[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fpGlM20acTSqrcZ9-2Tjqjtdu-HYt685YOT7oScNtQ0w":3,"white_papers":59},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":11,"nbDownloads":12,"excerpt":13,"lang":14,"url":15,"intro":16,"featured":17,"state":18,"author":19,"authorId":20,"datePublication":24,"dateCreation":25,"dateUpdate":26,"mainCategory":27,"categories":42,"metaDatas":48,"imageUrl":49,"imageThumbUrls":50,"id":58},true,"Dastra bietet Ihnen **Dastra Insights**, einen rechtlichen und regulatorischen Überblick **speziell für DPOs, Inhouse-Juristen sowie Privacy- und AI-Professionals**.\n\n🎯 **Gezieltes, nützliches Monitoring, das in der täglichen Realität von Datenschutz und KI verankert ist.**\n\nHier ist unsere Auswahl für **May 2026**:\n\n## \\[KI - EU\\] Europäische Kommission: Konsultation zu den Transparenzpflichten für KI\n\n**Datum**: 8. Mai 2026\\\n**Quelle**: [Europäische Kommission](https://digital-strategy.ec.europa.eu/en/news/commission-opens-consultation-draft-guidelines-ai-transparency-obligations)\n\nDie Europäische Kommission hat eine Konsultation zu den Entwürfen von Leitlinien zu den im AI Act vorgesehenen Transparenzpflichten eröffnet. Diese Pflichten gelten ab dem **2. August 2026** und betreffen insbesondere die Information von Personen, wenn sie mit einem KI-System interagieren, sowie die Kennzeichnung oder Erkennung bestimmter von KI erzeugter oder manipulierter Inhalte.\n\nDieses Thema ist für Anbieter und Betreiber von KI unmittelbar operativ relevant, insbesondere für Chatbots, KI-Assistenten, Deepfakes, von KI erzeugte Veröffentlichungen zu Themen von öffentlichem Interesse, Systeme zur Emotionserkennung und Systeme zur biometrischen Kategorisierung. Juristen und DPOs sollten die Finalisierung dieser Leitlinien verfolgen, da sie die Erwartungen an die Einhaltung der Vorschriften vor Inkrafttreten der Pflichten präzisieren werden.\n\nDie Konsultation läuft bis zum **3. Juni 2026**. Die Kommission weist außerdem darauf hin, dass ein freiwilliger Verhaltenskodex zur Kennzeichnung und Markierung von KI-generierten Inhalten im **Juni 2026** erwartet wird.\n\n## \\[KI - EU\\] Politische Einigung zum KI-Omnibus und Zeitplan für Hochrisiko-Systeme\n\n**Datum**: 7. Mai 2026\\\n**Quelle**: [Europäische Kommission](https://digital-strategy.ec.europa.eu/en/news/eu-agrees-simplify-ai-rules-boost-innovation-and-ban-nudification-apps-protect-citizens)\n\nDie Europäische Kommission hat eine politische Einigung zwischen dem Europäischen Parlament und dem Rat über die Vereinfachung bestimmter Umsetzungsregeln des AI Act im Rahmen des sogenannten Pakets **Digital Omnibus on AI** bekannt gegeben. Die Einigung ändert insbesondere den Anwendungszeitplan für bestimmte Hochrisiko-KI-Systeme.\n\nDie Regeln für Hochrisikosysteme in Bereichen wie Biometrie, kritische Infrastrukturen, Bildung, Beschäftigung, Migration, Asyl oder Grenzkontrolle würden ab dem **2. Dezember 2027** gelten. Für Systeme, die in bestimmte Produkte eingebettet sind, wie Spielzeug oder Aufzüge, wäre die Frist der **2. August 2028**.\n\nFür Compliance-Teams ist die Herausforderung doppelt: Diese Verschiebung darf nicht als allgemeine Aussetzung des AI Act missverstanden werden, und die Compliance-Roadmaps müssen je nach Kategorie der betroffenen Systeme angepasst werden. Bereits geltende oder bald geltende Pflichten, insbesondere zu verbotenen Praktiken, KI-Kompetenz, GPAI und Transparenz, bleiben separat zu beachten.\n\n## \\[KI - EU\\] **Kommission veröffentlicht Leitlinienentwurf zur Klassifizierung von Hochrisiko-KI-Systemen**\n\n**Datum**: 19. Mai 2026\\\n**Quelle**: [Europäische Kommission - Leitlinien für Anbieter und Betreiber von Hochrisiko-KI-Systemen](https://digital-strategy.ec.europa.eu/en/policies/guidelines-ai-high-risk-systems)\n\nDie Europäische Kommission hat einen **Leitlinienentwurf** veröffentlicht, um Anbietern und Betreibern dabei zu helfen zu bestimmen, ob ein KI-System nach dem AI Act als **Hochrisikosystem** einzustufen ist. Das Dokument erläutert, wie die Einstufung auszulegen ist, und enthält praktische Beispiele zu den wichtigsten betroffenen Bereichen.\n\nDie Leitlinien sind derzeit nicht rechtlich bindend, die Kommission stellt jedoch klar, dass sie ihre Auslegung widerspiegeln und die Anwendung der Verordnung leiten werden. Sie unterliegen einer gezielten Konsultation, die bis zum **23. Juni 2026** geöffnet ist, bevor die endgültige Fassung angenommen wird.\n\n{% button href='https://www.dastra.eu/fr/blog/projet-des-lignes-directrices-ai-act-sur-les-systemes-dia-a-haut-risque/60072' text='Lesen Sie hier unseren Artikel' target='\\_blank' role='button' class='btn btn-primary' %}\n\n## \\[KI - EU\\] Jahresbericht zu verbotenen Praktiken und Hochrisiko-Anwendungsfällen\n\n**Datum**: 22. Mai 2026\\\n**Quelle**: [Europäische Kommission](https://digital-strategy.ec.europa.eu/EN/library/report-review-prohibitions-and-high-risk-ai)\n\nDie Kommission hat einen Bericht über die mögliche Notwendigkeit veröffentlicht, die Liste der verbotenen KI-Praktiken und Hochrisiko-Anwendungsfälle nach dem AI Act zu ändern. Dieser Bericht ist Teil des Überwachungsmechanismus, der in Artikel 112 des AI Act vorgesehen ist.\n\nDie Kommission stellt insbesondere fest, dass die Bewertung bestimmter besonders schädlicher Praktiken noch in einem frühen Stadium ist, verweist jedoch auf die politische Einigung zum AI Omnibus, einschließlich eines Verbots von Systemen, die nicht einvernehmliche sexuell explizite oder intime Inhalte erzeugen, darunter bestimmte sogenannte „Nudification“-Anwendungen.\n\nFür Juristen und DPOs bestätigt dieser Bericht, dass die Erfassung von Hochrisiko-KI-Verwendungen nicht eingefroren werden sollte: Die Listen des AI Act werden sich voraussichtlich parallel zu den technologischen Risiken weiterentwickeln, insbesondere in Bezug auf Biometrie, synthetische Inhalte, den Schutz Minderjähriger und Verstöße gegen Grundrechte.\n\n## \\[KI\\] **Sensibilisierungskampagne von CNIL und PIPC zu generativer KI und Datenschutz**\n\n**Datum**: 27. Mai 2026\\\n**Quelle**: [CNIL - Generative KI und Datenschutz](https://www.cnil.fr/fr/ia-generative-et-vie-privee-affiche-coproduite-pipc-cnil)\n\nDie CNIL und die PIPC, die südkoreanische Datenschutzbehörde, haben ein Awareness-Poster zur Nutzung generativer KI-Dienste und zum Schutz personenbezogener Daten veröffentlicht. Die Initiative ist Teil ihrer 2022 begonnenen Zusammenarbeit.\n\nAuch wenn sich das Dokument allgemein an Nutzer richtet, ist es für interne Datenschutz-Sensibilisierungsprogramme nützlich, insbesondere in Organisationen, die generative KI-Tools für Mitarbeitende, Studierende, Behördenmitarbeitende oder junge Zielgruppen einsetzen.\n\nFür DPOs liegt der praktische Nutzen darin, einfache Botschaften in interne Nutzungsrichtlinien für KI zu integrieren: keine personenbezogenen oder sensiblen Daten in nicht kontrollierte Tools eingeben, Datenschutzeinstellungen prüfen und für die Risiken der Wiederverwendung von Prompts und bereitgestellten Inhalten sensibilisieren.\n\n## \\[KI - UK\\] **Der ICO gibt seine Prioritäten für eine „sichere\" KI-Innovation bekannt**\n\n**Datum**: 29. Mai 2026\\\n**Quelle**: [ICO - Antwort an die Regierung zu sicherer KI-gestützter Innovation](https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/05/ico-response-to-government-on-safe-ai-powered-innovation/)\n\nDie ICO hat ihre Antwort an die britische Regierung zur sicheren KI-Innovation veröffentlicht. Die Aufsichtsbehörde kündigt für 2026/2027 Arbeiten an, um das Vertrauen der Verbraucher und die Rechtssicherheit für Unternehmen bei der Anwendung des Datenschutzrechts auf KI zu stärken.\n\nZu den angekündigten Prioritäten gehören die Entwicklung eines **AI code of practice**, Leitlinien speziell für **agentic AI** sowie Unterstützung für Verbraucher in einer zunehmend personalisierten KI-Umgebung.\n\nFür Juristen und DPOs im Vereinigten Königreich signalisiert diese Ankündigung die nächsten inhaltlichen Schwerpunkte der ICO. KI-Projekte mit ADM, biometrischen Daten, agentischen Modellen oder Personalisierung sollten in DPIAs, KI-Governance-Richtlinien und Vertragsprüfungen antizipiert werden.\n\n## \\[DSGVO-Transfers\\] **Europrivacy als für Übermittlungen nutzbares Zertifizierungsverfahren**\n\n**Datum**: 16. April 2026\\\n**Quelle**: [EDPB - Opinion 15/2026 Europrivacy certification criteria](https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-152026-europrivacy-certification-criteria_pl)\n\nDer EDSA hat **Opinion 15/2026** zu den Europrivacy-Zertifizierungskriterien angenommen, hinsichtlich ihrer Anerkennung als europäisches Datenschutzsiegel, das als Instrument für Übermittlungen nach den Artikeln 42 und 46 DSGVO verwendet werden kann.\n\nDiese Entwicklung ist wichtig für Organisationen, die nach anderen Mechanismen für internationale Übermittlungen suchen als Standardvertragsklauseln oder Binding Corporate Rules. Sie ersetzt weder die Transferprüfung noch die Risikobewertung, kann aber den Compliance-Werkzeugkasten zur Dokumentation geeigneter Garantien erweitern.\n\nDPOs müssen die genauen praktischen Bedingungen für die Nutzung dieser Zertifizierung verfolgen, insbesondere ihr Zusammenspiel mit zusätzlichen Maßnahmen nach Schrems II, Verpflichtungen des Importeurs und laufenden Überwachungspflichten.\n\n## \\[Gesundheit-FR\\] EUR 5 Millionen Geldbuße gegen IQVIA\n\n**Datum**: 28. Mai 2026\\\n**Quelle**: [CNIL - Gesundheitsdaten: eine Geldbuße in Höhe von 5 Millionen Euro gegen IQVIA verhängt](https://www.cnil.fr/fr/donnees-sante-sanction-5-millions-iqvia)\n\nDie CNIL hat IQVIA Operations France wegen Verstößen im Zusammenhang mit der Verwaltung von Gesundheitsdatenbanken mit **5 Millionen Euro** sanktioniert. Die Entscheidung betrifft insbesondere die Nichteinhaltung von Schutzmaßnahmen zur Begrenzung der Risiken für betroffene Personen.\n\nEin besonders wichtiger Punkt betrifft die Qualifizierung der Daten: IQVIA machte geltend, dass die Daten anonym seien, doch das restriktive Gremium befand, dass sie nur pseudonymisiert seien, da eine Re-Identifizierung mit angemessenen Mitteln möglich blieb.\n\nDiese Entscheidung ist für Akteure im Gesundheitswesen, in der Forschung, in pharmazeutischen Studien und in der Data Science von Bedeutung. Sie erinnert daran, dass Pseudonymisierung Daten nicht aus dem Anwendungsbereich der DSGVO herausnimmt und dass Genehmigungen oder Verarbeitungsrahmen in der Praxis eingehalten werden müssen, nicht nur in der ursprünglichen Dokumentation.\n\n## \\[DSGVO-FR\\] CNIL: Jahresbericht 2025, KI-Prioritäten, Cybersicherheit und europäische Zusammenarbeit\n\n**Datum**: 18. Mai 2026\\\n**Quelle**: [CNIL - Jahresbericht: Bilanz 2025 und zentrale Maßnahmen der CNIL](https://cnil.fr/fr/rapport-annuel-2025)\n\nDie CNIL hat ihren **Jahresbericht 2025** veröffentlicht. Er hebt ein Jahr hervor, das durch einen Anstieg der Beschwerden, ein noch nie dagewesenes Bußgeldniveau, eine Rekordzahl an Meldungen über Datenschutzverletzungen und die Vorbereitung der Behörde auf ihre neuen Aufgaben im Rahmen des AI Act geprägt war.\n\nDer Bericht bestätigt drei Hauptprioritäten: **Regulierung künstlicher Intelligenz**, **Cybersicherheit** und **europäische Zusammenarbeit**. Im Bereich KI verweist die CNIL auf ihre Unterstützungsarbeit zu generativer KI, die Veröffentlichung von Ressourcen für Designer und Entwickler sowie den bevorstehenden Ausbau ihrer Tätigkeit im Rahmen des AI Act. Zur Cybersicherheit gibt sie an, dass sie 2025 **6.167 Meldungen über Datenschutzverletzungen** erhalten habe, wobei etwa jeder zweite Vorfall mit Hacking zusammenhänge.\n\nDie wichtigste operative Information ist die Ankündigung, dass die CNIL im Jahr **2026** **50 % ihrer Prüfungen und Durchsetzungsmaßnahmen** auf Verstöße gegen die Datensicherheit konzentrieren wird. DPOs sollten daraus eine praktische Konsequenz ziehen: Nachweise über Sicherheitsmaßnahmen, Lieferantenmanagement, Dokumentation von Vorfällen, DPIAs und Cyber-/DSGVO-Governance werden zu vorrangigen Kontrollpunkten.\n\n## \\[DSGVO-FR\\] Cour d’appel de Douai: DSGVO-Nichteinhaltung einer Website kann zur Nichtigkeit eines Vertrags führen\n\n**Datum**: 7. Mai 2026\\\n**Quelle**: [Cour de cassation - CA Douai, 7. Mai 2026, Nr. 22/05075](https://www.courdecassation.fr/decision/69fd7dbdcdc6046d47043e30)\n\nDie Cour d’appel de Douai erklärte einen Vertrag über die Erstellung und Vermietung einer Website wegen eines **Irrtums über die wesentlichen Eigenschaften** der gelieferten Website für nichtig. Der Streit betraf **Auffray Paysage** und **Axecibles**, den für die Erstellung der Website verantwortlichen Dienstleister. Das Gericht stellte fest, dass die Website personenbezogene Daten unter Bedingungen erfasste, die nicht mit der DSGVO und den Cookie-Vorschriften vereinbar waren.\n\nDie Entscheidung weist insbesondere darauf hin, dass Cookies, darunter ein Google-Analytics-Cookie, automatisch installiert wurden, obwohl keine wirksame Wahl des Nutzers vorlag. Das Gericht erwähnt auch die Verarbeitung im Zusammenhang mit dem Kontaktformular und der Schaltfläche für einen kostenlosen Rückruf. Es erinnert daran, dass weiteres Surfen keine wirksame Einwilligung darstellt und dass die Anforderungen an die Einwilligung für Tracker keine bloßen Empfehlungen sind.\n\nDie praktische Bedeutung ist für IT- und Webverträge groß: DSGVO-Compliance ist nicht nur eine Frage einer verwaltungsrechtlichen Sanktion durch die CNIL. Sie kann auch zu einer **wesentlichen Eigenschaft der gelieferten Leistung** werden, deren Fehlen die Wirksamkeit des Vertrags beeinträchtigt. Digitale Dienstleister müssen daher Privacy-by-Design-Compliance in ihre Leistungen integrieren, und Auftraggeber sollten Pflichten zu Cookies, Formularen, Analytics, Sicherheit und Compliance-Dokumentation vertraglich klar regeln.\n\n## \\[Gesundheit-FR\\] CNIL: Aktualisierung der Referenzmethoden MR-001 und MR-003\n\n**Datum**: 26. Mai 2026\\\n**Quelle**: [CNIL - Gesundheitsforschung: Die CNIL aktualisiert und erweitert den Anwendungsbereich der Referenzmethoden 001 und 003](https://www.cnil.fr/fr/recherche-en-sante-la-cnil-met-jour-et-elargit-le-champ-des-methodologies-de-reference-001-et-003) ; siehe auch die Compliance-Tabellen [MR-001 / MR-003](https://cnil.fr/fr/methodologies-de-reference-pour-les-recherches-en-sante-verifier-sa-conformite-aux-mr-001-et-mr-003)\n\nDie CNIL hat die Aktualisierung und Erweiterung der Referenzmethoden **MR-001** und **MR-003** angekündigt, die bestimmte Verarbeitungen von Gesundheitsdaten zu Forschungszwecken regeln. MR-001 gilt für Forschung, die die Einholung einer Einwilligung erfordert, während MR-003 für Forschung gilt, die eine solche Einwilligung für die Teilnahme nicht erfordert.\n\nDie Änderungen betreffen insbesondere den Anwendungsbereich, die Datenkategorien, die Empfänger, die den betroffenen Personen erteilten Informationen, die Sicherheit, Übermittlungen außerhalb der Europäischen Union und den Einsatz von Auftragsverarbeitern. Die CNIL präzisiert außerdem, dass die neuen Methoden durch Anhänge zu Sicherheit und Qualitätskontrolle sowie kommentierte Fassungen und Compliance-Checklisten ergänzt werden.\n\nFür Verantwortliche, Sponsoren, CROs, Gesundheitseinrichtungen und DPOs ist die praktische Auswirkung sehr konkret: Wenn eine Studie der anwendbaren Referenzmethode entspricht, kann sie auf Grundlage einer Compliance-Verpflichtung ohne vorherige Genehmigung der CNIL durchgeführt werden. Nicht konforme Studien müssen hingegen dokumentiert und je nach Fall zur Genehmigung eingereicht werden.\n\n---\n\n## **\\[Cloud\\] CNIL erläutert die DSGVO-Rollen von Cloud-Akteuren** \n\n**Datum:** 28. Mai 2026 \\\n**Quelle**: CNIL - [Welche Qualifikationen gelten für Cloud-Computing-Akteure?](https://www.cnil.fr/fr/quelles-qualifications-pour-les-acteurs-de-linformatique-en-nuage-cloud)\n\nDie CNIL hat Leitlinien dazu veröffentlicht, wie Cloud-Akteure im Sinne der DSGVO zu qualifizieren sind: als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter. Sie unterscheidet dabei insbesondere zwischen Verarbeitungen im Zusammenhang mit der Erbringung des Dienstes, der Serviceverbesserung, der Sicherheit „der\" Cloud und der Sicherheit „in\" der Cloud.\n\nDiese Klarstellung ist für Cloud-Verträge, Risikoanalysen, Auftragsverarbeitungsklauseln, Compliance-Dokumentation und die Bearbeitung von Betroffenenanfragen sehr nützlich. Die CNIL betont, dass die Qualifikation von einer konkreten Analyse des Kontrollgrades des Anbieters, der verfolgten Zwecke und der wesentlichen Mittel der Verarbeitung abhängt.\n\nFür DSB ist der praktische Punkt klar: Verarbeitungen zur Serviceverbesserung oder allgemeinen Sicherheit, die vom Anbieter durchgeführt werden, sollten nicht automatisch als Auftragsverarbeitung eingestuft werden. Je nach Fall können sie in die eigene Verantwortung des Anbieters fallen.\n\n---\n\n## **\\[Cyber-EU\\] NIS2: Verabschiedung gemeinsamer Meldevorlagen für Sicherheitsvorfälle** \n\n**Datum**: 26. Mai 2026 \\\n**Quelle**: [European Commission - NIS2 Cooperation Group adopts common templates for incident reporting](https://digital-strategy.ec.europa.eu/en/news/nis2-cooperation-group-adopts-common-templates-incident-reporting)\n\nDie NIS2-Kooperationsgruppe, bestehend aus Mitgliedstaaten, der Europäischen Kommission und der ENISA, hat gemeinsame Vorlagen für die Meldung von Cybersicherheitsvorfällen verabschiedet. Die Verabschiedung erfolgte anlässlich der 39. Plenarsitzung auf Zypern.\n\nDiese Vorlagen sollen die Meldefelder unionsweit harmonisieren und den Verwaltungsaufwand für wesentliche und wichtige Einrichtungen, die in mehreren Mitgliedstaaten tätig sind, reduzieren. Die Kommission gibt an, die Vorlagen im Wege eines Durchführungsrechtsakts verbindlich machen zu wollen, der dann für alle Mitgliedstaaten gelten würde.\n\nFür DSB und Compliance-Juristen ist dies von unmittelbarer Relevanz: Ein Vorfall kann gleichzeitig eine NIS2-Meldepflicht gegenüber dem CSIRT oder der zuständigen Behörde sowie eine DSGVO-Meldepflicht gegenüber der Datenschutzbehörde auslösen, sofern personenbezogene Daten betroffen sind. Die internen Vorfallsmanagementverfahren müssen daher die NIS2-Fristen — insbesondere die Frühwarnung innerhalb von 24 Stunden und die Meldung innerhalb von 72 Stunden — mit Artikel 33 DSGVO in Einklang bringen.\n\n---\n\n## **\\[Cyber-UK\\] Der ICO veröffentlicht fünf Maßnahmen gegen KI-verstärkte Cyberbedrohungen** \n\nDatum: 14. Mai 2026 \\\nQuelle:  [ICO - Five steps to protect your organisation from AI-powered cyber threats](https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/05/five-steps-to-protect-your-organisation-from-ai-powered-cyber-threats/)\n\nDer ICO hat praktische Empfehlungen veröffentlicht, um Organisationen bei der Bewältigung KI-verstärkter Cyberbedrohungen zu unterstützen, darunter KI-generiertes Phishing, automatisierte Schwachstellensuche, Kompromittierung von Anmeldedaten und Data Poisoning.\n\nDie Aufsichtsbehörde erinnert daran, dass die Pflichten aus dem UK GDPR geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten erfordern. Sie betont zudem die Bedeutung einer DSFA und von Schutzmaßnahmen, wenn KI-Tools Hochrisikodaten verarbeiten.\n\nDiese Veröffentlichung ist nützlich, um KI-Governance- und Cyber-Compliance-Programme miteinander zu verzahnen. DSB sollten sicherstellen, dass KI-systemspezifische Risiken — einschließlich Angriffe auf Modelle, Trainingsdaten oder Ausgaben — in Risikoanalysen und Sicherheitsdokumentation integriert werden.","\u003Cp>Dastra bietet Ihnen \u003Cstrong>Dastra Insights\u003C/strong>, einen rechtlichen und regulatorischen Überblick \u003Cstrong>speziell für DPOs, Inhouse-Juristen sowie Privacy- und AI-Professionals\u003C/strong>.\u003C/p>\n\u003Cp>🎯 \u003Cstrong>Gezieltes, nützliches Monitoring, das in der täglichen Realität von Datenschutz und KI verankert ist.\u003C/strong>\u003C/p>\n\u003Cp>Hier ist unsere Auswahl für \u003Cstrong>May 2026\u003C/strong>:\u003C/p>\n\u003Ch2 id=\"ki-eu-europaische-kommission-konsultation-zu-den-transparenzpflichten-fur-ki\">[KI - EU] Europäische Kommission: Konsultation zu den Transparenzpflichten für KI\u003C/h2>\n\u003Cp>\u003Cstrong>Datum\u003C/strong>: 8. Mai 2026\u003Cbr />\n\u003Cstrong>Quelle\u003C/strong>: \u003Ca href=\"https://digital-strategy.ec.europa.eu/en/news/commission-opens-consultation-draft-guidelines-ai-transparency-obligations\" rel=\"nofollow\">Europäische Kommission\u003C/a>\u003C/p>\n\u003Cp>Die Europäische Kommission hat eine Konsultation zu den Entwürfen von Leitlinien zu den im AI Act vorgesehenen Transparenzpflichten eröffnet. Diese Pflichten gelten ab dem \u003Cstrong>2. August 2026\u003C/strong> und betreffen insbesondere die Information von Personen, wenn sie mit einem KI-System interagieren, sowie die Kennzeichnung oder Erkennung bestimmter von KI erzeugter oder manipulierter Inhalte.\u003C/p>\n\u003Cp>Dieses Thema ist für Anbieter und Betreiber von KI unmittelbar operativ relevant, insbesondere für Chatbots, KI-Assistenten, Deepfakes, von KI erzeugte Veröffentlichungen zu Themen von öffentlichem Interesse, Systeme zur Emotionserkennung und Systeme zur biometrischen Kategorisierung. Juristen und DPOs sollten die Finalisierung dieser Leitlinien verfolgen, da sie die Erwartungen an die Einhaltung der Vorschriften vor Inkrafttreten der Pflichten präzisieren werden.\u003C/p>\n\u003Cp>Die Konsultation läuft bis zum \u003Cstrong>3. Juni 2026\u003C/strong>. Die Kommission weist außerdem darauf hin, dass ein freiwilliger Verhaltenskodex zur Kennzeichnung und Markierung von KI-generierten Inhalten im \u003Cstrong>Juni 2026\u003C/strong> erwartet wird.\u003C/p>\n\u003Ch2 id=\"ki-eu-politische-einigung-zum-ki-omnibus-und-zeitplan-fur-hochrisiko-systeme\">[KI - EU] Politische Einigung zum KI-Omnibus und Zeitplan für Hochrisiko-Systeme\u003C/h2>\n\u003Cp>\u003Cstrong>Datum\u003C/strong>: 7. Mai 2026\u003Cbr />\n\u003Cstrong>Quelle\u003C/strong>: \u003Ca href=\"https://digital-strategy.ec.europa.eu/en/news/eu-agrees-simplify-ai-rules-boost-innovation-and-ban-nudification-apps-protect-citizens\" rel=\"nofollow\">Europäische Kommission\u003C/a>\u003C/p>\n\u003Cp>Die Europäische Kommission hat eine politische Einigung zwischen dem Europäischen Parlament und dem Rat über die Vereinfachung bestimmter Umsetzungsregeln des AI Act im Rahmen des sogenannten Pakets \u003Cstrong>Digital Omnibus on AI\u003C/strong> bekannt gegeben. Die Einigung ändert insbesondere den Anwendungszeitplan für bestimmte Hochrisiko-KI-Systeme.\u003C/p>\n\u003Cp>Die Regeln für Hochrisikosysteme in Bereichen wie Biometrie, kritische Infrastrukturen, Bildung, Beschäftigung, Migration, Asyl oder Grenzkontrolle würden ab dem \u003Cstrong>2. Dezember 2027\u003C/strong> gelten. Für Systeme, die in bestimmte Produkte eingebettet sind, wie Spielzeug oder Aufzüge, wäre die Frist der \u003Cstrong>2. August 2028\u003C/strong>.\u003C/p>\n\u003Cp>Für Compliance-Teams ist die Herausforderung doppelt: Diese Verschiebung darf nicht als allgemeine Aussetzung des AI Act missverstanden werden, und die Compliance-Roadmaps müssen je nach Kategorie der betroffenen Systeme angepasst werden. Bereits geltende oder bald geltende Pflichten, insbesondere zu verbotenen Praktiken, KI-Kompetenz, GPAI und Transparenz, bleiben separat zu beachten.\u003C/p>\n\u003Ch2 id=\"ki-eu-kommission-veroffentlicht-leitlinienentwurf-zur-klassifizierung-von-hochrisiko-ki-systemen\">[KI - EU] \u003Cstrong>Kommission veröffentlicht Leitlinienentwurf zur Klassifizierung von Hochrisiko-KI-Systemen\u003C/strong>\u003C/h2>\n\u003Cp>\u003Cstrong>Datum\u003C/strong>: 19. Mai 2026\u003Cbr />\n\u003Cstrong>Quelle\u003C/strong>: \u003Ca href=\"https://digital-strategy.ec.europa.eu/en/policies/guidelines-ai-high-risk-systems\" rel=\"nofollow\">Europäische Kommission - Leitlinien für Anbieter und Betreiber von Hochrisiko-KI-Systemen\u003C/a>\u003C/p>\n\u003Cp>Die Europäische Kommission hat einen \u003Cstrong>Leitlinienentwurf\u003C/strong> veröffentlicht, um Anbietern und Betreibern dabei zu helfen zu bestimmen, ob ein KI-System nach dem AI Act als \u003Cstrong>Hochrisikosystem\u003C/strong> einzustufen ist. Das Dokument erläutert, wie die Einstufung auszulegen ist, und enthält praktische Beispiele zu den wichtigsten betroffenen Bereichen.\u003C/p>\n\u003Cp>Die Leitlinien sind derzeit nicht rechtlich bindend, die Kommission stellt jedoch klar, dass sie ihre Auslegung widerspiegeln und die Anwendung der Verordnung leiten werden. Sie unterliegen einer gezielten Konsultation, die bis zum \u003Cstrong>23. Juni 2026\u003C/strong> geöffnet ist, bevor die endgültige Fassung angenommen wird.\u003C/p>\n\u003Cdiv class=\"content-btn-container\">\u003Ca>\u003C/a>\u003C/div>\n\u003Ch2 id=\"ki-eu-jahresbericht-zu-verbotenen-praktiken-und-hochrisiko-anwendungsfallen\">[KI - EU] Jahresbericht zu verbotenen Praktiken und Hochrisiko-Anwendungsfällen\u003C/h2>\n\u003Cp>\u003Cstrong>Datum\u003C/strong>: 22. Mai 2026\u003Cbr />\n\u003Cstrong>Quelle\u003C/strong>: \u003Ca href=\"https://digital-strategy.ec.europa.eu/EN/library/report-review-prohibitions-and-high-risk-ai\" rel=\"nofollow\">Europäische Kommission\u003C/a>\u003C/p>\n\u003Cp>Die Kommission hat einen Bericht über die mögliche Notwendigkeit veröffentlicht, die Liste der verbotenen KI-Praktiken und Hochrisiko-Anwendungsfälle nach dem AI Act zu ändern. Dieser Bericht ist Teil des Überwachungsmechanismus, der in Artikel 112 des AI Act vorgesehen ist.\u003C/p>\n\u003Cp>Die Kommission stellt insbesondere fest, dass die Bewertung bestimmter besonders schädlicher Praktiken noch in einem frühen Stadium ist, verweist jedoch auf die politische Einigung zum AI Omnibus, einschließlich eines Verbots von Systemen, die nicht einvernehmliche sexuell explizite oder intime Inhalte erzeugen, darunter bestimmte sogenannte „Nudification“-Anwendungen.\u003C/p>\n\u003Cp>Für Juristen und DPOs bestätigt dieser Bericht, dass die Erfassung von Hochrisiko-KI-Verwendungen nicht eingefroren werden sollte: Die Listen des AI Act werden sich voraussichtlich parallel zu den technologischen Risiken weiterentwickeln, insbesondere in Bezug auf Biometrie, synthetische Inhalte, den Schutz Minderjähriger und Verstöße gegen Grundrechte.\u003C/p>\n\u003Ch2 id=\"ki-sensibilisierungskampagne-von-cnil-und-pipc-zu-generativer-ki-und-datenschutz\">[KI] \u003Cstrong>Sensibilisierungskampagne von CNIL und PIPC zu generativer KI und Datenschutz\u003C/strong>\u003C/h2>\n\u003Cp>\u003Cstrong>Datum\u003C/strong>: 27. Mai 2026\u003Cbr />\n\u003Cstrong>Quelle\u003C/strong>: \u003Ca href=\"https://www.cnil.fr/fr/ia-generative-et-vie-privee-affiche-coproduite-pipc-cnil\" rel=\"nofollow\">CNIL - Generative KI und Datenschutz\u003C/a>\u003C/p>\n\u003Cp>Die CNIL und die PIPC, die südkoreanische Datenschutzbehörde, haben ein Awareness-Poster zur Nutzung generativer KI-Dienste und zum Schutz personenbezogener Daten veröffentlicht. Die Initiative ist Teil ihrer 2022 begonnenen Zusammenarbeit.\u003C/p>\n\u003Cp>Auch wenn sich das Dokument allgemein an Nutzer richtet, ist es für interne Datenschutz-Sensibilisierungsprogramme nützlich, insbesondere in Organisationen, die generative KI-Tools für Mitarbeitende, Studierende, Behördenmitarbeitende oder junge Zielgruppen einsetzen.\u003C/p>\n\u003Cp>Für DPOs liegt der praktische Nutzen darin, einfache Botschaften in interne Nutzungsrichtlinien für KI zu integrieren: keine personenbezogenen oder sensiblen Daten in nicht kontrollierte Tools eingeben, Datenschutzeinstellungen prüfen und für die Risiken der Wiederverwendung von Prompts und bereitgestellten Inhalten sensibilisieren.\u003C/p>\n\u003Ch2 id=\"ki-uk-der-ico-gibt-seine-prioritaten-fur-eine-sichere-ki-innovation-bekannt\">[KI - UK] \u003Cstrong>Der ICO gibt seine Prioritäten für eine „sichere\" KI-Innovation bekannt\u003C/strong>\u003C/h2>\n\u003Cp>\u003Cstrong>Datum\u003C/strong>: 29. Mai 2026\u003Cbr />\n\u003Cstrong>Quelle\u003C/strong>: \u003Ca href=\"https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/05/ico-response-to-government-on-safe-ai-powered-innovation/\" rel=\"nofollow\">ICO - Antwort an die Regierung zu sicherer KI-gestützter Innovation\u003C/a>\u003C/p>\n\u003Cp>Die ICO hat ihre Antwort an die britische Regierung zur sicheren KI-Innovation veröffentlicht. Die Aufsichtsbehörde kündigt für 2026/2027 Arbeiten an, um das Vertrauen der Verbraucher und die Rechtssicherheit für Unternehmen bei der Anwendung des Datenschutzrechts auf KI zu stärken.\u003C/p>\n\u003Cp>Zu den angekündigten Prioritäten gehören die Entwicklung eines \u003Cstrong>AI code of practice\u003C/strong>, Leitlinien speziell für \u003Cstrong>agentic AI\u003C/strong> sowie Unterstützung für Verbraucher in einer zunehmend personalisierten KI-Umgebung.\u003C/p>\n\u003Cp>Für Juristen und DPOs im Vereinigten Königreich signalisiert diese Ankündigung die nächsten inhaltlichen Schwerpunkte der ICO. KI-Projekte mit ADM, biometrischen Daten, agentischen Modellen oder Personalisierung sollten in DPIAs, KI-Governance-Richtlinien und Vertragsprüfungen antizipiert werden.\u003C/p>\n\u003Ch2 id=\"dsgvo-transfers-europrivacy-als-fur-ubermittlungen-nutzbares-zertifizierungsverfahren\">[DSGVO-Transfers] \u003Cstrong>Europrivacy als für Übermittlungen nutzbares Zertifizierungsverfahren\u003C/strong>\u003C/h2>\n\u003Cp>\u003Cstrong>Datum\u003C/strong>: 16. April 2026\u003Cbr />\n\u003Cstrong>Quelle\u003C/strong>: \u003Ca href=\"https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-152026-europrivacy-certification-criteria_pl\" rel=\"nofollow\">EDPB - Opinion 15/2026 Europrivacy certification criteria\u003C/a>\u003C/p>\n\u003Cp>Der EDSA hat \u003Cstrong>Opinion 15/2026\u003C/strong> zu den Europrivacy-Zertifizierungskriterien angenommen, hinsichtlich ihrer Anerkennung als europäisches Datenschutzsiegel, das als Instrument für Übermittlungen nach den Artikeln 42 und 46 DSGVO verwendet werden kann.\u003C/p>\n\u003Cp>Diese Entwicklung ist wichtig für Organisationen, die nach anderen Mechanismen für internationale Übermittlungen suchen als Standardvertragsklauseln oder Binding Corporate Rules. Sie ersetzt weder die Transferprüfung noch die Risikobewertung, kann aber den Compliance-Werkzeugkasten zur Dokumentation geeigneter Garantien erweitern.\u003C/p>\n\u003Cp>DPOs müssen die genauen praktischen Bedingungen für die Nutzung dieser Zertifizierung verfolgen, insbesondere ihr Zusammenspiel mit zusätzlichen Maßnahmen nach Schrems II, Verpflichtungen des Importeurs und laufenden Überwachungspflichten.\u003C/p>\n\u003Ch2 id=\"gesundheit-fr-eur-5-millionen-geldbusse-gegen-iqvia\">[Gesundheit-FR] EUR 5 Millionen Geldbuße gegen IQVIA\u003C/h2>\n\u003Cp>\u003Cstrong>Datum\u003C/strong>: 28. Mai 2026\u003Cbr />\n\u003Cstrong>Quelle\u003C/strong>: \u003Ca href=\"https://www.cnil.fr/fr/donnees-sante-sanction-5-millions-iqvia\" rel=\"nofollow\">CNIL - Gesundheitsdaten: eine Geldbuße in Höhe von 5 Millionen Euro gegen IQVIA verhängt\u003C/a>\u003C/p>\n\u003Cp>Die CNIL hat IQVIA Operations France wegen Verstößen im Zusammenhang mit der Verwaltung von Gesundheitsdatenbanken mit \u003Cstrong>5 Millionen Euro\u003C/strong> sanktioniert. Die Entscheidung betrifft insbesondere die Nichteinhaltung von Schutzmaßnahmen zur Begrenzung der Risiken für betroffene Personen.\u003C/p>\n\u003Cp>Ein besonders wichtiger Punkt betrifft die Qualifizierung der Daten: IQVIA machte geltend, dass die Daten anonym seien, doch das restriktive Gremium befand, dass sie nur pseudonymisiert seien, da eine Re-Identifizierung mit angemessenen Mitteln möglich blieb.\u003C/p>\n\u003Cp>Diese Entscheidung ist für Akteure im Gesundheitswesen, in der Forschung, in pharmazeutischen Studien und in der Data Science von Bedeutung. Sie erinnert daran, dass Pseudonymisierung Daten nicht aus dem Anwendungsbereich der DSGVO herausnimmt und dass Genehmigungen oder Verarbeitungsrahmen in der Praxis eingehalten werden müssen, nicht nur in der ursprünglichen Dokumentation.\u003C/p>\n\u003Ch2 id=\"dsgvo-fr-cnil-jahresbericht-2025-ki-prioritaten-cybersicherheit-und-europaische-zusammenarbeit\">[DSGVO-FR] CNIL: Jahresbericht 2025, KI-Prioritäten, Cybersicherheit und europäische Zusammenarbeit\u003C/h2>\n\u003Cp>\u003Cstrong>Datum\u003C/strong>: 18. Mai 2026\u003Cbr />\n\u003Cstrong>Quelle\u003C/strong>: \u003Ca href=\"https://cnil.fr/fr/rapport-annuel-2025\" rel=\"nofollow\">CNIL - Jahresbericht: Bilanz 2025 und zentrale Maßnahmen der CNIL\u003C/a>\u003C/p>\n\u003Cp>Die CNIL hat ihren \u003Cstrong>Jahresbericht 2025\u003C/strong> veröffentlicht. Er hebt ein Jahr hervor, das durch einen Anstieg der Beschwerden, ein noch nie dagewesenes Bußgeldniveau, eine Rekordzahl an Meldungen über Datenschutzverletzungen und die Vorbereitung der Behörde auf ihre neuen Aufgaben im Rahmen des AI Act geprägt war.\u003C/p>\n\u003Cp>Der Bericht bestätigt drei Hauptprioritäten: \u003Cstrong>Regulierung künstlicher Intelligenz\u003C/strong>, \u003Cstrong>Cybersicherheit\u003C/strong> und \u003Cstrong>europäische Zusammenarbeit\u003C/strong>. Im Bereich KI verweist die CNIL auf ihre Unterstützungsarbeit zu generativer KI, die Veröffentlichung von Ressourcen für Designer und Entwickler sowie den bevorstehenden Ausbau ihrer Tätigkeit im Rahmen des AI Act. Zur Cybersicherheit gibt sie an, dass sie 2025 \u003Cstrong>6.167 Meldungen über Datenschutzverletzungen\u003C/strong> erhalten habe, wobei etwa jeder zweite Vorfall mit Hacking zusammenhänge.\u003C/p>\n\u003Cp>Die wichtigste operative Information ist die Ankündigung, dass die CNIL im Jahr \u003Cstrong>2026\u003C/strong> \u003Cstrong>50 % ihrer Prüfungen und Durchsetzungsmaßnahmen\u003C/strong> auf Verstöße gegen die Datensicherheit konzentrieren wird. DPOs sollten daraus eine praktische Konsequenz ziehen: Nachweise über Sicherheitsmaßnahmen, Lieferantenmanagement, Dokumentation von Vorfällen, DPIAs und Cyber-/DSGVO-Governance werden zu vorrangigen Kontrollpunkten.\u003C/p>\n\u003Ch2 id=\"dsgvo-fr-cour-dappel-de-douai-dsgvo-nichteinhaltung-einer-website-kann-zur-nichtigkeit-eines-vertrags-fuhren\">[DSGVO-FR] Cour d’appel de Douai: DSGVO-Nichteinhaltung einer Website kann zur Nichtigkeit eines Vertrags führen\u003C/h2>\n\u003Cp>\u003Cstrong>Datum\u003C/strong>: 7. Mai 2026\u003Cbr />\n\u003Cstrong>Quelle\u003C/strong>: \u003Ca href=\"https://www.courdecassation.fr/decision/69fd7dbdcdc6046d47043e30\" rel=\"nofollow\">Cour de cassation - CA Douai, 7. Mai 2026, Nr. 22/05075\u003C/a>\u003C/p>\n\u003Cp>Die Cour d’appel de Douai erklärte einen Vertrag über die Erstellung und Vermietung einer Website wegen eines \u003Cstrong>Irrtums über die wesentlichen Eigenschaften\u003C/strong> der gelieferten Website für nichtig. Der Streit betraf \u003Cstrong>Auffray Paysage\u003C/strong> und \u003Cstrong>Axecibles\u003C/strong>, den für die Erstellung der Website verantwortlichen Dienstleister. Das Gericht stellte fest, dass die Website personenbezogene Daten unter Bedingungen erfasste, die nicht mit der DSGVO und den Cookie-Vorschriften vereinbar waren.\u003C/p>\n\u003Cp>Die Entscheidung weist insbesondere darauf hin, dass Cookies, darunter ein Google-Analytics-Cookie, automatisch installiert wurden, obwohl keine wirksame Wahl des Nutzers vorlag. Das Gericht erwähnt auch die Verarbeitung im Zusammenhang mit dem Kontaktformular und der Schaltfläche für einen kostenlosen Rückruf. Es erinnert daran, dass weiteres Surfen keine wirksame Einwilligung darstellt und dass die Anforderungen an die Einwilligung für Tracker keine bloßen Empfehlungen sind.\u003C/p>\n\u003Cp>Die praktische Bedeutung ist für IT- und Webverträge groß: DSGVO-Compliance ist nicht nur eine Frage einer verwaltungsrechtlichen Sanktion durch die CNIL. Sie kann auch zu einer \u003Cstrong>wesentlichen Eigenschaft der gelieferten Leistung\u003C/strong> werden, deren Fehlen die Wirksamkeit des Vertrags beeinträchtigt. Digitale Dienstleister müssen daher Privacy-by-Design-Compliance in ihre Leistungen integrieren, und Auftraggeber sollten Pflichten zu Cookies, Formularen, Analytics, Sicherheit und Compliance-Dokumentation vertraglich klar regeln.\u003C/p>\n\u003Ch2 id=\"gesundheit-fr-cnil-aktualisierung-der-referenzmethoden-mr-001-und-mr-003\">[Gesundheit-FR] CNIL: Aktualisierung der Referenzmethoden MR-001 und MR-003\u003C/h2>\n\u003Cp>\u003Cstrong>Datum\u003C/strong>: 26. Mai 2026\u003Cbr />\n\u003Cstrong>Quelle\u003C/strong>: \u003Ca href=\"https://www.cnil.fr/fr/recherche-en-sante-la-cnil-met-jour-et-elargit-le-champ-des-methodologies-de-reference-001-et-003\" rel=\"nofollow\">CNIL - Gesundheitsforschung: Die CNIL aktualisiert und erweitert den Anwendungsbereich der Referenzmethoden 001 und 003\u003C/a> ; siehe auch die Compliance-Tabellen \u003Ca href=\"https://cnil.fr/fr/methodologies-de-reference-pour-les-recherches-en-sante-verifier-sa-conformite-aux-mr-001-et-mr-003\" rel=\"nofollow\">MR-001 / MR-003\u003C/a>\u003C/p>\n\u003Cp>Die CNIL hat die Aktualisierung und Erweiterung der Referenzmethoden \u003Cstrong>MR-001\u003C/strong> und \u003Cstrong>MR-003\u003C/strong> angekündigt, die bestimmte Verarbeitungen von Gesundheitsdaten zu Forschungszwecken regeln. MR-001 gilt für Forschung, die die Einholung einer Einwilligung erfordert, während MR-003 für Forschung gilt, die eine solche Einwilligung für die Teilnahme nicht erfordert.\u003C/p>\n\u003Cp>Die Änderungen betreffen insbesondere den Anwendungsbereich, die Datenkategorien, die Empfänger, die den betroffenen Personen erteilten Informationen, die Sicherheit, Übermittlungen außerhalb der Europäischen Union und den Einsatz von Auftragsverarbeitern. Die CNIL präzisiert außerdem, dass die neuen Methoden durch Anhänge zu Sicherheit und Qualitätskontrolle sowie kommentierte Fassungen und Compliance-Checklisten ergänzt werden.\u003C/p>\n\u003Cp>Für Verantwortliche, Sponsoren, CROs, Gesundheitseinrichtungen und DPOs ist die praktische Auswirkung sehr konkret: Wenn eine Studie der anwendbaren Referenzmethode entspricht, kann sie auf Grundlage einer Compliance-Verpflichtung ohne vorherige Genehmigung der CNIL durchgeführt werden. Nicht konforme Studien müssen hingegen dokumentiert und je nach Fall zur Genehmigung eingereicht werden.\u003C/p>\n\u003Chr />\n\u003Ch2 id=\"cloud-cnil-erlautert-die-dsgvo-rollen-von-cloud-akteuren\">\u003Cstrong>[Cloud] CNIL erläutert die DSGVO-Rollen von Cloud-Akteuren\u003C/strong>\u003C/h2>\n\u003Cp>\u003Cstrong>Datum:\u003C/strong> 28. Mai 2026 \u003Cbr />\n\u003Cstrong>Quelle\u003C/strong>: CNIL - \u003Ca href=\"https://www.cnil.fr/fr/quelles-qualifications-pour-les-acteurs-de-linformatique-en-nuage-cloud\" rel=\"nofollow\">Welche Qualifikationen gelten für Cloud-Computing-Akteure?\u003C/a>\u003C/p>\n\u003Cp>Die CNIL hat Leitlinien dazu veröffentlicht, wie Cloud-Akteure im Sinne der DSGVO zu qualifizieren sind: als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter. Sie unterscheidet dabei insbesondere zwischen Verarbeitungen im Zusammenhang mit der Erbringung des Dienstes, der Serviceverbesserung, der Sicherheit „der\" Cloud und der Sicherheit „in\" der Cloud.\u003C/p>\n\u003Cp>Diese Klarstellung ist für Cloud-Verträge, Risikoanalysen, Auftragsverarbeitungsklauseln, Compliance-Dokumentation und die Bearbeitung von Betroffenenanfragen sehr nützlich. Die CNIL betont, dass die Qualifikation von einer konkreten Analyse des Kontrollgrades des Anbieters, der verfolgten Zwecke und der wesentlichen Mittel der Verarbeitung abhängt.\u003C/p>\n\u003Cp>Für DSB ist der praktische Punkt klar: Verarbeitungen zur Serviceverbesserung oder allgemeinen Sicherheit, die vom Anbieter durchgeführt werden, sollten nicht automatisch als Auftragsverarbeitung eingestuft werden. Je nach Fall können sie in die eigene Verantwortung des Anbieters fallen.\u003C/p>\n\u003Chr />\n\u003Ch2 id=\"cyber-eu-nis2-verabschiedung-gemeinsamer-meldevorlagen-fur-sicherheitsvorfalle\">\u003Cstrong>[Cyber-EU] NIS2: Verabschiedung gemeinsamer Meldevorlagen für Sicherheitsvorfälle\u003C/strong>\u003C/h2>\n\u003Cp>\u003Cstrong>Datum\u003C/strong>: 26. Mai 2026 \u003Cbr />\n\u003Cstrong>Quelle\u003C/strong>: \u003Ca href=\"https://digital-strategy.ec.europa.eu/en/news/nis2-cooperation-group-adopts-common-templates-incident-reporting\" rel=\"nofollow\">European Commission - NIS2 Cooperation Group adopts common templates for incident reporting\u003C/a>\u003C/p>\n\u003Cp>Die NIS2-Kooperationsgruppe, bestehend aus Mitgliedstaaten, der Europäischen Kommission und der ENISA, hat gemeinsame Vorlagen für die Meldung von Cybersicherheitsvorfällen verabschiedet. Die Verabschiedung erfolgte anlässlich der 39. Plenarsitzung auf Zypern.\u003C/p>\n\u003Cp>Diese Vorlagen sollen die Meldefelder unionsweit harmonisieren und den Verwaltungsaufwand für wesentliche und wichtige Einrichtungen, die in mehreren Mitgliedstaaten tätig sind, reduzieren. Die Kommission gibt an, die Vorlagen im Wege eines Durchführungsrechtsakts verbindlich machen zu wollen, der dann für alle Mitgliedstaaten gelten würde.\u003C/p>\n\u003Cp>Für DSB und Compliance-Juristen ist dies von unmittelbarer Relevanz: Ein Vorfall kann gleichzeitig eine NIS2-Meldepflicht gegenüber dem CSIRT oder der zuständigen Behörde sowie eine DSGVO-Meldepflicht gegenüber der Datenschutzbehörde auslösen, sofern personenbezogene Daten betroffen sind. Die internen Vorfallsmanagementverfahren müssen daher die NIS2-Fristen — insbesondere die Frühwarnung innerhalb von 24 Stunden und die Meldung innerhalb von 72 Stunden — mit Artikel 33 DSGVO in Einklang bringen.\u003C/p>\n\u003Chr />\n\u003Ch2 id=\"cyber-uk-der-ico-veroffentlicht-funf-massnahmen-gegen-ki-verstarkte-cyberbedrohungen\">\u003Cstrong>[Cyber-UK] Der ICO veröffentlicht fünf Maßnahmen gegen KI-verstärkte Cyberbedrohungen\u003C/strong>\u003C/h2>\n\u003Cp>Datum: 14. Mai 2026 \u003Cbr />\nQuelle:  \u003Ca href=\"https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/05/five-steps-to-protect-your-organisation-from-ai-powered-cyber-threats/\" rel=\"nofollow\">ICO - Five steps to protect your organisation from AI-powered cyber threats\u003C/a>\u003C/p>\n\u003Cp>Der ICO hat praktische Empfehlungen veröffentlicht, um Organisationen bei der Bewältigung KI-verstärkter Cyberbedrohungen zu unterstützen, darunter KI-generiertes Phishing, automatisierte Schwachstellensuche, Kompromittierung von Anmeldedaten und Data Poisoning.\u003C/p>\n\u003Cp>Die Aufsichtsbehörde erinnert daran, dass die Pflichten aus dem UK GDPR geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten erfordern. Sie betont zudem die Bedeutung einer DSFA und von Schutzmaßnahmen, wenn KI-Tools Hochrisikodaten verarbeiten.\u003C/p>\n\u003Cp>Diese Veröffentlichung ist nützlich, um KI-Governance- und Cyber-Compliance-Programme miteinander zu verzahnen. DSB sollten sicherstellen, dass KI-systemspezifische Risiken — einschließlich Angriffe auf Modelle, Trainingsdaten oder Ausgaben — in Risikoanalysen und Sicherheitsdokumentation integriert werden.\u003C/p>\n","Dastra Insights Privacy & KI: Was ist im Mai passiert?","Eine rechtliche und regulatorische Beobachtung, die speziell für DPOs, Juristinnen und Juristen sowie Fachkräfte im Bereich Datenschutz und KI entwickelt wurde.",2240,12,"Dastra Insights: Was ist im Mai in den Bereichen Datenschutz und KI passiert?",0,null,"de","dastra-insights-was-ist-im-mai-in-den-bereichen-datenschutz-und-ki-passiert","Eine rechtliche und regulatorische Beobachtung, die speziell für Datenschutzbeauftragte, Juristen sowie Praktiker im Bereich Datenschutz und KI entwickelt wurde.",false,"Published",{"id":20,"displayName":21,"avatarUrl":22,"bio":13,"blogUrl":13,"color":13,"userId":20,"creationDate":23},20352,"Leïla Sayssa","https://static.dastra.eu/tenant-3/avatar/20352/TDYeY3C8Rz1lLE/dpo-avatar-h01-150.png","2025-03-03T11:08:22","2026-06-01T15:33:00","2026-06-01T15:33:13.1224227","2026-06-01T15:50:46.5223873",{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":33},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[34,37,40],{"lang":35,"name":29,"description":36},"fr","Une liste d'articles rédigés par la communauté",{"lang":38,"name":29,"description":39},"es","Una lista de artículos escritos por la comunidad",{"lang":14,"name":29,"description":41},"Eine Liste von Artikeln, die von der Community verfasst wurden",[43],{"id":28,"name":29,"description":30,"url":31,"color":32,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":44},[45,46,47],{"lang":35,"name":29,"description":36},{"lang":38,"name":29,"description":39},{"lang":14,"name":29,"description":41},[],"https://static.dastra.eu/content/98d40cb3-1971-4b7c-a466-04bf79602485/dastractu-1000-300-original.webp",[51,52,53,54,55,56,57],"https://static.dastra.eu/content/98d40cb3-1971-4b7c-a466-04bf79602485/dastractu-1000-300-1000.webp","https://static.dastra.eu/content/98d40cb3-1971-4b7c-a466-04bf79602485/dastractu-1000-300.webp","https://static.dastra.eu/content/98d40cb3-1971-4b7c-a466-04bf79602485/dastractu-1000-300-1500.webp","https://static.dastra.eu/content/98d40cb3-1971-4b7c-a466-04bf79602485/dastractu-1000-300-800.webp","https://static.dastra.eu/content/98d40cb3-1971-4b7c-a466-04bf79602485/dastractu-1000-300-600.webp","https://static.dastra.eu/content/98d40cb3-1971-4b7c-a466-04bf79602485/dastractu-1000-300-300.webp","https://static.dastra.eu/content/98d40cb3-1971-4b7c-a466-04bf79602485/dastractu-1000-300-100.webp",60076,{"items":60,"total":163,"size":88,"page":88},[61],{"title":62,"nbDownloads":12,"excerpt":63,"lang":14,"url":64,"intro":65,"featured":4,"state":18,"author":66,"authorId":67,"datePublication":71,"dateCreation":72,"dateUpdate":73,"mainCategory":74,"categories":81,"metaDatas":148,"imageUrl":153,"imageThumbUrls":154,"id":162},"KI-Verordnung: Einführung eines KI-Managementsystems (AIMS) in 6 Schritten","Operative Methode zur Strukturierung der KI-Governance und zur effektiven Erfüllung der Anforderungen des EU AI Act","ki-verordnung-einfuhrung-eines-ki-managementsystems-aims-in-6-schritten","Künstliche Intelligenz tritt in eine neue Ära ein: die der Governance. Mit dem AI Act (EU 2024/1689) müssen Organisationen nun die Konformität ihrer KI‑Systeme in einem anspruchsvollen und sich wandelnden Rahmen strukturieren und nachweisen.\n\nAngesichts der regulatorischen Komplexität und der Vielfalt an Anwendungsfällen haben viele Schwierigkeiten, in die operative Umsetzung zu kommen. Initiativen bleiben häufig fragmentiert und bergen rechtliche, operative sowie reputationsbezogene Risiken.\n\nDas AI Management System (AIMS) bietet eine strukturierte Antwort. Dieser Leitfaden stellt eine sechsstufige Methode vor, um eine wirksame KI‑Governance umzusetzen, die mit den Anforderungen des AI Act übereinstimmt.",{"id":67,"displayName":68,"avatarUrl":69,"bio":13,"blogUrl":13,"color":13,"userId":67,"creationDate":70},38,"Paul-Emmanuel Bidault","https://static.dastra.eu/tenant-27/avatar/38/paul-emmanuel-bidault-150.jpg","2019-12-03T19:09:28","2026-04-10T08:28:00","2026-04-10T08:28:52.9264992","2026-04-10T08:40:59.9817502",{"id":75,"name":76,"description":13,"url":77,"color":78,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":79,"translations":80},70,"Livre blanc","white-papers","#1795d3",3,[],[82,87,97,112,127,129,135],{"id":28,"name":29,"description":41,"url":31,"color":32,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":83},[84,85,86],{"lang":35,"name":29,"description":36},{"lang":38,"name":29,"description":39},{"lang":14,"name":29,"description":41},{"id":88,"name":89,"description":90,"url":91,"color":92,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":88,"translations":93},1,"News and watch","All the news about the GDPR compliance in application","watch","#6c1414",[94],{"lang":35,"name":95,"description":96},"Actualités & veille","Toutes les dernières actualités sur la conformité GDPR dans l'application.",{"id":98,"name":99,"description":100,"url":101,"color":102,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":103,"translations":104},46,"Anleitungen","Alle unsere Ressourcen für einen erfolgreichen Start in Dastra","tutorial","#26df6c",10,[105,108,109],{"lang":35,"name":106,"description":107},"Tutoriels","Toutes nos ressources pour bien démarrer dans Dastra",{"lang":14,"name":99,"description":100},{"lang":38,"name":110,"description":111},"Tutoriales","Todos nuestros recursos para comenzar bien en Dastra",{"id":113,"name":114,"description":115,"url":116,"color":117,"parentId":28,"count":13,"imageUrl":13,"parent":13,"order":118,"translations":119},69,"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten","indepth","#000000",5,[120,123,124],{"lang":35,"name":121,"description":122},"Expertise","Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.",{"lang":14,"name":114,"description":115},{"lang":38,"name":125,"description":126},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",{"id":75,"name":76,"description":13,"url":77,"color":78,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":79,"translations":128},[],{"id":130,"name":131,"description":13,"url":132,"color":133,"parentId":88,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":134},155,"AI","ai","#37c71a",[],{"id":136,"name":137,"description":138,"url":132,"color":139,"parentId":113,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":140},213,"Künstliche Intelligenz","Alle Artikel zum Thema künstliche Intelligenz","#5856d6",[141,144,145],{"lang":35,"name":142,"description":143},"Intelligence artificielle","Tout les articles relatifs à l'intelligence artificielle",{"lang":14,"name":137,"description":138},{"lang":38,"name":146,"description":147},"Inteligencia artificial","Todos los artículos sobre el tema de la inteligencia artificial",[149],{"typeMetaDataId":150,"value":151,"id":152},4,"https://static.dastra.eu/backofficefilescontainer/e19a7850-227a-419e-8c06-f00963075300/Dastra livre FIC V2 DE.pdf",117371,"https://static.dastra.eu/content/8e76fc20-d659-4a78-b930-f3dbbaa74d01/privacy-by-design-1-original.png",[155,156,157,158,159,160,161],"https://static.dastra.eu/content/8e76fc20-d659-4a78-b930-f3dbbaa74d01/privacy-by-design-1-1000.webp","https://static.dastra.eu/content/8e76fc20-d659-4a78-b930-f3dbbaa74d01/privacy-by-design-1.webp","https://static.dastra.eu/content/8e76fc20-d659-4a78-b930-f3dbbaa74d01/privacy-by-design-1-1500.webp","https://static.dastra.eu/content/8e76fc20-d659-4a78-b930-f3dbbaa74d01/privacy-by-design-1-800.webp","https://static.dastra.eu/content/8e76fc20-d659-4a78-b930-f3dbbaa74d01/privacy-by-design-1-600.webp","https://static.dastra.eu/content/8e76fc20-d659-4a78-b930-f3dbbaa74d01/privacy-by-design-1-300.webp","https://static.dastra.eu/content/8e76fc20-d659-4a78-b930-f3dbbaa74d01/privacy-by-design-1-100.webp",59963,8]