Ausgabe 128 (KW 17&18)

1.1 EDSA: Jahresbericht für 2025 zu den Aktivitäten des Support Pool of Experts

Der Support Pool of Experts (SPE) ist eine zentrale Initiative des EDSA, die Teil der EDSA 2024-2027-Strategie ist. Den Bericht über dessen Jahresaktivitäten im Jahr 2025 legte der EDSA nun vor.

1.2 EDSA und EDPS: Gemeinsamer Bericht zu Minderjährigen und Europol

Der EDSA und der Europäische Datenschutzbeauftragte haben im Rahmen ihres Coordinated Supervision Committee einen gemeinsamen Bericht erstellt, der sich mit der Verarbeitung von Daten Minderjähriger (unter 15 Jahren) durch Europol befasst. Untersucht wurde, wie Daten von Kindern unter 15 Jahren als „Verdächtige“ oder „potenzielle Straftäter“ an Europol übermittelt werden. Im Ergebnis hält der Bericht fest, dass teilweise eine vorschnelle Einstufung als Verdächtige und eine lange Speicherung der Daten erfolge und dass Lücken bei der Dokumentation bestünden und dass das Risiko der Stigmatisierung entstehe. Das Coordinated Supervision Committee spricht sich für strengere Prüfungen, bessere Dokumentation und mehr Schutz für Minderjährige aus.

1.3 EDSA: Stakeholder-Event zu Wettbewerb und Datenschutz

Der EDSA organisiert am 29. Juni 2026 zusammen mit der Europäischen Kommission ein Stakeholder Event zum Thema „Wettbewerb und Datenschutz“. Dies geschieht zu bevorstehenden Leitlinien zu diesem Themenkomplex und wird online stattfinden.
Bis auf der Webseite des EDSA mehr Details zur Anmeldung veröffentlicht werden, kann sich mit dem Positionspapier des EDSA zum Zusammenspiel zwischen Datenschutz und Wettbewerbsrecht und/oder einem OECD-Bericht zur Thematik und einer Veröffentlichung dazu die Zeit vertrieben werden.

1.4 DSK: Zusammenarbeit mit den spezifischen Aufsichtsbehörden

Mit spezifischen Datenschutzaufsichtsbehörden sind z.B. die Aufsichten der Rundfunkanstalten oder Kirchen gemeint. Die DSK veröffentlichte nun das Protokoll des Treffens vom Dezember 2025. Einen Bericht zum Treffen im April 2026 gibt es dann hier zu lesen. Dabei wurde dann auch das Protokoll vom April 2025 veröffentlicht. Allein die Zeitspanne der Abstimmung, Freigabe und Veröffentlichung lässt Rückschlüsse auf Wertschätzung und Wertigkeit der Themen zu. Immerhin gibt es eine Pressemeldung zur Sitzung im April 2026 durch die DSK.

1.5 HmbBfDI: Klage wegen Untätigkeit hinsichtlich einer Beschwerde zu PimEyes

Das NGO noyb informiert, dass es Klage gegen den HmbBfDI eingereicht habe, weil dieser keine Maßnahmen gegen die Verarbeitungen des Unternehmens PimEyes durchführe. PimEye bietet eine Dienstleistung an, zu der sich alle verfügbaren Gesichtsbilder im Internet nutzt und biometrisch verarbeitet. Die Rechtsgrundlage dazu ist fraglich. Nach den Ausführungen von noyb wurde deren Beschwerde aus dem Jahr 2020 beim HmbBfDI hiergegen eingestellt, dies soll nun gerichtlich überprüft werden. Unterstützung bekommen die Kläger vom CCC, der dazu berichtet.

1.6 Berliner BfDI: Prüfprozess für OZG-Leistungen (EfA)

Die Berliner BfDI informiert in ihrem Newsletter, dass sie nun auch das Prinzip „EfA“ anwenden, Dies steht für „Einer für Alle“: Dabei entwickelt und betreibt eine Stelle einen länderübergreifenden Onlinedienst zentral. Andere Stellen können diesen unkompliziert übernehmen und nachnutzen. Grundlage dafür ist das Onlinezugangsgesetz (OZG). Bisher gab es keine einheitlichen und praxisorientierten Vorgaben zum Datenschutz. Auf Ebene der Datenschutzkonferenz (DSK) wurde nun ein standardisierter Prüfprozess für die Entwicklung länderübergreifender Onlinedienste initiiert. Vorbild hierfür war der "Standardprozess Datenschutz bei öffentlichen Digitalisierungsvorhaben". Die DSK beschloss den Prüfprozess im Dezember 2025 und empfiehlt ihn als Standard für die Datenschutzprüfung in Bund und Ländern. Ziel sei gewesen die datenschutzrechtlichen Anforderungen in konkrete Prüf- und Dokumentationsschritte zu übersetzen. Diese sollen den Verantwortlichen nicht nur vorgeben, was umzusetzen ist, sondern auch zeigen, wie es geht. Die Schritte folgen den standardisierten Projektphasen, wie sie für IT‑Projekte der öffentlichen Verwaltung üblich sind. Mit dem Prüfprozess legten die Aufsichtsbehörden zugleich einheitliche Anforderungen für ihre Bewertung von länderübergreifenden Onlinediensten fest und machten sie transparent. Der Prüfprozess fördere eine effektive Umsetzung des OZG und mache das EfA-Prinzip auch für die Datenschutzberatung und -prüfung der Aufsichtsbehörden nutzbar.

1.7 LfDI Baden-Württemberg: Geplante Kürzungen beim LfDI nach Koalitionsvertrag

In der Koalitionsvereinbarung zwischen den Parteien BÜNDNIS 90/DIE GRÜNEN und CHRISTLICH DEMOKRATISCHE UNION in Baden-Württemberg wurde festgeschrieben, was sie sich in der Regierungsverantwortung vornehmen. So benennen sie das Papier auch selbstbewusst „Aus Verantwortung fürs Land – Gemeinsam stark in stürmischen Zeiten“ (Grammatikalische Unschärfen gehören in diesem Landesteil zur Identität). Jetzt wissen die älteren Semester unter uns, was von Koalitionsabsprachen zu halten ist. Und wir widmen uns hier nur dem Teil, der die Digitalisierung betrifft. Und der beginnt mit wohlklingenden Worten:

Die Welt verändert sich rasend schnell – technologisch, gesellschaftlich, geopolitisch. Baden-Württemberg hat stets dann Stärke gezeigt, wenn Menschen gemeinsam angepackt haben. Diesen Geist brauchen wir jetzt – für eine Digitalpolitik, die beim Menschen beginnt.
Künstliche Intelligenz (KI) verstehen wir als Chance und wollen Baden-Württemberg noch stärker als KI-Standort positionieren. Cybersicherheit, Souveränität und der Schutz der Grundrechte im digitalen Raum sind zentrale Fragen unserer Zeit. Die Cybersicherheitsstruktur Baden-Württembergs stärken wir.

Es folgen dann Aussagen und Vorstellungen zum Tempo bei der Digitalisierung, zur Modernisierung der IT-Infrastruktur des Landes, zur flächendeckenden Digitalisierung der Verwaltung, zur digitalen Teilhabe, zum Ausbau digitale Souveränität und Resilienz und zur Gewährleistung von Cybersicherheit.
Im Unterkapitel zu Visionen eines Datenökosystem Baden-Württemberg konkretisieren dann die Regierungsparteien auf Seite 141, wie sie dies erreichen wollen:
Mit Verweis auf Beschlüsse der Föderalen Modernisierungsagenda möchten sie den Rechtsrahmen für das Training und Einsatz von KI durch öffentliche Stellen schaffen und dazu auch ermöglichen, dass dazu auch personenbezogene Daten anonymisiert oder pseudonymisiert werden können. Ebenso bekräftigen sie den Beschluss zur Bündelung von Kompetenzen in der Datenschutzaufsicht sowie den zur Bündelung der KI-Marktüberwachung beim Bund. Dazu kündigen sie an, beim LfDI Baden-Württemberg 40 Prozent der derzeitigen Stellen einzusparen.
Die Reaktionen sind entsprechend. Sowohl der LfDI Baden-Württemberg nimmt dazu Stellung, wie auch NGO, wie hier berichtet* wird.
Die Kritikpunkte referenzieren dabei u.a. auf die in der DS-GVO sicherzustellende Unabhängigkeit, die auch eine finanzielle Unabhängigkeit der Aufsichten gewährleisten sollte (Art. 52 Abs. 6 DS-GVO).
Inwieweit die örtliche Wirtschaft durch eine zentrale Bündelung dann weiterhin niedrigschwellige Beratung und Unterstützung erfahren kann, wird diese Koalition sicher auch noch beantworten können. Und das wäre doch auch das erste Mal, dass es bei uns Entscheidungen gäbe, ohne dass nicht vorher eine Expert:innenkommission für eine Empfehlung einberufen würde, die dann nach 12 Montane nach zwei Zwischenberichten feierlich ihre Ergebnisse übergibt.

* Franks Nachtrag: Ha, ich bin ein Fachmann ... 😉

1.8 LfDI Baden-Württemberg: Prüfschema für Auskunft nach Informationsfreiheitsrechten

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat ein Prüfschema zur Beantwortung von Anfragen nach dem Informationsfreiheitsgesetz veröffentlicht.
Damit sich alle ein Bild vom Handeln von öffentlichen Verwaltungen machen können, sind amtliche Informationen in Baden-Württemberg nach dem Landesinformationsfreiheitsgesetz (LIFG) zugänglich. Anträge können formlos gestellt werden – Verwaltungen müssen LIFG-Anträge daher selbstständig erkennen. Ist nicht klar, was antragstellende Personen möchten, muss nachgefragt werden. Zugang gibt es aber nur zu vorhandenen Informationen, das Erstellen von Dokumenten, Begründungen oder Rechtsberatungen sind nicht vom LIFG umfasst. Diese Informationen sind dann unverzüglich, spätestens jedoch innerhalb eines Monats nach Antragstellung zugänglich zu machen. Eine Fristverlängerung auf bis zu drei Monate ist nur bei einem umfangreichen bzw. komplexen Antrag oder bei Drittbeteiligung möglich. Der Anspruch auf Informationszugang ist nicht schrankenlos. Im Gesetz sind Ausnahmen, bei denen ein Zugang nicht möglich ist, geregelt.
Die Herausgabe der Information erfolgt auf von antragstellender Person gewünschtem Weg. Bei einer Ablehnung ist ein Bescheid der öffentlichen Stelle notwendig. Das Prüfschema soll die Bearbeitung erleichtern.

1.9 LDI NRW: Datenpannenmanagement bei Kliniken

Die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW) wollte wissen, wie größere Einrichtungen in Nordrhein-Westfalen mit Datenpannen umgehen und hat 33 Kliniken zu ihren Fallzahlen und zum Datenpannenmanagement befragt. Das Ergebnis: Neben einer positiven Entwicklung fallen auch mögliche Defizite auf. So gaben zwölf der untersuchten Einrichtungen an, dass bei ihnen 2023 und 2024 keine einzige Datenpanne bekannt wurde. Das hält die LDI NRW aber für äußerst unwahrscheinlich.

1.10 LfD Bayern: Einsatz eines LLM-gestützten Chatbots

In seiner Reihe „AI in a nutshell“ ergänzen der LfD Bayern und sein Team nun das Thema rund um den „Einsatz eines LLM-gestützten Chatbots“ in der öffentlichen Verwaltung. Mit den einzelnen Ergänzungen befasst er sich schwerpunktmäßig mit Einzelthemen, die in dieser Tiefe in seiner Orientierungshilfe „Datenschutz bei KI-Projekten in der bayerischen Verwaltung“, Stand 3/2026, bisher nicht dargestellt wurden. So weist er beispielsweise darauf hin, was eine einsetzende öffentliche Stelle im Rahmen der Implementierung des Chatbots insbesondere zu beachten habe, wenn dieser durch den Anbieter zur Nutzung – je nach vorhergehendem Training – personenbezogene Daten enthält.
Die öffentliche Stelle müsse dann nach dem LfD Bayern dessen datenschutzkonforme Verwendung sicherstellen und nachweisen. Insbesondere sollte (unter Verweis auf weitere Ausführungen in der Orientierungshilfe),

• soweit ein extern vortrainierter Chatbot genutzt werden soll, die Durchführung einer „angemessenen Bewertung“ der Datenschutzkonformität des Chatbots sowie gegebenenfalls Ergreifen sogenannter risikomindernder Maßnahmen sowie
• die Erstellung erforderlicher rechtlicher Dokumentationen wie Datenschutz-Folgenabschätzung und Verzeichnis von Verarbeitungstätigkeiten erfolgen
• und gegenüber internen wie externen Nutzern die Gewährleistung der Transparenzpflichten sowie der Betroffenenrechte sichergestellt werden.

1.11 Belgien: Ankündigung einer Berichtsreihe zu Untersuchungen

Die belgische Datenschutzaufsicht informiert, dass nun eine monatliche Berichtsreihe „Unter der Lupe“ startet, die zu einzelnen Untersuchungen Hintergründe und Ergebnisse darlegt, soweit dies unter den bestehenden Vertraulichkeitsvorgaben möglich ist. Jeden letzten Freitag im Monat (mit Ausnahme der Monate Juli und August) wird „Unter der Lupe“ verschiedene Themen im Zusammenhang mit der Inspektion hervorheben, wie wiederkehrende Themen in Untersuchungen, Verfahrenselemente, die verfolgten strategischen Ziele oder die Praxis der Prüfung des Dienstes. Da der Inspektionsdienst der Geheimhaltung der Untersuchung unterliegt, können bei den Berichten dazu keine zu detaillierten Angaben gemacht werden. Das nächste Thema in dieser Reihe wird sich Chatbots widmen.

1.12 Niederlande: Hinweise zur Chatbotnutzung im Kundenservice

Die niederländische Datenschutzaufsicht AP informiert zum Einsatz von Chatbots im Kundenservice. Zusammen mit der niederländische Behörde für Verbraucher und Märkte (ACM) ist die niederländische AP dabei,eine Leitlinie mit praktischen Faustregeln zu formulieren. Hinweise dazu können noch bis 17. Mai 2026 eingereicht werden.

1.13 Spanien: Weitere Inhalte im Chatbot der Aufsicht

Die spanische Aufsicht AEPD verkündet, dass ihr Chatbot nun über drei neue Informationsabschnitte verfügt, der die Beantwortung der häufigsten Zweifel und Anfragen zum Datenschutz erleichtern soll. Diese neuen Abschnitte antworten auf einige der am häufigsten angesprochenen Themen im AEPD-Abfragedienst, wie „Grunddatenschutzkonzepte“, „Ihre Verpflichtungen als Verantwortliche“ (Unternehmen, KMU, Selbstständige, öffentliche Stellen usw.) und „E-Office-Fragen“. Der neue Inhalt befasst sich mit wesentlichen Datenschutzproblemen, die weiterhin mehrere Anfragen aufwerfen (Verbreitung von Fotos oder Videos, Differenzierungen bei Verantwortlichkeiten, anonymisierte Daten usw.). Er unterstützt damit auch bei der Einhaltung der Verpflichtungen der Verantwortlichen. Der Chatbot ist über ein Icon mit der Aufschrift „Ayuda?“ auf der Webseite der Aufsicht AEPD aufrufbar.

1.14 Garante: Rechtswidriges Faceboarding am Flughafen

Die italienische Datenschutzaufsicht Garante hat die Verarbeitung biometrischer Daten von Fluggästen am Flughafen Mailand-Linate durch das Gesichtserkennungssystem „FaceBoarding“, gegen das die Behörde bereits im September 2025 mit einer vorläufigen Verjährungsmaßnahme interveniert hatte, für rechtswidrig erklärt.
Das System wurde von SEA (Company for Airport Operations) verwendet, um den Zugang zum Sicherheitsbereich und das Einsteigen am Gate nach der Registrierung mit speziellen Kiosken oder über die App und die anschließende Verbindung des Gesichts mit dem Ausweisdokument und der Bordkarte zu ermöglichen.
Die Behörde hat im Rahmen der von Amts wegen eingeleiteten Untersuchung festgestellt, dass das „FaceBoarding“ gegen die DS-GVO verstoße und im Gegensatz insbesondere zur Meinung des EDSA zur Verwendung der Gesichtserkennung am Flughafen steht. Das System sieht in der Tat vor, dass die erworbenen biometrischen Daten vollständig zentral auf den SEA-Servern gespeichert sind, was verhindert, dass Passagiere die ausschließliche Kontrolle über ihre Daten ausüben.

1.15 Garante: FAQ zu Fernprüfungen

An was ist bei Prüfungstests und Fernkursen aus Datenschutzsicht zu denken? Mit dieser Frage befassen sich die FAQ der italienischen Aufsicht Garante. Dabei geht es um Fragen wie

• Können öffentliche und private Universitäten und Ausbildungseinrichtungen Prüfungen und Fernstudiengänge durchführen?
• Sind die Verhaltensüberwachungssysteme der Teilnehmer erlaubt?
• Können Bilder von Studenten und Arbeitnehmern nach den Schulungsaktivitäten gesammelt werden?

1.16 Garante: Zugriff auf private Daten und E-Mails eines ehemaligen MItarbeiters

Offenbar erlaubte bzw. duldete der Arbeitgeber, eine Versicherung, die Nutzung und Speicherung von privater Kommunikation auf dienstlichen Geräten. Jedenfalls kam es nach Ausscheiden des Beschäftigten und eines Auskunftsbegehrens zu Streit über den Umfang der bereitgestellten Daten und der Arbeitgeber wollte zunächst nur Daten herausgeben, die den Austausch mit Familienangehörigen etc. betrafen. Was letztendlich zu einem Bußgeld durch die Aufsicht über 50.000 Euro gegenüber der Versicherungsgesellschaft führte, da die Aufsicht der Ansicht war, dass der Umgang mit E-Mails, Speicherdauer und Auskunft nicht ordnungsgemäß erfolgt sei.

1.17 Garante: Sanktion für Profiling nach Auswertung für Unternehmenstransaktion

Um eine Übertragung der Daten von 2,4 Mio. Kunden im Rahmen eines groß angelegten internen Umstrukturierungsprojektes an eine digitale Bank-Tochter vorzubereiten, verarbeitet die Muttergesellschaft die Daten von allen Kunden als Teil seiner digitalen Transformationsstrategie, um zu prüfen, welche Kunden für das Projekt geeignet wären. Die italienische Aufsicht Garante stellte dabei schwere Verstöße fest, die sie nun mit 17,6 Mio. Euro Bußgeld sanktionierte.
Um bei seinen Kunden diejenigen zu identifizieren, die an die neu gegründete digitale Bank übertragen werden sollen, habe die Muttergesellschaft ohne angemessene Rechtsgrundlage ein Profiling von Kunden durchgeführt. Insbesondere wurden Kunden ausgewählt, die bestimmte Merkmale hatten, darunter: nicht älter als 65 Jahre, übliche Nutzung digitaler Kanäle im letzten Jahr, fehlende Anlageprodukte und finanzielle Ressourcen unter einem bestimmten Schwellenwert. Erschwerend kam hinzu, dass dabei die Daten an einen neuen datenschutzrechtlich Verantwortlichen übertragen wurden.
Die Kunden wurden darüber über eine normale Nachricht während der Sommermonate „im Archivbereich“ der Muttergesellschaft mit einem Opt-out Hinweis informiert, was nach Ansicht der Aufsicht nicht ausreichte. Die Aufsicht stellte fest, dass diese Verarbeitung durch die Bank rechtswidrig gewesen sei, auch weil die Kunden sie aufgrund des erhaltenen Kontexts und der erhaltenen Informationen nicht vernünftigerweise vorsehen konnten.
Mehr Details zu dem Vorgang sind der Veröffentlichung der Aufsicht zu entnehmen. Lesenswert für alle, die vor dem Hintergrund digitaler Transformationen vorbereitende Tätigkeiten planen.

1.18 CNIL: Tätigkeitsbericht für 2025

Ja, fast hatte ich ihn übersehen. Aber zum Glück wurde der Tätigkeitsbericht für das Jahr 2025 der CNIL hier in dieser Podcast-Folge (bis Min. 29, Gesamtdauer ca. 48 Min.) besprochen. So brauche ich keine weiteren Details daraus hervorzuheben, außer ein paar Zahlen, die die CNIL voranstellt: 259 Entscheidungen, davon 83 Sanktionen, 143 Mitteilungen, 31 Mahnungen an gesetzliche Verpflichtungen, zwei Warnungen und insgesamt 486.839.500 Euro kumulative Geldstrafen.

1.19 CNIL: Tätigkeitsbericht des Datenschutzbeauftragten

Die französische CNIL gibt Empfehlungen, wie ein Tätigkeitsbericht des Datenschutzbeauftragten an das Management aufgebaut sein sollte, um die Verwaltung der Compliance zu unterstützen. Dazu bietet die CNIL auch eine Vorlage an. Diese Vorlage kann nach den jeweiligen Schwerpunkten angepasst werden:

• entsprechend den Besonderheiten der Organisation (Größe, Ressourcen, Art der Aktivitäten, Volumen und Sensibilität der Verarbeitung, interne Berichts- / Berichtspraktiken usw.);
• durch die Bündelung bestimmter Teile, die für mehrere Strukturen eingreifen (z. B. im Rahmen eines gemeinsamen Datenschutzbeauftragten);
• unterscheiden, wenn nötig, zwischen der Behandlungen durchgeführt als Verantwortlicher und der als Auftragsverarbeiter;
• durch die Entwicklung vereinfachter oder abgeleiteter Fassungen, die für eine breitere Verbreitung, insbesondere an die Beschäftigte, bestimmt sind.

Die CNIL hebt auch hervor, dass der Bericht eine Gelegenheit sei, um wesentliche Fragen zu stellen, z.B. ob vorrangige Maßnahmen ergriffen wurden oder was noch zu überprüfen, zu verbessern sei. Auch könne auf besondere Risiken hingewiesen werden.

1.20 Norwegen: Kameraüberwachung in der Gastronomie und Unterkunftsbranche

Die norwegische Datenschutzaufsicht hat zusammengestellt, auf was zu achten ist, wenn in der Gastronomie und Hotellerie Kameraüberwachung eingesetzt werden soll. Jeder habe ein Recht auf Privatsphäre – auch bei der Arbeit. Die Kameraüberwachung am Arbeitsplatz sei eine interventionelle Maßnahme, die daher strengen Regeln folgen müsse. Mit der Handreichung will sie Beschäftigte dazu und zu ihren Rechten informieren.

1.21 Niederlande: Umfrageergebnisse zu automatisierten Entscheidungen

Die niederländische Datenschutzbehörde (AP) hat 1.480 Personen zu deren Sicht auf Algorithmen und personenbezogene Daten befragt. Die Untersuchung umfasste automatische Entscheidungen. Dies sind Entscheidungen über Menschen, die oft von einem Algorithmus getroffen werden. Einige Ergebnisse der Studie listet sie hier auf:

• Beinahe jede fünfte Personen habe erlebt, dass eine Organisation ohne Erklärung eine schädliche Entscheidung über sie mit einem Algorithmus getroffen hat, also eine automatische Entscheidung.
• Ungefähr zwei von fünf Personen wüssten nicht, dass sie Anspruch auf eine Überprüfung durch einen Menschen haben, wenn eine automatische Entscheidung über sie getroffen wird.
• Gerade die weniger digital qualifizierten Menschen benötigen mehr Informationen über ihre Rechte, wenn ihre personenbezogenen Daten von Algorithmen genutzt werden. Sie befürworteten einfache, ehrliche und zugängliche Erklärungen, was mit ihren persönlichen Daten geschieht.

Die ganzen Ergebnisse sind hier verfügbar.

1.22 Niederlande: Konsultation zu Erklärungen zu automatisierten Entscheidungen

Die niederländische Datenschutzaufsicht führt eine Konsultation durch, wie Informationen zu einer automatisierten Entscheidung erfolgen sollten. Bis 26. Mai 2026 ist eine Beteiligung über diesen Link möglich.

1.23 ICO: Automatisierte Entscheidungen im Recruitingprozess und Konsultation

Das britische ICO veröffentlichte einen Bericht, in dem beschrieben wird, wie Mitarbeiter Bedenken hinsichtlich automatisierter Entscheidungen im Rekrutierungsprozess geäußert haben.
Zum Thema der automatisierten Entscheidung erarbeitet das ICO einen neuen Entwurf der Leitlinien, der die vollständige Liste der Faktoren enthält, die bei der Bewertung der Signifikanz zu berücksichtigen sind, und was diese für Organisationen bedeuten. Dieser Entwurf steht bis 29. Mai 2026 zur Konsultation bereit. Hinweise können über die dort angegebene E-Mail-Adresse oder hier eingereicht werden.

1.24 ICO: Von ePrivacy zu Storage and Access Technologies" (SATs)

Großbritannien gehört (leider) nicht mehr zur EU. Dennoch sind Aussagen zur Datenschutzthemen durch den Angemessenheitsbeschluss und die „Ursprünge“ in der DS-GVO noch interessant. Das ICO hat nun einen Leitfaden zu Storage and Access Technologies (SATs) veröffentlicht und damit auch eine neue Begrifflichkeit gewählt, die wir noch mit „ePrivacy“-Vorgaben aus Art. 5 Abs. 3 benennen würden. Sollten wir doch nochmal die ePrivacy-Richtlinien anfassen oder Regelungen daraus in die DS-GVO übernehmen (wollen?), könnten wir uns wieder daran erinnern, dass es zeitgemäßere Benennungen geben kann als „Cookie-Richtlinie“.

1.25 BSI: Übungszentrum Netzverteidigung 2.0

Das BSI bietet ein Open-Source-Fortbildungssystem in Sachen Cybersicherheit an, das als virtuelle Trainingsumgebung mit modularen Lerninhalten erlaubt praxisnahe Cybersecurity-Schulungen durchzuführen:
BSI-Übungszentrum Netzverteidigung 2.0
Das Fortbildungssystem richtet sich vornehmlich an Bundesbehörden, kann jedoch auch von anderen professionellen IT-Anwendern in Organisationen, Unternehmen oder Hochschulen genutzt werden. Die aktuelle Version 2.0 umfasst frei verfügbare und quelloffene Lernmodule zu den Themen Open-Source Intelligence (OSINT), Sicherheit von Web-Applikationen, Phishing, Malware sowie Sicherheit von MS Windows Infrastruktur.
Im Zentrum der Plattform steht „CAVE“ – ein modulares, flexibel einsetzbares System, das virtuell realistische Szenarien von einzelnen Diensten, Servern bis hin zu ganzen Netzwerken mit komplexen Abhängigkeiten und Softwareinstallationen nachbilden kann. Diese virtuellen Umgebungen erlauben es den Teilnehmenden sicherheitsrelevante Vorgänge praxisnah zu erproben, von der Analyse verdächtiger Netzwerkaktivitäten bis hin zur Verteidigung gegen simulierte Cyberangriffe. So lassen sich sowohl grundlegende Schulungsziele als auch komplexe Trainingssituationen umsetzen. Dies bietet sich an für Anfangende wie für Fortgeschrittene.

1.26 BSI: Cybersicherheit im Gesundheitswesen

Das BSI hat eine Broschüre „Cybersicherheit im Gesundheitswesen 2025“ veröffentlicht. Sie bietet einen exemplarischen Einblick in die Gefährdungslage im Gesundheitssektor. Statistische Zahlen geben Aufschluss über Vorfälle in den Bereichen "Telematikinfrastruktur", "Leistungserbringer" sowie "Hersteller und Produkte". Im Fokus stehen das E-Rezept, die Sicherheit in der ambulanten Versorgung sowie vernetzte Medizinprodukte. Darüber hinaus gibt die Publikation einen Einblick in die Reifegrade der Informationssicherheitsmanagementsysteme von KRITIS-Betreibern.

1.27 BSI: Handreichung zur Geschäftsleitungsschulung nach NIS2 aktualisiert

Das BSI hat seine Handreichung zur Schulung von Geschäftsleitungen überarbeitet. Weggefallen sind konkrete Vorgaben zu Schulungsintervallen (3 Jahre) und einer Mindestdauer (4 Stunden). Ergänzt wurden dagegen, dass sich Dauer und Wiederholungsintervall künftig nach der individuellen Risikoexposition der Einrichtung und den Kenntnissen der jeweiligen Geschäftsleitung richten. In den Empfehlungen für Schulungsinhalten finden sich Kerninhalte und unterstützende Inhalte, die durch praxisnahe Leitfragen ergänzt werden. Compliance gestaltet sich damit mehr in Richtung Eigenverantwortung und weniger im „Abhaken“ von strengen formalen Vorgaben.

1.28 BSI: Souveränitätskriterien für Cloud-Dienste – C3A

Deutschland und Europa stehen unter dem permanenten Druck von Cyberaggression. Dabei rücke neben Cyber Crime (finanziell motivierte Cyberangriffe) und Cyber Conflict (staatlich gelenkte Cyberangriffe) eine dritte Bedrohungsart immer mehr in den gesamtgesellschaftlichen Fokus: Cyber Dominance – die Möglichkeit von Herstellern digitaler Produkte dauerhaft Zugriff auf die Systeme und Daten ihrer Kunden zu behalten. Daher komme der Frage nach digitaler Souveränität, die auch und insbesondere Cloud-Dienste betrifft, immer größere Bedeutung zu. Mit den C3A – Criteria enabling Cloud Computing Autonomy hat das BSI einen Handlungsrahmen vorgelegt, der die Souveränitätseigenschaften von Cloud-Diensten transparent machen soll.

2.1 EuGH: Informationsvideo zum internationalen Datentransfer

Der EuGH hat ein Video (Dauer 2:20 Min.) veröffentlicht, das die rechtlichen Anforderungen bei einem Drittstaatentransfer erläutert. Es ist mit Untertiteln in verschiedenen Sprachen verfügbar.

2.2 EuGH: Freier Zugang zu Normen und Standards (C-155/21 P)

Was hat eine Entscheidung zu Inhaltsstoffen und Gesundheitsgefährdung bei Zigaretten mit unserem Blog zu tun? Der EuGH entschied in C-155/21 P im Umfeld der Zigarettenherstellung, dass es Privatpersonen möglich sein muss auf Normen kostenlos zuzugreifen. Wenn in einer Richtlinie der Union, mit der das Ziel der des Schutzes der menschlichen Gesundheit verfolgt wird, auf internationale Normen verwiesen wird, müssen diese von Privatpersonen eingesehen werden können. Pressemitteilung des EuGH dazu hier.
Und dann erinnern wir uns, dass in der KI-VO in Art. 40 auch festgelegt wird, dass zur Umsetzung der KI-VO durch die EU-Kommission Normungsaufträge vorgesehen sind und – wie die EU-Kommission berichtet – auch bereits in Auftrag gegeben wurden. Dies betrifft die Themen Risikomanagement, Governance und Qualität der Datensätze, Buchführung, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit, Cybersicherheit, Qualitätsmanagement und Konformitätsbewertung, die durch das Europäische Komitee für Normung (CEN) und das Europäische Komitee für elektrotechnische Normung (CENELEC) in Arbeitsgruppen entwickelt werden.
Und ebenso erinnern wir uns, dass bereits in der „MALAMUD-Entscheidung“ des EuGH C-588/21 P der EuGH feststellte, dass, um gesetzliche Anforderungen erfüllen zu können, die Anforderungen dazu frei verfügbar sein müssen.

2.3 Verfahren des vzbv zu Rabatt-Apps – „Zahlen mit Daten“

Die Verbraucherzentrale Bundesverband (vzbv) informiert regelmäßig über erfolgreiche Klagen. Es spricht für den Verband, dass er auch über Verfahren informiert, die bisher nicht erfolgreich waren – wie bei den Klagen gegen die Rabattierung von Lebensmitteln über die Nutzung von Apps, über die dann auch eine entsprechende Profilbildung durchgeführt wird. Ist die „Bezahlung“ mit Daten dann noch „kostenlos“, wie die Werbung der Unternehmen verspricht oder ist das „irreführend“? Bericht dazu in einem Fernsehmagazin auch hier sowie die Pressemeldung des OLG Hamm zur Klageabweisung gegen Penny Markt GmbH, die Verfahren vor dem OLG Bamberg oder das Verfahren vor dem OLG Stuttgart gegen Lidl.

2.4 BGH: Fragen zur Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DS-GVO

Es ist schon ein Kreuz: Wann liegt eine Verarbeitung personenbezogener Daten vor, die durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgt, so dass die DS-GVO nicht zur Anwendung findet (Art. 2 Abs. 2 lit. c DS-GVO)? Die Fälle dazu sind zwar nicht immer leicht rechtlich einzuordnen, aber meist unterhaltsam.
Das VG Ansbach bewertet die Aufnahmen eines Vaters von falschparkenden Fahrzeugen vor der Schule seines Kindes zur Einleitung von Ordnungswidrigkeitenverfahren als außerhalb der Haushaltsausnahme (wir berichteten). In Österreich spionierte ein getrennt lebender Ehemann im E-Mailaccount seiner bisherigen Gattin hinterher, was das österreichische Bundesverwaltungsgericht ebenfalls außerhalb der Haushaltsausnahme einordnete.
Der EuGH selbst hat in seinem Urteil zu „Zeugen Jehovas“ (C-25/17) auch Aussagen (nicht nur zur gemeinsamen Verantwortlichkeit), sondern auch zur Haushaltsausnahme getroffen:

„Die Ausdrücke „persönlich“ und „familiär“ im Sinne dieser Bestimmung beziehen sich auf die Tätigkeit der Person, die personenbezogene Daten verarbeitet, und nicht auf die Person, deren Daten verarbeitet werden. Nach der Rechtsprechung des Gerichtshofs ist Art. 3 Abs. 2 zweiter Gedankenstrich der Richtlinie 95/46 dahin auszulegen, dass er nur Tätigkeiten betrifft, die zum Privat- oder Familienleben von Privatpersonen gehören. Insofern kann eine Tätigkeit nicht als ausschließlich persönlich oder familiär im Sinne dieser Vorschrift angesehen werden, wenn sie zum Gegenstand hat, personenbezogene Daten einer unbegrenzten Zahl von Personen zugänglich zu machen, oder wenn sie sich auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten verarbeitet“ (RN. 41 und 42).

Jetzt hat der BGH ein Verfahren, in dem es um die heimliche Videoüberwachung der eigenen Küche geht, wenn die eigene Mutter diese heimsucht und die Aufnahmen zeigen, dass diese unerlaubt etwas aus einer Büchse entnimmt.
Die Mutter zog im Rahmen der erfolgten Strafanzeige wegen eines Datenschutzverstoßes vor Gericht. Sie forderte die Löschung der Aufnahmen und Schmerzensgeld von mindestens 5.000 Euro. Die beiden ersten Instanzen wiesen die Klage ab. Nun überlegt der BGH, ob er den EuGH mit Fragen zu diesem Fall erfreuen darf, wie hier berichtet wird oder ob er am 17. September 2025 bereits ein Urteil verkündet.
Und damit das Thema auch weiteren Kreisen der Bevölkerung vermittelbar wird: In dem Rechtsstreit Fernandez/Ulmen, in dem es um Persönlichkeitsrecht und DeepFakes geht, spielen auch Datenschutzaspekte eine Rolle: Neben strafrechtliche Fragen geht es aktuell vor Gericht auch über die Berichterstattung dazu. Und aus der Pressemeldung der einen Partei geht unter Ziffer 2c hervor, dass auch hier der Vorwurf im Raum steht, dass Frau Fernandes sich durch Überwindung des ihrem Ehemann bekannten PIN-Codes Zugang zu einem iPad des Ehemannes verschafft haben müsse und nur dadurch Kenntnis von einer streng vertraulichen Korrespondenz zwischen dem Mandanten und seinem Strafverteidiger erlangt haben könne.

2.5 VG Düsseldorf: TLS-Verschlüsselung kann auch bei Daten-Meldesperren ausreichen

Für den Kläger ist eine Auskunftssperre im Melderegister nach § 51 Bundesmeldegesetz eingetragen, weil Gefahr für Leib und Leben besteht, er bekommt auch ein „Tarnkennzeichen“ für das Auto und wird in einen Verkehrsunfall verwickelt. Er teilt über einen handgeschriebenen Zettel mit seinem Namen und seiner ladungsfähigen Anschrift dem Unfallgegner mit, dass die Kommunikation nur schriftlich erfolgen solle und ergänzt dies über eine Mitteilung über seine Prozessvertretung, dass bei einer elektronischen Verarbeitung der Daten umfangreiche Schutzmaßnahmen getroffen werden müssten.
Gleichwohl erfährt er über eine Auskunft der Haftpflichtversicherung, dass der Unfallgegner in mindestens zwei Fällen E-Mails mit seinen personenbezogenen Daten über das Internet an die Versicherung übermittelt habe. Nun stellt er ein Auskunftsbegehren an den Unfallgegner und nachdem diese nicht erfolgte, beschwert er sich bei der Datenschutzaufsicht. Dieses erlässt einen Bescheid und über diesen durfte nun das VG Düsseldorf entscheiden, ob eine E-Mail mit Transportverschlüsselung als angemessene Schutzmaßnahme ausreicht (und ob die Auskunft ordnungsgemäß erteilt wurde).
Und das VG Düsseldorf stellt fest, dass eine Ende-zu-Ende-Verschlüsselung bei elektronischer Kommunikation in diesem Fall weder allgemein noch in der Unfallsache geboten gewesen sei (RN. 45 f). Die eingesetzte Transportverschlüsselung sei ausreichend gewesen (RN. 49) und begründet dies damit in RN. 57, dass der Name und die Anschrift des Klägers weiterhin auch über andere Quellen zur Kenntnis genommen werden könnten. Der Name werde daher nicht erst bei unbefugtem Zugang Dritter zu den E-Mails bekannt.
Eine eingetragene Auskunftssperre nach § 51 BMG bewirke, dass Dritte keinen Zugang zu den Meldedaten erhalten. Es ist auch nicht ersichtlich, wie ein Unbefugter über die Kanzlei der Prozessbevollmächtigten des Klägers nähere Informationen über den Kläger herausfinden könnte. Diese sind hinreichend sensibilisiert. Vielmehr kann der mögliche Aufenthaltsort des Klägers bereits jetzt mit seinem Namen in Verbindung mit seiner Firma und deren Sitz im Internet auf einfache Weise ermittelt werden. Die vom Kläger angenommene Gefahr, Dritte könnten ihn zur Erlangung seiner Produkte entführen oder einen Raub begehen, hat sich durch die Nennung seines Namens in den beiden streitgegenständlichen E-Mails nicht erhöht (RN. 57). Hinsichtlich der unzureichenden Auskunft bekam der Kläger allerdings Recht.

2.6 OLG Düsseldorf: Bearbeitung einer Fotoaufnahme mit KI und Urheberrecht

Das OLG Düsseldorf musste entscheiden, ob eine durch eine KI bearbeitete Fotoaufnahme gegen urheberrechtlichen Schutz der Originalaufnahme verstößt. Um die Fragestellung zu verdeutlichen sind in der Entscheidung Original und Bearbeitung abgebildet. Es zeigt einen Hund unter Wasser mit einem roten Spielzeugball. Um es kurz zu machen: Das OLG Düsseldorf sah darin keinen urheberrechtlichen Verstoß, weil es sich bei dem Werk der Antragstellerin trotz der vorgenommenen Bearbeitungen um ein Lichtbildwerk handele. Das Ergebnis freier kreativer Entscheidungen des Lichtbildners seien dabei regelmäßig Elemente wie die Wahl des Bildausschnitts, die Perspektive, die Beleuchtung sowie die durch die richtige Komposition von Blende und Belichtungszeit hervortretende Schärfe oder Unschärfe. Nicht schutzfähig seien hingegen das Thema und das Motiv. Ersteres schon deshalb, weil Schutzgegenstand ein konkretes Werk ist und nicht eine bloße Idee. Letzteres, weil das Motiv als solches nicht das Ergebnis einer kreativen Entscheidung der Lichtbildnerin ist. Die von der Antragstellerin danach in der mündlichen Verhandlung angeführten Übereinstimmungen beträfen aber ausnahmslos das Motiv, nämlich eines unter der Wasseroberfläche nach einem bestimmten roten Spielzeug fassenden Hundes.
Demgegenüber zeige das Lichtbildwerk dadurch, dass man praktisch nur den Hundekopf und das Spielzeug sieht, weil durch die Wahl der Perspektive und der Unschärfe der Hundekörper völlig in den Hintergrund tritt, eine realistische und dynamische Darstellung. Diese Elemente fänden sich in der angegriffenen Abbildung mit ihrem Comic-haften Charakter gerade nicht. Man sieht den ganzen Hundekörper, der zudem scheinbar nicht nur mit dem Maul, sondern auch mit den weit nach vorne reichenden Vorderpfoten nach dem Spielzeug zu fassen scheint. Dem Bild fehlt außerdem die durch Belichtung und Blendenwahl erzeugte dynamische Anmutung des Lichtbildwerks der Antragstellerin (RN. 36 ff der Entscheidung).

2.7 öBvWG: Zulässigkeit von Videoaufnahmen im Betrieb

Das österreichische Bundesverwaltungsgericht musste sich mit Fragen der Zulässigkeit von Videokameras innerhalb eines Betriebs befassen. Im Verfahren ging es um insgesamt drei Videokameras, die eingesetzt wurden, um Diebstählen, unbefugte Zutritte und unberechtigte Reklamationen aufzuklären. Eine Kamera erfasst den Eingangsbereich, eine den Hintereingang (mit Erfassung des Zugangs zur Teeküche) und eine den Packtisch. Die Entscheidung des öBVwG ist sehr ausführlich und prüft nach einer detaillierten Sachverhaltsschilderung systematisch denkbare Rechtsgrundlagen durch. Er lehnt die Kamera 1 und 2 aufgrund fehlender Erforderlichkeit ab. Lediglich die Aufnahmen am Packtisch hält er insbesondere unter Berücksichtigung des Aufnahmewinkels für zulässig.

2.8 öBVwG: Anforderungen an Art. 22 DS-GVO bei Auskunftsbegehren nach Art. 15 Abs. 1 lit. h DS-GVO

Das österreichische Bundesverwaltungsgericht wies eine Beschwerde gegen eine Auskunftei ab, da es nicht alle Tatbestandsmerkmale als erfüllt ansah. Der Anspruch auf Information zur involvierten Logik nach Art. 15 Abs. 1 lit. h DS-GVO sei nicht erfüllt, weil kein Bestehen einer automatisierten Entscheidungsfindung im Sinne des Art. 22 DS-GVO festgestellt wurde.
Die Anwendbarkeit von Art. 22 DS-GVO hänge von drei kumulativen Voraussetzungen ab: Erstens müsse eine „Entscheidung“ vorliegen, zweitens müsse diese Entscheidung „ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling“ beruhen und drittens muss die Entscheidung „gegenüber der [betroffenen Person] rechtliche Wirkung“ entfalten oder sie „in ähnlicher Weise erheblich“ beeinträchtigen.
Das Gericht bejahte im konkreten Fall die ersten beiden Voraussetzungen, lehnt aber die dritte ab, da die betroffene Person das gegenständliche Auskunftsbegehren aus reinem Interesse stellte. Die gezogenen Scores wurden nicht aufgrund einer möglichen Vertragsbeziehung mit der betroffenen Person abgerufen. Der betroffenen Person gegenüber wurde weder ein Vertragsverhältnis aufgrund dieser Scorewerte abgelehnt noch wurde sie durch diese Scorewerte erheblich beeinträchtigt. Nachdem die erstellten Scorewerte der betroffenen Person gegenüber weder rechtliche Wirkung entfalten noch sie in ähnlicher Weise erheblich beeinträchtigt haben, liege die dritte Voraussetzung des Art. 22 DS-GVO nicht vor und der Tatbestand des Art. 22 Abs. 1 DS-GVO sei nicht erfüllt. Daher treffe das Unternehmen im vorliegen Fall keine Auskunftspflicht gemäß Art. 15 Abs. 1 lit. h DS.GVO (Ziffer II. 2.3).

2.9 öBVwG: Anforderungen an Gesprächsmitschnitte

Das österreichische Bundesverwaltungsgericht bestätigte eine Sanktion der Datenschutzbehörde, die ein Bußgeld in Höhe von 6.300 Euro verhängte, weil eine Gesprächsaufzeichnung ohne Rechtsgrundlage erfolgte. Das Unternehmen konnte nicht nachweisen, dass eine Einwilligung der aufgenommenen Personen vor dem Gespräch eingeholt wurde.

2.10 Spanien: Verstoß gegen Datenminimierung durch Anforderungen nicht relevanter Informationen?

In Spanien wurde vor dem Obersten Gerichtshof in der Kammer für Verwaltungsstreitigkeiten im Verfahren STS 1590/2026 entschieden, dass gegen die Grundsätze der Datenminimierung verstoßen wird, wenn durch einen Verantwortlichen mehr Daten angefordert werden, als für den Zweck erforderlich, selbst wenn die betroffene Person diese dann nicht bereitstellt. Im konkreten Fall ging es um die Anforderungen von Nachweisen für ein gesundheitsbedingtes Fernbleiben vom Arbeitsplatz.

2.11 Frankreich: Klageabweisung gegen Criteo

Wir erinnern uns: Die französische CNIL verhängt gegen Criteo ein Bußgeld in Höhe von 40 Mio. Euro, weil das Modell von Criteo gegen mehrere Vorgaben der DS-GVO verstieß. Criteo ist spezialisiert auf „Verhaltens-Retargeting“, das darin besteht die Navigation der Internetnutzer zu verfolgen, um personalisierte Werbung anzuzeigen. Zu diesem Zweck sammelt das Unternehmen die Browserdaten von Internetnutzern über Cookies, die auf seinen Terminals platziert wird, wenn sie bestimmte Criteo-Partner-Websites besuchen. Durch diesen Tracker analysiert das Unternehmen Surfgewohnheiten, um zu bestimmen, für welche Werbetreibenden und für welches Produkt es am relevantesten wäre einem bestimmten Nutzer eine Anzeige zu zeigen. Dann nehmen diese an Echtzeit-Geboten teil und es wird personalisierte Werbung angezeigt, wenn das Gebot gewonnen hat.
Die CNIL hat die Aussagen dazu mittlerweile von ihrer Webseite wegen Zeitablauf entfernt, aber der EDSA berichtet noch dazu und hat auch noch die Entscheidung (auf Englisch) auf seiner Webseite (wir berichteten damals dazu).
Die Entscheidung der CNIL wurde von dem Conseil d´État überprüft und die Klage von Criteo jetzt im März 2026 abgewiesen. Damit sind die Feststellungen und Bewertungen der CNIL bestätigt:

• Criteo konnte nicht nachweisen, dass die Personen ihre Einwilligung erteilt haben (Art. 7 Abs. 1 DS-GVO)
• Criteo konnte die Einhaltung der Informations- und Transparenzpflicht nicht nachweisen (Artt. 12 und 13 DS-GVO)
• Criteo konnte nicht die Einhaltung der Auskunftspflichten nachweisen (Art. 15 Abs. 1 DS-GVO)
• as Recht auf Widerruf der Einwilligung und Löschung von Daten (Art. 7 Abs. 3 und Art. 17 Abs. 1 DS-GVO) wurde nicht beachtet
• Criteo hat die Anforderungen an eine Vereinbarung zwischen gemeinsamen Verantwortlichen nicht erfüllt (Art. 26 DS-GVO)

Darüber berichtet (natürlich) auch noyb, die sich damals über Criteo beschwert haben, aber auch andere. Der Vollständigkeit halber: Auch in den Niederlanden gab es eine Entscheidung zur gemeinsamen Verantwortlichkeit bei Criteo (auch hier berichteten wir).

2.12 EuGH Vorschau: Inkassozession und Schadenersatz (C-323/26)

Im Vorlageverfahren des LG Leipzig vom 27.03.2026 geht es in dem Verfahren beim EuGH (C-323/26 Protectra) um Fragen des Rechtsmittelschutzes und der Geltendmachung von Schadenersatzansprüchen durch ein Inkassozessionsmodell.

3.1 EU-USA: Datenpreisgabe bei Einreise

Die EU hat mit den USA verhandelt, wie eine „Grenzpartnerschaft“ aussehen könnte – und wenn die Angaben in diesem Bericht stimmen, ist kaum vorstellbar, was ohne Verhandlungen herausgekommen würde. Laut dieser Quelle wären in dem Entwurf im Rahmen des Informationsaustausches für Sicherheitsüberprüfungen und Identitätsprüfungen im Zusammenhang mit Grenzverfahren und Visaanträgen auch biometrische Daten, Fingerabdrücke, Fotos und genetische Daten umfasst. Den Abschluss einer „Enhanced Border Security Partnership“ (EBSP) hatte die US-Regierung bereits 2022 von allen Teilnehmerstaaten des Visa-Waiver-Programms (VWP) verlangt – mit einer Frist bis Ende 2026. Das VWP ermöglicht Staatsangehörigen aus 43 befreundeten Ländern im Rahmen von Kurzaufenthalten bis zu 90 Tagen visafreies Reisen in die USA – und umgekehrt. Nun knüpfe die Regierung in Washington die weitere Teilnahme an dem Programm an den Abschluss der „Grenzpartnerschaft“: Die beteiligten Staaten sollen ihre Polizeidatenbanken für US-Behörden öffnen. Wer sich weigere, verliere den visafreien Status. Das Abkommen soll dem Entwurf zufolge auf dem Prinzip der Gegenseitigkeit beruhen. EU-Mitgliedstaaten sollen also ihrerseits Zugriff auf US-Datenbanken erhalten – sofern sich die US-Regierung nicht dagegen sperre.

3.2 Digitalstrategie des Deutschen Bundestages

Es gibt sie, eine Digitalstrategie des Deutschen Bundestages. Zumindest eine Vorlagenfassung mit Stand 24.04.2026, was wohl soviel wie ein Entwurf genannt werden kann, die hier abgerufen werden kann. Darin wird Digitalisierung als zentrale Voraussetzung funktionsfähiger Parlamentsarbeit positioniert. Angestrebt ist ein integriertes digitales Ökosystem mit standardisiertem Arbeitsplatz, sicherer Infrastruktur, Data-Governance und verstärktem KI-Einsatz (u. a. für Suche, Transkription, Assistenzsysteme).
Es beruhigt nach den erfolgreichen Phishingangriffen der letzten Monate, dass auch eine moderne IT-Sicherheitskampagne mit zugänglichen Formaten die Security Awareness stärken und nachhaltig für aktuelle Bedrohungsszenarien wie Social Engineering oder Deep Fakes sensibilisiert soll (auf Seite 19). Zur Digitalkompetenz gibt es dann noch weitere Details ab Seite 26. Hier lesen wir, dass ein breites, zielgruppengerechtes Schulungsangebot bereitgestellt werde, das nicht nur klassische, sondern auch innovative Formate umfasst. Dazu zählen zum Beispiel modulare Lernpfade, kurze interaktive Lernimpulse, Lernvideos und Tutorials, Praxis-Workshops sowie Gamification-Elemente zur motivierenden Wissensvermittlung. Awareness-Kampagnen begleiten diese Maßnahmen und schärfen fortlaufend das Bewusstsein für Chancen und Risiken digitaler Arbeit.
Am 5. Mai 2026 soll die IuD-Kommission des Ältestenrats das Dokument beschließen.

3.3 CRA und NLF

Wie hängen CRA (Cyber Resilience Act) und NLF (New Legislative Framework) zusammen? Das erklärt der VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V. hier. Der Cyber Resilience Act unterliegt dem New Legislative Framework (NLF) der EU. Das NLF dient als Gesamtkonzept zur Vereinfachung und Vereinheitlichung der europäischen Regulierung und verbindet Regulierungsanforderungen, Technische Normen, Konformitätsbewertung und CE-Kennzeichnung. Vor allem die Ausgestaltung der Anforderungen aus dem CRA durch Technische Normen sei von zentraler Bedeutung.
Das Normungsmandat M 606 ordnet dabei jeder grundlegenden Cybersecurity-Anforderung und jeder Anforderung an ein aktives Schwachstellenmanagement jeweils ein Normungsprojekt samt Normungsorganisation und Technischem Komitee zu. In diesen Normungsprojekten sollen harmonisierte Europäische Normen (hENs) erarbeitet werden, die nach Ratifizierung durch die EU-Kommission die Vermutungswirkung und damit die Einhaltung der Cybersecurity-Anforderungen sicherstellen. Die Europäische Kommission hat einen Normungsauftrag M/606 angenommen, der 41 Normen zur Unterstützung der Ratingagentur enthält. Der Antrag umfasst sowohl horizontale als auch vertikale (oder produktspezifische) Standards, mit denen die Hersteller bei der Umsetzung der grundlegenden Cybersicherheitsanforderungen unterstützt werden sollen. Auch würden die meisten CRA-Anforderungen werden bereits durch die IEC 62443 abgedeckt.

3.4 CRA: Zuständigkeit des BSI

Die Bundesregierung bringt das Durchführungsgesetz zum Cyber Resilience Act der EU auf den Weg und will das BSI zur zentralen Marktüberwachungsbehörde machen, wie hier nachzulesen ist. Zur Aufgabe der Marktüberwachungsbehörde im Sinne dieser Verordnung gehört die Kontrolle der Cybersicherheit der vernetzten Produkten. Auch wird das BSI als notifizierende Behörde Konformitätsbewertungsstellen unter Einbeziehung der Deutschen Akkreditierungsstelle prüfen und notifizieren.

3.5 Vorratsdatenspeicherung – wieder mal

Die Bundesregierung hat einen Gesetzesentwurf beschlossen, der eine Vorratsdatenspeicherung von IP-Adressen für Internetprovider vorsieht. Der Entwurf adressiert aber auch eine Reihe weiterer Punkte:

• Eine umfangreiche Überarbeitung der Befugnisse der Strafverfolgungsbehörden bei Ermittlungen im Bereich Telekommunikation und Internet (§§ 100g-100k StPO)
• Endlich eine verfassungskonforme "zweite Tür" für die Offenlegung von Verkehrsdaten
• Eine erste Änderung im EBewMG (d.h. E-Evidence-Umsetzung) durch Einführung der eine „Preservation Order“ (EPOC-PR) und entsprechende Ausweitung der Zuständigkeiten deutscher Behörden
• Die lange geforderte Quick-Freeze-Lösung ("Sicherungsanordnung") für Verkehrsdaten - nunmehr aber auch für nummernunabhängige interpersonelle TK-Dienste (d.h. E-Mail, Messenger und Videokonferenzdienste)
• Eine Aufhebung der §§ 175-181 TKG, die europarechtswidrig waren und trotzdem jahrelang ungenutzt im TKG verblieben waren. Diese Regelungen werden nun u.a. durch eine dreimonatige Speicherpflicht für IP-Adressen und 'Quick Freeze' für sonstige Verkehrsdaten ersetzt.

Die Vorschläge sind auch wieder Gegenstand von Kritik – und noch nicht vom Bundestag beschlossen.

3.6 Bundesregierung: Erweiterte Rechtsgrundlagen für Polizei

Das Bundeskabinett verabschiedet umfassende Änderungen in den Befugnissen der Sicherheitsbehörden wie in dem Gesetz zur Stärkung digitaler Ermittlungsbefugnisse zur Abwehr von Gefahren des internationalen Terrorismus.
Und je nach Bewertung wird dies als Überwachungspaket oder Sicherheitsfortschritt bezeichnet. Diese Gesetzentwürfe enthalten u.a. eine automatisierte Datenanalyse über polizeiliche Datenbanken hinweg. Kritik daran hier und da. Stellungnahmen dazu sind auch auf der Seite des BMI veröffentlicht.

3.7 KI-Omnibus – ungeplanter Halt

Im Trilogtermin Ende April 2026 kam es zu keiner Einigung. Damit blieben die Termine und Anforderungen in der KI-VO wie ursprünglich beschlossen. Es soll zwar noch terminliche Möglichkeiten einer Verständigung geben, aber entscheidend sind die inhaltlichen Veränderungen in den bisherigen Positionen der beteiligten Organe der EU. Soweit bisher wahrnehmbar konzentriert sich deren Reaktion aber eher auf Schuldzuweisung. Bericht dazu hier und da.
Auf dieser privat betriebenen Webseite werden einzelnen Positionen der beteiligten Akteure dargestellt.
Ein Update:
In einer Nachtsitzung verständigten sich die Trilogparteien dann doch noch auf eine Fassung.
Es wurde eine neue Bestimmung in die Verordnung über KI aufgenommen, mit der KI-Praktiken verboten werden, die nicht einvernehmliche sexuelle und intime Inhalte oder Darstellungen von sexuellem Missbrauch von Kindern erzeugen. Außerdem wurde ein fester Zeitplan für die verzögerte Anwendung der Vorschriften für Hochrisiko-KI-Systeme eingeführt: Sie sollen nun ab dem 2. Dezember 2027 für eigenständige Hochrisiko-KI-Systeme und ab dem 2. August 2028 für Hochrisiko-KI-Systeme, die in Produkte eingebettet sind, gelten.
Darüber hinaus wurde die Verpflichtung für Anbieter, KI-Systeme in der EU-Datenbank für Hochrisikosysteme zu registrieren, wieder aufgenommen, auch wenn die Anbieter der Auffassung sind, dass ihre Systeme nicht als Hochrisikosysteme einzustufen sind.
Auch der Maßstab der unbedingten Notwendigkeit für die Verarbeitung besonderer Kategorien personenbezogener Daten zum Zwecke der Erkennung und Korrektur von Verzerrungen wurde wieder in den Entwurf aufgenommen.
Auch wurde die Frist für die Einrichtung von KI-Reallaboren durch die auf nationaler Ebene zuständigen Behörden bis zum 2. August 2027 verlängert. Verkürzt wird dagegen der Anbietern gewährte Übergangszeitraum für die Umsetzung von Transparenzlösungen für künstlich erzeugte Inhalte (nämlich von sechs Monaten auf drei Monate); als neue Frist wurde der 2. Dezember 2026 festgesetzt. Weitere Informationen zu den Ergebnissen hier. Und auch dazu gibt es unterschiedliche Meinungen, wie hier und da.
Die erzielte vorläufige Einigung muss nun vom Rat und vom Europäischen Parlament gebilligt und anschließend von den Rechts- und Sprachsachverständigen überarbeitet werden, damit der Rechtsakt in den kommenden Wochen von den beiden gesetzgebenden Organen förmlich angenommen werden kann.

3.8 Google, KI und die Medienvielfalt

In einem Briefing für einen Ausschuss des Europäischen Parlaments werden unter dem Titel „The Impact of Google AI Summaries and Google AI Overviews on Publishers’ Revenue and Media Freedom” die Auswirkungen des Geschäftsmodells von Google auf die Einnahmen und damit auf die Vielfalt und Unabhängigkeit der Medienlandschaft analysiert.
Das Problem hat eine strukturelle Dimension, die sich nicht allein durch Urheberrechts- und Umsatzstreitigkeiten erfassen lasse. KI-generierte Zusammenfassungen könnten die Sichtbarkeit konkurrierender redaktioneller Darstellungen verringern und bestehende Hierarchien der Quellsichtbarkeit verstärken, was dies im Kern zu einem Problem des Medienpluralismus und der demokratischen Resilienz mache.

3.9 Expertenkommission „Jugendmedienschutz“

Nachdem in vielen Ländern bereits Smartphone-Regelungen für junge Menschen beschlossen sind, gibt es bei uns natürlich erstmal eine Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt", und die sollte nun zumindest einen Zwischenbericht geben, was sie auch getan hat.
Der endgültige Bericht soll die evidenzbasierte Grundlage für konkrete Handlungsempfehlungen bilden und Ende Juni 2026 vorgelegt werden (eigentlich war mal September 2026 für den Abschlussbericht vorgesehen, aber wenn alle schon entscheiden können, würde man sich eventuell fragen, was bei Jugendlichen und den Entscheidungsträger in anderen Ländern schon bekannt ist, während wir noch debattieren).
Genau genommen geht es dann aber doch nicht nur um die digitale Welt, sondern um die Regelung zwischen Kiel und Oberstdorf, also eher einen begrenzten Umfang, den man der Expertenkommission damit unbewusst vorgegeben hat.
Dass es vielleicht auch damit getan sein kann bestehende Regelungen wie in der DS-GVO (Profilbildung, Schutz von Kindern) und im Digital Service Act einfach nur umzusetzen, ist wahrscheinlich eine Antwort, für die man eine gewisse naive Vorstellung vom Rechtsstaat haben muss.
Dann warten wir mal den Bericht ab, mit Hinweisen auf Medienkompetenz (bitte nicht vergessen, auch zu Phishing-Angriffen zu informieren), mit der Hoffnung auf irgendwelche Altersverifizierungskompetenz und mit der Sicherstellung, dass die Kinder weiterhin Hyperscalern ausgeliefert werden, nur um Zölle zu reduzieren. Berichte dazu hier und dort.

3.10 Expertenkommission „Wettbewerb und Künstliche Intelligenz“

Natürlich gibt es auch zu wettbewerbsrechtlichen Fragen und Künstlicher Intelligenz eine Expertenkommission, die das BMWE einberufen hat. Und die nun in ihrer Abschlusssitzung Empfehlungen für eine wettbewerbsfähige und souveräne KI-Ökonomie vorgelegt hat. Die Handlungsempfehlungen finden sich hier: BMWE | Handlungsempfehlungen der Kommission Wettbewerb & Künstliche Intelligenz.
Um Wettbewerb zu stärken und Bürokratie abbauen, sollte nach den Empfehlungen in Ziffer 2 die Bundesregierung strikt unterscheiden zwischen Regulierung, die einen fairen und offenen Wettbewerb erst ermöglicht und gewährleistet (zum Beispiel Digital Markets Act (DMA) und Kartellrecht), und Regulierung, die anderen Schutzzwecken dient und stellenweise unverhältnismäßigen Aufwand verursacht (zum Beispiel DS-GVO und KI-VO). Die Bundesregierung sollte im ersten Fall konsequent die Rechtsdurchsetzung unterstützen, im zweiten Fall Vereinfachungen anstreben.
Unter Ziffer 9 findet sich folgende Empfehlung, dass die Regelungen zum Datenschutz erheblich zu vereinfachen und die Aufsichtsstrukturen zu zentralisieren seien. Innerhalb Deutschlands sollte es nur eine zuständige Behörde geben. Die Bundesregierung sollte das aktuelle Fenster der Reforminitiativen auf europäischer Ebene nutzen, um im Datenrecht Harmonisierungen und signifikante Vereinfachungen zu erzielen.
Mal schauen, wie hier die „Vereinfachung“ dann interpretiert wird: Als Reduzierung der Grundrechte oder als Präzisierung der Vorgaben.

3.11 noyb: Omnibus und Auskunftsrecht

Im Digitalen Omnibus werden auch Änderungen der Vorgaben zum Auskunftsanspruch angestrebt, die Missbrauch reduzieren sollen. Laut einer Untersuchung des NGO noyb zum Auskunftsanspruch gäbe es dafür aber keinen Bedarf, im Gegenteil, über 83 % der Auskunftsersuchen werden nicht ausreichend beantwortet.
Danach stellten auch Auskunftsersuchen keine nennenswerte Arbeitslast dar. Gleichzeitig habe eine kürzlich veröffentlichte noyb-Umfrage verdeutlicht: Die Mehrheit (mehr als 70 %) der befragten Datenschutzbeauftragten sind der Ansicht, dass Betroffenenrechte – und insbesondere das Auskunftsrecht – keine nennenswerte Arbeitslast darstellen, aber ein nützliches Instrument zum Schutz der Rechte sind. Spätestens jetzt wird es spannend.

3.12 Förderrichtlinie für Maßnahmen gegen hybride Angriffe

Durch die Richtlinie zur Förderung von Projekten zum Thema „Erkennung, Abwehr und Bewältigung hybrider Bedrohungen“ im Rahmen des Programms „Forschung für die zivile Sicherheit – Gemeinsam für ein sicheres Leben in einer resilienten Gesellschaft“ gibt es eine Förderoffensive gegen hybride Bedrohungen.
Die Zielsetzung der aktuellen Ausschreibung ist Staat, Wirtschaft, Wissenschaft und Gesellschaft besser auf koordinierte, nichtmilitärische Angriffe vorzubereiten – also auf jene schwer greifbaren Kombinationen aus Desinformation, Cyberangriffen, Sabotage und Spionage, die darauf abzielen demokratische Institutionen zu destabilisieren und gesellschaftliche Polarisierung zu schüren.
Gefördert werden Verbundprojekte, in denen Sicherheitsbehörden, Hochschulen, Unternehmen und zivilgesellschaftliche Organisationen gemeinsam an neuen Methoden zur Früherkennung, Analyse und Abwehr hybrider Taktiken arbeiten. Die Forschungsergebnisse sollen dabei nicht im Labor verbleiben, sondern direkt in praxistaugliche Handlungsempfehlungen, Schulungskonzepte und technologische Lösungen überführt werden.

3.13 Interpretationen zu Art. 91 DS-GVO

Der Stichtag in Art. 91 Abs. 1 DS-GVO ist relevant, um über die Zulässigkeit eigener Regularien von Religionsgemeinschaften zu entscheiden. Im führenden Blog zu Fragen des Datenschutzes in Kirchen und Religionsgemeinschaften wird dazu über eine neue Interpretation berichtet. Der relevante Stichtag müsse nicht direkt hinsichtlich der religionsgemeinschaftliche Rechtsvorschriften anknüpfen, sondern an mitgliedstaatliche Gepflogenheiten, die sich in entsprechenden Rechtsvorschriften ausdrücken. Auf die Quelle dazu wird auch verlinkt: Das europäische Religionsrecht am Beispiel des kirchlichen Datenschutzes.

3.14 BMG: Entwurf eines Gesetzes zur Teilarbeitsunfähigkeit

Das BGM plant ein Gesetz zur „Teilzeit-Krankschreibung“, das die Bundesregierung nun beschlossen hat. Damit wird zukünftig eine Teilarbeitsunfähigkeit in § 44c SGB V ermöglicht. Damit kann ein erkrankter Arbeitnehmer oder eine betroffene Arbeitnehmerin während der Krankheitsphase teilweise arbeiten und sich für den restlichen Zeitraum krankschreiben lassen. Allerdings gilt dies nur für Arbeitsunfähigkeiten von mindestens vier Wochen. Voraussetzungen sind

• eine ärztlich festgestellte Arbeitsunfähigkeit, die länger als vier Wochen andauert,
• der Arbeitnehmer oder die Arbeitnehmerin muss sich gesundheitlich dazu in der Lage sehen,
• die behandelnde Ärztin oder der behandelnde Arzt stellt eine entsprechende Teilarbeitsunfähigkeit in Höhe von 25, 50 oder 75 Prozent der regelmäßigen wöchentlichen Arbeitszeit fest und
• der Arbeitgeber muss der teilweisen Arbeitsaufnahme innerhalb von sieben Tagen zustimmen. 
  Ergänzend wird in § 44 d SGB V ein Teilkrankengelt geregelt.

Laut Begründung dazu (ab Seite 87 des Entwurfs) erfordert die Regelung zur Teilarbeitsunfähigkeit und zum Teilkrankengeld Arbeitsgeber-seitig die Anpassung der Melde- und Beitragsverfahren. In diesem Zusammenhang sind auch Entgeltabrechnungsprogramme anzupassen. Ferner bedarf es der Prüfung, ob ein Arbeitsplatz für die Ausübung einer teilweisen Tätigkeit während einer Arbeitsunfähigkeit in Frage kommt. Dieser kurzfristige Erfüllungsaufwand kann nicht beziffert werden. Der Bürokratieaufwand entsteht aber primär initial (Einführung, IT-Anpassung) und nicht dauerhaft in gleicher Intensität. Die vorgeschlagene Regelung schafft aber kein neues System, sondern erweitert ein Bestehendes. Die gesetzliche Krankenversicherung verfügt bereits über etablierte Verfahren zur Feststellung von Arbeitsunfähigkeit (eAU), zur Krankengeldberechnung und zur ärztlichen Prognose. Die Teilarbeitsunfähigkeit fügt diesen Verfahren lediglich eine zusätzliche Abstufung (25/50/75 %) hinzu. Die Ausstellung einer Teilarbeitsunfähigkeitsbescheinigung bei den Ärztinnen und Ärzten dürfte mehr Erläuterungsbedarf und somit Beratungszeit in Anspruch nehmen als die Ausstellung einer regulären normalen Arbeitsunfähigkeitsbescheinigung (vgl. Mehraufwand bei stundenweiser Wiedereingliederung). Es wird von einer Fallzahl von geschätzt 1 Million und einem zeitlichen Mehransatz von 5 Minuten pro Fall zum maßgebenden Lohnkostensatz ausgegangen.
Dann warten wir mal ob, ob es tatsächlich nur zu einem initialen Bürokratieaufwand kommen wird.
Die beispielhaften Erkrankungen, die sich der Gesetzgeber dabei vorstellt, führt er auf Seite 114 des Entwurfs aus, wie psychische Erkrankungen, etwa depressive Episoden, Angststörungen oder Anpassungsstörungen, bei denen eine schrittweise Belastungssteigerung therapeutisch sinnvoll sein kann, Erkrankungen des Muskel-Skelett-Systems, insbesondere Wirbelsäulenerkrankungen, bei denen eine reduzierte Arbeitsbelastung zur Stabilisierung der Genesung beitragen kann, sowie onkologische Erkrankungen, insbesondere während oder nach belastenden Therapiephasen, in denen eine begrenzte Arbeitsfähigkeit bestehen kann. Die Begrenzung auf nicht nur geringfügige Erkrankungen entspricht auch den Auswertungen der IGES Studie aus dem Jahr 2018 zur Inanspruchnahme der Möglichkeit von Teilarbeitsfähigkeit und Teilkrankengeld in den skandinavischen Ländern.
Im Umkehrschluss zu § 44c Absatz 1 Satz 1 und 2 sollen geringfügige Erkrankungen weiterhin ausschließlich über die bestehenden Regelungen zur Arbeitsunfähigkeit abgewickelt werden.
Aus Datenschutzsicht werden sicherlich Fragen hinsichtlich Zugriffsrechten auf entsprechende Daten etc. aufgeworfen werden.

4.1 Stanford: Vorlesung Sommersemester 2024 zu LLM

Viele der hier Lesenden werden es nicht nötig haben, aber es kommen ja immer wieder neue hinzu und denen sei diese Aufzeichnung einer Vorlesung auf YouTube empfohlen, in der Grundlagen der Large Language Models erläutert werden. Im kompakten Überblick (Dauer 1:45 Std.) wird die Entwicklung eines ChatGPT-ähnlichen Modells also sowohl das Vortraining (Sprachmodellierung) als auch das Nachtraining (SFT/RLHF) behandelt. Für jede Komponente werden gängige Vorgehensweisen bei der Datenerfassung, Algorithmen und Evaluierungsmethoden erläutert.

4.2 Wettbewerbszentrale: Leitfaden zur KI-Kennzeichnung

Die deutsche Wettbewerbszentrale veröffentlichte einen Leitfaden zur KI-Kennzeichnung. Damit soll eine Unterstützung gegeben werden, wenn Unternehmen mit KI erzeugte Bilder oder Texte in Werbeanzeigen verwenden. Bislang ist auch noch von dem vollständigen Inkrafttreten der KI-VO zum 02. August 2026 auszugehen, solange keine Änderung im Rahmen des KI-Omnibus erfolgt. Anhand von Beispielen erläutert der Leitfaden die neue Kennzeichnungspflicht für Deepfakes, aber auch benachbarte Themen wie irreführendes „AI-Washing“ und Chatbot-Kennzeichnung.

4.3 Anspruch auf Wissen oder Urheberrechtsverletzungen als Geschäftsmodell

In diesem Blog-Beitrag geht es um Fragen der Bereitstellung von Wissen, das auch über die Ergebnisse der Erarbeitung anderer erfolgt. Wie z.B. die Nutzung für das Training eines Large Language Models. Am Beispiel der USA wird angesprochen, dass ein Großteil der Quellen bereits über öffentliche Mittel unterstützt und geschaffen wurde. In den gängigen LLM großer Anbieter wird dieses Wissen kommerzialisert, aber dabei auch entschieden, wer Zugang zu diesem Wissen hat. Der Beitrag schließt mit den Sätzen:

„Wie wir Wissen behandeln – wer darauf zugreifen kann, wer davon profitieren kann und der dafür bestraft wird, es zu teilen – ist zu einer Prüfung unserer demokratischen Verpflichtungen geworden. Wir sollten ehrlich sein, was diese Entscheidungen über uns sagen.“

4.4 Einführung in den AI Risk Navigator des MIT

Auf den MIT AI Risk Navigator hatten wir schon einmal hingewiesen. Hier ist der Link auf eine Einführung zur Nutzung desselben. Danach umfassen sieben Bereiche den gesamten Umfang des KI-Risikos, von Diskriminierung und Toxizität bis hin zu KI-Systemsicherheit und sozioökonomischen Störungen. Diese können jeweils ausgewählt werden, um die Subdomains zu erkunden.
Wer dazu Verbesserungsvorschläge hat, kann diese einreichen.

4.5 KI in der beruflichen Bildung

Wie wirkt sich Künstliche Intelligenz auf das Lernen, Lehren und Prüfen in der beruflichen Bildung aus? Ein Aspekt dabei ist die rechtskonforme Gestaltung und Umsetzung neuer Prüfungsformate.
Damit befasst sich dieser Beitrag mit dem Titel „Künstliche Intelligenz in der beruflichen Bildung – Wissenschaftliches Rechtsgutachten mit Praxisempfehlungen“, der als open access verfügbar ist.
Das Gutachten geht auf eine Ausschreibung des Bundesministerium für Bildung, Familie, Senioren, Frauen und Jugend vom Herbst 2025 zurück.
Das Gutachten will aufzeigen, dass solche Prüfungen rechtskonform gestaltbar sind, wenn man die technischen Möglichkeiten mit den rechtlichen Anforderungen im Rahmen neuer Prüfungsumgebungen verbindet. Dabei wird berücksichtigt, dass im Zentrum der beruflichen Bildung die „berufliche Handlungsfähigkeit“ und damit die in einer sich wandelnden Arbeitswelt notwendigen beruflichen Fertigkeiten, Kenntnisse und Fähigkeiten stehen. Die Allgegenwärtigkeit von KI in Alltag und Beruf wirkt sich so auch auf die Anforderungen der beruflichen Aus- und Fortbildung aus.

4.6 KI und OER für Hochschule und Bildung

In diesem Blog-Beitrag findet sich eine Auflistung über KI-Tools und OER (Open Educational Resources) und deren jeweiligen Policy bzw. Allgemeinen Geschäftsbedingungen. Die Übersicht gibt es auch als PDF.

4.7 Podcast zu IT-Sicherheit und Einsatz von KI (Anthropics Mythos)

In diesem Podcast (Dauer ca. 48 Min.) wird u.a. Anthropics neues Frontier-Modell Claude Mythos (Preview) thematisiert, ein Modell, das die Fähigkeit besitzt,Zero-Day-Sicherheitslücken in Betriebssystemen wie Windows, macOS und Linux eigenständig zu finden und zu verketten. Bei einem Sandbox-Test ist das Modell tatsächlich ausgebrochen und hat einem Mitarbeiter eine E-Mail geschickt. Ein Bericht zu der Thematik findet sich auch hier und dort.

4.8 Anthropic Claude Desktop und Spyware

Die Berichte in einem Blog über das Feststellen von Spyware nach Installation von Claude Desktop von Anthropic schlagen hohe Wellen (aktuelle Meldung hier). Berichte darüber finden sich hier und dort.

4.9 Urheberrecht und Nutzung fremder Texte in KI

Welche Art von Texten darf ich durch eine KI (LLM) verarbeiten lassen? Darf ich sie übersetzen oder zusammenfassen lassen oder als Grundlage eigener Texte dann nutzen? Und reicht es nicht schon für eine Nutzung sie in ein LLM hochzuladen? Damit befasst sich dieser Beitrag – und gibt auch Antworten.

4.10 Deepfake-Mafia: Globaler Onlinebetrug

Mit täuschend echten KI-Videos, gezielter Datenauswertung und bedrängenden Anrufen werden Menschen manipuliert und unter Druck gesetzt. Die investigative Dokumentation in der Mediathek der ARD zeigt in 44 Min., wie skrupellos das System arbeitet, warum Täter schwer zu fassen sind, und wie persönliche Daten zum Geschäftsmodell werden. Es geht um ein globales Netzwerk, das gezielt mit Ängsten, Gesundheit und Vertrauen spielt.

4.11 „Wie KI die Welt verändert“

Das war der Titel dieses Podcast-Folge (Dauer 1:07 Std.), wobei ich mich langsam immer schwerer damit tue solche Beiträge den jeweiligen Kapiteln hier zuzuordnen. Es geht um die Zeit seit Veröffentlichung von ChatGPT durch Open AI und die Veränderungen seitdem. Über die Hälfte der Deutschen nutzt Künstliche Intelligenz mindestens einmal pro Woche. KI ist Alltag geworden – und trotzdem scheint vielen unklar, wie tiefgreifend sie unser Arbeiten, unser Leben, unsere Demokratie wirklich verändern wird.

5.1 Podcast zu Cybersicherheitsrecht

In dieser Podcast-Folge (Dauer ca. 35 Min.) geht es um Cybersicherheitsrecht und die Geschichte dieses jungen Rechtsgebietes. Darüber hinaus wird dargestellt, dass jede IT-Einkaufsentscheidung eine politische Dimension hat. Ziel muss dabei sein Risiken erkennen und abschichten zu können. Auch werden Anpassungen in der diesbezüglichen juristischen Ausbildung angesprochen. So sollte auch jede Person, die zum Cybersecurity-Recht beraten will, den Stand der Technik bewerten können.

5.2 LLM zu Videoüberwachung in Österreich

Wer sich mit Videoüberwachungsanforderungen in Österreich befasst und Unterstützung aus datenschutzrechtlicher Sicht dazu sucht, kann sich mit diesem LLM befassen. Es wurde kostenlos bereitgestellt, allerdings wird auch keine Haftung übernommen.

5.3 Personenbezug und wissenschaftliche Forschung

Dieser Blog-Beitrag aus der Schweiz befasst sich mit der Leitlinie des EDSA zur Verarbeitung personenbezogener Daten zu Zwecken der wissenschaftlichen Forschung, deren Konsultation noch nicht abgeschlossen ist (wir berichteten). Der Beitrag fasst die wesentlichen Aussagen übersichtlich zusammen.

5.4 Vertragliche Grundlagen von ZenDIS für OpenDesk

Das Zentrum Digitale Souveränität (ZenDiS) bietet mit dem Angebot eines „Souveräner IT-Arbeitsplatzes“ OpenDesk eine Alternative zu proprietären Anbietern. Über eine Anfrage bei FragDenStaat wurden die erforderlichen vertraglichen Regelwerke zur Nutzung durch staatliche Einrichtungen hier veröffentlicht.
Und wer denkt, das ist ja alles nicht perfekt vertraglich geregelt, kann ja immer noch bei ZenDIS Verbesserungsvorschläge einbringen. Evtl. springt ja auch finanziell was dabei raus, wenn die gezahlten Beträge an proprietäre Lösungen für Software betrachtet werden, wie hier in einem Zeitungsbeitrag aufgelistet:
Spitzenreiter sei Oracle mit einem Gesamtvolumen von 4,69 Milliarden Euro. Allein ein einziger ZIB-Rahmenvertrag habe ein Volumen von 4,62 Milliarden Euro. Es folgten Netapp mit 1,13 Milliarden Euro, Cisco mit 799,8 Millionen Euro, Adobe mit 550,5 Millionen Euro, Hewlett Packard mit 374,9 Millionen Euro und Dell mit 335 Millionen Euro. Microsoft komme in der Auflistung der direkten Verträge mit den Ressorts auf 51,5 Millionen Euro. Und bevor Zweifel aufkommen, warum das alles so billig sei: Das sind nur die Zahlen des Bundes.

5.5 Erläuterungen zur EDSA Vorlage zur DSFA

Die EDSA-Hinweise und Muster für eine Datenschutz-Folgenabschätzung (wir berichteten) sind auch Thema dieses Blog-Beitrags. Er befasst sich mit Struktur und der Bedeutung der Veröffentlichung durch den EDSA für die Praxis.

5.6 Rechtsgrundlagen für Sicherheitsmaßnahmen und die Verarbeitung pbD

Es ist immer noch in der Diskussion, auf welcher datenschutzrechtlicher Rechtsgrundlage die Verarbeitung personenbezogener Daten zur Umsetzung der erforderlichen Schutzmaßnahmen nach Art. 32 DS-GVO erfolgen kann. Gängig wird auf Art. 6 Abs. 1 lit. f DS-GVO verwiesen, eine bestehende Mindermeinung hält Art. 6 Abs. 1 lit. c DS-GVO für anwendbar. Diese bekommt nun Rückenwind durch den Erwägungsgrund 121 der NIS2-Richtlinie.
Zwar sieht dieser in Satz eins vor, dass die Verarbeitung personenbezogener Daten in dem zur Gewährleistung der Sicherheit von Netz- und Informationssystemen erforderlichen und verhältnismäßigen Umfang als rechtmäßig angesehen werden könnte, weil diese Verarbeitung einer rechtlichen Verpflichtung entspricht, der der Verantwortliche gemäß Art. 6 Abs. 1 lit. c und Art. 6 Abs. 3 DS-GVO unterliegt, Er begrenzt dies aber auf wesentliche und wichtige Einrichtungen im Sinne der NIS2-Vorgaben. Aber die Verpflichtung zu angemessenen Schutzmaßnahmen nach Art. 32 DS-GVO besteht auch für Einrichtungen, die nicht den KRITIS-Vorgaben entsprechen.
Der LfDI Baden-Württemberg war in seinem Tätigkeitsbericht für das Jahr 2024 auf Seite 61 diesbezüglich noch kritisch: Art. 32 DS-GVO verpflichte die verantwortlichen Stellen nicht unmittelbar dazu personenbezogene Daten zu verarbeiten. Die in einer Vorschrift des objektiven Rechts vorgesehene „rechtliche Verpflichtung“ müsse sich zumindest nach einer Ansicht unmittelbar auf die Datenverarbeitung beziehen. Allein der Umstand, dass Verantwortliche, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten müssen, reiche hiernach nicht aus (mit Verweis auf eine Entscheidung des LSG Hessen vom 29.01.2020).
Der Erwägungsgrund 121 der Europäischen Richtlinie scheint dies vollkommen anders zu bewerten.

5.7.1 Stiftung Datenschutz – Datenschutz am Mittag: Der IT-Planungsrat -neu-

20.05.2026, 13:00 – 14:00 Uhr, online: Im Rahmen des Schwerpunktthemas Datennutzung des IT-Planungsrates hat das Kompetenzteam Datenschutz mehrere Open-Source-Arbeitshilfen für öffentliche Stellen entwickelt. Der Vortrag gibt einen Einblick in die konkrete Arbeitsweise des Kompetenzteams und stellt seine zentralen Produkte sowie deren Bedeutung für die praktische Umsetzung datenschutzkonformer Verwaltungsdigitalisierung vor. Weitere Informationen und Anmeldung hier.
(Wer hier fleißig mitliest, kennt einiges davon bereits.)

5.7.2 Webinar zu „Purview Realitätscheck und die DSGVO Katastrophe“

20.05.2026, 10:00 – 11:00 Uhr, online: In diesem kostenfreien Webinar werden die Möglichkeiten von Microsoft Purview als zentrale Plattform für Data Governance und Compliance betrachtet. Dabei geht es u.a. um praxisnahe Ansätze, wie Security- und Compliance-Ziele zusammengeführt werden können: bessere Datenauffindbarkeit, Risikobewertung nach Sensitivität, automatisierte Bereinigung/Löschung, Retention & Legal Hold sowie messbare KPIs für Coverage und Risiko-Reduktion. Weitere Informationen und Anmeldung hier.

5.7.3 Bildungsstätte Anne Frank – KI-Lunch: Effizienz-Falle KI -neu-

27.05.2026, 13:00 – 14:00 Uhr, online: Das Thema „Effizienz-Falle KI – Werden wir immer unfähiger?“ ist bei dieser Online-Veranstaltung der Bildungsstätte Anne Frank im Fokus. KI steht für das große Versprechen Arbeit effizienter zu machen. Doch welche Konsequenzen ergeben sich daraus? Leidet die eigene Arbeitsweise und Effizienz nicht letztendlich darunter, dass wichtige Skills und Kompetenzen nicht mehr gefordert und routiniert eingesetzt werden, weil sie an LLMs abgeben werden?
Wie stehen wir zu diesen Entwicklungen? Und was bedeutet dies für das Arbeitsfeld der politischen Bildung? Die Veranstaltung wirft einen Blick auf erste Forschungsergebnisse und thematisiert die Konsequenzen der KI-Nutzung für unsere Entwicklung als denkende, lernende und kreative Menschen. Weitere Informationen und Anmeldung dazu hier.

5.7.4 MfK Nürnberg: „KI in der richterlichen Entscheidungsfindung“ -neu-

30.05.2026, 19:00 – 20:30 Uhr, Nürnberg: Die Vortragsreihe „Daten-Dienstag – Privatheit im Netz“ ist dieses Jahr wieder mit einer Veranstaltung im Nürnberger Digital Festival vertreten. Das Thema „KI in der richterlichen Entscheidungsfindung: Effizienteres Recht oder Gefahr für den Rechtsstaat?“ behandelt den Einsatz von KI an Gerichten. Generative KI kann Gesetze auslegen, Gerichtsakten analysieren und sogar Entscheidungen ausformulieren. Während Kanzleien und Rechtsabteilungen diese Technologie zunehmend einsetzen, steht die Justiz vor der Herausforderung, ihre verfassungsmäßige Rolle zu wahren. Die Möglichkeiten sind beeindruckend. Doch je mehr inhaltlichen Einfluss KI-Systeme nehmen, desto größer werden die Risiken. Der Vortrag eines OLG-Richters zeigt, was generative KI leisten kann, wo die rechtlichen Grenzen verlaufen und warum die eigentliche Herausforderung in der Bewahrung richterlicher Unabhängigkeit und Entscheidungshoheit liegt. Weitere Informationen und Anmeldung hier.

5.7.5 BzKJ: Neue digitale Trends, neue Gefährdungen: Rechtliche Grundlagen des Kinder- und Jugendmedienschutzes

02.06.2026, 17:00 – 18:30 Uhr, online: Die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) bietet auch im Jahr 2026 wieder eine kostenfreie Online-Veranstaltungsreihe in Kooperation mit der Akademie der Kulturellen Bildung des Bundes und des Landes NRW an. Die Workshops richten sich an alle, die sich für den Kinder- und Jugendmedienschutz interessieren – sei es beruflich, ehrenamtlich oder privat. Die Online-Veranstaltungen bauen nicht aufeinander auf und können unabhängig voneinander besucht werden. Weitere Informationen und Anmeldung dazu hier.
Weitere Termine und Themen sind:

• 15.09.2026 (17:00 – 18:30 Uhr)
  Radikal online: Kinder und Jugendliche als Zielgruppe extremistischer Online-Aktivitäten
• 01.12.2026 (17:00 – 18:30 Uhr)
  Pornografie, Cybergrooming, Sexting: Abgrenzung, Rechtslage und Konsequenzen für die Kinder- und Jugendarbeit

5.7.6 AI Transparency Conference

05./06.06.2026, Nürnberg: Die AI Transparency Conference ist eine internationale Forschungskonferenz, die sich auf die Förderung transparenter und menschenkompatibler KI-Systeme konzentriert. Sie möchte Forscher zusammenbringen, die sich mit Interpretierbarkeit, KI-Sicherheit, Kontrolle und Governance befassen.
Die Konferenz ist als Präsenzveranstaltung konzipiert und richtet sich an Doktoranden, Postdoktoranden, Fakultätsmitglieder und Forschungsinstitute. Weitere Informationen und Anmeldung hier.

5.7.7 Zukunft Verband 360°: „KI rechtssicher einsetzen“

08.06.2026, 10:00 – 11:30 Uhr, online: Künstliche Intelligenz schafft Effizienz – doch sobald personenbezogene Daten ins Spiel kommen, wird es anspruchsvoll. Gerade für Verbände, die mit Mitgliederdaten, politischen Positionen und sensiblen Inhalten arbeiten, ist ein rechtssicherer und verantwortungsvoller Einsatz von KI unerlässlich. Angesprochen werden die Themen Haftung, Verantwortung, Risiken bei KI, Urheberrecht und geistiges Eigentum, Regulierung und AI Act bis hin zu Datenschutz, Wettbewerb und Compliance. Weitere Informationen und Anmeldung hier.

5.7.8 EDPS: „From Omnibus to Opportunity: Driving Data Protection and Innovation“

08.06.2026, 18:30 – 20:30 Uhr, Brüssel: Der Europäische Datenschutzbeauftragte, die BfDI und der LfD Bayern gestalten eine Debatte über die Omnibus-Vorschläge der Europäischen Kommission und deren Auswirkungen auf die DS-GVO sowie den allgemeinen digitalen Rechtsrahmen der EU. Weitere Informationen und Anmeldung hier.

5.7.9 FernUniversität Hagen – Vortragsreihe „Datenschutz aktuell“

10.06.2026, 18:00 – 19:30 Uhr, online: Im Sommersemester 2026 bietet die FernUniversität Hagen Online-Veranstaltungen zu aktuellen Fällen des Datenschutzrechts an. Anhand aktueller Rechtsfragen und persönlicher Erfahrungsberichte aus Anwaltschaft, Journalismus, Verwaltung und Wissenschaft werden unterschiedliche Perspektiven beleuchtet:

• 10.06.2026: „Einblicke in das kirchliche Datenschutzrecht – Art. 91 DSGVO im Fokus“
• 24.06.2026: „Sensible Daten, sensible Nähe: Datenschutzrechtliche Herausforderungen der KI-Sexrobotik“

Weitere Informationen und Anmeldung hier.

5.7.10 Universität des Saarlandes: Save-the-Date „Datenschutz im Diskurs => Digitale Resilienz“

22.09.2026: Das Leitthema des Informatik Festivals 2026 ist "Digitale Resilienz". Zu den Grundvoraussetzungen digitaler Resilienz gehört ein moderner Daten- und Systemschutz, der technikangemessen ist und die freie Entfaltung von Menschen unterstützt. Dieser Workshop will Informatiker und Juristen und sonstige Interessierte zusammenbringen, die an Fragestellungen des technikbasierten Datenschutzes arbeiten. Es sollen Themen adressiert werden, die anwendungsorientiertes Potential für interdisziplinären Diskurs und Zusammenarbeit bieten und die Möglichkeiten aufzeigen, wie Datenschutz durch Technik präzisiert und umgesetzt werden kann. Aktuell gibt es den Call for Papers.

5.7 Veranstaltungen

6.1 Google will alle Fotos scannen

Da werden sich alle freuen, die finden, dass weniger Datenschutz und Regulatorik gute Begleiter sind: Nach dieser Meldung kündigt Google an, für sein LLM Gemini mit dem nächsten Update alle Bilder auf dem eigenen Gerät zu scannen. Dabei geht es um die Möglichkeit von Personal Intelligence, einem neuen KI-Upgrade-Pfad von Google, mit dem sich Benutzer für die Verbindung von Google-Apps mit Zwillingen entscheiden können.
Dabei wird betont, dass sich die Nutzer für diesen Dienst entscheiden müssen (Opt-in).

6.2 Veränderungen bei Menschenrechten

Menschen haben Rechte: auf Gesundheit und Bildung, auf Arbeit und auf faire Gerichtsverfahren. Dass diese Rechte in vielen Ländern nicht viel wert sind, ist das eine. Doch Menschenrechte verändern sich auch oder werden neu ausgelegt. Die ökologischen Krisen tragen dazu ebenso bei wie Migration oder Digitalisierung. Und auch durch die Zunahme an autokratischen Regierungen verschieben sich Menschenrechtsnormen. Dazu gibt es ein 30-minütiges Gespräch mit einem Mitglied im Exzellenzcluster "Transforming human rights" an der Universität Erlangen-Nürnberg.

6.3 Wikimedia: Publikation „Grundrechte im Digitalen“

Nicht nur für die Bildungsarbeit ist es wichtig: „Grundrechte im Digitalen“. Wikimedia hat dazu ein frei zugängliches Buch veröffentlicht, in dem auch das Thema „Datenschutz“ ein Kapitel (ab Seite 53) hat. Ergänzend dazu gibt es nun ein dazu passendes Kartenset „Grundrechte im Digitalen“, das eine gezielte und altersgerechte Auseinandersetzung mit der Bedeutung von Grundrechten in Zeiten der Digitalisierung ermöglicht. Es ist für Lehr- und pädagogische Fachkräfte konzipiert, um diese Themen gemeinsam mit Schüler*innen zu diskutieren und wird für Jugendliche ab ca. 14 Jahren empfohlen. Es kann hier kostenlos heruntergeladen oder auch gedruckt bestellt werden.

6.4 Databroker Files – jetzt auch in einem Podcast

In dieser Podcast-Folge (Dauer ca. 1:15 Std.) steht einer der Mit-Autoren Rede und Antwort und berichtet über die Recherchen, die Ergebnisse und den aktuellen Stand zu der Weitergabe von Standortdaten über Werbepartner von Apps mittels der Werbe-ID in den Smartphones.
Wer sich schützen will, kann immerhin die Werbe-ID auf dem Smartphone zurücksetzen oder deaktivieren, Apps den Standortzugriff nur bei aktiver Nutzung erlauben und konsequent Tracking ablehnen. So findet man die Werbe-ID auf dem eigenen Smartphone. Ein Tool auf netzpolitik.org erlaubt es zudem die eigene Werbe-ID gegen den deutschen Datensatz abzugleichen.
Zu dem Thema wird auch in einer Dokumentation von ARD / Arte berichtet (Dauer ca. 45 Min.)

6.5 Signal, Smartphones und unsere Politiker

Es gab einige Meldungen rund um Digitale Kompetenz, sichere Smartphones und unsere Vertreter:innen in Berlin. Zunächst das Einfache: Das Verteidigungsministerium verschärft die Regeln für Smartphones und Smartwatches in sensiblen Bereichen, wie hier nachzulesen ist. Was zum 1x1 der Grundlagen einer datenschutzberatenden Person gehört, nämlich die Tücken des ByoD (Bring your own Device), hat nun scheinbar auch die Führungsebene des Verteidigungsministeriums erreicht.
Dass das Bewusstsein für Awareness-Maßnahmen zur IT-Sicherheit bei Politiker:innen in Berlin gesteigert wurde, hat auch mit dem Einsatz u.a. der aktuellen Bundestagspräsidentin zu tun, die sich als Opfer eines Hack fühlte. Vorherige Warnungen hatten sichtlich keinen Erfolg. Dabei war der „Hack“ nur eine perfide Phishingaktion, die letztendlich nur durch die Eingabe von Zugangsdaten zum Erfolg führte. Freundlicherweise beteiligte sich neben vielen anderen auch die Bildungsministerin an dieser Awareness-Maßnahme, die zeigte, dass digitale Kompetenz und Smartphone-Verbote sich nicht auf das Alter kleiner 16 Jahre begrenzen sollten.
Signal kündigte auf BlueSky an Maßnahmen zu treffen, durch die es erschwert würde Phishing-Angriffe unter Vorspiegelung eines offiziellen Signal-Accounts der Signal-Administration vorzunehmen. Die Bundestagspräsidentin empfiehlt gar den Wechsel zu einem anderen Messenger – ohne darauf Rücksicht zu nehmen, dass erfolgreiche Phishingangriffe meist eher von der Person vor dem Gerät abhängen.
Doch ist es leicht hier besserwisserisch aufzutreten. Die Komplexität einer sicheren, zentral administrierten Kommunikation bei unseren Volksvertretern wird hier anschaulich dargestellt. Verschiedene Rollen in verschiedenen Gruppierungen sind aktuell kaum zentral zu managen und durchgängig mit angemessenen Schutzmaßnahmen zu versehen.

6.6 Weizenbaum Report 2026 zur politischen Partizipation in Deutschland

Soziale Medien prägen die politische Information immer stärker und das bürgerschaftliche Engagement steigt spürbar. Gleichzeitig sehen sich immer mehr Menschen mit Falschnachrichten konfrontiert und die Mehrheit empfindet Gewalt gegen Politiker:innen als Bedrohung für die Demokratie. Das ist eine der Aussagen aus dem Report 2026 „Politische Partizipation in Deutschland“ des Weizenbaum-Instituts. Grundlage dazu ist eine bevölkerungsrepräsentative Telefonbefragung im Herbst 2025. Die Studie ermöglicht seit 2019 den Vergleich politischer Einstellungen und Aktivitäten im Zeitverlauf und liefert damit wichtige Erkenntnisse für Wissenschaft, Politik und Gesellschaft.

6.7 Interview mit Evgeny Morozov

Die Reihe „Sternstunden der Philosophie“ des Schweizer Rundfunks bringt immer wieder kleine und größere Highlights. Wie hier ein Interview auf YouTube (Dauer ca. 53 Min) mit einem Kritiker der Entwicklungen im IT-Umfeld.

7.1 Podcast: Wie lässt sich digitale Gewalt bekämpfen?

Von Porno-Deepfake bis Klassenchat: Digitale Gewalt hat viele Facetten. Wie geht man damit um? Damit befasst sich dieser Podcast (Dauer ca. 25 Min.).

7.2 „Palantir-Manifest“

Gab es schon mal eine vergleichbare Reaktion auf eine Veröffentlichung irgendeiner Software-Klitsche? Die Reaktionen auf das sogenannte Palantir-Manifest (natürlich auf „X“) zeigen auch, welche Bedeutung und Einfluss den Produkten dieses Herstellers zugeschrieben wird und wie der dadurch entstehende Einfluss auf eine demokratische Gesellschaft bewertet wird. Bericht dazu hier. Ob man es nun als „Techno-Faschismus“ bezeichnet, bleibt jedem selbst überlassen, eine Nähe zu relevanten Vertretern der US-Administration ist jedenfalls alles andere als beruhigend.

7.3 BND: Joint Cybersecurity Advisory zu Angriffsmethoden aus China

Der Bundesnachrichtendienst (BND) informiert, dass staatlich geförderte chinesische Cyberakteure dazu übergegangen sind, anstelle von individuell angelegter Infrastruktur große externe Netzwerke aus kompromittierten Geräten zu nutzen. Dies seien vor allem kompromittierte SOHO-Router (Small Office, Home Office), IoT-Geräte und Smart Devices.
Darüber informieren das National Cyber Security Center (NCSC) gemeinsam mit dem BND, dem Bundesamt für Verfassungsschutz (BfV), dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und weiteren internationalen Partnern in einem gemeinsamen Cybersicherheitshinweis (Joint Cybersecurity Advisory).

7.4 Einsatz von KI: Unlearn – oder besser nicht?

Oder einfacher ausgedrückt. Macht uns KI denkfaul?
Eine britisch-amerikanische Studie liefert auf diese Frage eine klare Antwort: Schon wenige Minuten mit einem KI-Chatbot verringere die Denkleistung deutlich. Bericht dazu auch hier. Die Forschenden ließen zwei Gruppen Mathematikaufgaben lösen – eine mit KI-Unterstützung, eine ohne. Nach zwölf Aufgaben verschwand der Chatbot bei der KI-Gruppe ohne Vorwarnung, die letzten drei mussten sie alleine bewältigen. Die Gruppe, die zuvor Unterstützung gehabt hatte, fiel dabei unter den Schnitt derer, die nie welche hatten.
Nicht nur die Leistung, sondern auch die Geduld der Probanden ließ nach. Wer sich daran gewöhnt habe, dass Antworten in Sekunden erscheinen, gebe bei Widerstand schneller auf. Ähnliche Ergebnisse zeigten sich in einem zweiten Test, bei dem die Gruppen auf ihr Leseverständnis geprüft wurden.
Warum das so ist, erklären die Forschenden mit zwei Mechanismen. Erstens verschiebe sich der Referenzpunkt: Wer routinemäßig erlebt, dass Aufgaben in Sekunden erledigt sind, nimmt die Arbeit ohne den Assistenten als unverhältnismäßig anstrengend wahr – nicht weil sie es ist, sondern weil der Maßstab verrutscht ist. Und je öfter man delegiert, desto weiter verschiebt er sich.
Zweitens verlieren Menschen, die regelmäßig auf KI vertrauen, nicht nur fachliche Kompetenz, sondern auch das Gespür dafür, was sie eigentlich noch können – und wer seine eigenen Fähigkeiten nicht mehr realistisch einschätzen kann, gibt noch schneller auf.
Passend dazu sei auf dieses Interview verwiesen, in dem es u.a. um Bildung und Einsatz von KI geht. Demnach setzen wir KI nicht ein, um Bildungsbemühungen zu unterstützen, sondern um sie zu umgehen. Bildung sei immer mit Anstrengung, Konzentration, Wissen und einer gewissen Isolation verbunden gewesen. Der Lesende sei immer ein einsamer Mensch gewesen. „Wenn wir uns das ersparen wollen, sollten wir nicht mehr von Bildung sprechen.“
Vielleicht sollten wir aber auch mehr über das Denken nachdenken, wie in diesem Interview überlegt wird.

7.5 Hannover und Microsoft-365-Lizenzen für Schulen

Da ist wohl einiges schiefgelaufen bei der vertraglichen Gestaltung zum Einsatz von Microsoft-365-Lizenzen für Bildungseinrichtungen der Stadt Hannover. Zumindest wurde die Einführung zunächst gestoppt. Es fehle noch eine Ergänzende Vereinbarung für den rechtssicheren Einsatz an Schulen. Da waren die Ankündigungen und die Ablehnung von OpenSource-Alternativen noch hoffnungsvoller. Für die ca. 60.000 Lizenzen für 324.000 Euro müssen zudem noch eine Datenschutz-Folgenabschätzung durchgeführt werden und die richtige Zusatzvereinbarung abgeschlossen werden, wie hier nachzulesen ist. Na dann.

7.6 Stiftung Mercator: Digitale Daseinsvorsorge

Die Vorlaufstudie „DIDA“ (Digitale Daseinsvorsorge) der Stiftung Mercator untersucht, wie digitale Angebote in zentralen Bereichen wie Bildung, Mobilität oder gesellschaftlicher Teilhabe künftig besser zusammenwirken können. Sie will aufzeigen, dass viele dieser Angebote derzeit isoliert voneinander entwickelt werden und es an gemeinsamen Standards, Schnittstellen und übergreifenden Strukturen fehle. Das erschwere nicht nur die Nutzung, sondern verhindere auch Synergien zwischen verschiedenen Akteur*innen. Die Studie kommt zu dem Ergebnis, dass es für eine leistungsfähige digitale Daseinsvorsorge weniger einzelne Plattformen brauche, sondern vielmehr eine gemeinsame digitale Infrastruktur. Diese soll Angebote besser auffindbar machen, miteinander vernetzen und die Zusammenarbeit zwischen staatlichen Institutionen, Zivilgesellschaft und Wirtschaft erleichtern.

8.1 Security Baseline

Eigentlich muss ich hier nicht mehr schreiben, als die Überschrift des einführenden Beitrags:

European governments: 3.000 tracking sites, 1.000 phpMyAdmins, and 99% poorly encrypted email.
Introducing SecurityBaseline.eu

In sehr vielen grafisch aufbereiteten Darstellungen (unterlegt durch Tabellen und Listen) stellt die Seite dar, wie Webseiten von nationalen und europäischen öffentlichen Stellen so bezogen auf Sicherheit und Compliance der Webdienste abschneiden. Sie sehen es ja oben selbst, eher nicht so gut.
Hier gehts zum einführenden Beitrag, dort sind alle Daten unter einer Adresse gesammelt abrufbar.
Spannend und ernüchternd.

In der nächsten Ausgabe gibt es wieder eine umfangreichere Zugabe, diese Ausgabe muss nun einfach erst mal veröffentlicht werden, deswegen nur die eine Meldung.

9.1 New Mexico ohne Meta – oder doch rechtskonform?

Wie hier berichtet wird, überlegt Meta seine Angebote mit Zugängen zu Instagram, Facebook und WhatsApp in New Mexico technisch zu blockieren. Die Vorgaben, die auch aus einem aktuellen Verfahren in New Mexico ergeben könnten, seien nicht einzuhalten (wahrscheinlich meint Meta das wirtschaftlich gesehen). Zunächst wurde Meta zu einer Strafe in Höhe von 375 Mio. US-$ verurteilt, weil es unzureichende Maßnahmen zum Schutz der Kinder eingerichtet hatte (wir berichteten).
Und dann lesen wir diese Meldung der EU-Kommission zu Meta und dem DSA und überlegen, ob auch hier...