Datenschutz87. Weblaw Rundmail Datenschutz

Vermitteln der Fähigkeiten zur Ausübung der Funktion der Datenschutzberatenden

03. September 2027 (Dauer: 15 Wochen), Unterricht: Freitag
Winterthur, Zürcher Hochschule für Angewandte Wissenschaften

Wir bilden Expert:innen aus: Weiterbildung für Fachkräfte mit nachgewiesener Datenschutzgrundbildung, die ihre Expertise vertiefen möchten

Start: 12. März 2027 (Dauer: ca. 6 Monate, 14 Kurstage , + 1 Tag Präsentationen)
Winterthur, Zürcher Hochschule für Angewandte Wissenschaften

Künstliche Intelligenz verändert den Profifussball grundlegend: Automatisierte Spielerbewertungssysteme wie jenes von Olocip ermöglichen datenbasierte Scouting- und Transferentscheidungen. Diese Arbeit untersucht am Beispiel der Kooperation des FC St. Gallen mit Olocip, unter welchen datenschutzrechtlichen Voraussetzungen solche Systeme nach dem Schweizer DSG zulässig sind. Im Zentrum stehen die Einordnung als Profiling mit hohem Risiko gemäss Art. 5 lit. g DSG, die Anforderungen an Rechtfertigung und Einwilligung sowie die Pflicht zur Datenschutz-Folgeabschätzung. Die Analyse zeigt, dass ein datenschutzkonformer Einsatz möglich ist, jedoch ein kontinuierliches Risikomanagement und bei Gesundheitsdaten eine ausdrückliche Einwilligung erfordert.

Der Beitrag untersucht die Auswirkungen der Verschlüsselung auf den Personenbezug von Daten im Lichte der aktuellen Rechtsprechung des EuGH, insbesondere dessen Urteil in der Rechtssache EDSB/SRB. Der Beitrag zeigt auf, dass die dort entwickelten Grundsätze auf die Verschlüsselung von personenbezogenen Daten übertragbar sind, indem die technischen Grundlagen symmetrischer und asymmetrischer Verschlüsselung sowie deren Sicherheitseigenschaften dargestellt und mit der Begriffsbestimmung der personenbezogenen Daten verknüpft werden. Darauf aufbauend wird dargelegt, wie die Beurteilung des Personenbezugs verschlüsselter Daten anhand der Rechtsprechung des EuGH zu erfolgen hat.

Der EuGH hat sich in seinem SRB-Urteil vom 4. Oktober 2025 erfreulich deutlich zum Personenbezug von Daten geäussert. Die Entscheidung reiht sich in die bisherige Rechtsprechung des EuGH zum Personenbezug von Daten ein und hat grosse, wenn auch noch umstrittene Folgen für die Praxis. Der Vortrag zielt darauf ab, das Urteil des EuGHs zum Personenbezug von Daten vorzustellen, in den Kontext bisheriger Rechtsprechung zu setzen und seine Implikationen für die Praxis zu skizzieren.

Dieser Artikel untersucht die rechtlichen Herausforderungen der Videoüberwachung im Zusammenhang mit der Verarbeitung besonderer Kategorien personenbezogener Daten gemäss Art. 9 DSGVO. Er analysiert die Auswirkungen aktueller Gerichtsentscheidungen, insbesondere des EuGHs im Fall «Lindenapotheke», welche die Annahme der Existenz sensibler Daten erweitern. Die Untersuchung beleuchtet den Konflikt zwischen dem starken Bedürfnis nach privater Videoüberwachung und den strengen Datenschutzanforderungen aufgrund der nun notwendigen Neueinstufung dabei entstehender Bilddaten als «besondere Kategorien». Zudem werden die Grenzen bestehender rechtlicher Rahmenbedingungen, die Unzulänglichkeit der nationalen Regelung aufgrund Widerspruchs zur DSGVO, sowie der daraus folgende Bedarf legislativer Anpassung thematisiert.

Der Beitrag ordnet die Offenlegungspflichten der Art. 4 und 5 Data Act systematisch in das Gefüge der DSGVO ein. Datenherausgaben können grundsätzlich auf Art. 6 Abs. 1 lit c DSGVO gestützt werden, da der Data Act unionsrechtliche rechtliche Verpflichtungen begründet. Bei personenbezogenen Daten Dritter entsteht eine begrenzte Plausibilisierungspflicht des Dateninhabers, die sich an einem relativen Personenbezug orientiert und als ex-ante-Prüfung auszugestalten ist. Daraus ergibt sich ein praktikables, risikobasiertes Modell für datenschutzkonforme Datenzugänge.

Dark patterns, manipulative interface designs that steer users toward unintended decisions pose growing challenges at the intersection of data protection and consumer law. This paper examines the German regulatory approach to addressing dark patterns, focusing on how consumer-protection rules and data-protection principles interact in enforcement and adjudication. It analyses the role of the Digital Services Act and its national implementation through the Digitale-Dienste-Gesetz, alongside established instruments such as the Unfair Commercial Practices framework and the GDPR. Particular attention is paid to recent German case law and enforcement practices, which illustrate how courts and authorities navigate overlapping regulatory regimes. The paper argues that Germany’s combination of strong private enforcement and coordinated public oversight offers a pragmatic model for addressing manipulative design practices while broader EU initiatives, including the proposed Digital Fairness Act, remain under development.

Elterliche Trennungskonflikte werden zunehmend über digitale Kanäle ausgetragen. Öffentliche Posts, Kampagnen und massenmediale Anschlusskommunikation können die kindliche Privatsphäre irreversibel beschädigen. Der Autor untersucht, unter welchen Voraussetzungen diese digitale Exposition eine eigenständige Kindeswohlgefährdung nach Art. 307 Abs. 1 ZGB darstellt. Er entwickelt Prüfungsachsen, ein abgestuftes Massnahmenmodell und ordnet die Problematik grundrechtlich, datenschutzrechtlich und rechtsphilosophisch resp. -soziologisch ein.

Dokumente im Zusammenhang mit der Informationsbeschaffung des Nachrichtendienstes (NDB) sind grundsätzlich vom Öffentlichkeitsprinzip ausgenommen (Art. 67 NDG). Dabei ist der Begriff der Informationsbeschaffung weit auszulegen und umfasst auch die anschliessende Datenbearbeitung.

Dies gilt unabhängig davon, ob die betreffende Datenbearbeitung rechtmässig ist. Ein Zugang zu entsprechenden Unterlagen kann daher grundsätzlich verweigert werden, insbesondere wenn Rückschlüsse auf operative oder technische Fähigkeiten möglich wären.

Allerdings ist ein teilweiser Zugang zu gewähren, soweit Inhalte nicht die Informationsbeschaffung betreffen – etwa rein rechtliche Ausführungen ohne operativen Bezug.

Das Bundesverwaltungsgericht befasst sich als erstes Gericht in der Schweiz mit der Melde- und Informationspflicht bei Datensicherheitsverletzungen (Art. 24 DSG). Anlass war ein Data Breach bei einem Onlineshop, bei dem Kundendaten von rund 19’000 Personen über Suchmaschinen auffindbar waren. Das Gericht stellt klar, dass eine Datensicherheitsverletzung bereits dann vorliegt, wenn die blosse Möglichkeit eines unbefugten Zugriffs besteht. Besteht ein hohes Risiko – etwa durch die Offenlegung sensibler Daten wie IBAN oder Adressen –, sind Betroffene zu informieren. Ist eine individuelle Benachrichtigung nicht möglich oder unverhältnismässig, kann eine öffentliche Bekanntmachung genügen. Reputationsinteressen des Verantwortlichen vermögen diese Pflicht nicht zu relativieren.

Der Europäische Datenschutzbeauftragte (EDPS) blickt im Jahresbericht 2025 auf ein Jahr zurück, das durch die Umsetzung seines erweiterten Mandats geprägt war, insbesondere im Kontext neuer digitaler Regulierungen.

Ein Schwerpunkt lag auf künstlicher Intelligenz: Der EDPS baute seine Aktivitäten in diesem Bereich deutlich aus, u.a. durch die Stärkung entsprechender Strukturen und die Vorbereitung auf neue Aufgaben im Rahmen des AI Acts.

Zugleich erreichte die Beratungstätigkeit gegenüber dem EU-Gesetzgeber ein Rekordniveau (insbesondere bei legislativen Konsultationen), während die Aufsicht über internationale Datentransfers und grosse IT-Systeme intensiviert wurde.

Der Bericht unterstreicht zudem die zunehmende Bedeutung von Technologiebeobachtung und vorausschauender Regulierung, um den Herausforderungen neuer digitaler Entwicklungen wirksam zu begegnen.

Der Bericht des Europäischen Datenschutzausschusses (EDPB) zur koordinierten Aufsichtstätigkeit zeigt, dass die Übermittlung und Verarbeitung personenbezogener Daten von Minderjährigen (insb. unter 15 Jahren) durch Strafverfolgungsbehörden und Europol besonderen rechtlichen Grenzen unterliegt.

Nach der Europol-Verordnung ist eine solche Verarbeitung nur zulässig, wenn sie strikt erforderlich und verhältnismässig zur Verhütung oder Bekämpfung schwerer Kriminalität ist.

Die koordinierte Prüfung durch mehrere Aufsichtsbehörden (CSC) verdeutlicht die Notwendigkeit einer einheitlichen und strengen Anwendung der Datenschutzvorgaben, insbesondere zum Schutz besonders vulnerabler Personengruppen wie Minderjährigen.

Mit Inkrafttreten des deutschen Datenverordnungs-Anwendungs- und Durchsetzungsgesetzes (DADG) am 30. Mai 2026 erhält die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine neue gesetzliche Zuständigkeit für die Aufsicht über den Datenschutz im Anwendungsbereich des Data Act.

Die BfDI überwacht dabei die Verarbeitung personenbezogener Daten im Zusammenhang mit datengetriebenen Geschäftsmodellen und vernetzten Produkten, während die allgemeine Durchsetzung des Data Act im Übrigen bei anderen Behörden (insb. der Bundesnetzagentur) liegt.

Zugleich bleibt die DSGVO weiterhin uneingeschränkt anwendbar, sodass sich eine parallele Anwendung beider Regelwerke ergibt und entsprechende Abstimmungsbedarfe zwischen den Behörden entstehen können.

Der 34. Tätigkeitsbericht der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zeigt, dass Künstliche Intelligenz, staatliche Sicherheitsbefugnisse und digitale Verwaltung zentrale datenschutzrechtliche Brennpunkte des Jahres 2025 waren.

Ein besonderer Schwerpunkt liegt auf dem Einsatz von KI-Systemen in Verwaltung und Wirtschaft, bei denen Transparenz, Zweckbindung und Rechtsgrundlagen häufig unzureichend geklärt sind. Die BfDI betont die Notwendigkeit klarer rechtlicher Rahmenbedingungen und datenschutzkonformer Implementierungen.

Im Bereich der Sicherheitsbehörden kritisiert die BfDI eine zunehmende Ausweitung von Überwachungsbefugnissen und fordert strengere Verhältnismässigkeitsprüfungen sowie effektive Kontrollmechanismen.

Auch die Digitalisierung der öffentlichen Verwaltung bringt neue Herausforderungen mit sich, insbesondere hinsichtlich Datensicherheit, Zugriffskontrollen und föderaler Zuständigkeitsverteilung.

Das OVG Nordrhein-Westfalen hat entschieden, dass ein Interessenverband deutscher Online-Unternehmen keinen Anspruch auf Eintragung in die Liste qualifizierter Wirtschaftsverbände nach dem UWG hat. Die Eintragung ist seit der Reform zur Eindämmung von Abmahnmissbrauch Voraussetzung für wettbewerbsrechtliche Verbandsklagen. Nach Auffassung des Gerichts bestehen nicht ausgeräumte Zweifel, ob der Verband seine Ansprüche künftig sachgerecht und nicht vorwiegend zur Erzielung von Einnahmen aus Abmahnungen oder Vertragsstrafen geltend machen wird. Die Entscheidung stärkt die präventive Kontrolle kollektiver Rechtsdurchsetzung und betont, dass erhöhte Anforderungen an klagebefugte Wirtschaftsverbände verfassungs- und unionsrechtlich zulässig sind. Die Revision wurde nicht zugelassen.

Der Tätigkeitsbericht Datenschutz 2025 der LfD Brandenburg zeigt eine klare Schwerpunktsetzung auf KI-gestützte Verwaltung, digitale Leistungsgewährung und Überwachungspraxis. Im Zentrum stehen die fortgeltenden Anforderungen der DS-GVO bei KI-Anwendungen: Rechtsgrundlage, Erforderlichkeit, Zweckbindung, Datenminimierung, Transparenz, Auftragsverarbeitung, technische und organisatorische Massnahmen sowie Datenschutz-Folgenabschätzung. Die KI-Verordnung ergänzt diese Prüfung, ersetzt sie aber nicht.

Besonders praxisrelevant sind KI-Assistenzsysteme in Landesverwaltung, Schule, Wohngeldverfahren und Plattformökonomie. Pauschale Interessenabwägungen, unklare Verantwortlichkeiten und blosse Nutzungshinweise genügen nach der LfD nicht. Daneben behandelt der Bericht klassische Vollzugsthemen wie Videoüberwachung, Mieterdaten, Fehlversand, Microsoft 365, Bezahlkarte für Geflüchtete sowie Informationssicherheit bei Polizei und Justizvollzug. Insgesamt profiliert sich eine Aufsichtslinie, die Digitalisierung ermöglicht, sie aber strikt an Nachweisbarkeit, Risikoangemessenheit und grundrechtlicher Erforderlichkeit misst.

Das Kammergericht Berlin hat die Abhilfeklage der Stichting Onderzoek Marktinformatie gegen X wegen behaupteter Datenschutzverletzungen als unzulässig abgewiesen. Die geltend gemachten Ansprüche seien für eine kollektive Rechtsverfolgung nach dem VDuG nicht hinreichend gleichartig, weil ein DSGVO-Schadensersatzanspruch einen individuell festzustellenden Schaden voraussetzt. Zwar kann bereits der Kontrollverlust über personenbezogene Daten einen Schaden begründen; Umfang, Dauer, psychische Belastungen oder missbräuchliche Drittverwendungen hängen jedoch von den Umständen des jeweiligen Nutzers ab. Die Entscheidung begrenzt damit die kollektive Durchsetzung pauschalierter Datenschutzschäden, ohne den immateriellen Schadensbegriff der DSGVO grundsätzlich zu verengen. Die Entscheidung ist noch nicht rechtskräftig.

Die Europäische Kommission hat vorläufig festgestellt, dass Meta mit Instagram und Facebook gegen den Digital Services Act verstösst, weil Minderjährige unter 13 Jahren nicht wirksam vom Zugang zu den Diensten ausgeschlossen werden. Nach Auffassung der Kommission genügen Metas Altersangaben- und Meldeprozesse nicht, um die eigenen Nutzungsbedingungen durchzusetzen und Risiken für Kinder angemessen zu bewerten und zu mindern. Besonders relevant ist der aufsichtsrechtliche Massstab: Plattformregeln dürfen nicht nur deklaratorisch bestehen, sondern müssen durch wirksame, verhältnismässige und datenschutzfreundliche Age-Assurance-Mechanismen operationalisiert werden. Bei Bestätigung der vorläufigen Feststellungen drohen Massnahmen nach dem DSA, einschliesslich Geldbussen von bis zu 6% des weltweiten Jahresumsatzes.

Der Entwurf einer Digitalstrategie des Deutschen Bundestages versteht digitale Transformation als Voraussetzung für effektive, effiziente und rechtskonforme Parlamentsarbeit. Leitbild ist eine „3-S-Strategie“ aus digitaler Souveränität, Sicherheit/Compliance und Serviceorientierung; ausdrücklich adressiert werden DSGVO, eIDAS, NIS-2, IT-Sicherheit, Nachvollziehbarkeit digitaler Prozesse und der EU AI Act.

Datenschutzrechtlich besonders relevant sind die geplante schrittweise Cloud-Migration, die Vermeidung ausländischer Zugriffsmöglichkeiten, Datenlokalisierung in der EU, Mandantentrennung sowie souveräne Exit-Optionen bei Anbietern. Hinzu treten Datenkonsolidierung, Datenkataloge, ein Datenlabor, Open-Data-Vorhaben und ein mögliches „Parlaments-LLM“, wobei der Entwurf Datenschutz als Bestandteil interdisziplinärer Entwicklung adressiert. Insgesamt markiert die Strategie den Bundestag als hochsensiblen digitalen Verantwortungsraum, in dem Innovation, KI und Cloud-Nutzung nur unter Bedingungen belastbarer Governance, Resilienz und parlamentarischer Datenhoheit legitimierbar sind.

Die Datenschutzkonferenz fordert die EU-Gesetzgebungsorgane auf, anlasslosen Chatkontrollen im Rahmen des CSAM-Verordnungsentwurfs endgültig eine Absage zu erteilen. Zwar sei die Bekämpfung sexuellen Kindesmissbrauchs ein herausragend wichtiges Ziel; eine flächendeckende Überwachung privater Kommunikation überschreite jedoch die Grenzen von Erforderlichkeit und Verhältnismässigkeit und stelle Bürgerinnen und Bürger ohne konkreten Anlass unter Generalverdacht. Die DSK verweist zudem auf Zweifel an der Eignung automatisierter Erkennungssysteme, Umgehungsmöglichkeiten, Falschmeldungen und erhebliche Belastungen der Ermittlungsressourcen. Statt Aufdeckungsanordnungen und Client-Side Scanning verlangt sie verdachtsbasierte Massnahmen, den Schutz von Ende-zu-Ende-Verschlüsselung, konsequente DSA-Durchsetzung, Safety by Design sowie den Ausbau von Prävention, Medienpädagogik und Opferhilfe. Die Entschliessung positioniert den Schutz der Vertraulichkeit digitaler Kommunikation als unverzichtbaren Wesensgehalt europäischer Grundrechte.

Der Heise-Beitrag kontrastiert den Anspruch der EU-Kommission, mit einer anonymen App eine datenschutzfreundliche Altersverifikation bereitzustellen, mit kurzfristig bekannt gewordenen Sicherheitsmängeln. Nach Berichten von Sicherheitsforschern sollen unter anderem lokale Schutzmechanismen wie PIN, Ratenbegrenzung und biometrische Authentifizierung leicht umgehbar gewesen sein; damit steht weniger das Zero-Knowledge-Konzept als solches, sondern dessen konkrete Implementierung im Fokus.

Datenschutzrechtlich zeigt der Fall die Ambivalenz technischer Jugendschutzinfrastruktur: Altersnachweise können datenminimierend ausgestaltet werden, erzeugen aber neue Angriffsflächen, wenn Vertrauen, Gerätesicherheit und App-Integrität nicht belastbar abgesichert sind. Für Regulierung und Aufsicht folgt daraus, dass Age Assurance nicht nur an Anonymität und Zweckbindung, sondern gleichrangig an Security by Design, Missbrauchsresistenz, Auditierbarkeit und transparente Schwachstellenbehebung zu messen ist.

Das VG Düsseldorf konkretisiert Art. 32 DSGVO für E-Mail-Kommunikation: Bei einfachen personenbezogenen Daten in der Kfz-Schadensabwicklung kann Transportverschlüsselung ausreichen; Ende-zu-Ende-Verschlüsselung ist nicht generell erforderlich. Entscheidend bleibt eine risikobezogene Einzelfallprüfung. Name und Vorname eines Unfallgeschädigten begründeten trotz Melderegister-Auskunftssperre kein erhöhtes Risiko; ein Verstoss gegen Art. 5 Abs. 1 lit. f, Art. 32 DSGVO oder eine DSFA-Pflicht lag daher nicht vor.

Zugleich stärkt das Urteil die Kontrolle aufsichtsbehördlicher Beschwerdeentscheidungen: Art. 57 Abs. 1 lit. f und Art. 77 DSGVO vermitteln einen gerichtlich überprüfbaren Anspruch auf angemessene Untersuchung. Erfolgreich war die Klage nur wegen einer verspäteten Auskunft nach Art. 15 DSGVO, da die Behörde die Fristverletzung nach Art. 12 Abs. 3 DSGVO nicht als Datenschutzverstoss gewürdigt hatte.

Das VG Düsseldorf konkretisiert Art. 32 DSGVO für E-Mail-Kommunikation: Bei einfachen personenbezogenen Daten in der Kfz-Schadensabwicklung kann Transportverschlüsselung ein angemessenes Schutzniveau bieten; Ende-zu-Ende-Verschlüsselung ist nicht generell erforderlich. Massgeblich bleibt eine risikobezogene Einzelfallprüfung. Name und Vorname eines Unfallgeschädigten begründeten trotz Melderegister-Auskunftssperre kein erhöhtes Risiko; auch eine DSFA-Pflicht bestand nicht.

Verfahrensrechtlich stärkt das Urteil die Kontrolle aufsichtsbehördlicher Beschwerdeentscheidungen: Die abschliessende Entscheidung der Datenschutzaufsicht ist ein Verwaltungsakt und gerichtlich überprüfbar. Erfolgreich war die Klage nur hinsichtlich der verspäteten Auskunft nach Art. 15 DSGVO, weil die Behörde die Fristverletzung nicht als möglichen Datenschutzverstoss gewürdigt und insoweit neu zu entscheiden hat.

Der österreichische OGH präzisiert den Anspruch auf Datenkopie nach Art. 15 Abs. 3 DSGVO: Geschuldet ist keine vollständige Kopie der Dokumente als solche, sondern eine originalgetreue und verständliche Reproduktion der darin enthaltenen personenbezogenen Daten. Dokumentenauszüge oder ganze Dokumente sind nur bereitzustellen, wenn der Kontext für die Verständlichkeit der Daten erforderlich ist oder die wirksame Ausübung der Betroffenenrechte sonst nicht gewährleistet wäre.

Die Entscheidung begrenzt damit strategisch überdehnte Auskunftsbegehren, hält aber am materiellen Vollständigkeitsgebot fest: Pauschale Datenkategorien oder abstrakte Beschreibungen genügen nicht. Für Verantwortliche folgt daraus ein praxisrelevanter Mittelweg zwischen blosser Datenauskunft und umfassender Akten- bzw. Dokumentenherausgabe.