Newsletter Datenschutz 08/2025

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenschutz auf Messen

Messen bieten Unternehmen die Möglichkeit, ihre Produkte und Dienstleistungen einem größeren Publikum vorzustellen, den Bekanntheitsgrad ihrer Marke(n) zu erhöhen sowie das Unternehmen insgesamt positiv in den relevanten Märkten zu positionieren. Am Stand des Unternehmens können sich Messebesucher über die neuesten Produkte und Dienstleistungen informieren und mit den Vertretern des Unternehmens in Kontakt treten. Eine datenschutzrechtlich relevante Verarbeitung personenbezogener Daten ergibt sich hieraus regelmäßig nicht. Eine andere Bewertung kann sich dann ergeben, wenn sich Messebesucher vom Kauf eines Produktes vor Ort überzeugen lassen oder zum Abonnement eines Newsletters animiert werden können. Sowohl die Abwicklung von Verträgen als auch das Bereitstellen von Newslettern setzt das Erheben, Speichern und Verwenden von personenbezogenen Daten voraus. Der Umgang mit personenbezogenen Daten sollte hierbei immer ordnungsgemäß und professionell erfolgen. Im Schwerpunktthema soll daher genauer beleuchtet werden, wie die datenschutzkonforme Verarbeitung personenbezogener Daten auf Messen aussehen kann. 

Zum vollständigen Schwerpunktthema

EU-Kommission hält an Zeitplan der KI-Verordnung fest

Die gestaffelte Anwendbarkeit der KI-Verordnung bleibt ohne zeitliche Verzögerung bestehen. Seit dem 1. August 2025 gelten die Regelungen der zweiten Stufe. Diese Regelungen betreffen vor allem den Einsatz von KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI – GPAI). Hierunter fallen etwa häufig genutzte Systeme wie Mistral oder ChatGPT. Außerdem finden jetzt auch die Regelungen zu Sanktionen und zur Organisation des Europäischen Amts für künstliche Intelligenz (AI-Office) Anwendung. Das AI-Office soll zukünftig die Einhaltung der Vorgaben aus der KI-VO für GPAI-Modelle länderübergreifend überwachen und durchsetzen und sich hierfür mit den eigentlichen Aufsichtsbehörden in den EU-Mitgliedsstaaten (in Deutschland der Bundesnetzagentur) abstimmen.

Die Verordnung über künstliche Intelligenz (KI-Verordnung) ist bereits am 1. August 2024 in Kraft getreten. Die Verordnung enthält umfassende Regeln für Künstliche Intelligenz und hat das Ziel, Grundrechte zu gewährleisten und Innovation zu fördern. Zur KI-Verordnung haben wir u. a. in unserem Newsletter April 2024 berichtet. Die Verordnung sieht eine gestaffelte Anwendbarkeit in vier Stufen vor. Die ersten Regelungen gelten bereits seit Februar 2025. Mit dieser ersten Stufe der Anwendbarkeit erfolgte ein Verbot von KI-Systemen mit unzumutbarem Risiko gem. Art. 5 KI-VO sowie die Anwendung allgemeiner Bestimmungen gem. Art. 1-4 KI-VO. Einem Medienbericht zufolge kamen Wünsche nach einer Verschiebung wichtiger Fristen der KI-Verordnung auf (Bericht vom 08.07.2025). Insbesondere sei die Verzögerung bei der Erstellung des „Code of Practice“, der von der Europäischen Kommission für die KI mit allgemeinem Verwendungszweck erarbeitet wird, als ein Argument für eine mögliche Verschiebung angeführt worden. Unabhängig hiervon werde die Kommission aber an dem bisherigen Zeitplan festhalten. Dies hat zuletzt der Kommissionssprecher für Digitales, Thomas Regnier nochmals bestätigt. Zwischenzeitlich hat übrigens die Europäische Kommission die endgültige Fassung des Kodex auch erhalten. Es steht jetzt die Bewertung durch das AI Office an.

(Geraldine Paus)

Online-Streitschlichtungsplattform der EU-Kommission wird abgeschaltet

Die Europäische Plattform für Online-Streitbeilegung (ODR) wird zum 20. Juli 2025 abgeschaltet (Verordnung (EU) 2024/3228). Die Plattform wurde für Verbraucher und Unternehmer als zentrale Anlaufstelle zur Verfügung gestellt, um Streitigkeiten, die aus Online-Kauf- und Online-Dienstleistungsverträgen entstanden sind, außergerichtlich beilegen zu können. Die Plattform diente zur Ermittlung der passenden nationalen Stelle für die alternative Streitbeilegung.

Als Gründe für die Abschaltung der Plattform werden die geringe Nutzung der Plattform für Beschwerden und die geringe Anzahl an positiven Antworten der Unternehmen genannt, so dass die Weiterleitung der Anfrage über die Plattform an eine aufgeführte Stelle zur alternativen Streitbeilegung nicht erfolgen konnte.

Über die Webseite Online-Streitbeilegung informiert die Europäische Kommission über die Abschaltung der Plattform und gibt weitere Informationen zur Beilegung verbraucherrechtlicher Streitigkeiten und zu nationalen Kontaktstellen.

Mit dem Abschalten der Plattform müssen Online-Händler ihre Webseiten anpassen und Informationen über die OS-Plattform und Verlinkungen zu dieser entfernen.

(Geraldine Paus)

LG Nürnberg-Fürth zur Auskunftspflicht sozialer Netzwerke

Betroffene haben einen weitreichenden Auskunftsanspruch bei der Verarbeitung ihrer personenbezogenen Daten, der auch personenbezogene Daten umfasst, die ein Onlinenetzwerk über Dritt-Webseiten und Apps erlangt hat.

Das LG Nürnberg-Fürth musste sich mit dem Umfang des Auskunftsanspruchs für personenbezogene Daten befassen, da ein Onlinenetzwerk die Auskunft für die Daten, die es über Dritt-Webseiten und Apps erlangt hatte, nicht erteilen wollte. Das Landgericht verurteilte die Beklagte, die Auskunft nach Art. 15 Abs. 1 lit. a), c), g) und h) DSGVO zu erteilen und die Daten nach Erteilung der Auskunft aufgrund unrechtmäßiger Verarbeitung vollständig zu löschen und für den hervorgerufenen Kontrollverlust der Daten 500,00 € an die Klagepartei zu zahlen (Urteil vom 20.02.2025). Nach Auffassung des Gerichts bestehe ein weitreichender Auskunftsanspruch gem. Art. 15 DSGVO bei der Verarbeitung von personenbezogenen Daten, die ein Onlinenetzwerk auf Dritt-Webseiten und Apps erlange. Das Gericht sei davon überzeugt, dass die Beklagte die personenbezogenen Daten der Klagepartei über das Netzwerk verarbeite, insbesondere durch Tools auf Dritt-Webseiten und Apps und damit Verantwortliche i. S. des Art. 4 Nr. 7 DSGVO und auskunftspflichtig gegenüber der Klagepartei sei.  Für eine rechtmäßige Verarbeitung der personenbezogenen Daten über Dritt-Webseiten und Apps müsse eine wirksame Einwilligung eingeholt werden. Unter Berücksichtigung des Umfangs der fraglichen Datenverarbeitung und der nötigen Transparenz könne eine wirksame Einwilligung gewährleistet sein, wenn diese gesondert – für netzwerkinterne und netzwerkexterne Daten – erfolge. Auch auf Dritt-Webseiten und Dritt-Apps habe die Beklagte keine wirksame Einwilligung zur Verarbeitung der dort angefallenen Daten eingeholt. Die Beklagte sei die alleinige „Verantwortliche“ und das Einholen der entsprechenden Einwilligungen könne nicht an die Webseitenbetreiber „ausgelagert“ werden.

Zudem sei ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO gegeben, da die Beklagte die personenbezogenen Daten der Klagepartei auf unrechtmäßige Weise verarbeitet habe und hierdurch ein Schaden entstanden sei, der kausal auf die Datenschutzverletzung zurückzuführen sei. Auch führe die unrechtmäßige Verarbeitung personenbezogener Daten in Onlinenetzwerken zu einem Löschanspruch gem. Art. 17 Abs. 1 lit. d) DSGVO.

(Geraldine Paus)

BVerwG Österreich: Geldbuße i.H.v. 15.000 Euro wegen nicht funktionierender Datenschutz-Mailadresse

Das BVerwG Österreich verurteile ein Unternehmen aufgrund mehrerer Datenschutzverstöße zu einer Geldbuße in Höhe von 15.000,00 Euro (BVerwG Österreich, Urt. v. 27.03.2025 - W2982285480-1/10E).

Das Unternehmen nannte als verantwortliche Stelle auf seiner Internetseite in Erfüllung seiner datenschutzrechtlichen Pflichten eine E-Mail-Adresse, über welche Betroffene ihre Rechte aus Art. 15 DSGVO ausüben können. Diese existierte tatsächlich jedoch nicht bzw. war keiner gültigen Domain zugeordnet, sodass die Löschungsanfrage eines Kunden über die E-Mail-Adresse das Unternehmen nicht erreichen konnte und nicht bearbeitet wurde. Aus diesem Grund reichte der betroffene Kunde eine Beschwerde bei der zuständigen Datenschutzbehörde ein. Das Unternehmen löschte die personenbezogenen Daten des betroffenen Kunden erst nach mehrfacher Aufforderung und unter Einschaltung der Datenschutzbehörde. Nach Auffassung des BVerwG besteht eine Verletzung der Pflicht aus Art. 12 Abs. 2 DSGVO, wenn die E-Mail-Adresse des Unternehmens über einen längeren Zeitraum nicht funktioniert.

Eine Reaktion des Unternehmens auf weitere Anschreiben der Datenschutzbehörde sowie eine Anpassung der Datenschutzerklärung blieben aus. Infolgedessen wird dem Unternehmen zusätzlich ein Verstoß gegen die Auskunftspflicht aus Art. 12 Abs. 3 i. V. m. Art. 17 DSGVO sowie ein Verstoß gegen die Obliegenheit der Zusammenarbeit mit der Datenschutzbehörde aus Art. 31 DSGVO zu Lasten gelegt.

(Mira Husemann)

VG Bremen: Nutzung von Kundendaten nach Vertragsende

In seinem Urteil vom 23.04.2025 entschied das VG Bremen, dass eine nachvertragliche Nutzung von Kundendaten zur Rückgewinnung bis zu 24 Monate datenschutzrechtlich zulässig sei (VG Bremen, Urt. v. 23.04.2025 - 4 K 2873/23).

Dem Ausgangsstreit liegt ein Sachverhalt zugrunde, in dem ein Energieversorgungsunternehmen 24 Monate nach Vertragsbeendigung werbliche Haustürbesuche zur Kundenrückgewinnung vornimmt. Die hierzu verarbeiteten personenbezogenen Daten umfassen die Adresse und die Zählerstelleninformationen, sowie in Einzelfällen Anrede und Namen der ehemaligen Kunden. Diese Datenverarbeitung sei ein Sekundärzweck nach Art. 6 Abs. 1 lit. f) i. V. m. Abs. 4 DSGVO. Das bedeutet, die Datenverarbeitung wurde ursprünglich für einen anderen Zweck – nämlich für Werbezwecke per Postversand während der Vertragslaufzeit – vorgenommen und später auch für nachvertragliche Haustürwerbung genutzt. Der Sekundärzweck sei mit dem Primärzweck der ursprünglichen Datenerhebung vereinbar. Voraussetzung sei eine enge Verbindung zwischen der Datenerhebung und Weiterverarbeitung; insbesondere, dass die Weiterverarbeitung von den legitimen Erwartungen der Betroffenen gedeckt ist. Eine enge Verbindung sei durch den Zweck der Kundenrückgewinnung begründet. Ferner sei die Weiterverarbeitung nach den Datenschutzinformationen des Unternehmens zwar nicht vorhersehbar, eine Werbung durch persönliche Ansprache und eine zeitlich begrenzte Verwendung der Daten nach Vertragsbeendigung sei jedoch vernünftigerweise zu erwarten und teilweise auch von Kunden gewünscht. Zu berücksichtigen ist, dass die Datenverarbeitung weder besonders sensible Daten betreffe, noch schwere Folgen für den Kunden entstehen würden.

Außerdem sei eine Aufbewahrung über 24 Monaten erforderlich im Sinne des Art. 6 Abs. 1 lit. f) DSGVO. Energieversorgungsverträge hätten üblicherweise eine Vertragslaufzeit von 12 bis 24 Monaten, sodass eine erneute Nutzung der Daten nach dieser Zeit das wirtschaftlich sinnvollste Mittel zur Kundenrückgewinnung darstelle.

(Mira Husemann)

Schadensersatz wegen unerlaubten Einsatzes von Meta Business Tools

Das LG Stuttgart verurteilte den Konzern Meta aufgrund einer rechtswidrigen Speicherung von Off-Site-Daten zu einer Zahlung von Schadensersatz in Höhe von 300,- Euro (LG Stuttgart, Urt. v. 05.02.2025 - 27 O 190/23).

Bei den beanstandeten Off-Site-Daten geht es um die Zusammenführung von Daten aus Webseiten und Apps Dritter mit Nutzerkonten auf Meta-Diensten. Sofern ein solcher Drittunternehmer Meta Business Tools in seine Website oder App einbindet, werden diese Off-Site-Daten zur Schaltung einer personalisierten Werbung auf Meta weitergeleitet. Die Verweigerung der Einwilligung zur Nutzung der Daten für personalisierte Werbung ist durch entsprechende Einstellungen in dem Meta-Konto möglich, der Speicherung kann hingegen nicht widersprochen werden.

Meta könne sich für die Speicherung von Off-Site-Daten nicht auf die von Drittunternehmern zur Weiterleitung der Daten eingeholte Einwilligung stützen, vielmehr stelle die Speicherung von Daten als Aufbewahrung zum Zweck weiterer Verarbeitung oder Nutzung eine eigenständige Datenverarbeitung nach Art. 4 Nr. 2 DSGVO dar und bedürfe einer gesonderten Rechtsgrundlage. Verantwortliche Stelle für die Datenspeicherung sei die Beklagte allein. Ein Rechtfertigungstatbestand konnte von der Beklagten nicht dargelegt werden, sodass die Speicherung rechtswidrig sei und einen Löschungsanspruch nach Art. 17 Abs. 1 DSGVO begründe.

Zudem ist dem Kläger aufgrund eines Kontrollverlustes über die Off-Site-Daten ein immaterieller Schaden im Sinne von Art. 82 DSGVO entstanden. Der Beklagte kann zwar die mit dem Meta Business Tool erhobenen und übermittelten Daten von seinem Nutzerkonto trennen, sodass diese nicht mehr zugeordnet werden können. Eine Löschung durch Konfiguration seines Kontos ist hingegen nicht möglich und auch der Zweck der Datenspeicherung ist nicht nachvollziehbar.

(Mira Husemann)

OLG Frankfurt a.M.: Erforderlichkeit von Daten zur Vertragserfüllung

Das OLG Frankfurt a. M. entschied mit Urteil vom 10.07.2025, dass die zwingende Angabe einer E-Mail-Adresse oder Mobiltelefonnummer bei dem Erwerb eines Fahrticket mangels Rechtsgrundlage eine rechtswidrige Datenverarbeitung darstellt und gegen Art. 5 Abs. 1 lit. a) DSGVO verstößt (OLG Frankfurt, 10.07.2025 - 6 UKl 14/24).

Bis zum 15.12.2024 bot die Beklagte – die DB Fernverkehr AG – den Verkauf von „Spar-“ bzw. „Super-Sparpreistickets“ laut eigenen Beförderungsbedingungen allein in Form von digitalen Tickets an. Für den Erwerb dieser Tickets war sodann eine E-Mail-Adresse oder Mobiltelefonnummer anzugeben.

Die Datenverarbeitung verstößt gegen das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO und kann mangels Freiwilligkeit nicht auf eine Einwilligung der Kunden gem. Art. 6 Abs. 1 lit. a) DSGVO gestützt werden. Insbesondere der Nachweis, dass der Vertrag – die Erbringung der Beförderungsdienstleistung – nicht ohne die Datenverarbeitung erfüllt werden kann, sei der Beklagten nicht gelungen. Denn für die Gewährung eines Einnahme-, Vervielfältigungs-, Missbrauchs- und Übertragungsschutzes seien nur die Erhebung der Identitätsdaten des Kunden und nicht die Erhebung seiner E-Mail-Adresse erforderlich. Zudem ist nach Rechtsprechung des EuGH die marktbeherrschende Stellung der verantwortlichen Stelle auf dem Markt des Eisenbahnfernverkehrs als ein Indiz für das Fehlen der Freiwilligkeit zu berücksichtigen. Die Kunden sind mangels anderweitigem, zumutbaren Zugang zu gleichwertigen Leistungen am Markt nicht in der Lage, die Einwilligung ohne darauffolgende Nachteile zu verweigern. Folglich entstehe für die Kunden eine Drucksituation, welche die Freiheit zur Willensentschließung aufhebe.

Indem der Zweck des digitalen Tickets allein in dem Nachweis des Vertragsabschlusses über die Beförderungsdienstleistung und der Bezahlung des Entgelts liegt, ist die Erhebung und Verarbeitung der E-Mail-Adresse weder zur Vertragserfüllung nach Art. 6 Abs. 1 lit. b) DSGVO noch zur Verwirklichung der berechtigten Interessen nach Art. 6 Abs. 1 lit. f) DSGVO notwendig. Die Erleichterung und Effizienz der Abwicklung der Hauptleistung sei für die Notwendigkeit nicht ausreichend.

(Mira Husemann)

OLG Nürnberg: Darlegungs- und Beweislast bei Löschungsanspruch

In seinem Beschluss vom 11.06.2025 hatte sich das OLG Nürnberg mit der Darlegungs- und Beweislast bei einer Datenverarbeitung nach Art. 6 Abs. 1 lit. f) DSGVO zu befassen (OLG Nürnberg, Beschl. v. 11.06.2025 - 3 U 383/25). Nach allgemeinen zivilrechtlichen Grundsätzen sei die Darlegungs- und Beweislast für ein überwiegendes Interesse an dem Schutz personenbezogener Daten bei dem Betroffenen selbst zu verorten.

Zum Zweck einer geschäftlichen Bonitätsauskunft im Kreditsektor speichert die Beklagte zwei Einträge über das Zahlungsverhalten der Klägerin. Die Einträge beinhalten jeweils eine Forderung über 100,- Euro und 201,30 Euro, welche von der Klägerin – der Schuldnerin dieser Forderungen – über vier Jahre nicht bezahlt wurden. Die Klägerin forderte die Löschung der Einträge, die Berichtigung des Score-Wertes und die Unterlassung erneuter Speicherung der Einträge.

Im dem konkreten Fall diene die Datenverarbeitung dem sozioökonomischen Interesse des Kreditsektors und damit bestehe ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO für die Beklagten und ihre Vertragspartner. Durch die Formulierung „[…] sofern nicht […]“ bestehe ein Regel-Ausnahme-Verhältnis für die Rechtmäßigkeit der Datenverarbeitung. Infolgedessen könne die Rechtmäßigkeit von dem Betroffenen widerlegt werden, sofern dessen Interessen überwiegen. Bloß gleichwertige Interessen würden nicht ausreichen. Um ein Überwiegen seiner Interessen darzulegen, müssten negative Auswirkungen durch den Betroffenen konkretisiert werden. Insbesondere pauschale Verweisungen auf ein Interesse an der wirtschaftlichen Teilhabe oder dem Gefühl, unberechtigt in einem negativen Licht dargestellt zu werden, würden nicht ausreichen.

Eine andere Beweislastverteilung ergebe sich auch nicht aus vergangener Rechtsprechung. Zwar liegt die Beweislast nach Rechtsprechung des EuGH für die wirtschaftsverwaltungsrechtliche Rechenschaftspflicht aus Art. 5 Abs. 2 und Art. 24 DSGVO bei der verantwortlichen Stelle (EuGH, Urt. v. 14.12.2023 - C-340/21). Jedoch ergebe sich aus derartigen öffentlich-rechtlichen Sachverhalten keine generelle Beweislast der daten-schutzrechtlich verantwortlichen Stelle. Auch die Rechtsprechung zu äußerungsrechtlichen Streitigkeiten - bei denen die Beweisregel des § 186 StGB über § 823 Abs. 2 BGB angewendet wird - sei mangels übler Nachrede oder Verbreitung einer Tatsachenbehauptung nicht auf diesen Fall übertragbar.

(Mira Husemann)

Aufsichtsbehörden sprechen sich für Vereinheitlichung von Meldewegen aus

Die Datenschutzaufsichtsbehörden der Länder haben sich für eine Vereinfachung der Meldepflichten im Rahmen der NIS-2-Richtlinie ausgesprochen (Pressemitteilung v. 04.07.2025). Unternehmen sollen künftig die Möglichkeit haben, IT-Sicherheitsvorfälle nach der neuen NIS-2-Richtlinie und Datenschutzvorfälle nach der DSGVO in einem einheitlichen Verfahren zu melden und zugehörige Unterlagen innerhalb eines einheitlichen Prozesses einzureichen. Aus Sicht der Datenschützer führt die Vereinheitlichung zu einem Bürokratieabbau, einer spürbaren Entlastung der Unternehmen und der Beschleunigung behördlicher Verfahren. Ein entsprechender Vorschlag für eine Gesetzesänderung wurde von den Datenschutzbehörden im Rahmen der Länder- und Verbändebeteiligung an das Bundesministerium des Innern übermittelt.

Die Berliner Landesdatenschutzbeauftragte, Meike Kamp, betonte: „Statt Meldungen doppelt einreichen zu müssen, sollten Unternehmen alle Meldungen in einem Schritt erledigen können.“ Bettina Gayk, Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, äußerte sich zudem wie folgt: „Der Abbau bürokratischer Hürden für Unternehmen ist absolut sinnvoll. Auch wir Datenschützer*innen wollen unnötige Bürokratie nicht. Unsere Arbeit will erreichen, dass die Privatsphäre und Selbstbestimmung der Menschen gesichert bleibt.“

(Christina Prowald)

Berliner Datenschutzbeauftragte will KI-App DeepSeek in deutschen Appstores sperren lassen

Die KI-App DeepSeek wurde am 27.06.2025 von der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Meike Kamp, als rechtswidriger Inhalt an die App-Plattformen Google und Apple gemeldet (Pressemitteilung v. 27.06.2025). Die Entscheidungen der Betreiber über eine Sperrung steht bislang noch aus.

DeepSeek ist ein KI-gestützter multifunktionaler Chatbot, der von der Hangzhou DeepSeek Artificial Intelligence Co., Ltd. mit Sitz in Beijing, China, betrieben wird. Der Dienst verarbeitet und übermittelt laut eigener Angaben personenbezogene Daten in umfangreichem Ausmaß an chinesische Auftragverarbeiter. Zudem findet eine Speicherung auf chinesischen Servern statt.

Eine Niederlassung in der Europäischen Union besteht zwar nicht, dennoch ist der Anwendungsbereich der Datenschutzgrundverordnung nach Art. 3 Abs. 2 lit. a) DSGVO eröffnet und die hohen europäischen Datenschutzanforderungen müssen ebenso bei einer Übermittlung personenbezogener Daten in Drittstaaten erfüllt werden. Grund hierfür ist, dass der Dienst in deutscher Sprache verwendet werden kann und deutschen Nutzern über App-Plattformen wie den Google Play Store oder den Apple Store mit Beschreibung in deutscher Sprache angeboten wird. Ein erforderlicher Angemessenheitsbeschluss oder eine Garantie im Sinne des Art. 46 Abs. 1 DSGVO bestehen für China bislang nicht, wodurch die Datenverarbeitung als rechtswidrig einzustufen ist.

Erfolglos forderte die Aufsichtsbehörde das Unternehmen am 06.05.2025 auf, die rechtswidrige Datenübermittlung nach China einzustellen oder die gesetzlichen Voraussetzungen für eine rechtmäßige Drittstaatenübermittlung zu erfüllen, sowie die Apps aus den App Stores für Deutschland zu entfernen. Als Konsequenz ergriff Frau Kamp Maßnahmen nach Art. 16 des Digital Services Act (DSA): „DeepSeek hat gegenüber meiner Behörde nicht überzeugend nachweisen können, dass Daten deutscher Nutzer:innen in China auf einem der Europäischen Union gleichwertigen Niveau geschützt sind. […] Ich habe daher Google und Apple als Betreiber der größten App-Plattformen über die Verstöße informiert und erwarte eine zeitnahe Prüfung einer Sperrung.“

(Mira Husemann)