Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.
Der Inhalt im Überblick
- AEPD-Leitfaden: Agentenbasierte KI im Fokus des Datenschutzes
- USA weisen Diplomaten an, gegen Gesetze zur Datensouveränität vorzugehen
- Weitere News zu Datenschutz und IT
- Urteil zur unzulässigen Weitergabe von WhatsApp-Daten an Facebook
- Urteil zur rechtswidrigen Datenlöschung nach Auskunftsantrag
- Weitere wichtige Meldungen
AEPD-Leitfaden: Agentenbasierte KI im Fokus des Datenschutzes
Die spanische Datenschutzbehörde (AEPD) hat einen Leitfaden zur datenschutzkonformen Nutzung agentenbasierter KI-Systeme veröffentlicht. Diese Systeme gehen über klassische LLMs hinaus, da sie autonom agieren, eigenständig Aktionen ausführen, verschiedene Datenquellen einbinden und mit Kurz- sowie Langzeitgedächtnis arbeiten. Die AEPD warnt vor schwer kontrollierbarer Datenverarbeitung, Verstößen gegen Datenminimierung und Zweckbindung, intransparenten („Blackbox“-)Entscheidungen und Profilbildung ohne klare Rechtsgrundlage. Der Leitfaden bietet Verantwortlichen und Auftragsverarbeitern praxisnahe Orientierung zur Bewältigung dieser Risiken.
Bedeutung für die Praxis:
- Der Einsatz agentenbasierter KI erfordert eine sorgfältige Prüfung der Datenschutzanforderungen, wozu unter anderem eine Datenschutz-Folgenabschätzung, Anpassungen im Verzeichnis der Verarbeitungstätigkeiten sowie die Umsetzung spezifischer technischer und organisatorischer Maßnahmen gehören. Dabei ist es wichtig, Anbieter, Datenflüsse und Zugriffsrechte detailliert zu dokumentieren und klare Richtlinien für zulässige Datenquellen festzulegen. Da Standardlösungen meist nicht ausreichen, müssen Unternehmen die neuen Risiken gezielt adressieren und ihre Data-Governance entsprechend weiterentwickeln.
Hilfreiche Links:
- AEPD Leitfaden: Agentenbasierte Künstliche Intelligenz aus der Perspektive des Datenschutzes
- KI-Texte: Was gekennzeichnet werden muss – und was nicht
- Digitaler Omnibus zu KI: Welche Fristen gelten?
USA weisen Diplomaten an, gegen Gesetze zur Datensouveränität vorzugehen
Die US-Regierung unter Donald Trump hat ihre Diplomaten angewiesen, weltweit gegen Gesetze zur Datensouveränität vorzugehen, die etwa eine Speicherung von Daten im jeweiligen Land vorschreiben. Besonders im Visier stehen europäische Regelungen wie die DSGVO, die den Transfer personenbezogener Daten ins Ausland einschränken. Aus Sicht der US-Regierung sind solche Vorgaben „unnötig belastend“, da sie Geschäftsmodelle großer Tech-Konzerne behindern, den Einsatz von KI erschweren und globale Datenflüsse beeinträchtigen. Stattdessen wirbt sie für eigene internationale Initiativen, die freie Datenströme mit Datenschutz verbinden sollen.
Bedeutung für die Praxis:
- Die US-Datenpolitik verdeutlicht, dass Konflikte um internationale Datenflüsse, insbesondere zwischen EU und USA, ein dauerhaftes Thema bleiben. Der Gegensatz zwischen wirtschaftlichen Interessen wie freien Datenströmen und dem Ausbau von KI auf der einen Seite sowie Grundrechten wie Datenschutz und Überwachungsschutz auf der anderen Seite verschärft sich zunehmend. Unternehmen sollten die politische Entwicklung aufmerksam verfolgen und regelmäßig prüfen, ob bestehende Transferkonzepte angepasst werden müssen, um sowohl wirtschaftliche als auch datenschutzrechtliche Anforderungen zu erfüllen.
Hilfreiche Links:
- US orders diplomats to fight data sovereignty initiatives
- Pflichtenkollision beim US-Datentransfer rechtfertigt Nichtauskunft
- America First: Ist das Data Privacy Framework in Gefahr?
Weitere News zu Datenschutz und IT
- Gefährliche OAuth-Angriffe über ChatGPT in Entra ID | cyberpress.org
- Posteo und Mailbox: Viele Behörden schaffen keine verschlüsselten Anfragen | heise.de
- TikTok will auf E2E-Verschlüsselung für Direktnachrichten verzichten | heise.de
- Deutsche Unternehmen ignorieren NIS2-Pflichten massiv | heise.de
- Datenschützer fordern Beschränkung für Bodycam-Einsatz der Bahn | zeit.de
Urteil zur unzulässigen Weitergabe von WhatsApp-Daten an Facebook
Das Landgericht Berlin II beschäftigte sich mit der Frage, ob WhatsApp auf Grundlage der 2016 geänderten Nutzungsbedingungen personenbezogene Daten seiner Nutzer sowie Telefonnummern aus deren Adressbüchern an den Mutterkonzern Facebook weitergeben durfte. Hintergrund war eine Klage des Verbraucherzentrale Bundesverbands gegen die damalige Einwilligungspraxis. Das Gericht entschied, dass WhatsApp die Datenweitergabe an Facebook nicht auf Grundlage der im Verfahren beanstandeten Einwilligung vornehmen darf und entsprechende Klauseln der damaligen Datenschutzrichtlinie gegenüber Verbrauchern in Deutschland unzulässig sind. Die Einwilligung sei insbesondere nicht ausreichend transparent gewesen und habe auch Daten von Personen erfasst, die WhatsApp selbst nicht nutzen. Den Antrag, WhatsApp zur Veranlassung der Löschung bereits übermittelter Daten bei Facebook zu verpflichten, wies das Gericht jedoch ab.
Bedeutung:
- Die Entscheidung unterstreicht, dass Einwilligungen zur Datenverknüpfung mit Konzernunternehmen transparent und freiwillig erfolgen müssen und pauschale „Adressbuch-Freibriefe“ unzulässig sind. Zudem sind globale Plattformen verpflichtet, ihre AGB und Datenschutzhinweise an die strengen deutschen Verbraucher- und Datenschutzstandards anzupassen – selbst wenn bereits übertragene Daten nicht ohne Weiteres zurückgeholt werden können.
Hilfreiche Links:
- LG Berlin II, Urteil vom 23.02.2026 – 52 O 22/17
- iMessage und WhatsApp: Sicherheit, Verschlüsselung, rechtliche Entwicklungen
- Wenn WhatsApp zur Werbefläche wird
Urteil zur rechtswidrigen Datenlöschung nach Auskunftsantrag
Das Verwaltungsgericht Düsseldorf hatte zu entscheiden, ob personenbezogene Daten nach einem Auskunftsersuchen gemäß Art. 15 DSGVO gelöscht werden dürfen. In dem Fall hatte eine E-Mail-Marketing-Agentur einem Empfänger eine Werbe-E-Mail geschickt, woraufhin dieser Auskunft über die Herkunft und Verarbeitung seiner Daten verlangte. Die Agentur übermittelte daraufhin eine allgemeine Dokumentation und teilte gleichzeitig mit, die Daten des Betroffenen bereits gelöscht zu haben. Die Datenschutzaufsichtsbehörde wertete dies als Verstoß gegen die DSGVO und sprach eine Verwarnung aus. Das Gericht bestätigte die Auffassung der Behörde und stellte fest, dass die Löschung nach Eingang des Auskunftsersuchens eine Verarbeitung ohne Rechtsgrundlage darstellte, da weder eine Einwilligung noch ein Löschanspruch vorlag und die Daten zur Beantwortung der Anfrage weiterhin erforderlich gewesen wären.
Bedeutung:
- Das Urteil zeigt, dass Verantwortliche personenbezogene Daten nach einem Auskunftsersuchen nicht vorschnell löschen dürfen. Daten müssen grundsätzlich so lange gespeichert bleiben, wie sie zur vollständigen Beantwortung der Anfrage erforderlich sind. In der Praxis sollten daher Prozesse zur Bearbeitung von Auskunfts- und Löschanfragen klar getrennt werden, da eine vorschnelle Löschung als DSGVO-Verstoß gewertet werden kann.
Hilfreiche Links:
- VG Düsseldorf, Urteil vom 21.01.2026 – 29 K 7470/24
- Verzichtbarkeit des Auskunftsrechts nach Art.15 DSGVO
- DSGVO-Auskunft: Was muss geschwärzt werden
Weitere wichtige Meldungen
- BVerwG-Urteil zur Verarbeitung von Diagnosen durch private Krankenversicherer
Das Bundesverwaltungsgericht hat entschieden, dass private Krankenversicherer Diagnosen aus zur Erstattung eingereichten Rechnungen nicht ohne die ausdrückliche Einwilligung der Versicherten auswerten dürfen, beispielsweise um Einladungen zu Vorsorgeprogrammen zu versenden. Zwar dürfen Gesundheitsdaten grundsätzlich zu Zwecken der Gesundheitsversorgung verarbeitet werden, im konkreten Fall überwogen jedoch die Interessen der Versicherten aufgrund des besonderen Schutzes sensibler Gesundheitsdaten.
Pressemitteilung, Urteil vom 06.03.2026 – Az.: 6 C 7.24 - Haftung eines Cookie-Drittanbieters bei fehlender Einwilligung
Das OLG Frankfurt entschied, dass Drittanbieter von Cookies auch dann haften, wenn sie nicht selbst Betreiber der besuchten Webseiten sind, aber ohne Einwilligung der Nutzer Cookies setzen oder auslesen. Nach § 25 Abs. 1 TDDDG ist der Zugriff auf Endgeräte ohne Einwilligung generell verboten, unabhängig davon, ob der Zugriff durch den Webseitenbetreiber oder einen Dritten erfolgt. Ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO rechtfertigt den Zugriff nicht. Die Beweislast für das Vorliegen einer wirksamen Einwilligung trägt der Drittanbieter.
OLG Frankfurt, Urteil vom 11.12.2025 – Az.: 6 U 81/23 - FAQ des HmbBfDI zu Inkassodienstleistern
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat ein FAQ veröffentlicht, in dem er erläutert, auf welcher Rechtsgrundlage Inkassodienstleister Schuldnerdaten erhalten und nutzen dürfen, wann Daten weitergegeben, gespeichert oder gelöscht werden müssen und welche Betroffenenrechte (u.a. Auskunft und Löschung) gegenüber Inkassounternehmen bestehen.
HmbBfDI, FAQ „Post vom Inkassodienstleister: Und was ist mit dem Datenschutz?“
