Datenschutz Puls 07.07.2026

Juli 7, 2026

Datenschutz-Puls – 07/07/26: Alles, was jetzt wichtig ist

Die wichtigsten Datenschutz-Entscheidungen und Entwicklungen der letzten beiden Wochen.

I. Urteile

US Supreme Court: Trump v. Slaughter – 29.06.2026

https://www.supremecourt.gov/opinions/25pdf/25-332_qn12.pdf

Letter_noyb_EU-US_data_transfers.pdf

Der Oberste Gerichtshof der USA hat entschieden, dass es keine vom US-Präsidenten unabhängige Behörden gibt. Dies kann Auswirkungen auf das EU-US-Data Privacy Framework haben, da die EU-Kommission ihrem Angemessenheitsbeschluss eine Unabhängigkeit der auf US-Seite dafür zuständigen Federal Trade Commission zugrunde gelegt hatte.

  • Datenschutz-Aktivist Max Schrems plant, auch gegen das Data Privacy Framework zu klagen.
  • Bis zu einer etwaigen Nichterklärung durch den EuGH in 2-3 Jahren bleibt das Data Privacy Framework wirksam.

EuGH: Urteil zu Parallelbefassung Aufsicht und Gericht – 18.06.2026

https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:62024CJ0414

Supreme Court hat EU-US Datendeal (nebenbei) zerstört

Zu ein und demselben Sachverhalt mit Datenschutzbezug kann sowohl eine Beschwerde an die Datenschutz-Aufsicht, als auch ein gerichtlicher Rechtsbehelf (z.B. auf Unterlassung) erhoben werden. Laut EuGH kann die Datenschutzbehörde eine Beschwerde nicht allein deswegen zurückweisen, weil es parallel ein gerichtliches Verfahren gibt.

  • DSGVO sieht aufsichtliches und gerichtliches Verfahren parallel zueinander vor, keine Exklusivität des einen oder anderen.
  • Wenn es eine rechtskräftige gerichtliche Entscheidung gibt, muss die Aufsicht diese in ihrer eigenen Entscheidung berücksichtigen.

BGH: Urteil zur Akteneinsicht im Zwangsversteigerungsverfahren – 21.05.2026

https://www.bundesgerichtshof.de/SharedDocs/Entscheidungen/DE/Zivilsenate/V_ZS/2025/V_ZB__90-25.pdf?__blob=publicationFile&v=1

Amtsgerichte handhabten die Schwärzung ihrer Zwangsversteigerungsakten bisher uneinheitlich. Der BGH entschied nun, dass die Einsicht von potenziellen Bietern in eine ungeschwärzte Akte zulässig ist, da dies im öffentlichen Interesse liegt.

  • Namen, Anschriften, Geburtsdaten etc. der von der Zwangsversteigerung Betroffenen müssen nun nicht mehr geschwärzt werden.
  • Allerdings dürfen Einsichtnehmer diese Daten nicht an Dritte weitergeben oder veröffentlichen.

II. Bußgelder und Behörden

Berliner Landes-Datenschutzbeauftragte: Jahresbericht 2025 – 23.06.2026

https://www.datenschutz-berlin.de/pressemitteilung/berliner-datenschutzbeauftragte-stellt-jahresbericht-2025-vor/

Die Berliner Landes-Datenschutzbeauftragte veröffentlichte ihren Jahresbericht für 2025.

  • Starker Anstieg der Beschwerdezahlen, Trend zur Überlastung von Datenschutz-Aufsichtsbehörden setzt sich fort.
  • Bußgelder bei Mitarbeiterexzessen in Form von unbefugten Datenabfragen über Kunden.
  • Videoaufnahmen: Kein Recht auf Datenkopie bei unverhältnismäßigem Aufwand (OVG Berlin-Brandenburg: S-Bahn Berlin).

Spanische Datenschutzbehörde AEPD – Warnung vor Abfluss von Chatverläufen – 25.06.2026

https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-agencia-promueve-ante-las-autoridades-europeas-proteccion-estudie-ia

Die Spanische Datenschutzbehörde AEPD informiert auf eine Untersuchung, welche auf der Coding-Plattform Github veröffentlicht wurde. Hiernach erfolgt bei vielen bekannten KI-Anbietern ein Datenabfluss an Tracker.

  • Ein Datenabfluss ist möglich bei der Verwendung direkter Links in Kombination mit Tracking-Mechanismen wie Cookies und betrifft u.a. Claude, Perplexity, OpenAI.
  • Permalinks sind öffentlich einsehbar und Tracking-Tools wie Meta oder Google Pixel indizieren dabei auch die Inhalte des Chatbot-Gesprächs

Landesdatenschutzbeauftragter BaWü – KI-Transkription von Gemeinderatssitzungen – 10.06.2026

https://www.baden-wuerttemberg.datenschutz.de/leitfaden-ki-transkription-von-gemeinderatssitzungen/

Der Landesdatenschutzbeauftragte BaWü veröffentlichte einen Leitfaden zum Einsatz von KI im Gemeinderat. Darin wird den besonderen Anforderungen von Gemeinderatssitzungen Rechnung getragen, die behandelten Themen lassen sich aber auch auf bspw. die Gesellschafterversammlung von Unternehmen übertragen.

  • Öffentliche Sitzung: Transkription zulässig, kann durch Satzung geregelt werden.
  • Bürgerfragestunde, gemeindeinterne Personalsachen: Transkription muss abgeschaltet werden.

III. Gesetze und News

Datenschutzkonferenz: „Stuttgarter Impulse zur Modernisierung des Datenschutzes“ – 19.06.2026

https://www.datenschutzkonferenz-online.de/media/en/20260619_Entschliessung_Stuttgarter-Impulse-zur-Modernisierung-des-Datenschutzes.pdf

Die DSGVO wurde vor 10 Jahren beschlossen, sodass eine Reformdebatte fällig ist. Die Datenschutz-Behörden der Länder beteiligen sich hieran mit ihrer Stellungnahme vom 19.06. Vorschläge umfassen u.a.:

  • Einführung eines zentralen Datenschutz-Portals für Unternehmen und Bürger, z.B. bei Meldungen oder Beschwerden.
  • Einführung einer gemeinsamen Entscheidungsdatenbank der Datenschutzaufsichtsbehörden.
  • Auftragsverarbeitung: z.B. Umwandlung in ein gesetzliches Schuldverhältnis, Vermeidung einer Vielzahl von AVV-Ausgestaltungen.
  • Datenschutzkonferenz im BDSG verankern und institutionalisieren.

Bundestag: Gesetzentwurf zur Durchführung der Verordnung über künstliche Intelligenz – 11.06.2026

https://www.bundestag.de/dokumente/textarchiv/2026/kw24-de-ki-1183820

Der Gesetzentwurf dient der Umsetzung der KI-Verordnung in deutsches Recht und wurde vom Parlament angenommen.

  • Festlegung der national zuständigen Behörden, insb. KI-Aufsichtsbehörden: Bundesnetzagentur, bei regulierten Finanztätigkeiten: BaFin.
  • Verstöße gegen Mitwirkungspflichten ggü. zuständigen Stellen: bis zu 50k € Bußgeld.

Gehackte Unternehmen im Juni

https://www.bleepingcomputer.com/news/security/kodak-confirms-data-breach-claimed-by-shinyhunters-extortion-gang/

Im Juni 2026 sind mehrere Angriffe auf die Datenbestände bekannter Großunternehmen bekannt geworden. Die Angreifer drohen mit Veröffentlichung im Darknet.

  • Kodak: 2 Mio. Datensätze mit Kundendaten.
  • Nintendo: Drittanbieter angegriffen, Mitarbeiterdaten abgeflossen.
  • Neben eigenen Sicherheitsmaßnahmen (Phishing-Awareness) auch sorgfältige Auswahl und ggf. regelmäßige Audits der eigenen Lieferanten wichtig.

Weitere Podcasts entdecken