Ausgabe 121 (KW 05&06/2026)

1.1 EDSA / EDSB: Gemeinsame Stellungnahme zur Umsetzung der KI-VO

Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) haben eine gemeinsame Stellungnahme zum Vorschlag der Europäischen Kommission für den „Digitalen Omnibus über KI“ verabschiedet. Der Vorschlag zielt darauf ab die Umsetzung bestimmter harmonisierter Vorschriften nach dem KI-Gesetz zu vereinfachen, um ihre wirksame Anwendung zu gewährleisten. Die EDPB und die EDSB wollen das Ziel unterstützen praktische Herausforderungen in Bezug auf die Umsetzung des KI-Gesetzes anzugehen. Die administrative Vereinfachung darf jedoch den Schutz der Grundrechte nicht verringern. Die gemeinsame Stellungnahme erkennt die Komplexität der KI-Landschaft an und begrüßt die Bemühungen die Belastungen für Organisationen zu verringern. Einige vorgeschlagene Änderungen könnten jedoch den Schutz des Einzelnen im Kontext der KI untergraben.

1.2 EDSA: FAQ zum TADPF für Individuen

Der EDSA hat seine FAQs zum Transatlantischen Datentransfer in der Version 2.0 für europäische Personen veröffentlicht.

1.3 EDSA: FAQ zum TADPF für Unternehmen

Der EDSA hat auch seine FAQs zum Transatlantischen Datentransfer für Unternehmen in der Version 2.0 veröffentlicht.

1.4 EDPS: Kommentierung zur European Business Wallet (EuBW)

Der Europäische Datenschutzbeauftragte hat seine Stellungnahme zum Entwurf der sogenannten Europäischen Business Wallet (EuBW) veröffentlicht. Mithilfe einer digitalen Identität will die EU die Kommunikation und die Geschäftsprozesse von Firmen erleichtern. Mit der EuBW sollen Unternehmen Prozesse digitalisieren können, die bisher noch persönlich durchgeführt werden mussten.
Der EDSB empfiehlt eine Präzisierung der geltenden Datenschutzvorschriften und -grundsätze im Entwurf und argumentiert, dass die Europäische Kommission zukünftig die Organisationen, die solche Business Wallets bereitstellen, in Zusammenarbeit mit dem EDSB beaufsichtigen sollte.

1.5 EDSA: Einbindung von Stakeholdern bei Richtlinie zu politischer Werbung

Der EDSA organisiert eine Remote-Veranstaltung, um die Rückmeldungen der Interessengruppen zu seinen Richtlinien zur Verarbeitung personenbezogener Daten zur gezielten Ausrichtung oder Verbreitung politischer Werbung (vgl. EU VO 2024/900) einzuholen. Anmeldung und weitere Informationen dazu hier.
Damit will der EDSA seinem Anspruch aus seiner Helsinki-Erklärung, mehr Unterstützungsmaterial bereitzustellen und Interessensgruppen einzubinden, nachkommen.

1.6 EU-Kommission: Europäischer Datenschutztag – Reset or Refine?

Die Veranstaltung der EU-Kommission und des EDPS wurde gestreamt – und aufgezeichnet. Sie dauerte auch nur 9 Stunden, kein Wunder bei den Thema „Reset oder Refine?“

1.7 BfDI: ReguLab

Die BfDI bietet Beratung zum KI-Einsatz an, wie sie in einer Pressemitteilung informiert. Mit der Sandbox „ReguLab“ strebt sie mehr Klarheit beim Datenschutz an. Dabei verweist sie auf Erfahrungen aus UK, wo die dortige Datenschutzaufsicht auch eine entsprechende Beratung anbot.
Unter dem Link ReguLab können Bewerbungen eingereicht werden. Dabei scheint sie sich nicht auf ihren gesetzlichen Zuständigkeitsbereich zu beschränken.

„Wenn Sie eine datenbasierte Anwendung entwickeln und frühzeitig Klarheit über zentrale Datenschutzfragen benötigen, laden wir Sie ein, am ReguLab teilzunehmen. In einem geschützten Rahmen arbeiten wir eng mit Ihnen zusammen, analysieren Ihren Anwendungsfall und klären offene regulatorische Fragen, bevor diese zu Risiken oder Hürden im Entwicklungsprozess werden. Sie profitieren von dem Fachwissen unserer Expertinnen und Experten, erhalten klare Orientierung für technische und organisatorische Entscheidungen und schaffen damit eine starke Grundlage für einen erfolgreichen und datenschutzkonformen Markteintritt. Wir freuen uns auf die Zusammenarbeit mit Innovatorinnen und Innovatoren, die Datenschutz als Qualitätsmerkmal verstehen.“

Denn laut den FAQ der BfDI dazu schaffen die Ergebnisse einen hohen Grad an Rechtsklarheit und Orientierung für den Markteintritt. Man erhält klare Einschätzungen und Empfehlungen. Eine rechtsverbindliche Zertifizierung oder ein formaler Verwaltungsakt sei damit grundsätzlich nicht verbunden. Das Ziel sei es, Risiken durch frühzeitige Abklärung zu minimieren.
Über Reports werden die Ergebnisse veröffentlicht. 
Nicht erkennbar ist, ob dies innerhalb der DSK abgestimmt wurde. Offen bleibt, inwieweit diese Ergebnisse auch für andere Aufsichtsbehörden dann bindend wären.

1.8 DSK: Entschließung zu den Anforderungen an Polizeiprojekt P20-Datenhaus

Die Datenschutzkonferenz (DSK) hat ihre Anforderungen an das Polizeiprojekt P20-Datenhaus formuliert. Sie fordert klare gesetzliche Regelung für das Polizeiprojekt P20-Datenhaus. In dem Projekt P20 soll für die Polizeibehörden des Bundes und der Länder eine digitale Infrastruktur erstellt und dafür die stark zersplitterten polizeilichen IT-Systeme von Bund und Ländern modernisiert und harmonisiert werden. Ein wichtiger Schritt auf dem Weg zur Einführung der Software ist die Errichtung eines gemeinsamen Datenhauses, welches das zentrale Element der neuen IT-Infrastruktur bilden soll.

1.9 HBDI im Podcast zu Microsoft 365, zum Digitalzwang und zum Digitalen Omnibus

Hessen hat mit Microsoft ein angepasstes Data Protection Addendum (DPA) zu Microsoft 365 verhandelt (wir berichteten). Warum trotz DPA weiterhin klare Pflichten bei öffentlichen Stellen liegen und was andere Behörden daraus lernen können, ordnet der HBDI in dieser Podcast-Folge (Dauer ca. 46 Min.) ein. Daneben geht es auch um Digitalzwang beim Fahrkartenkauf und seine Einschätzung zum Digitalen Omnibus.

1.10 LfDI Baden-Württemberg: Hilfestellung zur politischen Werbung nach der TTPW-Verordnung

Der Landebeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg veröffentlichte eine kompakte Hilfestellung zu den neuen Anforderungen an politische Werbung, wie sich durch die TTPW-Verordnung ergeben. TTPW steht für die Verordnung über die Transparenz und das Targeting politischer Werbung.
Ziel der EU-Verordnung ist es Bürger:innen in die Lage zu versetzen politische Anzeigen eindeutig als solche zu erkennen und ihre demokratischen Rechte auf einer informierten Grundlage auszuüben.
Gleichzeitig soll sie Desinformation, Informationsmanipulation sowie unzulässiger politischer Einflussnahme entgegenwirken. Für alle Wähler:innen soll nachvollziehbar sein, wer eine politische Anzeige finanziert oder in Auftrag gegeben hat und nach welchen Kriterien sie ausgespielt wurde. Politische Werbung wird häufig mithilfe von Targeting- und Anzeigenschaltungsverfahren verbreitet, die auf der Verarbeitung personenbezogener Daten beruhen.
Der Einsatz dieser Verfahren ist nur unter strengen Voraussetzungen möglich und muss transparent erfolgen. Die Verordnung stärkt damit insbesondere das Recht auf Privatsphäre sowie den Schutz personenbezogener Daten und leistet einen wichtigen Beitrag zu mehr Transparenz und Fairness im demokratischen Meinungsbildungsprozess. Der LfDI Baden-Württemberg gibt den von der Verordnung Angesprochenen (politische Akteur:innen / „Sponsor:innen”, Anbietenden von politischen Werbedienstleistungen) kompakte Hilfestellung im Flyerformat. Dort sind auch weiterführende Informationen hinterlegt.

1.11 LfD Bayern: Dateiablagen als Quelle von Datenpannen

In seiner Kurz-Information 65 befasst sich der LfD Bayern mit einer häufigen Ursache von Datenpannen: Dateiablagen oder Austauschverzeichnisse als Quelle von Datenpannen. Hierbei kommt es oft zu unbeabsichtigten Offenlegungen. Bei der Arbeit mit sowie der Administration von gemeinsamen Dateiablagen und Austauschverzeichnissen können einige leicht umsetzbare Routinen bereits viele Datenpannen verhindern.
Er empfiehlt z.B. den Verantwortlichen einen Prozess festzulegen, in dem mindestens geregelt sein sollte:

• Die Stelle, die Verzeichnisse anlegen und löschen sowie Berechtigungen vergeben darf (änderungsberechtigte Stelle, meist der IT-Support)
• Die Stellen, die neue Verzeichnisse und Berechtigungsänderungen beantragen dürfen (beauftragende Stellen, beispielsweise Amts- oder Sachgebietsleitungen)
• Ein Vier-Augen-Prinzip bei der Berechtigungsvergabe, also die verpflichtende Prüfung der Korrektheit neu vergebener Berechtigungen auch durch die beauftragende Stelle
• Die Dokumentation der Vorgänge „rund um“ Berechtigungen, insbesondere die Dokumentation von Berechtigungsaufträgen sowie deren Erledigung und Überprüfung
• Ein fester Ablauf im Fall des Ausscheidens von Beschäftigten sowie von Versetzungen, Umsetzungen oder anderen Maßnahmen, bei denen sich der Aufgabenkreis ändert, im Hinblick auf bestehende Berechtigungen, etwa eine Verpflichtung der beauftragenden Stelle, relevante Änderungen an die änderungsberechtigte Stelle zu melden
• Die Erstellung und Fortführung einer stets aktuellen und erreichbaren Übersicht für die Beschäftigten, welche Dateiablagen für welche Zwecke vorhanden sind

Diese Empfehlungen können auch bei anderen Anwendungen für eine gemeinsame Dokumentenverwaltung angewendet werden, wie z.B. Microsoft SharePoint.

1.12 Falschparker, Haushaltsprivileg, Umwelthilfe und das BayLDA

Die Deutsche Umwelthilfe ist bekannt dafür, dass sie sich engagiert die Umsetzung rechtlicher Anforderungen im Umweltbereich auch mit gerichtlicher Unterstützung zu erreichen. Sie unterstützt auch Bürger:innen, die verkehrsgerechtes Verhalten anmahnen, auch wenn diese dazu Behörden einschalten, wie bei verkehrswidrig abgestellten Fahrzeugen. Nun eskaliert eine rechtliche Auseinandersetzung um einen Vater, der verkehrswidriges Halten und Parken vor der Schule seiner Kinder zur Anzeige brachte und dabei Fotoaufnahmen anfertigte. Der Falschparker beschwerte sich beim BayLDA – und dieses ging gegen den Vater vor. Wir erinnern uns, ein vergleichbarer Fall war bereits schon mal Gegenstand eines Verfahrens vor dem VG Ansbach. Dieses entschied damals, dass für die Aufnahmen und Weitergabe eines Bildes zur Verfolgung von Parkverstößen der Anwendungsbereich der DS-GVO eröffnet ist und dass die Aufnahme und Weitergabe erforderlich sein kann, dass entgegenstehende Interessen der Fahrzeughalter als betroffene Personen das berechtigte Interesse des Anzeigenerstatters nicht überwiegen.
Nun hat der EuGH aber gerade eben erst entschieden, dass bei einer direkten Bildaufnahme die Informationspflichten nach Art. 13 DS-GVO zur Anwendung kommen (EuGH C-422/24). Dummerweise ist nach der Rechtsprechung des EuGH aber auch erforderlich, dass der betroffenen Person bei Erhebung das berechtigte Interesse mitgeteilt werden müsse (EuGH C-394/23, RN. 63 f). Und auch dummerweise sieht die DS-GVO weitere Pflichten vor, wie Schutzmaßnahmen und Umsetzung der Betroffenenrechte. Und damit hat das BayLDA bei der Umsetzung der rechtlichen Anforderungen nun die Aufgabe dies dem anzeigenden Vater – und der Umwelthilfe – zu erklären. Bericht dazu auch hier. Der Vorgang wird auch in dieser Podcast-Folge (Dauer ca. 49 Min.) gleich zu Beginn ausführlich besprochen – mit Aspekten aus der Entscheidung des EuGH C-413/23 (SRB) hinsichtlich der Bewertung eines Kfz-Kennzeichens und dessen Personenbezugs.

1.13 Datenschutz als Eskalationsgrundrecht

Aufsichtsbehörden beklagen eine Flut an Beschwerden, die mit den vorhandenen Ressourcen kaum noch zu bewältigen seien. Ausgehend von einem Post in einem sozialen Netzwerk geht es in diesem Podcast-Beitrag (Dauer ca. 52 Min.) mit der Pressereferentin des BayLDA um die Fragestellung zur Entwicklung des Beschwerdeaufkommens und die Wahrnehmung eines Beschwerderechts z.B. bei nachbarschaftsrechtlichen Streitigkeiten oder als Mittel zur Klärung von Meinungsverschiedenheiten über datenschutzrechtliche Betroffenenrechte.

1.14 Reform der Datenschutzaufsicht in Bayern?

In Bayern wählt die CSU einen digitalpolitischen Sprecher und dieser sieht schon mal eine Aufgabe: die Zusammenlegung des BayLDA mit dem LfD Bayern. Bei der Regierungspartei herrscht die Ansicht, dass Datenschutz unverzichtbar ist, aber dürfe die Nutzung von Daten nicht erschweren oder gar zum Täterschutz werden. Die Regeln müssten so gestalten werden, dass sie den Fortschritt unterstützen und nicht blockieren. (Unter uns: die Aufsichten setzen die Regeln durch, die die Legislative erlässt.) Ob die Opposition in Bayern in Bayern hier entgegenhalten wird, ist angesichts deren bisherigen Forderungen nicht zu erwarten.

1.15 SBDT: Präsentation zur Cookie-Einbindung

Die Sächsische Beauftragte für Datenschutz und Transparenz (SBDT) hat die Folien aus einem öffentlichen Webinar „Cookies und Drittanbieter in Websites und Apps datenschutzkonform einbinden“ bereitgestellt.

1.16 CNIL: „Fantom-App“ für junge Menschen

Die französische Aufsicht bietet eine App an, die 10- bis 15-Jährigen helfen soll sich in sozialen Medien zu schützen. Basierend auf einer Umfrage, die in mehreren weiterführenden Schulen durchgeführt wurde, erfüllt FantomApp die Bedürfnisse der Jugendlichen im Hinblick auf den Schutz ihrer personenbezogenen Daten und das Verständnis ihrer Rechte, insbesondere das Recht auf Löschung von Daten über sie. Die FantomApp kann hier geladen werden. Mittelschüler waren während der gesamten Entwicklung an dem Projekt beteiligt. Dieser kollaborative Ansatz führte zur Gestaltung einer Anwendung, die wirklich von und für junge Menschen konzipiert wurde. FantomApp baut auf ihren Praktiken auf und nutzt ihre eigenen digitalen Fähigkeiten, um ihnen zu helfen die richtigen Reflexe zu entwickeln.
Weitere Informationen sowie FAQ finden sich dazu hier.
Die Workshops betonten, wie wichtig es ist einfache Tools zum Schutz der Privatsphäre in sozialen Medien zu haben, ein besseres Verständnis der Sichtbarkeitseinstellungen und die Fähigkeit die richtigen Kontakte im Falle eines Problems schnell zu identifizieren.

1.17 CNIL: Nachweis der Einwilligung im Marketing

Im Marketingbereich basiert die Verarbeitung personenbezogener Daten auf der Zustimmung von Einzelpersonen. Um den Stakeholdern dabei zu helfen ihre Einhaltung der DS-GVO nachzuweisen, kündigt die CNIL die Eröffnung einer Konsultation an, um eine Empfehlung zum Nachweis der Einwilligung zu entwickeln.
Im Marketingbereich basieren viele Verarbeitungen personenbezogener Daten auf der Einwilligung der betroffenen Personen (z.B. im Bereich der kommerziellen Werbung). Die DS-GVO verlangt, dass diese Einwilligung freiwillig, spezifisch, informiert und eindeutig ist und dass die Akteure, die sie verwenden, in der Lage sind sie nachzuweisen. Die CNIL wird von Expert:innen regelmäßig zu den geltenden Voraussetzungen für den Nachweis der Einwilligung befragt, insbesondere zu den Elementen, die sie bezeugen müssen. Diese Fragen stellen sich umso mehr, da die Einwilligung auf verschiedene Weise (online, schriftlich, mündlich, etc.) in verschiedenen Kontexten und teilweise innerhalb komplexer Verarbeitungsketten (Datenbroker, etc.) erhoben werden kann. Angesichts dieser Herausforderungen möchte die CNIL die in der DS-GVO festgelegten Anforderungen klären, damit Marketingakteure ihre Compliance nachweisen können. Zu diesem Zweck will sie eine Empfehlung zum Nachweis der Einwilligung entwickeln.
Die CNIL wird Interessenträger (berufsbezogene Organisationen im Marketingsektor, Herausgeber von Technologien für das Verwaltung von Einwilligungen, zivilgesellschaftliche Vereinigungen usw.) einbeziehen, um bestehende Praktiken, Schwierigkeiten, die aufgetreten sind, zu ermitteln und die an die Realitäten des Sektors angepassten operativen Leitlinien zu formulieren.

1.18 CNIL: Sanktion gegen öffentliche Stelle nach Verstoß gegen Art. 32 DS-GVO

Die französische Aufsicht CNIL informierte, dass sie eine Geldstrafe gegen France Travail in Höhe von 5 Mio. Euro verhängt hat, weil diese keine ausreichenden technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten umgesetzt hat.
France Travail ist eine nationale öffentliche Einrichtung mit administrativem Charakter, deren Haushalt gesetzlich festgelegt ist und hauptsächlich auf Sozialbeiträgen (Arbeitgeber/Arbeitnehmer) beruht. Insofern wurde für die Bestimmung der Höhe der Geldbuße nicht auf den Umsatz Bezug genommen, sondern auf die Möglichkeit der Bewertung, dass die Obergrenze für eine Verletzung der Datensicherheit nach Art. 32 DS-GVO 10 Mio. Euro nicht überschreiten darf). Alle von der CNIL verhängten Geldbußen, unabhängig davon, ob sie private oder öffentliche Akteure betreffen, werden vom Finanzministerium zurückgefordert und in den Staatshaushalt eingezahlt.
France Travail wurde vorgeworfen, unzureichende Schutzmaßnahmen gehabt zu haben, so dass Angreifer auch über Social Engineering auf Sozialdaten aller registrierten Personen zugegriffen haben. Die CNIL ordnete auch Schutzmaßnahmen an, die im Rahmen eines Umsetzungsplan nachgewiesen werden müssen, ansonsten gibt es eine Strafe von 5.000 Euro pro Tag für die Verzögerung.

1.19 Liechtenstein: Anforderungen an Due Diligence

Welche datenschutzrechtlichen Vorgaben bei einem Unternehmenskauf zu beachten sind und wie dabei am besten mit personenbezogenen Daten umgegangen werden sollte, beantwortet hier die Datenschutzstelle Liechtenstein.

1.20 Spanien: Datenschutz in Arbeitsbeziehungen

Die spanische Aufsicht AEPD hat einen Leitfaden zu „Datenschutz in Arbeitsbeziehungen“ veröffentlicht. Vor dem Hintergrund der Öffnungsklausel für die Mitgliedsstaaten zum Beschäftigtendatenschutz gibt der Leitfaden einen allgemeinen Überblick über die Situation in Spanien.

1.21 Spanien: Sprachtranskription mit KI: Datenschutz-Implikationen

Künstliche Intelligenz ist ein Motor der Innovation, der es ermöglicht Qualität und Produktivität am Arbeitsplatz zu steigern und die Effizienz in verschiedenen Bereichen zu verbessern. Darunter sind Sprachtranskriptionsdienste, die einige Fragen unter den für Behandlungen Verantwortlichen aufgeworfen haben. Die spanische Aufsicht AWPD geht in ihrem Blog-Beitrag darauf ein.

1.22 Spanien: FAQ für KMU

Die spanische Aufsicht AEPD hat eine umfassende Überarbeitung ihres FAQ-Bereichs durchgeführt, um die Unterstützung für KMU und Datenschutzexpert:innen zu stärken. In den FAQ werden mehr als 200 Anfragen, die sowohl von Datenverantwortlichen als auch von Bürgern gestellt wurden, beantwortet. Eine neue Struktur gliedert die Themen in 17 Bereiche.

1.23 Österreich: Einstellungsanweisung hinsichtlich Cookieeinsatz gegenüber Microsoft

Die österreichische Datenschutzbehörde hat eine Entscheidung getroffen, dass bestimmte Cookies nicht mehr ohne Einwilligung der betroffenen Person verwendet werden dürfen. Die Entscheidung richtet sich gegen Microsoft und dessen Anwendung Microsoft 365 Education.
Laut Microsofts eigener Dokumentation analysieren diese Cookies das Nutzungsverhalten, sammeln Browserdaten und werden für Werbung verwendet. Microsoft hat nun vier Wochen Zeit, um der Entscheidung nachzukommen und die Verwendung von Tracking-Cookies einzustellen.
Bericht dazu auch hier.

1.24 Norwegen: Auftragsverarbeiter, der zu einem Verantwortlichem wird

Mit der Frage der datenschutzrechtlichen Verantwortlichkeit in der Insolvenz befasst sich diese Entscheidung der norwegischen Datenschutzaufsicht. Ein Arbeitnehmer forderte gegenüber seinem Arbeitgeber (Enklere Liv) Zahlung des ausstehenden Gehalts. Der Arbeitgeber war in Insolvenz gegangen. Der Insolvenzverwalter forderte den Dienstleister des Zeiterfassungssystems (Timegrip) auf die entsprechenden Zeitnachweise herauszugeben, um die Gehaltsforderungen berechnen zu können. Der Dienstleister weigerte sich, weil noch Zahlungen ausstünden. Der Arbeitnehmer machte einen Auskunftsanspruch gegenüber seinem Arbeitgeber und auch gegenüber Timegrip nach Art. 15 Abs. 1 DS-GVO geltend. Timegrip ging davon aus, dass der Vertrag mit der Eröffnung der Insolvenz endete und keine Verpflichtung zur Herausgabe bestünde. Die Speicherung der Daten würde aber fortgesetzt, bis klar sei, ob das insolvente Unternehmen fortgeführt würde. Es betrachtete sich aber auch als nicht verfügungsberechtigt für den Auskunftsanspruch.
Timegrip behauptete, dass es nach der Insolvenz von Enklere Liv keinen Verantwortlichen für die Datenverarbeitung mehr gebe. Timegrip ging davon aus, dass der Datenverarbeitungsvertrag mit der Insolvenz seine Gültigkeit verloren habe. Es müsse ein neuer Datenverarbeitungsvertrag mit der Konkursmasse abgeschlossen werden. In diesem Fall könnte Timegrip „im Rahmen eines bezahlten Auftrags“ den Auskunftsersuchen nachkommen, indem es die Rohdaten, jedoch nicht die fertigen Stundenzettel, an die Konkursmasse übergibt. Dann müsste Timegrip zunächst einen „100 % sicheren Identifikator für jede einzelne registrierte Person“ erhalten, bevor es Rohdaten über diese Personen herausgeben könnte.
Die Aufsicht stellte dazu klar, dass das System der DS-GVO nicht zulasse, dass es einen Auftragsverarbeiter gibt, ohne dass es einen Verantwortlichen gibt.
Im Ergebnis stellte die Aufsicht fest, dass in dem Kontext Timegrip Verantwortlicher wurde, da Timegrip über die wesentlichen Mittel wie die Art der zu verarbeitenden personenbezogenen Daten, die Dauer der Verarbeitung und die Empfänger der personenbezogenen Daten entschied.
Timegrip hatte nach Ansicht der Aufsicht keinen Grund den Antrag des Beschwerdeführers auf Einsichtnahme abzulehnen. Dieser war klar formuliert und eindeutig abgegrenzt. Es gab auch keinen vernünftigen Grund, seine Identität anzuzweifeln, oder einen Grund zu der Annahme, dass die Einsichtnahme die Rechte und Freiheiten anderer beeinträchtigt hätte.
Die Aufsicht verhängte eine Geldbuße in Höhe von umgerechnet ca. 21.500 Euro und machte sowohl zu der Begründung für eine Geldbuße wie auch zu deren Höhe umfangreiche Erläuterungen.

1.25 Schweden: Sanktion gegen Auftragsverarbeiter wegen Verstoß gegen Art. 32 DS-GVO

Die schwedische Datenschutzaufsicht (IMY) hat einen Auftragsverarbeiter wegen unzureichender Sicherheit gemäß Art. 32 DS-GVO mit einer Geldstrafe von 6 Millionen SEK (ca. 565.000 Euro) belegt. Das Unternehmen Sportadmin bietet digitale Kommunikationsdienste (die Dienste) an, darunter ein webbasiertes Verwaltungstool für die Mitgliederverwaltung, Rechnungsstellung und Websites für Sportvereine und andere Organisationen (die Vereine) sowie eine mobile Anwendung, die von den Leitern der Vereine, den Mitgliedern und den Erziehungsberechtigten der Mitglieder genutzt wird.
Bei einem Datenangriff durch einen externen Angreifer gab es Anzeichen dafür, dass Daten an den Angreifer übertragen worden waren und dass nicht ausgeschlossen werden konnte, dass dieser dadurch Zugang zu personenbezogenen Daten erhalten hatte.
Als Ursache für den Angriff wurde eine SQL-Injection in die Systeme durch einen Angreifer als wahrscheinlich erachtet.
Der Vorfall im Zusammenhang mit personenbezogenen Daten betraf 2.126.075 natürliche Personen, die anhand ihrer Personennummer identifizierbar waren. Da sich die Aktivitäten der Vereine in erster Linie auf Kinder und Jugendliche konzentrieren, ist diese Gruppe in den Registern der Vereine am häufigsten vertreten. Die Dienste enthalten mehrere Kategorien von personenbezogenen Daten, darunter vollständige Namen und Kontaktdaten, Geschlecht, Personennummer, Beziehung zwischen Erziehungsberechtigtem und Mitglied, Nationalität sowie die Sportart und der Verein, mit denen ein Registrierter in Verbindung stand. Zu den personenbezogenen Daten, die in den Diensten verarbeitet werden, gehören auch sensible personenbezogene Daten über Behinderungen und Allergien. Es hat sich auch herausgestellt, dass in den Diensten in gewissem Umfang geschützte personenbezogene Daten vorhanden waren, obwohl davon ausgegangen wurde, dass solche Daten in den Diensten nicht verarbeitet werden sollten.
Etwa eine Stunde nach Entdeckung des Vorfalls wurden alle Dienste vollständig abgeschaltet. Sportadmin behandelte den Vorfall als schwerwiegenden Sicherheitsvorfall und konzentrierte sich dabei auf drei parallele Bereiche: Minimierung der Schäden für Kunden und Nutzer, Wiederherstellung des normalen Betriebs und Kommunikation mit den Vereinen und Nutzern. Sportadmin ergriff außerdem umfassende Maßnahmen, um das Risiko eines ähnlichen Vorfalls zu minimieren. Das Unternehmen ergriff unter anderem innerhalb kurzer Zeit mehrere technische Maßnahmen, darunter umfassende Überprüfungen der bestehenden Funktionalität und die Aktivierung einer neuen Produktionsumgebung, um den weiteren oder erneuten Zugriff des Angreifers auf personenbezogene Daten zu verhindern.
Sportadmin informierte alle Vereine und forderte sie auf den Vorfall unter Bezugnahme auf die Informationen in der Vorfallmeldung von Sportadmin als eigene Datenschutzvorfälle an IMY zu melden. Sportadmin arbeitete in Absprache mit IMY daran es allen Parteien so einfach wie möglich zu machen korrekte und vollständige Meldungen an IMY zu übermitteln. Das Unternehmen führte über 2.000 Telefonate mit den Vereinen, die von einer großen Anzahl von Mitarbeitern in sehr kurzer Zeit durchgeführt wurden, um über die Gespräche mit IMY zu informieren und sie bei der Einreichung ihrer Meldungen bei Sportadmin zu unterstützen. Dies führte dazu, dass die überwiegende Mehrheit der Vereine, fast 1.700, innerhalb von 72 Stunden nach dem Vorfall Meldungen einreichte. Sportadmin informierte die Vereine laufend über den Stand der Angelegenheit und unterstützte sie bei der Kontaktaufnahme mit den Nutzern.
Sportadmin holte außerdem die Zustimmung der Vereine ein, um in ihrem Namen zu handeln und allen registrierten Personen Informationen über den Vorfall zuzusenden. Aufgrund dieser Informationen konnten die registrierten Personen ihre Rechte gemäß der Datenschutzverordnung besser wahrnehmen, als wenn die Vereine die Informationen bereitgestellt hätten, da es so einfacher war einen Überblick darüber zu erhalten, welche personenbezogenen Daten von welchen Vereinen verarbeitet wurden. Das Unternehmen hat angegeben, dass die registrierten Personen durch diese Vorgehensweise innerhalb kurzer Zeit und noch bevor der Bedrohungsakteur die Daten veröffentlichte, Zugang zu den Informationen erhielten. Dies hatte unter anderem zur Folge, dass die registrierten Personen unverzüglich Vorsichtsmaßnahmen in Bezug auf ihre personenbezogenen Daten ergreifen konnten.
Die Datenschutzaufsicht IMY stellte dazu fest, dass Sportadmin im Wesentlichen als Auftragsverarbeiter für die in den Diensten verarbeiteten personenbezogenen Daten und in begrenztem Umfang als Verantwortlicher fungiert. Da die Verpflichtung zur Ergreifung geeigneter Maßnahmen gemäß Art. 32 DS-GVO sowohl für Verantwortliche als auch für Auftragsverarbeiter gilt, wird IMY nicht näher beurteilen, welche Rolle das Unternehmen in Bezug auf die jeweilige Verarbeitungstätigkeit gespielt hat.
Auch kam sie zu dem Ergebnis, dass für das erforderliche Schutzniveau unzureichende technische und organisatorische Maßnahmen umgesetzt waren.
Die Aufsicht ist der Ansicht, dass es Aufgabe von Sportadmin war geeignete Maßnahmen zu ergreifen, um kontinuierlich zu überprüfen und sicherzustellen, dass die getroffenen Sicherheitsmaßnahmen ausreichend wirksam waren. Der festgestellte Mangel im Schutz vor SQL-Injektionen war so grundlegender Natur, dass Sportadmin ihn hätte entdecken und beheben müssen.
Für den Verstoß verhängt die Aufsicht eine Geldbuße in Höne von 6.000.000 SEK (ca. 656.000 €). Der Bescheid enthält im Übrigen auch Ausführungen zur Berücksichtigung einer Konzernstruktur.

1.26 Belgien: Umfang des Auskunftsanspruchs bei Verträgen – Nachweispflichten

Wann sind auch Verträge von einem Auskunftsanspruch nach Art. 15 DS-GVO mitumfasst? Und wer trägt die Beweislast, dass ein Vertrag besteht, auf den die Verarbeitung gestützt wird? Damit befasste sich die belgische Aufsicht, als im Rahmen eines Auskunftsbegehrens die verantwortliche Bank nicht mehr den Vertrag vorzeigen konnte, auf den sie die Verarbeitung stützte (Art. 6 Abs. 1 lit. b DS-GVO).
Die Aufsicht stellte in RN. 29 unter Verweis auf den EuGH C-487/21 (CRIF) (wir berichteten) fest, dass eine Kopie nur dann vom Auskunftsanspruch umfasst sei, wenn dies unerlässlich sei, damit die betroffene Person ihre durch die DS-GVO gewährten Rechte ausüben könne. Im konkreten Fall bejahte sie, dass Kontoeröffnungsverträge vom Auskunftsanspruch umfasst seien (RN. 35). Allerdings seien die Originaldokumente nicht mehr vorhanden und die Aufsicht betont, dass ein Vertragsverhältnis als Grundlage nach Art. 6 Abs. 1 lit. b DS-GVO auch ohne Originalvertragsunterlagen zur Kontoeröffnung nachgewiesen werden könne (RN. 44) und die Bank insoweit eine gültige Rechtsgrundlage nachweisen konnte.
Die Bank argumentierte, dass die Originalunterlagen aufgrund menschlichen Versagens nicht mehr im Archivierungssystem vorhanden seien. Die Aufsicht wertete dies als Verletzung der Vorgaben nach Art. 5 Abs. 1 lit. f, Art. 25 Abs. 1 und Art. 32 DS-GVO und sprach im konkreten Fall eine Verwarnung aus.

1.27 Dänemark: „Beabsichtigter Drittstaatentransfer“ durch Auftragsverarbeiter

Liegt bereits eine beabsichtigter Drittstaatentransfer durch den Auftraggeber als Verantwortlichen vor, wenn sich ein Dienstleister in der Vereinbarung zur Auftragsverarbeitung vorbehält in besonderen Fällen Informationen in Drittländer zu übermitteln? Dazu äußert sich die dänische Aufsicht und bejaht dies. In der Praxis bedeutet dies nach der dänischen Aufsicht, dass keine zufälligen Übermittlungen erfolgen.
Sie äußert sich dazu, weil immer noch Unsicherheiten im Zusammenhang mit Begriffen besteht, die in Datenverarbeitungsvereinbarungen bei der Nutzung von Cloud-Anbietern verwendet werden. Die dänische Datenschutzbehörde erinnert daran, dass sie sich mit Teilen des Problems bereits im Jahr 2022 im Rahmen des Gutachtens der Aufsichtsbehörde zu KOMBIT über beabsichtigte und unbeabsichtigte Übertragungen in Drittländer befasst habe. Bereits damals stellte die dänische Aufsicht fest, dass ein Vorbehalt des Auftragsverarbeiters als beabsichtigte Drittstaatentransfer bei dem beauftragenden Verantwortlichen zu bewerten sei, der dazu führt, dass die Vorschriften für die Übermittlung in Drittländer eingehalten werden müssen, wenn der Dienstleister diese Übermittlungen durchführt.

1.28 Belgien: Datenschutzrechtliche Bewertungen bei Fehlversendungen

Welche Faktoren können bei einer Fehlversendung von Dateien / Dokumenten mit personenbezogenen Daten für die Risikobetrachtung herangezogen werden? Wohlgemerkt für eine Risikobetrachtung nach Art. 33 Abs. 1 DS-GVO im Hinblick auf das Risiko für die Rechte und Freiheiten betroffener Personen, die davon betroffen sind. Hierzu gibt es bereits Aussagen von Aufsichtsbehörden wie z.B. der LDA Brandenburg (in ihrem Tätigkeitsbericht für 2022, Seite 63), die kein hohes Risiko erkennen kann, wenn die fehlempfangende Person berufsbedingt mit sensiblen Daten umzugehen weiß.
Die belgische Aufsicht ging bei einem Fall aus dem Jahr 2024 dabei einen ganz anderen Weg: Sie stellt fest, dass bei einer „fälschlichen“ Adressierung davon ausgegangen werden kann, dass die Weiterleitung der personenbezogenen Daten an die dritte Person nicht das Ziel des Absenders war. Die betreffende Verarbeitung könnte somit als Fehler angesehen werden und nicht als eine Verarbeitung, für die der Absender als Verantwortlicher im Voraus eine Rechtsgrundlage festgelegt hatte. Auf dieser Grundlage ist die Streitkammer der Ansicht, dass die Beklagte prima facie keine Rechtsgrundlage geltend machen kann, aus der sich die Rechtmäßigkeit der Verarbeitung ergeben würde (RN. 11). Es bewertet dies als Verletzung der Vertraulichkeit durch unzureichende Schutzmaßnahmen (RN. 14 f).
Die Aufsicht stellt fest, dass dadurch, dass es von der falsch adressierten dritten Person eine Bestätigung an den Absender gab, dass diese die Anhänge der E-Mail (den Entwurf eines Kaufvertrags und die Abrechnung) nicht geöffnet und die E-Mail sofort gelöscht habe, ausgegangen werden könne, dass es prima facie unwahrscheinlich sei, dass die Verletzung im Zusammenhang mit personenbezogenen Daten ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. In diesem Fall bestünde auch keine Verpflichtung die Verletzung der Datenschutzbehörde zu melden oder die Personen, deren personenbezogene Daten von der Verletzung betroffen sind, über die Verletzung zu informieren (RN. 18).
In den FAQ der japanischen Datenschutzaufsicht wird in Ziffer A4-8 die Thematik der fehlgeleiteten Postsendung nicht als Erfassung sensibler personenbezogener Daten durch den Empfänger ausgelegt, sofern keine Handlung zum „Empfang” der Daten vorliegt. Das heißt, wenn der Empfänger die sensiblen personenbezogenen Daten, in deren Besitz er gelangt ist, unverzüglich zurücksendet oder vernichtet und somit keine Handlung zum „Empfang” der Daten vorliegt, wird dies nicht als Erfassung sensibler personenbezogener Daten ausgelegt. Auch würde nach der Ziffer A6-2 ein Risiko bestehen, sofern nicht der Fehlempfänger bestätigt, dass er die in der E-Mail enthaltenen personenbezogenen Daten nicht eingesehen hat, bevor er sie gelöscht hat bzw. dass über Zugriffsprotokolle oder ähnlichem bestätigt wird, dass kein Unbefugter Daten eingesehen hat, bevor sie unzugänglich gemacht wurden.

1.29 BSI: Anmeldemöglichkeit für Warnungen auch für Kommunen

Seit dem Jahr 2013 konnten sich Kommunen bei der Allianz für Cybersicherheit (ACS) registrieren und erhielten Zugang zum internen Informationspool sowie zu E-Mail-Warnungen des BSI. Dieses Verfahren läuft nun aus. Ich habe beim BSI-Portal nachgefragt: Künftig kann die Teilnahme auch für Kommunen über das BSI-Portal* erfolgen. Dort stehen BSI-IT-Sicherheitsmitteilungen (BITS), Warnmeldungen sowie Tages- und Monatslageberichte zur Verfügung. Ein späterer E-Mail-Versand der Warnmeldungen sei geplant.

* Franks Anmerkung: Wir reden immer noch von diesem BSI-Portal.

1.30 BSI: Leitfaden für Cloudeinsatz bei VS-Klassifizierungen

Das BSI hat einen Leitfaden für den Einsatz von Cloud-Lösungen im VS-Kontext der Bundesverwaltung veröffentlicht. Schwerpunktmäßig ist dieser auf den Geheimhaltungsgrad VS – Nur für den Dienstgebrauch (VS-NfD) ausgerichtet. Der Leitfaden richtet sich gleichermaßen an Bedarfsträger, Betreiber, Hersteller sowie Cloud Service Provider (CSP) und Cloud-Broker, die eine sichere und regelkonforme Nutzung von Cloud-Diensten im Umgang mit VS für die Bundesverwaltung anstreben.
Grundlage ist die Verschlusssachenanweisung (VSA) des Bundes, die die Regelungen zum materiellen Geheimschutz für Bundesbehörden und bundesunmittelbare öffentlich-rechtliche Einrichtungen vorgibt.

1.31 Singapur: Privacy Enhancing Technologies (PET) Adoption Guide 2026

Die Datenschutzaufsicht aus Singapur veröffentlichte ihren neuen Umsetzungsleitfaden zu Privacy Engancing Technologies (PET).

1.32 EDSA: SPE zur internationalen Zusammenarbeit bei der Durchsetzung des Datenschutzes

Aus dem Support Pool of Experts (SPE) Programm heraus veröffentlichte der EDSA einen Bericht über die Zusammenarbeit zwischen den Datenschutzbehörden des EWR und den Datenschutzbehörden in Ländern oder Organisationen, für die eine Angemessenheitsentscheidung der EU vorliegt, und untersuchte gleichzeitig, wie Erkenntnisse aus anderen Regulierungsbereichen zu Verbesserungen zur Stärkung der grenzüberschreitenden Zusammenarbeit bei der Durchsetzung beitragen können. Der Bericht analysiert den aktuellen Stand der internationalen Zusammenarbeit bei der Durchsetzung des Datenschutzes und bewertet, ob und inwieweit nützliche Lehren aus den entsprechenden Kooperationsrahmen im Verbraucherschutz und Wettbewerbsrecht gezogen werden können. Zu diesem Zweck werden in dem Bericht sowohl rechtsverbindliche als auch „Soft-Law“-Instrumente, die den Datenschutzbehörden derzeit zur Verfügung stehen, überprüft, ihre praktische Anwendung bewertet und die Herausforderungen identifiziert, die eine robustere Form der grenzüberschreitenden Zusammenarbeit behindern. Der Bericht hat den Stand September 2025.

1.33 EDSA: Konferenz zur behördenübergreifenden Zusammenarbeit

Der EDSA informiert, dass nun eine Anmeldung für eine Konferenz zur behördenübergreifenden Zusammenarbeit in der EU am 17. März 2026 in Brüssel möglich ist. Diese Veranstaltung soll einen umfassenden Überblick über die Arbeit des EDSA im Bereich der behördenübergreifenden Regulierung in der EU bieten, wobei der Schwerpunkt insbesondere auf der Interaktion zwischen den Rechtsrahmen und der Gewährleistung der Zusammenarbeit zwischen den Behörden liegt. Die Anmeldung ist bis zum 26. Februar 2026 hier möglich. Auch eine Remote-Teilnahme soll möglich sein.

1.34 EDSA: Abschlussbericht zur übergreifenden Prüfung zum Löschen

Nach der Agenda zum 115. Treffen des EDSA wird dort der Abschlussbericht zu der übergreifenden Prüfung zum Löschen besprochen, die im Jahr 2025 durchgeführt wurde. Der EDSA hatte auf Vorschlag des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg die Umsetzung des Rechts auf Löschung („Recht auf Vergessenwerden“) als Thema seiner vierten koordinierten Aktion ausgewählt. Aus Deutschland beteiligten sich der LfDI Baden-Württemberg, die Berliner BfDI und das LDA Brandenburg.

1.35 BfDI: Denkwerkstatt zum Data Act

Die BfDI hat sich mit Expertinnen und Experten zum Zusammenspiel DS-GVO und Data Act ausgetauscht, wie sie selbst berichtet. 13 Vertreter:innen von Unternehmen, Verbänden und der Zivilgesellschaft nutzten diese Plattform, um fundiert über bestehende Unklarheiten und Herausforderungen bei der Umsetzung des Data Acts im Zusammenhang mit der DS-GVO zu sprechen. Insbesondere diskutierten die Teilnehmenden anhand konkreter Fallkonstellationen, wann ein Personenbezug vorliegt und zu welchem Grad der Hersteller des vom Data Act geregelten IoT-Gerätes datenschutzrechtlich Verantwortlicher ist. Zudem gab es einen Austausch zur Frage der Rechtsgrundlage bei der Verarbeitung personenbezogener Daten.
Die BfDI will die Diskussionsergebnisse nutzen, um aufkommende Fragen in Zusammenarbeit mit der Bundesnetzagentur zu behandeln. Weiterhin wird die BfDI sich in den einschlägigen Gremien dafür einsetzen Unsicherheiten aufzulösen.
Wie sie selbst darlegt, ist sie noch nicht zuständig, die Bundesregierung habe aber schon mal vorgesehen, dass die BfDI für Datenschutzfragen rund um den Data Act zuständig sein soll – das Gesetzgebungsverfahren läuft noch. Aufgrund der positiven Resonanz wird das Format fortgeführt.

1.36 Mecklenburg-Vorpommern: Tätigkeitsbericht für 2024

Der LfDI Mecklenburg-Vorpommern veröffentlichte seinen Tätigkeitsbericht für das Jahr 2024. In der Pressemeldung dazu weist er u.a. darauf hin, wie Chancen der Digitalisierung optimal genutzt und Risiken minimiert werden können, wenn ein Bewusstsein dafür entsteht den Datenschutz von Anfang an mitzudenken.

1.37 Spanien: Tool zur Einführung von KI in der andalusischen Verwaltung

Die spanische Aufsicht AEPD informiert, dass die Datenschutzaufsichtsbehörde für Andalusien (Rat für Transparenz und Datenschutz von Andalusien) eine Methodik eingeführt hat, die die andalusischen öffentlichen Verwaltungen dabei unterstützt KI-Systeme verantwortungsvoll und im Einklang mit Datenschutzbestimmungen umzusetzen. Die Methodik wendet unterschiedliche Nachfrageniveaus auf der Grundlage von Risiken an: Je größer die potenziellen Auswirkungen, desto höher ist das Aufsichtsniveau. Basierend auf den Antworten auf die gestellten Fragen konfiguriert es, welche Schritte zu befolgen sind und welche Verifizierungsstufe erforderlich ist, von 40 Steuerelementen für Basisprojekte bis zu 161 für die komplexesten Systeme. Als Beispiel für ein Projekt mit geringer Komplexität wird ein Chatbot genannt, der durch einen Stadtrat implementiert wird, um grundlegende Bürgeranfragen zu beantworten. Er könnte dazu eine reduzierte Reihe spezifischer Schutzmaßnahmen überprüfen. Ein Projekt von hoher Komplexität wäre demnach eine Verwaltung, die ein KI-System entwickelt, um Anfragen nach Sozialhilfe automatisch zu bewerten (wobei das KI-System sensible Daten verarbeitet und Entscheidungen trifft, die die Bürger erheblich beeinflussen). Dies sollte einem umfassenderen Prozess folgen, der algorithmische Voreingenommenheitsbewertungen, menschliche Aufsichtsmechanismen und spezifische Verfahren für die Ausübung von Rechten umfasst.
Die Methodik wird von einem Werkzeug begleitet, das seine praktische Anwendung ermöglicht. Es führt die Beamten Schritt für Schritt durch den Lebenszyklus des Projekts und erleichtert die systematische Beschreibung des Systems, die Überprüfung der wesentlichen Compliance-Anforderungen, die Umsetzung der Risikoanalyse, die Annahme technischer und organisatorischer Maßnahmen und die Generierung der Folgenabschätzung zum Datenschutz. Darüber hinaus bietet sie spezifische Leitlinien für die Integration von Datenschutzanforderungen in öffentliche Ausschreibungsprozesse und erstellt einen Monitoringplan für die Betriebsphase des Systems.
Ziel ist es, dass dieses Instrument zum Referenzstandard für die verantwortungsvolle Entwicklung der KI im Bereich des Datenschutzes im andalusischen öffentlichen Sektor wird, der es den Verwaltungen ermöglicht das volle Potenzial der künstlichen Intelligenz zu nutzen und gleichzeitig die maximalen Garantien für die Rechte der Bürger zu erhalten.
Mehr dazu auf den Seiten der AEPD. Hier ist der Zugang zur Methodik und hier der Zugriff auf das Tool.

1.38 CNIL: Anonymisierung und KI

Anfang dieses Jahres veröffentlichte die französische Datenschutzbehörde CNIL ein detailliertes und hochgradig technisches Papier auch auf Englisch (vorher auf Französisch hier), das eine Frage behandelt, mit der viele Organisationen noch immer kämpfen: Wann kann ein KI-Modell als anonym gelten und wann fällt es in den Anwendungsbereich der DS-GVO?
Die CNIL kommt zu der Erkenntnis, dass, wenn ein Modell persönliche Daten auswendig lernen kann und diese Daten mit Methoden extrahiert werden können, die mit vernünftiger Wahrscheinlichkeit verwendet werden, das Modell selbst in den Anwendungsbereich der DS-GVO fällt.
Die CNIL verweist bei ihrer Veröffentlichung auf einen Bewertungsrahmen, u.a.

• Indikatoren zur Beurteilung, ob ein Modell persönliche Daten enthalten könnte,
• Kriterien zur Feststellung, wann eine Re-Identifikationsangriffsprüfung erforderlich ist,
• Leitlinien zu Angriffen wie Mitgliedschaftsinferenz, Modellinversion und Datenregurgitation (Datenwiedergabe),
• klare Erwartungen hinsichtlich Dokumentation, DSFA und Governance
• sowie explizite Verknüpfungen zu den Verpflichtungen aus KI-VO, einschließlich der Überwachung nach dem Markteintrag und der Meldung von Vorfällen.

Als Ergebnis kann festgehalten werden: Anonymität muss technisch nachgewiesen und dokumentiert werden, wobei der aktuelle Stand der Technik berücksichtigt wird.

1.39 CNIL: Development of AI Systems: What should be checked?

Auf die Veröffentlichungen der französischen Aufsicht CNIL und deren Aussagen rund um KI haben wir bereits hingewiesen. Diesmal heben wir aus dieser Reihe die Hinweise zur Entwicklung eines KI-Systems hervor.

1.40 Dänemark: Hinweise zum Einsatz von Chromebooks an Schulen

Zuerst fragte die dänische Aufsicht den EDSA zu den Anforderungen an einen Verantwortlichen hinsichtlich der Kette von Auftragsverarbeitern, die dieser auch im Oktober 2025 mit der Stellungnahme 22/2024 beantwortet. Nun setzt die dänische Aufsicht die Erkenntnisse um und äußert ernsthafte Kritik und warnt gleichzeitig 51 Gemeinden in Bezug darauf, wie sie die Produkte von Google in Grund- und weiterführenden Schulen nutzen ohne entsprechende erforderlichen und funktionalen Anforderungen zu berücksichtigen. Zudem dürfe eine weitere Verarbeitung in einem Drittland nur stattfinden, wenn es ein Schutzniveau gibt, das sicherstellen kann, dass dies im Wesentlichen dem Schutzniveau in der EU / im EWR entspricht.
Darüber hinaus stellt die dänische Datenschutzbehörde fest, dass es als Datenverantwortlicher nicht möglich ist Produkte zu verwenden, die unklare Verarbeitungsstrukturen enthalten. Gleichzeitig besteht die dänische Datenschutzbehörde darauf, dass der Verantwortliche Zugang zu den erforderlichen Ressourcen haben muss, um die rechtmäßige Verarbeitung personenbezogener Daten zu gewährleisten, auch in Situationen, in denen sich ein ausgewähltes Produkt oder die vertragliche Grundlage für das Produkt ändert. Die Entscheidung zur Verarbeitung personenbezogener Daten mit Google Chromebooks und Workspace for Education findet sich hier.

1.41 BSI: TR 03166 „Biometric Authentication Systems“ in der Version 2.0

Das BSI aktualisierte die Technische Richtlinie BSI TR-03166 "Biometric Authentication Systems" nun auf die Version 2.0. Sie soll nun universeller für deutlich mehr Use Cases für biometrische Authentisierungssysteme, wie zum Beispiel Smartphones oder Zutrittskontrollsysteme, eingesetzt werden. Besondere Merkmale dieser Technischen Richtlinie sind unter anderem:

• Beachtung und Inkludierung bestehender Standards
• Prüfmethodologien in Anlehnung an Common Criteria und ISO- / CEN-Standards
• Anleitung zur Ermittlung des Angriffspotenzials
• Berücksichtigung der Kombination biometrischer Merkmale wie Multi-Modalität (z. B. Gesicht, Finger) und Multi-Instanz (z. B. unterschiedliche Finger)
• Nutzung von organisatorischen Maßnahmen zur Erschwerung von Bruteforce-Angriffen
• Betrachtung von Präsentationsangriffen nach dem Stand der Technik

Im Vergleich zu PINs, Passwörtern oder physischen Sicherheitstoken sei die biometrische Authentifizierung schnell und sehr benutzerfreundlich, da Nutzende biometrische Merkmale nicht vergessen oder verlieren können.

1.42 BSI: Neues Verfahren bewahrt Zertifizierung bei Software-Updates (TR-03185)

Eine Zertifizierung betrachtet immer den aktuellen Stand – doch was, wenn bei einer Software in der Woche darauf ein Update kommt? Das BSI hat dazu nun eine Antwort. Mit einem neuen Verfahren ermöglicht das BSI künftig Software auch nach Updates ohne erneute Zertifizierung als konform auszuweisen. Damit können Hersteller deutlich schneller sicherheitsrelevante Updates ausspielen und gleichzeitig die Zertifizierung ihres Produktes beibehalten. Voraussetzung dafür ist eine Zertifizierung ihrer Prozesse zur Software-Entwicklung nach der Technischen Richtlinie TR-03185 „Sicherer Software-Lebenszyklus“.
Die Zertifizierung nach der TR-03185 wird von BSI-zertifizierten Auditteamleitern für ISO-27001-Audits auf der Basis von IT-Grundschutz begleitet. Ein erteiltes Zertifikat ist drei Jahre gültig bei jährlichen Überwachungsaudits. Hersteller profitieren von deutlich verkürzten Verfahren bzw. von obsoleten Verfahrensschritten: Re-Zertifizierungen, Maintenance-Verfahren sowie Änderungsmitteilungen bei Produkt-Updates entfallen künftig, sofern eine gültige TR-03185-Zertifizierung vorliegt und die Überwachungs-Audits erfolgreich absolviert werden. 
Als erster Pilot wird das Verfahren ab Februar 2026 im Bereich der Gesundheits-Apps (BSI TR-03161) möglich sein. Die Prozess-Zertifizierung nach der TR-03185 ist optional, kann jedoch Herstellern die oben beschriebenen Vorteile bieten. Die Anwendung des Verfahrens auf weitere Technische Richtlinien ist geplant.
Auch für alle anderen Software-Hersteller bietet sich eine Zertifizierung nach der TR-03185 an. Ein Zertifikat stellt einen Vertrauens- und Sicherheitsnachweis gegenüber den Kunden dar und belegt, dass die eigenen Prozesse zu Entwicklung und Produktion von Software sicher und zuverlässig sind. Software-Hersteller können so deutlich machen, dass sie die Prinzipien SecurityByDesign, DevSecOps umsetzen und Cybersecurity mitdenken.

1.43 BSI: Podcast zu KI und Verantwortung

Das BSI befasst sich in dieser Podcast-Folge (Dauer ca. 45 Min.) mit Fragen der Verantwortlichkeit beim Einsatz von KI. In der Folge geht es über Verantwortung, Gewissen und Rechenschaft im Zeitalter von Algorithmen, über die Grenzen von KI-Systemen und über die Frage, wer Verantwortung trägt, wenn Maschinen entscheiden. Konkret wird angesprochen, warum KI-Entscheidungen nicht automatisch fair und objektiv sind, wo Algorithmen im Alltag über Menschen urteilen, welche Risiken KI für Demokratie, Meinungsbildung und Vertrauen birgt, wie Desinformation und Fake News durch KI verstärkt werden können und weshalb Menschen KI oft mehr vertrauen, als sie sollten.

1.44 BSI: Fristen für Zertifizierung auf IT-Grundschutz Basis

Bei den Fristen für Zertifizierung auf IT-Grundschutz-Basis erfolgten in der Fassung der Version 2.2 des Zertifizierungsschemas (Stand 01.02.2026) Änderungen. So wurden z.B. neben Fristen auch die Verschlüsselungsverfahren angepasst.

2.1 OLG Köln: Beweisverwertung bei Persönlichkeitsrechtsverletzung?

In dem zugrundeliegenden Fall klagte ein Pay-TV-Anbieter gegen den Betreiber einer Gaststätte in Aachen. Dieser hatte in seinen Räumlichkeiten ein Champions-League-Spiel zwischen Juventus Turin und dem FC Barcelona live auf einem Bildschirm gezeigt, obwohl er keinen entsprechenden Lizenzvertrag hatte. Der Anbieter besaß die alleinigen Rechte für die öffentliche Wiedergabe solcher Spiele in Deutschland. Ein von dem Sender beauftragter Kontrolleur betrat die Gaststätte, fertigte mit einer in eine Brille eingebauten Kamera heimlich Videoaufnahmen an und dokumentierte den Vorfall. Das LG Köln gab in erster Instanz den Ansprüchen des Pay-TV-Fernsehsenders statt und stufte die heimlich aufgenommenen Videos als gerichtlich verwertbares Beweismittel ein. Der Gastwirt legte Berufung ein und rügte vor allem die Nutzung der heimlichen Videoaufzeichnungen. Diese hätten vor Gericht nicht benutzt werden dürfen.
Das OLG Köln bestätigte die Entscheidung des LG Köln und wies die Berufung zurück. Der Beklagte habe das exklusive Verwertungsrecht des Pay-TV-Anbieters verletzt. Die heimlich angefertigten Videoaufnahmen seien zwar problematisch, weil sie in das Persönlichkeitsrecht der Betroffenen eingreife. Für die Entscheidung seien diese jedoch letztlich nicht entscheidend. Denn auch ohne das Video sei die Rechtsverletzung durch Zeugenaussagen und ein Besuchsprotokoll ausreichend bewiesen worden (RN. 29). Eine solche Aufnahme greife in das allgemeine Persönlichkeitsrecht ein und stelle zudem personenbezogene Daten im Sinne der DS-GVO dar. Auch wenn der Betreiber nur in seiner Sozialsphäre betroffen sei, stelle die heimliche Aufnahme mit einer in der Brille versteckten Kamera ein problematisches Vorgehen dar. Die gefilmte Person habe dadurch keine Möglichkeit sich zu schützen oder der Aufzeichnung zu widersprechen. Allerdings ließ das OLG offen, ob dies hier für ein Beweisverwertungsverbot ausreiche (RN. 28). Bericht dazu hier.

2.2 BAG München: Anspruch auf Kopien personenbezogener Daten aus Complianceberichten

Der Termin im Revisionsverfahren vor dem BAG ist auf den 16. April 2026 festgelegt. In dem Verfahren geht es um den Anspruch auf Kopien eines Beschäftigten zu Ausführungen in einem Compliancebericht (wir berichteten). Bericht dazu auch hier mit Hinweisen zu Complianceberichten und zum Umgang mit entsprechenden Informationen in der Personalakte.

2.3 VG Wiesbaden: Anforderungen an involvierte Logik aus Art. 22 DS-GVO

Das VG Wiesbaden entschied, dass die hessische Datenschutzaufsicht Aufsichtsmaßnahmen gegen eine Auskunftei ergreifen muss, um sicherzustellen, dass sie angemessene Informationen zur automatisierten Entscheidungsfindung (ADM) gemäß Artikel 15 Abs. 1 lit. h DS-GVO bereitstellt.
Die Aufsicht wird unter Aufhebung des Bescheids vom 03.06.2020 verpflichtet mit aufsichtlichen Mitteln unter Beachtung der Rechtsauffassung des Gerichts zur Erfüllung des Auskunftsanspruchs der Klägerin aus Art. 15 Abs. 1 lit. h DS-GVO gegenüber der Beigeladenen einzuschreiten.
Der betreffenden Person wurde ein Kredit verweigert, nachdem die Auskunftei ihr eine "Hochrisiko"-Kreditwürdigkeit gegeben hatte, aber nicht klar erklärte, wie diese Bewertung bestimmt wurde. Obwohl die Datenschutzaufsicht zuvor eine Intervention abgelehnt hatte, stellte das Gericht klar, dass Schufa nach Art. 15 Abs. 1 lit. h DS-GVO – interpretiert durch jüngste EuGH-Entscheidungen – klare, detaillierte und individualisierte Informationen darüber bereitstellen muss, welche personenbezogenen Daten verwendet wurden, wie sie gewichtet wurden und warum die Punktzahl des Klägers als Hochrisiko eingestuft wurde. Abstrakte oder allgemeine Erklärungen reichen nicht aus.
Eine automatisierte Verarbeitung im Einzelfall i. S. v. Art. 22 Abs. 1 DS-GVO liegt vor, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.
Das Recht „aussagekräftige Informationen über die involvierte Logik“ im Sinne von Art. 15 Abs. 1 lit. h DS-GVO zu erhalten erfordert, dass anhand der maßgeblichen Informationen in präziser, transparenter und leicht zugänglicher Form die Verfahren und Grundsätze zu erläutern sind, die bei der automatisierten Verarbeitung der personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses – beispielsweise – eines Bonitätsprofils konkret angewandt wurden. Erforderlich ist eine auf den konkreten Fall bezogene Begründung. Das Urteil ist noch nicht rechtskräftig.

2.4 LG Berlin: Unzureichende Altersverifikation durch TikTok

Das Berliner LG hat TikTok untersagt, personenbezogene Daten von Kindern im Alter von 13 bis 15 Jahren für personalisierte Werbung zu verwenden, ohne die Zustimmung der Eltern einzuholen, wie der Verbraucherzentrale Bundesverband (vzbv) berichtet. Das Gericht bestätigte damit teilweise eine Klage des vzbv. TikTok wurde dafür kritisiert das Alter der Nutzer nicht ausreichend zu überprüfen und sich bei der Registrierung ausschließlich auf das bei der Registrierung angegebene Geburtsdatum als Altersangabe zu verlassen. Dieses Vorgehen stelle keine zuverlässige Schutzmaßnahme dar, da Kinder problemlos ein falsches Alter angeben könnten, um die Plattform ohne Einschränkungen zu nutzen. In solchen Fällen würden personenbezogene Daten ohne wirksame Einwilligung verarbeitet, wenn Minderjährige ein Alter von 16 Jahren oder mehr angäben.
Das Gericht hingegen lehnte den Antrag des vzbv, auch verschiedene Klauseln der Datenschutzrichtlinie von TikTok aus formellen Gründen zu verbieten, ab. Laut Datenschutzrichtlinie sammelt TikTok während der Nutzung der Plattform umfangreiche Daten – nach Ansicht des Verbraucherschutzes ohne ausreichende rechtliche Grundlage. Zum Beispiel zeichnet es auf, welche Videos Nutzer sehen, wie oft und wie lange sie die Plattform nutzen und wie sie mit anderen in Kontakt treten. Sogar das "Tastendruckmuster" wird aufgezeichnet.
Nach Ansicht des Berliner LG handelt es sich jedoch nur um einseitige sachliche Hinweise und nicht um allgemeine Geschäftsbedingungen mit vertraglich relevantem regulatorischen Inhalt. Der vzbv hat gegen diesen Teil des Urteils Berufung eingelegt.

2.5 OLG Zweibrücken: Anforderungen an Einwilligung bei Fotos in Wohnungen für ein Exposé

Ein Eigentümer ist Besitzer einer Doppelhaushälfte, die er verkaufen möchte. Dazu wurde mit den Mietern in einem abgesprochenen Termin und in ihrem Beisein durch den Makler von den Innenräumlichkeiten Lichtbildaufnahmen durch Mitarbeiter der Beklagten gefertigt, die nachfolgend unter einer entsprechenden Verkaufsanzeige auf der Internetseite „Immoscout“ veröffentlicht wurden sowie Eingang in ein ausgedrucktes Exposé fanden, das Kaufinteressenten im Rahmen von Besichtigungsterminen ausgehändigt wurde. Nach Veröffentlichung der Verkaufsanzeige wurden die Mieter von ihnen teilweise bekannten, teilweise unbekannten Personen auf die Fotos und ihre Wohnräumlichkeiten angesprochen, weshalb die Mieter sich nunmehr demaskiert fühlten und ein diffuses Gefühl des Beobachtetseins entstanden sei.
Sie begehrten deshalb von dem Makler verschiedene Auskünfte sowie Schadensersatz wegen eines behaupteten Datenschutzverstoßes. Während des Gerichtsverfahrens teilte der Makler mit, dass er alle gefertigten Lichtbilder gelöscht und auch keine weiteren Kopien gefertigt habe. Das OLG Zweibrücken bejahte den Auskunftsanspruch teilweise, lehnte einen Schadenersatzanspruch aber ab (ab RN. 50). Es läge eine Einwilligung vor.
Die Mieter hätten, indem sie die Mitarbeiter des Maklers in Kenntnis des Umstands, dass die Aufnahmen für den Verkauf des Anwesens gedacht waren, Lichtbilder haben fertigen lassen, zweifelsfrei zu verstehen gegeben, dass diese Lichtbilder Dritten zum Zwecke des Verkaufs – üblicherweise in einem Exposé, was sowohl die branchenübliche Veröffentlichung in Anzeigenportalen wie auch die ebenfalls übliche Überlassung in Papierform sei, zur Verfügung gestellt werden dürfen. Mit beidem mussten die Mieter zum Zeitpunkt der Fertigung der Aufnahmen rechnen. Jedenfalls hierin – und in die damit notwendigerweise verbundene Speicherung der digitalen Aufnahmen – hätten die Mieter eingewilligt.
Aufgrund dieser (konkludenten) Einwilligung in diese Verarbeitungsform sei es unschädlich, dass (möglicherweise) keine nähere Aufklärung über die Verarbeitungszwecke stattgefunden habe. Daher komme es auch auf die von der Berufung behaupteten Widersprüche in den Zeugenaussagen hinsichtlich des Zeitpunkts und des näheren Inhalts der Aufklärung nicht an. Die Auffassung der Mieter, die Einwilligung nach der DS-GVO müsse ausdrücklich erfolgen, widerspricht dem Wortlaut der Verordnung, vielmehr muss sie (lediglich) eindeutig sein. Dies war bei lebensnaher Betrachtung – wie dargelegt – der Fall. Bericht dazu auch hier.

2.6 OLG Dresden: Auskunft und Bonitätsinformationssystem

In einem Verfahren vor dem OLG Dresden ging es um eine Auskunft gegen eine Auskunftei und ob diese ordnungsgemäß erteilt wurde. Die Auskunft umfasst u.a. die in den letzten zwölf Monaten seit der Anfrage übermittelten Scores (Wahrscheinlichkeitswerte). Diese schwanken zwischen 59,4 % (sehr hohes Risiko) und 90,75 % (zufriedenstellendes bis erhöhtes Risiko) im betreffenden Einjahreszeitraum. Des Weiteren wurden in einer Tabelle zu Anfragen von Vertragspartnern der Beklagten in den letzten 12 Monaten übermittelte Wahrscheinlichkeitswerte aufgeführt. In dieser Tabelle sind Scorewerte, Ratingstufen, Erfüllungswahrscheinlichkeiten und die nach Darstellung der Beklagten derzeit verwendeten Datenarten nebst deren Risiko sowie als weitere Rubrik „Bedeutung insgesamt“ aufgeführt.
Das OLG Dresden stellte in seinem Urteil unter Ziffer II 1. B fest, dass es für den Umfang der Auskunftsrechte unerheblich sei, wenn zugleich ein Profiling des Betroffenen erfolge und ob hiervon eine erhebliche Belästigung ausgehe. Der von einem Bonitätsinformationssystem erfasste Betroffene habe Anspruch auf eine individualisierte Darlegung der Verfahren und Grundsätze, die bei der Verarbeitung konkret angewandt wurden; der Verweis auf allgemein gehaltene Informationen, die über eine Website abgerufen werden können, genügt nicht (Ziffer II. 3 A).

2.7 öBVerwG: Grenzen der Haushaltsausnahme auch innerhalb einer Familie

Das österreichische Bundesverwaltungsgericht (öBVerwG) musste sich mit Fragestellungen zum Zugriff eines getrenntlebenden Ehegatten auf das E-Mail-Konto der Ehefrau befassen. Durch das Lesen mehrerer im Rahmen von E-Mail-Entwürfen und an sich selbst versandten E-Mails („Tagebucheinträge“) erlangte der Ehemann Kenntnis davon, dass die Ehefrau diverse Notizen zu (Streit-) Gesprächen sowie verschiedenen Interaktionen mit dem Ehemann und zu dessen Vermögensverhältnissen abgespeichert hatte. Überdies las der Ehemann E-Mail(s) betreffend die Kontaktaufnahme der Ehefrau mit einer Rechtsanwaltskanzlei wegen einer etwaigen Ehescheidung. Der Ehemann fertigte Fotografien von ausgewählten E-Mails / „Tagebucheinträgen“ an und speicherte diese ab. Die im E-Mail-Account der Ehefrau befindlichen E-Mails / „Tagebucheinträge“ löschte der Ehemann.
Das öBVerwG veneinte in Ziffer II. 3.2.1 seiner Entscheidung den Anwendungsbereich der sog. Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DS-GVO. Die Frage, ob es sich um eine private Nutzung handelt, stelle in der Regel eine Einzelfallentscheidung dar. Als Ausnahmenorm sei lit. c grundsätzlich restriktiv auszulegen. Der EuGH hat in der Entscheidung C-25/17 (Zeugen Jehovas) zur „Haushaltsausnahme“ in RN. 41, 42 ausgesprochen, dass sich die Ausdrücke „persönlich“ und „familiär“ auf die Tätigkeit der Person, die personenbezogene Daten verarbeitet, und nicht auf die Person, deren Daten verarbeitet werden, beziehen. Es werden nur Tätigkeiten erfasst, die zum Privat- oder Familienleben von Privatpersonen gehören. Insofern kann eine Tätigkeit nicht als ausschließlich persönlich oder familiär im Sinne dieser Vorschrift angesehen werden, wenn sie zum Gegenstand hat, personenbezogene Daten einer unbegrenzten Zahl von Personen zugänglich zu machen, oder wenn sie sich auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten verarbeitet.
Eine persönliche oder familiäre Tätigkeit ist öffentlichkeitsfeindlich. Geschäftlich ist jede wirtschaftliche Tätigkeit, gleich ob tatsächlich Geld fließt (vgl. EuGH a.a.O. RN. 19). Die Nutzung einer persönlichen Datensammlung für andere Zwecke lässt den privaten Zweck entfallen. Jegliche den persönlich-familiären Bereich überschreitende Nutzung führt zur Unanwendbarkeit der Ausnahme.
Im vorliegenden Fall habe der Ehemann dadurch, dass er im Rahmen des gerichtlichen Scheidungsverfahren ausgewählte E-Mail-Aufzeichnungen / „Tagebucheinträge“ der mitbeteiligten Parteien mündlich offenlegte, den persönlich-familiären Bereich überschritten, sodass er sich nicht mehr auf den Ausnahmetatbestand des Art. 2 Abs. 2 lit. c DS-GVO berufen kann. Dabei kommt es allein auf die Tätigkeit an und nicht auf die Wohnsitz- oder Nutzungsverhältnisse. Das zentrale Kriterium für die Anwendbarkeit der „Haushaltsausnahme“, nämlich die (ausschließliche) Zurechenbarkeit zum privaten Bereich, liegt somit nicht vor. Selbst die gemischte Verwendung („dual use“), sohin die Verarbeitung zu privaten als auch beruflichen bzw. wirtschaftlichen Zwecken, würde in Anbetracht des Wortlautes des Art. 2 Abs. 2 lit. c. DS-GVO („ausschließlich“) zur Anwendbarkeit der DS-GVO führen. Im Ergebnis ist daher im Hinblick auf die E-Mail-Aufzeichnungen die DS-GVO anwendbar.
Das Gericht befasst sich dann mit denkbaren Rechtmäßigkeitsgrundlagen für die einzelnen Verarbeitungen, die durch den Ehemann erfolgten ab Ziffer II 3.4.4. und lehnt diesen im Ergebnis ab.

2.8 öBVerwG: Zum Auskunftsanspruch auf vollständige medizinische Gutachten

In dem Verfahren ging es um die datenschutzrechtliche Zulässigkeit der Übermittlung und Verarbeitung vollständiger medizinischer Gutachten durch den Arbeitsmarktservice (AMS) zur Beurteilung der Arbeitsfähigkeit.
Das österreichische Bundesverwaltungsgericht (öBVerwG) hat dazu festgestellt, dass diesbezüglich kein Verstoß gegen das Recht auf Geheimhaltung und dass kein Anspruch auf Löschung der Gutachten besteht. Auch bestehe kein automatisches Recht auf Herausgabe vollständiger Kopien nach Art. 15 DS-GVO.
Das Auskunftsrecht nach Art. 15 DS-GVO sei kein Akteneinsichtsrecht. Eine Kopie ganzer Dokumente ist nur dann herauszugeben, wenn sie unerlässlich ist, um datenschutzrechtliche Rechte wirksam auszuüben (Ziffer 3.1.5.5.2 f). Das Recht eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken zu erlangen, die u. a. diese Daten enthalten, besteht (ausschließlich) in Fällen, in welchen die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch diese Verordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind (vgl. EuGH C-487/21, RN. 45, wir berichteten).
Insgesamt weist das Gericht in Ziffer 3.1.5.5.3 darauf hin, dass ein zwingendes und uneingeschränktes Recht auf Erhalt einer Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, im Rahmen der Geltendmachung des Rechts auf Auskunft im Sinne von Art. 15 DS-GVO, weder aus dem Wortlaut und der Systematik der DS-GVO, noch der zu Art. 15 DS-GVO bestehenden Rechtsprechung des EuGH, ableitbar sei. Vielmehr besteht das Recht auf Erhalt einer Kopie von Dokumenten und Datenbankauszügen nur dann, wenn der Erhalt einer Datenkopie für die Kontextualisierung deren Verständlichkeit insoweit unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DS-GVO verliehenen Rechte zu ermöglichen.

2.9 Bezirksgericht Den Haag: Faktoren für immateriellen Schadenersatz

Welche Faktoren sind bei einem Anspruch auf immateriellen Schadenersatz nach Art. 82 DS-GVO bei einem festgestellten Kontrollverlust zu berücksichtigen? Das Bezirksgericht Den Haag berücksichtigte dabei schadensmindernd, dass es eine vertragliche, zweckbindende Vereinbarung mit einem Empfänger gab.
Es lag in dem Fall ein Kontrollverlust vor. So führt das Bezirksgericht ab Ziffer 4.20 aus, dass Daten jedoch nur einer Berufsgruppe zur Verfügung gestellt wurden, die an die im Bund festgelegten Regeln gebunden ist, so dass nicht gesagt werden könne, dass die Daten „auf der Straße“ waren.
Das erinnert an die Aussage der LDA Brandenburg in ihrem Tätigkeitsbericht für das Jahr 2022 unter Ziffer IV.1 zur Risikoeinschätzung bei einem Fehlversand an einen vertrauenswürdigen Empfänger (wir berichteten).

2.10 EuGH: Haftung eines Unternehmens bei Verstößen gegen europäisches Recht (C-291/24)

Was sind die Voraussetzungen, dass ein Unternehmen für Rechtsverstöße aus der Geldwäscherichtlinie haftet?
Nun behandelte der EuGH in C-294/24 (Steiermärkische Bank und Sparkassen AG) auch Fragen zur Haftung nach den Geldwäschegesetzen und den Anforderungen an den Nachweis, wer schuldhaft für eine juristische Person handelte. Unter Verweis auf seine Ausführungen in Deutsche Wohnen C‑807/21, RN. 51 stellt der EuGH nun in RN. 33 fest, dass eine Auslegung der Art. 58 bis 60 der Richtlinie 2015/849, wonach die Mitgliedstaaten die Verantwortlichkeit einer juristischen Person von der vorherigen Feststellung abhängig machen könnten, dass der Verstoß von einer natürlichen Person begangen wurde, im Übrigen der in Art. 58 Abs. 1 dieser Richtlinie vorgesehenen Anforderung zuwider liefe, wonach jede Sanktion oder Maßnahme, die sich aus der Verantwortlichkeit der Verpflichteten für Verstöße gegen die nationalen Vorschriften zur Umsetzung dieser Richtlinie ergibt, wirksam, verhältnismäßig und abschreckend sein muss. Eine solche Anforderung könnte nämlich die Wirksamkeit und den abschreckenden Charakter der Sanktionen schwächen, die die Richtlinie 2015/849 unmittelbar juristischen Personen als Verpflichteten auferlegt.
Übertragen auf andere europarechtliche Vorgaben wie der umgesetzten ePrivacy-RL könnte dies dann bei Sanktionsentscheidungen der zuständigen Aufsichten auch zur Anwendung kommen und bewirken, dass nationale Anforderungen wie in §§ 30, 130 OWiG (dass der Verstoß z.B. durch eine Leitungsperson zu verantworten sei) nicht heranzuziehen sind. Bericht dazu auch hier.
Was interessiert uns das? Es lassen sich Rückschlüsse darauf ziehen, dass haftungsreduzierende Vorgaben (vgl. §§ 30, 130 OWiG) aus den Mitgliedsstaaten nicht zur Anwendung kommen, wenn sich die Haftung aus europäischen Vorgaben ergibt – ohne, dass die Mitgliedsstaaten hier weitere Gestaltungsspielräume haben. Wie bei der DS-GVO – und bei der Geldwäscherichtlinie. Und wer will, schaut nun gleich bei der ePrivacy-RL oder bei NIS2 nach ...

2.11 OLG Dresden: Schadenersatz wegen Meta Business Tools – rechtskräftig

Das OLG Dresden (Az.: 4 U 292/25 vom 03.02.2026) sprach vier Klägern einen immateriellen Schadenersatz aus Art. 82 DS-GVO gegen Meta von jeweils 1.500 Euro aufgrund des Einsatzes der sog. Business-Tools zu, wie das OLG Dresden in einer Pressemitteilung berichtet. Zudem wurde Meta zur Unterlassung der Weiterverarbeitung hiermit gewonnener personenbezogener Daten von Nutzern des sozialen Netzwerks "Instagram" verurteilt. Bei diesen "Business-Tools" handelt sich um Programmschnittstellen, die der Meta-Konzern Unternehmen zur Installation auf deren Webseiten anbietet. Sie dienen dazu personenbezogene Daten der Webseitennutzer zu sammeln, die die Unternehmen dann mit dem Meta-Konzern teilen. Das OLG Dresden hat sich in den entschiedenen Verfahren die Überzeugung verschafft, dass hierzu die zu einer Datenverarbeitung erforderlichen Einwilligungserklärungen der Nutzer nicht vorgelegen haben und sich Meta hierfür auch nicht auf einen weiteren der nach der DS-GVO möglichen Rechtfertigungsgründe berufen könne. Durch eine solche Verarbeitung personenbezogener Daten entstehe ein Kontrollverlust, der bei betroffenen Nutzern ein Gefühl der umfassenden Überwachung hervorrufen könne. Dies rechtfertige es einen immateriellen Schadensersatz auf der Grundlage von Art. 82 DSGVO auch dann zuzusprechen, wenn der einzelne Nutzer hierdurch keine psychische Beeinträchtigung erlitten habe. Nicht erforderlich sei es hierfür, dass der Nutzer nachweist Webseiten besucht zu haben, die seine personenbezogenen Daten mit Hilfe dieser Business Tools an den Meta-Konzern weiterleiten.
Die Revision wurde nicht zugelassen. Die Urteile sind damit rechtskräftig. Aufgrund des niedrigen Streitwerts ist keine Revision beim BGH möglich. Wie hier dazu berichtet wird, liegen bei der Kanzlei, die hier Kläger vertrat, weitere 7.000 Forderungen von Personen gegen Meta vor. Davon gingen bisher ca. 60 % zugunsten der Kläger aus, 40 % zugunsten von Meta.
Der verlinkte Bericht wurde um eine Reaktion Metas ergänzt. Meta ist mit der Dresdner Entscheidung nicht einverstanden und meint weiterhin, alle Gesetze einzuhalten. Weitere Schritte werden erst erwogen. Andere sind da schon weiter...

2.12 OLG Naumburg: Schadenersatz gegen Meta wegen Business Tools

Auch das OLG Naumburg informiert in einer Pressemitteilung, dass es in zwei Verfahren einen immateriellen Schadenersatz (einmal 1.200 Euro und einmal 1.250 Euro) gegen Meta aufgrund des Einsatzes von Meta Business Tools zusprach und die künftige Unterlassung sowie Datenlöschung anordnete. Die Urteile sind rechtskräftig.
Meta konnte nach den Feststellungen des Gerichts bis zum 03.11.2023 mithilfe seiner Business Tools jeden Klick, jede Suche und jeden Kauf auf Tausenden von Webseiten und Apps nachverfolgen. Dazu mussten die Betroffenen nicht bei Facebook oder Instagram eingeloggt sein. Meta habe diese Daten unbemerkt und ohne Zustimmung der Nutzer genutzt. Nach Einführung der Abonnement-Variante sei die Datenübertragung je nach Einstellung der Nutzer differenzierter erfolgt. Sie führe jedoch nach wie vor zu einer umfassenden Datennutzung durch die Beklagte. Diese Datenverarbeitung sei rechtswidrig, verstoße gegen den Grundsatz der Datenminimierung und sei nicht von einer Einwilligung oder sonstigen Rechtfertigungs­gründen gedeckt.
Neben dem Schadensersatz verurteilte das OLG den Meta-Konzern zu einer generellen, umfassenden Unterlassung der Datenverarbeitung über die Business Tools sowie zur Löschung aller gesammelten Nutzer-Daten. Außerdem wurde die Rechts­wid­rigkeit der Datenverarbeitung festgestellt.

2.13 EuGH-Vorschau: Liegt eine Vervielfältigung durch einen Chatbot vor? (C-250/25)

Im Verfahren C-250/25 (Like Company) findet am 10. März 2026 die mündliche Verhandlung am EuGH statt. Es geht um Fragen, inwieweit bei Antworten eines KI-Chatbots eine Vervielfältigung vorliegen kann und wie Anforderungen aus der RL 2019/790 (Urheberrechts-RL) wie Art. 15 Schutz von Presseveröffentlichungen im Hinblick auf die Online-Nutzung und Rechte und Ausnahmen nach Art. 2 und 3 der RL 2001/29 auszulegen sind.

3.1 EU-Kommission: Wechselseitige Angemessenheitsbeschlüsse mit Brasilien

Brasilien und die Europäische Kommission haben einvernehmliche Entscheidungen über die Angemessenheit getroffen. Das EU-Brasilien-Rahmenwerk für gegenseitige Angemessenheit ermöglicht den sicheren und freien Fluss personenbezogener Daten, davon profitieren 670 Millionen Verbraucher in beiden Regionen. Die Entscheidung der EU-Kommission findet sich hier und auch bereits auf den Seiten der EU-Kommission mit allen aktuellen Angemessenheitsentscheidungen.
Der Angemessenheitsbeschluss zwischen der EU und Brasilien gilt übrigens wechselseitig, wie auf den Seiten der brasilianischen Aufsicht ANPD nachzulesen ist.

3.2 EU-Parlament: Bericht über die technologische Souveränität Europas und die digitale Infrastruktur

Das Europäische Parlament betonte bereits im Jahr 2025, dass sichergestellt werden muss, dass die eigene Infrastruktur in die Zuständigkeit der EU fällt, was bedeutet, dass sie uneingeschränkt den EU-Rechtsvorschriften unterliegt. Sie hebt hervor, dass Datenschutz und eingebauter Sicherheit eine große Bedeutung zukommt und fordert die EU-Kommission daher auf Rechtsvorschriften zur Minderung der Risiken einzuführen, die von Anbietern von hochriskanten Systemen aus Drittländern ausgehen, einschließlich der Risiken, die von aus dem Ausland kontrollierten Energieversorgern ausgehen. Die konkreten Aussagen z.B. zu Cloud-Diensten finden sich in RN. 65-68.

3.3 Nächste Haltestation für den Digitalen Omnibus

EDSA und EDSB kündigen eine gemeinsame Stellungnahme zum Digitalen Omnibus an, zumindest lässt sich das aus ihrer Agenda vom 16. Januar unter E.1.1.1 schließen. Während wir auf die gemeinsame Meinung von EDPB und EDPS zum Digital Omnibus und DSGVO warten, hat noyb die Version 2 seines Berichts veröffentlicht, die Empfehlungen für den EU-Gesetzgeber zu Bereichen, die abgelehnt oder verbessert werden sollten. Ergänzend zu dem Bericht gibt es auch ein Video zu den Ersteinschätzungen.
Der frühere BfDI äußert sich auch zum Digitalen Omnibus und fragt sich „cui bono“?

3.4 EU-Kommission: FAQ zum Data Act

Die EU-Kommission hat ihre FAQ zum Data Act in einer aktualisierten Fassung veröffentlicht.

3.5 EU-Kommission: Reform zur Cybersicherheit

Die EU-Kommission schlägt eine Reform der Regulatorik zur Cybersicherheit vor. Das Paket umfasst einen Vorschlag für eine überarbeitete Cybersicherheitsverordnung, mit der die Sicherheit der EU-Lieferketten im Bereich der Informations- und Kommunikationstechnik (IKT) verbessert wird. So soll durch ein einfacheres Zertifizierungsverfahren sichergestellt werden, dass Produkte, die die EU-Bürger:innen erreichen, von vornherein cybersicher sind. Der Vorschlag erleichtert auch die Einhaltung der bestehenden EU-Cybersicherheitsvorschriften und stärkt die Rolle der Agentur der Europäischen Union für Cybersicherheit (ENISA) im Hinblick auf die Unterstützung der Mitgliedstaaten und der EU beim Umgang mit Cybersicherheitsbedrohungen. Hier zu den gezielten Änderungen der NIS2-Richtlinie. Was wäre das alles ohne ein Factsheet.
Bericht dazu auch hier.

3.6 Lobbyismus in Brüssel?

Die NGO Corporate Europe Observatory und Lobby Control behaupten, dass der Einfluss der TechBros aus den USA besonders massiv bei der Erarbeitung des Digitalen Omnibusses gewesen sei. Sie stützen diese These mit dem Vergleich der Lobbypositionen und denen ihrer Verbände mit der Fassung der EU-Kommission. Bericht dazu hier.

3.7 BMJ: Von der Vorratsdatenspeicherung zur IP-Datenadressspeicherung

Das Bundeministerium der Justiz und Verbraucherschutz plant keine Vorratsdatenspeicherung. Die wurde ja wiederholt durch den EuGH oder Verfassungsgerichte in Zweifel gezogen, Nein, es plant nur ein „Gesetz zur Einführung einer IP-Adressspeicherung und Weiterentwicklung der Befugnisse zur Datenerhebung im Strafverfahren“. Und natürlich hilft auch das dann gegen das ehrenwerte Ziel der Strafverfolgung über die Kommunikation von Tatverdächtigen über Messengerdienste hinsichtlich der Verbreitung von Kinderpornographie etc. der Deutsche Anwaltverein hat sich bereits kritisch dazu geäußert. Auch in dieser Podcast-Folge (Dauer ca. 48 Min.) findet sich ab Min 18:47 wenig Zustimmung.

3.8 Änderungen des Sozialdatenschutzrechts

Eine Fachkommission der Bundesregierung hat Empfehlungen vorgelegt, die den Sozialstaat bürgernäher und digitaler machen sollen. Dazu befasst sie sich auch mit dem Sozialdatenschutz und will durch den Einsatz von Künstlicher Intelligenz Verfahren automatisieren. Wohlfahrtsverbände warnen vor zusätzlicher Diskriminierung. In ihrer Empfehlung 22 erkennt die Fachkommission zwar, dass der effektive Schutz personenbezogener Daten die Akzeptanz digitaler Verwaltungsprozesse fördere. Da Sozialdaten besonders sensibel sind, habe die Sozialverwaltung auch eine besondere Verantwortung bei der Beachtung des Datenschutzes. Allerdings erschwert die Komplexität des Sozialdatenschutzrechts in der Praxis es regelmäßig Daten zwischen Sozialbehörden auszutauschen und damit das Ziel zu erreichen, dass Bürger:innen Informationen nur einmal angeben müssen.
Für eine einfachere und digitaltauglichere Ausgestaltung des Sozialdatenschutzes empfiehlt die Kommission daher u. a. die spezifischen Datenschutzregelungen zentral zusammenzuführen, sofern damit zu einer Vereinfachung sozialdatenschutzrechtlicher Vorgaben beigetragen wird.
Statt nach der Wahl der betroffenen Person zu einem automatisierten Abruf von Nachweisen im Rahmen von elektronischen Verwaltungsverfahren nach § 67f Absatz 1 SGB X soll eine Zustimmungsvermutung zu automatisierten Nachweisabrufen zwischen Behörden im SGB X aufgennommen werden. Bericht dazu hier.

3.9 EU-Kommission: Entwurf für Grundsätze finanzieller Kompensation nach dem Data Act

Die EU-Kommission hat einen ersten Entwurf für die Grundsätze finanzieller Kompensation nach dem Data Act veröffentlicht. Nach Art. 9 Abs. 5 Data Act erlässt die EU-Kommission Leitlinien für die Berechnung einer angemessenen Gegenleistung unter Berücksichtigung des Rates des in Artikel 42 genannten Europäischen Dateninnovationsrates (EDIB). Der Entwurf dazu findet sich hier. Kernpunkt ist das FRAND-Prinzip: Konditionen müssen fair, angemessen und nicht-diskriminierend sein. Kleine und mittlere Unternehmen sowie gemeinnützige Forschungseinrichtungen erhalten Sonderrechte – ihnen dürfen nur die tatsächlichen Kosten der Datenbereitstellung berechnet werden, es darf also keine Gewinnmarge aufgeschlagen werden. Bei anderen Empfängern darf die Vergütung einen Aufschlag enthalten, der Investitionen in Datensammlung und -erzeugung berücksichtigt. Die Kommission listet zulässige Kostenpositionen auf: Formatierung, Speicherung, Übermittlung und Schutz von Geschäftsgeheimnissen.
Ausdrücklich verboten ist es Wettbewerber bei der Datenweitergabe zu benachteiligen. Auch dürfen Dateninhaber keine überhöhten Preise verlangen, die potenzielle Empfänger abschrecken. Bis 20. Februar 2026 können dazu Hinweise eingereicht werden. Folien eines Vortrags zum Thema hier und ein Bericht zum konkreten Entwurf dort.

3.10 BMJV: Änderung der Verwaltungsgerichtsordnung und anderer Gesetze

Im Rahmen des Gesetzgebungsverfahrens zur Änderung der Verwaltungsgerichtsordnung und anderer Gesetze sieht das BMJV auch vor, dass durch Änderungen in § 70 VwVG Widersprüche schriftlich, elektronisch oder zur Niederschrift bei der Behörde eingelegt werden können. Die Übermittlung eines elektronischen Widerspruchs ist nur zulässig, soweit der Empfänger hierfür einen Zugang eröffnet. Auch kann das besondere Interesse an einer sofortigen Vollziehung von Verwaltungsakten (§ 80 Abs. 3 VwGO) künftig auch elektronisch begründet werden.
Damit soll es Bürger:innen zukünftig ermöglicht werden einen Widerspruch auch in einfacher elektronischer Weise – entsprechend der Textform –, zum Beispiel mittels einfacher E-Mail, wirksam zu erheben. So werde der Zugang zu diesem „Vorschaltrechtsbehelf“ moderner und für den rechtsschutzsuchenden Bürger einfacher ausgestaltet. Die Möglichkeit, die Anordnung einer sofortigen Vollziehung künftig ebenfalls in einfacher elektronischer Form zu begründen, bewirkt nach Ansicht des BMJV eine Vereinfachung für die Verwaltung. Nach der künftigen Fassung des § 70 Abs. 1 S. 1 VwGO-E kann der Widerspruch daher auch in (einfacher) elektronischer Weise – entsprechend der Textform nach § 126b des Bürgerlichen Gesetzbuches (BGB) – wirksam erhoben werden, zum Beispiel mittels einfacher E-Mail. Die bisherige Voraussetzung einer qualifizierten elektronischen Signatur (§ 70 Absatz 1 Satz 1 VwGO in Verbindung mit § 3a Absatz 2 VwVfG) entfällt.
Die Öffnung des § 80 Abs. 3 S. 1 VwGO für die einfache elektronische Form bringe im Ergebnis auch eine Vereinfachung für die Anordnung der sofortigen Vollziehung selbst, da Anordnung und Begründung regelmäßig eine Einheit bilden. Das könne in eiligeren Fällen auch unterhalb der Schwelle der von § 80 Absatz 3 Satz 2 VwGO vorausgesetzten „Notsituationen“ ein schnelleres behördliches Vollzugshandeln ermöglichen.
Nach § 58 Abs. 1 VwGO-E, § 55 Abs. 1 FGO-E und § 66 Abs. 1 SGG-E ist über alle Wege, über die der Rechtsbehelf eingelegt werden kann („einzuhaltende Form“), in der Rechtsbehelfsbelehrung zu unterrichten, ebenso wie über das fristauslösende Ereignis. Parallele Änderungen sind in § 37 Abs. 6 S. 1 des VwVfG sowie in § 36 Abs.1 SGB X geplant. Dementsprechend sind in den betroffenen Behörden die Vorlagen für bestehende Rechtsbehelfsbelehrungen einmalig anzupassen.
Wir hatten schon zur Ministerpräsidentenkonferenz zur Staatsmodernisierung von Anfang Dezember 2025 dazu berichtet, dass vorgesehen sei Abbau und Modernisierung von Formerfordernissen umzusetzen. In diesem Entwurf findet sich dieser Plan offenbar bereits wieder.

3.11 Änderungen im KDG ab 1. März 2026

Zu den Änderungsaktivitäten im kirchlichen Datenschutzrecht hatten wir immer wieder berichtet (wie z.B. hier). Nach diesem ausführlichen Bericht zur KDG-DVO-Novelle ab dem 1. März 2026 finden sich zahlreiche Anpassungen im kirchlichen Datenschutzrecht. Zentrale Änderungen betreffen das Verzeichnis von Verarbeitungstätigkeiten (VVT). Neu sind u. a. präzisierte Anforderungen an Verschlüsselung, Zugangskontrollen, Datenminimierung und die regelmäßige Überprüfung der TOM. Bei der Vorlage von Zertifikaten müssen sich diese an Veröffentlichungen des BSI oder Regelungen mit vergleichbaren Schutzstandards (z. B. ISO/IEC 27001) orientieren.

4.1 CEPEJ: Richtlinien für den Einsatz von KI in der Justiz

Die European Commission for the Efficiency of Justice (CEPEJ) hat Richtlinien für den Einsatz generativer KI in der Justiz veröffentlicht. Bisher gaben 46 % der Staaten des Europarats an bereits generative KI an ihren Gerichten einzusetzen.
Nach den Empfehlungen sollte z.B. KI nicht als Selbstzweck eingesetzt werden, sondern um konkrete Probleme zu lösen (Rn. 13 ff.) – das kann von der Kategorisierung von Fällen (Rn. 17) bis zur Erstellung von Entwürfen (Rn. 20) reichen.

4.2 Extrahieren von Büchern aus Produktions-Sprachmodellen

Hinsichtlich des Einsatzes von Large Language Models werden immer wieder urheberrechtliche und datenschutzrechtliche Fragestellungen diskutiert.
Während viele glauben, dass LLMs nicht viel von ihren Trainingsdaten auswendig lernen, zeigen aktuelle Arbeiten, dass erhebliche Mengen an urheberrechtlich geschützten Texten aus offenen Modellen extrahiert werden können. Es bleibt jedoch eine offene Frage, ob eine ähnliche Gewinnung für Produktions-LLMs möglich ist, da diese Systeme Sicherheitsmaßnahmen ergreifen. In dieser Studie wurde diese Frage mit einem zweiphasigen Verfahren untersucht: (1) eine erste Untersuchung, um die Machbarkeit der Extraktion zu testen, die manchmal einen Best-of-N (BoN)-Jailbreak verwendet, gefolgt von (2) iterativen Fortsetzungsaufforderungen, um zu versuchen das Buch zu extrahieren. Das Verfahren wird an vier Produktions-LLMs – Claude 3.7 Sonnet, GPT-4.1, Gemini 2.5 Pro und Grok 3 – bewertet und misst den Extraktionserfolg mit einer Punktzahl, die aus einer blockbasierten Approximation der längsten gemeinsamen Teilzeichenfolge (nv-recall) berechnet wird.
Zusammenfassend hebt diese Arbeit hervor, dass die Extraktion von (Copyright-)Schulungsdaten auch bei Schutzmaßnahmen auf Modell- und Systemebene weiterhin ein Risiko für Produktions-LLMs darstellt.

Franks Nachtrag: Apropos Extraktion von Daten aus Büchern zum KI-Training... das ist in mehr als einer Hinsicht empörend!

4.3 Zeitgewinn durch den Einsatz von KI ?!?

Mit einem kritischen Ergebnis kommt eine Umfrage daher, über die hier berichtet* wird. Generative KI hilft Angestellten laut Umfragen dabei Zeit zu sparen. Allerdings kostet sie auch Zeit, um ihre Fehler nachzuarbeiten. Nach einer anderen Studie umfasse der Nachbearbeitungsaufwand ca. einen halben Arbeitstag pro Woche.

* Franks Anmerkung: Und wo haben Sie es zuerst gelesen? (Im siebten Anstrich, da nämlich...) Aber, fair ist fair, Kollege Kramer hat Quellen verlinkt.

4.4 KI-Regulatorik in Italien

In Italien wurde mit dem Gesetz Nr. 132 vom 23. September 2025 ein umfassender nationaler KI-Regelrahmen verabschiedet. Das Gesetz passt das italienische Rechtssystem an die EU-Verordnung 2024/1689 (KI-Gesetz) an und führt Bestimmungen ein, die sich mit der bestehenden Datenschutz-Grundverordnung überschneiden, insbesondere zur Datenverarbeitung im Gesundheitswesen, zu den Aufgaben der Arbeitnehmerinformation und zu den Transparenzverpflichtungen in der öffentlichen Verwaltung. Details dazu finden sich hier.

4.5 ISO/IEC TS 42119-2:2025 Künstliche Intelligenz — Testing der KI

In der ISO-Familie gibt es mit der ISO/IEC TS 42119-2:2025 Künstliche Intelligenz — Testing der KI ein neues Mitglied, welches sich mit Anforderungen an KI-Systeme befasst.

5.1 Podcast: KI in der Strafverfolgung

Wie wird KI in der Strafverfolgung bereits eingesetzt, welche Rahmenbedingungen sind zu beachten und wie sind die Erfahrungen damit. Das sind die Themen dieser Podcast-Folge (Dauer ca. 46 Min.) mit einer Expertin im Bereich Gesichtserkennung und einem Strafverteidiger.
Angesprochen werden die Unterschiede in der Anwendung von KI-Techniken zwischen verschiedenen Bundesländern, die Herausforderungen durch mangelnde Transparenz und rechtliche Absicherung sowie die potentiellen Risiken einer selektiven Strafverfolgung. Zudem gibt es einen Blick auf konkrete KI-Technologien wie das Gesichtserkennungssystem GES und die Software Palantir, die schon jetzt in Deutschland im Einsatz sind.

5.2 Betrachtungen zum Urteil des EuGH in C-413/23 (SRB) und zum Digitalen Omnibus

In den Änderungsvorschlägen zum Digitalen Omnibus wird auch Art. 4 Nr. 1 DS-GVO zur Definition des personenbezogenen Datums angepasst, um ein Urteil des EuGH zum Personenbezug bei pseudonymen Daten umzusetzen. In diesem Blog-Beitrag wird dies kritisch betrachtet.

5.3 GDD: Transkription von Telefon- und Videokonferenzen

Die GDD hat ein neues Kurzpapier (Nr. 4) veröffentlicht. Es befasst sich mit der Transkription von Telefon- und Videokonferenzen.
Dies ist ein zunehmend eingesetztes Mittel in Unternehmen. Sie dient der Dokumentation von Gesprächsinhalten, der Qualitätssicherung, der Schulung von Beschäftigten oder der Beweissicherung. Das Kurzpapier befasst sich mit den datenschutz- und strafrechtlichen Fragen in diesem Zusammenhang.

5.4 Training eines Sprachmodells in der Justiz

Sprachmodelle bergen ein großes Potenzial für den generativen Einsatz in der Justiz, beispielsweise bei der Aufbereitung von Verfahrenssachverhalten und der Vorbereitung von gerichtlichen Entscheidungsentwürfen. Das Training eines KI-Modells spezifisch für die Justiz auf Grundlage von deutschen Gerichtsakten und Entscheidungen geht allerdings einher mit der Verarbeitung personenbezogener Daten i.S.d. DS-GVO sowie der Nutzung urheberrechtlicher Schutzgegenstände i.S.d. UrhG. In diesem frei verfügbaren Werk werden diese Herausforderungen adressiert, die rechtlichen Rahmenbedingungen für das Training eines solchen Sprachmodells zum Einsatz in der Justiz umfassend skizziert und es wird versucht belastbare Antworten auf drängende rechtliche Fragen zu geben.
Die rechtlichen Darstellungen zu den datenschutz- und urheberrechtlichen Thematiken sind aber auch außerhalb des Einsatzes in der Justiz anwendbar.

5.5 Verlässlichkeit von Online-Bewertungen

Kundenbewertungen beeinflussen Kaufentscheidungen massiv. Wie verlässlich diese Informationen aber wirklich sind, wird selten hinterfragt. Das Institut für Verbraucherforschung und nachhaltigen Konsum (VUNK) hat sich u.a. damit beschäftigt. In der Studie „Infoteilhabe. Information und Teilhabe durch Nutzerbewertungen“ geht es um die Bedeutung von Online-Kundenbewertungen für Verbraucherentscheidungen und wie sie durch gefälschte Bewertungen sowie intransparente Bewertungs- und Plattformmechanismen verzerrt werden. Dabei wurden Informationsquellen, Akteure sowie Motive und Hemmnisse für das Bewerten unter die Lupe genommen. Mehr Information gibt es hier.

5.6 Studie zur Bußgeldstatistik

Eine Kanzlei beobachtet die Bußgeldentwicklung im Datenschutzbereich in Europa und kommt zu dem Ergebnis, dass die Bußgeldhöhe insgesamt auf hohem Niveau stagniert. In 2025 beliefen sich die Bußgelder in der EU auf ca. 1.2 Mrd. Euro. Der Report ist hier verfügbar, sofern Kontaktdaten angegeben werden.

5.7 Whitepaper: Pflichten von Datenverarbeitungsdiensten nach dem Data Act

Mit den Pflichten von Datenverarbeitungsdiensten nach dem Data Act befasst sich dieses Whitepaper. Der Data Act stellt Datenverarbeitungsdienste vor neue Herausforderungen. Mit der schrittweisen Anwendung seit September 2025 müssen Cloud-Anbieter und andere Data Processing Services ihre Compliance-Strategien jetzt anpassen. Das Whitepaper betrachtet dabei die wesentlichen Verpflichtungen für Datenverarbeitungsdienste, die vertraglichen Anforderungen, Switching-Rechte und deren praktische Umsetzung, erforderliche technische Maßnahmen sowie praxisnahe Handlungsempfehlungen für die Implementierung.

5.8 Satire zur Reform des § 38 Abs. 1 BDSG

Eigentlich ist es keine Satire, sondern eher ein Trauerspiel, was hier in einer fiktiven Talkshow dargestellt wird. Die Diskussion um die Abschaffung der Benennungspflicht eines Datenschutzbeauftragten in § 38 Abs. 1 BDSG.
Wie formulierte es eine Berufskollegin mal so schön? Auch wenn ich keinen Steuerberater habe, muss ich trotzdem Steuern zahlen.

5.9 VUNK: Festschrift „Werte und Recht“

Im Rahmen der Verabschiedung eines der Gründungsmitglieder des Instituts für Verbraucherforschung und nachhaltigen Konsum (VUNK) an der Hochschule Pforzheim wurde auch eine Festschrift herausgegeben: „Werte und Recht – Umwelt- und Verbraucherschutz im demokratischen Rechtsstaat“. Für die Zielgruppe hier mag insbesondere der Teil 5 „Verbraucher unter neuen Geschäftsmodellen (und) in der digitalen Welt“ besonders interessant sein.

5.10 Haftung des Managements nach BSiG und Regreßforderungen

Durch § 38 BSiG sind Geschäftsleitungen zu entsprechenden Maßnahmen verpflichtet und können bei Pflichtverletzungen auch direkt haftbar gemacht werden. Das klingt zunächst simpel, zeigt aber bei genauerer Betrachtung einiges Eskalationspotential. Denn nach dem Wortlaut von § 38 BSIG sind Geschäftsleitungen (besonders wichtiger Einrichtungen und wichtiger Einrichtungen) verpflichtet,

• Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen (Abs. 1); und
• regelmäßig an Schulungen teilzunehmen, um zusammengefasst Kenntnisse über IT-Sicherheitsrisiken, deren Management und Auswirkungen auf die geleitete Einrichtung zu erlangen (Abs. 3).

Diese Pflichten dürften für Geschäftsleitungen auch deshalb von besonderem Interesse sein, da Geschäftsleitungen, die ihre Pflichten nach Abs. 1 verletzen, gemäß § 38 Abs. 2 S. 1 BSIG ihrer Einrichtung für einen schuldhaft verursachten Schaden haften.
Dieser Beitrag befasst sich intensiver mit der Frage, wer alles zur Geschäftsleitung zählt. Nach § 2 Nr. 13 BSIG ist

„Geschäftsleitung“ eine natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen Einrichtung oder wichtigen Einrichtung berufen ist; ...

Entscheidend dürften nach der Definition also vor allem zwei Kriterien sein:

• Personen, denen
• Befugnis zur Führung der Geschäfte der Einrichtung; und
• Vertretungsmacht;
• durch Gesetz, Satzung oder Gesellschaftsvertrag eingeräumt wurde.

Diese Haftungsfragen stellen sich aber nicht nur bei Verstößen gegen das BSiG. Wie in dieser Podcast-Folge (Dauer ca. 38 Min.) näher erläutert wird, stellen sich Haftungsfragen auch bei Verstößen gegen die DS-GVO, wenn beispielsweise ein bußgeldsanktioniertes Unternehmen Regreßforderungen an die Managementebene stellt. Grundlage der Überlegungen ist eine Entscheidung des OLG Frankfurt vom 21.10.2025. Dabei wird auch hervorgehoben, dass sich Sanktionen oft an der finanziellen Fähigkeit des Unternehmens ausrichten – bei Regressanforderungen wirkt sich da dann auch entsprechend aus.

5.11 DIN ISO 24495-2 – Die Norm für klare juristische Kommunikation

Die ISO 24495-2:2025-12 „Einfache Sprache – Teil 2: Juristische Kommunikation“ ergänzt den bisherigen Teil 1 Grundsätze und Leitlinien. Der 2. Teil befasst sich mit juristischer Kommunikation und baut auf den Grundlagen für Einfache Sprache in ISO 24495-1 auf. Er enthält Leitlinien und Methoden, die Autor:innen dabei helfen sollen, sicherzustellen, dass Leser:innen juristische Kommunikation leicht verstehen können, um ihre Rechtsansprüche wahrzunehmen und ihre rechtlichen Pflichten zu erfüllen. Dieses Dokument erläutert die Anwendung von Grundsätzen aus ISO 24495-1 in rechtlichen Kontexten, in denen Autori:nnen die folgenden Ziele erreichen müssen:

• verschiedene Zielgruppen mit unterschiedlichen Bedürfnissen erreichen;
• spezifische strukturelle und gestalterische Anforderungen einhalten;
• komplexe und differenzierte Rechtsbegriffe erklären;
• Prozesse erklären, die Leser:innen durchlaufen müssen, um ihre Rechtsansprüche und -pflichten auszuüben.

Das Dokument möchte für Rechtsdokumente und -bereiche einschließlich des Rechts-, Regierungs-, Nichtregierungs- und Gesundheitssektors anwendbar sein. Bei der nationalen Übernahme von ISO 24495-2:2025 wurden in der deutschen Übersetzung auch fürs Deutsche passende Beispiele einbezogen. Mehr dazu findet sich hier.
Und keine Sorge, es geht nicht weiter, es gibt auch einen Teil 3 für wissenschaftliche Kommunikation (im Entwurf).

5.12 DIN-Normen zu vertrauenswürdigen Datentransaktionen und Cybersicherheitsanforderungen

Zwei Entwürfe von DIN-Normen stehen zur Konsultation bereit:

• DIN EN 18235-2 („Vertrauenswürdige Datentransaktionen – Teil 2: Anforderungen an die Vertrauenswürdigkeit; Englische Fassung”) benennt Anforderungen an die Vertrauenswürdigkeit und gibt Anleitungen für Datenraumteilnehmer, um vertrauenswürdige Datentransaktionen zu unterstützen. Sie ist relevant für alle Phasen einer vertrauenswürdigen Datentransaktion und für alle Arten von Organisationen, die an Datenräumen teilnehmen – unabhängig von deren Art und Größe.
• DIN EN 40000-1-3 (Cybersicherheitsanforderungen für Produkte mit digitalen Bestandteilen – Teil 1-3: Umgang mit Schwachstellen; Englische Fassung prEN) benennt Anforderungen und Aktivitäten, die sich auf die Prozessaspekte des Umgangs mit Schwachstellen konzentrieren. Sie ist anwendbar für Hersteller von Produkten mit digitalen Bestandteilen. Die Norm ist – ggf. unter Hinzuziehung produktkategoriespezifischer Anforderungserweiterungen – auf alle Produktkategorien anwendbar.

Beide DIN-Normen wirken sich auf die Umsetzung des Data Acts bzw. Cyber Resiliance Act aus.

5.13 Stiftung Datenschutz: Whitepaper zum Wirtschaftsvorteil Datenschutz

Die Stiftung Datenschutz fasst in einem Whitepaper die Wirtschaftsvorteile zusammen, die sich aus dem Datenschutzrecht ergeben. Unternehmen würden durch die DS-GVO-Standards resilient und erfolgreich für die Zukunft aufgestellt. Der strategische Erfolgsfaktor aus dem Datenschutz ergebe sich insb. durch eine Vertrauensstärkung und einen Reputationsaufbau, eine gestärkte Marktposition, der Risikominderung und finanzieller Vorteil und den Datenschutz als Bestandteil der Daten-Governance.

5.14 Stiftung Datenschutz – Aufzeichnung Datenschutz am Mittag: Personenbezug in LLM

Die Veranstaltungen der Stiftung Datenschutz zu den Fragestellungen zu personenbezogenen Daten beim Einsatz von KI aus der Konsultation der BfDI ist hier als Aufzeichnung sowie dort als Präsentation abrufbar.

5.15 Copilot-Websuche: Datenschutzrechtliche Einordnung für Unternehmen

Mit den Fragen, die sich bei der Nutzung von Microsoft Copilot und der verbundenen Websuche ergeben, befasst sich dieser Blog-Beitrag (auf LinkedIn).

5.16 Zulässigkeiten bei Software-Updates

Welche rechtlichen Anforderungen und Leitplanken es mittlerweile bei Softwareupdates aus vertraglichen Verpflichtungen zu beachten gilt, wird in diesem Blog-Beitrag angesprochen.

5.17 Google: reCAPTCHA als Auftragsverarbeitung

Google kündigt an, dass ab 2. April 2026 die datenschutzrechtliche Zuordnung des Angebots reCAPTCHA von einem „Datenverantwortlichen“-Angebot zu einem „Prozessor“-Angebot wechselt und damit die Verarbeitung von reCAPTCHA-Daten in Übereinstimmung mit anderen Google Cloud-Diensten beginnt. Mit diesem Switch sollen Kunden, die reCAPTCHA auf ihren Websites einsetzen, Datenverantwortliche werden, die den Zweck und die Mittel zur Verarbeitung der personenbezogenen Daten ihrer Nutzer bestimmen, während Google ein Datenverarbeiter wird, der die von den Google-Kunden auf deren Webseiten von ihren Webseitenbesuchern gesammelten Daten verarbeitet.
Böse Zungen behaupten, der Termin wurde bewusst gewählt, da es sonst als Aprilscherz eh keiner geglaubt hätte.

5.18 Verzicht auf Auskunftsansprüche durch arbeitsrechtliche Vergleiche?

In diesem Blog-Beitrag einer Kanzlei werden die datenschutzrechtlichen Fragen eines arbeitsrechtlichen Vergleichs zum Auskunftsanspruch behandelt.

5.19 Musterformulierung für Verpflichtung auf berufsrechtliche Verschwiegenheit nach § 203 StGB

Hier findet sich eine Musterformulierung für die Verpflichtung auf die berufsrechtliche Verschwiegenheit von „mitwirkenden Personen“. Nach § 203 Abs. 3 StGB können Berufsgeheimnisträger Dienstleister einsetzen ohne gegen die strafbewehrte Verschwiegenheitspflicht zu verstoßen, wenn diese Personen auf die Verschwiegenheit verpflichtet werden und somit als „mitwirkende Personen“ einem Berufsgeheimnisträger gleichgestellt werden. Die Folge ist, dass auch diese mitwirkenden Personen die berufsrechtliche Verschwiegenheit wahren müssen und sich bei einer Verletzung strafbar machen würden (§ 203 Abs. 4 StGB). Ebenso müssen sie dann weitere mitwirkende Personen, die sie einsetzen, auf die Verschwiegenheit verpflichten.
Es findet sich auch eine Musterformulierung für die Verpflichtung von Beschäftigen („berufsmäßig tätige Gehilfen“) auf die Schweigepflicht (§ 203 StGB).

5.20 Niederlande: Bewertungsschema für Datenschutz-Folgenabschätzungen

In den Niederlanden haben die Datenschutzbeauftragten (DSB) des Ministeriums für Justiz und Sicherheit (JenV) und des Ministeriums für Asyl und Migration (AenM) einen Rahmen für die Bewertung von Datenschutz-Folgenabschätzungen (DSFA) entwickelt.
Die DSFA wird anhand von 16 Aspekten auf einer Skala von 1 bis 5 bewertet, wobei die mittlere Stufe als akzeptabel gilt (also zwei Stufen auf jeder Seite, um besser oder schlechter zu sein). Das Bewertungsschema ist so klar, dass nur zwei Seiten umfasst. Damit soll eine einheitliche Arbeits- und Bewertungsmethode innerhalb von der beteiligten Ministerien JenV und AenM erreicht werden.
Zudem sei für die für die Manager (erste Ebene), die Ersteller der DSFA und die DSB (zweite Ebene) klarer, was von einer guten DSFA erwartet werde.

5.21.1 Universität des Saarlandes – Öffentliche Vorlesungsreihe: Datenschutz in der Praxis -neu-

Im Wintersemester 2025/26 findet die öffentliche Vorlesungsreihe „Datenschutz in der Praxis“ statt. An insgesamt zehn Terminen im Zeitraum Januar bis März 2026 werden hochrangige Datenschutzexperten zu aktuellen Fragen des Datenschutzrechts aus Sicht der Praxis referieren. Es werden zahlreiche Landesdatenschutzbeauftragte als Gastdozenten fungieren.
Weitere Informationen und Anmeldung dazu hier.

• 17.02.2026, 18:00 – 19:30 Uhr, online: Entbürokratisierung oder Entkernung? An diesem Termin geht es um die Bestrebungen zur Reform der DSGVO und ihre Folgen für den Grundrechtsschutz. Es referiert die LfDI im Saarland. Der Teilnahmelink.
• 24.02.2026, 18:00 – 19:30 Uhr, online: KI und Datenschutz. An diesem Termin geht es um KI und Datenschutz: Wie geht das in der (Aufsichts-) Praxis zusammen? Es referiert der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. Der Teilnahmelink.
• 03.03.2026, 18:00 – 19:30 Uhr, online: Datenschutzrechtliche Bußgeldverfahren in der Praxis. An diesem Termin geht es um Datenschutzrechtliche Bußgeldverfahren in der Praxis. Es referiert der LfD Niedersachsen. Der Teilnahmelink.
• 10.03.2026, 18:00 – 19:30 Uhr, online: Zusammenspiel von KI-Verordnung und DS-GVO. An diesem Termin geht es um das Zusammenspiel von KI-Verordnung und DS-GVO. Es referiert der LfDI Baden-Württemberg. Der Teilnahmelink.
• 17.03.2026, 18:00 – 19:30 Uhr, online: Datenschutz bei Gericht. An diesem Termin geht es um Datenschutz bei Gericht. Es referiert der LfDI Mecklenburg-Vorpommern. Der Teilnahmelink.
• 24.03.2026, 18:00 – 19:30 Uhr, online: Grenzüberschreitender Datenverkehr – Status Quo. An diesem Termin geht es um den Status Quo beim grenzüberschreitenden Datenverkehr. Es referiert der TLfDI. Der Teilnahmelink.
• 31.03.2026, 18:00 – 19:30 Uhr, online: IT-Sicherheit und Datenschutz – Was muss, was darf? An diesem Termin geht es um „IT-Sicherheit und Datenschutz – Was muss, was darf?“ Es referiert die Landesbeauftragte für Datenschutz Schleswig-Holstein. Der Teilnahmelink.

5.21.2 Bucerius Alumni e.V.: Unternehmenstransaktionen und Datenschutz -neu-

18.02.2026, ab 19:00 Uhr, online: Bei der Veranstaltung „Personenbezogene Daten im Asset Deal“ werden Fragestellungen zu Unternehmenstransaktionen im Wege des Asset Deals behandelt. Die Übertragung personenbezogener Daten kann die Parteien und ihre Berater vor erhebliche Compliance-Herausforderungen stellen. Die Veranstaltung soll das Problem und ihre Lösung aus der Praxis des Datenschutz- und Gesellschaftsrechts beleuchten. Nach einem Impuls aus Sicht der Aufsichtsbehörde werden verschiedene Konstellationen und Herangehensweisen diskutiert. Zur Anmeldung klicken Sie hier.

5.21.3 Vortragsreihe „Zukunftsdialog KI und Recht“ der SRH University Heidelberg

In der Veranstaltungsreihe der SRH University Heidelberg werden an verschiedenen Terminen verschiedene Themen vor Ort und online diskutiert. Mehr dazu hier. Das vollständige Programm ist hier hinterlegt. Der Zugangs-Link wird nach Anmeldung am Tag vor der Veranstaltung verschickt:

• 19.02.2026, 16:00 – 18:30 Uhr: „Verantwortung & Haftung im KI-Zeitalter“
  Zwei Impulsvorträge zu „Entscheidungen durch Maschinen: Zurechnung und Haftung“ und „Menschliche Aufsicht & Kontrolle: Anforderungen, Grenzen und Zukunftsmodelle“.
• 16.04.2026, 16:00 – 18:30 Uhr: „Kreativität, Markt & Macht“
  Drei Impulsvorträge zu „Autorenschaft neu denken: Urheberrecht im KI-Zeitalter“, „KI, Markt und Macht: Wettbewerb im digitalen Zeitalter“ und „Europa als KI-Kontinent: Digitale Souveränität, Regulierung und globale Handlungsfähigkeit“.

5.21.4 ifKI: “KI-Recht und Datenschutz in der Praxis“ -neu-

19.02.2026, ab 18:30 Uhr, online: Zwei Experten befassen sich mit dem Brückenschlag zwischen DS-GVO und KI-VO. Sie möchten praxisnah diskutieren und aufzeigen, welche Regeln gelten und wie man sie umsetzt. Sie befassen sich dabei mit Fragen wie Datenschutz und KI zwischen Datenminimierung und Verantwortungsdiffusion zusammengehen und warum es eine AI-Governance in Unternehmen braucht. Weitere Informationen und Anmeldung hier.

5.21.5 Webinar: “Digital Omnibus – What companies need to know now” -neu-

25.02.2026, 10:00 – 10:30 Uhr, 12:00 – 12:30 Uhr und 17:00 – 17:30 Uhr, online: Eine Kanzlei bietet drei Termine an, um auf Englisch über die relevanten Änderungsvorschläge aus dem Digitalen Omnibus zu informieren. Weitere Informationen und Anmeldung hier.

5.21.6 Gautinger Internettreffen: Digitale Souveränität in der Jugendarbeit

24./25.03.2026, ab 18:00 Uhr, Gauting: Das Thema digitale Souveränität spielte in den letzten Jahren nur eine nachrangige Rolle in der öffentlichen Debatte – doch es ist ein immens wichtiges Anliegen, wie u.a. der Ausfall der AWS-Server im Oktober 2025 bewies, der diverse Dienste wie Signal, Slack und Snapchat beeinträchtigt hat. Auch bei Hard- und Software-Lösungen in der Bildungsarbeit (Dominanz von Microsoft 365 sowie iPad- bzw. Windows-Laptop-Klassen), bei Suchmaschinen (Google), KI-Tools (OpenAI) oder im Social Web (Meta) wird Monopolen bzw. Oligopolen oft sehr unkritisch gegenübergestanden, obwohl es alternative Lösungen gibt. Beim git26 (26. Gautinger Internettreffen) im März 2026 wird unter dem Titel „Digital und selbstbestimmt“ die Frage gestellt, wie eine souveräne Mediennutzung in der Jugendarbeit, der Schule und der Medienpädagogik gestaltet werden kann. Weitere Informationen hier und die Anmeldung dort.

5.21.7 BlnBfDI: 3. Fachtag „Datenschutz trifft Medienkompetenz“ -neu-

25.03.2026, 9:00 – 15:30 Uhr, Berlin: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBfDI) und jugendnetz.berlin laden Fachkräfte der Kinder- und Jugendarbeit zum 3. Fachtag ein, um sich auszutauschen, wie auch in der Arbeit mit Kindern und Jugendlichen eine gute, zeitgemäße Medienarbeit unter Beachtung des Datenschutzes gelingen kann. Datenschutz und Medienkompetenz hängen eng miteinander zusammen, da die Nutzung von Medien und Technologie immer auch mit der Verarbeitung von persönlichen Daten verbunden ist. Es sei daher wichtig, dass Kinder und Jugendliche sowohl über entsprechende Kenntnisse im Bereich Datenschutz als auch über die notwendige Medienkompetenz verfügen, um ihre Privatsphäre und ihre persönlichen Daten im digitalen Zeitalter schützen zu können. Weitere Informationen und Anmeldung hier.

5.21 Veranstaltungen

6.1 Österreichische Adressenhändler und ihre Quellen

In dieser Veröffentlichung werden die Datenflüsse bei einer österreichischen Kreditauskunftei nach einer Untersuchung dargestellt. Mithilfe von mehr als 2.400 Betroffenen wird ausgeführt, dass die österreichische Kreditauskunftei u.a. auf öffentliche Register wie Grund- und Firmenbuch, das Vereinsregister und das 2015 eingeführte Gewerbeinformationssystem (GISA) zugreifen.

6.2 Dänisches Digitalministerium ohne Microsoft

Die Dänen wollen Grönland behalten. Beim Digitalministerium beginnt man sich aber von Microsoft zu trennen, wie hier berichtet wird. Bis zum Herbst sollen alle Angestellten ohne Microsoft auskommen. Stattdessen werde man Linux und LibreOffice nutzen.

6.3 Frankreich: Digitale Souveränität umgesetzt

Wie hier berichtet wird, wechselt Frankreich weg von US-amerikanischen Anbietern von Videokonferenz-Systemen wie MS Teams oder Zoom. Stattdessen soll bei Behörden die Videokonferenzplattform Visio des heimischen Anbieters Outscale eingesetzt werden.
Das ist mal ein schönes Beispiel von „Nicht quatschen, machen.“

6.4 Finanzierungslücken

Eigentlich hoffe ich ja, dass das Geld aus den Cum-ex-Geschäften an den Staat zurückgezahlt wird und die Verantwortlichen vor Gericht gestellt werden. Was sich hier aber nachlesen lässt, sehen das wohl verantwortliche Personen in der Justizverwaltung Nordrhein-Westfalens anders.

6.5 DSA: Untersuchungen gegen TikTok

Wegen Verstößen gegen den Digital Services Act (DSA) ermittelt laut Berichten nun die EU-Kommission gegen TikTok. Was mir nie wie ein Geheimnis vorkam, stellt die EU-Kommission nun offiziell fest: TikTok verwende suchterzeugendes Design und verstoße damit gegen den DSA.
Damit ist die Art und Weise gemeint, wie Tiktok mit stark personalisierten Empfehlungen die Nutzerinnen und Nutzer zu pausenlosem und endlosem Abspielen von Videos verleitet. TikTok gefährde damit die körperliche und geistige Entwicklung von Millionen Kindern und Jugendlichen in Europa. Das Unternehmen scheint es versäumt zu haben angemessene, verhältnismäßige und wirksame Maßnahmen zur Minderung der Risiken zu ergreifen, die sich aus seinem eigenen Suchtkonzept ergeben.
TikTok hat nun die Möglichkeit von seinem Recht auf Verteidigung Gebrauch zu machen. Es kann die Unterlagen in den Untersuchungsakten der Kommission prüfen und schriftlich auf die vorläufigen Feststellungen der Kommission antworten. Parallel dazu wird das Europäische Gremium für digitale Dienste konsultiert.
Jetzt warten wir noch ab, bis die Marketingverantwortlichen, die bisher schamlos diese Plattform nutzen, ihre Krokodilstränen öffentlichkeitswirksam feiern.
Die Stiftung Datenschutz hatte bereits ihren letzten DatenTag dem Thema Kinder und Datenschutz gewidmet, über den sie hier berichtet. Dort konnte man auch hören, wie toll sich TikTok selbst findet.
Was Eltern zu TikTok bereits selbst tun können, wird hier berichtet.

6.6 Erpressung der Eltern nach Ransomware-Befall an Schule

Wenn schon das eine Opfer nicht zahlen will, sucht man sich halt andere Opfer... So scheint es bei diesem erfolgreichen Datenabzugsangriff in Belgien zu laufen, über den hier berichtet wird. Aktuell werden dort nach einem erfolgreichen Angriff gegen eine Schule Eltern mit Lösegeldforderungen von Cyberkriminellen konfrontiert. So fordern 50 Euro je Kind. Und brüsten sich mit einer sehr breiten Datenbasis: Schülerdaten aus den Jahren 2016–2025 sowie Informationen zu Lehrkräften und Mitarbeitenden, außerdem Finanzdaten und sogar Ausweis- und Gesundheitsdaten.

7.1 Leopoldina Lunch Talk: Digitale Verantwortung – Soziale Medien und junge Menschen

Der Lunch Talk der Leopoldina zu Sozialen Medien und junge Menschen ist auf YouTube (Dauer ca. 1 Std.) verfügbar. Er beginnt mit einem einführenden Vortrag zu Inhalten aus dem zuvor veröffentlichten Diskussionspapier der Leopoldina zu Altersgrenzen für soziale Medien bevor sich Vertreter:innen aus Wissenschaft, Politik, Regulatorik und eine Vertreterin eines sozialen Netzwerks dazu austauschen.

7.2 Ländervergleich zu Maßnahmen gegen sexualisierte Gewalt gegen Kinder

Was tun andere europäische Länder gegen (digitale) sexualisierte Gewalt gegen Kinder und Jugendliche? Die Beobachtungsstelle Gesellschaftspolitik hat fünf kompakte Länder-Factsheets zu Frankreich, Spanien, Schweden, Polen und Irland veröffentlicht. Drei Spotlights aus den Infografiken:

• Schweden: Seit 2015 gibt es mit Barnafrid ein von der Regierung beauftragtes nationales Wissenszentrum zum Thema Gewalt gegen Kinder.
• Frankreich testet als eines von fünf Ländern den von der EU entwickelten Prototyp zur Altersverifizierung von Kindern im Internet.
• Spanien: Es gibt verpflichtende Erst- und Weiterbildungen für alle Personen, die in ihrer Arbeit mit sexualisierter Gewalt gegen Kinder und Jugendliche in Kontakt kommen können.

Der Blick über Ländergrenzen hinweg zeigt neue Perspektiven auf Schutz, Prävention und Regulierung auf und verdeutlicht, was möglich ist, um Kinder und Jugendliche besser zu schützen. Weitere Informationen zum Thema "Sexualisierte Gewalt gegen Kinder und Jugendliche in Europa bekämpfen" finden sich hier.

7.3 Podcast Schutzraum: Zwischen Chat und Strafrecht

Kinder und Jugendliche bewegen sich heute wie selbstverständlich im digitalen Raum. Doch was viele Erwachsene unterschätzen: Auch im Netz gelten Gesetze – und Unwissen schützt weder Kinder noch Eltern oder pädagogische Fachkräfte vor ernsten Konsequenzen. In dieser Podcast-Folge (Dauer ca. 36 Min.) spricht ein Staatsanwalt über die Punkte, bei denen digitale Alltagsnutzung plötzlich rechtlich relevant wird. Wann wird aus „Spaß“ strafbares Verhalten? Mit welchen strafrechtlich relevanten Themen werden Kinder konfrontiert? Welche Verantwortung tragen Eltern und Schulen? Und was passiert, wenn Kinder selbst – oft unbewusst – gegen Gesetze verstoßen? Es geht u.a. um Cybermobbing, Sextortion und das Weiterleiten privater Bilder, strafbare Inhalte und rechtliche Grauzonen im Jugendalter, typische Ermittlungsfälle aus der Praxis und Möglichkeiten zur Prävention, also darum, wie Wissen über Recht Kinder wirklich schützen kann.
Adressiert wird diese Folge an Eltern, Lehrkräfte und pädagogische Fachkräfte, die nicht nur sensibilisieren, sondern rechtlich sicher handeln wollen. Schutz beginnt dann, wenn Erwachsene wissen, wo gesetzliche Grenzen verlaufen – und wie man Kinder befähigt diese zu verstehen.

7.4 klicksafe: Materialien zu KI

Passend zum Safer Internet Day 2026 veröffentlicht klicksafe Unterrichtsmaterial zu KI. Es umfasst eine Einführung, die Auswirkungen auf unser Leben, der Einbezug in der Schule und die Übersicht über verschiedene Projekte.

7.5 Microsoft: Wer hat den Schlüssel zu BitLocker?

Schon bei den Ghostbusters waren entscheidende Figuren der Torwächter und der Schlüsselmeister. Bei Microsoft ist dies nicht anders. Wie hier berichtet wird, hat Microsoft Kryptoschlüssel für BitLocker an das FBI gegeben, um Laptops von Verdächtigen zu entschlüsseln.
Jetzt hat niemand etwas dagegen, wenn gegen Schwerstkriminelle oder der Schwerstkriminalität Verdächtigte ermittelt wird. Bedenklich wird es, wenn aufgrund politischer Ereignisse die Grenzlinie zwischen Rechtsstaat und Schwerstkriminellen nicht mehr klar erkennbar wird.

Franks Nachtrag: Dass ich mal etwas schreibe, was sich ansatzweise wie eine Verteidigung von Microsoft lesen lässt? Erstaunlich.
Aber tatsächlich schreibe ich es ja nicht, ich verlinke stattdessen auf die aktuelle (und wie immer hörenswerte) Podcast-Folge (Dauer 1:58 Std.) des Passwort-Podcasts.
Daraus empfehle ich in diesem Kontext das Segment ab 47 Minuten und 15 Sekunden, dort wird die BitLocker-Schlüsselthematik behandelt (mit ca. 16 Minuten Länge). Ab 55 Minuten und 10 Sekunden ist dann Apple mit FileVault von MacOS dran 🫣: Apple wird dafür kritisiert, dass sie (im Gegensatz zu Microsoft, die ziemlich transparent zu ihrem Umgang mit dem BitLocker-Wiederherstellungsschlüssel informieren) nichts dazu dokumentiert haben, wie Apple mit dem FileVault-Wiederherstellungsschlüssel umgeht. Und dann werden Aktivitäten und Alternativen vorgeschlagen.
Es ist – wie bereits gesagt – mal wieder eine hörenswerte Podcast-Folge.
Wenn Sie lieber lesen, dann habe ich passend noch einen Artikel. In diesem Zusammenhang scheint es sich wieder mal zu lohnen, eine aktuelle Betriebssystemversion zu nutzen.
Und als Ergänzung zu Microsofts Herausgabe: Das scheint ca. 20x pro Jahr zu passieren.

7.6 USA: Werbetools und Immigrantendeportation

Die Schutzstaffel der Immigrationsbehörde ICE in den USA will laut diesem Bericht Informationen aus Webtrackingkampagnen nutzen, um Personen zu lokalisieren. ICE fragt Unternehmen nach 'Ad-Tech- und Big Data'-Tools, die es bei Untersuchungen nutzen könnte. ICE arbeite mit zunehmenden Mengen an strafrechtlichen, zivilrechtlichen und regulatorischen, administrativen Dokumenten aus zahlreichen internen und externen Quellen.

7.7 Jugend-Monitor Österreich: Nutzung Sozialer Netzwerke durch Jugendliche

Passend zum Safer Internet Day 2026 veröffentlicht das Österreichische Institut für angewandte Telekommunikation (ÖIAT) den Jugend-Internet-Monitor mit den Angaben, welche Sozialen Netzwerke Österreichs Jugendliche nutzen.
Zum bereits 11. mal hat Saferinternet.at in einer repräsentativen Studie erhoben, welche Online-Plattformen 11- bis 17-Jährige in Österreich nutzen. WhatsApp bleibt mit 82 % Nutzung trotz Verlusten die meistgenutzte Plattform, gefolgt von YouTube, Snapchat, TikTok, Instagram und Microsoft Teams. Im Vergleich zum Vorjahr verzeichnen alle großen Angebote Rückgänge. Parallel dazu nimmt die Nutzung von KI-Chatbots massiv zu. Aus diesem Grund wurde diesem Thema eine zusätzliche Erhebung gewidmet. Diese ergab, dass bereits 94 % der Jugendlichen Chatbots wie ChatGPT verwenden. Die Detailergebnisse der Zusatzstudie „KI-Chatbots als Alltagsbegleiter für Jugendliche“ wurden am 9. Februar 2026 veröffentlicht.

7.8 Datenschutz und Faschismus: Privatsphäre in der autoritären Zeit

Da die Vereinigten Staaten und ein Großteil der Welt mit einem Wiederaufleben des Autoritarismus konfrontiert sind, kann die entscheidende Bedeutung der Privatsphäre nicht überbewertet werden. Privatsphäre dient als grundlegender Schutz gegen die Überschreitung autoritärer Regierungen. Die autoritäre Macht wird in der heutigen Ära der allgegenwärtigen Überwachung und der unerbittlichen Datenerhebung erheblich verbessert. Wir leben im Zeitalter des „Überwachungskapitalismus“. Es gibt riesige digitale Dossiers über jede Person, die von Tausenden von Unternehmen gesammelt werden und für die Regierungen verfügbar sind.
In den USA intensivieren die Bundesregierung und einige Landesregierungen die Überwachungs- und Datenerhebungsbemühungen, zielen auf Einwanderer ab, bestrafen diejenigen, die an der Suche oder Erbringung von Abtreibungsdienstleistungen beteiligt sind, und gehen gegen geschlechtsbejahende Gesundheitsversorgung vor. Personenbezogene Daten werden gegen Kritiker und andere, die sich diesen Bemühungen widersetzen, als Waffen genutzt. Damit setzt sich diese Veröffentlichung auseinander.

7.9 USA: Einsatz von Software bei Bundesbehörden: Vertrauen ist gut, Kontrolle braucht es nicht

Wie hier berichtet wird, können in den USA Bundesbehörden künftig auf Sicherheitsvorgaben bei Software verzichten. Das Office of Management and Budget (OMB) des Weißen Hauses hat die Aufhebung der bisherigen Sicherheitsregeln für Beschaffung und Einsatz von Software angeordnet (M-26-05).
Ab sofort ist den Bundesbehörden freigestellt, ob sie das NIST Secure Software Development Framework (SSDF), SP 800-218 und die NIST Software Supply Chain Security Guidance einhalten möchten oder nicht. Diese Regeln werden in dem neuen Erlass als „unbewiesen und mühsam” bezeichnet, die „Compliance über echte Sicherheitsinvestitionen gestellt” hätten.
Diese Variante der „Entbürokratisierung“ verläuft ziemlich erwartungskonform.
Und wer wissen will, wie die Software ELITE von Palantir durch die Schutzstaffel der ICE-Immigrationsbehörde eingesetzt wird, kann dies hier nachlesen.

7.10 Deepfakes bei X

Wie hier berichtet wird, haben Ermittler in Frankreich Räumlichkeiten der Firma X in Paris wegen neuer Vorwürfe zu Deepfakes und zur Holocaust-Leugnung durchsucht. Der Firmenchef selbst wurde für den 20. April 2026 zu einer Anhörung vorgeladen, um sich zu den Vorwürfen zu äußern. Die Razzia steht im Zusammenhang mit einer seit einem Jahr laufenden Untersuchung wegen des Verdachts des Missbrauchs von Algorithmen und der betrügerischen Datenextraktion durch X oder seine Führungskräfte. Seit Kurzem gibt es außerdem Vorwürfe wegen Holocaust-Leugnung und sexualisierter Abbildungen. Dabei geht es um vom KI-Chatbot Grok erstelltes Bildmaterial von Frauen und Kindern. Die Pariser Staatsanwaltschaft ermittelt zudem wegen des Vorwurfs, dass Algorithmen in dem sozialen Netzwerk verändert worden seien, um rechtsextremen Inhalten mehr Aufmerksamkeit zu bescheren. Spätestens da unterstelle ich den Franzosen den Vorladungstermin bewusst gewählt zu haben.

7.11 Lernerfolge und KI

Vielerorts wird der Einsatz von KI zum Lernen als wertvolle Unterstützung gesehen für Zusammenfassungen oder auch Erstellung von Texten und Bildern. Statt mühevoll über Websuche Quellen zu finden, diese zu bewerten und zusammenzufassen, kann der Einsatz einer KI hier schneller zu Ergebnissen führen. Eine Studie mit über 10.000 Teilnehmenden hat sich nun mit den beiden Methoden befasst und dabei festgestellt, dass die Daten ein konsistentes Muster zeigten: Menschen, die ein Thema durch ein LLM im Vergleich zur Websuche erlernten, hatten das Gefühl, weniger Mühe in das anschließende Schreiben ihrer Ratschläge zu investieren und letztlich kürzere, weniger sachliche und allgemeinere Ratschläge zu schreiben. Als dieser Rat wiederum einer unabhängigen Stichprobe von Lesern präsentiert wurde, die nicht wussten, welches Werkzeug zum Lernen über das Thema verwendet worden war, fanden sie den Rat weniger informativ, weniger hilfreich und sie waren weniger geneigt, ihn zu übernehmen. Bericht dazu hier.

7.12 Datenstriptease bei künftigen Einreisen in die USA?

Nach den Planungen der US-Administration sollen künftig in die USA Einreisende bestimmte Informationen aus dem privaten Umfeld im Rahmen des Formulars I-94 (ESTA) offenlegen und biometrische Daten bereitstellen. Die Webseite des ESTA wird durch eine App ersetzt. Bericht dazu hier. Kommentare dazu konnten bis zum 9. Februar 2026 eingereicht werden.
Vorgesehen ist die obligatorische Angabe von Aktivitäten in Sozialen Medien der letzten fünf Jahre (vgl. Ziffer 3 des Vorschlags).
Auch werden gemäß Ziffer 4 des Vorschlags mehrere „hochwertige Datenfelder” in den ESTA-Antrag aufgenommen. Diese ergänzen die bereits im ESTA-Antrag erfassten Informationen. Zu den hochwertigen Datenfeldern gehören:

1. In den letzten fünf Jahren verwendete Telefonnummern
2. E-Mail-Adressen, die in den letzten zehn Jahren verwendet wurden
3. IP-Adressen und Metadaten aus elektronisch übermittelten Fotos
4. Namen von Familienmitgliedern (Eltern, Ehepartner, Geschwister, Kinder)
5. Telefonnummern von Familienangehörigen, die in den letzten fünf Jahren verwendet wurden
6. Geburtsdaten von Familienmitgliedern
7. Geburtsorte von Familienmitgliedern
8. Wohnorte von Familienmitgliedern
9. Biometrische Daten – Gesicht, Fingerabdruck, DNA und Iris
10. In den letzten fünf Jahren verwendete geschäftliche Telefonnummern
11. Geschäftliche E-Mail-Adressen, die in den letzten zehn Jahren verwendet wurden

Mal sehen, was dann tatsächlich geregelt wird – und wer dann noch geschäftlich in die USA reisen möchte.
Und als Nachtrag: In diesem Artikel gibt es eine Checkliste mit Tipps für die Einreise, falls Sie dann doch in die USA reisen wollen (oder müssen)...

8.1 Apropos KI ...

Na gut, was haben wir:

• Fangen wir an mit Slop. Sie erinnern sich, wozu es den Slop-Evader gibt? Warum beschäftigen wir uns wieder mit Slop? Weil Slop das Wort des Jahres 2025 wurde, zumindest nach Merriam-Webster. Sagen Sie nicht, hier bekämen Sie nichts geboten. Wenn Sie noch ein wenig mehr zu AI Slop lesen wollen, dann lesen Sie diesen Blog-Beitrag (in dem es auch im weiteren Verlauf um ESTA geht). Und außerdem könnte es im Zusammenhang mit KI-Slop und wie man ihn erkennt für Sie noch interessant sein das Essay „AI-Generated Text and the Detection Arms Race” zu lesen.
• Aus der gleichen Quelle gibt es noch einen interessanten Lesestoff mit dem Titel „The AI who was God”. Wenn das nicht als Motivation zum Weiterlesen reicht ...
• Apropos God: Der Herr hat’s gegeben, der Herr hat’s genommen ... Das hat sich vielleicht auch dieser Erfinder gedacht und sein Produkt präsentiert: Die „AI-Powered Suicide Chamber”. Immer, wenn ich denke, schräger wird es nicht ...
• Über KI und Sicherheitslücken hatten wir ja schon berichtet... reichlich. Und da war dann auch von einer Evolution die rede. Die scheinbar schnell voranschreitet, da KI-Systeme scheinbar immer besser darin werden Zero-Day-Exploits zu finden und auszunutzen. Und hier gibt es noch ein Follow-Up. Und einen Artikel dazu.
• Vielleicht kann damit mit KI Geld verdient werden? Wobei die großen Anbieter ja laut diesem Artikel gar nicht mal so tun als ob sie Geld verdienen würden. Wie heißt es zum Ende des Artikels?
  „One thing’s for sure: if confidence could be bottled and sold, these companies would be profitable on day one.”
• Wobei nach diesem Artikel ein Revenue-Stream zu existieren scheint: „MaliciousCorgi: The Cute-Looking AI Extensions Leaking Code from 1.5 Million Developers”
• Derweil scheint KI in den USA die College-Bildung zu „killen”.
• Und zum Abschluss noch eine kreative Art der Prompt Injection: „Prompt Injection Via Road Signs". Hier gehts zur Studie, dort zum Artikel.

8.2 Signal = BigTech?

In diesem Artikel widmet sich der von uns häufiger zitierte Autor genau dieser Frage: „Ist der Messenger Signal »Big Tech« – oder nicht?” Sehr frei nach Radio Eriwan lautet die Antwort „Es kommt darauf an...”

8.3 Fünf Irrtümer zum Thema Datenschutz widerlegt

Passend zum Europäischen Datenschutztag hat noyb fünf Irrtümer zum Thema Datenschutz widerlegt. Im Blog-Beitrag gibt es sogar noch einen Bonus-Irrtum, den sie aber auch widerlegen...

8.4 Von Shadow Bans und Abhängigkeiten

Und noch ein Artikel vom häufiger zitierten Autor: „LinkedIn, Shadow Bans und die Abhängigkeit von US-Plattformen”
Digitale Souveränität kann sehr schnell relevant werden.

8.5 Künstliche Fingernägel?

Nur, wenn es künstliche Fingernägel mit nachträglichem Farbwechsel sind... Sachen gibts 💅🏻 Wobei ich da mehr ans Fünfte Element denken muss. Aber die haben sich bestimmt von Total Recall inspirieren lassen. Das Gerät sieht auf jeden Fall eher so aus wie im Fünften Element.

9.1 klicksafe: „Mein Kind und KI. Aufwachsen mit künstlicher Nähe“

Passend zum Safer Internet Day 2026 präsentiert klicksafe eine neue in Kooperation mit „Nummer gegen Kummer“ entstandene Elternbroschüre zur Künstlichen Intelligenz. Für Eltern wirft der Umgang mit KI viele neue Fragen auf: Wie beeinflusst KI Vorstellungen von Freundschaft, Beziehung und emotionaler Unterstützung? Und wie können Eltern ihre Kinder dabei gut begleiten?
Die Broschüre will verständlich erklären, wie KI-Begleiter funktionieren und welche Herausforderungen sie mit sich bringen. Sie bietet Eltern konkrete Unterstützung für die Medienerziehung – mit zehn praktischen Tipps sowie Impulsfragen, die dabei helfen mit Kindern über KI ins Gespräch zu kommen und emotionale Kompetenzen zu stärken.
Weitere Informationen zu dem Thema finden sich hier bei klicksafe.

9.2 Aktualisierte Folien von „Datenschutz geht zur Schule“

Im Rahmen einer Aktualisierung gibt es die Foliensätze der Initiative „Datenschutz-geht-zur Schule“ nun in der Version 6.4 (Direktlink). Erweitert wurden die Themen um KI, die anderen Themen wurden – ebenso wie das Tutorial zu den Foliensätzen – aktualisiert.
Die Materialien von „Datenschutz geht zur Schule“ stehen unter einer CC-Lizenz, die es jeder Person ermöglichen diese im Einsatz zu nutzen, solange die Urheber genannt und die Folien nicht verändert oder kommerziell genutzt werden. Mit diesen Foliensätzen kann also auch bei Vorträgen rund um den Safer Internet Day 2026 sensibilisiert werden.

9.3 Rechtsdurchsetzung und Sammelklagen, heute: Amazon Prime

Es liegt nur an Aufsichtsbehörden digitale Rechte durchzusetzen? Nein, auch Verbraucher haben die Möglichkeit sich zu wehren, wenn sie der Ansicht sind, dass ihre Rechts nicht beachtet werden. So wie bei der Sammelklage der Verbraucherzentrale Sachsen (VZ Sachsen), die gerichtlich prüfen lassen will, ob Änderungen der Bestimmungen bei der Nutzung von Amazon Prime rechtmäßig war. Am 5. Februar 2024 führte Amazon Prime Video-Werbung ein und verschlechterte gleichzeitig Bild- und Tonqualität – ohne Zustimmung der Abonnent:innen. Wer den bisherigen Standard behalten wollte, musste dafür ein Zusatz-Abo für 2,99 Euro im Monat abschließen. Die Verbraucherzentrale Sachsen sieht darin eine versteckte Preiserhöhung. Die Klage zielt darauf ab die Gewinne abzuschöpfen, die Amazon dadurch erzielt hat – sowohl durch das Zusatz-Abo als auch durch die Werbeeinnahmen. Das Gesetz sagt klar: Unternehmen dürfen aus solchen Rechtsverstößen keinen Gewinn ziehen.
Mehr dazu hier in den FAQ der VZ Sachsen. Dort kann auch nachgelesen werden, wer und bis wann sich noch der Sammelklage angeschlossen werden kann.