Datenschutz­woche

DSK: Orientierungshilfe zum Datenschutz bei KI-Systemen

Die Datenschutzkonferenz (DSK) hat auf ihrer jüngsten Zwischenkonferenz eine Orientierungshilfe zu technischen und organisatorischen Maßnahmen (TOM) für die Entwicklung und den Betrieb von KI-Systemen beschlossen. Angesichts der umfassenden Verarbeitung personenbezogener Daten und der potenziell hohen Risiken soll das Dokument Herstellern, Entwicklern und Betreibern eine praxisnahe Hilfestellung bieten, wie der Datenschutz über den gesamten Lebenszyklus eines KI-Systems hinweg sichergestellt werden kann. 

Die Orientierungshilfe ist entlang der vier Lebenszyklusphasen von KI strukturiert: Design, Entwicklung, Einführung sowie Betrieb und Monitoring. Für jede Phase gibt es konkrete Empfehlungen. Dazu zählen etwa die Auswahl datenschutzkonformer Datenquellen, Maßnahmen zur Re-Identifikationsvermeidung, Einsatz von Bias-Analysen und Federated Learning sowie Vorgaben zur Intervenierbarkeit, z. B. zur Löschbarkeit von Trainingsdaten. Im laufenden Betrieb sollen unter anderem die Qualität der Modelloutputs regelmäßig geprüft, Schutzmechanismen gegen Evasion-Angriffe implementiert und eine fortlaufende Rechenschaftspflicht sichergestellt werden. 

Zur Auswahl geeigneter TOM verweist die DSK ausdrücklich auf das Standard-Datenschutzmodell (SDM). Dessen Gewährleistungsziele – darunter Vertraulichkeit, Integrität, Transparenz und Datenminimierung – bilden einen Rahmen, um Datenschutzrisiken systematisch zu erkennen und zu adressieren. So sollen etwa nachträgliche Zweckänderungen verhindert, unzulässige Datenverkettungen ausgeschlossen und Betroffenenrechte wie Auskunft oder Löschung auch bei KI-basierter Verarbeitung effektiv gewahrt bleiben. 

OVG Berlin-Brandenburg: Kein Auskunftsanspruch bei anonymisierter Videoüberwachung

Das Oberverwaltungsgericht Berlin-Brandenburg hat mit Urteil vom 13. Mai 2025 (Az. 12 B 14/23) klargestellt, dass der Auskunftsanspruch nach Art. 15 DSGVO Grenzen hat – insbesondere bei der Videoüberwachung im öffentlichen Raum. 

Ein Fahrgast hatte von der S-Bahn Berlin GmbH die Herausgabe von Videoaufzeichnungen verlangt, auf denen er mutmaßlich zu sehen war. Die Betreiberin lehnte dies ab – zu Recht, wie das OVG nun entschied. Zwar liege eine Verarbeitung personenbezogener Daten grundsätzlich vor. Allerdings sei eine Identifizierung des Fahrgasts im Rahmen des bestehenden Datenschutzkonzepts nicht zumutbar. Dieses Konzept sieht eine automatische Löschung der Aufnahmen nach 48 Stunden vor und verhindert gezielt eine nachträgliche Identifikation ohne behördlichen Anlass. 

Eine Pflicht, die Datenverarbeitung für künftige Auskunftsersuchen so zu gestalten, dass eine Identifizierung möglich ist, besteht nach Auffassung des OVG nicht. Eine Pflicht zur Identifizierung bzw. eine Anpassung des Systems würde tiefgreifende Eingriffe in die Rechte Dritter mit sich bringen und das Gesamtsystem der Videoüberwachung im öffentlichen S-Bahn-Netz grundlegend verändern.

OLG Köln: KI-Training mit Social-Media-Daten zunächst zulässig

Meta darf die personenbezogenen Nutzerdaten seiner Plattformdienste Facebook und Instagram vorerst weiterhin zum Training seines KI-Modells verwenden. Das Oberlandesgericht Köln lehnte am 23. Mai 2025 im Eilverfahren den Antrag der Verbraucherzentrale NRW auf Erlass einer einstweiligen Unterlassungsverfügung gegen das Unternehmen ab. 

Das Gericht entschied, dass Meta personenbezogene Daten volljähriger Facebook- und Instagram-Nutzende grundsätzlich für das Training eigener KI-Anwendungen verwenden darf und öffentlich gepostete Inhalte bei ausreichendem Schutz der Betroffenen auf Grundlage eines berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO verarbeitet werden dürfen. Bei der summarischen Prüfung überwogen die berechtigten Interessen von Meta gegenüber den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Personen. Als berechtigte Interessen kommen neben rechtlichen und ideellen insbesondere auch wirtschaftliche Belange in Betracht. 

Auch die Verarbeitung besonders sensibler Daten (z. B. zu Gesundheit oder Religion) ist im vorliegenden Fall nicht nach Art. 9 Abs. 1 DSGVO untersagt. Zwar wird der zu Trainingszwecken vorgesehene Datensatz auch personenbezogene Daten im Sinne des Art. 9 Abs. 1 DSGVO enthalten. Das in Art. 9 Abs. 1 DSGVO aufgestellte grundsätzliche Verbot jeder Verarbeitung besonderer Kategorien personenbezogener Daten gilt jedoch nicht, wenn sich die Verarbeitung auf personenbezogene Daten bezieht, die „die betroffene Person offensichtlich öffentlich gemacht hat“. Wenn Daten öffentlich in ein Nutzerkonto eingestellt werden, muss den durchschnittlichen Nutzerenden bekannt sein, dass diese Daten von allen zur Kenntnis genommen werden können und sogar mittels Suchmaschinen auffindbar sind. 

Das Urteil ist zwar im Eilverfahren ergangen, liefert jedoch erste rechtliche Orientierung für Unternehmen im Widerspruch zu den strengeren Auffassungen einzelner Datenschutzbehörden. Der Beschluss erging auf Grundlage einer summarischen Prüfung und wirkt nur vorläufig. Endgültig wird erst im Hauptsacheverfahren entschieden.

Internationale Nachrichten

• Irland: Die irische Datenschutzkommission (DPC) hat am 19. Juni 2025 ihren Jahresbericht für 2024 veröffentlicht. Im Fokus stehen Geldbußen von insgesamt 652 Millionen Euro, darunter 310 Millionen gegen LinkedIn und 251 Millionen gegen Meta wegen Datenschutzverstößen. 7.781 Datenschutzverletzungen wurden gemeldet, ein Anstieg um 11 %. Die Hälfte der Datenschutzverletzungen resultierte aus dem Versand von Mitteilungen an den falschen Empfänger. Zudem wurden 146 Fälle unzulässiger Direktwerbung untersucht.
• Großbritannien: Die britische Datenschutzaufsicht ICO hat gegen das US-Unternehmen 23andMe eine Geldbuße in Höhe von 2,31 Millionen Pfund verhängt. Hintergrund ist ein groß angelegter Cyberangriff im Jahr 2023, bei dem Angreifer durch sogenannte Credential-Stuffing-Angriffe Zugang zu den Daten von über 155.000 britischen und 320.000 kanadischen Nutzern erhielten. In Summe handelte es sich um fast 7 Millionen Datensätze, welche im Anschluss auf den Cyberangriff im Darknet angeboten wurden. Betroffen waren unter anderem genetische Informationen, familiäre Verbindungen und Gesundheitsdaten. Die Aufsichtsbehörden stellten fest, dass 23andMe grundlegende Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung versäumt hatte. Die Reaktion auf die Angriffe sei zudem unzureichend gewesen. Die Entscheidung beruht auf einer gemeinsamen Untersuchung mit der kanadischen Datenschutzbehörde.

Aktuelle Gerichtsentscheidungen

• LAG Düsseldorf, Urteil vom 21.08.2024, Az. 4 SLa 233/24 (juris): Immaterieller Schadenersatz – Für die Entscheidung kommt es nicht darauf an, ob das Verhalten der Beklagten einen Verstoß im Sinne des Art. 82 Abs. 1 DSGVO darstellt. Selbst wenn ein solcher Verstoß unterstellt wird, scheitert die Klage daran, dass der Kläger nicht dargelegt hat, dass ihm ein immaterieller Schaden entstanden ist, den die Beklagte durch eine unterlassene, verspätete oder unvollständige Auskunft verursacht hätte.
• BGH, Beschluss vom 06.05.2025, Az. VI ZR 53/23 (GRUR-RS 2025, 13267): Immaterieller Schadenersatz – Der Kläger begehrt von der Beklagten immateriellen Schadensersatz wegen Verletzung der datenschutzrechtlichen Auskunftspflicht. [...] Der Erfolg der Revision hängt von der Auslegung des Unionsrechts ab. Vor einer Entscheidung ist deshalb das Verfahren auszusetzen und gemäß Art. 267 Abs. 1 Buchst. b und Abs. 3 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union einzuholen.
• OLG Köln, Urteil vom 23.05.2025, Az. 15 UKl 2/25 (Volltext): KI-Training – Die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung ist bei summarischer Prüfung allerdings rechtmäßig, da sie sich, was entscheidend ist, da andere Rechtsgrundlagen nicht ersichtlich sind, auf den Rechtfertigungsgrund des Art. 6 Abs. 1 S. 1 lit f) DSGVO stützen kann.

Neues aus den Aufsichtsbehörden

• Datenschutzkonferenz der Länder (DSK): „Festlegung der DSK: Musterrichtlinien für das Verfahren über Geldbußen der Datenschutzaufsichtsbehörden (MRiDaVG)“ – Pressemitteilung vom 16.06.2025
• Datenschutzkonferenz der Länder (DSK): „Entschließung der DSK: Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit“ – Pressemitteilung vom 16.06.2025. Zur Entschließung.
• Datenschutzkonferenz der Länder (DSK): „Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen“  – Pressemitteilung vom 16.06.2025. Zur Orientierungshilfe.
• Datenschutzkonferenz der Länder (DSK): „Entschließung der DSK: Confidential Cloud Computing“ – Pressemitteilung vom 16.06.2025. Zur Entschließung.
• Datenschutzkonferenz der Länder (DSK): „Beschluss der DSK: Datenschutz bei der Terminverwaltung durch Heilberufspraxen Positionspapier zum datenschutzkonformen Einsatz von Dienstleistern für Online-Terminbuchungen und das Terminmanagement“ – Pressemitteilung vom 16.06.2025. Zum Beschluss.
• Datenschutzkonferenz der Länder (DSK): „Datenschutzkonferenz mahnt beim Thema Innere Sicherheit und veröffentlicht Anwendungshilfen zu KI, Cloud Computing und Onlinebuchungen von Arztterminen“ – Pressemitteilung vom 17.06.2025
• Datenschutzaufsicht Rheinland-Pfalz: „Biotechnologie goes Datenschutz - Webinar-Reihe des Landesdatenschutzbeauftragten und des Biotechnologie-Unternehmens BioNTech“ – Pressemitteilung
• Datenschutzaufsicht Nordrhein-Westfalen: „Im Dialog mit der Wirtschaft: Landesbeauftragte NRW treibt Datenschutz-Zertifizierung voran“ – Pressemitteilung vom 17.06.2025
• Datenschutzaufsicht Thüringen: „Konferenz der Informationsfreiheitsbeauftragten in Deutschland (IFK) fordert klare Regelungen für Transparenz bei Wahlleitungen und Offenlegung von Protokollen öffentlicher Sitzungen der Kommunalparlamente“ – Pressemitteilung vom 18.06.2025
• Datenschutzaufsicht Schleswig-Holstein: „Die Landesbeauftragte für Datenschutz und das ULD beim Tag der offenen Tür im Schleswig-Holsteinischen Landtag am Sonntag, den 13. Juli 2025.“ – Pressemitteilung vom 18.06.2025
• Datenschutzaufsicht Baden-Württemberg: „5 Jahre Bildungszentrum – 10 Semester BIDIB“ – Pressemitteilung vom 18.06.2025
• Datenschutzaufsicht Hamburg: „Datenschutzsprechstunde: "Datenschutzfragen im Familienalltag"“ – Pressemitteilung vom 18.06.2025
• Datenschutzaufsicht Hessen: „PwC Certification Services GmbH ist die erste Zertifizierungsstelle für den Datenschutz in Hessen“ – Pressemitteilung vom 17.06.2025
• Datenschutzaufsicht Niedersachsen: „Datenschutzkonformer Einsatz von Künstlicher Intelligenz in Niedersachsen: LfD übermittelt Bericht an Landtag“ – Pressemitteilung vom 18.06.2025
• Datenschutzaufsicht Nordrhein-Westfalen: „Video- und KI-Überwachung im Schwimmbad: Nicht alles ist erlaubt“ – Pressemitteilung vom 20.06.2025
• Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI): „Runder Tisch der G7-Datenschutzbehörden beschließt Erklärung zur Förderung von Innovation und Kinderschutz durch Datenschutz“ – Pressemitteilung vom 20.06.2025
• Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI): „Informationsfreiheit international unter Druck – Die Zukunft der Informationsfreiheit ist digital“ – Pressemitteilung vom 23.06.2025