Datenschutz­woche

HmbBfDI: Prüfkatalog für Interessenabwägungen im Sinne von Art. 6 Abs. 1 UAbs. 1 lit f DSGVO 

Der Hamburgische Datenschutzbeauftragte (HmbBfDI) hat am 6.1.2026 einen „Fragenkatalog zur Bestimmung des berechtigten Interesses“ vorgelegt. Eine aktualisierte Fassung liegt seit dem 8.1.2026 vor. Das 16 Seiten umfassende Formular soll der Dokumentation der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO dienen und kann ausweislich der Einleitung „gegenüber dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit oder anderen Parteien zur Nachweisführung einer vollumfänglichen Interessenabwägung herangezogen oder vorgelegt werden“. 

Neben den nach Einschätzung der Hamburgischen Behörde relevanten Aspekten, die im Rahmen der Drei-Stufen-Prüfung zu berücksichtigen sind, enthält der Katalog u.a. auch den Hinweis, dass der Verantwortliche der betroffenen Person bereits vor der Erhebung personenbezogener Daten Informationen zur Abwägungsprüfung bereitstellen sollte. Empfehlenswert sei hierfür eine „mehrstufige Datenschutzerklärung“. Darüber hinaus sollte der Verantwortliche die Informationen „in jedem Fall“ als Antwort auf ein Auskunftsersuchen nach Art. 15 DSGVO zur Verfügung stellen.

BfDI legt Handreichung für Einsatz von KI in der Bundesverwaltung vor

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat am 29.12.2025 die Handreichung "KI in Behörden - Datenschutz von Anfang an mitdenken" veröffentlicht. Die Handreichung soll die öffentlichen Stellen des Bundes dabei unterstützen, datenschutzrechtliche Fragestellungen bei der Entwicklung und dem Einsatz von KI, insbesondere von Large Language Models (LLMs) zu identifizieren und eine strukturierte, lösungsorientierte Herangehensweise an KI-Projekte zu entwickeln.

Im Fokus der Handreichung stehen der Umgang mit personenbezogenen Daten beim Training und bei der Nutzung von LLMs, die Herausforderungen mit in LLMs memorisierten Daten sowie die Anforderungen an Rechtmäßigkeit und Transparenz.

Internationale Nachrichten

• CNIL: Die französische Datenschutzaufsichtsbehörde hat Hinweise zur Umsetzung der Transparenzvorgaben der DSGVO im Kontext von KI-Modelltraining veröffentlicht. Es werden Good Practice-Ansätze zur Umsetzung von Art. 13 und Art. 14 DSGVO gegeben. Bei umfangreichen „Quellen“ der Datenerhebung kann die Angabe der Kategorien oder einiger typischer Hauptquellen genügen. Wenn KI-Modell nicht anonym ist, muss auch darüber informiert werden.
• LG ZRS Wien: Urteil vom 30.12.2025 (Erste Instanz, nicht rechtskräftig) zur „Google Fonts-Abmahnwelle“ im Sommer 2022 in Österreich. Nach der Entscheidung in dem Musterverfahren stellt die massenhafte und systematische Erzeugung behaupteter Verstöße gegen die DSGVO zum Zwecke der Einnahmenerzielung mittels Art. 82 Abs. 1 DSGVO einen Rechtsmissbrauch dar. DSGVO-Ansprüche auf Schadensersatz oder Unterlassung bestehen in einer solchen Konstellation nicht. Eine Berufung wurde in dem Verfahren unter Verweis auf das vom BGH angestrengte Vorlageverfahren zum EuGH (BGH, Beschluss vom 28.8.2025, Az. VI ZR 258/24) angekündigt.

Aktuelle Gerichtsentscheidungen

• EuGH, Urteil vom 18.12.2025, Az. C-422/24: Bei Datenerhebungen mittels Videoüberwachung (hier: Bodycams) gilt als Transparenzvorschrift Art. 13 DSGVO. Die wichtigsten Informationen können auf einem Hinweisschild angezeigt werden, während die weiteren an einem leicht zugänglichen Ort zur Verfügung gestellt werden können. Die Anwendung von Art. 14 würde zu verdeckten Überwachungspraktiken führen, die mit dem Zweck der DSGVO unvereinbar seien.
• BGH, Urteil vom 18.12.2025, Az. I ZR 115/25 (GRUR-RS 2025, 35679): Informationen zum Beitragsverlauf eines privaten Krankenversicherungsvertrags stellen nur dann personenbezogene Daten im Sinne von Art. 15 Abs. 1 in Verbindung mit Art. 4 Nr. 1 DSGVO dar, wenn sie mit einer bestimmten Person verknüpft sind, die Person also auf Grundlage der Informationen identifiziert ist oder (direkt oder indirekt) identifiziert werden kann. Dass eine Information einen Sachverhalt betrifft, der Auswirkungen auf eine bestimmte Person hat, reicht für die Annahme eines personenbezogenen Datums allein nicht aus.
• OLG Frankfurt, Urteil vom 11.12.2025, Az. 6 U 81/23 (GRUR-RS 2025, 36049): Das Verbot der Cookie-Speicherung nach § 25 TDDDG beschränkt sich nicht auf „Anbieter“ im Sinne von § 2 Abs. 2 Nr. 1 TDDDG; vielmehr gilt sie gegenüber jedermann. Wer an der Erbringung der Telemedien eines Seitenbetreibers durch Setzung von (Drittanbieter-)Cookies mitwirkt, ist als Anbieter anzusehen. Wird ein Cookie ohne Einwilligung des Seitenbesuchers gesetzt, haftet der Cookie-Setzer auch dann als Täter, wenn er vertraglich gegenüber dem Seitenbetreiber vereinbart hat, dass die automatisierte Anforderung des Cookies nur bei Einwilligung des Seitenbesuchers erfolgen soll. Die Setzung eines Cookies ohne Einwilligung kann einen Schmerzensgeldanspruch auslösen. Hat der Seitenbesucher die einwilligungslose Setzung des Cookies zu Beweissicherungszwecken bewusst herbeigeführt, war ihm bewusst, dass er mit einfacher Löschung der Cookies jegliche weitere Nachverfolgbarkeit für die Beklagte verhindern konnte. Dies rechtfertigt einen Schadensersatzanspruch in Höhe von 100 €.
• LG Berlin II, Urteil vom 22.12.2025, Az. 27 O 366/25 eV (GRUR-RS 2025, 33278): Ein Bildnis i.S.d. §§ 22, 23 KUG liegt auch vor, wenn der Abgebildete auf einer teilverpixelten Fotografie nur von Personen mit Sonderwissen erkannt werden kann.
• VG Osnabrück, Verweisungsbeschluss v. 12.12.2025 – 7 A 230/25 (BeckRS 2025, 36628): Aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 DSGVO folgt nicht, dass das für Primäransprüche zuständige Gericht auch für Ansprüche nach Art. 82 DSGVO zuständig ist. Die Norm regelt nur die internationale Zuständigkeit. Ansprüche nach Art. 82 DSGVO sind keine Amtshaftungsansprüche. 

Neuigkeiten aus den Aufsichtsbehörden: 

• Datenschutzkonferenz: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Prof. Dr. Tobias Keber übernimmt für das Jahr 2026 den DSK-Vorsitz.
• Datenschutzaufsicht Berlin: „TikTok muss Nutzer:innen über Datenübermittlungen nach China informieren“ - Mitteilung vom 18.11.2025
• Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: „Elektronische Patientenakte: Datenschutz stärkt Vertrauen und Nutzung“ – Mitteilung vom 18.12.2025
• Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: "Künstliche Intelligenz: Datenschutz von Anfang an mitdenken" – Mitteilung zur Handreichung zu Datenschutz und KI in Behörden vom 29.12.2025
• Datenschutzaufsicht Hamburg:Bridge Blueprint – Brückenschlag mit Sprengkraft – Beitrag vom 7.1.2026
• Datenschutzaufsicht Hamburg: Fragenkatalog zur Interessenabwägung nach DSGVO – Mitteilung vom 6.1.2026
• Datenschutzaufsicht Sachsen-Anhalt: Datenlöschen vor Abgabe gebrauchter Smartphones und Laptops – Mitteilung vom 17.12.2025
• Datenschutzaufsicht Niedersachsen: Datenschutz-Schulungen 2026 zu KI, Social Media, Beschäftigtendatenschutz und mehr: Neue Termine für öffentliche Stellen und Vereine – Mitteilung vom 18.12.2025