Datenschutzwoche
Datenschutzkonferenz: Reformvorschläge zur DSGVO
Die Datenschutzkonferenz (DSK) hat auf ihrer 110. Sitzung in Berlin die Reformvorschläge der EU-Kommission zur Digitalgesetzgebung intensiv diskutiert und dabei erhebliche Kritik an Reichweite, Tempo und mangelnder Rechtssicherheit geäußert. Insbesondere sieht die DSK grundlegende Risiken für den Schutz personenbezogener Daten, etwa durch geplante Änderungen an der Definition personenbezogener Daten, und fordert eine sorgfältige europäische Abstimmung.
Gleichzeitig beschloss die DSK zwei eigene Vorschläge zur gezielten Weiterentwicklung der DSGVO, unter anderem zur stärkeren Verpflichtung von Herstellern und Anbietern digitaler Produkte zu „Datenschutz durch Design“. Damit soll die datenschutzrechtliche Verantwortung stärker dorthin verlagert werden, wo technische Entscheidungen getroffen werden, um insbesondere kleine und mittlere Unternehmen zu entlasten.
Beim Einsatz von Künstlicher Intelligenz fordert die DSK klare gesetzliche Rechtsgrundlagen für Entwicklung, Training und Betrieb von KI-Systemen sowie eine Stärkung der Betroffenenrechte. Betroffene sollen ausdrücklich über den KI-Einsatz informiert werden und ein Auskunftsrecht über die Verarbeitung ihrer Daten durch KI erhalten. Die Ergebnisse sind auf der Website der DSK abrufbar.
US CLOUD Act: Gutachten des Bundesinnenministeriums sorgt für Furore
Ein von der Universität zu Köln im Auftrag des Bundesinnenministeriums erstelltes Gutachten, das im Rahmen einer IFG-Anfrage öffentlich wurde, sorgt derzeit für Furore. Das Bundesinnenministerium reagiert sogar mit einer Anpassung der Geheimschutzregeln.
Das Gutachten untersucht, ob und in welchem Umfang US-Behörden auf Cloud-Daten zugreifen dürfen, selbst wenn diese außerhalb der USA gespeichert sind. Die Gutachter kommen zu dem Ergebnis, dass der Stored Communications Act inklusive CLOUD Act sowie FISA 702 weitreichende Herausgabepflichten für Cloud-Anbieter vorsehen. Aus US-rechtlicher Sicht ist dabei nicht der Speicherort, sondern die Kontrolle über die Daten entscheidend, was auch europäische Rechenzentren betrifft. Demnach können nicht nur europäische Tochtergesellschaften US-amerikanischer Konzerne, sondern unter Umständen auch europäische Unternehmen mit relevanten US-Geschäftsbeziehungen erfasst werden.
Technische Schutzmaßnahmen wie Verschlüsselung schließen eine Herausgabepflicht nach US-Prozessrecht nicht zwingend aus und können für Anbieter rechtliche Risiken bergen. Das Gutachten enthält jedoch ausdrücklich keine Bewertung nach deutschem oder europäischem Recht. In der EU bleiben Datenverarbeitungen an die DSGVO gebunden und die Aufsichtsbehörden können gegen unzulässige Offenlegungen an Drittstaaten vorgehen.
Internationale Nachrichten
- USA: Mit einer Executive Order vom 11. Dezember 2025 zielt die US-Regierung darauf ab, eine einheitliche, bundesweite KI-Regulierung in den USA zu schaffen, um Innovationshemmnisse durch unterschiedliche und aus Sicht der Regierung übermäßige einzelstaatliche Gesetze zu beseitigen. Sie sieht u. a. die Einrichtung einer speziellen Task Force zur rechtlichen Anfechtung kollidierender State-AI-Gesetze, eine systematische Bewertung bestehender Regelungen sowie mögliche finanzielle Sanktionen gegen Bundesstaaten mit restriktiven KI-Vorgaben vor. Gleichzeitig betont die Order den Schutz von Kindern, Meinungsfreiheit und geistigem Eigentum, ordnet diese Ziele jedoch klar der Sicherung der globalen KI-Dominanz der USA unter.
Aktuelle Gerichtsentscheidungen:
- KG Berlin, Urteil vom 10.04.2025, Az. 20 U 68/23 (juris): Recht auf Auskunft – Entgegen dem Begehren der Klägerin ist die Beklagte nicht verpflichtet, die von ihr geschuldeten Auskünfte durch Vorlage vorhandener elektronischer Zugriffsprotokolle zu erfüllen. [...] Soweit in der Literatur vertreten wird, dass Empfänger im Sinne von Art. 15 Abs. 1 lit. c) DSGVO ohnehin nur eine Person oder Stelle außerhalb des Verantwortlichen sein können, nicht aber diejenigen Mitarbeitenden oder unselbständigen Niederlassungen, die dem Verantwortlichen zugehörig sind (vgl. Hartung in: Kühling/Buchner, DSGVO/BDSG, 4. Auflage 2024, Art. 4 Nr. 9 DSGVO Rn. 6), ist dies nicht vereinbar mit der Rechtsprechung des Europäischen Gerichtshofs zur berechtigten Kontrolle der Verarbeitung der Daten durch den Verantwortlichen seitens der betroffenen Person. Auch wird in Art. 4 Nr. 9 DSGVO der in Art. 15 Abs. 1 lit. c) DSGVO verwendete Begriff „Empfänger“ definiert, der sich von dem in Art. 4 Nr. 10 DSGVO definierten Begriff des „Dritten“ unterscheidet und weiter geht. Denn nach Art. 4 Nr. 9 Satz 1, letzter Halbsatz DSGVO kommt es nicht darauf an, ob es sich bei einem Empfänger um einen „Dritten“ handelt oder aber eben nicht, während ein „Dritter“ gemäß Art. 4 Nr. 10 DSGVO nicht eine Person ist, die unter der unmittelbaren Verantwortung des Verantwortlichen befugt tätig wird.
- OVG Bremen, Urteil vom 01.07.2025, Az. 1 LC 253/24 (BeckRS 2025, 33098): Recht auf Berichtigung – Maßstab für die Qualifizierung eines Datums als „richtig“ oder „unrichtig“ im Sinne des Art. 16 Satz 1 DSGVO ist dabei zunächst die objektive Wirklichkeit. Richtig ist ein Datum, das mit der Wirklichkeit übereinstimmt; unrichtig ist es, wenn es ihr nicht entspricht (BVerwG, Urt. v. 02.03.2022 – 6 C 7.20, juris Rn. 32). Der datenschutzrechtliche Begriff der Richtigkeit ist dabei stets im jeweiligen Verarbeitungskontext, d. h. in Ansehung des konkret in Rede stehenden Verarbeitungszweckes zu beurteilen (vgl. EuGH, Urt. v. 20.12.2017 – C-434/16, juris Rn. 53).
Neuigkeiten aus den Aufsichtsbehörden:
- Datenschutzaufsicht Baden-Württemberg: „Stellungnahme des LfDI zum LDSG-E online“ – Pressemitteilung vom 10.12.2025
- Bundesdatenschutzbeauftrage: „G7-Datenschutzbehörden setzen gemeinsames Engagement für den internationalen Datenschutz fort“ – Pressemitteilung vom 11.12.2025
- Datenschutzkonferenz: „Datenschutzkonferenz macht Reformvorschläge für die Datenschutz-Grundverordnung“ – Pressemitteilung vom 12.12.2025
- Mediendatenschutzbeauftragter Bayern: Veröffentlichung des 6. Tätigkeitsberichts