DSB – Datenschutz-Berater

Der EuGH hat erstmals die Tür zum Missbrauchseinwand bei Erstauskunftsanträgen eröffnet. Er bestätigt aber zugleich die Möglichkeit eines Schadenersatzanspruchs bei fehlerhafter Bearbeitung. Flankierend diskutiert die EU-Kommission im Digital Omnibus-Paket Anpassungen, die diese Grenzen kodifizieren könnten. Verantwortliche stehen damit vor einer doppelten Herausforderung: Sie müssen Auskunftsersuchen rechtssicher erfüllen und gleichzeitig wirtschaftlich vernünftig steuern, ohne ihre Verteidigungsspielräume vorschnell aufzugeben. Der Beitrag ordnet die aktuellen Entwicklungen ein, beleuchtet die zentralen Best-Practice-Schritte und widmet sich vor allem den strategischen Erwägungen, die in der täglichen Bearbeitungspraxis den entscheidenden Unterschied machen.

Die EU ergänzt ihre Digitalgesetzgebung, und zwar mittels sog. „Omnibusse“. Ganz frisch geeinigt haben sich Kommission, Parlament und Rat auf Anpassungen für die KI-VO; auf dem To-Do-Stapel liegt dagegen noch der Omnibus für die ­DSGVO (und den Data Act). Was unter dem Schlagwort der „Entbürokratisierung“ daherkommt, ist tatsächlich ganz oft ein Mittel zur Verlangsamung und Verwässerung der Wirkungen der Regulierungen. Das aber erschwert die Möglichkeiten für rechtstreue und für europäische Unternehmen im Digitalbereich noch einmal zusätzlich, zu den globalen Akteuren aufzuschließen oder sich wenigstens Nischen auf dem Markt für digitale Dienstleistungen zu erobern.

Dr. Carlo Piltz Chefredakteur Datenschutz-Berater

In den ersten Monaten eines jeden Jahres veröffentlichen die Datenschutzbehörden ihre Jahresberichte für das vorherige Berichtsjahr. Die Aussagen, Empfehlungen und Inhalte der Berichte sind für die Praxis extrem relevante Quellen. Neben Themen, die für uns Datenschutzpraktiker gut verwertbar sind, berichten die Aufsichtsbehörden hier und da aber auch über Beschwerden oder Anfragen, bei denen man sich ein Lächeln oder ungläubiges Staunen nicht verkneifen kann. Nachfolgend habe ich Ihnen einige dieser Highlights zusammengefasst und hoffe, dass auch Sie beim Lesen das ein oder andere Mal Ihre Freude nicht verbergen können.

Sowohl die Aufsichtsbehörden als auch die Gerichte haben sich zunehmend mit der rechtlichen Einordnung von eigenwilligen Handlungen von Beschäftigten zu befassen. Wenn einzelne Mitarbeiter entgegen verbindlichen Anweisungen bzw. Richtlinien des Arbeitgebers aus persönlichen Gründen Einsicht auf Systeme wie z. B. das Krankenhausinformationssystem oder Akten nehmen, drängt sich der sog. Mitarbeiterexzess auf. Spätestens dann wäre zu prüfen, ob dieser Zugriff, womöglich aus reiner Neugier eine Datenschutzverletzung begründet – und welche Konsequenzen dies haben könnte. Vor allem aber stellt sich die Frage: Wer ist hierfür verantwortlich im Sinne des Datenschutzrechts?

So alt wie die Parallelwelt des Internets ist auch das Phänomen des Identitätsdiebstahls. Aus verschiedensten Motivationen heraus erstellen Personen Nutzungsprofile im Namen eines anderen Menschen. Bestellbetrug im Onlinehandel ist der häufigste Anwendungsfall. Konstellationen des Mobbings und der Demütigung im sexuellen Kontext geraten aktuell in den öffentlichen Fokus u. a. durch die Berichterstattung um den Schauspieler Christian Ulmen. Staatsanwaltschaften sehen in solchen Fällen oftmals Strafbarkeitslücken – ein Stück weit kann jedoch das Datenschutzrecht diese füllen und Betroffenen Hilfestellung bieten.

Laurenz Strassemeyer – Schriftleitung – Datenschutz-Berater

Onlineshops könnten sich schon bald für KI-gestützte Agenten öffnen, die eigenständig Produkte suchen, Preise vergleichen und Bestellungen abschließen sollen. Nicht mehr der Mensch navigiert den Shop, sondern eine Softwareroutine in seinem Auftrag. Das Versprechen ist groß: Beide Seiten sollen profitieren. Käufern werden Bequemlichkeit und Preistransparenz versprochen, Anbieter von Shopsystemen testen bereits entsprechende Schnittstellen und Shopbetreiber erhoffen sich Reichweite, neue Kunden. Die datenschutzrechtlichen Folgen preist bislang keine Seite ein. Dieser Beitrag skizziert sie.

Die KI-VO verpflichtet die Mitgliedstaaten gemäß Art. 113 bis zum 2.8.2025 die für die Umsetzung der KI-VO zuständigen Behörden zu benennen. In Deutschland wurde noch kein nationales Umsetzungsgesetz erlassen. Nachdem sich der erste Entwurf der Bundesregierung infolge des Bruchs der Regierungskoalition durch das Prinzip der sachlichen Diskontinuität erledigt hat, veröffentlichte die Bundesregierung am 13.2.2026 einen neuen Entwurf für ein Gesetz zur Durchführung der Verordnung über künstliche Intelligenz (BT-Drs. 21/4594). Kern des KI-MIG ist die Aufsichtsstruktur über KI-Modelle und KI-Systeme in Deutschland. Es bleibt zu prüfen, ob der Gesetzesentwurf nunmehr den europarechtlichen Anforderungen der KI-Verordnung und Anforderungen des nationalen Verfassungsrechts entspricht.

Philipp Quiel Schriftleitung Datenschutz-Berater