Legal Watch Nr. 92 – Februar 2026. 

 

Der Subunternehmer, das Bindeglied zwischen Schwachstelle und strategischem Akteur.

Am 9. Februar legte die CNIL ihren Bericht für 2025 über ihre Sanktionen und Korrekturmaßnahmen vor: Cookies, Mitarbeiterüberwachung und Datensicherheit sind die Hauptthemen der im Jahr 2025 verhängten Sanktionen, deren Gesamtsumme der Bußgelder 486.839.500 Euro beträgt.

Unter den Sanktionen betrifft eine beträchtliche Anzahl von Fällen Subunternehmer, die ihren Verpflichtungen in Bezug auf die ihnen anvertrauten Daten nicht nachgekommen sind.

Die CNIL erinnert uns daran, dass der Subunternehmer Folgendes beachten muss:

• Daten werden nur gemäß den Anweisungen des Verantwortlichen verarbeitet;
• Ergreifen Sie geeignete technische und organisatorische Maßnahmen, um ein angemessenes Sicherheitsniveau zu gewährleisten;
• Und löschen Sie die Daten nach Beendigung des Vertragsverhältnisses mit dem Datenverantwortlichen.

Der Unterauftragnehmer muss den Verantwortlichen auch bei der Umsetzung bestimmter Pflichten aus der Verordnung unterstützen: Datenschutz-Folgenabschätzung, Meldung von Datenschutzverletzungen, Sicherheit, Mitwirkung an Audits.

Sie muss außerdem ein Verzeichnis der Verarbeitungstätigkeiten führen und in bestimmten Fällen einen Datenschutzbeauftragten ernennen.

Artikel 28 der DSGVO, der sich mit dem Abschluss eines spezifischen Vertrags zwischen Verantwortlichem und Auftragsverarbeiter befasst, legt die zwingenden Bestimmungen fest, die in den Vertrag aufgenommen werden müssen.

Dies kann ganz oder teilweise auf Standardvertragsklauseln beruhen, wie sie beispielsweise von der Europäischen Kommission oder einem der EU-Mitgliedstaaten genehmigt wurden.

Es empfiehlt sich, die jeweiligen Verantwortlichkeiten des Auftragnehmers und des Unterauftragnehmers in diesen Klauseln klar zu definieren. Diese Details können sich im Falle eines Vertragsbruchs einer der Parteien als nützlich erweisen.

Man sollte nicht vergessen, dass viele der jüngsten Datenschutzverletzungen, die sowohl den öffentlichen als auch den privaten Sektor betrafen, auf ein Sicherheitsversagen eines Subunternehmers zurückzuführen sind.

Häufig ist die Ursache menschliches Versagen, genauer gesagt der Diebstahl von Zugangsdaten eines Mitarbeiters.

Die Zwei-Faktor-Authentifizierung und die Verwendung komplexer Passwörter bleiben unerlässliche Mittel, um sich vor solchen Angriffen zu schützen, wie wir bereits in einem Kommentar zu den jüngsten Sanktionen der CNIL gegen „France travail“ betont haben.

Subunternehmer haben in der Tat spezifische Verpflichtungen hinsichtlich Sicherheit, Vertraulichkeit und Dokumentation.

Um einen wirksamen, den Risiken angepassten Datenschutz zu gewährleisten, müssen alle sinnvollen Maßnahmen bereits bei der Gestaltung des Dienstes oder Produkts und standardmäßig getroffen werden („Datenschutz durch Technikgestaltung und standardmäßige Datenschutzeinstellungen“).

Darüber hinaus muss jede Datenschutzverletzung dem Verantwortlichen innerhalb der gesetzlich vorgeschriebenen Fristen gemeldet werden.

Schließlich ist das Löschen von Daten am Ende des Vertrags nicht nur eine Pflicht, sondern auch der beste Weg, sich vor Datenschutzverletzungen nach Beendigung des Vertragsverhältnisses zu schützen, wie die von der CNIL Ende Dezember gegen das Unternehmen Mobius Solutions verhängte Geldbuße von einer Million Euro verdeutlicht.

Das Unternehmen hatte nach Beendigung der Vertragsbeziehung eine Kopie der Daten von mehr als 46 Millionen Deezer-Nutzern aufbewahrt, obwohl es verpflichtet war, alle diese Daten zum Vertragsende zu löschen. Dadurch wurde ein massiver Datenverstoß möglich.

 

Die CNIL veröffentlichte am 2. März eine aktualisierte Version ihrer Datenschutztabellen. 

Diese Tabellen fassen die wichtigsten Präzedenzfälle und Entscheidungspraktiken zum Schutz personenbezogener Daten auf nationaler und europäischer Ebene zusammen und ordnen sie übersichtlich.

Ende Februar warnte France 2 in einem Bericht vor einem Verstoß gegen den Schutz medizinischer Daten, genauer gesagt vor dem Hacken der Software „MonLogicielMedical“ durch Cegedim.

Der Angriff ermöglichte es einem Hacker, die medizinischen Daten von 11 bis 15 Millionen Franzosen zu sammeln, die im Darknet zugänglich waren.

Die CNIL hatte das Unternehmen bereits im September 2024 mit einer Geldbuße von 800.000 Euro belegt, insbesondere wegen der Verarbeitung von Gesundheitsdaten ohne Genehmigung.

Am 18. Februar 2026 berichtete die Generaldirektion für öffentliche Finanzen (DGFiP) in einer Pressemitteilung, dass ein unrechtmäßiger Zugriff auf die nationale Bankkontendatei (FICOBA) festgestellt worden sei, nachdem die Kennungen eines autorisierten Vertreters widerrechtlich angeeignet worden waren.

Der Hacker hatte die Zugangsdaten vor dem Cyberangriff erlangt: Das Wirtschaftsministerium hatte keine Zwei-Faktor-Authentifizierung implementiert.

Die betreffenden Daten beziehen sich auf rund 1,2 Millionen Konten und umfassen insbesondere die Identität der Kontoinhaber, ihre Adresse, ihre Bank und ihre IBAN.

01net berichtet über die von der Firma Surfshark durchgeführte Untersuchung zu Datenlecks in Frankreich.

Bis 2025 werden weltweit 425,7 Millionen Konten gehackt worden sein. Am stärksten betroffen sind die Vereinigten Staaten mit 34 Millionen globalen Datenpannen. An zweiter Stelle folgt Frankreich, dann Indien, Deutschland und Russland. Französische Internetnutzer werden bis 2025 durchschnittlich fast jede Sekunde Opfer eines Konto-Hacks werden.

Frankreich sticht außerdem durch eine „12-mal höhere Dichte an Verstößen als der weltweite Durchschnitt“ hervor. Der Mangel an Investitionen in Sicherheit, sowohl seitens Unternehmen als auch öffentlicher Einrichtungen, wird besonders hervorgehoben.

Datenhändler, die das Internet durchforsten, um die so gesammelten personenbezogenen Daten weiterzuverkaufen, sind ebenfalls ein Hauptziel für Hacker.

 

Europäische Institutionen und Gremien

Der „Omnibus“-Vorschlag der Europäischen Kommission zur Vereinfachung der DSGVO erleidet im EU-Rat einen Rückschlag.

In einem Dokument vom 20. Februar beabsichtigt der Rat, den Vorschlag zur Änderung der Definition personenbezogener Daten zurückzuziehen.

Laut Euractiv will der Rat außerdem den Vorschlag der Kommission zur Ausweitung seiner eigenen Befugnisse streichen, der es ihm ermöglichen würde, festzulegen, was ausreichend pseudonymisierte Daten darstellt.

Der vom zypriotischen Vorsitz des Sicherheitsrates erarbeitete Kompromisstext dient als Grundlage für die Verhandlungen zwischen den nationalen Regierungen.

Es wird erwartet, dass der Rat den Text am 27. Februar prüfen wird.

Am 11. Februar hatten der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) bereits eine lang erwartete gemeinsame Stellungnahme zu den datenschutzrechtlichen Aspekten dieses Omnibus-Vorschlags verabschiedet.

In ihrer Pressemitteilung betonen die Aufsichtsbehörden, dass Vereinfachungen nicht auf Kosten des Schutzes der Bevölkerung gehen dürfen.

Sie appellieren an die Mitgesetzgeber, die vorgeschlagenen Änderungen der Definition personenbezogener Daten nicht anzunehmen, da diese deren Anwendungsbereich erheblich einschränken und im Widerspruch zur Rechtsprechung des EuGH stehen würden.

„Wir müssen sicherstellen, dass jegliche Änderungen der DSGVO und der Europäischen Datenschutzgrundverordnung die Pflichten wirklich klären und Rechtssicherheit schaffen, während gleichzeitig das Vertrauen und ein hohes Schutzniveau für die Rechte und Freiheiten des Einzelnen gewahrt bleiben.“

Die gemeinsame Stellungnahme unterstreicht zudem die Notwendigkeit einer klaren Kontrolle durch die Datenschutzbehörden hinsichtlich Cookie-Bannern und der Wiederverwendung von Daten des öffentlichen Sektors.

Der Europäische Datenschutzausschuss (EDPB) hat einen Bericht über sein koordiniertes Vorgehen bei der Anwendung des Rechts auf Vergessenwerden veröffentlicht.

Dieses Recht wird am häufigsten ausgeübt.

Dies hat zu zahlreichen Beschwerden und einer zunehmenden Anzahl von Entscheidungen der Datenschutzbehörden geführt.

Der Bericht hebt sieben zentrale Herausforderungen für Organisationen hervor, darunter das Fehlen interner Verfahren. Er bietet zudem praktische Empfehlungen, um Organisationen bei der Bewältigung dieser Herausforderungen zu unterstützen.

Der Ausschuss veröffentlichte außerdem einen Bericht über die Veranstaltung vom 12. Dezember 2025 zum Thema Anonymisierung und Pseudonymisierung.

Der Bericht fasst die Rückmeldungen von rund einhundert Teilnehmern zusammen, die sich versammelt hatten, um nach dem Urteil des EuGH im Fall EDPS gegen SRB die Anwendung der DSGVO auf diese Techniken zu erörtern.

Er hebt die praktischen Unsicherheiten bei der Bestimmung hervor, wann Daten je nach Akteuren und Kontexten weiterhin „identifizierbar“ bleiben, sowie die Frage nach den „vernünftigerweise wahrscheinlichen Mitteln“, die zur Reidentifizierung einer Person eingesetzt werden.

Das Dokument enthält keine endgültigen Richtlinien, sondern benennt die wichtigsten Punkte, die die zukünftige Ausrichtung des Europäischen Datenschutzausschusses (EDPB) in Bezug auf Anonymisierung und Pseudonymisierung in seinem Arbeitsprogramm bestimmen werden.

Der Europäische Datenschutzausschuss (EDPB) hat sein Arbeitsprogramm für 2026-2027 verabschiedet.

Er wird an mehreren Modellen arbeiten, die die Einhaltung der DSGVO erleichtern sollen: Meldungen von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen, Bewertung berechtigter Interessen, Verarbeitungsverzeichnis und Datenschutzerklärung/Datenschutzrichtlinie.

Der Gerichtshof entschied am 10. Februar im Fall C-97/23 P | WhatsApp Ireland gegen den Europäischen Datenschutzausschuss, dass die von WhatsApp gegen eine Entscheidung des EDSA erhobene Klage zulässig sei.

Da der Gerichtshof der Europäischen Union die Sachlage noch nicht geprüft hat, hebt der Gerichtshof die angefochtene Entscheidung auf und verweist die Sache an sich zurück.

Der Europäische Gerichtshof für Menschenrechte urteilte am 17. Februar im Fall Green Alliance gegen Bulgarien – 6580/22, dass die bulgarischen Vorschriften, die dem nationalen Sicherheitsdienst den Einsatz von „verdeckten Ermittlern“ gestatten, gegen Artikel 8 der Europäischen Menschenrechtskonvention verstoßen, da sie die verdeckte Überwachung von Organisationen ohne ausreichende Schutzmaßnahmen oder Kontrollen zulassen.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

In Deutschland arbeitet der Bundestag laut Heise.de und Table.Media intensiv an einer umfassenden Umstrukturierung seiner digitalen Infrastruktur. Das Parlament will sich von der technologischen Abhängigkeit amerikanischer Konzerne wie Microsoft befreien, um in Krisenzeiten widerstandsfähiger und vor allem unabhängiger von Drittstaaten agieren zu können.

Die österreichische Datenschutzbehörde (DPA) hat einen Datenverantwortlichen mit einer Geldbuße von 1.500 € belegt, weil er illegalerweise einen öffentlichen Gehweg mit einer Überwachungskamera gefilmt und die Bilder eines mutmaßlichen Diebes in den sozialen Medien veröffentlicht hatte. Damit verstieß er gegen die Grundsätze der Datenminimierung und Transparenz sowie gegen die Vorschriften für die Verarbeitung von Justizdaten.

Die dänische Datenschutzbehörde (DPA) hat 51 Kommunen gerügt und sie gleichzeitig wegen der Nutzung von Google-Produkten an Grund- und weiterführenden Schulen verwarnt. Konkret stellte sie fest, dass die Kommunen nicht ausreichend nachgewiesen hatten, dass sie ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die außerhalb der EU verarbeitet werden.

Die irische Datenschutzbehörde (DPA) gab am 17. Februar bekannt, dass sie Ermittlungen gegen Elon Musks Unternehmen X eingeleitet hat. Gegenstand der Ermittlungen ist die Erstellung und Veröffentlichung von potenziell schädlichen, intimen und/oder sexuell expliziten Bildern auf der X-Plattform ohne Einwilligung der Nutzer. Diese Bilder enthalten oder beinhalten die Verarbeitung personenbezogener Daten von EU-/EWR-Bürgern, einschließlich Kindern. Die Bilder wurden mithilfe einer generativen KI-Funktion des Sprachmodells Grok erstellt und veröffentlicht. Mehrere Länder haben bereits beschlossen, Elon Musks KI-Chatbot vollständig zu verbieten, und die Europäische Kommission leitete am 26. Januar eine Untersuchung ein.

In den Niederlanden urteilte ein Gericht, dass die niederländische Datenschutzbehörde (APD) die Abweisung einer Beschwerde gegen ein Kino, das keine Barzahlungen mehr akzeptierte, nicht ausreichend begründet hatte. Laut Gericht hatte die APD nicht geprüft, ob die Pflicht zur Kartenzahlung ein nach der DSGVO hinreichend konkretes und gerechtfertigtes Ziel verfolgte.

In der Slowakei erklärte das Verfassungsgericht ein Gesetz für ungültig, das Nichtregierungsorganisationen zur Veröffentlichung von Daten über ihre Beitragszahler verpflichtete. Es stellte fest, dass das Gesetz gegen die Privatsphäre, das Recht auf informationelle Selbstbestimmung und die Vereinigungsfreiheit verstoße und gleichzeitig übermäßige Belastungen mit sich bringe.

 

Die britische Datenschutzbehörde (ICO) hat Reddit mit einer Geldstrafe von 14,47 Millionen Pfund (ca. 16,6 Millionen Euro) belegt, weil das Unternehmen seinen Verpflichtungen hinsichtlich des Schutzes der Daten von Kindern nicht nachgekommen ist.

Die ICO ist der Ansicht, dass die Altersverifizierung von Reddit unzureichend ist und dass die Plattform „daher keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten von Kindern unter 13 Jahren hatte“.

Darüber hinaus hat Reddit „vor Januar 2025 keine Datenschutz-Folgenabschätzung (DSFA) durchgeführt, um die Risiken für Kinder zu bewerten und zu mindern.“

Das ICO kündigte am 5. Februar außerdem eine Geldstrafe in Höhe von 247.590 Pfund gegen MediaLab.AI, Inc., das Unternehmen hinter der Bildaustauschplattform Imgur, an.

MediaLab erlaubte Kindern die Nutzung von Imgur, ohne die grundlegenden Sicherheitsvorkehrungen umzusetzen, die die britische Datenschutzgesetzgebung vorschreibt.

Indien beschloss im Februar 2026, die Nutzung von Aadhaar, dem weltweit größten digitalen Identitätssystem, durch eine neue Anwendung und ein Offline-Verifizierungssystem auf den Bereich der alltäglichen Privatsphäre auszuweiten.

Die Änderungen sollen es Einzelpersonen ermöglichen, ihre Identität ohne Echtzeit-Verifizierung in der Datenbank nachzuweisen, indem private Verifizierungsdienste wie Google Wallet und Apple Wallet integriert werden.

Eine Kampagne der Zivilgesellschaft argumentiert, dass das Offline-Verifizierungssystem die Gefahr birgt, dass die Nutzung von Aadhaar durch den Privatsektor wieder eingeführt wird, was bereits vom Obersten Gerichtshof verurteilt wurde. 

Das System erlaubt es auch „indischen Bundesstaaten und der Polizei, alle möglichen persönlichen Informationen mit der Aadhaar-Nummer zu verknüpfen: GPS-Koordinaten, Telefonnummern, soziale Netzwerke, Wählerregistrierungskarte, Reisepass, Kredite, Sozialleistungen, manchmal sogar die Namen von Verwandten oder sogar die Namen von Partnern auf bestimmten Polizeiformularen.“

Laut einem CNBC-Bericht vom 19. Februar verknüpft Accenture die Beförderung seiner leitenden Angestellten mit der regelmäßigen Nutzung seiner KI-Tools.

Stellvertretende Direktoren und leitende Angestellte wurden Berichten zufolge darüber informiert, dass die „regelmäßige Nutzung“ von KI Voraussetzung für den Zugang zu Führungspositionen sei.

„Die KI-Strategie des Unternehmens erfordert die Anwendung neuester Tools und Technologien, um unsere Kunden bestmöglich zu bedienen“, sagte ein Sprecher gegenüber CNBC.

Am 11. Februar 2026 gab der Generalstaatsanwalt von Kalifornien eine Rekordvergleichszahlung in Höhe von 2,75 Millionen US-Dollar an die Walt Disney Company bekannt. um Vorwürfe auszuräumen, dass das Unternehmen die Einwände der Verbraucher gegen die Verarbeitung ihrer Daten gemäß dem kalifornischen Verbraucherschutzgesetz nicht ausreichend berücksichtigt hat.

In einem Artikel vom 13. Februar berichtet die New York Times, dass Meta, die Muttergesellschaft von Facebook, plant, ihre Smart Glasses, die sie in Zusammenarbeit mit dem Eigentümer von Ray-Ban und Oakley herstellt, bereits in diesem Jahr mit einer Gesichtserkennungsfunktion auszustatten.

Diese intern als „Namensschild“ bezeichnete Funktion würde es Nutzern von Datenbrillen ermöglichen, Personen zu identifizieren und mithilfe des KI-Assistenten von Meta Informationen über sie abzurufen. In einem internen Memo, das letztes Jahr veröffentlicht wurde, erklärte Meta angeblich, dass die politischen Unruhen in den Vereinigten Staaten die Aufmerksamkeit von den Kritikern der Funktion ablenken würden.

Am 23. Februar 2026 veröffentlichten 61 Datenschutzbehörden eine gemeinsame Erklärung zu KI-generierten Bildern.

Diese gemeinsame Erklärung befasst sich mit Bedenken hinsichtlich KI-Systemen, die in der Lage sind, realistische Bilder und Videos zu erzeugen, die identifizierbare Personen ohne deren Wissen oder Zustimmung darstellen.

Am 19. Februar 2026 veröffentlichte die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) neue Leitlinien, um Organisationen bei der Umsetzung der OECD-Leitsätze für multinationale Unternehmen und der OECD-Grundsätze für KI zu unterstützen.

Diese Leitlinien sollen Organisationen dabei helfen, KI-bezogene Risiken zu managen und internationale Standards für verantwortungsvolles unternehmerisches Handeln einzuhalten.

Die Entwicklung von KI-Agenten, die zwar viele administrative Aufgaben erleichtern soll, wirft auch ernsthafte Sicherheitsfragen auf.

OpenClaw, das neueste Projekt, ist ein Open-Source-Projekt, bei dem es um einen autonomen KI-Agenten geht, der einen Computer anstelle des Benutzers steuern kann.

OpenClaw, das kürzlich von OpenAI übernommen wurde, ist nun Ziel schwerwiegender Sicherheitsangriffe.

Mehr als 30.000 OpenClaw-Instanzen wurden innerhalb weniger Wochen von Cyberkriminellen kompromittiert. Mithilfe gefälschter Skripte konnten Viren und Schadsoftware installiert werden, die in der Lage waren, alles aufzuzeichnen, was auf Windows-Computern über die Tastatur eingegeben wurde. 

„Immer mehr Startup-Gründer verbieten autonome Systeme auf Firmengeräten, aus Angst vor dem Abfluss vertraulicher Daten. Sicherheitsexperten äußern ernsthafte Bedenken hinsichtlich mangelnder Kontrollen, fehlender Perspektiven, unzureichender Schutzmaßnahmen und mangelnder Transparenz im Zusammenhang mit KI, während immer mehr Mitarbeiter diese bereits in ihre täglichen Aufgaben integrieren, um ihre Produktivität zu steigern.“

Diese Warnungen wurden am 12. Februar von der niederländischen Datenschutzbehörde (APD) weitergegeben, die Benutzer und Organisationen vor der Verwendung von OpenClaw und ähnlichen experimentellen Systemen aufgrund kritischer Sicherheitslücken warnt.

Die International Association of Privacy Professionals (IAPP) veröffentlichte am 5. Februar eine aktualisierte Version ihres globalen Verzeichnisses von Datenschutzgesetzen und Datenschutzbehörden.

Die IAPP stellt fest, dass sich Datenschutzsysteme weltweit weiterentwickeln und ausreifen. „In den vergangenen zwölf Monaten hat Indien neue Durchführungsbestimmungen zur Umsetzung des Gesetzes zum Schutz digitaler personenbezogener Daten eingeführt, Bangladesch und Gambia haben neue umfassende Gesetze verabschiedet oder erwägen deren Verabschiedung, und andere Länder, darunter Ecuador und Indonesien, haben neue Behörden zur Auslegung und Durchsetzung bestehender Datenschutzgesetze geschaffen.“