Datenschutz-Puls – 07/07/26: Alles, was jetzt wichtig ist
Die wichtigsten Datenschutz-Entscheidungen und Entwicklungen der letzten beiden Wochen.
I. Urteile
US Supreme Court: Trump v. Slaughter – 29.06.2026
https://www.supremecourt.gov/opinions/25pdf/25-332_qn12.pdf
Letter_noyb_EU-US_data_transfers.pdf
Der Oberste Gerichtshof der USA hat entschieden, dass es keine vom US-Präsidenten unabhängige Behörden gibt. Dies kann Auswirkungen auf das EU-US-Data Privacy Framework haben, da die EU-Kommission ihrem Angemessenheitsbeschluss eine Unabhängigkeit der auf US-Seite dafür zuständigen Federal Trade Commission zugrunde gelegt hatte.
- Datenschutz-Aktivist Max Schrems plant, auch gegen das Data Privacy Framework zu klagen.
- Bis zu einer etwaigen Nichterklärung durch den EuGH in 2-3 Jahren bleibt das Data Privacy Framework wirksam.
EuGH: Urteil zu Parallelbefassung Aufsicht und Gericht – 18.06.2026
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:62024CJ0414
Supreme Court hat EU-US Datendeal (nebenbei) zerstört
Zu ein und demselben Sachverhalt mit Datenschutzbezug kann sowohl eine Beschwerde an die Datenschutz-Aufsicht, als auch ein gerichtlicher Rechtsbehelf (z.B. auf Unterlassung) erhoben werden. Laut EuGH kann die Datenschutzbehörde eine Beschwerde nicht allein deswegen zurückweisen, weil es parallel ein gerichtliches Verfahren gibt.
- DSGVO sieht aufsichtliches und gerichtliches Verfahren parallel zueinander vor, keine Exklusivität des einen oder anderen.
- Wenn es eine rechtskräftige gerichtliche Entscheidung gibt, muss die Aufsicht diese in ihrer eigenen Entscheidung berücksichtigen.
BGH: Urteil zur Akteneinsicht im Zwangsversteigerungsverfahren – 21.05.2026
Amtsgerichte handhabten die Schwärzung ihrer Zwangsversteigerungsakten bisher uneinheitlich. Der BGH entschied nun, dass die Einsicht von potenziellen Bietern in eine ungeschwärzte Akte zulässig ist, da dies im öffentlichen Interesse liegt.
- Namen, Anschriften, Geburtsdaten etc. der von der Zwangsversteigerung Betroffenen müssen nun nicht mehr geschwärzt werden.
- Allerdings dürfen Einsichtnehmer diese Daten nicht an Dritte weitergeben oder veröffentlichen.
II. Bußgelder und Behörden
Berliner Landes-Datenschutzbeauftragte: Jahresbericht 2025 – 23.06.2026
Die Berliner Landes-Datenschutzbeauftragte veröffentlichte ihren Jahresbericht für 2025.
- Starker Anstieg der Beschwerdezahlen, Trend zur Überlastung von Datenschutz-Aufsichtsbehörden setzt sich fort.
- Bußgelder bei Mitarbeiterexzessen in Form von unbefugten Datenabfragen über Kunden.
- Videoaufnahmen: Kein Recht auf Datenkopie bei unverhältnismäßigem Aufwand (OVG Berlin-Brandenburg: S-Bahn Berlin).
Spanische Datenschutzbehörde AEPD – Warnung vor Abfluss von Chatverläufen – 25.06.2026
Die Spanische Datenschutzbehörde AEPD informiert auf eine Untersuchung, welche auf der Coding-Plattform Github veröffentlicht wurde. Hiernach erfolgt bei vielen bekannten KI-Anbietern ein Datenabfluss an Tracker.
- Ein Datenabfluss ist möglich bei der Verwendung direkter Links in Kombination mit Tracking-Mechanismen wie Cookies und betrifft u.a. Claude, Perplexity, OpenAI.
- Permalinks sind öffentlich einsehbar und Tracking-Tools wie Meta oder Google Pixel indizieren dabei auch die Inhalte des Chatbot-Gesprächs
Landesdatenschutzbeauftragter BaWü – KI-Transkription von Gemeinderatssitzungen – 10.06.2026
https://www.baden-wuerttemberg.datenschutz.de/leitfaden-ki-transkription-von-gemeinderatssitzungen/
Der Landesdatenschutzbeauftragte BaWü veröffentlichte einen Leitfaden zum Einsatz von KI im Gemeinderat. Darin wird den besonderen Anforderungen von Gemeinderatssitzungen Rechnung getragen, die behandelten Themen lassen sich aber auch auf bspw. die Gesellschafterversammlung von Unternehmen übertragen.
- Öffentliche Sitzung: Transkription zulässig, kann durch Satzung geregelt werden.
- Bürgerfragestunde, gemeindeinterne Personalsachen: Transkription muss abgeschaltet werden.
III. Gesetze und News
Datenschutzkonferenz: „Stuttgarter Impulse zur Modernisierung des Datenschutzes“ – 19.06.2026
Die DSGVO wurde vor 10 Jahren beschlossen, sodass eine Reformdebatte fällig ist. Die Datenschutz-Behörden der Länder beteiligen sich hieran mit ihrer Stellungnahme vom 19.06. Vorschläge umfassen u.a.:
- Einführung eines zentralen Datenschutz-Portals für Unternehmen und Bürger, z.B. bei Meldungen oder Beschwerden.
- Einführung einer gemeinsamen Entscheidungsdatenbank der Datenschutzaufsichtsbehörden.
- Auftragsverarbeitung: z.B. Umwandlung in ein gesetzliches Schuldverhältnis, Vermeidung einer Vielzahl von AVV-Ausgestaltungen.
- Datenschutzkonferenz im BDSG verankern und institutionalisieren.
Bundestag: Gesetzentwurf zur Durchführung der Verordnung über künstliche Intelligenz – 11.06.2026
https://www.bundestag.de/dokumente/textarchiv/2026/kw24-de-ki-1183820
Der Gesetzentwurf dient der Umsetzung der KI-Verordnung in deutsches Recht und wurde vom Parlament angenommen.
- Festlegung der national zuständigen Behörden, insb. KI-Aufsichtsbehörden: Bundesnetzagentur, bei regulierten Finanztätigkeiten: BaFin.
- Verstöße gegen Mitwirkungspflichten ggü. zuständigen Stellen: bis zu 50k € Bußgeld.
Gehackte Unternehmen im Juni
Im Juni 2026 sind mehrere Angriffe auf die Datenbestände bekannter Großunternehmen bekannt geworden. Die Angreifer drohen mit Veröffentlichung im Darknet.
- Kodak: 2 Mio. Datensätze mit Kundendaten.
- Nintendo: Drittanbieter angegriffen, Mitarbeiterdaten abgeflossen.
- Neben eigenen Sicherheitsmaßnahmen (Phishing-Awareness) auch sorgfältige Auswahl und ggf. regelmäßige Audits der eigenen Lieferanten wichtig.






