Unser Datenschutz-Update im Juni 2025

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Juni 2025.

1. Nachrichten aus der Welt des Datenschutzes

Künstliche Intelligenz und Transparenz: Was Unternehmer:innen über Artikel 50 der KI-Verordnung wissen sollten

Die neue EU-Verordnung über Künstliche Intelligenz (KI-VO) bringt viele Pflichten für Anbieter:innen und Betreiber:innen von KI-Systemen mit sich. Besonders wichtig für Unternehmer:innen ist Artikel 50 – er regelt, wann und wie Nutzer:innen darüber informiert werden müssen, dass sie mit KI-Inhalten oder -Systemen zu tun haben. Die Bundesrechtsanwaltskammer (BRAK) hat hierzu Stellung genommen und einige Pflichten damit klarer herausgearbeitet.

1. Pflicht zur Information bei KI-Interaktionen
   Wenn ein KI-System direkt mit Menschen interagiert – z. B. über einen Chatbot –, müssen Nutzer:innen in der Regel darauf hingewiesen werden, dass es sich um ein KI-System handelt. Nur wenn es für die/den durchschnittlich informierte:n Nutzer:in offensichtlich ist, dass sie/er mit einer KI spricht, entfällt diese Pflicht.

Für Unternehmer:innen bedeutet das: Wenn Sie KI einsetzen, um z. B. Kund:innenanfragen automatisch zu beantworten, müssen Sie meist transparent machen, dass keine echte Person antwortet.

2. Kennzeichnungspflicht für KI-generierte Inhalte
   Artikel 50 verlangt außerdem, dass KI-generierte Inhalte wie Texte, Bilder, Videos oder Audioaufnahmen eindeutig als künstlich erzeugt erkennbar sind. Diese Inhalte müssen in einem maschinenlesbaren Format gekennzeichnet sein, sofern sie nicht nur unterstützend oder minimal verändert wurden.

Das betrifft insbesondere Deepfakes. Unternehmer:innen, die z. B. Marketingmaterial mit KI erstellen lassen, müssen ihre Inhalte klar als „künstlich erzeugt“ kennzeichnen – außer sie werden rein privat verwendet.

3. Emotionserkennung und biometrische Kategorisierung
   Wenn Unternehmen KI-Systeme einsetzen, die z. B. Gesichtsausdrücke auswerten oder Menschen in Kategorien einteilen (Alter, Geschlecht etc.), müssen Betroffene darüber informiert werden. Hier hat die BRAK erhebliche rechtliche Bedenken – etwa in Anlehnung an die umstrittene Nutzung von Lügendetektoren. Gerade beim Einsatz in der Mitarbeitendenkommunikation sieht die BRAK u.a. arbeitsrechtliche Risiken. 

Achtung: Wer solche Systeme im Geschäftsalltag nutzt (z. B. für Kund:innenenanalysen, Sicherheitsüberprüfungen oder in Mitarbeitendenmeeetings), sollte sich vorab rechtlich gut absichern und gegenüber Kund:innen/Mitarbeitenden auf Transparenz achten.

4. Was gilt für private oder ehrenamtliche Nutzer:innen?
   Laut KI-VO müssen Privatpersonen, die KI in persönlichem oder nicht beruflichem Rahmen verwenden, Inhalte nicht unbedingt kennzeichnen. Die BRAK kritisiert dies: Auch private Inhalte, etwa auf Social Media, können große Reichweite erzielen und irreführend sein. 

Die Empfehlung der BRAK: Die Kennzeichnungspflicht im privaten Bereich sollte sich an der „öffentlichen Wiedergabe“ orientieren – also daran, ob die Inhalte für ein breites Publikum bestimmt sind. Auch Hobby-Posts mit KI-Inhalten könnten unter diese Pflicht fallen, wenn sie öffentlich sichtbar sind.

5. Weitreichende Kennzeichnungspflicht für Deepfakes
   Die BRAK spricht sich für eine enge Auslegung des Begriffs „Deepfake“ aus: Bereits abstrakte Ähnlichkeiten zu realen Personen oder Orten sollen ausreichen, um eine Kennzeichnungspflicht auszulösen. Ziel ist ein Höchstmaß an Transparenz und Schutz vor Manipulation.

Für Unternehmer:innen im Medien-, Marketing- oder Kreativbereich heißt das: Selbst künstlerische oder fiktionale Inhalte sollten als KI-generiert kenntlich gemacht werden – z. B. durch Hinweise wie „Symbolbild“ oder „KI-generiert“.

6. Private Rechtsdurchsetzung und nationale Ergänzungen
   Die BRAK plädiert dafür, die Einhaltung der KI-VO nicht nur Behörden zu überlassen (Recht auf Beschwerde bei einer Marktüberwachungsbehörde (Art. 85 KI-VO), die Aufnahme der KI-VO in die Verbandsklagerichtlinie (Art. 110 KI-VO) und das Betroffenenrecht auf Erläuterung der Entscheidungsfindung im Einzelfall (Art. 86 KI-VO)). Behörden sollten vielmehr entlastet werden, indem die Möglichkeiten der privaten Rechtsdurchsetzung der KI-VO genutzt werden. Nach den Erwägungsgründen solle die KI-VO vor drohenden Schäden materieller und immaterieller Art schützen und gleiche Wettbewerbsbedingungen für KI-Anbieter:innen schaffen. Hier kämen Anspruchsgrundlagen aus Deliktsrecht und UWG in Betracht.

Auch Unternehmer:innen sollten sich bewusst sein, dass Wettbewerber:innen und Betroffene zivilrechtlich gegen Verstöße vorgehen können. Zusätzlich könnten in Deutschland nationale Regelungen ergänzend zur KI-VO eingeführt werden.

Fazit

Die neue KI-Verordnung verpflichtet Unternehmen zu mehr Offenheit im Umgang mit künstlicher Intelligenz. Wer KI nutzt, um Inhalte zu generieren oder mit Kund:innen zu interagieren, sollte sich nicht nur an den Wortlaut der Verordnung halten, sondern auch den Sinn und Zweck im Blick behalten: den Schutz vor Irreführung und Manipulation. Die BRAK liefert dafür wichtige Hinweise – für eine verantwortungsvolle und rechtssichere Nutzung von KI im unternehmerischen Alltag.

Zweiter Referent:innenentwurf zum NIS2UmsuCG liegt vor – Verantwortung der Geschäftsführung verschärft

Das Bundesinnenministerium hat am 23. Juni 2025 den Referentenentwurf für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) vorgelegt. 

Das Gesetz zur Umsetzung von „EU NIS2“ in Deutschland, das „NIS2 UmsuCG“, soll 2025 in Deutschland in Kraft treten und dabei Mindestanforderungen aus der NIS2-Richtlinie für Cybersicherheit umsetzen. Betreiber:innen: Betroffen sind Betreiber:innen kritischer Anlagen (KRITIS) und Einrichtungen nach Unternehmensgröße sowie Bundeseinrichtungen und einige Sonderfälle.

Organisationen, die unter die NIS-2 Geltung fallen, müssen künftig IT-Sicherheitsmaßnahmen nach BSI-Standards umsetzen, sich außerdem beim BSI registrieren. Sicherheitsvorfälle müssen von den Unternehmen in einem mehrstufigen Verfahren gemeldet werden. Auch IT-Dienstleister:innen innerhalb von Konzernen können zu den Regelungen verpflichtet sein, je nachdem, ob das Unternehmen die Vorgaben (Unternehmensgröße, Relevanz der Tätigkeit) unter NIS 2 fällt. 

Persönliche Haftung der Geschäftsführung

Unter den Änderungen im Entwurf fällt vor allem die Haftung der Geschäftsführung auf. Der Entwurf sieht eine verschärfte Haftung der Geschäftsführung für Verstöße gegen die Cybersicherheitsanforderungen vor. Die Verantwortung liegt ausdrücklich bei der Geschäftsführung. Damit sind auch Regressansprüche bei Pflichtverstößen gegen Geschäftsführer:innen persönlich möglich. 

Geschäftsführer:innen haften damit nicht nur dafür, dass Sicherheitsmaßnahmen getroffen werden, sondern auch für deren Umsetzung und (regelmäßige) Überwachung. 

Bei Verstößen drohen neben rechtlichen auch finanzielle Konsequenzen – nun auch eine mögliche Haftung mit dem Privatvermögen. 

Die genauen Details der Geschäftsführer:innenhaftung sind im Entwurf noch nicht klar ausgearbeitet. Klar ist jedoch, dass es zu einer schärferen, umfangreicheren Haftung in Bezug auf Vorfälle im Bereich Cybersecurity kommen wird. 

Empfehlung

Geschäftsführer:innen von betroffenen Unternehmen sollten vorbeugende Maßnahmen treffen, wie zum Beispiel die Einführung, Prüfung und ggf. Anpassung von Sicherheitsrichtlinien, Einführung erforderlicher zusätzlicher Sicherheitsmaßnahmen und die entsprechende Schulung der Mitarbeitenden.

Wir werden in Kürze wieder zum Thema berichten. 

2. Entscheidungen des Monats

VG Hannover: Wieder einmal Cookie-Banner

Immer noch begegnet man im Internet Cookie-Banner, die nicht DSGVO-konform sind. Dabei ist die Rechtsprechung in diesem Punkt sehr klar. Das Verwaltungsgericht Hannover hat u.a. zu den Voraussetzungen an den Aufbau eines Cookie-Banners deutliche Aussagen gemacht (Az 10 A 5385/22)

1. Die Gestaltung eines Cookie-Einwilligungsbanners mit zwei Ebenen, bei welchem auf erster Ebene nur die Auswahlmöglichkeiten „Alle akzeptieren“, „Akzeptieren & schließen x“ und „Einstellungen“ bestehen, die zweite Ebene neben verschiedenen Drop Down Menus die Optionen „Alle akzeptieren“ und „Auswahl speichern“ enthält und das bei der Auswahl des Buttons „Auswahl speichern“ beim Aufruf der Website stets neu erscheint, lenkt die Nutzer:innen der Website in der Gesamtschau gezielt zur Abgabe der Einwilligung hin. Die Einwilligung ist daher nicht freiwillig im Sinne von § 25 Abs. 1 TTDSG, Art. 4 Nr. 11 DSGVO.

Das Gericht führt weiter aus: „Wie vom Beklagten anschaulich beschrieben, besteht für Nutzer ein erheblicher Mehraufwand, wenn sie die Einwilligung nicht erteilen möchten. Während die umfassende Einwilligung auf erster Ebene gleich durch zwei Buttons („Alle akzeptieren“ sowie „Akzeptieren & schließen x“) erteilt werden kann, muss für eine Ablehnung zunächst auf erster Ebene der Button „Einstellungen“ ausgewählt werden.“

Es betont auch: „Darüber hinaus findet sich auf erster Ebene des Banners kein Hinweis darauf, dass beim Klick auf „Einstellungen“ die Einwilligung verweigert werden kann. Nutzer:innen sind sich deshalb auf erster Ebene nicht im Klaren darüber, dass sie mehrere Wahlmöglichkeiten haben. Lediglich beim Scrollen innerhalb des Banners auf erster Ebene findet sich die Formulierung „es besteht keine Verpflichtung, der Verarbeitung Ihrer Daten zuzustimmen, um dieses Angebot zu nutzen“. Dass eine Ablehnungsoption auf nächster Ebene folgt, ergibt sich jedoch selbst aus diesem Hinweis nicht. Insofern ist die Gestaltung des Einwilligungsbanners irreführend.“

Und weiter: „…das „Mürbemachen“ durch die ständige Konfrontation mit dem Einwilligungsbanner beim erneuten Aufruf der Website, bis die umfassende Einwilligung erteilt wird, ist technisch nicht notwendig und wird teilweise als unzulässige Manipulationstaktik angesehen.“

2. Die Gestaltung eines Cookie-Einwilligungsbanners mit dem Button „Akzeptieren & schließen x“ in der rechten oberen Ecke führt zur Unwirksamkeit der Einwilligung, weil es sich weder um eine unmissverständlich abgegebene noch um eine freiwillige Erklärung im Sinne von § 25 Abs. 1 TTDSG, Art. 4 Nr. 11 DSGVO handelt.

Das Gericht führt hierzu aus: „Etwas anderes gilt jedoch für diejenigen Nutzer, die oben rechts auf „Akzeptieren & schließen x“ klicken. Dass eine rechtserhebliche, bewusste Einwilligung abgegeben wird, kann aufgrund der intransparenten und überraschenden Gestaltung nicht mehr angenommen werden (vgl. OLG Köln, Urteil vom 19. Januar 2024 – 6 U 80/23 -, juris Rn. 47). Stattdessen dürfte der durchschnittliche Nutzer davon ausgehen, durch das Anklicken des „x“-Symbols oben rechts das Einwilligungsbanner lediglich zu schließen, ohne eine rechtliche Erklärung abzugeben.“

3. Der Einsatz des Dienstes Google Tag Manager bedarf einer Einwilligung nach § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit. a DSGVO.

Das Gericht führt hierzu aus: „Da durch das Programm Google Tag Manager Informationen in der Endeinrichtung des Endnutzers gespeichert werden oder auf Informationen zugegriffen wird, die bereits in der Endeinrichtung gespeichert sind, ist nach § 25 Abs. 1 TTDSG eine vorherige Einwilligung der Nutzer erforderlich. Für den Einsatz des Programms greift auch keine Ausnahme des § 25 Abs. 2 TTDSG.“

Fazit: 

Ein nicht DSGVO-konformes Cookie-Banner stellt ein immer größeres Risiko für Klagen und Geldbußen dar. Dies sollte in die wirtschaftliche Risikoabwägung stärker mit einbezogen werden, bevor man sich dafür entscheidet auf deutlich sichtbare „alles ablehnen“ Button zu verzichten oder sie „zu verstecken“.

OLG Köln – KI Training durch Meta zunächst zulässig

Nachdem Meta angekündigt hatte, Daten von öffentlichen Profilen für KI-Zwecke zu nutzen, hatte die Verbraucherzentrale Klage beim OLG Köln wegen DSGVO-Verstoßes eingelegt. Das Gericht sah die Angelegenheit jedoch anders und wies die Klage ab. 

OLG Köln: Öffentliche Nutzer:innendaten dürfen (zunächst) für KI-Training verwendet werden

Der Konzern Meta darf öffentliche Profildaten seiner Nutzer:innen zum Training von Künstlicher Intelligenz (KI) nutzen – auch ohne deren ausdrückliche Zustimmung. Das hat das Oberlandesgericht Köln (OLG) entschieden (Az 15 UKl 2/25)und damit eine Klage der Verbraucherzentrale NRW abgewiesen.

Worum ging es?

Meta hatte angekündigt, ab einer bestimmten Woche öffentlich zugängliche Daten aus Nutzer:innenprofilen – also etwa Posts, Kommentare oder Bilder, die nicht auf „privat“ gestellt sind – für das Training seiner KI-Modelle zu verwenden. Die Verbraucherzentrale sah darin einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) und forderte, dass Meta vorher eine ausdrückliche Einwilligung der Nutzer:innen einholen müsse.

Das Gericht wies die Klage ab

Das OLG Köln bestätigte, dass Meta mit der Nutzung der Daten ein berechtigtes Interesse verfolge – nämlich die Weiterentwicklung seiner KI. Weil es für dieses Ziel kein milderes Mittel gebe, sei die Nutzung auch ohne Einwilligung zulässig (Art. 6 Abs. 1 lit. f DSGVO).

Außerdem hatte Meta die Nutzer:innen rechtzeitig über E-Mail und In-App-Benachrichtigungen informiert und ihnen die Möglichkeit gegeben, der Datennutzung zu widersprechen oder ihr Profil auf „nicht-öffentlich“ zu stellen. Auch das rechnete das Gericht dem Unternehmen positiv an.

Was ist mit sensiblen Daten?

Dass auch sensible Daten oder Informationen von Minderjährigen betroffen sein könnten, änderte laut Gericht nichts am Ergebnis: Meta habe glaubhaft gemacht, dass solche Inhalte herausgefiltert werden – zum Beispiel Namen, Telefonnummern oder Kontodaten.

Auch der Digital Markets Act wurde geprüft

Weil Meta als sogenannter „Torwächter“ gilt (ein besonders mächtiger Anbieter im Sinne des Digital Markets Act, kurz DMA), wurde auch geprüft, ob hier ein Verstoß vorliegt. Das OLG kam zu dem Schluss: Nein. Meta führe keine Daten aus verschiedenen Diensten zusammen – eine solche Datenverknüpfung sei Voraussetzung für einen DMA-Verstoß. Auch die Datenschutzbehörden in Irland und Hamburg sahen keine rechtlichen Probleme.

Fazit für Unternehmen

Das Urteil schafft Klarheit für große Plattformbetreiber:innen – und zeigt, dass eine Datenverarbeitung zum Training von KI auch ohne Einwilligung möglich sein kann, wenn sie gut vorbereitet und transparent kommuniziert wird. 

Gleiches kann auch für KI-Anwendungen bei kleineren Unternehmen der Fall sein. Wichtig ist dabei immer: Vor der Einführung muss eine Risikoanalyse und Interessenabwägung durchgeführt und dokumentiert werden. Weiterhin müssen Nutzer:innen über ihre Widerspruchsmöglichkeiten informiert werden, und sensible Daten müssen in jedem Fall geschützt bleiben.

Wir helfen Ihnen beim Datenschutz

Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.

Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.

Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. 

Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/

Externer Datenschutzbeauftragter

Externer Datenschutzbeauftragter