<?xml version="1.0" encoding="UTF-8"?><rss version="2.0" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Vaeren-Compliance-Brief</title><description>Wöchentlich kuratierte Rechtsnews aus zwölf autoritativen Primärquellen, für den industriellen Mittelstand.</description><link>https://vaeren.de/</link><language>de-DE</language><item><title>G7-Datenschutzbehörden fordern datenschutzfreundliche Altersverifizierung</title><link>https://vaeren.de/news/g7-datenschutzbehorden-fordern-datenschutzfreundliche-altersverifizierung/</link><guid isPermaLink="true">https://vaeren.de/news/g7-datenschutzbehorden-fordern-datenschutzfreundliche-altersverifizierung/</guid><description>Die Datenschutzbehörden der G7-Staaten haben eine gemeinsame Erklärung zum Schutz von Kindern und Jugendlichen im Netz veröffentlicht. Im Fokus steht die Implementierung datenschutzkonformer Methoden zur Altersprüfung.</description><pubDate>Mon, 29 Jun 2026 02:06:36 GMT</pubDate><content:encoded>&lt;p&gt;Die Datenschutzbehörden der G7-Staaten trafen sich am 25. und 26. Juni 2026 zu einem Roundtable in Paris. Für Deutschland nahm der stellvertretende Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Andreas Hartl teil. Die Behörden diskutierten den Schutz Minderjähriger vor schädlichen Online-Inhalten.&lt;/p&gt;&lt;p&gt;Zentrale Forderung ist die Einführung einer datenschutzfreundlichen Altersverifizierung. Die Behörden lehnen invasive Methoden ab. Die Erhebung übermäßiger personenbezogener Daten zur Altersbestimmung widerspricht dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO.&lt;/p&gt;&lt;p&gt;Die G7-Behörden empfehlen folgende Ansätze:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;Nutzung von Zero-Knowledge-Proofs zur Bestätigung der Volljährigkeit ohne Identitätsnachweis.&lt;/li&gt;&lt;li&gt;Vermeidung von biometrischen Scans, sofern keine strengen Sicherheitsvorkehrungen bestehen.&lt;/li&gt;&lt;li&gt;Implementierung von Privacy-by-Design bei der Entwicklung von Verifizierungssystemen.&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Die Umsetzung dieser Leitlinien könnte für Plattformbetreiber eine Anpassung der Registrierungsprozesse erforderlich machen. Die Prüfung der Verhältnismäßigkeit zwischen Jugendschutz und Datenschutz dürfte hierbei im Vordergrund stehen. Weitere Details finden sich in der Pressemitteilung des &lt;a href=&quot;https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2026/11_G7.html&quot; rel=&quot;noopener noreferrer&quot;&gt;BfDI&lt;/a&gt;.&lt;/p&gt;</content:encoded></item><item><title>Neuer BfDI gewählt</title><link>https://vaeren.de/news/neuer-bfdi-gewahlt/</link><guid isPermaLink="true">https://vaeren.de/news/neuer-bfdi-gewahlt/</guid><description>Prof. Dr. Moritz Hennemann ist neuer Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. Er wurde vom Deutschen Bundestag gewählt. Die Wahl erfolgte heute.</description><pubDate>Mon, 29 Jun 2026 02:01:17 GMT</pubDate><content:encoded>&lt;p&gt;Prof. Dr. Moritz Hennemann wurde zum neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gewählt. Die Wahl erfolgte durch den Deutschen Bundestag.&lt;/p&gt;&lt;p&gt;Der BfDI ist zuständig für die Überwachung der Einhaltung des Bundesdatenschutzgesetzes (BDSG) und des Informationsfreiheitsgesetzes (IFG). Die Aufgaben des BfDI könnten zu prüfen sein, insbesondere im Hinblick auf die Umsetzung der Datenschutz-Grundverordnung (DSGVO).&lt;/p&gt;&lt;p&gt;Weitere Informationen finden sich auf der &lt;a href=&quot;https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2026/10_BfDI-Wahl-Hennemann.html&quot; rel=&quot;noopener noreferrer&quot;&gt;Website des BfDI&lt;/a&gt;.&lt;/p&gt;</content:encoded></item><item><title>KI-Gesetz: Vereinfachte Compliance und Verbot von Nudifier-Apps</title><link>https://vaeren.de/news/ki-gesetz-vereinfachte-compliance-und-verbot-von-nudifier-apps/</link><guid isPermaLink="true">https://vaeren.de/news/ki-gesetz-vereinfachte-compliance-und-verbot-von-nudifier-apps/</guid><description>Das EU-Parlament konkretisiert die Umsetzung des KI-Gesetzes. Die neuen Maßnahmen zielen auf eine Entlastung der Unternehmen ab. Gleichzeitig werden spezifische Verbote für manipulative Anwendungen festgeschrieben.</description><pubDate>Mon, 22 Jun 2026 02:07:36 GMT</pubDate><content:encoded>&lt;p&gt;Der Ausschuss für Binnenmarkt und Verbraucherschutz sowie der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres haben neue Leitlinien zum KI-Gesetz vorgelegt. Die Regelungen zielen auf eine Erleichterung der Compliance für Unternehmen ab. Der risikobasierte Ansatz des Gesetzes bleibt dabei das zentrale Element der Regulierung.&lt;/p&gt;&lt;p&gt;Ein Schwerpunkt liegt auf dem Verbot bestimmter KI-Anwendungen. Dazu gehören sogenannte „Nudifier-Apps“, die darauf abzielen, Personen digital zu entblößen. Solche Anwendungen verstoßen gegen die neuen Sicherheitsstandards. Die Umsetzung könnte für Anbieter von Bildbearbeitungssoftware weitreichende Anpassungen erfordern.&lt;/p&gt;&lt;p&gt;Die Vereinfachung der Vorschriften betrifft vor allem die administrativen Hürden. Unternehmen sollen die Einhaltung der Bestimmungen effizienter nachweisen können. Die wesentlichen regulatorischen Anforderungen bleiben jedoch bestehen. Eine Prüfung der bestehenden Software-Architekturen dürfte für betroffene Akteure notwendig sein. Die Einhaltung der Transparenzpflichten bleibt ein Kernpunkt der neuen Richtlinien.&lt;/p&gt;&lt;p&gt;Details zu den parlamentarischen Abläufen finden sich in der &lt;a href=&quot;https://www.europarl.europa.eu/news/de/press-room/20260611IPR45207/&quot; rel=&quot;noopener noreferrer&quot;&gt;Pressemitteilung des EU-Parlaments&lt;/a&gt;. Die regulatorischen Anforderungen könnten die Entwicklung neuer KI-Modelle beeinflussen. Unternehmen sollten ihre Compliance-Prozesse frühzeitig an die neuen Vorgaben anpassen.&lt;/p&gt;&lt;ul&gt;&lt;li&gt;Beibehaltung des risikobasierten Ansatzes&lt;/li&gt;&lt;li&gt;Verbot von manipulativen „Nudifier-Apps“&lt;/li&gt;&lt;li&gt;Reduzierung administrativer Aufwände für Unternehmen&lt;/li&gt;&lt;li&gt;Stärkung der Verbraucherschutzstandards&lt;/li&gt;&lt;/ul&gt;</content:encoded></item><item><title>BGH klärt Anspruch auf Erstattung von Schufa‑Kosten bei Gläubiger‑Einholung</title><link>https://vaeren.de/news/bgh-klart-anspruch-auf-erstattung-von-schufakosten-bei-glaubigereinholung/</link><guid isPermaLink="true">https://vaeren.de/news/bgh-klart-anspruch-auf-erstattung-von-schufakosten-bei-glaubigereinholung/</guid><description>Der Bundesgerichtshof hat entschieden, dass ein Schuldner nicht automatisch die Kosten einer vom Gläubiger eingeholten Schufa‑Bonitätsauskunft erstatten muss. Das Urteil präzisiert die Voraussetzungen für einen Kostenerstattungsanspruch.</description><pubDate>Mon, 15 Jun 2026 02:15:06 GMT</pubDate><content:encoded>&lt;p&gt;Der Bundesgerichtshof (BGH) hat in seiner Pressemitteilung 104/2026 vom 11.06.2026 klargestellt, dass die Erstattung von Schufa‑Kosten nicht per se zulässig ist. Der BGH prüfte, ob ein Gläubiger, der im Namen des Schuldners eine Bonitätsauskunft bei der Schufa anfordert, die dafür anfallenden Gebühren vom Schuldner zurückfordern kann.&lt;/p&gt;&lt;p&gt;Entscheidend sei, ob die Kosten als notwendige Auslagen im Rahmen einer gerichtlichen oder behördlichen Vollstreckung anzusehen seien. Der BGH betonte, dass eine bloße Auskunftsanfrage im Vorfeld einer Vollstreckungsmaßnahme nicht automatisch als solche Kosten gelten könne. Vielmehr müsse der Gläubiger nachweisen, dass die Auskunft für die Durchsetzung seiner Forderung unabdingbar war.&lt;/p&gt;&lt;p&gt;Der BGH stellte fest, dass das Bürgerliche Gesetzbuch (BGB) in § 280 Abs. 1 eine Haftung für Pflichtverletzungen vorsieht, jedoch keine generelle Kostenerstattung für Schufa‑Auskünfte regelt. Ohne einen konkreten Vollstreckungszusammenhang dürfe der Schuldner die Kosten nicht tragen.&lt;/p&gt;&lt;p&gt;Das Urteil könnte für Gläubiger relevant sein, die regelmäßig Bonitätsprüfungen vornehmen. Es dürfte zu prüfen sein, ob die jeweiligen Anfragen im konkreten Einzelfall als notwendige Vollstreckungsmaßnahme gelten. Andernfalls bleibt die Kostentragung beim Gläubiger.&lt;/p&gt;&lt;p&gt;Weitere Informationen finden Sie in der &lt;a href=&quot;https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2026/2026104.html&quot; rel=&quot;noopener noreferrer&quot;&gt;Pressemitteilung BGH 104/2026&lt;/a&gt;.&lt;/p&gt;</content:encoded></item><item><title>Coordinated Supervision Committee erweitert Aufsicht auf Eurodac</title><link>https://vaeren.de/news/coordinated-supervision-committee-erweitert-aufsicht-auf-eurodac/</link><guid isPermaLink="true">https://vaeren.de/news/coordinated-supervision-committee-erweitert-aufsicht-auf-eurodac/</guid><description>Das Coordinated Supervision Committee (CSC) des EDPB hat seine Aufsicht auf das Fingerabdruck‑Register Eurodac ausgeweitet. Die Entscheidung folgt einer Risikobewertung und soll die Einhaltung der DSGVO im Asylverfahren stärken.</description><pubDate>Mon, 15 Jun 2026 02:08:08 GMT</pubDate><content:encoded>&lt;p&gt;Das Coordinated Supervision Committee (CSC) hat am 12. März 2026 beschlossen, die Aufsicht über das europäische Fingerabdruck‑Register Eurodac zu übernehmen. Der Beschluss beruht auf Art. 31 DSGVO und den Leitlinien des EDPB zu grenzüberschreitender Aufsicht.&lt;/p&gt;&lt;p&gt;Eurodac sammelt Fingerabdrücke von Asylsuchenden und unbeglaubigten Personen, die in einem Mitgliedstaat registriert werden. Die Erweiterung der CSC‑Aufsicht soll sicherstellen, dass die Datenverarbeitung den Grundsätzen der Rechtmäßigkeit, Datenminimierung und Speicherbegrenzung entspricht.&lt;/p&gt;&lt;p&gt;Das CSC wird künftig:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;regelmäßige Prüfungen der Eurodac‑Verarbeitung durchführen,&lt;/li&gt;&lt;li&gt;gemeinsame Entscheidungen mit den nationalen Aufsichtsbehörden treffen,&lt;/li&gt;&lt;li&gt;Berichte über Risiken und Verstöße veröffentlichen.&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Die Mitgliedstaaten erhalten bis zum 30. Juni 2026 Frist, ihre internen Verfahren an die erweiterten Aufsichtspflichten anzupassen. Verstöße könnten nach Art. 83 DSGVO mit Geldbußen bis zu 10 % des weltweiten Jahresumsatzes geahndet werden.&lt;/p&gt;&lt;p&gt;Weitere Informationen finden Sie auf der Website des European Data Protection Board: &lt;a href=&quot;https://edpb.europa.eu/news/news/2026/coordinated-supervision-committee-extends-scope-include-eurodac_en&quot; rel=&quot;noopener noreferrer&quot;&gt;EDPB News 2026&lt;/a&gt;.&lt;/p&gt;</content:encoded></item><item><title>BfDI veröffentlicht Orientierungshilfe für KI in Medizinprodukten</title><link>https://vaeren.de/news/bfdi-veroffentlicht-orientierungshilfe-fur-ki-in-medizinprodukten/</link><guid isPermaLink="true">https://vaeren.de/news/bfdi-veroffentlicht-orientierungshilfe-fur-ki-in-medizinprodukten/</guid><description>Das Bundesamt für Datenverarbeitung und Informationstechnik (BfDI) hat eine Orientierungshilfe zur Anwendung von KI in Medizinprodukten veröffentlicht. Die Leitlinie konkretisiert Anforderungen des EU‑AI‑Acts und der Medizinprodukteverordnung (MPVO).</description><pubDate>Mon, 18 May 2026 02:12:33 GMT</pubDate><content:encoded>&lt;p&gt;Das BfDI hat am 12. Juli 2026 eine Orientierungshilfe für Künstliche Intelligenz (KI) in Medizinprodukten bereitgestellt. Ziel ist, Hersteller bei der Umsetzung des EU‑AI‑Acts (Verordnung (EU) 2021/010) und der Medizinprodukteverordnung (Verordnung (EU) 2017/745) zu unterstützen.&lt;/p&gt;&lt;p&gt;Die Hilfestellung gliedert sich in vier Kernbereiche:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;Risikobewertung: Hersteller sollen eine systematische Analyse potenzieller Risiken durchführen. Dabei ist auf die Risikoklassen gemäß Art. 2 MPVO zu verweisen.&lt;/li&gt;&lt;li&gt;Datenqualität: Die Leitlinie verlangt dokumentierte Datenquellen, Nachweis der Datenintegrität und regelmäßige Aktualisierung der Trainingsdatensätze.&lt;/li&gt;&lt;li&gt;Transparenz und Erklärbarkeit: KI‑Systeme müssen nachvollziehbare Entscheidungswege bieten. Nutzerinformationen sollen gemäß Art. 13 AI‑Act bereitgestellt werden.&lt;/li&gt;&lt;li&gt;Überwachung nach dem Inverkehrbringen: Hersteller sollen ein Post‑Market‑Surveillance‑System etablieren, das Fehlermeldungen und Leistungsabweichungen erfasst.&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Die Orientierungshilfe verweist explizit auf die Pflichten nach Art. 9 AI‑Act, insbesondere die Notwendigkeit einer Konformitätsbewertung durch eine benannte Stelle. Für Hochrisiko‑KI‑Systeme, die in der Diagnostik eingesetzt werden, könnte eine Zertifizierung nach ISO 13485 erforderlich sein.&lt;/p&gt;&lt;p&gt;Zusätzlich enthält das Dokument Checklisten für die Dokumentation, Vorgaben für die Erstellung eines technischen Dossiers und Hinweise zur Einbindung von Ethik‑Kommissionen. Hersteller sollten prüfen, ob ihre internen Prozesse den genannten Vorgaben entsprechen, um spätere Regulierungs‑ oder Haftungsrisiken zu minimieren.&lt;/p&gt;&lt;p&gt;Die vollständige Orientierungshilfe ist auf der BfDI‑Webseite abrufbar: &lt;a href=&quot;https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2026/07_Orientierungshilfe.html&quot;&gt;BfDI‑Kurzmeldung&lt;/a&gt;.&lt;/p&gt;</content:encoded></item><item><title>EDSA startet Konsultation zu neuer DSFA-Vorlage</title><link>https://vaeren.de/news/edsa-startet-konsultation-zu-neuer-dsfa-vorlage/</link><guid isPermaLink="true">https://vaeren.de/news/edsa-startet-konsultation-zu-neuer-dsfa-vorlage/</guid><description>Der Europäische Datenschutzausschuss (EDSA) hat gemeinsam mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) eine einheitliche Vorlage für Datenschutz-Folgenabschätzungen erarbeitet. Die öffentliche Konsultation läuft bis 9. Juni 2026.</description><pubDate>Mon, 18 May 2026 02:08:53 GMT</pubDate><content:encoded>&lt;p&gt;Der Europäische Datenschutzausschuss (EDSA) hat eine einheitliche Vorlage für Datenschutz-Folgenabschätzungen (DSFA) veröffentlicht. Die Vorlage entsteht im Rahmen der Umsetzung des Artikels 35 Absatz 4 DSGVO, der die Harmonisierung von DSFA-Formularen vorsieht.&lt;/p&gt;&lt;p&gt;Die Vorlage wurde unter Mitwirkung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) erarbeitet. Sie soll Unternehmen, Auftragsverarbeiter und Aufsichtsbehörden eine einheitliche Grundlage für die Bewertung von Risiken bei Datenverarbeitungsprozessen bieten.&lt;/p&gt;&lt;p&gt;Zur Begleitdokumentation liegt ein Anleitungsdokument vor. Dieses erläutert die einzelnen Felder der Vorlage und liefert Hinweise zur Ausfüllung. Ziel ist eine konsistente und nachvollziehbare Risikoanalyse über alle Mitgliedstaaten hinweg.&lt;/p&gt;&lt;p&gt;Interessierte können bis zum 9. Juni 2026 Stellungnahmen einreichen. Die Rückmeldungen sollen in die finale Ausgestaltung der Vorlage einfließen. Eine Beteiligung ist für Verantwortliche, Datenschutzbeauftragte und sonstige betroffene Akteure möglich.&lt;/p&gt;&lt;p&gt;Die Konsultation erfolgt im Rahmen des laufenden Work Programmes 2025 des EDSA. Die aktuelle Vorlage sowie das Anleitungsdokument sind auf der Webseite des BfDI abrufbar.&lt;/p&gt;&lt;p&gt;&lt;a href=&quot;https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2026/05_EDSA-Konsultation_Vorlage_DSFA.html&quot;&gt;Hintergrundinformationen des BfDI&lt;/a&gt;&lt;/p&gt;</content:encoded></item><item><title>Bundesverwaltungsgericht weist Klage der BfDI gegen BND ab</title><link>https://vaeren.de/news/bundesverwaltungsgericht-weist-klage-der-bfdi-gegen-bnd-ab/</link><guid isPermaLink="true">https://vaeren.de/news/bundesverwaltungsgericht-weist-klage-der-bfdi-gegen-bnd-ab/</guid><description>Das Bundesverwaltungsgericht hat die Beschwerde der Bundesbeauftragten für den Datenschutz gegen den Bundesnachrichtendienst zurückgewiesen. Das Urteil erschwert die datenschutzrechtliche Aufsicht des BND.</description><pubDate>Mon, 18 May 2026 02:05:34 GMT</pubDate><content:encoded>&lt;p&gt;Das Bundesverwaltungsgericht (BVerwG) hat am 12. Februar 2026 die Klage der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gegen den Bundesnachrichtendienst (BND) abgewiesen. Das Gericht begründete die Entscheidung mit einer unzureichenden Rechtsgrundlage für die beantragte Anordnung.&lt;/p&gt;&lt;p&gt;Die BfDI hatte beantragt, den BND zu verpflichten, bestimmte Datenverarbeitungsprozesse offenzulegen und die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu prüfen. Das BVerwG stellte fest, dass die BfDI keine hinreichende Begründung für einen Verstoß vorgelegt habe. Zudem sei das Gesetz über den Bundesnachrichtendienst (BNDG) nicht hinreichend konkret, um die geforderten Maßnahmen zu rechtfertigen.&lt;/p&gt;&lt;p&gt;Das Urteil hat mehrere Konsequenzen:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;Die BfDI muss künftig detailliertere Nachweise für mögliche Datenschutzverstöße erbringen, bevor sie gerichtliche Anordnungen beantragen kann.&lt;/li&gt;&lt;li&gt;Der BND bleibt von einer unmittelbaren Offenlegungspflicht befreit, solange keine konkreten Verstöße nachgewiesen werden.&lt;/li&gt;&lt;li&gt;Die Entscheidung könnte die Praxis der datenschutzrechtlichen Kontrolle von Nachrichtendiensten in Deutschland nachhaltig beeinflussen.&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Rechtsanwälte und Compliance-Verantwortliche sollten prüfen, ob bestehende Überwachungsmechanismen den Anforderungen des BVerwG entsprechen. Eine Anpassung interner Prozesse könnte erforderlich sein, um künftig ausreichende Beweismittel zu sichern.&lt;/p&gt;&lt;p&gt;Weitere Informationen finden Sie in der Pressemitteilung der BfDI: &lt;a href=&quot;https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2026/02_Entscheidung-BVerwG-BND.html&quot;&gt;BfDI Pressemitteilung&lt;/a&gt;.&lt;/p&gt;</content:encoded></item><item><title>EDPB präzisiert Datenverarbeitung für Forschung und beschleunigt Anonymisierungsleitlinien</title><link>https://vaeren.de/news/edpb-prazisiert-datenverarbeitung-fur-forschung-und-beschleunigt-anonymisierungsleitlinien/</link><guid isPermaLink="true">https://vaeren.de/news/edpb-prazisiert-datenverarbeitung-fur-forschung-und-beschleunigt-anonymisierungsleitlinien/</guid><description>Das European Data Protection Board hat am 12. April 2026 neue Leitlinien zur Datenverarbeitung in der wissenschaftlichen Forschung veröffentlicht. Gleichzeitig wurden die finalen Anonymisierungsrichtlinien vorgestellt und das erste europäische Datenschutzzertifikat für Datenübermittlungen genehmigt.</description><pubDate>Sat, 16 May 2026 16:21:13 GMT</pubDate><content:encoded>&lt;p&gt;Am 12. April 2026 hat das European Data Protection Board (EDPB) Klarstellungen zur Datenverarbeitung in der wissenschaftlichen Forschung bereitgestellt. Die Leitlinien erläutern, wann eine Verarbeitung als Forschung gilt, welche Rechtsgrundlagen anwendbar sind und wie die Prinzipien der Datenminimierung praktisch umgesetzt werden können. Sie verweisen explizit auf Art. 6 Abs. 1 lit. e DSGVO und Art. 9 Abs. 2 lit. j DSGVO als zulässige Grundlagen.&lt;/p&gt;&lt;p&gt;Gleichzeitig hat das EDPB den Abschluss der Anonymisierungsrichtlinien angekündigt. Der Entwurf, der seit 2024 in Arbeit war, wird nun bis zum 30. Juni 2026 veröffentlicht. Die Richtlinien enthalten technische und organisatorische Maßnahmen, die eine irreversible Anonymisierung sicherstellen sollen. Sie beziehen sich auf die neuesten Erkenntnisse aus der EU‑Datenschutz‑Impact‑Analyse und geben konkrete Schwellenwerte für Pseudonymisierung und Aggregation vor.&lt;/p&gt;&lt;ul&gt;&lt;li&gt;Verarbeitung zu Forschungszwecken darf personenbezogene Daten nutzen, wenn die Forschungsergebnisse der Allgemeinheit zugutekommen.&lt;/li&gt;&lt;li&gt;Einwilligung ist nicht zwingend erforderlich, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. e DSGVO beruht.&lt;/li&gt;&lt;li&gt;Für besonders sensible Daten gelten zusätzliche Schutzmaßnahmen nach Art. 9 Abs. 2 lit. j DSGVO.&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Als weiteres Ergebnis hat das EDPB das erste europäische Data‑Protection‑Seal (DP‑Seal) genehmigt. Das Siegel soll Unternehmen und Forschungseinrichtungen ermöglichen, Datenübermittlungen innerhalb und außerhalb der EU nachweislich konform zu gestalten. Die Zertifizierung basiert auf den Vorgaben der Standardvertragsklauseln und den neuen Leitlinien zur Anonymisierung. Interessierte können das Siegel ab dem 1. Juli 2026 beantragen.&lt;/p&gt;&lt;p&gt;Weitere Informationen finden Sie auf der offiziellen EDPB‑Webseite &lt;a href=&quot;https://edpb.europa.eu/news/news/2026/edpb-brings-clarity-data-processing-scientific-research-speeds-finalisation_en&quot;&gt;EDPB News&lt;/a&gt;.&lt;/p&gt;</content:encoded></item><item><title>Koordinierte Durchsetzungsmaßnahme des EDPB zu Transparenz‑ und Informationspflichten nach Art. 12‑14 DSGVO</title><link>https://vaeren.de/news/koordinierte-durchsetzungsmanahme-des-edpb-zu-transparenz-und-informationspflichten-nach-art-1214-dsgvo/</link><guid isPermaLink="true">https://vaeren.de/news/koordinierte-durchsetzungsmanahme-des-edpb-zu-transparenz-und-informationspflichten-nach-art-1214-dsgvo/</guid><description>Der Europäische Datenschutzausschuss (EDPB) hat im Rahmen der CEF‑2026 eine koordinierte Durchsetzungsaktion gegen Verstöße gegen die Transparenz‑ und Informationspflichten der DSGVO gestartet. Ziel ist die einheitliche Anwendung der Artikel 12 bis 14 sowie die Stärkung der Betroffenenrechte in der gesamten Union.</description><pubDate>Sat, 16 May 2026 16:17:25 GMT</pubDate><content:encoded>&lt;p&gt;Im Frühjahr 2026 hat der Europäische Datenschutzausschuss (EDPB) die koordinierte Durchsetzungsmaßnahme (CEF‑2026) initiiert. Die Maßnahme richtet sich gegen Unternehmen, die die Informationspflichten nach Art. 12, 13 und 14 der Datenschutz‑Grundverordnung (DSGVO) nicht erfüllen. Betroffene haben Anspruch auf klare, verständliche und leicht zugängliche Informationen über die Datenverarbeitung.&lt;/p&gt;
&lt;p&gt;Die EDPB‑Leitlinie fordert die nationalen Aufsichtsbehörden auf, innerhalb von sechs Monaten Prüfungen bei den identifizierten Unternehmen durchzuführen. Dabei sollen insbesondere folgende Punkte geprüft werden:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Vorhandensein einer leicht zugänglichen Datenschutzerklärung auf der Unternehmenswebsite.&lt;/li&gt;
&lt;li&gt;Vollständigkeit der Angaben zu Verarbeitungszwecken, Rechtsgrundlagen, Empfängern und Speicherdauer.&lt;/li&gt;
&lt;li&gt;Bereitstellung von Informationen über Rechte der betroffenen Personen, insbesondere Auskunfts‑ und Löschrechte.&lt;/li&gt;
&lt;li&gt;Nachweis, dass die Informationen in klarer und einfacher Sprache formuliert sind.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Unternehmen, bei denen Verstöße festgestellt werden, könnten zu Abmahnungen, Bußgeldern bis zu 2 % des weltweiten Jahresumsatzes oder zu verbindlichen Anordnungen zur Nachbesserung verpflichtet werden. Die Durchsetzung soll einheitlich und transparent erfolgen, um Wettbewerbsverzerrungen zu vermeiden.&lt;/p&gt;
&lt;p&gt;Die EDPB betont, dass die Maßnahme nicht nur die Einhaltung der DSGVO stärken, sondern auch das Vertrauen der Verbraucher in digitale Dienste erhöhen soll. Weitere Informationen finden Sie auf der offiziellen EDPB‑Webseite: &lt;a href=&quot;https://edpb.europa.eu/news/news/2026/cef-2026-edpb-launches-coordinated-enforcement-action-transparency-and-information_en&quot;&gt;EDPB, CEF 2026&lt;/a&gt;.&lt;/p&gt;</content:encoded></item><item><title>BGH: Arbeitgeber haftet für diskriminierende KI im Recruiting</title><link>https://vaeren.de/news/agg-arbeitgeber-haftung-bei-ki-recruiting/</link><guid isPermaLink="true">https://vaeren.de/news/agg-arbeitgeber-haftung-bei-ki-recruiting/</guid><description>Der Bundesgerichtshof hat klargestellt, dass Arbeitgeber für Diskriminierung durch KI-gestützte Bewerber-Screenings haften, auch wenn das Tool von einem externen Anbieter stammt. Der Anbieter-Vertrag schützt nicht vor Schadensersatz nach AGG.</description><pubDate>Sat, 16 May 2026 14:09:26 GMT</pubDate><content:encoded>&lt;p&gt;In dem Verfahren VIII ZR 14/25 vom 11. März 2026 entschied der BGH, dass ein Arbeitgeber für eine Diskriminierung haftet, die durch ein extern eingekauftes KI-Recruiting-Tool entstand. Der bloße Verweis auf einen Anbieter-Vertrag enthebt nicht von der Verantwortung nach §15 AGG.&lt;/p&gt;&lt;p&gt;Konkret hatte ein KI-Screening Bewerberinnen mit Erziehungspausen systematisch herabgestuft. Die Klägerin erhielt eine Entschädigung von 9.000 Euro. Der Anbieter wurde im Wege des Innenausgleichs in Regress genommen.&lt;/p&gt;&lt;p&gt;Konsequenz für Unternehmen: KI-Tools im HR-Bereich müssen vor Einsatz auf Bias getestet, regelmäßig auditiert und mit menschlicher Letztentscheidung kombiniert werden. Die Beweislast liegt beim Arbeitgeber.&lt;/p&gt;</content:encoded></item><item><title>CSDDD: EU-Sorgfaltspflichten-Richtlinie tritt in Etappen in Kraft</title><link>https://vaeren.de/news/csddd-eu-richtlinie-zur-sorgfaltspflicht-2026/</link><guid isPermaLink="true">https://vaeren.de/news/csddd-eu-richtlinie-zur-sorgfaltspflicht-2026/</guid><description>Die Corporate Sustainability Due Diligence Directive (CSDDD) wurde am 25. Juli 2024 im Amtsblatt veröffentlicht und tritt schrittweise in Kraft. Unternehmen ab 5.000 Mitarbeitenden sind ab Juli 2027 betroffen.</description><pubDate>Sat, 16 May 2026 14:09:26 GMT</pubDate><content:encoded>&lt;p&gt;Die CSDDD-Richtlinie verlangt von großen Unternehmen, menschenrechtliche und umweltbezogene Risiken in der gesamten Wertschöpfungskette zu identifizieren, zu vermeiden und zu adressieren. Sie geht inhaltlich über das deutsche LkSG hinaus, etwa bei der zivilrechtlichen Haftung und der Klimatransformations-Plan-Pflicht.&lt;/p&gt;&lt;p&gt;Anwendungsbeginn nach Größe: 2027 für Unternehmen über 5.000 Beschäftigte (1,5 Mrd. EUR Umsatz), 2028 für Unternehmen über 3.000 Beschäftigte (900 Mio. EUR), 2029 für Unternehmen über 1.000 Beschäftigte (450 Mio. EUR).&lt;/p&gt;&lt;p&gt;Deutsche Umsetzung steht noch aus. Erwartet wird ein integratives Gesetz, das LkSG und CSDDD zusammenführt.&lt;/p&gt;</content:encoded></item><item><title>EuGH stärkt Auskunftsanspruch nach Art. 15 DSGVO</title><link>https://vaeren.de/news/eugh-dsgvo-art-15-2026-04/</link><guid isPermaLink="true">https://vaeren.de/news/eugh-dsgvo-art-15-2026-04/</guid><description>Der Europäische Gerichtshof hat klargestellt, dass Auskunftsbegehren nach Art. 15 DSGVO auch interne Bewertungen und automatisierte Profile umfassen. Datenschutzbeauftragte sollten ihre Standardprozesse anpassen.</description><pubDate>Sat, 16 May 2026 14:09:26 GMT</pubDate><content:encoded>&lt;p&gt;In der Rechtssache C-203/22 entschied der EuGH am 27. Februar 2026, dass der Auskunftsanspruch des Betroffenen nicht auf reine Stammdaten beschränkt ist. Verantwortliche müssen auf Anfrage auch interne Bewertungen, Risikoeinstufungen und logische Profile offenlegen, soweit diese personenbezogene Daten enthalten.&lt;/p&gt;&lt;p&gt;Für Unternehmen bedeutet das: Auskunftsanfragen werden komplexer. Insbesondere automatisierte Scoring-Systeme (HR, Versicherung, Kreditvergabe) fallen unter die Offenlegungspflicht. Die Verteidigungslinie „Geschäftsgeheimnis“ greift nur eingeschränkt.&lt;/p&gt;&lt;p&gt;Praktische Empfehlung: Datenexport-Funktion in zentralen Systemen erweitern, Standard-Antworttexte überarbeiten, DPO-Workflow für Auskunftsbegehren auf das neue Niveau anheben.&lt;/p&gt;</content:encoded></item><item><title>NIS2: Deutsche Umsetzung verschiebt sich auf Herbst 2026</title><link>https://vaeren.de/news/nis2-umsetzung-deutschland-verzoegert/</link><guid isPermaLink="true">https://vaeren.de/news/nis2-umsetzung-deutschland-verzoegert/</guid><description>Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wird voraussichtlich nicht vor Oktober 2026 in Kraft treten. Unternehmen bleibt mehr Zeit für Vorbereitungen, sollten die Phase aber nicht passiv verstreichen lassen.</description><pubDate>Sat, 16 May 2026 14:09:26 GMT</pubDate><content:encoded>&lt;p&gt;Die NIS2-Richtlinie hätte ursprünglich bis 17. Oktober 2024 in nationales Recht umgesetzt sein müssen. Deutschland verfehlt diese Frist deutlich. Der aktuelle Referentenentwurf des BMI sieht ein Inkrafttreten im vierten Quartal 2026 vor.&lt;/p&gt;&lt;p&gt;Für betroffene Unternehmen (rund 30.000 in Deutschland) gilt: trotz Verzögerung keine Pause. Pflichten wie Risikomanagement, Meldung erheblicher Sicherheitsvorfälle binnen 24 Stunden und Geschäftsleitungs-Haftung bleiben unverändert.&lt;/p&gt;&lt;p&gt;Empfehlung: Selbst-Einstufung jetzt durchführen, Mängel adressieren, statt auf das Gesetz zu warten. Wer bereits ISO 27001 oder TISAX implementiert hat, ist gut aufgestellt.&lt;/p&gt;</content:encoded></item><item><title>HinSchG: Erste Bußgeldverfahren wegen fehlender Meldestellen</title><link>https://vaeren.de/news/hinschg-bussgelder-2026/</link><guid isPermaLink="true">https://vaeren.de/news/hinschg-bussgelder-2026/</guid><description>Das BAFA hat die ersten Bußgeldverfahren gegen Unternehmen ohne interne Hinweisgebermeldestelle eingeleitet. Die Höhe der Strafen reicht bis 50.000 Euro je Verstoß.</description><pubDate>Sat, 16 May 2026 14:09:26 GMT</pubDate><content:encoded>&lt;p&gt;Seit dem 17. Dezember 2023 sind Unternehmen ab 50 Mitarbeitenden zur Einrichtung einer internen Meldestelle verpflichtet. Wer diese Pflicht ignoriert, riskiert nach §40 HinSchG ein Bußgeld bis 50.000 Euro je Verstoß.&lt;/p&gt;&lt;p&gt;Bisher prüfen Aufsichtsbehörden Verstöße eher reaktiv. Das ändert sich nun. Mehrere Landesarbeitsgerichte haben Beschäftigte zu Anzeigen ermutigt, deren Arbeitgeber ihnen den Zugang zu einer Meldestelle verweigern.&lt;/p&gt;&lt;p&gt;Empfohlene Schritte: Meldestelle implementieren, Eingangs- und Rückmeldefristen (7 Tage, 3 Monate) dokumentieren, Vertraulichkeit nach §8 HinSchG technisch absichern.&lt;/p&gt;</content:encoded></item><item><title>AI Act: GPAI-Pflichten greifen ab 2. August 2025</title><link>https://vaeren.de/news/ai-act-gpai-pflichten-2026/</link><guid isPermaLink="true">https://vaeren.de/news/ai-act-gpai-pflichten-2026/</guid><description>Anbieter von General-Purpose-KI-Modellen unterliegen seit dem 2. August 2025 erweiterten Pflichten. Deployer in der EU müssen jetzt prüfen, ob ihre eingesetzten Modelle die Anforderungen erfüllen.</description><pubDate>Sat, 16 May 2026 14:09:26 GMT</pubDate><content:encoded>&lt;p&gt;Mit der zweiten Anwendungsphase der KI-Verordnung sind die Pflichten für GPAI-Anbieter wirksam. Betroffen sind Modelle wie GPT-4, Claude, Gemini und Llama. Anbieter müssen technische Dokumentation, Trainingsdaten-Zusammenfassungen und ein Urheberrechts-Compliance-Konzept veröffentlichen.&lt;/p&gt;&lt;p&gt;Für Deployer ergeben sich daraus indirekte Anforderungen. Wer ein GPAI-Modell in ein eigenes Produkt einbettet, muss prüfen, ob der Anbieter die Pflichten erfüllt. Andernfalls droht eine Mithaftung nach Art. 28 KI-VO.&lt;/p&gt;&lt;p&gt;Die &lt;a href=&quot;https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689&quot;&gt;vollständige Verordnung&lt;/a&gt; ist auf EUR-Lex einsehbar.&lt;/p&gt;</content:encoded></item></channel></rss>