Zum Inhalt springen

Der Datenschutz Talk

Verbraucherzentrale scheitert gegen Metas KI Training – DS News KW 22/2025

    Was ist in der KW 22 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

    – Aktuelle Themenfolge zu NIS2-Pflichten für Unternehmen

    – OLG Köln zu Meta KI Training (OLG Köln, Urteil vom 23.5.2025 – 15 UKl 2/25)

    – Urteil stärkt die Rolle des PCLOB als unabhängige Kontrollinstanz im Data Privacy Framework

    – BSI weist auf Sicherheitsrisiko bei Passwortmanagern hin

    – Nachvertragliche Werbung, auch in Form von Haustürbesuchen, kann ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO darstellen (VG Bremen, Urteil vom 23.04.2025, Az. 4 K 2873/23)

    Veröffentlichungen und Veranstaltungen:

    – Zum Verhältnis von § 7 UWG und Artikel 6 DSGVO (DSB 2025, 140 und BVerwG, Urt. v. 29.01.2025 – 6 C 3.23)

    – BSI Cyber-Sicherheitsempfehlung

    – Einladung der Vereinigung der Europäische Datenschutzbeauftragten zur Zukunft des DPF

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    Twitter: https://twitter.com/DS_Talk

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren: https://migos

    migosens Podcast

    META KI Training – letzte Chance zum Widerspruch – DS News KW 21/2025

      Was ist in der KW 21 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

      Meta KI Training: Datenschutzbeauftragte fordern öffentliche Stellen zum Handeln auf

      VG Hannover zu manipulativen Cookie-Bannern

      Kein Herausgabeanspruch von Überwachungsvideos im OPNV nach der DSGVO OVG Brandenburg, Urteil vom 13. Mai 2025 – OVG 12 B 14/23 –

      CNIL verhängt Bußgeld in Höhe von 900.000€

      Sammelklage gegen X

      Empfehlungen:

      Datenschutzbericht 2024 des HBDI

      4. Datenschutztag Hessen & Rheinland Pfalz

      Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

      Twitter: https://twitter.com/DS_Talk

      Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

      (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

      Instagram: https://www.instagram.com/datenschutztalk_podcast/

      Folge hier kommentieren: https://migosens.de/meta-ki-training-letzte-chance-zum-widerspruch-ds-news-kw-21-2025/↗

      migosens DS-Talk

      530 Millionen Euro Bußgeld gegen TikTok – DS News KW 19/2025

        Was ist in der KW 19 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

        Verbraucherzentrale gegen Meta: Abmahnung wegen KI-Training mit Nutzerdaten

        DPC verhängt 530 Millionen-Euro-Strafe gegen Tik Tok wegen DSGVOverstoß bei Kinder-Accounts

        Landesarbeitsgericht Köln, Urteil vom 11.2.2025 – 7 Sa 635/23

        Datenleck bei Reha Vita: 17.000 Patientendaten durch veraltete IT öffentlich einsehbar

        Stellungnahme des EDSA zu Angemessenheitsbeschlüssen

        Nach USA-Besuch: BfGI besorgt, ob Datenschutzzusagen langfristig gehalten werden können

        Empfehlungen:

        Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit: Neues EU-Projekt zum Datenschutz für Kultur und Bildung

        Neue Termine für kostenfreie Schulungen im Bildungszentrum BIDIB (BaWÜ)

        EDSA zum Vorschlag der Kommission zur Vereinfachung der Dokumentationspflichten des VVT

        Cover Themenfolge NIS2 in aller Kürze - Stephan Auge

        NIS2-Pflichten für Unternehmen: Das musst du wissen – Stephan Auge im Datenschutz Talk

          Die EU-Richtlinie NIS2 verpflichtet künftig deutlich mehr Unternehmen zur Umsetzung von Maßnahmen der Informationssicherheit. Doch für wen gilt die Richtlinie eigentlich? Was ist jetzt konkret zu tun? Und wo liegen die Unterschiede zur bisherigen Kritis-Regulierung oder zur Datenschutz-Grundverordnung?

          In dieser Themenfolge des Datenschutz Talks gibt Stephan Auge, Teamleiter für Managementsysteme bei migosens, einen kompakten Überblick über die aktuelle Rechtslage, die Anforderungen der Richtlinie und praktische Umsetzungsfragen.

          Was du aus dieser Folge mitnimmst:

          Was ist NIS2?

          Ziel: Harmonisierung der Cybersicherheitsstandards in der EU

          Hintergrund: Richtlinie ist seit Dezember 2022 in Kraft

          Umsetzung in nationales Recht bis Mitte/Ende 2025 (geplant)

          Abgrenzung zur DSGVO und zum Cyber Resilience Act

          Für wen gilt NIS2?

          Gilt für besonders wichtige und wichtige Einrichtungen gemäß Anlage 1 und 2 der Richtlinie

          Betrifft neben KRITIS-Unternehmen auch kleinere Unternehmen aus TK, Gesundheitswesen, Energie, Transport, Entsorgung u. v. m.

          Keine generelle Schwellenwertgrenze: auch Kleinstunternehmen können betroffen sein

          BSI stellt ein Tool zur Betroffenheitsprüfung bereit

          Welche Pflichten entstehen?

          Selbstregistrierungspflicht beim BSI innerhalb von 3 Monaten nach Inkrafttreten

          Umsetzung technischer und organisatorischer Maßnahmen (z. B. Risikomanagement, Incident-Handling, Notfallmanagement)

          Aufbau eines Informationssicherheits-Managementsystems (ISMS) analog ISO 27001

          Einführung strukturierter Prozesse zur Meldung von Sicherheitsvorfällen

          Risikobasierte oder vorfallsbezogene Prüfungspflichten je nach Kategorisierung

          Was bedeutet das für bestehende KRITIS-Unternehmen?

          Grundanforderungen weitgehend deckungsgleich mit bisherigen BSI-Nachweisverfahren

          Erleichterung: Prüfpflicht künftig nur alle drei statt alle zwei Jahre

          Synergien zwischen NIS2, ISO 27001 und Datenschutzprozessen sinnvoll nutzbar

          Herausforderungen beim Lieferkettenmanagement

          Neue Anforderungen an Zulieferer und Dienstleister mit sicherheitsrelevanter Rolle

          Verpflichtung zur vertraglichen Übernahme von Sicherheitsvorgaben

          Notwendigkeit von Audits oder anderweitiger Steuerungsmaßnahmen

          Empfehlung: Business Impact Analyse zur Priorisierung kritischer Dienstleister

          Sanktionen und Wettbewerbsvorteile

          Sanktionsrahmen: bis zu 10 Mio. Euro oder 2 % vom weltweiten Umsatz (Anlage 1)

          Für Anlage 2: bis zu 7 Mio. Euro oder 1,4 % vom Umsatz

          Frühzeitige Umsetzung von ISMS als Wettbewerbsvorteil – z. B. bei Ausschreibungen

          Informationssicherheit wird zum geschäftskritischen Erfolgsfaktor

          Keywords, die in dieser Folge behandelt werden:

          NIS2 Richtlinie 2025

          NIS2 Anforderungen Unternehmen

          Informationssicherheit Pflicht

          Cybersecurity Gesetz EU

          NIS2 Umsetzung Deutschland

          Betroffenheitsanalyse NIS2

          ISMS NIS2 ISO 27001

          Datenschutz und NIS2

          Vorfallmeldung BSI

          Lieferkettensicherheit NIS2

          Managementsystem Informationssicherheit

          DORA vs. NIS2

          Cyber Resilience Act EU

          Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

          Twitter: https://twitter.com/DS_Talk

          Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

          (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

          Instagram: https://www.instagram.com/datenschutztalk_podcast/

          Folge hier kommentieren: https://migosens.de/nis2-pflichten-fuer-unternehmen-das-musst-du-wissen-stephan-auge-im-datenschutz-talk/

          eBay plant KI-Training mit Nutzerdaten – DS News KW 18/2025

            Was ist in der KW 18 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

            – KI-Webseitenklonung: Neue Bedrohung für Phishing-Angriffe (https://www.netcraft.com/blog/ai-enabled-darcula-suite-makes-phishing-kits-more-accessible-easier-to-deploy/)

            – eBay will Nutzerdaten für KI Training verwenden (https://www.lda.brandenburg.de/lda/de/service/presseinformationen/details-presse/~29-04-2025-ebay-gmbh-personenbezogene-daten-sollen-kuenstliche-intelligenz-trainieren)

            – Bußgeld gegen die Griechische Nationalbank (https://www.edpb.europa.eu/news/national-news/2025/imposition-fine-bank-incident-personal-data-breach_de)

            Veröffentlichung und Veranstaltung:

            – HmbBfDI – Handreichung zum Data Act (https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/250429_Information_Data_Act_und_Datenschutz.pdf)

            – Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg – Datenpannen-Management– Grundlagen und Praxishinweise (https://www.baden-wuerttemberg.datenschutz.de/offene-veranstaltung-2025-012/)

            Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

            Twitter: https://twitter.com/DS_Talk

            Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

            (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

            Instagram: https://www.instagram.com/datenschutztalk_podcast/

            Folge hier kommentieren: https://migosens.de/ebay-plant-ki-training-mit-nutzerdaten-ds-news-kw-18-2025/

            Jede fünfte Website verstößt gegen Datenschutzvorgaben- DS News KW 17/2025

              Was ist in der KW 17 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

              – Schadensersatz wegen fehlender datenschutzfreundlicher Voreinstellungen (Urteil vom 8.4.2025 – 6 U 79/23)

              – 200 Mio.-Strafe für Meta wegen DMA-Verstoß https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&Sort=12288&nr=141298&anz=1148&pos=4

              – BGH zu Auskuftsrecht für Gesellschafter https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&Sort=12288&nr=141298&anz=1148&pos=4

              – Hertz Kunden von Datenleck betroffen https://www.hertz.com/content/dam/hertz/global/resources/Notice_of_Data_Incident-EU.pdf

              – Verstoß bei jeder fünften geprüften Webseite in Hamburg https://datenschutz-hamburg.de/news/tracking-durch-drittdienste-185-von-1000-geprueften-websites-muessen-nachbessern

              Veröffentlichungen und Veranstaltungen:

              – Der HmbBfDI lädt ein zum 4. Hamburger Datenschutzforum https://datenschutz-hamburg.de/news/der-hmbbfdi-laedt-ein-zum-4-hamburger-datenschutzforum

              – Der Europäische Datenschutzausschuss (EDSA) hat seinen Jahresbericht veröffentlicht https://www.edpb.europa.eu/our-work-tools/our-documents/annual-report/edpb-annual-report-2024_en

              Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

              Twitter: https://twitter.com/DS_Talk

              Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

              (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

              Instagram: https://www.instagram.com/datenschutztalk_podcast/

              Folge hier kommentieren: https://migosens.de/jede-funfte-website-verstoßt-gegen-datenschutzvorgaben-ds-news-kw-17-2025/

              Cover Michael Will

              Verwendung der Anrede nach dem EuGH-Urteil C-394/23 – Michael Will im Datenschutz Talk Podcast

                Darf ich Kunden noch mit „Herr“ oder „Frau“ ansprechen – oder ist das bereits ein Datenschutzverstoß?
                Diese Frage bewegt aktuell viele Unternehmen. Anlass ist das EuGH-Urteil C-394/23, das die Pflicht zur Anrede bei SNCF Connect für unzulässig erklärt hat. Der Grund: Verstoß gegen den Grundsatz der Datenminimierung nach Art. 5 DSGVO.

                In dieser Themenfolge des Datenschutz Talks analysieren wir das Urteil gemeinsam mit Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Dabei geht es nicht nur um die juristische Bewertung, sondern vor allem um die praktischen Folgen für Unternehmen, Datenschutzbeauftragte und Geschäftsführungen.

                Was du aus dieser Folge mitnimmst:

                Ausgangspunkt des Urteils: Was ist passiert?

                Der Fall „Mousse gegen CNIL und SNCF Connect“: Pflichtfeld Anrede: „Herr“ oder „Frau“ beim Online-Ticketkauf.

                Warum der EuGH darin einen Verstoß gegen die DSGVO sieht.

                Bedeutung des Begriffs „erforderlich“ im Rahmen der Datenminimierung.

                EuGH-Urteil zur Anrede: Was steht in der Begründung?

                Warum die Anrede nicht zur Vertragserfüllung nötig ist.

                Warum der EuGH eine inklusivere, neutrale Ansprache fordert.

                Wie sich der Begriff „Erforderlichkeit“ verschärft hat.

                Was ändert sich durch das Urteil in der Praxis?

                Müssen Formulare mit Anredefeldern jetzt angepasst werden?

                Reicht die Auswahloption „keine Angabe“ aus?

                Dürfen Unternehmen noch personenbezogene Anreden in der 1:1-Kommunikation verwenden?

                DSGVO & berechtigtes Interesse: Was gilt künftig?

                Warum der EuGH das berechtigte Interesse der Bahn nicht gelten ließ.

                Welche Anforderungen nun an Artikel 6 Abs. 1 lit. f DSGVO gestellt werden.

                Was passiert, wenn der Zweck bzw. das berechtigte Interesse nicht in der Datenschutzerklärung steht?

                Müssen Daten jetzt gelöscht werden?

                Einwilligung oder berechtigtes Interesse? Was der EuGH wirklich meint

                Deutet sich ein Vorrang der Einwilligung an?

                Welche Rolle spielen Informationspflichten nach Artikel 13 DSGVO?

                Warum Einwilligung allein nicht automatisch sicher ist.

                Handlungsempfehlungen für Unternehmen

                Was Datenschutzbeauftragte jetzt konkret prüfen sollten.

                Wie ein sauberes 6 Abs. 1 lit. f-Modell aufgebaut sein muss.

                Welche Angaben in der Datenschutzerklärung nicht fehlen dürfen.

                Wann Widerspruchsmöglichkeiten aktiv und technisch umsetzbar sein müssen.

                Keywords, die in dieser Folge behandelt werden:

                EuGH Urteil Anrede

                Datenminimierung DSGVO

                Pflichtfelder Webformulare

                berechtigtes Interesse DSGVO

                Einwilligung oder berechtigtes Interesse

                Artikel 13 DSGVO Informationspflicht

                personenbezogene Anrede Datenschutz

                DSGVO Formulare Anrede

                Datenschutz Aufsichtsbehörden Einschätzung

                Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

                Twitter: https://twitter.com/DS_Talk

                Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

                (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

                Instagram: https://www.instagram.com/datenschutztalk_podcast/

                Folge hier kommentieren: https://migosens.de/verwendung-der-anrede-nach-dem-eugh-urteil-c-394-23-michael-will-im-datenschutz-talk-podcast/

                DS-Talk KW 16

                USA-Reisen nur noch mit Wegwerfhandys – DS News KW 16/2025

                  Was ist in der KW 16 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

                  1. Themenfolge 2025 mit Michael Will

                  LG Hamburg (Beschluss vom 04.03.2025, Az. 625 Qs 6/25 OWi (juris)): Bußgeldverfahren, Bewilligung der Herausgabe von Teilen des erlassenen Bußgeldbescheids

                  Schutz personenbezogener Daten über strafrechtliche Verurteilungen
                  EuGH (Urteil vom 07.03.2024 -C-740/22, Auslegung von Art. 2 Abs. 1, Art. 4 Nr. 2 und Art. 86 DSGVO)

                  Facebook & Instagram: Widerspruchsmöglichkeiten bei Metas KI-Training jetzt prüfen

                  DPC leitet offizielle Untersuchung gegen X ein: KI-Chatbot Grok

                  EU-Kommission:USA-Reisen nur noch mit Wegwerfhandys

                  Empfehlungen:

                  Fragebogen zur europaweiten Prüfaktion zum Recht auf Löschung ist online

                  Gegenstand öffentlicher Konsultation: Leitlinien 02/2025 zum Umgang mit personenbezogenen Daten in Blockchain-Technologien

                  Aktualisierung der Hilfeseite zu TikTok: Checkliste zum Einsatz von Tik Tok für öffentliche Stellen

                  Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

                  Twitter: https://twitter.com/DS_Talk

                  Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

                  (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

                  Instagram: https://www.instagram.com/datenschutztalk_podcast/

                  Folge hier kommentieren: https://migosens.de/usa-reisen-nur-noch-mit-wegwerfhandys-ds-news-kw-16-2025/↗

                  Einsatz von Meta Business Tools führt zu Schadensersatz – DS News KW 15/2025

                    Was ist in der KW 15 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

                    – LG Berlin zu Meta Business Tools (Landgericht Berlin II: Urteile vom 4. April 2025, Aktenzeichen 39 O 56/24, 39 O 67/24, 39 O 57/24, 39 O 97/24, 39 O 218/24, 39 O 184/24)

                    – Entscheidung zum Spannungsfeld zwischen Informationsfreiheit und Datenschutz (EuGH, Urteil vom 03.04.2025 – C-710/23): https://curia.europa.eu/juris/document/document.jsf?text=&docid=297537&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

                    – Vorfall bei Europcar: https://www.bleepingcomputer.com/news/security/europcar-gitlab-breach-exposes-data-of-up-to-200-000-customers/

                    – Angemessenheitsbeschluss mit UK: https://ec.europa.eu/commission/presscorner/detail/en/mex_25_812#5

                    – vierte Generation des SCHUFA-Scores in Folge des EuGH-Urteils: https://www.schufa.de/newsroom/pressemitteilungen/neuer-schufa-score-voellige-transparenz/

                    – Ergebnisse der Koalitionsverhandlungen: Reform der Datenschutzaufsicht

                    – Neuer Sitz für Sächsische Datenschutz- und Transparenzbeauftragte (SDTB)

                    – EU Kommission plant Anpassungsvorschlag für DSGVO

                    Veröffentlichungen:

                    – Europol-Studie: Angreifbarkeit von biometrischen Identifizierungssystemen: https://www.europol.europa.eu/cms/sites/default/files/documents/Biometric-vulnerabilities.pdf

                    – EDSA: praxisorientierte Methoden zur Identifikation und Minderung von Datenschutzrisiken in LLM-Systemen: https://www.edpb.europa.eu/system/files/2025-04/ai-privacy-risks-and-mitigations-in-llms.pdf

                    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

                    Twitter: https://twitter.com/DS_Talk

                    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

                    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

                    Instagram: https://www.instagram.com/datenschutztalk_podcast/

                    Folge hier kommentieren:https://migosens.de/einsatz-von-meta-business-tools-fuhrt-zu-schadensersatz-ds-news-kw-15-2025/

                    migosens Podcast

                    Informationspflichten bei Zweckänderung – DS News KW 14/2025

                      Was ist in der KW 14 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

                      WhatsApp im Polizeidienst unzulässig

                      LG Hannover, Beschluss vom 26.02.2025, Az. 128 OWiLG 1/24 (BeckRS 2025, 3463): Pseudonymisierung

                      ArbG Düsseldorf, Urteil vom 04.12.2024, Az. 8 Ca 3409/24 (BeckRS 2024, 43707): Immaterieller Schadenersatz

                      Wettbewerbsrecht x Datenschutzrecht

                      Verkauf von Steuerdaten: noyb fordert Ende der Praxis in Schweden.

                      Empfehlungen:

                      Veranstaltungstipp: Donnerstag, 10.04.2025, 19:30-21:00 Uhr: Datenschutz, Informationsfreiheit, KI: Aktuelle Themen des LfDI BaWü

                      Neue IT-Sicherheitsrichtlinie für Arztpraxen veröffentlicht

                      Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

                      Twitter: https://twitter.com/DS_Talk

                      Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

                      (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

                      Instagram: https://www.instagram.com/datenschutztalk_podcast/

                      Folge hier kommentieren: https://migosens.de/informationspflichten-bei-zweckaenderung-ds-news-kw-14-2025