Zwei Mal hat das EU-Parlament eine Verlängerung der sogenannten „freiwilligen Chatkontrolle“ abgelehnt. Die zuletzt bis 3. April befristete Ausnahmeregelung erlaubte es etwa Google oder Meta, Nachrichten auf ihren Plattformen automatisch auf Darstellungen von Kindesmissbrauch zu prüfen. Da es immer noch keine Einigung auf ein permanentes Modell gibt, sollte die Ausnahmeregelung um zwei weitere Jahre verlängert werden. Das hat das Parlament abgelehnt und sich stattdessen für eine kürzere Laufzeit bis August 2027 sowie starke Einschränkungen der Befugnisse ausgesprochen. So soll u.a. die Suche nach einschlägigem Material nur bei konkretem Verdacht möglich sein. Der Rat der EU wollte sich die Option auf eine anlasslose Chatkontrolle offenhalten. Eine erneute Verlängerung hätte jetzt eine Vorentscheidung für die Verhandlungen über die dauerhafte Lösung bedeuten können; das sollte wohl verhindert werden.
Dann gab es ein Urteil des Bundesverwaltungsgerichts, das privaten Krankenversicherungen untersagt, ohne Einwilligung die Diagnosen der betroffenen Versicherten auszuwerten, die sich aus zur Erstattung eingereichten Rechnungen ergeben. Nachdem eine Krankenversicherung ihre Kunden zu Vorsorgeprogrammen passend zu ihren Krankheiten eingeladen hatte, hatte der rheinland-pfälzische Landesdatenschutzbeauftragte sie verwarnt. In der 1. und 2. Instanz urteilten die Richter noch zugunsten der dagegen klagenden Krankenkasse – das Bundesverwaltungsgericht monierte nun aber final, dass in der Interessenabwägung nach Art. 6 DSGVO die Interessen der Versicherten schwerer wiegen als das berechtigte Interesse der privaten Krankenkasse. Dies folgt aus dem in Art. 9 DSGVO verankerten erhöhten Schutz sensibler Gesundheitsdaten. Weiterhin gehörten die gegenständlichen Vorsorgeprogramme nicht zum medizinischen Kernbereich, auch wenn dem Ziel der Gesundheitsvorsorge und der angestrebten Reduzierung von Behandlungskosten – auch im Interesse der Versicherten – eine hohe Bedeutung zukommt. Auch die große Streubreite der beanstandeten Datenverarbeitung falle ins Gewicht. Obendrein habe die private Krankenkasse entgegen Art. 13 DSGVO ihre verfolgten Zwecke den Betroffenen gegenüber nicht hinreichend deutlich mitgeteilt.
Der EuGH setzt derweil dem DSGVO-Hopping Grenzen: Ein Mann aus Österreich hatte sich für den Newsletter des Optikers „Brillen Rottler“ angemeldet und nur 13 Tage danach Auskunft nach Art. 15 DSGVO verlangt. Der Optiker wies den Antrag wegen Missbräuchlichkeit zurück, daraufhin klagte der Betroffene auf mindestens 1.000 Euro Entschädigung – für den immateriellen Schaden, der ihm durch die Zurückweisung des Antrags entstanden sei.
Das zuständige Amtsgericht Arnsberg hat daraufhin den EuGH befragt. Einerseits dazu, ob ein erster Antrag eines Betroffenen auf Auskunft über personenbezogene Daten als „exzessiv“ gewertet werden kann; denn im Wortlaut spricht Art. 12 Abs. 5 DSGVO bei exzessiven Anträgen von „häufiger Wiederholung“. Unter Umständen kann aber auch ein erster Antrag exzessiv sein, so der EuGH: Nämlich wenn der Verantwortliche – die Beweislast liegt bei ihm – nachweisen kann, dass der Auskunftsantrag trotz formalen Einhaltens aller Voraussetzungen nicht gestellt wurde, um sich der Datenverarbeitung bewusst zu werden und deren Rechtmäßigkeit zu überprüfen. Sondern wenn er mit „missbräuchlicher“ Absicht gestellt wurde – dies kann z.B. daran festgemacht werden, dass die betroffene Person bereits bei mehreren anderen Verantwortlichen Auskunftsanträge gestellt und dann Schadensersatz gefordert hat. Also wenn sie künstlich die Voraussetzungen für die Erlangung von Schadensersatz schafft.
Das war auch die zweite Frage des Amtsgerichts: ob der Kläger Anspruch auf Schadensersatz (Art. 82 DSGVO) wegen Verletzung des Rechts auf Auskunft über diese Daten hat. Der EuGH entschied zwar, dass der Anspruch auf Ersatz immaterieller Schäden auch bei Verletzung des Auskunftsrechts nach Art. 15 DSGVO besteht, und zwar unabhängig davon, ob eine Datenverarbeitung stattgefunden hat. Dafür muss aber ein tatsächlich mit dem Verstoß kausal zusammenhängender Schaden entstanden sein, der konkret belegt wird. Wenn das eigene Verhalten die entscheidende Ursache für den Schaden ist, erhält die betroffene Person jedoch grundsätzlich keinen Schadensersatz nach der DSGVO, so der EuGH. Das abschließende Urteil muss nun das Amtsgericht Arnsberg treffen.
Die USA fordern eine neue Vereinbarung mit der EU im Rahmen der sogenannten „Enhanced Border Security Partnerships“, damit EU-Bürger weiter visafrei einreisen dürfen. Dafür sollen nationale biometrische Datenbanken mit Fingerabdrücken und Gesichtsscans von Europäern angelegt werden, auf die die USA dann Zugriff erhalten – wenn es nach den USA geht. Der Europäische Datenschutzbeauftragte fordert daher im Rahmen der laufenden Verhandlungen, strenge Beschränkungen für die Verwendung europäischer Daten festzulegen. Solange die Daten nur für die in den Verträgen und Beschlüssen beider Seiten tatsächlich festgelegten Zwecke verwendet werden, habe er aber keine Bedenken.
Nicht nur die Bremer Straßenbahn experimentiert mit KI, um für mehr Sicherheit zu sorgen: In Frankfurt am Main ist im Bahnhofsviertel seit Sommer 2025 Live-Gesichtserkennung mit festinstallierten Videokameras im Einsatz. Eine KI scannt täglich etwa 300.000 Gesichter und gleicht sie mit einer Fahndungsdatenbank ab. Für die Aufnahme in die Datenbank braucht die Polizei immerhin grundsätzlich einen richterlichen Beschluss. Aber: Die Technologie dahinter stammt vom berüchtigten Anbieter Palantir – auch wenn man sich grundsätzlich europäische Anbieter wünschen würde, es habe sich keiner gefunden, so der hessische Innenminister. Der hessische Datenschutzbeauftragte begleitet das Pilotprojekt im Bahnhofsviertel und prüft derzeit, ob die Kameras datenschutzkonform arbeiten; eine abschließende Bewertung steht noch aus.
Und ebenfalls bundesweit einmalig: Personen, die sich nicht ausweisen können oder wollen, kann die Frankfurter Polizei seit Kurzem per App identifizieren. Das BKA hat dazu eine Datenbank mit Fotos von 5,5 Millionen Menschen angelegt, die im Rahmen erkennungsdienstlicher Behandlungen gemacht oder im Rahmen von Ermittlungen erstellt oder beschlagnahmt wurden. Wenn die App jemanden erkennt, spuckt sie Namen und Geburtsdatum aus und, wenn vorhanden, Vergleichsfotos, Infos zu ansteckenden Krankheiten oder Gefährdungspotenzial und ob nach der Person gefahndet wird. Früher war Hessen Vorreiter beim Datenschutz – heute ist es Vorreiter bei der Überwachung mit KI.
Die Älteren unter uns werden sich erinnern: Während der Corona-Pandemie musste oft improvisiert werden. Ein kleiner Aspekt wurde nun vom OLG Jena aufgearbeitet. Es ging darum, wie bei Online-Prüfungen sichergestellt werden kann, dass da wirklich die Person die Prüfung schreibt, die vorgibt, dies zu tun. Jedenfalls dürfen dafür nicht automatisiert Live-Aufnahmen der Webcam mit vorhandenen Lichtbildern abgeglichen werden (sog. Proctoring). Denn dabei handelt es sich um biometrische Daten, sodass Art. 9 DSGVO einschlägig ist. Das OLG sprach der klagenden Studentin auch 200 Euro Schadensersatz zu, da diese ein unbestimmtes Gefühl der Überwachung spürte und befürchten musste, zu Unrecht eines Betrugsversuchs bezichtigt zu werden. Einen weitergehenden Schaden durch den Kontrollverlust über ihre biometrischen Informationen verneinte das OLG aber.
Und nochmal Biometrie: Unter dem Deckmantel des Bürokratieabbaus sollen Airlines und Flughäfen nach dem Willen der Bundesregierung auf die biometrischen Daten in unseren Pässen zugreifen dürfen – damit der Check-In am Schalter und die Identifizierung am Gate schneller (und digitaler) funktioniert. Bislang dürfen nur Polizei, Pass- und Meldebehörden die auf dem Chip gespeicherten und verpflichtend erhobenen Daten verarbeiten. Der Zugriff für private Unternehmen wäre ein absolutes Novum in Deutschland. So soll das biometrische Foto, das auf dem Chip gespeichert ist, den Fluglinien bspw. beim Einchecken zur Verfügung gestellt werden, damit diese die Fluggäste bei der Abfertigung biometrisch identifizieren können. Passagiere würden dazu beim Check-In fotografiert, biometrisch erfasst und dann über den Pass oder Personalausweis von den Luftfahrtunternehmen identifiziert werden. Laut Referentenentwurf wird mit einer sagenhaften Zeitersparnis von einer Minute pro Person gerechnet. Zumindest am Anfang soll die Methode freiwillig sein.
Bereits die vorherige Regierungskoalition hatte ähnliche Pläne – und wurde dafür vom damaligen Bundesdatenschutzbeauftragten Kelber kritisiert: Die „zur Erfüllung rein hoheitlicher Aufgaben erhobenen Daten sollen damit für das Angebot optionaler Komfortleistungen nichtöffentlicher Stellen freigegeben werden“. Die Freigabe würde einen gänzlich neuen Verarbeitungszweck bereits für die Erhebung und Speicherung der Daten auf dem Chip zu kommerziellen Zwecken begründen. Dieser Präzedenzfall könnte auch bei anderen Privatunternehmen Begehrlichkeiten wecken. Das Bundeskabinett soll am 29. April über das Gesetz beraten.