#noyb — Public Fediverse posts

visually highlighting the “Accept All Cookies” button unlawfully nudged users towards consent and undermined its validity

https://gdprhub.eu/index.php?title=BVwG_-_W171_2303402-1/7E

#GDPRhub #noyb #TeamDatenschutz #DataProtection #GDPR

*️⃣ @noybeu, der österreichische Datenschutzverein um Max Schrems, hat eine neue Klage gegen Microsoft angestrengt. Diesmal geht es um LinkedIn, das sich laut #NOYB nicht an die #DSGVO halte.

Der Vorwurf: #LinkedIn sammelt persönliche Daten, die man mit einem Datenauskunftsbegehren nicht bekommt, sondern nur, wenn man ein kostenpflichtiges Abo abschliesst. Wir sind gespannt.
https://noyb.eu/en/linkedin-locks-your-gdpr-rights-behind-paywall

📬 LinkedIn verwehrt Recht auf Selbstauskunft, noyb legt Beschwerde ein
#Datenschutz #Internet #Datenschutzbedenken #Geldbuße #Linkedin #MartinBaumann #Noyb #Optin #Profilbesuche https://sc.tarnkappe.info/6e0ef0

📬 LinkedIn verwehrt Recht auf Selbstauskunft, noyb legt Beschwerde ein
#Datenschutz #Internet #Datenschutzbedenken #Geldbuße #Linkedin #MartinBaumann #Noyb #Optin #Profilbesuche https://sc.tarnkappe.info/6e0ef0

📬 LinkedIn verwehrt Recht auf Selbstauskunft, noyb legt Beschwerde ein
#Datenschutz #Internet #Datenschutzbedenken #Geldbuße #Linkedin #MartinBaumann #Noyb #Optin #Profilbesuche https://sc.tarnkappe.info/6e0ef0

📬 LinkedIn verwehrt Recht auf Selbstauskunft, noyb legt Beschwerde ein
#Datenschutz #Internet #Datenschutzbedenken #Geldbuße #Linkedin #MartinBaumann #Noyb #Optin #Profilbesuche https://sc.tarnkappe.info/6e0ef0

📬 LinkedIn verwehrt Recht auf Selbstauskunft, noyb legt Beschwerde ein
#Datenschutz #Internet #Datenschutzbedenken #Geldbuße #Linkedin #MartinBaumann #Noyb #Optin #Profilbesuche https://sc.tarnkappe.info/6e0ef0

#LinkedIn profile visitor lists belong to the people, says #Noyb

https://www.theregister.com/offbeat/2026/05/05/noyb-cries-foul-on-linkedin-withholding-profile-visitor-data/5225338

#privacy #Microsoft #GDPR

Du siehst aber jung aus

Meta will uns bis auf die Knochen überwachen

Auf der Suche nach Minderjährigen will Meta Nutzer*innen auf Facebook und Instagram umfassend durchleuchten. Der Konzern will sogar die Knochenstruktur von Menschen auf Fotos auswerten. Wie gefährlich ist das? Die Analyse.

Instagram und Facebook wollen ihre Nutzer*innen künftig noch genauer unter die Lupe nehmen. Eine als KI bezeichnete Software soll unter anderem Texte in Posts und Kurzbios kontrollieren und Objekte in Fotos und Videos scannen. Die Software soll sogar die Körpergröße und Knochenstruktur abgebildeter Personen auswerten. Das Ziel dieser Art von Rasterfahndung sind Minderjährige.

Schätzt die Software eine Person für verdächtig jung ein, soll sie ihr Alter nachweisen. Junge Menschen unter 18 Jahre sollen die Plattformen nur im Jugendschutz-Modusnutzen; Kinder unter 13 Jahre dürfen keinen Account haben.

Wer also künftig auf Instagram Fotos vom Kindergeburtstag postet oder über Schulnoten spricht, könnte Probleme bekommen. Die Software könnte das als Hinweis werten, dass man noch nicht erwachsen ist. Diese beiden Beispiele kommen aus der Pressemitteilung von Meta.

Die neue KI-Überwachung startet Instagram demnach jetzt in der EU und in Brasilien. Zuvor lief sie bereits in den USA, Australien, Kanada und dem Vereinigten Königreich. Auf Facebook rollt Meta die Überwachung zunächst in den USA aus; im Juni soll sie für EU und Vereinigtes Königreich folgen.

Hier kommen die fünf wichtigsten Fragen und Antworten zu Metas neuen Alterskontrollen.

1. Bergen Metas Alterskontrollen Gefahren?

Ein Fachbegriff für die von Meta geplanten Alterskontrollen ist Inferenz, einfacher ausgedrückt: schlussfolgern. Inferenz-Methoden kombinieren mehrere Anhaltspunkte, um das Alter einer Person zu schätzen. Dabei können Dinge schiefgehen – besonders wenn ein Tech-Konzern sogar Fotos und Videos mit sogenannter KI durchsuchen will.

• Datenmaximierung: In der EU verankert die Datenschutz-Grundverordnung (DSGVO) den Grundsatz der Datenminimierung. Das heißt im Fall von Meta: Der Konzern soll nicht mehr Daten sammeln und verarbeiten als nötig. Auf Datenminimierung pocht auch die EU-Kommission in ihren Leitlinien, die beschreiben, wie Online-Dienste Minderjährige schützen sollen; Grundlage is das Gesetzes über digitale Dienste (DSA). Passend dazu fordern in der aktuellen Debatte um Altersgrenzen und Social-Media-Verbote Politiker*innen durch die Bank weg, Alterskontrollen sollen datensparsamein. Was Meta plant, ist jedoch das Gegenteil: Der Konzern will Daten nicht minimieren, sondern maximieren. Er will „mit KI-Technologie komplette Profile analysieren“.
• Kontrollverlust: Meta listet nicht vollständig auf, was die Software auf der Suche nach Minderjährigen alles einbezieht. Hinweise auf Geburtstage oder Schulnoten sind nur Beispiele; ebenso die Knochenstruktur von Menschen in Fotos und Videos. Nutzer*innen können deshalb nicht wissen, welche der Dinge, die sie posten, möglicherweise problematisch sein könnten. Sie wissen auch nicht, was genau mit den aus der Analyse gewonnenen Erkenntnissen passiert. Meta ist ein Datenschlucker; in der Vergangenheit hatte der Konzern mehrfach Datenschutz-Skandale. Die autoritäre US-Regierung hat potenziell Zugriff auf Daten von Meta-Nutzer*innen in der EU. Daraus folgt: Menschen auf Instagram und Facebook können kaum kontrollieren, was mit ihren Daten geschieht.
• Fehleinschätzungen: Inferenz-Methoden setzen auf Hinweise, aber Hinweise sind keine Fakten. Die Software könnte Menschen zu Unrecht als minderjährig einstufen. In der Folge müssten sie potenziell invasive Alterskontrollen überwinden; etwa auf Basis von Ausweisen oder biometrischen Gesichtsscans. Eventuell geraten manche Gruppen besonders oft in Verdacht, noch nicht erwachsen zu sein. Etwa Menschen, die sich aufgrund von Sprachschwierigkeiten nur sehr einfach ausdrücken. Oder eher kleine, schmale Menschen, deren Körper eine Software als jugendlich einstufen würde.
• Gesellschaftsbild: Die Maßnahme steht für einen radikalen gesellschaftlichen Wandel im Umgang mit Risiken. Auf der Suche nach Minderjährigen werden praktisch alle Nutzer*innen zu Verdächtigen – und all ihre Uploads zu potenziellem Beweismaterial. Die Überwachung wichtiger Schauplätze der digitalen Öffentlichkeit wird zunehmend lückenlos. Lange Zeit wurden KI-gestützte Überwachungsmethoden vor allem diskutiert, um schwere Verbrechen aufzuklären. Jetzt sollen sie sogar Kinder aufspüren. Es geht um junge Menschen, die neugierig sind und Regeln brechen, nicht um Schwerverbrecher*innen. Das normalisiert permanente Überwachung, selbst im Alltag.
• Function Creep ist die schrittweise Ausweitung einer Technologie über die ursprünglich beschriebenen Zwecke hinaus. Konkretes Beispiel: Schon jetzt nutzt die rassistische Trump-Regierung ein Arsenal an Überwachungstechnologie auf der Jagd nach Migrant*innen, um sie zu deportieren. Theoretisch könnte Meta die Systeme zur Suche nach Minderjährigen auch zur Suche nach Migrant*innen oder anderen vulnerablen Gruppen einsetzen. Entsprechende Gesetze könnten Konzerne dazu verpflichten, wenn die Infrastruktur erst einmal da ist.

2. Warum macht Meta das?

Meta reagiert mit den neuen Alterskontrollen wahrscheinlich auf die weltweite Debatte um Jugendschutz im Netz und Social-Media-Verbote. Jüngst hat etwa die EU-Kommission festgestellt, dass Meta nicht genug tut, um unter 13-Jährige von Facebook und Instagram fernzuhalten. Das ist ein möglicher Verstoß gegen den DSA; am Ende können Geldbußen drohen.

Die neuen Alterskontrollen könnte der Meta-Konzern als Argument dafür nutzen, dass er sich nun an die Regeln hält. Generell bieten Inferenz-Methoden mehrere Anreize für kommerzielle Online-Plattformen.

• Plattformen wollen ihre Nutzer*innen nicht abschrecken; immerhin ist deren Aufmerksamkeit die wichtigste Geldquelle. Während etwa Ausweiskontrollen für alle eine sichtbare Hürden sind, laufen Inferenz-Methoden zunächst unscheinbar im Hintergrund.
• Inferenz-Methoden basieren auf Wahrscheinlichkeiten. Plattformen können genau steuern, ab welcher Schwelle eines Verdachts die Software Alarm schlägt und von Nutzer*innen eine Altersverifikation verlangt. Auf diese Weise könnte ein Konzern stets optimieren, wie streng die Kontrollen ausfallen – auch mit Blick auf möglichst geringe finanzielle Einbußen.
• Die Systeme hinter Inferenz-Methoden können für Außenstehende komplex und intransparent sein. Kommerzielle Online-Plattformen sprechen gerne davon, dass sie ihre Systeme kontinuierlich verbessern. Das gibt ihnen viel Spielraum, etwaige Fehlerzu relativieren mit Verweis auf eine überholte Version der Systeme, etwa gegenüber Aufsichtsbehörden.

3. Ist das neu?

Inferenz-Methoden zur Alterskontrolle auf Online-Plattformen gibt es schon länger. Selbst Meta schreibt, dass sie ihre Systeme lediglich weiter „stärken“. Auch beispielsweise TikTok, ChatGPT, die Google-Suche oder YouTube suchen im Hintergrund nach Hinweisen darauf, ob Nutzer*innen zu jung sein könnten.

Neu ist allerdings die beschriebene Tiefe der Eingriffe – bis hin zur Analyse von Objekten und Knochenstruktur in Bildern und Videos. Wie zur Beschwichtigung betont Meta in der Pressemitteilung: „Das ist keine Gesichtserkennung.“ Die Software identifiziere keine Personen. Das kann technisch korrekt sein, macht die Eingriffe aber nicht unbedenklich.

4. Darf Meta das?

Vielleicht nicht. Die Datenschutzjuristin Kleanthi Sardeli verfolgt die Neuerungen bei Meta jedenfalls mit Skepsis. Sie arbeitet für die spendenfinanzierte NGO noyb („none of your business“) mit Sitz in Wien. Auf Anfrage von netzpolitik.org geht sie darauf ein, dass biometrische Daten wie Knochenstruktur und Körpergröße in der DSGVO einem strengeren Schutz unterliegen.

Knochenstruktur und Körpergröße können als Gesundheitsdaten angesehen werden, die denselben Schutz wie biometrische Daten genießen. Diese dürfen nur in Ausnahmefällen und auf Grundlage spezifischer Rechtsgrundlagen verarbeitet werden. Dazu gehört unter anderem die Einwilligung. In Metas Datenschutzerklärung wird dieser spezifische Einsatzbereich bisher nicht erwähnt, und als Rechtsgrundlage wird lediglich das berechtigte Interesse genannt – was für den Einsatz dieser neuen KI-Technologie eindeutig nicht ausreichend wäre.

Nähere Einschätzungen seien schwierig, schreibt Sardeli. Dafür seien Metas Informationen zu zurückhaltend. „Es wird auch nicht näher erläutert, wie Metas KI-Modelle auf die Alterserkennung trainiert werden – und ob Inhalte auf Meta-Plattformen verwendet werden, um diese KI-Funktionen weiter zu trainieren.“

Scharfe Kritik an Meta kommt von der deutschen Europa-Abgeordneten Alexandra Geese (Grüne), Stellvertretende Vorsitzende im Ausschuss für Binnenmarkt und Verbraucherschutz. Auf Anfrage von netzpolitik.org schreibt sie:

Was Meta hier plant, ist nichts weniger als der nächste Tabubruch: Die systematische Auswertung von Körpermerkmalen wie Knochenstruktur zur Altersbestimmung ist ein massiver Eingriff in hochsensible personenbezogene Daten.

Geese verweist auf eine Regel im DSA, die besagt: Online-Plattformen sind „nicht verpflichtet, zusätzliche personenbezogene Daten zu verarbeiten, um festzustellen, ob der Nutzer minderjährig ist“. Meta tut es dennoch. Statt mehr Schutz reagiere Meta mit mehr Überwachung. „Wer glaubt, man könne Kinderschutz mit biometrischer Massenanalyse erreichen, opfert Grundrechte auf dem Altar eines kaputten Geschäftsmodells.“

5. Was passiert als nächstes?

Die EU-Kommission dürfte sich für das laufende DSA-Verfahren genau anschauen, ob Meta mit den neuen Alterskontrollen die gesetzlichen Vorgaben erfüllt. Einerseits könnte Meta auf diese Weise tatsächlich mehr Minderjährige finden – andererseits könnte die Kommission die datenhungrigen Maßnahmen als unverhältnismäßig einstufen.

Parallel diskutieren Expert*innen gerade auf Deutschland- und EU-Ebene über Maßnahmen für Kinder- und Jugendschutz im Netz. Spitzenpolitiker*innen fordern vehement Social-Media-Verbote und (datensparsame) Alterskontrollen, während Fachleute aus unter anderem Medienpädagogik, Kinderschutz oder IT-Sicherheit vor beidem warnen. Im Sommer sollen die von EU-Kommission und Bundesregierung einberufenen Expert*innen ihre Empfehlungen vorlegen.

Sebastian Meineck ist Journalist und seit 2021 Redakteur bei netzpolitik.org. Zu seinen aktuellen Schwerpunkten gehören digitale Gewalt, Databroker und Jugendmedienschutz. Er schreibt einen Newsletter über Online-Recherche und gibt Workshops an Universitäten. Das Medium Magazin hat ihn 2020 zu einem der Top 30 unter 30 im Journalismus gekürt. Seine Arbeit wurde mehrfach ausgezeichnet, unter anderem zweimal mit dem Grimme-Online-Award sowie dem European Press Prize. Kontakt: E-Mail (OpenPGP), Sebastian Hinweise schicken | Sebastian für O-Töne anfragen | Mastodon. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Wie #LinkedIn gegen die #DSGVO verstößt?
Offensichtlich!

#noyb #microsoft

https://www.theregister.com/offbeat/2026/05/05/noyb-cries-foul-on-linkedin-withholding-profile-visitor-data/5225338

RE: https://mastodon.social/@noybeu/116522456745874916

If you are active on Microsoft's #LinkedIn, you may have noticed that some information on #profile viewers is only available with paid membership.
The European privacy rights group #Noyb files a complaint against LinkedIn for selling data as a premium feature, and blocking for non-paying users the access to that same data by invoking General Data Protection Regulation (#GDPR) protecting that data.
LinkedIn claims to satisfy GDPR by disclosing the information at issue via their #Privacy #Policy

RE: https://mastodon.social/@noybeu/116522456745874916

If you are active on Microsoft's #LinkedIn, you may have noticed that some information on #profile viewers is only available with paid membership.
The European privacy rights group #Noyb files a complaint against LinkedIn for selling data as a premium feature, and blocking for non-paying users the access to that same data by invoking General Data Protection Regulation (#GDPR) protecting that data.
LinkedIn claims to satisfy GDPR by disclosing the information at issue via their #Privacy #Policy

RE: https://mastodon.social/@noybeu/116522456745874916

If you are active on Microsoft's #LinkedIn, you may have noticed that some information on #profile viewers is only available with paid membership.
The European privacy rights group #Noyb files a complaint against LinkedIn for selling data as a premium feature, and blocking for non-paying users the access to that same data by invoking General Data Protection Regulation (#GDPR) protecting that data.
LinkedIn claims to satisfy GDPR by disclosing the information at issue via their #Privacy #Policy

RE: https://mastodon.social/@noybeu/116522456745874916

If you are active on Microsoft's #LinkedIn, you may have noticed that some information on #profile viewers is only available with paid membership.
The European privacy rights group #Noyb files a complaint against LinkedIn for selling data as a premium feature, and blocking for non-paying users the access to that same data by invoking General Data Protection Regulation (#GDPR) protecting that data.
LinkedIn claims to satisfy GDPR by disclosing the information at issue via their #Privacy #Policy

RE: https://mastodon.social/@noybeu/116522456745874916

If you are active on Microsoft's #LinkedIn, you may have noticed that some information on #profile viewers is only available with paid membership.
The European privacy rights group #Noyb files a complaint against LinkedIn for selling data as a premium feature, and blocking for non-paying users the access to that same data by invoking General Data Protection Regulation (#GDPR) protecting that data.
LinkedIn claims to satisfy GDPR by disclosing the information at issue via their #Privacy #Policy

#CCC | #Biometrische #Massenüberwachung nicht länger dulden: #Klage gegen #Hamburger #Datenschutzbehörde

Der #Chaos_Computer_Club unterstützt die Klage gegen die Hamburger Datenschutzbehörde im Zusammenhang mit der illegalen #Gesichtersuchmaschine #PimEyes. Die Behörde hatte jahrelang keinerlei Maßnahmen ergriffen und das Verfahren dann einfach eingestellt.

Gegen die #Hamburger #Datenschutzbehörde ist heute von der österreichischen #NGO #noyb eine Klage eingereicht...

https://www.ccc.de/de/updates/2026/biometrische-massenuberwachung-nicht-langer-dulden-klage-gegen-hamburger-datenschutzbehorde

#CCC | #Biometrische #Massenüberwachung nicht länger dulden: #Klage gegen #Hamburger #Datenschutzbehörde

Der #Chaos_Computer_Club unterstützt die Klage gegen die Hamburger Datenschutzbehörde im Zusammenhang mit der illegalen #Gesichtersuchmaschine #PimEyes. Die Behörde hatte jahrelang keinerlei Maßnahmen ergriffen und das Verfahren dann einfach eingestellt.

Gegen die #Hamburger #Datenschutzbehörde ist heute von der österreichischen #NGO #noyb eine Klage eingereicht...

https://www.ccc.de/de/updates/2026/biometrische-massenuberwachung-nicht-langer-dulden-klage-gegen-hamburger-datenschutzbehorde

På siden til Bergens Tidende er endring av abonnementsvilkår fremdeles et ikke tema.

Her viser det seg hvor viktig statlige uavhengige medier er. Alternativet er USA, der nesten alle store medier nå er eid av oligarker.

https://www.nrk.no/rogaland/kritisk-til-schibsteds-nye-_betal-eller-samtykk_-modell-1.17866076

#schibsted #bergenstidene #gdpr #payorokay #payorconsent #noyb #datatilsynet #nrk

På siden til Bergens Tidende er endring av abonnementsvilkår fremdeles et ikke tema.

Her viser det seg hvor viktig statlige uavhengige medier er. Alternativet er USA, der nesten alle store medier nå er eid av oligarker.

https://www.nrk.no/rogaland/kritisk-til-schibsteds-nye-_betal-eller-samtykk_-modell-1.17866076

#schibsted #bergenstidene #gdpr #payorokay #payorconsent #noyb #datatilsynet #nrk

På siden til Bergens Tidende er endring av abonnementsvilkår fremdeles et ikke tema.

Her viser det seg hvor viktig statlige uavhengige medier er. Alternativet er USA, der nesten alle store medier nå er eid av oligarker.

https://www.nrk.no/rogaland/kritisk-til-schibsteds-nye-_betal-eller-samtykk_-modell-1.17866076

#schibsted #bergenstidene #gdpr #payorokay #payorconsent #noyb #datatilsynet #nrk

På siden til Bergens Tidende er endring av abonnementsvilkår fremdeles et ikke tema.

Her viser det seg hvor viktig statlige uavhengige medier er. Alternativet er USA, der nesten alle store medier nå er eid av oligarker.

https://www.nrk.no/rogaland/kritisk-til-schibsteds-nye-_betal-eller-samtykk_-modell-1.17866076

#schibsted #bergenstidene #gdpr #payorokay #payorconsent #noyb #datatilsynet #nrk

#GDPR would be great if it was meaningfully enforced.

"Failure to tackle facial recognition firm triggers privacy complaint
Hamburg's authorities tell #Noyb they can't reach the non-EU-based company so won't investigate"

https://www.euractiv.com/news/failure-to-tackle-facial-recognition-firm-triggers-privacy-complaint/

@hanselot det er en praksis flere medier har begynt å bruke sørover i Europa…

De argumenterer for at det må til for å betale for kvalitetsjournalistikk, men ifølge #noyb så er det et falskt narrativ og annonseinntektene på tilrettelagt reklame er ytterst lite…

https://noyb.eu/en/noybs-pay-or-okay-report-how-companies-make-you-pay-privacy

Jeg fikk idag e-post fra Bergens Tidende om at de kommer til å endre abonnementsvilkårene sine til et "pay or okay" modell fra og med 27. mai 2026.

Hvis en ikke betaler 39 Kr./måned ekstra, vil mine personlige data bli distribuert videre til tredjepartsfirma fra slutten av mai.

Jeg mener at dette strider mot GDPR regelverket, og har bedt Noyb til å vurdere lovligheten. Om dette ikke blir trukket tilbake, sier jeg opp abonnementet.

#noyb #gdpr #bergen #norway #datatilsynet

🎙️ Sophia did her legal #traineeship in 2023. In this video, she takes a look back at her time with us.

🔗 If you're also interested in joining noyb as a trainee, our applications are always open! Click here to learn more: https://noyb.eu/en/traineeship

#noyb #privacy #law #dataprotection #europe #opportunity #trainee #eu #throwback

🎙️ Sophia did her legal #traineeship in 2023. In this video, she takes a look back at her time with us.

🔗 If you're also interested in joining noyb as a trainee, our applications are always open! Click here to learn more: https://noyb.eu/en/traineeship

#noyb #privacy #law #dataprotection #europe #opportunity #trainee #eu #throwback

🎙️ Sophia did her legal #traineeship in 2023. In this video, she takes a look back at her time with us.

🔗 If you're also interested in joining noyb as a trainee, our applications are always open! Click here to learn more: https://noyb.eu/en/traineeship

#noyb #privacy #law #dataprotection #europe #opportunity #trainee #eu #throwback

🎙️ Sophia did her legal #traineeship in 2023. In this video, she takes a look back at her time with us.

🔗 If you're also interested in joining noyb as a trainee, our applications are always open! Click here to learn more: https://noyb.eu/en/traineeship

#noyb #privacy #law #dataprotection #europe #opportunity #trainee #eu #throwback

🎙️ Sophia did her legal #traineeship in 2023. In this video, she takes a look back at her time with us.

🔗 If you're also interested in joining noyb as a trainee, our applications are always open! Click here to learn more: https://noyb.eu/en/traineeship

#noyb #privacy #law #dataprotection #europe #opportunity #trainee #eu #throwback

„Die Europäische Kommission ist auf ein vielfach missbrauchtes Lobbying-Narrativ hereingefallen, wonach das #Auskunftsrecht ständig ‚missbraucht‘ werde. Dabei sind es in Wirklichkeit vor allem Unternehmen, die gegen diese Gesetze verstoßen.“

Digital Omnibus-Realitätscheck: 83,5 % der Auskunftsersuchen nicht ausreichend beantwortet
https://noyb.eu/de/digital-omnibus-reality-check-835-access-requests-not-properly-answered

#DSGVO #Datenschutz #noyb

ÜBERRASCHUNG! Google, Microsoft und Meta ignorieren Opt-Out-Signale. Allen voran, die Firma, deren Motto mal war: „Don‘t be evil.“ 🤡

#TeamDatenschutz #NOYB

https://www.golem.de/news/ccpa-pruefung-google-microsoft-und-meta-ignorieren-opt-out-signale-2604-207571.html

Sondage de DPO à l’appui, noyb affirme que la simplification RGPD est à côté de la plaque
https://next.ink/227599/sondage-de-dpo-a-lappui-noyb-affirme-que-la-simplification-rgpd-est-a-cote-de-la-plaque/

Que disent les délégués à la protection des données personnelles de la simplification du RGPD envisagée par la Commission européenne ? Un sondage organisé par l’association noyb révèle que leurs préoccupations portent essentiellement sur la simplification des démarches administratives, et non sur la redéfinition des données personnelles ou sur la limitation du droit d’accès, pourtant envisagés par Bruxelles en réponse aux demandes de l’industrie.

#rgpd #noyb #dpo #eu

Der "Digitale Omnibus" der EU muss ordentlich entschärft werden.

Eine Umfrage von #noyb unter #Datenschutzbeauftragten ergibt deutliche Ansagen:

#GDPR funktioniert sagen die Experten in den Unternehmen. Das Problem sind überbordende Dokumentationspflichten und unscharfe Richtlinien. Weniger Flexibilität, dafür Eindeutigkeit wäre wünschenswert.

https://noyb.eu/de/gdpr-omnibus-eu-simplification-far-removed-real-business-needs

https://www.edpb.europa.eu/news/news/2026/digital-omnibus-edpb-and-edps-support-simplification-and-competitiveness-while_de

#Datenschutz #Europa #digitalerOmnibus

Digitaler Omnibus: Neuer Personenbezug & die Folgen

Die EU-Kommission hat am 19.11.2025 den „digitalen Omnibus“ vorgestellt, um Regelwerke wie die DSGVO zu vereinfachen und fit für das KI-Zeitalter zu machen. Erklärtes Ziel der Kommission ist mehr Wettbewerbsfähigkeit bei gleichbleibend hohen Grundrechts- und Datenschutzstandards. Das Vorhaben hat ei(...)
https://www.dr-datenschutz.de/digitaler-omnibus-neuer-personenbezug-die-folgen/

#Bitkom #DigitalerOmnibus #EU-Kommission #noyb

Wenn Krankenkassen ihre „Online-Sprechstunden“ an mehr oder weniger seriöse „Telemedizin-Plattformen“ auslagern (natürlich inklusive vollständiger Datenübermittlung), die dann wiederum US-Services nutzen … dann kann ich meine Gesundheitsdaten auch gleich aus dem Fenster brüllen. 🤯

Ernsthaft, #Techniker #Krankenkasse, habt ihr schon mal was von verantwortungsvollem Umgang mit (besonders sensiblen!) Daten gehört? Dass ihr so einen Service überhaupt anbietet, ist peinlich. 🫣

#Datenschutz #noyb

#noyb hat in Österreich Recht bekommen. Die Datenschutzbehörde stuft das Cookie-Tracking ohne Zustimmung bei Microsoft 365 Education in Schulen als DSGVO-Verstoß ein. Microsoft hat 4 Wochen zur Korrektur.

https://borncity.com/blog/2026/01/28/noyb-sieg-microsoft-muss-tracking-von-schulkindern-beenden/

🎒🍪 "#Microsoft installed tracking cookies on a schoolgirl's computer without her consent, thereby accessing personal #data. In 2024, the schoolgirl filed complaints about this together with #noyb." (from German)

👉 Read more: https://netzpolitik.org/2026/oesterreichische-datenschutzbehoerde-microsoft-hat-illegal-minderjaehrige-getrackt/

Giornata della protezione dei dati: 5 idee sbagliate sulla protezione dei dati, sfatate da @noybeu

Da quando il #GDPR (General Data Protection Regulation) è entrato in vigore nel 2018, i cittadini dell'Unione Europea hanno una maggiore protezione della #privacy e dei dati. Tuttavia, la legge è tutt'altro che perfetta e le grandi aziende tecnologiche, gli avvocati del settore e i lobbisti si sono assicurati di utilizzare ogni strumento del loro arsenale per aggirare le disposizioni del GDPR (attraverso un'interpretazione errata) o per influenzare l'opinione pubblica sulla legge in modo che i consumatori non incolpino loro per le violazioni, ma il GDPR stesso. Negli ultimi anni, questo ha portato a una serie di idee sbagliate sulla protezione dei dati e sul GDPR in particolare. Pertanto, in onore della Giornata della protezione dei dati di quest'anno, #noyb chiarisce 5 delle idee sbagliate più comuni.

https://noyb.eu/it/data-protection-day-5-misconceptions-about-data-protection-debunked

@privacypride

#Microsoft spioniert unsere #Schulkinder aus.

#tracking #noyb

https://noyb.eu/de/noyb-win-microsoft-ordered-stop-tracking-school-children

Nice interview with Max Schrems @noybeu about Big Data, privacy, EU's weakness and the role of #OpenSource:

https://www.youtube.com/watch?v=oAkRnzM7jCs

-if you have little time, jump to minute 6:18-11:00.

Please consider supporting them and becoming a member:
https://noyb.eu/en

#noyb ("None Of Your Business")

#noyb:
"
noyb-Erfolg: Microsoft muss Tracking von Schulkindern einstellen
"
".. Die österr. Datenschutzbehörde (DSB) hat entschieden, dass das Unternehmen ohne Einwilligung .. Cookies auf den Geräten einer Schülerin installiert hat. .. Microsoft hat nun 4 Wochen Zeit, um .. die Verwendung von Tracking-Cookies einzustellen."

https://noyb.eu/de/noyb-win-microsoft-ordered-stop-tracking-school-children

27.1.2026

#BigBrother #Datenschutz #DSB #DSGVO #GläsernerBürger #Microsoft #Microsoft365 #MS #Schule #Schulkinder #Software #Tracking #Überwachung

#Noyb win: #Microsoft ordered to stop tracking school children
https://noyb.eu/en/noyb-win-microsoft-ordered-stop-tracking-school-children

Europas digitaler Omnibus: Wohin steuert der #Datenschutz?
28.01.2026 -Präsenzveranstaltung in Berlin mit
- Renate #Nikolay, Europäische Kommission (DG CONNECT)
- Prof. Dr. Alexander #Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit
- Max #Schrems, #NOYB – Europäisches Zentrum für digitale Rechte (Wien)

Nähere Infos und Anmeldelink:

https://www.eaid-berlin.de/28-01-2026-europas-digitaler-omnibus-wohin-steuert-der-datenschutz/

Europas digitaler Omnibus: Wohin steuert der #Datenschutz?
28.01.2026 -Präsenzveranstaltung in Berlin mit
- Renate #Nikolay, Europäische Kommission (DG CONNECT)
- Prof. Dr. Alexander #Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit
- Max #Schrems, #NOYB – Europäisches Zentrum für digitale Rechte (Wien)

Nähere Infos und Anmeldelink:

https://www.eaid-berlin.de/28-01-2026-europas-digitaler-omnibus-wohin-steuert-der-datenschutz/

Europas digitaler Omnibus: Wohin steuert der #Datenschutz?
28.01.2026 -Präsenzveranstaltung in Berlin mit
- Renate #Nikolay, Europäische Kommission (DG CONNECT)
- Prof. Dr. Alexander #Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit
- Max #Schrems, #NOYB – Europäisches Zentrum für digitale Rechte (Wien)

Nähere Infos und Anmeldelink:

https://www.eaid-berlin.de/28-01-2026-europas-digitaler-omnibus-wohin-steuert-der-datenschutz/

Europas digitaler Omnibus: Wohin steuert der #Datenschutz?
28.01.2026 -Präsenzveranstaltung in Berlin mit
- Renate #Nikolay, Europäische Kommission (DG CONNECT)
- Prof. Dr. Alexander #Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit
- Max #Schrems, #NOYB – Europäisches Zentrum für digitale Rechte (Wien)

Nähere Infos und Anmeldelink:

https://www.eaid-berlin.de/28-01-2026-europas-digitaler-omnibus-wohin-steuert-der-datenschutz/

Europas digitaler Omnibus: Wohin steuert der #Datenschutz?
28.01.2026 -Präsenzveranstaltung in Berlin mit
- Renate #Nikolay, Europäische Kommission (DG CONNECT)
- Prof. Dr. Alexander #Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit
- Max #Schrems, #NOYB – Europäisches Zentrum für digitale Rechte (Wien)

Nähere Infos und Anmeldelink:

https://www.eaid-berlin.de/28-01-2026-europas-digitaler-omnibus-wohin-steuert-der-datenschutz/

Dem Silicon Valley näher

„Beim Datenschutz ist Deutschland inzwischen dem Silicon Valley näher als dem Rest der EU“

Die Datenschutzgrundverordnung kann reformiert werden, sagt Max Schrems – aber ganz anders, als die EU es gerade plant. Im Interview erklärt der prominente Datenschützer, warum er keine Hoffnung mehr auf Aufsichtsbehörden setzt und wieso seine Reformvorschläge selbst von Konservativen unterstützt werden.

Max Schrems ist einer der bekanntesten Datenschützer Europas. Noch als Student hatte der junge Jurist den Milliardenkonzern Meta verklagt, später brachte er zwei transatlantische Datenschutzabkommen zu Fall. Inzwischen treibt er gemeinsam mit seiner Nichtregierungsorganisation noyb – kurz für „None of Your Business“ – Datenschutzsünder und Aufsichtsbehörden vor sich her.

Wir trafen den Österreicher zum Interview in einem Wiener Kaffeehaus, um über die Reform des europäischen Datenschutzes zu sprechen. Die bereits länger laufende Debatte hat kürzlich dramatisch an Fahrt aufgenommen, als die EU-Kommission überraschend weitgehende Änderungen an der Datenschutzgrundverordnung (DSGVO) vorschlug. Der sogenannte digitale Omnibus bekommt von Datenschützer:innen viel Kritik.

Dabei bräuchte es tatsächlich eine Reform der Datenschutzgrundverordnung, sagt Max Schrems. Sie müsste nur ganz anders ausfallen als das, was die EU nun plant. Im Interview legt der Jurist uns seine Ideen für eine Reform dar, die kleinere und mittlere Unternehmen entlastet, während sie Datenkonzerne strenger reguliert. Eine breite Einigung sei bei dem Thema möglich, sie müsse nur gesucht werden.

„Die DSGVO liegt jetzt auf dem Tisch“

In der Debatte um eine europäische Datenschutzreform gibt es drei Lager: Die einen sagen, die Datenschutzgrundverordnung an sich sei super und müsse nur besser durchgesetzt werden. Andere sagen, die DSGVO sei das Schlimmste, was der europäischen Wirtschaft je passiert ist, und müsse massiv zurückgebaut werden. Und dann gibt es da noch ein relativ kleines Lager irgendwo dazwischen, das sagt: Reform ja, aber bitte richtig gemacht.

Zu diesem wirklich sehr kleinen Lager gehöre ich. Es gibt ja wenige, die sagen, die DSGVO soll nicht geändert werden, weil sie so perfekt ist. Das Argument basiert eher auf der Angst vor dem, was dann kommt. Denn dann hätten wir wieder den riesigen Lobby-Fight wie vor zehn Jahren bei der Einführung der DSGVO, aber unter ganz anderen Vorzeichen. Die Sorge ist auch völlig berechtigt, wenn wir schauen, was gerade mit dem digitalen Omnibus passiert. Der Damm ist aber leider bereits gebrochen. Nächstes Jahr soll es noch einen Digital-Fitness-Check geben. Das heißt, die DSGVO liegt jetzt auf jeden Fall auf dem Tisch. Und da müssen wir auf sinnvolle Verbesserungen statt auf einen Kahlschlag hinarbeiten.

Also, was tun?

Zuerst müssen wir auf den begrenzten Spielraum hinweisen, den der Artikel 8 zum Schutz personenbezogener Daten in der Europäischen Grundrechtecharta lässt. Dinge wie Zweckbindung, Einwilligung, Auskunftsrecht und weiteres sind dort einzeln aufgelistet. Man kann sie also gar nicht ohne weiteres abschaffen. Der Gesetzgeber kann sie besser oder schlechter ausgestalten und vielleicht bekommen wir ein ausgehöhltes Grundrecht. Aber die DSGVO ist heute schon eine ziemliche Mindestumsetzung. Man kann überlegen, welche administrativen Auflagen wirklich notwendig sind, aber bei den Rechten der Leute gibt es nicht viel „Goldplating“ obendrauf.

Deutschland und der Datenschutz

Wenn es so wenig „Edel-Regulierung“ über das benötigte Maß hinaus gibt, woher kommt dann das Image der DSGVO als dramatische Überregulierung?

Das schlechte Image der DSGVO ist ganz stark ein deutsches Phänomen, im Blick auf den Datenschutz ist Deutschland dem Silicon Valley näher als dem Rest der EU. Ich reise für Vorträge durch ganz Europa und dass man fast mit Tomaten beworfen wird, wenn man „Datenschutz“ sagt, das gibts nur in Deutschland. Findet die französische Wirtschaft die DSGVO besonders toll? Natürlich nicht. Aber einen Weltuntergang sieht sie darin auch nicht. In Deutschland ist der Datenschutz der Blitzableiter dafür geworden, dass man das mit der Digitalisierung nicht schafft. Ein ganz banales Beispiel: In Deutschland hat fast keiner eine eID, in Österreich sind wir viel weiter. Auch in Skandinavien funktioniert Digitalisierung, alles mit DSGVO.

Wie kommt es zu diesem Sonderweg? Datenschutz galt ja mal als deutsche Erfindung.

Ich glaube, das sind mehrere Faktoren. In Deutschland gibt es eine riesige Compliance-Industrie, die immer neue „Probleme“ zum Überleben braucht. Mir hat mal einer der großen Compliance-Anbieter gesagt: „Herr Schrems, Sie müssen verstehen, Compliance-Bedarf gibt es nicht – Compliance-Bedarf wird kreiert.“ Also hält man hunderte Vorträge, wie schlimm das alles ist mit dem Datenschutz, und dann müssen alle armen Unternehmen schnell in die Compliance-Beratung kommen. Mit der DSGVO ist ein riesiger Kropf an sehr schlechter Beratung entstanden – aus dieser Beratung kommt dann auch oft irgendein angebliches „Verbot“, das gar nicht in der DSGVO steht.

Hinzu kommt, dass die DSGVO dank der Cookie-Banner das einzige Digitalgesetz ist, das alle kennen. Mir kommt es so vor, dass sich in Deutschland schlussendlich eine Kultur entwickelt hat, dass man mehr Freude am Problem als an der Lösung hat – dafür eignet sich Datenschutz super. Zusammengenommen hat man damit einen perfekten Sturm im Wasserglas.

Von den Cookie-Bannern sind alle genervt, weil sie keine echte Selbstbestimmung ermöglichen und ständig weggeklickt werden müssen.

Beim Datenschutz ist das Narrativ, mit dem Nutzerinnen jeden Tag zu tun haben, leider komplett den Unternehmen überlassen. Es ist deren Entscheidung, dass sie das Design so scheiße machen, dass man am Ende genervt möglichst auf „Alles akzeptieren“ klickt. Die Industrie nennt das euphemistisch „Consent Optimization“. Aber verantwortlich gemacht wird der europäische Gesetzgeber. Genau wie bei den E-Mails, die damals zum Start der DSGVO alle Unternehmen geschickt haben. Da hieß es immer: „Wegen der DSGVO brauchen wir jetzt ihre Einwilligung“. Ehrlich wäre gewesen: „Wir verarbeiten seit Jahren illegal Ihre Daten ohne Einwilligung, aber jetzt haben wir Panik, deshalb brauchen wir jetzt schnell noch Ihre Einwilligung.“

Mehr Regulierung für Datenkonzerne, weniger für kleine Unternehmen

Wo müsste eine Reform ansetzen?

Das Wichtigste ist, dass wir die mangelnde Differenzierung durch den One-Size-Fits-All-Ansatz wegkriegen. Dass die DSGVO allen Akteuren die gleichen Anforderungen vorschreibt, hatte die Industrie damals in den Verhandlungen zur DSGVO durchgesetzt. Das Lobbying in Brüssel wird von den ganz Großen dominiert und die haben sich gedacht: Mittelschwere Regeln für alle sind besser als einfachere Regeln für kleine Player, aber Hardcore-Regeln für uns. Und dann war natürlich immer das Argument, dass der Bäcker an der Ecke nicht zu sehr leiden darf, weshalb diese einheitlichen Regeln lieber ein niedriges Niveau haben sollten. Am Ende ist es nun so, als gäbe es nur einen Führerschein, und den braucht man als LKW-Fahrer sowie als Fünfjähriger, der gerade Fahrradfahren lernt.

Wie sähe eine abgestufte Variante aus?

Ich denke an ein Drei-Stufen-Modell. Da hätte man härtere Regeln für die paar Unternehmen, deren Geschäft im Kern auf Daten basiert, von den großen Plattformen über Datenhändler bis zur Schufa. Für ein paar Prozent anderer großer Unternehmen, die einfach viele Daten oder sensible Daten haben, würde eine mittlere Variante gelten – so etwa die jetzige DSGVO. Und für 90 Prozent der Wirtschaft, die fast nichts mit Daten machen, außer ihren Betrieb aufrechtzuerhalten, könnte man den Verwaltungsaufwand im Großen und Ganzen abdrehen. Natürlich müssen die Kernregeln beibehalten werden, aber zum Beispiel bei Dokumentationspflicht ginge viel – da steckt auch die meiste sinnlose Arbeit für Unternehmen drin.

Wie würde die Entlastung konkret aussehen?

Wir haben eine Umfrage mit 500 betrieblichen Datenschutzbeauftragten gemacht und sie gefragt, welche Bereiche ihren Unternehmen viel Arbeit machen und welche viel Schutz bringen. Und da hat sich gezeigt, dass man unter anderem auf viele Dokumentationspflichten verzichten könnte. Die sind ohnehin eher als typischer Brüsseler Kompromiss entstanden: Wenn man schon keine strengen Regeln einführt, dann muss man wenigstens viel dokumentieren. Nur bringt das für Unternehmen viel Arbeit und für die Betroffenen keinen einklagbaren Schutz – beide verlieren.

Besser wäre die Einführung einer Beweispflichtumkehr, die gibt es in der DSGVO sogar schon so halb. Unternehmen müssten dann im Streitfall beweisen, dass sie sich an die Vorgaben gehalten haben. Aber wie sie das machen, ist egal. Da bin ich eher libertär: Wie die Unternehmen ihre Compliance intern gestalten, muss der Gesetzgeber nicht regulieren. Wir haben ja auch keine Dokumentationspflicht dafür, dass ich niemanden umbringe.

„Wer die Macht hat, muss die Verantwortung tragen“

Wie könnte man kleinere Unternehmen noch entlasten?

Die DSGVO ist oft sehr abstrakt, was alle ohne Rechtsabteilung überfordert. Da könnten Formblätter und standardisierte Prozesse helfen, um die Komplexität runterzubrechen. Also zum Beispiel ein Standardformular mit den Anforderungen, die man beim Betrieb einer Website erfüllen muss. In Österreich hat es früher Muster- und Standardverordnungen für Dinge gegeben, die jedes KMU macht. Da hat man gesagt: Wenn ihr euch ans Schema F haltet, dann seid ihr auf jeden Fall gesetzeskonform. Das hat kleinen Unternehmen extrem viel Rechtssicherheit gebracht und senkt den Verwaltungsaufwand massiv.

Wenn ich solche Reformideen vorschlage, gibt es übrigens immer eine Gruppe, die gar nichts davon hält: Anwälte und Compliance-Leute, denn die machen mit genau dieser Unsicherheit für Unternehmen sehr viel Geld. Diese Bürokratie wird oft viel mehr zwischen Unternehmen und ihren Beratern produziert als zwischen Betroffenen und Unternehmen.

Auch bei der Compliance zwischen Unternehmen siehst du Vereinfachungspotenzial, wenn zum Beispiel eine Firma Office-Produkte von Microsoft oder Cloud-Dienste von Amazon oder Google nutzt.

Genau, da hat die DSGVO nämlich ein ganz absurdes System, dass nicht Microsoft oder Google oder irgendwelche Cloud-Anbieter direkt unter das Gesetz fallen, sondern du als einzelner Unternehmer einen Vertrag mit ihnen schließt, dass sie sich an das Gesetz halten würden.

Die sogenannten Auftragsdatenverarbeitungsverträge.

In Europa gibt es Millionen dieser Verträge, die alle abgeschlossen, gemanagt und überprüft werden müssen. Der Effekt ist, dass wir zwar eine lokale Schule verklagen können, die illegale Office-Produkte von Microsoft einsetzt, aber Microsoft direkt angreifen können wir nicht. Die Schule hat aber natürlich null Kompetenz, de facto verantwortlich ist eigentlich Microsoft. Selbst Staaten haben aktuell keine Chance, die Verträge zu ändern – sollen aber dafür haften.

Und das ist ein Grundproblem der DSGVO: Schon im römischen Recht sagte man, dass derjenige die Verantwortung tragen soll, der die Macht darüber hat. Bei der DSGVO aber klaffen Macht und Verantwortung auseinander. Was wir bräuchten, wäre eine Datenschutzhaftung der großen Plattformunternehmen, dass sie gesetzeskonforme Produkte anbieten. Das würde extrem viel Druck von den normalen Unternehmen nehmen. Das sind genau die Dinge, wo alle in Europa von ganz konservativer Seite bis zu ganz linker Seite sagen können: Ja, das ergibt Sinn, dass Microsoft und nicht ein KMU dafür haftet. Eine solche Reform könnten wir mit wenig Aufwand umsetzen.

„Eine breite Einigung bei der Reform wäre möglich“

Auf der anderen Seite schlägst du Verschärfungen für Datenkonzerne vor. Wie sähen die aus?

Bei den ganz Großen funktioniert die DSGVO nicht. Da bräuchten wir zusätzliche Instrumente wie eine Gewinnabschöpfung. Die aktuelle Höchststrafe von vier Prozent für Datenschutzverstöße ist weit weniger als das, was Meta & Co. mit der illegalen Datenverarbeitung verdienen. Die sehen das einfach als 4-prozentige Steuer, nicht als Strafe. Die Gewinnabschöpfung bräuchte es schon allein aus Wettbewerbsgründen, damit man nicht mit illegal erwirtschafteten Gewinnen den anderen Wettbewerbern davonläuft.

Was bräuchte es noch?

Extrem wichtig wäre eine Art externe TÜV-Kontrolle. In anderen technisch hochkomplexen Bereichen haben wir Prüfungen an unabhängige Stellen ausgelagert. Wenn zum Beispiel eine Lift-Anlage oder auch nur ein Auto betrieben wird. Im Datenschutz gibt es aktuell praktisch nur interne Prüfungen, wo alles durchgewunken wird, was der Chef will. Theoretisch gibt es die Aufsichtsbehörden, die aber weder die nötige technische Fachkompetenz noch die Kapazitäten für umfangreiche Prüfungen haben. Zunehmend merkt man auch, dass einige Behörden politisch nicht prüfen wollen.

Eigentlich müsste das so laufen wie bei der jährlichen Prüfung von Unternehmensfinanzen, selbst wenn das natürlich auch nicht immer perfekt funktioniert, siehe Wirecard. Aber dann gäbe es immerhin deutlich mehr Druck, etwa wenn man sicherstellt, dass die Zertifizierungsbude ihre Lizenz verliert, wenn sich später rausstellt, dass es bei einem geprüften Unternehmen doch massenhafte Rechtsverletzungen gab. So hätte man genug Druck auf allen Playern, dass sie ihre Arbeit vernünftig machen. Den meisten Menschen in Deutschland dürfte doch wichtiger sein, dass das Scoring-Modell der Schufa regelmäßig vernünftig geprüft wird, als dass deren interne Bilanzen geprüft werden.

Für die Großen müssten auch andere Transparenzpflichten gelten, die müssten viel detaillierter offenlegen, was sie mit unseren Daten machen.

Was du hier gerade skizziert hast, kursiert in der Datenschutzszene seit einiger Zeit manchmal als „Schrems-Voss-Vorschlag“. Der CDU-Digitalpolitiker Axel Vosshatte nämlich etwas in dieser Richtung auf LinkedIn gepostet. Habt ihr das zusammen ausgearbeitet?

Das sind alles Dinge, die ich schon seit zehn Jahren vorschlage, da ist eigentlich nichts Neues dran. Es gab neulich eine Diskussionsveranstaltung mit Axel Voss. Eigentlich stehen wir uns politisch eher nicht nahe, aber er hat bei diesen Punkten vieles ähnlich gesehen. Das freut mich natürlich, weil ich finde, dass das die Eleganz dieser Vorschläge gerade in Zeiten polarisierter Politik ist, dass sie eben soweit logisch und sinnvoll sind, dass sie auch von Konservativen geteilt werden. Es gibt sicher zehn oder zwanzig Prozent im Datenschutz, da kommen wir nicht zusammen. Aber konzentrieren wir uns doch erst mal auf die achtzig Prozent, bei denen eine schnelle und breite Einigung möglich ist. Über den Rest können für uns dann noch immer streiten.

„Mit KI wird zum ersten Mal Realität, wovor der Datenschutz uns schützen sollte“

Jetzt sieht die Realität ganz anders aus: Mit dem sogenannten „digitalen Omnibus“ will die EU-Kommission Teile der DSGVO in großer Eile und ohne Konsens-Suche ändern. Ihr bei noyb kritisiert die Pläne hart.

Viele Teile des digitalen Omnibusses wurde offenbar von Leuten geschrieben, die keine Ahnung von der DSGVO oder Praxis haben. Wir sehen hier wirklich einen teilweisen Zusammenbruch der Fachbeamtenschaft in Brüssel. Der Vorschlag erfüllt nicht mal den Zweck, für den er gemacht wurde, nämlich die Wirtschaft zu fördern. Die Logik der meisten Lobbyisten in Brüssel ist: Je schwammiger das Gesetz, desto besser für die Unternehmen. Für den Großteil der Wirtschaft wird das aber nichts bringen.

Unsere Umfragen unter betrieblichen Datenschutzbeauftragten zeigen, dass Unsicherheit genau das ist, was sie nicht brauchen. Sie brauchen klare Regeln. Von Schwammigkeit profitieren nur große Konzerne mit starken Rechtsabteilungen. Aber für die europäische Wirtschaft, die hauptsächlich aus Mittelständlern und kleinen Unternehmen besteht, ist das Gift. Das gilt auch für die vorgeschlagenen Regelungen zu KI und Datenschutz.

Die EU-Kommission will klarstellen, dass KI-Systeme mit personenbezogenen Daten trainiert und betrieben werden dürfen, ohne dass die Betroffenen eingewilligt haben. Rechtsgrundlage wäre dann das „berechtigte Interesse“, Nutzer:innen hätten die Möglichkeit zum Opt-Out.

Dabei bleiben aber die Anforderungen der DSGVO an die Interessenabwägung im Einzelfall bestehen – man weiß also weiterhin nicht, was jetzt legal ist und was nicht. Wenn man den kleinen und europäischen Unternehmen wirklich helfen will, dann würde man eine klare, neue Regelung einführen: Diese zehn Punkte müssen erfüllt werden, wenn man mit Kundendaten KI trainieren will. Wenn man die Anforderungen erfüllt, ist es legal – und wenn nicht, dann nicht.

Wie sähe das konkret aus?

Es bräuchte zum Beispiel Datenreinigung nach dem Stand der Technik. Es bräuchte Löschkonzepte. Es bräuchte eine Verpflichtung, das System zu re-trainieren, wenn es trotz Datenreinigung im Ausnahmefall problematische Daten ausspuckt, so wie neulich, als ein Chatbot eine Person als Mörder diffamiert hat. Das wäre wahrscheinlich machbar, wenn auch mit hohen Hürden. Aber wir haben mit KI zum ersten Mal eine Situation, in der Realität wird, wovor uns der Datenschutz ursprünglich schützen sollte.

Das musst du erklären. Inwiefern?

Die Grundprinzipien der DSGVO stammen aus den 70er- und 80er-Jahren. Damals gab es die Sorge, dass es irgendwann ein technisches System geben könnte, das viele Daten aufsaugt, darauf basierend Entscheidungen über uns trifft und niemand kann nachvollziehen, warum. Genau das macht KI. Um uns vor so etwas zu schützen, wurden damals Datenschutzrechte wie die Zweckbindung, Transparenz, Datenrichtigkeit oder Datenminimierung etabliert.

Daten, die man zu einem Zweck hergegeben hat, sollen nicht einfach für etwas anderes verwendet werden. Wenn am Ende etwas Falsches rauskommt, hat man ein Recht auf Berichtigung. Und man hat ein Auskunftsrecht, um herauszufinden, welche Daten eingeflossen sind. All diese Rechte ergeben bei KI-Systemen jetzt das erste Mal so richtig Sinn. Und genau jetzt sollen sie abgeräumt werden, weil sie KI im Weg stehen?! Das ist so, als hätten wir Geschwindigkeitsbegrenzungen festgelegt, als wir noch Pferdekutschen hatten, und jetzt, wo der Porsche da ist, schaffen wir sie einfach ab – weil sie der „Innovation“ im Weg stehen.

„Wir haben nahezu einen Totalausfall der Datenschutzbehörden“

Du sieht auch bei Rechtsdurchsetzung des Datenschutzes Reformbedarf. Wo liegt hier das Problem?

Eines der Probleme ist der nahezu Totalausfall der Datenschutzbehörden. Es gibt natürlich Ausnahmen, aber den meisten fehlt der politische Wille, es fehlen die budgetären Mittel oder das kompetente Personal. Die Leitungsposten der Behörden werden immer öfter nicht unabhängig, sondern politisch besetzt. Eine zweite Amtszeit gibt es nur bei einem wirtschaftsfreundlichen Kurs. Das führt dazu, dass es in Europa nicht mal bei 1,3 Prozent der DSGVO-Beschwerden überhaupt zu einem Bußgeld kommt. Inzwischen herrscht eine Logik des Rechtsbruches vor. In der juristischen Bubble interessiert die DSGVO keine Sau mehr, weil der Anwalt, der dich berät, mehr kostet als die potenzielle Strafe.

Die Gerichte sind auch ein Problem. Viele Richter bekommen erst mal Panik, wenn sie von Computern und DSGVO hören, denn das hatten sie nie an der Uni. Dann lesen sie die Zeitung und haben alle das Gefühl, dass die böse DSGVO viel zu hart für Unternehmen ist. Das führt dazu, dass man viele DSGVO-Verfahren verliert, nicht aus rechtlichen, sondern aus emotionalen Gründen. Immer wieder streichen Gerichte auch die Entscheidungen der Behörden und deren Bußgelder zusammen.

Den Unternehmen kommt zugute, dass Gerichtsverfahren in den meisten EU-Ländern teuer sind. Wenn die Aufsicht wegen einer Entscheidung vor Gericht gezerrt wird, dann fast ausschließlich von Unternehmen und fast nie von Betroffenen. Das hat einen Chilling-Effekt auf die Aufsichtsbehörden: Vor Bürgern brauchen sie sich nicht fürchten, vor Unternehmen schon. Ergo: Lieber mal nichts tun.

Hast du zum Schluss noch einen Lichtblick, was dir im Datenschutz gerade Hoffnung macht?

Erstens die Grundrechtecharta. Datenschutz ist in der EU ein Grundrecht und der Kernbereich kann nicht abgeschafft werden, sofern nicht plötzlich alle EU-Mitgliedstaaten einstimmig die Charta ändern.

Zweitens die Möglichkeit eines zivilrechtlichen Vorgehens bei Datenschutzverstößen und die neuen EU-Sammelklagen. Wir sind damit irgendwann nicht mehr auf die Datenschutzbehörden angewiesen. Ich finde das politisch nicht schön, hier auch mit Sammelklagen anzufangen. Lieber wäre mir, wenn alles von vorneherein rechtskonform ist und die Aufsichtsbehörden das auch sicherstellen, statt dass man im Nachhinein bei Problemen auf Schadenersatz klagt. Aber das ist leider eine Sprache, die auch die großen US-Konzerne verstehen. Selbst bei kleinen Schadensersatzsummen von wenigen hundert Euro kommt man bei Millionen Betroffenen schnell auf interessante Summen.

Wir haben das mit noyb in Österreich auch schon mal getestet, da haben uns viele gesagt: Ich will das Geld gar nicht, ich will nur, dass man mal was gegen die Konzerne macht. Das war also ein sehr anderes Bild als das der geldgierigen Kläger, das manche zeichnen. Das hat mich sehr ermutigt.

Vielen Dank für deine Arbeit und das Gespräch.

Ingo Dachwitz ist Journalist und Kommunikationswissenschaftler. Seit 2016 ist er Redakteur bei netzpolitik.org und u.a. Ko-Host des Podcasts Off/On. Er schreibt häufig über Datenmissbrauch und Datenschutz, Big Tech, Plattformregulierung, Transparenz, Lobbyismus, Online-Werbung, Wahlkämpfe und die Polizei. 2024 wurde er mit dem Alternativen Medienpreis und dem Grimme-Online-Award ausgezeichnet. Ingo ist Mitglied des Vereins Digitale Gesellschaft sowie der Evangelischen Kirche. Seit 02/2025 ist sein Buch erhältlich: “Digitaler Kolonialismus: Wie Tech-Konzerne und Großmächte die Welt unter sich aufteilen”. Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, FragDenStaat. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

TikTok monitored Grindr activity through third-party tracker, privacy group alleges

https://fed.brid.gy/r/https://interaksyon.philstar.com/trends-spotlights/2025/12/17/306519/tiktok-monitored-grindr-activity-through-third-party-tracker-privacy-group-alleges/