Dastra bietet Ihnen Dastra Insights, einen rechtlichen und regulatorischen Überblick speziell für DPOs, Inhouse-Juristen sowie Privacy- und AI-Professionals.
🎯 Gezieltes, nützliches Monitoring, das in der täglichen Realität von Datenschutz und KI verankert ist.
Hier ist unsere Auswahl für May 2026:
[KI - EU] Europäische Kommission: Konsultation zu den Transparenzpflichten für KI
Datum: 8. Mai 2026
Quelle: Europäische Kommission
Die Europäische Kommission hat eine Konsultation zu den Entwürfen von Leitlinien zu den im AI Act vorgesehenen Transparenzpflichten eröffnet. Diese Pflichten gelten ab dem 2. August 2026 und betreffen insbesondere die Information von Personen, wenn sie mit einem KI-System interagieren, sowie die Kennzeichnung oder Erkennung bestimmter von KI erzeugter oder manipulierter Inhalte.
Dieses Thema ist für Anbieter und Betreiber von KI unmittelbar operativ relevant, insbesondere für Chatbots, KI-Assistenten, Deepfakes, von KI erzeugte Veröffentlichungen zu Themen von öffentlichem Interesse, Systeme zur Emotionserkennung und Systeme zur biometrischen Kategorisierung. Juristen und DPOs sollten die Finalisierung dieser Leitlinien verfolgen, da sie die Erwartungen an die Einhaltung der Vorschriften vor Inkrafttreten der Pflichten präzisieren werden.
Die Konsultation läuft bis zum 3. Juni 2026. Die Kommission weist außerdem darauf hin, dass ein freiwilliger Verhaltenskodex zur Kennzeichnung und Markierung von KI-generierten Inhalten im Juni 2026 erwartet wird.
[KI - EU] Politische Einigung zum KI-Omnibus und Zeitplan für Hochrisiko-Systeme
Datum: 7. Mai 2026
Quelle: Europäische Kommission
Die Europäische Kommission hat eine politische Einigung zwischen dem Europäischen Parlament und dem Rat über die Vereinfachung bestimmter Umsetzungsregeln des AI Act im Rahmen des sogenannten Pakets Digital Omnibus on AI bekannt gegeben. Die Einigung ändert insbesondere den Anwendungszeitplan für bestimmte Hochrisiko-KI-Systeme.
Die Regeln für Hochrisikosysteme in Bereichen wie Biometrie, kritische Infrastrukturen, Bildung, Beschäftigung, Migration, Asyl oder Grenzkontrolle würden ab dem 2. Dezember 2027 gelten. Für Systeme, die in bestimmte Produkte eingebettet sind, wie Spielzeug oder Aufzüge, wäre die Frist der 2. August 2028.
Für Compliance-Teams ist die Herausforderung doppelt: Diese Verschiebung darf nicht als allgemeine Aussetzung des AI Act missverstanden werden, und die Compliance-Roadmaps müssen je nach Kategorie der betroffenen Systeme angepasst werden. Bereits geltende oder bald geltende Pflichten, insbesondere zu verbotenen Praktiken, KI-Kompetenz, GPAI und Transparenz, bleiben separat zu beachten.
[KI - EU] Kommission veröffentlicht Leitlinienentwurf zur Klassifizierung von Hochrisiko-KI-Systemen
Datum: 19. Mai 2026
Quelle: Europäische Kommission - Leitlinien für Anbieter und Betreiber von Hochrisiko-KI-Systemen
Die Europäische Kommission hat einen Leitlinienentwurf veröffentlicht, um Anbietern und Betreibern dabei zu helfen zu bestimmen, ob ein KI-System nach dem AI Act als Hochrisikosystem einzustufen ist. Das Dokument erläutert, wie die Einstufung auszulegen ist, und enthält praktische Beispiele zu den wichtigsten betroffenen Bereichen.
Die Leitlinien sind derzeit nicht rechtlich bindend, die Kommission stellt jedoch klar, dass sie ihre Auslegung widerspiegeln und die Anwendung der Verordnung leiten werden. Sie unterliegen einer gezielten Konsultation, die bis zum 23. Juni 2026 geöffnet ist, bevor die endgültige Fassung angenommen wird.
[KI - EU] Jahresbericht zu verbotenen Praktiken und Hochrisiko-Anwendungsfällen
Datum: 22. Mai 2026
Quelle: Europäische Kommission
Die Kommission hat einen Bericht über die mögliche Notwendigkeit veröffentlicht, die Liste der verbotenen KI-Praktiken und Hochrisiko-Anwendungsfälle nach dem AI Act zu ändern. Dieser Bericht ist Teil des Überwachungsmechanismus, der in Artikel 112 des AI Act vorgesehen ist.
Die Kommission stellt insbesondere fest, dass die Bewertung bestimmter besonders schädlicher Praktiken noch in einem frühen Stadium ist, verweist jedoch auf die politische Einigung zum AI Omnibus, einschließlich eines Verbots von Systemen, die nicht einvernehmliche sexuell explizite oder intime Inhalte erzeugen, darunter bestimmte sogenannte „Nudification“-Anwendungen.
Für Juristen und DPOs bestätigt dieser Bericht, dass die Erfassung von Hochrisiko-KI-Verwendungen nicht eingefroren werden sollte: Die Listen des AI Act werden sich voraussichtlich parallel zu den technologischen Risiken weiterentwickeln, insbesondere in Bezug auf Biometrie, synthetische Inhalte, den Schutz Minderjähriger und Verstöße gegen Grundrechte.
[KI] Sensibilisierungskampagne von CNIL und PIPC zu generativer KI und Datenschutz
Datum: 27. Mai 2026
Quelle: CNIL - Generative KI und Datenschutz
Die CNIL und die PIPC, die südkoreanische Datenschutzbehörde, haben ein Awareness-Poster zur Nutzung generativer KI-Dienste und zum Schutz personenbezogener Daten veröffentlicht. Die Initiative ist Teil ihrer 2022 begonnenen Zusammenarbeit.
Auch wenn sich das Dokument allgemein an Nutzer richtet, ist es für interne Datenschutz-Sensibilisierungsprogramme nützlich, insbesondere in Organisationen, die generative KI-Tools für Mitarbeitende, Studierende, Behördenmitarbeitende oder junge Zielgruppen einsetzen.
Für DPOs liegt der praktische Nutzen darin, einfache Botschaften in interne Nutzungsrichtlinien für KI zu integrieren: keine personenbezogenen oder sensiblen Daten in nicht kontrollierte Tools eingeben, Datenschutzeinstellungen prüfen und für die Risiken der Wiederverwendung von Prompts und bereitgestellten Inhalten sensibilisieren.
[KI - UK] Der ICO gibt seine Prioritäten für eine „sichere" KI-Innovation bekannt
Datum: 29. Mai 2026
Quelle: ICO - Antwort an die Regierung zu sicherer KI-gestützter Innovation
Die ICO hat ihre Antwort an die britische Regierung zur sicheren KI-Innovation veröffentlicht. Die Aufsichtsbehörde kündigt für 2026/2027 Arbeiten an, um das Vertrauen der Verbraucher und die Rechtssicherheit für Unternehmen bei der Anwendung des Datenschutzrechts auf KI zu stärken.
Zu den angekündigten Prioritäten gehören die Entwicklung eines AI code of practice, Leitlinien speziell für agentic AI sowie Unterstützung für Verbraucher in einer zunehmend personalisierten KI-Umgebung.
Für Juristen und DPOs im Vereinigten Königreich signalisiert diese Ankündigung die nächsten inhaltlichen Schwerpunkte der ICO. KI-Projekte mit ADM, biometrischen Daten, agentischen Modellen oder Personalisierung sollten in DPIAs, KI-Governance-Richtlinien und Vertragsprüfungen antizipiert werden.
[DSGVO-Transfers] Europrivacy als für Übermittlungen nutzbares Zertifizierungsverfahren
Datum: 16. April 2026
Quelle: EDPB - Opinion 15/2026 Europrivacy certification criteria
Der EDSA hat Opinion 15/2026 zu den Europrivacy-Zertifizierungskriterien angenommen, hinsichtlich ihrer Anerkennung als europäisches Datenschutzsiegel, das als Instrument für Übermittlungen nach den Artikeln 42 und 46 DSGVO verwendet werden kann.
Diese Entwicklung ist wichtig für Organisationen, die nach anderen Mechanismen für internationale Übermittlungen suchen als Standardvertragsklauseln oder Binding Corporate Rules. Sie ersetzt weder die Transferprüfung noch die Risikobewertung, kann aber den Compliance-Werkzeugkasten zur Dokumentation geeigneter Garantien erweitern.
DPOs müssen die genauen praktischen Bedingungen für die Nutzung dieser Zertifizierung verfolgen, insbesondere ihr Zusammenspiel mit zusätzlichen Maßnahmen nach Schrems II, Verpflichtungen des Importeurs und laufenden Überwachungspflichten.
[Gesundheit-FR] EUR 5 Millionen Geldbuße gegen IQVIA
Datum: 28. Mai 2026
Quelle: CNIL - Gesundheitsdaten: eine Geldbuße in Höhe von 5 Millionen Euro gegen IQVIA verhängt
Die CNIL hat IQVIA Operations France wegen Verstößen im Zusammenhang mit der Verwaltung von Gesundheitsdatenbanken mit 5 Millionen Euro sanktioniert. Die Entscheidung betrifft insbesondere die Nichteinhaltung von Schutzmaßnahmen zur Begrenzung der Risiken für betroffene Personen.
Ein besonders wichtiger Punkt betrifft die Qualifizierung der Daten: IQVIA machte geltend, dass die Daten anonym seien, doch das restriktive Gremium befand, dass sie nur pseudonymisiert seien, da eine Re-Identifizierung mit angemessenen Mitteln möglich blieb.
Diese Entscheidung ist für Akteure im Gesundheitswesen, in der Forschung, in pharmazeutischen Studien und in der Data Science von Bedeutung. Sie erinnert daran, dass Pseudonymisierung Daten nicht aus dem Anwendungsbereich der DSGVO herausnimmt und dass Genehmigungen oder Verarbeitungsrahmen in der Praxis eingehalten werden müssen, nicht nur in der ursprünglichen Dokumentation.
[DSGVO-FR] CNIL: Jahresbericht 2025, KI-Prioritäten, Cybersicherheit und europäische Zusammenarbeit
Datum: 18. Mai 2026
Quelle: CNIL - Jahresbericht: Bilanz 2025 und zentrale Maßnahmen der CNIL
Die CNIL hat ihren Jahresbericht 2025 veröffentlicht. Er hebt ein Jahr hervor, das durch einen Anstieg der Beschwerden, ein noch nie dagewesenes Bußgeldniveau, eine Rekordzahl an Meldungen über Datenschutzverletzungen und die Vorbereitung der Behörde auf ihre neuen Aufgaben im Rahmen des AI Act geprägt war.
Der Bericht bestätigt drei Hauptprioritäten: Regulierung künstlicher Intelligenz, Cybersicherheit und europäische Zusammenarbeit. Im Bereich KI verweist die CNIL auf ihre Unterstützungsarbeit zu generativer KI, die Veröffentlichung von Ressourcen für Designer und Entwickler sowie den bevorstehenden Ausbau ihrer Tätigkeit im Rahmen des AI Act. Zur Cybersicherheit gibt sie an, dass sie 2025 6.167 Meldungen über Datenschutzverletzungen erhalten habe, wobei etwa jeder zweite Vorfall mit Hacking zusammenhänge.
Die wichtigste operative Information ist die Ankündigung, dass die CNIL im Jahr 2026 50 % ihrer Prüfungen und Durchsetzungsmaßnahmen auf Verstöße gegen die Datensicherheit konzentrieren wird. DPOs sollten daraus eine praktische Konsequenz ziehen: Nachweise über Sicherheitsmaßnahmen, Lieferantenmanagement, Dokumentation von Vorfällen, DPIAs und Cyber-/DSGVO-Governance werden zu vorrangigen Kontrollpunkten.
[DSGVO-FR] Cour d’appel de Douai: DSGVO-Nichteinhaltung einer Website kann zur Nichtigkeit eines Vertrags führen
Datum: 7. Mai 2026
Quelle: Cour de cassation - CA Douai, 7. Mai 2026, Nr. 22/05075
Die Cour d’appel de Douai erklärte einen Vertrag über die Erstellung und Vermietung einer Website wegen eines Irrtums über die wesentlichen Eigenschaften der gelieferten Website für nichtig. Der Streit betraf Auffray Paysage und Axecibles, den für die Erstellung der Website verantwortlichen Dienstleister. Das Gericht stellte fest, dass die Website personenbezogene Daten unter Bedingungen erfasste, die nicht mit der DSGVO und den Cookie-Vorschriften vereinbar waren.
Die Entscheidung weist insbesondere darauf hin, dass Cookies, darunter ein Google-Analytics-Cookie, automatisch installiert wurden, obwohl keine wirksame Wahl des Nutzers vorlag. Das Gericht erwähnt auch die Verarbeitung im Zusammenhang mit dem Kontaktformular und der Schaltfläche für einen kostenlosen Rückruf. Es erinnert daran, dass weiteres Surfen keine wirksame Einwilligung darstellt und dass die Anforderungen an die Einwilligung für Tracker keine bloßen Empfehlungen sind.
Die praktische Bedeutung ist für IT- und Webverträge groß: DSGVO-Compliance ist nicht nur eine Frage einer verwaltungsrechtlichen Sanktion durch die CNIL. Sie kann auch zu einer wesentlichen Eigenschaft der gelieferten Leistung werden, deren Fehlen die Wirksamkeit des Vertrags beeinträchtigt. Digitale Dienstleister müssen daher Privacy-by-Design-Compliance in ihre Leistungen integrieren, und Auftraggeber sollten Pflichten zu Cookies, Formularen, Analytics, Sicherheit und Compliance-Dokumentation vertraglich klar regeln.
[Gesundheit-FR] CNIL: Aktualisierung der Referenzmethoden MR-001 und MR-003
Datum: 26. Mai 2026
Quelle: CNIL - Gesundheitsforschung: Die CNIL aktualisiert und erweitert den Anwendungsbereich der Referenzmethoden 001 und 003 ; siehe auch die Compliance-Tabellen MR-001 / MR-003
Die CNIL hat die Aktualisierung und Erweiterung der Referenzmethoden MR-001 und MR-003 angekündigt, die bestimmte Verarbeitungen von Gesundheitsdaten zu Forschungszwecken regeln. MR-001 gilt für Forschung, die die Einholung einer Einwilligung erfordert, während MR-003 für Forschung gilt, die eine solche Einwilligung für die Teilnahme nicht erfordert.
Die Änderungen betreffen insbesondere den Anwendungsbereich, die Datenkategorien, die Empfänger, die den betroffenen Personen erteilten Informationen, die Sicherheit, Übermittlungen außerhalb der Europäischen Union und den Einsatz von Auftragsverarbeitern. Die CNIL präzisiert außerdem, dass die neuen Methoden durch Anhänge zu Sicherheit und Qualitätskontrolle sowie kommentierte Fassungen und Compliance-Checklisten ergänzt werden.
Für Verantwortliche, Sponsoren, CROs, Gesundheitseinrichtungen und DPOs ist die praktische Auswirkung sehr konkret: Wenn eine Studie der anwendbaren Referenzmethode entspricht, kann sie auf Grundlage einer Compliance-Verpflichtung ohne vorherige Genehmigung der CNIL durchgeführt werden. Nicht konforme Studien müssen hingegen dokumentiert und je nach Fall zur Genehmigung eingereicht werden.
[Cloud] CNIL erläutert die DSGVO-Rollen von Cloud-Akteuren
Datum: 28. Mai 2026
Quelle: CNIL - Welche Qualifikationen gelten für Cloud-Computing-Akteure?
Die CNIL hat Leitlinien dazu veröffentlicht, wie Cloud-Akteure im Sinne der DSGVO zu qualifizieren sind: als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter. Sie unterscheidet dabei insbesondere zwischen Verarbeitungen im Zusammenhang mit der Erbringung des Dienstes, der Serviceverbesserung, der Sicherheit „der" Cloud und der Sicherheit „in" der Cloud.
Diese Klarstellung ist für Cloud-Verträge, Risikoanalysen, Auftragsverarbeitungsklauseln, Compliance-Dokumentation und die Bearbeitung von Betroffenenanfragen sehr nützlich. Die CNIL betont, dass die Qualifikation von einer konkreten Analyse des Kontrollgrades des Anbieters, der verfolgten Zwecke und der wesentlichen Mittel der Verarbeitung abhängt.
Für DSB ist der praktische Punkt klar: Verarbeitungen zur Serviceverbesserung oder allgemeinen Sicherheit, die vom Anbieter durchgeführt werden, sollten nicht automatisch als Auftragsverarbeitung eingestuft werden. Je nach Fall können sie in die eigene Verantwortung des Anbieters fallen.
[Cyber-EU] NIS2: Verabschiedung gemeinsamer Meldevorlagen für Sicherheitsvorfälle
Datum: 26. Mai 2026
Quelle: European Commission - NIS2 Cooperation Group adopts common templates for incident reporting
Die NIS2-Kooperationsgruppe, bestehend aus Mitgliedstaaten, der Europäischen Kommission und der ENISA, hat gemeinsame Vorlagen für die Meldung von Cybersicherheitsvorfällen verabschiedet. Die Verabschiedung erfolgte anlässlich der 39. Plenarsitzung auf Zypern.
Diese Vorlagen sollen die Meldefelder unionsweit harmonisieren und den Verwaltungsaufwand für wesentliche und wichtige Einrichtungen, die in mehreren Mitgliedstaaten tätig sind, reduzieren. Die Kommission gibt an, die Vorlagen im Wege eines Durchführungsrechtsakts verbindlich machen zu wollen, der dann für alle Mitgliedstaaten gelten würde.
Für DSB und Compliance-Juristen ist dies von unmittelbarer Relevanz: Ein Vorfall kann gleichzeitig eine NIS2-Meldepflicht gegenüber dem CSIRT oder der zuständigen Behörde sowie eine DSGVO-Meldepflicht gegenüber der Datenschutzbehörde auslösen, sofern personenbezogene Daten betroffen sind. Die internen Vorfallsmanagementverfahren müssen daher die NIS2-Fristen — insbesondere die Frühwarnung innerhalb von 24 Stunden und die Meldung innerhalb von 72 Stunden — mit Artikel 33 DSGVO in Einklang bringen.
[Cyber-UK] Der ICO veröffentlicht fünf Maßnahmen gegen KI-verstärkte Cyberbedrohungen
Datum: 14. Mai 2026
Quelle: ICO - Five steps to protect your organisation from AI-powered cyber threats
Der ICO hat praktische Empfehlungen veröffentlicht, um Organisationen bei der Bewältigung KI-verstärkter Cyberbedrohungen zu unterstützen, darunter KI-generiertes Phishing, automatisierte Schwachstellensuche, Kompromittierung von Anmeldedaten und Data Poisoning.
Die Aufsichtsbehörde erinnert daran, dass die Pflichten aus dem UK GDPR geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten erfordern. Sie betont zudem die Bedeutung einer DSFA und von Schutzmaßnahmen, wenn KI-Tools Hochrisikodaten verarbeiten.
Diese Veröffentlichung ist nützlich, um KI-Governance- und Cyber-Compliance-Programme miteinander zu verzahnen. DSB sollten sicherstellen, dass KI-systemspezifische Risiken — einschließlich Angriffe auf Modelle, Trainingsdaten oder Ausgaben — in Risikoanalysen und Sicherheitsdokumentation integriert werden.