Aktuelles & Einordnung

Wichtige Entwicklungen. Einfach erklärt.

Wir erklären relevante Neuigkeiten zu Datenschutz, KI-Governance und Hinweisgeberschutz ausführlich und in verständlicher Sprache. Zusätzlich zeigen wir, was die Entwicklung für Unternehmen und öffentliche Stellen praktisch bedeuten kann. Jeder Beitrag führt direkt zur offiziellen Quelle.

  • Geprüfte Primärquellen
  • Verständliche eigene Erklärungen
  • Direkte Links zum Original

Seit Januar 2026 · chronologisch sortiert

Aktuelle Beiträge

Datenschutz

Amtliche europäische Rechtsprechung

EuGH begrenzt die journalistische Ausnahme bei Online-Datenbanken

Der Europäische Gerichtshof hat über eine kostenpflichtige Internetdatenbank entschieden, in der nach Personen gesucht und strafrechtliche Verurteilungen abgerufen werden konnten. Die bloße entgeltliche Veröffentlichung solcher Entscheidungen stellt nach dem Urteil grundsätzlich noch keine Verarbeitung zu journalistischen Zwecken dar. Die datenschutzrechtlichen Schutzregeln und Rechtsbehelfe können deshalb weiterhin anwendbar sein.

Das Urteil ist kein allgemeines Verbot, Gerichtsentscheidungen online bereitzustellen. Entscheidend bleiben Zweck, redaktionelle Bearbeitung, Ausgestaltung des Angebots und die Abwägung mit der Meinungs- und Informationsfreiheit. Der konkrete Ausgangsfall muss nun anhand dieser Vorgaben weiter beurteilt werden.

Was bedeutet das in der Praxis?

Betreiber durchsuchbarer Veröffentlichungsportale sollten sich nicht allein auf die Bezeichnung „journalistisch“ verlassen. Sie benötigen eine nachvollziehbare Zweck- und Interessenabwägung sowie klare Verfahren für Auskunft, Widerspruch, Löschung und Aufbewahrungsfristen.

KI

Offizielle europäische Quelle

EU bestätigt Praxiskodex zur Kennzeichnung von KI-Inhalten

Die Europäische Kommission und der europäische KI-Ausschuss haben den freiwilligen Praxiskodex zur Kennzeichnung von KI-Inhalten als geeignet bewertet. Er soll Anbietern und Betreibern generativer KI helfen, die Transparenzpflichten aus Artikel 50 der KI-Verordnung umzusetzen. Dabei geht es insbesondere um maschinenlesbare Markierungen sowie um sichtbare Hinweise bei Deepfakes und bestimmten KI-erzeugten oder KI-veränderten Texten zu Themen von öffentlichem Interesse.

Die betreffenden Transparenzpflichten gelten ab dem 2. August 2026. Eine Teilnahme am Kodex ist freiwillig und erleichtert die Orientierung. Sie beweist aber nicht automatisch, dass jede einzelne Nutzung der KI rechtskonform ist. Entscheidend bleiben der konkrete Inhalt, die Rolle der Organisation und die Art der Veröffentlichung.

Was bedeutet das in der Praxis?

Organisationen sollten erfassen, wo sie KI-erzeugte oder KI-veränderte Inhalte veröffentlichen. Für betroffene Fälle braucht es klare Kennzeichnungen, Zuständigkeiten und Freigaben.

Datenschutz KI

Offizielle europäische Quelle

EDSA veröffentlicht Leitlinien zu Anonymisierung und Web-Scraping für generative KI

Der Europäische Datenschutzausschuss (EDSA) hat neue Leitlinien zur Anonymisierung und zum automatisierten Sammeln von Internetdaten für generative KI beschlossen. Für anonyme Daten nennt der EDSA drei zentrale Prüfungen: Einzelne Personen dürfen nicht herausgegriffen, verschiedene Datensätze nicht miteinander verbunden und persönliche Informationen nicht wieder abgeleitet werden können. Sind diese Bedingungen nicht erfüllt, kann weiterhin die DSGVO gelten.

Beim sogenannten Web-Scraping dürfen öffentlich auffindbare Daten nicht einfach als frei verwendbar behandelt werden. Sobald personenbezogene Daten gesammelt, gespeichert oder für ein KI-Modell genutzt werden, müssen unter anderem Rechtsgrundlage, Zweck, Transparenz, Datenminimierung und Richtigkeit geprüft werden. Für besonders sensible Daten gelten zusätzliche Hürden. Die beiden Leitlinien befinden sich bis zum 30. Oktober 2026 in der öffentlichen Konsultation und sind deshalb noch nicht endgültig.

Was bedeutet das in der Praxis?

Wer Daten für KI-Projekte sammelt oder von Anbietern beziehen lässt, sollte Quellen, Zeitpunkt, Zweck und Rechtsgrundlage dokumentieren. Sensible Daten müssen möglichst früh erkannt, gefiltert und besonders geschützt werden.

KI

Offizielle europäische Quelle

EU legt Aktionsplan für Cybersicherheit bei fortgeschrittener KI vor

Die Europäische Kommission will die sichere Nutzung fortgeschrittener KI-Modelle stärker mit der europäischen Cybersicherheitsstrategie verbinden. Geplant sind unter anderem zusätzliche Möglichkeiten zur Bewertung von KI-Modellen, ein Konzept für den sicheren Zugang zu leistungsfähiger KI und eine Testumgebung für besonders wichtige Bereiche wie Energie, Verkehr, Gesundheit, Finanzwesen und öffentliche Verwaltung.

Der Aktionsplan ergänzt bestehende Regelwerke wie die KI-Verordnung, NIS2 und den Cyber Resilience Act. Er führt für einzelne Organisationen nicht unmittelbar neue Pflichten ein. Er zeigt jedoch, dass Sicherheit, Resilienz und kontrollierte Tests bei der Einführung von KI weiter an Bedeutung gewinnen.

Was bedeutet das in der Praxis?

Bei neuen KI-Systemen sollten nicht nur Zweck und Rechtsgrundlagen, sondern auch Modellzugriffe, mögliche Angriffe, Abhängigkeiten vom Anbieter, Testverfahren und Reaktionen auf Sicherheitsvorfälle dokumentiert werden.

Datenschutz

Offizielle europäische Quelle

EDSA zeigt häufige Fehler bei Löschung und Widerspruch

Der Europäische Datenschutzausschuss hat seine europaweite Fallauswertung zu Löschungs- und Widerspruchsrechten aktualisiert. Sie fasst wichtige Entscheidungen der Aufsichtsbehörden zusammen und zeigt, wie interne Abläufe zur Bearbeitung dieser Rechte bewertet werden. Behandelt werden beispielsweise Widersprüche gegen Direktwerbung und die Löschung von Konten oder Onlineprofilen.

Die Auswertung beschreibt wiederkehrende Verstöße und die von Behörden angeordneten Maßnahmen. Sie ist keine neue Rechtsvorschrift, bietet aber eine praktische Orientierung dafür, welche organisatorischen Schwächen bei der Bearbeitung von Betroffenenrechten besonders häufig auffallen.

Was bedeutet das in der Praxis?

Organisationen sollten Eingang, Identitätsprüfung, Zuständigkeit, Frist, Entscheidung und tatsächliche Umsetzung eines Löschungs- oder Widerspruchsantrags durchgängig dokumentieren. Eine Antwort allein genügt nicht, wenn die Löschung in den beteiligten Systemen ausbleibt.

Datenschutz

Offizielle deutsche Quelle

Datenschutzkonferenz legt „Stuttgarter Impulse“ zur Modernisierung des Datenschutzes vor

Die Datenschutzaufsichtsbehörden der Länder formulieren zehn Vorschläge zur Modernisierung der Aufsicht und fünf Kernthesen zum materiellen Datenschutzrecht. Vorgeschlagen werden unter anderem eine gesetzliche Verankerung der Datenschutzkonferenz, verbindlichere Abstimmungen, ein zentrales digitales Zugangsportal und gebündelte Spezialkompetenzen. Ziel sind mehr Orientierung, einheitlichere Verfahren und weniger Doppelarbeit.

Außerdem sprechen sich die Behörden für verständlichere Regeln, mehr Rechtssicherheit und eine stärkere Verantwortung der Hersteller digitaler Produkte aus. Die „Stuttgarter Impulse“ sind politische Vorschläge der Aufsichtsbehörden. Sie ändern die DSGVO oder das deutsche Datenschutzrecht nicht unmittelbar. Sie zeigen aber, in welche Richtung sich Aufsicht und Gesetzgebung aus Sicht der deutschen Behörden entwickeln sollten.

Was bedeutet das in der Praxis?

Aktuell entsteht daraus keine neue Pflicht. Unternehmen und öffentliche Stellen sollten ihre Datenschutzdokumentation trotzdem einheitlich, digital auffindbar und klar zugeordnet halten – genau diese Arbeitsweise wird voraussichtlich weiter an Bedeutung gewinnen.

Datenschutz

Offizielle europäische Quelle

Einheitliche EU-Vorlage für die Meldung von Datenschutzverletzungen

Der EDSA hat eine gemeinsame Vorlage für Meldungen nach Artikel 33 DSGVO veröffentlicht. Sie soll Organisationen helfen, Datenpannen strukturiert und vollständig an die zuständige Datenschutzaufsichtsbehörde zu melden. Die Vorlage enthält vorgegebene Auswahlmöglichkeiten und Erläuterungen zu den benötigten Angaben. Dadurch sollen Meldungen in Europa verständlicher und einheitlicher werden.

Die Vorlage wird noch bis zum 5. August 2026 öffentlich beraten. Danach wird festgelegt, wann und wie sie von den Aufsichtsbehörden praktisch eingesetzt wird. Die bereits geltenden Regeln ändern sich dadurch nicht: Eine meldepflichtige Datenschutzverletzung muss grundsätzlich unverzüglich und möglichst innerhalb von 72 Stunden gemeldet werden.

Was bedeutet das in der Praxis?

Der interne Ablauf für Datenpannen sollte die Felder der neuen EU-Vorlage bereits berücksichtigen. Wichtig bleiben eine sofortige interne Eskalation, eine dokumentierte Risikobewertung und eine klare Entscheidung, wer die 72-Stunden-Frist überwacht.

Hinweisgeberschutz

Amtliches EU-Recht

Neue EU-Antikorruptionsrichtlinie stärkt den Bezug zum Hinweisgeberschutz

Die neue EU-Richtlinie zur Korruptionsbekämpfung ist am 31. Mai 2026 in Kraft getreten. Sie schafft gemeinsame Mindestregeln für Korruptionsdelikte in öffentlichen und privaten Bereichen. Erfasst werden unter anderem Bestechung, Veruntreuung, unerlaubte Einflussnahme, Behinderung der Justiz und bestimmte Formen der Verschleierung oder Bereicherung aus Korruption.

Die Richtlinie stellt außerdem klar, dass Meldungen über solche Delikte und der Schutz der meldenden Personen mit dem europäischen Hinweisgeberschutz zusammengedacht werden müssen. Als EU-Richtlinie muss sie zunächst in nationales Recht umgesetzt werden. Allein durch ihr Inkrafttreten ändern sich die Abläufe einer deutschen internen Meldestelle daher nicht sofort.

Was bedeutet das in der Praxis?

Interne Meldestellen sollten Korruptionshinweise eindeutig erkennen, vertraulich bearbeiten und an die zuständigen Funktionen weiterleiten können. Meldekanal, Fallbearbeitung, Schutz vor Benachteiligung und Antikorruptionsorganisation sollten miteinander abgestimmt sein.

KI

Offizielle europäische Quelle · politische Einigung

EU einigt sich auf geänderten Zeitplan für Hochrisiko-KI

Das Europäische Parlament und der Rat haben eine politische Einigung über Vereinfachungen der KI-Regeln und einen angepassten Zeitplan erzielt. Danach sollen Vorschriften für bestimmte Hochrisikobereiche – darunter Biometrie, kritische Infrastruktur, Bildung, Beschäftigung und Migration – ab dem 2. Dezember 2027 gelten. Für Hochrisiko-KI in bestimmten Produkten ist der 2. August 2028 vorgesehen.

Eine politische Einigung ist noch nicht dasselbe wie eine endgültig verkündete Gesetzesfassung. Bis zum Abschluss des Gesetzgebungsverfahrens können sich Einzelheiten ändern. Unverändert wichtig bleiben die bereits geltenden Teile der KI-Verordnung und eine rechtzeitige Vorbereitung auf kommende Anforderungen.

Was bedeutet das in der Praxis?

Organisationen sollten ihre KI-Systeme weiterhin erfassen und vorläufig einordnen. Projektpläne dürfen die genannten Termine berücksichtigen, sollten aber bis zur endgültigen Veröffentlichung als veränderlich gekennzeichnet und regelmäßig überprüft werden.

Datenschutz

Offizielle europäische Quelle

EDSA veröffentlicht einheitliche Vorlage für Datenschutz-Folgenabschätzungen

Der EDSA hat erstmals eine europaweit einheitlich gedachte Vorlage für Datenschutz-Folgenabschätzungen veröffentlicht. Eine solche Prüfung ist erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für Menschen verursacht. Die Vorlage führt schrittweise durch die Beschreibung der Verarbeitung, die Prüfung der Notwendigkeit und die Bewertung möglicher Folgen für die Rechte und Freiheiten betroffener Personen.

Ergänzt wird die Vorlage durch ein Erklärdokument in möglichst einfacher Sprache. Ihre Nutzung ist derzeit nicht verpflichtend. Nach Abschluss der Konsultation sollen die europäischen Aufsichtsbehörden die Vorlage als gemeinsamen Standard oder als Grundlage für nationale Vorlagen verwenden.

Was bedeutet das in der Praxis?

Die Vorlage eignet sich bereits jetzt als Vollständigkeitskontrolle – etwa bei KI, Videoüberwachung oder umfangreicher Verarbeitung sensibler Daten. Eine bloß ausgefüllte Vorlage ersetzt jedoch nicht die konkrete Risikoanalyse und die Festlegung wirksamer Schutzmaßnahmen.

Datenschutz KI

Offizielle deutsche Aufsichtsbehörde

Neue Orientierungshilfe für KI-Projekte in der öffentlichen Verwaltung

Der Bayerische Landesbeauftragte für den Datenschutz hat eine umfangreiche Orientierungshilfe für KI-Projekte in öffentlichen Stellen veröffentlicht. Sie verbindet Anforderungen der europäischen KI-Verordnung mit dem bereits geltenden Datenschutzrecht. Im Mittelpunkt stehen nachvollziehbare Entscheidungen, ein klarer Zweck, eine tragfähige Rechtsgrundlage und ein Schutzkonzept für personenbezogene Daten.

Die Veröffentlichung richtet sich unmittelbar an bayerische öffentliche Stellen. Viele Arbeitsschritte lassen sich aber auch auf andere Verwaltungen übertragen. Die Behörde kündigt außerdem kurze Ergänzungen zu konkreten KI-Einsatzfällen an. Die Orientierungshilfe ist keine Genehmigung für ein bestimmtes System; jedes Vorhaben muss weiterhin einzeln bewertet werden.

Was bedeutet das in der Praxis?

Vor der Beschaffung oder Freigabe eines KI-Systems sollten Zweck, Datenarten, Anbieter, Rollen, Rechtsgrundlagen, menschliche Kontrolle, Risiken und technische Schutzmaßnahmen gemeinsam dokumentiert werden. Datenschutz darf nicht erst nach dem technischen Start geprüft werden.

Datenschutz

Offizielle europäische Quelle

Datenschutzaufsichten prüfen 2026 Informations- und Transparenzpflichten

25 europäische Datenschutzaufsichtsbehörden beteiligen sich 2026 an einer koordinierten Prüfung der Informationspflichten nach Artikel 12 bis 14 DSGVO. Untersucht wird, ob Verantwortliche verständlich, vollständig und rechtzeitig darüber informieren, wie personenbezogene Daten verarbeitet werden. Je nach Behörde erfolgen Befragungen, Sachverhaltsprüfungen oder Aufsichtsmaßnahmen.

Die europaweiten Ergebnisse sollen später zusammengeführt und ausgewertet werden. Die gesetzlichen Pflichten sind nicht neu. Der gemeinsame Prüfungsschwerpunkt erhöht aber die praktische Bedeutung aktueller und zur tatsächlichen Verarbeitung passender Datenschutzhinweise.

Was bedeutet das in der Praxis?

Datenschutzhinweise sollten mit Verzeichnissen, eingesetzten Dienstleistern und realen Abläufen abgeglichen werden. Besonders wichtig sind klare Zwecke, Rechtsgrundlagen, Empfänger, Speicherfristen, Betroffenenrechte und leicht verständliche Kontaktwege.

Datenschutz

Offizielle europäische Quelle

Europaweite Prüfung zeigt Schwächen bei der Bearbeitung von Löschanträgen

32 europäische Datenschutzaufsichtsbehörden haben untersucht, wie 764 Unternehmen und öffentliche Stellen das Recht auf Löschung umsetzen. Dabei zeigten sich wiederkehrende Probleme: fehlende interne Abläufe, unvollständige Informationen für betroffene Personen und Unsicherheiten bei der Frage, wann Daten tatsächlich gelöscht werden müssen oder weiter gespeichert werden dürfen.

Weitere Schwierigkeiten betrafen Aufbewahrungsfristen, Daten in Sicherungskopien und den Versuch, Daten nur zu anonymisieren, obwohl die Anonymisierung nicht wirksam war. Das Recht auf Löschung gilt nicht ausnahmslos. Wird ein Antrag abgelehnt oder nur teilweise erfüllt, muss die Entscheidung aber nachvollziehbar geprüft, begründet und dokumentiert werden.

Was bedeutet das in der Praxis?

Organisationen sollten ihren Löschprozess praktisch testen: Wer nimmt Anträge an, welche Systeme und Auftragsverarbeiter werden durchsucht, welche Fristen gelten und wie werden Backups behandelt? Ausnahmen müssen für den Einzelfall belegt werden können.

Datenschutz

Offizielle deutsche Quelle

BfDI startet „ReguLab“ für frühe Datenschutzklärung bei Innovationen

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit startet mit dem „ReguLab“ ein neues Beratungsformat für datenbasierte Innovationen. Ausgewählte reale Anwendungsfälle sollen früh gemeinsam mit der Aufsicht betrachtet werden. Ziel ist, offene Datenschutzfragen nicht erst nach Entwicklung oder Markteinführung zu klären, sondern bereits während der Planung einer technischen Lösung.

Handlungsempfehlungen und datenschutzgerechte Lösungswege aus den Projekten sollen auch öffentlich zugänglich gemacht werden. Das ReguLab ist nicht mit einem KI-Reallabor nach der KI-Verordnung gleichzusetzen und ersetzt weder die eigene Verantwortlichkeit noch eine erforderliche Datenschutzprüfung.

Was bedeutet das in der Praxis?

Das Angebot zeigt einen wichtigen Grundsatz: Neue digitale Verfahren sollten rechtlich und organisatorisch geprüft werden, solange Gestaltung noch möglich ist. Nachträgliche Korrekturen sind meist teurer und technisch schwieriger.

Datenschutz KI

Offizielle europäische Quelle

Datenschutzbehörden ordnen geplante Vereinfachungen der KI-Verordnung ein

EDSA und Europäischer Datenschutzbeauftragter haben gemeinsam zum geplanten „Digital Omnibus on AI“ Stellung genommen. Die EU-Kommission möchte damit einzelne Abläufe der KI-Verordnung vereinfachen. Die Datenschutzbehörden unterstützen weniger Bürokratie und europäische Reallabore, warnen aber davor, Schutzrechte und nachvollziehbare Verantwortlichkeiten abzuschwächen.

Besonders wichtig sind aus ihrer Sicht die Beteiligung der Datenschutzaufsicht, eine enge Begrenzung der Verarbeitung sensibler Daten zur Erkennung von Verzerrungen, die Registrierung möglicherweise hochriskanter Systeme und die Pflicht zur KI-Kompetenz der Beschäftigten. Es handelt sich um eine Stellungnahme zu einem Gesetzgebungsvorschlag – nicht um bereits geltendes neues Recht.

Was bedeutet das in der Praxis?

Organisationen sollten laufende KI-Inventare, Rollen, Schulungen und Risikoprüfungen nicht mit Hinweis auf mögliche Vereinfachungen stoppen. Erst ein endgültig beschlossenes Gesetz kann konkrete Pflichten oder Fristen verändern.

Unser Umgang mit Quellen

Verständlich eingeordnet, transparent belegt.

Die Zusammenfassungen sind redaktionelle Einordnungen von VB-Datenschutz und ersetzen nicht den Inhalt der verlinkten Originalquelle oder eine rechtliche Beratung. Maßgeblich bleibt stets die jeweilige Veröffentlichung der Behörde, Institution oder des Gerichts.