobiltelefonen, die deutlich tiefere Einblicke in das Privatleben ermöglichen. Die Maßnahme diente der Aufklärung möglicher Kartellverstöße. Die Generalanwältin betont dabei, dass geschäftliche E-Mails typischerweise keine privaten Inhalte enthalten und daher ein geringerer Schutzbedarf besteht. Der Zugriff muss allerdings verhältnismäßig, zweckgebunden und transparent erfolgen. Die betroffene Partei muss über wirksame Rechtsmittel verfügen – ein zentraler Punkt für die Wahrung der Verteidigungsrechte. Die Pressemeldung dazu findet sich hier.

2.14 EuGH: Anforderungen bei kostenlosen Newsletter (C-654/23)

Der EuGH hat sein Urteil in C-654/23 (Inteligo Media) veröffentlicht. Zu den Schlussanträgen des Generalanwalts berichteten wir bereits. Nach dem EuGH reicht bei Bestandskunden bereits die Registrierung für ein kostenloses Nutzerkonto aus, um Newsletter zu Werbezwecken ohne Opt-In zu verschicken.
Art. 6 DS-GVO sei auf Bestandskundenwerbung nicht anwendbar. Art. 13 Abs. 2 ePrivacy‑Richtlinie regele die Bedingungen und Zwecke der Verarbeitung sowie die Rechte der betroffenen Personen in diesem Zusammenhang abschließend. Weil der EuGH auch darauf verweist, dass Betroffenenrechte abschließend über Art. 13 Abs. 2 ePrivacy‑Richtlinie geregelt sind, könnte sogar das gesamte Kapitel III der DSGVO nicht anwendbar sein (RN. 68). Dies ergibt sich auch aus Art. 95 und aus Erwägungsgrund 173 zur DS-GVO. Die Rechtmäßigkeit der Verarbeitung könne daher allein auf Grundlage der ePrivacy‑Richtlinie beurteilt werden, ohne Rückgriff auf Art. 6 DS-GVO.
In Deutschland ist die Vorgabe aus der ePrivacy-RL in § 7 Abs. 3 UWG umgesetzt
Wichtig ist zudem die Klarstellung, dass ein „Verkauf“ im Sinne des § 7 Abs. 3 Nr. 1 UWG nicht zwingend ein kostenpflichtiges Angebot voraussetzt und der unionsrechtliche Entgelt-Begriff gilt. Entscheidend ist vielmehr, dass eine vertragliche Beziehung überhaupt besteht (z.B. durch die Zustimmung zu den AGB) und die Kosten des kostenlosen Angebots in den Preis anderer Leistungen einkalkuliert sind. Diese Argumentation ist auf viele Geschäftsmodelle mit kostenlosen (Zusatz-)Angeboten übertragbar. Da der Wortlaut des § 7 Abs. 3 UWG nur Werbung „für eigene ähnliche Produkte oder Dienstleistungen erlaubt“, liegt es auch nahe für Bestandskunden Profile auf Basis ihrer Kaufhistorie anzulegen. Die Frage, ob diese Profilbildung (und die damit verbundene Datenverarbeitung) ebenfalls außerhalb des Anwendungsbereichs der DSGVO stattfindet, hat der EuGH nicht beantwortet. Nach Auffassung des OLG Hamburg (Urt. v. 27.02.2025, 5 U 30/24 Rn. 79) ist sie aber im Kontext des § 7 Abs. 3 UWG jedenfalls zulässig.
Die Entscheidung hat erhebliche praktische Relevanz: Bisher ging insbesondere die Datenschutzkonferenz der deutschen Behörden davon aus, dass auch für Bestandskundenwerbung eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO erforderlich sei (siehe hier). Neben der Einwilligung wurde insbesondere Art. 6 Abs. 1 lit. f DSGVO als taugliche Rechtsgrundlage angesehen. Die Wertungen des § 7 Abs. 3 UWG durften dabei im Rahmen der Interessenabwägung herangezogen werden. So urteilte auch das Bundesverwaltungsgericht noch Anfang 2025 (siehe hier). Doch diese Auslegung ist seit dem neuen EuGH-Urteil nun endgültig passé.
Das Urteil wird auch in diesem Podcast angesprochen.

2.15 EuGH: Informationspflichten bei Bodycams und zum „Medienbruch“ (C-422/24)

Aus Schweden kam die Vorlageanfrage an den EuGH im Verfahren C-422/24 inwieweit datenschutzrechtliche Informationspflichten bei Bodycams bei Fahrkartenkontrolleuren auszugestalten sind. Der Einsatz dieser Kameras hat die Verhinderung und Dokumentation von Drohungen und Gewalt gegen die Kontrolleure sowie die Feststellung der Identität von Fahrgästen, die eine Strafgebühr zahlen müssen, zum Ziel. Der EuGH entschied nun, dass in einer Situation, in der personenbezogene Daten mittels von Fahrkartenkontrolleuren im öffentlichen Personenverkehr getragenen Körperkameras erhoben werden, die Unterrichtung der betroffenen Personen durch Art. 13 der genannten Verordnung geregelt wird und nicht durch Art. 14 DS-GVO.
Ist ja nicht ganz überraschend, aber einige Aussagen sind doch hervorzuheben:

• In RN. 40 äußert er sich zur Relevanz der Informationspflichten: Art. 13 und Art. 14 sind im Licht des mit der DS-GVO verfolgten Ziels auszulegen ein hohes Niveau des Schutzes der Grundfreiheiten und der Grundrechte natürlicher Personen zu gewährleisten, und zwar insbesondere ihres in Art. 16 AEUV gewährleisteten Rechts auf Schutz der personenbezogenen Daten, das in Art. 8 der Charta der Grundrechte der Europäischen Union als Grundrecht verankert ist und das in Art. 7 dieser Charta verankerte Recht auf ein Privatleben ergänzt (vgl. EuGH C-203/22, RN. 51).
• In RN. 42 bestätigt der EuGH die Aussagen des EDSA, dass die Informationen im Rahmen eines gestuften Verfahrens erfüllt werden können („Medienbruch“).

2.16 EuGH: Klärung der „ethnischen Herkunft“ unter Art. 9 DS-GVO (C-417/23)

Mit Fragen der ethnischen Herkunft befasste sich der EuGH im Verfahren C-417/23. Dabei ging es um ein dänisches Gesetz über das öffentliche Wohnungswesen und in welchen Situationen eine Diskriminierung aus Gründen der ethnischen Herkunft gegeben sein kann.
Der Gerichtshof erläutert, dass der Begriff „ethnische Herkunft“ im Sinne des Unionsrechts sich auf mehrere Merkmale stützt, etwa die Staatsangehörigkeit, die Religion, die Sprache, die kulturelle und traditionelle Herkunft und die Lebensumgebung. Die ethnische Herkunft wird auf der Grundlage eines Bündels von Merkmalen bestimmt. Weder die Staatsangehörigkeit noch das Kriterium des Geburtslandes der betroffenen Person oder ihrer Eltern reichen für sich genommen aus, um die Zugehörigkeit einer Person zu einer ethnischen Gruppe festzustellen. Allein der Umstand, dass ein in Rechtsvorschriften festgelegtes allgemeines Kriterium mehrere ethnische Herkünfte erfasst, schließt hingegen für sich genommen nicht aus, dass ein solches Kriterium unmittelbar oder untrennbar mit der ethnischen Herkunft der betroffenen Personen zusammenhängt. Darüber hinaus können kontextuelle Gesichtspunkte wie die Vorarbeiten zu solchen Rechtsvorschriften für die Feststellung von Bedeutung sein, dass das untersuchte Kriterium eine unmittelbare Diskriminierung aus Gründen der ethnischen Herkunft darstellt.

2.17 EFTA: Benachteiligungsverbot bei Datenschutzbeauftragten

Der EFTA-Gerichtshof ist ein supranationaler Gerichtshof für die EFTA-Staaten, der die einheitliche Anwendung des EU-Rechts in Norwegen, Island und Liechtenstein sichert.
Das EFTA-Gericht entschied, dass Artikel 38 Abs. 3 DS-GVO Datenschutzbeauftragte (DSB) vor Entlassung aufgrund ihrer Tätigkeit als DSB schützt. Eine Entlassung aus anderen Gründen (z. B. aufgrund interner Vorschriften) ist zulässig, solange sie nicht mit der Erfüllung der Aufgaben des DSB zusammenhängt und deren Unabhängigkeit nicht gefährdet.

2.18 BGH zu Speicherdauer bei Auskunfteien: Keine „Sofortlöschung“ nach Forderungsausgleich

Der BGH hat eine Speicherdauer von drei Jahren durch eine Auskunftei auch nach Forderungsausgleich bei privaten Verträgen über Art. 6 Abs. 1 lit. f DS-GVO (Interessenswahrung) für zulässig erklärt. Pressemeldung des BGH dazu hier, das Urteil selbst liegt noch nicht vor.
Die längstmögliche Speicherungsdauer von Daten über Zahlungsstörungen, die private Wirtschaftsauskunfteien durch Einmeldungen ihrer Vertragspartner sammeln, wird nicht durch die Löschungsfrist von Eintragungen anderer Art über die jeweilige Forderung im öffentlichen Register vorgegeben. Daher müssen solche Daten nicht – wie für die im öffentlichen Schuldnerverzeichnis gespeicherten Daten vorgesehen – sofort mit dem Nachweis des Ausgleichs der betreffenden Forderung gelöscht werden. Für die Festlegung der Speicherungsdauer bei nicht aus einem öffentlichen Register übernommenen Daten können von der Aufsichtsbehörde genehmigte Verhaltensregeln herangezogen werden, soweit sie typisiert zu einem angemessenen Interessenausgleich führen und die Besonderheiten des Einzelfalls bei der konkret vorzunehmenden Interessenabwägung hinreichend berücksichtigt werden. 
Die in den genehmigten Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien (CoC) geregelte Speicherfrist für ausgeglichene Forderungen von grundsätzlich drei Jahren ist angemessen. Die Verbraucher behalten das Recht auf eine frühere Löschung im begründeten Einzelfall, wie es auch im CoC festgeschriebenen ist. Die sofortige Löschung im Schuldnerverzeichnis (§ 882e Abs. 3 Nr. 1 ZPO) gibt keine zwingende Obergrenze für die Speicherdauer bei Wirtschaftsauskunfteien vor.
Der BGH bestätigte damit die in den genehmigten Verhaltensregeln getroffene Regelung und betrachtet dies als noch verhältnismäßig. Die Vorinstanz beim OLG Köln sah das noch anders (Bericht dazu hier) und wird die Hinweise des BGH nun im Verfahren entsprechend berücksichtigen müssen. Der Rechtsstreit wird nun beim OLG Köln (urspr. Az.: 15 U 249/24) fortgesetzt – insb. mit Blick auf die Frage, ob die konkrete Datenspeicherung im Einzelfall rechtmäßig war.
Überlesen werden sollte auch nicht, dass der BGH in der Pressemeldung auch darauf hinweist, dass bei einer Datenspeicherung, die nicht über ihren gesamten Zeitraum rechtmäßig war, grundsätzlich ein Schadensersatzanspruch des Klägers nach Art. 82 Abs. 1 DS-GVO in Betracht kommt.
Zu beachten: Hier ist der Sachverhalt ein anderer als der Fall zur Restschuldbefreiung, der bereits beim EuGH lag und bei dem die Speicherfristen länger waren, als der Gesetzgeber selbst eine Veröffentlichung geregelt hatte (EuGH C-26/22 und C-64/22, Bericht dazu hier).

2.19 BGH: Verantwortlichkeit des Auftraggebers auch für Löschungen beim Auftragsverarbeiter

Auch der BGH stellt fest, dass der Auftraggeber einer Auftragsverarbeitung verantwortlich bleibt, ob der Dienstleister auch Löschungen umsetzt, wenn der beauftragte Zweck erreicht ist (RN. 20 ff). Werden beim Auftragsverarbeiter nach Beendigung der Auftragsverarbeitung nicht gelöschte personenbezogene Daten entwendet und zum Verkauf angeboten, stellt dies einen immateriellen Schaden nach Art. 82 DS-GVO dar, so der BGH.
Ein immaterieller Schadenersatz nach Art. 82 DS-GVO ist nicht allein deshalb ausgeschlossen, weil die Daten schon zuvor rechtswidrig abgegriffen worden sind, denn mit jedem rechtswidrigen Abgriff der Daten wird der Kontrollverlust intensiviert und die Gefahr eines Missbrauchs erhöht. Allein die Veröffentlichung der Daten im Darknet sei bereits eine missbräuchliche Verwendung (RN. 30 ff, insb. 38).
Damit verschärft der BGH das zivilrechtliche Haftungsrisiko, weil sich nunmehr auch ein Haftungsrisiko bei Daten verwirklichen kann, die bereits anderweitig von einem Vorfall betroffen waren.

2.20 BGH: Personenbezug bei Versicherungsunterlagen und Auskunftsanspruch

Der BGH durfte sich mit Fragen zum Auskunftsanspruch hinsichtlich Versicherungsunterlagen befassen. Der BGH stellt dabei fest, dass Informationen zum Beitragsverlauf eines privaten Krankenversicherungsvertrags (nämlich zu Zeitpunkt und Höhe des Alt- und Neubeitrags für jede stattgefundene Beitragsanpassung, zum Zeitpunkt erfolgter Tarifwechsel unter Angabe des Herkunfts- und Zieltarifs und zum Zeitpunkt erfolgter Tarifbeendigungen) nur dann personenbezogene Daten im Sinne von Art. 15 Abs. 1 in Verbindung mit Art. 4 Nr. 1 DS-GVO darstellen, wenn sie mit einer bestimmten Person verknüpft sind, die Person also auf Grundlage der Informationen identifiziert ist oder (direkt oder indirekt) identifiziert werden kann. Dass eine Information einen Sachverhalt betrifft, der Auswirkungen auf eine bestimmte Person hat, reicht für die Annahme eines personenbezogenen Datums allein nicht aus.
Schreiben der betroffenen Person an den Verantwortlichen sind ihrem gesamten Inhalt nach als personenbezogene Daten einzustufen, da die personenbezogene Information bereits darin besteht, dass die betroffene Person sich dem Schreiben gemäß geäußert hat. Anderes gilt allerdings für Schreiben des Verantwortlichen an die betroffene Person, wie sie auch im Streitfall in Rede stehen. Diese unterfallen dem datenschutzrechtlichen Auskunftsanspruch nur insoweit, als sie Informationen über die betroffene Person nach den oben dargestellten Kriterien enthalten (RN. 23).
Bei den zu Beitragsanpassungen einer privaten Krankenversicherung ergangenen Begründungsschreiben nebst Anlagen handelt es sich nach der Rechtsprechung des Bundesgerichtshofs jedenfalls nicht in ihrer Gesamtheit um personenbezogene Daten des Versicherungsnehmers. Sie können allerdings einzelne personenbezogene Daten des Versicherungsnehmers enthalten (RN. 24)
Nach dem BGH (RN. 33) muss sich eine Information, damit sie nach der Definition des Art. 4 Nr. 1 DS-GVO ein personenbezogenes Datum darstellt, auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei eine indirekte Identifizierbarkeit ausreicht. Es muss sich um eine Information "über" eine Person handeln, was der Fall ist, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist, sowie die dortigen Nachweise. Der Umstand, dass eine Information einen Sachverhalt betrifft, der Auswirkungen auf eine bestimmte Person hat, reicht daher für die Annahme eines personenbezogenen Datums allein nicht aus. Vielmehr muss die Information aufgrund einer solchen Auswirkung (oder ihres Inhalts oder Zwecks) mit einer bestimmten Person in dem Sinne verknüpft sein, dass die Person auf Grundlage der Information identifiziert ist oder (direkt oder indirekt) identifiziert werden kann.
Bericht dazu auch hier.

2.21 OLG Hamburg: Zulässigkeit eines KI-Training aus einer Bilddatei (LAION)

Im Verfahren LAION wurde Revision eingelegt, nachdem die Entscheidung des LG Hamburg (wir berichteten) durch das Hanseatische Oberlandesgericht bestätigt wurde. Es entschied, dass der gemeinnützige Verein LAION berechtigt ist Fotos aus dem Internet zum Zweck des Text- und Data Mining nach § 60d UrhG automatisiert herunterzuladen und zur Erstellung von KI-Trainingsdatensätzen zu verwenden. Nach Auffassung des OLG greift die gesetzliche Schranke zugunsten wissenschaftlicher Forschung auch dann ein, wenn das Verfahren in großem Umfang erfolgt und auf öffentlich zugängliche Online-Inhalte zugreift. Anmerkungen zu der Entscheidung finden sich hier. Auch Kläger und die Beklagtenseite äußerten sich dazu.
Im Revisionsverfahren vor dem BGH wird es nun voraussichtlich Gelegenheit geben, um grundsätzliche Fragen zur Reichweite von § 60d UrhG, zur Qualifikation von KI-Trainingsprozessen als nicht-kommerzielle wissenschaftliche Forschung sowie zum Verhältnis zwischen Urheberrecht und Datenverarbeitung bei KI-Modellen zu klären.

2.22 OLG Koblenz: Beweisverwertungsverbot nach Datenerhebung ohne Rechtsgrundlage

Darf ein Handyverstoß beim Führen eines Fahrzeugs verwertet werden, wenn die Überwachungstechnik ohne gesetzliche Grundlage eingesetzt wurde? Das OLG Koblenz entschied: Nein. Nach den Feststellungen des Gerichts befuhr der Betroffene eine Bundesautobahn. Hierbei hielt er ein Mobiltelefon in der rechten Hand und nutzte das Gerät. Der Verkehrsverstoß wurde festgestellt bei einer Kontrolle unter Nutzung eines durch die Ordnungsbehörde eingesetzten Überwachungssystems „MonoCam".
Das OLG stellt dazu unter Ziffer 2a) fest, dass die Überwachung des fließenden Verkehrs durch das „MonoCam"-System in Form einer Aufnahme, Zwischenspeicherung und Auswertung von Bildaufnahmen des Kennzeichens und des Fahrzeugführers vorbeifahrender Kraftfahrzeuge jedenfalls im Tatzeitpunkt mangels einer gesetzlichen Grundlage eine rechtswidrige Beweiserhebung darstellt.
Aus dem Beweiserhebungsverbot folge ein Beweisverwertungsverbot hinsichtlich des von dem Betroffenen und seinem Fahrzeug generierten und im zugrunde liegenden Verfahren als Beweismittel verwendeten Lichtbildes (Ziffer 2b).
Auch dass der Vorgang im Rahmen eines Probe- oder Pilotbetriebes erfolgte, änderte nichts an der Einschätzung des Gerichts. Weder werde der Eingriffscharakter hierdurch geschmälert, noch ergeben sich daraus im Hinblick auf die Erforderlichkeit einer Eingriffsgrundlage herabgesetzte Erfordernisse. Von untergeordneter Bedeutung sei gleichfalls, dass die Erhebung offen durchgeführt und die Verkehrsteilnehmer durch ein Warnschild an dem betreffenden Autobahnabschnitt auf diese hingewiesen wurden. Dabei kann offen bleiben, ob das Hinweisschild ohnehin so kurz vor dem Kontrollpunkt aufgestellt war, dass den Verkehrsteilnehmern keine Möglichkeit verblieb, um die Autobahn zu verlassen und dem Eingriff auszuweichen.

2.23 OLG Schleswig-Holstein: Facebook und der Medienstaatsvertrag

Vor dem OLG Schleswig-Holstein geht es die Frage, inwieweit es sich beim Telemedienangebot „Facebook“ um einen Medienintermediär handele, für den die unter § 93 Abs. 1 Nr. 1 und 2 MStV genannten Informationen leicht wahrnehmbar, unmittelbar erreichbar und ständig verfügbar zu halten seien. Eine Prüfung habe ergeben, dass diese Transparenzangaben durch das Telemedienangebot „Facebook“ nicht vorgehalten würden.
Das OLG Schleswig-Holstein stellt nun in einem Beschluss dazu fest, dass es sich bei § 93 MStV  um eine dem Schutz des Pluralismus dienende Vorschrift handelt.
Maßgeblich für die Beurteilung der Rechtmäßigkeit einer medienrechtlichen Beanstandung sei die Sach- und Rechtslage im Zeitpunkt der letzten Verwaltungsentscheidung. Nachträgliche Änderungen in Form von Aktualisierungen sind nicht zu berücksichtigen.
Bei der aufgeworfenen Frage, ob § 93 MStV i.V.m. § 1 Abs. 8 MStV unionsrechtskonform ist, handelt es sich um eine höchst umstrittene Rechtsfrage, deren endgültige Klärung nur nach einer Vorlage beim Europäischen Gerichtshof möglich sein wird.
Sie steht im Zusammenhang mit der zentralen nicht zuletzt politischen Frage, wie weit sich aus den Binnenmarktkompetenzen gemäß Art. 114 AEUV trotz des Harmonisierungsverbots in Art. 167 Abs. 5 AEUV eine Ermächtigung der Europäischen Union zur Rechtsharmonisierung im Bereich der Medienvielfaltssicherung ableiten lässt.

2.24 OLG München: Sekundäre Beweislast zum Zeitpunkt einer Datenschutzverletzung

Steht fest, dass es zu einer Datenschutzverletzung kam und ist zu klären, wann diese erfolgte, kann nach dem Urteil des OLG München eine sekundäre Darlegungslast des Plattformbetreibers als "Herr" der Technik bestehen Vortrag über den konkreten Zeitraum des Datenschutzvorfalls zu halten, von dem die zeitliche Anwendbarkeit der DSGVO abhängt (RN. 67 – 69). Bericht dazu hier.

2.25 KG Berlin: Anforderungen an Online-Kündigungen nach § 327k BGB

Das KG Berlin entschied, dass ein Online-Kündigungsprozess den gesetzlichen Anforderungen nicht genügt, wenn Verbraucher vor der Kündigung Kundennummer und Passwort eingeben müssen. Nach dem Willen des Gesetzgebers soll durch das Tatbestandsmerkmal der "Unmittelbarkeit" im Sinne von § 312k Abs 2 Satz 3 BGB vor allem sichergestellt werden, dass der Verbraucher jederzeit und ohne vorherige Anmeldung auf die Schaltflächen und die Bestätigungsseite zugreifen kann (RN. 35). Bericht dazu hier.

2.26 OLG Innsbruck: Auskunftspflichten auch bei postalischen Auskunftsbegehren

Das OLG Innsbruck stellt klar: Ein postalisches Auskunftsbegehren löst volle DS-GVO-Pflichten aus, ein Verweis auf ein bestehendes Self-Service-Portal führt nicht dazu, dass es Betroffene nutzen müssen.
Ein Self-Service-Datenexport ersetzt keine individuelle, strukturierte und verständliche Auskunft nach Art. 15 DS-GVO. Dabei zitiert das Gericht aus den Leitlinien des EDSA (dort RN. 54), dass der Verantwortliche nicht verpflichtet ist einem Antrag nachzukommen, der an eine zufällige oder falsche E-Mail-Adresse (oder Postanschrift) gesendet wird, die nicht direkt von dem Verantwortlichen angegeben wurde, oder an einen Kontakt, der eindeutig nicht für die Entgegennahme von Anträgen zu den Rechten der betroffenen Person bestimmt ist, wenn der Verantwortliche einen geeigneten Kommunikationsweg vorgesehen hat, der von der betroffenen Person genutzt werden kann.
Vom Vorliegen dieser Voraussetzungen könne im vorliegenden Fall aber keine Rede sein. Der Firmensitz der Beklagten, an den das Ersuchen adressiert war, stelle weder eine willkürliche, noch eine offensichtlich falsche Anschrift dar. Auf den Umstand, dass die Beklagte in der Datenschutzerklärung als Datenverantwortliche genannt war, komme es somit gar nicht entscheidend an.

2.27 VG Berlin: Berechtigtes Interesse als Rechtfertigungsgrund des § 201 StGB

Das VG Berlin hat nun in einem Fall entschieden, dass Art. 6 Abs. 1 lit. f DS-GVO einen Rechtfertigungsgrund bei der Prüfung des § 201 StGB darstellen könne (RN. 27 ff). Damit könne die Strafbarkeit von Tonaufnahmen entfallen.
Im datenschutzrechtlichen Kontext könnte dies dann auch bei der Transkription einer Videokonferenz berücksichtigt werden.

2.28 LG München: Memorisierung bei ChatGPT (GEMA)

Das LG München stellte fest, dass hinsichtlich von Liedtexten, die über ChatGPT von OpenAI über entsprechende Prompts erstellt wurden, eine Urheberrechtsverletzung vorliege. Geklagt hatte die GEMA. Sowohl durch die Memorisierung in den Sprachmodellen als auch durch die Wiedergabe der Liedtexte in den Outputs des Chatbot lägen Eingriffe in die urheberrechtlichen Verwertungsrechte vor. Diese seien nicht durch Schrankenbestimmungen, insbesondere die Schranke für das Text und Data Mining gedeckt.
Die Memorisierung von Sprachwerken im KI-Sprachmodell stelle eine Vervielfältigung nach § 16 UrhG dar, weil das Werk körperlich festgelegt ist und es mittelbar wahrnehmbar gemacht werden kann (RN. 181). Für die körperliche Festlegung sei nicht erforderlich, dass ein konkret abgrenzbarer Datensatz im Modell identifiziert wird; auch bei Zerlegung des Werks in Parameter liege eine körperliche Festlegung vor, wenn sich die Parameter im Modell finden (Rn. 184 – 185). Unter die Schranke des § 44b UrhG unterfallen Vervielfältigung beim Erstellen des Trainingsdatenmaterials, nicht aber bei dem Training des Modells, weil dies nicht nur zur Vorbereitung des Text- und Data-Mining diene (RN. 193).
Die Betreiber des Sprachmodells haften für Urheberrechtsverletzung durch Outputs, weil sie die Tatherrschaft ausüben. Zwar kann die Tatherrschaft an den Nutzer verloren gehen, wenn Outputs durch den Nutzer provoziert werden; dies sei bei einfach gehaltenen Prompts aber nicht der Fall. (RN. 275 – 277).

2.29 OLG Hamm: Keine unzulässige automatisierte Entscheidung durch Score-Erstellung

Mit Hinweisbeschluss vom 30. September 2025 (Az. 17 U 50/25) hat das Oberlandesgericht Hamm ausgeführt, dass die reine automatisierte Erstellung von Scorewerten keine unzulässige ausschließlich automatisierte Entscheidung im Sinne des Art. 22 DS-GVO darstelle, wie in diesem LinkedIn-Post berichtet wird.
Im vorliegenden Fall hatte ein Kläger beanstandet, dass die automatisierte Berechnung und Weitergabe eines Bonitätsscores durch eine Wirtschaftsauskunftei gegen das Verbot ausschließlich automatisierter Einzelentscheidungen nach Art. 22 Abs. 1 DS-GVO verstoße. Er verlangte, dass Scorewerte nur manuell erstellt oder gar nicht weitergegeben werden dürften. Das OLG Hamm sah hierfür jedoch keine Grundlage und beabsichtigt die Berufung zurückzuweisen.

2.30 OLG Dresden: Datenschutz bei Meldeplattformen

Das OLG Dresden entschied (hier Az. 4 U 464/25 eingeben), dass eine Person, die andere beim Falschparken über eine App anzeigt, dabei in den datenschutzrechtlichen Anwendungsbereich kommt. Daher müssen Anforderungen wie Datenminimierung eingehalten werden. Da die Person auf dem Beifahrersitz nicht unkenntlich gemacht wurde, läge eine rechtswidrige Datenverarbeitung vor. Dafür stellte das OLG Dresden einen immateriellen Schaden fest, dessen Ausgleich auf 100 Euro festgelegt wurde.
Das OLG Dresden entschied in den Leitsätzen, dass die Rechtmäßigkeit der Nutzung eines Lichtbilds mit personenbezogenen Daten des Betroffenen für eine Ordnungswidrigkeitenanzeige sich allein nach den Vorschriften der DS-GVO beurteile. Die Anzeige von Ordnungswidrigkeiten könne zur Wahrung eines berechtigten Interesses auch dann erforderlich sein, wenn der Anzeigende von diesem Verstoß nicht selbst konkret betroffen ist. Der Grundsatz der Datenminimierung gebietet es jedoch auf dem der Anzeige beigefügten Foto abgebildete Dritte zu anonymisieren. Für eine Unterlassungsklage eines Dritten (hier: Beifahrer) gegen die Verbreitung seines Lichtbildes besteht auch dann ein Rechtsschutzbedürfnis, wenn der Verantwortliche das Bild in der Anzeige in einem Bußgeldverfahren beigefügt hat; eine "privilegierte Verbreitung" liegt hierin nicht. Das Hochladen eines Lichtbildes mit personenbezogenen Daten des Betroffenen auf einer Anzeigeplattform im Internet kann einen datenschutzrechtlichen Kontrollverlust begründen. Bericht dazu auch hier.

2.31 OLG Brandenburg: Auskunftsanspruch nach Art. 15 DS-GVO und anwaltliche Verschwiegenheit

Das OLG Brandenburg hat mit Hinweisbeschluss vom 11.09.2025 (Az. 1 U 16/25) darauf hingewiesen, dass das Auskunftsverlangen nach Art. 15 DS-GVO entfällt, wenn dessen Erfüllung Informationen berühren würde, die dem anwaltlichen Geheimnisschutz nach Art. 23 Abs. 1 DS-GVO i.V.m. §§ 29 Abs. 1 S. 2 BDSG, 43a BRAO unterfallen.
Im Ausgangspunkt verlangte die Klägerin von der beklagten Rechtsanwältin eine Auskunft nach Art. 15 Abs. 1 und Abs. 3 DS-GVO wegen behaupteter Datenschutzverletzungen und die Zahlung von Schadensersatz aus Art. 82 DS-GVO wegen deren Nichterteilung.
In dem Hinweisbeschluss verweist das OLG Brandenburg mit Blick auf Art. 23 Abs. 1 DS-GVO i.V.m. § 29 Abs. 1 S. 2 BDSG und § 43a Abs. 2 BRAO drauf, dass der aus dem Mandatsverhältnis zu sichernde Geheimnisschutz sich in Bezug zu dem geltend gemachten Anspruch aus Art. 15 DS-GVO als vorrangig erweist. Die Klägerin kann die begehrte Auskunft nach Art. 15 Abs. 1 und 3 DS-GVO insofern im Ergebnis wegen des Berufsgeheimnisses nicht verlangen. Bericht und Details dazu auch hier.

2.32 OLG Wien: Keine Mehrfachgeltungmachung bei „Shitstorm“ bei bereits erhaltenem Ausgleich

Das OLG Wien entschied, dass bei einem Verhalten, das auch andere Rechtsverletzungen erfüllt und für das Ausgleichsansprüche erfüllt werden, keine Mehrfachentschädigung für denselben Schaden erfolgen solle. Ein Polizist wurde bei einer COVID-19-Demonstration fotografiert. Der Beklagte teilte auf seinem öffentlich zugänglichen Facebook-Profil ein Posting mit dem Bild des Klägers und einem rufschädigenden Text ohne die Richtigkeit zu prüfen. Der Beitrag verbreitete sich im Zuge eines „Shitstorms“ massenhaft weiter. Der Polizist machte gegen verschiedene Personen, die den Post verbreiteten, Ansprüche geltend. Das OLG Wien stellte fest, dass es sich bei einem „Shitstorm“ schadenersatzrechtlich um einen einheitlichen immateriellen Gesamtschaden handele. Wer diesen Schaden (z.B. durch frühere Urteile oder Vergleiche) bereits ausgeglichen erhalten hat, könne nicht erneut auf Schadenersatz klagen – auch nicht nach Art. 82 DS-GVO<7a>. Die Gerichte dürfen den Schaden gemäß § 273 ZPO nach freier Überzeugung schätzen. Ein einmal vollständig abgegoltenes Persönlichkeitsrecht könne nicht mehrfach „vergoldet“ werden. Bericht dazu auch hier.

2.33 BVwG Österreich: Marktortprinzip für Unternehmen außerhalb der EU

Auch ein Unternehmen, dass außerhalb der EU agiert, muss die DS-GVO einhalten, wenn es einen Zahlungsdienstleister in der EU einschaltet. Das ergebe sich aus Art. 3 Abs. 2 lit. a DSGVO, dem Marktortprinzip. Das Unternehmen biete auf seiner Webseite Leistungen auch auf Deutsch an und setze einen Zahlungsdienstleister aus Zypern ein. Dementsprechend sind durch das Unternehmen auch Auskunftsansprüche aus Art. 15 DS-GVO zu erfüllen, entschied das österreichische BVwG.

2.34 VwGH Österreich: Auswirkungen einer unzureichenden Information auf die Rechtmäßigkeit

Der österreichische VwGH musste sich mit der Frage befassen, ob eine Verletzung des Art. 14 DS-GVO (Informationspflicht) per se zur Unrechtmäßigkeit der Verarbeitung führt. Dabei stellte der Verwaltungsgerichtshof fest, dass nicht jede Verletzung der Informationspflicht nach Art. 14 DS-GVO per se zur Unrechtmäßigkeit einer Datenverarbeitung und damit zu einer Verletzung im Recht auf Geheimhaltung führt RN. 21).

2.35 BVwG Österreich: Auskunftsanspruch eines ehemaligen Beschäftigten und dessen E-Mails

Ein ehemaliger Beschäftigter verlangte Einsicht in so gut wie alles: interne E-Mails, Protokolle, Kalendereinträge, Präsentationen, Organigramme, Unterlagen aus Teams und Projekten. Trotz mehrfacher, sehr umfangreicher Auskunftslieferungen blieb die Behauptung bestehen, es müsse „noch mehr“ geben – irgendwo in den Systemen, in den Postfächern anderer Personen, in alten Dokumenten.
Das BVwG Österreich lehnte eine Beschwerde ab, Art. 15 DS-GVO gebe keinen Anspruch darauf, dass Unternehmen interne Kommunikation oder Protokolle offenlegen, in denen auch nur potenziell die Rechte und Freiheiten Dritter (wie anderer Beschäftigter) beeinträchtigt wären.
Auch stellte das Gericht (unter Ziffer 3.3.2.3) fest, dass die vom Beschwerdeführer selbst verfassten E-Mails und erstellten Kalendereinträge nur noch als Teil fremder Postfächer vorhanden sind, wodurch eine vollständige und undifferenzierte Durchsuchung aller Postfächer der Mitarbeiter der mitbeteiligten Partei (welche diese im konkreten Fall auch zu privaten Zwecken verwenden dürfen) notwendig wäre, um die geforderten E-Mails und Kalendereinträge gemäß Art. 15 DS-GVO zur Verfügung zu stellen. Dabei ist insbesondere auf die Interessen der Mitarbeiter sowie deren Recht auf Geheimhaltung und Privatsphäre Bedacht zu nehmen.
Im Rahmen einer gebotenen Interessenabwägung stelle die Extrahierung der begehrten Daten (durch vollständige Durchsuchung) der Postfächer aller Mitarbeiter der mitbeteiligten Partei, welche auch private Inhalte und Empfänger enthalten können, eine schwerwiegende Beeinträchtigung der Geheimhaltungsinteressen gemäß § 1 Datenschutzgesetz sowie dem Recht auf Privatsphäre gemäß Art. 8 EMRK der Arbeitnehmer der mitbeteiligten Partei dar. Dabei ist der konkrete Umfang – unabhängig davon, dass der Beschwerdeführer im gesamten Verwaltungsverfahren keine Konkretisierung oder Gründe betreffend bestimmter E-Mails oder Kalendereinträge vornahm – nicht weiter relevant, da jedenfalls eine Durchsuchung und Offenlegung von Arbeitnehmerpostfächern notwendig wäre, welche in keinem Verhältnis zum vom Beschwerdefrüher bloß allgemein erkennbaren Ziel liegt. Auch das in diesem Zusammenhang vorgebrachte Instrument der Schwärzung von Fremddaten ändere daran nichts. Die Interessen der Mitarbeiter der mitbeteiligten Partei sind daher aus obigen Erwägungen als „schutzwürdiger“ als jene des Beschwerdeführers zu werten und die begehrte Auskunft ist im Ergebnis weder erforderlich noch besteht ein überwiegendes Interesse des Beschwerdeführers.

2.36 BVwG Österreich: Mutwillensstrafe bei exzessiven Beschwerden

Ein Betroffener brachte seit 2018 über 340 (!) Datenschutzbeschwerden ein – viele davon extrem umfangreich, repetitiv und inhaltlich aussichtslos. Die österreichische Datenschutzbehörde (DSB) lehnte die aktuelle Beschwerde wegen Exzessivität ab. Der Beschwerdeführer klagte dagegen. Das BVwG bestätigte die Einschätzung der DSB und setzte noch eines drauf: Eine Mutwillensstrafe von 700 Euro nach § 35 AVG.

2.37 OGH Österreich: Auskunfts- und Schadenersatzanspruch gegen Meta

Der Oberste Gerichtshof der Republik Österreich fällte ein Endurteil.
Damit gehen 11 Jahre Verfahrensgeschichte zu Ende, da drei Mal vor dem Obersten Gerichtshof Österreichs und zweimal vor dem EuGH verhandelt wurde, bis nun durch Meta Auskunft erteilt und zudem 500 Euro immaterieller Schadenersatz gezahlt werden muss. Geklärt wurde dabei, dass von einem Auskunftsanspruch auch Quellen, Empfänger und Zwecke, für die diese Daten verwendet wurden, umfasst sind. Personalisierte Werbung darf nur mit expliziter Einwilligung der Betroffenen geschaltet werden. Meta muss außerdem sicherstellen, dass sensible Daten (wie politische Ansichten, sexuelle Orientierung oder Gesundheit) nicht gemeinsam mit anderen Daten verarbeitet werden, wenn keine Rechtsgrundlage gemäß Art. 9 Abs. 2 DS-GVO vorliegt. Meta kann sich der Anwendung von Art. 9 DS-GVO nicht entziehen, indem es argumentiert, dass es solche Daten nicht absichtlich sammelt oder sie technisch nicht unterscheiden oder trennen kann. Bericht dazu auch hier.

2.38 LAG Hamm: Anforderungen an eine Arbeitsunfähigkeitsbescheinigung

Bei den Anforderungen an eine Arbeitsunfähigkeitsbescheinigung (AU) stellte das LAG Hamm fest, dass diese nur dann einen Beweiswert habe, wenn sie nach den Regeln der Arbeitsunfähigkeits-Richtlinie (AU-RL) zustande gekommen ist (RN. 53).

2.39 ArbG Heilbronn: Unbefugtes Öffnen einer Compliance-Meldung

Das Arbeitsgericht Heilbronn bestätigte zwar einen Verstoß eines Betriebsratsvorsitzenden, als dieser einen Umschlag mit einer Compliance-Meldung unbefugt öffnete, verneinte aber eine fristlose Kündigung.
Das vorsätzliche, unbefugte Öffnen einer Compliance-Meldung durch den Betriebsratsvorsitzenden, dem faktisch die Leerung des "Compliance-Briefkastens" und die Weiterleitung der Meldungen an die "Compliance-Officerin" übertragen worden ist, verletzt § 241 Abs. 2 BGB und kann im Einzelfall eine außerordentliche Kündigung und damit auch die Ersetzung der vom Betriebsrat verweigerten Zustimmung zur außerordentlichen Kündigung des Arbeitsverhältnisses rechtfertigen.
Es rechtfertigt jedoch nicht den Ausschluss des Betriebsratsvorsitzenden aus dem Betriebsrat, da hierdurch keine gesetzlichen Pflichten i.S.d. § 23 Abs. 1 BetrVG verletzt werden. Bericht dazu hier.

2.40 Niederlande: Zur gemeinsamen Verantwortlichkeit bei Assetdeals

Das Marktgericht der Niederlande hat im Fall 2025/AR/253 eine Entscheidung der niederländischen Datenschutzaufsicht (Autorité de protection des données – Gegevensbeschermingsautoriteit) gegen Mediahuis NV bezüglich des Verkaufs von Jobats Aktivitäten und der zugehörigen Nutzerdatenbank an Hors BV aufgehoben.
Der Fall entstand aus einem Vermögensdeal, bei dem Mediahuis die Aktivitäten von Jobat, einschließlich der Datenbank von Arbeitssuchenden und Arbeitgebern, übertrug. Die Datenbank enthielt persönliche Daten, die über die Jobat-Rekrutierungsplattform erhoben wurden, wie Kontaktdaten, Lebensläufe und Berufsprofile. Die Aufsicht entschied, dass Mediahuis als alleiniger Verantwortlicher diese Datenbank unrechtmäßig ohne gültige rechtliche Grundlage und ohne ordnungsgemäße Information der Nutzer übertragen hat und damit gegen die Art. 5 Abs. 1 lit. a, Art. 6 Abs. 1 lit. f sowie Art. 12 und Art. 13 DS-GVO verstoßen habe. Es fehle u.a. an einer ausreichenden Dokumentation des berechtigten Interesses.
In der gerichtlichen Überprüfung stellte das Gericht fest, dass diese Begründung die gemeinsame Natur der Verantwortlichkeit, die solchen Transaktionen innewohnt, ignoriert. Das Gericht bestätigte zuerst, dass der Verkauf einer Datenbank selbst eine Verarbeitung im Sinne von Art. 4 Abs. 2 DS-GVO darstelle, da er die Übertragung, Offenlegung und Weiterverwendung personenbezogener Daten für neue kommerzielle Zwecke umfasst, lehnte jedoch den fragmentierten Ansatz der Aufsicht ab, der die Datenübertragung als bloßen Akt des Verkäufers betrachtete. Das Gericht entschied, dass die relevante Verarbeitungsoperation der Abschluss des Verkaufsvertrags war, in dem sowohl Mediahuis als auch Hors BV gemeinsam die Zwecke und Mittel der Verarbeitung bestimmten. Die Aufsicht hätte die funktionale Realität der Transaktion übersehen, bei der beide Parteien gemeinsam über das Schicksal der personenbezogenen Daten entschieden.
Durch die Definition des Inhalts der Datenbank, der Nutzungsbedingungen und der Kontinuität des Dienstes für Arbeitssuchende und Arbeitgeber übten beide Einheiten entscheidenden Einfluss auf die Datenverarbeitung aus. Nach Abschluss des Verkaufs lagen die Verpflichtungen nach der DS-GVO nicht mehr ausschließlich beim Verkäufer. Während Mediahuis eine rechtmäßige Abwicklung und Transparenz für die Übertragung sicherstellen musste, übernahm Hors BV als neuer Verantwortlicher sofort die Verantwortung für die Einhaltung von Art. 14 DS-GVO.
Als Konsequenz aus der Entscheidung des Gerichts sollte bei Assetdeals die Möglichkeit einer gemeinsamen Kontrolle von Verkäufer und Käufer berücksichtigt werden. Wenn beide Parteien in ihren Verhandlungen definieren, wie personenbezogene Daten übertragen, gespeichert oder weiter verwendet werden, sollte auch geprüft werden, ob sie gemeinsam an der Bestimmung der Zwecke und Verfahren der Verarbeitung beteiligt sind.

2.41 High Court Irland: TikTok und Drittstaatentransfer

Nach einer Entscheidung des High Court Irland darf TikTok weiter Daten nach China übermitteln, bis das Hauptsacheverfahren gegen die Entscheidung der irischen Aufsicht entschieden wurde.
Auch die Berliner Datenschutzaufsicht berichtet dazu. Das irische Gericht hat die verhängten Maßnahmen vorübergehend ausgesetzt, aber die Entscheidung der Aufsichtsbehörden bleibt bestehen und die Zulässigkeit der Übermittlungen nach China wird noch gerichtlich geprüft. Sie empfiehlt Nutzenden von sog. Sozialen Medien Folgendes zu beachten:

• „Lesen Sie die Mitteilung und die Datenschutzerklärung des Dienstes sorgfältig durch.
• Überprüfen Sie die Datenschutzeinstellungen: Welchen Zugriff hat die App auf Ihre Kamera, Ihr Mikrofon, Ihre Kontakte oder Ihren Standort?
• Entscheiden Sie, ob Sie den Dienst unter diesen Umständen weiterhin nutzen möchten. Wenn nicht, können Sie die App (vorübergehend) löschen oder Ihr Konto deaktivieren. Berücksichtigen Sie dabei etwaige Prüfungen oder Entscheidungen der Datenschutzaufsichtsbehörden in Bezug auf diesen Dienst.
• Seien Sie zurückhaltend mit dem, was Sie über Apps teilen. Geben Sie keine sensiblen Informationen weiter.“

Die norwegische Datenschutzaufsicht weist zusätzlich auch auf die Empfehlung an Regierungsangestellte hin TikTok nicht auf ihren Servicegeräten zu installieren. Bericht dazu auch hier.

2.42 EuGH-Vorschau: Verhandlungstermin zu C-205/25

Wir hatten bereits darüber berichtet. In einem Verfahren vor dem VG Ansbach geht es um die Frage, ob das BayLDA auch einem Auskunftsanspruch aus Art. 15 DV-GVO unterliegt und inwieweit eine Regelung in Art. 20 Abs. 2 BayDSG zurecht einer Auskunft entgegensteht. Das BayLDA berichtete darüber in seinem Tätigkeitsbericht 2024 unter Ziffer 4.1. Das VG Ansbach hat dazu Fragen an den EuGH (C-205/25) vorgelegt. Am 22. Januar 2026 findet die mündliche Verhandlung dazu statt.

2.43 EuGH-Vorschau: Überprüfung des TADPF (C-703/25 P)

Bislang hatte sich das Europäische Gericht mit der Rechtmäßigkeitsfrage zum Trans-Atlantik Data Privacy Framework befasst. Die Eilbedürftigkeit im vorläufigen Rechtsschutz wurde im Oktober 2023 abgewiesen (C-553/23 R) und im Hauptsacheverfahren (C-553/23) wurde anhand des eines Prüfungsmaßstab zum Zeitpunkt der Entscheidung zum TADPF (Juli 2023) keine Anhaltspunkt für eine rechtswidrige Entscheidung gefunden (wir berichteten). Nun überprüft der EuGH unter dem Aktenzeichen C-703/25 P diese Entscheidungen. Bericht dazu auch hier.

3.1 Gesetz zur Durchführung des Data Act

Das Bundeskabinett hat den BMDS-Referentenentwurf zum Gesetz zur Durchführung des Data Act beschlossen. Damit soll mehr Rechtssicherheit bei den Auslegungsfragen der neuen Data-Act-Vorgaben erreicht werden. Die Bundesnetzagentur (BNetzA) wird die einzig benannte zuständige Behörde (§ 2), die Beibehaltung der Sonderzuständigkeit für datenschutzrechtliche Aspekte bei der / dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ist weiterhin in § 3 vorgesehen, die darf dann auch bundesweit Bußgelder bei Datenschutzverstößen verhängen, siehe § 16. Eine Analyse dazu findet sich hier.

3.2 EU: Studie zum Zusammenspiel zwischen KI-VO und digitalen Rechtsakten

Die Europäische Union gestaltet einen der ehrgeizigsten digitalen Rechtsrahmen der Welt. Der KI-Act, der Data Act, der Data Governance Act und die DS-GVO zielen gemeinsam darauf ab, Innovation, Transparenz und Grundrechte in Einklang zu bringen
Die jüngste Studie "Interplay between the AI Act and the EU Digital Legislative Framework", die für den ITRE-Ausschuss des Europäischen Parlaments verfasst wurde, liefert eine Analyse darüber, wie sich diese Rahmenwerke überschneiden, ergänzen und manchmal widersprechen. Letztendlich mangele es aber an Kohärenz.

3.3 Bundesregierung zur DS-GVO-Reform

Wie in diesem Beitrag berichtet wird, hat die Bunderegierung durch das BMI seine Vorstellungen von Änderungen in der DS-GVO nach Brüssel geschickt. Auf der Wunschliste finden sich Forderungen wie Änderungen im Erwägungsgrund 40, um die Gleichwertigkeit der Rechtsgrundlagen nach Art. 6 Abs. 1 DS-GVO sicherzustellen; Modifizierungen bei Meldefristen (Ausnahme am Sonntag), aber auch Spezifizierungen zu Pseudonymisierung und Anonymisierung. Auch missbräuchliche Auskunftsersuchen oder eine Abstufung des Risikomodells, aber auch Verpflichtung für Hersteller und Lieferanten finden sich nach dem Bericht dabei.

3.4 EU-Kommission: Meldepflichten für Sicherheitsvorfälle

Die EU-Kommission hat den Entwurf zu Meldepflichten für Sicherheitsvorfälle – einschließlich Meldepflichten nach Art. 73 KI-VO bei Hochrisiko-KI aufgrund von Risiken für Grundrechte, wie Privatsphäre oder Antidiskriminierung – veröffentlicht. Rückmeldungen konnten bis 7. November 2025 eingereicht werden.
Dieser Beitrag befasst sich mit den Details.

3.5 Europa: Chatkontrolle – Ja, nein, vielleicht?

Aktuell stehen die Chancen für eine anlasslose Chatkontrolle in Europa scheinbar wieder schlechter, sogar im Bundestag gab es Stimmen dagegen. Vertreter:innen der Regierungskoalition haben Zweifel. Auch in Rundfunk-Magazinen wird das Thema besprochen (Dauer ca. 1:45 Std.). Die Gesellschaft für Freiheitsrechte informiert auf ihrer Webseite umfassend zu grundrechtlichen Aspekten.

3.6 Bundestag: Vorratsdatenspeicherung

Das Thema Vorratsdatenspeicherung kommt immer wieder auf die Tagesordnung. Vielleicht hilft der Bericht Fragen zur EuGH-Rechtsprechung über die Vorratsdatenspeicherung und zu ihrer Übertragbarkeit auf die diskutierte „Chatkontrolle“, der durch den Fachbereich Europa erstellt wurde. So kommt er u.a. zum Ergebnis, dass der EuGH in der Rs. C-470/21 (wir berichteten) klargestellt hat, dass die allgemeine und unterschiedslose Vorratsdatenspeicherung von IP-Adressen der Kommunikationsquelle unter bestimmten Bedingungen eine mit der Vorratsdatenspeicherung von Identitätsdaten vergleichbare (geringe) Eingriffsintensität haben kann. Derartige Grundrechtseingriffe können durch das Ziel der Bekämpfung von Straftaten im Allgemeinen gerechtfertigt werden. Dies ändert aber nichts an den höheren Rechtfertigungsanforderungen für die Vorratsdatenspeicherung von Verkehrs- und Standortdaten, die genaue Rückschlüsse auf das Privatleben der Betroffenen zulässt (s. Ziff. 2.2., 2.3.).

3.7 EU: Cloud Sovereignty Framework

Die EU-Kommission geht für die Begrifflichkeit der Souveränität von acht konkreten Zielen aus. Zu diesen Zielen gehören strategische, rechtliche, betriebliche und ökologische Aspekte sowie die Transparenz der Lieferkette, die technologische Offenheit, die Sicherheit und die Einhaltung der EU-Gesetze. Dies beschreibt sie in ihrem Cloud Sovereignty Framework, auf die sie im Rahmen einer Ausschreibung einer Cloud-Leistung verweist.

3.8 Entgelttransparenzrichtlinie und Datenschutz

Ab Juni 2026 sind die Vorgaben der Entgelttransparenzrichtlinie EU 2023/970 anzuwenden. Wer es nicht erwarten kann, bis der deutsche Gesetzgeber ein Umsetzungsgesetz beschlossen hat, aber die Zeit trotzdem nutzen will, sich mit der Thematik des Jahres 2026 zu befassen, kann sich hier einlesen, welche datenschutzrechtlichen Fragestellungen uns erwarten. So gibt es einige Transparenzmaßnahmen, die datenschutzrechtliche Schnittstellen bieten, wie einen Entgelttransparenzbericht, eine gemeinsame Entgeltbewertung und das Auskunftsrecht.
Zu der ganzen Thematik gibt es bereits einen empfehlenswerten Podcast (wir berichteten), hier mit der Folge zum Datenschutz.

3.9 Niederländische ACM veröffentlicht Leitfaden zum Data Act

Die Niederländische Behörde für Verbraucher und Märkte (ACM) veröffentlichte einen Leitlinienent-wurf, um Unternehmen mit den neuen Regeln des Data Act vertraut zu machen. Bis 31.10.2025 konnten Hinweise eingereicht werden, die ACM soll den Data Act in den Niederlanden durchsetzen. Es gibt einen Entwurf zu Cloud-Diensten und zu smarten Geräten (IoT).

3.10 Digital Fairness Act

Die Konsultation zum Digital Fairness Act ist beendet. Laut Arbeitsprogramm ist vorgesehen, einen Gesetzentwurf im vierten Quartal 2026 vorzulegen. Den Auftakt für den Rechtsakt bildete eine öffentliche Konsultation bis zum vergangenen Freitag zu den bisher nur grob umrissenen Plänen. Es gab 4.325 Rückmeldungen auf die Fragen der EU-Kommission. Dabei zeigt sich in den Antworten, wo die Interessenkonflikte zwischen den Akteuren verlaufen. Besonders mit dem Thema der „Dark Patterns“, Jugendschutz und der Furcht vor Überregulierung befassen sich viele der Stellungnahmen. Aber auch das Thema der personalisierten Werbung wird aus unterschiedlichen Gesichtspunkten betrachtet.

3.11 EDSA: Aufwand und Art. 12 DS-GVO – Angemessenheitsbeschluss UK

Der EDSA befasste sich in seiner Stellungnahme zur Anpassung des Angemessenheitsbeschlusses der EU-Kommission für das Vereinigte Königreich auch mit Fragen zur Auskunft. Er weist ab Rn. 32f darauf hin, dass er es begrüßen würde, wenn die EU-Kommission hier genauere Vorgaben machen und darauf achten würde, dass das Recht auf Auskunft nicht unangemessen eingeschränkt wird. Eine Verhältnismäßigkeitsprüfung hinsichtlich des Aufwands bei der Erteilung einer datenschutzrechtlichen Auskunft sei im EU-Datenschutz nicht vorgesehen, es seien nur Einschränkungen möglich, die sich aus Art. 12 Abs. 5 Abs. 5 DS-GVO ergeben.

3.12 Verordnung (EU) 2025/2518 zu Durchsetzung der DS-GVO

Die EU-Verordnung 2025/2528 über zusätzliche Verfahrensregeln zur Durchsetzung der DS-GVO (VERORDNUNG (EU) 2025/2518 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 26. November 2025 zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679) wurde am 12. Dezember 2025 veröffentlicht und gilt ab dem 2. April 2027. Sie regelt die Zusammenarbeit der Aufsichtsbehörden bei grenzüberschreitenden Verfahren und hat eine einheitliche Auslegung und Anwendung der DS-GVO zum Ziel. Dazu werden auch entsprechende Bearbeitungsfristen eingeführt und ein Eskalationsverfahren definiert, bei dem der EDSA für die Streitbelegung vorgesehen ist.

3.13.1 EU: Digitaler Omnibus – Omnibus VII: bitkom-Forderungspaket

Bereits im Vorfeld hat der bitkom sein Forderungspaket veröffentlicht.

3.13.2 EU: Digitaler Omnibus – Omnibus VII: Kritik an Änderungen der Begriffsbestimmung in Art. 4 Nr. 1 „Personenbezug“

Mit der Frage, inwieweit der Vorschlag zu Art. 4 Nr. 1 DS-GVO-E nun tatsächlich die Entscheidung des EuGH C-413/23 umsetzt oder die bisherige Rechtsprechung des EuGH obsolet macht, befasst sich dieser frei zugängliche Beitrag.

3.13.3 EU: Digitaler Omnibus – Omnibus VII: Hintergründe, Erläuterungen und Kritik

Einen umfassenden Überblick zum Digitalen Omnibus und viele Kritikpunkte liefert dieser Beitrag von dem 39C3, der als Video (Dauer ca. 60 Min) hinterlegt ist.
Aber auch hier werden Kritikpunkte zusammenfassend dargestellt.

3.13.4 EU: Digitaler Omnibus – Omnibus VII: Änderungen bei den Informationspflichten

Mit der Frage, inwieweit die vorgesehenen Änderungen tatsächlich als Erleichterungen angesehen werden können, befasst sich dieser Blog-Beitrag.
Unabhängig davon sollte auch beachtet werden, welche Bedeutung der EuGH den Informationspflichten vor dem Hintergrund des Art. 8 Abs. 2 GrCh in seiner Entscheidung C-422/23 gegeben hat.

3.13.5 EU: Digitaler Omnibus – Omnibus VII: Rechtsgutachten des verbraucherzentrale bundesverband zu KI-Training

Der verbraucherzentrale bundesverband (vzbv) hat ein Rechtsgutachten zum KI-Training mit personenbezogenen Daten in Auftrag gegeben. Sein Ergebnis ist, dass zurzeit ein klarer rechtlicher Rahmen zur Verarbeitung persönlicher Daten fehle und es eine eigenständige Rechtsgrundlage brauche. Erstellt wurde es durch die Kanzlei Spirit Legal. Die Autoren schlagen u.a. einen neuen Art. 6a DS-GVO mit klaren Voraussetzungen vor: Subsidiaritätsnachweis (synthetische Daten zuerst), echte Vorabinformation, unbedingtes Widerspruchsrecht mit angemessener Frist – auch für Personen ohne Nutzerkonto –, technische Schutzmaßnahmen gegen Reproduktion und ein Einwilligungserfordernis für Kinderdaten. Auch wird eine ersatzlose Streichung des Art. 9 Abs. 2 lit. k DS-GVO-E empfohlen. Diese Vorschrift verkehre die Schutzlogik des Datenschutzrechts und widerspreche der EuGH-Rechtsprechung.
Parallel dazu veröffentlichte der vzbv eine Umfrage, aus der hervorgeht, wie Vertrauen mit der Einhaltung datenschutzrechtlicher Vorgaben zusammenhängt.

3.13.6 EU: Digitaler Omnibus – Omnibus VII: Digitaler Omnibus als Chance

Digital-Omnibus auf richtiger Spur. Es finden sich auch positive Stimmen zum Digitalen Omnibus, wie hier in diesem Interview.

3.13 EU: Digitaler Omnibus – Omnibus VII

Die EU-Kommission will mit einem „Digitalen Omnibus“* verschiedene Digitale Rechtsakte „simplifizieren“. Ziel sei es das europäische Digitalrecht zu vereinheitlichen, Doppelregelungen zu vermeiden und Verfahren für Unternehmen wie Aufsichtsbehörden zu vereinfachen. Von den geplanten Änderungen betroffen sind unter anderem die DS-GVO, der Data Act, Teile der e-Privacy-Richtlinie, der Bereich der Cybersicherheit sowie die KI-VO. Die EU-Kommission verbindet mit dem Vorschlag die Erwartung Bürokratie abzubauen und klarere, harmonisierte Strukturen zu schaffen. Hier konzentrieren wir uns auf die datenschutzrechtlichen Aspekte. So sind u.a. Änderungen bei den Begriffsbestimmungen vorgesehen, um zu regeln, wann pseudonymisierte Daten als personenbezogen gelten. Pseudonymisierte Daten sollen für den ursprünglichen Verantwortlichen weiterhin personenbezogen bleiben, beim Empfänger jedoch als anonym eingestuft werden können, wenn eine Re-Identifizierung faktisch ausgeschlossen ist und keine zusätzlichen Hintergrundinformationen vorliegen. Künftig sollen Verantwortliche Auskunftsersuchen nach Art. 15 DS-GVO ablehnen können, wenn Betroffene ihre Rechte offensichtlich zweckwidrig oder missbräuchlich geltend machen. Zur Vereinheitlichung der Aufsicht soll der EDSA künftig verbindliche EU-weite Vorlagen und Methoden für Datenschutz-Folgenabschätzungen entwickeln, um ein einheitlicheres Vorgehen in allen Mitgliedstaaten sicherzustellen.
Datenschutzverletzungen sollen nur noch bei einem hohen Risiko und dann statt innerhalb von 72 innerhalb von 96 Stunden gemeldet werden. Dazu soll ein zentrales Meldeportal für Vorfälle nach DS-GVO, NIS2 und DORA das Berichtswesen vereinfachen.
Auch im Bereich der wissenschaftlichen Forschung sind Erleichterungen vorgesehen. Weiterverarbeitungen zu Forschungszwecken sollen grundsätzlich als zweckkompatibel gelten, und Informationspflichten können entfallen, wenn ihre Erfüllung unmöglich oder unverhältnismäßig wäre.
Cookie-Banner sollen seltener erscheinen, etwa indem eine abgelehnte Einwilligung erst nach sechs Monaten erneut abgefragt werden darf. Gleichzeitig sollen Einwilligungen einfacher erteilt werden können – etwa per Ein-Klick-Mechanismus – und zentrale Einstellungen im Browser oder im Betriebssystem sollen es ermöglichen Cookie-Präferenzen dauerhaft zu speichern, ohne sie auf jeder Webseite neu setzen zu müssen (vgl. Bericht dazu hier).
Für besondere Kategorien von Daten, die bei der Entwicklung oder beim Testen von KI-Systemen eine Rolle spielen, führt der Vorschlag eine neue Rechtsgrundlage mit Art. 9 Abs. 2 lit. k DS-GVO-E ein. Diese Ausnahme soll eng begrenzt sein und nur gelten, wenn ausreichende Schutzmaßnahmen bestehen, die eine unnötige Erhebung sensibler Daten verhindern. Darüber hinaus stellt die Kommission klar, dass die Entwicklung und der Betrieb von KI-Systemen als berechtigte Interessen im Sinne des Art. 6 Abs. 1 lit. f DS-GVO anerkannt werden können, sofern die Interessen der Betroffenen nicht überwiegen. Für biometrische Verfahren wie Gesichtserkennung oder Fingerabdruck-Authentifizierung schafft der Vorschlag eine zusätzliche Ausnahme: Solche Methoden sollen zulässig sein, wenn die biometrischen Daten vollständig unter der Kontrolle der betroffenen Person bleiben und nicht an Dritte übertragen werden.
Reaktionen darauf ließen nicht lange auf sich warten, nachfolgend einige Beispiele:

* Franks Anmerkung: Wenn Sie sich wundern, warum wir nun schon beim Omnibus VII sind, hier (ca. bei Minute 3) wird gezeigt (und darüber gesprochen, es ist ja ein Video), welche Omnibusse die EU-Kommission so vorhat(te).

3.14 TUM Think Tank: Arbeitsgruppe DSGVO: Reformbausteine für Datenschutz und -nutzung

Die DS-GVO gilt als zentraler Pfeiler des europäischen Datenschutzrechts und steht zunehmend im Fokus fachlicher Diskussionen. In Brüssel, Berlin und anderen Orts mehren sich die Stimmen, die über eine Weiterentwicklung der DS-GVO nachdenken, während Bürgerinnen und Bürger immer kritischer auf den Datenschutz blicken. Der am 19. November 2025 vorlegte Digital Omnibus der EU-Kommission hat die Debatte angefeuert.
Die Arbeitsgruppe DSGVO am TUM Think Tank will hier Abhilfe schaffen und hat bis Dezember 2025 konkrete Vorschläge erarbeitet, wie Datenschutz gestärkt, effektiver gemacht und zugleich die Datennutzbarkeit für wirtschaftliche sowie gesellschaftliche Problemlösungen erhöht werden kann. Dabei wird bewusst kein vollständiges Re-Design der DS-GVO angestrebt. Vielmehr gelte es, „anschlussfähig an bestehende Regelungen zu bleiben und schnell in die Umsetzung gehen zu können“, so zwei Mitinitiatoren der Gruppe.

• (Weiter-)Entwicklung eines risikobasierten Ansatzes für die DS-GVO
  Dieser Vorschlag um eine Stärkung des risikobasierten Ansatzes enthält eine Ergänzung des Art. 5 DS-GVO um einen 3. Absatz, um die Datenschutzgrundsätze in ein angemessenes Verhältnis zu dem mit den jeweiligen Vorgaben dieser Verordnung verfolgten Zweck zu setzen, so dass sie den freien Verkehr personenbezogener Daten nicht unangemessen beeinträchtigen.
• Vereinfachung der B2B Compliance
  Der Vorschlag für eine Vereinfachung der B2B-Complance sieht z.B. vor, dass eine Vertragspflicht zur Selbstverpflichtung mit gesetzlicher Vermutung erarbeitet werden solle, um beispielsweise aufwändige Verhandlungen zwischen Verantwortlichem und Auftragsverarbeiter zu erübrigen.
• Mehr Rechtssicherheit durch Erlaubnis- und Verbotslisten (Ampelsystem)
  Im dritten Vorschlag erhofft man sich mehr Rechtssicherheit durch Verbots- und Erlaubnistatbestände, die in Artt. 6 und 9 DS-GVO umgesetzt werden sollen.
• Reformmöglichkeiten im Bereich der Einwilligung und „Do Not Track“
  Um der Consent-Fatique (Einwilligungsermüdung) entgegenzuwirken, versucht der vierte Vorschlag über technische Lösungen und rechtliche Vorgaben getroffene Entscheidungen der Nutzenden nicht laufend in Frage zu stellen und somit ständig wiederholende Entscheidungsabfragen zu vermeiden.

3.15 The same procedure as every year: Vorratsdatenspeicherung und Klarnamenpflicht

Wieder scheint die Rettung des Abendlandes an der anlasslosen Speicherung digitaler Kommunikationsdaten zu hängen, wenn es um die Speicherung von IP-Adressen geht, wie berichtet wird.
Mittlerweile liegt der Entwurf eines Gesetzes zur Einführung einer IP-Adressspeicherung und Weiterentwicklung der Befugnisse zur Datenerhebung im Strafverfahren des BMJ auch vor.
Auch das Thema Klarnamen im Netz erfreut sich wieder Beliebtheit in der politischen Diskussion. Ausgehend von zunehmenden Hassbotschaften und Beleidigungen im Netz (vgl. Bericht dazu hier) fordern nicht nur lokale Politiker Klarnamenpflicht für soziale Medien. Die Justizministerin sieht das anders. Ein Bericht dazu mit Darstellung der aktuellen Rechtslage findet sich hier.

3.16 Änderung der KI-VO über den Digitalen Omnibus

Auch Änderungen der KI-VO sind im Digitalen Omnibus vorgesehen. Insbesondere sind zeitliche Verschiebungen in dem Entwurf für Regelungen angedacht, die ab 2. August 2026 gelten sollten. Dies würde erhebliche Auswirkungen haben. Gerade auch weil diese Änderungen – im Idealfall – bereits vorher beschlossen sein müssten. Bericht dazu hier.

3.17 NIS2-Umsetzungsgesetz beschlossen

Der Bundestag hat nun (endlich) die Umsetzung der Cybersicherheitsvorgaben der EU mit NIS2 beschlossen. Worum es dabei geht, wird hier kurz erklärt und auch das BSI informiert umfassend.

3.18 EU: Code of Practice on marking and labelling of AI-generated content

Der erste Entwurf eines Code of Practice on marking and labelling of AI-generated content wurde durch die EU-Kommission veröffentlicht. Art. 50 KI-VO enthält die Verpflichtung für Anbieter, KI-generierte oder manipulierte Inhalte in einem maschinenlesbaren Format zu kennzeichnen, und für Nutzer, die generative KI-Systeme für berufliche Zwecke einsetzen, die Verpflichtung Deepfakes und KI-Textpublikationen in Angelegenheiten von öffentlichem Interesse eindeutig zu kennzeichnen. Um Anbieter und Betreiber bei der Erfüllung dieser Anforderungen zu unterstützen, erleichtert die EUKommission die Ausarbeitung eines freiwilligen Verhaltenskodex. Der Entwurf des Verhaltenskodex besteht aus zwei Abschnitten. Der erste Abschnitt behandelt Regeln für die Kennzeichnung und Erkennung von KI-Inhalten, die für Anbieter generativer KI-Systeme gelten. Der zweite Abschnitt behandelt die Kennzeichnung von Deepfakes und bestimmten KI-generierten oder manipulierten Texten in Angelegenheiten von öffentlichem Interesse und gilt für Betreiber generativer KI-Systeme.
Bis zum 23. Januar 2026 können Rückmeldungen von Teilnehmern und Beobachtern zum ersten Entwurf des Verhaltenskodex eingebracht werden. Der zweite Entwurf wird bis Mitte März 2026 erstellt, wobei der Kodex voraussichtlich bis Juni nächsten Jahres fertiggestellt sein soll.

3.19 Gesetz zur Durchführung des Data Act, zum zweiten

Nachdem sich das Bundeskabinett auf eine Fassung verständigt hat, kann dieses nun ins parlamentarische Verfahren. Zentrale Zuständigkeit soll die BNetzA erhalten, die datenschutzrechtlichen Themen werden der BfDI in § 3 des Entwurfs anvertraut.
§ 3 Abs. 1 des Entwurfs:

"𝘋𝘪𝘦 𝘰𝘥𝘦𝘳 𝘥𝘦𝘳 𝘉𝘶𝘯𝘥𝘦𝘴𝘣𝘦𝘢𝘶𝘧𝘵𝘳𝘢𝘨𝘵𝘦 𝘧ü𝘳 𝘥𝘦𝘯 𝘋𝘢𝘵𝘦𝘯𝘴𝘤𝘩𝘶𝘵𝘻 𝘶𝘯𝘥 𝘥𝘪𝘦 𝘐𝘯𝘧𝘰𝘳𝘮𝘢𝘵𝘪𝘰𝘯𝘴𝘧𝘳𝘦𝘪𝘩𝘦𝘪𝘵 𝘪𝘴𝘵 𝘢𝘣𝘸𝘦𝘪𝘤𝘩𝘦𝘯𝘥 𝘷𝘰𝘯 § 40 𝘈𝘣𝘴𝘢𝘵𝘻 1 𝘥𝘦𝘴 𝘉𝘶𝘯𝘥𝘦𝘴𝘥𝘢𝘵𝘦𝘯𝘴𝘤𝘩𝘶𝘵𝘻𝘨𝘦𝘴𝘦𝘵𝘻𝘦𝘴 𝘯𝘢𝘤𝘩 𝘈𝘳𝘵𝘪𝘬𝘦𝘭 37 𝘈𝘣𝘴𝘢𝘵𝘻 3 𝘥𝘦𝘳 𝘋𝘢𝘵𝘦𝘯𝘷𝘦𝘳𝘰𝘳𝘥𝘯𝘶𝘯𝘨 𝘥𝘪𝘦 𝘧ü𝘳 𝘥𝘪𝘦 Ü𝘣𝘦𝘳𝘸𝘢𝘤𝘩𝘶𝘯𝘨 𝘥𝘦𝘳 𝘈𝘯𝘸𝘦𝘯𝘥𝘶𝘯𝘨 𝘥𝘦𝘳 𝘋𝘢𝘵𝘦𝘯𝘷𝘦𝘳𝘰𝘳𝘥𝘯𝘶𝘯𝘨 𝘣𝘦𝘻ü𝘨𝘭𝘪𝘤𝘩 𝘥𝘦𝘴 𝘚𝘤𝘩𝘶𝘵𝘻𝘦𝘴 𝘱𝘦𝘳𝘴𝘰𝘯𝘦𝘯𝘣𝘦𝘻𝘰𝘨𝘦𝘯𝘦𝘳 𝘋𝘢𝘵𝘦𝘯 𝘻𝘶𝘴𝘵ä𝘯𝘥𝘪𝘨𝘦 𝘋𝘢𝘵𝘦𝘯𝘴𝘤𝘩𝘶𝘵𝘻𝘢𝘶𝘧𝘴𝘪𝘤𝘩𝘵𝘴𝘣𝘦𝘩ö𝘳𝘥𝘦 𝘧ü𝘳 𝘯𝘪𝘤𝘩𝘵-ö𝘧𝘧𝘦𝘯𝘵𝘭𝘪𝘤𝘩𝘦 𝘚𝘵𝘦𝘭𝘭𝘦𝘯."

Der Bundesrat hat mit seiner Stellungnahme vom 19.12.2025 (BR-Drs 636/25) verschiedene Anpassungen zum Entwurf geliefert. Aus der Stellungnahme wird deutlich, wie sich die Länder gegen die geplanten digitalpolitischen Zentralisierungstendenzen des Bundes wehren. Dadurch wird auch ein allgemeines Dilemma sichtbar: föderale Bedenken vs. effektive, einheitliche Regulierung im digitalen Binnenmarkt. Konkret wird zu § 2 (1) DADG-E kritisiert, dass dieser Regelung föderale Ordnungsprinzipien entgegenstünden. Bei § 3 (1) DADG-E wird darauf hingewiesen, dass sich damit für Unternehmen und Behörden das Gegenteil der beabsichtigten Zuständigkeitsvereinfachung ergäbe, nämlich eine Doppelaufsicht einerseits durch BNetzA und BfDI bei der primären Bewertung ihres Datennutzungsanliegens nach der Datenverordnung und andererseits eine fortbestehende Datenschutzaufsicht durch Länderbehörden.
Am 16. Januar 2026 berät nun dazu der Bundestag nun über die Drucksache 21/2998 - Gesetzentwurf: Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828.

3.20 EU wacht auf – wenn es um eigene Daten geht

Die ganze Zeit verfolgt mich der Eindruck, die EU-Beamten hätten das Prinzip des Datenschutzrechts noch nicht ganz verstanden, bis mich diese Nachricht eines Besseren belehrte. Geht es dabei doch um die Auswertung von Standortdaten und denkbare Rückschlüsse auch auf sicherheitsrelevante Informationen. Na, dann geht das doch nicht – wenn es sich um EU-Personal handelt. Dass die Informationen schon länger bekannt waren, aber da scheinbar nur „normale“ Bürger betrafen, schien der Verwaltung unter der aktuellen Kommissionspräsidentin nicht relevant genug.

3.21 Angemessenheitsbeschluss der EU-Kommission zugunsten UK

Der Angemessenheitsbeschluss zugunsten UK endete am 27. Juni 2025 und wurde dann noch um sechs Monate verlängert (Informationen dazu hier). Am 19.12.2025 erging ein weiterer Angemessenheitsbeschluss zugunsten UK zur DS-GVO – befristet auf sechs Jahre mit Review nach vier Jahren. Sie finden ihn hier. Auch zur RL EU 2016/680 gibt einen Angemessenheitsbeschluss.

3.22 EP: Regeln für den Einsatz von algorithmischem Management am Arbeitsplatz

Das Europäische Parlament unterstützt den Bericht 2025/2080(INL) des MEP Bula zum algorithmischen Management am Arbeitsplatz. Mit dem Bericht fordert das Parlament die EU-Kommission auf klare Regeln zum algorithmischen Management und zur KI am Arbeitsplatz vorzuschlagen, darunter Transparenz, menschliche Kontrolle, Rechte auf Arbeitnehmerkonsultationen, verbotene Praktiken und klarere Regeln im Zusammenhang mit Datenschutz-Folgenabschätzung und personenbezogenen Daten. Im Wesentlichen fordert der Bericht, diese Lücken zu schließen, indem die Bestimmungen des algorithmischen Managements aus der Platform Work Directive (2024/2831) so harmonisiert werden, dass sie alle Arbeitnehmer abdecken. Dies sollte nicht nur alle Arbeitnehmer in einer Zeit schützen, in der algorithmische Managementsysteme an Arbeitsplätzen zunehmend verbreitet sind, sondern auch die Situation klären, indem für alle Arbeitnehmer und Arbeitsplätze dasselbe Regelwerk eingeführt wird.

3.23 EU: Planungen zu Influencer-Marketing

Influencer-Marketing spielt eine Schlüsselrolle in der Online-Werbung. Auf EU-Ebene gibt es Gesetze, die für Influencer-Marketing relevant sind, aber sie sind fragmentiert. Versteckte Werbung und irreführende kommerzielle Praktiken sind bereits verboten, doch die Verantwortlichkeiten verschiedener Akteure in der Wertschöpfungskette des Influencer-Marketings sind nicht immer klar. Die EU-Kommission hat ihre Absicht signalisiert, irreführende Influencer-Marketing-Praktiken im bevorstehenden Digital Fairness Act anzugehen. Der Think Tank des Europäischen Parlaments hat dazu ein Briefing verfasst und hier veröffentlicht.

3.24 Zuständigkeitsänderung bei Streitigkeiten

Durch eine Änderung im Gerichtsverfassungsgesetz (§ 23 Nr. 1 GVG n.F.) werden die Zuständigkeiten ab 01.01.2026 geändert. Es werden dann deutlich mehr Datenschutzstreitigkeiten bei den Amtsgerichten landen, denn die Zuständigkeitsgrenze steigt von 5.000 auf 10.000 Euro. Die meisten Schadensersatzklagen oder Betroffenenrechte werden künftig erstinstanzlich am AG verhandelt und die Landgerichte werden zur Berufungsinstanz: LG-Kammern entscheiden künftig überwiegend in zweiter Instanz statt erstinstanzlich. Dies führt dann zu weniger OLG-Rechtsprechung: Die Oberlandesgerichte fallen als reguläre Berufungsinstanz in vielen DS-GVO-Fällen weg. Bericht der BRAK dazu hier.

4.1 COAI: Erforschung ethischer Grenzen der KI

Ein Team von Wissenschaftler:innen befasst sich mit der Frage, wie Künstliche Intelligenz sicher, transparent und menschenzentriert werden kann. Hier findet sich ein Interview mit Verantwortlichen aus dem Projekt COAI, dessen Forschung sich auf Bereiche konzentriert, die vielleicht nicht direkt zu unmittelbarem wirtschaftlichem Gewinn führen, aber entscheidend sind, um die Menschheit langfristig bei der KI-Entwicklung zu unterstützen.

4.2 Verräterische KI

Bevor wieder der Vorwurf „Datenschutz sei Täterschutz“ kommt: Wenn wir auf den Bericht hinweisen, dass in den USA über einen Beschlagnahmebeschluss gegen OpenAI Nutzerdaten aus ChatGPT für Ermittlungen genutzt wurden, machen wir das, damit bewusst wird, was an Privatsphäre bei der Nutzung bestimmter IT-Hilfsmittel erwartet werden kann.

4.3 KI und Regulierung

In der nun frei veröffentlichten Dissertation „Regulierungsstrategien für KI-Technologien: Eine technikrechtliche Untersuchung“ (Regulating AI: A Technology Law Perspective on Regulatory Strategies for Emerging Technologies) werden die Grundlagen von KI erforscht – von ihrer historischen Entwicklung und technischen Funktionsweise bis hin zu praktischen Anwendungen. Sie untersucht technologische Risiken, insbesondere solche, die von KI ausgehen, und konzentriert sich dabei auf Unsicherheiten im Zusammenhang mit diesen Risiken und darauf, wie das Recht mit ihnen umgehen kann. Schließlich analysiert es die EU-Technologieregulierung sowie den EU-KI-Rechtsakt und schließt mit konkreten politischen Empfehlungen für Gesetzgeber, die sich an der Schnittstelle von Technologie, Recht und Gesellschaft bewegen.

4.4 Innovation durch Regulierung?

Unter diesem Titel versammeln sich hier in einer open access-Version Beiträge zum Immaterialgüterrecht, Daten- und KI-Recht in einem Tagungsband der GRUR Junge Wissenschaft 2025. Damit befassen sich die Autor:innen mit der Ermöglichungsfunktion des Rechts, regulatorischen Schutzrechten, Einheitspatenten, Daten(zugangs)rechten, Private Enforcement, digitalen Ökosystemen, systemischen Risiken, ethischer KI-Lizensierung sowie datenschutzkonformem KI-Training und KI-Haftung.

4.5 Universität Hannover: KI-Leitfaden zu KI im Kontext wissenschaftlichen Arbeitens

Hier findet sich eine aktualisierte Handreichung zu KI im Kontext wissenschaftlichen Arbeitens der Leibniz Universität Hannover. Sie behandelt den Einsatz von Künstlicher Intelligenz in Lehre und Prüfungen.

4.6 Künstliche Intelligenz und Wir

Das open access Buch mit dem bezeichneten Titel „Künstliche Intelligenz und Wir“ bietet einen umfassenden Überblick über den aktuellen Stand der Technikentwicklung und die zukünftigen Möglichkeiten der Künstlichen Intelligenz (KI). Expert:innen aus verschiedenen Disziplinen beleuchten die vielfältigen Aspekte der KI, von technischen Grundlagen über ethische Fragestellungen bis hin zu gesellschaftlichen und wirtschaftlichen Auswirkungen. Das Buch wendet sich an Lehrende und Lernende an deutschsprachigen Hochschulen und kann als Lehrbuch außerhalb der Informatik verwendet werden.

4.7 BaFin: Orientierungshilfe zu KI bei IKT-Risiken (DORA)

Die BaFin hat eine Orientierungshilfe (OH) zu IKT-Risiken beim Einsatz von KI im Finanzbereich veröffentlicht. Die (unverbindliche) Orientierungshilfe dient dem Zweck IKT-Risiken nach den Vorgaben von DORA zu managen. Sie richtet sich insbesondere an Institute, für die die Capital Requirements Regulation gilt, und für Versicherer, die nach Solvency II beaufsichtigt werden.
Behandelt werden vor allem die Themen IKT-Risikomanagement und IKT-Drittparteienrisikomanagement. Betrachtet werden die IKT-Risiken entlang des gesamten KI-Lebenszyklus. Berücksichtigt worden sein sollen auch Erfahrungen der Industrie beim KI-Einsatz.
Interessant sind auch die Cloud-Spezifika beim Betrieb von KI (S. 19-21), da hier auch auf die Überschneidungen zur Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter aus dem Februar 2024 Bezug genommen wird.

4.8 Responsible AI Trust

Mit der Global AI Governance Alignment Map des Responsible AI Trust wird ein Bauplan vorgeschlagen, der zeigt, wie Regulierung, Standards und Durchsetzung weltweit zusammenlaufen können.

4.9 Programmieren mit KI und die Realität

Bringt der Einsatz von KI bei der Programmierung tatsächlich die erhofften Produktivitätssteigerungen von bis zu 55 % und Zeitersparnis von bis zu 24 %? In diesem Bericht werden die Ergebnisse einer Studie von METR nochmals dargestellt.
Die METR-Studie ergab, dass der Einsatz von KI zu einer Verlangsamung von 19 % führt. Die Lücke zwischen schnellerem Gefühl und Schnellersein erklärt, warum manche Programmierer nicht aufhören können, um 2 Uhr morgens zu prompten. Variable Ratio-Verstärkung – derselbe Mechanismus, der Spielautomaten antreibt – sorgt dafür, dass Nutzer trotz abnehmender Erträge immer wieder zurückkommen. Unterdessen sanken die Einstiegsstellen für Entwickler zwischen 2022 und 2024 um 60 %, da Unternehmen Juniors durch KI-unterstützte Seniors ersetzen. Der Haken: 67 % der Entwickler verbringen heute mehr Zeit mit dem Debuggen von KI-generiertem Code, als sie beim Schreiben gespart haben. Die Tools versprechen mühelose Programmierung, schaffen aber neue Abhängigkeiten.

4.10 KI vor Gericht

Wie gehen Gerichte damit um, wenn sie den Eindruck haben, dass Schriftsätze durch KI erstellt wurden und nicht mehr geprüft wurde, ob alle Fundstellen tatsächlich existieren? Hier wird über den Beschluss des VGH Baden-Württemberg vom 08.07.2025, Az. 3 S 1012/25 berichtet, der Beschwerden als unzulässig verwarf, weil sie den gesetzlichen Begründungsanforderungen aus § 146 Abs. 4 S. 1 VwGO nicht genügten.
Leider konnte ich den zitierten Beschluss nicht finden (…).
Aber es finden sich weitere schöne Quellen, z.B. hier KI-vor-Gericht, die erste deutschsprachige Datenbank zu Fällen, in denen generative KI halluzinierte Inhalte produziert hat – in der Regel frei erfundene Zitate oder Rechtsansichten, aber auch andere Arten von KI-generierten Argumenten. Sie erfasst nicht die allgemeine Verwendung von KI zur Vorbereitung von Schriftsätzen oder Entscheidungen.
Oder der AI & Copyright Case-Tracker einer Kanzlei. Oder eine Sammlung von „AI Hallucination Cases“, oder wie hier ein weiterer AI Hallucination Cases Tracker (AI and non-AI fabricated/false citations).

4.11 Rechtliche Leitplanken für den KI-Einsatz in der Schule

Schulleitungen und Lehrkräfte brauchen Leitplanken, um rechtlich relevante Entscheidungen treffen zu können. Hinsichtlich des Themas künstliche Intelligenz versucht dieser Blog-Beitrag hier Hilfestellung zu geben. Integriert ist auch ein 26-minütiger YouTube-Beitrag (Stand 09.12.25) zu der Thematik.

5.1.1 Abschied von Microsoft – digitale Souveränität? Internationaler Strafgerichtshof

Der Internationale Strafgerichtshof hat bekanntgegeben, dass er den Einsatz von Microsoft-Diensten durch eine Lösung von ZenDIS mit openDesk ablösen wollte, wie hier berichtet wird.

5.1.2 Abschied von Microsoft – digitale Souveränität? Schweizer Armee

Der Chef der (Schweizer) Armee wandte sich in einem Brief an den Leiter des Bereichs Digitale Transformation bei der Bundeskanzlei, wie hier berichtet wird. Darin schreibt er sinngemäss, dass die Tools von Microsoft auf den Rechnern des US-Konzerns für die Schweizer Armee unbrauchbar sind. Gegenüber der bisherigen Software­lösung biete Microsoft 365 für die Gruppe Verteidigung keinen Mehrwert. Er verweist auch auf eine Klassifizierungsrichtlinie des Bundes: Dieser gemäss dürfen «interne» und «geheime» Dokumente nicht oder nur eingeschränkt in der Microsoft-Cloud und ihren Anwendungen bearbeitet werden. Als «interne» Dokumente sind beispielsweise Truppenübungs­berichte klassifiziert, als «geheim» etwa Einsatz- oder Operations­pläne für Spezial­kräfte. Insider schätzen, dass bei der Armee rund 90 Prozent aller Daten entweder als «intern» oder als «geheim» gelten. Aufwand wie Kosten stünden dabei in keinem Verhältnis zum tatsächlich reduzierten Mehrwert der Plattform. Und angesichts des steigenden Drucks auf die Betriebskosten der Armee könne er diese Aufwendungen ohne erkennbaren Nutzen nicht verantworten.
Zu den Erwartungen des Chefs der Armee zählen u.a. auch eine schnellstmögliche Konzeption einer «EXIT»-Strategie zum Aufbau einer redundanten Plattform, unabhängig von Microsoft. Die Gruppe Verteidigung würde sich auch an einer Schweizer Open-Source-Lösung beteiligen.

5.1.3 Abschied von Microsoft – digitale Souveränität? BWI und Bundeswehr

Scheinbar soll auch bei der Bundeswehr nun auch Microsoft durch openDesk ersetzt werden, wie hier zu einem Rahmenvertrag zwischen BWI und Zendis berichtet wird.

5.1.4 Abschied von Microsoft – digitale Souveränität? Microsoft und Standorterkennung über Teams

Einige Meldungen berichten über eine Möglichkeit, dass über Microsoft Teams an Hand der Wifi / IP / Unternehmensnetzzuordnung erkennen kann, ob man im Büro oder außerhalb des Büros ist. Hier finden sich Informationen zur den Einstellungsmöglichkeiten und dazu, dass die Funktion grundsätzlich deaktiviert sei.

5.1 Abschied von Microsoft – digitale Souveränität?

5.2 Digitale Souveränität – in Bayern

Die politische Entscheidung, dass sich das Land Bayern zu einem langfristigen Vertrag zum Einsatz von Microsoft 365 entschieden hat, wurde von Anfang an kritisiert. Nicht nur die Vertragssumme von ca. 1 Mrd. Euro, oder dass ohne Ausschreibung vergeben wurde, sondern auch die weitere Abhängigkeit von einem US-Unternehmen werden dabei thematisiert. Bericht dazu hier.

5.3 Cybersicherheit in der Schweiz

Was braucht es für eine erfolgreiche Bewältigung organisationsübergreifender Cybervorfälle? Das Schweizer Bundesamt für Cybersicherheit (BACS) hat ein Konzept veröffentlicht, das aufzeigt, wie sich der Bund organisiert, um die koordinierte Vorfallsbewältigung in der Cybersicherheit sicherzustellen. Mit dem Inkrafttreten des Schweizer Informationssicherheitsgesetzes (ISG) im Jahr 2024 sowie der Cybersicherheitsverordnung (CSV) und der Verordnung über die Krisenorganisation der Bundesverwaltung (KOBV) im Jahr 2025 wurden in der Schweiz entsprechende rechtliche Grundlagen zur Klärung der Aufgaben und Zuständigkeiten geschaffen.

5.4 AWV: Webseiten rechtskonform gestalten (TDDDG)

Die AWV (Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V.) hat ihre Broschüre zur rechtskonformen Webseitengestaltung aktualisiert und veröffentlicht. Seit der ersten Auflage dieser Handreichung im Jahr 2024 (wir berichteten) hat der nationale Gesetzgeber im Bestreben, den europäischen Binnenmarkt zu harmonisieren, Begriffe ersetzt und das Gesetz in „Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)“ umbenannt. Diese Neuauflage entstand vor allem mit dem Ziel die Ausführungen an die aktuell geltenden gesetzlichen Begriffsbestimmungen sowie an die zwischenzeitlich ergangene Rechtsprechung anzupassen. Mit der 29 Seiten umfassenden Publikation erhalten Datenschutzbeauftragte, Geschäftsführer, Betriebsleiter und interessierte Mitarbeitende von kleinen und Kleinstunternehmen, die entscheidenden Informationen über eine rechtssichere Gestaltung von Webseiten gebündelt und übersichtlich aufbereitet.

5.5 Signal sichert sich weiter ab: Quantensichere Verschlüsselung

Sind Verschlüsselungen in Messengerdiensten künftig auch noch sicher? Die jüngsten Entwicklungen im Bereich der Quantencomputer zeigen, dass die Technologie schneller voranschreitet als erwartet, wie z.B. hier berichtet wird. Nun hat Signal als erster Messenger-Dienst darauf reagiert und stellt ein neues Protokoll vor, das Chats auch gegen Angriffe durch Quantencomputer schützen soll. Nach dieser Meldung wird das Messaging Layer Security (MLS) Protokoll um Post-Quantum-Kryptografie erweitert – ein wichtiger Schritt für die digitale Sicherheit. Die wichtige Botschaft hierbei ist, dass es (Stand heute) Verschlüsselungsverfahren gibt, die selbst von Quantencomputern nicht gebrochen werden können – vorausgesetzt, sie basieren auf mathematischen Problemen, die auch mit Quantenalgorithmen schwer lösbar sind.

5.6 Strafanzeige gegen Clearview AI durch noyb

Weltweit Bilder aus dem Internet für eigene Zwecke nutzen, das gehe nicht, meint noyb und hat Strafanzeige gegen das Unternehmen Clearview AI gestellt, wie noyb berichtet. Trotz mehrerer Verbote und Geldstrafen habe Clearview AI seine illegalen Praktiken nicht geändert.

5.7 Genormte Löschvorgaben ISO 21964 statt DIN 66399

Ältere – oder besser erfahrene – Datenschützer:innen kennen noch die DIN 66399, die das Vernichten von Datenträgern regelte. Diese Norm ist zwischenzeitlich zurückgezogen. Fortgeführt wird sie in der ISO/IEC 21964-1:2018-08.

5.8 Weitergabe von Gesundheitsdaten aus dem ePA

Im Rahmen eines Kongresses wurde auch über die Weitergabe von Gesundheitsdaten und den schleichenden Abbau des Gesundheitsdatenschutzes zugunsten wirtschaftlicher Interessen gesprochen. So gibt es eine Klage der Gesellschaft für Freiheitsrechte (GFF) gegen die Weitergabe und Speicherung von pseudonymisierten Gesundheitsdaten an das Forschungsdatenzentrum Gesundheit (FDZ Gesundheit) des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM), an das Forscher seit kurzem Anträge auf Datenzugang stellen können.
Thematisiert wurde nach diesem Bericht auch, dass seit 2022 Abrechnungsdaten an das Forschungsdatenzentrum Gesundheit übermittelt werden und künftig auch in einem sich ebenfalls im Aufbau befindenden Europäischen Gesundheitsdatenraum zugänglich sind.

5.9 KI in der Amtsstube – Podcastfolge

In dieser Folge eines Podcasts (Dauer ca. 27 Min.) geht es um die Einführung von KI in der öffentlichen Verwaltung. Als Beispiele wird F13 in Baden-Württemberg besprochen.

5.10 KI (LLM) mit eigenen Daten füttern

Wie kann eine KI (LLM) mit eigenen Daten gefüttert werden? Eine Möglichkeit ist Retrieval-Augmented Generation (RAG), zu der die DSK bereits eine Orientierungshilfe für RAG veröffentlicht hat (wir berichteten). In diesem Beitrag geht es um eine Zusammenfassung der Aussagen, die um Hinweise zu Geschäftsgeheimnissen und Urheberrecht ergänzt werden.

5.11 KI, Regulatorik und die Rechtsprechung – Besprechung OLG Köln zu KI-Training

Die Entscheidung des OLG Köln im einstweiligen Rechtsschutz und die Rahmenbedingungen dazu waren bisher bereits in der Diskussion. Selten so scharf und fundiert wie hier.

5.12 ForDaySec: Lagebild zur Cybersicherheit im Alltag – mit Handlungsempfehlungen

Der Bayerische Forschungsverbund zur Sicherheit in der Alltagsdigitalisierung hat sein Lagebild mit Szenarien, Forschungsperspektiven und Handlungsoptionen als Whitepaper veröffentlicht. Aus rechtswissenschaftlicher Sicht führen Updatepflichten zu Herausforderungen wie der Pflicht zur Aktualisierung trotz fehlender Kontrollen und der Trennung von erhaltenden und erweiternden Updates. Aus der sozialwissenschaftlichen Perspektive wird darauf hingewiesen, dass sich Sicherheit an den Lebensrealitäten orientieren muss. Die technologische Realität überholt vielerorts die Schutzkonzepte. Zudem betrachten sie auch Zukunftstrends und ihre Auswirkungen auf die IT-Sicherheit im Alltag.

5.13 VZ Bayern: Faktenblatt zu Influencer-Marketing

Sogenannte Influencer unterliegen bei Online-Marketing Regularien wie Impressumspflicht nach § 5 DGG und Vorgaben zur Werbekennzeichnung nach § 5a Abs. 4 UWG. Die Verbraucherzentrale Bayern hat hierzu einen Marktcheck durchgeführt. Dazu wurden die Auftritte von 26 Influencern geprüft, ob diese einerseits Werbung transparent kennzeichnen und ob das Impressum leicht auffindbar ist. Bei den meisten wurden Verstöße festgestellt und abgemahnt. In der Folge passte die Mehrheit ihre Beiträge und Impressumsangaben an. Die Ergebnisse sind hier in einem Faktenblatt veröffentlicht.

5.14 CrowdStrike European Threat Landscape Report 2025

Nach den Erkenntnissen eines Sicherheitsdienstleisters beschleunigen Cyber-Bedrohungsakteure in Europa ihre Aktivitäten erheblich. Cyberkriminelle, staatlich unterstützte Akteure und Hacktivisten führen ihre Angriffe immer schneller durch, wenden neue Techniken des „Social Engineering“ an und operieren in resilienten kriminellen Ökosystemen. Der „CrowdStrike European Threat Landscape Report 2025“ fasst die bedeutendsten Aktivitäten in der Region zusammen, will Bedrohungsakteure, Vorgehensweisen und branchenspezifische Risiken aufzeigen und mit praktischen Anleitungen für Gegenmaßnahmen unterstützen.

5.15 Besprechung EuGH T-384/20 (immaterieller Schadenersatz gegen EU-Kommission)

Wir hatten über die Entscheidung des EuGH in C-479/22 P zur Frage des Personenbezugs berichtet. Dabei ging es um die Frage, inwieweit durch eine Pressemitteilung ein Personenbezug hergestellt werden kann und für wen, um im Hauptsacheverfahren über einen evtuellen immateriellen Schadenersatzanspruch gegen die EU-Kommission entscheiden zu können.
Das Urteil des EuG im Hauptsacheverfahren T-384/20 RENV (50.000 Euro immaterieller Schadenersatz, gefordert waren 1,1 Mio. Euro) wird auch hier besprochen.

5.16 bitkom: Umsetzungsleitfaden zum Data Act

Der bitkom veröffentlichte einen Umsetzungsleitfaden zum Data Act. Darin werden u.a. die Abgrenzung zu den anderen Rechtsakten, die Anforderungen bei IoT und Cloud-Switching dargestellt, aber auch missbräuchliche Vertragsklauseln thematisiert.

5.17 Subunternehmerliste bei Microsoft

Microsoft veröffentlichte eine neue Subunternehmerliste für Kunden die MS 365 („Online-Services“) nutzen (Stand 08.12.2025). Dazu stellt sich die Frage, wie Auftragsverarbeiter (AV) grds. ihre Auftraggeber darüber zu informieren haben. Nach Art. 28 Abs. 2 Satz 2 DS-GVO informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
Damit befasst sich dieser Blog-Beitrag wie dies umzusetzen ist, der Autor zitiert dabei auch aus seinem Buch.

5.18 Gutachten zu Rechtslage bei Datenzugriff aus USA

Das BMI hat sich ein Gutachten der Universität zu Köln erstellen lassen, dass sich mit Stand März 2025 mit Datenzugriffen aus den USA befasst und bei Fragen des Drittstaatentransfers bzw. Cloud relevant werden könnte. Es wurde über eine Anfrage bei FragdenStaat öffentlich. Bericht dazu dort.
Es gab bereits ein Gutachten des Wissenschaftlichen Dienstes vom Januar 2024, wir berichteten hier dazu.

5.19 DSFA für die polizeiliche Analyseplattform VeRA

Hier berichten wir über den Einsatz eines Tools von Palantir bei der Polizei. Diesmal unter Datenschutzgesichtspunkten, Wie aus der Beantwortung einer Schriftlichen Anfrage zum Einsatz hervorgeht, wurde eine Datenschutz-Folgenabschätzung unter Einbezug des LfD Bayern durchgeführt. Laut der Antwort zur 3. Frage wurden im Rahmen der DSFA wurden anhand der Gewährleistungsziele des Standard-Datenschutzmodells, orientiert am Arbeitspapier „Risikoanalyse und Datenschutz-Folgenabschätzung“ des BayLfD, die realistisch auftretenden Schwachstellen mit möglichen Risiko- und Gefährdungsquellen betrachtet und die so erkannten Risiken mit entsprechenden technischen und organisatorischen Maßnahmen reduziert, soweit diese nicht bereits anderweitig berücksichtigt wurden.

5.20 Digitale Souveränität der Verwaltung

Eine neue Studie unter der Federführung einer Beratungsagentur befasst sich mit der Frage: „Souveränitätsbarometer der öffentlichen IT – Wo steht die Verwaltung wirklich?“ Die Studie beleuchtet erstmals empirisch, wie digital souverän Bund, Länder und Kommunen wirklich sind – jenseits politischer Leitbilder. Sie basiert auf einer webbasierten Befragung von 266 IT-Verantwortlichen aus Verwaltung und öffentlichen IT-Dienstleistern im Zeitraum August bis Oktober 2025.
Demnach sehen sich 65 % der Verwaltungen stark oder sehr stark abhängig von außereuropäischen IT-Anbietern – in Kommunen sind es sogar 70 %. Bei Standardsoftware zeigen sich besonders hohe Abhängigkeiten: Bürosoftware: 81 %, Betriebssysteme: 77 % und Kollaborationstools: 47 %. Nur 4 – 5 % der Verwaltungen können IT-Lösungen flexibel wechseln. Als Hauptgründe werden genannt: technische Komplexität (70 %), fehlende Alternativen (65 %) und proprietäre Schnittstellen (62 %). Mehr als 40 % der Verwaltungen können weniger als ein Viertel ihrer Fachverfahren oder Plattformdienste intern oder durch öffentliche IT-Dienstleister anpassen. Fehlende Ressourcen, Kompetenzlücken und externe Abhängigkeiten schränken die Selbstbestimmung zusätzlich ein.
Zwei Drittel der IT-Systeme laufen noch On-Premise, was die Cloud-Transformation und damit die Chance auf mehr Souveränität deutlich macht. Als Beispiele werden Souveräne Cloud-Projekte wie die Deutsche Verwaltungscloud, die Pädagogische Cloud Infrastruktur (PCI) oder die Justizcloud genannt, die dafür die strukturelle Basis böten.

5.21 Informationen zu Aufzeichnungen und Transkription unter Microsoft 365

An was alles zu denken ist, wenn bei Videokonferenzen Aufzeichnungen und Transkriptionen erstellt werden sollen – insbesondere beim Einsatz von Microsoft 365, wird hier ausgeführt. Neben den Informationen, Stand Dezember 2025, gibt es auch einen Ausblick, was seitens Microsoft diesbezüglich angekündigt ist.
Auch hier finden sich Informationen zu rechtlichen Zulässigkeitsfragen bei einer Transkription.

5.22 Leitfaden zur Umsetzung von NIS2 im Gesundheitswesen

Wie sind im Gesundheitswesen die Vorgaben aus der NIS2-Richtlinie umzusetzen? Damit befasst sich dieser Leitfaden, der als Whitepaper veröffentlicht wurde. Er richtet sich an Führungskräfte im Gesundheitswesen, denn die Letztverantwortung für die Umsetzung der Vorgaben im BSI-Gesetz trifft die Geschäftsleitung von Gesundheitseinrichtungen, um sich nicht schadensersatzpflichtig zu machen. Zur Risikominimierung sieht das Gesetz deshalb auch eine regelmäßige Schulungspflicht für die Geschäftsleitung vor. An dieser Pflicht knüpft der Leitfaden an und erläutert in 18 Kapitel die Anforderungen und will praxisnahe Maßnahmen zur regelkonformen Umsetzung aufzeigen. Diese reichen vom Risikomanagement, über Meldepflichten und Aufsichtsmaßnahmen bis zu Aspekten der Cyberversicherungen und Krisenkommunikation.

5.23 39C3: Einige ausgewählte Beiträge

Üm IT-sicherheitsrelevante Mängel geht es im Vortrag „KIM 1.5: Noch mehr Kaos In der Medizinischen Telematikinfrastruktur (TI)“ und hier um „Maschinenlesbare Urteile! Open access für Juristen“.

5.24 TikTok trackt – Beschwerden dazu wurden eingereicht

Wie hier berichtet wird, wurden zwei Beschwerden gegen TikTok eingereicht. Es würden die Nutzer auch getrackt, wenn sie andere Seiten besuchen und Apps nutzen. Zudem weigere sich TikTok, vollständige Auskünfte nach Art. 15 DS-GVO zu erteilen.

5.25 Versicherungen: Code of Conduct zur Einwilligung und Schweigepflichtentbindung

Der Text selbst ist noch nicht veröffentlicht. Aus den Informationen der Datenschutzkonferenz (DSK) zur 110. Sitzung geht hervor, dass die DSK das Muster einer Einwilligungs- und Schweigepflichtentbindungserklärung für die Verarbeitung von Gesundheitsdaten in der Lebensversicherung und in der Krankenversicherung des GDV (Gesamtverband der Deutschen Versicherungswirtschaft e.V.) befürwortete. Außerdem sprach sich die DSK für eine Genehmigung des Entwurfs der Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft aus. Die Genehmigung wird durch die Berliner Beauftragte für Datenschutz und Informationsfreiheit erfolgen.

5.26.1 Impact Hub Vienna: FABB Social Media Solutions Workshops

14.01.2026, 18:00 – 21:00 Uhr, Wien: Eine Initiative aus dem Impact Hub Vienna will Lösungen für einen gesünderen Umgang mit Social Media fördern und lädt ein zu den FABB Social Media Solutions Workshops. Von November bis Dezember 2025 finden drei Workshops zur Entwicklung & Weiterentwicklung von Lösungsideen zu drei Kernproblematiken im Bereich Social Media statt: Informierte Nutzung, Gesunde Nutzung und Reduzierte Nutzung. Ein Abschlussevent folgt im Jänner (= Januar) 2026.

• 14. Jänner 2026, 18:00-21:00 – Abschlussevent & Ideenforum

Weitere Informationen und Anmeldung hier.

5.26.2 Stiftung Datenschutz: DatenTag – Besonderer Schutz für Kinder und Jugendliche -neu-

21.01.2026, 10:00 – 15:00 Uhr, Berlin und online: „Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz“, heißt es in der DS-GVO. Im Januar 2026 wird die Stiftung Datenschutz an ihrem DatenTag mit Expert:innen aus Wissenschaft und Praxis diskutieren, wie dieser besondere Schutz umgesetzt wird. Thematisiert wird die Rolle der Schulen, datenschutzgerechte Altersverifikation und welche Daten eigentlich Spiele-Apps für Kinder erheben. Weitere Informationen und Anmeldung dazu hier.

5.26.3 Universität Kassel „Digitale Gesellschaft - Eine Gestaltungsaufgabe" (Wintersemester 2025 / 2026)

In (ursprünglich) fünf Beiträgen aus unterschiedlichen Disziplinen beleuchten die Vorträge komplexe Fragen der Gestaltung der Technik der Zukunft. Dahinter stehen konkrete Einzelprobleme - aber immer auch die Frage: Wie wollen wir in Zukunft leben? Zwei Vorträge gibt es in Präsenz in Kassel, alle anderen erfolgen online:

• 21.01.2026 17:00 Uhr (Präsenz): "Wie sich erlernte von designter Technik unterscheidet: Die neue Agency generativer KI und das Erfordernis der strategischen Interaktion mit ihr"
• 11.02.2026 17:00 Uhr (online): "Zwischen Halluzination und Realität: KI-Regulierung entlang der Wertschöpfungskette"

Weitere Informationen und Anmeldung hier.

5.26.4 EAID zum „Digital‑Omnibus“ -neu-

28.01.2026, 19:00 – 20:30 Uhr, Berlin: Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) lädt herzlich zur Veranstaltung anlässlich des Europäischen Datenschutz‑Tages 2026 ein. Im Mittelpunkt des Abends steht der kürzlich von der Europäischen Kommission vorgestellte „Digital‑Omnibus“, mit dem zahlreiche europäische Rechtsakte im Digitalbereich aktualisiert und angepasst werden sollen. Der besondere Fokus liegt dabei auf den vorgesehenen Änderungen der Datenschutz‑Grundverordnung (DS-GVO). Handelt es sich um eine notwendige Harmonisierung und Vereinfachung oder kommt der Datenschutz dabei „unter die Räder“, wie Kritikerinnen und Kritiker meinen? Wegen der begrenzten Platzzahl wird um Anmeldung per E-Mail gebeten an anmeldung-26-01-28@eaid-berlin.de.
Weitere Informationen dazu hier.

5.26.5 Gautinger Internettreffen: Digitale Souveränität in der Jugendarbeit

24./25.03.2026, ab 18:00 Uhr, Gauting: Das Thema digitale Souveränität spielte in den letzten Jahren nur eine nachrangige Rolle in der öffentlichen Debatte – doch es ist ein immens wichtiges Anliegen, wie u.a. der Ausfall der AWS-Server im Oktober 2025 bewies, der diverse Dienste wie Signal, Slack und Snapchat beeinträchtigt hat. Auch bei Hard- und Software-Lösungen in der Bildungsarbeit (Dominanz von Microsoft 365 sowie iPad- bzw. Windows-Laptop-Klassen), bei Suchmaschinen (Google), KI-Tools (OpenAI) oder im Social Web (Meta) wird Monopolen bzw. Oligopolen oft sehr unkritisch gegenübergestanden, obwohl es alternative Lösungen gibt. Beim git26 (26. Gautinger Internettreffen) im März 2026 wird unter dem Titel „Digital und selbstbestimmt“ die Frage gestellt, wie eine souveräne Mediennutzung in der Jugendarbeit, der Schule und der Medienpädagogik gestaltet werden kann. Weitere Informationen hier und die Anmeldung dort.

5.26 Veranstaltungen

6.1 Digitale Bildung: Stakeholder Dialog

Am 4. Juni 2025 endete die Frist für das Einreichen von Anträgen zur Teilnahme am neu ausgerollten „Vergabeverfahren AIS: Adaptives Intelligentes System, 019/2025“, das das FWU Institut für Film und Bild in Wissenschaft und Unterricht gGmbH als Medieninstitut der 16 Länder in deren Auftrag durchführt. Geplant ist laut Projekt-Website eine „digitale Lernumgebung […], auf der adaptive Lernmaterialien bereitgestellt, erstellt und genutzt werden können. Gleichzeitig soll ein intelligentes Empfehlungs- und Tutorsystem die Lernenden unterstützen und die Lehrkräfte entlasten.“ Die Ausschreibung hat ein Volumen von rund 50 Mio. EUR. Das Projekt wird als „Länderübergreifendes Vorhaben“ aus dem DigitalPakt Schule finanziert. Die Umsetzung dieser Vorhaben wurde laut aktuellem Koalitionsvertrag um zwei Jahre verlängert. Im Vertrag bekennt sich die neue Regierung zur Verbesserung der Zusammenarbeit zwischen Bund, Ländern und Kommunen im Bildungsbereich sowie u. a. zum Ausbau der digitalen Infrastruktur (s. unten), zur digitalisierungsbezogenen Schul- und Unterrichtsentwicklung und zu selbst-adaptiven, KI-gestützten Lernsystemen.
Dazu gibt es veröffentlichte gemeinsame Position des Bündnis für Bildung, didacta, EdTechVerband und Verband Bildungsmedien.

6.2 Tatort: Online-Games, tatverdächtig: Jugendliche

Nach dieser polizeilichen Pressemeldung soll ein 16-jähriger Jugendlicher Mitglied einer Gruppe sein, die das Ziel verfolgte, möglichst viele Opfer durch gezielte Manipulation psychisch zu kontrollieren und diese dazu zu bringen, sich selbst zu verletzen.
Den Mitgliedern der Gruppe wird vorgeworfen im Internet, insbesondere über Gaming-Plattformen sowie in Online-Spielen, nach möglichen Opfern zu suchen und insbesondere Kinder und Jugendliche, die – aus Sicht der Gruppierung – besonders anfällig für Manipulationen sind, gezielt zu kontaktieren, um in der Folge durch das subtile und langsame Aufbauen einer scheinbaren Freundschaft oder einer romantischen Beziehung das Vertrauen ihrer Opfer zu gewinnen und so intime oder anderweitig kompromittierende Bilder und Videos zu erlangen. Es besteht der Verdacht, dass die Opfer unter Nutzung dieser Aufnahmen genötigt werden, immer extremere Handlungen vorzunehmen, um die Verbreitung des bereits existierenden Materials zu verhindern. Die Opfer sollen etwa dazu gezwungen werden sich selbst mit Messern oder Rasierklingen Symboliken der Gruppierung sowie den Nutzernamen des jeweiligen Mitglieds in die Haut zu ritzen. Die Opfer sollen zusätzlich vielfach dazu animiert werden diese Symboliken und Nutzernamen mit ihrem austretenden Blut an eine Wand zu schreiben (sog. Wall- oder Bloodsigns). Die Opfer sollen zudem dazu genötigt werden ihre Verletzungen und die Wallsigns zu filmen oder zu fotografieren und diese ihrem Peiniger zu übermitteln.
Dem in Untersuchungshaft sitzenden Jugendlichen wird vorgeworfen in mindestens elf Fällen den Kontakt zu potentiellen Opfern gesucht zu haben, um diese zu solchen Handlungen zu verleiten, wobei es in fünf Fällen zu selbstverletzenden Handlungen der Opfer gekommen sei.

6.3 Datenschutzrechtliche Einwilligungsfähigkeit von Minderjährigen

Mit Fragen der Einwilligungsfähigkeit Minderjähriger befasst sich dieser Blog-Beitrag. Grundsätzlich werden Minderjährige im Datenschutzrecht besonders geschützt (mehr dazu hier). Ab wann und wie ist mit einer denkbaren Einsichtsfähigkeit der jungen Menschen umzugehen und welche Anforderungen stellt sich bei der Einwilligung an die Träger elterlicher Sorge?
In seinem Fazit stellt der Verfasser fest, dass sich die Aufsichtsbehörden und auch die Kommentarliteratur nicht darüber einig sind, ab welchem Alter minderjährige Personen wirksam in die Fotoaufnahme und -Veröffentlichung einwilligen können sollten. Er spricht sich dafür aus, dass für Kinder unter 14 Jahren lediglich die Erziehungsberechtigten (stets gemeinsam) einwilligen. Bei Jugendlichen zwischen 14 und 16 Jahren sollte auf deren Einwilligung sowie die (ggf. stillschweigende) Einwilligung der Erziehungsberechtigten abgestellt werden. Jugendliche ab 16 Jahren sollten eigenständig einwilligen dürfen. Die Frage, inwieweit (Nutzungs-) Verträge mit Meta und Co. überhaupt wirksam sind, wenn sie durch eine minderjährige Person unter 18 Jahren geschlossen werden (siehe dazu §§ 104 ff. BGB), bleibe davon unberührt.

6.4 Diskussionen – nicht nur um den Digital Service Act

Anlässlich der Diskussionen um die Tragweite der Regularien des Digital Service Acts (DSA) wie Trusted Flagger und Reaktionen aus den USA dazu sei an die Debatte anlässlich des Anwaltstages erinnert, über die hier und dort berichtet wurde.

6.5 Bundesregierung und Databroker

Woher beziehen deutsche Sicherheitsbehörden wie das Bundeskriminalamt Handy-Standortdaten oder andere personenbezogene Daten? Das will die Bundesregierung nicht verraten, wie hier berichtet wird. Hintergrund der Äußerung ist eine Kleine Anfrage der Linken. Die Antwort der Bundesregierung wurde von Netzpolitik.org veröffentlicht. Darin ist zu lesen, dass die Bundesregierung nach sorgfältiger Abwägung der grundsätzlichen verfassungsrechtlichen Pflicht, Informationsansprüche des Deutschen Bundestages zu erfüllen, zu der Auffassung gelangte, dass die Fragen 5-8 aus Gründen des Staatswohls nicht für das Bundeskriminalamt, die Bundespolizei und die Zentrale Stelle für Informationstechnik im Sicherheitsbereich – auch nicht in eingestufter Form – beantwortet werden können.

6.6 Was brauchen Beschäftigte – Future Skills

Welche Anforderungen sollten Beschäftigte künftig erfüllen? Der aktuelle Future of Jobs Report des World Economic Forum zeigte bereits Anfang 2025: Nicht „lines of code“ sind entscheidend, sondern die Fragen, die wir stellen. Die Top-Skills 2025 sind tief menschlich: Analytisches und systemisches Denken; kreatives Problemlösen; Resilienz, Flexibilität und Agilität; Führung und soziale Einflussnahme; Neugier und lebenslanges Lernen; KI-Kompetenz; Motivation und Selbstbewusstsein. 59 % der heutigen Beschäftigten benötigen bis 2030 neues Training.
Was für wen passt, und welche Kompetenzen werden wirklich gebraucht? Dabei will dieses als Kooperationsprojekt entstandene Vergleichsportal helfen.

6.7 Privacy People

Die Dokumentation zu „Privacy“ aus US-amerikanischer Sicht ist bei YouTube abrufbar (Dauer ca. 1:16 Std). Die mit Unterstützung der IAPP entstandene Produktion widmet sich auch der Entwicklung eines Berufsstandes, der dabei entstand. Der Privacy Professionals.

6.8 Digitaler Unabhängigkeitstag

Auf seinem Jahreskongress in Hamburg hat der Chaos Computer Club (CCC) zu einem "digitalen Unabhängigkeitstag" aufgerufen. Nutzerinnen und Nutzer sollen so zu demokratiefreundlichen Angeboten wechseln. Der CCC und viele weitere Organisationen haben zu einem monatlichen "digitalen Unabhängigkeitstag" aufgerufen. Vom 4. Januar 2026 an will das Bündnis an jedem ersten Sonntag im Monat Menschen dazu ermuntern ihre digital genutzten Plattformen kritisch zu hinterfragen und zu demokratiefreundlichen Angeboten zu wechseln. Ziel der Aktion sei es, die Demokratie zu schützen. Dazu gibt es eine eigene Webseite mit FAQs. Bericht dazu hier.

7.1 GEW-Umfrage zum KI-Einsatz an Schulen

Der Einsatz von KI an Schulen ist Ländersache. Dazu hat die Gewerkschaft Erziehung und Wissenschaft eine Umfrage durchgeführt und die Ergebnisse hier veröffentlicht.

7.2 Schulalltag im Wandel – Beitrag einer Betroffenen

Das Projekt new[s]comer/SchulePlus der Nordwest Zeitung bringt journalistische Grundlagen in die Klassenzimmer und kombiniert Print mit digitalen Möglichkeiten. Daraus ist ein Beitrag einer Schülerin einer 12. Klasse entstanden, der sich mit Cybermobbing auf dem Schulgelände befasst.

7.3 JIM-Studie 2025

Die JIM-Studie 2025 wurde wieder durch den Medienpädagogischen Forschungsverbund Südwest (mpfs) veröffentlicht. Ob für die Schule, zur Recherche oder zur Beantwortung alltäglicher Fragen: Immer mehr Jugendliche verlassen sich auf die Hilfe von KI. Wie bereits im Vorjahr findet der häufigste Einsatz von KI im Zusammenhang mit Schulaufgaben statt: 74 Prozent der 12- bis 19-Jährigen nutzen KI-Anwendungen für Hausaufgaben oder zum Lernen (2024: 65 %). Deutlich gewachsen ist die Nutzung zur Informationssuche – sie stieg gegenüber 2024 um 27 Prozentpunkte auf 70 Prozent. Hinter klassischen Suchmaschinen wird ChatGPT bereits am zweithäufigsten als Recherche- und Informationstool verwendet. Die von KI gelieferten Informationen halten 57 Prozent dabei für vertrauenswürdig. Auch um sich erklären zu lassen, wie etwas funktioniert, setzt mehr als die Hälfte KI ein. Der Gebrauch „zum Spaß“ ist hingegen leicht rückläufig. Insgesamt zeigt sich: KI ist für viele Jugendliche in kurzer Zeit zu einem zentralen Alltagswerkzeug geworden.
Zugleich bleibt das Smartphone ihr ständiger Begleiter und zentrales Medium. Die durchschnittliche Smartphone-Bildschirmzeit der Jugendlichen liegt bei knapp vier Stunden täglich. Mit dem Alter nimmt sie zu, von unter drei Stunden bei den Jüngsten (12–13 Jahre) auf über viereinhalb Stunden bei den Volljährigen (18–19 Jahre). Doch obwohl die meisten Jugendlichen wissen, dass ihnen Pausen vom Smartphone guttun, fällt die Selbstregulierung im Umgang mit dem Gerät schwer. Besonders vor dem Zubettgehen hat das spürbare Auswirkungen: Rund 30 Prozent berichten, morgens oft müde zu sein, weil sie ihr Handy nachts zu spät aus der Hand legen.
Zu den Erkenntnissen der Studie gibt es Grafiken als PDF, als PowerPoint-Präsentation, eine Pressemitteilung und zentrale Ergebnisse als Infografiken. Ein Bericht zur JIM-Studie für Eltern findet sich auch hier.

7.4 Pädagogischer Medienpreis

Im Jahr 2025 wurden insgesamt 15 Medienprodukte für Kinder und Jugendliche mit einem “Pädagogischen Medienpreis 2025” ausgezeichnet. Das „SIN – Studio im Netz“ ehrt mit diesem Preis die innovativen Ideen der Entwicklerstudios und gibt Eltern und Fachkräften eine Empfehlungsliste als Orientierungshilfe an die Hand. Ausgewählt wurden die Preisträger von einer Jury, in der neben pädagogischen Fachkräften auch Kinder und Jugendliche mitentscheiden. Die ausgezeichneten Medien finden sich hier. Es finden sich darin eine Relax-App für Kinder, ein TikTok-Wiki-Kanal, ein SocialMedia-Erklär-Game, Spiele sowie zahlreiche Angebote aus dem Bereich der historischen und politischen Bildung. Die Auswahlkriterien sind dort hinterlegt.

7.5 Österreich: Umstieg der Justiz auf Open Source und den Einsatz von KI

In einem Interview mit dem Präsidenten des Handelsgerichts geht es um den Umstieg der Justiz in Österreich auf Open-Source und den Einsatz von KI. Hervorzuheben ist, dass er vorher unter anderem für die Digitalisierung im Oberlandesgericht Wien zuständig war.

7.6 Klicksafe: Überarbeitetes Material zu „Selfies, Sexting, Selbstdarstellung“

Jugendliche bewegen sich heute in digitalen Räumen, in denen Selbstbild, Identität und Beziehungen neu ausgehandelt werden – oft unter dem Einfluss von KI, Schönheitsidealen und Influencer-Kultur. Das neu überarbeitete Lehrmaterial „Selfies, Sexting, Selbstdarstellung. Wie soziale Medien die Bedürfnisse von Jugendlichen bedienen", in Kooperation mit Handysektor, greift diese Themen auf und bietet (nicht nur) pädagogischen Fachkräften einen Überblick über die meistgenutzten Plattformen wie TikTok, Instagram, Snapchat oder WhatsApp, praxisnahe Informationen zu Chancen und Risiken der Nutzung und drei erprobte Projekte für den direkten Einsatz im Unterricht.

7.7 TikTok und Kinder

Wer denkt, TikTok könne auch was mit den entsprechenden Einstellungen sein, sollte sich diesen Beitrag durchlesen. Trotz entsprechender Voreinstellungen werden Kinder nicht vor Inhalten geschützt, die nicht für Kinder geeignet sind. Und Marketingverantwortliche sollten sich ihrer Verantwortung und Vorbildfunktion endlich mal bewusst werden, ob dieses Medium wirklich erforderlich ist.

7.8 Medienkompetenz – nicht nur bei Kindern

In diesem Vortrag einer Publizistin in Kiel im Rahmen der Veranstaltung „Medienkompetenz Landesweit Festival“ (MEKO) geht es um Medienkompetenz – passenderweise unter dem Titel "Medienkompetenz wird uns nicht retten" (im Video ab Min. 12).
Schönes Zitat daraus:

„Die klügsten Köpfe unserer Generation arbeiten daran unsere Gehirne abhängig zu machen, um unsere Aufmerksamkeit an Coca-Cola zu verkaufen. Wir kriegen das nicht in den Griff, indem wir Achtklässlern beibringen eine Zweitquelle zu suchen“.

7.9 KI-Plattformen und Schule

An was ist bei KI-Plattformen im Schuleinsatz zu denken? Damit befasst sich dieser Blog-Beitrag.

7.10 Weihnachtswerbung und KI

Welche Werbung rund um Weihnachten kam an, welche floppte? Welche wurde mit KI erstellt und welche nicht. Wer sich dafür interessiert sollte diesen Beitrag lesen.

7.11 Airbus und die souveräne EU-Cloud

Airbus kündigte an in Zukunft bei sensiblen Daten auf eine souveräne EU-Cloud zu setzen, wie hier berichtet wird. ERP, Fertigungssteuerung und CRM sollen bald in einer souveränen europäischen Cloud betrieben werden.
Digitale Souveränität in der Schweiz und der EU ist auch das Thema einer Kanzlei in diesem Video-Beitrag auf YouTube (Dauer ca. 45 Min.).

7.12 Korruption und Transparenz – Deutschlands Platz im “Rule of Law-Index“

Deutschland stieg im „Rule of Law“-Index insgesamt um einen Platz ab – und ist nunmehr auf dem sechsten Platz, bei der Rechtsdurchsetzung auf dem achten. Ein Grund dafür sei, dass der derzeitige Korruptionsschutz nicht ausreiche. Damit befasst sich u.a. dieses Interview.

7.13 Mediathek der ARD: Alles ist Eins. Außer der 0

Der Mann mit dem Namen Wau Holland, auch Dr. Wau, war die Gründerseele des legendären Chaos Computer Clubs – kurz CCC. Vom Computer-Nerd zum Datenkünstler, vom Einsiedler zum Medienstar, vom subversiven Hacker zum Verfechter der Demokratie: Der energiegeladene Dokumentarfilm zeigt mit cleveren Montagen, wie die großen Fragen unserer Gegenwart das Leben und Wirken Wau Hollands auch schon damals durchzogen. Zu sehen in der Mediathek der ARD, mit ca. 1:29 Std. Dauer.

Franks Nachtrag: Ups, der Link auf die Mediathek geht nicht? Hier gibt es das Video auch bei Youtube.

7.14 Proton will Schweiz verlassen

Wie hier berichtet wird, plant der Internetdiensteanbieter Proton vorerst auf infrastruktureller Ebene die Schweiz zu verlassen. Aus Protest gegen neue Überwachungspläne zieht der verschlüsselte Mail- und VPN-Anbieter seine Server ab. Die Geschäftsführung sieht Grundrechte in Gefahr und warnt vor einem digitalen Polizeistaat. Proton habe begonnen, seine Infrastruktur aus der Schweiz zu verlagern. Server werden parallel in Deutschland und Norwegen betrieben, Systeme gespiegelt, der Ernstfall vorbereitet.

7.15 USA: Einreiseverbot für Europäer

Wie seitens der USA unmittelbar vor Weihnachten verkündet wurde, verhängte die US-Regierung ein Einreiseverbot u.a. gegen Personen, die bei HateAid aktiv sind, aber auch gegen einen früheren EU-Kommissar. Begründet wird dies damit, dass diese fünf Personen, organisierte Bemühungen angeführt hätten, um amerikanische Plattformen dazu zu zwingen amerikanische Standpunkte, die ihnen nicht gefallen, zu zensieren, zu demonetarisieren und zu unterdrücken. Diese radikalen Aktivisten und als Waffen eingesetzten NGOs haben die Zensurmaßnahmen ausländischer Staaten vorangetrieben – in jedem Fall gegen amerikanische Redner und amerikanische Unternehmen. Daher sei der Außenminister zu dem Schluss gekommen, dass ihre Einreise, Anwesenheit oder Aktivitäten in den Vereinigten Staaten potenziell schwerwiegende negative außenpolitische Folgen für die Vereinigten Staaten haben können. Bericht dazu hier.
Solidaritätsbekundungen gab es auch seitens der politischen Ebene, wie hier nachzulesen ist.

8.1 Apropos KI ...

Da ich heute noch veröffentlichen will, gebe ich mir nun nur zehn Minuten für Beiträge:

• Falschinformation durch KI: 45 Prozent der Antworten fehlerhaft – Ach, ach was... Nun ja, nach dieser Studie schon.
• Betrug mit KI-Büchern: In dieser Podcast-Folge können Sie ab Minute 27 etwas zu diesem absolut nervigen Trend hören.
• Da könnten wir ja fast zu KI-Vermeidern werden, oder? Wie, fragen Sie? Ganz einfach, nutzen Sie den Slop-Evader.

Alles weitere kommt dann vielleicht wirklich mal in späteren Blog-Beiträgen...

8.2 Preying Eyes

Als ich diese Überschrift gelesen habe, dacht ich mir "Da möchte ich schon gerne wissen, worum es darin wohl geht":
Preying Eyes: Wildlife Photography as a Form of Paparazzi Intrusion
Nacheem ich den Artikel gelesen habe, muss ich sagen, dass ich nicht sicher bin, ob ich diesen Artikel nicht schon mal vor Jahren verlinkt habe. Aber wenn ich es nciht weiß, wissen Sie es dann?
Es geht im Artikel übrigens u.a. um die Frage, ob nicht auch Tiere Persönlichkeitsrechte haben, und ob sie sich ihres Fotografiert werdens bewusst sind.

9.1 Keine Likes für Lügen – SID 2026

Der Safer Internet Day 2026 findet unter dem Motto „Keine Likes für Lügen“ statt, wie klicksafe auf seiner Webseite informiert. Um den 10. Februar 2026 herum gibt es Veranstaltungen und Informationsmöglichkeiten. klicksafe bietet dazu bereits jetzt Material u.a. zu rechtsextremen Online-Strategien zwischen Trend und Tarnung, Informationsmaterial für Jugendliche und Unterrichtsmaterial an.

9.2 „Freundin überwachen“ – besser nicht

Wer „Freundin überwachen“ googelt, bekommt möglicherweise Anzeigen für Apps ausgespielt, mit denen man Menschen digital stalken kann – meist sind Frauen betroffen. Letztes Jahr hat die Gesellschaft für Freiheitsrechte (GFF) deshalb schon bei der EU-Kommission und der BNetzA Beschwerde gegen Google eingelegt, wie die GFF berichtet.
Mit solchen Cyberstalking-Apps lässt sich die Kommunikation eines Smartphones komplett mitverfolgen und häufig sogar dessen Kamera remote aktivieren. Genutzt werden sie vor allem von Männern, die ihre Partnerinnen heimlich überwachen. Damit greifen sie tief in deren Privat- und Intimsphäre ein. Der Digital Services Act der EU verpflichtet Plattformen zu Maßnahmen, die das Risiko geschlechtsspezifischer Gewalt verringern. Stattdessen fördert Google mit Werbung weiterhin, dass vorwiegend Männer Cyberstalking-Apps nutzen, um ihre Partnerinnen zu überwachen – und verdient damit Geld.

9.3 Die normative Kraft des Faktischen – und Rechtsdurchsetzung bei der Digitalisierung

Anlässlich der Feierlichkeiten eines Berufsjubiläums gab es Ansprachen und Reden, von denen ich eine Keynote hervorheben möchte. Ausgehend von den Ausführungen des Staatsrechtler Georg Jellinek aus dem Jahr 1900 zur „Normative Kraft des Faktischen" wird ausgeführt, wie Wahrnehmungen zu Akzeptanzentscheidungen führen können, aber auch wie die Durchsetzung des Rechts dennoch unterstützt werden kann. Der 18-minütige Vortrag ist auf YouTube abrufbar.