Datenschutz Puls 01.06.2026

PodcastSmartdata Pulse

Juni 1, 2026

Datenschutz-Puls – 01/06/26: Alles, was jetzt wichtig ist

Die wichtigsten Datenschutz-Entscheidungen und Entwicklungen der letzten beiden Wochen.

I. Urteile

OLG Hamm, Urteil vom 12. Mai 2026, Az. 4 UKl 3/25 (KI-Chatbot)

Volltext noch nicht veröffentlicht.

https://www.olg-hamm.nrw.de/behoerde/presse/Pressemitteilungen/16_26_PE_KI-Chatbot/index.php

Der 4. Zivilsenat des OLG Hamm verurteilte die Beklagte (Aesthetify GmbH) zur Unterlassung unzutreffender Facharztbezeichnungen durch ihren KI-Chatbot. Die Antworten des Chatbots seien „unzulässige geschäftliche Handlungen der Beklagten im Sinne des § 5 Abs. 1, Abs. 2 Nr. 3 UWG“. Selbst sollte die Beklagte den Chatbot ausschließlich mit korrekten Datensätzen programmieren haben lassen, trage sie für die Falschangaben die Verantwortung. Der Chatbot sei auch kein „Dritter“ im Sinne des Gesetzes.

  • Richtungsweisend für die Haftung für KI-generierte Aussagen im Wettbewerbsrecht
  • Revision zum BGH zugelassen, da neue rechtliche Fragen zur Zurechnung von Falschangaben eines KI-Chatbots entscheidend sind

BGH, Az. I ZR 200/25 (Kündigungsbutton)

Mündliche Verhandlung am 21. Mai 2026; Urteilsverkündung am 16. Juli 2026

https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2026/2026037.html

Der I. Zivilsenat des BGH hat darüber zu entscheiden, ob die Bestätigungsseite bei einer Online-Kündigung gegen § 312k BGB verstößt, wenn sie neben dem Kündigungsformular auch Informationen zu Kündigungsalternativen wie das Pausierenlassen des Vertrags enthält. Das OLG Düsseldorf (Urt. v. 18. September 2025, Az. 20 UKl 1/25) hatte die Klage abgewiesen: Der Hinweis auf die Möglichkeit der Pausierung sei nicht aufdringlich und lenke den Verbraucher nicht wesentlich vom Kündigungsprozess ab.

  • Erste höchstrichterliche Klärung zu Cancel Flows als Dark Patterns nach § 312k BGB
  • Signalwirkung für die gesamte Abo-Wirtschaft

BGH, Az. I ZR 256/25 (Haushaltsausnahme)

Mündliche Verhandlung am 30. Juli 2026

https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2026/2026076.html

Der Der I. Zivilsenat des BGH hat zu entscheiden, ob das Weiterleiten privater WhatsApp-Chatnachrichten an den Arbeitgeber der anderen Partei noch unter die Haushaltsausnahme nach Art. 2 Abs. 2 Buchst. c DS-GVO fällt. Die Beklagte hatte nach einem Zerwürfnis die vertrauliche Korrespondenz mit der Klägerin, einer in einer Arztpraxis beschäftigten Person, an die dortige Office-Managerin weitergeleitet; das Arbeitsverhältnis der Klägerin wurde daraufhin gekündigt. Das OLG Frankfurt bejahte die Haushaltsausnahme und wies die Klage ab; das LG Frankfurt hatte der Klägerin 7.500 Euro Schadensersatz nach Art. 82 DS-GVO zugesprochen.

  • Grundlegende Abgrenzung zwischen privater Kommunikation und DS-GVO-pflichtiger Verarbeitung
  • Bußgeldrisiko nach Art. 83 Abs. 5 DS-GVO bei restriktiver Auslegung der Haushaltsausnahme

II. Bußgelder und Behörden

DPC (Irland), Bußgeldentscheidung vom 08.05.2026 – Permanent TSB (277.500 €)

https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-in-pemanent-tsb-inquiry

Die DPC verhängte nach Untersuchung einer Reihe von Datenschutzverletzungen bei Permanent TSB ein Gesamtbußgeld von 277.500 €. Angreifer hatten das „Open24 Contact Centre“ angerufen, sich als Kunden ausgegeben und Kontodaten geändert; in allen drei Vorfällen wurden Sicherheitsprotokolle nicht eingehalten. Die DPC stellte Verstöße gegen Art. 5 Abs. 1 lit. f), Art. 32 Abs. 1 sowie Art. 33 Abs. 1 DS-GVO fest und sanktioniert diese mit 250.000 € bzw. 27.500 € getrennt.

  • Verspätete Meldung wird als eigenständiger, separat sanktionierter Verstoß gewertet
  • Social-Engineering-Angriffe über Telefonkanäle begründen Verantwortlichkeit nach Art. 32 DS-GVO

AEPD (Spanien), Bußgeldentscheidung vom 13.05.2026 – Instituto Nacional de la Seguridad Social (60.000 €)

https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-instituto-nacional-2026-05-13-ES-5034.php

Die AEPD verhängte gegen das Instituto Nacional de la Seguridad Social (INSS) ein Bußgeld von 60.000 € wegen Datenschutzverstößen beim Einsatz cloudbasierter Anwendungen für die Verwaltung des Mindesteinkommens (Ingreso Mínimo Vital, IMV), darunter eines IMV-Simulators und webgestützter Antragsformulare. Beanstandet wurden Verstöße gegen die Anforderungen an die Auftragsverarbeitung nach Art. 28 Abs. 3 DS-GVO, unzureichende Informationspflichten nach Art. 13 DS-GVO sowie Defizite bei den technisch-organisatorischen Maßnahmen nach Art. 32 DS-GVO.

  • Fehlender oder unzureichender Auftragsverarbeitungsvertrag mit dem Cloud-Anbieter begründet eigenständigen Verstoß nach Art. 28 Abs. 3 DS-GVO, auch bei öffentlichen Stellen
  • Auch staatliche Behörden sind bei der Verarbeitung sensibler Sozialdaten vollumfänglich an die DS-GVO gebunden; öffentlich-rechtliche Stellung schützt nicht vor Bußgeldern

AEPD (Spanien), Bußgeldentscheidung vom 13.05.2026 – ASNEF‑EQUIFAX (200.000 €)

https://www.dsgvo-portal.de/gdpr-fines/gdpr-fine-against-asnef-equifax-servicios-2026-05-13-ES-5037.php

Die AEPD verhängte gegen die Wirtschaftsauskunftei ASNEF-EQUIFAX ein Bußgeld von 200.000 € wegen Verstößen gegen die Rechtmäßigkeit der Verarbeitung nach Art. 6 Abs. 1 DS-GVO sowie gegen das Recht auf Löschung nach Art. 17 DS-GVO. Gegenstand war die fortgesetzte Verarbeitung von Negativdaten trotz erteilter Restschuldbefreiung (BEPI) und deren Dokumentation im öffentlichen Insolvenzregister; trotz mehrfacher Löschungsanträge nahm die Auskunftei wiederholt neue Eintragungen vor.

  • Rechtskräftige Restschuldbefreiung beseitigt die Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO für die weitere Negativdatenspeicherung; wiederholte Neueintragungen trotz Löschungsantrag verschärfen den Verstoß erheblich
  • Signalwirkung für alle Scoring- und Bonitätsauskunfteien: Datensätze müssen aktiv auf wegfallende Rechtsgrundlagen überwacht und unverzüglich gelöscht werden

III. Gesetze und News

Klage gegen OpenAI-Chef ist verjährt

https://www.beck-aktuell.de/heute-im-recht/rechtsprechung/musk-klage-openai-altman-chatgpt-2026-05-19

Elon Musk ist mit seiner Klage gegen die Führung von OpenAI gescheitert. Ein Gericht in Kalifornien wies die Klage ab, da sie nach Auffassung der Geschworenen erst nach Ablauf der Verjährungsfrist erhoben wurde. Damit blieb eine inhaltliche Prüfung von Musks Vorwürfen gegen OpenAI-Chef Sam Altman und weitere Führungskräfte aus.

  • Musk wollte die Führungsstruktur von OpenAI ändern und die Abberufung von Sam Altman sowie weiterer Top-Manager erreichen; das Gericht wies die Klage jedoch wegen Verjährung ab.
  • Die Entscheidung stärkt die bestehende Organisationsstruktur von OpenAI und sichert vorerst die Finanzierung und Marktposition des Unternehmens im internationalen Wettbewerb um Künstliche Intelligenz.

DSK‑Stellungnahme vom 18.05.2026 – Gesundheitsdaten‑ und Innovationsgesetz (GeDIG)

https://datenschutzarchiv.org/detailansicht/Dokumente/2026/ST_DSK_20260518_Referentenentwurf_des_Bundesministeriums_f%C3%BCr_Gesundheit_de.pdf

Das Bundesministerium für Gesundheit plant mit dem GeDIG ein Gesetz, das gesetzlichen Krankenkassen erlauben soll, Gesundheitsdaten ihrer Versicherten in erheblich größerem Umfang als bisher auszuwerten, etwa für Prävention oder die Optimierung von Behandlungsverläufen. Die Datenschutzkonferenz (DSK), der Zusammenschluss aller deutschen Datenschutzbehörden, hat diesen Referentenentwurf scharf kritisiert. Beanstandet wird insbesondere, dass der Entwurf keine enge Zweckbindung und keine Löschpflichten vorsieht und eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a) DS-GVO nicht normiert.

  • Krankenkassen dürfen Gesundheitsdaten künftig weitgehend ohne Einwilligung der Versicherten verarbeiten; die DSK sieht darin einen Verstoß gegen Art. 9 DS-GVO
  • Die geplante Sonderzuständigkeit der BfDI für die EHDS-Sekundärnutzung führt nach Auffassung der DSK zu einer „erheblichen Zersplitterung der Aufsichtszuständigkeiten“

EU-Kommission, Entwurf von Leitlinien zur Einstufung von Hochrisiko-KI-Systemen (19. Mai 2026) NEU

https://digital-strategy.ec.europa.eu/de/library/draft-commission-guidelines-classification-high-risk-ai-systems

Die EU-Kommission hat am 19. Mai 2026 den Entwurf von Leitlinien zur Einstufung von Hochrisiko-KI-Systemen nach Art. 6 der KI-Verordnung veröffentlicht. Die Leitlinien sollen Anbieter und Betreiber von KI-Systemen sowie die zuständigen Marktüberwachungsbehörden dabei unterstützen, zu bewerten, ob ein KI-System als Hochrisikosystem eingestuft werden sollte.

Die Entwürfe bieten detaillierte Auslegungen für beide Szenarien und enthalten zahlreiche Praxisbeispiele, etwa zur Frage, ob ein KI-System durch einen AGB-Disclaimer der Hochrisiko-Einstufung entgehen kann: Dies verneinen die Leitlinien ausdrücklich, wenn die Gesamtdarstellung, Beispiele oder Produktpositionierung des Anbieters Hochrisikoanwendungen de facto ermöglichen oder fördern.

  • Praxisrelevant für alle Unternehmen, die KI-Systeme entwickeln oder einsetzen: Einstufung als Hochrisiko-System zieht weitreichende Pflichten nach sich
  • Besondere Relevanz im Zusammenspiel mit der DS-GVO: Hochrisiko-KI-Systeme erfordern regelmäßig eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO
  • Konsultationsfrist läuft bis 23. Juni 2026

Weitere Podcasts entdecken

Übersicht

legal data

legal data Schröder Rechtsanwaltsgesellschaft mbH

Maximilianstr. 27

80539 München

©2026

legal data Schröder Rechtsanwaltsgesellschaft mbH

nach oben