BRANDI-Datenschutzrechtstag

Zu unserem mittlerweile siebten Datenschutzrechtstag am 24. April 2026 war Herr Denis Lehmkemper, Landesdatenschutzbeauftragter aus Niedersachsen (LfD Niedersachsen), zu Gast bei BRANDI. Im Rahmen der Veranstaltung zum Thema „DSGVO gestern, heute und morgen – Reformbedarf und Reformvorschläge im Datenschutzrecht“ gab Herr Lehmkemper im Gespräch mit Juristinnen und Juristen, darunter Dr. Sebastian Meyer, Dr. Jan-Peter Möhle und Dr. Christoph Rempe einen interessanten Einblick in Herausforderungen und Lösungswege im Bereich von KI und Datenschutz sowie in die Arbeit als Landesdatenschutzbeauftragter. In diesem Schwerpunktthema möchten wir noch einmal auf den Datenschutzrechtstag zurückschauen und im Rahmen einer Zusammenfassung einen Einblick in die fachlichen Diskussionen und Vorträge gewähren.

KI und Datenschutz – Herausforderungen und Lösungswege

In dem ersten Teil der Veranstaltung wurde über die Herausforderungen und Lösungswege im Bereich KI und Datenschutz referiert.

In seinem Impulsvortrag gab Herr Lehmkemper zunächst einen Überblick über die KI-Regulierung und kam dann auf die Regelung in Art. 2 Abs. 7 KI-VO zu sprechen, wonach die DSGVO unberührt bleibe. Herr Lehmkemper betonte, dass diese scheinbar harmlose Regelung mit weitreichenden Herausforderungen für das Datenschutzrecht einhergehe. Zentrale Herausforderungen im Bereich KI und Datenschutz sei das Training generativer KI-Modelle mit personenbezogenen Daten, die Gewährleistung der DSGVO-Grundsätze der Richtigkeit und der Fairness von Ausgabedaten sowie die Umsetzung der Betroffenenrechte bei KI-Modellen.

Die KI-Trainingsdaten würden aus eigenen Datenbeständen, europäischen Datenräumen, aber auch aus Webscraping stammen. Bei letzterem habe der Verantwortliche keine Kenntnis über Umfang und Kategorien der personenbezogenen Daten, die Umstände der Veröffentlichung sowie über die Betroffenen. Hier werde die Grenze für eine zulässige Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO regelmäßig überschritten und die Rechtsgrundlagen für besondere Datenkategorien nach Art. 9 Abs. 2 DSGVO müssten hinzugezogen werden. Als Lösungsansätze formulierte Herr Lehmkemper die Verwendung von synthetischen oder „gemischten“ Daten, die Anonymisierung sowie die Regulierung von Webscraping und Datenbeständen durch die Freigabe von Webseitenbetreibern oder spezifische Rechtsgrundlagen.

Die Richtigkeit und Fairness von KI-Trainingsdaten sei ein wichtiger Aspekt für einen qualitativen Output. Nach Ansicht von Herrn Lehmkemper bestehe das Ziel von KI lediglich darin, sprachlich sinnvolle Antworten zu geben und nicht inhaltlich richtige. Auch demografische, politische, kulturelle und geschlechtliche Verzerrungen der Trainingsdaten würden sich im Output wiederspiegeln, was der Referent anhand beispielhafter Prompts wie „a portrait photo of a smart mayor“ demonstrierte. Als Lösung plädierte er für eine doppelte Ergebniskontrolle über Filter und Mensch.

Die Gewährleistung von Betroffenenrechten – insbesondere des Auskunfts- und Löschungsanspruchs – leide unter der fehlenden Kenntnis über die verwendeten Trainingsdaten, die im KI-Modell gespeicherten Daten und über die Output-Daten. Hier würden pro- und reaktive Maßnahmen sowie Filterungen zur Reduzierung von personenbezogenen Trainingsdaten und Output-Daten zu einer Lösung führen.

Zum Abschluss seines Impulsvortrags stellte Herr Lehmkemper Projekte seiner Landesdatenschutzbehörde vor – darunter das Forschungsvorhaben CRAI zur Errichtung eines Reallabors und eine eigene Stabstelle für KI – und formulierte Empfehlung an Landesgesetzgeber, -regierung und Verantwortliche. Von dem Landesgesetzgeber forderte er eine spezielle Rechtsgrundlage für das KI-Training, während er die Landesregierung zu Engagement bei der KI-Forschung und zur Unterstützung und Begleitung von Unternehmen bei der Implementierung von KI-Modellen anhielt. Verantwortlichen empfahl der Referent datenschutzfreundliche und digital souveräne KI-Modelle zu bevorzugen, technische und organisatorische Maßnahmen zu ergreifen sowie Dienstanweisungen zur datenschutzkonformen Nutzung von KI auszugeben.

Diskussion: Reformbedarf und Reformvorschläge

Herr Lehmkemper referierte in seinem Vortrag über die Herausforderungen bei der Anwendung der DSGVO auf KI-Modelle und KI-Systeme, die in der anschließenden Podiumsdiskussionen nochmal aufgegriffen und vertieft wurden. In diesem Zusammenhang erläuterte Herr Dr. Meyer, welchen großen Irrtümern Unternehmen aus seiner Sicht bei dem Einsatz von KI unterliegen. Auf die Frage, ob Datenschutz zum „Bremsklotz“ geworden sei, formulierte Herr Dr. Möhle eine Antwort und verdeutlichte, welche Missverständnisse auf Seiten von Unternehmen hinsichtlich der DSGVO noch bestünden. In der Industrie werde künstliche Intelligenz für die unterschiedlichsten Aufgabenfelder eingesetzt, wie etwa für das Sortieren von kleinen Bauelementen oder zur Identifizierung von Verschleißteilen in Produktionsanlagen oder der Berechnung der Lebensdauer einzelner Komponenten; hier erfolge regelmäßig schon keine Verarbeitung von personenbezogenen Daten, sodass der Anwendungsbereich der DSGVO überhaupt nicht eröffnet sei. Hinsichtlich der Schnittstelle von Datenschutz- und Arbeitsrecht identifizierte er hingegen ein Spannungsfeld. Dabei wurde thematisiert, dass die Inanspruchnahme von Betroffenenrechten im Nachgang an Beschäftigungsverhältnisse mitunter zu einer erheblichen Belastung für Arbeitgeber führen kann, was Fragen zur Zweckbindung aufwirft. Hier benannte Herr Dr. Möhle de lege ferenda einen möglichen Klärungsbedarf. Anschließend erörterten die Diskussionsteilnehmer gemeinsam mit dem Publikum, ob und wie die DSGVO reformiert werden könnte. Es wurde diskutiert, ob der hohe Dokumentationsaufwand der DSGVO – z.B. für das Führen von Verarbeitungsverzeichnissen – noch zeitgemäß ist. Zudem kam die Frage auf, ob Aufsichtsbehörden Unternehmen besser unterstützen könnten, indem sie beispielsweise Positiv- und Negativlisten (sog. White- und Blacklists) für Softwarelösungen veröffentlichen.

Fallstudien zum Datenschutzrecht

Zum Abschluss der Veranstaltung präsentierten Anwältinnen und Anwälte sowie Wissenschaftliche Mitarbeitende von BRANDI im Rahmen von Kurzvorträgen verschiedene Fallstudien.

Compliance-Maßnahmen im Spannungsfeld von § 202a, § 202b StGB, Art. 32 DSGVO und (un-)erlaubter Privatnutzung

Herr Harold Derksen führte die Fallstudien mit dem Thema „Compliance-Maßnahmen im Spannungsfeld von § 202a, § 202b StGB, Art. 32 DSGVO und (un-)erlaubter Privatnutzung“ an. Nach einer kurzen Vorstellung möglicher Compliance-Maßnahmen wurden – unter Hinweis auf relevante Branchen und den risikobasierten Ansatz der DSGVO – die Gründe für wirksame Schutzmaßnahmen sowie strafrechtliche Risiken nach § 202a, § 202b StGB erläutert. Nach § 202a StGB werde das Verschaffen von Daten unter Überwindung der Zugangssicherung – bspw. Passwörter – unter Strafe gestellt, während § 202b StGB die Verschaffung von Daten unter Anwendung technischer Mittel wie DLP und TLS/SSL sanktioniert. Zum Schluss ging Herr Derksen auf das Problem der erlaubten Privatnutzung – bei der nicht das Unternehmen, sondern der Beschäftigte die Verfügungsberechtigung über persönliche Daten haben – und das Erfordernis von Einverständniserklärungen ein. Auf welche Daten wird zugegriffen? Warum ist der Zugriff erforderlich? Liegen umfassende und wirksame Einverständniserklärungen vor? Und wer überwacht die Rechtmäßigkeit der jeweiligen Maßnahme? Dies seien Überprüfungsfragen, die sich Unternehmen zur Implementierung wirksamer Compliance-Maßnahmen stellen sollten.  

Cookie-Einwilligungen und Einwilligungs-Management – Reformbedarf und Reformvorschläge

Im zweiten Vortrag berichtete Frau Johanna Schmale über den Reformbedarf und Reformvorschläge für Cookie-Einwilligungen und das Einwilligungs-Management. Zunächst wurde die bisherige und aktuelle Rechtslage von der Widerspruchslösung bis zum grundsätzlichen Erfordernis einer aktiven Einwilligung herausgearbeitet. Der heutige § 25 TDDDG regele, dass eine Einwilligung unabhängig von einem Personenbezug eingeholt werden muss, lasse aber auch bestimmte Ausnahmen zu. Zudem erläuterte Frau Schmale die aktuelle praktische Umsetzung der gesetzlichen Regelung und Problematiken. Zwar verweise § 25 Abs. 1 S. 2 TDDDG auf die datenschutzrechtlichen Informationspflichten und Anforderungen an eine Einwilligung und werde durch Rechtsprechung und Aufsichtsbehörden konkretisiert. Allerdings bestehe kein einheitlicher Standard für die Gestaltung von Einwilligungsbannern und keine Kategorisierung von (nicht-)einwilligungsbedürftigen Diensten, was zu Rechtsunsicherheit und Kosten für Online-Dienste führt. Betroffene würden Einwilligungsbanner eher als Belästigung wahrnehmen. Anschließend präsentierte Frau Schmale häufige Gestaltungsmöglichkeiten und kritisierte die dabei entstehenden Irreführungen der Betroffenen. Für einen digitalen Omnibus werde von der EU-Kommission vorgeschlagen, die individuellen Präferenzen der Betroffenen von Browsern und Mobiltelefon-Anwendungen an Websites und -dienste zu übermitteln. Zudem solle die Verarbeitung von personenbezogenen Daten in und von Endeinrichtungen ausschließlich in der DSGVO geregelt werden. Auch soll eine Liste der Zwecke, zu denen die Datenverarbeitung ohne Einwilligung zulässig sein soll, festgelegt werden.

NIS-2-Richtlinie und DSGVO – Netz- und Informationssicherheit trifft Datenschutz

Des Weiteren stellten Herr Habib Majuno und Frau Mira Husemann die Anforderungen der NIS-2-Richtline denen der DSGVO gegenüber. Nach einer kurzen Einführung in die Hintergründe der NIS-2-Richtlinie, die national im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (im Folgenden: „BSI-Gesetz“) umgesetzt ist, gingen sie unter Berücksichtigung der unterschiedlichen Schutzrichtungen von NIS-2-Richtlinie und DSGVO – die NIS-2-Richtlinie soll das Cybersicherheitsniveau in der Europäischen Union erhöhen, die DSGVO dient dem Schutz personenbezogener Daten – auf die im Falle der Betroffenheit umzusetzenden Schutzmaßnahmen ein. Zum Schutz von Netzwerk- und Informationssystemen enthalte § 30 Abs. 2 BSI-Gesetz einen konkreten Maßnahmenkatalog mit Mindestmaßnahmen für relevante Einrichtungen. Demgegenüber formuliere Art. 32 DSGVO zum Schutz von personenbezogenen Daten nur beispielhafte Maßnahmen, die bereits bei wenig eingriffsintensiven Datenverarbeitungen implementiert werden müssten. Dabei wurde der risikobasierte Ansatz als Gemeinsamkeit beider Regelungen festgemacht, der bei der Planung und Umsetzung von Schutzmaßnahmen zu beachten ist. Für die Praxis empfahlen Herr Majuno und Frau Husemann sich an anerkannten Standards, wie etwa ISO/IEC 27001 für Informationssicherheits-Managementsysteme (ISMS), zu orientieren und ausgehend vom Mindestmaßnahmenkatalog des § 30 Abs. 2 BSI-Gesetz einen zyklischen und iterativen Ansatz bestehend aus Planung, Umsetzung, Erfolgskontrolle und Optimierung für das Risikomanagement zu wählen. Gleichzeitig betonten Herr Majuno und Frau Husemann, dass eine Zertifizierung nach ISO/IEC 27001 für betroffene Unternehmen noch nicht bedeute, dass sie NIS-2-konform seien oder sämtliche Anforderungen nach § 30 BSIG erfüllten (vgl. #nis2know-Infopaket des BSI). Im Anschluss stellten Herr Majuno und Frau Husemann ausgewählte Aspekte aus dem Mindestmaßnahmenkatalog des § 30 Abs. 2 BSIG dar und erörterten beispielsweise wie die Sicherheit der Lieferkette (§ 30 Abs. 2 Nr. 4 BSIG) in der Praxis umgesetzt und dokumentiert werden könnte. Sodann wurden die Gemeinsamkeiten und Unterschiede zwischen der Verantwortlichkeit der Geschäftsleitung nach § 38 Abs. 1 BSI-G und der datenschutzrechtlichen Verantwortlichkeit nach der DSGVO gegenübergestellt, bevor die Vortragenden die Registrierungs- und Meldepflichten nach §§ 32 f. BSI-G erläuterten. In diesem Zusammenhang betonten Herr Majuno und Frau Husemann ausdrücklich die Dualität der Meldekanäle; ein Unternehmen, das in den Anwendungsbereich der NIS-2-Richtlinie falle, müsse einen Cybersicherheitsvorfall von dem auch personenbezogene Daten betroffen seien, daher zukünftig möglicherweise sowohl dem BSI als auch der zuständigen Datenschutzbehörde (z.B. der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen) melden. In beiden Fällen sollte die Meldung in Absprache mit der eigenen Rechtsabteilung und/oder dem Datenschutzbeauftragten des Unternehmens erfolgen. Dies gilt auch, wenn das Unternehmen es für zweckmäßig erachtet, dass die Meldung eines „erheblichen Sicherheitsvorfalls“ nach § 32 BSI-Gesetz – anders als die Meldung eines Datenschutzverstoßes nach Art. 33 DSGVO – durch den Informationssicherheitsbeauftragten und nicht durch den Datenschutzbeauftragten des Unternehmens erfolgt. Dies liege darin begründet, dass die Frage nach der Erheblichkeit nicht ausschließlich technischer, sondern auch rechtlicher Natur ist. Anhand der Person des Informationssicherheitsbeauftragten und des Datenschutzbeauftragten erläuterten die Vortragenden anschließend, dass trotz überschneidender Aufgabenfelder wegen der unterschiedlichen Schutzrichtungen der NIS-2-Richtlinie und der DSGVO auch Interessenkonflikte bestehen könnten, wenn die Erhöhung der Netzwerk- und Informationssicherheit eine umfassende Auswertung personenbezogener Daten (z.B. aus dem E-Mail-Postfachs der Beschäftigten) erfordere, sodass Unternehmen idealerweise zwei unterschiedliche Personen für die jeweiligen Rollen vorsehen sollten.  

Abwehr von Auskunftsansprüchen – Vom Newsletter-Abo zur Schadensersatzpflicht

Herr Lasse Gastrock berichtete zum Abschluss über die Abwehr von Auskunftsansprüchen am Beispiel des aktuellen EuGH-Urteils (EuGH, Urt. v. 19.03.2026 - Az.: C 526/24). Nach einer kurzen Vorstellung des Sachverhalts warf Herr Gastrock eine der zentralen Fragen des Urteils auf: „Kann ein erster Auskunftsantrag überhaupt exzessiv sein?“ Der EuGH gebe für die Bewertung eines Rechtsmissbrauchs eine zweistufige Prüfung vor. Aus den objektiven Umständen müsse sich ergeben, dass trotz formaler Einhaltung der in Art. 15 DSGVO vorgesehenen Bedingungen das Ziel dieser Regelung nicht erreicht werde. Zweitens müsse der Betroffene subjektiv die Absicht haben, sich aus der DSGVO einen Vorteil zu verschaffen, indem er die Voraussetzungen des Anspruchs künstlich schafft. Die Frage, ob sich ein Unternehmen zur Begründung der Weigerung auf öffentlich zugängliche Informationen stützen kann,  habe der EuGH ganz klar mit „Ja“ beantwortet. Hinsichtlich des Schadensersatzes stelle der EuGH klar, dass der erforderliche Kausalzusammenhang zwischen Verstoß und Schaden durch eine für den Schaden ursächliche Handlungsweise der betroffenen Person unterbrochen werden könne oder durch die Entscheidung, Daten in der Absicht zu übermitteln, künstlich die Anspruchsvoraussetzungen zu schaffen. Seinen Vortrag schloss Herr Gastrock mit Handlungsempfehlung wie einer ordentlichen Dokumentation, Hinweisen zur Recherche bei Auskunftsanfragen sowie Erläuterungen zu den stärksten Indizien für rechtsmissbräuchliche Auskunftsverlangen.