Zum Inhalt springen

Deutlicher Beschwerdeanstieg bei Aufsichtsbehörden in 2025 – DS News KW 02/2026

    migosens Podcast
    Moderation:
    avatar
    David Schmidt
    avatar
    Gregor Wortberg

    Was ist in der KW 02 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

    • Aufsichtsbehörden beklagen Anstieg der Datenschutz-Eingaben
    • Schmerzensgeld für Cookies: Es haftet, wer sie setzt (OLG Frankfurt a. M. 6 U 81/23)
    • Sicherheitslücken:
      • MyAsus-Tool
      • HPE OneView und PowerPoint
    • Hilfe für Admins bei der MongoDB Schwachsstelle

    Veröffentlichungen & Veranstaltungen

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    X: https://x.com/ds_talk?lang=de

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren: https://migosens.de/deutlicher-beschwerdeanstieg-bei-aufsichtsbehorden-in-2025-ds-news-kw-02-2026/↗

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Transkript zur Folge:

    Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosens.
Unser Redaktionsschluss war heute um 9.30 Uhr. Mein Name ist David Schmidt und bei mir ist...
Gregor Wortberg. Hallo David.
Hallo Gregor und auch herzlich willkommen im neuen Jahr hiermit nochmal von
uns beiden an alle Zuhörerinnen und Zuhörer.
Wir hoffen, ihr seid alle gut reingekommen und wie gewohnt möchten wir euch
auch in dieser Woche mit den neuesten News aus der Welt des Datenschutzes versorgen.
Gregor, was hat es bei dir auf den Zettel geschafft?
Ja, ein paar kleinere Themen und ein paar Updates. Das Jahr startet langsam, hat man das Gefühl.
Deswegen habe ich aber dennoch zwei Themen und eine Veröffentlichung sowie einen
Veranstaltungshinweis mitgebracht.
Und zwar einmal das Titelthema, also den hohen Anstieg von Datenschutzbeschwerden
bei den Aufsichtsbehörden in Hamburg und Berlin,
sowie weitere oder diverse Informationen zu Sicherheitslücken,
die es in vielen Anwendungen und Systemen gibt aktuell.
Ich möchte heute sprechen über ein Cookie-Urteil vom Oberlandesgericht Frankfurt
und ich habe natürlich auch ein paar Veranstaltungshinweise im Gepäck.
Und damit würde ich sagen, starten wir einfach mal rein mit der ersten Nachricht von dir, Gregor.
Die Berliner und Hamburgische Datenschutzaufsichtsbehörden berichten für das
Jahr 2025 von einem deutlichen Anstieg von Datenschutzbeschwerden bzw. Eingaben.
Künstliche Intelligenz leichtert dabei das Einreichen von eben diesen Beschwerden
und das Wahrnehmen von Datenschutzrechten.
Zugleich schafft sie aber auch neue Herausforderungen einerseits für die Behörden,
andererseits aber auch für die Betroffenen selbst.
Dabei zeichnet sich das Jahr 2025 als Rekordjahr aus, wenn man so möchte,
denn sowohl in Berlin als auch
in Hamburg erreichten die Zahlen da einen historischen Beschwerdeanstieg.
In Berlin gingen bis Ende November 2025 8400, also circa 8400 Eingaben ein,
darunter 2600 förmliche Beschwerden und 5700 Beratungsanfragen.
Das ist ein Plus von rund 50 Prozent gegenüber 2024. Thematisch.
Was da im Schwerpunkt in Berlin, insbesondere betreffend den Bank- und Finanzsektor,
den Kassounternehmen, sowie die verpflichtenden Nutzung mobiler Apps,
Videoüberwachung und Identitätsdiebstahl.
In Hamburg sieht es ähnlich aus.
Die Zahl der Beschwerden stieg von 2607 im Jahr 2024 auf 4220,
was einem Anstieg von sogar 62 Prozent entspricht. Und in Hamburg gab es da auch ein Fokusthema.
Den größten Zuwachsanmeldungen gab es da nämlich im Bereich soziale Netzwerke und Datingportale.
Und da hatten sich die Beschwerden nämlich nahezu verdreifacht.
Insbesondere gab es da Beschwerden im Zusammenhang mit KI-Trainingszwecken und
Pay-or-Consent-Modellen.
Darüber hinaus gingen in Hamburg auch noch neben den Beschwerden 2509 Eingaben ein.
Zahlreiche Meldungen zu Datenschutzfällen und Cyberangriffen wurden da registriert.
In beiden Bundesländern wurde festgestellt, dass KI-Chatbots da ein wesentlicher
Treiber sind für diesen Beschwerdeanstieg.
Was einerseits natürlich gut ist, dass eine Sensibilisierung erfolgt bei den
Leuten und dann natürlich die Rechte auch wahrgenommen werden.
Andererseits, und das hat die Berliner Datenschutzbeauftragte Meike Kampf auch
nochmal gesagt und darauf hingewiesen,
dass die KI-gestützten Vorhersagen im ganzen Kontext dieser Anfragen auch zum
Ausgang von so Beschwerden bei Betroffenen häufig falsche Erwartungen wecken,
da die rechtlichen Einschätzungen oftmals unvollständig, fehlerhaft oder fehlerhaft
sein und in Einzelfällen sogar freierfunde Gerichtsurteile oder nicht existente
juristische Quellen verwendet werden.
Also dieses klassische Halluzinieren, was man bei KI-Systemen dann ja schon
häufiger mal mitbekommen hat in der Praxis.
In Hamburg reagiert man...
Einerseits mit Aufsteckung des Personals auf die Herausforderung,
andererseits nutzt man auch das KI-System LL Moin, der hamburgischen Stadt.
Das fand ich von Namen her sehr schön, was die sich da im hohen Norden ausgedacht haben.
Wie schon gesagt, einerseits schön natürlich die gesteigerte Sensibilisierung,
andererseits zeigt es natürlich aber auch die Risiken von KI,
jetzt gerade nochmal mit Blick auf Halluzinierung und fehlerhafte Informationen,
die man daraus dann erhält.
Ja, absolut. Das Oberlandesgericht Frankfurt hat entschieden,
dass neben dem eigentlichen Webseitenbetreiber auch sogenannte Third Partys
für das Setzen von Cookies nach dem TDDDG verantwortlich sein können.
Denn das TDDDG oder T3DG, wie wir es gerne nennen und wie ich es jetzt auch
gerne weiter nennen würde,
ist ja das Telekommunikations-Digitale-Dienste-Datenschutzgesetz und steht neben der DSGVO.
Und in dem zugrunde liegenden Fall hatte ein Website-Betreiber Analyse-Cookies
von einer anderen Partei eingesetzt, also eben solche Third-Party-Cookies,
ohne die dazu erforderliche Einwilligung einzuholen.
Ein Betroffener wendete sich deshalb nicht nur gegen den Webseiten-Betreiber,
also gegen den Hauptverantwortlichen im Sinne der DSGVO, sondern auch gegen die dritte Partei.
Diese dritte Partei wendete ein, sie sei zwar der Urheber der Cookies,
aber weder nach der DSGVO noch nach dem T3DG für das Setzen verantwortlich.
Insbesondere sei sie nicht Anbieterin der Cookies im Sinne des § 2 Nr.
1 T3DG, weil sie die Cookies eben auf einer nicht selbstbetriebenen Webseite setzte.
Dies sah das Gericht anders. Zum einen sei die dritte Partei auch Anbieterin
der Cookies, da es hierzu bereits ausreiche,
an der Erbringung der Telemedien des Seitenbetreibers durch das Setzen von Cookies mitzuwirken.
Und zum anderen kam es nach Auffassung des Gerichts auch nicht unbedingt auf
die Anbietereigenschaft an und begründet dies mit dem Wortlaut des einschlägigen § 25 T3 DG.
Dieser unterscheide nämlich gerade nicht zwischen Anbietern und Nichtanbietern,
vielmehr sei die Norm bewusst verhaltensbezogen formuliert, da auf die Speicherung
und den Zugriff abgestellt wird.
Im Ergebnis sprach das Gericht damit dem Dritten ein Schadenersatz in Höhe von
100 Euro aus Artikel 82 DSGVO zu und sowohl der Drittanbieter als auch der Betreiber
müssen es zukünftig unterlassen,
Analyse-Cookies ohne die Einwilligung des Betroffenen zu setzen.
Im Übrigen hatte die dritte Partei hier den Website-Betreiber sogar per AGB
verpflichtet, Einwilligungen einzuholen.
Auch dies half aber nicht, die Verpflichtung des § 25 T3 DG sei im Außenverhältnis
nämlich nicht übertragbar.
Ja, auch wenn es hier nur um 100 Euro ging, finde ich das einen super spannenden
Fall, der nochmal die Schnittmenge, aber eben auch die unterschiedlichen Richtungen
des T3DG und der DSGVO aufzeigt.
Während die Voraussetzungen für die Verantwortung von Cookies im T3DG und in
der DSGVO unterschiedlich sind,
fließt dann auf der Rechtsfolgenseite, zumindest wenn es um die Einholung der
Einwilligung geht und um die Haftbarkeit dafür, wieder zusammen.
Für die Praxis empfiehlt es sich regelmäßig zu prüfen, welche Cookies eine Website
einsetzt und ob die hierzu erforderliche Einwilligung abgefragt wird.
Und dies gilt nach dem vorgestellten Urteil nicht nur für den Betreiber der
Website selbst, sondern auch für Unternehmen, die Cookies entwickeln und auf
Websites ihrer Kunden einsetzen.
Die Sicherheitsforscher waren aktuell vor mehreren Sicherheitslücken und schweren
Schwachstellen in diversen Systemen
unter anderem. Und die fasse ich jetzt gerne einfach mal zusammen.
Also sich angesprochene führende Admins sollten dann da in dem Kontext natürlich
reagieren. Einerseits geht es um das Tool MyAsus, also von dem Anbieter Asus,
vielleicht deutsch ausgesprochen.
MyAsus sagt dann ja schon mal eher was.
Hier gibt es eine schwere Schwachstelle. Hier können im Kontext des Tools lokale
Rechte ausgewertet werden. Bei HPE OneView von Hewlett & Packard Enterprise
ist momentan auch mit Chartcode-Attacken zu rechnen, die ist dadurch konfrontiert.
Zudem wird eine Sicherheitslücke aus dem Jahr 2009 in Microsoft PowerPoint von
macOS, also für Apple-Geräte, aktuell ausgenutzt. In beiden Fällen ist der Umfang
und der Ablauf von Attacken allerdings noch unklar laut Heise.
Dementsprechend sollten Administratoren ihre Systeme umgehend mit Sicherheitspatches absichern.
In der letzten Woche hatten wir bereits über die Sicherheitslücke in MongoDB berichtet.
Hier wurde nun ein Tool der Mongo Bleed Detector auf GitHub veröffentlicht,
welches bei der Serveranalyse hilft und betroffene Systeme identifizieren kann.
Sehr gut. Also auch im neuen Jahr heißt es, immer schön die Patches durchführen.
Updates, Updates, Updates.
Updates, Updates, Updates. Ja, die Sicherheitslücken hören nicht auf.
Veranstaltungen. Das neue Programm des Bildungszentrums der baden-württembergischen
Aufsichtsbehörde hat das Programm für das erste Halbjahr 2026 veröffentlicht.
Und der Schwerpunkt ist dieses Mal Schule und Kita.
Dazu werden kostenfreie Schulungen von der Behörde zu den folgenden Themen angeboten.
Datenschutz im Schulsekretariat, Datenschutz beim elektronischen Tage- oder
Klassentagebuch an Schulen, Datenschutz bei Schulwebseiten, Datenschutz bei
der Nutzung privater Endgeräte im Schuldienst,
KI in Bildungseinrichtungen und Datenschutz in Kindertageseinrichtungen und in der Grundschule.
Die Termine finden online statt und die genauen Daten finden sich auf der Webseite der Behörde.
Ich habe noch zwei Informationen im Kontext von NIST 2 mitgebracht,
beide im Kontext auch des BSI.
Das BSI hat nun das NIST 2 Meldeportal freigeschaltet.
Hier ist zunächst eine Registrierung über das Unternehmenskonto beim BSI erforderlich.
Das Ziel des Meldeportals ist es, registrierten Unternehmen die gesetzlichen
Pflichten zu erläutern, Hilfestellung zur Risikoanalyse zu bieten und es ermöglicht
auch das anonyme Melden von Schwachstellen.
Darüber hinaus bietet das BSI im Kontext von NIST 2 auch ein Webinar an,
und zwar mit dem Titel NIST 2 Kick-Off, das neue BSI-Gesetz und die regulierte Wirtschaft.
Die nächsten Termine sind hier am 20. Januar sowie am 3. Februar.
Und das war es auch schon für diese Woche mit unserem Podcast.
Falls ihr uns heute noch hört, wünschen wir euch ein schönes,
wenn auch verschneites Wochenende.
Und falls ihr uns erst am Montag hört, einen guten Start in die neue Woche.
Bleibt uns gewogen und auf bald.
Bis bald.

    Das könnte Sie auch interessieren

    UK-Angemessenheitsbeschluss bis 2031 verlängert – DS News KW 01/2026

    migosens Podcast

    EuGH zu Informationspflichten bei Bodycams – DS News KW 51-2025

    Datenschutz News

    Staatsmodernisierung zielt gegen DSBs – DS News KW 50/2025

    EuGH Urteil zu Online-Marktplätzen – DS News KW 49/2025