Dr. Datenschutz Shortnews im Mai 2026 – KW22

Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.

EDSB-Jahresbericht 2025: KI und internationale Datentransfers im Fokus

Der Europäische Datenschutzbeauftragte (EDSB) hat seinen Jahresbericht 2025 veröffentlicht und legt darin einen besonderen Schwerpunkt auf die wachsende Bedeutung von Künstlicher Intelligenz, Cloud-Diensten und internationalen Datentransfers. Mit einer Rekordzahl an legislativen Konsultationen unterstreicht der EDSB seine Rolle als zentrale Aufsichtsinstanz und Frühwarnsystem für digitale Grundrechtsrisiken. Gleichzeitig stärkt er seine Funktion als KI-Aufsichtsbehörde, etwa durch die Gründung einer eigenen AI-Unit, die Einführung von KI-Sandboxen sowie die Entwicklung von Leitlinien zu generativer KI und Risikomanagement.

Bedeutung für die Praxis:

• Der Bericht verdeutlicht, dass Datenschutzaufsichtsbehörden künftig insbesondere KI-Anwendungen, internationale Datentransfers sowie Cloud- und Plattformdienste in den Fokus nehmen werden. Unternehmen sollten daher ihre KI-Governance, Datenschutz-Folgenabschätzungen und Transfermechanismen frühzeitig überprüfen und an die steigenden regulatorischen Anforderungen anpassen.

Hilfreiche Links:

• EDPS: Annual Report 2025: protecting people in a changing digital world
• Regulatory Sandboxes der KI-Verordnung: Stand & Hürden
• Zukunft der KI bis 2030: Die vier Szenarien der OECD

Niederländische Datenschutzbehörde verhängt 100 Mio. Euro Bußgeld gegen Taxi-App

Die niederländische Datenschutzaufsichtsbehörde Autoriteit Persoonsgegevens hat gegen die Taxi-App Yango ein Bußgeld in Höhe von 100 Mio. Euro verhängt. Grund waren unzulässige Datentransfers personenbezogener Daten europäischer Nutzer nach Russland. Zwar nutzte das Unternehmen Standardvertragsklauseln (SCC), diese wurden von der Behörde jedoch als unwirksam eingestuft, da die tatsächlichen Rollen der beteiligten Unternehmen nicht korrekt abgebildet waren und technische Schutzmaßnahmen, etwa die Speicherung von Verschlüsselungsschlüsseln in Russland, keinen ausreichenden Schutz boten.

Bedeutung für die Praxis:

• Die Entscheidung verdeutlicht, dass Standardvertragsklauseln allein keine rechtssicheren Drittstaatentransfers gewährleisten. Unternehmen sollten darauf achten, dass SCCs die tatsächlichen Rollen der Beteiligten korrekt widerspiegeln und ergänzende technische Schutzmaßnahmen auch praktisch wirksam ausgestaltet sind. Gerade bei Datentransfers in Staaten mit weitreichenden behördlichen Zugriffsmöglichkeiten dürfte die Ausgestaltung solcher Maßnahmen künftig verstärkt in den Fokus der Aufsichtsbehörden rücken.

Hilfreiche Links:

• The AP has fined the taxi app Yango €100 million
• Top 5 DSGVO-Bußgelder im April 2026
• Datenschutzerklärung in Apps – Inhalt, Form und der richtige Weg

Urteil zur Verarbeitung von Gesundheitsdaten für Vorsorgeprogramme

In dem Verfahren vor dem Bundesverwaltungsgericht entschied das Gericht, dass eine private Krankenversicherung Gesundheitsdaten ihrer Versicherten nicht ohne ausreichende datenschutzrechtliche Grundlage zur Auswahl geeigneter Teilnehmer für Vorsorgeprogramme auswerten durfte. Zwar könne die Verarbeitung von Gesundheitsdaten grundsätzlich zulässig sein, hier habe die Versicherung die Betroffenen jedoch nicht ausreichend über die Datenverarbeitung informiert. Zudem stellte das Gericht klar, dass auch bei einer möglichen Zweckvereinbarkeit weiterhin eine eigenständige Rechtsgrundlage für die Verarbeitung erforderlich bleibt.

Bedeutung für die Praxis:

• Die Entscheidung verdeutlicht, dass bei der Verarbeitung sensibler Gesundheitsdaten hohe Anforderungen an Transparenz und Information der Betroffenen gelten. Unternehmen sollten darauf achten, Informationspflichten vollständig und nachweisbar zu erfüllen. Zudem zeigt das Urteil, dass auch datenschutzrechtlich zulässige Zwecke nicht automatisch jede Weiterverarbeitung personenbezogener Daten rechtfertigen.

Hilfreiche Links:

• BVerwG, Urteil vom 06.03.2026 – Az.: 6 C 7.24
• BVerwG zu PKV-Datenschutzverstoß bei Diagnoseauswertung
• Femtech: European Health Data Space als Chance für Innovation

Russmedia-Urteil: HmbBfDI sieht weitreichende Pflichten für Social-Media-Plattformen

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat sich zu den Folgen des sogenannten Russmedia-Urteils des Europäischen Gerichtshofs für Social-Media-Plattformen geäußert (Urt. v. 2.12.2025, C-492/23). Nach Auffassung des HmbBfDI können Plattformbetreiber datenschutzrechtlich verantwortlich sein, wenn sie personenbezogene Inhalte mithilfe von Algorithmen, Rankings oder ähnlichen Mechanismen zu eigenen wirtschaftlichen Zwecken verbreiten. In diesem Fall müssten Plattformen geeignete Maßnahmen ergreifen, um rechtswidrige personenbezogene Inhalte nach Hinweis zu entfernen und deren weitere Verbreitung zu verhindern. Für kommerzielle Konten könnten dabei weitergehende Maßnahmen wie Identitätsprüfungen oder Upload-Filter in Betracht kommen. Eine allgemeine Überwachungspflicht für sämtliche Nutzerinhalte lehnt der HmbBfDI jedoch ab.

Bedeutung für die Praxis:

• Die Einschätzung des HmbBfDI deutet darauf hin, dass Social-Media-Plattformen ihre Prozesse zum Umgang mit rechtswidrigen Inhalten weiter anpassen müssen. Insbesondere kommerzielle Accounts könnten künftig stärkeren Kontrollmaßnahmen unterliegen.

Hilfreiche Links:

• HmbBfDI: Praxisfolgen des Russmedia-Urteils
• Facebook Fanpage: Datenschutzprobleme und Lösungsansätze
• TikTok und der datenschutzkonforme Einsatz