Datenschutz­woche

HmbBfDI zur Übertragung der „Russmedia“-Grundsätze auf Social-Media-Plattformen

Der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit (HmbBfDI) hat am 12.05.2026 eine vierzehnseitige Bewertung der Praxisfolgen des Russmedia-Urteils des EuGH im Hinblick auf Social-Media-Plattformen veröffentlicht (Urteil vom 02.12.2025, Az. C-492/23); siehe dazu auch DatenschutzWoche Ausgabe 211). Die Einschätzung berücksichtigt auch die EuGH-Rechtsprechung aus anderen Verfahren mit Bezug zu Plattformen.

In der Veröffentlichung werden zunächst die Kernaussagen des Urteils dargestellt, Schlussfolgerungen gezogen und das Urteil in die aktuelle nationale Rechtsprechung des BGH eingeordnet. Anschließend stellt der HmbBfDI fest, dass die „Russmedia“-Grundsätze auch auf Social-Media-Plattformen Anwendung finden. Die datenschutzrechtliche Verantwortlichkeit der Betreiber entstehe „insbesondere dann, wenn die Plattformen personenbezogene Inhalte zu Werbezwecken oder aus anderen kommerziellen Interessen nutzen, die über die reine Bereitstellung des Dienstes für die Nutzer hinausgehen“. Dies sei regelmäßig der Fall, wenn Algorithmen, Rankings oder vergleichbare Mechanismen eingesetzt werden, die auf die eigenen wirtschaftlichen Interessen der Plattform ausgerichtet sind.

Für den Betreiber entsteht dann die Pflicht, risikobasierte Maßnahmen zu ergreifen, die darauf hinwirken, rechtswidrig veröffentlichte personenbezogene Inhalte zu entfernen und deren Veröffentlichung zu verhindern. Daraus folgt nach Ansicht des HmbBfDI aber keine allgemeine Überwachungspflicht für nutzergenerierte Inhalte oder eine generelle Identifizierungspflicht für Nutzende. Ausgehend vom Grundrecht auf freie Meinungsäußerung (Art. 11 GRCh) nimmt der HmbBfDI eine Differenzierung der Pflichten nach Art des Nutzerkontos vor:

• Bei nicht kommerziell genutzten Profilen könne eine pauschal und für alle Fälle anzunehmende Identifizierungspflicht ebenso wenig angenommen werden wie eine grundsätzliche Verpflichtung sozialer Netzwerke, Inhalte vor dem Upload auf Art. 9 DSGVO-Daten zu filtern. Dies folge zum einen daraus, dass präventive Maßnahmen nur unter Wahrung des Verhältnismäßigkeitsgrundsatzes und unter Berücksichtigung der Grundrechte der Nutzenden aus Art. 7, 8 GRCh geboten sind und zum anderen daraus, dass bei nicht kommerziell genutzten Konten das Grundrecht der Meinungsäußerungsfreiheit aus Art. 11 GRCh betroffen ist.
• Für kommerzielle Konten oder von Organisationen betriebene Profile sei das Schutzinteresse der Nutzenden weniger stark ausgeprägt. In diesen Fällen sind Social-Media-Plattformen nach Ansicht des HmbBfDI verpflichtet, angemessene Maßnahmen zu ergreifen, um rechtswidrigen Veröffentlichungen sensibler Daten vorzubeugen. Dazu kann die Identitätsfeststellung der kommerziellen Nutzenden ebenso gehören wie eine Vorabprüfung mittels Upload-Filter, ob eine gesetzliche Ausnahme für die Veröffentlichung sensibler Daten vorliegt.

Unabhängig von der Art des Nutzerkontos ist der Betreiber einer Social-Media-Plattform bei Inkenntnissetzung durch einen Betroffenen oder einen Dritten dazu verpflichtet, einen rechtswidrigen personenbezogenen Inhalt zu entfernen. Zusätzlich müssen angemessene Maßnahmen ergriffen werden, um zu verhindern, dass dieser rechtswidrige personenbezogene Inhalt weiterverbreitet wird (sog. „Notice and Sweep“-Verfahren). Das müsse auch für erkennbar inhaltsgleiche rechtswidrige Veröffentlichungen im Rahmen der Verantwortlichkeit der Social-Media-Plattform gelten.

Referentenentwurf für ein Gesetz für Daten und digitale Innovation im Gesundheitswesen (GeDIG)

Das Bundesministerium für Gesundheit hat am 06.05.2026 den Referentenentwurf für ein Gesetz für Daten und digitale Innovation im Gesundheitswesen vorgestellt. Der Entwurf enthält Maßnahmen für beinahe allen digitalisierungsrelevanten Themenbereichen des Gesundheitssystems und greift zahlreiche wichtige Punkte aus dem Koalitionsvertrag sowie aus der weiterentwickelten Digitalisierungsstrategie für das Gesundheitswesen und die Pflege auf („Gemeinsam Digital 2026“). 

Der Entwurf enthält u. a. Regelungen zur Weiterentwicklung der elektronischen Patientenakte sowie der Telematikinfrastruktur. Weiter finden sich Vorschriften zu digitalen Elementen im Primärversorgungssystem (z. B. elektronische Überweisung oder digitale Terminvermittlung durch die 116117-Plattform und Dritte) und Vorgaben zu sicheren Übermittlungsverfahren im Gesundheitswesen. Die Übertragung medizinischer und pflegerischer Daten mittels Fax wird nicht mehr zulässig sein.

Gleichzeitig sollen im GeDIG die Möglichkeiten zur Nutzung von Gesundheitsdaten für Forschung, Innovation und Versorgung weiter verbessert werden. Hierzu wird u. a. das Forschungsdatenzentrum (FDZ) Gesundheit weiterentwickelt und die Datennutzungsmöglichkeiten für eine datengestützte Versorgung der Krankenkassen im Interesse der Versicherten gestärkt. Zudem behandelt der Entwurf auch die Durchführung des Europäischen Gesundheitsdatenraums (EHDS-VO) und setzt Vorgaben für die Primär- und Sekundärnutzung von Gesundheitsdaten um.

Das Bundesministerium für Gesundheit hat zum Referentenentwurf auch umfangreiche Fragen und Antworten veröffentlicht.

Internationale Nachrichten

Europa: Die Europäische Kommission hat einen Entwurf für Leitlinien zur Umsetzung der Transparenzpflichten nach Art. 50 der KI-VO veröffentlicht. Bis zum 03.06.2026 können zu dem Entwurf Stellungnahmen abgegeben werden. Der Entwurf wurde parallel zum Verhaltenskodex für die Kennzeichnung von KI-generierten Inhalten ausgearbeitet.

Europa: Stellungnahme 13/2026 des EDSA zur Genehmigung der finnischen nationalen Akkreditierungsstelle für Datenschutz-Zertifizierungen gemäß Art. 43 Abs. 3 DSGVO.

Niederlande: Die niederländische Datenschutzaufsichtsbehörde Autoriteit Persoonsgegevens hat gegen den Betreiber der Taxi-App Yango ein Bußgeld in Höhe von 100 Millionen EUR verhängt. Grund hierfür waren umfangreiche Übermittlungen personenbezogener Daten nach Russland, welche nach Auffassung der Aufsichtsbehörde nicht die Anforderungen aus Kapitel 5 der DSGVO erfüllen. Bei der Festsetzung der Bußgeldhöhe wurde der Umsatz des Mutterkonzerns berücksichtigt.

Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat am 07.05.2026 Empfehlungen zur Beurteilung der Kreditwürdigkeit im Rahmen der Kreditvergabe nebst Checkliste veröffentlicht.

Aktuelle Gerichtsentscheidungen

VG Berlin, Urteil vom 11.03.2026, Az. 42 K 13/25 (Volltext): Die Partei Alternative für Deutschland (AfD) muss der Berliner Beauftragten für Datenschutz und Informationsfreiheit Auskunft über Werbeauftritte in sozialen Medien im Bundestagswahlkampf 2021 erteilen. Vor dem Hintergrund sogenannter political targeting-Maßnahmen, d. h. der datengetriebenen individualisierten Ansprache in den sozialen Medien, hatte die BlnBDI von allen Parteien mit Sitz in Berlin, die 2021 im Bundestag vertreten gewesen waren, Informationen zur weiteren Aufklärung solcher Datenverarbeitungen angefordert.

Neues aus den Aufsichtsbehörden

Der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg: LfDI-Sprechstunde zu Videoüberwachung und dem neuen § 18 Abs. 1 des Landesdatenschutzgesetzes am 26.05.2026.

Der Landesbeauftragte für den Datenschutz Niedersachsen: Informationsmaterial zur anstehenden Kommunalwahl unter dem Titel „Datenschutz im Kommunalwahlkampf 2026“ unter besonderer Berücksichtigung der EU-Verordnung über die Transparenz und das Targeting politischer Werbung.