Eigentlich war für den 14. Oktober 2025 die Abstimmung im Rat der EU über die sogenannte „Chatkontrolle“ geplant. Der offizielle Name lautet „Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“. Die EU-Kommission will damit Messenger-Dienste per „Client-Side-Scanning“ (CSS) verpflichten, private Nachrichten künftig automatisch auf dem absendenden Gerät – noch bevor sie verschlüsselt werden – nach Inhalten mit sexualisierter Gewalt an Kindern zu durchsuchen.
Kurz vor der Abstimmung rumorte es nochmal in den Mitgliedsstaaten, und zwar so sehr, dass die Abstimmung am Ende verschoben wurde. Letztendlich war Justizministerin Stefanie Hubig und ihre SPD dagegen, nachdem auch die Datenschutzkonferenz, die Bundesdatenschutzbeauftragte, der Chaos Computer Club und neben den Messengern Threema und Signal, welches mit Rückzug aus der EU drohte, sogar WhatsApp vor der Chatkontrolle warnten. Und ohne Deutschland wäre wohl keine Mehrheit für das Vorhaben zustande gekommen. Dänemark hat bis Ende 2025 die Ratspräsidentschaft inne – und hat die Chatkontrolle auf Wiedervorlage für den Dezember gelegt. Hoffentlich droht uns dann keine böse Überraschung zu Weihnachten!
Es muss ja nicht ganz so drastisch sein mit den Kinderfotos: Viele Eltern posten teilweise mehrmals täglich das ganze Leben ihres Nachwuchses auf Social Media, z.B. im WhatsApp-Status – durchschnittlich 1000 Fotos bis zum 5. Geburtstag! In Frankreich gibt es daher seit fast zwei Jahren ein Gesetz, das Eltern einen rechtlichen Rahmen zum Teilen von Fotos ihrer Kinder gibt. Das sogenannte „Sharenting“ ist auch hierzulande ein Phänomen, das viele Eltern unterschätzen. Denn das Recht am eigenen Bild gilt auch für Kinder. Gerade jetzt, wo Kinderfotos eben nicht mehr einfach nur im heimischen Fotoalbum verstaut werden – im Gegenteil könnte nun schon ab Geburt ein umfassendes Persönlichkeitsprofil erstellt werden, ohne dass das betroffene Kind dies überhaupt mitbekommt.
Was Eltern süß und niedlich finden, ist Kindern manchmal sehr peinlich, erst recht mit etwas zeitlichem Abstand. Entsprechende Posts führen dann später schnell zu Mobbing, Beleidigungen oder Hass-Kommentaren. Oder wenn noch etwas später die Personalabteilung Bewerber googelt, und dann tauchen dort Babybilder von vor 20 Jahren auf. Kinder müssen also die Folgen dessen ausbaden, was ihre Eltern über sie preisgeben, auch wenn sie vielleicht noch nicht einmal eigene Accounts (oder ein Bewusstsein für Social Media) haben. Das Hauptproblem dabei ist, dass die Kontrolle über die Daten komplett verloren geht. Noch schlimmer: Mit dem Kontext der Bilder – im Bild etwa Kinderzimmer, Wohnhaus, Garten, Erwachsene oder im Text Name und Geburtsdatum – kann man oft herleiten, wo das Kind wohnt, was es mag, wie es heißt. Und diese Daten werden dann schnell in pädophilen Kreisen geteilt.
Frankreich hat daher dem exzessiven und würdeverletzenden Umgang mit Kinderfotos auf Social Media den Riegel vorgeschoben. Dort müssen auch die Kinder selbst an der Entscheidung für oder gegen einen Post beteiligt werden und Eltern müssen auch ein Nein des Kindes akzeptieren. Bei Meinungsverschiedenheiten zwischen den Eltern kann gerichtlich eingegriffen werden, indem etwa einem Elternteil verboten wird, Bilder seines Kindes ohne die Genehmigung des anderen zu veröffentlichen oder weiterzugeben. In Extremfällen können Eltern sogar das Recht verlieren, über die Bildrechte ihrer Kinder zu verfügen.
Auch das „Ausnutzen von Kinderbildern auf Online-Plattformen“ durch Influencer-Eltern wird in unserem Nachbarland geregelt: Einkünfte durch kommerziell genutzte Kinderfotos sollen auf ein Konto eingezahlt werden, über das die Kinder ab dem 16. Geburtstag selbst verfügen können. Zudem wird ein einklagbares „Recht auf Vergessen“ verankert, mit dem Kinder auf Wunsch auch nachträglich Bilder und Videos von sich aus dem Netz entfernen lassen können.
Was sagt hier eigentlich die DSGVO? Private Fotos und Videos, auf welchen eine oder mehrere Personen eindeutig zu erkennen sind, sind personenbezogene Daten im Sinne der DSGVO. In der Regel muss eine wirksame Einwilligung vorliegen, damit die Datenerhebung und -verarbeitung rechtmäßig erfolgt. Das Kind selbst kann die Einwilligung erst nach Vollendung des 16. Lebensjahres geben; bis dahin haben die Eltern das Persönlichkeitsrecht ihrer Kinder nach bestem Wissen und Gewissen zu beachten. Art. 2 Abs. 2 lit. c DSGVO, die sogenannte „Haushaltsausnahme“ besagt jedoch, dass personenbezogene Daten durch natürliche Personen zu persönlichen oder familiären Zwecken grundsätzlich gestattet sind, etwa das Anfertigen von Fotos bei einer Familienfeier. Sobald diese Daten allerdings im Internet landen und damit einem unüberschaubaren Personenkreis zugänglich gemacht werden, kommt eine Anwendung der „Haushaltsausnahme“ nicht mehr in Betracht. Leider hilft die DSGVO dennoch nur bedingt weiter: Wenn User ohne Wissen der betroffenen Personen Bilder downloaden oder Screenshots von ihnen machen, und man nichts davon weiß, geht der Anspruch auf Löschung nach Art. 17 DSGVO ins Leere…
Weitere Nachrichten in Kürze:
LinkedIn hat zum 3. November 2025 damit begonnen, die Daten seiner Nutzer zum Training eigener KI-Modelle zu verwenden. Erfasst werden sollen Inhalte aus Profilen, Kommentaren, Fotos und öffentlichen Beiträgen, nicht jedoch private Nachrichten. LinkedIn stützt sich auf sein berechtigtes Interesse. Datenschutzbehörden und Verbraucherorganisationen sehen darin erhebliche Risiken, denn auch öffentlich sichtbare Profilangaben können personenbezogene oder sensible Informationen enthalten, die nach ihrer Nutzung kaum noch aus KI-Modellen entfernt werden können. Die Landesdatenschutzbeauftragten von NRW, Sachsen und anderen Ländern raten dringend, der Datennutzung aktiv zu widersprechen.
Zum 12. Oktober 2025 hat das neue elektronische Grenzsystem EU Entry/Exit System (EES) den Betrieb aufgenommen. Das System erfasst digital die Ein- und Ausreisen von Drittstaatsangehörigen an den Außengrenzen des Schengen-Raums und ersetzt schrittweise die Stempel in den Reisepässen. Bei dem automatisierten System müssen Reisende an der Grenze ihren Pass scannen; zudem werden ihre Fingerabdrücke erfasst und ein Foto von ihnen gemacht. Das Coordinated Supervision Committee (CSC), welches aus den nationalen Datenschutzaufsichtsbehörden und dem Europäischen Datenschutzbeauftragten (EDPS) besteht, übernimmt die Überwachung der Datenverarbeitung.
Das EU-Parlament hat neue Verfahrensvorschriften zur grenzüberschreitenden Durchsetzung der DSGVO verabschiedet, um Verfahren zwischen nationalen Aufsichtsbehörden effizienter, transparenter und einheitlicher zu gestalten. Federführende Behörden müssen nun binnen 15 Monaten Untersuchungen und Entscheidungen vorlegen. Außerdem wird ein vereinfachtes Kooperationsverfahren eingeführt, wenn der Fall eindeutig ist und keine zusätzliche Zusammenarbeit mit anderen betroffenen Aufsichtsbehörden erforderlich ist.
Der Europäische Datenschutzausschuss und die Europäische Kommission haben erstmals gemeinsame Leitlinien zum Zusammenspiel zwischen dem Gesetz über digitale Märkte (DMA) und der DSGVO sowie zwischen dem Digital Services Act (DSA) und der DSGVO herausgegeben. Sie erläutern, wie große Plattformanbieter personenbezogene Daten im Einklang mit der DSGVO verarbeiten dürfen. Ziel ist es, eine einheitliche Anwendung beider Regelwerke zu fördern. Der DSA ergänzt die DSGVO, um grundlegende Rechte wie Meinungsfreiheit und Datenschutz im digitalen Raum zu sichern. Betroffen sind vor allem Online-Vermittlungsdienste wie Suchmaschinen und Plattformen. Die Bundesdatenschutzbeauftragte stellt die wesentlichen Leitlinien zusammen.
Derweil hat das Bundeskabinett Ende Oktober 2025 den Referentenentwurf zum Data Act-Durchführungsgesetz verabschiedet. Es regelt, an welche Behörde sich Bürger und Unternehmen in Deutschland bei Fragen und Streitigkeiten zum Data Act wenden können. Ziel des Data Act ist es insbesondere, die Verfügbarkeit von Daten aus vernetzten Geräten zu erhöhen, den Wechsel des Cloud-Computing-Anbieters zu erleichtern sowie allgemein Datenzugänge und Datennutzung in Europa zu fördern. Zentrale Aufsichtsbehörde soll die Bundesnetzagentur werden.
Eben dort hat ein Verbund aus NGOs, Medienverbänden und Digitalwirtschaft eine förmliche Beschwerde gegen das neue KI-Suchergebnis, das jetzt in der Regel ganz oben bei einer Google-Suche erscheint, eingereicht, weil diese gegen den Digital Services Act verstoße. Google würde damit unabhängigen Medien Reichweite und Werbeeinnahmen entziehen, obwohl das generierte Ergebnis auf deren Inhalten basiert. Zudem bestehe durch Intransparenz und mögliche Fehlinformationen ein Risiko für Medienvielfalt und demokratischen Diskurs. Denn Untersuchungen zeigen immer wieder, dass die KI auch fehlerhafte oder erfundene Inhalte verbreitet.
Die Europäische Kommission hat vorläufig festgestellt, dass TikTok und Meta gegen Transparenzrechte nach dem Digital Services Act verstoßen. Der DSA verpflichtet große Onlineplattformen, Forschern ausreichenden Datenzugang zu gewähren, um deren gesellschaftliche Auswirkungen nachvollziehen zu können. Komplexe Verfahren und unvollständige Datensätze behindern bei beiden jedoch unabhängige Analysen zu Risiken für die Nutzer. Die Kommission bemängelt auch, dass Meta keine benutzerfreundlichen Meldeverfahren für illegale Inhalte anbietet und irreführende („Dark Pattern“-) Gestaltungen nutzt. Auch die Beschwerdeverfahren bei gelöschten Inhalten oder Kontosperrungen seien unzureichend.
Es gibt auch überarbeitete Leitlinien zur Nutzung von generativer Künstlicher Intelligenz durch EU-Institutionen vom Europäischen Datenschutzbeauftragten. Sie sollen den Schutz personenbezogener Daten in einer sich schnell entwickelnden digitalen Umgebung stärken. Die neuen Leitlinien bieten eine präzisere Definition generativer KI, eine praxisorientierte Compliance-Checkliste sowie Hinweise zu Verantwortlichkeiten, Rechtsgrundlagen und Zweckbindung.
Eine neue Studie des Ausschusses für Industrie, Forschung und Energie hat derweil untersucht, wie der AI Act mit zentralen EU-Digitalgesetzen zusammen wirkt. Demnach sind die Rechtsakte zwar jeweils zielgerichtet ausgestaltet, ihr Zusammenwirken führt jedoch zu erheblicher regulatorischer Komplexität. Die Analyse bewertet Überschneidungen und Lücken und bietet Empfehlungen, wie die EU ihre Regulierungen kohärenter und innovationsfreundlicher gestalten kann, um die Wettbewerbsfähigkeit Europas im Bereich KI zu stärken.
Die Datenschutzkonferenz hat schließlich noch eine Orientierungshilfe zu Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken herausgegeben. Sobald bei einer internationalen Zusammenarbeit in der Gesundheitsforschung personenbezogene Daten verarbeitet werden, müssen die Forschungsinstitutionen die Anforderungen der DSGVO beachten. In der Praxis treten dabei immer wieder Fragen zur Handhabung von Übermittlungen personenbezogener Daten an Forschungspartner in außereuropäischen Ländern auf.