Datenschutzwoche
Digitalministerium: Gesetzentwurf zur Durchführung der KI-Verordnung
Das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) hat einen Gesetzentwurf zur Durchführung der EU-KI-Verordnung (EU) 2024/1689 vorgelegt. Ziel ist es, die unmittelbar geltende Verordnung mit nationalen Vorschriften zu flankieren.
Dem Entwurf zufolge soll die Bundesnetzagentur mit einer eigenen KI-Marktüberwachungskammer die zentrale Aufsicht übernehmen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) soll eine Sonderzuständigkeit für KI in der Finanzwirtschaft erhalten. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) soll für Fragen der Cybersicherheit zuständig bleiben. Keine Zuständigkeit erhalten die Datenschutzaufsichtsbehörden; das Ministerium wolle unterschiedliche Auslegungen vermeiden und verweist außerdem auf deren fehlende Erfahrung mit der Regulierung von Produkten.
Die vorige Bundesregierung hatte bereits einen Entwurf für ein „KI-Marktüberwachungsgesetz“ vorgelegt, auf dem das „KI-Marktüberwachungs- und Innovationsförderungsgesetz“ basiert. An den Regelungen zur Innovationsförderung hat sich wenig geändert und auch sonst enthält die neue Fassung im Vergleich zum Entwurf der Ampelregierung keine größeren Überraschungen. Der Entwurf wird derzeit innerhalb der Ressorts abgestimmt, die Beteiligung von Ländern und Verbänden beginnt am 4. September 2025. Danach folgt das parlamentarische Verfahren.
Microsoft: Neuer Auftragsverarbeitungsvertrag zum 01.09.2025
Microsoft hat ein neues Data Protection Addendum (DPA) veröffentlicht, das mit Wirkung zum 1. September 2025 die Version vom 1. April 2025 ablöst. Das Dokument bringt wesentliche Änderungen, die vor allem die digitale Souveränität in der Microsoft Cloud betreffen. Der Vertrag ist derzeit nur in englischer Sprache verfügbar, eine deutsche Fassung soll zeitnah folgen.
Neu ist ein Anhang, in dem Microsoft zusichert, staatliche Anordnungen zur teilweisen oder vollständigen Abschaltung von Online-Diensten für öffentliche Stellen im eigenen Namen rechtlich anzufechten. Damit reagiert das Unternehmen erkennbar auf die Vorwürfe in Bezug auf die E-Mail des Chef-Anklägers des Internationale Strafgerichtshofs.
Zudem wird die EU-Datengrenze auf den gesamten Europäischen Wirtschaftsraum ausgeweitet. Damit können Daten künftig auch in Norwegen, Island und Liechtenstein verarbeitet werden. Ein weiterer wichtiger Punkt ist die Integration des EU Data Act, insbesondere mit Blick auf den Export kundengenerierter Daten und das Cloud Switching. Darüber hinaus stellt Microsoft klar, dass Kunden für die Einholung etwaiger Einwilligungen bei der Nutzung von Telekommunikationsdaten verantwortlich sind.
Internationale Nachrichten
- Griechenland: Die griechische Datenschutzaufsichtsbehörde hat gegen den Verein „Shield of David“ ein Bußgeld von 10.000 Euro verhängt, weil er sensible Daten eines minderjährigen Kindes unrechtmäßig weitergab, die Eltern nicht über die Verarbeitung informierte und den Zugang zu Daten verweigerte. Zusätzlich stellte die Behörde fest, dass der Verein seine Pflicht zur Kooperation mit der Aufsichtsbehörde verletzte.
- Frankreich: Die CNIL warnt vor den erheblichen Risiken des sogenannten Sharenting: Fotos und Videos von Kindern auf sozialen Netzwerken können missbraucht, für Cybermobbing oder sogar pädokriminelle Zwecke verwendet werden und beeinträchtigen die Privatsphäre sowie die künftige Identität der Kinder. Eltern sollten deshalb möglichst auf öffentliche Veröffentlichungen verzichten, stattdessen sichere private Kanäle nutzen, das Einverständnis des Kindes und des anderen Elternteils einholen und die Sichtbarkeit ihrer Profile stark einschränken.
Aktuelle Gerichtsentscheidungen
- OLG Hamm, Urteil vom 03.06.2025, Az. 21 U 62/23 (GRUR-RS 2025, 21424): Löschung – Ein Nutzer einer Video-Hosting- und Kommunikationsplattform kann die Löschung dokumentierter Kontosperrungen und Videolöschungen durch den Plattformbetreiber nicht gemäß § 17 DSVGO verlangen, solange er den Betreiber gerichtlich wegen angeblicher unberechtigter Sperrungen und Videolöschungen in Anspruch nimmt.
- OLG Celle, Beschluss vom 09.07.2025, Az. 3 ORbs 49/25 (BeckRS 2025, 21437): Zuständigkeit – Die Landesbeauftragte für den Datenschutz Niedersachsen – Ordnungswidrigkeitenbehörde – hat mit Bußgeldbescheid vom 29. Juni 2023 gegen die Betroffene wegen diverser Verstöße gegen die Datenschutzgrundverordnung bei der Verarbeitung personenbezogener Daten ein Bußgeld in Höhe von 4.307.500 € festgesetzt. [...] Der Senat ist zur Entscheidung nicht berufen. Der Senat erachtet den Bundesgerichtshof für sachlich zuständig.
- LG Düsseldorf, Beschluss vom 04.08.2025, Az. 37 O 103/25 (juris): Immaterieller Schadenersatz – Die Antragsgegnerin wirbt mit der Urteilsberichterstattung um Mandanten, dies allerdings in irreführender Art und Weise, da sie ein stark verzerrtes und falsches Bild der Bedeutung der Entscheidungen des LG A. und LG O. und letztlich der geltenden Rechtslage vermittelt.
- OVG Münster, Beschluss vom 27. August 2025, Az.16 E 885/23 (juris): Löschen von personenbezogenen Daten in Akten der Staatsanwaltschaft und der Strafgerichte – Ansprüche auf Löschung personenbezogener Daten in Strafverfahrensakten können sich aus § 500 Abs. 1, Abs. 2 Nr. 1 StPO i. V. m. § 58 Abs. 2 BDSG oder speziellen Löschungsvorschriften in der Strafprozessordnung ergeben. Das Landesdatenschutzgesetz NRW ist auf solche Löschungsansprüche grundsätzlich nicht anwendbar.
Neuigkeiten aus den Aufsichtsbehörden:
- Datenschutzaufsicht Rheinland-Pfalz: „Best of Datenschutz“ – Landesbeauftragter präsentiert Datenschutzfälle aus 2024 und 2025 – Pressemitteilung vom 27.08.2025
- Datenschutzaufsicht Sachsen-Anhalt: Empfehlungen für die Nutzung von Instagram in Schulen – Pressemitteilung vom 27.08.2025
- Datenschutzaufsicht Sachsen-Anhalt: Landesbeauftragte legt die Tätigkeitsberichte für die Jahre 2021 bis 2023 vor – Pressemitteilung vom 28.08.2025
- Datenschutzaufsicht Nordrhein-Westfalen: Landesbeauftragte überprüft Pflegeeinrichtungen – Umgang mit Datenschutz offenbar zu lax – Pressemitteilung vom 01.09.2025