Datenschutzwoche

#204

DSGVO: Institut legt Reformvorschläge vor

In einem Gastbeitrag in der „Frankfurter Allgemeinen Zeitung“ fordert Prof. Dr. Christiane Wendehorst von der Universität Wien und Verwaltungsrätin der Stiftung Datenschutz, die DSGVO grundlegend zu reformieren. Das bestehende Datenschutzkonzept sei veraltet. Sie kritisiert insbesondere das Verbot jeglicher Verarbeitung personenbezogener Daten ohne Rechtsgrundlage sowie die Ausgestaltung der Einwilligung. Ein risikobasiertes Regelungssystem könnte tatsächliche Gefahren für die Betroffenen berücksichtigen und Innovationen fördern.

Christiane Wendehorst ist auch Co-Autorin des Reformvorschlags, den das European Law Institute (ELI) vorgelegt hat. Vorgeschlagen werden eine „Blacklist“ verbotener Datenverarbeitungen, die selbst durch Einwilligung nicht gerechtfertigt sind, und eine „Whitelist“ zulässiger, von der DSGVO ausgenommener Verarbeitungen; und ein dreistufiges Regulierungsmodell, das ein verschärftes Regime für große Akteure mit Hochrisiko-Verarbeitung, ein vereinfachtes Regime für kleine Akteure mit Alltagsverarbeitung ohne hohes Risiko, sowie ein Standardregime für alle übrigen Fälle vorsieht.

Schon vor einem Jahr hatte der Draghi-Report die undifferenzierte Anwendung der DSGVO auf kleine und mittlere Unternehmen, die unterschiedliche Umsetzung der DSGVO in den Mitgliedstaaten sowie Widersprüch zu KI-bezogenen Regelungen kritisiert.

DSK veröffentlicht Orientierungshilfe zu KI-Systemen mit Retrieval Augmented Generation (RAG)

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat eine 18-seitige Orientierungshilfe für Unternehmen und Behörden zum Einsatz von RAG-Systemen veröffentlicht. RAG ergänzt große Sprachmodelle um einen gezielten Zugriff auf interne Wissensquellen und ermöglicht so kontextspezifische, nachvollziehbare Antworten. Anstatt direkt auf den Prompt zu antworten, holt das System vor der Antwort relevante Dokumentpassagen aus den Daten des Unternehmens bzw. der Behörde und bezieht sie in die Generierung ein. Genannt werden unter anderem interne Chatbots und wissenschaftliche Assistenzsysteme. RAG soll die Genauigkeit und Nachvollziehbarkeit verbessern, Halluzinationen reduzieren und beim lokalen Einsatz Datenschutz by Design und digitale Souveränität gewährleisten.

Zugleich weist die Orientierungshilfe auf Risiken hin: RAG beseitigt nicht die datenschutzrechtlichen Probleme eines rechtswidrig trainierten LLM. Transparenz, Zweckbindung und Betroffenenrechte müssen systemweit sichergestellt werden. Verantwortliche müssen den Einsatz einzelfallbezogen bewerten sowie technische und organisatorische Maßnahmen aktuell halten.

Internationale Nachrichten

EU: Der Europäische Datenschutzausschuss (EDSA) hat zu den Entwürfen der Europäischen Kommission über die Verlängerung der Angemessenheitsbeschlüsse für Großbritannien bis 2031 Stellung genommen . Der EDSA begrüßt die weitgehende Angleichung des britischen Datenschutzrechts an die DSGVO, und fordert gleichzeitig eine verstärkte Überwachung möglicher Abweichungen, insbesondere bei der staatlichen Datenverarbeitung, internationalen Übermittlungen und den Befugnissen des britischen Innenministers.
EU: Der Europäische Datenschutzausschuss (EDSA) hat beschlossen, dass sich seine fünfte koordinierte Durchsetzungsmaßnahme auf die Einhaltung der Transparenz- und Informationspflichten nach der DSGVO konzentrieren wird. Ziel ist es, sicherzustellen, dass betroffene Personen gemäß Art. 12–14 DSGVO umfassend über die Verarbeitung ihrer Daten informiert werden. Die nationalen Datenschutzbehörden werden das Thema gemeinsam prüfen, ihre Ergebnisse zusammenführen und auf EU-Ebene auswerten.
Großbritannien: Die britische Datenschutzaufsichtsbehörde ICO hat gegen die Unternehmen Capita plc und Capita Pension Solutions Limited eine Geldstrafe von 14 Millionen Pfund verhängt, nachdem bei einem Cyberangriff im März 2023 persönliche Daten von rund 6,6 Millionen Menschen entwendet worden waren, darunter Finanz- und Gesundheitsdaten. Die Untersuchung ergab schwerwiegende Sicherheitsmängel: fehlende technische und organisatorische Maßnahmen, verspätete Reaktion auf Sicherheitswarnungen und unzureichende Penetrationstests.

Aktuelle Gerichtsentscheidungen

ArbG Dortmund, Urteil vom 16.08.2024, Az. 10 Ca 754/24 (BeckRS 2024, 50159): Auskunftsanspruch – Soweit die Beklagte die Auskunftsverweigerung auf § 12 Abs. 2 S. 1 Nr. 3 DSG NRW stützt, wird das Recht auf Auskunft nur eingeschränkt, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder wegen der überwiegenden berechtigten Interessen eines Dritten geheim gehalten werden müssen.
LG Bonn, Urteil vom 03.06.2025, Az. 13 O 156/24 (Volltext): Auskunftsanspruch – Im Ergebnis ist die Beklagte aufgrund der für sie nicht auflösbaren Kollision, einerseits der Pflicht nach deutschem Gesetz, die Auskunft zu erteilen, und der entgegengesetzten Pflicht nach US-amerikanischem Recht („Section 702 FISA“), die Auskunft zu verweigern, gerechtfertigt, den Auskunftsanspruch des Klägers insoweit nicht zu erfüllen.
LAG München, Urteil vom 12.06.2025, Az. 2 SLa 70/25 (juris): Auskunftsanspruch – Begehrt die betroffene Person die Zurverfügungstellung von Kopien von Dokumenten mit ihren personenbezogenen Daten, ist es an ihr zu benennen, welche ihr durch die DSGVO verliehenen Rechte sie auszuüben gedenkt und darzulegen, aus welchen Gründen die Zurverfügungstellung von Kopien von Akten mit personenbezogenen Daten hierfür unerlässlich ist.
ArbG Bonn, Urteil vom 13.08.2025, Az. 2 Ca 2382/24 (BeckRS 2025, 27369): Auskunftsanspruch – Ein etwaiges Schutzbedürfnis der Arbeitnehmerinnen und Arbeitnehmer, welches ausnahmsweise trotz sachlicher Unrichtigkeit der von ihnen herrührenden Daten ein das Auskunftsrecht des Klägers überwiegendes Geheimhaltungsinteresse begründen könnte, muss vorliegend zurücktreten. Zwar ist der Beklagten insoweit zuzugestehen, dass sie auch gegenüber den weiteren bei ihr Beschäftigten eine Fürsorgepflicht trifft. Dies gilt jedoch in gleichem Maße zugunsten des Klägers. Die Beklagte selbst hat schon nicht behauptet, dass sie den auskunftserteilenden Personen ausdrücklich eine Geheimhaltung ihrer Äußerungen zugesagt hat.

Neuigkeiten aus den Aufsichtsbehörden

Datenschutzaufsicht Rheinland-Pfalz: „ePA für alle - Daten für alle? Deutschland im Zwiespalt zwischen digitalen Chancen und reellen Gefahren: Veranstaltung am 6. November 2025, 14 bis 17.30 Uhr, im Landtag Rheinland-Pfalz in Mainz“ – Pressemitteilung
Datenschutzaufsicht Niedersachsen: „LfD Niedersachsen lädt ein zum Symposium zur Künstlichen Intelligenz“ – Pressemitteilung vom 13.10.2025
Datenschutzaufsicht Rheinland-Pfalz: „Kernfragen des Datenschutzes lebendig debattiert: Symposium „Zehn Jahre Datenschutz im Wandel“ – Pressemitteilung vom 13.10.2025
Datenschutzaufsicht Berlin: „Schulungen für Vereine, Start-ups und Kleinunternehmen“ – Pressemitteilung vom 14.10.2025
Datenschutzaufsicht Baden-Württemberg: „3. und 4. November 2025: KI-Woche „Wer/m nutzt KI?“ – Pressemitteilung vom 16.10.2025
Datenschutzaufsicht Bremen: „Der Landesbeauftragte für Datenschutz und Informationsfreiheit zieht um!“ – Pressemitteilung vom 16.10.2025
Datenschutzaufsicht Niedersachsen: „Datenverarbeitung im Bürgerbüro“ – Pressemitteilung vom 16.10.2025
Datenschutzaufsicht Sachsen: „Meldungen von Datenpannen in Sachsen auf Rekordniveau des Vorjahres“ – Pressemitteilung vom 19.10.2025
Datenschutzaufsicht Sachsen: „SDTB-Newsletter 1/2025“– Pressemitteilung vom 19.10.2025

Weitere Ausgaben