[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fxc2m-xUFn5CJQOLUtRCbEFLw-dpFfOv6iVXZCf3eUe4":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":7,"nbDownloads":11,"excerpt":12,"lang":13,"url":14,"intro":15,"featured":4,"state":16,"author":17,"authorId":18,"datePublication":22,"dateCreation":23,"dateUpdate":24,"mainCategory":25,"categories":40,"metaDatas":46,"imageUrl":47,"imageThumbUrls":48,"id":56},true,"Müde von allgemeinen Newslettern, die nur oberflächlich Ihre wirklichen Sorgen streifen? **Dastra Insights** bietet rechtliche und regulatorische Überwachung, **speziell zugeschnitten auf DSB, Rechtsanwält:innen und Datenschutzfachleute**.\r\n\r\nJeden Monat gehen wir über eine einfache Zusammenfassung hinaus: Wir wählen etwa zehn Entscheidungen, Nachrichten oder Positionen aus, **die konkrete Auswirkungen auf Ihre Aufgaben und Organisationen haben**.\r\n\r\n🎯 **Gezielte, nützliche Überwachung, verankert in den realen Gegebenheiten von Datenschutz und KI.**\r\n\r\nHier unsere Auswahl für **Februar 2026:**\r\n\r\n## Risiken im Zusammenhang mit KI‑generierten Bildern: die Datenschutzbehörde unterzeichnet eine gemeinsame Erklärung\r\n\r\nAm 23. Februar 2026 haben 61 Datenschutzbehörden weltweit, darunter die [Belgische Datenschutzbehörde (Autorité de protection des données, APD)](https://www.autoriteprotectiondonnees.be/citoyen/actualites/2026/02/23/risques-lies-aux-images-generees-par-l-ia-l-apd-signe-une-declaration-commune), eine [gemeinsame Erklärung](https://www.autoriteprotectiondonnees.be/publications/joint-statement-on-ai-generated-imagery-and-the-protection-of-privacy.pdf) veröffentlicht und unterzeichnet, die vor den **Risiken für die Privatsphäre und die Grundrechte warnt, die von durch künstliche Intelligenz erzeugten Bildern und Videos ausgehen**.\r\n\r\nDiese Initiative wurde unter der Schirmherrschaft der **Global Privacy Assembly (GPA)** durchgeführt und vom **International Enforcement Cooperation Working Group (IEWG)** koordiniert.\r\n\r\n### Was sind die Hauptbedenken?\r\n\r\nDie unterzeichnenden Behörden äußern ernsthafte Bedenken hinsichtlich KI‑Systemen, die in der Lage sind, **ultra‑realistische Bilder und Videos darzustellen, die identifizierbare Personen zeigen**, häufig ohne deren **Wissen oder Einwilligung**, insbesondere:\r\n\r\n- Inhalte, die die **Privatsphäre** oder die **Würde** der dargestellten Personen verletzen können;\r\n- die Erstellung von **intimen oder diffamierenden Deepfakes**, die Rufschädigung zur Folge haben oder für böswillige Zwecke ausgenutzt werden könnten;\r\n- **Schäden, die speziell Kinder** und andere besonders schutzbedürftige Gruppen betreffen.\r\n\r\n### Grundsätze und Empfehlungen\r\n\r\nDie Erklärung beschränkt sich nicht auf eine Warnung: Sie legt **grundlegende Prinzipien** fest, die Organisationen, die Bildgenerierungssysteme entwickeln oder nutzen, beachten sollten:\r\n\r\n- **Robuste Maßnahmen umsetzen**, um missbräuchliche Nutzung oder nicht‑einvernehmliche Verbreitung personenbezogener Daten zu verhindern;\r\n- **Sinnvolle Transparenz sicherstellen** über Fähigkeiten und Grenzen der Systeme sowie erlaubte Verwendungszwecke;\r\n- **Effektive Mechanismen bereitstellen**, die es betroffenen Personen ermöglichen, die schnelle Entfernung schädlicher Inhalte, die ihre Daten betreffen, zu verlangen;\r\n- **Risiken, die Kinder betreffen, mindern**, einschließlich verstärkter Schutzmaßnahmen und altersgerechter Informationen für junge Menschen, deren Eltern und Lehrkräfte.\r\n\r\n### Warum das wichtig ist\r\n\r\nDie APD und ihre Kollegbehörden erinnern daran, dass generative KI‑Technologien erhebliche Chancen bieten, **aber auch Grundrechte verletzen können** (wie das Recht auf Privatsphäre oder die Menschenwürde), wenn sie ohne geeignete Schutzmaßnahmen eingesetzt werden. Sie fordern daher Entwickler, Anbieter, Plattformen und Nutzer auf, **mit den Behörden zusammenzuarbeiten**, **damit technologische Innovation nicht auf Kosten der Freiheit und Rechte der Menschen geht**.\r\n\r\n## Dokumentation: CNIL veröffentlicht die Aktualisierung 2026 der Tables Informatique et Libertés\r\n\r\n[CNIL](https://www.cnil.fr/fr/tables-informatique-et-libertes-2026) hat die [**Ausgabe 2026 ihrer *Tables Informatique et Libertés***](https://www.cnil.fr/sites/default/files/2026-03/tables_il.pdf) veröffentlicht, eine **wichtige doktrinäre Ressource**, die die wesentlichen Punkte der **Rechtsprechung und der entscheidungspraxis zum Schutz personenbezogener Daten** auf nationaler und europäischer Ebene zusammenstellt und strukturiert.\r\n\r\nDie *Tables Informatique et Libertés* sind ein **geordnetes Corpus thematischer Zusammenfassungen** wichtiger Entscheidungen von:\r\n\r\n- französischen Gerichten (z. B. Conseil d’État oder Cour de cassation);\r\n- europäischen Gerichten (insbesondere dem Gerichtshof der Europäischen Union);\r\n- der CNIL selbst (Entscheidungen, Abhilfemaßnahmen, doktrinäre Positionen);\r\n- dem Europäischen Datenschutzausschuss (EDPB).\r\n\r\nPräsentiert nach einer **detaillierten thematischen Klassifikation** (Grundsätze, Rechtsgrundlagen, Betroffenenrechte, Datensicherheit, internationale Übermittlungen, Sanktionen usw.) bieten sie einen **kohärenten Gesamtüberblick über die auf die DSGVO und das französische Datenschutzgesetz (*Informatique et Libertés*) anwendbare Doktrin**.\r\n\r\nDie CNIL betont, dass diese Tabellen einen doppelten Zweck haben:\r\n\r\n- **Intern**: Eine einheitliche Aneignung der Doktrin bei den CNIL‑Mitarbeitenden angesichts der ständig steigenden Zahl rechtlicher Fragestellungen im Zusammenhang mit der Anwendung der DSGVO sicherzustellen.\r\n- **Extern**: Doktrinäre Positionen und Rechtsfragen für **Fachleute, Wissenschaftler und Praktiker** zugänglicher zu machen, die nicht immer in Einzelfallentscheidungen publiziert werden.\r\n\r\nDieses Dokument wird regelmäßig aktualisiert, um laufende Entwicklungen in der Datenschutzpraxis abzubilden, insbesondere im Hinblick auf neue Technologien und Rechtsprechung.\r\n\r\n## Aufruf an Tester:innen eines **DSGVO‑Audit‑Tools für KI‑Modelle**\r\n\r\nDie **Französische Nationale Agentur für Cybersicherheit (ANSSI)** hat in Partnerschaft mit der **CNIL**, PEReN und dem IPoP‑Projekt des Cybersecurity‑PEPR unter Leitung von Inria einen [**Aufruf zur Interessenbekundung (AMI)**](https://cyber.gouv.fr/actualites/ami-outil-audit-rgpd-ia/) gestartet, um Interessenträger auszuwählen, die bereit sind, ein neues **Privacy‑Audit‑Tool für künstliche Intelligenz‑Modelle** zu testen. Diese Initiative ist Teil des **PANAME**‑Projekts (*Privacy Auditing of AI Models*).\r\n\r\nZiel des Projekts ist die Entwicklung einer **Softwarebibliothek zur technischen Prüfung der Datenschutzaspekte von KI‑Modellen**, insbesondere gegenüber **Information‑Extraction‑Tests**, die personenbezogene Daten aus Trainingsdatensätzen offenlegen können. Damit sollen Organisationen unterstützt werden, **die DSGVO‑Konformität ihrer Modelle zu bewerten**, vor allem wenn diese sensible Daten verwenden oder darauf trainiert wurden.\r\n\r\nDer Aufruf zur Interessenbekundung läuft vom **26. Februar bis 28. März 2026** und richtet sich an alle öffentlichen oder privaten Einrichtungen mit Sitz in der Europäischen Union: **Unternehmen, Startups, Forschungslabore, öffentliche Verwaltungen oder sonstige Organisationen, die KI‑Modelle nutzen oder entwickeln**. Ausgewählte Bewerber:innen werden an einer praktischen Testphase teilnehmen, um die Funktionalitäten des Tools zu validieren und zu erweitern.\r\n\r\n## Vereinigtes Königreich: ICO verhängt Geldbuße von £14,47 Mio. gegen Reddit wegen mangelhaften Schutzes von Kinderdaten\r\n\r\nAm 24. Februar 2026 hat das [**Information Commissioner’s Office (ICO)**](https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/02/reddit-issued-with-1447m-fine-for-children-s-privacy-failures/), die unabhängige Datenschutzbehörde des Vereinigten Königreichs, eine Sanktion in Höhe von **£14,47 Millionen** (etwa **€17 Millionen**) gegen **Reddit, Inc.** angekündigt, wegen der unrechtmäßigen Nutzung **personenbezogener Daten von Kindern unter 13 Jahren** und des Versäumnisses, **angemessene Altersverifizierungsmechanismen** einzuführen.\r\n\r\nNach Angaben des ICO:\r\n\r\n- Reddit **hatte keinen robusten Altersverifizierungsmechanismus implementiert**, sondern bis Juli 2025 auf eine einfache **Selbstauskunft der Nutzer:innen** vertraut, die leicht umgangen werden konnte.\r\n- Das Unternehmen **hatte vor Januar 2025 keine Datenschutz‑Folgenabschätzung (DPIA)** durchgeführt, um Risiken im Zusammenhang mit der Verarbeitung von Kinderdaten zu bewerten und zu mindern, wie es nach britischem Recht und der DSGVO erforderlich ist.\r\n- Das ICO kam zu dem Schluss, dass **viele Kinder unter 13 Jahren auf der Plattform präsent waren**, ohne dass eine rechtmäßige Grundlage für die Verarbeitung ihrer Daten bestand, was sie **unangemessenen oder potenziell schädlichen Inhalten aussetzen** konnte.\r\n\r\nDiese Sanktion ist Teil der verschärften Durchsetzung des *Children’s Code* (Age Appropriate Design Code) und der britischen Datenschutzgesetze durch das ICO, insbesondere durch die Auferlegung verstärkter Pflichten an Plattformen, die wahrscheinlich von Minderjährigen genutzt werden.\r\n\r\n## Kroatien: Immobilienagentur **mit €100.000 Geldbuße belegt** wegen DSGVO‑Verstößen\r\n\r\nAm 19. Februar 2026 verhängte die **Kroatische Behörde für den Schutz personenbezogener Daten (Agencija za zaštitu osobnih podataka – AZOP)** eine Verwaltungsstrafe in Höhe von **€100.000** gegen eine Immobilienagentur, die als Verantwortliche für mehrere Verstöße gegen die DSGVO handelte.\r\n\r\n### Gründe der Sanktion\r\n\r\nAZOP stellte fest, dass die Agentur mehrere grundlegende Verpflichtungen der DSGVO verletzt hatte, insbesondere:\r\n\r\n- **Verstoß gegen das Prinzip der Speicherbegrenzung**: Die Agentur habe personenbezogene Daten von 11.887 Kund:innen weit über den für den Verarbeitungszweck notwendigen Zeitraum hinaus aufbewahrt.\r\n- **Fehlende Rechtsgrundlage für bestimmte Daten**: Kopien sensibler Dokumente (z. B. 898 Personalausweise, 6 Reisepässe, 3 Kopien von Bankkarten, eine Krankenversicherungskarte, ein Ausweis eines Minderjährigen usw.) seien ohne klare rechtliche Rechtfertigung archiviert worden.\r\n- **Unzureichende technische und organisatorische Maßnahmen**: Die Agentur habe keine angemessene Aufsicht und Schulung des Personals gewährleistet, das auf die Daten zugreift, entgegen den Anforderungen von Artikel 32 DSGVO.\r\n\r\nWährend der Inspektion stellte AZOP fest, dass viele Maklerverträge über Grundstückskauf oder -miete, abgeschlossen zwischen **2010 und 2019**, **noch mit angehängten Daten archiviert** waren, obwohl diese Dokumente nicht mehr für den ursprünglichen Verarbeitungszweck erforderlich waren.\r\n\r\n### Auswirkungen dieser Entscheidung\r\n\r\nDieses Urteil macht mehrere Kernpunkte deutlich:\r\n\r\n- Das **Datenminimierungs‑ und Speicherbegrenzungsprinzip** verlangt, dass Daten *nur so lange aufbewahrt werden, wie es für den ursprünglichen Zweck erforderlich ist* (Art. 5 DSGVO).\r\n- Die **Rechtmäßigkeit der Verarbeitung** erfordert eine klare Rechtsgrundlage für jede Art von gespeicherten Daten, insbesondere für sensible Dokumente wie Kopien von Ausweisdokumenten oder Bankkarten (Art. 5 DSGVO).\r\n- **Organisatorische und technische Sicherheitsmaßnahmen** (Mitarbeiterschulung, Zugriffsüberwachung, klare Verarbeitungsregeln) müssen verhältnismäßig zum Risiko sein (Art. 32 DSGVO).\r\n\r\n## Polen: DPD Polska mit **11 Mio. PLN (~€2,5 Mio.)** für Subunternehmer‑ und Sicherheitsmängel belegt\r\n\r\nDas **Polnische Amt für den Schutz personenbezogener Daten (UODO – Urząd Ochrony Danych Osobowych)** verhängte **Geldbußen in Höhe von insgesamt 11.000.000 PLN** gegen **DPD Polska Sp. z o.o.** wegen mehrerer schwerwiegender Verstöße bei der Verarbeitung von Kundendaten.\r\n\r\nUODO stellte fest, dass DPD Polska:\r\n\r\n1. **Keine Auftragsverarbeitungsverträge (AVV) mit externen Subunternehmern abgeschlossen hatte** (insbesondere mit Zustellern, die Zugang zu Versandetiketten mit personenbezogenen Daten hatten), was gegen Artikel 28 Absatz 3 DSGVO (vertragliche Pflichten gegenüber Auftragsverarbeiter:innen) verstößt.\r\n2. **Nicht sichergestellt hatte, dass Mitarbeitende personenbezogene Daten nur auf Grundlage geeigneter Berechtigungen verarbeiteten** (Art. 32 Absatz 4 DSGVO). Das interne System des Unternehmens zur Erzeugung von Pseudo‑Berechtigungen habe wesentliche Elemente wie Name und Unterschrift vermissen lassen, wodurch die Nachvollziehbarkeit und die Rechtmäßigkeit der Verarbeitung untergraben wurden.\r\n\r\nDie Sanktion von 11 Mio. PLN (~€2,5 Mio.) spiegelt die Schwere der Verstöße wider: Das Unternehmen hatte die **vertraglichen Beziehungen zu seinen Subunternehmern nicht ordnungsgemäß abgesichert** und die **interne Verarbeitung durch Mitarbeitende nicht geregelt**, wodurch Kundendaten unkontrollierten Risiken ausgesetzt waren.\r\n\r\n## Europäische Union: EuGH hebt die Anordnung des Gerichts in Ireland v. WhatsApp auf\r\n\r\nAm 10. Februar 2026 hat der [Gerichtshof der Europäischen Union (EuGH)](https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:62023CJ0097) eine Anordnung des Gerichts (ehemals Gericht erster Instanz der Europäischen Union) aufgehoben, das die Klage von WhatsApp Ireland Ltd, mit der eine Entscheidung im Zusammenhang mit einem von der Irischen Datenschutzbehörde eingeleiteten Verfahren angefochten wurde, für unzulässig erklärt hatte.\r\n\r\n### Die Entscheidung der irischen Behörde\r\n\r\nNach Inkrafttreten der DSGVO erhielt die irische Data Protection Commission (DPC) mehrere Beschwerden hinsichtlich der Transparenz der Verarbeitung durch WhatsApp, insbesondere bezüglich möglicher Datenweitergabe an andere Unternehmen der Facebook‑Gruppe (heute Meta).\r\n\r\nIn ihrer endgültigen Entscheidung stellte die DPC fest, dass WhatsApp gegen verstochen:\r\n\r\n- das Transparenzprinzip (Artikel 5 Absatz 1 Buchstabe a DSGVO);\r\n- die Informationspflichten gemäß den Artikeln 12 bis 14 DSGVO.\r\n\r\nGemäß Artikel 58 Absatz 2 DSGVO verhängte die Behörde **vier Verwaltungsstrafen** mit einer Gesamthöhe von **€225 Millionen**.\r\n\r\n### Die Unzulässigkeitsentscheidung des Gerichts\r\n\r\nMehrere europäische Aufsichtsbehörden erhoben Einwände gegen den Entwurf der irischen Entscheidung, und der Europäische Datenschutzausschuss (EDPB) wurde angehört.\r\n\r\nDer EDPB erließ eine **verbindliche Entscheidung** nach Artikel 65 DSGVO, die die DPC verpflichtete, bestimmte Analysen zu übernehmen und spezifische Elemente zu überarbeiten, insbesondere hinsichtlich der Qualifizierung der Verstöße und der Sanktionen. **Die endgültige irische Entscheidung wurde daher unter Berücksichtigung der Stellungnahme des EDPB getroffen.**\r\n\r\nWhatsApp erhob Klage vor dem Gericht und focht die Rechtmäßigkeit der EDPB‑Entscheidung an, da sie geltend machte, diese verbindliche Entscheidung betreffe ihre Rechtslage unmittelbar.\r\n\r\nDas Gericht hatte die Klage jedoch für **unzulässig** erklärt und befunden, dass WhatsApp nicht **direkt betroffen** von der angefochtenen EDPB‑Entscheidung sei, die formell an die irische Behörde gerichtet war.\r\n\r\n### Die Aufhebung durch den EuGH\r\n\r\nDer Gerichtshof stellte im Wesentlichen fest, dass die Analyse des Gerichts bezüglich des Fehlens einer unmittelbaren Wirkung fehlerhaft war. Tatsächlich **erzeugte die europäische Entscheidung verbindliche Rechtswirkungen, die wahrscheinlich die rechtliche Lage von WhatsApp unmittelbar beeinflussen**, insbesondere hinsichtlich des Inhalts der endgültigen Entscheidung und der Höhe der verhängten Geldbußen.\r\n\r\nDurch die Aufhebung der Unzulässigkeitsanordnung des Gerichts ermöglicht der Gerichtshof der Europäischen Union **eine inhaltliche Prüfung der von WhatsApp Ireland Ltd erhobenen Klage**.","\u003Cp>Müde von allgemeinen Newslettern, die nur oberflächlich Ihre wirklichen Sorgen streifen? \u003Cstrong>Dastra Insights\u003C/strong> bietet rechtliche und regulatorische Überwachung, \u003Cstrong>speziell zugeschnitten auf DSB, Rechtsanwält:innen und Datenschutzfachleute\u003C/strong>.\u003C/p>\r\n\u003Cp>Jeden Monat gehen wir über eine einfache Zusammenfassung hinaus: Wir wählen etwa zehn Entscheidungen, Nachrichten oder Positionen aus, \u003Cstrong>die konkrete Auswirkungen auf Ihre Aufgaben und Organisationen haben\u003C/strong>.\u003C/p>\r\n\u003Cp>🎯 \u003Cstrong>Gezielte, nützliche Überwachung, verankert in den realen Gegebenheiten von Datenschutz und KI.\u003C/strong>\u003C/p>\r\n\u003Cp>Hier unsere Auswahl für \u003Cstrong>Februar 2026:\u003C/strong>\u003C/p>\r\n\u003Ch2 id=\"risiken-im-zusammenhang-mit-kigenerierten-bildern-die-datenschutzbehorde-unterzeichnet-eine-gemeinsame-erklarung\">Risiken im Zusammenhang mit KI‑generierten Bildern: die Datenschutzbehörde unterzeichnet eine gemeinsame Erklärung\u003C/h2>\r\n\u003Cp>Am 23. Februar 2026 haben 61 Datenschutzbehörden weltweit, darunter die \u003Ca href=\"https://www.autoriteprotectiondonnees.be/citoyen/actualites/2026/02/23/risques-lies-aux-images-generees-par-l-ia-l-apd-signe-une-declaration-commune\" rel=\"nofollow\">Belgische Datenschutzbehörde (Autorité de protection des données, APD)\u003C/a>, eine \u003Ca href=\"https://www.autoriteprotectiondonnees.be/publications/joint-statement-on-ai-generated-imagery-and-the-protection-of-privacy.pdf\" rel=\"nofollow\">gemeinsame Erklärung\u003C/a> veröffentlicht und unterzeichnet, die vor den \u003Cstrong>Risiken für die Privatsphäre und die Grundrechte warnt, die von durch künstliche Intelligenz erzeugten Bildern und Videos ausgehen\u003C/strong>.\u003C/p>\r\n\u003Cp>Diese Initiative wurde unter der Schirmherrschaft der \u003Cstrong>Global Privacy Assembly (GPA)\u003C/strong> durchgeführt und vom \u003Cstrong>International Enforcement Cooperation Working Group (IEWG)\u003C/strong> koordiniert.\u003C/p>\r\n\u003Ch3 id=\"was-sind-die-hauptbedenken\">Was sind die Hauptbedenken?\u003C/h3>\r\n\u003Cp>Die unterzeichnenden Behörden äußern ernsthafte Bedenken hinsichtlich KI‑Systemen, die in der Lage sind, \u003Cstrong>ultra‑realistische Bilder und Videos darzustellen, die identifizierbare Personen zeigen\u003C/strong>, häufig ohne deren \u003Cstrong>Wissen oder Einwilligung\u003C/strong>, insbesondere:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Inhalte, die die \u003Cstrong>Privatsphäre\u003C/strong> oder die \u003Cstrong>Würde\u003C/strong> der dargestellten Personen verletzen können;\u003C/li>\r\n\u003Cli>die Erstellung von \u003Cstrong>intimen oder diffamierenden Deepfakes\u003C/strong>, die Rufschädigung zur Folge haben oder für böswillige Zwecke ausgenutzt werden könnten;\u003C/li>\r\n\u003Cli>\u003Cstrong>Schäden, die speziell Kinder\u003C/strong> und andere besonders schutzbedürftige Gruppen betreffen.\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"grundsatze-und-empfehlungen\">Grundsätze und Empfehlungen\u003C/h3>\r\n\u003Cp>Die Erklärung beschränkt sich nicht auf eine Warnung: Sie legt \u003Cstrong>grundlegende Prinzipien\u003C/strong> fest, die Organisationen, die Bildgenerierungssysteme entwickeln oder nutzen, beachten sollten:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cstrong>Robuste Maßnahmen umsetzen\u003C/strong>, um missbräuchliche Nutzung oder nicht‑einvernehmliche Verbreitung personenbezogener Daten zu verhindern;\u003C/li>\r\n\u003Cli>\u003Cstrong>Sinnvolle Transparenz sicherstellen\u003C/strong> über Fähigkeiten und Grenzen der Systeme sowie erlaubte Verwendungszwecke;\u003C/li>\r\n\u003Cli>\u003Cstrong>Effektive Mechanismen bereitstellen\u003C/strong>, die es betroffenen Personen ermöglichen, die schnelle Entfernung schädlicher Inhalte, die ihre Daten betreffen, zu verlangen;\u003C/li>\r\n\u003Cli>\u003Cstrong>Risiken, die Kinder betreffen, mindern\u003C/strong>, einschließlich verstärkter Schutzmaßnahmen und altersgerechter Informationen für junge Menschen, deren Eltern und Lehrkräfte.\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"warum-das-wichtig-ist\">Warum das wichtig ist\u003C/h3>\r\n\u003Cp>Die APD und ihre Kollegbehörden erinnern daran, dass generative KI‑Technologien erhebliche Chancen bieten, \u003Cstrong>aber auch Grundrechte verletzen können\u003C/strong> (wie das Recht auf Privatsphäre oder die Menschenwürde), wenn sie ohne geeignete Schutzmaßnahmen eingesetzt werden. Sie fordern daher Entwickler, Anbieter, Plattformen und Nutzer auf, \u003Cstrong>mit den Behörden zusammenzuarbeiten\u003C/strong>, \u003Cstrong>damit technologische Innovation nicht auf Kosten der Freiheit und Rechte der Menschen geht\u003C/strong>.\u003C/p>\r\n\u003Ch2 id=\"dokumentation-cnil-veroffentlicht-die-aktualisierung-2026-der-tables-informatique-et-libertes\">Dokumentation: CNIL veröffentlicht die Aktualisierung 2026 der Tables Informatique et Libertés\u003C/h2>\r\n\u003Cp>\u003Ca href=\"https://www.cnil.fr/fr/tables-informatique-et-libertes-2026\" rel=\"nofollow\">CNIL\u003C/a> hat die \u003Ca href=\"https://www.cnil.fr/sites/default/files/2026-03/tables_il.pdf\" rel=\"nofollow\">\u003Cstrong>Ausgabe 2026 ihrer \u003Cem>Tables Informatique et Libertés\u003C/em>\u003C/strong>\u003C/a> veröffentlicht, eine \u003Cstrong>wichtige doktrinäre Ressource\u003C/strong>, die die wesentlichen Punkte der \u003Cstrong>Rechtsprechung und der entscheidungspraxis zum Schutz personenbezogener Daten\u003C/strong> auf nationaler und europäischer Ebene zusammenstellt und strukturiert.\u003C/p>\r\n\u003Cp>Die \u003Cem>Tables Informatique et Libertés\u003C/em> sind ein \u003Cstrong>geordnetes Corpus thematischer Zusammenfassungen\u003C/strong> wichtiger Entscheidungen von:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>französischen Gerichten (z. B. Conseil d’État oder Cour de cassation);\u003C/li>\r\n\u003Cli>europäischen Gerichten (insbesondere dem Gerichtshof der Europäischen Union);\u003C/li>\r\n\u003Cli>der CNIL selbst (Entscheidungen, Abhilfemaßnahmen, doktrinäre Positionen);\u003C/li>\r\n\u003Cli>dem Europäischen Datenschutzausschuss (EDPB).\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Präsentiert nach einer \u003Cstrong>detaillierten thematischen Klassifikation\u003C/strong> (Grundsätze, Rechtsgrundlagen, Betroffenenrechte, Datensicherheit, internationale Übermittlungen, Sanktionen usw.) bieten sie einen \u003Cstrong>kohärenten Gesamtüberblick über die auf die DSGVO und das französische Datenschutzgesetz (\u003Cem>Informatique et Libertés\u003C/em>) anwendbare Doktrin\u003C/strong>.\u003C/p>\r\n\u003Cp>Die CNIL betont, dass diese Tabellen einen doppelten Zweck haben:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cstrong>Intern\u003C/strong>: Eine einheitliche Aneignung der Doktrin bei den CNIL‑Mitarbeitenden angesichts der ständig steigenden Zahl rechtlicher Fragestellungen im Zusammenhang mit der Anwendung der DSGVO sicherzustellen.\u003C/li>\r\n\u003Cli>\u003Cstrong>Extern\u003C/strong>: Doktrinäre Positionen und Rechtsfragen für \u003Cstrong>Fachleute, Wissenschaftler und Praktiker\u003C/strong> zugänglicher zu machen, die nicht immer in Einzelfallentscheidungen publiziert werden.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Dieses Dokument wird regelmäßig aktualisiert, um laufende Entwicklungen in der Datenschutzpraxis abzubilden, insbesondere im Hinblick auf neue Technologien und Rechtsprechung.\u003C/p>\r\n\u003Ch2 id=\"aufruf-an-testerinnen-eines-dsgvoaudittools-fur-kimodelle\">Aufruf an Tester:innen eines \u003Cstrong>DSGVO‑Audit‑Tools für KI‑Modelle\u003C/strong>\u003C/h2>\r\n\u003Cp>Die \u003Cstrong>Französische Nationale Agentur für Cybersicherheit (ANSSI)\u003C/strong> hat in Partnerschaft mit der \u003Cstrong>CNIL\u003C/strong>, PEReN und dem IPoP‑Projekt des Cybersecurity‑PEPR unter Leitung von Inria einen \u003Ca href=\"https://cyber.gouv.fr/actualites/ami-outil-audit-rgpd-ia/\" rel=\"nofollow\">\u003Cstrong>Aufruf zur Interessenbekundung (AMI)\u003C/strong>\u003C/a> gestartet, um Interessenträger auszuwählen, die bereit sind, ein neues \u003Cstrong>Privacy‑Audit‑Tool für künstliche Intelligenz‑Modelle\u003C/strong> zu testen. Diese Initiative ist Teil des \u003Cstrong>PANAME\u003C/strong>‑Projekts (\u003Cem>Privacy Auditing of AI Models\u003C/em>).\u003C/p>\r\n\u003Cp>Ziel des Projekts ist die Entwicklung einer \u003Cstrong>Softwarebibliothek zur technischen Prüfung der Datenschutzaspekte von KI‑Modellen\u003C/strong>, insbesondere gegenüber \u003Cstrong>Information‑Extraction‑Tests\u003C/strong>, die personenbezogene Daten aus Trainingsdatensätzen offenlegen können. Damit sollen Organisationen unterstützt werden, \u003Cstrong>die DSGVO‑Konformität ihrer Modelle zu bewerten\u003C/strong>, vor allem wenn diese sensible Daten verwenden oder darauf trainiert wurden.\u003C/p>\r\n\u003Cp>Der Aufruf zur Interessenbekundung läuft vom \u003Cstrong>26. Februar bis 28. März 2026\u003C/strong> und richtet sich an alle öffentlichen oder privaten Einrichtungen mit Sitz in der Europäischen Union: \u003Cstrong>Unternehmen, Startups, Forschungslabore, öffentliche Verwaltungen oder sonstige Organisationen, die KI‑Modelle nutzen oder entwickeln\u003C/strong>. Ausgewählte Bewerber:innen werden an einer praktischen Testphase teilnehmen, um die Funktionalitäten des Tools zu validieren und zu erweitern.\u003C/p>\r\n\u003Ch2 id=\"vereinigtes-konigreich-ico-verhangt-geldbue-von-1447-mio.gegen-reddit-wegen-mangelhaften-schutzes-von-kinderdaten\">Vereinigtes Königreich: ICO verhängt Geldbuße von £14,47 Mio. gegen Reddit wegen mangelhaften Schutzes von Kinderdaten\u003C/h2>\r\n\u003Cp>Am 24. Februar 2026 hat das \u003Ca href=\"https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/02/reddit-issued-with-1447m-fine-for-children-s-privacy-failures/\" rel=\"nofollow\">\u003Cstrong>Information Commissioner’s Office (ICO)\u003C/strong>\u003C/a>, die unabhängige Datenschutzbehörde des Vereinigten Königreichs, eine Sanktion in Höhe von \u003Cstrong>£14,47 Millionen\u003C/strong> (etwa \u003Cstrong>€17 Millionen\u003C/strong>) gegen \u003Cstrong>Reddit, Inc.\u003C/strong> angekündigt, wegen der unrechtmäßigen Nutzung \u003Cstrong>personenbezogener Daten von Kindern unter 13 Jahren\u003C/strong> und des Versäumnisses, \u003Cstrong>angemessene Altersverifizierungsmechanismen\u003C/strong> einzuführen.\u003C/p>\r\n\u003Cp>Nach Angaben des ICO:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Reddit \u003Cstrong>hatte keinen robusten Altersverifizierungsmechanismus implementiert\u003C/strong>, sondern bis Juli 2025 auf eine einfache \u003Cstrong>Selbstauskunft der Nutzer:innen\u003C/strong> vertraut, die leicht umgangen werden konnte.\u003C/li>\r\n\u003Cli>Das Unternehmen \u003Cstrong>hatte vor Januar 2025 keine Datenschutz‑Folgenabschätzung (DPIA)\u003C/strong> durchgeführt, um Risiken im Zusammenhang mit der Verarbeitung von Kinderdaten zu bewerten und zu mindern, wie es nach britischem Recht und der DSGVO erforderlich ist.\u003C/li>\r\n\u003Cli>Das ICO kam zu dem Schluss, dass \u003Cstrong>viele Kinder unter 13 Jahren auf der Plattform präsent waren\u003C/strong>, ohne dass eine rechtmäßige Grundlage für die Verarbeitung ihrer Daten bestand, was sie \u003Cstrong>unangemessenen oder potenziell schädlichen Inhalten aussetzen\u003C/strong> konnte.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Diese Sanktion ist Teil der verschärften Durchsetzung des \u003Cem>Children’s Code\u003C/em> (Age Appropriate Design Code) und der britischen Datenschutzgesetze durch das ICO, insbesondere durch die Auferlegung verstärkter Pflichten an Plattformen, die wahrscheinlich von Minderjährigen genutzt werden.\u003C/p>\r\n\u003Ch2 id=\"kroatien-immobilienagentur-mit-100.000-geldbue-belegt-wegen-dsgvoverstoen\">Kroatien: Immobilienagentur \u003Cstrong>mit €100.000 Geldbuße belegt\u003C/strong> wegen DSGVO‑Verstößen\u003C/h2>\r\n\u003Cp>Am 19. Februar 2026 verhängte die \u003Cstrong>Kroatische Behörde für den Schutz personenbezogener Daten (Agencija za zaštitu osobnih podataka – AZOP)\u003C/strong> eine Verwaltungsstrafe in Höhe von \u003Cstrong>€100.000\u003C/strong> gegen eine Immobilienagentur, die als Verantwortliche für mehrere Verstöße gegen die DSGVO handelte.\u003C/p>\r\n\u003Ch3 id=\"grunde-der-sanktion\">Gründe der Sanktion\u003C/h3>\r\n\u003Cp>AZOP stellte fest, dass die Agentur mehrere grundlegende Verpflichtungen der DSGVO verletzt hatte, insbesondere:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cstrong>Verstoß gegen das Prinzip der Speicherbegrenzung\u003C/strong>: Die Agentur habe personenbezogene Daten von 11.887 Kund:innen weit über den für den Verarbeitungszweck notwendigen Zeitraum hinaus aufbewahrt.\u003C/li>\r\n\u003Cli>\u003Cstrong>Fehlende Rechtsgrundlage für bestimmte Daten\u003C/strong>: Kopien sensibler Dokumente (z. B. 898 Personalausweise, 6 Reisepässe, 3 Kopien von Bankkarten, eine Krankenversicherungskarte, ein Ausweis eines Minderjährigen usw.) seien ohne klare rechtliche Rechtfertigung archiviert worden.\u003C/li>\r\n\u003Cli>\u003Cstrong>Unzureichende technische und organisatorische Maßnahmen\u003C/strong>: Die Agentur habe keine angemessene Aufsicht und Schulung des Personals gewährleistet, das auf die Daten zugreift, entgegen den Anforderungen von Artikel 32 DSGVO.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Während der Inspektion stellte AZOP fest, dass viele Maklerverträge über Grundstückskauf oder -miete, abgeschlossen zwischen \u003Cstrong>2010 und 2019\u003C/strong>, \u003Cstrong>noch mit angehängten Daten archiviert\u003C/strong> waren, obwohl diese Dokumente nicht mehr für den ursprünglichen Verarbeitungszweck erforderlich waren.\u003C/p>\r\n\u003Ch3 id=\"auswirkungen-dieser-entscheidung\">Auswirkungen dieser Entscheidung\u003C/h3>\r\n\u003Cp>Dieses Urteil macht mehrere Kernpunkte deutlich:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Das \u003Cstrong>Datenminimierungs‑ und Speicherbegrenzungsprinzip\u003C/strong> verlangt, dass Daten \u003Cem>nur so lange aufbewahrt werden, wie es für den ursprünglichen Zweck erforderlich ist\u003C/em> (Art. 5 DSGVO).\u003C/li>\r\n\u003Cli>Die \u003Cstrong>Rechtmäßigkeit der Verarbeitung\u003C/strong> erfordert eine klare Rechtsgrundlage für jede Art von gespeicherten Daten, insbesondere für sensible Dokumente wie Kopien von Ausweisdokumenten oder Bankkarten (Art. 5 DSGVO).\u003C/li>\r\n\u003Cli>\u003Cstrong>Organisatorische und technische Sicherheitsmaßnahmen\u003C/strong> (Mitarbeiterschulung, Zugriffsüberwachung, klare Verarbeitungsregeln) müssen verhältnismäßig zum Risiko sein (Art. 32 DSGVO).\u003C/li>\r\n\u003C/ul>\r\n\u003Ch2 id=\"polen-dpd-polska-mit-11-mio.pln-25-mio.fur-subunternehmer-und-sicherheitsmangel-belegt\">Polen: DPD Polska mit \u003Cstrong>11 Mio. PLN (~€2,5 Mio.)\u003C/strong> für Subunternehmer‑ und Sicherheitsmängel belegt\u003C/h2>\r\n\u003Cp>Das \u003Cstrong>Polnische Amt für den Schutz personenbezogener Daten (UODO – Urząd Ochrony Danych Osobowych)\u003C/strong> verhängte \u003Cstrong>Geldbußen in Höhe von insgesamt 11.000.000 PLN\u003C/strong> gegen \u003Cstrong>DPD Polska Sp. z o.o.\u003C/strong> wegen mehrerer schwerwiegender Verstöße bei der Verarbeitung von Kundendaten.\u003C/p>\r\n\u003Cp>UODO stellte fest, dass DPD Polska:\u003C/p>\r\n\u003Col>\r\n\u003Cli>\u003Cstrong>Keine Auftragsverarbeitungsverträge (AVV) mit externen Subunternehmern abgeschlossen hatte\u003C/strong> (insbesondere mit Zustellern, die Zugang zu Versandetiketten mit personenbezogenen Daten hatten), was gegen Artikel 28 Absatz 3 DSGVO (vertragliche Pflichten gegenüber Auftragsverarbeiter:innen) verstößt.\u003C/li>\r\n\u003Cli>\u003Cstrong>Nicht sichergestellt hatte, dass Mitarbeitende personenbezogene Daten nur auf Grundlage geeigneter Berechtigungen verarbeiteten\u003C/strong> (Art. 32 Absatz 4 DSGVO). Das interne System des Unternehmens zur Erzeugung von Pseudo‑Berechtigungen habe wesentliche Elemente wie Name und Unterschrift vermissen lassen, wodurch die Nachvollziehbarkeit und die Rechtmäßigkeit der Verarbeitung untergraben wurden.\u003C/li>\r\n\u003C/ol>\r\n\u003Cp>Die Sanktion von 11 Mio. PLN (~€2,5 Mio.) spiegelt die Schwere der Verstöße wider: Das Unternehmen hatte die \u003Cstrong>vertraglichen Beziehungen zu seinen Subunternehmern nicht ordnungsgemäß abgesichert\u003C/strong> und die \u003Cstrong>interne Verarbeitung durch Mitarbeitende nicht geregelt\u003C/strong>, wodurch Kundendaten unkontrollierten Risiken ausgesetzt waren.\u003C/p>\r\n\u003Ch2 id=\"europaische-union-eugh-hebt-die-anordnung-des-gerichts-in-ireland-v.whatsapp-auf\">Europäische Union: EuGH hebt die Anordnung des Gerichts in Ireland v. WhatsApp auf\u003C/h2>\r\n\u003Cp>Am 10. Februar 2026 hat der \u003Ca href=\"https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:62023CJ0097\" rel=\"nofollow\">Gerichtshof der Europäischen Union (EuGH)\u003C/a> eine Anordnung des Gerichts (ehemals Gericht erster Instanz der Europäischen Union) aufgehoben, das die Klage von WhatsApp Ireland Ltd, mit der eine Entscheidung im Zusammenhang mit einem von der Irischen Datenschutzbehörde eingeleiteten Verfahren angefochten wurde, für unzulässig erklärt hatte.\u003C/p>\r\n\u003Ch3 id=\"die-entscheidung-der-irischen-behorde\">Die Entscheidung der irischen Behörde\u003C/h3>\r\n\u003Cp>Nach Inkrafttreten der DSGVO erhielt die irische Data Protection Commission (DPC) mehrere Beschwerden hinsichtlich der Transparenz der Verarbeitung durch WhatsApp, insbesondere bezüglich möglicher Datenweitergabe an andere Unternehmen der Facebook‑Gruppe (heute Meta).\u003C/p>\r\n\u003Cp>In ihrer endgültigen Entscheidung stellte die DPC fest, dass WhatsApp gegen verstochen:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>das Transparenzprinzip (Artikel 5 Absatz 1 Buchstabe a DSGVO);\u003C/li>\r\n\u003Cli>die Informationspflichten gemäß den Artikeln 12 bis 14 DSGVO.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Gemäß Artikel 58 Absatz 2 DSGVO verhängte die Behörde \u003Cstrong>vier Verwaltungsstrafen\u003C/strong> mit einer Gesamthöhe von \u003Cstrong>€225 Millionen\u003C/strong>.\u003C/p>\r\n\u003Ch3 id=\"die-unzulassigkeitsentscheidung-des-gerichts\">Die Unzulässigkeitsentscheidung des Gerichts\u003C/h3>\r\n\u003Cp>Mehrere europäische Aufsichtsbehörden erhoben Einwände gegen den Entwurf der irischen Entscheidung, und der Europäische Datenschutzausschuss (EDPB) wurde angehört.\u003C/p>\r\n\u003Cp>Der EDPB erließ eine \u003Cstrong>verbindliche Entscheidung\u003C/strong> nach Artikel 65 DSGVO, die die DPC verpflichtete, bestimmte Analysen zu übernehmen und spezifische Elemente zu überarbeiten, insbesondere hinsichtlich der Qualifizierung der Verstöße und der Sanktionen. \u003Cstrong>Die endgültige irische Entscheidung wurde daher unter Berücksichtigung der Stellungnahme des EDPB getroffen.\u003C/strong>\u003C/p>\r\n\u003Cp>WhatsApp erhob Klage vor dem Gericht und focht die Rechtmäßigkeit der EDPB‑Entscheidung an, da sie geltend machte, diese verbindliche Entscheidung betreffe ihre Rechtslage unmittelbar.\u003C/p>\r\n\u003Cp>Das Gericht hatte die Klage jedoch für \u003Cstrong>unzulässig\u003C/strong> erklärt und befunden, dass WhatsApp nicht \u003Cstrong>direkt betroffen\u003C/strong> von der angefochtenen EDPB‑Entscheidung sei, die formell an die irische Behörde gerichtet war.\u003C/p>\r\n\u003Ch3 id=\"die-aufhebung-durch-den-eugh\">Die Aufhebung durch den EuGH\u003C/h3>\r\n\u003Cp>Der Gerichtshof stellte im Wesentlichen fest, dass die Analyse des Gerichts bezüglich des Fehlens einer unmittelbaren Wirkung fehlerhaft war. Tatsächlich \u003Cstrong>erzeugte die europäische Entscheidung verbindliche Rechtswirkungen, die wahrscheinlich die rechtliche Lage von WhatsApp unmittelbar beeinflussen\u003C/strong>, insbesondere hinsichtlich des Inhalts der endgültigen Entscheidung und der Höhe der verhängten Geldbußen.\u003C/p>\r\n\u003Cp>Durch die Aufhebung der Unzulässigkeitsanordnung des Gerichts ermöglicht der Gerichtshof der Europäischen Union \u003Cstrong>eine inhaltliche Prüfung der von WhatsApp Ireland Ltd erhobenen Klage\u003C/strong>.\u003C/p>\r\n","Dastra Insights: Was ist im Februar passiert?","Datenschutz- und KI-Einblicke aus dem Dastra-Hub: umsetzbare Updates für Profis, die täglich vor Ort arbeiten.",1832,10,0,null,"de","dastra-insights-was-ist-im-februar-passiert","Datenschutz- und KI-Einblicke aus dem Dastra-Hub: konkrete, umsetzbare Updates für Fachleute, die täglich vor Ort arbeiten.","Published",{"id":18,"displayName":19,"avatarUrl":20,"bio":12,"blogUrl":12,"color":12,"userId":18,"creationDate":21},2986,"Maëva Vidal","https://static.dastra.eu/tenant-3/avatar/2986/maeva-min-min-min-150.png","2022-09-05T13:22:36","2026-03-03T13:21:00","2026-03-03T13:21:14.5930302","2026-03-03T13:22:31.399149",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":31},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[32,35,38],{"lang":33,"name":27,"description":34},"fr","Une liste d'articles rédigés par la communauté",{"lang":36,"name":27,"description":37},"es","Una lista de artículos escritos por la comunidad",{"lang":13,"name":27,"description":39},"Eine Liste von Artikeln, die von der Community verfasst wurden",[41],{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":42},[43,44,45],{"lang":33,"name":27,"description":34},{"lang":36,"name":27,"description":37},{"lang":13,"name":27,"description":39},[],"https://static.dastra.eu/content/5a987d5a-71e3-4bea-b029-8d8650ee7ddb/dastra-insights-original.png",[49,50,51,52,53,54,55],"https://static.dastra.eu/content/5a987d5a-71e3-4bea-b029-8d8650ee7ddb/dastra-insights-1000.webp","https://static.dastra.eu/content/5a987d5a-71e3-4bea-b029-8d8650ee7ddb/dastra-insights.webp","https://static.dastra.eu/content/5a987d5a-71e3-4bea-b029-8d8650ee7ddb/dastra-insights-1500.webp","https://static.dastra.eu/content/5a987d5a-71e3-4bea-b029-8d8650ee7ddb/dastra-insights-800.webp","https://static.dastra.eu/content/5a987d5a-71e3-4bea-b029-8d8650ee7ddb/dastra-insights-600.webp","https://static.dastra.eu/content/5a987d5a-71e3-4bea-b029-8d8650ee7ddb/dastra-insights-300.webp","https://static.dastra.eu/content/5a987d5a-71e3-4bea-b029-8d8650ee7ddb/dastra-insights-100.webp",59905]