Datenschutz­woche

EDSA stellt Abschlussbericht der EU-weiten Prüfung zum Umgang mit Löschersuchen vor

In seinem am 18.2.2026 veröffentlichten Bericht stellte der EDSA die Ergebnisse seiner vierten koordinierten Durchsetzungsaktion (auf Basis des Koordinierten Durchsetzungsrahmens, Coordinated Enforcement Framework, CEF) vor, die sich mit dem Recht auf Löschung befasste. Eingegangen sind die Antworten von 764 Verantwortlichen auf einen einheitlichen Fragebogen der nationalen Aufsichtsbehörden.

Der Bericht fasst die Ergebnisse zusammen und identifiziert sieben wiederkehrende Probleme 

1. Dokumentierte interne Verfahren zur Bearbeitung von Löschanträgen fehlen,
2. Fehlende oder unzureichende Schulungen,
3. Betroffene Personen werden unzureichend informiert,
4. Bezüglich der Ausnahmen zur Ablehnung von Löschanträgen gibt es Rechtsunsicherheit und auch Missbrauch,
5. Es gibt Schwierigkeiten bei der Festlegung und Umsetzung von Aufbewahrungsfristen,
6. Die Löschung personenbezogener Daten im Zusammenhang mit Backups bereitet Probleme,
7. Es gibt offene Fragen zur Anonymisierung im Kontext von Löschanträgen.

Zu diesen Herausforderungen enthält der Bericht Empfehlungen für Verantwortliche.

Landtag Baden-Württemberg beschließt neue Regeln zur KI-Nutzung

Der Baden-Württembergische Landtag hat am 4. Februar 2026 neue gesetzliche Vorgaben zur Nutzung von KI-Systemen und der Verarbeitung personenbezogener Daten im Kontext von KI beschlossen. Ziel der Reform ist es, die landesrechtlichen Vorschriften an die europäische KI-Verordnung (EU-Verordnung 2024/1689) anzupassen und zugleich Rechtssicherheit für den Einsatz von KI in Verwaltung, Gerichten und weiteren öffentlichen Bereichen zu schaffen. 

Zentral ist die ausdrückliche Klarstellung, dass öffentliche Stellen KI-Systeme zur Verarbeitung personenbezogener Daten einsetzen dürfen, sofern die zugrunde liegende Datenverarbeitung rechtmäßig ist. Eine KI-Anwendung bedarf keiner eigenständigen Rechtsgrundlage, sondern darf nur im Rahmen der bestehenden datenschutzrechtlichen Erlaubnistatbestände genutzt werden.

Neu geregelt ist außerdem, dass öffentliche Stellen personenbezogene Daten für die Entwicklung, das Training, das Testen, die Validierung und die Beobachtung von KI-Systemen weiterverarbeiten dürfen, wenn dies zur Erfüllung ihrer Aufgaben erforderlich ist und der Zweck nicht auf andere Weise effektiv erreicht werden kann. Für besondere Kategorien personenbezogener Daten gelten dabei die zusätzlichen Voraussetzungen des Artikels 9 DSGVO. Gleichzeitig wird klargestellt, dass Behörden aus rechtmäßig gespeicherten Daten synthetische Daten erzeugen oder Daten anonymisieren dürfen, um etwa KI-Anwendungen datenschutzschonender zu gestalten.

Ein weiterer Schwerpunkt liegt auf der Automatisierung von Verwaltungsverfahren. Künftig können Verwaltungsakte vollständig automatisiert, auch unter Einsatz von KI, erlassen werden. 

Besondere Aufmerksamkeit gilt auch dem Einsatz von KI im Bereich der Videoüberwachung. Die Nutzung von KI-Systemen zur Auswertung von Videoaufnahmen öffentlich zugänglicher Räume ist zulässig, wenn sie im Einzelfall erforderlich ist, etwa zum Schutz von Leben, Gesundheit oder sicherheitsrelevanten Einrichtungen, und keine überwiegenden schutzwürdigen Interessen der Betroffenen entgegenstehen. Entsprechende Transparenzpflichten bleiben bestehen, und Speicherfristen sind geregelt. Auch für nicht öffentlich zugängliche Räume werden vergleichbare Vorgaben geschaffen. Der Einsatz sonstiger technischer Überwachungsmittel unter Nutzung von KI wird ebenfalls geregelt. 

Hinsichtlich der Betroffenenrechte enthält das Gesetz eine praxisrelevante Besonderheit: Bei mit KI-Systemen oder KI-Modellen verarbeiteten Daten kann ein Anspruch auf Berichtigung oder Löschung eingeschränkt sein, wenn die Umsetzung nur mit unverhältnismäßig hohem technischem oder wirtschaftlichem Aufwand oder mit erheblichen ökologischen Folgen möglich wäre oder der rechtmäßige Zweck der Verarbeitung erheblich erschwert würde. In solchen Fällen treten alternative Maßnahmen wie Filterlösungen an die Stelle einer klassischen Datenberichtigung.

Auch im Beschäftigtendatenschutz werden neue Vorgaben eingeführt. Beschäftigte sowie Bewerberinnen und Bewerber müssen über den Einsatz von KI-Systemen, deren Dauer und Zwecke informiert werden. Die Verarbeitung biometrischer Daten zu Authentifizierungs- und Autorisierungszwecken ist grundsätzlich untersagt und nur unter engen Voraussetzungen, etwa aufgrund einer Dienst- oder Betriebsvereinbarung oder ausdrücklicher Einwilligung, zulässig.

Internationale Nachrichten

• Europa: Die NIS-Kooperationsgruppe, bestehend aus Vertretern der EU-Mitgliedstaaten, der Europäischen Kommission und der EU-Agentur für Cybersicherheit (ENISA), hat eine EU-Toolbox für die Sicherheit der IKT-Lieferkette verabschiedet. Diese Toolbox bietet einen gemeinsamen Ansatz zur Identifizierung, Bewertung und Minderung von Cybersicherheitsrisiken in IKT-Lieferketten. Außerdem werden Risikoszenarien skizziert und Maßnahmen zur Risikominderung empfohlen, darunter die Überwindung der Abhängigkeit von risikoreichen Lieferanten.  
• Spanien: Die spanische Datenschutzbehörde (eapd) hat einen Leitfaden zu „Agentenbasierter künstlicher Intelligenz aus der Perspektive des Datenschutzes“ veröffentlicht. Ausweislich des Management Summary besteht der Zweck dieses Dokuments nicht darin, die Konformität eines bestimmten Verarbeitungsvorgangs, bei dem KI-Agenten zum Einsatz kommen, zu analysieren, sondern darin, sich mit der Frage zu befassen, wie die Besonderheiten zu handhaben sind, die bei einem Verarbeitungsvorgang auftreten, wenn dieser ganz oder teilweise mit KI-Agenten durchgeführt wird.
• Spanien: Die spanische Agentur für die Überwachung von Künstlicher Intelligenz (Agencia Espaliota de Supervisión de Inteligencia Artificiat) hat Richtlinien zum Umgang mit den Vorgaben der KI-Verordnung veröffentlicht, darunter u.a. Leitlinien zu Daten und Daten-Governance sowie zur Cybersicherheit.

Aktuelle Gerichtsentscheidungen

• OLG München, Beschluss vom 18.02.2026 – 34 Wx 36/26 e: Gemäß § 12 Abs. 1 Satz 1 GBO ist die Einsicht des Grundbuchs jeder Person gestattet, die ein berechtigtes Interesse darlegt. Ein berechtigtes Interesse in diesem Sinne liegt vor, wenn ein verständiges, durch die Sachlage gerechtfertigtes Interesse des Antragstellers dargetan ist. Nach dieser Maßgabe ist hier ein berechtigtes Interesse des Beteiligten nicht dargelegt. Die Grundbucheinsicht darf dagegen nicht dazu missbraucht werden, den Namen des Eigentümers zu erforschen. Kein berechtigtes Interesse an der Grundbucheinsicht besteht für einen Kaufinteressenten bzw. Nachbarn, der den Namen des Grundstückseigentümers in Erfahrung bringen möchte, um mit dem Eigentümer wegen eines eventuellen Verkaufs des Grundstücks Verbindung aufzunehmen. Weder das Bundesdatenschutzgesetz noch die Datenschutzgesetze der Länder sind auf die Grundbucheinsicht anzuwenden, da insoweit die Regelungen in der GBO vorrangig sind. 
• Entgegen der Ansicht des Beschwerdeführers steht ihm ein Auskunftsanspruch auch nicht nach Art. 6 Abs. 1 lit. f) DSGVO zu. Diese Norm betrifft die Rechtmäßigkeitsvoraussetzungen in Gestalt der Grundlagen, auf die sich eine Verarbeitung personenbezogener Daten stützen darf und muss, stellt aber selbst keine Grundlage für die Weitergabe von Daten an Dritte dar.
• OLG Bamberg, Hinweisbeschluss vom 21.01.2026, Az. 10 U 61/25 e: Wie bereits erstinstanzlich vermag die Klagepartei auch zweitinstanzlich keine Einschlägigkeit des Art. 22 Abs. 1 DSGVO aufzuzeigen. Es fehlt unverändert schon an der individualisierten und konkreten Darlegung, dass allein durch die Generierung des Basis- oder sonstigen Score-Wertes durch die Beklagte unmittelbar und namentlich ohne eigenverantwortliches Dazwischentreten eines Dritten eine die Klagepartei nachteilig betreffende Entscheidung eintreten könnte. Plakativ wird dieser Mangel auch in der informatorischen Anhörung der Klagepartei selbst in der mündlichen Verhandlung vom 18.06.2023, wonach die Klagepartei allenfalls eine vage Vermutung über das Nichtzustandekommen eines angestrebten Abschlusses eines Mietvertrags vortragen konnte.
• VG Düsseldorf, Gerichtsbescheid vom 21.01.2026 – 29 K 7470/24: Erfüllung der Informationspflicht des Verantwortlichen und mit ihr der Wegfall des Zwecks der Verarbeitung tritt frühestens ein, nachdem dem Auskunftsantragsteller die begehrten Informationen vollständig und innerhalb der maßgeblichen Frist zur Verfügung gestellt wurden.

Neues aus den Aufsichtsbehörden

• Datenschutzkonferenz: Pressemitteilung vom 18.02.2026 - „Coordinated Enforcement Framework“ (CEF) 2025: Ergebnisse der europaweiten Aktion zur Umsetzung des Rechts auf Löschung personenbezogener Daten in der Praxis liegen vor.
• Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: Die BfDI ist zum zweiten Mal mit dem „Most Innovative Regulator Award“ im Rahmen der „European Blockchain Sandbox“ ausgezeichnet worden.
• Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW: Pressemitteilung vom 19.02.2026 – LDI NRW treibt Datenschutz-Zertifizierung voran – TÜV-Nord-Kriterien genehmigt 
• Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg: Pressemitteilung vom 19.02.2026 – Neue BIDIB-Schulungen: Datenschutzgrundlagen für öffentliche Stellen