Datenschutz­woche

BayLfD: Neue Orientierungshilfe für Anwendung des GDNG

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat eine Orientierungshilfe zu datenschutzrechtlichen Fragen im Anwendungsbereich des 2024 auf Bundesebene verabschiedeten Gesundheitsdatennutzungsgesetzes (GDNG) veröffentlicht (Version 1.0, Stand 01.01.2026). Sie betrachtet verschiedene Fragestellungen mit Fokus auf §§ 5 und 6 GDNG sowie dessen Bezüge zum Europäischen Gesundheitsdatenraum (EHDS). Parallel dazu hat der BayLfD auch ein Musterformular für einen Antrag auf Zustimmung nach § 6 Abs. 3 Satz 4 Nr. 4 GDNG veröffentlicht.

Die einwilligungsfreie Nutzung von Gesundheitsdaten zu Forschungszwecken bleibe weiterhin anspruchsvoll, heißt es im Vorwort der Orientierungshilfe. Die neuen bundesgesetzlichen Regelungen würden keine durchgehende Vereinfachung bewirken. Einwilligungen und landesrechtliche Verarbeitungsbefugnisse behielten daher ihre Relevanz.

Der Bayerische Landesbeauftragte für den Datenschutz Prof. Dr. Thomas Petri sagte zum Zweck der Veröffentlichung: „Meine neue Orientierungshilfe soll Forschungseinrichtungen, die an Vorhaben mit Gesundheitsdaten mitwirken, eine datenschutzkonforme Gestaltung ihrer Projekte erleichtern. Hier kommt es darauf an, die relevanten Rahmenbedingungen frühzeitig zu erkennen und von ihnen geforderte Schutzmechanismen konsequent umzusetzen. Dann wird Datenschutz als ein probates Mittel erlebbar, das Vertrauen der Patientinnen und Patienten zu gewinnen. Dieses Vertrauen ist eine entscheidende Voraussetzung für erfolgreiche Forschung mit großen Datenmengen.“

BlnBDI Meike Kamp kritisiert geplante Gesetzesänderungen

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, hat die geplanten Änderungen am Berliner Datenschutzgesetz und am Berliner Informationsfreiheitsgesetz kritisiert. In der Pressemitteilung vom 09.03.2026 bezeichnet Kamp die geplanten Änderungen für den Einsatz von Videoüberwachung zum Schutz kritischer Infrastruktur als praktisch wirkungslos, da sie an der bestehenden Rechtslage wenig ändern würden. Der pauschale Verzicht auf Kennzeichnungspflichten sei europarechtlich zudem nicht möglich.

Hinsichtlich der geplanten Änderungen am Berliner Informationsfreiheitsgesetz kritisiert die BlnBfDI die umfangreichen Ausnahmen vom Recht auf Akteneinsicht und -auskunft und erkennt einen Widerspruch zum Regierungsprogramm des Berliner Senats, welches den hohen Standard der Informationsfreiheit in Berlin wahren und ein Transparenzgesetz einführen wollte. Die Einführung einer Ausnahme für Informationen, die die kritische Infrastruktur betreffen, hält Kamp auch unter Berücksichtigung von neuartigen Gefährdungslagen nicht für erforderlich. „Sicherheitsbedenken in Bezug auf kritische Infrastrukturen können bereits nach der bestehenden Rechtslage ausreichend berücksichtigt werden. Es entsteht der Eindruck, dass wir in der Berliner Verwaltung in vielen Bereichen wieder zu einer überholten Kultur eines pauschalen Amtsgeheimnisses zurückzukehren. Die Änderungen beschränken demokratische Diskurse und erschweren die Kontrolle staatlichen Handelns.“

Kamp begrüßt grundsätzlich das Vorhaben, die Gesetze zum Datenschutz und zur Informationsfreiheit zu überarbeiten. Ihre Anregungen der vergangenen Jahre seien aber in dem nun vorgelegten Gesetzesentwurf größtenteils nicht aufgegriffen worden. In der Stellungnahme für den Ausschuss für Digitalisierung und Datenschutz finden sich weitere Details.

Internationale Nachrichten

• Europa: Die EU-Kommission hat den zweiten Entwurf für einen freiwilligen Verhaltenskodex für die Kennzeichnung von KI-generierten Inhalten nach Art. 50 KI-VO veröffentlicht. In den Entwurf eingeflossen sind die Rückmeldungen von Wirtschaft, Wissenschaft und Zivilgesellschaft sowie von EU-Mitgliedsstaaten und Mitgliedern des EU-Parlaments. Die EU-Kommission wird bis zum 30.03.2026 erneut Rückmeldungen zum zweiten Entwurf des Verhaltenskodex einholen. Der Kodex soll dann Anfang Juni 2026 fertiggestellt werden. Die Vorschriften über die Transparenz von KI-generierten Inhalten treten am 02.08.2026 in Kraft.
• Europa: Der Europäischen Datenschutzausschusses schreibt an die EU-Kommission bezüglich der Auswirkungen der jüngsten vorgeschlagenen Gesetzesänderungen in Bezug auf die Einreisebedingungen für EWR-Bürger in die Vereinigten Staaten.
• Österreich: Mit Bescheid vom 27.02.2025 hat die österreichische Datenschutzbehörde (DSB) einer Beschwerde über die Anfertigung und Veröffentlichung von Drohnenbildern eines Grundstücks stattgegeben (abrufbar bei dataprotect.at). Eine Immobiliengesellschaft hatte auf einer Onlineplattform ein Inserat veröffentlicht. Die dazugehörigen Drohnenaufnahmen zeigten nicht nur das beworbene Grundstück, sondern auch das Haus und Grundstück einer Nachbarin. Die DSB stellt in dem Bescheid fest, dass diese Veröffentlichung eine Verarbeitung personenbezogener Daten darstellen kann, wenn die Nachbarhäuser identifizierbar sind und sich über weitere Informationen (z.B. die Adresse des inserierten Grundstücks) Rückschlüsse auf die Eigentümer ziehen lassen. Ohne geeignete Schutzmaßnahmen – etwa Verpixelung – fehle es regelmäßig an der Erforderlichkeit im Rahmen berechtigter Interessen.
• Spanien: Die spanische Datenschutzaufsichtsbehörde (AEPD) hat gegen ein Telekommunikationsunternehmen ein Bußgeld i.H.v. 10.000 EUR wegen eines Verstoßes gegen Art 32 DSGVO verhängt. Das Unternehmen hatte an einen Kunden eine unverschlüsselte E-Mail bezüglich eines neuen Kundenportals versandt, welche die vollständigen Zugangsdaten – Benutzername und ein vom Unternehmen neu vergebenes Passwort – des Kunden im Klartext enthielt.

Aktuelle Gerichtsentscheidungen

• OLG Jena, Urteil vom 02.03.2026, Az. 3 U 31/25: Eine umfangreiche und anlasslose Verarbeitung von außerhalb sozialer Netzwerke anfallenden personenbezogenen Daten durch den Betreiber eines sozialen Netzwerks kann nicht nach Art. 6 Abs. 1 DSGVO gerechtfertigt werden. Insbesondere scheiden Sicherheits- und Integritätsinteressen als Rechtfertigungsgründe aus. Ein System anlassloser Sammlung von „Offsite-Daten“ zur Verknüpfung mit Nutzerprofilen in sozialen Netzwerken widerspricht Grundprinzipien des europäischen Datenschutzrechts, namentlich jenen der Transparenz, der Zweckbindung, der Datenminimierung und der Rechenschaftspflicht. Dadurch besteht ein weitreichender Kontrollverlust des Betroffenen darüber, welche Informationen der Netzwerkbetreiber über Internet-und App-Nutzungsverhalten erhalten hat und bis zu welchem Grad er genaue Kenntnisse über ihn und seine individuellen Lebensumstände hat, die über das hinausgehen, was durch Nutzung des sozialen Netzwerks preisgegeben wird. Der Kontrollverlust betrifft auch besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO; der Betroffene muss hierzu keine konkrete Webseitenbesuche vortragen, sondern es genügt die Benennung der Themen, die er im Internet recherchiert und die einen Bezug zu Art. 9 DSGVO haben; ein Bestreiten mit Nichtwissen ist dem Netzwerkbetreiber verwehrt. Ohne Vortrag des Betroffenen zu spezifischen individuellen Folgen und zu konkreten, von Art. 9 DSGVO erfassten und dem Kontrollverlust unterliegenden Informationen, ist ein Schadensersatz in einer Größenordnung von 3.000 EUR angemessen.

Neuigkeiten aus den Aufsichtsbehörden:

• Bundesbeauftragte für den Datenschutz und die Informationssicherheit: Neue Unterrichtsreihe „Was ist Datenschutz?“ mit altersgerechten Materialien für die Klassenstufen 4 bis 7.
• Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg: Ankündigung zum 15. Speyerer Forum unter dem Motto „Digital souverän – wer oder was entscheidet im modernen Rechtsstaat?“ am 16 und 17.04.2026.
• Bayerisches Landesamt für Datenschutzaufsicht: Veröffentlichung des 15. Tätigkeitsberichts für das Jahr 2025. Begleitend dazu gibt es einen einstündigen Podcast mit Präsident Michael Will und Pressesprecherin Carolin Loy.
• Bayerische Landesbeauftragte für den Datenschutz: Orientierungshilfe „Datenschutz und Gesundheitsdatennutzungsgesetz“.
• Konferenz der Informationsfreiheitsbeauftragten in Deutschland (IFK): Entschließung unter dem Titel „Mehr Informationsfreiheit stärkt demokratische Teilhabe!“ vom 11.03.2026.
• Berliner Beauftragte für Datenschutz und Informationsfreiheit: Start der Schulungsreihe „Starthilfe Datenschutz 2026“ für Vereine, Start-ups und Kleinunternehmen.
• Sächsische Datenschutz- und Transparenzbeauftragte: Pressemitteilung zum 2. Mitteldeutschen Datenschutztag der Datenschutzaufsichtsbehörden aus Sachsen, Sachsen-Anhalt und Thüringen vom 10.03.2026.
• Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschlands: Arbeitshilfe zur Umsetzung der KDG-Novelle mit Stand Februar 2026.