Datenschutz­woche

Bundesjustizministerin Hubig gegen anlasslose Chatkontrolle

Die Debatte um die sogenannte „Chatkontrolle“ geht in die nächste Runde. Der geplante Ratsbeschluss zur Verordnung mit dem Titel: „Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“, der umgangssprachlich als „Chatkontrolle“ bekannt ist, wurde laut Heise kurzfristig von der Tagesordnung für die nächste Sitzung des Rates der Justiz- und Innenminister*innen gestrichen. Demnach solle der dänische Ratsvorsitz auf Ebene der Beamt*innen an einer gemeinsamen Position der Mitgliedstaaten zur umstrittenen Überwachung erreichen. Der nächste reguläre Termin für die Innen- und Justizminister*innen sei der 8./9. Dezember 2025.

Bundesjustizministerin Stefanie Hubig (SPD) lehnt das geplante Gesetzesvorhaben ab: „Anlasslose Chatkontrolle muss in einem Rechtsstaat tabu sein. Private Kommunikation darf nie unter Generalverdacht stehen.“ 

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte die Bundesregierung aufgefordert, den Entwurf abzulehnen. Die DSK-Vorsitzende Meike Kamp warnte, dass das vorgesehene Client-Side-Scanning die sichere Kommunikation aller Bürgerinnen und Bürger gefährde und rechtsstaatliche Grenzen überschreite. Eine anlasslose Massenüberwachung stelle „Millionen Menschen unter Generalverdacht“.

Datenschutzkonferenz (DSK) zur KI-VO-Zuständigkeit

Die Datenschutzkonferenz (DSK) hat am 10. Oktober 2025 zum Regierungsentwurf eines Gesetzes zur Durchführung der EU-KI-Verordnung (KI-VO) Stellung genommen. Die Datenschutzbeauftragten kritisieren, dass die Regierung die Bundesnetzagentur (BNetzA) anstelle der Datenschutzbehörden mit der Überwachung von Hochrisiko-KI-Systemen betrauen will. 

Nach Auffassung der DSK würde die geplante Zuständigkeitsverteilung zu Doppelstrukturen und bürokratischem Mehraufwand führen. Zudem verstoße die vorgesehene Aufsicht der BNetzA über KI-Systeme der Länderbehörden gegen die föderale Zuständigkeitsordnung des Grundgesetzes. Die DSK fordert daher, die datenschutzrechtliche Aufsicht den bestehenden unabhängigen Datenschutzbehörden von Bund und Ländern zuzuweisen. Dies sei nach Art. 74 Abs. 8 KI-VO ausdrücklich möglich.

Offen sei außerdem das Verhältnis zwischen BNetzA und Datenschutzaufsicht. Hier verlangt die DSK eine eindeutige Regelung, wonach datenschutzrechtliche Fragen ausschließlich von den zuständigen Datenschutzbehörden entschieden werden.

Zudem spricht sich die DSK dafür aus, dass Datenschutzaufsichtsbehörden künftig eigene KI-Reallabore errichten dürfen, um Innovationen unter Wahrung hoher Datenschutzstandards zu fördern.

Internationale Nachrichten

• EU: Am 12. Oktober 2025 nimmt das neue elektronische Grenzsystem EU Entry/Exit System (EES) den Betrieb auf. Das System erfasst digital die Ein- und Ausreisen von Drittstaatsangehörigen an den Außengrenzen des Schengen-Raums und ersetzt schrittweise die Stempel in den Reisepässen. Bei dem automatisierten System müssen Reisende an der Grenze ihren Pass scannen; zudem werden ihre Fingerabdrücke erfasst und ein Foto von ihnen gemacht. Das Coordinated Supervision Committee (CSC), welches aus den nationalen Datenschutzaufsichtsbehörden und dem Europäischen Datenschutzbeauftragten (EDPS) besteht, übernimmt die Überwachung der Datenverarbeitung.
• EU: Der Europäische Datenschutzausschuss (EDSA) und die Europäische Kommission haben am 9. Oktober 2025 erstmals gemeinsame Leitlinien zum Zusammenspiel zwischen dem Gesetz über digitale Märkte (DMA) und der Datenschutzgrundverordnung (DSGVO) veröffentlicht. Die Leitlinien erläutern, wie große Plattformanbieter personenbezogene Daten im Einklang mit der DSGVO verarbeiten dürfen. Eine öffentliche Konsultation läuft bis zum 4. Dezember 2025. Weitere gemeinsame Leitlinien, unter anderem zum Zusammenspiel von KI-Verordnung und Datenschutzrecht, sind in Vorbereitung.
• Italien: Die italienische Datenschutzaufsichtsbehörde hat das US-Unternehmen ICF Technology, Betreiber der Plattform CamHub, mit Beschluss Nr. 573 vom 1. Oktober 2025 offiziell gewarnt und den Seitenzugang für Italien eingeschränkt. Die Plattform soll Videomaterial aus privaten Überwachungskameras in Italien unrechtmäßig gesammelt und über die Website verbreitet haben. Nach Auffassung der italienischen Datenschutzaufsichtsbehörde liegt seitens des Webseitenbetreibers ein Verstoß gegen Art. 5, 6, 9, 25 und 32 DSGVO vor.

Aktuelle Gerichtsentscheidungen: 

• LAG Sachsen, Beschluss vom 26.05.2025, Az. 2 TaBV 8/24 (BeckRS 2025, 25878): Einsichtsrecht des Betriebsrats – Die Regelungen des Art. 18 Abs. 1 Buchst. d, Art. 21 Abs. 1, Art. 6 Abs. 1 Buchst. e und f DSGVO begründen kein Widerspruchsrecht der in einem Unternehmen der Privatwirtschaft Beschäftigten gegen die mit der Einsichtnahme des Betriebsrates in Listen über die Bruttolöhne und -gehälter (§ 80 Abs. 2 Satz 3 zweiter Halbsatz BetrVG) verbundene Datenverarbeitung.
• BGH, Aussetzungs- und Vorlagebeschluss vom 28.08.2025, Az. VI ZR 258/24 (Volltext): EuGH-Vorlage zum Personenbezug dynamischer IP-Adressen und rechtsmissbräuchlichem Schadensersatzanspruch – Zwar könne eine dynamische IP-Adresse ein personenbezogenes Datum in diesem Sinne sein, wenn die Identität der betroffenen Person anhand der IP-Adresse bestimmbar sei. Dies sei im Hinblick auf den Beklagten zu 1 aber nicht der Fall gewesen, weil weder dargetan noch sonst ersichtlich sei, dass Google USA über rechtliche Mittel verfüge, die vernünftigerweise eingesetzt werden könnten, um ihn mit Hilfe Dritter anhand der IP-Adresse bestimmen zu lassen.
• LG München, Beschluss vom 27.08.2025, Az. 33 O 635/25 (GRUR-RS 2025, 25358): Datenübertragung in die USA – „Letztlich scheidet ein Schaden des Klägers, die vom Kläger genannten Beeinträchtigungen für einmal als zutreffend unterstellt, aber an der fehlenden Kausalität der Datenübertragung seitens der Beklagten in die USA hierfür: Es kann zwar ohne weiteres Medienberichten entnommen werden, dass die USA seit Amtseinführung der Trump II-Adminstration eine verschärfte Politik gegenüber Einwanderern (darunter auch Einwanderern, die über legale Kanäle ins Land kommen wollen wie z.B. für Studien- oder Forschungsaufenthalte) ergriffen haben. Des Weiteren ist auch zutreffend, dass die US-amerikanischen Grenzbehörden nach Medienberichten ein verschärftes Vorgehen gegenüber Personen, die (auch nur kurzfristig) in die USA einreisen wollen, an den Tag legen. […] Das Gericht kann zwar ohne weiteres nachfühlen, dass dies insbesondere für Personen, die sich zur Zeit für eine Reise in die USA bzw. einen Aufenthalt dort interessieren (wie vom Kläger angegeben) sehr unangenehm und bedrohlich ist. Dies ist aber eine Folge der politischen Entwicklung in den USA, nicht des Speicherorts der Daten. Hinzu tritt, dass – sollte der Kläger tatsächlich eine solche Vorstellung gehabt haben – es schon immer eine unrealistische Annahme war, dass Dritte auf die von der Beklagten gespeicherten Daten ihrer Nutzer nie zugreifen könnten. Ein solcher Zugriff war schon lange und auch in Deutschland nach den einschlägigen gesetzlichen Bestimmungen möglich, etwa für Staatsanwaltschaften und Gerichte im Rahmen von Strafverfolgungsmaßnahmen nach der StPO und für den Verfassungsschutz nach den für die jeweilige Behörde geltenden Vorschriften. Ähnliche Möglichkeiten bestehen, wie von den Parteien dargelegt, für die US-amerikanischen Dienste. Und auch die anderen EU-Staaten werden im Rahmen vergleichbarer Regeln wie der deutschen auf bei F. vorhandene Daten zugreifen können – rechtlich ist das unabhängig vom Speicherort. Neu ist insoweit allenfalls die Bereitschaft US-amerikanischer Behörden und Dienste, hiervon massiv Gebrauch zu machen (und hierbei bestehende gesetzliche Schranken sehr eng zu sehen bzw. die Befugnisse sehr weit) und die gewonnenen Erkenntnisse dann auch zum Zwecke politischer Differenzierung auch hinsichtlich von Äußerungen zu verwenden, die auch nach dem US-Recht ohne weiteres zulässig wären. Auch diese geänderte Politik der US-Behörden ist aber eine Folge der allgemein geänderten politischen Verhältnisse in den USA, nicht aber des Speicherorts der Daten der Beklagten.“

Neuigkeiten aus den Aufsichtsbehörden: 

• Datenschutzaufsicht Berlin: „Datenschutzbeauftragte fordern Nein der Bundesregierung zur Chatkontrolle“ – Pressemitteilung vom 08.10.2025
• Datenschutzaufsicht Nordrhein-Westfalen: „Datenschutzbeauftragte fordern Nein der Bundesregierung zur Chatkontrolle“ – Pressemitteilung vom 08.10.2025
• Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: „Datenschutzbeauftragte fordern Nein der Bundesregierung zur Chatkontrolle“ – Pressemitteilung vom 08.10.2025
• Datenschutzaufsicht Berlin: „Strengere Regeln für personalisierte politische Werbung im Internet“ – Pressemitteilung vom 09.10.2025
• Datenschutzaufsicht Hamburg: „Datenschutzsprechstunden des HmbBfDI – die alltagsnahe Beratung“ – Pressemitteilung vom 09.10.2025
• Datenschutzaufsicht Rheinland-Pfalz: „Unternehmen und Datenschutz auf Augenhöhe: 5. Runder Tisch der rheinland-pfälzischen Wirtschaft“ – Pressemitteilung vom 09.10.2025
• Datenschutzaufsicht Sachsen-Anhalt: „Datenschutz hat keinen Urlaub“ – Pressemitteilung vom 10.10.2025
• Datenschutzaufsicht Niedersachsen: „Rechte und Pflichten bei Wahlwerbung: EU-Verordnung zur politischen Werbung ab heute anzuwenden“ – Pressemitteilung vom 10.10.2025
• Datenschutzaufsicht Nordrhein-Westfalen: „Wahlwerbung im Internet: Ab jetzt gelten strengere Regeln“ – Pressemitteilung vom 10.10.2025
• Datenschutzaufsicht Berlin: „Schulungen für Vereine, Start-ups und Kleinunternehmen“ – Pressemitteilung vom 12.10.2025
• KDA Nord: Die Katholische Datenschutzaufsicht Nord hat ihren Tätigkeitsbericht für das Jahr 2024 vorgelegt.