I. Urteile

LG München I, Az. 26 O 869/26 (Google „Übersicht mit KI“ / „AI Overviews“)

Urteilsverkündung am 28. Mai 2026

https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2026-N-11860?hl=true

Die 26. Zivilkammer des Landgerichts München I verurteilte den Beklagten (Google) zur Unterlassung unzutreffender Aussagen über zwei Münchner Verlage durch Googles KI-Bot „Übersicht mit KI“/„AI Overviews“. Die KI brachte die Verlage bei Suchanfragen wiederholt u.a. mit Betrugsmaschen in Verbindung, vermischte dabei Informationen über tatsächlich dubiose Drittunternehmen und stellte quellenlose Bezüge her. Das Gericht stufte Google als unmittelbaren Störer ein, weil die KI-Übersicht Drittinhalte zu einer eigenständigen Aussage verdichtete.

• Erste deutsche Leitentscheidung zur Haftung für „AI Overviews“
• Signalwirkung für KI-Anbieter und Unternehmen

BGH, Az. I ZR 227/25 (Schufa-Auskunftsanspruch)

Mündliche Verhandlung am 18. Juni 2026; Urteilsverkündung am 21. Oktober 2026

https://www.bundesgerichtshof.de/SharedDocs/Termine/DE/Termine/IZR227-25ua.html

Der I. Zivilsenat des BGH hat über den Umfang des Auskunftsanspruchs der Schufa nach Art. 15 Abs. 1 lit. h DSGVO zu entscheiden, insbesondere zur Gewichtung der wichtigsten Scoring-Kriterien. Das OLG Dresden hatte die Schufa zu solchen Angaben verurteilt. Der BGH ließ erkennen, dass er das Dresdner Urteil voraussichtlich aufheben wird, da die bloße Berechnung eines Score-Werts keine automatisierte Entscheidung nach Art. 22 DSGVO sei.

• Maßstab für alle Scoring- und Bonitätsbewertungssysteme
• Paralleles In-Kraft-Treten einer BDSG-Novelle zur Scoring-Transparenz im November 2026

EuGH, Az. C-484/24 (Beweisverwertung)

Urteilsverkündung am 18. Juni 2026

https://infocuria.curia.europa.eu/tabs/document/C/2024/C-0484-24-00000000RP-01-P-01-3479658/ARRET/322379-DE-1-html

Der EuGH entschied, dass Gerichte personenbezogene Daten verwerten dürfen, die eine Partei rechtswidrig beschafft hat. Ein generelles Beweisverwertungsverbot lässt sich der DSGVO nicht entnehmen. Das Recht auf ein faires Verfahren (Art. 47 GRCh) kann schwerer wiegen als der Datenschutz. Bei der Offenlegung der Daten müssen Gerichte allerdings die Datenminimierung wahren und sensible Daten ggf. schwärzen oder pseudonymisieren.

• Nicht DSGVO-Verstoß entscheidend für Beweisverwertbarkeit, sondern Abwägung mit dem Recht auf effektiven Rechtsschutz
• Europäische Leitentscheidung für Arbeits- und Zivilprozesse

Der Sachverhalt lässt sich wie folgt kurz zusammenfassen:

Eine ehemalige Mitarbeiterin der NTH Haustechnik GmbH soll nach Auffassung ihres früheren Arbeitgebers Firmeneigentum über ihr privates eBay-Konto verkauft und dadurch einen erheblichen Schaden verursacht haben. Um dies nachzuweisen, verschaffte sich der Arbeitgeber Zugang zu ihrem privaten eBay-Konto und verwendete die dort gewonnenen Daten als Beweismittel vor Gericht. Die ehemalige Mitarbeiterin hält den Zugriff auf ihr Konto für rechtswidrig. Das Landesarbeitsgericht Niedersachsen fragte deshalb den EuGH, ob und unter welchen Voraussetzungen Gerichte personenbezogene Daten verwerten dürfen, die möglicherweise unter Verstoß gegen die DSGVO erhoben wurden.

Und was ist das Ergebnis?

Das Ergebnis des EuGH-Urteils lässt sich wie folgt zusammenfassen:

Ein automatisches Beweisverwertungsverbot gibt es nicht. Personenbezogene Daten, die möglicherweise unter Verstoß gegen die DSGVO erhoben wurden, dürfen nicht allein deshalb von einem Gericht unberücksichtigt gelassen werden. Eingefügter Text.txt

Gerichte dürfen die Daten grundsätzlich verarbeiten, wenn dies zur Erfüllung ihrer gesetzlichen Aufgabe – insbesondere zur Sachverhaltsaufklärung und Entscheidungsfindung – erforderlich ist. Die Rechtsgrundlage hierfür ist grundsätzlich Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung), nicht Art. 17 DSGVO. Eingefügter Text.txt

Es ist eine Verhältnismäßigkeitsprüfung erforderlich. Das Gericht muss prüfen, ob die Verwendung der personenbezogenen Daten erforderlich und angemessen ist und die Datenschutzrechte der betroffenen Person gegen das Interesse an einer wirksamen Rechtspflege abwägen. Eingefügter Text.txt

Die DSGVO selbst schreibt kein Beweisverwertungsverbot vor. Ob ein Beweismittel verwertet werden darf, richtet sich grundsätzlich nach dem nationalen Prozessrecht. Dieses muss jedoch im Einklang mit den Grundrechten und der DSGVO ausgelegt werden. Eingefügter Text.txt

Quintessenz

Der EuGH stärkt die Linie, dass ein Datenschutzverstoß nicht automatisch dazu führt, dass ein Beweismittel vor Gericht unverwertbar ist. Vielmehr ist im Einzelfall abzuwägen, ob die Verwertung der Daten trotz des Datenschutzverstoßes zulässig und verhältnismäßig ist

II. Bußgelder und Behörden

LG Berlin I, Az. 526 OWi LG 1/20 – Deutsche Wohnen SE (von 14,5 Mio. € auf 900.000 €)

https://www.berlin.de/gerichte/presse/pressemitteilungen-der-ordentlichen-gerichtsbarkeit/2026/pressemitteilung.1679703.php

Das LG Berlin I bestätigte die Bußgeldhaftung der Deutsche Wohnen SE, reduzierte aber das ursprünglich 2019 verhängte Bußgeld von 14,5 Mio. € auf 900.000 €. Das Unternehmen hatte sensible Mieterdaten in einem Archivsystem ohne Löschmöglichkeit gespeichert und seine IT nicht rechtzeitig angepasst, wodurch es gegen die Datenminimierung und die Speicherbegrenzung (Art. 5 Abs. 1 lit. c und e DSGVO) sowie gegen Art. 6 DSGVO verstieß. Strafmildernd wirkten die Kooperationsbereitschaft, eingeleitete Abhilfemaßnahmen und die Umstände der DSGVO-Einführungsphase.

• Gerichte an die Bußgeldbemessung der Aufsichtsbehörde nicht gebunden
• Reduzierung des Bußgelds durch Kooperation und nachträgliche Abhilfe (Art. 83 Abs. 2 DSGVO)

Aufsichtsbehörden (Deutschland & Österreich) – Reaktion auf den Cyberangriff beim Fotodienstleister „Portraitbox“ (Juni 2026)

https://www.ldi.nrw.de/cyberangriff-dienstleister-foto

Beim bekannten Fotodienstleister Portraitbox erlangten Angreifer Mitte Mai 2026 Zugriff auf die Cloud-Infrastruktur und entwendeten große Mengen an Kundendaten sowie Bilddateien – darunter Aufnahmen von Kita- und Schulkindern. Vermutlich drohen die Täter nun mit einer Veröffentlichung, um Lösegeld zu erpressen. Mehrere Landesaufsichtsbehörden sowie die Österreichische Datenschutzbehörde veröffentlichten daraufhin koordinierte Hinweise, wonach mit Portraitbox zusammenarbeitende Fotografen und Fotostudios als Verantwortliche Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO treffen.

• Aufzeigen des Risikos zentralisierter Cloud-Dienstleister mit besonders schützenswerten Daten
• Möglichkeit der länderübergreifend abgestimmten Aufsichtskommunikation bei größeren Vorfällen.

AEPD (Spanien), Bußgeldentscheidung vom 17.06.2026 – Vodafone España (1.050.000 €)

https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-vodafone-espa%C3%B1a-2026-06-17-ES-5123.php

Die AEPD verhängte gegen die Telekommunikationsgesellschaft Vodafone España ein Bußgeld von 1.050.000 € wegen Verstößen gegen die Rechtmäßigkeit der Verarbeitung nach Art. 6 Abs. 1 DSGVO sowie gegen die Sicherheit der Verarbeitung nach Art. 32 DSGVO. Gegenstand war die Kontaktierung des Kundendienstes durch einen Dritten, der Sicherheitsfragen bestanden und daraufhin eine Rechnungskopie mit persönlichen Daten erhalten hatte.  Zudem existierte ein zusätzlicher Mobilfunkanschluss, der auf den Namen der betroffenen Kundin lief, obwohl sie ihn nie abgeschlossen hatte.

• Bloße Beantwortung von Sicherheitsfragen als unzureichendes Authentifizierungsverfahren
• Anlage eines Mobilfunkausschlusses ohne Kenntnis des Betroffenen als Verarbeitung personenbezogener Daten ohne Rechtsgrundlage

III. Gesetze und News

DSK‑Stellungnahme vom 18.06.2026 – Radar-Sensorik und 6G

https://www.baden-wuerttemberg.datenschutz.de/datenschutzkonferenz-jugendmedienbildung-radar-sensorik-und-6g/

Die Datenschutzkonferenz (DSK) befasste sich mit der geplanten Radarfunktion (ISAC) des künftigen Mobilfunkstandards 6G, deren Einführung ab 2030 vorgesehen ist. Die Technik erlaubt eine Wahrnehmung von Räumen und der darin befindlichen Personen – potenziell durch Wände hindurch, wodurch ein Tracking über Bewegungsmuster möglich wird. Ähnliches ist für künftige WLAN-Standards geplant. Die DSK betont, dass die Privatsphäre frühzeitig nach dem Prinzip „Privacy by Design“ (Art. 25 Abs. 1 DSGVO) in die Standardisierung einbezogen werden muss.

• Potenzielle Überwachungsinfrastruktur durch Sensorik-Funktionen im zukünftigen Mobilfunk- und WLAN-Standard
• Wichtigkeit der „Privacy by Design“ bei technischer Normung von 6G und WLAN

Bundesrat – geplante Ausweitung der Vorratsdatenspeicherung

https://stiftungdatenschutz.org/veroeffentlichungen/datenschutzwoche/detailansicht/datenschutzwoche-vom-08-juni-2026-707

Die Bundesregierung hatte im April 2026 einen Gesetzentwurf für eine anlasslose Speicherung von IP-Adressen samt Anschluss- und Nutzerkennung sowie sekundengenauen Zeitstempeln vorgelegt. Der Rechtsausschuss des Bundesrats forderte nun, eine Verlängerung der Speicherfrist von drei auf bis zu sechs Monate zu prüfen. Zusätzlich soll eine neue „Sicherungsanordnung“ Anbieter verpflichten, auch Standort- und Inhaltsdaten zu speichern.

• Bundesrat drängt auf eine deutlich weitergehende Speicherung als die Bundesregierung
• Erneuter Grundrechtskonflikt um anlasslose Massenspeicherung

Bayern – KI-Einsatz bei Hochschul-Prüfungen

https://www.bayern.de/bericht-aus-der-kabinettssitzung-vom-23-juni-2026/

Das bayerische Kabinett hat am 23. Juni 2026 eine Novelle des Bayerischen Hochschulinnovationsgesetzes (BayHIG) beschlossen. Damit wird der Einsatz von KI an den Hochschulen explizit gefördert und ihre Weiterentwicklung als Aufgabe der Hochschulen in Studium und Lehre gesetzlich verankert. Für unbeaufsichtigte Prüfungen gilt künftig: Ein generelles KI-Nutzungsverbot ist nicht mehr erlaubt, stattdessen soll der Einsatz an eine Kennzeichnungspflicht gekoppelt werden.

• Förderung von KI erstmals als gesetzliche Aufgabe der Hochschulen festgeschrieben
• Passend zur bayerischen KI-Offensive mit der KI-Fabrik in München