Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.
Der Inhalt im Überblick
- Berliner BfDI verwarnt BVG wegen eines mangelhaften Umgangs mit einem Datenschutzvorfall
- Omnibus-Paket zur KI-VO: Längere Fristen und Entlastung für den Maschinenbau
- Weitere News zu Datenschutz und IT
- Urteil zur Angemessenheit der dreijährigen Speicherfrist bei Wirtschaftsauskunfteien
- Urteil zur proaktiven Filterpflicht von Suchmaschinenbetreibern
- Weitere wichtige Meldungen
Berliner BfDI verwarnt BVG wegen eines mangelhaften Umgangs mit einem Datenschutzvorfall
Die Berliner Datenschutzbeauftragte hat die Berliner Verkehrsbetriebe BVG verwarnt, nachdem ein von der BVG beauftragter Dienstleister Opfer eines IT-Angriffs wurde. Betroffen waren rund 180.000 Kundendatensätze, die zum Zeitpunkt des Angriffs beim Dienstleister bereits hätten gelöscht sein müssen. Die BVG hatte die tatsächliche Löschung nicht kontrolliert, sondern sich allein auf die vertragliche Zusicherung verlassen. Die BfDI stellte Verstöße gegen Art. 5 Abs. 2, Art. 32, Art. 33 sowie Art. 28 Abs. 3 DSGVO fest. Bemängelt wurde neben der fehlenden Löschkontrolle auch die verspätete Meldung des Vorfalls sowie das Fehlen eines konkreten Verfahrens für den Umgang mit Datenschutzvorfällen im Auftragsverarbeitungsvertrag.
Bedeutung für die Praxis:
- Der Fall verdeutlicht im Einklang mit dem BGH (VI ZR 396/24), dass sich Verantwortliche nicht allein auf die vertraglich zugesicherte Löschung durch Auftragsverarbeiter verlassen dürfen. Die tatsächliche Löschung muss kontrolliert und nachgewiesen werden. Zudem sind klare Meldeprozesse für Datenschutzvorfälle einzurichten und vertraglich festzulegen, um Fristversäumnisse zu vermeiden.
Hilfreiche Links:
- Pressemitteilung – Berliner Beauftragte für Datenschutz und Informationsfreiheit
- 59 Viel Lärm ums Löschen – Dr. Datenschutz Podcast
- Fristberechnung bei Datenschutzvorfall & Betroffenenanfrage
Omnibus-Paket zur KI-VO: Längere Fristen und Entlastung für den Maschinenbau
Das Europäische Parlament und der Rat der Europäischen Union haben sich auf ein Omnibus-Paket zur KI-Verordnung geeinigt. Die wichtigste Änderung betrifft den Zeitplan für Hochrisiko-Systeme. Der bisherige Stichtag für die Umsetzung – der 02.08.2026 – wird durch zwei Fristen ersetzt: Dezember 2027 für sensible Bereiche wie biometrische Systeme, kritische Infrastrukturen und Beschäftigung und August 2028 für in Produkte eingebettete Sicherheitskomponenten. Im Maschinenbereich werden Produkte von der unmittelbaren Anwendung der KI-VO weitgehend ausgenommen, soweit die Maschinenverordnung die relevanten Sicherheitsaspekte bereits adressiert. Daneben enthält das Paket ein Verbot von „Nudifier“-Anwendungen sowie eine Erweiterung der KMU-Erleichterungen auf „small mid-cap“-Unternehmen.
Bedeutung für die Praxis:
- Das Paket verschafft vor allem Zeit, ersetzt aber nicht die Notwendigkeit, Projekte inhaltlich auf KI-VO-Compliance auszurichten. Hochrisiko-Systeme müssen weiterhin frühzeitig identifiziert werden, nun allerdings mit differenzierten Fristen je nach Einsatzkontext.
Hilfreiche Links:
- EU agrees to amend AI Act, clarifies overlap with machinery rules | IAPP
- KI-Verordnung: verbotene Praktiken und die DSGVO
- Digitaler Omnibus zu KI: Welche Fristen gelten?
Weitere News zu Datenschutz und IT
- DSK spricht sich erneut gegen Chatkontrolle aus | stiftungdatenschutz.org
- Personalausweis und Reisepass: Ausweiskopie gefordert? – So schützen Sie Ihre Daten | handelsblatt.com
- DSGVO-Auskunftsrecht: EuGH setzt dem „DSGVO-Hopping“ Grenzen – aber mit einem Haken | haufe.de
- BGH verhandelt über möglichen DSGVO-Verstoß: Darf man Mutter und Schwiegermutter heimlich in der Küche filmen? | lto.de
Urteil zur Angemessenheit der dreijährigen Speicherfrist bei Wirtschaftsauskunfteien
In dem vor dem LG Nürnberg-Fürth geführten Verfahren begehrte der Kläger von einer Wirtschaftsauskunftei die Löschung eines Eintrags über eine erledigte Forderung in Höhe von 1.612,46 € aus einer Kontoüberziehung, die erst nach über 13 Jahren unter dem Druck der Zwangsvollstreckung beglichen wurde. Das Gericht wies die Klage vollumfänglich ab. Die dreijährige Speicherfrist gemäß dem Code of Conduct der Auskunfteien sei sowohl nach Art. 17 Abs. 1 lit. a als auch nach Art. 6 Abs. 1 lit. f DSGVO rechtmäßig. Gestützt auf statistische Auswertungen und die Rechtsprechung des OLG München (Urteil vom 11.04.2025, Az 14 U 3590/24 e) bleibe das Risiko erneuter Zahlungsstörungen in den ersten drei Jahren nach Erledigung signifikant erhöht. Auch die Einzelfallabwägung ging zu Lasten des Klägers, da die Zahlungsstörung bei geringer Forderungshöhe auffallend lange andauerte und die behaupteten Beeinträchtigungen im Wirtschaftsleben nicht substantiiert werden konnten.
Bedeutung für die Praxis:
- Das Urteil bestätigt im Einklang mit dem OLG München, dass die dreijährige Speicherfrist des Code of Conduct von Wirtschaftsauskunfteien grundsätzlich datenschutzkonform ist. Eine vorzeitige Löschung kommt nur bei substantiiert dargelegten besonderen Einzelfallumständen in Betracht. Eine Löschfrist von lediglich sechs Monaten nach Tilgung wurde als nicht angemessen erachtet, da die Bonitätsprüfung von der europäischen und nationalen Rechtsordnung als unabdingbar zum Schutz vor Zahlungsausfällen und Überschuldung angesehen wird.
Hilfreiche Links:
- LG Nürnberg-Fürth, Endurteil vom 16.07.2025 – 7 O 6928/24 – openJur
- Übermittlung von Positivdaten an SCHUFA nach Vertragsschluss
- Bisherige Speicherdauer von Auskunfteien vs. DSGVO
Urteil zur proaktiven Filterpflicht von Suchmaschinenbetreibern
In dem vor dem VG Hamburg geführten Verfahren klagte Google gegen einen Bescheid des Hamburger Datenschutzbeauftragten, der Google verpflichtete, weltweit proaktiv alle Suchergebnisse mit pornografischen Inhalten zu blockieren, die bei Eingabe des Namens einer Betroffenen erscheinen. Das Gericht gab der Klage statt. Die DSGVO, insbesondere Art. 58 Abs. 2 lit. f und g, erlaube nur die Löschung oder Einschränkung konkret benannter Suchergebnisse nach entsprechendem Antrag der betroffenen Person. Eine allgemeine Pflicht, zukünftige Ergebnisse anhand abstrakter inhaltlicher Kriterien vorsorglich herauszufiltern, bestehe nicht. Das Gericht stützte sich auf die Rechtsprechung des EuGH und des BVerfG, die die Verantwortung von Suchmaschinen bewusst begrenzen, da diese Inhalte nicht selbst bereitstellen, sondern nur Links auf fremde Inhalte anzeigen.
Bedeutung für die Praxis:
- Suchmaschinenbetreiber sind nicht verpflichtet, auf bloße Kategorienbeschreibungen hin weltweit künftige Treffer vorab zu blockieren. In der Praxis ist zwischen Suchmaschinen und Hosting- bzw. Plattformdiensten zu unterscheiden, für die weitergehende proaktive Maßnahmen in Betracht kommen können. Betroffenen ist zu raten, konkrete Links zu sammeln und zu melden, da eine pauschale Sperrung aller namensbezogenen Suchergebnisse nicht verlangt werden kann.
Hilfreiche Links:
- BeckRS 2026, 5914 – beck-online
- Das Recht auf Löschung (Vergessenwerden) einfach erklärt
- DSGVO-Auskunft: Keine vorschnelle Datenlöschung
Weitere wichtige Meldungen
- Videoüberwachung in Berliner Sommerbädern datenschutzkonform
Das Verwaltungsgericht Berlin hat entschieden, dass die 2023 eingeführten Ausweiskontrollen und die punktuelle Videoüberwachung in Berliner Sommerbädern datenschutzkonform waren. Angesichts dokumentierter Sicherheitsvorfälle – darunter Drohungen, körperliche Angriffe und dreimalige Bäderräumungen – durften die Berliner Bäder-Betriebe diese Maßnahmen einführen. Der Schutz von Leben, Gesundheit und Freiheit überwiege den niedrigschwelligen Eingriff in das Recht auf informationelle Selbstbestimmung, zumal die Ausweiskontrolle nicht dokumentiert und die Videoaufnahmen nur 72 Stunden gespeichert werden. Die Verwarnung der Berliner Datenschutzbeauftragten wurde aufgehoben.
VG zu den Berliner Bädern: Ausweiskontrollen rechtmäßig - KI in der Anwaltschaft: Vom Tabu zur Pflicht
Tobias Rudolph argumentiert, dass KI die juristische Fließbandarbeit übernimmt und dies keine Gefahr, sondern eine Chance für den Berufsstand darstellt. Künftig werde nicht der Einsatz von KI erklärungsbedürftig sein, sondern der Verzicht darauf. Während Routineaufgaben wie Subsumtion, Formprüfung und Vertragserstellung maschinell schneller und präziser erledigt werden, gewinnen menschliche Qualitäten wie Empathie, strategisches Denken und rechtsphilosophischer Weitblick an Bedeutung. Gleichzeitig fordert er eine gesetzliche Klarstellungsnorm für die anwaltliche KI-Nutzung, da das bestehende Berufsrecht wichtige Fragen zur Verschwiegenheit und zum Datenschutz unbeantwortet lässt.
Künstliche Intelligenz: Verschlafen Anwälte das neue Zeitalter? - Prüfung des Datenpannenmanagements an Kliniken zeigt Verbesserungspotenzial
Die LDI NRW hat 33 Kliniken zu ihren Datenpannen und dem jeweiligen Umgang damit befragt. Positiv ist, dass die Häuser aufgrund hoher IT-Sicherheitsstandards selten von Cyberangriffen betroffen sind und Betroffene teilweise auch ohne rechtliche Pflicht über Vorfälle informiert wurden. Auffällig ist dagegen, dass zwölf Kliniken angaben, in zwei Jahren keine einzige Datenpanne festgestellt zu haben, was die Aufsicht als Hinweis auf Schwächen bei den internen Meldestrukturen wertet. Die LDI NRW rät deshalb, das Personal regelmäßig zu schulen und sämtliche Datenpannen, auch mit nur geringem Risiko, intern zu erfassen, um Häufungen zu erkennen und spätere Kontrollen zu ermöglichen.
LDI NRW hat Datenpannenmanagement an Kliniken geprüft: Hohe Standards, aber auch Verbesserungspotenzial
