Ausgabe 109 (KW 15&16/2025)“

1.1 EDSA: Leitlinien 07/2025 zur Nutzung einer Blockchain

Der EDSA hat Leitlinien 02/2025 für die Verarbeitung personenbezogener Daten durch Blockchain-Technologien verabschiedet, um Organisationen, die eine Blockchain nutzen, bei der Einhaltung der datenschutzrechtlichen Anforderungen zu unterstützen. Darin stellt erklärt der EDSA, wie Blockchains funktionieren, indem verschiedene mögliche Architekturen und Implikationen für die Verarbeitung von personenbezogenen Daten bewertet werden. Er betont, wie wichtig es ist technische und organisatorische Maßnahmen in den frühesten Phasen der Gestaltung der Verarbeitung zu berücksichtigen und wie wichtig es ist den größtmöglichen Schutz personenbezogener Daten während der Verarbeitung zu gewährleisten. Der EDSA stellt auch klar, dass die Rollen und Zuständigkeiten der verschiedenen Akteure bei einer Blockchain-bezogenen Verarbeitung personenbezogener Daten bei der Gestaltung der Verarbeitung bewertet werden sollten. Darüber hinaus sollten Organisationen vor der Verarbeitung personenbezogener Daten über Blockchain-Technologien eine Datenschutz-Folgenabschätzung (DSFA) durchführen, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führt. Der Leitfaden enthält Beispiele für verschiedene Techniken zur Datenminimierung sowie zum Umgang und zur Speicherung personenbezogener Daten. Grundsätzlich sollte nach Ansicht des EDSA die Speicherung personenbezogener Daten in einer Blockchain vermieden werden, wenn dies im Widerspruch zu datenschutzrechtlichen Grundsätzen steht.
Im Rahmen des Konsultationsverfahrens können bis 9. Juni 2025 Hinweise eingebracht werden.

1.2 EDSA: Studie zur Sekundärnutzung von Daten zu wissenschaftlichen Zwecken

Wie können personenbezogene Daten auch für wissenschaftliche Zwecke genutzt werden? Dies war der Untersuchungsauftrag, dessen Ergebnis nun vorliegt. Die Studie wirft vor allem Fragen auf, arbeitet die Herausforderungen für die europäische Forschungslandschaft jedoch klar heraus: das 𝘍𝘦𝘩𝘭𝘦𝘯 𝘦𝘪𝘯𝘦𝘴 𝘢𝘭𝘭𝘨𝘦𝘮𝘦𝘪𝘯 𝘢𝘯𝘦𝘳𝘬𝘢𝘯𝘯𝘵𝘦𝘯 𝘍𝘰𝘳𝘴𝘤𝘩𝘶𝘯𝘨𝘴𝘬𝘰𝘯𝘻𝘦𝘱𝘵𝘴, die komplexe 𝘝𝘦𝘳𝘴𝘤𝘩𝘳𝘢̈𝘯𝘬𝘶𝘯𝘨 𝘦𝘵𝘩𝘪𝘴𝘤𝘩𝘦𝘳 𝘶𝘯𝘥 𝘳𝘦𝘤𝘩𝘵𝘭𝘪𝘤𝘩𝘦𝘳 𝘕𝘰𝘳𝘮𝘦𝘯 sowie die anhaltende 𝘙𝘦𝘤𝘩𝘵𝘴𝘶𝘯𝘴𝘪𝘤𝘩𝘦𝘳𝘩𝘦𝘪𝘵, insbesondere im Hinblick auf Rechtsgrundlagen, Ausnahmetatbestände und Transparenzpflichten.
Die Studie rät den beteiligten Stakeholdern dazu, stärker in den Dialog zu treten, und macht selbst einige Vorschläge, um die Ausgangslage zu verbessern. So wird eine Definition wissenschaftlicher Forschung angeboten, die allerdings über relevante Vorarbeiten wie z. B. im Working Paper 259 rev.01 kaum hinauskommt. Danach soll wissenschaftliche Forschung jede Forschung sein, die „einem wissenschaftlichen Zweck dient, von öffentlichen oder privaten Stellen finanziert wird, und in Übereinstimmung mit anerkannten ethischen sowie den jeweils anzuwendenden methodologischen Standards durchgeführt wird“.

1.3 EDSA: Bericht „AI Privacy Risks & Mitigations – Large Language Models (LLMs)“

Der EDSA hat dieses Projekt im Rahmen des Programms „Support Pool of Experts“ auf Ersuchen der kroatischen Datenschutzbehörde gestartet. Der Bericht „AI Privacy Risks & Mitigations – Large Language Models (LLMs)“ stellt eine umfassende Risikomanagement-Methodik für LLM-Systeme mit einer Reihe praktischer Maßnahmen zur Abschwächung gängiger Datenschutzrisiken in LLM-Systemen vor. Darüber hinaus enthält der Bericht Anwendungsbeispiele für die Anwendung des Risikomanagement-Rahmens in realen Szenarien:

• als ersten Anwendungsfall einen virtueller Assistent (Chatbot) für Kundenanfragen,
• als zweiten Anwendungsfall ein LLM-System zur Überwachung und Unterstützung des Studienfortschritts
• und als dritten Anwendungsfall einen KI-Assistent für das Reise- und Terminmanagement.

Große Sprachmodelle (Large Language Models, LLMs) stellen einen transformativen Fortschritt in der künstlichen Intelligenz dar. Es handelt sich dabei um Deep-Learning-Modelle, die für die Verarbeitung und Generierung von menschenähnlicher Sprache entwickelt und auf umfangreichen Datensätzen trainiert wurden. Ihre Anwendungen sind vielfältig und reichen von der Texterstellung und -zusammenfassung bis hin zur Unterstützung bei der Kodierung, Stimmungsanalyse und mehr.

1.4 EDPS: Hinweis auf das TechSonar 2025

Im Rahmen der aktuellen Diskussion um Chancen und Risiken neuer Technologien verweist der EDPS auf sein TechSonar 2025, in dem er sich mit verschiedenen Aspekten befasst.

1.5 CNIL: Europäische und internationale Strategie für den Zeitraum 2025-2028

Die europäische und internationale Datenschutzstrategie der französischen Datenschutzbehörde CNIL hat nach ihrer Darstellung drei Prioritäten: die Straffung der europäischen Zusammenarbeit, die Förderung hoher internationaler Datenschutzstandards und die Konsolidierung ihres Einflussnetzwerks.

1.6 CNIL: Angebote zur Medienerziehung

Um Teenager in der digitalen Welt zu unterstützen, bietet die CNIL auf ihrer Webseite neue Bildungs- und Unterhaltungsressourcen für 11- bis 15-Jährige, ihre Eltern, Lehrer und Erzieher.

1.7 CNIL: Ergebnisse der „KI-Sandbox“

Die CNIL veröffentlicht Empfehlungen an diejenigen Organisationen, die im Rahmen der "Sandbox" 2023-2024 unterstützt werden, welche KI-Projekten gewidmet ist, die im öffentlichen Dienst eingesetzt werden. Ziel ist dabei das gesamte Ökosystem durch die Unterstützung von Innovationen zu nutzen. Eine Zusammenfassung dieser Arbeit soll dazu dienen, dass auch andere diese Erkenntnisse nutzen können.

1.8 LfDI Sachsen-Anhalt: Informationspaket „Wohnungswirtschaft“

Anlässlich einer Information zu Rauchwarnmeldern mit Klimamonitoring hat die LfDI Sachsen-Anhalt zentral bisherige Informationen rund um Mieten und Vermieten aus Datenschutzperspektive zusammengestellt. Sie finden sie hier.

1.9 LfDI Baden-Württemberg: „Self-Check“- Fragebogen zur Löschverpflichtung

Im Rahmen der europaweiten Aktion der Datenschutzaufsichten zur Löschverpflichtung bietet der LfDI Baden-Württemberg einen Fragebogen zum „Self-Check“ an, mit dem Verantwortliche selbst prüfen können, wie weit sie bisher ihrer Verantwortung gerecht werden.

1.10 Hamburg: KI-Training durch Meta

Was wäre eine KI (LLM) ohne Daten? Und so kündigt nun Meta an, dass das Unternehmen ab Ende Mai auch die Daten aus den Accounts der volljährigen Nutzenden von Facebook und Instagram für das Training ihrer KI verwenden wird. Was heißt das für diejenigen, die dort Accounts haben?
Wer damit kein Problem hat, muss nichts tun. kann widersprechen und zwar in den jeweiligen Apps oder für Facebook unter https://www.facebook.com/help/contact/712876720715583 und für Instagram unter https://help.instagram.com/contact/767264225370182. 
Welche Fragen und Antworten es dazu noch geben könnte, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hier veröffentlicht.
Das macht aber alles nur deutlich, dass künftig Personen, über die Informationen auf den Accounts bei Facebook oder Instagram (und seien es auch „nur“ Bilder) eingestellt werden, vorher auch diesbezüglich gefragt werden sollten – denn künftig werden deren Daten dann auch zum Training der KI von Meta verwendet. Auch könnten Personen, deren Daten bereits hochgeladen wurden, verlangen, die Informationen dort zu löschen.
Ist das datenschutzrechtlich zulässig? Die europäischen Datenschutzaufsichten haben in einer Stellungnahme im Dezember 2024 ihre Antwort zu Anfragen der (für Meta zuständigen) irischen Datenschutzaufsicht veröffentlicht, in der sie feststellen, dass nach ihrer Ansicht die Wahrung berechtigter Interessen (nach Art. 6 Abs. 1 lit. f DS-GVO) eine zulässige Rechtsgrundlage für ein Training eines großen Sprachmodells sein kann.
Wichtig bei der Grundlage nach Art. 6 Abs. 1 lit. f DD-GVO ist, dass die betroffenen Personen darüber informiert werden und diesen ein Widerspruchsrecht (vgl. Art. 21 DS-GVO) eingeräumt wird.

1.11.1 Tätigkeitsbericht des ULD Schleswig-Holstein für 2024 – Schutzmaßnahmen bei E-Mails

Wie sind Gesundheitsdaten im E-Mail-Verkehr abzusichern? Dazu äußert sich das ULD am Beispiel von Gesundheitsdaten in Ziffer 4.1.11. Im konkreten Fall gab es glücklicherweise bestehende alternative Kommunikationswege, nämlich einen Ende-zu-Ende-verschlüsselten Datei-Upload oder aber den altmodischen Postversand. Das Problem bestand also lediglich in der missglückten Darstellung nach außen, was die verantwortliche Stelle auch ohne Weiteres einsah.

1.11.2 Tätigkeitsbericht des ULD Schleswig-Holstein für 2024 – Meldepflicht bei Mitarbeiterexzess

Wer ist bei einem Mitarbeiterexzess die verantwortliche Stelle? Das ULD geht in Ziffer 4.1.13 davon aus, dass Handlungen der Beschäftigten dem Arbeitgeber grundsätzlich zuzurechnen sind, mit der Folge, dass der Arbeitgeber als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO zu erachten ist. Maßnahmen der Aufsichtsbehörde, etwa die Einleitung eines Anhörungsverfahrens, sind daher regelmäßig gegen den Arbeitgeber als Verantwortlichen der Datenverarbeitung gerichtet. Hat die Handlung der Beschäftigten beispielsweise eine Verletzung des Schutzes personenbezogener Daten zur Folge, begründet diese Handlung für den Arbeitgeber eine Meldepflicht gegenüber der Aufsichtsbehörde nach Art. 33 DS-GVO und gegebenenfalls auch Benachrichtigungspflichten gegenüber den betroffenen Personen nach Art. 34 DS-GVO. Etwas anderes gelte dann, wenn ein Mitarbeiterexzess des Beschäftigten vorliegt. In diesem Fall werde der Beschäftigte selbst Verantwortlicher gemäß des Art. 4 Nr. 7 DS-GVO.
Aus Sicht des ULD sollte die Frage, ob die Handlung des Beschäftigten einen Mitarbeiterexzess darstellen könnte, insbesondere danach beurteilt werden, ob der Beschäftigte die dienstlich erlangten Daten, gegebenenfalls von seinem Arbeitsplatz aus und unter Einsatz der zur Verfügung stehenden Arbeitsmittel, nicht in Ausübung seiner dienstlichen Tätigkeit, sondern ausschließlich für eigene private Zwecke oder Zwecke eines Dritten verwendet. Bei dieser Betrachtungsweise komme es für die Beurteilung, wie die Handlung des Beschäftigten zu werten ist, nicht primär darauf an, ob der Beschäftigte subjektiv eigene Interessen verfolgt; maßgebend ist vielmehr, ob die fragliche Handlung objektiv der Zweckbestimmung der ihm zugewiesenen Aufgaben entspricht.
Vor diesem Hintergrund bestehen aus Sicht des ULD Anhaltspunkte für einen Mitarbeiterexzess, wenn sich der Beschäftigte über die dienst- und arbeitsrechtlichen Anweisungen des Arbeitgebers hinwegsetzt und eigenmächtig dienstlich erlangte Daten ausschließlich für eigene private Zwecke oder für Zwecke eines Dritten und damit betriebsfremd verarbeitet. In diesem Fall sei nicht der Arbeitgeber Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO, sondern der betreffende Beschäftigte.

1.11.3 Tätigkeitsbericht des ULD Schleswig-Holstein für 2024 – WhatsApp und private Smartphones bei Pflegediensten

Das ULD informiert in Ziffer 4.5.1, dass Pflegedienste für den Austausch von Daten zwischen ihren Beschäftigten und Pflegebedürftigen sichere Übermittlungswege nutzen müssen. WhatsApp und vergleichbare Messengerdienste sind nicht die Lösung. Auch die Nutzung von privaten Smartphones stelle eine Gefahr für das Patientengeheimnis dar (Meine Anmerkung dazu: Das gilt übrigens auch für andere Branchen). Das ULD verweist dabei auch auf die Veröffentlichung der DSK zu Messengern in Krankenhausumfeld.

1.11.4 Tätigkeitsbericht des ULD Schleswig-Holstein für 2024 – Recht auf Berichtigung in Patientenakten?

Das Recht der Patientinnen und Patienten auf Berichtigung ihrer ärztlich dokumentierten Daten beschränkt sich regelhaft auf nachweislich unrichtige Daten. Bei den Aufzeichnungen der Ärztinnen und Ärzte über deren persönliche Wahrnehmungen und Einschätzungen haben Patientinnen und Patienten nach den Ausführungen des ULD in Ziffer 4.5.3 unter Umständen ein Recht auf Einschränkung der Verarbeitung und die Möglichkeit zur Gegendarstellung.

1.11.5 Tätigkeitsbericht des ULD Schleswig-Holstein für 2024 – Übermittlung von Lohnabrechnungen per E-Mail

Eine ehemalige Beschäftigte zeigte im Rahmen einer Beschwerde mehrere mögliche datenschutzrechtliche Verstöße ihres früheren Arbeitgebers an. Unter anderem habe sie ihre Lohnabrechnungen unverschlüsselt per E-Mail zugesandt bekommen. Allein die Bitte an den Arbeitgeber, die Lohnabrechnung per E-Mail zugesandt zu bekommen, kann nach der Darstellung des ULD in Ziffer 5.11 noch keinen ausdrücklichen Verzicht auf die vorzuhaltenden technischen Maßnahmen darstellen. Das ULD verweist dabei auch auf den Beschluss der DSK zum Verzicht auf technische und organisatorische Maßnahmen.
Da das Unternehmen im konkreten Fall grundsätzlich ein verschlüsseltes Lohnportal bereitstellt, wurde bezüglich der unverschlüsselten Übermittlung der Lohnabrechnungen per E-Mail eine Warnung gemäß Art. 58 Abs. 2 lit. a DS-GVO ausgesprochen.

1.11.6 Tätigkeitsbericht des ULD Schleswig-Holstein für 2024 – Diskussion zum Personenbezug in KI-Modellen

Verbleiben nach dem Training mit personenbezogenen Daten in großen Sprachmodellen (LLM) dort personenbezogene Daten, so dass die DS-GVO Anwendung findet? Damit befasst sich das ULD in Ziffer 6.2.5. Das ULD vertritt die Position, dass ein Personenbezug in LLMs jedenfalls nicht pauschal ausgeschlossen werden könne. Bei Modellen, die mit personenbezogenen Daten trainiert wurden, ist nach aktuellem Stand der Wissenschaft davon auszugehen, dass Informationen darüber im trainierten Modell verbleiben. Diese Einschätzung stützt sich insbesondere auf die komplexe Beschaffenheit der Informationsrepräsentation in diesen Systemen sowie auf die nachgewiesenen Möglichkeiten zur Extraktion (d. h. dem Auslesen oder Abrufen) von Trainingsdaten. Auch zusätzliche Schutzmaßnahmen, etwa durch Alignment-Techniken (Ausrichtung eines KI-Modells an vorgegebene Regeln und Direktiven), könnten nach bisherigen Erkenntnissen nicht zuverlässig verhindern, dass personenbezogene Daten nach dem Training verarbeitet oder ausgegeben werden.

1.11 Tätigkeitsbericht des ULD Schleswig-Holstein für 2024

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat seinen Tätigkeitsbericht für das Jahr 2024 veröffentlicht. Hier einige subjektiv ausgewählte Auszüge:

1.12.1 Tätigkeitsbericht der BfDI für 2024 – Verarbeitung einer Identifikationsnummer

Im Kapitel der Kindergrundsicherung befasst sie sich ab Seite 58 u.a. auch mit der Identifikationsnummer. Eine Durchführung des Kindergrundsicherungs-Checks könne nur mit ausdrücklicher Einwilligung erfolgen, es solle keine (automatisierte) Datenerhebung im Rahmen des Antragsverfahrens bei Arbeitgebern erfolgen, erhöhte Schutzanforderungen bei Anwendung des „Once-Only-Prinzips“ seien zu gewährleisten und sie empfiehlt eine Verarbeitung der Identifikationsnummer nach dem Identifikationsnummerngesetz (IDNrG) statt einer Verarbeitung der Steuer-Identifikationsnummer.

1.12.2 Tätigkeitsbericht der BfDI für 2024 – Einfluss auf das KI-Training in den Angeboten von Meta

Die BfDI informiert auf Seite 95, wie ihre Behörde Einfluss nahm, dass in den Angeboten von Meta die Daten der Nutzenden nicht für ein KI-Training verwendet würden.

1.12 Tätigkeitsbericht der BfDI für 2024

Auch die BfDI präsentierte ihren Tätigkeitsbericht für das Jahr 2024, das Jahr, in dem sie im September das Amt übernahm. Dabei stellte sie auch ihre Auslegung der aktuellen Rechtslage klar: Eine KI, die rechtswidrig mit Daten trainiert wurde, könne unter bestimmten Voraussetzungen rechtskonform genutzt werden. Der Anwender sei nicht automatisch verantwortlich für die Trainingsphase. Mit 8.670 Beschwerden bei der BfDI gab es über alle Themenbereiche hinweg einen Zuwachs im Vergleich zum Jahr 2023 (7.782 Beschwerden). Kontrollen sowie Beratungs- und Informationsbesuche bei beaufsichtigten Stellen konnten auf einem gleichbleibend hohen Niveau realisiert, das Beratungsangebot ausgebaut werden. Hier einige Auszüge:

1.13 LfD Bayern: Kurzinformation 61 – Versand von Brief und Paket

Der LfD Bayern widmet sich in seiner Kurz-Information 61 einer alltäglichen Thematik, dem Datenschutz beim Versand von Brief und Paket. Die Kernaussagen, dass technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten auch beim Postversand zutreffen und unkomplizierte Prüfroutinen einzusetzen sind, um Missgriffe zu vermeiden, treffen sicher nicht nur auf öffentlich-rechtliche Stellen zu. Details hängen jeweils vom Schutzbedarf der Daten ab, die sich in einer Sendung befinden. Zu achten sei insbesondere auf eine geeignete Versandvorbereitung, die Auswahl eines geeigneten Dienstleisters sowie des passenden Postprodukts. Auch dazu gibt es in den Kurz-Informationen weitergehende Hinweise.

1.14 Kirchlicher Datenschutz: Heikle Fragen zur Anonymität

Anlässlich der aktuellen Diskussion und Entscheidung zum Umgang mit Akten zur Aufarbeitung von Missbrauchsfällen in der katholischen Kirche wird hier berichtet, dass man sich darauf einigte, § 54 KDG zur Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken dahingehend auszulegen, dass das Missbrauchsgutachten unter den Wissenschaftsbegriff fällt. Streit gab es nach dem Bericht vor allem darum, ob eine Anonymisierung einen unverhältnismäßigen Aufwand darstellt. Am Ende konnten die Akten ungeschwärzt – mit der Argumentation, die auch in einer (auszugsweise zitierten und ansonsten unveröffentlichten) FAQ zur Ordnung zur Sachakteneinsicht vertreten wird, dass bei großen Datenbeständen ein unverhältnismäßiger Aufwand angenommen werden kann – eingesehen werden. Berücksichtigt wurden dabei die Erfahrungen aus Münster, die hier nochmal kurz dargestellt werden:
Stellt ein Akteneinsichtsrecht für eine Missbrauchsstudie im kirchlichen Umfeld einen Datenschutzverstoß dar? Damit befasste sich das Bistum Münster nach diesem Bericht vom Juni 2023. Es ging dabei um Personalakten, Sachakten, historische Bestände und aktuelle Unterlagen aus dem Verfahren zur Anerkennung des Leids, mit dem in der katholischen Kirche Zahlungen von Betroffenen organisiert sind. Diese Akten enthalten notwendig besonders sensible Daten, auch dann, wenn einzelne Bestände nicht unter die besonderen Kategorien personenbezogener Daten fallen. Das Heikle daran – wie weit kann die Anonymisierung dabei gehen und welche Rechtsgrundlage ist dafür erforderlich. Natürlich wurden dabei personenbezogene Daten wie Name, Anschriften, Kontodaten und weitere direkten Hinweise geschwärzt. Nun kam aber durch eine betroffene Person die Frage auf, ob die einzelnen Handlungen an den Opfern auch personenbezogene Daten sind, die zu schwärzen gewesen wären. Eine finale Entscheidung gibt es dazu aber nach dem Bericht noch nicht. Der verlinkte Bericht befasste sich damals auch sehr detailliert mit den Fragestellungen der Rechtsgrundlage nach kirchlichem Datenschutzrecht und empfiehlt eine klare rechtliche Regelung von Aufarbeitungsprozessen.

1.15 DSB Kanton Basel Stadt: MS 365 in der kantonalen Verwaltung

Nicht glücklich ist die Datenschutzbeauftragte des Kantons Basel Stadt mit der Entscheidung des Regierungsrates zur umfassenden Einführung der Microsoft 365 Cloud (MS 365) in der kantonalen Verwaltung. Sie sieht darin eine erhebliche Schwächung der digitalen Souveränität und eine Gefährdung für die Grundrechte der Menschen im Kanton Basel-Stadt. Im Vorfeld zum Entscheid hatte sie wiederholt von einer umfassenden Einführung der Microsoft 365 Cloud abgeraten. Sie habe den Regierungsrat in mehreren Stellungnahmen auf die damit verbundenen gewichtigen Risiken aufmerksam gemacht. Mit der Auslagerung der gesamten ICT-Grundversorgung, inklusive E-Mail-Kommunikation, Telefonie und Datenablage, verliere der Kanton einen wesentlichen Teil seiner Kontrolle darüber. Betroffen seien gemäss Medienmitteilung des Regierungsrates auch sensible Daten der Bevölkerung, wie beispielsweise Sozial-, Gesundheits- und Finanzdaten. Die Daten sind in MS 365 zwar verschlüsselt, Microsoft hat jedoch weiterhin die Möglichkeit darauf zuzugreifen und sie für eigene Zwecke zu nutzen oder Dritten bekannt zu geben. Verbunden hat die Datenschutzbeauftragte ihre Mitteilung mit zahlreichen Links zur Drittstaatenthematik und zur digitalen Souveränität.

1.16 Spanien: Eigene Bilder als Vorlagen bei der Nutzung von LLM für Comics

Es scheint ein Spaß zu sein, der jedes Alter erreicht: Das eigene Abbild oder derjenigen aus dem eigenen Umfeld wie bekannte Comic-Figuren dargestellt zu sehen. Trendig waren insbesondere in den letzten Wochen Abbildungen im Stil des Studio Ghibli. Die spanische Aufsicht AEPD weist in diesem Kontext darauf hin, dass diese Tools zwar attraktiv und scheinbar harmlos seien, aber auch Auswirkungen auf den Schutz eigener Daten und die Sicherheit personenbezogener Daten haben könnten. So verlangten viele dieser Anwendungen Zugriff auf die Fotogalerie des Geräts, was bedeutet, dass sie Zugriff auf alle eigenen personenbezogenen Daten und die von Dritten gewähren, und zwar nicht nur auf das eingereichte Foto, sondern möglicherweise auf alle Fotos in der Galerie. Darüber hinaus würden Bilder in einigen Fällen nicht ausschließlich auf dem Gerät verarbeitet, sondern auf externe Server hochgeladen, was das Risiko einer Exposition erhöhe. Manchmal liefern Anwendungen oder Dienste nicht genügend Informationen darüber, was mit Bildern nach dem Hochladen geschieht, ob sie an andere Unternehmen übertragen werden oder wie lange sie aufbewahrt werden. In bestimmten Fällen können die aus den Fotos gewonnenen Daten von den Unternehmen, die die Anwendungen entwickeln, zu kommerziellen oder Werbezwecken oder zum Trainieren von Algorithmen gespeichert oder wiederverwendet werden. Die AEPD empfiehlt daher die Datenschutzhinweise und die Nutzungsbedingungen sorgfältig zu lesen und zu überprüfen, wie und unter welchen Bedingungen die hochzuladenden Bilder verarbeitet werden, bevor eine Anwendung genutzt wird. Wenn die App Berechtigungen anfordert, die für grundlegende Funktionen (z. B. Galerie- oder Kamerazugriff) nicht unbedingt erforderlich sind, sollte die Berechtigung verweigert werden, um die Privatsphäre zu schützen. Die AEPD rät zu Vorsicht bei Apps, die keine klaren Informationen über ihre Datenschutzpraktiken haben. Wenn Bilder verwendet werden, auf denen Dritte erscheinen, ist sicher zu stellen, dass dies mit deren Wissen und Zustimmung erfolgt.

1.17 Spanien: Bußgeld gegen Auftragsverarbeiter wegen Verstoß gegen Art. 28 Abs. 2 DS-GVO

Bereits im November 2024 entschied die spanische Aufsicht AEPD, dass sie gegen einen Auftragsverarbeiter ein Bußgeld i.H.v. 500.000 Euro verhängte, weil dieser, ohne die erforderliche Genehmigung des Verantwortlichen nachweisen zu können, einen weiteren Aufragsverarbeiter einbezog. Im betreffenden Fall war ein Auftragsverarbeiter mit der Verarbeitung von Gesundheitsdaten und weiteren sensiblen Daten (wie Lebensstil, familiäre, berufliche und sozioökonomische Daten, Daten zum Sexualleben, genetische Daten, berufliche Daten) im öffentlichen Sektor betraut. Hierzu setzte er, ohne hierfür eine Genehmigung des Verantwortlichen eingeholt zu haben, eine Software ein. Der Einsatz der Software wurde im Rahmen einer Inspektion des Auftraggebers im Januar 2023 bekannt. Der darauffolgenden Aufforderung, die entsprechenden Verträge mit den Softwaredienstleistern vorzulegen, kam der Auftragsverarbeiter nicht nach. Der Auftraggeber wandte sich an die Datenschutzaufsicht, auch weil er befürchtete, dass die Rückgabe der Daten sowie die Löschung bestehender Kopien nach der Beendigung des Vertrages gefährdet sein könnten. Die spanische Datenschutzaufsicht AEPD bestätigte einen Verstoß gegen Art. 28 Abs. 2 DS-GVO. Bei der Bemessung des Bußgeldes wurden insbesondere die Dauer der Verletzung und die betroffenen Kategorien personenbezogener Daten herangezogen. Der Einwand des Auftragsverarbeiters, das Bußgeld sei bei dem formalen Verstoß unverhältnismäßig, wurde mit der Begründung zurückgewiesen, dass der Verantwortliche aufgrund der fehlenden Mitteilung über die Existenz von Unterbeauftragten seine Kontrollbefugnisse nicht angemessen ausüben habe können.

1.18 Niederlande: Vorgehen gegen irreführende Cookie-Banner

Im Jahr 2024 leitete die Datenschutzbehörde fünf Untersuchungen zu Cookie-Bannern von niederländischen Websites ein. In allen Fällen haben die Organisationen mit diesen Websites gegen das Gesetz verstoßen. Nach der Intervention der Datenschutzbehörde haben die Organisationen die Cookie-Banner so angepasst, dass ihre Websites dem Gesetz entsprechen, wie die niederländische Aufsicht hier berichtet. Sie kündigt nicht nur weitere, auch automatisierte Prüfungen von Webseiten an, sondern sie bietet aber auch Informationen an, was beim Einsatz von Cookie-Bannern zu beachten ist.

1.19 Niederlande: Umfrage und Hilfestellungen zum Umgang mit Algorithmen

Die niederländische Wirtschaft hält sich für unzureichend gerüstet für den Einsatz von Algorithmen, die personenbezogene Daten verarbeiten. Dies geht aus einer Umfrage hervor, die von der niederländischen Datenschutzbehörde unter 1.600 Unternehmen durchgeführt wurde, wie sie berichtet. Die meisten dieser Unternehmen sind sich nicht ganz sicher, ob sie Algorithmen zur Verarbeitung personenbezogener Daten verwenden. Und wenn sie dafür Algorithmen verwenden, wissen die Menschen oft nicht genau, um welche Art von Algorithmen es sich handelt. Die Datenschutzbehörde wird daher mit der Wirtschaft zusammenarbeiten, um Informationen und praktische Instrumente bereitzustellen. Die Aufsicht weist dabei darauf hin, dass sie einige Hilfsmittel und Informationen dazu anbietet wie die jüngste Konsultation zu der Frage, wie Unternehmen sicherstellen können, dass sinnvolle menschliche Eingriffe in der algorithmischen Entscheidungsfindung liegen. Auch zur KI-Kompetenz bietet sie Hilfestellungen an. Nach der KI-VO muss jeder, der innerhalb oder im Auftrag einer Organisation mit KI-Systemen arbeitet, nicht nur über Fähigkeiten, Kenntnisse und Verständnis über die technische Funktionsweise von KI-Systemen, sondern auch über die sozialen, ethischen und praktischen Aspekte verfügen. Die Aufsicht habe dazu kürzlich auch ein Dokument „Erste Schritte mit KI-Kenntnissen“ veröffentlicht, um Organisationen den Einstieg zu erleichtern.

1.20 Irland: Strafe gegen TikTok in Vorbereitung?

Die irische Data Protection Commission ist laut einem Bericht dabei eine hohe Strafe gegen Tiktok-Mutter Bytedance vorzubereiten – wegen der Übertragung von Daten nach China.

1.21 Italien: Hinweis auf Ermittlungen gegen US-Firma Lusha

Die italienische Aufsicht Garante gab bekannt, dass sie ein Ermittlungsverfahren gehen das US-amerikanische Unternehmen Lusha einleitete, um Vorwürfe zu unerlaubter Datenverarbeitung zu klären. Es solle über seine Online-Plattform "angereicherte" Informationen verkaufen, um unter anderem E-Mail-Adressen sowie Festnetz- und Mobiltelefon-Nummern zu finden oder zu überprüfen. Die Plattform ist auch von Italien aus zugänglich und ihre Dienste werden Benutzern angeboten, die sich aus dem Land verbinden. Darüber hinaus wird das Vorhandensein von Daten italienischer Einwohner in der Datenbank von Lusha durch Berichte bestätigt, die die Überwachungsbehörde von Personen erhalten hat, die sich über den Erhalt unerwünschter Werbe- und/oder Handelsanrufe beschwert haben, die unter Verwendung von Daten getätigt wurden, die über die von der US-amerikanischen Gesellschaft erbrachten Dienste erhalten wurden.

1.22 ICO: Emphatische Benachrichtigung nach einer Datenschutzverletzung

Der ICO erinnert daran, welche weitreichenden Folgen eine Datenschutzverletzung haben kann („Stop the Ripple-Effect“). Und empfiehlt sich auch bei den Informationen über eine Datenschutzverletzung in die Rolle der anderen Person hineinzuversetzen. Aus der Perspektive des Einzelnen – insbesondere derjenigen in prekären Situationen – kann ein Verstoß weitreichende Auswirkungen haben, die ihr Leben auf eine Weise stören, die einige vielleicht nicht vollständig zu schätzen wissen. Der ICO gibt daher Tipps und Materialien (Zip-Archiv, 13 MB) an die Hand, die dazu sensibilisieren.

1.23 ICO: Auch Rechtsanwälte brauchen Schutzmaßnahmen

Der ICO in Großbritannien hat gegen eine Anwaltskanzlei ein Bußgeld in Höhe von 60.000 Pfund verhängt, wie er hier berichtet, weil deren technischen und organisatorischen Sicherheitsmaßnahmen unzureichend waren und dies bei einem Brute-Force-Angriff zum Abzug von 32 GB sensibler Daten führte und diese im Dark Net veröffentlicht wurden. Die Angreifer erlangten Zugang zu einem wenig genutzten Administrator-Account, der nicht durch eine Multi-Faktor-Authentifizierung geschützt war. Angeblich erfuhr die Kanzlei erst durch einen Hinweis der Behörden auf die veröffentlichten Daten von dem Angriff. Den Vorfall meldete die Kanzlei dann auch erst einen Monat danach an die Aufsicht.

1.24 BSI: Ende des Supports von Windows 10 – Empfehlungen dazu

Alles hat ein Ende ... Na ja, das Ende des Supports von Windows 10 war lange angekündigt. Was zu beachten ist, erläutert das BSI hier.

1.25 ENISA: Übernahme der CVE-Meldungen

Nachdem in den USA die Förderungen eingestellt wurden, die eine Darstellung aktueller Vulnerabilitäten ermöglichte, übernahm die ENISA nun diese Aufgabe. Sie finden die Informationen dazu hier. Und hier einen Blog-Beitrag zur Thematik.

Franks Nachtrag: Hier müssen wir ein bisschen sortieren. Also, es fing damit an, dass wie Kollege Kramer oben schreibt, die US-Regierung das Funding für MITRE, die Organisation, die die CVE-Schwachstellendatenbank betreibt, einstellen wollte. Allerdings hat die US-Regierung (wie schon so ein bis zweihundert Mal die letzten Wochen) im letzten Moment ihre Meinung geändert. Hier wird die Sinnhaftigkeit der CVE-Schwachstellendatenbank kommentiert. Hier wird der Vorgang des Unfundings (und dann doch Un-Unfundings) kommentiert.
Und weil es so schön ist: Aller Anfang ist schwer (ein Screenshot zum Zeitpunkt des Starts des neuen europäischen Dienstes). Vielleicht hätten sie sich mal besser diese Frage gestellt?

2.1 BGH: Immaterieller Schadenersatz bei Kontrollverlust

Die betroffene Person ist Bundesbeamtin. Ihre Personalakte wurde durch Bedienstete des Landes Niedersachsen verwaltet. Darüber beschwerte sie sich, was nach Einschalten der Aufsichtsbehörden auch zu einer Änderung der mit Organisationsverfügung und der beanstandeten Praxis führte. Der BGH bejahte nun mit Urteil vom 11.02.2025 (Az. VI ZR 365/22) einen Anspruch auf immateriellen Schadenersatz aus Art. 82 DS-GVO und stellte klar, dass der Kontrollverlust über personenbezogene Daten einen ersatzfähigen immateriellen Schaden darstellt. Die Bundesbehörde hatte die personenbezogenen Daten der Klägerin unberechtigten Dritten überlassen, was einen Verstoß gegen die DS-GVO darstelle. Der Umstand, dass die Bediensteten des Landes Niedersachsen zur Verschwiegenheit verpflichtet waren, steht der Annahme eines Schadens nicht entgegen, sondern ist bei der Bemessung der Höhe des Schadensersatzes zu berücksichtigen. Der Rechtsgedanke des § 839 Abs. 3 BGB ist auf den unionsrechtlichen Anspruch aus Art. 82 Abs. 1 DS-GVO nicht übertragbar. § 839 Abs. 3 BGB regelt, dass die Ersatzpflicht nicht eintritt, wenn der Verletzte vorsätzlich oder fahrlässig unterlassen hat, den Schaden durch Gebrauch eines Rechtsmittels abzuwenden.
Und weil das gar so überraschend ist, gibt es auch eine Vorlage dazu aus Erfurt (siehe unter 2.7) und einen Bericht dazu dort.

2.2 LG Berlin II: Einsatz von Meta Business Tool – Löschpflicht und Schadenersatz

Das Landgericht Berlin II hat in sechs Urteilen vom 04.04.2025 den Klagen mehrerer Personen gegen Meta unter anderem auf Auskunft über und Anonymisierung bzw. Löschung ihrer über die Meta Business Tools erhobenen personenbezogenen Daten stattgegeben und ihnen zudem eine Schadensersatzzahlung in Höhe von jeweils 2.000 Euro zugesprochen
Die Kläger*innen machen jeweils geltend, dass die Beklagte alle digitalen Bewegungen auf Webseiten und mobilen Apps sämtlicher Nutzer*innen von Facebook und Instagram auslese und aufzeichne, wenn die Dritt-Webseiten und Apps die Meta Business Tools installiert haben. Die Meta Business Tools erlauben die so gesammelten Daten mit einem einmal angelegten Nutzerkonto zu verbinden und so ein Profil über Personen anzulegen, das etwa ihre politische und religiöse Einstellung, ihre sexuelle Orientierung oder etwa Erkrankungen erfassen kann. So könnten z. B. Informationen über Bestellungen bei Apotheken, Angaben zu problematischem Suchtverhalten oder bei dem Wahl-O-Mat ausgelesen werden. Es sei unklar, mit wem die Beklagte die so erstellten Profile teile. Weitere Details in der Pressemeldung, die Aktenzeichen lauten 39 O 56/24, 39 O 67/24, 39 O 57/24, 39 O 97/24, 39 O 218/24 sowie 39 O 184/24.
Die Urteile sind noch nicht rechtskräftig. Es kann dagegen innerhalb eines Monats nach Zustellung der schriftlichen Urteilsgründe Berufung beim Kammergericht eingelegt werden.

2.3 OLG Hamburg: Profilbildung auf Basis bisheriger Käufe nach Art. 6 Abs. 1 lit. f DS-GVO zulässig

Wir hatten schon über das Urteil informiert und nun sind auch die Urteilsgründe dazu verfügbar.
Daraus geht hervor, dass eine Personalisierung von Direktwerbung auf Basis von Bestandskundendaten auch ohne Einwilligung im Rahmen des Art. 6 Abs. 1 lit. f DS-GVO zulässig sein kann.
Im Zentrum des Verfahrens stand die Frage, ob die Analyse vergangener Käufe zur Empfehlung ähnlicher Produkte datenschutzrechtlich zulässig sei. Das Hamburgische OLG bejahte dies. Eine solche Form der Auswertung stelle keine umfassende Profilbildung im Sinne des Art. 4 Nr. 4 DS-GVO dar. Die bloße Analyse von Produktkategorien zur Ableitung ähnlicher Angebote gelte vielmehr als zulässige Direktwerbung, die ausdrücklich vom ErwGr. 47 der DS-GVO als berechtigtes Interesse anerkannt werde.
Entscheidend sei, dass die Verarbeitung: transparent erfolgt, über die Datenschutzerklärung nachvollziehbar kommuniziert wird und eine jederzeitige Widerspruchsmöglichkeit besteht. Im vorliegenden Fall hatte die Beklagte diese Voraussetzungen erfüllt.
Das Gericht befasste sich auch mit Art. 13 Abs. 2 der ePrivacy-RL (Richtlinie 2002/58/EG), umgesetzt in § 7 Abs. 3 UWG. § 7 Abs. 3 UWG umfasse ausschließlich die Zusendung als Datenverarbeitungsvorgang zur Werbung als solche und nicht der Personalisierung der Werbung. Datenverarbeitungsvorgänge, die der Verarbeitung der E-Mail-Adressen von Bestandskunden zum Versand von Werbung vorgelagert sind, unterfallen dem Regime der DS-GVO. Gleichwohl sei die in § 7 Abs. 3 UWG zum Ausdruck kommende Wertung zu beachten. Diese Regelung, die inhaltlich weitgehend Art. 13 Abs. 2 der Richtlinie 2002/58/EG entspricht, soll den elektronischen Handel fördern. Ohne vorangegangene Datenverarbeitung sei eine solche Direktwerbung ersichtlich unmöglich.
Das Urteil kann auch zur Abgrenzung von zustimmungspflichtigen Profilbildung im engeren Sinne herangezogen werden, etwa bei der Erstellung detaillierter Persönlichkeitsprofile oder der Einbeziehung externer Daten.
Auch müsse laut OLG Hamburg kein sog. Gastzugang ohne Registrierungspflicht gewährt werden. Die Verpflichtung zur Einrichtung eines Kundenkontos sei laut Gericht zulässig, etwa zur Betrugsprävention, Kommunikation oder logistischen Abwicklung. Je nach Zweck lasse sich die Kundenkonto-Pflicht auf Art. 6 Abs. 1 lit. b, c oder f DS-GVO stützen.
Selbst wenn dabei eine unzulässige Verarbeitung (z.B. unzulässige Erhebung des Geburtsdatums und/oder der Telefonnummer und/oder eine – hier ebenso lediglich unterstellte – unzulässige Speicherdauer) vorläge, wäre dann allenfalls die regelhafte Aufnahme eines bestimmten personenbezogenen Datums in ein Kundenkonto bzw. eine längerfristige Speicherung zu verbieten.

2.4 BVwG Österreich: 0,7 % des Vorjahresumsatzes als Bußgeld bei unzulässiger Videoüberwachung

Wie berechnet sich ein Bußgeld bei unzulässiger Videoüberwachung? Interessant sind dabei die prozentualen Angaben, denn die absoluten Zahlen variieren abhängig vom Vorjahrsumsatz. In Österreich hat das Bundesverwaltungsgericht ein Bußgeld auf 0,7 % des Vorjahresumsatzes festgelegt. Die Datenschutzbehörde ging noch von 1,6 % des Vorjahresumsatzes aus. Das Gericht berücksichtigte den jeweiligen Umsatz des Vorjahres der KFZ-Werkstatt. Bericht dazu hier.

2.5 LAG Köln: Zu Arbeitszeitbetrug und Detektiveinsatz

Darf ein Arbeitgeber bei einem Hinweis auf einen massiven Arbeitszeitbetrug einen Detektiv beauftragten, dürfen dessen Beobachtungen in einem Verfahren berücksichtigt werden und muss der Arbeitnehmer den Einsatz des Detektiv bezahlen? Mit diesen Fragen befasste sich das LAG Köln. Ein Fahrkartenkontrolleur. Und es kam zu dem Ergebnis: dreimal ja. Die Observation des Klägers durch die Detektei wäre nach § 26 Abs. 1 S. 2 BDSG zulässig und ein Beweisverbot nicht bestünde nicht (Rn. 63). Ein Sachvortrags- oder Beweisverwertungsverbot komme – gerade auch im Geltungsbereich der DS-GVO – nur in Betracht, wenn die Nichtberücksichtigung von Vorbringen oder eines Beweismittels wegen einer durch Unionsrecht oder Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geschützten Rechtsposition des Arbeitnehmers zwingend geboten sei (Rn. 64 ff). Die Überwachung des Klägers durch Detektive, die beobachten, fotografieren und dokumentieren, sowie die Anbringung eines GPS-Senders an dem während der Schichtzeiten genutzten Dienstfahrzeug stellen zwar einen Eingriff in dessen Persönlichkeitsrechte und das Recht auf informationelle Selbstbestimmung dar. Dieser Eingriff ist aber von geringer Intensität, weil er nur während seiner Schichtzeiten im öffentlichen Verkehrsraum über einen Zeitraum von wenigen Tagen erfolgt ist und praktisch nur das dokumentiert wurde, was jeder beliebige Passant ebenfalls hätte wahrnehmen können. Eine vom Kläger angeführte „Orwell‘sche Überwachung“ läge mitnichten vor. Eine Nichtberücksichtigung der hieraus erlangten Erkenntnisse wäre daher selbst bei der – hier nicht vorliegenden – Rechtswidrigkeit der Überwachung nicht zwingend geboten.
Auch habe der Arbeitgeber einen Erstattungsanspruch der Detektivkosten i.H.v. 21.608,90 Euro (Rn. 68ff).

2.6 Österreich: Vorlagefragen an den EuGH zu Art. 82 bei Verletzung des Art. 15 DS-GVO

Aus Österreich kommt eine weitere Vorlagefrage an den EuGH. Wieder im Kontext der Aktivitäten der Österreichischen Post. Diesmal geht es um Fragestellungen zu einem Auskunftsverfahren und den aus der Reaktion abzuleitenden Ansprüchen auf immateriellen Schadenersatz (hier in Höhe von 2.500 Euro). Das Verfahren vor dem Obersten Gerichtshof war bereits wegen Fragestellungen unterbrochen worden, die zwischenzeitlich durch den EuGH geklärt wurden (C-300/21, C-667/21, C-182/22 und C-189/22), jedoch hat die Klägerin ihren Schadenersatzanspruch ausdrücklich auch auf eine unvollständige Beantwortung ihres Auskunftsbegehrens gestützt und zu ihrem dadurch hervorgerufenen Schaden vorgetragen, es habe die Verunsicherung, welche politischen Parteien und sonstigen Empfänger den besonders sensiblen Datensatz zur Parteiaffinität erhalten hätten und wie die Beklagte überhaupt zu diesem Datensatz gekommen sei, über das von ihr zu tolerierende Ausmaß hinaus angedauert. Die unterschiedlichen und widersprüchlichen Auskünfte der Beklagten hätten die bestehende Unsicherheit nur weiter verstärkt und Zweifel geweckt, ob die bisherigen Auskünfte richtig seien.
Daher sei zu klären, ob Art. 82 Abs. 2 DS-GVO dahin auszulegen ist, dass in negativen Folgen für den Betroffenen, die auf einem zeitlich nach der Verarbeitung der personenbezogenen Daten liegenden und gegen die Verpflichtung zur Auskunft und/oder der Ausfolgung einer Kopie nach Art. 15 Abs. 1 und 3 DS-GVO liegendem Verstoß gegen diese Verordnung beruhen, ein Schaden liegt, der durch „eine nicht dieser Verordnung entsprechende Verarbeitung“ verursacht wurde und die Verpflichtung des Verantwortlichen zur Leistung von Ersatz dafür nach sich zieht. Die konkrete Fragestellung mit Erläuterungen des Obersten Gerichtshof ist hier hinterlegt.

2.7 LG Erfurt: Vorlagefragen an den EuGH zu Art. 82 DS-GVO

In einem Verfahren möchte das LG Erfurt vom EuGH geklärt wissen, ob Art. 82 Abs. 1 DS-GVO dahin auszulegen sei, dass ein nationales Gericht bei einem Verstoß gegen die DS-GVO einer betroffenen Person Schadensersatz zusprechen muss, die lediglich nachgewiesen hat, dass ein Dritter (und nicht der beklagte datenschutzrechtlich Verantwortliche) ihre personenbezogenen Daten im Internet veröffentlicht hat? Mit anderen Worten: Stellt der bloße und ggf. nur kurzzeitige Verlust der Kontrolle über eigene Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DS-GVO dar?
Falls Frage 1 bejaht wird: Inwieweit unterscheidet sich die Antwort oder macht es einen Unterschied, wenn die veröffentlichten Daten nur aus bestimmten personenbezogenen Daten bestehen (einschließlich allenfalls numerische Nutzer-ID, Name und Geschlecht), welche die betroffene Person bereits selbst im Internet veröffentlicht hatte, in Verbindung mit der Telefonnummer der betroffenen Person, die ein Dritter (bei dem es sich nicht um den beklagten datenschutzrechtlich Verantwortlichen handelt) mit diesen personenbezogenen Daten verknüpft hat?
Im Ausgangsverfahren geht es um Daten, die im Scraping-Fall bei Facebook abgezogen wurden.
Bericht dazu bereits hier (siehe auch hier).

2.8 OLG Köln: Immaterieller Schadenersatz gegen Auskunftei

Das OLG Köln befasste sich im Rahmen eines Verfahrens intensiv mit den Fragen der Abwägung und den Voraussetzungen eines immateriellen Schadenersatzes.
Dass eine Verwendung von Daten aus dem Register der Restschuldbefreiung über die Rechtsgrundlage des Art. 6 Abs. 1 lit. f DS-GVO nicht länger durch Auskunfteien verwendet werden dürfen, als der Zeitraum, den der Gesetzgeber für die Veröffentlichung im Register vorgesehen hat, hat der EuGH in C-26/22 und C-64/22 entschieden. Auch, dass daran genehmigte Verhaltensregeln nichts ändern könnten.
Nun hatte das OLG Köln einen Fall, bei dem gegen einen Schuldner in drei Verfahren ein Vollstreckungsbescheid erging. Den ersten über 150,00 Euro vom August 2019, der im Dezember 2020 bezahlt wurde, einen zweiten über 428,24 Euro vom Januar 2020, der im November 2021 bezahlt wurde und einen Vollstreckungsbescheid vom Februar 2022 über 160,99 Euro, der im Dezember 2022 bezahlt wurde. Der Kläger begehrte gegenüber der Auskunftei die Löschung der drei Einträge im November 2023 und forderte immateriellen Schadenersatz. Der Eintrag der Forderung über die im Dezember 2020 beglichene Forderung wurde auch im Dezember 2023 gelöscht, so dass dieser Punkt in der Hauptsache als erledigt erklärt wurde. Die erste Instanz am LG Köln wies die Klage ab, die Verarbeitung sei gem. Art. 6 Abs. 1 lit. f DS-GVO rechtmäßig gewesen. Die Erforderlichkeit der Datenverarbeitung sei auch nicht vor dem Ablauf von drei Jahren ab der Erledigung der Forderungen entfallen, vielmehr sei eine Löschungsfrist von drei Jahren angemessen. Eine Gleichbehandlung erledigter Forderungen in den Registern der Beklagten mit Einträgen im Schuldnerverzeichnis sei nicht geboten. Überdies sei der Vortrag zu einem immateriellen Schaden auch nicht hinreichend substanziiert. Dagegen ging der Kläger in Berufung. Während der Laufzeit des Verfahrens wurden die beiden weiteren Einträge bei der Auskunftei gelöscht, der zweite nach Zeitablauf von drei Jahren im November 2024 und der dritte über eine Regelung in den durch den HBDI genehmigten Verhaltensregelungen vom 17. Mai 2024 gestalteten Löschvorgaben. Die Parteien haben daraufhin den Rechtsstreit auch bezüglich der beiden verbleibenden Löschungsansprüche übereinstimmend in der Hauptsache als erledigt erklärt.
Es ging daher im Berufungsverfahren nur noch um eine Forderung eines immateriellen Schadenersatzes in Höhe von 1.500,00 Euro und dabei als eine der Voraussetzungen auch um die Prüfung der rechtskonformen Verarbeitung der Daten über die Forderungen gegen den Kläger durch die Auskunftei.
Das OLG Köln entschied nun, dass die Auskunftei gegen die DS-GVO verstoßen habe, indem sie die in den ursprünglichen Klageanträgen genannten Einträge über Zahlungsstörungen des Klägers auch nach dem Ausgleich der Forderungen am 2. Dezember 2020, am 4. November 2021 beziehungsweise im Dezember 2022 für drei beziehungsweise gut zwei Jahre weiterhin gespeichert und für ihre Kunden zum Abruf bereitgehalten hatte. Nach der Erfüllung der Forderungen sei die fortdauernde Speicherung der – nunmehr zusätzlich mit einem Erledigungsvermerk versehenen – Einträge betreffend die zuvor aufgetretenen Zahlungsstörungen rechtswidrig, weil die in Art. 6 Abs. 1 DS-GVO genannten Bedingungen nicht länger erfüllt waren.
Das OLG Köln befasst sich dabei in Rn. 17 – 28 mit der Frage der Erforderlichkeit aus Art. 6 Abs. 1 lit. f DS-GVO und referenziert dabei auf § 882e Abs. 3 Nr. 1 ZPO, wonach eine Eintragung in das Schuldnerverzeichnis auf Anordnung des zentralen Vollstreckungsgerichts nach § 882h Abs. 1 ZPO gelöscht wird, wenn die vollständige Befriedigung des Gläubigers nachgewiesen worden ist. Unter Berücksichtigung der Rechtsprechung des EuGH (s.o.) kommt das OLG Köln dann zu dem Ergebnis, dass eine Speicherung länger als die über den Rechtsgedanken des § 882e Abs. 3 Nr. 1 ZPO geregelte Speicherung im Schuldnerverzeichnis nicht erforderlich gewesen sei. Dabei sei es nicht relevant, dass die betroffenen Forderungen nicht in das Schuldnerverzeichnis eingetragen waren.
Dass es nach der vom HBDI genehmigten Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien vom 25. Mai 2024 möglich gewesen wäre, auch personenbezogene Daten über ausgeglichene Forderungen für bestimmte Zeiträume gespeichert werden dürfen, sei unerheblich. Denn Verhaltensregeln im Sinne des Art. 40 DS-GVO, die zu einer anderen Beurteilung führen würden als derjenigen, die sich nach Art. 6 Abs. 1 lit. f DS-GVO ergibt, können bei der erforderlichen Abwägung nach dem o.g. Urteil des EuGH nicht berücksichtigt werden (Rn. 29).
Das OLG Köln kommt dann in Rn. 30 zu dem Ergebnis, dass dem Kläger dadurch ein immaterieller Schaden entstanden sei. Dabei könne es dahinstehen, ob ein Kontrollverlust vorliegt. Denn jedenfalls habe der Kläger eine Rufschädigung erlitten. Ob eine Rufschädigung allein daraus folgt, dass die Beklagte die Daten über die Zahlungsstörungen auch nach der Erfüllung der einzelnen Forderungen weiterhin gespeichert hat, kann offenbleiben. Denn jedenfalls hat die Beklagte auch nach der Erfüllung der letzten Forderung mehreren Banken, einem Energieversorgungsunternehmen und einem Telekommunikationsunternehmen Scorewerte und Erfüllungswahrscheinlichkeiten mitgeteilt, die sie unter Berücksichtigung der Zahlungsstörungen ermittelt hatte. Die fortdauernde Speicherung der Zahlungsstörungen sei somit dafür ursächlich geworden, dass die Beklagte gegenüber ihren genannten Vertragspartnern die Kreditwürdigkeit des Klägers in Zweifel gezogen hat, was sich abträglich auf dessen sozialen Geltungsanspruch ausgewirkt habe. Dass die genannten Übermittlungen keine weiteren nachteiligen Folgen für den Kläger hatten, stünde der Annahme eines immateriellen Schadens in Gestalt einer Rufschädigung nicht.
Das OLG Köln legt dann die Höhe des immateriellen Schadens auf 500,00 Euro fest und begründet dies in Rn. 34 ausführlich. Das Urteil ist noch nicht rechtskräftig, es wurde für die beklagte Auskunftei die Revision zugelassen.

3.1 Europa: AI Continent Action Plan

Die EU-Kommission hat am 09.04.2025 einen AI Continent Action Plan vorgeschlagen. Anders als es der Titel vermuten lässt, ist das Papier als Fahrplan für die kommende Legislatur in der KI-, Cloud- und Datenpolitik zu verstehen. Ziel der EU-Kommission ist es, dass die EU im Bereich der KI-Technologie international wettbewerbsfähig wird. Dementsprechend ist alles auf KI ausgerichtet, auch wenn der Inhalt deutlich breiter ist. Der AI Continent Action Plan umfasst fünf Bereiche, vgl. die Darstellung im Factsheet.
Mit einem Cloud & AI Development Act will die EU-Kommission bessere Bedingungen für Rechenzentren schaffen, wodurch ihre Kapazität bis 2023 verdreifacht werden soll. Die EU-Kommission kündigt eine Data Union Strategy an, um Daten für KI zugänglich zu machen. Auch eröffnet die EU-Kommission eine Konsultation zu einer Apply AI Strategie, welche sich u.a. mit den Herausforderungen von Unternehmen bei der Umsetzung des AI Acts befasst. Sie will auch die Kenntnisse rund um KI fördern und kündigt eine AI Skills Academy an. Um praktikable Regularien zu fördern, richtet die EU-Kommission den AI Act Service Desk ein, der als zentrale Informationsstelle dienen und es Unternehmen ermöglichen soll, maßgeschneiderte Antworten auf ihre Fragen zu erhalten.
Und zu den angedachten Änderungen zur DS-GVO soll es am 21. Mai 2025 einen Entwurf geben, neben dem aktuellen Ansatz zur Verbesserung der Durchsetzung der DS-GVO, über den hier bei noyb berichtet wird.

3.2 Hinweisgeberschutzgesetz: Festlegung der Ordnungsbehörde

Mit der Veröffentlichung im BGBl ist nun auch geregelt, wer als zuständige Behörde nach § 40 HinSchG für die Ahndung der dortigen Ordnungswidrigkeiten bestimmt wurde: das Bundesamt für Justiz.

3.3 Koalitionsvertrag – datenschutzrechtliche Aspekte

Im Koalitionsvertrag wird angekündigt die Datenschutzaufsichten im nicht-öffentlichen Bereich zusammenzulegen. Die BfDI hat bereits verlautbart, dass sie dazu bereit wäre. Die betroffenen Aufsichten haben hierzu eine andere Einschätzung, wie die LDI NRW faktenreich ausführt: Das Datenschutzrecht ist komplex. Das überfordert gerade kleine Unternehmen und das Ehrenamt. Diese Stellen brauchen eine Datenschutzberatung und zwar ortsnah. Mit einer zentralen Aufsicht beim Bund verloren sie leicht zugängliche Beratung und das stärke sie überhaupt nicht. Zentralisierung dagegen bedeute das Gegenteil: lange Wege, Anonymität und das Untergehen in der Masse.
Aus der Schweiz gibt es dagegen Hinweise, wie dort mit der Thematik umgegangen wird.
Nicht nur die Ankündigung zur Zentralisierung der Datenschutzaufsichten für den nicht-öffentlichen Bereich in dem Koalitionsvereinbarung bietet Anlass zur Diskussion. Der LfDI Baden-Württemberg merkt dazu an, dass bei den Ergebnissen im Bereich der Sicherheit zur Kenntnis genommen werden müsse, dass der Schutz der informationellen Selbstbestimmung und der persönlichen Freiheiten der Bürger:innen in der digitalen Welt zugunsten einer stärkeren Überwachung und Kontrolle zurücktreten solle. Digitale Souveränität werde im Koalitionsvertrag mehrfach unterstrichen, offen bleibe aber, wie weit das mit dringend erforderlichen finanziellen Mitteln hinterlegt wird. Auch wird der LfDI Baden-Württemberg damit zitiert, dass man keinen vollen Reifen während der Fahrt wechsele.
Die Aussagen zu Maßnahmen wie Vorratsdatenspeicherung, Datenzugriffe und Einsätze von „Quellen TK-Überwachung“ sowie automatisierte Rasterfahndung sieht der Chaos Computer Club als geplante Massenüberwachung auf gleich drei Ebenen: Telekommunikations-, Autokennzeichen- und Biometriedaten. Diese sind für ihn Anlass SPD-Mitglieder aufzufordern dem Koalitionsvertrag in der Mitgliederbefragung nicht zuzustimmen.

Franks Nachtrag: Berufene Stimmen halten nicht so viel von der Zentralisierung der Datenschutzaufsicht.

3.4 Spanien: Geldstrafen für unterblieben KI-Kennzeichnung und neue Behörde

Nach diesem Bericht wurde in Spanien ein Gesetz verabschiedet, dass massive Geldstrafen für eine unterlassene Kennzeichnung bei der Verwendung von KI-Inhalten vorsieht. Dazu gibt es auch eine neue Aufsicht, die AESIA – Agencia Española de Supervisión de Inteligencia Artificial.

4.1 Didaktische Handreichung zur praktischen Nutzung von KI in der Lehre

Die Arbeitsgruppe Digitale Medien und Hochschuldidaktik der Deutschen Gesellschaft für Hochschuldidaktik in Kooperation mit der Gesellschaft für Medien in der Wissenschaft erstellte eine didaktische Handreichung zur praktischen Nutzung von KI in der Lehre. In 16 use cases werden Beispiele für den Einsatz dargestellt. Schön dabei sind auch die beigefügte Literaturliste und weitere Links wie zum ChatGPT Cookbook von Pro Lehre der TU München.

4.2 Digitale Zwillinge bei H&M

H&M wurde in Datenschutzkreisen durch einen Datenschutzvorfall und das nachfolgende Bußgeld bekannter. Nun machen sie mit einer Ankündigung im Umfeld von KI auf sich aufmerksam. Nicht, dass sie künftig KI-generierte Models einsetzen wollen, sondern, dass den realen Vorbildern dieser digitalen Zwillinge weitgehende Mitspracherechte eingeräumt wird, wie hier nachzulesen ist.
Sie sollen die Kontrolle über die Verwendung ihrer digitalen Replikate behalten und – wie bei regulären Fotoshootings – finanziell entschädigt werden. Die ersten KI-generierten Bilder sollen zudem mit einem Wasserzeichen versehen werden, um für Konsument:innen klar erkennbar zu machen, dass es sich um KI-Modelle handelt.

4.3 Anforderungen bei Transkription mit KI

Wir hatten zu der Thematik bereits aus dem Tätigkeitsbericht des LfDI Baden-Württemberg berichtet. Hier nun ein Blog-Beitrag, der sich auch mit den datenschutzrechtlichen Herausforderungen bei der Aufzeichnung und Transkription von Meetings befasst.

4.4 Mal wieder: Biometrische Erkennungstechnologien – jetzt auch beim Einkaufen

Wie hier berichtet wird, hat Coop in der Schweiz in mehreren Filialen diskret Kameras installiert, die mit einer Software für künstliche Intelligenz ausgestattet sind. Das Ziel dabei: Diebstahl zu bekämpfen, insbesondere an automatischen Kassen, indem verdächtige Verhaltensweisen erkannt werden. Welche Risiken sich daraus ergeben können, schildert AlgorithmWatch anschaulich. Kritik gibt es nicht nur an der unzureichenden Transparenz.

4.5 Europol ist bei biometrischen Verfahren kritisch

Aufgrund der vielen Angriffspunkte bei biometrischen Daten sähe Europol die Verwendung biometrischer Daten kritisch, wie hier nachzulesen ist. Biometrische Erkennungssysteme seien zwar "im Allgemeinen robust", wird in dem Bericht die Studie zitiert. Doch es gebe zahlreiche Möglichkeiten sie auszutricksen. Entscheidend sei daher "die Schwachstellen solcher Systeme zu kennen". Passt gerade angesichts der Aussagen im Koalitionsvertrag dazu.

4.6 Stanford 2025 AI Index Report

Der KI-Index der Stanford University Human-Centered Artificial Intelligence (HAI) bietet eine der umfassendsten, datengetriebenen Sichtweisen auf Künstliche Intelligenz. Er wird von globalen Medien, Regierungen und führenden Unternehmen als vertrauenswürdige Ressource anerkannt, bietet politischen Entscheidungsträgern, Wirtschaftsführern und der Öffentlichkeit strenge, objektive Einblicke in den technischen Fortschritt, den wirtschaftlichen Einfluss und die gesellschaftlichen Auswirkungen der KI. Er fasst auch die zwölf wichtigsten Aussagen zusammen.

4.7 Podcast zu KI und Datenschutz

Wenn sich zwei Expert:innen in diesem Podcast (Dauer ca. 34 Min.) unterhalten, sollte man zuhören, auch wenn sich eine der beiden Personen explizit nicht als Behördenvertreterin äußert. Es geht – natürlich – um KI und Datenschutz, um die Opinion 28/2024 des EDSA und Interpretationsmöglichkeiten und welche Verantwortung der Nutzer eines KI-Modells nun hat. Insbesondere die Aussagen dazu ab Minute 18 fand ich interessant.

4.8 Blog-Beitrag zu rechtlichen Fragen bei Training von KI-Systemen

Hier befasst sich ein ausführlicher Blog-Beitrag mit den Fragestellungen, wenn Anbieter von KI-Tools die eingegebenen Daten nicht nur verarbeiten, sondern auch zur Weiterentwicklung ihrer KI-Systeme nutzen. In vielen Fällen gehe das über den ursprünglichen Zweck der Datenerhebung hinaus – und wirft damit rechtliche Fragen auf. Dazu findet sich hier ein kurzer Überblick über Technik, rechtliche Verantwortung und aktuelle Praxis.

4.9 DJV und Verdi verklagen Zeitung wegen Vertragsklauseln zum KI-Training

Der Deutsche Journalisten-Verband (DJV) und die Gewerkschaft Verdi gehen nach dieser Meldung des DJV wegen Klauseln zu KI in Verträgen freier Journalisten gerichtlich gegen die „Süddeutsche Zeitung“ vor. Die Klauseln verstießen gegen die Urheberpersönlichkeitsrechte der Betroffenen und seien daher unzulässig. Texte von freien Journalistinnen und Journalisten würden „ohne weiteres Mitspracherecht“ als Basis für KI-Trainings und die Erzeugung von Inhalten verwendet. Mitarbeitende verlören so „die Kontrolle über die Verwertung ihrer Werke“.

5.1 Es kam nicht überraschend: Der digitale Putsch

Wer hier seit Jahren mitliest, weiß, dass ich immer wieder auf den Vortrag aus dem April 2019 hinwies, in dem eine englische Journalistin über ihre Recherchen zur Meinungsbildung beim Brexit in ihrer walisischen Heimatstadt berichtete und die Rolle, die Facebook dabei spielte. Nun spricht sie erneut – und hebt dabei hervor, wie die Überwachung durch IT-Unternehmen erfolgt und die Destabilisierung der Demokratie damit zusammenhängt – und wie sie in den Fokus der IT-Unternehmen und deren politischen Unterstützer kam.

5.2 NIST: Draft Privacy Framework 1.1

Die NIST möchte das Privacy Framework entsprechend den Bedürfnissen der Interessengruppen weiterentwickeln und eine aktualisierte Version 1.1 erstellen. Es berücksichtigt die Bedürfnisse des Datenschutz-Risikomanagements, orientiert sich am NIST Cybersecurity Framework (CSF) 2.0 und will die Benutzerfreundlichkeit verbessern. Der Entwurf Privacy Framework 1.1 IPD enthält

• das Privacy Framework 1.1 IPD Highlights Video, das den Entwicklungsprozess zusammenfasst und die wichtigsten Aktualisierungen überprüft und
• ein Mapping of Privacy Framework 1.0 Core to Privacy Framework 1.1 Core, um Organisationen dabei zu helfen, Änderungen an Kernkategorien und Unterkategorien zwischen den Framework-Versionen nachzuvollziehen.

Bis zum 13. Juni 2025 kann Feedback eingereicht werden.

5.3 IT Planungsrat: Rechtsgrundlagen zum Schwerpunktthema Datennutzung

Der IT-Planungsrat informiert, dass er gesetzgebende Organe nun mit einem „Rechtsgrundlagen-Generator“ unterstützt, damit eine Datennutzung auch rechtskonform gestaltet werde. Die Anforderungen der DS-GVO und nationaler Datenschutzgesetze verlangen präzise, verhältnismäßige und klar bestimmte Ermächtigungen – eine Aufgabe, die nicht nur komplex, sondern auch zeitintensiv ist. Die Entwicklung des Kompetenzteams Datenschutz im Schwerpunktthemas Datennutzung des IT-Planungsrats soll mit dem Rechtsgrundlagen-Generator dabei helfen. Ziel ist dabei die systematische Unterstützung bei der Formulierung datenschutzrechtlicher Ermächtigungsnormen, die Berücksichtigung der DS-GVO sowie nationaler Vorgaben für eine kohärente Gesetzgebung mit einem Effizienzgewinn für Gesetzgebungsorgane, indem wiederkehrende Herausforderungen gezielt adressiert werden. Die Vorlage für die Gestaltung von datenschutzrechtlichen Rechtsgrundlagen findet sich hier, die Version mit Makros gibt es dort.

5.4 BayLDA: Nicht warten bei KI-VO und Ruhe bewahren beim transatlantischen Datentransfer

In einem Beitrag im IHK-Magazin der IHK München informiert der Vize-Präsident des BayLDA zum Umgang mit der KI-VO. Er geht auch auf die Anforderungen für den Mittelstand für KMU und die Entwicklungen im transatlantischen Datentransfer in die USA ein. Das Interview erfolgte im Umfeld einer Webinarreihe der IHK mit dem BayLDA.

5.5 Die wichtigsten Entscheidungen des EuGH im Jahr 2024

... aus Sicht des Datenschutzrechts hat eine Kanzlei zusammengestellt. Dabei stellt sie auch deren Auswirkungen auf die Auslegung der DS-GVO dar. Dies betrifft die Themenfelder der Definition von personenbezogenen Daten, besondere Kategorien personenbezogener Daten, die Zweckbindung und Datenminimierung, aber auch Rechtsgrundlagen für die Verarbeitung personenbezogener Daten ebenso wie Befugnisse der Aufsichtsbehörden und (natürlich) Schadensersatz für die Verletzung von Betroffenenrechten.

5.6 ISACA: Exploring Practical Considerations and Applications for Privacy Enhancing Technologies

Die ISACA (Information Systems Audit and Control Association) veröffentlichte bereits im Jahr 2024 ein Whitepaper „Exploring Practical Considerations and Applications for Privacy Enhancing Technologies” mit praktischen Überlegungen und Anwendungen für Technologien zur Verbesserung des Datenschutzes (Privacy Enhancing Technologies, PET). Diese sind zwar nicht neu, aber die jüngste Verbreitung von Systemen des maschinellen Lernens, der Aufstieg der Datenwirtschaft, die Unterstützung durch politische Entscheidungsträger und das gestiegene Bewusstsein der Verbraucher für den Datenschutz hatten ihre Popularität erhöht. Mithilfe von Technologien zum Schutz der Privatsphäre können Unternehmen den Wert personenbezogener Daten nutzen und gleichzeitig die Privatsphäre der einzelnen Nutzer schützen. In dem Whitepaper werden gängige Technologien zum Schutz der Privatsphäre vorgestellt, Bewertungshinweise gegeben, die rechtlichen Perspektiven für den Einsatz von Technologien zum Schutz der Privatsphäre beleuchtet und praktische Anwendungen anhand von Fallstudien vorgestellt.

5.7 Wissenschaftliche Veröffentlichungen auf Arxiv

Wir haben hier immer wieder und gerne auf Veröffentlichungen auf Arxiv verwiesen. Heute verweisen wir auf einen Link, der es ermöglicht in der dortigen Datenbank nach Veröffentlichungen zu suchen: alphaXiv. Auch eine Chat-Funktion ist enthalten: Einfach eine Publikation über "Explore" auswählen, rechts oben auf "Chatten" klicken und zwischen diversen Top-LLMs auswählen.

5.8 Meldeformular bei Datenschutzverletzungen

Hier bietet eine Schweizer Kanzlei ein Formular zur Meldung von Datenschutzverletzung in Excel an, das auch die Anforderung einer Meldung nach Art. 33 DS-GVO erfüllt.

5.9 Auskunftsanspruch auf E-Mails?

In diesem Blog-Beitrag wird sich mit Aussagen der LDI NRW aus ihrem Tätigkeitsbericht 2023 in Ziffer 14.10 befasst und über eine Analogie zum E-Mail-Verteiler erörtert. Die LDI NRW stellte fest, dass, nur weil ein Name in dem Kopf eines Briefpapiers stehe (wie z.B. bei Rechtsanwaltskanzleien üblich), es nicht bedeute, dass jedes Schreiben von einem Auskunftsanspruch umfasst sei. Übertragen auf E-Mail könnte dies dahingehend ausgelegt werden, dass nicht jede E-Mail allein deshalb von einem Auskunftsanspruch umfasst sei, nur weil die betroffene Person in einem an- oder cc-Feld genannt sei.

5.10 Podcast des LfDI Baden-Württemberg zum Datenzirkus

Der LfDI Baden-Württemberg plaudert wieder kompetent mit seinem Gast aus dem Datenzirkus, der zumindest qualifizierte Aussagen zur eigenen Klingelanlage beisteuern kann im Podcast „Datenfreiheit, extra #09“ (Dauer ca. 51 Min.). In den Shownotes sind die angesprochenen Themen direkt verlinkt.

5.11 Veranstaltungen

23.04.2025, 10:00 – 11:00 Uhr, online: KI im Unternehmen – klingt nach Innovation, ist aber potentiell brandgefährlich, wenn die KI ungeschützte Passwörter und Login-Daten auslesen kann. Jeder Mitarbeitende hat durchschnittlich 14 E-Mails im Postfach, in denen Zugangsinformationen im Klartext schlummern. Was passiert, wenn KI genau damit trainiert und so unbemerkt zum Sicherheitsleck wird? Solche ungesicherten Daten können nicht nur zu massiven Datenschutzverletzungen führen, sondern auch die Tür für Ransomware-Angriffe weit öffnen. Damit befasst sich ein Vortrag, der online von einem Fachverlag angeboten wird. Weitere Informationen und Anmeldung dazu hier.

24.04.2025, 13:00 Uhr bis 25.04.2025 ca. 13:00 Uhr, München: Wie lassen sich KI-Anwendungen im Einklang mit Grundsätzen des demokratischen Rechtsstaates entwickeln und nutzen? Welche Chancen ergeben sich umgekehrt durch den KI-Einsatz, um Demokratiedefizite zu überwinden oder den Zugang zum Recht zu erleichtern? Die jüngsten Entwicklungen – von der chinesischen KI DeepSeek bis zu Trumps Stargate-Projekt – zeigen die Brisanz des Themas. Expertinnen und Experten aus Wissenschaft und Praxis diskutieren beim diesjährigen For..Net Symposium des Bayerisches Forschungsinstitut für Digitale Transformation und des TUM Center for Digital Public Services – Munich Center for Technology in Society über die Auswirkungen der KI-Entwicklung auf Demokratie und Rechtsstaat. Weitere Informationen und Anmeldung hier.

29.04.2025, 12:30 – 14:00 Uhr, online: Der BvD befasst sich in diesem Termin in einem Online-Diskussionspanel mit der Frage: „Reform oder Revolution? Die Zukunft der DS-GVO zwischen Aufsicht und Risiko – Voss, Schrems und neue Ideen für den Datenschutz“- Die DS-GVO steht erneut im Zentrum lebhafter Debatten: Ein MdP der EVP und ein österreichischer Datenschützer – bislang eher als Gegenspieler bekannt – haben erstmals gemeinsam konkrete Reformvorschläge vorgelegt. Ihr Modell einer dreistufigen DS-GVO orientiert sich an Unternehmensgröße, Risiko und Ressourcen – mit dem Ziel: weniger Bürokratie, mehr Wirksamkeit. Doch wohin führt dieser Weg? Bedeutet er eine überfällige Anpassung – oder den Beginn einer grundlegenden Neuausrichtung des europäischen Datenschutzes?
Gemeinsam mit Experten aus Praxis und Wissenschaft will der BvD Chancen, Herausforderungen und mögliche Auswirkungen der Reformvorschläge auf den Datenschutzalltag beleuchten.
Weitere Informationen und Anmeldung hier.

30.04.2025, 11:00 – 12:30 Uhr, online: Wohl ziemlich vergleichbar mit dem Vortrag des BvD vom 29.04.2025 – nur europäischer besetzt und daher in Englisch. Weitere Informationen und Anmeldung hier.

05.05.2025, 11:00 – 17:00 Uhr, Wiesbaden und online: Bei der Veranstaltung geht es um die Frage, wo im Datenschutz Regelungen notwendig und wo überflüssige bürokratische Regelungen und Praktiken festzustellen und zu beseitigen sind. Es gibt sicher auch Antworten dazu! Weitere Informationen und Anmeldung dazu hier.

06.05.2025, 13:00 – 14:00 Uhr, online: Die Trump-Administration hat in den vergangenen Wochen zahlreiche Initiativen auf den Weg gebracht, die den Datentransfer zwischen Europa und den USA sowie den Einsatz von KI in den USA betreffen. Nicht alle Maßnahmen sind für Europa positiv. Gleichwohl gibt es auf Bundesstaatsebene in den USA weiterhin wichtige Regeln für deutsche Unternehmen zum (Verbraucher-) Datenschutz und neuerdings auch zur Verwendung von Künstlichen Intelligenzen. Ein Experte berichtet auch zu den denkbaren Auswirkungen auf das Trans-Atlantic Data Privacy Framework (TDPF) und zur Regelung von KI und personenbezogenen Daten allgemein in den USA. Weitere Informationen und Anmeldung dazu hier.

Im Rahmen der öffentlichen Ringvorlesung an der Universität Salzburg gibt es interessante Themen, die mittwochs von 17:00 und 18:30 Uhr ausschließlich vor Ort stattfinden.
07.05.2025: „Der digitale Euro – macht er uns zum gläsernen Menschen?“
21.05.2025: „Datengetriebene Forschung – Spannungsfeld zwischen Wissenschaft und Datenschutz“
04.06.2025: Privacy und Diversity Diversitätsgerechter Privatheitsschutz in digitalen Umgebungen“
18.06.2025: „Arbeitnehmerdatenschutz – Datenschutz und Privatsphäre aus Sicht der Beschäftigten“

08.05.2025, 14:00 – 17:00 Uhr, München: Viele Unternehmen in Bayern setzen KI, sei es Chat GPT & Co. oder mittels anderer Softwaresysteme, bereits ein. Die KI-Verordnung (KI-VO) greift schrittweise ab 2025 und bringt zwangsläufig im Augenblick noch mehr Fragen als Antworten mit sich. Zugleich bleibt die DS-GVO unangetastet beim Themenfeld KI bestehen. In dieser Veranstaltung gibt es Informationen von Expert:innen des BayLDA, welche spezifischen Anforderungen und Einschränkungen die Verordnungen für den Umgang mit Daten und KI-Systemen festlegen.

• Anforderungen an KI aus Sicht des Datenschutzes
• Gemeinsamkeiten und Unterschiede zur KI-VO
• Tipps für Unternehmen und KMU zur rechtssicheren Umsetzung

Weitere Informationen und Anmeldung dazu hier.

10.-16.05.2025, Kiel: Das ULD bietet im Rahmen der „Digitalen Woche“ in Kiel zahlreiche Veranstaltungen. Informationen und Anmeldung hier.

14.05.2025, ab 18:00 Uhr, online: Mit den Thematiken von KI und Datenschutz als Herausforderungen und zu Lösungsansätzen im Ehrenamt befasst sich die kostenlose Veranstaltung der Stiftung Datenschutz.
Völlig datenschutzkonform mit KI-Tools wie LLM-Chatbots zu arbeiten ist in den meisten Fällen sehr aufwändig. Doch es gibt Möglichkeiten sich diesem Ideal mit überschaubarem Aufwand anzunähern. In dieser Veranstaltung wird vermittelt, welche Anforderungen beim Einsatz von KI-Tools gelten, wo die größten Fallstricke lauern und warum Datenschutz in diesem Bereich oft eine Herausforderung ist. Gleichzeitig werden bewährte Best Practices aufgezeigt, mit denen KI möglichst datenschutzfreundlich genutzt werden kann. Weitere Informationen und Anmeldung hier.

15.05.2025, 10:30 – 12:00 Uhr, online: Die Bayerische Landesmedienanstalt (BLM) weist darauf hin, dass die Meinungsbildung in Krisenzeiten ihren Tribut fordere: Immer mehr Menschen fühlen sich vom öffentlichen Diskurs nicht mehr angesprochen – oder wenden sich enttäuscht und wütend ab. Andere ziehen sich zurück, aus Angst, Überforderung oder Resignation. Was bedeutet das für unsere Demokratie? Dieser Frage widmet sich die Online-Veranstaltung: „Angebunden oder abgekoppelt? Wer sich vom Diskurs abwendet – und wie wir sie zurückholen können.“
Eine neue, repräsentative Studie zeige, wie unterschiedlich Meinungsbildung in Deutschland heute funktioniert. Sie identifiziert sechs verschiedene Meinungsbildungstypen und gibt tiefe Einblicke in deren jeweilige Anbindung an den gesellschaftlichen Diskurs. Die Ergebnisse machen deutlich: Die Mehrheit ist noch anschlussfähig, doch es gibt Gruppen mit deutlichen Abkopplungstendenzen. Die Studie liefert nicht nur ein differenziertes Bild dieser Gruppen, sondern auch konkrete Anknüpfungspunkte, wie eine erneute Anbindung gelingen kann. Details und Anmeldung dazu hier.

15.05.2025, 14:00 bis 17:00 Uhr, Hamburg: Die meisten durch den Data Act entstehenden Pflichten beziehen sich sowohl auf personenbezogene Daten als auch auf Daten ohne Personenbezug. Dadurch ist der neue Rechtsakt eng mit dem Datenschutz verzahnt. Während der Data Act die Weitergabe personenbezogener Daten verlangt, macht die DS-GVO die Weitergabe von zusätzlichen Voraussetzungen abhängig. Die Verantwortlichkeit für die personenbezogene Datenverarbeitung auf vernetzten Geräten wird durch den Data Act zwischen den Herstellern, Cloud-Betreibern und Nutzenden aufgeteilt.
Der Data Act fordert noch stärker als die KI-Verordnung die Datenschutzabteilung im Unternehmen. Sie muss sich vorbereiten, bisherige Verarbeitungen des Verarbeitungsverzeichnisses analysieren, Verantwortlichkeiten und Pflichten ermitteln und Schnittstellen für das Datenteilen einrichten. Dabei ist eine Zusammenarbeit mit dem Informationssicherheits-/Rechtsbereich (Geschäftsgeheimnisschutz, gewerbliche Schutzrechte, Vertragsrecht) geboten. Auch die Abstimmung mit den Regelungen der KI-Verordnung ist zu beachten. Dazu diskutiert der HmbBfDI mit Gästen. Weitere Informationen und Anmeldung hier.

19.05.2025, 17:00 – 18:00 Uhr, online: Erhält ein Kind sein erstes Smartphone. erhält es mit ihm viele neue Möglichkeiten, aber auch Herausforderungen. Im virtuellen Elternabend gibt es alltagstaugliche Tipps zu sicheren Einstellungen, zum Schutz persönlicher Daten und zu Kind-gerechten Apps. Neben Tipps zur Medienerziehung wird aufgezeigt, wie das Kind für einen kompetenten Umgang mit Kontaktrisiken, Kostenfallen und Co. Gestärkt werden kann. Weitere Informationen und Anmeldung hier.

In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:

• Ausgabe 6: Thema wird in Kürze bekannt gegeben*
  28.05.2025 \\ online
• Ausgabe 7: Thema wird in Kürze bekannt gegeben
  09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin

* Franks Anmerkung: Ja, das steht da wirklich auch Ostern 2025 immer noch so! Menü Surprise!

02.06.2025, 18:00 Uhr, – 03.06.2025, 18:00 Uhr, Esslingen: Am 02. und 03. Juni 2025 veranstaltet der LfDI Baden-Württemberg die 6. IFG Days. Dieses Mal findet die Veranstaltung in Kooperation mit dem Landesamt für Denkmalpflege des RP Stuttgart in Esslingen am Neckar statt. Ein frisch restauriertes Gemälde, der Bau einer Schule oder die Ergebnisse einer Verkehrszählung, zu sehr vielen Fragestellungen in unserem direkten Umfeld gibt es bei den öffentlichen Stellen interessante und wertvolle Informationen. Diese entstehen neben der eigentlichen Aufgabenstellung und sind in sehr vielen Fällen zugänglich. Bislang mussten Bürgerinnen und Bürger allerdings konkret nachfragen und Stellen die Einzelfälle bearbeiten. Jetzt stellen immer mehr Einrichtungen Informationen aktiv in Portalen bereit. Eingerahmt von einem interessanten Programm haben Zuständige in Behörden, Fachleute und Interessierte die Chance mehr über die aktuellen Entwicklungen in der Informationsfreiheit zu erfahren. Weitere Informationen und Anmeldung dazu hier.

03.06.2025, 17:00 – 18:30 Uhr, online: Immer früher bestimmen digitale Medien das Leben von Kindern und Jugendlichen. Sie bieten Raum für Austausch, Kreativität, Spiel und Unterhaltung. Gleichzeitig bestehen Risiken und Einflüsse, welche die Entwicklung im Kindes- und Jugendalter beeinträchtigen oder gefährden können. Wie können Kinder und Jugendliche dabei unterstützt werden, digitale Medien altersgerecht und unbeschwert zu nutzen? Wie wirken sich digitale Entwicklungen auf einen modernen Kinder- und Jugendmedienschutz aus? Welche Verantwortung haben Anbieter:innen? Wie können Eltern und Fachkräfte bei ihrem Erziehungsauftrag unterstützt werden. Diese und weitere Fragen können mit Expert:innen der Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) und den Teilnehmenden der Veranstaltungsreihe diskutiert werden. Weitere Informationen und Anmeldung dazu hier.

24.06.2025, ab 10:00 Uhr, Stuttgart: Die IDEepolis-Tagung 2025 widmet sich dem Thema "KI und Bildung: Künstliche Systeme in Unterricht und Lehre" und diskutiert die Frage nach der Rolle von KI-Systemen in Schule und Hochschule an der Schnittstelle zwischen Forschung, Lehre, Unterricht und Praxis. Das Konzept der Tagung folgt dabei dieses Jahr dem Kerngedanken eines "ethischen Gesprächssalons", bei dem die eingeladenen Referenten zuerst ihre Thesen vorstellen und dann gemeinsam im Austausch mit dem Publikum weiterentwickeln. Parallel dazu wird der Medienethik-Award META 2024/25 zum Thema „Kinder und Jugendliche in der digitalisierten Welt“ verliehen. Weitere Informationen und Anmeldung hier.

6.1 Folgen der Nutzung von Social-Media-Apps

Der Titel sagt eigentlich alles: „Smartphones machen uns nicht dümmer, aber die Social-Media-Apps, von denen wir abhängig werden“ und die Bedeutung bekommt der Beitrag auch durch den Verfasser: den Direktor emeritus des Max-Planck-Instituts für Bildungsforschung.

6.2 KI-Training mit Daten aus Social-Media-Diensten von Meta

Nach diesem Bericht beginnt Meta wieder Daten der Facebook- und Instagram-Nutzer für ein KI-Training zu verwenden – und hier berichtet Meta selbst dazu.

6.3 Microsoft „Recall“ – kommt es nun doch?

Offenbar plant Microsoft nun doch die Funktionalität „Recall“ einzuführen, mit der es ermöglicht wird Anwendungs-übergreifend auf gespeicherte Daten zuzugreifen (wir berichteten 2024). Oder es wird positiv beschrieben „Schritte rückverfolgen“! Na ja, Kritiker gibt es doch immer, oder?

7.1 USA: „tot oder lebendig“ – Umgang mit Migranten

Den Satz kennt man eher aus Western-Verfilmungen, wenn es um gesuchte Personen geht. Die Trump-Adminstration zeigt auf erschreckende Weise, wie wichtig auch die Frage der Integrität von Datenbanken ist. Sie ändert Daten von Migranten in Datenbanken und will ihnen die Sozialversicherungsnummer entziehen – wie wenn sie tot wären. Das hat einschneidende Folgen für deren wirtschaftliche und gesellschaftliche Existenz, wie hier berichtet wird.

7.2 Zugriff auf US-Steuerdaten für private Nutzung?

Spätestens jetzt wird vielleicht vielen deutlich, welchen Vorteil die europäische Sichtweise auf datenschutzrechtliche Anforderungen haben kann: Nach diesem Bericht wollen sich nämlich die Hilfstruppen des US-Präsidenten Zugriff auf die Steuerdaten der US-Bürger verschaffen. Möglich gemacht werden soll dies mittels einer einzigen API.

7.3 USA: Klage gegen Google wegen Browser-Überwachung von Schüler:innen

Nach diesem Bericht verwenden 70 Prozent der US-Schulen Chromebooks samt Clouddiensten von Google. Damit soll Google die Kinder quer durch das Internet selbst dann verfolgen, wenn Cookies ausgeschaltet sind – durch heimliches Fingerprinting im Chrome-Browser. Diesen Vorwurf erhebt eine neue Klage, die als Sammelklage alle betroffenen Familien vertreten möchte. Die geernteten Daten würde der Datenkonzern für kommerzielle Zwecke für sich selbst sowie für seine Werbekunden auswerten.
Chromebook und Schulen – da war doch was? Richtig: das Thema gab es in Dänemark bereits (wir berichteten, wie auch hier), führte zu einer Anfrage der dänischen Aufsicht an den EDSA und zu dessen Opinion 22/2024 (wir berichteten). Danke, Google!

7.4 UK: Doch keine Backdoor bei Apples iCloud?

Die britische Regierung verlangte von Apple eine Backdoor in der iCloud (wir schrieben dazu). Jetzt hat ein Richter in einem ersten Schritt die Geheimhaltung des Vorgangs kassiert, wie hier berichtet wird.

7.5 Kinderschutz bei Meta?

Mittlerweile glaube ich fast, dass sich manche Entscheidungsträger in Marketingabteilungen nicht mal dumm stellen müssen, um nicht zu erkennen, wie toxisch die Algorithmen der Social-Media-Dienste auf Kinder und Jugendliche wirken. Einerseits gibt es wissenschaftliche Studien und Vorträge dazu, andererseits berichten Whistleblower:innen seit Jahren davon, dass dies seitens der Führung von Meta in Kauf genommen wird, wie nun auch wieder.

7.6 UK: Algorithmus zur Vorhersage von Straftaten

Wie hier berichtet wird, soll es im vereinigten Königreich ein Tool geben, dass Straftaten vorhersagen kann. Die Regierung erhofft nach diesem Bericht, dass das Programm persönliche Daten von Personen verwenden kann, die den Behörden bekannt sind, um die Personen zu identifizieren, die am ehesten zu Mördern werden. Das Programm wurde ursprünglich als "Projekt zur Vorhersage von Tötungsdelikten" bezeichnet, aber sein Name wurde in "Datenaustausch zur Verbesserung der Risikobewertung" geändert. Das Justizministerium hofft, dass das Projekt zur Verbesserung der öffentlichen Sicherheit beitragen wird, aber Aktivisten haben es als "erschreckend und dystopisch" bezeichnet.
Die Existenz des Projekts wurde von der NGO Statewatch entdeckt und einige seiner Abläufe durch Dokumente aufgedeckt, die das NGO durch Anfragen zur Informationsfreiheit erhalten hatten.
Laut Statewatch werden im Rahmen des Projekts Daten von Personen verwendet, die nicht wegen einer Straftat verurteilt wurden, einschließlich persönlicher Informationen über Selbstverletzung und Details zu häuslicher Gewalt. Die Beamten bestreiten dies vehement und bestehen darauf, dass nur Daten über Personen mit mindestens einer strafrechtlichen Verurteilung verwendet wurden.
Die Regierung sagt, dass sich das Projekt in diesem Stadium nur für die Forschung befindet, aber Aktivisten behaupten, dass die verwendeten Daten die Vorhersagen zugunsten von ethnischen Minderheiten und armen Menschen verzerren würden.
Warum wird sowas nie für Cum-Ex-Aktivitäten oder Korruption eingesetzt?

Franks Nachtrag: Ich hätte dieses Thema auch gebracht, so ergänze ich nur meine Quelle ... Und ich hätte natürlich noch eine Referenz gebracht auf ... Minority Report ... offensichtlich.

Franks zweiter Nachtrag: Hier hat sich ein NGO zu prädikativer Polizeiarbeit ausgelassen.

8.1 Apropos KI ...

Zwei Wochen sind vergangen, wieder gab es reichlich neue Nachrichten rund um die Skurilitäten mit und von KI:

• Überall ist Künstliche Intelligenz eingebaut, selbst in Zahnbürsten, dabei verbraucht sie Unmengen an Strom. Ein Forscher sagt im Interview, was Verbraucher:innen dagegen tun können. Die Erkenntnis: Vielleicht geht es auch manchmal ohne KI. Ach, ach was ...
• Waymo gibt es ja noch nicht bei uns in Europa, oder? Falls doch, das möchten Sie vielleicht wissen.
• Die Deutsche Bahn will derweil mit Hilfe eines Prognoseautomats mit KI die Reiseinformation verbessern. Wie wäre es, wenn sie stattdessen ihre Basis-Dienste (wie Bahnfahrende pünktlich vom Start zum Ziel zu bringen) verbessern würden?
• Meta? KI? Schummeln? Wo denken Sie hin... Die experimentieren nur.
• Bei Google hingegen werden nicht benötigte KI-Mitarbeiter fürs Nichtstun bezahlt. Besser, als wenn sie zur Konkurrenz gehen, scheint die Idee dabei zu sein.
• Und die US-Regierung? Die sucht mithilfe von KI scheinbar nach Trump-Kritikern.
• Kennen Sie das, wenn Gesichter in Bilder geblurrt, also unkenntlich gemacht werden, also umgangssprachlich anonymisiert? Da hatte eine deutsche KI-Firma eine gute Idee, baute ein entsprechendes Produkt. Und wurde nun prompt von einem Hersteller von Überwachungssoftware gekauft. Da sag ich mal nix zu.
• Wenn KI die Mehrheitsmeinung abbildet, und dies nicht heißt, die Meinung der Mehrheit der Menschen / Quellen, sondern die Mehrheit der Informationen, dann ist die in diesem Artikel zitierte Studie besorgniserregend für alle, die KI Wissensvermittlung zutrauen.
• Wo könnten wir denn noch KI einsetzen, fragen Sie? Wie wäre es mit der Logistik? Also nicht in der Tourenplanung, mehr bei der Rechnungserstellung.
• In Heilbronn entsteht eines der bedeutendsten KI-Ökosysteme Europas. Das ist auch gut so, denn nach dem Arbeitsgericht Heilbronn ist in Stellenanzeigen nach Digital Natives suchen Altersdiskriminierung. Dann brauchen sie dank KI also keine Digital Natives mehr ... läuft bei denen.
• Wie wäre es, wenn man KI-Chatbots als Medizinprodukte zulassen könnte? Es stellt sich heraus, dass das geht.
• Kennen Sie den Future of Jobs Report 2025 des World Economic Forum? Nein? Dann schauen Sie sich mal dieses Diagramm an. Sehen Sie es auch? Lesen, Schreiben, Mathematik, Programmieren oder auch Qualitätskontrolle ist „Less essential now, and not expected to increase in use“, wohingegen KI und Big Data „Core skills in 2030; Core now and expected to increase in importance“ sind? Wie das wohl geht, so ohne Lesen, Schreiben, Mathematik? Beats me ...
• Kommen wir lieber zu etwas Erfreulichem. Wie diesem Fragebogen zum Digital Maturity Assessment für KMU. Den hat wohl jemand aus Compliance-Gründen für sein Unternehmen ausfüllen müssen. Als er bei Blockchain und KI jeweils 0 eintrug, weil sie beides nicht nutzten, wurde ihm jeweils ein GAP bescheinigt. Na dann, läuft doch beim European Digital Innovation Hubs Network. OK, das war jetzt doch nicht so erfreulich.
• Nachdem wir ja schon eine Meldung hatten, dass KI beim Compliance-Wust zum Beantragen eines Atomkraftwerks helfen könne, meint dieser Artikel „Warum halbherzig, all in“ und postuliert, dass KI auch gleich die Atomkraftwerke managen kann. Was soll da schon schiefgehen. Zitat gefällig?
  

  The tool can also help improve the efficiency of the personnel needed to operate a nuclear plant, Vilim said. That’s especially important as older employees leave the workforce. “If we can hand off some of these lower-level capabilities to a machine, when someone retires, you don’t need to replace him or her,” he said.

• Hatten wir heute schon Palantir? Nun, die Nato hat nun Palantir.
• Die irische DPC? Die führt gerade eine Prüfung der Einhaltung einer Reihe von Schlüsselbestimmungen der DSGVO, unter anderem im Hinblick auf die Rechtmäßigkeit und Transparenz der Verarbeitung bzgl. des Trainings generativer Modelle künstlicher Intelligenz, insbesondere die Grok Large Language Models (LLMs) mit den Daten von EU-/EWR-Nutzern auf der Social-Media-Plattform „X“ durch. Faszinierend.
  Ob die Untersuchung auch zu einem Ergebnis kommt, welches den Betroffenen hilft? Das steht auf einem anderen Blatt.
• Und zum Anschluss schenke ich Ihnen noch etwas. Kennen Sie das, wenn Sie ein Bild anschauen, welches sowohl ein Hund aber auch ein Gesicht sein kann? Und dann sagt Ihenn jemand, was es ist und Sie bekommen das nicht mehr aus dem Kopf? Sowas schenke ich Ihnen: Why do AI company logos look like buttholes? Gern geschehen ...

8.2 Der digitale Nachlass

Wir Menschen beschäftigen uns selten gerne mit der Zeit nach uns. Es ist nur natürlich, dass die Welt sich weiterdreht, auch wenn wir nicht mehr da sind. Meistens haben wir Angehörige oder andere Menschen, die zurückbleiben, die sich um unseren Nachlass kümmern. Im analogen Leben ist das seit Jahrtausenden geübte Praxis. Aber im Digitalen? Wir hatten schon mal vor einiger Zeit das Thema (unter dem Stichwort „Das Digitale Ich – selbstbestimmt surfen“), hier nun ein relativ aktueller Podcast (des BSI, Dauer ca. 25 Min.) zum digitalen Nachlass unter dem Titel „Online für die Ewigkeit? Warum der digitale Nachlass so wichtig ist“. Falls Sie sich doch mal mit der Zeit nach Ihnen beschäftigen wollen.

8.3 Brauchen wir Alternativen zu US-Cloud-Anbietern?

Wenn ich diesen Artikel aus der Schweiz lese, dann ja. Ein Zitat daraus:

Unsere Staats­diener sind traumatisiert von Druckern, die nicht funktionieren oder von schlechtem WLAN. Deshalb möchten sie einfach das behalten, was sie kennen. Unsere Beamten setzen die europäische Sicherheit und Unabhängigkeit aufs Spiel, nur damit sie weiterhin Microsoft Outlook nutzen können! Das klingt idiotisch, aber so erlebe ich Verwaltungen.

Geschreiben hat ihn ein niederländische Informatiker und Geheimdienst-Experte. Aber was weiß der schon?
Was sagen denn andere zu US-Cloud-Anbietern? Diesen Kommentator hatten wir doch schon gerne und häufig in unserer Blog-Reihe: „Digitale Souveränität statt Abhängigkeit: Warum der Abschied von US-IT unvermeidlich ist“ gibt schon eine Tendenz vor... Und er legt auch noch nach: Er stellt nämlich die Frage, ob die Versprechen von EU-Serverstandorten wirklich helfen? Spoiler: Nein. Aber auch er sagt das ja immer.
Was sagt denn die Fachpresse? Nun ja, um mal einen (weiteren Kommenatur zu einem) Anbieter herauszugreifen: So schlecht sind die Argumente für Microsoft 365.
Meistens ist ja das Argument, das wegen Kosten, Skalierbarkeit und Flexibilität in die Cloud umgezogen wird. Dumm, wenn das Argument dann nicht mehr greift.
Vielleicht brauchen wir Alternativen zur Cloud allgemein?
Tbc...

8.4 Zwei Wochen zu spät: Zum 100. Geburtstag von Heinz Nixdorf

Beim letzten Blog-Beitrag war ich irgendwann so froh, dass ich endlich alles online hatte, dass ich diesen Beitrag vergessen habe.
Dabei bin ich doch (gerade noch) alter Nixdorfer, habe meine Studiums-begleitenden Praktika erst bei der Nixdorf Computer AG, dann bei der Siemens Nixdorf Informationssysteme AG gehabt. Nun ja, lange ist das her. Immer sehenswert ist übrigens das Heinz Nixdorf MuseumsForum, das weltgrößte Computermuseum.

8.5 Troy Hunt Gets Phished

Phishing ist weitverbreitet. Und Mitarbeiter:innen von Unternehmen und Organisationen werden regelmäßig geshamed, wenn sie drauf reinfallen. Dabei passiert es den Besten. Wie zum Beispiel Troy Hunt, dem Betreiber von „Have I Been Pwned“. Und im Gegensatz zu vielen anderen, die dann rumschwurbeln und Nebelkerzen zünden, ist er sehr transparent damit umgegangen. und das auch noch sehr schnell. Nach diesem (wie so oft hörenswerten) Podcast (Dauer ca. 2 Std., ab Minute 80) hat er innerhalb von 34 Minuten. nach dem phishing-Vorfall seine (seitdem mehrfach aktualisierte) fundierte Meldung dazu herausgebracht.
Es gibt natürlich welche, die denken, dass sie über solchen Schwächen stehen (bis fast zum Ende seines Beitrags, dann denkt auch dieser Mensch, dass es ihn treffen konnte, die Quelle hat trotzdem lesenswerte Tipps gegen Phishing).
Ein Anderer ist deutlich teilnahmsvoller und berichtet darüber, wie es ihn schon sechs mal (IRL und online) erwischt hat.
Was ist die Moral der Geschichte?

• Phishing kann jeden (ja, auch Sie oder mich!) treffen. Niemand ist, egal wie sehr mit Awaressness-Maßnahmen sensibilisiert, davor gefeit.
• Warum zeigt das mobile Outlook nur die Bezeichung der Adresse aber nicht die richtige Adresse an? Outlook 🙄
• Niemals direkt in einer Mail auf Links klicken!
• Und wenn etwas passiert ist, dann gehen Sie damit transparent um, informieren Sie Betroffene.

8.6 Jemand anderes trickst die Erpresser aus?

Laut dieser Meldung hat ein IT-Experte erfolgreich Erpresser ausgetrickst und nicht so viel Lösegeld wie verlangt bezahlt. Ich halte es da eher mit diesem Kommentator. Ein Zitat aus seinem Kommentar:

Das Harte an der Story ist aber, wie dieser Chef sich jetzt für den Held hält, weil er den Schaden für sein Unternehmen minimiert und den Schaden für seine Kunden maximiert hat.

8.7 Milliardäre und ihre Pläne – TESCREAL

Hier hatte ich Ihnen im Nachtrag zum Blog-Beitrag einen Link auf ein Dossier zu Peter Thiel gegeben, welches versucht, uns ein wenig seine Motivation und Gedankenwelt näher zu bringen (gruselig, das!). In diesem Beitrag wird die dahinter stehende toxische Ideologie am Beispiel von Elon Musk erläutert (noch viel gruseliger, das!). Ich würde mir wünschen, dass es allen so ergeht wie Jody Bannon in diesem Buch.

Franks Nachtrag: Wenn Sie nicht den Links folgen aber trotzdem wissen wollen, wofür TESCREAL steht, I've got you covered: Transhumanism, Extropianism, Singularitarianism, Cosmism, Rationality, Effective Altruism, and Longtermism.

8.8 OWASP Non-Human Identities Top 10

In diesem Newsletter fand ich die folgende Textpassage:

"Das Open Worldwide Application Security Project (OWASP) veröffentlichte am 10.12.2024 eine Liste der zehn kritischsten Fehler im Umgang mit Non-Human Identities (NHIs), also beispielsweise Service Accounts und API-Keys. Sie regeln die Berechtigungen in automatisierten IT-Infrastrukturen. Werden diese unsachgemäß verwaltet, können schwere Sicherheitslücken entstehen: Verwaiste Accounts und offengelegte Zugangsdaten können ein Einfallstor für Angreifer sein. Auch veraltete Authentifizierungsmethoden und übermäßige Berechtigungen erleichtern Angreifern die Arbeit.
Die OWASP-Liste zeigt nicht nur die häufigsten Fehler, sondern auch, wie sie vermieden werden können. Daher kann sie – wie die bekannten „OWASP Top 10“ – als Leitfaden für Softwareentwickler genutzt werden. Aber auch für eine Überprüfung der eigenen IT-Infrastruktur eignet sich die Liste. Vorfälle wie der Midnight Blizzard-Angriff bei Microsoft am 12.01.2024 und der Einbruch in das Okta-Support-System am 28.09.2023 verdeutlichen, welche Risiken von kompromittierten NHIs ausgehen."

Die OWASP Non-Human Identities Top 10 Liste finden Sie hier.
Dazu hatten wir auch schon mal eine Meldung, glaube ich. Auf jeden Fall gibt es zu der vorherigen Meldung noch eine weitere lesenswerte Quelle.

8.9 Gmail E2E

Kennen Sie Gmail E2E? Nein? Dann lesen Sie erst mal das hier. Und dann noch dieses dort. Und dann sagen wir alle gemeinsam:

„Ende-zu-Ende-verschlüsselt ist es nur dann, wenn nur die Absenderin und ich Schlüssel kennen bzw. besitzen, niemand auf dem Weg von ihr zu mir.“

8.10 Schlangenöl

Und wieder mal: Der Virenschutz hat damit erst die Ausführung der Malware ermöglicht.
Und wir so: Ja nee, is klar.

8.11 Bewerbungen an Geheimdienste

Sie bewerben sich bei einem Geheimdienst. Dieser teilt diese Information mit Google. Das ist wahrscheinlich erst mal unerwartet.
Gefunden habe ich auch diese Information im bereits verlinkten Newsletter. Hier wieder die relavante Textpassage:

Am 12.01.2025 wies der Unternehmer und Aktivist Bert Hubert öffentlich darauf hin, dass Bewerbungen für den niederländischen Geheimdienst Google bekanntgegeben werden: nicht absichtlich, sondern weil das staatliche Bewerbungsportal werkenvoornederland.nl unbedacht Google Analytics verwendet. Der Cookie-Banner bietet keine Möglichkeit, diese Datenweitergabe zu unterbinden. Dabei schreibt der Geheimdienst AIVD selbst: „Wir bitten Sie, nicht mit anderen über Ihre Bewerbung bei der AIVD zu sprechen. Es könnte Ihrer Bewerbung und Ihrer möglichen Karriere beim AIVD schaden und Ihre Sicherheit gefährden.“ Huberts Hinweis führte zu einer bisher unbeantworteten Anfrage des Abgeordneten Derk Boswijk an die Innenministerin.
Auch auf karriere.bund.de kann man sich für Stellen beim Verfassungsschutz und beim Bundesnachrichtendienst bewerben. Laut Datenschutzerklärung nutzt die Webseite die polnische Google-Analytics-Alternative Piwik PRO, wobei IP-Adressen gekürzt werden. Doch genügt das? Piwik und sein Schwesterprojekt Matomo könnten auch auf bundeseigenen Servern betrieben werden.
Immer wieder kommt es zur Preisgabe hoch sensibler Daten durch die unbedachte Verwendung von Standard-Technologie, wie 2020 die Standortdaten von Kasernen durch Fitnesstracker (SSN 11/2020).

8.12 How to Leak to a Journalist

Falls Sie das mal vorhaben sollten Sie vorher Tipps wie diese lesen.

8.13 Quiz zur technologischen Souveränität

Das BMBF hat ein Quiz zur technologischen Souveränität – bestehend aus acht Fragen – gebaut. Scheinbar haben wir es erfolgreich bestanden, auch wenn wir nicht alle Fragen richtig beantworten. Nun ja ...

8.14 Mal wieder etwas zur ePA

Endlich mal wieder etwas zur ePA. Es läuft wohl nicht so gut mit der Testphase. Aber das macht nichts, da wird einfach durchgezogen!

8.15 Apropos Medizin: Online-Terminvergabe, irgendjemand?

Doctolib ist da ja vielleicht nicht die allerbeste Wahl für Ärztinnen und Ärzte, hier werden Alternativen dargestellt.

8.16 Whispers in Luxembourg

Das scheint jetzt wirklich mal ein gutes Anwendungsszenario für KI zu sein: Der KI-generierte Bossa Nova zur Amazon-Strafe durch die Luxemburger Aufsicht. Das hört sich sogar ganz nett an.

9.1 Digitale Medien, Gaming und Social Media und ihre Bedeutung für den Schulalltag

In einem hier veröffentlichten Beitrag geht es um digitale Medien, Gaming und Social Media und ihre Bedeutung für den Schulalltag. Kinder und Jugendliche verbringen täglich etwa zwei Stunden am Smartphone. Doch wie viel ist zu viel? Wann führt eine exzessive Nutzung zu einem Suchtproblem? Und was bedeuten Social Media und Videogames für die Schulen? Dabei wird thematisiert, warum die offizielle Diagnose der „Gaming Disorder“ ein wichtiger Ausgangspunkt für die Debatten rund um ein „richtiges“ Maß an Mediennutzung sein kann – und wieso die „3+1-Regel“ der Weltgesundheitsorganisation (WHO) ein hilfreiches Maß für echte Abhängigkeit bieten würde.