Rechtsbeobachtung Nr. 83 – Mai 2025. 

Europäische Datensouveränität: Wunschdenken?

Die Sperrung des E-Mail-Kontos des Generalanklägers des Internationalen Strafgerichtshofs (IStGH), Karim Khan, durch Microsoft wirft die entscheidende Frage nach der digitalen Souveränität Frankreichs und Europas im Allgemeinen angesichts der großen Technologiekonzerne auf.

Laut AP wurde das E-Mail-Konto von Herrn Khan ohne Vorwarnung gesperrt, was ihn zwang, die Dienste des Schweizer Internetanbieters Proton zu nutzen.

Da das Gericht stark von Dienstleistern wie Microsoft abhängig ist, hat sich seine Arbeit erheblich verlangsamt.

Diese Entscheidung von Microsoft ist eine direkte Folge der Maßnahmen, die US-Präsident Donald Trump im Februar gegen den Internationalen Strafgerichtshof in Den Haag ergriffen hat, nachdem ein Gremium von IStGH-Richtern Haftbefehle gegen den israelischen Premierminister Benjamin Netanjahu und seinen ehemaligen Verteidigungsminister Joav Gallant wegen Kriegsverbrechen im Gazastreifen erlassen hatte.

Das Präsidialdekret verbietet ausdrücklich die Bereitstellung von Geldern, Waren oder Dienstleistungen an den Generalankläger des Internationalen Strafgerichtshofs sowie jede Transaktion, die diese Verbote umgehen würde, mit der Begründung, dass die Handlungen des Internationalen Strafgerichtshofs eine ungewöhnliche und außerordentliche Bedrohung für die nationale Sicherheit und die Außenpolitik der Vereinigten Staaten darstellen.

Eine niederländische Publikation vom 31. Mai merkt in diesem Zusammenhang an, dass die US-Regierung angesichts der Anzahl der von der öffentlichen Hand genutzten amerikanischen Server „mit einem Klick mehr als 650 niederländische Regierungs- und wichtige Unternehmenswebseiten blockieren oder manipulieren könnte, darunter die der Niederländischen Zentralbank und der Polizei, aber auch die Webseite des Außenministeriums. Ebenso wie die Webseite Crisis.nl, eine wichtige Informationsquelle für die niederländische Bevölkerung im Katastrophenfall.“

Ein weiteres Beispiel für die möglichen Folgen unserer technologischen Abhängigkeit findet sich in einem aktuellen Fall zwischen OpenAI und der US-Justiz: Das Unternehmen wehrt sich derzeit gegen eine Entscheidung, die es dazu verpflichtet, alle ChatGPT-Benutzerprotokolle – einschließlich gelöschter und sensibler Chats – aufzubewahren, die über sein kommerzielles API-Angebot aufgezeichnet wurden.

Die Entscheidung geht auf Presseorganisationen zurück, die Urheberrechtsansprüche geltend machten und OpenAI vorwarfen, Beweismittel vernichtet zu haben.

In ihrer Antwort argumentiert das Unternehmen, dass sich das Gericht ausschließlich auf eine Behauptung der New York Times und anderer Medienkläger stützt und dass es „ohne triftigen Grund OpenAI daran hindert, die Datenschutzentscheidungen seiner Nutzer zu respektieren“.

Ohne zu der legitimen Frage der Achtung des Urheberrechts Stellung zu beziehen, führt uns der Fall dazu, die Kontrolle zu hinterfragen, die ausländische Mächte, in diesem Fall die Vereinigten Staaten, über unsere täglichen Arbeitsmittel ausüben können, sobald sie allein über die Motive des nationalen Interesses entscheiden, die eine solche Kontrolle rechtfertigen.

Dies erscheint besonders besorgniserregend in einer Welt, in der die Rechtsstaatlichkeit zunehmend angegriffen wird und in der politische Allianzen täglich schwanken.

In diesem düsteren Kontext, in dem Europa oft vorgeworfen wird, hinterherzuhinken, gibt es ermutigende Neuigkeiten: Das Secure Data Access Centre (CASD) erhielt Mitte Mai als erster Datenhosting-Dienst in Europa die offizielle GDPR-Zertifizierung gemäß Artikel 42 der DSGVO und dem Europrivacy-Standard.

Diese Zertifizierung wird von den Datenschutzbehörden von 30 Ländern – allen EU- und EWR-Mitgliedstaaten – offiziell anerkannt.

CASD verfügt bereits über zahlreiche Zertifizierungen (ISO 27001, ISO 2770) und ist zudem ein Health Data Host (HDS).

Wir wissen auch, dass Europa aktuell in KI investiert, sowohl finanziell als auch mit dem Ziel, Regulierungen zu vereinfachen (siehe untenstehende Meldungen). Das Manifest der IMA (Innovation Makers Alliance), unterstützt von Unternehmen wie OVHcloud, Hexatrust und Mistral AI, präsentierte im März 33 Vorschläge zu KI, Cloud Computing, Cybersicherheit und öffentlichem Beschaffungswesen mit dem Ziel einer dringenden Neuausrichtung. Gleichzeitig bot Microsoft europäischen Regierungen ein kostenloses Cybersicherheitsprogramm an.

Europäische Initiativen werden ihr volles Potenzial nur dann ausschöpfen, wenn sich unsere Reaktionsfähigkeit weiterentwickelt, sei es im Hinblick auf strategische Entscheidungen bezüglich KI-Tools, Hosting-Diensten, aber auch der digitalen Hygiene: Vor der Übermittlung oder Speicherung von Daten ist es unerlässlich, zunächst nur unbedingt notwendige Daten zu verarbeiten und sowohl im öffentlichen als auch im privaten Sektor Praktiken und Richtlinien einzuführen, die das Risiko eines Kontrollverlusts über diese Daten begrenzen.

 

Am 15. Mai 2025 verhängte die CNIL gegen das Unternehmen Solocal Marketing Services eine Geldbuße von 900.000 Euro, weil es ohne Zustimmung der Interessenten deren Daten abgeworben und diese ohne gültige Rechtsgrundlage an Partner weitergegeben hatte.

Am selben Tag verhängte die Behörde eine Geldstrafe von 80.000 Euro gegen das Unternehmen Caloga, weil dieses ohne Zustimmung potenzielle Kunden abgeworben und deren Daten ohne gültige Rechtsgrundlage an Partner weitergegeben hatte.

Ende Mai befragte der Abgeordnete und CNIL-Mitglied Philippe Latombe den Minister für Wirtschaft, Finanzen und industrielle und digitale Souveränität in einer parlamentarischen Anfrage zur Wahl des Versicherungsvereins ALAN auf Gegenseitigkeit durch viele öffentliche Einrichtungen zur Bereitstellung einer zusätzlichen Krankenversicherung für ihre Angestellten.

Er weist darauf hin, dass „dieses französische Einhorn (...) seine Daten bei Amazon Web Services (AWS) hostet und daher der extraterritorialen Geltung des amerikanischen Rechts unterliegt.“

Der Abgeordnete fragt die Regierung, ob sie erwägt, „um die sensiblen Daten ihrer Agenten zu schützen und im Einklang mit ihren eigenen Richtlinien zu handeln, ALAN aufzufordern, in eine souveräne Cloud zu migrieren.“

Mit Beschluss vom 5. Mai legte der Staatsrat dem Gerichtshof der Europäischen Union (EuGH) eine Vorabfrage zur Frage des Umfangs der Einwilligung vor: Es geht um das Unternehmen Canal+, das im Oktober 2023 von der CNIL sanktioniert wurde, weil es Daten, die von seinen Internetdienstanbieterpartnern erhoben wurden, für elektronische Marketingzwecke nutzte, obwohl die Partner bei der Einwilligungserteilung nicht ausdrücklich genannt worden waren.

Der Staatsrat fragt den EuGH im Wesentlichen, ob die einem Hauptverantwortlichen für die Datenverarbeitung (wie etwa einem Internetdienstanbieter) zur Verarbeitung durch „seine Partner“ erteilte Einwilligung als ausreichend angesehen werden kann, um jeden dieser Partner zur Durchführung von Marketingkampagnen zu ermächtigen, selbst wenn diese zum Zeitpunkt der Datenerhebung nicht identifiziert werden.

Am 25. April lehnte der Staatsrat (CE) die Aussetzung einer Entscheidung der CNIL ab, mit der die Europäische Arzneimittel-Agentur (EMA) zur Durchführung der Datenverarbeitung für eine Studie über die Inzidenz und Prävalenz von Krankheiten im Rahmen des Projekts „DARWIN EU“ ermächtigt wurde.

Der Antragsteller argumentierte, die Maßnahme sei dringlich, da die geplante Verarbeitung die Gesundheitsdaten von 10 Millionen Franzosen betreffe, die von Microsoft gehostet würden, was eine Übermittlung in die Vereinigten Staaten erfordere, wo die Schutzmaßnahmen unzureichend seien.

Die CE ist der Ansicht, dass „es zwar nicht völlig ausgeschlossen werden kann, dass die Daten aus der Verarbeitung (...) Gegenstand von Zugriffsanfragen der US-Behörden über die Muttergesellschaft des Hosts sein könnten und dass letztere sich möglicherweise nicht dagegen wehren kann, dieses Risiko jedoch zum jetzigen Zeitpunkt der Untersuchung hypothetisch bleibt.“

Zweitens ist die Umsetzung des Projekts, zusätzlich zur Tatsache, dass Microsoft Ireland die Zertifizierung "Health Data Hosting" (HDS) besitzt (...), von Garantien und Sicherheitsmaßnahmen umgeben, insbesondere dadurch, dass die Daten mehrfach pseudonymisiert und nicht direkt identifizierbar sind, sodass die CNIL der Ansicht war, dass dieses Risiko auf ein Niveau reduziert wurde, das die Ablehnung der beantragten Genehmigung, deren Dauer sie zudem auf drei Jahre beschränkte, nicht rechtfertigte.

Das Berufungsgericht Bordeaux hat am 13. Mai einen Vertrag über die Entwicklung einer Website wegen Verstößen gegen Vorschriften zum Schutz personenbezogener Daten, insbesondere hinsichtlich der Informations- und Einwilligungspflichten in Bezug auf Cookies, für nichtig erklärt.

Der Kryptowährungssektor befindet sich nach mehreren versuchten Entführungen in Aufruhr.

Ein Direktor der Paymium-Plattform, die Ziel eines kürzlichen Anschlagsversuchs war, verweist auf regulatorische Entwicklungen, die beabsichtigen, mehrere Regeln zur Aufhebung der Anonymität auf den Kryptowährungssektor anzuwenden, die bereits im Bankensektor in Angelegenheiten der Geldwäsche oder der Bekämpfung des Drogenhandels Anwendung finden.

Sie zielen insbesondere auf nationale und europäische Mechanismen ab, die darauf abzielen, Gelder unauffindbar zu machen.

Diese Bedenken werden von einigen Cybersicherheitsexperten geteilt, die argumentieren, dass Anonymität in einem legitimen Kontext genutzt werden kann. Andere relativieren sie jedoch, indem sie auf die bereits im Finanzsektor geltenden Datenschutzgarantien hinweisen.

 

Europäische Institutionen und Gremien

Am 21. Mai veröffentlichte die Europäische Kommission einen Vorschlag zur Änderung der DSGVO, der darauf abzielt, die Pflichten von KMU zu erleichtern und sie auf mittelständische Unternehmen mit weniger als 750 Beschäftigten auszudehnen.

Die wichtigsten Änderungen betreffen die Anforderungen an die Aufzeichnung von Verarbeitungstätigkeiten (RPA).

Die derzeitige Ausnahme in Abschnitt 30(5) würde auf alle derartigen Unternehmen ausgedehnt.

Diese neue Ausnahme würde Anwendung finden, es sei denn, die Verarbeitung würde voraussichtlich ein „hohes Risiko“ für die Rechte und Freiheiten der betroffenen Personen mit sich bringen (im Gegensatz zu dem derzeitigen „Risiko“).

Der Text würde außerdem eine Erwägungsgrundlage hinzufügen, die klarstellt, dass die Verarbeitung bestimmter Kategorien von Daten, die für die Anwendung des Arbeits- und Sozialversicherungsrechts nach Artikel 9(2)(b) erforderlich sind, an sich keine Verpflichtung zur Führung eines RAT auslöst.

Die Vorschläge sehen außerdem eine Änderung der Bestimmungen über Verhaltenskodizes (Artikel 40) und Zertifizierungssysteme (Artikel 42) vor, um diese auf Unternehmen mit weniger als 750 Beschäftigten auszudehnen.

Diese Artikel verpflichten derzeit die Mitgliedstaaten, die Datenschutzbehörden, die Kommission und den Europäischen Datenschutzausschuss dazu, die Entwicklung von Kodizes und Zertifizierungen zu „fördern“, die den „speziellen Bedürfnissen“ von KMU Rechnung tragen.

Zur Gestaltung der künftigen EU-Datenstrategie startet die Europäische Kommission eine Konsultation über die Nutzung von Daten in der KI, die Vereinfachung von Datenregeln und internationale Datenflüsse.

Ziel ist es, die Erstellung hochwertiger, interoperabler und vielfältiger Datensätze zu ermöglichen, die für KI benötigt werden, und gleichzeitig die Konsistenz zwischen datenbezogenen Richtlinien, Infrastrukturen und Rechtsinstrumenten sicherzustellen.

Die Konsultationsphase läuft bis zum 18. Juli.

Die Kommission veröffentlicht außerdem eine Konsultation zu einem Entwurf einer Leitlinie zum Digital Services Act (DSA), die bis zum 10. Juni läuft.

Der Text enthält Richtlinien zum Schutz von Minderjährigen im Internet. Die Kommission plant, die endgültigen Richtlinien in diesem Sommer zu veröffentlichen. Sie arbeitet außerdem an einer App zur Altersverifizierung.

Am 27. Mai gab die Europäische Kommission bekannt, dass sie Untersuchungen zum Schutz von Minderjährigen vor pornografischen Inhalten gemäß dem Digital Services Act (DSA) eingeleitet hat.

Die Untersuchungen zu Pornhub, Stripchat, XNXX und XVideos konzentrieren sich auf die Risiken, die mit dem Fehlen effektiver Altersverifizierungsmaßnahmen verbunden sind.

Parallel dazu ergreifen die Mitgliedstaaten im Rahmen des Europäischen Rates für digitale Dienste koordinierte Maßnahmen gegen kleine pornografische Plattformen.

Der Europäische Datenschutzbeauftragte veröffentlichte am 28. Mai eine Stellungnahme zu dem Vorschlag für eine Verordnung zur Schaffung eines gemeinsamen Systems für die Rückführung von Drittstaatsangehörigen, die sich irregulär in der EU aufhalten.

Er räumt zwar die Notwendigkeit einer effektiveren Durchsetzung der bestehenden Migrations- und Asylgesetzgebung ein, betont aber gleichzeitig, dass „der Datenschutz – als ein in der Charta verankertes Grundrecht – eine der letzten Verteidigungslinien für schutzbedürftige Menschen wie Migranten und Asylsuchende ist, die sich den Außengrenzen der EU nähern.“

Die Nichtregierungsorganisation noyb hat Meta am 14. Mai ein Schreiben mit der Aufforderung zur Unterlassung zukommen lassen. Als qualifizierte Einrichtung gemäß der neuen europäischen Richtlinie über kollektive Rechtsbehelfe forderte sie Meta auf, die KI-Trainingsmaßnahmen von Meta ohne Zustimmung der Nutzer durchzuführen.

Auch in Deutschland war von der Verbraucherzentrale NRW ein Antrag auf einstweilige Verfügung gestellt worden, der vom Gericht Ende Mai zurückgewiesen wurde (siehe unten).

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

Das Bundesamt für Datenschutz (BfDI) hat einen Fragebogen zur KI-Konformität veröffentlicht, der Organisationen dabei helfen soll, ihre KI-Initiativen zu validieren und sicherzustellen, dass sie die DSGVO einhalten.

Das Oberlandesgericht Köln urteilte am 23. Mai, dass Meta durch die Verwendung von Nutzerprofildaten zur Verbesserung seines KI-Systems weder gegen die DSGVO noch gegen die europäische Verordnung über digitale Märkte verstoßen habe, und stellte fest, dass diese Einschätzung mit der Einschätzung der irischen Datenschutzkommission (DPC) übereinstimme, die in Europa für Meta zuständig sei.

TikTok sieht sich in Deutschland einer Sammelklage gegenüber. Die niederländische Nichtregierungsorganisation Stichting Onderzoek Marktinformatie (Somi), die vor einem Berliner Gericht Schadensersatzansprüche geltend gemacht hat, wirft TikTok vor, „hochpersönliche und intime Daten seiner Nutzer in einem Umfang zu sammeln und zu analysieren, der weit über das Notwendige hinausgeht“.

Die Organisation behauptet, der Algorithmus der Plattform schaffe ein „System der Manipulation und Sucht“, insbesondere für Kinder. Die Nichtregierungsorganisation fordert Schadensersatz in Höhe von bis zu 2.000 Euro pro Person.

Die belgische Datenschutzbehörde (APD) hat das zwischen dem belgischen Staat und den Vereinigten Staaten geschlossene FATCA-Abkommen geprüft und festgestellt, dass es mit der DSGVO nicht vereinbar ist.

Die Beschwerden betrafen die Übermittlung personenbezogener Daten von Beschwerdeführern, darunter auch belgische „zufällige Amerikaner“, an die amerikanischen Steuerbehörden.

Die APD rügte den Bundesfinanzdienst wegen Verstößen gegen die DSGVO und stellte einen Verstoß gegen die Grundsätze der Zweckbindung, der Datenminimierung und der Datenübermittlungsregeln fest. 

Diese Entscheidung hat Auswirkungen, die über Belgien hinausgehen, da die Vereinigten Staaten ähnliche Abkommen in anderen Ländern der Europäischen Union geschlossen haben.

Die spanische Datenschutzbehörde (APD) hat ein andalusisches Unternehmen mit einer Geldstrafe von 1.200 Euro belegt, weil es seine im Homeoffice arbeitenden Mitarbeiter aufgefordert hatte, ihre private Telefonnummer anzugeben, um sie der WhatsApp-Gruppe des Unternehmens hinzuzufügen.

Theoretisch könnten die Mitarbeiter der E-Mail-Alternative zustimmen oder diese wählen, aber das Unternehmen ermutigte sie, WhatsApp zu nutzen, um einen reibungslosen Kommunikationsablauf zu gewährleisten.

Die APD bekräftigte, dass die Einwilligung keine gültige Rechtsgrundlage in einem Arbeitsverhältnis darstellt.

Auch in Spanien wurde das Unternehmen Carrefour von der APD mit einer Geldstrafe von 3,2 Millionen Euro belegt, weil es den Zugang zu den Konten seiner Kunden nicht ausreichend geschützt hatte.

Das Unternehmen wurde verurteilt, obwohl die beim Hacking verwendeten Zugangsdaten nicht direkt von ihm gestohlen wurden, sondern weil es seine Sorgfaltspflicht verletzt hatte und seine Sicherheitssysteme es ihm nicht erlaubten, massive Angriffe von einer sehr großen Anzahl von IP-Adressen zu erkennen.

Die italienische Datenschutzbehörde (APD) hat das amerikanische Unternehmen Luka Inc., Anbieter des „virtuellen Begleiters“ „Replika AI“, mit einer Geldstrafe von 5 Millionen Euro belegt. Grund dafür sind die illegale Verarbeitung personenbezogener Daten, Verstöße gegen Transparenzregeln und das Fehlen wirksamer Mechanismen zur Überprüfung des Alters der Nutzer.

Die polnische Datenschutzbehörde (APD) hat den polnischen Digitalisierungsminister mit einer Geldstrafe von 100.000 PLN (23.448,50 €) und die polnische Post mit einer Geldstrafe von 27.124.816 PLN (6.444.174 €) belegt, weil sie die personenbezogenen Daten von etwa 30 Millionen Bürgern illegal verarbeitet hatten, um die Briefwahl bei einer Parlamentswahl zu ermöglichen.

 

Die australische Regierung hat Standardklauseln zum Thema KI veröffentlicht.

Diese Klauseln gelten für die Kaufbedingungen von KI-Systemen und gewährleisten deren verantwortungsvollen, ethischen und sicheren Erwerb und Einsatz. Sie zielen darauf ab, Risiken zu minimieren und Transparenz und Verantwortlichkeit beim KI-Einsatz zu fördern.

Ein am 5. Juni von Privacy Laws and Business veröffentlichter Bericht zeigt, dass viele afrikanische Länder Gesetze zum Schutz personenbezogener Daten einführen, und zwar in einem sozioökonomischen Umfeld, das sich völlig von dem Europas oder Nordamerikas unterscheidet.

„Afrika ist der führende Kontinent für die Nutzung von mobilen Zahlungsdiensten mit über 1,1 Milliarden registrierten Konten, was mehr als der Hälfte des weltweiten Gesamtbestands entspricht. Folglich unterscheiden sich die Prioritäten der Datenschutzpolitik in afrikanischen Ländern zwangsläufig von denen in europäischen Ländern.“

Für den Autor bedeutet dieser unterschiedliche sozioökonomische Kontext, dass die EU bei der Beurteilung der „Eignung“ für Kenia und andere Länder in Afrika, Asien und Lateinamerika die nationalen Gegebenheiten bis zu einem gewissen Grad berücksichtigen sollte.

Der Präsident der Vereinigten Staaten unterzeichnete am 19. Mai den „Take It Down Act“, ein Gesetz, dessen Ziel es ist, nicht einvernehmliche intime Bilder zu blockieren und das auch KI-generierte „Deepfakes“ umfasst.

„Take It Down“ ist das Akronym für „Tools to Address Known Exploitation by Immobilizing Technological Deepfakes On Websites and Networks Act“.

Google hat sich bereit erklärt, 1,375 Milliarden Dollar an den Bundesstaat Texas zu zahlen, um zwei Klagen beizulegen, in denen dem Unternehmen vorgeworfen wurde, ohne Zustimmung der Nutzer deren Standorte, „inkognito“-Suchen sowie Sprach- und Gesichtsdaten zu verfolgen.

Das Unternehmen erklärte angeblich, es schließe den Rechtsstreit bei, ohne ein Verschulden oder eine Verantwortung einzugestehen, ohne seine Produkte ändern zu müssen, und dass sich seine Geschäftspraktiken seit den Ereignissen weiterentwickelt hätten.

Unterdessen zeigen Forschungsergebnisse, die am 3. Juni veröffentlicht wurden, dass Meta und das russische Unternehmen Yandex das Surfverhalten von Android-Nutzern auch im Inkognito-Modus oder mit einem VPN verfolgen, indem sie einen lokalen Port ausnutzen, um die Surfaktivitäten mit der verbundenen Identität zu verknüpfen.

Google gibt an, diesen Missbrauch zu untersuchen, der es Meta und Yandex ermöglicht, flüchtige Web-Kennungen in dauerhafte Identitäten von Nutzern mobiler Apps umzuwandeln.