Javascript is required
logo-dastralogo-dastra

Dastra Insights: Was ist im Februar passiert?

Dastra Insights: Was ist im Februar passiert?
Maëva Vidal
Maëva Vidal
3 März 2026·10 Lesezeit

Müde von allgemeinen Newslettern, die nur oberflächlich Ihre wirklichen Sorgen streifen? Dastra Insights bietet rechtliche und regulatorische Überwachung, speziell zugeschnitten auf DSB, Rechtsanwält:innen und Datenschutzfachleute.

Jeden Monat gehen wir über eine einfache Zusammenfassung hinaus: Wir wählen etwa zehn Entscheidungen, Nachrichten oder Positionen aus, die konkrete Auswirkungen auf Ihre Aufgaben und Organisationen haben.

🎯 Gezielte, nützliche Überwachung, verankert in den realen Gegebenheiten von Datenschutz und KI.

Hier unsere Auswahl für Februar 2026:

Risiken im Zusammenhang mit KI‑generierten Bildern: die Datenschutzbehörde unterzeichnet eine gemeinsame Erklärung

Am 23. Februar 2026 haben 61 Datenschutzbehörden weltweit, darunter die Belgische Datenschutzbehörde (Autorité de protection des données, APD), eine gemeinsame Erklärung veröffentlicht und unterzeichnet, die vor den Risiken für die Privatsphäre und die Grundrechte warnt, die von durch künstliche Intelligenz erzeugten Bildern und Videos ausgehen.

Diese Initiative wurde unter der Schirmherrschaft der Global Privacy Assembly (GPA) durchgeführt und vom International Enforcement Cooperation Working Group (IEWG) koordiniert.

Was sind die Hauptbedenken?

Die unterzeichnenden Behörden äußern ernsthafte Bedenken hinsichtlich KI‑Systemen, die in der Lage sind, ultra‑realistische Bilder und Videos darzustellen, die identifizierbare Personen zeigen, häufig ohne deren Wissen oder Einwilligung, insbesondere:

  • Inhalte, die die Privatsphäre oder die Würde der dargestellten Personen verletzen können;
  • die Erstellung von intimen oder diffamierenden Deepfakes, die Rufschädigung zur Folge haben oder für böswillige Zwecke ausgenutzt werden könnten;
  • Schäden, die speziell Kinder und andere besonders schutzbedürftige Gruppen betreffen.

Grundsätze und Empfehlungen

Die Erklärung beschränkt sich nicht auf eine Warnung: Sie legt grundlegende Prinzipien fest, die Organisationen, die Bildgenerierungssysteme entwickeln oder nutzen, beachten sollten:

  • Robuste Maßnahmen umsetzen, um missbräuchliche Nutzung oder nicht‑einvernehmliche Verbreitung personenbezogener Daten zu verhindern;
  • Sinnvolle Transparenz sicherstellen über Fähigkeiten und Grenzen der Systeme sowie erlaubte Verwendungszwecke;
  • Effektive Mechanismen bereitstellen, die es betroffenen Personen ermöglichen, die schnelle Entfernung schädlicher Inhalte, die ihre Daten betreffen, zu verlangen;
  • Risiken, die Kinder betreffen, mindern, einschließlich verstärkter Schutzmaßnahmen und altersgerechter Informationen für junge Menschen, deren Eltern und Lehrkräfte.

Warum das wichtig ist

Die APD und ihre Kollegbehörden erinnern daran, dass generative KI‑Technologien erhebliche Chancen bieten, aber auch Grundrechte verletzen können (wie das Recht auf Privatsphäre oder die Menschenwürde), wenn sie ohne geeignete Schutzmaßnahmen eingesetzt werden. Sie fordern daher Entwickler, Anbieter, Plattformen und Nutzer auf, mit den Behörden zusammenzuarbeiten, damit technologische Innovation nicht auf Kosten der Freiheit und Rechte der Menschen geht.

Dokumentation: CNIL veröffentlicht die Aktualisierung 2026 der Tables Informatique et Libertés

CNIL hat die Ausgabe 2026 ihrer Tables Informatique et Libertés veröffentlicht, eine wichtige doktrinäre Ressource, die die wesentlichen Punkte der Rechtsprechung und der entscheidungspraxis zum Schutz personenbezogener Daten auf nationaler und europäischer Ebene zusammenstellt und strukturiert.

Die Tables Informatique et Libertés sind ein geordnetes Corpus thematischer Zusammenfassungen wichtiger Entscheidungen von:

  • französischen Gerichten (z. B. Conseil d’État oder Cour de cassation);
  • europäischen Gerichten (insbesondere dem Gerichtshof der Europäischen Union);
  • der CNIL selbst (Entscheidungen, Abhilfemaßnahmen, doktrinäre Positionen);
  • dem Europäischen Datenschutzausschuss (EDPB).

Präsentiert nach einer detaillierten thematischen Klassifikation (Grundsätze, Rechtsgrundlagen, Betroffenenrechte, Datensicherheit, internationale Übermittlungen, Sanktionen usw.) bieten sie einen kohärenten Gesamtüberblick über die auf die DSGVO und das französische Datenschutzgesetz (Informatique et Libertés) anwendbare Doktrin.

Die CNIL betont, dass diese Tabellen einen doppelten Zweck haben:

  • Intern: Eine einheitliche Aneignung der Doktrin bei den CNIL‑Mitarbeitenden angesichts der ständig steigenden Zahl rechtlicher Fragestellungen im Zusammenhang mit der Anwendung der DSGVO sicherzustellen.
  • Extern: Doktrinäre Positionen und Rechtsfragen für Fachleute, Wissenschaftler und Praktiker zugänglicher zu machen, die nicht immer in Einzelfallentscheidungen publiziert werden.

Dieses Dokument wird regelmäßig aktualisiert, um laufende Entwicklungen in der Datenschutzpraxis abzubilden, insbesondere im Hinblick auf neue Technologien und Rechtsprechung.

Aufruf an Tester:innen eines DSGVO‑Audit‑Tools für KI‑Modelle

Die Französische Nationale Agentur für Cybersicherheit (ANSSI) hat in Partnerschaft mit der CNIL, PEReN und dem IPoP‑Projekt des Cybersecurity‑PEPR unter Leitung von Inria einen Aufruf zur Interessenbekundung (AMI) gestartet, um Interessenträger auszuwählen, die bereit sind, ein neues Privacy‑Audit‑Tool für künstliche Intelligenz‑Modelle zu testen. Diese Initiative ist Teil des PANAME‑Projekts (Privacy Auditing of AI Models).

Ziel des Projekts ist die Entwicklung einer Softwarebibliothek zur technischen Prüfung der Datenschutzaspekte von KI‑Modellen, insbesondere gegenüber Information‑Extraction‑Tests, die personenbezogene Daten aus Trainingsdatensätzen offenlegen können. Damit sollen Organisationen unterstützt werden, die DSGVO‑Konformität ihrer Modelle zu bewerten, vor allem wenn diese sensible Daten verwenden oder darauf trainiert wurden.

Der Aufruf zur Interessenbekundung läuft vom 26. Februar bis 28. März 2026 und richtet sich an alle öffentlichen oder privaten Einrichtungen mit Sitz in der Europäischen Union: Unternehmen, Startups, Forschungslabore, öffentliche Verwaltungen oder sonstige Organisationen, die KI‑Modelle nutzen oder entwickeln. Ausgewählte Bewerber:innen werden an einer praktischen Testphase teilnehmen, um die Funktionalitäten des Tools zu validieren und zu erweitern.

Vereinigtes Königreich: ICO verhängt Geldbuße von £14,47 Mio. gegen Reddit wegen mangelhaften Schutzes von Kinderdaten

Am 24. Februar 2026 hat das Information Commissioner’s Office (ICO), die unabhängige Datenschutzbehörde des Vereinigten Königreichs, eine Sanktion in Höhe von £14,47 Millionen (etwa €17 Millionen) gegen Reddit, Inc. angekündigt, wegen der unrechtmäßigen Nutzung personenbezogener Daten von Kindern unter 13 Jahren und des Versäumnisses, angemessene Altersverifizierungsmechanismen einzuführen.

Nach Angaben des ICO:

  • Reddit hatte keinen robusten Altersverifizierungsmechanismus implementiert, sondern bis Juli 2025 auf eine einfache Selbstauskunft der Nutzer:innen vertraut, die leicht umgangen werden konnte.
  • Das Unternehmen hatte vor Januar 2025 keine Datenschutz‑Folgenabschätzung (DPIA) durchgeführt, um Risiken im Zusammenhang mit der Verarbeitung von Kinderdaten zu bewerten und zu mindern, wie es nach britischem Recht und der DSGVO erforderlich ist.
  • Das ICO kam zu dem Schluss, dass viele Kinder unter 13 Jahren auf der Plattform präsent waren, ohne dass eine rechtmäßige Grundlage für die Verarbeitung ihrer Daten bestand, was sie unangemessenen oder potenziell schädlichen Inhalten aussetzen konnte.

Diese Sanktion ist Teil der verschärften Durchsetzung des Children’s Code (Age Appropriate Design Code) und der britischen Datenschutzgesetze durch das ICO, insbesondere durch die Auferlegung verstärkter Pflichten an Plattformen, die wahrscheinlich von Minderjährigen genutzt werden.

Kroatien: Immobilienagentur mit €100.000 Geldbuße belegt wegen DSGVO‑Verstößen

Am 19. Februar 2026 verhängte die Kroatische Behörde für den Schutz personenbezogener Daten (Agencija za zaštitu osobnih podataka – AZOP) eine Verwaltungsstrafe in Höhe von €100.000 gegen eine Immobilienagentur, die als Verantwortliche für mehrere Verstöße gegen die DSGVO handelte.

Gründe der Sanktion

AZOP stellte fest, dass die Agentur mehrere grundlegende Verpflichtungen der DSGVO verletzt hatte, insbesondere:

  • Verstoß gegen das Prinzip der Speicherbegrenzung: Die Agentur habe personenbezogene Daten von 11.887 Kund:innen weit über den für den Verarbeitungszweck notwendigen Zeitraum hinaus aufbewahrt.
  • Fehlende Rechtsgrundlage für bestimmte Daten: Kopien sensibler Dokumente (z. B. 898 Personalausweise, 6 Reisepässe, 3 Kopien von Bankkarten, eine Krankenversicherungskarte, ein Ausweis eines Minderjährigen usw.) seien ohne klare rechtliche Rechtfertigung archiviert worden.
  • Unzureichende technische und organisatorische Maßnahmen: Die Agentur habe keine angemessene Aufsicht und Schulung des Personals gewährleistet, das auf die Daten zugreift, entgegen den Anforderungen von Artikel 32 DSGVO.

Während der Inspektion stellte AZOP fest, dass viele Maklerverträge über Grundstückskauf oder -miete, abgeschlossen zwischen 2010 und 2019, noch mit angehängten Daten archiviert waren, obwohl diese Dokumente nicht mehr für den ursprünglichen Verarbeitungszweck erforderlich waren.

Auswirkungen dieser Entscheidung

Dieses Urteil macht mehrere Kernpunkte deutlich:

  • Das Datenminimierungs‑ und Speicherbegrenzungsprinzip verlangt, dass Daten nur so lange aufbewahrt werden, wie es für den ursprünglichen Zweck erforderlich ist (Art. 5 DSGVO).
  • Die Rechtmäßigkeit der Verarbeitung erfordert eine klare Rechtsgrundlage für jede Art von gespeicherten Daten, insbesondere für sensible Dokumente wie Kopien von Ausweisdokumenten oder Bankkarten (Art. 5 DSGVO).
  • Organisatorische und technische Sicherheitsmaßnahmen (Mitarbeiterschulung, Zugriffsüberwachung, klare Verarbeitungsregeln) müssen verhältnismäßig zum Risiko sein (Art. 32 DSGVO).

Polen: DPD Polska mit 11 Mio. PLN (~€2,5 Mio.) für Subunternehmer‑ und Sicherheitsmängel belegt

Das Polnische Amt für den Schutz personenbezogener Daten (UODO – Urząd Ochrony Danych Osobowych) verhängte Geldbußen in Höhe von insgesamt 11.000.000 PLN gegen DPD Polska Sp. z o.o. wegen mehrerer schwerwiegender Verstöße bei der Verarbeitung von Kundendaten.

UODO stellte fest, dass DPD Polska:

  1. Keine Auftragsverarbeitungsverträge (AVV) mit externen Subunternehmern abgeschlossen hatte (insbesondere mit Zustellern, die Zugang zu Versandetiketten mit personenbezogenen Daten hatten), was gegen Artikel 28 Absatz 3 DSGVO (vertragliche Pflichten gegenüber Auftragsverarbeiter:innen) verstößt.
  2. Nicht sichergestellt hatte, dass Mitarbeitende personenbezogene Daten nur auf Grundlage geeigneter Berechtigungen verarbeiteten (Art. 32 Absatz 4 DSGVO). Das interne System des Unternehmens zur Erzeugung von Pseudo‑Berechtigungen habe wesentliche Elemente wie Name und Unterschrift vermissen lassen, wodurch die Nachvollziehbarkeit und die Rechtmäßigkeit der Verarbeitung untergraben wurden.

Die Sanktion von 11 Mio. PLN (~€2,5 Mio.) spiegelt die Schwere der Verstöße wider: Das Unternehmen hatte die vertraglichen Beziehungen zu seinen Subunternehmern nicht ordnungsgemäß abgesichert und die interne Verarbeitung durch Mitarbeitende nicht geregelt, wodurch Kundendaten unkontrollierten Risiken ausgesetzt waren.

Europäische Union: EuGH hebt die Anordnung des Gerichts in Ireland v. WhatsApp auf

Am 10. Februar 2026 hat der Gerichtshof der Europäischen Union (EuGH) eine Anordnung des Gerichts (ehemals Gericht erster Instanz der Europäischen Union) aufgehoben, das die Klage von WhatsApp Ireland Ltd, mit der eine Entscheidung im Zusammenhang mit einem von der Irischen Datenschutzbehörde eingeleiteten Verfahren angefochten wurde, für unzulässig erklärt hatte.

Die Entscheidung der irischen Behörde

Nach Inkrafttreten der DSGVO erhielt die irische Data Protection Commission (DPC) mehrere Beschwerden hinsichtlich der Transparenz der Verarbeitung durch WhatsApp, insbesondere bezüglich möglicher Datenweitergabe an andere Unternehmen der Facebook‑Gruppe (heute Meta).

In ihrer endgültigen Entscheidung stellte die DPC fest, dass WhatsApp gegen verstochen:

  • das Transparenzprinzip (Artikel 5 Absatz 1 Buchstabe a DSGVO);
  • die Informationspflichten gemäß den Artikeln 12 bis 14 DSGVO.

Gemäß Artikel 58 Absatz 2 DSGVO verhängte die Behörde vier Verwaltungsstrafen mit einer Gesamthöhe von €225 Millionen.

Die Unzulässigkeitsentscheidung des Gerichts

Mehrere europäische Aufsichtsbehörden erhoben Einwände gegen den Entwurf der irischen Entscheidung, und der Europäische Datenschutzausschuss (EDPB) wurde angehört.

Der EDPB erließ eine verbindliche Entscheidung nach Artikel 65 DSGVO, die die DPC verpflichtete, bestimmte Analysen zu übernehmen und spezifische Elemente zu überarbeiten, insbesondere hinsichtlich der Qualifizierung der Verstöße und der Sanktionen. Die endgültige irische Entscheidung wurde daher unter Berücksichtigung der Stellungnahme des EDPB getroffen.

WhatsApp erhob Klage vor dem Gericht und focht die Rechtmäßigkeit der EDPB‑Entscheidung an, da sie geltend machte, diese verbindliche Entscheidung betreffe ihre Rechtslage unmittelbar.

Das Gericht hatte die Klage jedoch für unzulässig erklärt und befunden, dass WhatsApp nicht direkt betroffen von der angefochtenen EDPB‑Entscheidung sei, die formell an die irische Behörde gerichtet war.

Die Aufhebung durch den EuGH

Der Gerichtshof stellte im Wesentlichen fest, dass die Analyse des Gerichts bezüglich des Fehlens einer unmittelbaren Wirkung fehlerhaft war. Tatsächlich erzeugte die europäische Entscheidung verbindliche Rechtswirkungen, die wahrscheinlich die rechtliche Lage von WhatsApp unmittelbar beeinflussen, insbesondere hinsichtlich des Inhalts der endgültigen Entscheidung und der Höhe der verhängten Geldbußen.

Durch die Aufhebung der Unzulässigkeitsanordnung des Gerichts ermöglicht der Gerichtshof der Europäischen Union eine inhaltliche Prüfung der von WhatsApp Ireland Ltd erhobenen Klage.

Über den Autor
Maëva Vidal
Maëva Vidal
Abonnieren Sie unseren Newsletter

Wir werden Ihnen einige E-Mails senden, um Sie über unsere Neuigkeiten und die Neuerungen unserer Lösung auf dem Laufenden zu halten.

* Sie können sich jederzeit von jedem Newsletter abmelden.