Zu Beginn sprechen Dr. Stefan Brink und Prof. Niko Härting anlässlich eines FAZ-Beitrags von Thorsten Frei über eine anstehende Novellierung des BND-Gesetzes. Bei Härting und Brink stößt dies auf „bürgerrechtlichen Unmut“. Sie erkennen zahlreiche Tabubrüche, wie beispielsweise die Abkehr vom Trennungsgebot, wonach Informationsbeschaffung und polizeiliche Befugnisse bei deutschen Nachrichtendiensten traditionell zu trennen sind.
Ab Minute (02:05) nehmen die beiden kritisch zu dem Vorschlag Stellung, die Kontrollfunktion des Bundesnachrichtendienstes der Bundesdatenschutzbeauftragten zu entziehen.

Vom Geheimdienst zur Transparenz: Ab Minute (17:55) besprechen Härting und Brink die EuGH-Entscheidung vom 15.1.2026 – C-129/24, bei der zahlreiche Anfragen nach dem Umweltinformationsgesetz gegen ein irisches Forstunternehmen ergangen sind. Das Forstunternehmen verweigerte die Auskunft, da die Anfragen alle unter Pseudonymen erfolgten. Darf das nationale Recht eine Identifikation bei Umweltinformationsanträgen verlangen?

Zum Schluss wird ab Minute (28:51) die EuGH-Entscheidung vom 18.12.2025 – C-422/24 thematisiert. Fahrkartenkontrolleure wurden im Stockholmer ÖPNV mit Bodycams ausgestattet, Passagiere wurden hierüber nicht informiert. Auf Grundlage von Art. 13 DSGVO erließ die schwedische Aufsichtsbehörde daher ein Bußgeld. Handelt es sich wirklich um einen Fall des Art. 13 DSGVO oder ist vielmehr Art. 14 DSGVO (samt Ausnahmeregelungen in Absatz 5) einschlägig?

Zunächst blicken Dr. Stefan Brink und Prof. Niko Härting ab Minute (00:41) nach Bayern, auf eine Anfechtungsklage vor dem VG Ansbach v. 2.11.2022 – AN 14 K 21.01431. Das bayrische Landesamt für Datenschutz hatte eine Verwarnung für einen besorgten Vater ausgesprochen. Dieser hatte Fotografien von Falschparkern auf dem Schulweg seiner Kinder aufgenommen und diese an die Polizei weitergeleitet. Nach Ansicht des VG Ansbach war die Verwarnung rechtswidrig, als Rechtsgrundlage kommt Art. 6 Abs. 1 lit. f. DSGVO in Betracht. Das LDA Bayern fordert nun die Erfüllung der Informationspflichten durch den Vater.

Anschließend (18:47) sprechen die beiden über die vom Bundesjustizministerium geplante Vorratsdatenspeicherung. Prof. Härting ordnete das Gesetzgebungsvorhaben zunächst in die Historie aus bisheriger Rechtsprechung des Bundesverfassungsgerichts, des Bundesverwaltungsgerichts und des EuGHs zu vergangenen Versuchen einer Vorratsdatenspeicherung auf deutscher und europäischer Ebene ein. Ab Minute (29:35) erklärt Niko Härting, weshalb es sich bei dem Vorschlag um eine ,,Mogelpackung“ handelt. Ab Minute (33:53) thematisieren Härting und Brink die politischen Hintergründe. Zum Schluss (43:53) ist die unzureichende Berücksichtigung des Schutzes von Berufsgeheimnisträgern in dem Entwurf Thema.

Happy Birthday! Das Informationsfreiheitsgesetz trat am 1.1.2006 in Kraft und feiert nun sein 20-jähriges Jubiläum. Dr. Stefan Brink und Prof. Niko Härting ziehen Bilanz über ein Gesetz, das einigen ein Dorn im Auge ist.

Ab Minute (14:55) sprechen Härting und Brink anlässlich eines ZEIT-Beitrags von Eva Wolfangel über die „Post-Privacy-Debatte“. Datenschutz hat ein schlechtes Image. Warum ist die Bevölkerung weniger sensibel gegenüber Überwachung? Härting vermisst in der Debatte die Differenzierung zwischen Eingriffen in die Privatsphäre durch Private und Eingriffen des Staates.

Zum Abschluss werten Brink und Härting ab Minute (30:13) kritisch die Entschließung der DSK vom 12.12.2025 zum Digital-Omnibus der Europäischen Kommission aus und können dem Papier sogar positive Aspekte entnehmen.

Im aktuellen Podcast mit Stefan Brink und Niko Härting geht um sämtliche Spielarten der Datenverarbeitung.

Zunächst sprechen wir (01:16) über die Weigerung der Bundesregierung, Antwort auf eine parlamentarische Anfrage der LINKEN zu geben, ob deutsche Sicherheitsbehörden bei Datenhändlern Daten von Bürgern einkaufen. Die Bundesregierung „schließt nicht aus, dass der Bezug von personenbezogenen Daten von Datenhändlern im Einzelfall zur Erfüllung ihrer Aufgaben angemessen sein kann.“ Dies birgt jedoch zahlreiche rechtliche Probleme.

Sodann geht es (21:15) um den Vorschlag des früheren Verfassungsgerichtspräsidenten Andreas Voßkuhle, der sich für die Einführung einer Klarnamenpflicht gegen Hass und Hetze im Internet ausgesprochen hat. "Um die Diskurskultur etwas zu rationalisieren, sollte es im Internet Pflicht werden, seinen Klarnamen zu benutzen", sagte Voßkuhle dem "Tagesspiegel". Er halte eine Klarnamenpflicht im Internet zwar für "nicht ganz einfach", ein solcher Schritt sei aber "verfassungsrechtlich zulässig". Richtig gut überlegt ist dieser Vorschlag aber wohl nicht.

Schließlich geht es (29:05) um das Urteil des BGH vom 18. 12. 2025 - Az. I ZR 115/25. Informationen zum Beitragsverlauf eines privaten Krankenversicherungsvertrags stellen demnach nur dann personenbezogene Daten im Sinne von Art. 15 Abs. 1 in Verbindung mit Art. 4 Nr. 1 DSGVO dar, „wenn sie mit einer bestimmten Person verknüpft sind, die Person also auf Grundlage der Informationen identifiziert ist oder (direkt oder indirekt) identifiziert werden kann“ – bloße Auswirkungen der Daten auf den Betroffenen reichen dafür gerade nicht.

Zum Jahresende präsentieren Niko Härting und Stefan Brink drei lobenswerte Gerichtsentscheidungen:

Jedenfalls Niko Härting begrüßt eine konsequente Entscheidung des Oberlandesgerichts Brandenburg zum Verhältnis zwischen Datenschutz und Anwaltsgeheimnis. Informationen, die unter das Anwaltsgeheimnis fallen, sind bei Auskunftsanträgen nach Art. 15 DSGVO laut dieser Entscheidung tabu. (00:55)

Keine Massenüberwachung durch die Hintertür: Vodafone hat sich beim Bundesverfassungsgericht per einstweiligem Anordnungsantrag erfolgreich gegen die Herausgabe von Millionen Nutzerdaten gewehrt. Dabei ging es um DNS-Server-Anfragen, die per einfachem Abhörbeschluss (§ 100a StPO) überwacht und ausgewertet werden sollten. (17:58)

Der BGH hat sich in einer Deezer-Entscheidung noch einmal sehr grundsätzlich mit dem Begriff des immateriellen Schadens gemäß Art. 82 DSGVO befasst. Karlsruhe hält daran fest, dass es zwei Fallgruppen eines solchen Schadens gibt – den „Kontrollverlust“ und die „begründete Befürchtung des Missbrauchs“ sind die beiden Schlagworte. (31:01)

Zu Beginn gehen Prof. Niko Härting und Dr. Stefan Brink einleitend auf das Urteil des LG München v. 11.11.2025 (Az. 42 O 14139/24) im Fall GEMA/Chat-GPT ein und sprechen über die Beweisfragen, mit denen sich die Richter befassen mussten.

Ab Minute (06:17) thematisieren Brink und Härting eine Entscheidung des OLG Frankfurt v. 28.10.2025 Az. 3 VAs 9/25 , welche einen Antrag nach § 23 EGGVG einer nonbinären Person zum Gegenstand hatte, die sich gegen eine falsche Anrede des Gerichts wehren wollte. Das OLG Frankfurt betrachtete die Anrede als einen Ausdruck der richterlichen Unabhängigkeit. Brink und Härting können dieser Bewertung nicht zustimmen.

Anschließend widmen sich Härting und Brink dem Datenschutz:

Ein Bußgeld in Höhe von 492.000 Euro der Hamburger Datenschutzbehörde gegen ein Finanzinstitut ist ab Minute (14:23) Thema. Kreditanträge mehrerer Kund:innen wurden aufgrund einer automatisierten Entscheidung abgelehnt.
Über die Videoüberwachung von Studierenden bei Online-Prüfungen während der Coronapandemie mittels ,,Proctoring-Software“ sprechen Härting und Brink ab Minute (20:18). Ist die Einwilligung der Studierenden zum Einsatz der Gesichtserkennungssoftware wirksam gewesen? Kann eine betroffene Lehramtsstudentin vor dem OLG Thüringen erfolgreich Schadensersatz nach Art. 82 DSGVO von der Universität Erfurt verlangen?
Zum Abschluss (35:27) wird anlässlich eines Nichtannahmebeschlusses des BGH v. 7.10.2025 VI ZR 297/24 (6. Zivilsenat) der Art. 29 DSGVO und die Ausnahme des Mitarbeiterexzesses, insbesondere in Form von Neugierabfragen von Polizisten, thematisiert.

Niko Härting spricht mit Peter Bert über das „Überlastungsparadoxon“ bei der Ziviljustiz. Peter Bert ist seit 30 Jahren Prozessanwalt und Partner der Kanzlei Rimon Falkenfort in Frankfurt/Main. Er ist Mitglied des ZPO-Ausschusses des Deutschen Anwaltvereins und Mitherausgeber des ZPO-Blogs. Unlängst hat er an der Reformkommission „Zivilprozess der Zukunft“ mitgewirkt.

Was hat sich an den Zivilgerichten in den letzten 30 Jahren verändert? Niko Härting und Peter Bert sprechen über notwendige Reformen des Zivilprozesses, aber auch über das Auseinanderklaffen von Prozessrecht und Wirklichkeit, das sich beispielsweise daran zeigt, dass Beweisaufnahmen an vielen Gerichten zur seltenen Ausnahme geworden sind.

Häufige Dezernentenwechsel, Kammertermine nur noch im Ausnahmefall, verschleppte Fristen, unzureichend vorbereitete Verhandlungstermine – ein Gespräch über die alltägliche Wirklichkeit bei den Zivilgerichten, notwendige Reformen und wünschenswerten Mentalitätswandel

Im aktuellen Podcast mit Stefan Brink und Niko Härting geht es um Umwälzungen kleinerer und größerer Art.

Zunächst geht es (01:08) um eine Erklärung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), dass Microsoft 365 sowohl durch Unternehmen als auch durch öffentliche Stellen datenschutzkonform genutzt werden kann. Verantwortliche müssten jedoch bestimmte Voraussetzungen erfüllen. Grundlage dieser Entscheidung ist ein fast 140 Seiten starker Bericht aus dem November 2025, der die früheren Kritikpunkte der Datenschutzkonferenz (DSK) neu bewertet und konkrete Handlungsempfehlungen für Verantwortliche enthält. Eher keine Revolution, aber eine Änderung der Aufsichtspositionen.

Sodann geht es (11:25) um die Haftung von Host Providern: In einem rumänischen Fall entschied der Luxemburger EuGH, dass der Betreiber einer Online-Plattform für die Verletzung von Datenschutzrechten mitverantwortlich ist, die auf der Plattform begangen werden (Urteil vom 02.12.2025 - C-492/23). Auf diese Entscheidung hatte der BGH im Fall Künast gewartet und das Verfahren ausgesetzt. Welche (revolutionären?) Auswirkungen die Kollision des Haftungsprivilegs in Art. 6 DSA mit der Haftung nach Art. 82 DS-GVO hat, erörtern Niko und Stefan ausführlich.

Schließlich geht es (26:00) um die Reformbemühungen der Ministerpräsidenten der Länder und der Bundesregierung. Sie wollen den Staat (und den Datenschutz) modernisieren, etwa indem sie - Stichwort „Übererfüllung bei der Umsetzung von EU-Recht“ – die Bestellpflichten betrieblicher Datenschutzbeauftragter in § 38 BDSG einschränken. Der Bund wird zudem in Abstimmung mit den Ländern die Datenschutzaufsicht für den nichtöffentlichen Bereich bis spätestens 31.12.2027 reformieren und dabei auch die Aufgabenverteilung im Föderalstaat neu justieren. Bund und Länder werden zudem auf europäischer Ebene die anstehenden Verhandlungen der EU-Kommission bei der Weiterentwicklung des EU-Datenrechts nutzen, um weitere Konsolidierungen zu erreichen, die über die vorgeschlagenen Omnibus-Pakete hinausgehen. Das klingt ebenfalls nach Umwälzung…

Die Themen dieser Folge:

1. TU München mit Vorschlägen zu DS-GVO-Reform (01:17)

ine Arbeitsgruppe bei der Technischen Universität München (TUM), der Stefan Brink und Niko Härting angehören, hat vier konkrete Maßnahmenempfehlungen zu zentralen Herausforderungen der DSGVO und ihrer Weiterentwicklung erarbeitet. 

- (Weiter-)Entwicklung eines risikobasierten Ansatzes für die DSGVO
- Vereinfachung der B2B Compliance
- Mehr Rechtssicherheit durch Erlaubnis- und Verbotslisten (Ampelsystem)
- Reformmöglichkeiten im Bereich der Einwilligung und „Do Not Track“.

2. Immer mit der Ruhe: Übertriebener Beitrag zur Ende-zu-Ende-Verschlüsselung von Anwaltsmails in der FAZ (12:24)

Wie ein streitlustiger Anwalt und eine leicht überforderte Datenschutzbehörde einen überflüssigen Prozess provozieren.

3. BGH versteht Kanzleipflicht streng (21:34)

Nach Ansicht des BGH brauchen Anwälte auch Ende 2025 noch dauerhaft einen eigenen Kanzleiraum. Dabei ging es am Montag nicht mal um eine virtuelle Kanzlei, sondern um ein Bürocenter, das Post und Anrufe entgegennimmt und stets Besprechungsräume vorhält.

4. Der Fall Netanyahu und die weltweite Macht der US-Konzerne (27:18)

US-Regierung setzt Tech-Firmen als Waffe ein: Richter des internationalen Strafgerichtshofs Den Haag, die Haftbefehl für israelischen Regierungschef Netanyahu ausgestellt haben wegen des Verdachts von Kriegsverbrechen und Verbrechen gegen die Menschlichkeit im Rahmen des israelischen Militäreinsatzes im Gazastreifen, werden von US-Dienstleistern ausgeschlossen.

5. 150.000 EUR Bußgeld für italienische RAI (34:01)

Mit Entscheidung v. 23.10.2025 verhängte die italienische Datenschutzbehörde (Garante per la protezione dei dati personali – GPDP) ein Bußgeld iHv 150.000 EUR gegen den italienischen öffentlich-rechtlichen Rundfunkanbieter Rai (Radiotelevisione Italiana S. p. A.). Anlass war die Veröffentlichung einer WhatsApp-Sprachnachricht zwischen einem Politiker und seiner Ehefrau ohne deren Einwilligungen, was laut Behörde nicht den Grundsätzen der Erforderlichkeit und Rechtmäßigkeit der Datenverarbeitung nach der DSGVO entsprach.

Im aktuellen Podcast mit Stefan Brink und Niko Härting geht die Sonne auf: Endlich legt die EU-Kommission ihren Vorschlag für eine Anpassung der DS-GVO und der KI-Verordnung (Omnibus) vor.

Zunächst geht es aber (00:54) um ein Interview mit der Informatikerin Katharina Zweig von der Uni Kaiserslautern in der FAZ zu ChatGPT und Co. Die Preisträgerin des GDD-Datenschutz-Preises 2024 erklärt, dass KI Menschen imitiert, die leider keinen Sensor dafür haben, dass ihnen „Menschlichkeit“ nur vorgespielt wird und bekräftigt den Satz, dass neue Technologien kurzfristig überschätzt und langfristig unterschätzt werden.

Sodann geht es (11:56) um die am 19.11.2025 von der EU-KOM vorgestellte „Simplification“ der Digital-Rechtsakte. Im Schnellverfahren sollen Änderungen an der DS-GVO vorgenommen werden, die etwa die Pseudonymisierung oder die Definition „wissenschaftlicher Forschung“ betreffen. Der Auskunftsanspruch des Art. 15 DS-GVO soll an die Verfolgung von Datenschutzzwecken gekettet werden, auch eine Totalreform von Art. 22 soll den effizienten Einsatz von KI erheblich erleichtern. Änderung bei der Datenpanne Art. 33 DS-GVO (Meldepflicht nur bei hohem Risiko binnen nun 96 h) sind ebenfalls vorgesehen, auch die Einrichtung eines einheitlichen Meldeportals.
Diese vorgeschlagenen Änderungen an der DS-GVO sind mit Blick auf den gerade von Verarbeitern geäußerten Änderungsbedarf zwar bei weitem nicht ausreichend, sind allerdings weitgehender als erwartet.