Ausgabe 124 (KW 09&10/2026

1.1 Datenschutzbehörden gegen Deepfakes

Bisher 61 Datenschutzbehörden weltweit haben eine gemeinsame Erklärung zu KI-generierten Bildern veröffentlicht und unterzeichnet. Die Unterzeichner sind besonders besorgt über den möglichen Schaden für Kinder. Die gemeinsame Erklärung wurde von der International Enforcement Cooperation Working Group (IEWG) der Global Privacy Assembly (GPA) koordiniert. Die Erklärung befasst sich mit ernsthaften Bedenken hinsichtlich KI-Systemen, die realistische Bilder und Videos von identifizierbaren Personen ohne deren Wissen oder Zustimmung erstellen. KI hat zwar das Potenzial zahlreiche Vorteile für Einzelpersonen und die Gesellschaft mit sich zu bringen, doch haben die jüngsten Entwicklungen – insbesondere die Integration von KI-Bild- und Videogenerierung in weit verbreitete Social-Media-Plattformen – die Erstellung von nicht einvernehmlichen intimen Bildern, diffamierenden Darstellungen und anderen schädlichen Inhalten mit realen Personen ermöglicht. Die Mitunterzeichner sind besonders besorgt über mögliche Schäden für Kinder und andere schutzbedürftige Gruppen, wie z. B. Cybermobbing und/oder Ausbeutung.
Die Erklärung richtet sich an Unternehmen und Organisationen, die KI-Systeme zur Bild- und Videogenerierung entwickeln oder einsetzen. Solche Systeme sollten in Einklang mit dem jeweiligen rechtlichen Rahmen inklusive der entsprechenden Datenschutz- und Privatsphären-Regelungen stehen. Die Behörden erwarten von Unternehmen unter anderem robuste Sicherheitsvorkehrungen, transparente Kommunikation über zulässige Nutzung sowie wirksame Mechanismen zur schnellen Entfernung schädlicher Inhalte.

1.2 EDSA: Marktstudie zu Datenbrokern (Belgien)

Die Marktstudie zu Datenbrokern aus dem Support Pool of Experts des EDSA bietet eine Methodik zur Identifizierung von Datenbrokern und präsentiert eine Typologie von Datenbrokern zusammen mit einer Analyse derer Geschäftsmodelle und einer ersten Risikobewertung, wie der EDSA informiert. Darüber hinaus will der Bericht einen detaillierten Überblick über eine Reihe von Datenbrokern und -anbietern bieten, die in Belgien identifiziert wurden, geordnet nach Typ. Mögliche Datenbroker wurden anhand der im Bericht dargelegten Kriterien bewertet. Insgesamt zeige die Studie, dass der Markt für Datenbroker und -anbieter in Belgien sehr vielfältig ist und unterschiedliche Risiken im Zusammenhang mit der Verwendung personenbezogener Daten aufweist.
Der EDPB hat das Projekt im Rahmen des Programms „Support Pool of Experts“ auf Antrag der belgischen Datenschutzbehörde (DPA) ins Leben gerufen. Das Projekt wurde im November 2025 von einem externen SPE-Experten abgeschlossen.
Diese Podcast-Folge auf Englisch (Dauer ca. 5 Min.) befasst sich mit der Studie und dabei insbesondere mit der dabei angewandten Definition eines Datenbrokers.

1.3 EDSA: Programm der Konferenz zu Wechselwirkungen im Datenschutz

Der EDSA hat das Programm für die Veranstaltung am 17. März 2026 in Brüssel veröffentlicht, der genaue Titel der Veranstaltung lautet „Cross-regulatory interplay and cooperation in the EU: a data protection perspective”. Sie findet von 9:15 – 15:30 Uhr statt. Die Anmeldung ist bereits geschlossen, aber die Veranstaltung wird live auf der Website des EDSA übertragen.

1.4 EDSA: Veranstaltung für Interessengruppen zum Thema politische Werbung

Der EDSA veranstaltet am 27. März 2026 eine Online-Veranstaltung, um Beiträge von Interessengruppen zu seinen Leitlinien zur Verarbeitung personenbezogener Daten für die Ausrichtung oder Bereitstellung politischer Werbung gemäß der Verordnung über die Transparenz und Ausrichtung politischer Werbung zu sammeln. Die Tagesordnung ist nun verfügbar.

1.5 DSK: Forderung zu vollständigem Verzicht auf anlasslose Massenüberwachung

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) fordert vor den beginnenden Verhandlungen in der EU über mögliche Chatkontrollen auf derartige Maßnahmen vollständig und endgültig zu verzichten. Die DSK appelliert an die Beteiligten, von der Massenüberwachung privater Chats („Aufdeckungsanordnungen“) sowie dem flächendeckenden Scannen privater Nachrichten und einem Durchbrechen der Ende-zu-Ende-Verschlüsselung ohne Ausnahme abzusehen. Hintertüren in der Verschlüsselung gefährden die Sicherheit der Kommunikation aller Bürgerinnen und Bürgern und könnten auch von Kriminellen ausgenutzt werden.

1.6 BfDI: Kontrollierte bestimmen, ob sie kontrolliert werden wollen?! Heute: BND

Was in Kinderzimmern nicht klappt, soll beim Bundesnachrichtendienst (BND) klappen. Die BfDI informiert, dass durch das BVerwG ihre Klage gegen die Weigerung des BND abgewiesen wurde.
Gegenüber der Verweigerung der Einsichtnahme durch den BND steht der BfDI danach allein die – tatsächlich ergriffene – Maßnahme einer Beanstandung gegenüber dem Bundeskanzleramt zu. Mit dieser sind nach dem eindeutigen Willen des Gesetzgebers keine unmittelbar durchsetzbaren Abhilfe- bzw. Durchgriffsbefugnisse verbunden. Diese gesetzgeberische Entscheidung dürfe nicht durch die Einräumung einer wehrfähigen Rechtsposition der BfDI unterlaufen werden. Die Pressemeldung des BVerwG findet sich hier.
Die BfDI sieht durch das Urteil eine Schwächung des Grundrechts auf informationelle Selbstbestimmung: Bürgerinnen und Bürger haben gegenüber den Nachrichtendiensten wegen der geheim stattfindenden Datenverarbeitungen kaum Möglichkeiten, um sich selbst gegen nachrichtendienstliche Maßnahmen zur Wehr zu setzen, die tief in ihre Privatsphäre eingreifen können. Deshalb hat das Bundesverfassungsgericht ihr eine Kompensationsfunktion zugewiesen. Ihre Möglichkeiten zur Durchsetzung der Betroffenenrechte seien mit dem heutigen Urteil massiv beschränkt worden.
Ergänzung: Wer nun denkt, dass der Gesetzgeber hier nun sicher nachjustieren wird, um eine Kontrolle durch die BfDI sicherzustellen, wird die eigenen Erwartungen den Realitäten anpassen müssen, mehr dazu hier in diesem Blog-Beitrag.

1.7 LfDI Baden-Württemberg: Hilfestellung zum Thema Videoüberwachung

Anfang Februar 2026 hat der Landtag in Baden-Württemberg ein Änderungsgesetz zum Landesdatenschutzgesetz (LDSG) beschlossen. Eine der wesentlichen Änderungen betrifft den Bereich der Videoüberwachung. Der bislang sehr begrenzte Anwendungsbereich für die Videoüberwachung wurde in § 18 LDSG-neu ausgeweitet (bisherige Fassung hier). Die bisherige Einschränkung der Videoüberwachung auf konkrete Objekte wie öffentliche Einrichtungen, öffentliche Verkehrsmittel oder Amtsgebäude und die sich darin befindlichen Personen, fallen durch die Gesetzesänderung weg. Nunmehr ist die Videoüberwachung unabhängig von diesen Objekten zulässig, wenn die Videoüberwachung erforderlich ist, um das Hausrecht zu wahren oder öffentliche Aufgaben zu erfüllen.
Um öffentlichen Stellen die Auseinandersetzung mit dem neuen § 18 LDSG sowie die Prüfung von geplanter Videoüberwachung zu erleichtern, hat der Landesbeauftragte eine Übersicht zum neuen § 18 Absatz 1 LDSG erarbeitet, wie er hier mitteilt. In dieser findet sich eine kurze Darstellung des Anwendungsbereichs, zu den Zulässigkeitsvoraussetzungen des neuen § 18 Abs. 1 LDSG sowie zur Abgrenzung zum Polizeirecht. Ebenfalls enthält die Übersicht am Ende eine kleine Checkliste für die öffentlichen Betreiber einer Videoüberwachung.

1.8 LfD Niedersachsen: Anhörung zur Polizeigesetz-Novelle

Der LfD Niedersachsen mahnt im Rahmen einer Anhörung zum Gesetzesentwurf zur Änderung des Niedersächsischen Polizei- und Ordnungsbehördengesetzes (NPOG) im Niedersächsischen Landtag die Berücksichtigung der Grundrechte bei der Erweiterung von Befugnisnormen im NPOG an, wie er hier berichtet. Besonders eingriffsintensiv sind aus Sicht der Datenschutzbehörde die geplanten Maßnahmen zur intelligenten Videoüberwachung, zur biometrischen Echtzeit-Fernidentifizierung, zum nachträglichen biometrischen Abgleich mit öffentlich zugänglichen Daten und zur automatisierten Datenanalyse.

1.9 LDI NRW: Bewertung einer bitkom-Umfrage

Die LDI NRW nimmt eine aktuelle Umfrage des Unternehmensverbandes bitkom e.V. zum Anlass, diskutierte Gedankenspiele zur ganzen oder teilweisen Zentralisierung der Datenschutzaufsicht zurückzuweisen. Laut der repräsentativen bitkom-Erhebung wünschen sich 85 Prozent der befragten Unternehmen verständlichere Datenschutzvorgaben. 79 Prozent fordern eine Reform der Datenschutz-Grundverordnung, dem maßgeblichen Datenschutz-Regelwerk. 69 Prozent verlangen eine bessere Abstimmung mit anderen Regulierungen. Auch werde aus der Umfrage der Wunsch nach mehr Hilfestellung durch Aufsuchten erkennbar und 44 % haben Sorge, die Nähe zu ihrer Aufsichtsbehörde im Land und damit eine direkte Ansprechpartnerin oder einen direkten Ansprechpartner zu verlieren.

1.10 LfD Bremen: Hinweis auf die Änderungen in der Allgemeinen Kostenverordnung

Der LfD Bremen weist auf die Änderungen in der Allgemeinen Kostenverordnung hin. In der neuen Nr. 105 finden sich nun die Aufzählungen für „Datenschutzrechtliche Angelegenheiten“.
So können für die Durchführung einer Untersuchung in Form einer Datenschutzüberprüfung nach Art. 58 Abs. 1 lit. b DS-GVO, wenn aufgrund der Datenschutzüberprüfung ein Rechtsverstoß festgestellt wird 50 bis 1.000 Euro in Rechnung gestellt werden. Verlangt die Aufsichtsbehörde nach Abberufung der oder des Datenschutzbeauftragten einer nichtöffentlichen Stelle nach § 40 Abs. 6 S. 2 BDSG kann dies 500 bis 2.000 Euro kosten.

1.11 LfDI Rheinland-Pfalz: Projektstatustreffen der Datenschutz-Sandbox

Das Forschungsprojekt der Universität Bayreuth, bei dem u.a. auch der LfDI Rheinland-Pfalz mitwirkt, hatte sein erstes Projektstatustreffen. Dabei ging es u.a. um die konkreten rechtlichen Rahmenbedingungen von Reallaboren im Bereich des Datenschutzes, um den Austausch mit Datenschutz-Sandboxes in anderen europäischen Ländern und um das Zusammenspiel von Datenschutzrecht und KI-Regulierung. Noch bis 2. April 2026 kann sich für eine Teilnahme beworben werden.

1.12 CNIL: Konsultation zu Aufzeichnungs- und Trackingstools

Die CNIL startet eine öffentliche Konsultation zu ihrem Empfehlungsentwurf zu den Aufzeichnungstools für Sitzungen, die die Überwachung und Analyse des Online-Verhaltens der Nutzer ermöglichen. Ziel ist es die Akteure, die diese Werkzeuge entwerfen, und diejenigen, die sie in ihrer Compliance verwenden, zu unterstützen.
Session-Play-Tools werden verwendet, um die komplette Navigationsroute eines Benutzers auf einer Website oder einer mobilen Anwendung zu rekonstruieren. So können beispielsweise Fehler erkannt und behoben oder die Struktur oder Ergonomie einer Website oder mobilen Anwendung optimiert werden. Konkret bieten sie dem Editor einer Website oder mobilen Anwendung die Möglichkeit alle Interaktionen von Benutzern wie Mausbewegungen, taktile Interaktionen, Klicks, Seitenscrolling und in einigen Fällen Formulareinträge aufzuzeichnen. Diese Daten werden dann verwendet, um die „Customer Journey“ eines Benutzers in Form von Videos zu rekonstruieren und zu visualisieren und eine detaillierte Ansicht seiner Navigation auf einer Website oder einer mobilen Anwendung zu ermöglichen. Diese Tools können möglicherweise aufdringlich sein und die Privatsphäre der Menschen verletzen, indem sie einen detaillierten Einblick in das bieten, was Menschen online tun.
Der Empfehlungsentwurf der CNIL richtet sich an zwei Kategorien von Akteuren:

• Anbieter von Session-Replay-Tools, die die technische Lösung entwerfen und die Einstellungen und Funktionalitäten definieren
• Herausgeber von Websites oder mobilen Anwendungen, die sie verwenden

Die öffentliche Konsultation endet am 22. April 2026. Jeder kann sich daran beteiligen. Am Ende dieses Zeitraums wird die CNIL die Beiträge überprüfen und eine endgültige Fassung der Empfehlung verabschieden.

1.13 CNIL: Testphase für Projekt PANAME (Privacy Auditing of AI Models)

Das im Juni 2025 ins Leben gerufene Projekt PANAME (Privacy Auditing of AI Models, wir berichteten) geht in seine konkrete Phase: Unternehmen und europäische Verwaltungen können sich bis zum 28. März 2026 für die Teilnahme an den Tests bewerben, wie die CNIL informiert.
Mit dem Audit-Tool PANAME soll die Vertraulichkeit von KI-Modellen und deren Einhaltung der DS-GVO bewertet werden können. Interessierte Unternehmen und Einrichtungen können sich über das Verfahren hier informieren.

1.14 CNIL: KI und Gesundheitsdaten – Konsultation zu einem Leitfadenentwurf

Die CNIL hat mehrere Projekte zur Entwicklung oder Bewertung von künstlicher Intelligenz (KI) für den Gesundheitssektor begleitet. Wie sieht das anzuwendende Verfahren aus und welche Vorsichtsmaßnahmen sind zu treffen? Sie informiert dazu, dass das Ergebnis multidisziplinärer Arbeit, der Leitfaden „KI im Gesundheitswesen“, darauf abzielt Fragen von Angehörigen der Gesundheitsberufe zu ihren Verpflichtungen und den Best Practices für die Umsetzung zu beantworten. Nach Angaben des Barometers der französischen Krankenhausföderation ist die Nutzung von KI im Rahmen der Pflege bereits Realität (65% der öffentlichen Gesundheitseinrichtungen nutzen sie bereits) und wird sich in den kommenden Jahren weiter entwickeln. Während diese Technologien und ihre Verwendung zweifellos vielversprechend sind, werfen sie viele Fragen auf, zum Beispiel über die Aspekte Governance, Patienteninformation, digitale Sicherheit, Organisation der Pflege usw.
Nach der Aufnahme von Kriterien für KI im sechsten Zyklus der Zertifizierung von Gesundheitseinrichtungen hat die Haute Autorité de Santé (HAS) eine multidisziplinäre Arbeitsgruppe eingerichtet, die mit der CNIL zusammengeführt wird, wobei die Fragen im Zusammenhang mit dem Datenschutz berücksichtigt werden. Diese Arbeitsgruppe ermöglichte die Entwicklung eines Leitfadenentwurfs zur Begleitung der ordnungsgemäßen Nutzung von KI-Systemen im Rahmen der Pflege. Sie verfolgt zwei Ziele:

• Die Klarstellung des geltenden Rechts- und Regulierungsrahmens und der Verpflichtungen, an die Angehörige der Gesundheitsberufe und -strukturen gebunden sind.
• Die Festlegung von Empfehlungen für bewährte Verfahren für einen regulierungsfreundlichen, ethischen und sicheren Einsatz von KI-Systemen in der Pflege.

Der Entwurf der Leitlinie kann bis zum 16. April 2026 kommentiert werden, an der Konsultation kann hier teilgenommen werden.

1.15 Italien: Androhung eines Verarbeitungsverbots von Beschäftigtendaten

Die italienische Datenschutzaufsicht Garante kündigte an ein vorübergehendes Verbot für die Verarbeitung von Mitarbeiterdaten von Amazon Italia Logistica srl im Werk Passo Corese (RI) zu verhängen. Das Verbot betrifft Informationen, die systematisch über die gesamte Dauer des Arbeitsverhältnisses gesammelt und bis zu 10 Jahre nach Beendigung über eine Plattform mit dem Anwesenheitssystem verbunden sind und zahlreichen Managern zugänglich sind. Dies umfasste Informationen über Krankheiten, Gewerkschaftsaktivitäten, persönliches und familiäres Leben. Das Werk hat über 1.800 Beschäftigte.
Die Daten sind über eine Plattform, die mit dem Anwesenheitserkennungssystem verbunden ist, zahlreichen Führungskräften zugänglich. Die Informationen wurden nach Gesprächen mit Arbeitnehmern unmittelbar nach ihrer Rückkehr aus einer Abwesenheitsperiode erhoben und beziehen sich auf spezifische leidende Pathologien (Chron-Syndrom, Bandscheibenvorfall, Herzschrittmacherträger), Einhaltung von Streiks und Teilnahme an Gewerkschaftsaktivitäten sowie auf personenbezogene Daten von familiärer und privater Art (unheilbar kranker Vater, Schwester mit Hirntumor, eheliche Trennungen).
Amazon Italia Logistica muss außerdem die Verarbeitung von Daten stoppen, die durch vier Kameras in der Nähe von Badezimmern und Erfrischungsbereichen gesammelt wurden, die für Arbeitnehmer reserviert sind.

1.16 Liechtenstein: Personenbezogene Daten Verstorbener

Die Datenschutzstelle Liechtenstein (DSS) informiert, dass die europäische DS-GVO und auch das liechtensteinische Datenschutzrecht nicht für die Daten Verstorbener gelten. Da die DSS trotzdem regelmässig Anfragen zum Umgang mit personenbezogenen Daten Verstorbener erhält, hat sie diesen Beitrag zum Thema aufgeschaltet. Zum Auskunftsrecht bezüglich personenbezogener Daten Verstorbener findet sich außerdem hier ein Beitrag mit weiterführenden Hinweisen.

1.17 Niederlande: Keine Herausgabe von Informationen an Reddit durch Gericht bestätigt

Die niederländische Datenschutzaufsicht (AP) informiert, dass das Bezirksgericht in Den Haag die Klage von Reddit abgewiesen hat. Gegenstand des Verfahrens war die Vermutung der Aufsicht, dass personenbezogene Daten von Nutzern von Reddit-Diensten an Entwickler von Algorithmen weitergegeben oder verkauft werden, damit sie Algorithmen trainieren können. Reddit wollte nun wissen, welche Informationen der Aufsicht dazu bereits vorliegen, und dass diese im Rahmen des Verfahrens offengelegt werden. Das Gericht lehnt dies ab.
Eine Entscheidung über die Bewertung der Aktivitäten von Reddit steht noch aus.

1.18 Niederlande: Risiken durch AI nehmen zu

Die niederländische Datenschutzbehörde (AP) berichtet, dass die Risiken von KI in den letzten sechs Monaten exponentiell zugenommen haben. Gleichzeitig nehme die AP wahr, dass Organisationen versuchen sich den Regeln zu entziehen oder sich überhaupt nicht an sie zu halten.
Als koordinierender Regulator von Algorithmen und KI analysiert der AP die Hauptrisiken und Auswirkungen. Diese Analyse wird im AI Impact Barometer abgebildet. Die Risiken haben sich verdoppelt. Dies gehe aus der sechsten Ausgabe der Reporting AI & Algorithms Netherlands (RAN) hervor. Die drei Hauptpunkte des RAN 6 sind:

1. KI in der Rekrutierung und Auswahl wächst rasant und birgt große Risiken.
2. Transparenz und Erklärbarkeit von KI-Systemen bleiben zu kurz.
3. Die Vorbereitung auf die KI-Regulierung bleibt zurück, während Beschleunigung erforderlich ist.

Der AP warnt auch vor großen Risiken für unsichere und diskriminierende Algorithmen, die jetzt nicht aufrechterhalten werden können. Dementsprechend fordert die AP den niederländischen Gesetzgeber auf hier entgegenzusteuern.

1.19 Spanien: Leitlinien für KI-Agenten – jetzt auch in Englisch

Wir hatten bereits berichtet, dass die spanische AEPD Leitlinien zu KI-Agenten aus Sicht des Datenschutzes veröffentlichte. Diese gibt es nun auch auf Englisch.

1.20 Spanien: Bußgeld gegen den FC Barcelona

Die spanische Datenschutzbehörde AEPD verhängte gegen den FC Barcelona eine Geldstrafe in Höhe von 500.000 Euro, weil dieser vor der Verarbeitung biometrischer Daten keine Datenschutz-Folgenabschätzung durchführte. Die Behörde stellte fest, dass der FC Barcelona nicht bewertet hatte, ob seine Aktivitäten automatisierte individuelle Entscheidungsfindung beinhalteten, wie es Art. 22 DS-GVO und der EuGH im SCHUFA-Fall (C-634/21, wir berichteten) vorgesehen haben.

1.21 Spanien: Digitale Gewalt gegen Frauen und Schutzmaßnahmen

Passend zum internationalen Frauentag 2026 erinnerte die spanische Aufsicht AEPD daran, dass auch digitale Gewalt eine andere Form geschlechtsspezifischer Gewalt sein kann, und gibt Tipps zum Schutz der Privatsphäre von Frauen.
Wenn es für jemanden unerlässlich ist das Niveau der Privatsphäre seiner mobilen Geräte zu schützen und zu überprüfen, sei dies bei Frauen, die geschlechtsspezifischer Gewalt ausgesetzt sind, von entscheidender Bedeutung. Manchmal wird digitale Gewalt als Mittel zur Kontrolle, Erniedrigung und Einschüchterung von Frauen eingesetzt. Als Beispiel werden Anwendungen genannt, die als Spyware oder stalkerware bekannt sind.
Diese Art von Anwendungen, die einmal auf dem Mobiltelefon installiert sind, können es einem Dritten ermöglichen Informationen über den Browserverlauf zu erhalten, die Geolokalisierung des Geräts zu kennen, auf Informationen zuzugreifen, die auf dem Gerät gespeichert sind, und sogar Telefongespräche mitzuhören. Die Aufsicht gibt dazu Tipps, wie solche Tools erkannt werden können und wie man sich bei dem Gefühl ausspioniert zu werden verhalten sollte.

1.22 ICO: Bußgeld gegen Reddit wegen Verstößen beim Datenschutz für Kinder

Der britische ICO gab bekannt, dass er Reddit mit einer Geldstrafe von 14,47 Mio. Pfund wegen Verstößen im Datenschutz von Kindern belegt hat. Zwar untersagten die Nutzungsbedingungen von Reddit die Nutzung durch Kindern unter 13 Jahren, aber trotzdem gab es bis Juli 2025 keine Maßnahmen zur Überprüfung des Alters der Nutzer auf der Plattform. Die Schätzungen des ICO zeigten, dass es eine große Anzahl von Kindern unter 13 Jahren auf der Plattform gab und Reddit keine rechtliche Grundlage für die Verarbeitung ihrer persönlichen Daten hatte. Reddit hatte vor Januar 2025 keine Datenschutz-Folgenabschätzung durchgeführt, die sich auf die Risiken der Nutzung persönlicher Kinderdaten konzentrierte, obwohl Kinder zwischen 13 und 18 Jahren die Plattform nutzen durften.
Dadurch, dass Reddit persönliche Informationen von unter 13-Jährigen ohne rechtliche Grundlage verarbeitete – und dies ohne die Risiken für Kinder im Allgemeinen angemessen berücksichtigt zu haben – waren Kinder in Gefahr, auf der Reddit-Plattform unangemessenen und schädlichen Inhalten ausgesetzt zu sein.
Bei der Festlegung der Strafe berücksichtigte der ICO die Anzahl der von dieser Verletzung betroffenen Kinder, das Ausmaß des potenziellen Schadens, die Dauer der Fehler und den globalen Umsatz von Reddit.

1.23 ICO: Sanktion gegen Plattform wegen Verstößen beim Datenschutz für Kinder

Der ICO verhängte eine Geldstrafe gegen MediaLab, den Eigentümer der Bildteilungs- und Hosting-Plattform Imgur, in Höhe von 247.590 Pfund wegen der nicht-rechtmäßigen Nutzung personenbezogener Daten von Kindern. Der ICO kam zu dem Schluss, dass MediaLab gegen das Gesetz verstoßen hat, indem es:

• Keine Maßnahmen zur Alterskontrolle der Nutzer umgesetzt hatte,
• die Verarbeitung personenbezogener Daten von Kindern unter 13 Jahren ohne elterliche Zustimmung oder andere rechtmäßige Grundlage bei der Erbringung von Online-Diensten erfolgte
• und keine Datenschutz-Folgenabschätzung durchgeführt wurde, um Datenschutzrisiken für Kinder zu identifizieren und zu verringern.

1.24 Brasilien: Studie zu Altersverifikationen

Die brasilianische Datenschutzaufsicht ANPD veröffentlichte eine englische Version der Studie zu Altersmessmechanismen. Darin werden verschiedene technologische Lösungen analysiert – wie biometrische Schätzung, Verhaltens- und Dokumentanalysen – die helfen sollen, dass Kinder und Jugendliche gehindert werden auf Inhaltsinhalte zuzugreifen oder dass deren Daten unrechtmäßig auf digitalen Plattformen verarbeitet werden. Technische Hintergründe zu der Studie finden sich hier.

1.25 Kanada: Risikobewertungstool bei Datenschutzverletzung

Das Office of the Privacy Commissioner of Canada (OPC) stellt online ein Self-Assessment-Tool zur Verfügung, das mit einem dezidierten Fragenkatalog dabei unterstützt die Schwere und die Meldepflichtigkeit eines Risikos (resultierend aus einem Datenvorfall), indiziell, d.h. nur zur ersten Orientierung, abzuschätzen.

1.26 BSI: Kommentierungsphase zu TR-03183

Das BSI startet die Kommentierungsphase zu den Anforderungen der Umsetzung des Cyber Resiliance Acts in der TR-03183. Bis 31. März 2026 können Kommentierungen eingereicht werden.

2.1 EuGH: Klage Dringlichkeitsbeschluss des EDSA auf Anforderung Norwegens

Mit der Entscheidung des EuGH C-97/23 P, dass auch Entscheidungen des EDSA vor dem EuG gerichtlich überprüft werden können (wir berichteten), auch wenn deren Festlegung noch nicht direkt gegen eine Einrichtung / Unternehmen angewandt wird, führt dazu, dann nun zunehmend Entscheidungen des EDSA vor dem EuG landen.
Nun fand in Verfahren T-8/24 die mündliche Verhandlung vor dem EuG statt, bei dem es um den verbindlichen Beschluss 01/2023 über den Erlass endgültiger Maßnahmen betreffend Meta Platforms Ireland Ltd (Art. 66 Abs. 2 DSGVO) geht, der auf Ersuchen der norwegischen Aufsichtsbehörde im Dringlichkeitsverfahren angenommen wurde. Meta stützt seine Klage gegen den EDSA auf vier Gründe:

• Art. 66 Abs. 2 DS-GVO verstoße gegen die Rechtsstaatlichkeit, gegen Art. 41 und 47 Grundrechtecharta und gegen Art. 6 der Europäischen Konvention zum Schutz der Menschenrechte (EMRK) und sei insoweit unrechtmäßig und ungültig.
• Der EDSA habe seine Befugnisse nach Art. 66 DS-GVO überschritten.
• Der EDSA habe das in Art. 41 der Charta verankerte Recht auf eine gute Verwaltung verletzt.
• Und der EDSA habe falsche Kriterien berücksichtigt, um zu ermitteln, ob er einen verbindlichen Beschluss im Dringlichkeitsverfahren nach Art. 66 Abs. 2 DSGVO annehmen könne.

2.2 EuGH: Erforderlichkeit von Daten bei der Strafverfolgung (C-5/25)

In dem Vorlageverfahren (C-5/25 Pilev) aus Bulgarien geht es um die Frage, ob es mit Art. 4 Abs. 1 Buchst. c, Art. 8 Abs. 1 und Art. 10 der Richtlinie 2016/680 eine nationale rechtliche Regelung vereinbar ist, wonach zur Feststellung der Identität des Angeklagten seine personenbezogenen Daten zu Geburtsort, ethnischer Zugehörigkeit („narodnost“), Staatsangehörigkeit, Wohnsitz, Ausbildung, Familienstand und Vorstrafen verarbeitet (erhoben, erfasst und gespeichert) werden, wenn die auf diese Weise erhobenen personenbezogenen Daten für die Zwecke des Strafverfahrens in keiner Weise erforderlich sind?
Der Generalanwalt hat in seinen Schlussanträgen dazu empfohlen, dass die o.g. Vorgaben der Richtlinie einer nationalen Regelung wie Art. 272 Abs. 1 des Nakazatelno-protsesualen kodeks (bulgarische Strafprozessordnung) entgegenstehen, soweit diese verlangt, dass personenbezogene Daten des Angeklagten über Wohnort, Ausbildungsstand, Familienstand, Vorstrafen und ethnische Zugehörigkeit („narodnost“) bei der Überprüfung der Identität dieser Person im Rahmen eines Strafverfahrens systematisch verarbeitet (erhoben, erfasst und gespeichert) werden, wenn diese Daten für diesen Zweck nicht erforderlich sind. Dies sei aber vom vorlegenden Gericht zu prüfen.

2.3 BVerwG: Auswertung von Art.-9-Daten durch Krankenversicherung zu Werbezwecken

Bisher liegt nur die Pressemeldung des BVerwG und die der Kanzlei der obsiegenden Partei vor – und das war immerhin der Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz (LfDI Rheinland-Pfalz), der sich hier auch dazu äußert. Es ging in der Revision um die Rechtsfrage, unter welchen datenschutzrechtlichen Voraussetzungen eine private Krankenversicherung Gesundheits- und Abrechnungsdaten der Versicherten verarbeiten dürfte, um daraus Erkenntnisse für die Ansprache der Versicherten für Versorgungs- oder Vorsorgeprogramme zu gewinnen. Das BVerwG bestätigt die Einschätzung des LfDI Rheinland-Pfalz, dass dies nur mit einer Einwilligung der Versicherten möglich sei.
Hervorzuheben ist dabei (bisher nur nach dem Text der Pressemeldung des BVerwG), dass zwar grds. hier die Anforderungen aus Art. 9 Abs. 2 lit. h DS-GVO erfüllt seien, aber eben nicht die aus Art. 6 Abs. 1 lit. f DS-GVO.
Denn die Abwägung der einander gegenüberstehenden Interessen unter Würdigung aller relevanten Umstände ergebe, dass die Interessen der Versicherten das berechtigte Interesse des Klägers überwiegen. Zwar hätten das Ziel der Gesundheitsvorsorge und die angestrebte – auch im Interesse der Versicherten liegende – Reduzierung von Behandlungskosten eine hohe Bedeutung. Ausschlaggebend seien jedoch der in Art. 9 DS-GVO verankerte erhöhte Schutz sensibler Gesundheitsdaten und der Umstand, dass die Vorsorgeprogramme des Klägers nicht dem medizinischen Kernbereich zuzuordnen sind. Zudem falle die große Streubreite der beanstandeten Datenverarbeitung ins Gewicht. Darüber hinaus habe der Kläger die von ihm verfolgten Interessen den betroffenen Versicherten entgegen Art. 13 Abs. 1 lit. d DS-GVO nicht hinreichend deutlich mitgeteilt.
Wichtig also: Neben den Voraussetzungen aus Art. 9 DS-GVO muss auch eine Grundlage aus Art. 6 Abs. 1 DS-GVO gegeben sein und bei Art. 6 Abs. 1 lit. f DS-GVO muss auch die Beachtung des Art. 13 Abs. 1 lit. d nachgewiesen werden können (das eine hat bereits der EuGH in C-667/21, das andere spätestens in EuGH C-394/23 klargestellt). Wir berichteten dazu hier und dort.

2.4 LG Berlin: Facebooks Freunde-Finder-Funktion sei rechtswidrig

Das LG Berlin entschied, dass Facebook personenbezogene Daten von nicht bei Facebook registrierten Personen nicht auf eigene Server hochladen und verarbeiten darf. Auch darf Facebook von registrierten Facebook-Nutzern ohne deren Zustimmung keine personenbezogenen Daten für Werbezwecke zusammenstellen.
Realismus-Check: Die Klage stammt aus 2018. Zwischenzeitlich klärte der EuGH, dass der verbraucherzentrale Bundesverband klagebefugt ist. Die Entscheidung ist nicht rechtskräftig. Ratet, wie es weitergeht…
Weitere Informationen dazu auch hier, wo auch geschildert wird, wie hochgeladene Kontakte wieder gelöscht werden können.

2.5 OVG Bremen: Ersatzhaft gegen Geschäftsführung

Bislang ist die Entscheidung des OVG Bremen vom 18.02.2025, 1 S 292/25 noch nicht ohne Paywall verfügbar. Darin bestätigt das OVG die Zulässigkeit einer Ersatzzwangshaft gegen eine Geschäftsführerin eines Unternehmens, da das Unternehmen einer Informationsaufforderung der zuständigen Datenschutzaufsicht nicht nachkam und die Aufforderung mit einer Strafzahlung verbunden war. Zudem wurde durch die Aufsicht angekündigt, dass, falls die Strafzahlung nicht eingetrieben werden kann, sie durch Ersatz-Zwangshaft ersetzt würde. Das Unternehmen zahlte nicht und verwies auf das zwischenzeitlich begonnene Insolvenzverfahren.
Das OVG entschied dazu u.a., dass eine Voraussetzung für eine Anordnung der Ersatzzwangshaft neben dem Vorliegen der besonderen Vollstreckungsvoraussetzungen ist, dass sowohl die Grundverfügung als auch die Zwangsgeldfestsetzung unanfechtbar oder sofort vollziehbar und nicht nichtig sind. Auf deren Rechtmäßigkeit kommt es bei der Beurteilung der Vollstreckungsmaßnahme hingegen nicht an.
Auch sei es unschädlich, wenn der Hinweis in der an eine juristische Person adressierte Grundverfügung und Zwangsgeldfestsetzung, dass im Falle der Uneinbringlichkeit des Zwangsgeldes an dessen Stelle Ersatzzwangshaft tritt, nicht das konkret von der späteren Haftanordnung betroffene Organ benennt. Denn eine Zwangshaft kann naturgemäß nur gegenüber natürlichen Personen, nicht aber gegen juristische Personen selbst angeordnet werden. Bei der alleinigen Geschäftsführerin einer GmbH ist die Ersatzzwangshaft dieser gegenüber anzuordnen.
Zudem hindere die Insolvenz der juristischen Person, deren Geschäftsführerin von der Anordnung der Ersatzzwangshaft betroffen ist, grundsätzlich nicht die Vollstreckung dieses Zwangsmittels, da sich ein Schuldner anderenfalls allein unter Hinweis auf seine Insolvenz und Mittellosigkeit seinen Verpflichtungen entziehen könnte. Entsprechendes gelte für die Niederlegung des Amtes als Geschäftsführerin, wenn diese rechtsmissbräuchlich ist. Dies sei beispielsweise der Fall, wenn sie zu einem Zeitpunkt erfolgt, in dem die Ersatzzwangshaft bereits angeordnet war.
Das festgesetzte Zwangsgeld sei auch dann uneinbringlich, wenn die Zahlungsunfähigkeit des Pflichtigen von vornherein feststeht. Dies sei jedenfalls dann der Fall, wenn das Insolvenzverfahren wegen Zahlungsunfähigkeit und Überschuldung bereits eröffnet wurde und keine besonderen Umstände auf Gegenteiliges hindeuten. Trägt der Vollstreckungsschuldner vor, dass die Erfüllung einer durch Verwaltungsakt begründeten Verpflichtung zu einer nicht vertretbaren Handlung nachträglich objektiv oder aus subjektiven tatsächlichen Gründen unmöglich geworden ist, ist er dafür darlegungs- und beweispflichtig.
Im Übrigen befasst sich das Gericht noch mit den Anforderungen an ein ärztliches Zeugnis zum Nachweis einer Haftunfähigkeit.
Bericht dazu auf LinkedIn.

2.6 LAG Rheinland-Pfalz: Schadenersatz durch unbefugt intern offengelegte Dateien

Der Fall hat einiges zum Augenrollen: Ein Konzern erteilt über mehrere Jahre innerhalb eines Konzerns zu Leistungsbewertungen einer Beschäftigten auch Führungskräften in anderen Konzerneinheiten eine Zugriffsberechtigung. Die Beschäftigte forderte in 2019 mehrmals zur Löschung dieser Daten auf. Gleichwohl waren noch im Jahr 2024 Unterlagen aus früheren Jahren in ihrer Personalakte gespeichert.
Dann macht sie Schadenersatz geltend, die Kenntnisnahme dieser Bewertungen durch Führungskräfte des neuen Arbeitgebers habe ihre Karrierechancen beeinträchtigt. Den Schadenersatz berechnet sie auf Basis der Bußgeldmöglichkeiten des Art. 83 DS-GVO unter Berücksichtigung des Vorjahresumsatzes und fordert insgesamt 8.720.000 Euro, weil das der Betrag gewesen sei, den der Unternehmensverbund hätte zahlen müssen, wenn es ein Bußgeld gegeben hätte (RN. 80).
Das Landesarbeitsgericht Rheinland-Pfalz hatte einiges zu entscheiden und kam letztendlich zu einem Schadenersatz in Höhe von 4.000 Euro.
Dabei berücksichtigte es, dass die Schwere des Verschuldens bei der Bemessung des Schadensersatzes keine Rolle spielt und dass selbst vorsätzliches Verhalten die Entschädigungshöhe nicht erhöhen, wenn dadurch kein höherer konkreter Schaden entstanden ist. Doch allein eine unzulässige Datenweitergabe und eine vorübergehende Kontrollentziehung über eigene Daten können einen immateriellen Schaden darstellen (RN. 173 – 176).

2.7 VG Kassel: Hochschulausschluss bei Einsatz von KI als unerlaubtem Hilfsmittel

Das VG Kassel hat nach dieser Pressemeldung zwei Klagen (Aktenzeichen: 7 K 2134/24.KS und 7 K 2515/25.KS) von Studierenden abgewiesen. Die Hochschule Kassel hatte zwei Prüfungsleistungen (eine Bachelorarbeit im Fach Informatik und eine Hausarbeit im Masterstudiengang Verwaltungsrecht) für „nicht bestanden“ erklärt und die Kläger wegen schwerer Täuschung durch verbotene Zuhilfenahme von Künstlicher Intelligenz (KI) auch von der Prüfungswiederholung ausgeschlossen.
Die Kammer hat diese Bewertungen der Universität bestätigt, weil sich die Studierenden – so auch nach Überzeugung des Gerichts – unerlaubter Hilfsmittel bedient haben. Insoweit hat das Gericht verallgemeinerungsfähige Regeln zum Umgang mit KI in Prüfungssituationen an der Universität und hinsichtlich der Beweisbarkeit ihres Einsatzes aufgestellt. Das Verwaltungsgericht hat gegen beide Urteile das Rechtsmittel der Berufung wegen grundsätzlicher Bedeutung dieser Rechtssache zugelassen.
Ergänzend sei hinzugefügt, dass es durchaus zulässig sein kann bereits bei einem Täuschungsversuch nicht nur die jeweilige Leistung als nicht bestanden zu bewerten, sondern auch einen Hochschulausschluss zu verhängen. Ob dies hier nun auch entsprechend geprüft wurde, muss im noch zu veröffentlichten Entscheidungsgründen entnommen werden.

2.8 VGH München: Grundlage von Nennung von Unternehmen durch Behörden

Wann dürfen Behörden Unternehmen benennen, wenn es gegen diese Sanktionen oder sonstige Maßnahmen gibt? Der VGH München befasste sich damit anlässlich eines Falles aus dem Lebensmittelumfeld. Auch wenn es hier spezielle rechtlichen Vorgaben gibt, wie in § 40 LFGB, können grundsätzliche Überlegungen sicher auch im Datenschutzrecht erörtert werden. Es geht dabei insbesondere auch um die Anhörung betroffener Unternehmen und die transparente Information einer angedachten Veröffentlichung.
Im konkreten Verfahren wurde durch den VGH erwartet, dass nicht nur der vollständige Wortlaut des Veröffentlichungstextes vorher mitgeteilt werde, sondern auch die tragende Ahndungsprognose (Straftat/OWi) so konkret darzulegen sei, dass der Betroffene deren Plausibilität überprüfen kann; bloße Pauschalbehauptungen („Strafverfahren eingeleitet“, „Bußgeld über 350 EUR zu erwarten“) genügten nicht. Auch würde eine fehlerhafte Anhörung nicht dadurch „geheilt“, dass im gerichtlichen Eilverfahren gestritten wird; erforderlich wäre vielmehr eine erneute, ordnungsgemäße Anhörung nach Eintritt der maßgeblichen Tatsachen (insb. tatsächliche Abgabe nach § 41 OWiG) und bei substantiellen Textänderungen.
Wollten Datenschutzaufsichtsbehörden künftig die Namen der geprüften / sanktionierten Unternehmen benennen, sollten sie diese Leitplanken berücksichtigen, dass auch für die Unternehmen die zugrunde liegenden Tatsachen nachvollziehbar geschildert werden, die Plausibilitätsprüfung dokumentiert wird und nur Verfahrensschritte beschrieben werden, die tatsächlich erfolgt sind. Ergeben sich dann noch Änderungen an dem Textentwurf, sei eine erneute Anhörung empfohlen.

2.9 EuGH-Update

Auf der privat betriebenen Webseite „Curia Case Update“ können bis zu fünf EuGH-Verfahren kostenlos eingetragen werden, um sich zu Veränderungen wie neu hochgeladene Dokumente informieren zu lassen.

3.1.1 EU-Parlament – Studie für den Ausschuss IMCO

Für den Ausschuss IMCO (Binnenmarkt und Verbraucherschutz) erstellte der Think Tank des Europäischen Parlaments eine Studie: Diese behandelt die Identifizierung von Verknüpfungen und möglichen Überschneidungen zwischen verschiedenen Rechtsakten im Bereich der digitalen Gesetzgebung zur Straffung der Technologieregeln.
Sie analysiert die am 19. November 2025 veröffentlichten Vorschläge der Europäischen Kommission zum Digital Omnibus-Paket und unterscheidet dabei zwischen administrativen Vereinfachungen und einer grundlegenderen Neukalibrierung der Schutzmaßnahmen in den Bereichen Daten, Datenschutz, Cybersicherheit und künstliche Intelligenz. Die Studie will wichtige kontroverse Bereiche hervorheben (Rechtssicherheit, Durchsetzungskapazitäten und Auswirkungen auf Rechte) und nennt Bereiche, die einer parlamentarischen Prüfung unterzogen werden sollten.

3.1.2 Geleakte Position der Mitgliedsstaaten

Über eine geleakte Fassung der Positionierung einiger EU-Mitgliedsstaaten im Rat wird hier und dort berichtet. Darin sprechen sie sich u.a. gegen eine seitens der EU-Kommission vorgeschlagenen Änderung der Definition personenbezogener Daten aus.

3.1.3 Analyse von noyb

Das NGO noyb aus Österreich hat seine Analyse des „Digitalen Omnibus“ und den KI-Omnibus in einer dritten Version aktualisiert. Flankiert wird dies durch ein Video, dieses allerdings mit Stand November 2025.

3.1 Digitaler Omnibus

3.2 Europäisches Parlament zum Omnibus IV, Art. 30 DS-GVO

Das Europäische Parlament (EP) hat einen konsolidierte Bericht zum Omnibus IV veröffentlicht und dabei seine Änderungsvorschläge zum Entwurf der Kommission in einer Synopse dargestellt. Das EP will dabei in der DS-GVO z.B. die Grenze der Beschäftigten statt auf 750 auf 1.000 Beschäftigten bei SMC (small, and medium-sized enterprises) legen, die dann von Erleichterungen profitieren sollen. Dabei schreckt auch das EP nicht vor Änderungen in den Erwägungsgründen zurück.
Immerhin klärt der Vorschlag des EP zu Art. 30 Abs. 5 DS-GVO, dass bei einer Rückausnahme nur die betroffene Verarbeitung den Vorgaben des Art. 30 unterliegen sollte.

3.3 EU-Kommission: Zweiter Entwurf des Verhaltenskodex zur Kennzeichnung bei KI

Die EU-Kommission veröffentlichte einen zweiten Entwurf des Verhaltenskodex zur Markierung und Kennzeichnung von KI-generierten Inhalten. Der Entwurf des Verhaltenskodex für die Transparenz von KI-generierten Inhalten ist in 2 Abschnitte unterteilt, die sich jeweils mit verschiedenen Aspekten der Transparenz und Regulierung für Anbieter bzw. Anbieter befassen.
Abschnitt 1 befasst sich mit der Kennzeichnung und Erkennung von KI-Inhalten und richtet sich an Anbieter von generativen KI-Systemen im Rahmen des Artikels 50 (2) KI-Gesetz. Im Vergleich zum ersten Entwurf hat sich dieser Abschnitt des Codes erheblich verändert und eine größere Flexibilität und Klarheit eingeführt.
Abschnitt 2, der sich an Bereitsteller von KI-Systemen richtet, konzentriert sich auf die Kennzeichnung von Deepfakes und Textpublikationen zu Fragen von öffentlichem Interesse im Rahmen des Artikels 50 (4) KI-Gesetz. Im Vergleich zum ersten Entwurf verfolgt dieser Abschnitt einen flexibleren und praxisorientierteren Ansatz. Es wurde umstrukturiert, um die Verpflichtungen zu vereinfachen und zu rationalisieren, während die Taxonomie, die die KI-generierten Inhalte von KI-gestützten Inhalten unterscheidet, vollständig entfernt wurde. Abschnitt 2 enthält nun Design- und Platzierungsanforderungen für Symbole, Etiketten oder Haftungsausschlüsse, die ein Mindestmaß an Einheitlichkeit gewährleisten und es den Unterzeichnern ermöglichen, Lösungen zu finden, die an ihre Bedürfnisse angepasst sind. Darüber hinaus schlägt die Fachgruppe eine Task Force vor, um eine zukünftige, einheitliche, interaktive EU-Ikone mit diskretionärer Unterstützung von Unterzeichnern zu entwickeln.

3.4 EU-Parlament: Noch keine Einigung bei CSAM

Wie hier berichtet wird, konnte sich das EU-Parlament noch nicht darauf einigen einem Vorschlag des Ausschusses LIBE zu folgen und vorübergehende Regeln aufrechtzuerhalten, die es Technologieunternehmen ermöglichen ihre Dienste freiwillig nach Spuren von sexuellem Missbrauchsmaterial für Kinder zu durchsuchen (CSAM) und das Gesetz als Annahmefrist ins Plenum zu schicken.
Wenn bis April 2026 keine Vereinbarung festgestellt wird, laufen die aktuellen Regeln aus und lassen Unternehmen keine legalen Mittel, um Internetdienste nach Spuren von CSAM zu durchsuchen. Der Ausschuss äußerte auf „X“ (warum eigentlich dort???), dass die Abstimmung im Plenum in der Woche vom 9. bis 12. März 2026 stattfinden wird, und fügte hinzu, dass politische Gruppen dort Änderungsanträge einreichen können.

3.5 EU-Kommission: Konsultation zu Leitlinien zum CRA

Die Europäische Kommission bereitet eine Mitteilung vor, die Leitlinien für die praktische Anwendung des Cyber-Resilienz-Gesetzes (CRA) enthalten wird. Die Leitlinien sollen Herstellern, Entwicklern und anderen Interessengruppen helfen ihre Verpflichtungen gemäß der Verordnung zu verstehen und einen einheitlichen Ansatz in der gesamten EU sicherzustellen. Sie sollen Klarheit darüber schaffen, wie die wichtigsten Bestimmungen des CRA auszulegen und umzusetzen sind. Interessengruppen werden gebeten ihre Kommentare zu dieser Konsultation unter Verwendung der beigefügten Vorlage bis 31. März 2026 einzureichen.

3.6 OECD: Agentische KI-Landschaft und ihre konzeptionellen Grundlagen

Die OECD befasste sich mit der agentische KI-Landschaft und deren konzeptionellen Grundlagen. Diese Veröffentlichung identifiziert die am häufigsten zitierten Merkmale in den bestehenden Definitionen von agentischen KI- und KI-Agenten, untersucht, wie diese Merkmale quellenübergreifend beschrieben werden, und ordnet sie den Schlüsselelementen der OECD-Definition eines KI-Systems zu. Indem es sowohl gemeinsame Merkmale als auch Unterschiede hervorhebt, zielt das Papier darauf ab ein klareres konzeptionelles Verständnis zu fördern und zukünftige Forschung und Politikgestaltung zu informieren. Es liefert auch deskriptive Daten über die jüngsten Trends bei der Aufnahme von KI-Agenten und agentischer KI.

3.7 Bundestag: Änderungen in der Produkthaftung

Im Bundestag wird die Änderung des Produkthaftungsgesetz behandelt. Am 04.03.2026 fand die erste Lesung des neuen Produkthaftungsgesetzes statt, mit dem die EU-Produkthaftungsrichtlinie (RL(EU) 2024/2853) umgesetzt werden soll. Damit ändert sich im Produkthaftungsrecht einiges. So werden Software und KI-gesteuerte Produkte ausdrücklich einbezogen, auch werden Fulfilment-Dienstleister in die Haftung einbezogen (§ 11), Beweislastregeln können durch neue Vermutungen umkehrt werden und Offenlegungspflichten für Hersteller werden eingeführt. Das Haftungsrisiko, gerade auch für digitale Produkte unter Einsatz von KI, wird sich dadurch erheblich verschärfen.

3.8 Baden-Württemberg und KI im Landesdatenschutzgesetz

Durch eine Änderung im Landesdatenschutzgesetz soll in Baden-Württemberg künftig die Nutzung personenbezogener Daten ermöglicht werden. So gibt es einen neuen § 3a:

§ 3a Nutzung von KI-Systemen
„Die Nutzung von KI-Systemen zur Verarbeitung personenbezogener Daten ist unbeschadet sonstiger Bestimmungen zulässig, wenn die Voraussetzungen für die Verarbeitung der personenbezogenen Daten als solche gegeben sind.“

Der § 4 „Zulässigkeit der Verarbeitung personenbezogener Daten“ wird um einen Abs. 2 ergänzt:

„(2) Öffentliche Stellen dürfen, soweit zur Aufgabenerfüllung oder zur Ausübung öffentlicher Gewalt erforderlich, aus den rechtmäßig gespeicherten Daten synthetische Daten herstellen sowie rechtmäßig gespeicherte Daten auf sonstige Weise anonymisieren. Besondere Kategorien personenbezogener Daten dürfen entsprechend Satz 1 verarbeitet werden, wenn zusätzlich die Voraussetzungen des Artikels 9 Absatz 2 der Verordnung (EU) 2016/679 oder einer speziellen Rechtsgrundlage vorliegen.“

Jetzt kann natürlich wieder gerätselt werden, was wir mit Sätzen wie „unbeschadet sonstiger Bestimmungen“ in § 3a anfangen sollen, denn die Vorgaben der DS-GVO sind ja genau solche „sonstigen Bestimmungen“.
Aus der künftigen Regelung in Abs. 2 von § 4 lässt sich zumindest ableiten, dass der Gesetzgeber sowohl bei der Nutzung personenbezogener Daten zur Herstellung synthetischer Daten wie auch bei der Anonymisierung von personenbezogenen Daten von einer Verarbeitung ausgeht, die einer Rechtsgrundlage bedarf.
(Zur Änderung des § 18 „Videoüberwachung öffentlich zugänglicher Räume“ hat der LfDI Baden-Württemberg eine Handreichung veröffentlicht, mehr dazu hier.)

3.9 KRITIS Dachgesetz beschlossen

Nach langem Ringen sowohl in Bundestag wie auch in Bundesrat ist die deutsche Umsetzung der EU-ER-Richtlinie (KRITIS Dachgesetz) mit erheblicher Verzögerung auch im Bundesrat durchgegangen. Damit steht der Verkündung im Bundesgesetzblatt nichts mehr im Weg. Allerdings fordern die Länder Nachbesserungen. So bemängeln sie, dass der Schwellenwert für kritische Infrastruktur nicht wie von ihnen vorgeschlagen auf 150.000 versorgte Einwohner abgesenkt wird. Dadurch würden zahlreiche essentielle Infrastruktureinrichtungen weiterhin nicht erfasst – insbesondere in den ländlichen Räumen.

3.10 Hackback-Pläne des BMI

Nach diesem Bericht ist im Rahmen der Verbändeanhörung ein Entwurf eines „Gesetzes zur Stärkung der Cybersicherheit" des BMI im Umlauf, mit dem die Grundlagen geschaffen werden sollen, um bei Cyberangriffen aus dem Ausland erweitert reagieren zu können. So sollen künftig Polizeibehörden Datenverkehr umleiten und in schädliche IT-Systeme eindringen dürfen. Speziell das Bundeskriminalamt (BKA) und die Bundespolizei sollen die Befugnis zur "Erhebung, Löschung oder Veränderung von Daten auch durch Eingriff mit technischen Mitteln in ein informationstechnisches System ohne Wissen des Betroffenen" erhalten. Laut zitierter Begründung zufolge bedeute die Befugnis für Hackbacks "das Eindringen oder Aufschalten auf ein informationstechnisches System, in der Regel durch Überwindung einer Zugangsbarriere, wie zum Beispiel einem Passwort. Diese Maßnahme zielt sowohl auf informationstechnische Systeme von Angreifern wie auch diejenigen von Geschädigten".
Natürlich sind da auch Hersteller nicht begeistert, wenn sie künftig nicht sicher sein können, ob nun Angreifer oder die Polizei in ein System einzudringen versucht. Das Ganze wird auch als „Hackback“ bezeichnet. Hier ein Beitrag, Stand Januar 2026, zu den strafrechtlichen Aspekten dazu.
Aber da der Bundesinnenmister aus Bayern kommt, kann evtl. auch ein Missverständnis vorliegen, das sich daraus erklären ließe.

4.1 Studie zu Risiken bei ChatGPT Health

Eine unabhängige Evaluierung von ChatGPT Health zeigt Risiken hinsichtlich der Verlässlichkeit und der Sicherheit von KI-Tools für dringende medizinische Entscheidungen auf, wie hier berichtetzurück zum Inhaltsverzeichnis

4.2 bitkom: Leitfaden zu KI und Mitbestimmung

Der bitkom veröffentlichte einen „Leitfaden zu KI und Mitbestimmung – Eckpfeiler einer Betriebsvereinbarung für den KI-Einsatz im Unternehmen“. Dieser möchte einen Überblick über die für die betriebliche Mitbestimmung relevanten Rechtsrahmen im Arbeits- und Datenschutzrecht sowie in der europäischen KI-Gesetzgebung bieten. Darüber hinaus werden Hinweise dazu gegeben, welche Aspekte die Betriebsparteien beim Abschluss einer freiwilligen Rahmenbetriebsvereinbarung zum Einsatz von KI berücksichtigen sollten.

4.3 AI Office: Transparenzverpflichtungen nach Art. 50 KI-VO

Die EU-Kommission berichtet, dass das AI Office eine Reihe von Treffen und Workshops einberief, um Feedback der Interessengruppen zum ersten Entwurf des bevorstehenden Verhaltenskodex für die Kennzeichnung und Kennzeichnung von KI-generierten Inhalten zu sammeln. Danach sind unabhängige Experten, die als Vorsitzende ernannt werden zusammen mit stellvertretenden Vorsitzenden für die Ausarbeitung des Kodex verantwortlich. Die Treffen brachten Stakeholder entlang der KI-Wertschöpfungskette zusammen, die am Verhaltenskodex teilnahmen. Dazu gehören Anbieter von generativen KI-Systemen, Entwickler von Markierungs- und Erkennungstools, Branchenvertreter, zivilgesellschaftliche Organisationen und akademische Experten.
Die Sitzung der Arbeitsgruppe 2 zur Offenlegung von Deepfakes und KI generierter Text (WG2) vom 12. Januar 2026 untersuchte Abschnitt 2 des Entwurfs des Kodex.
Bei der Sitzung der Arbeitsgruppe 1 am 14. Januar 2026 der für Kennzeichnungs- und Detektionstechniken (WG1) Abschnitt 1 des Kodex untersucht, der die Umsetzung der Verpflichtungen der Anbieter erleichtern soll.
Drei weitere Workshops wurden mit dem Code of Practice Teilnehmer und Beobachtern des Entwurfsprozesses des Kodex (PDF) organisiert.
Die jeweiligen Protokolle der Arbeitsgruppen und der einzelnen Workshops sind hier erhältlich.

4.4 Strafverfolgung durch Künstliche Intelligenz am Beispiel der Geldwäsche

Die Dissertation „Automated Suspicion Algorithmus – Strafverfolgung durch Künstliche Intelligenz am Beispiel der Geldwäsche“ ist im Open Access verfügbar. Sie kombiniert technische Expertise mit juristischer Analyse. Es werden auch konkrete Lösungsvorschläge entwickelt, etwa in Form klarer Anforderungen an den KI-Einsatz in sensiblen Bereichen.

4.5 KI-Agenten, Vertrauen ... und Kontrolle

Am Beispiel der Sicherheitsarchitektur der Salesforce KI-Agenten befasst sich dieser Artikel mit den Kontrollmöglichkeiten. Zwei zentrale Erkenntnisse werden dabei hinsichtlich des eingesetzten Einstein Trust Layer herausgearbeitet. Governance muss Teil der Architektur sein (z. B. Datenmaskierung, Guardrails, Audit-Trails) und Sicherheit entsteht nicht nur im Modell, sondern insbesondere um das Modell herum, und Kunden möchten flexibel bei der Modellauswahl bleiben.

4.6 Smart Glasses: „Ich sehe was, was du nicht siehst!“

So ähnlich scheint das Motto von Meta zu sein, was dessen Produkt „Smart Glasses“ angeht. Der Konzern bewirbt sie als smarte Alltagshelfer, die Fragen zur Umgebung beantworten, Gespräche in Echtzeit übersetzen, den Wetterbericht am Display anzeigen und natürlich Videos aufzeichnen können. Hinter diesen Funktionen steht die hauseigene KI, wie Meta betont. Wie hier anschaulich beschrieben wird, können die Sichtfelder, die die Träger von Metas Smar Glasses haben, auch von anderen wahrgenommen werden. Sogenannte „Datenarbeiter“ in Kenia haben auch Zugriff auf die gesehenen Situationen, wie auch in Schweden kritisch wahrgenommen wird, siehe hier. Denkt dran, wenn ihr Onlinebanking durchführt, PINs eingebt oder einfach nur höchste private Momente erlebt. Oder kauft euch richtige Brillen.

5.1 Digitale Souveränität rund um den Nord-Atlantik

Wie beeinflusst die Diskussion um den US-Cloud Act die Bewertung der jeweiligen Digitalen Souveränität in Europa und dem Vereinigten Königreich? Damit befasst sich dieser Blog-Beitrag einer Kanzlei.

5.2 Bug bei MS 365 Copilot – oder was?

In diesem Blog-Beitrag wird der Hintergrund zu Meldungen über fehlerhafte Verarbeitungen im MS 365 Copilot abgesprochen. Microsoft 365 bietet Organisationen die Möglichkeit, Vertraulichkeitsbezeichnungen auf Inhalte anzuwenden. Dies erfolgt über den Microsoft-Service Purview. Das ist ein Microsoft-Dienst für MS 365 (sowie Azure und zum Teil auch für On Premise betriebene MS-Dienste), das insbesondere der Data Loss Prevention (DLP) dient. Ein zentrales Element ist dabei die "Klassifizierung" von Dokumenten durch Vertraulichkeitsbezeichnungen (Sensivity Labels). In Verbindung mit Copilot-spezifischen DLP-Richtlinien lässt sich konfigurieren, dass Copilot auf als vertraulich klassifizierte Inhalte keinen Zugriff erhält und diese nicht in Antworten einbezieht. Dieses Schutzmechanismus soll insbesondere verhindern, dass KI-gestützte Zusammenfassungen oder Antworten auf Basis schutzbedürftiger Inhalte generiert werden.
Letztendlich lag der Fehler in dem Code, dass auf nicht freigegebene eigene Dokumente zugegriffen wurde.

5.3 Ausnahmen bei Auskunftsansprüchen nach Art. 15 DS-GVO ehemaliger beschäftigter Personen

Mit der Fragestellung aus dem Titel befassen sich (ehemalige) Arbeitgeber meist dann, wenn das Beschäftigungsverhältnis nicht einvernehmlich beendet wurde. Dieser Blog-Beitrag einer Kanzlei befasst sich auch vertieft damit.

5.4 Digital Resilience Tracker – Dokumente zur Digitalen Souveränität der EU

In seinem Blog veröffentlicht hier ein Mitarbeiter des EU-Parlaments eine Zusammenstellung von Initiativen und Aktivitäten, die zur digitalen Souveränität der EU beitragen sollen. Besonders erfreulich: Die Ankündigung diesen Service fortzusetzen!

5.5 Privacy in Theory – Bugs in Practice

Mit diesem malerischen Titel ist eine Studie überschrieben, die die Implementierung von Differential Privacy (DP) auf Fehleranfälligkeiten in verschiedenen Bibliotheken darstellt. Diese Arbeit stellt Re:cord-play vor, ein „Grey-Box”-Audit-Paradigma, das den internen Zustand von DP-Algorithmen überprüft.
Durch Ausführen eines instrumentierten Algorithmus auf benachbarten Datensätzen mit identischer Zufälligkeit überprüft Re:cord-play direkt auf datenabhängigen Kontrollfluss und liefert eine konkrete Falsifizierung von Sensitivitätsverletzungen, indem es die deklarierte Sensitivität mit dem empirisch gemessenen Abstand zwischen internen Eingaben vergleicht. Begleitet wird die Studie von dieser Veröffentlichung und dem Open-Source-Code auf GitHub.

5.6 Verifizierung der LinkedIn-Identität

LinkedIn vermarktet sich als Netzwerk für berufliche Kontakte. Manchmal ist es hilfreich, wenn die Accounts verifiziert sind, um nicht auf Scharlatane und Betrüger hereinzufallen. Offenbar kann aber genau das passieren, wenn das Angebot von LinkedIn zur Verifizierung des Accounts genutzt wird, wie hier geschildert wird. Als Dienstleister wird das Unternehmen „Persona“ eingesetzt, das zahlreiche Daten bis hin zu biometrischen Informationen abfragt – und weiterverwendet (hier die Liste der weiteren Verarbeiter).

5.7 Data Act: Anforderungen an offene Interoperabilitätsspezifikationen

In Art. 35 Data Act werden die Anforderungen an offene Interoperabilitätsspezifikationen definiert. Er fordert offene, harmonisierte Spezifikationen, die es Diensten desselben Typs ermöglichen, zusammenzuarbeiten und Daten und Applikationen portabel zu machen, ohne die Sicherheit negativ zu beeinträchtigen. Die hier veröffentlichte Studie identifiziert mehrere offene Spezifikationen, die die Kriterien erfüllen und daher im Repository veröffentlicht werden könnten. Die Studie enthält außerdem Empfehlungen für Bereiche, in denen neue Standards entwickelt werden könnten, um die im Rahmen der Analyse identifizierten bestehenden Lücken zu schließen.

5.8 Litigation Screenshoter

Wie kann man Gestaltungen im digitalen Bereich nachweisen? Einen Screenshot anfertigen? Ist der dann auch „gerichtsfest“, wenn es zu rechtlichen Auseinandersetzungen kommt? Hier wird ein Litigation Screenshoter in der Betaphase im Chrome Web Store angeboten, der hierbei helfen soll.
Es sollen Angaben zu Zeitstempel, Ersteller-Angabe und Wayback Machine Archivierung möglich werden und gerichtsverwertbare Screenshots von Webseiten erstellt werden. Jeder Screenshot werde automatisch mit einer Metadaten-Leiste versehen, die URL, Datum, Uhrzeit (sekundengenau), Ersteller und optional Aktenzeichen enthält. Alle Daten blieben lokal auf dem Computer der Nutzenden. Es ist keine Registrierung erforderlich, es erfolgt kein Tracking und keine Werbung.

5.9 Social-Media und datenschutzrechtliche Informationspflichten

Welche Informationspflichten gelten für die Nutzenden von Social-Media-Angebote und wie können diese umgesetzt werden? Damit befasst sich diese Veröffentlichung.

5.10 NIS2: Konkretisierung durch die Durchführungsverordnung 2024/2025

Die Durchführungsverordnung 2024/2025 für Cloud-Computing-Dienste und Managed Service Provider legt für adressierte Einrichtungen „technische und methodische Anforderungen“ für zu ergreifende Risikomanagementmaßnahmen fest und präzisiert Fälle, in denen ein Sicherheitsvorfall als erheblich anzusehen sind. Damit befasst sich dieser Blog-Beitrag einer Kanzlei.

5.11 Stellungnahme zum § 38 BDSG

Eine private Initiative fordert in einer Stellungnahme an den Bundestag die Beibehaltung der Benennungsvorgaben eines betrieblichen Datenschutzbeauftragten in § 38 BDSG.

5.12 BStBK: Aktualisierung der Hinweise zu Datenschutz in Kanzleien

Die Bundessteuerberaterkammer hat ihre Hinweise für den Umgang mit personenbezogenen Daten durch Steuerberater und steuerberatende Berufsausübungsgesellschaften in einer aktualisierten Fassung mit Stand vom Dezember 2025 veröffentlicht. Die Hinweise entstanden in Abstimmung mit dem DStV. Die Änderungen sind in dem Dokument gelb markiert.

5.13 DS-GVO und Corporate Governance

Die Federation of European Risk Management Associations (FERMA) hatte bereits im Jahr 2020 im Kontext der ersten Evaluierung der DS-GVO ein Papier “GDPR and Corporate Governance – The Role of Internal Audit and Risk Management One Year After Implementation” veröffentlicht, das sich mit Verbesserungen der DS-GVO befasst. So gibt es Aussagen zum Einsatz des Datenschutzbeauftragten (ab Seite 17), zu Organisationsformen wie „Three Lines of Defence“ (ab Seite 20) oder zu internen Audits (ab Seite 30).

5.14 IT-Planungsrat: Strategische Schwerpunktthemen und Arbeitsergebnisse

Der IT-Planungsrat hat seine Arbeitsergebnisse des Kompetenzteams Datenschutz aus dem Schwerpunktthema „Datennutzung“ veröffentlicht. Der IT-Planungsrat beschreibt sich selbst als das zentrale politische Steuerungsgremium für die Digitalisierung der öffentlichen Verwaltung in Deutschland. Sein hoheitlicher Auftrag verpflichte ihn wirksame Lösungen zu gestalten, von denen alle gemeinsam profitieren: Bund, Länder und Kommunen, Behörden und Institutionen, Unternehmen – und nicht zuletzt die Gesellschaft. Die Allgemeinen Arbeitsergebnisse richten sich daher primär an die öffentliche Verwaltung.
So bietet der IT-Planungsrat einen „Rechtsgrundlagengenerater“, der bei der Erstellung datenschutzrechtlicher Erlaubnisnormen unterstützen soll. Er erleichtere die systematische Berücksichtigung rechtlicher Anforderungen der DS-GVO, des BDSG und der Landesdatenschutzgesetze. Ziel sei eine rechtssichere, einheitliche Gesetzgebung. Das Tool richtet sich an Gesetzgeber, Behörden und Datenschutzbeauftragte auf Bundes-, Landes- und Kommunalebene. Dazu gibt eine Vorlage ohne Makro, eine mit Makro und eine interaktive Version als ZIP-Datei.
Eine „Handreichung Anonymisierung“ will Rechtssicherheit und Klarheit in Bezug auf die rechtlichen und technischen Anforderungen der Anonymisierung personenbezogener Daten schaffen, unter anderem im Umfeld der Entwicklung und Nutzung von KI-Systemen. Zielgruppe sind Mitarbeitende aus dem Umfeld IT, Datenschutz und Projektleitung.
Ein „Eckpunktepapier Teil I“ zeigt, dass Datenschutz kein grundsätzliches Hindernis für die interföderale Datennutzung sein muss. Es analysiert bestehende Missverständnisse und Hürden, wie technische Interoperabilität, und schafft Klarheit. Ziel sei eine sachliche Grundlage für rechtssichere Datennutzung zu bieten. Gedacht ist es für Gesetzgeber, Verwaltung und Datenschutzverantwortliche.
Auch wird ein „Datenschutzhinweis-Generator“ angeboten, der die Erstellung rechtssicherer Datenschutzhinweise erleichtern und den Abstimmungsaufwand mit Datenschutzbeauftragten /-referent:innen reduzieren soll. Ziel sei es Fachbereichen ohne erweitertes Datenschutzwissen eine verständliche und effektive Unterstützung zu bieten. Gedacht ist das Tool für Mitarbeitende in Behörden auf Bundes-, Landes- und Kommunalebene. Auch ihn gibt es als interaktive Version als ZIP-Datei.

5.15.1 BzKJ: Schutz, Befähigung, Teilhabe: Indizierung jugendgefährdender Medien

17.03.2026, 17:00 – 18:30 Uhr, online: Die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) bietet auch im Jahr 2026 wieder eine kostenfreie Online-Veranstaltungsreihe in Kooperation mit der Akademie der Kulturellen Bildung des Bundes und des Landes NRW an. Die Workshops richten sich an alle, die sich für den Kinder- und Jugendmedienschutz interessieren – sei es beruflich, ehrenamtlich oder privat. Die Online-Veranstaltungen bauen nicht aufeinander auf und können unabhängig voneinander besucht werden. Weitere Informationen und Anmeldung dazu hier.
Weitere Termine und Themen sind:

• 02.06.2026 (17:00 – 18:30 Uhr)
  Neue digitale Trends, neue Gefährdungen: Rechtliche Grundlagen des Kinder- und Jugendmedienschutzes
• 15.09.2026 (17:00 – 18:30 Uhr)
  Radikal online: Kinder und Jugendliche als Zielgruppe extremistischer Online-Aktivitäten
• 01.12.2026 (17:00 – 18:30 Uhr)
  Pornografie, Cybergrooming, Sexting: Abgrenzung, Rechtslage und Konsequenzen für die Kinder- und Jugendarbeit

5.15.2 Universität des Saarlandes – Öffentliche Vorlesungsreihe: Datenschutz in der Praxis

Im Wintersemester 2025/26 findet die öffentliche Vorlesungsreihe „Datenschutz in der Praxis“ statt. An insgesamt zehn Terminen im Zeitraum Januar bis März 2026 werden hochrangige Datenschutzexperten zu aktuellen Fragen des Datenschutzrechts aus Sicht der Praxis referieren. Es werden zahlreiche Landesdatenschutzbeauftragte als Gastdozenten fungieren.
Weitere Informationen und Anmeldung dazu hier.

• 17.03.2026, 18:00 – 19:30 Uhr, online: Datenschutz bei Gericht. An diesem Termin geht es um Datenschutz bei Gericht. Es referiert der LfDI Mecklenburg-Vorpommern. Der Teilnahmelink.
• 24.03.2026, 18:00 – 19:30 Uhr, online: Grenzüberschreitender Datenverkehr – Status Quo. An diesem Termin geht es um den Status Quo beim grenzüberschreitenden Datenverkehr. Es referiert der TLfDI. Der Teilnahmelink.
• 31.03.2026, 18:00 – 19:30 Uhr, online: IT-Sicherheit und Datenschutz – Was muss, was darf? An diesem Termin geht es um „IT-Sicherheit und Datenschutz – Was muss, was darf?“ Es referiert die Landesbeauftragte für Datenschutz Schleswig-Holstein. Der Teilnahmelink.

5.15.3 Daten-Dienstag: „Kinder online – Gefahren (er)kennen, Heranwachsende sicher begleiten“ -neu-

17.03.2026, 19:00 – 20:30 Uhr, Nürnberg: An diesem Abend wird aus der Präventionsarbeit der Polizei Nürnberg berichtet, um Kinder und Jugendliche im Umgang mit Medien fit zu machen. Die Erfahrungen dabei in der Aufklärung und Training von Heranwachsenden sind umfangreich. Die digitale Welt ist für Kinder und Jugendliche selbstverständlich: sie eröffnet viele Möglichkeiten, birgt jedoch auch Risiken. Sie können Opfer von Straftaten werden und sie können selbst straffällig werden. Das Museum für Kommunikation betreibt dazu gemeinsam mit der Polizei Mittelfranken die „Cyberforce Academy“, einen Escape Room, der dafür sensibilisieren und präventiv wirken soll. Der Referent informiert über die Kernthemen des Projekts, wie z. B. Cybergrooming, und gibt praxisnahe Tipps für einen sicheren Umgang mit Daten und sozialen Medien.
Die Vortragsreihe "Daten-Dienstag – Privatheit im Netz" entsteht in Kooperation des Museums für Kommunikation Nürnberg mit dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) und dem Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.. Weitere Informationen auch zur Anmeldung finden sich hier.

5.15.4 EAID: „USA-Reisen und der Datenschutz“ -neu-

18.03.2026, 16:00 – 17:00 Uhr, online: Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) lädt herzlich zu einer Online-Diskussion im Rahmen der Reihe „Perspektivwechsel“ ein: „Immer mehr Daten für US-Behörden – Wie gläsern werden USA-Reisende?“
Die von Trump-Administration geplanten verschärften Einreiseregeln sehen vor, dass die Reisenden bei der visumfreien Einreise im Rahmen der Beantragung einer elektronischen Einreisegenehmigung auch ihre Social-Media-Konten der letzten fünf Jahre (z. B. Benutzername), Telefonnummern, E-Mail-Adressen, Namen und Kontaktinformationen von Familienmitgliedern und andere persönliche Kontakte offenlegen müssen. Darüber hinaus sollen die Herkunftsländer – soweit verfügbar – erweiterte biometrische Angaben über die Reisenden liefern (z. B. Gesichtsdaten, Fingerabdrücke).
Es ist zweifelhaft, inwieweit diese zusätzlichen Datenerhebungen mit dem deutschen und dem europäischen Recht vereinbar sind. In der Veranstaltung wird angesprochen, ob es Möglichkeiten gibt, den mit Sicherheits-Argumenten begründeten Datenhunger der US-Behörden zu stoppen, und wie die Europäische Union und Deutschland darauf reagieren sollten. Nach einem kurzen Impuls des Referenten besteht Gelegenheit zur Diskussion.
Anmeldung per E-Mail wird erbeten unter anmeldung_18_03_26@eaid-berlin.de, Zugang zur Veranstaltung erhalten Sie hier.

5.15.5 Salzburg: Ringvorlesung „Privatsphäre in der digitalen Welt“ -neu-

18.03.2026, 17:00 – 18:30 Uhr, Salzburg: In Salzburg gibt es an der Universität eine frei zugängliche Ringvorlesung „Privatsphäre in der digitalen Welt“ beginnend im März 2026, jeweils jeden zweiten Mittwoch von 17:00 bis 18:30 Uhr (bis zum Juni 2026).
Die fakultätsübergreifende Ringvorlesung beleuchtet das Spannungsfeld der individuellen Privatsphäre im zunehmend digitalen Alltag im Sommersemester 2026 aus verschiedenen Blickwinkeln: Wissenschaftler:innen der Universität Salzburg, aber auch von anderen Universitäten, stellen ihre aktuelle Forschung zur Privatsphäre im digitalen Raum vor. Neben den einzelnen Expertenpositionen und Informationen zu aktuellen Forschungsprojekten an der Universität Salzburg und im deutschsprachigen Raum sollen Schlaglichter auf das Thema Privatsphäre geworfen werden, um ein differenziertes und wissenschaftlich fundiertes Verständnis zu entwickeln.

• 18.03.2026 von 17:00 – 18:30 Uhr, „Social-Media-Verbote für Kinder: Privat, geheim, offline?“
• 15.04.2026 von 17:00 – 18:30 Uhr, „Was digitale Spuren verraten – Cybercrime, IT-Forensik und Privatsphäre im Alltag“
• 29.04.2026 von 17:00 – 18:30 Uhr, „Wer bewacht die Wächter? Zur Rolle von Plattformbetreibern für den Datenschutz bei Mobilen Apps“
• 13.05.2026 von 17:00 – 18:30 Uhr, „Privatheit und Gesetzesvollzug: Ein Abwägung für zukünftige Digitalwährungen“
• 27.05.2026 von 17:00 – 18:30 Uhr, „KI in der öffentlichen Verwaltung“
• 10.06.2026 von 17:00 – 18:30 Uhr, „Klimaschutz und Privatsphäre“
• 24.06.2026 tbd

Weitere Informationen und Anmeldung hier.

5.15.6 Kinderrechte digital: Workshopangebote für Erkenntnisse einer Expertenkommission

21.03.2026, 10:00 – 15:00 Uhr, Aichach-Friedberg/ Augsburg: Die Bundesregierung hat eine Expertenkommission zum Kinder- und Jugendschutz in der digitalen Welt eingesetzt. Ziel der Kommission ist es Empfehlungen für einen zeitgemäßen und wirksamen Schutz von Kindern und Jugendlichen im digitalen Raum zu entwickeln. Ein wesentlicher Bestandteil ist dabei die Beteiligung junger Menschen. Um in diesen Prozess die Perspektiven von Kindern und Jugendlichen einbringen zu können, führt das Projekt Kinderschutz und Kinderrechte in der digitalen Welt der Stiftung Digitale Chancen, partizipative Workshops mit jungen Menschen im Alter von 12 bis 17 Jahren an verschiedenen Orten in Deutschland durch, um ihre Sichtweisen, Bedarfe und Empfehlungen für mehr Schutz im digitalen Umfeld zu ermitteln.
Weitere Termin finden wie folgt statt:

• 28. März 2026 von 09:00 bis 14:00 Uhr in St. Wendel (Saarland)
• 11. April 2026 von 10:00 bis 15:00 Herford (Nordrhein-Westfalen)
• 12. April 2026 von 11:00 bis 16:00 Uhr in Schneverdingen (Niedersachsen)

Weitere Informationen und Anmeldung hier.

Rudis Anmerkung: Was nützen Erkenntnisse, die zu Regeln führen, wenn diese Regeln nicht durchgesetzt werden?

5.15.7 Gautinger Internettreffen: Digitale Souveränität in der Jugendarbeit

24./25.03.2026, ab 18:00 Uhr, Gauting: Das Thema digitale Souveränität spielte in den letzten Jahren nur eine nachrangige Rolle in der öffentlichen Debatte – doch es ist ein immens wichtiges Anliegen, wie u.a. der Ausfall der AWS-Server im Oktober 2025 bewies, der diverse Dienste wie Signal, Slack und Snapchat beeinträchtigt hat. Auch bei Hard- und Software-Lösungen in der Bildungsarbeit (Dominanz von Microsoft 365 sowie iPad- bzw. Windows-Laptop-Klassen), bei Suchmaschinen (Google), KI-Tools (OpenAI) oder im Social Web (Meta) wird Monopolen bzw. Oligopolen oft sehr unkritisch gegenübergestanden, obwohl es alternative Lösungen gibt. Beim git26 (26. Gautinger Internettreffen) im März 2026 wird unter dem Titel „Digital und selbstbestimmt“ die Frage gestellt, wie eine souveräne Mediennutzung in der Jugendarbeit, der Schule und der Medienpädagogik gestaltet werden kann. Weitere Informationen hier und die Anmeldung dort.

5.15.8 BlnBfDI: 3. Fachtag „Datenschutz trifft Medienkompetenz“

25.03.2026, 09:00 – 15:30 Uhr, Berlin: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBfDI) und jugendnetz.berlin laden Fachkräfte der Kinder- und Jugendarbeit zum 3. Fachtag ein, um sich auszutauschen, wie auch in der Arbeit mit Kindern und Jugendlichen eine gute, zeitgemäße Medienarbeit unter Beachtung des Datenschutzes gelingen kann. Datenschutz und Medienkompetenz hängen eng miteinander zusammen, da die Nutzung von Medien und Technologie immer auch mit der Verarbeitung von persönlichen Daten verbunden ist. Es sei daher wichtig, dass Kinder und Jugendliche sowohl über entsprechende Kenntnisse im Bereich Datenschutz als auch über die notwendige Medienkompetenz verfügen, um ihre Privatsphäre und ihre persönlichen Daten im digitalen Zeitalter schützen zu können. Weitere Informationen und Anmeldung hier.

5.15.9 Vortragsreihe „Zukunftsdialog KI und Recht“ der SRH University Heidelberg

In der Veranstaltungsreihe der SRH University Heidelberg werden an verschiedenen Terminen verschiedene Themen vor Ort und online diskutiert. Mehr dazu hier. Das vollständige Programm ist hier hinterlegt. Der Zugangs-Link wird nach Anmeldung am Tag vor der Veranstaltung verschickt:

• 16.04.2026, 16:00 – 18:30 Uhr: „Kreativität, Markt & Macht“
  Drei Impulsvorträge zu „Autorenschaft neu denken: Urheberrecht im KI-Zeitalter“, „KI, Markt und Macht: Wettbewerb im digitalen Zeitalter“ und „Europa als KI-Kontinent: Digitale Souveränität, Regulierung und globale Handlungsfähigkeit“.

5.15.10 BSI: 21. Deutscher IT-Sicherheitskongress -neu-

15./16.04.2026, online: Das BSI bietet eine Plattform für alle, die an der Zukunft der digitalen Sicherheit arbeiten. Unter dem Motto „Cybernation Deutschland: gemeinsam, sicher, digital“ wird ein vielseitiges, virtuelles Programm angeboten. Den Schwerpunkt bilden Themen wie quantensichere Kryptografie, Künstliche Intelligenz, Zero Trust und die Umsetzung der NIS-2-Richtlinie. Neben Fachvorträgen und Podiumsdiskussionen gibt es auch die Möglichkeit, mit anderen Teilnehmenden in fachspezifischen Chaträumen zu netzwerken. Weitere Informationen und Anmeldung hier.

5.15.11 Stiftung Datenschutz: „Datenschutz im Ehrenamt“ -neu-

Für ehrenamtlich in Vereinen aktive Personen bietet die Stiftung Datenschutz wieder kostenlose Webinare zur Umsetzung der datenschutzrechtlichen Anforderungen an
27.04.2026, ab 18:00 Uhr, online: Grundlagen-Workshop für Vereinsvorstände – Datenschutzpflichten verstehen
04.05.2026, ab 18:00 Uhr, online: Grundlagen-Workshop für die Praxis – Datenschutz koordinieren und umsetzen
Die Stiftung Datenschutz bietet auch einen Verteiler an, um diesbezüglich auf dem Laufenden zu bleiben.

5.15.12 Webinar zu „Purview Realitätscheck und die DSGVO Katastrophe“ -neu-

20.05.2026, 10:00 – 11:00 Uhr, online: In diesem kostenfreien Webinar werden die Möglichkeiten von Microsoft Purview als zentrale Plattform für Data Governance und Compliance betrachtet. Dabei geht es u.a. um praxisnahe Ansätze, wie Security- und Compliance-Ziele zusammengeführt werden können: bessere Datenauffindbarkeit, Risikobewertung nach Sensitivität, automatisierte Bereinigung/Löschung, Retention & Legal Hold sowie messbare KPIs für Coverage und Risiko-Reduktion. Weitere Informationen und Anmeldung hier.

5.15.13 AI Transparency Conference

05./06.06.2026, Nürnberg: Die AI Transparency Conference ist eine internationale Forschungskonferenz, die sich auf die Förderung transparenter und menschenkompatibler KI-Systeme konzentriert. Sie möchte Forscher zusammenbringen, die sich mit Interpretierbarkeit, KI-Sicherheit, Kontrolle und Governance befassen.
Die Konferenz ist als Präsenzveranstaltung konzipiert und richtet sich an Doktoranden, Postdoktoranden, Fakultätsmitglieder und Forschungsinstitute. Weitere Informationen und Anmeldung hier.

5.15 Veranstaltungen

6.1 Mediathek: Die gefährlichsten Firmen der Welt

In der ZDF-Mediathek gibt es eine zweiteilige Dokumentation, die sich mit Überwachung, Datenhandel und Manipulation befasst und welche Macht globale Digitalkonzerne dabei haben. Im zweiten Teil geht es dann um den Einfluss von Algorithmen.

7.1 BzKJ: Parasoziale Beziehungen Jugendlicher durch KI-Chatbots

In der Ausgabe 1/2026 des Magazins der Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) befasst sich der Beitrag „Lernbuddy, Kummerkasten, Herzensmensch? Parasoziale Beziehungen und Wirkmechanismen von KI-Chatbots im Leben Jugendlicher“ mit parasozialen Beziehungen zwischen Menschen und künstlicher Intelligenz. Gerade junge Menschen nutzen vermehrt KI-Angebote. Darunter Chatbots, Therapie-Bots und sogenannte Companions. Generative KI validiert, lobt, bespielt emotionale Bedürfnisse und adressiert so eine Beziehungsbildung. Dies kann negative Folgen für die Nutzenden haben, wie in dem Beitrag herausgearbeitet wird.

7.2 SOMI: Sammelklage gegen Meta wegen KI-Training mit personenbezogenen Daten

Die Niederländische Stiftung für Marktinformationsforschung (SOMI) informiert, dass sie in einer zweiten milliardenschweren grenzüberschreitenden Klage Schadenersatzes von Meta fordert. SOMI behauptet, dass Meta die Betroffenen nicht ausreichend über den Zweck und die Art der Verarbeitung der betreffenden personenbezogenen Daten informiert habe. Die Klage konzentriert sich auf die unrechtmäßige Verwendung personenbezogener Daten, die von Instagram- und Facebook-Nutzern sowie Nicht-Nutzern zum Zweck der Schulung der KI-Systeme von Meta gesammelt wurden.
Die Klage könnte Millionen registrierter und nicht registrierter Nutzer betreffen, die identifizierbare personenbezogene Daten in Form öffentlicher Inhalte bereitgestellt oder mit Metas KI-Installationen interagiert haben. Die Forderungen gegenüber Meta bewegen sich zwischen 1.000 bis 7.000 EUR pro Person, die allen betroffenen deutschen Personen zugesprochen werden könnten, die sich durch eine Registrierung für die Klage anmelden.

7.3 Meinungsfreiheit aktuell

In diesem Beitrag werden aktuelle Aspekte zur Meinungsfreiheit diesseits und jenseits des Atlantiks angesprochen. Und passend dazu dieser Justiz-Podast aus der ARD-Mediathek* (Dauer 34 Min.), der sich mit der Strafbarkeit von Aussagen befasst – in Abgrenzung zur Meinungsfreiheit.

* Franks Anmerkung: Raider heißt jetzt Twix ... ähhh ... Die ARD-Mediathek heißt nun ARD Sounds.

7.4 Medien in den USA

Welchen Einfluss bekommen Tech-Unternehmen auf die Medien in den USA? Dazu eine Analyse bereits vom September 2025 hier in einem Studiogespräch des WDR. Zum Hintergrund hilft auch diese mehrteilige Audiodokumentation des Deutschlandfunks zu einem der Protagonisten (wir berichteten) und die Informationen dieser Webseite. Es passt dann fast schon ins Bild, wenn wie hier vermeldet, auch US-Diplomaten in die Meinungsbildung eingebunden werden.
Mal schauen, was hier nicht passiert, wie hier berichtet wird, gibt es auch kritische Stimmen.

7.5 Jugendstudie zur Einsamkeit

Diese Meldung passt zum Satz „Aus Vorurteilen werden Erfahrungswerte“. Eine Jugendstudie zu Einsamkeit, Social Media und Bewältigungsstrategien stellt fest, dass die Hälfte der Jugendlichen Einsamkeit als alltägliche Belastung ansieht. Allerdings helfen analoge Kontakte besser gegen Einsamkeit und werden auch eher aufgesucht. Wer Social Media zur Linderung nutzt, kann dort aber auch versacken ohne Besserung.
Doch stellt die Studie dazu fest, dass obwohl Nähe und Vertrauen zentrale Voraussetzungen für Unterstützung sind, stehen der Inanspruchnahme von Hilfe häufig innere Barrieren entgegen: Scham, die Angst, nicht ernst genommen zu werden oder anderen zur Last zu fallen, und Schwierigkeiten, über eigene Gefühle zu sprechen, hindern viele Jugendliche daran, Unterstützung zu suchen.
Bericht dazu auch hier.

7.6 Jugendschutz.net: Report zu TikTok

TikTok ist besonders bei jüngeren Menschen beliebt – sei es zur Unterhaltung, zur Information oder zur Selbstdarstellung. Der Report „Meinungsblasen und Extremismus auf TikTok“ von jugendschutz.net stellt dazu fest, dass die Jugendlichen aber schnell in extremistische oder populistische Echokammern geraten oder selbst Teil problematischer Trends und Kampagnen werden können, denn der Algorithmus entscheidet, was für Inhalte man sieht. Schon wenige Klicks reichen aus, um immer extremere Inhalte ausgespielt zu bekommen. Gezielt nutzen Hater, Demokratiefeinde und Verschwörungsgläubige diese Mechanismen. Es entstehen regelrechte Gegenöffentlichkeiten – teils sogar mit pseudojournalistischen Formaten. Die Auswirkungen lassen sich auch bei jungen TikToker:innen erkennen: Motiviert durch positives Feedback und wachsende Reichweite inszenieren sie sich immer radikaler.

8.1 Anstelle von Apropos KI ... eine Podcast-Empfehlung

Damit dieser Blog-Beitrag heute (Freitag) noch online gehen kann, schiebe ich die ganzen Beiträge des "Apropos KI ..." auf die nächsten Ausgabe. Alternativ gebe ich Ihnen diese Podcast-Empfehlung (Dauer ca. 32 Minuten). Warum, fragen Sie? na ja, zum Beispiel wegen Potato Patronum. Was, fragen Sie? Am Beispiel von Zaubersprüchen aus der Harry-Potter-Buchreihe hat jemand einen Test diskutiert, der zeigt, ob KI-Modelle tatsächlich die Aufgabe lösen oder "schummeln" (spricht das Ergebnis irgendwo im Internet recherchieren, wenn die konkrete Aufgabe ist, aus einer Datei, die das Buch enthält, die Zaubersprüche herauszufiltern). Das Ergebnis mag Sie verunsichern (beginnend ab Minute 6 im Podcast).
Außerdem wird ab 17:15 Min. auf Wahlempfehlungen durch KI eingegangen, etwas, was ja heutzutage ein Ding sein soll (immer wieder höre ich von und spreche ich mit Menschen, die KI als Suchmaschinen nutzen). Auch dieses Ergebnis kann Sie verunsichern. Denn KI wird im Zweifelsfall auch hier nicht die richtigen Aussagen treffen ("Jeder nur ein Kreuz").

8.2 Wer es sich leisten kann, kann konsequent sein

Wir reden immer von Digitaler Souveränität. Wir wollen uns nicht von US-amerikanischen Anbietern abhängig fühlen, diese nicht unterstützen, weichen, wo möglich, auf europäische Alternativen aus. Aber sollten wir damit bei der Software, die wir nutzen, enden? Oder sollten wir grundsätzlich kein Geld in US-amerikanische Unternehmen stecken? Diese Frage beleuchtet dieser Beitrag. Wenn Sie es sich leisten wollen (und können), dann können Sie auch bei der Geldanlage konsequent US-amerikanische Unternehmen meiden.

8.3 Jailbreaks ... heute: F35 Fighter Jets

Das jailbreaken von (dafür originär nicht vorgesehenen Gerätschaften) war ja schon Thema in unserer Blog-Reihe. Zum Beispiel die John-Deere-Traktoren, auf denen Doom läuft. Wobei das ja mehr ein Spaß-Projekt ist.
Ernsthafter ist da schon dieses Projekt: Jailbreaking F35 Fighter Jets. Defense-as-a-service war wohl doch keine so gute Idee?

9.1 NextCloud besser als Teams?

Dieser Beitrag lässt es vermuten.*

* Franks Anmerkung: Ja, diese gute Nachricht geht auf mich ...