Legal Watch Nr. 84 – Juni 2025. 

Erweiterte Kameras: Die CNIL legt neue Richtlinien fest.

Am 11. Juli kam die CNIL zu dem Schluss, dass der Einsatz von „erweiterten“ Kameras zur Schätzung des Alters von Kunden in Tabakläden, um den Verkauf von an Minderjährige verbotenen Produkten zu kontrollieren, weder notwendig noch verhältnismäßig ist.

Diese Kameras werden als Entscheidungshilfe präsentiert. Sie basieren auf einem standardmäßig aktivierten Algorithmus der künstlichen Intelligenz, der das Gesicht aller Personen in seinem Sichtfeld scannt, um einzuschätzen, ob es sich um Minderjährige oder Erwachsene handelt.

Die französische Datenschutzbehörde CNIL merkt an, dass Tabakhändler aufgrund der lediglich schätzenden Funktion der „erweiterten“ Kamera systematisch einen Altersnachweis von ihren Kunden verlangen müssen, um ihren gesetzlichen Verpflichtungen nachzukommen. „Folglich erscheint eine vorherige Gesichtsanalyse per Kamera zur Altersschätzung nicht notwendig: Sie würde die gesetzlich vorgeschriebenen Kontrollen nur unnötig verlängern.“

Die CNIL weist auf einen unverhältnismäßigen Einsatz im Verhältnis zum verfolgten Ziel hin, der dazu führt, dass alle Menschen gefilmt werden, sogar solche, die eindeutig erwachsen sind, und die Menschen daran hindert, ihr Widerspruchsrecht auszuüben.

Sie ist außerdem der Ansicht, dass der Einsatz von Kameras in Wohnräumen wie Tabakläden zu einer Verharmlosung und Gewöhnung an eine Form der Überwachung beiträgt, die durch die Vervielfachung solcher Instrumente noch verstärkt wird.

Es ist nicht das erste Mal, dass die Regulierungsbehörde zu diesem Thema Stellung bezieht. Ende Mai zog sie den Unmut des Bürgermeisters von Nizza auf sich, indem sie den Einsatz von Augmented-Reality-Kameras vor den Schulen der Stadt untersagte. Sie wies dabei auf die Erhebung personenbezogener Daten hin und bekräftigte die Notwendigkeit, die Überwachung von Personen im öffentlichen Raum auf ein absolutes Minimum zu beschränken.

In einigen Kontexten wird der Einsatz von Überwachungskameras jedoch von der CNIL befürwortet: Sie ist der Ansicht, dass der Einsatz dieser Kameras an den automatischen Kassen von Supermärkten ein berechtigtes Interesse an der Begrenzung von Einnahmeverlusten durch Fehler oder Diebstähle an den Kassen darstellen könnte, jedoch unter bestimmten Bedingungen: dass das System für das verfolgte Ziel notwendig ist und dass es die Rechte von Personen nicht unverhältnismäßig beeinträchtigt und dass das Ziel nicht auf eine weniger eingreifende Weise erreicht werden kann.

Es müssen Maßnahmen zur Datenminimierung umgesetzt werden, wie beispielsweise die Beschränkung des Erfassungsbereichs auf Selbstbedienungskassen und die Begrenzung von Erfassungsdauer, -auflösung und -häufigkeit. Darüber hinaus müssen die Nutzer über das System informiert und ihnen eine kamerafreie Alternative angeboten werden.

Die CNIL beabsichtigt, den Einsatz dieser Systeme zu regulieren, indem sie deren Notwendigkeit und Verhältnismäßigkeit im Einzelfall sicherstellt. Sie empfiehlt zudem die Anwendung des Grundsatzes des Datenschutzes durch Technikgestaltung.

Man sollte bedenken, dass der regulatorische Rahmen für algorithmische Videoüberwachung ein sich entwickelndes Thema ist, das einem komplexen regulatorischen Rahmen unterliegt.

Dieses System unterscheidet sich von dem biometrischer Kameras, die systematisch Daten über die physischen Merkmale von Personen verarbeiten, um diese eindeutig zu identifizieren oder zu authentifizieren.

Diese Verarbeitungsvorgänge, die sensible Daten betreffen, sind außer in Ausnahmefällen verboten.

Bezüglich „erweiterter“ Kameras gibt es derzeit keinen spezifischen Text, außer dem experimentellen Rahmen, der im Gesetz über die Olympischen und Paralympischen Spiele vom 19. Mai 2023 vorgesehen ist.

Die CNIL erinnert uns daran, dass „Mechanismen, die die den Bürgern zur Ausübung ihrer öffentlichen Freiheiten gewährten Grundgarantien beeinträchtigen könnten, nur dann eingesetzt werden dürfen, wenn ein Gesetz sie autorisiert und konkret regelt.“

Für andere Systeme müssen strenge Sicherheitsvorkehrungen getroffen werden.

Die Probezeit für das Gesetz zu den Olympischen Spielen wurde kürzlich bis 2027 verlängert, trotz einer als kontrovers dargestellten Bewertung.

Dieses Gesetz genehmigt den experimentellen Einsatz von erweiterten Kamerasystemen zur Gewährleistung der Sicherheit bestimmter großer Sport-, Freizeit- und Kulturveranstaltungen unter sehr spezifischen Bedingungen: Nur die im Gesetz genannten Veranstaltungen dürfen überwacht werden, und es darf keine Gesichtserkennung durchgeführt werden.

Aus politischer Sicht fordert die CNIL die öffentlichen Behörden auf, eine Grenze zu ziehen zwischen dem, was in einer demokratischen Gesellschaft erlaubt sein sollte und was nicht: Nicht alles, was technisch machbar ist, ist aus ethischer und sozialer Sicht unbedingt wünschenswert.

 

 

Im Kontext eines gestiegenen Bewusstseins für den Kampf gegen Diskriminierung veröffentlicht die CNIL eine Empfehlung zur Messung von Diversität am Arbeitsplatz.

Sie betont, dass es sich bei einer solchen Maßnahme um ein heikles Unterfangen handelt, das voraussetzt, dass Arbeitgeber den Beschluss des Verfassungsrats vom 15. November 2007 strikt respektieren, der regelmäßig und fälschlicherweise als absolutes Verbot von Statistiken über die Herkunft interpretiert wird.

Die Kommission betont insbesondere, dass Untersuchungen optional bleiben müssen und dass Mitarbeiter oder Beauftragte ordnungsgemäß informiert und ihre Rechte geachtet werden müssen.

Es wird außerdem empfohlen, anonymen Umfragen Vorrang einzuräumen und die durch geschlossene Fragen erhobenen Daten zu begrenzen.

Die CNIL veröffentlichte außerdem zwei FAQs zum Einsatz von KI in Schulen sowie einen Manga, der junge Menschen für den Schutz ihrer persönlichen Daten sensibilisieren soll.

Außerdem hat die Organisation Empfehlungen zu Instrumenten zur Messung der Internetreichweite sowie ein Selbstbewertungsinstrument zur Beurteilung der Übereinstimmung mit dem rechtlichen Rahmen veröffentlicht.

Sie hat Empfehlungen zur Entwicklung von KI-Systemen veröffentlicht, in denen die Bedingungen für die Nutzung berechtigter Interessen, insbesondere im Falle der Datenerfassung (Web-Scraping), festgelegt sind, und hat am 12. Juni eine öffentliche Konsultation zu ihrem Empfehlungsentwurf bezüglich der Verwendung von Tracking-Pixeln in E-Mails eröffnet.

Ziel ist es, den Akteuren, die diese Tracker verwenden, zu helfen, ihre Pflichten besser zu verstehen, insbesondere im Hinblick auf die Einholung der Einwilligung der Nutzer.

Laut einer Veröffentlichung des Cybersicherheits-Medienportals Cybernews vom 30. Juni sind derzeit 16 Milliarden gestohlene Benutzernamen und Passwörter online zugänglich.

Zu den kompromittierten Informationen gehören Identifikatoren wie Benutzernamen und E-Mail-Adressen sowie Passwörter.

Die Verzeichnisse enthalten außerdem Zugriffstoken, Anmelde-Cookies und Metadaten.

 Es handele sich dabei nicht um ein neues Datenleck, sondern um die Zusammenführung verschiedener vergangener Datenlecks, wodurch das Risiko des Datendiebstahls erhöht werden kann, da es böswilligen Akteuren die Arbeit erleichtert.

Google droht eine Rekordstrafe von 525 Millionen Euro wegen des Umgangs mit Cookies und Werbung in Gmail-Postfächern.

In ihrem Entscheidungsentwurf wirft die CNIL Google vor, gegen die Grundsätze der Umsetzung der europäischen Richtlinie „Datenschutz und elektronische Kommunikation“ verstoßen zu haben, indem Google keine Einwilligung der Nutzer zum Herunterladen von Cookies bei der Erstellung eines Gmail-Kontos und zur Anzeige von Werbung in Gmail-Postfächern, die wie E-Mails aussieht, eingeholt hat.

Sollte die Geldbuße vom zuständigen Ausschuss der CNIL bestätigt werden, wäre dies die höchste Geldbuße in der Geschichte der CNIL und die höchste jemals verhängte Geldbuße wegen eines Verstoßes gegen die ePrivacy-Richtlinie. Die endgültige Entscheidung wird in wenigen Wochen bekannt gegeben.

Die Nichteinhaltung der DSGVO ist ein Kündigungsgrund, insbesondere im Bereich der Entwicklung digitaler Kommunikationsdienstleistungen: In Anlehnung an frühere Entscheidungen bestätigte das Berufungsgericht Bordeaux in seinem Urteil vom 11. Juni 2025 das Vorhandensein einer reCAPTCHA-Schutzvorrichtung in Verbindung mit mehreren Cookies, die ohne Zustimmung des Endbenutzers platziert wurden.

Angesichts der fortgesetzten Vertragsverletzungen seitens des Dienstleisters ist der Kunde berechtigt, die Kündigung des Vertrags gemäß den Artikeln 1610, 1217 und 1224 des Bürgerlichen Gesetzbuches zu verlangen.

 

Europäische Institutionen und Gremien

Der Zeitplan für die Umsetzung der europäischen KI-Verordnung wurde Mitte Juni veröffentlicht.

Nach Gerüchten über eine mögliche Schonfrist stellte die Kommission klar, dass der Text gemäß den vorgeschriebenen Fristen Anwendung finden würde.

Die Verordnung gilt für KI-Systeme auf der Grundlage der von ihnen ausgehenden Risiken und regelt allgemeine KI-Modelle (GPAI) auf der Grundlage ihrer Fähigkeiten.

Die Regelungen zu GPAI treten am 2. August 2026 in Kraft; für bestehende Systeme beginnt die Anwendung am 2. August 2027.

Darüber hinaus wurde am 10. Juli der Verhaltenskodex für allgemeine KI veröffentlicht.

Es umfasst 3 Kapitel.

Die Kapitel über Transparenz und Urheberrecht bieten allen Anbietern von allgemeinen KI-Modellen die Möglichkeit nachzuweisen, dass sie ihren Verpflichtungen gemäß Abschnitt 53 des KI-Gesetzes nachkommen.

Das Kapitel über Sicherheit betrifft nur eine kleine Anzahl von Anbietern hochentwickelter Modelle, die den Verpflichtungen unterliegen, die für Anbieter von Allzweck-KI-Modellen gelten, die ein systemisches Risiko darstellen (gemäß Abschnitt 55 des KI-Gesetzes).

Laut einem internen Dokument, das MLex vorliegt, wird der Vorschlag der Europäischen Kommission für ein „digitales Omnibusabkommen“ derzeit bis zum 10. Dezember erwartet.

Es wird Teil eines Pakets sein, das die Verordnung über digitale Netze, die Überarbeitung der Cybersicherheitsverordnung und die europäische elektronische Geldbörse umfasst.

Die Regelungen zur Cloud- und KI-Entwicklung sind vorläufig für die kommende Woche geplant.

Ende Juni verabschiedeten die europäischen Institutionen einen gemeinsamen Standpunkt zu zusätzlichen Verfahrensregeln für die Umsetzung der DSGVO. Der Text muss nun noch vom Europäischen Parlament formell gebilligt werden.

Auf einer zweitägigen Sitzung am 1. und 2. Juli in Helsinki kündigte der Europäische Datenschutzausschuss (EDPB) an, Organisationen durch die Veröffentlichung vereinfachter Leitlinien dabei zu unterstützen, ihre Pflichten gemäß der DSGVO besser zu verstehen. In ihrer Erklärung führte die Vorsitzende des Ausschusses aus: „Mithilfe prägnanter und zeitnaher Leitlinien sowie sofort einsetzbarer Tools, wie beispielsweise einer Vorlage für die Meldung von Datenschutzverletzungen, Checklisten, praktischen Leitfäden und FAQs, werden wir die Einhaltung der DSGVO weiterhin für alle erreichbar und zugänglich machen.“

Transatlantische Datenflüsse bleiben vorerst im Rahmen des „Datenschutzrahmens“ gültig, trotz der Maßnahmen der Trump-Administration, die den Datenschutzrahmen in den Vereinigten Staaten schwächen.

Die Europäische Kommission bestätigte Mitte Juni auf eine parlamentarische Anfrage hin, dass die Entlassung der Mitglieder des PCLOB (Aufsichtsausschuss für Datenschutz und bürgerliche Freiheiten) die Gültigkeit des Datenschutzrahmens zwischen der EU und den Vereinigten Staaten nicht beeinträchtigt, da der PCLOB weiterhin funktionsfähig bleibt.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

Die Datenschutzbehörde (DSB) des Landes Berlin In einer Entscheidung vom 27. Juni kam das Gericht zu dem Schluss, dass die Datentransfers von DeepSeek nach China illegal sind, und forderte Google und Apple auf, die Anwendung zu sperren.

DeepSeek konnte der Datenschutzbehörde angeblich keine überzeugenden Beweise dafür vorlegen, dass die Daten deutscher Nutzer in China auf einem Niveau geschützt sind, das dem der Europäischen Union entspricht.

„Die chinesischen Behörden verfügen über weitreichende Zugriffsrechte auf personenbezogene Daten, die von chinesischen Unternehmen gespeichert werden. Darüber hinaus haben DeepSeek-Nutzer in China keine durchsetzbaren Rechte und wirksamen Rechtsmittel, wie sie in der Europäischen Union garantiert sind.“

Belgische Polizei Am 26. Juni wurden 16 Beschwerden der NGO Noyb in 5 verschiedenen Fällen mit der Begründung zurückgewiesen, dass kein echtes (nicht fiktives) Mandat der betreffenden Personen vorliege.

In ihrer Pressemitteilung hebt die APD den Unterschied zwischen Artikel 80(1) und Artikel 80(2) der DSGVO hervor und weist darauf hin, dass der belgische Gesetzgeber es Verbraucherschutzorganisationen nicht gestattet hat, ohne Mandat Beschwerden einzureichen.

Abschließend erklärte sie, dass sie angesichts der Bedeutung dieser Organisationen eine Gesetzesänderung befürworte, die diese Option auch in Belgien ermöglichen würde.

In DänemarkEine Änderung des Urheberrechtsgesetzes wird den Bürgern ein Recht an ihrer Stimme, ihrem Gesicht und ihrem Körper einräumen, selbst wenn diese digital durch generative KI reproduziert werden.

Der dänische Kulturminister erklärte dazu: „Menschen laufen Gefahr, zu digitalen Fotokopierern gemacht und für alle möglichen missbräuchlichen Zwecke missbraucht zu werden, und das bin ich nicht bereit zu akzeptieren.“

In SpanienDie australische Datenschutzbehörde APD hat Carrefour nach einer Reihe von Datenschutzverletzungen mit einer Geldstrafe von 3.200.000 € belegt.

Sie stellte fest, dass Carrefour keine angemessenen Sicherheitsmaßnahmen ergriffen und den Vorfall den Betroffenen nicht gemeldet hatte.

Die APD verhängte außerdem eine Geldbuße von 12.000 € gegen einen Unterauftragnehmer, weil dieser ohne Genehmigung des Verantwortlichen einen weiteren Unterauftragnehmer beauftragt hatte, was gegen Artikel 28(2) der DSGVO verstößt.

Microsoft sieht sich in Irland der ersten Sammelklage gegenüber. Der Irish Civil Liberties Council (ICCL) hat Ende Mai ein Verfahren vor dem High Court in Dublin eingeleitet. In dieser Klage, die auf Grundlage der neuen europäischen Richtlinie über kollektive Rechtsbehelfe erhoben wurde, wird behauptet, dass das von Microsoft zur Auslieferung zielgerichteter Online-Werbung verwendete Echtzeit-Bidding-System (RTB) mit der DSGVO unvereinbar sei.

Dokumente im Zusammenhang mit Zugriffsanfragen können nicht unbegrenzt aufbewahrt werden: nach einer vom Nutzer eingeleiteten Untersuchung, Litauische ODA wurde angewiesen, dass ein medizinischer Dienstleister Aufbewahrungsfristen für Dokumente im Zusammenhang mit der Bearbeitung von Zugriffsanfragen festlegt.

Vorsicht vor Tracking-Pixeln: Norwegische ODA Die Gemeinde Kristiansand wurde mit einer Geldstrafe von 250.000 NOK (21.600 €) belegt, weil sie auf ihrer Website für Kinderschutz-Hotlines über Snap- und Meta-Pixel illegal personenbezogene Daten von Kindern verarbeitet hatte.

Die APD war außerdem der Ansicht, dass Informationen über Besuche auf Seiten einer Website, die Inhalte zu bestimmten medizinischen Themen enthalten, sensible Daten darstellen, und rügte ein Unternehmen wegen der illegalen Verarbeitung dieser sensiblen Informationen mittels des Meta-Pixels.

 

Im Vereinigten Königreich erhielt der Data Use and Access Act (DUAA) am 19. Juni die königliche Zustimmung. Dieses Gesetz enthält Bestimmungen zur Förderung der Entwicklung digitaler Verifizierungsdienste, neuer Smart-Data-Programme wie Open Banking und eines neuen nationalen Registers für Untergrundvermögen.

Es beinhaltet auch bedeutende Änderungen der britischen Datenschutzgesetzgebung.

Der DUAA wird die britische DSGVO nicht ersetzen, aber er wird einige Änderungen vornehmen, „um die Regeln für Organisationen zu vereinfachen, Innovationen zu fördern, Strafverfolgungsbehörden bei der Verbrechensbekämpfung zu unterstützen und einen verantwortungsvollen Datenaustausch zu ermöglichen, während gleichzeitig hohe Standards des Datenschutzes gewahrt bleiben.“

In den Vereinigten Staaten hat die jüngste Entscheidung des Obersten Gerichtshofs im Fall Free Speech Coalition gegen Paxton für Aufsehen in der digitalen Welt gesorgt.In einem Artikel der IAPP wird Besorgnis über die Infragestellung von Konzepten wie Altersverifizierung, Meinungsfreiheit und den Auswirkungen auf die Privatsphäre geäußert.

Das Urteil vom 27. Juni bestätigt ein texanisches Gesetz, das Webseiten mit Inhalten für Erwachsene verpflichtet, das Alter ihrer Besucher mithilfe potenziell invasiver Verfahren wie Biometrie zu überprüfen. Obwohl diese Entscheidung Minderjährige vor expliziten Inhalten schützen soll, wirft sie auch Fragen zu den Risiken auf, die mit der Erhebung sensibler personenbezogener Daten verbunden sind.

Auch in den Vereinigten Staaten stimmte der Kongress Anfang Juli für die Verabschiedung des „One Big Beautiful Bill Act“.Das Gesetz kodifiziert die nationale Agenda von Präsident Trump, mit einer wichtigen Ausnahme: dem ursprünglich im Gesetzentwurf enthaltenen Moratorium für die Regulierung von KI. Dieses Moratorium hätte über 1.000 Gesetzesentwürfe zur KI-Regulierung gestoppt, die seit Januar in den Landeshauptstädten die Gesetzgebungsverfahren durchlaufen hatten.

Meta, der Eigentümer von WhatsApp, kündigte am 16. Juni die Einführung neuer Funktionen im Tab „Updates“ von WhatsApp an, darunter gezielte Werbung und ein Abonnementmodell.Das Unternehmen erklärte, diese Funktionen würden den Nutzern „in den nächsten Monaten“ schrittweise zur Verfügung gestellt. Zu diesem Zweck wird Meta die „Werbepräferenzen und -informationen“ aus den mit WhatsApp verknüpften Facebook- und Instagram-Konten der Nutzer verwenden.

Die irische Datenschutzkommission (DPC) teilte mit, dass WhatsApp sie darüber informiert habe, dass sein Werbemodell erst 2026 in der EU eingeführt werde und dass dies mit anderen Datenschutzbehörden besprochen werde, damit diese als europäische Regulierungsbehörden Bedenken äußern könnten.

Laut der Zeitung L'Express vom 26. Mai plant Russland, ab dem 1. September 2025 ein Pilotprojekt umzusetzen, das Ausländer mit vorübergehendem Aufenthalt in Moskau und Umgebung dazu verpflichtet, eine mobile Geolokalisierungs-App zu nutzen und sich biometrischen Kontrollen zu unterziehen.Die Nutzer müssen sich in der Anwendung registrieren, „der Erfassung ihrer personenbezogenen Daten, einschließlich ihres Standorts, zustimmen, dem Innenministerium ihren Wohnsitz mitteilen und diesen innerhalb von drei Tagen aktualisieren, wenn sie umziehen.“