[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fhC0LVJVm1M5rUd5EFi_I2rTQsoi71JUK1usHHsf5fzI":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":7,"nbDownloads":11,"excerpt":12,"lang":13,"url":14,"intro":15,"featured":4,"state":16,"author":17,"authorId":18,"datePublication":22,"dateCreation":23,"dateUpdate":24,"mainCategory":25,"categories":40,"metaDatas":46,"imageUrl":47,"imageThumbUrls":48,"id":56},true,"Müde von allgemeinen Newslettern, die nur oberflächlich auf Ihre wirklichen Anliegen eingehen? **Dastra Insights** bietet rechtliche und regulatorische Überwachung, **speziell zugeschnitten für Datenschutzbeauftragte, Rechtsanwälte und Datenschutzfachleute**.\r\n\r\nJeden Monat gehen wir über eine reine Zusammenfassung hinaus: Wir wählen etwa zehn Entscheidungen, Nachrichten oder Positionen aus, **die konkrete Auswirkungen auf Ihre Aufgaben und Organisationen haben**.\r\n\r\n🎯 **Gezielte, nützliche Überwachung, verankert in den praktischen Realitäten von Datenschutz und KI.**\r\n\r\nHier unsere Auswahl für **Januar 2026:**\r\n\r\n## Information der Betroffenen: die CNIL verhängt gegen ein Unternehmen eine Geldbuße wegen Übermittlung von Daten an ein soziales Netzwerk zu Werbezwecken ohne Einwilligung\r\n\r\nAm 30. Dezember 2025 hat die CNIL [eine Geldbuße in Höhe von 3,5 Mio. € verhängt](https://www.cnil.fr/fr/transmission-de-donnees-un-reseau-social-des-fins-publicitaires-sanction) gegen ein Unternehmen, weil es **Daten von Mitgliedern seines Treueprogramms an ein soziales Netzwerk zu Zwecken der Werbezielausspielung übermittelt** hat, ohne eine gültige Einwilligung einzuholen.\r\n\r\nZur Werbezielausspielung in sozialen Netzwerken erinnert der **European Data Protection Board (EDPB)** in seinen [Guidelines 8/2020 zur Ansprache von Nutzern sozialer Netzwerke](https://www.edpb.europa.eu/system/files/2021-11/edpb_guidelines_082020_on_the_targeting_of_social_media_users_fr_0.pdf), angenommen am 13. April 2021, daran, dass der **Targeter als Verantwortlicher** zu qualifizieren ist, wenn er „die Zwecke und Mittel der Verarbeitung bestimmt“, indem er personenbezogene Daten der Betroffenen gegenüber dem Anbieter sozialer Medien für Werbezwecke aktiv erhebt, verarbeitet und übermittelt.\r\n\r\nDas sanktionierte Unternehmen ist daher als Verantwortlicher für die Verarbeitung im Zusammenhang mit der Datenübermittlung an das soziale Netzwerk anzusehen.\r\n\r\nNach **Artikel 6 Absatz 1 der DSGVO** ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn sie auf einer der im Regelwerk vorgesehenen Rechtsgrundlagen beruht, **insbesondere auf der Einwilligung** der betroffenen Person.\r\n\r\nDie eingeschränkte Kammer der CNIL stellte fest, dass **allein aus den Angaben im Anmeldeformular des Treueprogramms** die den Mitgliedern bereitgestellten Informationen **nicht ausreichten, um eine informierte Einwilligung** in die Übermittlung ihrer Daten an ein soziales Netzwerk für zielgerichtete Werbung zu gewährleisten. Zwar wurden dort elektronische Werbung (per SMS und/oder E‑Mail) zur Bewerbung der Produkte des Unternehmens erwähnt, doch betonte die CNIL, dass **zielgerichtete Werbung in einem sozialen Netzwerk eine eigenständige Verarbeitung** darstellt, sowohl hinsichtlich ihrer Methoden als auch ihrer Auswirkungen.\r\n\r\nTatsächlich unterscheidet sich die Übermittlung von Daten an einen Dritten, um **gezielte Werbeplätze auf einem Netzwerk anzuzeigen**, wesentlich vom Versand kommerzieller Mitteilungen per E‑Mail oder SMS, die nicht notwendigerweise eine Datenübermittlung an eine andere Stelle beinhalten. Der spezifische Zweck der **zielgerichteten Werbung im sozialen Netzwerk**, der die Übermittlung von Daten an dieses Netzwerk erfordert, **wurde im Formular den Betroffenen nicht klar genug mitgeteilt**.\r\n\r\nFolglich hält die CNIL die Betroffenen nicht in der Lage gewesen, die genaue Natur der Verarbeitung, die Empfänger ihrer Daten oder die Konsequenzen dieser Übermittlung zu verstehen. Sie kam zu dem Schluss, dass **die eingeholte Einwilligung nicht als spezifisch und informiert** gelten könne, was einen Verstoß gegen die Anforderungen der DSGVO darstellt und die Verhängung der Sanktion rechtfertigt.\r\n\r\n## Sicherheit: die CNIL verhängt gegen FREE und FREE MOBILE insgesamt 42 Mio. € Geldbuße\r\n\r\nAm 13. Januar 2026 erließ die CNIL [zwei Sanktionsentscheidungen gegen FREE MOBILE und FREE](https://www.cnil.fr/fr/sanction-free-2026) und verhängte Geldbußen in Höhe von jeweils 27 Mio. € und 15 Mio. €, angesichts der **Unzulänglichkeit der ergriffenen Maßnahmen zur Gewährleistung der Sicherheit der Daten ihrer Abonnenten**.\r\n\r\nNach [Artikel 32 Absatz 1 der DSGVO](https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article32) müssen Verantwortlicher und Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen **geeignete technische und organisatorische Maßnahmen** treffen, um ein **Sicherheitsniveau zu gewährleisten, das dem Risiko angemessen ist**.\r\n\r\nDie eingeschränkte Kammer der CNIL erinnert daran, dass die Sicherheitsverpflichtung nach Artikel 32 der DSGVO eine **Aufwandspflicht** ist, die vom Verantwortlichen verlangt, Maßnahmen zu ergreifen, die angesichts der Merkmale der Verarbeitung **die Wahrscheinlichkeit eines Datenverstoßes verringern** und gegebenenfalls **seine Schwere mindern**. Es wird daher nicht erwartet, dass Maßnahmen alle Risiken beseitigen, und das bloße Eintreten eines Vorfalls **kennzeichnet nicht automatisch eine Verletzung** von Artikel 32.\r\n\r\nGleichwohl bleibt der Verantwortliche verpflichtet, **das Risiko von Verstößen zu mindern**, ohne jeden Verstoß verhindern zu müssen (EuGH, 25. Januar 2024, C‑687/21, Rn. 39). Folglich kann eine Nichterfüllung der Sicherheitsverpflichtung **auch unabhängig vom tatsächlichen Eintritt eines Verstoßes** festgestellt werden.\r\n\r\nIn diesem Fall stellte die CNIL fest, dass:\r\n\r\n- **Das Authentifizierungsverfahren für die Verbindung zu den VPNs der Unternehmen** — u. a. für das Telearbeiten der Beschäftigten — **nicht ausreichend robust** war.\r\n\r\n- Die implementierten Maßnahmen zur **Erkennung auffälliger Verhaltensweisen im Informationssystem** **unwirksam** waren.\r\n\r\nAngesichts der **Anzahl und Art der verarbeiteten Daten** hielt die eingeschränkte Kammer die **eingesetzten Sicherheitsmaßnahmen der Unternehmen für nicht angemessen**, um die Vertraulichkeit der personenbezogenen Daten der Abonnenten zu gewährleisten.\r\n\r\n## Marketing: die CNIL startet eine öffentliche Konsultation zum Nachweis der Einwilligung\r\n\r\nDie **CNIL** kündigte die [Eröffnung einer öffentlichen Konsultation](https://www.cnil.fr/fr/marketing-la-cnil-ouvre-une-concertation-sur-la-preuve-du-consentement) zum **Nachweis der Einwilligung** an, in einem Kontext wiederholter Kontrollen und Sanktionen im Zusammenhang mit kommerzieller Werbung, zielgerichteter Werbung und Cookies, mit dem Ziel, eine **Empfehlung zum Nachweis der Einwilligung** auszuarbeiten.\r\n\r\nDiese Initiative fällt unter Artikel 7 Absatz 1 der DSGVO, wonach, wenn die Verarbeitung auf [Einwilligung](https://www.dastra.eu/fr/guide/les-bases-legales-1-le-consentement/53646) beruht, **der Verantwortliche nachweisen können muss, dass die betroffene Person tatsächlich ihre Einwilligung gegeben hat**. Diese Nachweispflicht ist Teil des Rechenschaftsgrundsatzes und liegt allein beim Verantwortlichen.\r\n\r\nDer Nachweis der Einwilligung beschränkt sich nicht auf das Vorhandensein einer formalen Zustimmung. Er muss feststellen lassen, dass die Einwilligung **frei, spezifisch, informiert und eindeutig** erfolgte und durch eine eindeutige bestätigende Handlung abgegeben wurde. Andernfalls fehlt der Verarbeitung die rechtliche Grundlage, selbst wenn eine Einwilligung behauptet wird.\r\n\r\nEine solche Empfehlung könnte insbesondere Klarstellungen zu folgenden Punkten enthalten:\r\n\r\n- die **konkreten Beweismittel**, die aufzubewahren sind (Zeitstempel, Identität der Person, Erhebungsweg, bereitgestellte Informationen);\r\n\r\n- die **Zuweisung der Beweislast** in komplexen Marketingketten (Werbetreibende, Partner, Datenvermittler, gemeinsame Verantwortliche);\r\n\r\n- die **Schnittstellen zur Einholung der Einwilligung**, insbesondere dort, wo ihr Design die Nutzer unzulässig lenken könnte.\r\n\r\n## Cookies und andere Tracker: die CNIL veröffentlicht ihre endgültigen Empfehlungen zur geräteübergreifenden Einwilligung\r\n\r\nDie **CNIL** veröffentlichte [ihre endgültigen Empfehlungen](https://www.cnil.fr/sites/default/files/2026-01/recommandation_multi-terminaux.pdf) zur **Einholung von Einwilligungen im Mehrgerätekontext**, nach einer Konsultationsphase mit den Interessenvertretern.\r\n\r\nDiese Empfehlungen führen die Leitlinien zu „Cookies und anderen Trackern“ fort und zielen darauf ab, auf Praktiken zu reagieren, die in digitalen Umgebungen zunehmend üblich sind.\r\n\r\nHeutzutage beschränkt sich die digitale Nutzung nicht mehr auf ein einzelnes Gerät. Derselbe Nutzer kann eine Webseite oder App vom Computer, Smartphone, Tablet oder Smart‑TV aus nutzen.\r\n\r\nIn diesem Kontext haben einige Akteure versucht, **auf einem Gerät eingeholte Einwilligungen wiederzuverwenden**, um sie auf andere Geräte desselben Nutzers auszudehnen, insbesondere zu Werbe- oder Reichweitenmessungszwecken.\r\n\r\nDiese Praxis wirft eine zentrale Frage auf: **Kann die auf einem Gerät erteilte Einwilligung für ein anderes Gerät gültig sein**, obwohl sich technische Umgebungen, Schnittstellen und Informationsbedingungen unterscheiden?\r\n\r\nDie Empfehlungen der CNIL zielen darauf ab, die Bedingungen, unter denen Einwilligungen geräteübergreifend berücksichtigt werden dürfen, **streng zu umrahmen**. Sie erinnern daran, dass die Einwilligung der effektiven Kontrolle durch die betroffene Person zuzuordnen bleibt und dass **jede Ausdehnung der Einwilligung auf andere Geräte verstärkte Garantien** erfordert — sowohl hinsichtlich der bereitgestellten Informationen als auch der eingesetzten technischen Mittel.\r\n\r\nDie CNIL fordert damit den Erhalt der Wahlfreiheit des Nutzers und die Vermeidung einer automatischen Verallgemeinerung von Einwilligungen, die diese entwerten könnte.\r\n\r\nDiese Empfehlungen liefern einen erwarteten operativen Rahmen in einem Bereich, in dem technische Praktiken dem Recht vorausgeeilt waren.\r\n\r\n## Cybersicherheit: Vorschlag zur Überarbeitung des Cybersecurity Act\r\n\r\nDie **Europäische Kommission** hat den Weg für eine [Überarbeitung](https://ec.europa.eu/commission/presscorner/detail/fr/ip_26_105) des **Cybersecurity Act** geebnet, der 2019 verabschiedeten Verordnung, um den europäischen Rahmen für Cybersicherheit an ein digital komplexeres und exponierteres Umfeld anzupassen.\r\n\r\n### Der aktuelle Rahmen\r\n\r\nDer [Cybersecurity Act](https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32019R0881) strukturierte das europäische Handeln entlang zweier Hauptachsen:\r\n\r\n- Stärkung der Rolle von ENISA, der EU‑Agentur für Cybersicherheit;\r\n\r\n- Schaffung eines europäischen Zertifizierungsrahmens für die Cybersicherheit digitaler Produkte, Dienstleistungen und Prozesse.\r\n\r\nZiel war es, ein gemeinsames Vertrauensniveau im Binnenmarkt zu etablieren und gleichzeitig den Mitgliedstaaten einen gewissen Spielraum bei der Umsetzung zu lassen.\r\n\r\n### Ein grundlegend veränderter Kontext\r\n\r\nSeit 2019 haben sich die Bedingungen weiterentwickelt. Cyberangriffe haben zugenommen, digitale Lieferketten wurden länger und technologische Abhängigkeiten, auch in sensiblen Sektoren, haben zugenommen.\r\n\r\nGleichzeitig ist der europäische Rechtsrahmen umfangreicher geworden, namentlich durch [NIS 2](https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555) und DORA, wodurch die Frage der Kohärenz zwischen den verschiedenen auf die Cybersicherheit anwendbaren Rechtsakten aufgeworfen wird.\r\n\r\n### Orientierung der Überarbeitung\r\n\r\nDie angestrebte Überarbeitung zielt darauf ab, den Cybersecurity Act anzupassen, ohne seine Gesamtstruktur zu verändern. Sie folgt einer Logik der Klarstellung und Verstärkung, insbesondere um:\r\n\r\n- **die Funktionsweise** und Verbreitung europäischer Zertifizierungssysteme zu verbessern;\r\n\r\n- **die Rolle von ENISA** in einer zunehmend dichten Regulierungslage zu klären;\r\n\r\n- **jüngere Technologien und Verwendungsarten** besser abzudecken, die für Wirtschaft und öffentliche Aktivitäten zentral geworden sind.\r\n\r\nDie Herausforderung besteht darin, ein hohes Sicherheitsniveau in der Union sicherzustellen und gleichzeitig nationale Divergenzen zu begrenzen.\r\n\r\n### Ein weiterer Schritt der europäischen Konstruktion\r\n\r\nDiese Überarbeitung ist Teil einer breiteren Dynamik zur Strukturierung des europäischen Cybersicherheitsrechts. Sie spiegelt das Bestreben der Institutionen wider, einen gemeinsamen Rahmen zu konsolidieren, der den grenzüberschreitenden Risiken begegnen kann und zugleich die Klarheit der Verpflichtungen für die betroffenen Akteure wahrt.\r\n\r\n## Sicherheitsvorfall: HubEE, Opfer eines Lecks von 160.000 Dokumenten\r\n\r\n**HubEE** (das [*Hub d’Échange de l’État*](https://sante.gouv.fr/IMG/pdf/hubee_faq.pdf)) ist eine **digitale Plattform, die von der Interministeriellen Direktion für digitale Angelegenheiten (DINUM) betrieben wird** und als **Dokumentenaustauschnetzwerk** zwischen öffentlichen Verwaltungen, Dienstleistungsanbietern und Online‑Diensten dient, die Bürgerinnen und Bürger für Verwaltungsverfahren nutzen. Sie spielt eine zentrale Rolle beim Austausch von Dokumenten aus Online‑Diensten wie denen von [*service-public.fr*](http://service-public.fr), etwa für Anfragen zu Personenstandsurkunden, Sozialakten oder Leistungen und verbindet mehr als 8.000 Gemeinden, mehrere Ministerien und öffentliche Stellen in ihren digitalen Austauschen.\r\n\r\n### Der Vorfall\r\n\r\nAnfang Januar 2026 war HubEE [Opfer eines Cyberangriffs](https://www.numerique.gouv.fr/sinformer/espace-presse/incident-hubee/), der zur **Exfiltration von mindestens 70.000 Akten**, bzw. etwa **160.000 Verwaltungsdokumenten** führte, von denen einige [sensible personenbezogene Daten](https://www.dastra.eu/fr/guide/comment-gerer-une-violation-de-donnees-personnelles/58263) enthalten, die Nutzer im Rahmen ihrer Online‑Verfahren bereitgestellt hatten.\r\n\r\nDINUM entdeckte und band die Eindringung nach dem 9. Januar ein und setzte sofort Eindämmungsmaßnahmen ein, um den Zugriff des Angreifers zu blockieren. Die zuständigen Behörden — namentlich die **Nationale Agentur für Cybersicherheit Frankreichs (ANSSI)** und die **CNIL** — wurden informiert, und eine **Anzeige wurde bei den zuständigen Gerichten erstattet**.\r\n\r\nWichtig ist, dass **nicht die Website Service‑Public.fr selbst gehackt wurde**, sondern die interne technische Plattform HubEE, die Dokumente zwischen öffentlichen Diensten im Rahmen von Online‑Angeboten übermittelt.\r\n\r\n### Welche Daten sind betroffen?\r\n\r\nNach den veröffentlichten Informationen können die entwendeten Dokumente **Identifikationsmerkmale, Identitätsdaten und Belegdokumente** enthalten (z. B. Ausweisdokumente oder Nachweise, die Nutzer im Rahmen ihrer Verfahren vorgelegt haben) und Betroffene somit einem Risiko von **Identitätsdiebstahl, Phishing oder sonstiger missbräuchlicher Nutzung** aussetzen.\r\n\r\nDieser Vorfall wirft aus datenschutzrechtlicher Sicht **mehrere wichtige Fragen** auf:\r\n\r\n- **Sicherheit öffentlicher Plattformen:** geteilte Plattformen, die große Mengen personenbezogener Daten konzentrieren, müssen besonders hohen Sicherheitsanforderungen unterliegen, um Eindringlinge zu verhindern.\r\n\r\n- **Verpflichtende Meldung:** die CNIL wurde **gesetzeskonform benachrichtigt**, was bei einem personenbezogenen Datenverstoß mit Risiko für die Rechte und Freiheiten der Betroffenen Pflicht ist.\r\n\r\n- **Risiken für die Betroffenen:** die Verwertung von Dokumenten mit personenbezogenen Daten kann zu **Identitätsdiebstahl**, zielgerichteten Phishing‑Kampagnen oder anderweitigen Betrugsfällen führen, wenn solche Informationen öffentlich werden oder von Dritten missbräuchlich genutzt werden.\r\n\r\n## Spanien: die spanische Behörde (AEPD) aktualisiert ihre DSGVO‑FAQ zur Unterstützung von KMU\r\n\r\nAm 21. Januar 2026 hat die **spanische Datenschutzbehörde** (Agencia Española de Protección de Datos – AEPD) ihre Rubrik „[Preguntas frecuentes](https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-renueva-preguntas-frecuentes-reforzar-apoyo)“ zur DSGVO deutlich aktualisiert, **mit dem Ziel, die Bedürfnisse kleiner und mittlerer Unternehmen (KMU)**, Verantwortlicher und Datenschutzfachleute besser zu bedienen.\r\n\r\nDie überarbeitete FAQ enthält nun **mehr als 200 Antworten auf die häufigsten Fragen**, die wesentliche Themen wie die Pflicht zur Führung von **Verarbeitungsverzeichnissen**, die Rechtsgrundlagen der Verarbeitung, Informationspflichten und standardisierte Modelle von **Einwilligungsformularen** für verschiedene Verarbeitungskontexte abdecken.\r\n\r\nDie AEPD erklärt, dass diese Aktualisierung Teil ihres [Strategieplans 2025–2030](https://www.aepd.es/documento/plan-estrategico-aepd-2025-2030.pdf) ist, der darauf abzielt, **ihre Rolle als Leitfaden und Unterstützer für Organisationen** zu stärken, insbesondere für Kleinstunternehmen, KMU, Selbstständige und Verwaltungen. Der Plan will eine **praktische, einfache und wirksame DSGVO‑Compliance‑Kultur** fördern, indem sofort praktisch nutzbare Instrumente und Ressourcen bereitgestellt werden.\r\n\r\n[Die überarbeitete FAQ](https://www.aepd.es/preguntas-frecuentes) enthält insbesondere:\r\n\r\n- **praktische, zielgerichtete Kategorien** zu den Pflichten der Verantwortlichen;\r\n\r\n- **konkrete Beispiele** für Verarbeitung und Compliance;\r\n\r\n- [nützliche Vorlagendokumente](https://www.aepd.es/derechos-y-deberes/modelos-y-formularios) (Verarbeitungsverzeichnisse, Informationshinweise, Einwilligungsformulare);\r\n\r\n- Antworten auf die am häufigsten gestellten Fragen von KMU und Datenschutzfachleuten.\r\n\r\n## Deutschland: Gerichtsentscheidung zur Transparenz von Scores bei Kreditprüfungen\r\n\r\n**SCHUFA Holding AG** ist die wichtigste deutsche **Scoring‑Agentur**, die finanzielle personenbezogene Informationen zusammenführt und **Scoringwerte** vergibt, die zur Beurteilung der Rückzahlungswahrscheinlichkeit einer Person herangezogen werden. Diese Scores beeinflussen zentrale Entscheidungen wie Kreditvergaben, Mobilfunkverträge oder Mietvertragsabschlüsse.\r\n\r\nAm 19. November 2025 hat die 6. Kammer des Verwaltungsgerichts Wiesbaden ein wichtiges [Urteil](https://verwaltungsgerichtsbarkeit.hessen.de/presse/schufa-muss-auskunft-uber-scorewert-erteilen?) zur Transparenz von Scoringwerten in einem von einem Verbraucher gegen die SCHUFA angestrengten Verfahren erlassen. Das Gericht entschied, dass die SCHUFA **detaillierte und individualisierte Erklärungen zur Berechnung ihrer Scores** nach dem Auskunftsrecht des Artikels 15 der DSGVO geben muss.\r\n\r\nIn diesem Fall:\r\n\r\n- Die Klägerin hatte 2018 einen Privatkredit beantragt, der **abgelehnt wurde, nachdem ein von der SCHUFA übermittelter Score (ca. 86 %) an die Kreditgeber übermittelt** worden war.\r\n\r\n- Sie forderte anschließend von der SCHUFA Erläuterungen zu den **berücksichtigten Datenfaktoren** und zur **konkreten Logik der Score‑Berechnung**.\r\n\r\n- Die SCHUFA antwortete in allgemeinen Begriffen und verwies auf auf ihrer Website verfügbare Informationen, ohne zu erklären, **wie ihre personenbezogenen Daten konkret den genauen Score beeinflusst hatten** oder warum der Score für sie als „hohes Risiko“ eingestuft worden war.\r\n\r\nDas Gericht befand, dass diese Antworten **den Anforderungen der DSGVO nicht genügten**:\r\n\r\nEine allgemeine Beschreibung der verwendeten Methoden oder der Datentypen reiche nicht aus; die SCHUFA habe anzugeben, **welche spezifischen Daten berücksichtigt wurden**, **deren Gewichtung in der Berechnung** und **warum das resultierende Ergebnis für diese Person als hohe Ausfallwahrscheinlichkeit interpretiert wurde**.\r\n\r\nDie Entscheidung des Gerichts stützt sich außerdem auf eine Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) vom 7. Dezember 2023 (C‑634/21), die feststellte, dass **die Erstellung eines Scores durch eine Auskunftei eine „automatisierte Entscheidung“ im Sinne des Artikels 22 der DSGVO darstellt**, wenn dieser Score von einem Dritten determinierend zur eigenen Vertragsentscheidung genutzt wird.\r\n\r\n## Südkorea: Verabschiedung eines neuartigen Rechtsrahmens für Künstliche Intelligenz\r\n\r\nAm [22. Januar 2026](https://www.msit.go.kr/eng/bbs/view.do?bbsSeqNo=42&mId=4&mPid=2&nttSeqNo=1071&pageIndex=&sCode=eng&searchOpt=ALL&searchTxt=&utm_), hat **Südkorea** offiziell ein ambitioniertes [Rahmengesetz zur Künstlichen Intelligenz](https://www.korea.kr/briefing/pressReleaseView.do?newsId=156741740&pWise=sub&pWiseSub=C3&utm_source=chatgpt.com) erlassen, bekannt als das **AI Basic Act** (*Framework Act on the Development of Artificial Intelligence and the Creation of a Foundation for Trust*), und zählt damit zu den ersten Ländern weltweit, die ein umfassendes Regulierungspaket für KI eingeführt haben. Diese Initiative ist Teil der nationalen Strategie zur Stärkung der **Sicherheit, des Vertrauens und der internationalen Wettbewerbsfähigkeit** des KI‑Sektors.\r\n\r\nDas Gesetz zielt darauf ab, den Einsatz von KI‑Systemen zu regeln, insbesondere solcher, die als **„hochwirksam“** eingestuft werden, also voraussichtlich erhebliche Auswirkungen auf das Leben von Personen, die öffentliche Sicherheit oder sensible Sektoren wie **Gesundheit, Verkehr, Trinkwasserversorgung, Finanzwesen oder nukleare Sicherheit** haben. Es sieht insbesondere vor:\r\n\r\n- **Verpflichtende menschliche Aufsicht** bei hochwirksamen KI‑Anwendungen;\r\n\r\n- **Transparenzpflichten**, mit **Benachrichtigungen an Nutzer** und **klarer Kennzeichnung** KI‑generierter Inhalte, wenn diese schwer von realen Inhalten zu unterscheiden sind;\r\n\r\n- **Anforderungen an Risikomanagement und Sicherheit** für KI‑Betreibende.\r\n\r\nDie Regierung gewährt **mindestens eine einjährige Übergangsfrist**, bevor strenge Sanktionen greifen, um Unternehmen und Start‑ups die Anpassung ihrer Systeme und Praktiken zu ermöglichen. Nach dieser Phase können Organisationen, die beispielsweise die Kennzeichnung KI‑generierter Inhalte nicht einhalten, **mit Geldstrafen von bis zu 30 Millionen südkoreanischen Won** (ca. 17.400 €) belegt werden.\r\n\r\nWährend das Gesetz als Mittel präsentiert wird, das öffentliche Vertrauen in KI zu festigen und den Sektor durch einen klaren Rechtsrahmen zu fördern, äußerten mehrere Interessengruppen, insbesondere lokale Start‑ups, [Bedenken wegen der Compliance‑Lasten](https://www.reuters.com/world/asia-pacific/south-korea-launches-landmark-laws-regulate-ai-startups-warn-compliance-burdens-2026-01-22/), die sie als teilweise **vage oder kostspielig in der Umsetzung** ansehen. Einige befürchten, dass diese Anforderungen junge Unternehmen stark belasten und dadurch **Innovation behindern oder Entwicklungskosten erhöhen** könnten.\r\n\r\nPräsident Lee Jae‑myung nahm diese Bedenken zur Kenntnis und plädierte für ein **Gleichgewicht zwischen Regulierung und Unterstützung**, mit Leitmaßnahmen und Unterstützungsplattformen für Unternehmen während der Übergangszeit.\r\n\r\n## Cybersicherheitsstandards für KI: ETSI veröffentlicht seine Erwartungen\r\n\r\nDas [European Telecommunications Standards Institute (ETSI) hat seine **Sicherheitserwartungen für KI** veröffentlicht](https://www.etsi.org/deliver/etsi_en/304200_304299/304223/02.01.01_60/en_304223v020101p.pdf), die als **grundlegende Referenz für Cybersicherheit** für Organisationen dienen sollen, die KI‑Technologien in Europa implementieren.\r\n\r\nDiese Standards wurden auf Basis von Leitlinien des **UK National Cyber Security Centre (NCSC)** und des **UK Department for Science, Innovation and Technology (DSIT)** entwickelt.\r\n\r\nSie legen Sicherheitserwartungen fest, die für KI‑Werkzeuge **vom Design über die Bereitstellung bis hin zur Nutzung** gelten.","\u003Cp>Müde von allgemeinen Newslettern, die nur oberflächlich auf Ihre wirklichen Anliegen eingehen? \u003Cstrong>Dastra Insights\u003C/strong> bietet rechtliche und regulatorische Überwachung, \u003Cstrong>speziell zugeschnitten für Datenschutzbeauftragte, Rechtsanwälte und Datenschutzfachleute\u003C/strong>.\u003C/p>\r\n\u003Cp>Jeden Monat gehen wir über eine reine Zusammenfassung hinaus: Wir wählen etwa zehn Entscheidungen, Nachrichten oder Positionen aus, \u003Cstrong>die konkrete Auswirkungen auf Ihre Aufgaben und Organisationen haben\u003C/strong>.\u003C/p>\r\n\u003Cp>🎯 \u003Cstrong>Gezielte, nützliche Überwachung, verankert in den praktischen Realitäten von Datenschutz und KI.\u003C/strong>\u003C/p>\r\n\u003Cp>Hier unsere Auswahl für \u003Cstrong>Januar 2026:\u003C/strong>\u003C/p>\r\n\u003Ch2 id=\"information-der-betroffenen-die-cnil-verhangt-gegen-ein-unternehmen-eine-geldbue-wegen-ubermittlung-von-daten-an-ein-soziales-netzwerk-zu-werbezwecken-ohne-einwilligung\">Information der Betroffenen: die CNIL verhängt gegen ein Unternehmen eine Geldbuße wegen Übermittlung von Daten an ein soziales Netzwerk zu Werbezwecken ohne Einwilligung\u003C/h2>\r\n\u003Cp>Am 30. Dezember 2025 hat die CNIL \u003Ca href=\"https://www.cnil.fr/fr/transmission-de-donnees-un-reseau-social-des-fins-publicitaires-sanction\" rel=\"nofollow\">eine Geldbuße in Höhe von 3,5 Mio. € verhängt\u003C/a> gegen ein Unternehmen, weil es \u003Cstrong>Daten von Mitgliedern seines Treueprogramms an ein soziales Netzwerk zu Zwecken der Werbezielausspielung übermittelt\u003C/strong> hat, ohne eine gültige Einwilligung einzuholen.\u003C/p>\r\n\u003Cp>Zur Werbezielausspielung in sozialen Netzwerken erinnert der \u003Cstrong>European Data Protection Board (EDPB)\u003C/strong> in seinen \u003Ca href=\"https://www.edpb.europa.eu/system/files/2021-11/edpb_guidelines_082020_on_the_targeting_of_social_media_users_fr_0.pdf\" rel=\"nofollow\">Guidelines 8/2020 zur Ansprache von Nutzern sozialer Netzwerke\u003C/a>, angenommen am 13. April 2021, daran, dass der \u003Cstrong>Targeter als Verantwortlicher\u003C/strong> zu qualifizieren ist, wenn er „die Zwecke und Mittel der Verarbeitung bestimmt“, indem er personenbezogene Daten der Betroffenen gegenüber dem Anbieter sozialer Medien für Werbezwecke aktiv erhebt, verarbeitet und übermittelt.\u003C/p>\r\n\u003Cp>Das sanktionierte Unternehmen ist daher als Verantwortlicher für die Verarbeitung im Zusammenhang mit der Datenübermittlung an das soziale Netzwerk anzusehen.\u003C/p>\r\n\u003Cp>Nach \u003Cstrong>Artikel 6 Absatz 1 der DSGVO\u003C/strong> ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn sie auf einer der im Regelwerk vorgesehenen Rechtsgrundlagen beruht, \u003Cstrong>insbesondere auf der Einwilligung\u003C/strong> der betroffenen Person.\u003C/p>\r\n\u003Cp>Die eingeschränkte Kammer der CNIL stellte fest, dass \u003Cstrong>allein aus den Angaben im Anmeldeformular des Treueprogramms\u003C/strong> die den Mitgliedern bereitgestellten Informationen \u003Cstrong>nicht ausreichten, um eine informierte Einwilligung\u003C/strong> in die Übermittlung ihrer Daten an ein soziales Netzwerk für zielgerichtete Werbung zu gewährleisten. Zwar wurden dort elektronische Werbung (per SMS und/oder E‑Mail) zur Bewerbung der Produkte des Unternehmens erwähnt, doch betonte die CNIL, dass \u003Cstrong>zielgerichtete Werbung in einem sozialen Netzwerk eine eigenständige Verarbeitung\u003C/strong> darstellt, sowohl hinsichtlich ihrer Methoden als auch ihrer Auswirkungen.\u003C/p>\r\n\u003Cp>Tatsächlich unterscheidet sich die Übermittlung von Daten an einen Dritten, um \u003Cstrong>gezielte Werbeplätze auf einem Netzwerk anzuzeigen\u003C/strong>, wesentlich vom Versand kommerzieller Mitteilungen per E‑Mail oder SMS, die nicht notwendigerweise eine Datenübermittlung an eine andere Stelle beinhalten. Der spezifische Zweck der \u003Cstrong>zielgerichteten Werbung im sozialen Netzwerk\u003C/strong>, der die Übermittlung von Daten an dieses Netzwerk erfordert, \u003Cstrong>wurde im Formular den Betroffenen nicht klar genug mitgeteilt\u003C/strong>.\u003C/p>\r\n\u003Cp>Folglich hält die CNIL die Betroffenen nicht in der Lage gewesen, die genaue Natur der Verarbeitung, die Empfänger ihrer Daten oder die Konsequenzen dieser Übermittlung zu verstehen. Sie kam zu dem Schluss, dass \u003Cstrong>die eingeholte Einwilligung nicht als spezifisch und informiert\u003C/strong> gelten könne, was einen Verstoß gegen die Anforderungen der DSGVO darstellt und die Verhängung der Sanktion rechtfertigt.\u003C/p>\r\n\u003Ch2 id=\"sicherheit-die-cnil-verhangt-gegen-free-und-free-mobile-insgesamt-42-mio.geldbue\">Sicherheit: die CNIL verhängt gegen FREE und FREE MOBILE insgesamt 42 Mio. € Geldbuße\u003C/h2>\r\n\u003Cp>Am 13. Januar 2026 erließ die CNIL \u003Ca href=\"https://www.cnil.fr/fr/sanction-free-2026\" rel=\"nofollow\">zwei Sanktionsentscheidungen gegen FREE MOBILE und FREE\u003C/a> und verhängte Geldbußen in Höhe von jeweils 27 Mio. € und 15 Mio. €, angesichts der \u003Cstrong>Unzulänglichkeit der ergriffenen Maßnahmen zur Gewährleistung der Sicherheit der Daten ihrer Abonnenten\u003C/strong>.\u003C/p>\r\n\u003Cp>Nach \u003Ca href=\"https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article32\" rel=\"nofollow\">Artikel 32 Absatz 1 der DSGVO\u003C/a> müssen Verantwortlicher und Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen \u003Cstrong>geeignete technische und organisatorische Maßnahmen\u003C/strong> treffen, um ein \u003Cstrong>Sicherheitsniveau zu gewährleisten, das dem Risiko angemessen ist\u003C/strong>.\u003C/p>\r\n\u003Cp>Die eingeschränkte Kammer der CNIL erinnert daran, dass die Sicherheitsverpflichtung nach Artikel 32 der DSGVO eine \u003Cstrong>Aufwandspflicht\u003C/strong> ist, die vom Verantwortlichen verlangt, Maßnahmen zu ergreifen, die angesichts der Merkmale der Verarbeitung \u003Cstrong>die Wahrscheinlichkeit eines Datenverstoßes verringern\u003C/strong> und gegebenenfalls \u003Cstrong>seine Schwere mindern\u003C/strong>. Es wird daher nicht erwartet, dass Maßnahmen alle Risiken beseitigen, und das bloße Eintreten eines Vorfalls \u003Cstrong>kennzeichnet nicht automatisch eine Verletzung\u003C/strong> von Artikel 32.\u003C/p>\r\n\u003Cp>Gleichwohl bleibt der Verantwortliche verpflichtet, \u003Cstrong>das Risiko von Verstößen zu mindern\u003C/strong>, ohne jeden Verstoß verhindern zu müssen (EuGH, 25. Januar 2024, C‑687/21, Rn. 39). Folglich kann eine Nichterfüllung der Sicherheitsverpflichtung \u003Cstrong>auch unabhängig vom tatsächlichen Eintritt eines Verstoßes\u003C/strong> festgestellt werden.\u003C/p>\r\n\u003Cp>In diesem Fall stellte die CNIL fest, dass:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Das Authentifizierungsverfahren für die Verbindung zu den VPNs der Unternehmen\u003C/strong> — u. a. für das Telearbeiten der Beschäftigten — \u003Cstrong>nicht ausreichend robust\u003C/strong> war.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Die implementierten Maßnahmen zur \u003Cstrong>Erkennung auffälliger Verhaltensweisen im Informationssystem\u003C/strong> \u003Cstrong>unwirksam\u003C/strong> waren.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Angesichts der \u003Cstrong>Anzahl und Art der verarbeiteten Daten\u003C/strong> hielt die eingeschränkte Kammer die \u003Cstrong>eingesetzten Sicherheitsmaßnahmen der Unternehmen für nicht angemessen\u003C/strong>, um die Vertraulichkeit der personenbezogenen Daten der Abonnenten zu gewährleisten.\u003C/p>\r\n\u003Ch2 id=\"marketing-die-cnil-startet-eine-offentliche-konsultation-zum-nachweis-der-einwilligung\">Marketing: die CNIL startet eine öffentliche Konsultation zum Nachweis der Einwilligung\u003C/h2>\r\n\u003Cp>Die \u003Cstrong>CNIL\u003C/strong> kündigte die \u003Ca href=\"https://www.cnil.fr/fr/marketing-la-cnil-ouvre-une-concertation-sur-la-preuve-du-consentement\" rel=\"nofollow\">Eröffnung einer öffentlichen Konsultation\u003C/a> zum \u003Cstrong>Nachweis der Einwilligung\u003C/strong> an, in einem Kontext wiederholter Kontrollen und Sanktionen im Zusammenhang mit kommerzieller Werbung, zielgerichteter Werbung und Cookies, mit dem Ziel, eine \u003Cstrong>Empfehlung zum Nachweis der Einwilligung\u003C/strong> auszuarbeiten.\u003C/p>\r\n\u003Cp>Diese Initiative fällt unter Artikel 7 Absatz 1 der DSGVO, wonach, wenn die Verarbeitung auf \u003Ca href=\"https://www.dastra.eu/fr/guide/les-bases-legales-1-le-consentement/53646\">Einwilligung\u003C/a> beruht, \u003Cstrong>der Verantwortliche nachweisen können muss, dass die betroffene Person tatsächlich ihre Einwilligung gegeben hat\u003C/strong>. Diese Nachweispflicht ist Teil des Rechenschaftsgrundsatzes und liegt allein beim Verantwortlichen.\u003C/p>\r\n\u003Cp>Der Nachweis der Einwilligung beschränkt sich nicht auf das Vorhandensein einer formalen Zustimmung. Er muss feststellen lassen, dass die Einwilligung \u003Cstrong>frei, spezifisch, informiert und eindeutig\u003C/strong> erfolgte und durch eine eindeutige bestätigende Handlung abgegeben wurde. Andernfalls fehlt der Verarbeitung die rechtliche Grundlage, selbst wenn eine Einwilligung behauptet wird.\u003C/p>\r\n\u003Cp>Eine solche Empfehlung könnte insbesondere Klarstellungen zu folgenden Punkten enthalten:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>die \u003Cstrong>konkreten Beweismittel\u003C/strong>, die aufzubewahren sind (Zeitstempel, Identität der Person, Erhebungsweg, bereitgestellte Informationen);\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>die \u003Cstrong>Zuweisung der Beweislast\u003C/strong> in komplexen Marketingketten (Werbetreibende, Partner, Datenvermittler, gemeinsame Verantwortliche);\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>die \u003Cstrong>Schnittstellen zur Einholung der Einwilligung\u003C/strong>, insbesondere dort, wo ihr Design die Nutzer unzulässig lenken könnte.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Ch2 id=\"cookies-und-andere-tracker-die-cnil-veroffentlicht-ihre-endgultigen-empfehlungen-zur-gerateubergreifenden-einwilligung\">Cookies und andere Tracker: die CNIL veröffentlicht ihre endgültigen Empfehlungen zur geräteübergreifenden Einwilligung\u003C/h2>\r\n\u003Cp>Die \u003Cstrong>CNIL\u003C/strong> veröffentlichte \u003Ca href=\"https://www.cnil.fr/sites/default/files/2026-01/recommandation_multi-terminaux.pdf\" rel=\"nofollow\">ihre endgültigen Empfehlungen\u003C/a> zur \u003Cstrong>Einholung von Einwilligungen im Mehrgerätekontext\u003C/strong>, nach einer Konsultationsphase mit den Interessenvertretern.\u003C/p>\r\n\u003Cp>Diese Empfehlungen führen die Leitlinien zu „Cookies und anderen Trackern“ fort und zielen darauf ab, auf Praktiken zu reagieren, die in digitalen Umgebungen zunehmend üblich sind.\u003C/p>\r\n\u003Cp>Heutzutage beschränkt sich die digitale Nutzung nicht mehr auf ein einzelnes Gerät. Derselbe Nutzer kann eine Webseite oder App vom Computer, Smartphone, Tablet oder Smart‑TV aus nutzen.\u003C/p>\r\n\u003Cp>In diesem Kontext haben einige Akteure versucht, \u003Cstrong>auf einem Gerät eingeholte Einwilligungen wiederzuverwenden\u003C/strong>, um sie auf andere Geräte desselben Nutzers auszudehnen, insbesondere zu Werbe- oder Reichweitenmessungszwecken.\u003C/p>\r\n\u003Cp>Diese Praxis wirft eine zentrale Frage auf: \u003Cstrong>Kann die auf einem Gerät erteilte Einwilligung für ein anderes Gerät gültig sein\u003C/strong>, obwohl sich technische Umgebungen, Schnittstellen und Informationsbedingungen unterscheiden?\u003C/p>\r\n\u003Cp>Die Empfehlungen der CNIL zielen darauf ab, die Bedingungen, unter denen Einwilligungen geräteübergreifend berücksichtigt werden dürfen, \u003Cstrong>streng zu umrahmen\u003C/strong>. Sie erinnern daran, dass die Einwilligung der effektiven Kontrolle durch die betroffene Person zuzuordnen bleibt und dass \u003Cstrong>jede Ausdehnung der Einwilligung auf andere Geräte verstärkte Garantien\u003C/strong> erfordert — sowohl hinsichtlich der bereitgestellten Informationen als auch der eingesetzten technischen Mittel.\u003C/p>\r\n\u003Cp>Die CNIL fordert damit den Erhalt der Wahlfreiheit des Nutzers und die Vermeidung einer automatischen Verallgemeinerung von Einwilligungen, die diese entwerten könnte.\u003C/p>\r\n\u003Cp>Diese Empfehlungen liefern einen erwarteten operativen Rahmen in einem Bereich, in dem technische Praktiken dem Recht vorausgeeilt waren.\u003C/p>\r\n\u003Ch2 id=\"cybersicherheit-vorschlag-zur-uberarbeitung-des-cybersecurity-act\">Cybersicherheit: Vorschlag zur Überarbeitung des Cybersecurity Act\u003C/h2>\r\n\u003Cp>Die \u003Cstrong>Europäische Kommission\u003C/strong> hat den Weg für eine \u003Ca href=\"https://ec.europa.eu/commission/presscorner/detail/fr/ip_26_105\" rel=\"nofollow\">Überarbeitung\u003C/a> des \u003Cstrong>Cybersecurity Act\u003C/strong> geebnet, der 2019 verabschiedeten Verordnung, um den europäischen Rahmen für Cybersicherheit an ein digital komplexeres und exponierteres Umfeld anzupassen.\u003C/p>\r\n\u003Ch3 id=\"der-aktuelle-rahmen\">Der aktuelle Rahmen\u003C/h3>\r\n\u003Cp>Der \u003Ca href=\"https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32019R0881\" rel=\"nofollow\">Cybersecurity Act\u003C/a> strukturierte das europäische Handeln entlang zweier Hauptachsen:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Stärkung der Rolle von ENISA, der EU‑Agentur für Cybersicherheit;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Schaffung eines europäischen Zertifizierungsrahmens für die Cybersicherheit digitaler Produkte, Dienstleistungen und Prozesse.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Ziel war es, ein gemeinsames Vertrauensniveau im Binnenmarkt zu etablieren und gleichzeitig den Mitgliedstaaten einen gewissen Spielraum bei der Umsetzung zu lassen.\u003C/p>\r\n\u003Ch3 id=\"ein-grundlegend-veranderter-kontext\">Ein grundlegend veränderter Kontext\u003C/h3>\r\n\u003Cp>Seit 2019 haben sich die Bedingungen weiterentwickelt. Cyberangriffe haben zugenommen, digitale Lieferketten wurden länger und technologische Abhängigkeiten, auch in sensiblen Sektoren, haben zugenommen.\u003C/p>\r\n\u003Cp>Gleichzeitig ist der europäische Rechtsrahmen umfangreicher geworden, namentlich durch \u003Ca href=\"https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555\" rel=\"nofollow\">NIS 2\u003C/a> und DORA, wodurch die Frage der Kohärenz zwischen den verschiedenen auf die Cybersicherheit anwendbaren Rechtsakten aufgeworfen wird.\u003C/p>\r\n\u003Ch3 id=\"orientierung-der-uberarbeitung\">Orientierung der Überarbeitung\u003C/h3>\r\n\u003Cp>Die angestrebte Überarbeitung zielt darauf ab, den Cybersecurity Act anzupassen, ohne seine Gesamtstruktur zu verändern. Sie folgt einer Logik der Klarstellung und Verstärkung, insbesondere um:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>die Funktionsweise\u003C/strong> und Verbreitung europäischer Zertifizierungssysteme zu verbessern;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>die Rolle von ENISA\u003C/strong> in einer zunehmend dichten Regulierungslage zu klären;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>jüngere Technologien und Verwendungsarten\u003C/strong> besser abzudecken, die für Wirtschaft und öffentliche Aktivitäten zentral geworden sind.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Die Herausforderung besteht darin, ein hohes Sicherheitsniveau in der Union sicherzustellen und gleichzeitig nationale Divergenzen zu begrenzen.\u003C/p>\r\n\u003Ch3 id=\"ein-weiterer-schritt-der-europaischen-konstruktion\">Ein weiterer Schritt der europäischen Konstruktion\u003C/h3>\r\n\u003Cp>Diese Überarbeitung ist Teil einer breiteren Dynamik zur Strukturierung des europäischen Cybersicherheitsrechts. Sie spiegelt das Bestreben der Institutionen wider, einen gemeinsamen Rahmen zu konsolidieren, der den grenzüberschreitenden Risiken begegnen kann und zugleich die Klarheit der Verpflichtungen für die betroffenen Akteure wahrt.\u003C/p>\r\n\u003Ch2 id=\"sicherheitsvorfall-hubee-opfer-eines-lecks-von-160.000-dokumenten\">Sicherheitsvorfall: HubEE, Opfer eines Lecks von 160.000 Dokumenten\u003C/h2>\r\n\u003Cp>\u003Cstrong>HubEE\u003C/strong> (das \u003Ca href=\"https://sante.gouv.fr/IMG/pdf/hubee_faq.pdf\" rel=\"nofollow\">\u003Cem>Hub d’Échange de l’État\u003C/em>\u003C/a>) ist eine \u003Cstrong>digitale Plattform, die von der Interministeriellen Direktion für digitale Angelegenheiten (DINUM) betrieben wird\u003C/strong> und als \u003Cstrong>Dokumentenaustauschnetzwerk\u003C/strong> zwischen öffentlichen Verwaltungen, Dienstleistungsanbietern und Online‑Diensten dient, die Bürgerinnen und Bürger für Verwaltungsverfahren nutzen. Sie spielt eine zentrale Rolle beim Austausch von Dokumenten aus Online‑Diensten wie denen von \u003Ca href=\"http://service-public.fr\" rel=\"nofollow\">\u003Cem>service-public.fr\u003C/em>\u003C/a>, etwa für Anfragen zu Personenstandsurkunden, Sozialakten oder Leistungen und verbindet mehr als 8.000 Gemeinden, mehrere Ministerien und öffentliche Stellen in ihren digitalen Austauschen.\u003C/p>\r\n\u003Ch3 id=\"der-vorfall\">Der Vorfall\u003C/h3>\r\n\u003Cp>Anfang Januar 2026 war HubEE \u003Ca href=\"https://www.numerique.gouv.fr/sinformer/espace-presse/incident-hubee/\" rel=\"nofollow\">Opfer eines Cyberangriffs\u003C/a>, der zur \u003Cstrong>Exfiltration von mindestens 70.000 Akten\u003C/strong>, bzw. etwa \u003Cstrong>160.000 Verwaltungsdokumenten\u003C/strong> führte, von denen einige \u003Ca href=\"https://www.dastra.eu/fr/guide/comment-gerer-une-violation-de-donnees-personnelles/58263\">sensible personenbezogene Daten\u003C/a> enthalten, die Nutzer im Rahmen ihrer Online‑Verfahren bereitgestellt hatten.\u003C/p>\r\n\u003Cp>DINUM entdeckte und band die Eindringung nach dem 9. Januar ein und setzte sofort Eindämmungsmaßnahmen ein, um den Zugriff des Angreifers zu blockieren. Die zuständigen Behörden — namentlich die \u003Cstrong>Nationale Agentur für Cybersicherheit Frankreichs (ANSSI)\u003C/strong> und die \u003Cstrong>CNIL\u003C/strong> — wurden informiert, und eine \u003Cstrong>Anzeige wurde bei den zuständigen Gerichten erstattet\u003C/strong>.\u003C/p>\r\n\u003Cp>Wichtig ist, dass \u003Cstrong>nicht die Website Service‑Public.fr selbst gehackt wurde\u003C/strong>, sondern die interne technische Plattform HubEE, die Dokumente zwischen öffentlichen Diensten im Rahmen von Online‑Angeboten übermittelt.\u003C/p>\r\n\u003Ch3 id=\"welche-daten-sind-betroffen\">Welche Daten sind betroffen?\u003C/h3>\r\n\u003Cp>Nach den veröffentlichten Informationen können die entwendeten Dokumente \u003Cstrong>Identifikationsmerkmale, Identitätsdaten und Belegdokumente\u003C/strong> enthalten (z. B. Ausweisdokumente oder Nachweise, die Nutzer im Rahmen ihrer Verfahren vorgelegt haben) und Betroffene somit einem Risiko von \u003Cstrong>Identitätsdiebstahl, Phishing oder sonstiger missbräuchlicher Nutzung\u003C/strong> aussetzen.\u003C/p>\r\n\u003Cp>Dieser Vorfall wirft aus datenschutzrechtlicher Sicht \u003Cstrong>mehrere wichtige Fragen\u003C/strong> auf:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Sicherheit öffentlicher Plattformen:\u003C/strong> geteilte Plattformen, die große Mengen personenbezogener Daten konzentrieren, müssen besonders hohen Sicherheitsanforderungen unterliegen, um Eindringlinge zu verhindern.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Verpflichtende Meldung:\u003C/strong> die CNIL wurde \u003Cstrong>gesetzeskonform benachrichtigt\u003C/strong>, was bei einem personenbezogenen Datenverstoß mit Risiko für die Rechte und Freiheiten der Betroffenen Pflicht ist.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Risiken für die Betroffenen:\u003C/strong> die Verwertung von Dokumenten mit personenbezogenen Daten kann zu \u003Cstrong>Identitätsdiebstahl\u003C/strong>, zielgerichteten Phishing‑Kampagnen oder anderweitigen Betrugsfällen führen, wenn solche Informationen öffentlich werden oder von Dritten missbräuchlich genutzt werden.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Ch2 id=\"spanien-die-spanische-behorde-aepd-aktualisiert-ihre-dsgvofaq-zur-unterstutzung-von-kmu\">Spanien: die spanische Behörde (AEPD) aktualisiert ihre DSGVO‑FAQ zur Unterstützung von KMU\u003C/h2>\r\n\u003Cp>Am 21. Januar 2026 hat die \u003Cstrong>spanische Datenschutzbehörde\u003C/strong> (Agencia Española de Protección de Datos – AEPD) ihre Rubrik „\u003Ca href=\"https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-renueva-preguntas-frecuentes-reforzar-apoyo\" rel=\"nofollow\">Preguntas frecuentes\u003C/a>“ zur DSGVO deutlich aktualisiert, \u003Cstrong>mit dem Ziel, die Bedürfnisse kleiner und mittlerer Unternehmen (KMU)\u003C/strong>, Verantwortlicher und Datenschutzfachleute besser zu bedienen.\u003C/p>\r\n\u003Cp>Die überarbeitete FAQ enthält nun \u003Cstrong>mehr als 200 Antworten auf die häufigsten Fragen\u003C/strong>, die wesentliche Themen wie die Pflicht zur Führung von \u003Cstrong>Verarbeitungsverzeichnissen\u003C/strong>, die Rechtsgrundlagen der Verarbeitung, Informationspflichten und standardisierte Modelle von \u003Cstrong>Einwilligungsformularen\u003C/strong> für verschiedene Verarbeitungskontexte abdecken.\u003C/p>\r\n\u003Cp>Die AEPD erklärt, dass diese Aktualisierung Teil ihres \u003Ca href=\"https://www.aepd.es/documento/plan-estrategico-aepd-2025-2030.pdf\" rel=\"nofollow\">Strategieplans 2025–2030\u003C/a> ist, der darauf abzielt, \u003Cstrong>ihre Rolle als Leitfaden und Unterstützer für Organisationen\u003C/strong> zu stärken, insbesondere für Kleinstunternehmen, KMU, Selbstständige und Verwaltungen. Der Plan will eine \u003Cstrong>praktische, einfache und wirksame DSGVO‑Compliance‑Kultur\u003C/strong> fördern, indem sofort praktisch nutzbare Instrumente und Ressourcen bereitgestellt werden.\u003C/p>\r\n\u003Cp>\u003Ca href=\"https://www.aepd.es/preguntas-frecuentes\" rel=\"nofollow\">Die überarbeitete FAQ\u003C/a> enthält insbesondere:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>praktische, zielgerichtete Kategorien\u003C/strong> zu den Pflichten der Verantwortlichen;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>konkrete Beispiele\u003C/strong> für Verarbeitung und Compliance;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Ca href=\"https://www.aepd.es/derechos-y-deberes/modelos-y-formularios\" rel=\"nofollow\">nützliche Vorlagendokumente\u003C/a> (Verarbeitungsverzeichnisse, Informationshinweise, Einwilligungsformulare);\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Antworten auf die am häufigsten gestellten Fragen von KMU und Datenschutzfachleuten.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Ch2 id=\"deutschland-gerichtsentscheidung-zur-transparenz-von-scores-bei-kreditprufungen\">Deutschland: Gerichtsentscheidung zur Transparenz von Scores bei Kreditprüfungen\u003C/h2>\r\n\u003Cp>\u003Cstrong>SCHUFA Holding AG\u003C/strong> ist die wichtigste deutsche \u003Cstrong>Scoring‑Agentur\u003C/strong>, die finanzielle personenbezogene Informationen zusammenführt und \u003Cstrong>Scoringwerte\u003C/strong> vergibt, die zur Beurteilung der Rückzahlungswahrscheinlichkeit einer Person herangezogen werden. Diese Scores beeinflussen zentrale Entscheidungen wie Kreditvergaben, Mobilfunkverträge oder Mietvertragsabschlüsse.\u003C/p>\r\n\u003Cp>Am 19. November 2025 hat die 6. Kammer des Verwaltungsgerichts Wiesbaden ein wichtiges \u003Ca href=\"https://verwaltungsgerichtsbarkeit.hessen.de/presse/schufa-muss-auskunft-uber-scorewert-erteilen?\" rel=\"nofollow\">Urteil\u003C/a> zur Transparenz von Scoringwerten in einem von einem Verbraucher gegen die SCHUFA angestrengten Verfahren erlassen. Das Gericht entschied, dass die SCHUFA \u003Cstrong>detaillierte und individualisierte Erklärungen zur Berechnung ihrer Scores\u003C/strong> nach dem Auskunftsrecht des Artikels 15 der DSGVO geben muss.\u003C/p>\r\n\u003Cp>In diesem Fall:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Die Klägerin hatte 2018 einen Privatkredit beantragt, der \u003Cstrong>abgelehnt wurde, nachdem ein von der SCHUFA übermittelter Score (ca. 86 %) an die Kreditgeber übermittelt\u003C/strong> worden war.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Sie forderte anschließend von der SCHUFA Erläuterungen zu den \u003Cstrong>berücksichtigten Datenfaktoren\u003C/strong> und zur \u003Cstrong>konkreten Logik der Score‑Berechnung\u003C/strong>.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Die SCHUFA antwortete in allgemeinen Begriffen und verwies auf auf ihrer Website verfügbare Informationen, ohne zu erklären, \u003Cstrong>wie ihre personenbezogenen Daten konkret den genauen Score beeinflusst hatten\u003C/strong> oder warum der Score für sie als „hohes Risiko“ eingestuft worden war.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Das Gericht befand, dass diese Antworten \u003Cstrong>den Anforderungen der DSGVO nicht genügten\u003C/strong>:\u003C/p>\r\n\u003Cp>Eine allgemeine Beschreibung der verwendeten Methoden oder der Datentypen reiche nicht aus; die SCHUFA habe anzugeben, \u003Cstrong>welche spezifischen Daten berücksichtigt wurden\u003C/strong>, \u003Cstrong>deren Gewichtung in der Berechnung\u003C/strong> und \u003Cstrong>warum das resultierende Ergebnis für diese Person als hohe Ausfallwahrscheinlichkeit interpretiert wurde\u003C/strong>.\u003C/p>\r\n\u003Cp>Die Entscheidung des Gerichts stützt sich außerdem auf eine Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) vom 7. Dezember 2023 (C‑634/21), die feststellte, dass \u003Cstrong>die Erstellung eines Scores durch eine Auskunftei eine „automatisierte Entscheidung“ im Sinne des Artikels 22 der DSGVO darstellt\u003C/strong>, wenn dieser Score von einem Dritten determinierend zur eigenen Vertragsentscheidung genutzt wird.\u003C/p>\r\n\u003Ch2 id=\"sudkorea-verabschiedung-eines-neuartigen-rechtsrahmens-fur-kunstliche-intelligenz\">Südkorea: Verabschiedung eines neuartigen Rechtsrahmens für Künstliche Intelligenz\u003C/h2>\r\n\u003Cp>Am \u003Ca href=\"https://www.msit.go.kr/eng/bbs/view.do?bbsSeqNo=42&amp;mId=4&amp;mPid=2&amp;nttSeqNo=1071&amp;pageIndex=&amp;sCode=eng&amp;searchOpt=ALL&amp;searchTxt=&amp;utm_\" rel=\"nofollow\">22. Januar 2026\u003C/a>, hat \u003Cstrong>Südkorea\u003C/strong> offiziell ein ambitioniertes \u003Ca href=\"https://www.korea.kr/briefing/pressReleaseView.do?newsId=156741740&amp;pWise=sub&amp;pWiseSub=C3&amp;utm_source=chatgpt.com\" rel=\"nofollow\">Rahmengesetz zur Künstlichen Intelligenz\u003C/a> erlassen, bekannt als das \u003Cstrong>AI Basic Act\u003C/strong> (\u003Cem>Framework Act on the Development of Artificial Intelligence and the Creation of a Foundation for Trust\u003C/em>), und zählt damit zu den ersten Ländern weltweit, die ein umfassendes Regulierungspaket für KI eingeführt haben. Diese Initiative ist Teil der nationalen Strategie zur Stärkung der \u003Cstrong>Sicherheit, des Vertrauens und der internationalen Wettbewerbsfähigkeit\u003C/strong> des KI‑Sektors.\u003C/p>\r\n\u003Cp>Das Gesetz zielt darauf ab, den Einsatz von KI‑Systemen zu regeln, insbesondere solcher, die als \u003Cstrong>„hochwirksam“\u003C/strong> eingestuft werden, also voraussichtlich erhebliche Auswirkungen auf das Leben von Personen, die öffentliche Sicherheit oder sensible Sektoren wie \u003Cstrong>Gesundheit, Verkehr, Trinkwasserversorgung, Finanzwesen oder nukleare Sicherheit\u003C/strong> haben. Es sieht insbesondere vor:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Verpflichtende menschliche Aufsicht\u003C/strong> bei hochwirksamen KI‑Anwendungen;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Transparenzpflichten\u003C/strong>, mit \u003Cstrong>Benachrichtigungen an Nutzer\u003C/strong> und \u003Cstrong>klarer Kennzeichnung\u003C/strong> KI‑generierter Inhalte, wenn diese schwer von realen Inhalten zu unterscheiden sind;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Anforderungen an Risikomanagement und Sicherheit\u003C/strong> für KI‑Betreibende.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Die Regierung gewährt \u003Cstrong>mindestens eine einjährige Übergangsfrist\u003C/strong>, bevor strenge Sanktionen greifen, um Unternehmen und Start‑ups die Anpassung ihrer Systeme und Praktiken zu ermöglichen. Nach dieser Phase können Organisationen, die beispielsweise die Kennzeichnung KI‑generierter Inhalte nicht einhalten, \u003Cstrong>mit Geldstrafen von bis zu 30 Millionen südkoreanischen Won\u003C/strong> (ca. 17.400 €) belegt werden.\u003C/p>\r\n\u003Cp>Während das Gesetz als Mittel präsentiert wird, das öffentliche Vertrauen in KI zu festigen und den Sektor durch einen klaren Rechtsrahmen zu fördern, äußerten mehrere Interessengruppen, insbesondere lokale Start‑ups, \u003Ca href=\"https://www.reuters.com/world/asia-pacific/south-korea-launches-landmark-laws-regulate-ai-startups-warn-compliance-burdens-2026-01-22/\" rel=\"nofollow\">Bedenken wegen der Compliance‑Lasten\u003C/a>, die sie als teilweise \u003Cstrong>vage oder kostspielig in der Umsetzung\u003C/strong> ansehen. Einige befürchten, dass diese Anforderungen junge Unternehmen stark belasten und dadurch \u003Cstrong>Innovation behindern oder Entwicklungskosten erhöhen\u003C/strong> könnten.\u003C/p>\r\n\u003Cp>Präsident Lee Jae‑myung nahm diese Bedenken zur Kenntnis und plädierte für ein \u003Cstrong>Gleichgewicht zwischen Regulierung und Unterstützung\u003C/strong>, mit Leitmaßnahmen und Unterstützungsplattformen für Unternehmen während der Übergangszeit.\u003C/p>\r\n\u003Ch2 id=\"cybersicherheitsstandards-fur-ki-etsi-veroffentlicht-seine-erwartungen\">Cybersicherheitsstandards für KI: ETSI veröffentlicht seine Erwartungen\u003C/h2>\r\n\u003Cp>Das \u003Ca href=\"https://www.etsi.org/deliver/etsi_en/304200_304299/304223/02.01.01_60/en_304223v020101p.pdf\" rel=\"nofollow\">European Telecommunications Standards Institute (ETSI) hat seine \u003Cstrong>Sicherheitserwartungen für KI\u003C/strong> veröffentlicht\u003C/a>, die als \u003Cstrong>grundlegende Referenz für Cybersicherheit\u003C/strong> für Organisationen dienen sollen, die KI‑Technologien in Europa implementieren.\u003C/p>\r\n\u003Cp>Diese Standards wurden auf Basis von Leitlinien des \u003Cstrong>UK National Cyber Security Centre (NCSC)\u003C/strong> und des \u003Cstrong>UK Department for Science, Innovation and Technology (DSIT)\u003C/strong> entwickelt.\u003C/p>\r\n\u003Cp>Sie legen Sicherheitserwartungen fest, die für KI‑Werkzeuge \u003Cstrong>vom Design über die Bereitstellung bis hin zur Nutzung\u003C/strong> gelten.\u003C/p>\r\n","Dastra Insights: Was ist im Januar passiert?","Datenschutz- und KI‑Einblicke aus dem Dastra-Hub: praxisnahe, umsetzbare Updates für Fachleute, die täglich im Einsatz sind.",2852,16,0,null,"de","dastra-insights-was-ist-im-januar-passiert","Datenschutz- und KI-Einblicke aus dem Dastra-Hub: praxisnahe Updates für Profis, die täglich im Feld arbeiten.","Published",{"id":18,"displayName":19,"avatarUrl":20,"bio":12,"blogUrl":12,"color":12,"userId":18,"creationDate":21},2986,"Maëva Vidal","https://static.dastra.eu/tenant-3/avatar/2986/maeva-min-min-min-150.png","2022-09-05T13:22:36","2026-02-02T14:03:00","2026-02-02T14:03:43.4867772","2026-02-02T14:15:02.1583425",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":31},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[32,35,38],{"lang":33,"name":27,"description":34},"fr","Une liste d'articles rédigés par la communauté",{"lang":36,"name":27,"description":37},"es","Una lista de artículos escritos por la comunidad",{"lang":13,"name":27,"description":39},"Eine Liste von Artikeln, die von der Community verfasst wurden",[41],{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":42},[43,44,45],{"lang":33,"name":27,"description":34},{"lang":36,"name":27,"description":37},{"lang":13,"name":27,"description":39},[],"https://static.dastra.eu/content/f2f1f2a6-a7ca-4498-9097-2d9810bf1fe1/dastractu-original.jpg",[49,50,51,52,53,54,55],"https://static.dastra.eu/content/f2f1f2a6-a7ca-4498-9097-2d9810bf1fe1/dastractu-1000.webp","https://static.dastra.eu/content/f2f1f2a6-a7ca-4498-9097-2d9810bf1fe1/dastractu.webp","https://static.dastra.eu/content/f2f1f2a6-a7ca-4498-9097-2d9810bf1fe1/dastractu-1500.webp","https://static.dastra.eu/content/f2f1f2a6-a7ca-4498-9097-2d9810bf1fe1/dastractu-800.webp","https://static.dastra.eu/content/f2f1f2a6-a7ca-4498-9097-2d9810bf1fe1/dastractu-600.webp","https://static.dastra.eu/content/f2f1f2a6-a7ca-4498-9097-2d9810bf1fe1/dastractu-300.webp","https://static.dastra.eu/content/f2f1f2a6-a7ca-4498-9097-2d9810bf1fe1/dastractu-100.webp",59849]