Datenschutz­woche

Tätigkeitsbericht der Datenschutzaufsicht Brandenburg

Heute überreicht die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht, Dagmar Hartge, der Präsidentin des Landtages Brandenburg, Frau Prof. Dr. Ulrike Liedtke, den Tätigkeitsbericht zum Datenschutz für das Jahr 2025. Ein Schwerpunkt befasst sich mit dem Einsatz von KI in der Praxis. Als Fälle werden in der begleitenden Pressemitteilung u.a. die Einführung eines KI-Assistenztools in der Landesverwaltung, der Einsatz eines Chatbots an Schulen sowie der Testlauf eines Programms, das mithilfe Künstlicher Intelligenz die Bearbeitung von Wohngeldanträgen beschleunigen soll, beschrieben.

Dagmar Hartge: „Beim Einsatz Künstlicher Intelligenz werden in den meisten Fällen auch personenbezogene Daten verarbeitet. Der Datenschutz und die Minimierung KI-spezifischer Risiken wie Halluzinationen, Voreingenommenheit (Bias) oder Diskriminierung müssen bereits in der Planungsphase mitgedacht werden. Öffentlichen Stellen im Land Brandenburg biete ich deshalb eine frühzeitige Begleitung und Beratung neuer KI-Projekte an.“

Ebenso wie andere Aufsichtsbehörden gibt es auch in Brandenburg einen Anstieg von Beschwerden, Beratungsanfragen sowie von gemeldeten Datenschutzverletzungen.

Alle Tätigkeitsberichte der deutschen Datenschutzaufsichtsbehörden finden sich durchsuchbar im DatenschutzArchiv.

BSI: C3A Souveränitätskriterien für Cloud-Dienste

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit den „Criteria Enabling Cloud Computing Autonomy” (C3A) einen Kriterienkatalog zur Souveränität von Cloud-Diensten vorgelegt. Die Kriterien reichen dabei von technischen Anforderungen beim Disconnect über Wohnsitzpflichten von Beschäftigten bis hin zu Übergaberegelungen im Verteidigungsfall.

Die engeren Sicherheitseigenschaften von Cloud-Diensten definiert bereits der kürzlich aktualisierte C5-Kriterienkatalog (siehe DatenschutzWoche Ausgabe 226). Anders als der C5-Katalog, der zwischenzeitlich im Sozialgesetzbuch für bestimmte IT-Anwendungen für verbindlich erklärt wurde, ist das bei den C3A nicht direkt der Fall. Diese sind aus sich heraus nicht verbindlich, könnten aber im Rahmen der Gesetzgebung oder bei Ausschreibungen zu Mindestanforderungen erklärt werden.

C3A richtet sich sowohl an Anbieter als auch Kunden. Während ein Cloud-Anbieter die Einhaltung der Kriterien nachweisen kann, kann ein Cloud-Kunde das Framework von C3A nutzen, um für ihn relevante Anforderungen zu identifizieren und zu bewerten. 

Die C3A übernehmen die Struktur (Kategorien) und Ziele des EU Cloud Sovereignty Framework (EU CSF). Darüber hinaus werden die "contributing factors" des EU CSF in den überprüfbaren Kriterien des C3A aufgegriffen und um weitere Aspekte erweitert. C3A setzt voraus, dass der Cloud-Anbieter die C5-Kriterien erfüllt, da diese den Sicherheitsaspekt der Souveränitätsdefinition abdecken.

Zusätzlich zu den C3A plant das BSI zu veröffentlichen, wie C3A-Audits standardisiert und Auditberichte von Cloud-Kunden genutzt werden können. Die Veröffentlichung der deutschen Version der C3A ist für Ende des 2. Quartals 2026 geplant.

Internationale Nachrichten

Europa: Opinion 9/2026, 10/2026, 11/2026 und 12/2026 des EDSA zu verschiedenen Binding Corporate Rules von Unternehmen aus den Niederlanden, Belgien und Spanien.

Europa: Bericht des Coordinated Supervision Committee (CSC) über Aufsichtsmaßnahmen zu Datenverarbeitungen von Europol betreffend Minderjährige unter 15 Jahren, die als Verdächtige oder potenzielle Straftäter geführt werden.

Europa: Vorläufige Feststellung der EU-Kommission von Verstößen von Meta gegen den Digital Services Act wegen mangelnder Risikobewertung und wirksamer Maßnahmen bezüglich der Nutzung von Metas Angeboten „Facebook“ und „Instagram“ durch Minderjährige unter 13 Jahren.

England: Datensätze von rund 500.000 Personen aus der britischen „UK-Biobank“ sind auf der chinesischen Plattform Alibaba zeitweise zum Kauf angeboten worden.

Aktuelle Gerichtsentscheidungen

EuGH, Urteil vom 21.04.2026, Az. C-769/22 (Volltext, vorläufige Fassung): Im von der EU-Kommission gegen Ungarn angestrengten Vertragsverletzungsverfahren zum „Anti-LGBTQ-Gesetz“ hat der EuGH u.a. festgestellt, dass bestimmte Normen aus dem ungarischen Strafregistergesetz keine geeigneten Garantien für die Rechte und Freiheiten von Betroffenen nach Art. 10 DSGVO enthalten. Daher kann eine Verarbeitung der im Strafregister enthaltenen personenbezogenen Daten nicht damit gerechtfertigt werden, dass sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe im Sinne von Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO erforderlich sei.

Neuigkeiten aus den Aufsichtsbehörden:

Landesbeauftragte für den Datenschutz Niedersachsen: FAQ des LfD zu den (datenschutz-)rechtlichen Aspekten bei der Nutzung von Künstlicher Intelligenz nebst Glossar.

Sächsische Datenschutz- und Transparenzbeauftragte: Keine Zuständigkeit für den „ARD ZDF Deutschlandradio Beitragsservice“.

Der Bayerische Landesbeauftragte für den Datenschutz: AI in a Nutshell 3: Einsatz eines LLM-gestützten Chatbots.