Ausgabe 119 (KW 01&02/2026)

1.1 LfDI Rheinland-Pfalz: Mainzer Erklärung mit sechs Empfehlungen zur Patientenakte

Der LfDI Rheinland-Pfalz veröffentlichte zusammen mit der Verbraucherzentrale Rheinland-Pfalz sechs Empfehlungen für eine sichere, nutzenbringende, alltagstaugliche und erfolgreiche elektronische Patientenakte in Deutschland. Die „Mainzer Erklärung“ zur elektronischen Patientenakte wird von Expertinnen und Experten aus der Zivilgesellschaft, der Medizin, der IT-Sicherheit, der Wissenschaft und der Wirtschaft mitgezeichnet. Sie entstand auf der Grundlage der Veranstaltung „ePA für alle – Daten für alle?“. Die Mainzer Erklärung versteht sich als konstruktiver Beitrag zu einem stärkeren Erfolg der elektronischen Patientenakte in Deutschland.
Die sechs Empfehlungen der Mainzer Erklärung adressieren die folgenden Punkte:

1. Mehr interdisziplinäre Begleitung
2. Transparenz schafft Vertrauen
3. Weiterentwicklungen zulassen
4. Den Nutzen steigern
5. Digitale Kompetenzen stärken
6. Europäische Vernetzung ausbauen

1.2 LfDI Rheinland-Pfalz: Medienkompetenz und Engagement für Medienbildung

Der LfDI Rheinland-Pfalz informiert in seinem Newsletter, dass am 1. Dezember 2025 die Staatskanzlei Rheinland-Pfalz in einer Kick-Off-Veranstaltung den Startschuss für die Entwicklung einer neuen Medienkompetenzstrategie des Landes gab. Der LfDI Rheinland-Pfalz bringt sich hier in die inhaltliche Planung mit ein. Ein wichtiges Element sind dabei die Datenschutzworkshops des Landesbeauftragten. Sein Angebot dazu wird auf seiner Webseite gebündelt dargestellt.

1.3 BSI, LfDI Rheinland-Pfalz und LfDI Mecklenburg-Vorpommern: Datenschutz bei der Mediennutzung von Kindern

In der Audioclip-Reihe „#Update Verfügbar“ des BSI erklären die Ansprechpartner:innen des LfDI Rheinland-Pfalz und des LfDI Mecklenburg-Vorpommern in der Folge „#61 – Datenschutz ist Teamsport – digitale Verantwortung stärken“ (Dauer ca. 36 Min.) unter anderem, wie gefährlich TikTok-Trends sind und warum Aufklärung und verantwortungsbewusstes Handeln so wichtig sind.
Außerdem stellen sie Projekte vor, die Eltern und Lehrkräfte dabei unterstützen die Medienkompetenz der Kinder zu fördern. In den ersten zehn Minuten geht es um die KI-VO, ab der 12. Minute kommen die Gäste zu den o.g. Themen zu Wort.

1.4 LfDI Mecklenburg-Vorpommern: Handlungsbedarf – Sicherheitslücke „React2Shell“

Der LfDI Mecklenburg-Vorpommern weist auf den Handlungsbedarf aufgrund der Sicherheitslücke „React2Shell“ in weit verbreiteter Webtechnologie hin. Die bekannt gewordene Schwachstelle könne dazu führen, dass Angreifende Schadcode einschleusen oder unbefugt auf Inhalte von Webanwendungen zugreifen. Damit besteht auch das Risiko, dass personenbezogene Daten kompromittiert werden. Er verweist dabei auch auf weiterführende Informationen des BSI, wie z. B. zum IT-Grundschutz.

1.5 LfDI Mecklenburg-Vorpommern: Drittlandinformationen durch TikTok

Der LfDI Mecklenburg-Vorpommern informiert über eine Pressemitteilung, dass TikTok die Nutzer:innen über Datenübermittlungen nach China informieren müsse. Zuvor hatte die irische Datenschutzbehörde diese Übermittlung als rechtswidrig erklärt. Die Informationen umfasst auch den bisherigen Verfahrensverlauf und verlinkt auf die Entscheidung der irischen Aufsicht und die Entscheidung des Irischen High Courts dazu (wir berichteten).

1.6 LfD Niedersachsen: Datenschutz-Schulungen 2026

Der LfD Niedersachsen veröffentlichte seine bisher bekannten Termine zu Schulungen für 2026. Diese umfassen Themen wie KI, Social Media oder Beschäftigtendatenschutz. Zielgruppen sind öffentliche Stellen und Vereine. Die Schulungsangeboten sind hier aufgelistet. Für Vereine gibt es auch zusätzliche Angebote. Zudem wird ein Newsletter angeboten zu Änderungen und weiteren Angeboten.

1.7 Sachsen-Anhalt: Löschen von Daten bei privaten Geräten

Auch wenn die Tipps anlässlich der zu erwartenden Geschenke zu Weihnachten veröffentlicht wurden, haben sie doch auch noch danach Bestand: Wie lösche ich Daten bei privaten Geräten wie Smartphones, bevor ich sie weitergeben. Die LDI Sachsen-Anhalt informiert dazu und verweist dabei auch auf Veröffentlichungen des BSI wie eine „Schritt-für-Schritt-Anleitung“ für die verschiedenen Betriebssysteme oder ein vom BSI angebotenes animierte Erklärvideo „Smartphone-Daten löschen“. Auch die Website der Verbraucherzentrale mit Tipps zum Thema Löschen wird erwähnt.

1.8 Hamburg: Weihnachtspost von Unternehmen und Datenschutz

Ja, das kommt jetzt für manche etwas verspätet – aber die Hinweise sind auch ganzjährig aktuell: Wie können Unternehmen Weihnachts- und Neujahrspost datenschutzkonform versenden. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat dazu einen „Datenschutz-Knigge“ veröffentlicht.
Unternehmen dürfen Weihnachtsgrüße grundsätzlich per Post an ihre Kunden versenden. Da Namen und Adressen personenbezogene Daten sind, erfolgt die Verarbeitung in der Regel auf Grundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DS-GVO zur Pflege der Kundenbeziehung. Wichtig ist, dass Empfänger:innen jederzeit der Zusendung widersprechen können und dass sie auf ihr Widerspruchsrecht und die Datenschutzerklärung hingewiesen werden.
Weihnachtsgrüße per E-Mail gelten als Werbung, sodass hier auch das Gesetz gegen den unlauteren Wettbewerb (UWG) zu beachten ist. Solange kein Widerspruch gegen Werbesendungen vorliegt, kann der Versand zulässig sein, wenn die Adresse aus einem bestehenden Kundenverhältnis stammt, für eigene ähnliche Waren und Dienstleistungen geworben wird und die Empfänger:innen beim Erheben der Kontaktdaten und in jeder E-Mail auf ihr Widerspruchsrecht hingewiesen werden (§ 7 Abs. 3 UWG).
Im Rahmen der Datenschutzinformationen nach Artt. 13, 14 DS-GVO von Unternehmen sollte klargestellt werden, dass Kontaktdaten auch für saisonale Grüße im Rahmen der Kundenpflege verwendet werden. Der Versand solcher Grüße sollte außerdem im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden, um die Datenschutz-Compliance nachvollziehbar zu gewährleisten.
Auch im Beschäftigungskontext dürften Weihnachtsgrüße an private Anschriften versandt werden – etwa zur Stärkung des Teamgeists oder als Zeichen der Anerkennung. Die Verarbeitung personenbezogener Daten erfolge hier ebenfalls meist auf Grundlage des berechtigten Interesses des Arbeitgebers. Eine gesonderte Einwilligung der Mitarbeitenden zum Erhalt von Nachrichten an die Wohnanschrift ist nur in Ausnahmefällen nötig, solange der Umfang der Datenverarbeitung angemessen bleibt und keine entgegenstehenden Interessen bestehen. 
Wichtig sei auch hier: Mitarbeitende sollten transparent über die Verwendung ihrer Daten informiert und auf ihr Widerspruchsrecht hingewiesen werden. Beim Versand per E-Mail sind auch die UWG-Vorgaben und bestehende arbeitsvertragliche Regelungen zu berücksichtigen.

1.9 Hamburg: Fragenkatalog zur Interessenabwägung nach DS-GVO

Der HmbBfDI veröffentlicht einen Fragenkatalog zur Interessenabwägung nach der DS-GVO. Er will damit Verantwortliche dabei unterstützen genau zu prüfen und zu dokumentieren, worin ihr Interesse an der Datenverarbeitung besteht und ob die Rechte und Interessen der betroffenen Person angemessen berücksichtigt werden. Schritt für Schritt führt er durch die wichtigsten Prüfpunkte:

• Feststellung des berechtigten Interesses: Welche Ziele werden mit der Datenverarbeitung verfolgt und sind diese rechtlich zulässig?
• Erforderlichkeit: Ist die Verarbeitung notwendig und werden nur benötigte Daten erhoben?
• Interessenabwägung: Werden die Rechte und Interessen der betroffenen Personen ausreichend berücksichtigt und geschützt?
• Dokumentation und Compliance: Wie wird die Prüfung festgehalten und regelmäßig aktualisiert?

Der Fragenkatalog ist hier verfügbar.

1.10 Berlin: Anstieg der Datenschutzeingaben

Die BBfDI informiert, dass in 2025 so viele Menschen wie noch nie mit Beschwerden an die Datenschutzaufsicht wandten. Von Januar bis einschließlich November 2025 erreichten die Behörde 8.436 Eingaben. Darunter fallen 2.644 förmliche Beschwerden und 5.772 Anfragen betroffener Personen nach einer Beratung, zum Beispiel wie die eigenen Rechte auf Auskunft oder Löschung von Daten geltend gemacht werden können. Für Dezember stehen noch keine Zahlen zur Verfügung. Im Vergleich zu 2024 stelle das einen Anstieg von rund 50 Prozent dar. Einen Grund dafür sieht sie in KI-Chatbots, die die Datenschutzbehörden sichtbarer machten und das Formulieren von Eingaben erleichtern. Allerdings erlebe die BBfDI auch, dass von einer KI getroffene Vorhersagen über den Ausgang der eigenen Beschwerde falsche Erwartungen bei den Beschwerdeführer:innen erwecken. So seien die Aussagen und vor allem die Einschätzungen der Rechtslage oft unvollständig oder schlicht falsch.

1.11.1 KDSZ Dortmund: Tätigkeitsbericht für 2024 – Rechtsgrundlage für Ehrenamtliche

Mit dieser Frage befasst sich der Tätigkeitsbericht in Ziffer 2.1.1. Ehrenamtliche sind keine Beschäftigten i. S. d. §§ 4 Nr. 24, 53 KDG. Der Beschäftigtenbegriff wird in § 4 Nr. 24 KDG definiert. Ehrenamtliche fallen grundsätzlich nicht unter einen der in § 4 Nr. 24 KDG aufgezählten Fälle. Zwar ist die Aufzählung in der Norm nicht als abschließend zu verstehen – das folgt schon aus dem Wortlaut der Norm („insbesondere“).
Sie sind aber auch nicht als sonstige Beschäftigte zu werten. Um als sonstiger Beschäftigter i. S. d. Norm zu gelten, wird grundsätzlich ein entgeltlicher Charakter vorausgesetzt. So zum Beispiel bei Werkstudenten oder Schülern. Dieser entgeltliche Charakter liegt bei ehrenamtlichen Betreuern in der Regel nicht vor.
Die personenbezogenen Daten der Ehrenamtlichen müssen daher – bis zur Änderung des KDG in dieser Frage – auf Grundlage der allgemeinen Rechtsgrundlagen in § 6 KDG beziehungsweise § 11 KDG verarbeitet werden.

1.11.2 KDSZ Dortmund: Tätigkeitsbericht für 2024 – Austausch über Patientendaten per Microsoft

In Ziffer 2.1.3 wird auf die Problematik des Austauschs von Patientendaten über Microsoft Teams hingewiesen. Sofern dabei keine ausreichende Verschlüsselung eingesetzt würde, sollten gleichwertige technische oder organisatorische Maßnahmen zum Schutz der Daten getroffen werden. Zudem sollte der Grundsatz der Datenminimierung beachtet werden. Bei der Einwilligung als Rechtsgrundlage wird darauf hingewiesen, dass damit aber nicht die Anforderungen an ein ausreichendes Schutzniveau gelöst werden.

1.11.3 KDSZ Dortmund: Tätigkeitsbericht für 2024 – Nutzung der Kontaktdaten von Angehörigen verstorbener Gemeindemitglieder

Eine Pfarrei richtete die Frage an das Katholische Datenschutzzentrum, ob die in der Verwaltungssoftware im Pfarrbüro gespeicherten Adressdaten der Angehörigen von verstorbenen Gemeindemitgliedern für eine Einladung zu einer Gedenkmesse genutzt werden dürfen. Die Adressdaten der Angehörigen, die Ansprechpartner für die Seelsorger beim Trauerfall sind, werden bei dem initialen Kontakt erhoben und in der Software gespeichert.
Für die Speicherung der Adressdaten und die Verwendung dieser Adressdaten über den Trauerfall hinaus wird eine Rechtsgrundlage benötigt. Als taugliche Rechtsgrundlage sei nur die Einwilligung gemäß § 6 Abs. 1 lit. b) KDG ersichtlich. Eine Verarbeitung der Adressdaten über den Trauerfall hinaus dürfte daher nur aufgrund einer Einwilligung zulässig sein. Eine Speicherung und Verwendung der Adressdaten zum Zweck der Einladung zur Gedenkmesse sei ohne Einwilligung daher unzulässig, wie das KDSZ in Ziffer 2.1.5 ausführt.

1.11.4 KDSZ Dortmund: Tätigkeitsbericht für 2024 – Mitarbeiterexzess: Bildaufnahmen zu privaten Zwecken

Auch im kirchlichen Umfeld gibt es Mitarbeiterexzesse. Im Tätigkeitsbericht wird der Fall von Bildaufnahmen von Patienten mit dem Privathandy und Weitergabe der Aufnahmen über WhatsApp geschildert. Vor allem in Krankenhäusern und Pflegeeinrichtungen käme es vor, dass Mitarbeitende Fotos oder Videos zu privaten Zwecken während der Arbeit von den zu behandelnden oder zu pflegenden Personen machen. Diese Fotos und Videos werden dann anderen Personen im privaten Rahmen gezeigt oder per Messenger verschickt.
Dieses Verhalten sei datenschutzrechtlich unzulässig und verstoße wahrscheinlich auch gegen arbeitsrechtliche Vorgaben, wie im Bericht unter Ziffer 2.2.10 ausgeführt wird. Werden solche Fälle bekannt, kann dies arbeitsrechtliche Konsequenzen haben. Die Mitarbeitenden sind in solchen Fällen auch datenschutzrechtlich für ihr Handeln verantwortlich, da sie diese Aufnahmen nicht im Auftrag oder für ihren Arbeitgeber aufgenommen haben, sondern für private Zwecke und unter Überschreitung ihrer Pflichten und Aufgaben als Angestellte.
Dies bedeutet auch, dass sich eventuelle datenschutzrechtliche Bußgelder oder Schadensersatzansprüche gegen die Angestellten direkt richten können.
Auch wenn es sich hier um ein eigenmächtiges Handeln der Mitarbeitenden handelt, ist die kirchliche Einrichtung als Arbeitgeber nicht ganz aus dem Fokus der Datenschutzaufsicht. Die Aufsicht schaut in diesen Fällen, ob die Einrichtung, als die für die Verarbeitung der personenbezogenen Daten der behandelten oder betreuten Personen verantwortliche Stelle, alle notwendigen technischen oder organisatorischen Schutzmaßnehmen ergriffen hat, um solche Vorfälle bestmöglich zu verhindern. Hier sollten organisatorische Maßnahmen ergriffen worden sein, wie beispielsweise ein in einer internen Anweisung niedergeschriebenes Verbot, die behandelten oder betreuten Personen aus nicht-dienstlichen Gründen zu fotografieren beziehungsweise zu filmen. Außerdem sollte eine regelmäßige Schulung zu den wichtigen Datenschutzthemen rund um den konkreten Arbeitsalltag der Mitarbeitenden erfolgen, um u. a. darüber ein datenschutzgerechtes Verhalten der Mitarbeitenden zu fördern.

1.11 KDSZ Dortmund: Tätigkeitsbericht für 2024

Das katholische Datenschutzzentrum Dortmund hat auch kurz vor Weihnachten seinen Tätigkeitsbericht für das Jahr 2024 veröffentlicht. Eine Zusammenfassung dazu findet sich (wie immer) hier.

1.12 CNIL: Sind wir bereit für Datenschutz zu zahlen?

Sind wir bereit für Online-Dienste ohne gezielte Werbung zu bezahlen? Die französische Aufsicht CNIL hat eine Umfrage der französischen Bevölkerung zur Verwendung ihrer personenbezogenen Daten für die Online-Werbung in Auftrag gegeben. Der erste Artikel in einer Reihe von drei Publikationen befasst sich mit ihrer Bereitschaft, für den Zugang zu Dienstleistungen ohne gezielte Werbung zu bezahlen: 56 % der Befragten haben ein Video-on-Demand-Abo (für durchschnittlich 20 Euro pro Monat); 27 % der Befragten haben ein Audio-Streaming-Abo und 18 % der Befragten haben ein Gaming-Abo.
Je nach Dienst wären 24 % bis 33 % der Befragten bereit für aktuell „kostenlose“ Angebote wie Social Media, Online-Presse, Fitness-Tracking oder KI-Tools zu zahlen. Die Preisrange liegt zwischen 5,50 Euro bis 9,00  Euro pro Monat für werbefreie und trackingfreie Versionen, abhängig vom Service, der geboten werden würde. Dabei gaben 51 % der Befragten an, sie sehen Datenschutz als eines der drei wichtigsten Kriterien bei der Wahl eines digitalen Dienstes. Und 64 % passen aktiv ihre Tracking-Einstellungen an (bei den 15- bis 34-Jährigen sogar 71 %).
Das „Consent or Pay“-Modell sei nach Erkenntnissen der CNIL keine Randerscheinung mehr sondern habe sich flächendeckend durchgesetzt. Es gebe aber einen wachsenden Markt für Privacy-First-Angebote, der bisher nicht von Unternehmen genutzt werde.
In dem Folgebeitrag zu der Umfrage geht es dann um dem Marktwert von Daten: Initiativen zur „Monetarisierung“ personenbezogener Daten, die sich auf den Akt des Verkaufs der eigenen Daten als Ware beziehen, haben sich in den letzten Jahren entwickelt. Einige sind aus dem privaten Sektor oder der Wissenschaft hervorgegangen, andere stammen aus dem öffentlichen Sektor, zum Beispiel habe Brasiliens öffentliche Unternehmen dataprev die dWallet-Initiative ins Leben gerufen, die die Monetarisierung personenbezogener Daten erleichtern soll. Die CNIL erinnert daran, dass die „Monetarisierung“ personenbezogener Daten im Sinne der Übertragung von Eigentumsrechten nach geltendem Recht rechtlich nicht möglich ist, da Einzelpersonen nicht auf ihre Rechte über ihre Daten verzichten können (z. B. Recht auf Widerspruch, Auskunft usw.).
Sind Menschen in der Praxis mit der Idee vertraut ihre Privatsphäre zu monetarisieren? Wenn ja, zu welchem Preis und für welche Art von Daten? Diese Fragen wurden von CNIL durch eine Online-Umfrage untersucht, die vom 18. bis 23. Dezember 2024 unter einer repräsentativen Stichprobe von 2.082 französischen Einwohnern im Alter von 15 Jahren und älter durchgeführt wurde.
65 % der Befragten gaben an, dass sie bereit waren ihre Daten zu verkaufen. Unter ihnen würden nur 6 % zustimmen diese für weniger als einen Euro pro Monat zu verkaufen, während 14 % mehr als 200 Euro pro Monat erwarten würden. Die häufigste Bewertung liegt zwischen 10 und 30 Euro pro Monat, bevorzugt von 28 % der Befragten.
35 % der Befragten gaben jedoch an, dass sie ihre Daten überhaupt nicht verkaufen wollten, unabhängig vom Preis. Dies spiegelt für diese Befragten eine Ablehnung der Idee, personenbezogene Daten zu monetarisieren, wider. Somit existieren zwei Einstellungen zur Datenmonetarisierung nebeneinander. Für eine Minderheit von Einzelpersonen ist die Monetarisierung der Privatsphäre inakzeptabel und führt zu einem Verlust des Wohlergehens, unabhängig von der Höhe, die als Entschädigung angeboten wird.
Diese Ablehnung einer monetären Beziehung wird noch auffälliger, wenn diese Antworten mit denen verglichen werden, die in der vorherigen Veröffentlichung diskutiert wurden: "Sind wir bereit, für Online-Dienste ohne gezielte Werbung zu bezahlen?". Tatsächlich möchten 60 % der Personen, die nicht für kostenpflichtige Serviceoptionen, welche einen besseren Schutz personenbezogener Daten bieten, bezahlen möchten, ihre Daten auch nicht verkaufen.

1.13 CNIL: Weitere KI-Leitfäden nun auch auf Englisch

Die französische Aufsicht hat ihre KI-Leitfäden auf Englisch veröffentlicht. Es geht dabei um diese Themen:

• Rechtliche Grundlage des berechtigten Interesses: Maßnahmen im Falle der Datenerhebung durch Web Scraping
• Sicherstellung und Erleichterung der Ausübung der Betroffenenrechte
• Information der betroffenen Personen
• Annotierung von Daten
• Sicherstellung der Sicherheit der Entwicklung eines KI-Systems

Weitere Veröffentlichungen der CNIL zu der Thematik der Künstlichen Intelligenz auf Englisch finden sich hier.

1.14 Spanien: Zusammenarbeit von Aufsichtsbehörden am Beispiel Smart-TV

In einem Beitrag auf dem Blog des technischen Labors der spanischen Aufsicht AEPD wird die Zusammenarbeit mehrerer Aufsichtsbehörden (Italien, Liechtenstein, Spanien und Ungarn) zum Umgang mit personenbezogenen Daten durch Smart-TV beschrieben.
Wer ein Smart TV nutzt bekommt üblicherweise bei der Installation einen ersten Bildschirm mit den Nutzungsbedingungen und mit der Datenschutzerklärung, bei denen nur akzeptiert werden kann.
Die Aufsichtsbehörden prüften drei Smart-TVs verschiedener Hersteller. Der Internetverkehr zwischen Gerät und Router wurde in vier Momenten analysiert: Installation, "Stand-by"-Modus, Nutzung und Abschaltung. Alle Kontrollbehörden teilten die Ergebnisse und forderten außerdem zusätzliche Informationen von den Herstellern an.
In diesem Zusammenhang enthält der Abschlussbericht die gewonnenen Schlussfolgerungen, darunter der Datenverkehr in den vier genannten Phasen, sowie die Beteiligung unterschiedlicher Verantwortlicher wie der oben genannten Hersteller, Anwendungsentwickler, Betreiber des Betriebssystems, sowie Werbenetzwerke und Händler von Visualisierungsdaten, wobei es komplex ist die Verantwortlichkeiten jedes von ihnen zu bestimmen, oder das mögliche Vorhandensein einer Mitverantwortung. Darüber hinaus wird darauf hingewiesen, dass die Benutzer, wie bereits erwartet wurde, manchmal keine andere Wahl haben, als sowohl die Allgemeinen Geschäftsbedingungen wie auch die Datenschutzerklärung zu akzeptieren, und auch vorinstallierte Anwendungen finden, die nicht gelöscht werden können.
Das Dokument kommt zu dem Schluss, dass angesichts der Ergebnisse der Forschung sowie der Tatsache, dass sich die Antworten der Hersteller unterscheiden, der Rahmen für gemeinsames Handeln für die nächste Stufe nicht mehr notwendig ist. Es wird auch darauf hingewiesen, dass die untersuchten Hersteller außerhalb der Europäischen Union liegen und der One-Stop-Shop-Mechanismus nicht angewendet wird. Obwohl es nicht klar ausgedrückt wird, impliziert dies eine eingehendere Untersuchung dieser Hersteller, selbst mit der Befugnis die Sanktionsmacht auszuüben.

1.15 Spanien: Sanktion wegen unzureichender DSFA bei Gesichtserkennung

Die spanische Aufsicht AEPD hat ein Bußgeld gegen den spanischen Flughafenbetreiber AENA in Höhe von 10 Mio. Euro verhängt. Ausgangspunkt sind Vorwürfe hinsichtlich einer unzureichenden Datenschutz-Folgenabschätzung (DSFA), die der Aufsicht vorgelegt wurden. Diese wurde erstellt, als biometrische Gesichtserkennung an Flughäfen in den Jahren 2019 und 2022 im Rahmen von Pilotprojekten eingesetzt wurden.
Zwar bat AENA die AEPD zweimal um Rat, erfüllte jedoch nicht die Anforderungen des Art. 35 DS-GVO. Die AEPD kam zu dem Schluss, dass die von der AENA vorgelegten Bewertungen nicht den regulatorischen Anforderungen entsprachen und eine weitere Analyse erforderten.
Folgende Mängel werden festgestellt:

• Die DSFA enthalte keine systematische Beschreibung der beabsichtigten Verarbeitungsvorgänge oder der Zwecke der Behandlung. Eine DSFA müsse alle Phasen des Datenverarbeitungslebenszyklus beschreiben, wie z. B. Erfassung, Sortierung, Speicherung, Verwendung, Zuweisung, Sperrung und Löschung, zusätzlich zur Festlegung der endgültigen und spezifischen Zwecke der Verarbeitung. Diese Ziele müssten messbar sein und qualitativ einen wünschenswerten Zukunftszustand definieren. Die von der AENA vorgelegten Versionen der DSFA spiegelten jedoch nur den allgemeinen strategischen Zweck der Behandlung, ohne die spezifischen Zwecke oder die erforderlichen Behandlungsvorgänge anzugeben oder zu individualisieren, wider.
• Die DSFA fokussiere sich nur auf zwei allgemeine Zwecke im Zusammenhang mit Sicherheit und Effizienz in Boarding- und Access-Prozessen durch ein biometrisches Gesichtserkennungssystem. Dieses System zielt darauf ab die Qualität, Sicherheit und Agilität im Personenverkehr zu verbessern. Die DSFA beschreibe jedoch nicht die spezifischen Zwecke oder die spezifischen Verarbeitungsvorgänge personenbezogener Daten, die zur Erreichung dieser Ziele erforderlich sind.

Die AENA will die Entscheidung gerichtlich überprüfen lassen. Bericht dazu auch hier.

1.16 Irland: „Pause Before You Post”

Die irische Aufsicht DPC erinnert in ihrem Videoclip „Pause Before You Post“, dass Eltern eine Verantwortung dafür haben die Aktivitäten ihrer Kinder nicht ungefiltert im Netz zu verbreiten („Sharenting“). Der Clip visualisiert die Wahrnehmungen, die durch ungefilterte Veröffentlichungen der Informationen und Bilder von Kindern weltweit möglich sind.
Im Rahmen der Information dazu erinnert die DPC auch an weitere Veröffentlichungen und Hilfestellungen zu diesem Thema wie Die Grundlagen für einen kinderorientierten Ansatz zur Datenverarbeitung, Die Datenschutzrechte Meines Kindes und Kinder, Eltern und Datenschutz: Kann ich im Namen meines Kindes eine Beschwerde einreichen?

1.17 BSI: CRA-Dashboard

Der Cyber Resilience Act (CRA) ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind – etwas, das es bisher nicht gab. Ziel ist es die Cybersicherheit innerhalb der Europäischen Union zu erhöhen. Die neuen Vorschriften gelten in allen EU-Mitgliedstaaten und werden schrittweise umgesetzt.
Etwa 20 Kolleg:innen des BSI engagieren sich aktiv in europäischen Standardisierungsvorhaben rund um den CRA. Die Arbeiten sind in fast allen Bereichen fortgeschritten. Diesen Fortschritt der Standardisierungsarbeit soll das CRA-Dashboard übersichtlich aufzeigen. Zudem soll es sowohl Unternehmen als auch Regulierungsbehörden helfen den Überblick zu behalten und frühzeitig zu erkennen, wie weit die Implementierung des CRA fortgeschritten ist. Das BSI informiert zudem umfangreich auf seiner Webseite zum CRA.

1.18 BSI: Passwortmanager

Die Sicherheit von Passwortmanagern betrachtete das BSI zusammen mit dem FZI Forschungszentrum Informatik bei zehn ausgesuchten Angeboten. Dabei wurden an verschiedenen Stellen Verbesserungsbedarfe ermittelt: So haben beispielsweise drei von zehn der untersuchten Passwortmanager Passwörter in einer Weise gespeichert, die Herstellern theoretisch den Zugriff auf die Passworte ermöglicht. Dies erhöht prinzipiell die Angriffsfläche auf Seiten des Herstellers, die durch ergänzende kompensatorische Maßnahmen mitigiert werden muss. Zudem spricht das BSI die Empfehlung aus, dass bei cloud-basierter Speicherung der Daten im Passwortmanager Verbraucher:innen sich über den Ort der Speicherung und dessen Schutzniveau beim Hersteller informieren sollten.
Der Bericht findet sich hier.
Nahezu alle an der Untersuchung beteiligten Hersteller haben sich bereits mit der Beseitigung der festgestellten Defizite befasst, das BSI empfiehlt den Herstellern überdies ihre IT-Sicherheitsarchitektur zur besseren Überprüfbarkeit transparent zu machen.
Aus Sicht der Behörde überwiegt nach wie vor der Nutzen von Passwortmanagern die festgestellten Defizite bei Weitem, da die Risiken keine Passwortmanager zu nutzen, deutlich größer sind als die Implementierungsmängel einzelner Produkte. Das BSI informiert zu Passwortmanager grundsätzlich hier.

1.19 BSI: Verbrauchermarkt – Fokus E-Mail-Programme

Nach der Untersuchung der Passwortmanager hat das BSI auch die Ergebnisse einer Untersuchung der Cybersicherheit von Mailprogrammen veröffentlicht. Ein Großteil beruflicher Kommunikation findet über Mails stattfindet, zudem sind in den Programmen oftmals sensibelste Informationen gespeichert, die vor unbefugtem Mitlesen oder Manipulation geschützt werden müssen.
Die Auswertung der bei der Untersuchung gewonnenen Erkenntnisse ist im Abschlussbericht „IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus E-Mail-Programme“ festgehalten.
Das BSI hat zwölf gängige Mailclients auf ihre Cybersecurity hin geprüft – insbesondere, ob sicherheitsrelevante Eigenschaften wie Transport- und Inhaltsverschlüsselung, Spam-, Phishing- und Tracking-Schutz sowie Prinzipien der Usable Security umgesetzt werden. Außerdem betrachtet die Untersuchung, wie die Programme E-Mails und Zugangsdaten speichern und wie Anbieter mit möglichen Sicherheitslücken umgehen.
Die Untersuchung ergab Unterschiede in der Art und Weise, wie die Programme mit verdächtigen E-Mails und Anhängen umgehen oder ob sie Ende-zu-Ende-Verschlüsselung verwenden. Die meisten der getesteten Programme speichern E-Mails lokal auf dem Gerät. In manchen Fällen lagen die E-Mails dabei verschlüsselt, in anderen unverschlüsselt vor.
Insgesamt erfüllte eine Mehrheit der zwölf untersuchten Programme die gängigen Sicherheitsanforderungen. So verfügen alle untersuchten Programme über einfach zu bedienende Updatefunktionen. Die meisten E-Mail-Programme bieten zudem Spam- und Phishing-Filter an.

1.20 BSI: Zentrales Meldeportal seit 6. Januar 2026

Das BSI hat sein Portal für die zentrale Registrierungs- und Meldestelle für erhebliche Sicherheitsvorfälle offiziell freigeschaltet. Unternehmen, die unter das NIS-2-Umsetzungsgesetz fallen, sind gesetzlich verpflichtet sich im BSI-Portal zu registrieren und dort signifikante Cyber-Sicherheitsvorfälle zu melden.
Hierfür ist eine Registrierung bei Mein Unternehmenskonto (MUK) und eine anschließende Registrierung im BSI-Portal erforderlich. Für Freunde des subtilen Humors gibt ein Satz in der Pressemeldung Anlass zum Schmunzeln:

„Das BSI-Portal basiert auf einer Cloud-Infrastruktur von Amazon Web Services und wird sukzessiv zu einer Informations- und Austauschplattform mit Echtzeit-Daten und aktuellen Analysen für schnelle Reaktionsmöglichkeiten ausgebaut.“

Wer keinen Humor hat, freut sich schon auf zahlreiche Veranstaltungen und Stellungnahmen zur Digitalen Souveränität.

2.1 Ein Update zu: BGH zur Speicherdauer bei Auskunfteien

Der BGH hat eine Speicherdauer von drei Jahren durch eine Auskunftei auch nach Forderungsausgleich bei privaten Verträgen über Art. 6 Abs. 1 lit. f DS-GVO (Interessenswahrung) für zulässig erklärt (wir berichteten).
Mittlerweile liegt das Urteil des BGH vor.
In Rn. 57 f der Entscheidung stellt der BGH fest, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen "Verlust der Kontrolle" über ihre eigenen Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte. Ein solcher Verlust der Kontrolle kann ausreichen, um einen "immateriellen Schaden" im Sinn von Art. 82 Abs. 1 DSGVO zu verursachen, sofern die betroffene Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des "immateriellen Schadens" den Nachweis zusätzlicher spürbarer negativer Folgen erfordert. (...) Nach diesem Maßstab läge, wenn die erneute Prüfung des Berufungsgerichts einen Verstoß der Beklagten gegen Art. 6 Abs. 1 lit. f DS-GVO ergäbe, ein dem Kläger deswegen entstandener Schaden vor.

2.2 OLG Wien: Kein Schadenersatz bei Auskunftsverzug

Das OLG Wien lehnte im März 2025 eine Klage auf immateriellen Schadenersatz nach einem Verzug der Auskunftserteilung ab. Ein Betroffener verlangte Auskunft nach Art. 15 DS-GVO. Die zuständige Stelle reagierte spät – erst nach einer Beschwerde bei der Datenschutzbehörde. Der Betroffene klagte daraufhin auf Schadenersatz: einmal materielle Kosten in Höhe von 200 Euro für den Anwalt im Verfahren mit der Datenschutzbehörde und zusätzlich immateriellen Schaden in Höhe von 200 Euro mit der Begründung hinsichtlich seiner Sorge, seines Ärgers und seiner Verunsicherung. Das OLG Wien musste klären, ob solche Kosten und „Gefühlsbelastungen“ ersatzfähig sind.
Das OLG Wien hält die Kosten eines Verwaltungsverfahrens bei der Datenschutzbehörde in diesem Fall für nicht erstattungspflichtig, diese seien grundsätzlich selbst zu tragen. Eine bloße Verärgerung über eine verspätete Auskunft begründe keinen immateriellen Schaden. Art. 82 DS-GVO werde hier bewusst eng ausgelegt.

2.3 LGZRS Wien: Rechtsmissbrauch bei Geltendmachung von Schadenersatz (Google Fonts)

Das LG für Zivilrechtssachen Wien entschied gegen Kläger, die massenhaft Abmahnungen, Schadenersatz und Unterlassungsansprüche gegen Webseitenbetreiber mit Google Fonts geltend machten. Das Urteil ist noch nicht rechtskräftig, einer der Verfahrensbeteiligten hat es aber im Rahmen seines Berichts darüber hier veröffentlicht. Auch eine Audio-Erläuterung (Dauer 12. Min.) wird auf der Seite seines Berichts angeboten und die Thematik dabei leicht verständlich erklärt.
Das Gericht bezieht sich bei seiner Bewertung der Rechtsmissbräuchlichkeit auch auf die Ausführungen des Generalanwalts am EuGH im Verfahren C-526/24, Rn. 49 (Brillen Rottler, wir berichteten).
Nur ergänzend: In einem Verfahren, bei dem es auch um Google Fonts gibt, hat der BGH dem EuGH Fragen vorgelegt (BGH, Beschl. vom 28. August 2025 – VI ZR 258/24, wir berichteten auch darüber).

2.4 BVwG Österreich: Auslegung bei Geltendmachung von Betroffenenrechten

Das österreichische Bundesverwaltungsgericht hat aufgrund einer Klage die Sache zur erneuten Behandlung an die Datenschutzbehörde zurückverwiesen. Die Datenschutzbehörde sah in dem Verhalten des Verantwortlichen kein beanstandungswürdiges Vorgehen. Der Verantwortliche hatte eine E-Mail der betroffenen Person nicht als Berichtigungs- und Löschbegehren interpretiert. Der Inhalt der E-Mail lautete wie folgt (Fehler im Original):
„Guten Tag, bitte hinterlegen zu meinem Profil eine neutrale/allgemeine Anrede bzw. löschen die personalisierte Anrede! Vielen Dank & mit freundlichen Grüßen [...]“.
Die belangte Behörde verneinte das Vorliegen eines datenschutzrechtlichen Antrags. Die Formulierung der E-Mail lasse allenfalls auf eine Bitte nach Änderungen im Profil, nicht aber auf die Ausübung eines Betroffenenrechtes schließen. Das E-Mail enthalte keine Hinweise auf die Bestimmungen der DS-GVO, obwohl die beschwerdeführende Partei diese kenne.
Nach Feststellungen des Gerichts hat die belangte Behörde keinerlei ergänzende Ermittlungen zum gegenständlichen Sachverhalt angestellt, insbesondere hat sie keine Ermittlungen zum Empfang der Nachricht bei dem Verantwortlichen bzw. einer etwaigen Antwort durch diese angestellt.
Das öBVwG legt auch dar, dass der Betreff der E-Mail „Korrektur Anrede“ lautete. Dies lasse bereits unabhängig vom Inhalt der Nachricht klar erkennen, dass eine Richtigstellung der Anrede gewünscht wird. Es sei nicht nachvollziehbar, wenn die belangte Behörde ausführt, dass sich aus der Betreffzeile nicht ergebe, dass es sich (unter anderem) um einen Antrag auf Berichtigung handle, schließlich bedeutet das Wort „Korrektur“ geradezu Berichtigung. Hinzu kommt, dass aus dem Betreff bereits hervorgeht, was korrigiert werden soll, nämlich die Anrede der betroffenen Person.
Auch der Löschantrag sei der E-Mail zu entnehmen gewesen. Die Datenschutzbehörde muss nun erneut über die Beschwerde entscheiden.

2.5 Nationaler Gerichtshof Spanien: Bußgeld wegen unerlaubter Aufnahme einer Videokonferenz

Es mag Organisationen geben, die bei einer Beratung nach dem Hinweis auf eine drohende Rechtswidrigkeit erstmal zurückfragen, ob es dafür auch schon mal ein Bußgeld gab. Hinsichtlich einer Aufzeichnung einer Videokonferenz ohne datenschutzrechtliche Grundlage und ohne Umsetzung der erforderliche Informationspflichten kann nun auf eine Entscheidung aus Spanien verweisen werden.
Der Nationale Gerichtshof Spanien bestätigte (bei „ROJ“ eingeben: SAN 5026/2025) eine Entscheidung der spanischen Aufsicht AEPD und wies die eingelegte Beschwerde ab. Die spanische Fußballvereinigung Real Federación Española de Fútbol (RFEF) bekam im Jahr 2022 ein Bußgeld in Höhe von 100.000 Euro, weil sie eine Zoom-Videokonferenz im April 2020 ohne Einwilligung der Teilnehmenden aufzeichnete und ein weiteres über 100.000 Euro, weil die erforderliche Information nach Art. 13 Abs. 1 DS-GVO unterblieb. Zudem wurden Ausschnitte der Videokonferenz an Medien weitergegeben.

2.6 LG Darmstadt: Kein Vergütungsanspruch eines Sachverständigen bei KI-Texten

Das LG Darmstadt entschied, dass eine Vergütung allein schon deswegen auf Null Euro festgesetzt werden kann, weil ein Sachverständiger bei der Erstellung seines Gutachtens in erheblichem Umfang KI verwendet, ohne dies dem Gericht gegenüber zu deklarieren. Gefordert waren 2.374,50 Euro für ein medizinisches Gutachten zu Unfallfolgen, bei dem laut den Angaben im Urteil nicht erkennbar wurde, wer das Gutachten erstellt hat. Ein Bericht darüber ist hier nachzulesen.

2.7 Belgien: Einsatz von KI bei Gericht führt zu einer Geldstrafe

Das Firmengericht Gent hat eine Geldstrafe wegen Missbrauch von KI in einem Gerichtsverfahren verhängt. Ein Jurist brachte Gerichtsentscheidungen vor, die nicht existierten, und legte einen 22-seitigen Reorganisationsplan vor, der als "leer und inhaltslos" beschrieben wurde und aus Copy-Paste-Kopien von Managementhandbüchern, allgemeinen Erklärungen und Auszügen aus einer Verkaufsbroschüre bestand.

2.8 VG Hamburg: ChatGPT als unerlaubtes Hilfsmittel bei Prüfungen

Das VG Hamburg stellte in einem Verfahren fest, dass die Nutzung eines Hilfsmittels in einer bewerteten Arbeit, das wie ChatGPT die Eigenständigkeit der Bearbeitung beeinflusst, nur dann zulässig sei, wenn das Hilfsmittel von der Lehrkraft bzw. dem Prüfer ausdrücklich zugelassen wurde. Wenn eine nicht ausdrücklich zugelassene Hilfe durch Künstliche Intelligenz genutzt und das Ergebnis als eigene Leistung ausgegeben wird, liegt eine Täuschungshandlung vor. Für den Täuschungsvorsatz genügt der bedingte Vorsatz.
In dem Verfahren des einstweiligen Rechtsschutzes wendete sich der Antragsteller gegen die Bewertung einer schulischen Arbeit als Täuschungsversuch und begehrt zudem u.a. von der Antragsgegnerin es vorläufig zu unterlassen, gegenüber Dritten die Einschätzung als Täuschungsversuch zu kommunizieren. Im konkreten Fall ging es um eine Zusammenfassung einer Leseaufgabe in einer Fremdsprache durch einen Schüler der 9. Jahrgangsstufe.
Das Gericht führt dazu u.a. aus, dass ChatGPT ein Hilfsmittel darstelle, das jedenfalls beim Verfassen von Texten die Eigenständigkeit der Leistungserbringung beeinflusst. Denn in einer schriftlichen Aufgabe, insbesondere in einer Fremdsprache, sind das Verfassen von Texten einschließlich des Inhalts, der Struktur, des Satzbaus, der Wortwahl, der Grammatik und der Orthografie Prüfungsgegenstände. Die Zuhilfenahme künstlicher Intelligenz bei der Erstellung von Texten ähnelt der Erstellung einer Prüfungsarbeit durch eine dritte Person oder der Einreichung einer durch einen anderen Prüfling zu demselben Thema zuvor verfassten Prüfungsarbeit (Rn. 29).

2.9 LG Lübeck: Schadenersatz bei Einsatz von Meta Business Tools

Das LG Lübeck sprach einem Nutzer von Instagram einen immateriellen Schadenersatz in Höhe von 5.000 Euro gegenüber Meta wegen des Einsatzes von Meta Business Tools zu. Zu Einzelheiten verweise ich auf die ausführlichen Ausführungen in der Entscheidung, möchte aber einige Aussagen in eigenen Worten hervorheben. Dem Argument, wenn da jeder klage, sei das Geschäftsmodell tot, entgegnet das LG Lübeck in Rn. 103, dass dies der Rechtsordnung immanent sei, dass entsprechende Urteile als Rechtsreflex dann ggf. auf die ganze Geschäftspraxis ausstrahlen und diese in Frage stellen.
Es gibt noch weitere Urteile zu Meta Business Tools wie vom LG Leipzig (wir berichteten), LG Stuttgart (wir berichteten) oder LG Berlin (wir berichteten).

2.10 LG Berlin: Bildberichterstattung und Zuordnung zu Personen

Das LG Berlin entschied, dass ein Bildnis i.S.d. §§ 22, 23 KUG auch dann vorliegen könne, wenn der Abgebildete auf einer teilverpixelten Fotografie nur von Personen mit Sonderwissen erkannt werden kann. Im Rahmen eines einstweiligen Verfügungsverfahrens ging es um die Zulässigkeit der Veröffentlichung einer von der Antragsgegnerin verantworteten Bildberichterstattung. Die Antragsgegnerin verantwortet auch zwei Internetangebote. Gegen den Antragsteller lief ein Strafverfahren wegen einer Gewalttat. Der Antragsgegner veröffentlichte teilverpixelte Bilder des Antragsstellers.
Der Antragsteller ist der Ansicht, er sei auf den Fotografien auch in der veränderten Fassung erkennbar. Das ergebe sich schon daraus, dass der Angeklagte auf den Fotografien erkennbar sei – zum einen aufgrund der unzureichenden Anonymisierung, zum anderen aufgrund der Nennung seines sehr seltenen Vornamens und der Angaben zu seiner Geschäftstätigkeit, zur Tat und zum Strafverfahren. Er müsse nicht nachweisen, dass er auf den Bildnissen tatsächlich erkannt würde. Ein überwiegendes Interesse an der Veröffentlichung seines Bildnisses liege trotz der Singularität der Tat aus Gründen des Opferschutzes nicht vor.
Der Antragsgegner war der Ansicht, der Antragsteller sei auf den veröffentlichten Fotografien nicht aufgrund des Bildinhalts selbst erkennbar. Jedenfalls handle es sich bei den dargestellten Ereignissen um solche der Zeitgeschichte, so dass die Veröffentlichung zulässig sei. Der Antragsteller sei, wenn überhaupt, nur für einen sehr kleinen Personenkreis erkennbar. Sie könne wegen der singulären Tat des Angeklagten ein sehr hohes Berichterstattungsinteresse geltend machen, von dem der Antragsteller jedenfalls reflexhaft mitbetroffen sei.
Das LG Berlin stellte dazu in Ziffer I. 1. a) bb) fest, dass es sich bei den angegriffenen Bildern um Bildnisse des Antragstellers handele. Denn die Angaben der Textberichterstattung sind nicht lediglich ausnahmsweise und nachrangig bei der Beantwortung der Frage der Erkennbarkeit zu berücksichtigen, sondern immer schon dann, wenn auf einem Bild die Gesichtszüge des Abgebildeten nicht unmittelbar erkennbar sind, aber gleichwohl zu erkennen ist, dass es sich um eine Abbildung einer konkreten Person handelt. Deshalb sind in den Fällen, in denen sich die Frage der Erkennbarkeit überhaupt stellt, die das Bild begleitenden textlichen Informationen zum Bildinhalt in der Regel zu berücksichtigen. Das gelte auch hier.
Gemessen daran genügt hier für Erkennbarkeit des Antragstellers schon, dass in der flankierenden Textberichterstattung das abgebildete Tatgeschehen hinsichtlich der Tatzeit und des Tatorts, aber auch hinsichtlich der strafprozessualen Behandlung im anhängigen Strafverfahren durch konkrete Angaben spezifiziert worden ist. Deshalb sei der Antragsteller zumindest für diejenigen Personen, die an dem gegen den Täter der streitgegenständlichen Tat geführten Strafverfahren beteiligt waren – sei es als Justizangehörige, Zeugen, Besucher der Hauptverhandlung oder als sonstige Prozessbeteiligte – ein Erkennen des Antragstellers auf den streitgegenständlichen Bildern möglich. Darüber hinaus habe der Antragsteller unbestritten dargetan und glaubhaft gemacht, Mitglieder seiner Familie, Freunde, Nachbarn und Geschäftspartner wüssten von seiner in den streitgegenständlichen Artikeln beschriebenen geschäftlichen Situation und der zu seinem Nachteil begangenen Straftat und könnten deshalb die Bild- und Wortberichterstattung seiner Person zuordnen. Das genüge jeweils schon bei isolierter Betrachtung, erst recht aber in der Gesamtschau, um eine Erkennbarkeit des Antragstellers auf den streitgegenständlichen Bildnissen zu begründen. Es kommt hinzu, dass der Antragsteller jedenfalls den begründeten Anlass für die Annahme haben musste, er könne auf den Bildern identifiziert werden.
Nichts anderes folgt aus der teilweisen Verpixelung der streitgegenständlichen Fotografien, da sich diese Maßnahmen nur auf die Bereiche der Abbildungen beschränken, die den Kopf des Antragstellers zeigen. Auch insoweit verhindern die von der Antragsgegnerin ergriffenen Maßnahmen nicht die Erkennbarkeit einzelner Merkmale wie etwa dessen Haarfarbe. Die Verpixelung ist aber ohnehin ungeeignet, den Fotografien die Qualität eines Bildnisses i.S.d. §§ 22, 23 KUG zu nehmen, da der Antragsteller wegen der im Artikel enthaltenen zusätzlichen Identifikationsmerkmale auch weiterhin erkennbar bleibt.

2.11 OLG Frankfurt: Haftung eines Cookie-Drittanbieters bei fehlender Einwilligung des Seitenbesuchers

Das OLG Frankfurt entschied, dass das Verbot der Cookie-Speicherung nach § 25 TDDDG sich nicht auf „Anbieter“ im Sinne von § 2 Abs. 2 Nr. 1 TDDDG beschränkt; vielmehr gilt es gegenüber jedermann. Jedenfalls aber ist derjenige, der an der Erbringung der Telemedien (digitalen Dienste) eines Seitenbetreibers durch Setzung von (Drittanbieter-)Cookies mitwirkt, als Anbieter anzusehen.
Erfolgt die Setzung eines Cookies ohne Einwilligung des Seitenbesuchers, haftet der Cookie-Setzer auch dann als Täter, wenn er vertraglich gegenüber dem Seitenbetreiber vereinbart hat, dass die automatisierte Anforderung des Cookies nur bei Einwilligung des Seitenbesuchers erfolgen soll.
Die Setzung eines Cookies ohne Einwilligung kann einen Schmerzensgeldanspruch auslösen. Hat der Seitenbesucher die einwilligungslose Setzung des Cookies zu Beweissicherungszwecken bewusst herbeigeführt, war ihm bewusst, dass er mit einfacher Löschung der Cookies jegliche weitere Nachverfolgbarkeit für die Beklagte verhindern konnte. Dies rechtfertigt einen Schadensersatzanspruch in Höhe von 100,00 Euro.
Die Parteien stritten über die Zulässigkeit der Speicherung und des Auslesens von Cookies durch die Beklagte zu werblichen Zwecken auf bzw. von Endgeräten des Klägers ohne dessen Einwilligung.
Einige Aussagen sind hervorzuheben. Das OLG bestätigt, dass das Landgericht auch einen Rechtsmissbrauch zu Recht verneint hat. Das zielgerichtete Generieren von Verstößen sei ebenso wie der Testkauf grundsätzlich nicht zu beanstanden. Der Kläger sei insoweit nicht „agent provocateur“, sondern dokumentiere nur, wie sich die grundsätzlich handlungsbereite Beklagte verhalten hat. Genauso wie den Kläger hätte die Beklagte jeden anderen behandelt. Die Tatsache schließlich, dass der Kläger vier weitere Unternehmen wegen eines gleichartigen Verstoßes in Anspruch genommen hat, lässt nicht den Schluss darauf zu, dass er sachfremde Motive verfolge.
Das Landgericht hat zu Recht einen Unterlassungsanspruch aus §§ 1004, 823 Abs. 2 BGB i.V.m. § 25 Abs. 1 TDDDG bejaht. § 25 TDDDG ist eine Schutznorm im Sinne von § 823 Abs. 2 BGB.
Gemäß §§ 823 Abs. 2 S. 1, 1004 BGB ist derjenige zur Unterlassung verpflichtet, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt, wobei die für den zukunftsgerichteten Unterlassungsanspruch erforderliche Wiederholungsgefahr durch den einmal erfolgten Verstoß indiziert wird. Schutzgesetz i.S.v. § 823 Abs. 2 BGB ist eine Rechtsnorm, die nicht nach ihrer Wirkung, sondern allein nach ihrem Zweck und ihrem Inhalt zumindest auch dazu dienen soll den Einzelnen oder einzelne Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu schützen.
Nach §§ 25 Abs. 1, Abs. 2 S. 1 TDDDG ist es jedem Anbieter von elektronischen Informations- und Kommunikationsdiensten in Deutschland verboten Informationen in der Endeinrichtung eines Endnutzers zu speichern oder auf diese Informationen zuzugreifen, wenn nicht der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Vorschrift setze Art. 2 Ziff. 5 der Richtlinie 2009/136/EG, der sog. Cookie-Richtlinie um. Gemäß Erwägungsgrund 66 der Richtlinie kann das Speichern von Informationen auf den Endeinrichtungen eines Nutzers von legitimen Gründen wie bei manchen Arten von Cookies bis hin zum unberechtigten Eindringen in die Privatsphäre reichen. Daher sei es von größter Wichtigkeit, dass den Nutzern klare und verständliche Informationen bereitgestellt würden, wenn sie irgendeine Tätigkeit ausführen würden, die zu einer solchen Speicherung führen könnten. Die Vorschrift des § 25 Abs. 1 TDDDG dient folglich ihrem wortlautmäßigen Inhalt und ihrem Zweck nach dem Schutz der Privatsphäre des Endnutzers und letztendlich dem Grundrecht auf informationelle Selbstbestimmung. Daneben dient sie auch dem Schutz des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.
Im Weiteren führt das OLG (in Ziffer 4e) aus, dass die Beklagte auch Verpflichtete des § 25 TDDDG sei.
Die Verpflichtung nach § 25 TDDDG sei nicht auf „Anbieter“ beschränkt wie andere Verpflichtungen des TDDDG (zB § 19); § 25 TDDDG verbietet vielmehr jedermann den Zugriff auf vernetzte Endeinrichtungen ohne die Einwilligung des Endnutzers. Der Tatbestand ist durch die Begriffe „Speicherung“ und „Zugriff“ rein verhaltensbezogen formuliert. Normadressat des Verbots aus § 25 und zugleich Einwilligungsadressat in den Fällen des Abs. 1 bzw. gesetzlich Zugriffsermächtigter in den Fällen des Abs. 2 ist der Akteur, der die konkrete Speicher- oder Zugriffshandlung beabsichtigt. Das kann der Anbieter eines Telemediendiensts sein, ebenso aber auch andere wie Zugriffsinteressierte unabhängig von ihren Motiven. Das Verbot adressiert auch und insbesondere Gefahren wie etwa eingeschleuste Spähsoftware oder Viren (Erwägungsgrund 66 S. 1 Cookie-RL), die üblicherweise nicht von Telemedienangeboten ausgehen. Adressat des § 25 Abs. 1 TDDDG sei daher jede natürliche oder juristische Person, die kausal die Ausführung des die Speicherung oder den Zugriff auf die Endeinrichtung umsetzenden Quelltextes veranlasst und der darüber hinaus bei wertender Betrachtung die mit dem Fernzugriff einhergehende Realisierung der Distanzgefahr zuzurechnen ist. Das seien regelmäßig die Personen, die den Quelltext selbst ausführen beziehungsweise ausführen lassen oder für den Endnutzer zum Abruf bereithalten oder bereithalten lassen. Ohne Bedeutung ist, ob diese Personen Anbieter eines Telemediums sind, und von allenfalls indizieller Bedeutung, ob sie datenschutzrechtlich Verantwortliche sind.
Im Übrigen wäre die Beklagte auch als „Anbieterin“ i.S.v. § 2 Abs. 2 Nr. 1 TDDDG anzusehen. Danach ist „Anbieter von Telemedien“ jede natürliche oder juristische Person, die eigene oder fremde Telemedien erbringt, an der Erbringung mitwirkt – wobei der Begriff des „Mitwirkenden“ alle Arten von Hilfeleistung erfassen soll – oder den Zugang zur Nutzung von eigenen oder fremden Telemedien vermittelt. § 2 Abs. 2 Nr. 1 TDDDG liegt ein funktionales Verständnis zu Grunde, welches in der Praxis zu einem sehr weiten Anwendungsbereich des TDDDG führt, so z.B. auch der Hosting-Provider. Daher ist auch die Beklagte als Anbieterin anzusehen, da sie an der Erbringung der Telemedien der Seitenbetreiber durch die Setzung der Cookies mitwirkt.
Dem Kläger wurde durch das OLG Frankfurt ein Schadenersatz in Höhe von 100 Euro aus Art. 82 Abs. 1 DS-GVO zugesprochen.

2.12 Belgien: „Vernünftige Erwartungen“ bei Direktwerbung und Anforderungen an Art. 24 DS-GVO

Hier wird über eine Entscheidung des belgischen Court of Appeal in Brüssel (2025/AR 978 vom 17.12.2025 – auch in diesem LinkedIn-Post veröffentlicht) berichtet, das sich mit Fragen der postalischer Direktwerbung durch Unternehmen befasst, mit denen die betroffene Person keine direkten vertraglichen Beziehungen hat.
Ein belgischer Einwohner hatte unaufgefordert Direktwerbung von einem Unternehmen erhalten, mit dem er keine vorherige Beziehung hatte.
Die Marketingkampagne beinhaltete das Versenden von Postwerbung an Personen in bestimmten Altersgruppen und die Einladung zur Teilnahme an Gesundheitsscreening-Programmen. Ein Unternehmen erhielt Adressdaten durch zwischengeschaltete Organisationen, die schließlich aus belgischen öffentlichen Aufzeichnungen stammen. Der Beschwerdeführer stellte die fehlende Einwilligung in Frage und stellte in Frage, wie die Unternehmen seine personenbezogenen Daten erhalten haben.
Die belgische Prozesskammer der Datenschutzaufsicht entschied am 24. April 2025, dass beide Unternehmen gegen grundlegende DS-GVO-Grundsätze verstoßen hätten. Die Behörde stellte fest, dass die Unternehmen ihre Interessen nicht nachweisen konnten, um gegenüber den Grundrechten des Beschwerdeführers zu überwiegen. Die Prozesskammer stützte ihre Feststellung teilweise auf den Titel des Wahlkampfbriefs, den sie als potenziell irreführend bezeichnete, weil die Empfänger glauben könnten, dass der Absender Aufgaben im öffentlichen Interesse erfüllte. Darüber hinaus kam die Behörde zu dem Schluss, dass die Zielgruppe, die auf der Zugehörigkeit der Altersgruppe basiert, Gefühle erzeugte, die als "invasiv" wahrgenommen werden konnten.
Das Gericht hat beide Elemente der Begründung der belgischen Aufsicht zurückgewiesen. Es stellte fest, dass der Wortlaut des Briefes, wenn er im Kontext untersucht wurde, keine Eindrücke von der Zugehörigkeit der Regierungsbehörde erzeugte. Das Gericht erklärte, dass das Schreiben nicht derart sei, dass er die Durchschnittsverbraucher über seinen kommerziellen Charakter oder die Kapazität des Absenders irreführe.
Das Gericht widersprach damit grundsätzlicher de Charakterisierung altersbedingter Gesundheitskampagnen als „invasiv“. Die Ausrichtung auf Werbung für bestimmte Altersgruppen stelle die Standard-Marketingpraxis dar. Das Gericht zitierte Beispiele wie Universitäten, die Schulabsolventen kontaktieren, Banken, die an die Kinder der Kunden über Jugendkonten schreiben, und Gesundheitsorganisationen, die altersgerechte Bevölkerungsgruppen erreichen. Das Gericht betonte, dass der Brief im konkreten Fall nicht nur kommerziellen Interessen diente, sondern auch positive Folgen für die Empfänger haben könnte, indem er eine frühzeitige Erkennung von Gesundheitszuständen bietet.
Art. 6 Abs. 1 lit. f DS-GVO erlaube die Verarbeitung, wenn dies für berechtigte Interessen von Verantwortlichen oder Dritten erforderlich ist, es sei denn, die Interessen oder Grundrechte und -freiheiten der betroffenen Personen überwiegen diese Interessen. Die Bestimmung erfordere drei kumulative Bedingungen: das Bestehen berechtigter Interessen, die Verarbeitung der Notwendigkeit dieses Interesses und die Bestätigung, dass die Interessen der betroffenen Personen die Interessen des Verantwortlichen nicht überwiegen.
Die Interessen und Grundrechte der betroffenen Personen können die Interessen der Verantwortlichen überwiegen, insbesondere wenn personenbezogene Daten unter Umständen verarbeitet werden, in denen die betroffenen Personen eine solche Verarbeitung nicht vernünftigerweise erwarten. In Erwägungsgrund 47 der DS-GVO werde ausdrücklich festgelegt, dass die Verarbeitung personenbezogener Daten für Direktmarketingzwecke als legitime Interessenanforderungen angesehen werden kann.
Das Gericht stellte fest, dass die Datenschutzaufsicht nicht alle spezifischen Umstände berücksichtigte, als es entschied, dass das Unternehmen nicht nachgewiesen habe, dass seine Interessen die Rechte des Beschwerdeführers überwiegen. Die Richter stellten fest, dass die Verarbeitung über die bloßen vernünftigen Erwartungen hinaus unter Berücksichtigung des Umfangs, der Konsequenzen und der potenziellen Risiken für die Grundrechte bewertet werden muss. Vernünftige Erwartungen könnten allein nicht automatisch sicherstellen, dass berechtigte Interessen des Verantwortlichen die Rechte der betroffenen Personen überwiegen, insbesondere wenn die Verarbeitung die durch die EU-Grundrechtecharta garantierten Grundrechte verletzen könnte. Das bloße Fehlen angemessener Erwartungen – wie z.B. wenn kein Vertragsverhältnis zwischen den Parteien besteht – erweise sich jedoch als unzureichend, um sicherzustellen, dass die Interessen der betroffenen Personen automatisch die Interessen der Verantwortlichen überwiegen. Dies werde besonders relevant, wenn kein Grundrecht oder Freiheitsverstoß nachgewiesen wurde, wenn der Verarbeitungsbereich begrenzt bleibt, wenn keine sensiblen Informationen verarbeitet werden und wenn die Konsequenzen für betroffene Personen positiv sein können. Die gesundheitlichen Vorteile, die durch die Früherkennung geboten werden, stellten einen entscheidenden Unterscheidungsfaktor dar, den die Datenschutzaufsicht nicht ausreichend abgewogen hatte.
Das Gericht stellte zudem auch fest, dass Art. 24 DS-GVO nicht so ausgelegt werden könne, dass er den Verantwortlichen die förmliche Verpflichtung auferlegt, die Rechtmäßigkeit der ursprünglichen Verarbeitung und die Bedingungen, unter denen personenbezogene Daten von Dritten weiterverarbeitet werden können, unabhängig zu überprüfen. Die Richter betonten, dass Art. 24 "angemessene" Maßnahmen unter Berücksichtigung von Art, Umfang, Kontext, Verarbeitungszwecken und Risiken für die Rechte und Freiheiten natürlicher Personen vorschreibe.
Die Grundsätze der DS-GVO zur Risikoprävention und die Verantwortlichkeitsgrundsätze verfolgten teleologische Ansätze, die nach effektiven Ergebnissen und nicht nach formalistischer Einhaltung bestimmter Verfahren strebten. Verantwortliche, die sich auf die Begründung von Art. 6 Abs. 1 lit. f DS-GVO stützten, müssten nachweisen, dass die drei kumulativen Bedingungen erfüllt sind, und zeigen, dass die Verarbeitungsgrundlagen selbst aus gültigen Rechtsgründen bestehen, ohne dass eine förmliche Überprüfung der vorgelagerten Datenrechtmäßigkeit erforderlich sei.

2.13 EuGH-Vorschau: Anforderungen an die Zweckbestimmung bei ETIAS

Aus Belgien kommt im Verfahren 8354 des belgischen Verfassungsgerichtshofes eine Vorlage an den EuGH, welche Anforderungen an Art. 5 Abs. 1 lit. b DS-GVO hinsichtlich der Zweckbestimmung zu stellen sind.
Im Ausgangsverfahren geht es um ETIAS (European Travel Information and Authorisation System), das Europäische Reiseinformations- und Genehmigungssystem (Informationen der BfDI zu ETIAS hier). Es stellt eine EU-Vorüberprüfung für visumbefreite Drittländer dar. Vor dem Übertritt der EU-Grenzen müssen Reisende sich online anmelden. Das System prüft dann, ob sie ein Sicherheitsrisiko, ein Risiko für illegale Einwanderung oder ein Gesundheitsrisiko darstellen.
ETIAS verarbeitet damit umfangreiche persönliche Daten: Namen, Reisedokumente, Ausbildung, Beruf und Antworten auf Sicherheitsfragen. Das System verwendet algorithmische Screening-Regeln, die im Wesentlichen nach Alter, Geschlecht, Nationalität, Wohnort, Bildung und Beruf profiliert werden. Es berücksichtigt mehrere EU-Datenbanken wie SIS, VIS, Europol, Interpol, Eurodac, ECRIS-TCN.
Die Frage, die der EuGH nun klären muss, ist, wie konkret eine Zweckbindung bei „Sicherheitsrisiko“ ausgeführt sein muss. Ein Aktenzeichnen des EuGH für die Vorlageanfrage beim EuGH ist noch nicht bekannt, aber die Vorlageanfrage an sich ist hier unter Nr. 49 angekündigt.

2.14 EuGH-Vorschau: Fragen zur Beschwerdebearbeitung durch Aufsichtsbehörden

In dem Verfahren vor dem EuGH C-730/25 (Vinted) geht es um Fragen, die im Rahmen aufsichtlicher Tätigkeit anfallen, z.B., ob eine Aufsichtsbehörde auch noch tätig werden darf, wenn bei dem konkreten Vorwurf bereits die Verjährungsfristen des Mitgliedsstaates eingetreten sind, ob eine Aufsichtsbehörden bei einer Untersuchung einer Beschwerden auch weitere Verstöße betrachten darf, die dabei bekannt werden, ob Verantwortliche in Rahmen einer Untersuchung zur Speicherung aller verfügbaren Daten der betroffene Person verpflichtet sind, aber auch welche Anforderungen an einen Löschantrag einer betroffenen Person zu stellen sind und inwieweit bei einem „Shadow Banning“ eine Informationspflicht besteht. Mit „Shadow Banning“ wird das vollständige oder teilweise Blockieren eines Benutzers beziehungsweise seiner Inhalte in einer Online-Community bezeichnet, sodass für den Benutzer nicht ohne Weiteres ersichtlich ist, dass er gesperrt oder gedrosselt wurde.
Im Ausgangsfall, der nun vor Gericht behandelt wird, verhängte die litauische Aufsicht im Jahr 2024 gegen die Online-Plattform eine Geldstrafe von 2.385.276 Euro wegen Verstößen gegen die DS-GVO. Das Unternehmen habe es versäumt die Anfragen der Antragsteller zur Datenlöschung ordnungsgemäß zu beantworten, unzureichende Informationen bereitgestellt, "Shadow Banning" ohne Transparenz oder Rechtmäßigkeit betrieben und keine Einhaltung der Verantwortlichkeitsprinzipien nachgewiesen. Darüber hinaus konnte das Unternehmen nicht nachweisen, dass es gemäß dem Antrag des Antragstellers auf das Zugangsrecht gehandelt oder sich entsprechend geweigert hatte.

2.15 EuGH-Vorschau: Fragen zur Datenportabilität und Auskunft (C-676/25)

Der EuGH darf sich in dem Vorlageverfahren C-676/25 (Viva Credit) aus Bulgarien mit Fragen zur Auskunft, Dokumentenherausgabe nach Art 15 Abs. 3 DS-GVO und dem Verhältnis zur Datenportabilität nach Art. 20 DS-GVO befassen
So lautet eine Frage, ob das Recht auf Datenübertragbarkeit nach Art. 20 Abs. 1 DS-GVO dahin auszulegen sei, dass es auch das Recht der betroffenen Person umfasst, eine vollständige Kopie der Darlehensverträge in Papierform zu erhalten, bei deren Abschluss sie ihre personenbezogenen Daten bereitgestellt hat, wenn die Verträge beendet sind und die auf ihrer Grundlage erhobenen/verarbeiteten Daten vom Verantwortlichen ausschließlich für die Zwecke und die Dauer der Anwendung von Maßnahmen zur Bekämpfung der Geldwäsche gespeichert werden.

3.1 EU AI Office: Code of Practice on marking and labelling of AI-generated content

Das EU AI Office veröffentlichte den ersten Entwurf eines Code Of Practice (CoP) zur Umsetzung von Art. 50 KI-VO. Zur Zeitleiste der weiteren Planung siehe hier. Der Entwurf enthält Maßnahmenvorschläge wie zukünftig KI-generierte (Medien-)Inhalte bzw. Deepfakes gekennzeichnet werden sollen. Einer der Ansätze umfasst die Einführung eines EU-weit einheitlichen Icons. Die Anforderungen daran sind nicht ohne (Seite 24 des Entwurfs). So soll u.a. das Icon so gestaltet sein, dass natürliche Personen die Möglichkeit haben, die verschiedenen Grade betrügerischer Inhalte zu unterscheiden (mit Verweis auf weitere Anforderungen). Auch sollen bei der Interaktion mit dem System weitere Informationen darüber bereitgestellt werden, was genau durch KI generiert oder manipuliert wurde. Zusätzlich sollte eine einheitliche Offenlegung in Form eines aus zwei Buchstaben bestehenden Akronyms unterstützt werden, das sich auf künstliche Intelligenz bezieht und auch Buchstaben enthalten kann, die sich auf die Übersetzung in die Sprachen der Mitgliedstaaten beziehen (z. B. AI, KI). Die Anbringung an einer festen Position, die dem Inhaltsformat und dem Verbreitungskontext angemessen ist, wird ebenfalls angedacht. Zudem sollte es so umgesetzt werden, dass das Icon den Genuss künstlerischer, kreativer, satirischer oder fiktionaler Werke nicht beeinträchtigt. Schließlich sollten interaktive Audio-Offenlegungen möglicherweise enthalten sein, die in reine Audioinhalte integriert werden könnten. Natürlich sollten auch die Anforderungen an die Barrierefreiheit beachtet werden.
Unter uns: Wir reden hier über die Vorstellungen einer EU-Kommission, die seit fast 10 Jahren unfähig war nach Art. 12 Abs. 8 DS-GVO delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.

3.2 EU: „Demokratieschild“ und Faktenprüfer

Die EU möchte einen Europäischen Schutzschild für die Demokratie errichten und durch die EU-Strategie für die Zivilgesellschaft den Weg für stärkere und resilientere Demokratien ebnen. Dazu will sie ein Netz von Faktenprüfern einrichten und den Kampf gegen Desinformation stärken, wie hier berichtet wird. Social-Media-Algorithmen bleiben unangetastet.

3.3 Digital Fairness Act: Zusammenfassung der bisherigen Konsultation

Die EU-Kommission hat eine Zusammenfassung der bisherigen Konsultation zum Digital Fairness Act erstellt, die hier veröffentlicht wurde. Ein Bericht findet sich dazu hier.

3.4 Ministerpräsidentenkonferenz: Staatsmodernisierung

Dass sich die Ministerpräsidentenkonferenz (MAK) zusammen mit dem Bundeskanzler Anfang Dezember 2025 auf Maßnahmen zur Modernisierung und Entbürokratisierung zusammen mit dem Bundeskabinett verständigen, ist bekannt. Der vollständige Inhalt ist hier hinterlegt. Besonders wahrgenommen wurden die Aussagen zur Staatsmodernisierung. Hier einige Details daraus:

• So finden sich hier ab der Zeile 158 Aussagen zur Reform der Datenschutzaufsicht, aber auch irritierende Aufgaben, wie dass der Bund die Aufhebung der Pflicht zur Bestellung eines Landesdatenschutzbeauftragten prüfe.
• Bis Ende 2027 soll der Bund im BDSG eine neue Regelung vorschlagen, die es öffentlichen Stellen zum Zwecke des Trainings und Einsatzes von KI erlaubt, personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, jedenfalls bis im Rahmen der aktuellen Reformbestrebungen der Europäischen Kommission eine Regelung in der DSGVO erfolge.
• Bis Ende 31.12.2026 soll eine Aufhebung des § 38 Abs. 1 BDSG ins Gesetzgebungsverfahren eingebracht werden und damit die Pflicht zur Bestellung von Datenschutzbeauftragten im nichtöffentlichen Bereich auf die Regelung in Art. 37 DS-GVO beschränkt werden (Ich erlaube mir darauf hinzuweisen, dass es seit 2018 nicht mehr „bestellen“, sondern „benennen“ heißen müsste...).
• Ebenfalls bis Ende 2026 solle ein „Einer-für-Alle-Prinzip (EfA)“ im öffentlichen Bereich (inklusive föderaler Anerkennung einschlägiger Prüfungen einer Datenschutzaufsichtsbehörde) unter Berücksichtigung etablierter IT-Systeme – soweit möglich – verankert werden.
• Laut den Aussagen in Zeile 164 werden Bund und Länder ab sofort bei der Schaffung von neuen Rechtsgrundlagen in Fachgesetzen für die Datenverarbeitung im Kontext der Digitalisierung der öffentlichen Verwaltung auf eine hinreichend bestimmte Zweckfestlegung achten, die zugleich eine möglichst flexible, bürgerorientierte und technikoffene Anwendung der Normen ermöglicht. Datenschutz- und verfassungsrechtliche Anforderungen an Rechtsgrundlagen für eingriffsintensive Datenverarbeitungen werden dabei eingehalten.
• Genauso überraschend, weil eigentlich selbstverständlich sind die Formulierungen in Zeile 165: Wenn aktuelle Entwicklungen, wie etwa im Bereich der Leistungsverwaltung, den Bedarf von Datenübermittlungen zwischen Behörden deutlich machen, werden Bund und Länder die notwendigen Rechtsgrundlagen für die entsprechende Datennutzung schaffen.
• Natürlich finden die Verfasser die Vorschläge der Bundesregierung zur Vereinfachung der DS-GVO toll und wollen sich für weitere Maßnahmen einsetzen (Zeile 166).
• Aus dem datenschutzrechtlichen Blickwinkel sind auch die Vorhaben aus Zeile 40 unter der Überschrift „Abbau und Modernisierung von Formerfordernissen“ hervorzuheben. Bund und Länder wollen bis zum 31.12.2026 in § 3a Abs. 2 Verwaltungsverfahrensgesetz eine Regelung treffen, derzufolge eine angeordnete Schriftform elektronisch ersetzt werden kann, soweit nicht durch Rechtsvorschrift etwas anderes bestimmt ist – etwa um eine eindeutige Identifizierung sicherzustellen. Bund und Länder verpflichten sich die Nutzung einfacher E-Mails weitestgehend für den Geschäftsverkehr (grundsätzlich auch Verwaltungsakte) zwischen Bürger und Verwaltung zuzulassen, ohne dass es der bisherigen aufwändigen Verfahren der elektronischen Form nach § 3a Abs. 2 und 3 VwVfG bedarf. Soweit spezialgesetzliche Vorschriften weiterhin eine Schriftform oder eine sonstige strengere Form anordnen wollen, muss dabei explizit genannt werden, dass eine Abweichung von § 3a VwVfG erfolgt. Das wird sicherlich auch eine Herausforderung für die Überprüfung der Integrität der Kommunikation werden.

Bericht dazu auch hier.

3.5 Wechsel im Europäischen Rat von Dänemark zu Zypern

Im europäischen Rat wechselte der Vorsitz zum Jahresanfang 2026 von Dänemark zu Zypern. Zypern hat seine Prioritäten und sein Programm für das erste Halbjahr 2026 hier veröffentlicht. Dabei will es u.a. die Bemühungen zur Vereinfachung digitaler und datenbezogener Rahmenbedingungen fördern und Innovationen in Schlüsseltechnologien wie KI und Cloud Computing vorantreiben.

3.6 Geplante Änderungen im RDG und im StBerG

Die Bundesregierung plant laut dem Entwurf eines Gesetzes zur Neuordnung aufsichtsrechtlicher Verfahren und zur Änderung weiterer Vorschriften im Bereich der rechtsberatenden Berufe Änderungen in § 11 Abs. 1 RDG, um dort für die erforderliche Sachkunde auch Kenntnisse im Datenschutzrecht bei Inkassodienstleistungen zu fordern (auf Seite 114 des Entwurfs).
Daneben gibt es auch Änderungsabsichten in § 11 StBerG: Hier soll Abs. 1 S. 3 durch den folgenden Satz ersetzt werden: „Besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) dürfen gemäß Art. 9 Abs. 2 lit. g der DS-GVO in diesem Rahmen verarbeitet werden“.

4.1 „Zehn Gebote der KI-Ethik”

Zu den „Zehn Geboten der KI-Ethik“ hatten wir bereits berichtet. Nun ist in Kooperation mit klicksafe dazu ein Booklet erschienen. Dieses enthält lebensnahe Geschichten, die zum Nachdenken über KI anregen, Heranwachsende für die Risiken von KI sensibilisieren und sie zu einem verantwortungsvollen Umgang mit solchen Tools befähigen sollen. Leitlinien wie Booklet richten sich an Schüler:innen (ab 12 Jahren) und könne auch für Unterrichtszwecke verwendet werden. Alle kostenlosen Materialien finden sich hier.

4.2 KI-Kompetenz und Verbraucherbildung

KI-Kompetenz sollte auch als Teil der Verbraucherbildung verstanden werden. Die Stellungnahme der Verbraucherkommission Baden-Württemberg zu KI und Verbraucherbildung passt dazu.
Darin kommt zum Ausdruck, dass die intendierte Vereinfachung und Harmonisierung bestehender digitaler Regelwerke mit der „Digital-Omnibus-Initiative“ zu weniger Verbraucherschutz führen. Die Verschlankung von Vorschriften zugunsten der Innovation und Wettbewerbsfähigkeit auf der einen Seite müsse durch Stärkung der Verbraucher und Verbraucherinnen, ihrer Handlungsfähigkeit und Wehrhaftigkeit auf der anderen Seite abgestützt werden.

4.3 KI-Kompetenz – Veränderung von Arbeitsabläufen

KI ist in vielen Berufen inzwischen Alltag. Sie übernimmt einfache Aufgaben, hilft bei Entscheidungen und verändert Arbeitsabläufe. Die Meinungen zur „neuen Kollegin“ KI gehen aber auseinander. Manche hoffen auf weniger Stress und mehr Effizienz. Andere fürchten Kontrollverlust oder den Wegfall von Jobs. Bei der Station der KI-Tour „Servus, KI!“ an der VHS Vaterstetten hat der Abteilungsleiter der bidt-Think-Tanks in einem YouTube-Video (Dauer 1:30 Std.) das Thema eingeordnet. Mit Zahlen aus dem aktuellen bidt-Digitalbarometer, mit Beispielen aus der Praxis und mit der klaren Botschaft: Wir brauchen neue digitale Kompetenzen.

4.4 Hochrisiko-Systeme: Rechtliche Anforderungen und technische Umsetzung

Wie lässt sich die Lücke zwischen abstrakten Rechtsnormen und technischer Verifikation bei Hochrisiko-KI-Systemen schließen? Damit befasst sich dieses Papier “A High-Risk AI Systems under the EU AI Act: From Legal Requirements to Technical Verification“ (HTML-Darstellung hier). Es möchte ein strukturiertes Mapping liefern, das die Pflichten für Hochrisiko-KI-Systeme i.S.v. Art. 6 und Anhang III KI-VO in messbare und auditierbare Prüfschritte entlang des KI-Lebenszyklus übersetzt.
Die Grundlage bilden elf Kernanforderungen, die sich aus den sieben Prinzipien für vertrauenswürdige KI der High-Level Expert Group der Kommission sowie vier zusätzlichen, für die KI-VO-Konformitätsbewertung zentralen Kategorien zusammensetzen:

1. Menschliche Aufsicht und Handlungsfähigkeit
2. Technische Robustheit und Sicherheit
3. Datenschutz und Daten-Governance
4. Transparenz
5. Vielfalt, Nichtdiskriminierung und Fairness
6. Gesellschaftliches und ökologisches Wohlergehen
7. Rechenschaftspflicht
8. Qualitätsmanagement
9. Risikomanagement
10. Technische Dokumentation
11. Protokollierung und Aufbewahrung von Aufzeichnungen

Diese Anforderungen werden in 48 handhabbare Unteranforderungen zerlegt und durch Rückgriff auf Quellen wie den EU General Purpose AI Code of Practice, ISO/IEC-Standards, die DS-GVO oder Quellen aus der Wissenschaft unterfüttert. Für die daraus abgeleiteten 66 Verifizierungsaktivitäten erfolgt eine Systematisierung entlang zweier Dimensionen. Die Autoren unterscheiden nach der Art der Verifikation in

1. „Controls“ also prozessbasierte Sicherungsmechanismen wie z.B. Governance-Strukturen / Dokumentation und
2. „Testing“ als empirische Evaluationen z.B. von Systemverhalten / Performance.

4.5 CSET: Schäden durch KI

Das Center for Security and Emerging Technology (CSET) veröffentlichte unter dem Titel “The Mechanism of AI Harm” eine Auflistung verschiedener Vorfälle und deren Auswirkungen. Dabei wird ein Cluster von sechs unterschiedlichen Mechanismen identifiziert, durch die KI Schäden verursacht.
Der Bericht argumentiert, dass das Kernproblem in einem begrenzten Verständnis davon liegt, wie sich KI-Risiken in realen Situationen manifestieren. Anhand von Vorfallberichten aus der AI Incident Database untersuchen die Autoren, wie Schaden in der Praxis entsteht, und identifizieren die folgenden sechs wichtigsten Schadensmechanismen: Vorsätzliche Schädigung wie KI-Missbrauch, Angriffe auf KI-Systeme, unbeabsichtigter Schaden, KI-Ausfälle, Versäumnisse menschlicher Aufsicht und Integrationsschäden.

4.6 CSET: Regulatorik von KI

Das Center for Security and Emerging Technology (CSET) stellt in seinem Bericht “AI Governance at the Frontier” einen analytischen Ansatz vor, um US-politischen Entscheidungsträgern zu helfen Vorschläge für die Steuerung künstlicher Intelligenz zu dekonstruieren, indem sie ihre zugrunde liegenden Annahmen identifizieren, die die grundlegenden Elemente sind, die den Erfolg eines Vorschlags erleichtern. Durch die Anwendung des Ansatzes auf fünf in den USA ansässige KI-Governance-Vorschläge aus Industrie, Wissenschaft und Zivilgesellschaft sowie Staat und Bundesregierung versucht dieser Bericht zu zeigen wie die Identifizierung von Annahmen politischen Entscheidungsträgern dazu beitragen kann fundierte, flexible Entscheidungen über KI unter Unsicherheit zu treffen.

4.7 China: Vorgaben für LLM

Wie hier berichtet wird, werden "vorläufige Maßnahmen" bei großen Sprachmodellen (LLM) zur öffentlichen Konsultation bis 25.01.2026 aufgelegt. Grundtenor sei, dass Künstliche Intelligenz sich als solche zu erkennen geben sowie auf Datenschutz, Wohlergehen der Nutzer und natürlich "sozialistische Kernwerte" achten müsse. Ziel sei die Unterstützung "gesunder Entwicklung" von KI-Diensten samt "Anwendungs-Ökosystem", speziell zwecks Verbreitung chinesischer Kultur sowie Begleitung von Senioren. Letzteres soll offenbar Einsamkeit bekämpfen. Sozialistische Kernwerte sind stets einzuhalten, zudem sind "soziale Moral und Ethik" zu beachten. Und der Betrieb ist erst gestattet, wenn Sicherheit und Verlässlichkeit in vollem Umfang bewiesen sind.

4.8 USA: Einfluss auf KI-Regulierung der Bundesstaaten

Über eine Executive Order des US-Präsidenten soll die KI-Regulierung durch einzelne Bundesstaaten kontrolliert, wenn nicht gar verhindert werden. Demnach soll ein nationales Rahmenwerk entstehen, welches über den Gesetzen einzelner Bundesstaaten steht. Begründet wird dies mit einer „Entbürokratisierung“, damit sich Hersteller nur noch an eine Vorgabe halten müssten. Bericht dazu hier.

4.9 UNESCO: Guidelines für Einsatz von KI bei Gerichten

Die UNESCO veröffentlichte Guidelines für KI-Einsatz an Gerichten. Die „Guidelines for the use of AI systems in courts and tribunals“ beinhalten 15 Prinzipien für KI in der Justiz zur Wahrung von Rechtsstaatlichkeit und Menschenrechten.

4.10 Practical Guide to Fundamental Rights Impact Assessments under the EU AI Act

Das Danish Institute for Human Rights veröffentlichte zusammen mit dem European Center for Not-for-Profit Law einen Guide to Fundamental Rights Impact Assessments under the EU Artificial Intelligence (AI) Act.
Dieser Schritt-für-Schritt-Leitfaden will dabei auf internationale Standards zurückgreifen und praktische Werkzeuge für Organisationen bieten, die sich einer verantwortungsvollen Einführung von KI verschrieben haben und eine FRIA (Fundamental Rights Impact Assessment), also eine Grundrechtefolgenabschätzung, durchführen möchten bzw. müssen.

5.1 Stiftung Datenschutz: Datentransfer in die USA

Die Aufzeichnung der Veranstaltung der Stiftung Datenschutz zu Fragen des Datentransfer in die USA vor dem Hintergrund der dortigen Regularien ist nun veröffentlicht (Dauer ca. 1:28 Std). Unternehmen in Europa müssen nunmehr auch Datentransferbeschränkungen nach US-Bundesrecht einhalten. Diese neuen Restriktionen weichen von denen der DS-GVO stark ab und sind zudem sogar strafbewehrt. Darüber hinaus verlangt Kalifornien ab dem 1. Januar 2026 neue Datensicherheits- und Risikoprüfungen auch von europäischen Unternehmen.

5.2 GDD: Praxishilfe Datenschutz im Bewerbungsverfahren

Vor dem Hintergrund des Fachkräftemangels wird eine effiziente Bewerberauswahl wichtiger denn je, denn Arbeitgeber können – anders als früher – häufig nicht mehr aus einem großen Pool an Bewerber:innen auswählen. Das macht eine strategischere und flexiblere Herangehensweise notwendig, die über traditionelle Kriterien wie Zeugnisnoten hinausgeht. Die Berücksichtigung von Soft Skills und des Potenzials des Bewerbers bzw. der Bewerberin sowie die Einschätzung, ob die Person zur Unternehmenskultur passt, haben heute stärkere Bedeutung als je zuvor, wenn Arbeitgeber:innen Fehlbesetzungen vermeiden und ihre Chancen erhöhen wollen die besten verfügbaren Talente zu gewinnen und zu halten. Immer öfter greifen Arbeitgeber dabei auch auf KI zurück, um sich bei der Auswahl des besten Kandidaten bzw. der besten Kandidatin unterstützen zu lassen.
Damit verbunden sind auch datenschutzrechtliche Fallstricke, bei der die Gesellschaft für Datenschutz und Datensicherheit (GDD e. V.) mit ihrer Praxishilfe „Datenschutz im Bewerbungsverfahren“ Orientierung geben möchte.

5.3 CEDPO: FAQ zum Data Act für Datenschutzbeauftragte

Die CEDPO (Confederation of European Data Protection Organisations) hat ein FAQ-Papier zum Data Act für Datenschutzbeauftragte veröffentlicht. Der Data Act schafft einen neuen Rahmen für den Zugriff auf und das Teilen von Daten von verbundenen Produkten, zugehörigen Diensten und Cloud-Umgebungen. Obwohl es keine Regelung zum Datenschutz ist, ist es thematisch eng mit der DS-GVO verknüpft und beeinflusst, wie Organisationen sowohl persönliche als auch nicht-personenbezogene Daten handhaben. Der Data Act bringt neue Nutzerrechte, neue Verpflichtungen für Dateninhaber und praktische Herausforderungen bei der Anpassung der Datenfreigabe-Anforderungen an die DSGVO-Prinzipien mit sich. Die FAQ gibt es in den Sprachen Englisch, Deutsch, Spanisch und Italienisch.

5.4 Vortrag zu Palantir auf dem 39C3

Wer sich zu polizeilichen Datenanalysen und der "Blackbox Palantir" informieren will, kann sich den aufgezeichneten Vortrag (Dauer ca. 57 Min.) dazu auf der 39C3 ansehen. Dabei geht es um Gefahren für die Grundrechte und die digitale Souveränität, über die rechtlichen Grenzen und die strategischen Verfahren der Gesellschaft für Freiheitsrechte e.V. – aber auch um Alternativen, Anekdoten und "Übergangslösungen".

5.5 Arbeitgeber, betriebliche E-Mail-Postfächer und das Fernmeldegeheimnis

Für die Zulässigkeit von Zugriffen auf Mitarbeiter-E-Mails ist die Anwendbarkeit des Fernmeldegeheimnisses höchst relevant. In der Vergangenheit wurden Arbeitgeber oft als Telekommunikationsanbieter eingestuft, wenn eine private Nutzung erlaubt war. Seit der Neuregelung der relevanten Vorschriften im Jahr 2021 vertreten die Aufsichtsbehörden zunehmend, dass das Fernmeldegeheimnis nicht greift. Auch die Bundesnetzagentur lehnt diese Einordnung in einem neuen Papier mit überzeugenden Argumenten ab (wir berichteten). Aber welche Folgen hat das für die Unternehmen? Damit befasst sich dieser frei zugängliche Beitrag einer Fachzeitschrift.

5.6 KI Washing 2.0 – das LkSG nicht vergessen!

Unternehmen, die KI einsetzen, diskutieren vor allem Datenschutz, Urheberrecht und die KI-VO. Das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) und auch der generelle ethische Einsatz sind weniger im Fokus. Denn: Menschen wurden und würden ausgebeutet beim Training von KI. Aus rechtlicher Sicht befasst sich dieser Blog-Beitrag mit der Thematik.
Es wird jedoch nicht nur problematisiert, sondern es werden auch Lösungsmöglichkeiten aufgezeigt, so dass keine generelle Nutzungsuntersagung von KI empfohlen wird, wohl aber ein Umdenken in der Beschaffung. Unternehmen, die unter das LkSG fallen, werden sich künftig die Frage gefallen lassen müssen, ob sie ohne vertretbare Risikoanalyse auf Modelle setzen dürfen, deren Trainingsbedingungen intransparent oder offenkundig problematisch sind. Für Anbieter von KI‑Systemen eröffne sich umgekehrt ein Markt für „Fair‑Trade‑KI“: Modelle, deren Training unter nachweislich fairen, gesundheitsverträglichen Bedingungen und mit nachvollziehbarer Lieferkette erfolgt ist.

5.7 Microsoft: Whitepaper „Die transformative Wirkung generativer KI auf die Rechtsbranche“

Microsoft stellt ein weiteres Whitepaper vor: „GenAI im Rechtsbereich“ Das Papier ist kostenlos gegen Angabe von Daten erhältlich. Es möchte damit eine praxisnahe Informationsquelle für deutschsprachige Jurist:innen zur Verfügung stellen durch konkrete Einblicke in die Unterstützung juristischer Arbeit durch GenAI, reale Beispiele für den Einsatz von Copilot im Alltag, erste Erkenntnisse, wie einfache KI-Agenten Routineaufgaben effizienter machen und wie eine verantwortungsvolle Nutzung mit rechtlichen Sicherheitsvorkehrungen und Governance-Aspekten gelingen könnte.

5.8 ENISA: Ausgaben für IT-Sicherheit in Europa – Report 2025

Die ENISA (European Union Agency for Cybersecurity) hat ihren „NIS Investments Report 2025" veröffentlicht, der untersucht, wie sich die Cybersicherheitspolitik in der Praxis in Organisationen in der EU niederschlägt und welche Auswirkungen sie auf deren Investitionen, Ressourcen und Betriebsabläufe hat. Dazu wurden die Daten von 1.080 Fachleuten aus Organisationen in der gesamten EU und aus NIS-Sektoren mit hoher Kritikalität erhoben. Die Stichprobe bestand hauptsächlich aus großen Unternehmen (83 %), ergänzt durch einen geringeren Anteil von KMU (17 %), um Vergleichsmöglichkeiten zwischen Organisationen unterschiedlicher Größe zu ermöglichen. Der Bericht gibt eine lesenswerte europaweite Übersicht einerseits über die unterschiedliche sektorübergreifende Relevanz und Reife von Cybersicherheit, andererseits über die Mittel, die in den jeweiligen mitgliedstaatlichen Unternehmungen zur Verfügung stehen, um die digitale Resilienz zu stärken.

5.9 Großflächiger Stromausfall, wie aktuell in Berlin: Meldepflichten?

Welche datenschutzrechtlichen (DS-GVO) und IT-sicherheitsrechtlichen Meldepflichten (BSiG) können greifen, wenn wie aktuell in Berlin über einen längeren Zeitraum aufgrund eines Stromausfalls Funktionalitäten nicht genutzt werden können? Damit befasst sich dieser Blog-Beitrag. Letztendlich erinnert dieser Vorfall wieder daran vorab Notfallpläne für Kommunikations- und Meldewege zu erstellen (inkl. redundanter Kommunikationsmittel, Verantwortlichkeiten und Proben der Meldewege) und diese Pläne in Papierform, etwa in einem Ordner, vorzuhalten, damit im Ernstfall die gesetzlichen Meldepflichten zuverlässig erfüllt werden können.

5.10.1 Universität des Saarlandes: „Datenschutz in der Praxis“ – Digitaler Omnibus -neu-

20.01.2026, 18:00 – 19:30 Uhr, online: An diesem Termin berichtet der Präsident des BayLDA zu DS-GVO Änderungsvorschlägen im Digital-Omnibus der EU-Kommission zu den ersten Analysen und Einordnungsversuche aus datenschutzaufsichtlicher Sicht.
Weitere Informationen und der Link zur Veranstaltung (über MS-Teams) finden sich hier.

5.10.2 Stiftung Datenschutz: DatenTag – Besonderer Schutz für Kinder und Jugendliche

21.01.2026, 10:00 – 15:00 Uhr, Berlin und online: „Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz“, heißt es in der DS-GVO. Im Januar 2026 wird die Stiftung Datenschutz an ihrem DatenTag mit Expert:innen aus Wissenschaft und Praxis diskutieren, wie dieser besondere Schutz umgesetzt wird. Thematisiert wird die Rolle der Schulen, datenschutzgerechte Altersverifikation und welche Daten eigentlich Spiele-Apps für Kinder erheben. Weitere Informationen und Anmeldung dazu hier.

5.10.3 Universität Kassel „Digitale Gesellschaft - Eine Gestaltungsaufgabe" (Wintersemester 2025 / 2026)

In (ursprünglich) fünf Beiträgen aus unterschiedlichen Disziplinen beleuchten die Vorträge komplexe Fragen der Gestaltung der Technik der Zukunft. Dahinter stehen konkrete Einzelprobleme - aber immer auch die Frage: Wie wollen wir in Zukunft leben? Zwei Vorträge gibt es in Präsenz in Kassel, alle anderen erfolgen online:

• 21.01.2026, 17:00 Uhr (Präsenz): "Wie sich erlernte von designter Technik unterscheidet: Die neue Agency generativer KI und das Erfordernis der strategischen Interaktion mit ihr"
• 11.02.2026, 17:00 Uhr (online): "Zwischen Halluzination und Realität: KI-Regulierung entlang der Wertschöpfungskette"

Weitere Informationen und Anmeldung hier.

5.10.4 Vortragsreihe „Zukunftsdialog KI und Recht“ der SRH University Heidelberg -neu-

In der Veranstaltungsreihe der SRH University Heidelberg werden an verschiedenen Terminen verschiedene Themen vor Ort und online diskutiert. Mehr dazu hier. Das vollständige Programm ist hier hinterlegt. Der Zugangs-Link wird nach Anmeldung am Tag vor der Veranstaltung verschickt:

• 22.01.2026, 16:00 – 18:30 Uhr: „Orientierung im KI-Zeitalter: Fundament für den KI-Diskurs“
  Neben dem Eröffnungsgespräch zu „KI verstehen: Funktionslogik, Potenziale und Grenzen“ gibt es eine Keynote zu „Daten, Vertrauen & Manipulation: Rechtliche Perspektiven“.
• 19.02.2026, 16:00 – 18:30 Uhr: „Verantwortung & Haftung im KI-Zeitalter“
  Zwei Impulsvorträge zu „Entscheidungen durch Maschinen: Zurechnung und Haftung“ und „Menschliche Aufsicht & Kontrolle: Anforderungen, Grenzen und Zukunftsmodelle“.
• 16.04.2026, 16:00 – 18:30 Uhr: „Kreativität, Markt & Macht“
  Drei Impulsvorträge zu „Autorenschaft neu denken: Urheberrecht im KI-Zeitalter“, „KI, Markt und Macht: Wettbewerb im digitalen Zeitalter“ und „Europa als KI-Kontinent: Digitale Souveränität, Regulierung und globale Handlungsfähigkeit“.

5.10.5 EDPS: Data Protection Day 2026: Reset or refine? -neu-

28.01.2026, 09:00 – 18:45 Uhr, Brüssel und online: Der Datenschutztag (28. Januar) erinnert an die Unterzeichnung des Übereinkommens Nr. 108, dem ersten rechtsverbindlichen Vertrag zum Schutz der Privatsphäre im digitalen Zeitalter. Aus diesem Anlass organisieren der Europarat (CoE) und der Europäische Datenschutzbeauftragte (EDPS) gemeinsam eine eintägige Veranstaltung, die sich mit den neuen Herausforderungen im Bereich des Datenschutzes befasst. Weitere Informationen zum Programm hier und Anmeldung dort.

5.10.6 BlnBfDI: Anonymisierung und Pseudonymisierung – Risiken mindern, Daten nutzen? -neu-

28.01.2026, 13:00 –18:00 Uhr, Berlin: Im Rahmen des Europäischen Datenschutztages thematisiert die Berliner BfDI mit „Anonymisierung und Pseudonymisierung“ die beiden essenziellen Werkzeuge für den verantwortungsvollen Umgang mit personenbezogenen Daten. Richtig angewendet, ermögliche ihr Einsatz es der Wissenschaft, Wirtschaft und Verwaltung Daten zu nutzen und gleichzeitig den Datenschutz zu wahren. 
Auf der Veranstaltung werden Ergebnisse der Untersuchung der Datenschutzkonferenz vorgestellt und mit Fachleuten aus Wissenschaft, Wirtschaft und Verwaltung diskutiert. Zahlreiche Forschungsprojekte erhalten zudem Gelegenheit ihre spezifischen Verfahren zur Anonymisierung und Pseudonymisierung personenbezogener Daten vorzustellen. Weitere Informationen und Anmeldung dazu hier.

5.10.7 Institut für Internet und Gesellschaft: Tool zur Verwaltung von Online-Einwilligungen -neu-

28.01.2026, 16:00 – 18:30 Uhr, Berlin: Auf dieser Veranstaltung im Institut für Internet und Gesellschaft geht es um den Launch eines Tool (Consenter), dem ersten offiziell anerkannten Dienst zur Verwaltung rechtskonformer, vertrauenswürdiger Einwilligungen (wir berichteten). Consenter wurde von der akademischen Ausgründung Law & Innovation auf Grundlage eines mehrjährigen interdisziplinären Forschungsprozesses am Einstein Center Digital Future, der Universität der Künste sowie dem Alexander von Humboldt Institut für Internet und Gesellschaft entwickelt. Weitere Informationen und Anmeldung hier.

5.10.8 EAID zum „Digital‑Omnibus“

28.01.2026, 19:00 – 20:30 Uhr, Berlin: Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) lädt herzlich zur Veranstaltung anlässlich des Europäischen Datenschutz‑Tages 2026 ein. Im Mittelpunkt des Abends steht der kürzlich von der Europäischen Kommission vorgestellte „Digital‑Omnibus“, mit dem zahlreiche europäische Rechtsakte im Digitalbereich aktualisiert und angepasst werden sollen. Der besondere Fokus liegt dabei auf den vorgesehenen Änderungen der Datenschutz‑Grundverordnung (DS-GVO). Handelt es sich um eine notwendige Harmonisierung und Vereinfachung oder kommt der Datenschutz dabei „unter die Räder“, wie Kritikerinnen und Kritiker meinen? Wegen der begrenzten Platzzahl wird um Anmeldung per E-Mail gebeten an anmeldung-26-01-28@eaid-berlin.de.
Weitere Informationen dazu hier.

5.10.9 Webinar zum Digital Omnibus -neu-

29.01.2026, 12:00 – 14:00 Uhr, Leuven und online: Thematisiert wird bei diesem Webinar der RAIL (Rechtswissenschaftliche Gesellschaft für Künstliche Intelligenz und Robotik e.V. / Robotics & AI Law Society (RAILS) e.V.) und dem Centre for IT and IP Law (CiTiP) der Digital Omnibus, der Vorschlag der Kommission zur Vereinfachung und Harmonisierung der Anforderungen in der DSGVO, im KI-Gesetz, in der ePrivacy-RL, in NIS2 und im Data Act. Angesprochen werden insb. Überlegungen zu

• vereinfachten Zustimmungsmechanismen und Cookie-Regeln,
• Klarstellungen zur Umsetzung der KI-VO, einschließlich erweiterter Flexibilität für KMU,
• harmonisierte DSFA-Anforderungen über die Mitgliedstaaten hinweg und
• Klarstellungen zur Verarbeitung personenbezogener Daten für wissenschaftliche Forschung und KI-Entwicklung.

Weitere Informationen auch zur Anmeldung finden sich hier.

5.10.10 Stiftung Datenschutz – Datenschutz am Mittag: Ergebnisse der BfDI-Konsultation -neu-

29.01.2026, 13:00 – 14:00 Uhr, online: Large Language Models (LLM) werden mit enormen Datenmengen trainiert. Was bedeutet das für den Schutz personenbezogener Daten? Der Europäische Datenschutzausschuss hat festgestellt, dass LLMs personenbezogene Daten „memorisieren“ können. Damit rücken zentrale datenschutzrechtliche Fragen rund um Entwicklung, Training und Nutzung dieser Modelle in den Fokus. Im Rahmen einer öffentlichen Konsultation hat die BfDI praktische Erfahrungen, technische Einschätzungen und normative Perspektiven von Expert:innen eingeholt. Über diese wird berichtet.
Weitere Informationen auch zur Anmeldung finden sich hier.

5.10.11 Gautinger Internettreffen: Digitale Souveränität in der Jugendarbeit

24./25.03.2026, ab 18:00 Uhr, Gauting: Das Thema digitale Souveränität spielte in den letzten Jahren nur eine nachrangige Rolle in der öffentlichen Debatte – doch es ist ein immens wichtiges Anliegen, wie u.a. der Ausfall der AWS-Server im Oktober 2025 bewies, der diverse Dienste wie Signal, Slack und Snapchat beeinträchtigt hat. Auch bei Hard- und Software-Lösungen in der Bildungsarbeit (Dominanz von Microsoft 365 sowie iPad- bzw. Windows-Laptop-Klassen), bei Suchmaschinen (Google), KI-Tools (OpenAI) oder im Social Web (Meta) wird Monopolen bzw. Oligopolen oft sehr unkritisch gegenübergestanden, obwohl es alternative Lösungen gibt. Beim git26 (26. Gautinger Internettreffen) im März 2026 wird unter dem Titel „Digital und selbstbestimmt“ die Frage gestellt, wie eine souveräne Mediennutzung in der Jugendarbeit, der Schule und der Medienpädagogik gestaltet werden kann. Weitere Informationen hier und die Anmeldung dort.

5.10 Veranstaltungen

6.1 Podcast: Kunst des Neuanfangs, KI-Arbeitslosigkeit und Social Media am Limit

Dieser Podcast (Dauer ca. 64 Min.) deckt nach anfänglichem Jahresendegeplauder gleich mehrere interessante aktuelle Aspekte ab. Einerseits geht um uns Menschen und wie wir uns darstellen und gesehen werden wollen – und dann sind auch die sozialen Medien thematisch nicht weit weg. Und dann geht es auch um die Entwicklungen am Arbeitsmarkt mit arbeitslosen jungen Akademikern, weil deren bisheriges Aufgabengebiet oftmals nun durch KI bewältigt wird. Die Karriereleiter bricht unten ab. Es wird darauf hingewiesen, dass wir dringend lernen müssten KI nicht nur zur Automatisierung, sondern zur Augmentierung – zur Erweiterung unserer Kreativität – zu nutzen, sonst würde nur digitaler „Workslop“ produziert. Vor allem aber: Wo soll die Erfahrung im Job herkommen, wenn es keinen Einstiegslevel mehr gibt?

7.1 Fotos in der Sauna

Fotos wo? Keine Sorge, ich drifte nicht ab – nur fand ich das Thema so spannend – einerseits weil sich Beschwerden dazu häufen, aber vor allem, weil die Rechtslage sich doch etwas unerwartet darstellt. Spoiler: Relevant ist, ob es eine öffentliche Sauna ist, doch lest selbst in diesem anwaltlichen Blog-Beitrag.

7.2 LfM NRW: Umfrage zu digitalem Sehverhalten von Kindern

Die Landesanstalt für Medien NRW hat sich mit den Inhalten befasst, die Kinder und Jugendlichen auf ihren Smartphones begegnen. Das Ergebnis: Mit dem Besitz eines Smartphones werden pornografische Inhalte praktisch ins Kinderzimmer mitgeliefert. Die jährliche Befragung der LfM NRW macht jetzt eine Konsequenz daraus deutlich: Der Kontakt mit Pornos und Sexting erfolgt immer früher und mit intensiveren Auswirkungen. Die zentralen Ergebnisse der Befragung zu den Erfahrungen von Kindern und Jugendlichen mit Pornografie und Sexting findet sich hier.

7.3 Streitbarer Journalismus

Anlässlich eines Jubiläums eines journalistischen Formats gab es zum Ende des Jahres 2025 eine Rede, die darstellt, wie wichtig kritische Formate sind, die in jede Richtung hinterfragen. Hier als Video (Dauer ca. 38 Min.) auf YouTube.

7.4 Vodafone Stiftung: Zwischen Bildschirmzeit und Selbstregulation

Eine Studie der Vodafone Stiftung befasst sich mit der Nutzung von Kindern und Jugendlichen von digitalen Medien. Dabei kam heraus, das sie oft kürzer treten wollen, es aber nicht schaffen, weil sie gegen Systeme kämpfen, die darauf programmiert sind ihre biologische Selbststeuerung auszuhebeln. Viele berichten sogar von Entzugserscheinungen, wenn sie länger nicht in Social Media waren. Wenn Apps mit endlos Scrollen, wechselhaften Belohnungen und ständigen Benachrichtigungen arbeiten, sei das für Jugendliche besonders schwer auszuhalten, gerade in einer Lebensphase, in der Impulskontrolle und Selbststeuerung noch in Entwicklung sind. Die Vodafone Stiftung fordert daher, dass Plattformen und Politik Rahmenbedingungen schaffen statt die Verantwortung komplett bei Jugendlichen und Familien abzuladen. Eine Zusammenfassung der Studie findet sich hier.

8.1 Apropos KI ...

• Was wissen LLM eigentlich über Menschen? Eine spannende Frage, der Autor dieses Blog-Beitrags schreibt über ChatGPTs damals neues Memory-Dossier-Feature. Hier gibt es eine Art Executive Summary, wenn Sie nicht den ganzen Beitrag lesen wollen (was Sie als intensive ChatGPT-Nutzerin definitiv sollten). Wie schreibt es der Autor, der den Original-Autor zitiert?
  

  He’s right. That’s an extraordinary amount of information, organized in human understandable ways. Yes, it will occasionally get things wrong, but LLMs are going to open a whole new world of intimate surveillance.

Na super ...

• Wofür noch mal genau kann man KI gut nutzen? Ach ja, die Malicious Uses.
  Das ist übrigens nicht mein Begriff, der kommt aus OpenAIs Bericht zu diesem Themenkomplex, den ich hier gefunden habe (dort gibt es auch noch weitere Meldungen zu OpenAIs Bericht).
• Wie war das, wir brauchen keine Programmierer mehr? Und wie war das mit der Integritäts-Kontrolle? Fast passend zu der Meldung hat Bruce Schneier auch ein lesenswertes Essay geschrieben.
• Oder reden wir darüber, wie KI-Agenten (die brauchen wir ja nun alle, richtig?) clever ausgetrickst werden können. Zu anderen Angriffs-Varianten auf KI-Agenten gibt es sogar Defcon-Talks (Discaleimer: Ich habe mir das acht-stündige Video nicht komplett angeschaut, der relevante Teil beginnt bei ca. 22 Minuten.). Aber zumindest kennen wir nun den Begriff Promptware.
  Und hier ist noch ein Beitrag zu Angriffs-Varianten auf KI-Agenten.
• Ach ja, und zu den Malicious Uses gibt es hier noch ein Beispiel, dieses mal zu Claude von Anthropic.
  Zitat aus dem Beitrag:

  Read the whole Anthropic essay. They discovered North Koreans using Claude to commit remote-worker fraud, and a cybercriminal using Claude “to develop, market, and distribute several variants of ransomware, each with advanced evasion capabilities, encryption, and anti-recovery mechanisms.”

  Falls Sie das Essay direkt lesen wollen, hier ist der Link.

• Erinnern Sie sich noch an GPT-4o-mini? Das war anfällig für psychologische Manipulation, so zumindest dieses Paper. Aber wer nutzt heute noch diese alte Version, richtig?
  Anthropic hat im November einen weiteren Report veröffentlicht, den ich Ihnen vorstellen möchte:
  Disrupting the first reported AI-orchestrated cyber espionage campaign
• Dann war da noch der KI-Agent für Daten-Diebstahl (wer ist Notion?). Also, das war nicht der geplante Nutzungszweck dieses KI-Agenten, aber ... Sie sehen das Muster, oder?
• Und noch ein Bericht zum Thema: Scam GPT: GenAI and the Automation of Fraud
• Im Zusammenhang "Missbrauch von KI-Assistenten" ist vielleicht auch das Essay zum OODA-Loop-Problem für KI-Assistenten interessant.

• A new attack called ‘CometJacking’ exploits URL parameters to pass to Perplexity’s Comet AI browser hidden instructions that allow access to sensitive data from connected services, like email and calendar.

  Interessiert am Thema "Prompt Injection in AI Browsers"? Dann lesen Sie bitte hier.

• Auch das hier hört sich interessant an, oder? Prompt Injection Through Poetry
• In diesem Essay wird betrachtet, wem KI mehr im Context der Cybersecurity nützt, Angreifern oder Verteidigern. Dazu gibt es auch einen älteren Beitrag, der vorsichtig prognostiziert, dass erst die Angreifer, nach drei bis fünf Jahren aber vielleicht die Verteidiger die Nase vorn haben.
• "China’s censorship and surveillance were already intense. AI is turbocharging those systems." Hier ist die Quelle, dort der dazugehörige Report mit dem Titel "The party’s AI – How China’s new AI systems are reshaping human rights."
• Ach, und wenn Sie mal eine Quittung verloren haben (oder einfach nur eine brauchen) ... KI hilft.
• Oder wollen Sie Gelderstattungen für (nicht vorhandene) kaputte Gegenstände? KI hilft.
• Skuril: Neue Nutzungsbedingungen von Meta verbieten die Integration Künstlicher Intelligenz von Drittanbietern in WhatsApp. (Sind sie etwa doch nicht alle Kollegen?)
• KI kann laut diesem Beitrag auch Smart Contracts ausnutzen, wenn man KI nur richtig trainiert.
• Bruce Schneier versucht uns (also eigentlich spricht er von "der Wissenschaft", aber nun ja, Details) in diesem Essay dazu zu motivieren nicht nur negativ auf KI zu schauen.
• Er hat auch Beispiele für "cool uses of AI in cybersecurity". Und noch weitere Beispiele.
• Hier hat jemand eine Woche lang Browser ChatGPT Atlas von OpenAI getestet. Das Ergbnis ist scheinbar nicht so zufriedenstellend.
• Aber wenigstens verdienen ja immer noch alle viel Geld mit KI, oder?
  Oder doch nicht, wie Microsoft in seinem Quartalsbericht vom 29.10.2025 veröffentlichte. Na ja, was sind schon 12 Mrd. Dollar unter Kollegen? Sam Altman (CEO von OpenAI) jedesfalls sagte, dass er genug interessierte Investoren finden könne (lustig die Anmerkung, dass er das in einem Interview "unter dem [...] Lachen von Satya Nadella" sagte, wie gesagt, unter Kollegen ...). Microsoft hat sich ja scheinbar genug Mühe gegeben mit KI Geld zu verdienen. Was übrigens einigen nicht gefällt. Und Microsoft-Produkte werden auch im Jahr 2026 wegen der KI-Features teurer werden. Goldener Käfig, irgend jemand?
• Bruce Schneier hat sich seit längerem mit dem Einfluss von KI auf unsere Gesellschaft auseinandergesetzt, er hat auch aktuell dazu ein Buch geschrieben (im verlinkten Artikel gibt es Links auf mehrere kostenlos lesbare Kapitel aus dem Buch, hier gibt es fünf Kernthesen aus dem Buch in einem weiteren Artikel). Er beschäftigt sich weiterhin mit diesem Themengebiet, zum Beispiel bei der Frage, wie KI Demokratien weltweit stärken können soll am Beispiel von vier Staaten, auch Deutschland. Er fragt auch, ob wir schon bereit sind von KI regiert zu werden. Und schreibt zu KI und Wähleraktivierung. Nun ja, das Buch soll sich ja verkaufen.
• Auch das Phänomen der KI-Notizen-Apps adressiert er. Speziell geht er auf die KI-Zusammenfassungs-Optimierung (AISO) ein. Was das ist, fragen Sie? Falls Sie es nicht selbst nachlesen wollen: Es ist wohl möglich, durch bestimmt Formulierungen dafür zu sorgen, dass Ihre Beiträge für das Protokoll als wichtig wahrgenommen werden, unabhängig davon, ob sie dem eigentlichen Thema der Besprechung dienlich (und somit fürs Protokoll relevant) sind. Solange alle immer direkt nach dem Protokoll-Erstellen genau dieses mit Sinn und Verstand (und sich hoffentlich noch an die protokollierte Sitzung erinnernd) lesen, sollten solche Manipulationen auffallen. Und da wir das alle immer und jedes Mal machen, haben wir alle kein Problem mit AISO.
• "Like Social Media, AI Requires Difficult Choices" ist der Titel eines lesenswerten Essays, welches ich Ihnen jetzt einfach kommentarlos empfehle.
• Wollen Sie ein wirklich kurzes Essay lesen? The Role of Humans in an AI-Powered World
• Selbst beim Autofahren stellt sich die Frage AI vs. Human Drivers. Apropos Waymo: Hier wird in verlinkten Quellen dargestellt, dass Waymo filmt, was außerhalb des Autos passiert. Tesla filmt auch, was innerhalb passiert.
• Kommen wir zu etwas anderem: Wie wäre es mit KI-generierten Songs verstorbener Künstler auf Spotify?
• Ein wirklich erfreuliches Thema 🫣: A biological 0-day? Threat-screening tools may miss AI-designed proteins.
• Zum Abschluss noch diee Meldung: AI Advertising Company Hacked

Im nächsten Blog-Beitrag gibt es für "Apropos KI ..." dann überwiegend aktuelle Meldungen aus dem Jahr 2026.

8.2 Mehr Informationen zu den Änderungen bei Signal

Kollege Kramer hatte schon zur "quantensicheren Verschlüsselung" bei Signal berichtet. Wenn Sie sich weiterhin fragen, was genau damit gemeint ist, dann habe ich hier und dort ausführliche Erläuterungen für Sie. Und hier noch einen (sowieso auch wegen der anderern Themen) interessanten Podcast (ab ca. 1:12 Std., Dauer ca. 40 Minuten) zu Signal SPQR. Auch jemand, der immer noch X nutzt (immerhin nutzt er Signal), ist beeindruckt.

8.3 Gesamtes WhatsApp-Verzeichnis abgeschnorchelt

Abgeschnorchelt, welch schönes Wort. Worum geht es? Wiener Forschern ist es gelungen alle WhatsApp-Nummern abzurufen. Im Artikel steht, warum das für WahtsApp-Nutzer:innen schlecht ist.
Bei der Gelegenheit: Von manchen Stellen wird die Nutzung von WhatsApp untersagt.
Und apropos WhatsApp und Sicherheit, da gibt es nun auch ein Whistleblower-Gerichtsverfahren in den USA. Durch den ehemaligen Sicherheits-Chef von WhatsApp.

8.4 Anerkennung von Open-Source-Arbeit als Ehrenamt in Deutschland

Na, das ist doch mal eine sinnvolle Petition.

8.5 Hacking Trains

Huh? Ich hoffe, dass es das Problem nur in den USA gibt.

8.6 Nachtrag zu einer Podcast-Empfehlung aus dem letzten Jahr

Wir hatten von der Podcast-Folge berichtet, in der dargestellt wurde, wie Yandex und Meta Nutzer:innen ausspionieren. Damals hatte ich diesen Beitrag mit einigen weiterführenden Textquellen übersehen, falls Sie also lieber lesen als hören... (Wobei der Podacst sich lohnt! Aber ich höre da tatsächlich jede Folge, ich bin also voreingenommen.)

8.7 Surveillance Via Smart Toothbrush

Was lernen wir aus diesem Bericht? Mundhygiene ist wichtig, wir wollen ja bei ausführlichem Küssen nicht zu lange die Mundbakterien anderer Personen in unserem Mund haben.
Ach ja, und außerem: Warum muss jedes blöde Ding (in diesem Fall die automatische Zahnbürste) mit dem Internet verbunden sein?!?

8.8 Wenn Sie mal richtig geheim kommunizieren wollen ...

... dann brauchen Sie scheinbar Eis. Und Luftbläschen.

8.9 Once you build a surveillance system, you can’t control who will use it

Wenn wir über erweiterte Sicherheitsbefugnisse (aka Überwachungsmaßnahmen) diskutieren, sollte dieser Fall des FBI uns eine Mahnung sein. Er hat Menschenleben gekostet. Wenn solche Möglichkeiten erst mal da sind, dann werden sie auch ausgenutzt!

8.10 Strava, mal wieder

Sicherheitslücken durch in Strava veröffentlichte Standorte von Menschen hatten wir ja schon. Im Fall des letzten Sommers betraf es die Bodyguards des schwedischen Premierministers.

8.11 Cryptocurrency ATMs

Ehrlich gesagt weiß ich gar nicht, ob es bei uns in Deutschland auch schon Cryptowährungs-Bezahlautomaten gibt. Aber wenn es sie gibt, dann sollten Sie sie wohl besser vermeiden.
(Die optische Umsetzung dieses Artikels ist übrigens echt gelungen...)

8.12 Fühlen Sie sich auch multidependent?

Dann partizipieren Sie wohl auch an unserem Gesundheitssystem.

8.13 Kuketz zu Wero

Über Wero hatten wir bereits berichtet. Nun hat sich auch der Kuketz-Blog (ein wenig auch aus egoistischen Motiven) mit Wero beschäftigt. Lesenswert, wenn Sie über Wero als Alternative zu z.B. Paypal nachdenken.

8.14 A Potential Solution to the Dilemma of Age Verification

Da macht doch schon die Überschrift Lust zu lesen.

8.15 Cybersecurity Merit Badge

Sie haben in diesem Kapitel 8 dieses Mal wieder viel von Bruce Schneier gelesen. Zum Abschluss nur noch dieses: Er wünscht sich solch ein Cybersecurity Merit Badge. Ob er Pfadfinder ist?

Wenn Autoren Bücher schreiben, dann ist – so weit ich das bisher in den Medien, die ich zum Thema "Wie schreibe ich ein (gutes) Buch?" konsumiert habe – es immer ein Ding erst mal eine erste Version des Buchs herauszubekommen, um diese dann in laufenden Revisionen immer weiter herunterzukondensieren (da gibt es Stichworte wie "kill your darlings") und immer mehr "Fett von dem Text abzuschneiden", bis ein fertiges Produkt übrigbleibt. Wenn Sie sich jetzt fragen, was das (z.B.) mit KI zu tun hat, oder ob ich jetzt unter die Buchautoren gehe, bleiben Sie bitte noch kurz bei mir, ich komme zum Punkt (und nein, bisher habe ich keine Ambitionen Autor eines Buchs zu werden):
Das letzte halbe Jahr war für mein Kapitel 8 in unserer Blog-Reihe nicht wirklich gut. Ich hatte selten genug Zeit, um ein wirklich gutes "Apropos KI ..." zu veröffentlichen. Auch andere Themen bekamen nur stiefmütterliche Aufmerksamkeit. Aber ich habe natürlich (so wie mein Kollege Rudi Kramer auch) regelmäßig viele mögliche Themen gesammelt.
Und heute möchte ich Ihnen wieder mal ein paar lesenswerte Themen (u.a.) aus der Kategorie "Apropos KI ..." liefern, aber Sie sehen sie nicht so ungefiltert, wie das in früherern Ausgaben manchmal passiert ist (meiner Meinung nach waren die Einzelbeiträge damals auch immer relevant). Allein auf Grund des Zeitablaufs liste ich jetzt hier nur noch die Dinge auf, von denen ich denke, dass sie, obwohl sie nicht mehr ganz taufrisch sind, weiterhin Ihre Aufmerksamkeit verdient haben. Was will ich also sagen? Es hätten noch viel mehr Meldungen in meinem Kapitel 8 geben können, ich lasse in diesem aktuellen und den nächsten Blog-Beiträgen reichlich weg. In meinem Schnittraum (um mal ein Bild aus der Videoproduktion zu bemühen – und nein, ich bin jetzt auch kein Filmschaffender geworden) liegen reichlich "deleted Szenes" auf dem Boden.
Und dieses war der Disclaimer, warum manche Meldungen so alt wirken. Weil ich sie immer noch relevant genug finde (im Großen und Ganzen sind das alles Meldungen des letzten Jahres bis zum Jahreswechsel).

Die haben wir diese Woche wohl nichts...