Datenschutz­woche

#236

EU-Kommission veröffentlicht finale Fassung des General-Purpose AI Code of Practice

Die EU-Kommission hat am 10.07.2026 die endgültige Fassung des Verhaltenskodex für Allzweck-KI veröffentlicht. Der Verhaltenskodex ist ein freiwilliges Instrument, das von 13 unabhängigen Expertinnen und Experten entwickelt wurde. Einbezogen waren mehr als 1.000 Interessengruppen – darunter Modellanbieter, kleine und mittlere Unternehmen, Wissenschaftler*innen, Experten*innen für KI-Sicherheit, Rechteinhaber und zivilgesellschaftliche Organisationen.

Die Kapitel „Transparenz“ und „Urheberrecht“ richten sich an alle Anbieter von KI-Modellen für allgemeine Zwecke. Das Kapitel „Sicherheit und Schutz“ ist für eine begrenzte Anzahl von Anbietern der fortschrittlichsten Modelle relevant.

Anbieter von Allzweck-KI-Modellen, die den Kodex freiwillig unterzeichnen und einhalten, können dadurch die Erfüllung der entsprechenden Verpflichtungen aus dem KI-Gesetz nachweisen. Der Kodex muss zunächst von den Mitgliedstaaten und der Kommission gebilligt werden.

Bundesrat I: Gesetzentwurf zur Reform des BDSG vorgelegt

Der Bundesrat hat in seiner letzten Sitzung vor der Sommerpause einen Gesetzentwurf zur Reform der Datenschutzaufsicht verabschiedet. Der Entwurf geht zurück auf die Initiative Hamburgs und umfasst die folgenden Punkte:

  • Die bislang informelle Konferenz der Datenschutzbeauftragten von Bund und Ländern soll eine gesetzliche Grundlage erhalten und verbindliche Regeln für alle Datenschutzaufsichtsbehörden in Deutschland festlegen können. 
  • Unternehmen und Forschungseinrichtungen, die in mehreren Ländern tätig sind, sollen künftig nur noch mit einer einzigen Datenschutzaufsichtsbehörde sprechen müssen. 
  • Wenn eine Datenschutzaufsichtsbehörde bei länderübergreifenden Sachverhalten ein Verfahren geprüft und genehmigt hat, gilt diese Entscheidung auch für alle anderen Bundesländer. 

Bundesrat II: Gesetz zur Durchführung der KI-Verordnung beschlossen

Das Gesetz zur Durchführung der KI-Verordnung hat am 10.07.2026 den Bundesrat passiert. Ein Antrag auf Anrufung des Vermittlungsausschusses fand keine Mehrheit. Das Gesetz legt vor allem fest, welche Behörden in Deutschland die europäischen Regelungen umsetzen sollen. 

Eine zentrale Rolle kommt dabei der Bundesnetzagentur (BNetzA) zu. Diese wird maßgeblich die Rolle der Marktüberwachungsbehörde einnehmen. Zudem soll bei der BNetzA ein Koordinierungs- und Kompetenzzentrum eingerichtet werden, das die Zusammenarbeit mit anderen öffentlichen Stellen koordinieren und als Ansprechpartner für europäische Institutionen fungieren soll. 

Ausgenommen von der Marktüberwachung durch die BNetzA sind die KI-Systeme der öffentlichen Stellen der Länder und Kommunen. 

Aktuelle Gerichtsentscheidungen

OLG Frankfurt a. M., Beschluss vom 16.6.2026 – 11 Verg 2/26: Im vergaberechtlichen Nachprüfungsverfahren kann im Grundsatz nicht geltend gemacht werden, Bedingungen des zu vergebenden Auftrags verstießen gegen allgemeine Bestimmungen wie etwa das AGB- oder Datenschutzrecht, das UWG oder das Kartellrecht. Die Verletzung solcher Bestimmungen kann jedoch auf vergaberechtliche Normen und Grundsätze durchschlagen; es bedarf dafür aber des Brückenschlags von den allgemeinen Regeln ins Vergaberecht, d.h. einer vergaberechtlichen Anknüpfungsnorm.

OLG Schleswig, Urteil vom 01.07.2026 – 6 U 52/25: Die Verlängerung eines Verbrauchervertrags über Telekommunikationsleistungen um weitere 24 Monate während der laufenden Mindestvertragslaufzeit verstößt gegen §56 Abs. 1 TKG und §309 Nr. 9 lit. a) BGB, da die zulässige Höchstlaufzeit von 24 Monaten ab Vertragsschluss nicht überschritten werden darf. Ein Auskunftsanspruch über Betroffene zur Kontrolle der Folgenbeseitigung ist nur in pseudonymisierter Form gegenüber zur Verschwiegenheit verpflichteten Berufsträger*innen zulässig, wobei Klarnamen nur für Stichproben herauszugeben sind. 

SG Nürnberg, Beschluss vom 10.06.2026 – S 5 SF 65/24 DS: Ein Verantwortlicher ist nach Art. 32 DSGVO nicht verpflichtet, jegliches Risiko eines Datenabflusses auszuschließen, sondern lediglich ein dem Risiko angemessenes Schutzniveau durch geeignete technische und organisatorische Maßnahmen zu gewährleisten. Die Beklagten haben nachgewiesen, dass sie marktübliche und dem Stand der Technik entsprechende Schutzmaßnahmen implementiert hatten und die eingesetzte Software als sicher galt. Der erfolgreiche Hackerangriff über eine zuvor unbekannte Sicherheitslücke („zeroday-exploit“) begründet allein keinen Verstoß gegen die DSGVO. Es besteht kein Anspruch auf Schadenersatz gemäß Art. 82 DSGVO, vorliegend auch deshalb, weil der Kläger keinen Schaden geltend machen konnte. 

Neues aus Bund und Ländern

Deutscher Bundestag: Der Deutsche Bundestag hat in seiner letzten Sitzung vor der parlamentarischen Sommerpause eine Anpassung des Bundespolizeigesetzes beschlossen. Zu den Neuerungen zählt u.a. die Befugnis der Bundespolizei, bei der Auswertung ihrer Videoaufnahmen Systeme zur automatisierten Erkennung von Gefahren (§ 31a BPolG-E) und zur biometrischen Detektion in Echtzeit (§ 31b BPolG-E) einzusetzen.

Bundesamt für Sicherheit in der Informationstechnik: Das BSI hat einen „Prüfkatalog vertrauenswürdige KI-Systeme“ (AI Audit and Assurance Assessment Architecture, A5) als Community Draft zur Kommentierung veröffentlicht. Der Katalog soll der Grundstein für eine modulare und erweiterbare Prüfarchitektur fürKI-Systeme sein. Er richte sich an alle Akteure entlang der KI-Wertschöpfungskette, von Anbietern über Betreiber bis hin zu den mit Entwicklung, Betrieb und Aufsicht betrauten Personen. Anmerkungen und Anregungen können bis zum 31. August 2026 beim BSI eingereicht werden.

Internationale Nachrichten

EU: Die Europäische Kommission hat anlässlich der Evaluierung der EU-Richtlinie über den Schutz von Hinweisgebern ((EU) 2019/1937) eine Umfrage gestartet. Die Umfrage richtet sich a) an juristische Personen des privaten Sektors mit 50 oder mehr Beschäftigten, die interne Meldewege einrichten müssen; b) an Einrichtungen des öffentlichen Sektors, die derselben Verpflichtung unterliegen; und c) an externe Dienstleister, die im Auftrag solcher Einrichtungen Meldewege einrichten oder betreiben. Die Teilnahme ist bis zum 31.07.2026 möglich. Die Ergebnisse sollen in die laufende Evaluierung der Hinweisgeberschutzrichtlinie einfließen.

EU: Die Europäische Kommission hat einen Aktionsplan zu Cybersicherheit und künstlicher Intelligenz vorgelegt, um den sicheren und verantwortungsvollen Einsatz von KI zu fördern und gleichzeitig die Cybersicherheit in Europa zu stärken. Im Mittelpunkt stehen drei sich ergänzende Ziele:

  1. Die Förderung des sicheren und verantwortungsvollen Einsatzes fortschrittlicher KI,
  2. Die Stärkung der Cybersicherheit und Widerstandsfähigkeit der EU,
  3. Der Ausbau der europäischen KI-Kapazitäten im Bereich der Cybersicherheit.

EDSA: Der EDSA hat Leitlinien zur Anonymisierung, Leitlinien zum Web-Scraping im Zusammenhang mit generativer KI sowie die endgültige Fassung seiner Leitlinien zur Verarbeitung personenbezogener Daten mittels Blockchain-Technologie verabschiedet.

Neues aus den Aufsichtsbehörden

IFK: Die Konferenz der Informationssicherheitsbeauftragten in Deutschland (IFK) lehnt die Pläne der Bundesregierung, das Informationsfreiheitsgesetz (IFG) massiv einzuschränken, ab. Die angekündigte Abkehr von einem voraussetzungslosen Zugang zu Verwaltungsinformationen komme einer Abschaffung des IFG gleich. Die Pressemitteilung findet sich u.a. hier auf der Webseite der LfDI Baden-Württemberg.

DSK: Am22.04.2026 fand der jüngste Austausch der Datenschutzkonferenz mit den spezifischen Aufsichtsbehörden statt. Das Protokoll der Sitzung wurde nun veröffentlicht.