Rechtsbeobachtung Nr. 82 – April 2025. 

Datenschutz und Vereinfachung von Standards: Was können wir erwarten?

Die Frage der Vereinfachung von Standards, ein immer wiederkehrendes Diskussionsthema in Europa, hat seit dem Führungswechsel im Weißen Haus besondere Bedeutung erlangt.

Beim Pariser Gipfeltreffen zur künstlichen Intelligenz (KI) im vergangenen Februar wurde die Wettbewerbsfähigkeit angesichts der Deregulierung in den Vereinigten Staaten somit zu einer erklärten Priorität.

Das Arbeitsprogramm der Europäischen Kommission für 2025 zielt ebenfalls ausdrücklich darauf ab, das Wirtschaftswachstum durch die Unterstützung von Innovationen zu fördern.

Welche Auswirkungen wird diese Richtlinie auf die europäischen Datenschutzstandards haben?

Im Bereich der KI hat sich Europa vor allem dazu verpflichtet, die Hauptziele der Regulierung zu erreichen und gleichzeitig die administrative Belastung für Unternehmen zu prüfen.

Die Kommission wird die Industrie um Stellungnahme bitten, wenn regulatorische Unsicherheit die Entwicklung von KI behindert, und diese in eine umfassendere Initiative zur Überprüfung und gegebenenfalls Abschaffung einer Reihe digitaler Regeln bis Ende des Jahres einbeziehen.

Die Richtlinie zur Haftung für KI, mit der die EU-Produktsicherheitsvorschriften auf KI und Automatisierung ausgeweitet werden sollten, wurde bereits zurückgezogen.

Die CCIA, die wichtigste US-Lobbygruppe für große Technologieunternehmen in Brüssel, begrüßte diesen Ansatz, forderte aber gleichzeitig einen „Frontalangriff“ auf die Verordnung.

Die Europäische Kommission unterrichtete die Mitgliedstaaten Ende April auch über ihren Entwurf von Leitlinien zum Verhältnis zwischen der KI-Verordnung und anderen Verordnungen, einschließlich der DSGVO.

Sie arbeitet an der Entwicklung eines Modells für die nach der KI-Verordnung erforderlichen Folgenabschätzungen der Grundrechte (FRIAs), um Doppelungen mit der Datenschutz-Folgenabschätzung der DSGVO zu vermeiden.

Die Mitgliedstaaten betonen ihrerseits die Notwendigkeit einer verstärkten Zusammenarbeit mit anderen Behörden, um zu verhindern, dass die beiden Leitgesetze zu widersprüchlichen Entscheidungen oder sich überschneidenden Ermittlungen führen.

Der Europäische Datenschutzausschuss (EDPB) erarbeitet außerdem Leitlinien für das Zusammenspiel zwischen der DSGVO und der KI-Verordnung und prüft gemeinsam mit der Kommission die Möglichkeiten für Synergien, um eine einheitliche Auslegung, Rechtssicherheit und Klarheit für die Betreiber zu gewährleisten.

Und wie steht es mit der DSGVO? Im vergangenen Juli veröffentlichte die Kommission einen Evaluierungsbericht zu diesem Thema, der insbesondere erhebliche Frustrationen unter KMU in vielerlei Hinsicht aufzeigte:

• Übermäßiger Dokumentationsaufwand,
• Kosten für die Einstellung oder Ernennung eines Datenschutzbeauftragten,
• Schwierigkeiten bei der Wahl der Rechtsgrundlage (berechtigtes Interesse / Einwilligung),
• Einschränkungen für neue Technologien und Startups.

Diese Kritik spiegelt die Meinung des ehemaligen italienischen Ministerpräsidenten Mario Draghi wider, dessen Wirtschaftsbericht vom vergangenen September auf die komplexen europäischen Gesetze hinweist, die Italiens Wirtschaft daran hindern, mit den USA und China gleichzuziehen, und der insbesondere die KI-Regulierung und die DSGVO erwähnt.

Die Kommission plant, Ende Mai ein „Vereinfachungspaket“ für kleine und mittlere Unternehmen vorzulegen, wobei das Datum nur als Richtwert angegeben wird: Der Vorschlag zur Vereinfachung der Datenschutzbestimmungen würde in jedem Fall bis Juni vorliegen.

Die Anpassungen könnten die Einschränkung der Anforderungen an die Aufbewahrung von Aufzeichnungen über Datenverarbeitungstätigkeiten oder die Reform von Datenschutz-Folgenabschätzungen umfassen – zwei Regelungen, die insbesondere für KMU als belastend gelten.

Es ist auch erwähnenswert, dass der Abgeordnete Axel Voss und der Präsident der NGO Noyb, Max Schrems – zwei Persönlichkeiten, deren Ansichten zu diesem Thema historisch gesehen gegensätzlich waren – sich im vergangenen März zusammengetan haben, um eine umfassende Überarbeitung der DSGVO vorzuschlagen, die darauf abzielt,

• Vereinfachung der Compliance für KMU und gemeinnützige Organisationen
• Für große Organisationen klarere und leichter handhabbare Regeln einführen,
• Die Kontrollmöglichkeiten müssen gestärkt werden, um einen effektiveren Datenschutz zu gewährleisten.

Während dieser Vorschlag eine Hinwendung zu pragmatischen Lösungen widerspiegelt, die den Datenschutz mit den Realitäten der Wirtschaft in Einklang bringen, weisen andere auf die Risiken einer Wiederaufnahme der Verhandlungen hin, da der Text unter Lobbydruck zusammenbrechen könnte, wie die Gruppe für digitale Rechte EDRi betont.

Man sollte nicht vergessen, dass die Verhandlungen über die Entwicklung der DSGVO eine der größten Lobbykampagnen auslösten, die Brüssel je erlebt hat.

Technologieunternehmen gaben Millionen aus, um während des Entwurfsprozesses Einfluss auf die Regeln zu nehmen, und der Vorschlag wurde im Europäischen Parlament mehr als 3.000 Mal geändert – ein Rekord.

Die aktuellen Arbeiten zur Verfahrensordnung der DSGVO, die darauf abzielen, die Zusammenarbeit zwischen den Datenschutzbehörden zu stärken und die Entscheidungsfindung in grenzüberschreitenden Fällen zu beschleunigen, könnten durchaus bestätigen, dass der Weg zur Hölle mit guten Vorsätzen gepflastert ist.

Während die Gespräche (Trilog) zwischen der Kommission, dem Europäischen Parlament und dem Rat andauern, warnen einige vor dem Risiko, einen Kompromiss zu erzielen, der nicht nur die notwendigen Reformen nicht bringt, sondern auch neue Schwachstellen schaffen könnte.

Am 17. April erklärte die NGO Noyb, dass der Trilog zu einem legislativen Chaos geführt habe, das die Verfahren wahrscheinlich komplexer, langsamer und anfälliger für rechtliche Anfechtungen machen werde.

 

    

Die CNIL veröffentlichte ihren Jahresbericht für 2024 am 29. April.

Zu den wichtigsten Themen gehören die Cybersicherheit, die angesichts eines deutlichen Anstiegs von Datenpannen (+20 %) für die kommenden Jahre zu einer strategischen Priorität wird, und die Verschärfung repressiver Maßnahmen.

Der Bericht betont außerdem die Wichtigkeit der Achtung der Rechte von Minderjährigen, der Kontrolle kommerzieller Prospektionspraktiken und der Regulierung der Videoüberwachung.

Parallel dazu verstärkt die CNIL ihre europäische Zusammenarbeit, um große digitale Plattformen besser zu regulieren, und setzt ihre Arbeit im Bereich der künstlichen Intelligenz fort.

Die Kommission veröffentlichte am 30. April auch ihre Leitlinien zur Stärkung der Sicherheit großer Datenbanken.

Diese Maßnahmen erweitern und verstärken die grundlegenden Sicherheitsvorkehrungen.

Ähnlich wie die prioritären Cybersicherheitsmaßnahmen der ANSSI oder jene zur Verhinderung von Datenlecks zielen sie nicht darauf ab, alle ausreichenden Maßnahmen aufzulisten, sondern die Aufmerksamkeit der Datenverantwortlichen auf Sicherheitsmaßnahmen zu lenken, die die CNIL bei großen Datenbanken für erforderlich hält, insbesondere im Hinblick auf die Risiken einer massiven Datenexfiltration.

Zweihundert französische Medienunternehmen reichen eine Beschwerde gegen Meta wegen „illegaler Praktiken“ ein: Laut Le Monde werfen „mehrere Pressegruppen (Prisma, Les Echos-Le Parisien, CMI), nationale und regionale Tageszeitungen sowie private und öffentlich-rechtliche Sender (TF1, RMC-BFM, France Télévisions und Radio France) Meta vor, die Zeit, in der sie selbst die Einwilligung der Nutzer zur Erhebung ihrer persönlichen Daten einführten, ausgenutzt zu haben, um gezielte Werbung zu schalten.“

 

Europäische Institutionen und Gremien

Am 23. April verhängte die Europäische Kommission ihre ersten beiden Geldbußen gemäß der Verordnung über digitale Märkte (DMA).

Genauer gesagt wurden Apple und Meta mit Geldstrafen in Höhe von 500 Millionen Euro bzw. 200 Millionen Euro belegt.

Die Kommission ist der Ansicht, dass Apple seinen Verpflichtungen hinsichtlich der Verfügbarkeit von Anwendungen im App Store nicht nachgekommen ist.

Meta wurde wegen seines „Zustimmungs- oder Zahlungs“-Systems mit einer Geldstrafe von 200 Millionen Euro belegt.

Die Kommission war der Ansicht, dass dieses Modell den Nutzern nicht die konkrete Möglichkeit bot, einen gleichwertigen Dienst zu wählen, der weniger personenbezogene Daten verwenden würde.

Zu beachten ist, dass Meta seit dieser Untersuchung eine dritte Option eingeführt hat, nämlich „weniger personalisierte Werbung“, die von der Kommission noch nicht bewertet wurde.

Die Kommission hat im Rahmen des Programms Digitales Europa (DIGITAL) vier neue Ausschreibungen im Wert von 140 Millionen Euro veröffentlicht, um den Einsatz von KI voranzutreiben, fortgeschrittene digitale Kompetenzen zu fördern, das Netzwerk der Europäischen Digitalen Innovationszentren (EDIH) auszubauen und Desinformation zu bekämpfen.

In diesem Zusammenhang veröffentlichte die Organisation am 9. April einen Aufruf zur Einreichung von Beiträgen zu künftigen Gesetzen über Cloud und KI (Cloud and AI Development Act – CAIDA).

Ziel wäre es, dem Mangel an einem wettbewerbsfähigen europäischen Cloud-Dienstleistungsangebot in ausreichendem Umfang für hochkritische Anwendungen mit besonders hohen Sicherheitsanforderungen entgegenzuwirken.

Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) legten Ende April ihre Jahresberichte für 2024 vor.

Der EDPS hob die Weiterentwicklung seiner Rolle im Lichte der europäischen KI-Verordnung hervor, die ihn zur Aufsichts- und Meldebehörde für EU-Institutionen macht.

Der Bericht des Europäischen Datenschutzausschusses gibt einen Überblick über die im Jahr 2024 durchgeführten Arbeiten, einschließlich der Verabschiedung der Strategie 2024-2027, der Zunahme der Stellungnahmen im Rahmen des Kohärenzmechanismus gemäß Artikel 64(2) und der laufenden Bemühungen, insbesondere KMU, Leitlinien und Rechtsberatung anzubieten.

Auf ihrer Plenarsitzung im April 2025 verabschiedete der Europäische Datenschutzausschuss (EDPB) Leitlinien für die Verarbeitung personenbezogener Daten mittels Blockchain-Technologien.

Das Dokument unterstreicht die Wichtigkeit, technische und organisatorische Maßnahmen bereits in den frühesten Phasen der Prozessplanung umzusetzen und gleichzeitig die Rollen und Verantwortlichkeiten der verschiedenen Akteure im Prozess zu definieren.

Sie unterstreicht die Bedeutung von Datenschutz-Folgenabschätzungen und liefert Beispiele für Datenminimierungstechniken sowie für die Verarbeitung und Speicherung personenbezogener Daten. Die Leitlinien stehen bis zum 9. Juni zur Konsultation offen.

Hinsichtlich des Zugangs zu Verwaltungsdokumenten hat der Gerichtshof der Europäischen Union (EuGH) ein Urteil erlassen, das die Abwägung zwischen diesem Recht und dem Schutz der Daten der in diesen Dokumenten genannten Personen zum Gegenstand hat.

Das Gericht entschied, dass Artikel 6 Absatz 1 Buchstabe c und e der DSGVO zusätzliche Informationspflichten und die Konsultation der betroffenen Person vor jeder Offenlegung sie betreffender personenbezogener Daten nicht ausschließen.

Diese zusätzlichen Verpflichtungen dürfen jedoch nicht dazu führen, dass der öffentliche Zugang zu diesen Dokumenten unverhältnismäßig eingeschränkt wird.

Der EuGH veröffentlicht eine Aktualisierung seines thematischen Merkblatts zu seinen wichtigsten Urteilen auf dem Gebiet des Datenschutzes.

Das Dokument behandelt die Rechtsprechung zu allgemeinen Datenschutzbestimmungen und branchenspezifischen Regelungen (elektronische Kommunikation und Strafrecht). Es enthält außerdem eine Auswahl von Urteilen zu Querschnittsregelungen und hebt die Rolle der Charta bei der Entwicklung der Rechtsprechung hervor.

Europäische Nutzer der Meta-Plattformen erhielten im April eine Benachrichtigung, in der sie über die Verwendung ihrer Daten durch Facebook und Instagram zu KI-Trainingszwecken informiert wurden, zusammen mit einem Link zu einem Widerspruchsformular.

Die norwegische Datenschutzbehörde (APD) veröffentlichte einen Blogbeitrag, in dem sie die Folgen dieser Entscheidung und die rechtlichen Möglichkeiten für Betroffene erläuterte. Sie gab außerdem an, Meta – wie auch andere Datenschutzbehörden – gefragt zu haben, ob die Vereinbarkeit des KI-Trainings mit dem ursprünglichen Ziel der Erfassung von Nutzernachrichten und -bildern geprüft worden sei.

Die International Association of Privacy Professionals (IAPP) veröffentlicht eine Tabelle, die einen Überblick über die Anforderungen an die Meldung digitaler Sicherheitsvorfälle und den Informationsaustausch in verschiedenen europäischen Rechtsvorschriften bietet.

Dabei werden die DSGVO, die „Polizeirichtlinie“, die ePrivacy-Richtlinie, die Datengovernance-Verordnung, die Datenverordnung, die NIS2-Richtlinie, die Verordnung zur digitalen betrieblichen Resilienz, die Zahlungsdiensterichtlinie 2, die Cyberresilienz-Verordnung und die KI-Verordnung berücksichtigt.

Microsoft hat seinen europäischen Datengrenz-Grundsatz für Cloud-Dienste offiziell umgesetzt und sich verpflichtet, die personenbezogenen Daten seiner Kunden ausschließlich innerhalb der EU und der EFTA zu speichern und zu verarbeiten.

Daten bestimmter Azure-Dienste können jedoch außerhalb der EU übertragen werden, wenn Microsoft dies für Cybersicherheitsuntersuchungen für notwendig erachtet.

Darüber hinaus ist zu beachten, dass der Cloud Act den US-Behörden den Zugriff auf die Daten amerikanischer Unternehmen ermöglicht, unabhängig davon, wo diese gespeichert sind.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

Der deutsche Bundesgerichtshof ist der Ansicht, dass qualifizierte Stellen (wie z. B. Verbraucherorganisationen) berechtigt sind, bei Verstößen gegen die Informationspflichten gemäß DSGVO nach dem Verbraucherschutzrecht rechtliche Schritte einzuleiten, unabhängig von der Art des Verstoßes und ohne ein Mandat der betroffenen Personen.

Der Fall betraf die Nichteinhaltung gesetzlicher Bestimmungen durch Meta Platforms Ireland Ltd (Meta) in Bezug auf die Einholung der Nutzereinwilligung.

In BelgienEin Urteil erinnert daran, dass der Anwendungsbereich der DSGVO sich auch auf berufliche Daten erstreckt: Die APD verhängte eine Geldbuße von 20.000 Euro gegen einen B2B-Datenbroker, weil dieser die E-Mail-Adresse des geschäftsführenden Gesellschafters eines Unternehmens gesammelt und weitergegeben hatte.

Die APD wies außerdem darauf hin, dass ein Datenverantwortlicher eine Person nicht zur Erstellung eines Online-Kontos zwingen kann, wenn dies nicht erforderlich ist, in diesem Fall zur Einreichung einer Beschwerde.

Das Unternehmen hat hier gegen die Grundsätze der Datenminimierung und des Datenschutzes sowohl standardmäßig als auch durch Design verstoßen.

In Spanien, Ein Unternehmen (Marina Salud), das im Auftrag der autonomen Regierung der Region Valencia Krankenhausdaten verwaltet, wurde mit einer Geldstrafe von 500.000 Euro belegt, weil es ohne Genehmigung des Datenverantwortlichen sekundäre Unterauftragnehmer ernannt hatte, was gegen Artikel 28(2) der DSGVO verstößt.

Auch in Spanien wurde eine Bank mit einer Geldstrafe von 120.000 Euro belegt, weil sie die personenbezogenen Daten eines Kunden unrechtmäßig verarbeitet hatte und damit gegen Artikel 6 Absatz 1 der DSGVO verstieß. Grund dafür war die Nachahmung der Unterschrift des Kunden auf einer Datenschutzvereinbarung durch einen Mitarbeiter.

TikTok wurde am 2. Mai verurteilt von Irische DPA zu einer Geldstrafe von 530 Millionen Euro wegen der illegalen Übermittlung personenbezogener Daten von Europäern nach China und deren Verschleierung vor den Nutzern.

TikTok hat sechs Monate Zeit, um seine Geschäftspraktiken an die DSGVO anzupassen.

Ein irisches Gericht hat die Entscheidung der Datenschutzbehörde (DPA) bestätigt, die festgestellt hatte, dass ein Arbeitgeber nicht der Datenverantwortliche für nicht-berufliche Daten auf dem Diensthandy eines seiner Angestellten ist.

Die maltesische APD veröffentlicht eine Reihe von FAQs zur Verwaltung von Mitarbeiter-E-Mail-Konten beim Ausscheiden aus dem Unternehmen.

Der Leitfaden ermutigt Arbeitgeber, sowohl während des Beschäftigungsverhältnisses als auch nach dem Ausscheiden des Mitarbeiters einen proaktiven und strukturierten Ansatz für die Kontoverwaltung zu verfolgen und wichtige Fragen zu gängigen Praktiken wie der automatischen Weiterleitung von E-Mails und automatischen Antwortnachrichten zu klären.

Im Zusammenhang mit den Präsidentschaftswahlen, die am 4. und 18. Mai in Rumänien stattfanden, kündigte TikTok neue Maßnahmen an, die darauf abzielen, eine Desinformationskampagne zu verhindern, die mit derjenigen vergleichbar ist, die angeblich dazu beigetragen hat, dass Kandidat Călin Georgescu im vergangenen November im ersten Wahlgang an die Spitze gelangte.

Die Anwendung hat außerdem ein „Wahlzentrum“ eingerichtet, das Informationen wie wichtige Termine und Links zur Website der Ständigen Wahlbehörde bereitstellt und Sensibilisierungsmaterialien zum Thema Desinformation veröffentlicht.

Diese Maßnahmen werden ergriffen, da die Europäische Kommission eine Untersuchung gemäß dem Digital Services Act (DSA) eingeleitet hat, um die Ereignisse vom November aufzuklären.

 

In China hat die Cyberspace-Administration eine dreimonatige Kampagne zur Bekämpfung des Missbrauchs von KI-Technologien angekündigt. Die für die Internetregulierung zuständigen Behörden werden verpflichtet, Online-Plattformen bei der Umsetzung der Kampagne zu unterstützen, indem sie die Mechanismen zur Überprüfung KI-generierter Inhalte stärken, die Erkennungsfähigkeiten verbessern und die ordnungsgemäße Umsetzung von Korrekturmaßnahmen sicherstellen.

In den USA hat der Energie- und Handelsausschuss des Repräsentantenhauses eine Untersuchung zu den Verbindungen von Deepseek zur Kommunistischen Partei Chinas eingeleitet. Dem Chatbot wird vorgeworfen, nicht nur Daten nach China zu senden, sondern auch personenbezogene Daten von Nutzern mit anderen parteinahen Unternehmen, darunter ByteDance Ltd., zu teilen. Die KI-Anwendung steht zudem im Verdacht, die Herzfrequenz ihrer Nutzer zu erfassen.

Das Future of Privacy Forum (FPF) steht unter Beschuss der Trump-Regierung. Der Vorsitzende des Handelsausschusses des Senats, Ted Cruz (Republikaner aus Texas), fordert vom FPF Aufklärung. Ihm wird vorgeworfen, Bundesmittel genutzt zu haben, um Bundesstaaten zur Verabschiedung „linker“ KI-Gesetze zu drängen. Senator Cruz befürchtet, dass die Gruppe offen für KI-Regulierungen wirbt, die mit der politischen Agenda der Biden-Regierung übereinstimmen. Er prüft zudem die an die Organisation vergebenen Bundesmittel.

Laut Euractiv, die sich auf Informationen der Financial Times beruft, stattet die Europäische Kommission ihre in die USA entsandten Mitarbeiter aufgrund von Überwachungsbedenken mit Einweghandys aus. „Die neuen Richtlinien der EU-Kommission, die auch die Nutzung einfacher Laptops für Reisen in die USA empfehlen, ähneln denen für Reisen in die Ukraine oder nach China. Allen Mitarbeitern wird geraten, ihre Geräte auszuschalten und sie nach der Einreise in eine spezielle Anti-Spionage-Tasche zu legen.“

CNN berichtet, dass die Trump-Regierung mit Hilfe von Palantir eine zentrale Datenbank einrichtet, um die Durchsetzung von Einwanderungsgesetzen und Abschiebungen zu beschleunigen. Dazu sollen sensible Daten aus der gesamten Bundesregierung zusammengeführt, sogenannte „Ziellisten“ erstellt und gezielt Personen verhaftet werden. Wired berichtete bereits, dass das DOGE (Department of General Enforcement) Einwanderungsdatenbanken des gesamten Heimatschutzministeriums (DHS) zusammenführt und Daten von externen Behörden, darunter der Sozialversicherungsbehörde (SSA), sowie Wählerverzeichnisse herunterlädt. Diese Daten werden Berichten zufolge auf einer von Palantir entwickelten Software gespeichert.