Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.
Der Inhalt im Überblick
- DSK: Orientierungshilfe zur datenschutzkonformen Entwicklung und zum Betrieb von KI-Systemen
- Das Internet stirbt – wie geht es weiter?
- Weitere News zu Datenschutz und IT
- DSK: Musterrichtlinien für das Verfahren über Geldbußen der Aufsichtsbehörden
- OLG Nürnberg: Darlegungs- und Beweislast bei Löschungsanspruch
- Weitere wichtige Meldungen
DSK: Orientierungshilfe zur datenschutzkonformen Entwicklung und zum Betrieb von KI-Systemen
Die Orientierungshilfe der DSK beschreibt datenschutzrechtliche Anforderungen entlang des gesamten Lebenszyklus von KI-Systemen, von der Designphase über Entwicklung, Einführung und Betrieb bis hin zum Monitoring, wobei Transparenz, menschliche Aufsicht, Sicherheit und Revisionssicherheit zentrale Aspekte sind. Sie fordert unter anderem eine nachvollziehbare Dokumentation der Funktionsweise, den Schutz der Betroffenenrechte sowie Maßnahmen wie Zugriffskontrollen und regelmäßige Qualitätsprüfungen.
Bedeutung für die Praxis:
- Unternehmen und Organisationen, die KI-Systeme einsetzen oder entwickeln, erhalten mit der DSK-Orientierungshilfe einen klaren Fahrplan, wie sie datenschutzkonforme KI-Systeme gestalten können. Die konsequente Umsetzung schützt vor rechtlichen Risiken, stärkt das Vertrauen der Nutzer und fördert Innovationen auf einer soliden, ethisch vertretbaren Grundlage.
Hilfreiche Links:
- Orientierungshilfe der DSK
- Künstliche Intelligenz – Was Arbeitsgeber beachten müssen?
- How to prompt: KI bedienen leicht gemacht
Das Internet stirbt – wie geht es weiter?
Das Internet erlebt einen tiefgreifenden Wandel, da KI-gestützte Systeme wie ChatGPT klassische Websites zunehmend ersetzen, indem sie Informationen direkt und gebündelt bereitstellen. Dies führt zu massiven Traffic-Verlusten bei Webseiten, Blogs und Verlagen, während KI-Optimierung und neue Strategien wie serverseitiges Rendering, strukturiertes Markup und der Aufbau direkter Zielgruppenbeziehungen essenziell werden, um sichtbar zu bleiben. Langfristig droht eine Verarmung der Vielfalt im Internet, während Marken, persönliche Expertise und direkte Nutzerbeziehungen an Bedeutung gewinnen.
Bedeutung für die Praxis:
- Zugegeben, der Beitrag betrifft keine klassischen Fragen des Datenschutzes. Gleichwohl sind die großen und kleinen Veränderungen im Netz interessant zu beobachten und man sollte die Entwicklungen im Blick behalten.
Hilfreiche Links:
- Kommentar bei heise.de
- Empfehlungen zum Schutz vor Web Scraping
- Customer Data Platform (CDP) und DSGVO vereinbaren
Weitere News zu Datenschutz und IT
- Data Broker: Warum der Datenhandel trotz DSGVO floriert | t3n.de
- TÜV-Umfrage: Großteil der Unternehmen glaubt an eigene IT-Sicherheit, BSI nicht | heise.de
- Umfrage: Kaum ein deutsches Unternehmen ist auf den Data Act vorbereitet | t3n.de
- EU startet Alterscheck-App – und erhöht damit den Druck auf Big Tech | handelsblatt.com
- 40.000 private Security-Kameras senden Live-Bild ungeschützt ins Netz | winfuture.de
DSK: Musterrichtlinien für das Verfahren über Geldbußen der Aufsichtsbehörden
Die DSK hat Musterrichtlinien für die Verhängung von Bußgeldern durch Datenschutzbehörden verabschiedet, die als interne Verwaltungsvorschriften eingeführt werden sollen, um einheitliche Verfahren sicherzustellen. Diese Richtlinien gelten sowohl für nationale als auch grenzüberschreitende Verarbeitungen, wobei die Vorgaben des EDSA vorrangig sind und deutsches Recht unionsrechtskonform auszulegen ist.
Bedeutung für die Praxis:
- Die Musterrichtlinien schaffen eine Grundlage für einheitliche Verfahren und geben den Behörden Leitlinien an die Hand – auch was das Zusammenspiel zwischen Datenschutzaufsicht und sonstigen Behörden angeht. Spannend das Vorgehen zu kennen, wenn es bei einem selbst zu einem entsprechenden Verfahren kommt.
Hilfreiche Links:
- Musterrichtlinien der DSK
- EuGH: DSGVO-Geldbußenberechnung bei Konzernunternehmen
- Rekord-Bußgeld für Vodafone: 45 Millionen Euro
OLG Nürnberg: Darlegungs- und Beweislast bei Löschungsanspruch
Der Kläger verlangte die Löschung von Einträgen über Zahlungsschwierigkeiten aus der Datenbank der Beklagten sowie die Berichtigung seines Scorewerts, scheiterte jedoch vor dem OLG, nachdem bereits das LG Regensburg seine Klage abgewiesen hatte. Das OLG entschied, dass der Kläger nach nationalem Recht die Beweislast für sein überwiegendes Interesse an der Löschung trägt, was er nicht ausreichend darlegte, und hielt die Speicherung der Einträge für eine Dauer von drei Jahren für legitim.
Bedeutung für die Praxis:
- Das Urteil zeigt, wie unterschiedlich die Beweislastverteilung je nach Gerichtsbarkeit sein kann. So gilt laut dem OLG für öffentlich-rechtliche Fälle Art. 5 Abs. 2 DSGVO, für private Stellen jedoch nicht. Das Urteil ist in jedem Fall interessant, welche Partei entsprechende Darlegungspflichten treffen.
Hilfreiche Links:
- OLG Nürnberg, Hinweisbeschluss vom 11.06.2025 – 3 U 383/25
- Das Recht auf Löschung (Vergessenwerden) einfach erklärt
- ArbG Neuruppin: Schadensersatz wegen unterlassener Löschung
Weitere wichtige Meldungen
- Europäische Kommission – Empfehlungen für Anpassungen der DSGVO
Die Europäische Kommission hat am 23.05.2025 eine Empfehlung zur Anpassung der DSGVO vorgelegt, um insbesondere Kleinstunternehmen, KMUs und kleine Mid-Cap-Unternehmen (KMCs) zu entlasten. Geplante Änderungen umfassen unter anderem die Einführung von Definitionen zu KMU und KMC in Art. 4 DSGVO, die Befreiung kleiner Unternehmen von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten unter bestimmten Bedingungen sowie die Ergänzung bestehender Bezugnahmen auf KMU um KMC in Art. 40 und 42 DSGVO.
Empfehlung der EU-Kommission vom 23.05.2025 - VG Bremen: Örtliche Zuständigkeit einer Landesdatenschutzbehörde bei Zweifeln über das Bestehen einer Hauptniederlassung
Das VG Bremen entschied, dass die örtliche Zuständigkeit der Bremer Datenschutzbehörde aufgrund fehlender eindeutiger Hauptniederlassung der Klägerin und eines ordnungsgemäß eingeleiteten Abstimmungsverfahrens gegeben war. Entscheidend war, dass die Zuständigkeit zum Zeitpunkt des Bescheiderlasses bestand und eine nachträgliche Klärung durch die Klägerin daran nichts änderte.
VG Bremen, Urteil vom 21.05.2025 – Az. 4 K 3063/23 - LG Berlin II: Intransparenz bei pauschaler Google-Einwilligung
In der Klage des Verbraucherzentrale Bundesband e.V. entschied das Gericht, dass die Google Ireland Limited gegen datenschutzrechtliche Vorgaben der DSGVO verstoßen hat, insbesondere durch unzureichend freiwillige und informierte Einwilligungen sowie unzulässige Voreinstellungen zur Datenspeicherung. Es bestätigte einen Unterlassungsanspruch, da die Verstöße die Kollektivinteressen von Verbrauchern betreffen und eine generelle Klärung erfordern.
LG Berlin II, Urteil vom 25.03.2025 – 15 O 472/22 - Jahresbericht irische Datenschutzkommission (DPC)
Am 19.06.2025 veröffentlichte die DPC ihren Tätigkeitsbericht für das Jahr 2024. U.a. verhängte die DPC in 11 Entscheidungen Bußgelder in Höhe von insgesamt 652 Millionen Euro – darunter 310 Millionen Euro gegen LinkedIn und 251 Millionen Euro gegen Meta. Zudem förderte die DPC die Harmonisierung europäischer Standards für KI-Modelle und führte 146 Untersuchungen zu unerlaubtem Marketing durch.
Pressemitteilung
