Im aktuellen Podcast mit Stefan Brink und Niko Härting geht es um Umwälzungen kleinerer und größerer Art.

Zunächst geht es (01:08) um eine Erklärung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI), dass Microsoft 365 sowohl durch Unternehmen als auch durch öffentliche Stellen datenschutzkonform genutzt werden kann. Verantwortliche müssten jedoch bestimmte Voraussetzungen erfüllen. Grundlage dieser Entscheidung ist ein fast 140 Seiten starker Bericht aus dem November 2025, der die früheren Kritikpunkte der Datenschutzkonferenz (DSK) neu bewertet und konkrete Handlungsempfehlungen für Verantwortliche enthält. Eher keine Revolution, aber eine Änderung der Aufsichtspositionen.

Sodann geht es (11:25) um die Haftung von Host Providern: In einem rumänischen Fall entschied der Luxemburger EuGH, dass der Betreiber einer Online-Plattform für die Verletzung von Datenschutzrechten mitverantwortlich ist, die auf der Plattform begangen werden (Urteil vom 02.12.2025 - C-492/23). Auf diese Entscheidung hatte der BGH im Fall Künast gewartet und das Verfahren ausgesetzt. Welche (revolutionären?) Auswirkungen die Kollision des Haftungsprivilegs in Art. 6 DSA mit der Haftung nach Art. 82 DS-GVO hat, erörtern Niko und Stefan ausführlich.

Schließlich geht es (26:00) um die Reformbemühungen der Ministerpräsidenten der Länder und der Bundesregierung. Sie wollen den Staat (und den Datenschutz) modernisieren, etwa indem sie - Stichwort „Übererfüllung bei der Umsetzung von EU-Recht“ – die Bestellpflichten betrieblicher Datenschutzbeauftragter in § 38 BDSG einschränken. Der Bund wird zudem in Abstimmung mit den Ländern die Datenschutzaufsicht für den nichtöffentlichen Bereich bis spätestens 31.12.2027 reformieren und dabei auch die Aufgabenverteilung im Föderalstaat neu justieren. Bund und Länder werden zudem auf europäischer Ebene die anstehenden Verhandlungen der EU-Kommission bei der Weiterentwicklung des EU-Datenrechts nutzen, um weitere Konsolidierungen zu erreichen, die über die vorgeschlagenen Omnibus-Pakete hinausgehen. Das klingt ebenfalls nach Umwälzung…

Die Themen dieser Folge:

1. TU München mit Vorschlägen zu DS-GVO-Reform (01:17)

ine Arbeitsgruppe bei der Technischen Universität München (TUM), der Stefan Brink und Niko Härting angehören, hat vier konkrete Maßnahmenempfehlungen zu zentralen Herausforderungen der DSGVO und ihrer Weiterentwicklung erarbeitet. 

- (Weiter-)Entwicklung eines risikobasierten Ansatzes für die DSGVO
- Vereinfachung der B2B Compliance
- Mehr Rechtssicherheit durch Erlaubnis- und Verbotslisten (Ampelsystem)
- Reformmöglichkeiten im Bereich der Einwilligung und „Do Not Track“.

2. Immer mit der Ruhe: Übertriebener Beitrag zur Ende-zu-Ende-Verschlüsselung von Anwaltsmails in der FAZ (12:24)

Wie ein streitlustiger Anwalt und eine leicht überforderte Datenschutzbehörde einen überflüssigen Prozess provozieren.

3. BGH versteht Kanzleipflicht streng (21:34)

Nach Ansicht des BGH brauchen Anwälte auch Ende 2025 noch dauerhaft einen eigenen Kanzleiraum. Dabei ging es am Montag nicht mal um eine virtuelle Kanzlei, sondern um ein Bürocenter, das Post und Anrufe entgegennimmt und stets Besprechungsräume vorhält.

4. Der Fall Netanyahu und die weltweite Macht der US-Konzerne (27:18)

US-Regierung setzt Tech-Firmen als Waffe ein: Richter des internationalen Strafgerichtshofs Den Haag, die Haftbefehl für israelischen Regierungschef Netanyahu ausgestellt haben wegen des Verdachts von Kriegsverbrechen und Verbrechen gegen die Menschlichkeit im Rahmen des israelischen Militäreinsatzes im Gazastreifen, werden von US-Dienstleistern ausgeschlossen.

5. 150.000 EUR Bußgeld für italienische RAI (34:01)

Mit Entscheidung v. 23.10.2025 verhängte die italienische Datenschutzbehörde (Garante per la protezione dei dati personali – GPDP) ein Bußgeld iHv 150.000 EUR gegen den italienischen öffentlich-rechtlichen Rundfunkanbieter Rai (Radiotelevisione Italiana S. p. A.). Anlass war die Veröffentlichung einer WhatsApp-Sprachnachricht zwischen einem Politiker und seiner Ehefrau ohne deren Einwilligungen, was laut Behörde nicht den Grundsätzen der Erforderlichkeit und Rechtmäßigkeit der Datenverarbeitung nach der DSGVO entsprach.

Im aktuellen Podcast mit Stefan Brink und Niko Härting geht die Sonne auf: Endlich legt die EU-Kommission ihren Vorschlag für eine Anpassung der DS-GVO und der KI-Verordnung (Omnibus) vor.

Zunächst geht es aber (00:54) um ein Interview mit der Informatikerin Katharina Zweig von der Uni Kaiserslautern in der FAZ zu ChatGPT und Co. Die Preisträgerin des GDD-Datenschutz-Preises 2024 erklärt, dass KI Menschen imitiert, die leider keinen Sensor dafür haben, dass ihnen „Menschlichkeit“ nur vorgespielt wird und bekräftigt den Satz, dass neue Technologien kurzfristig überschätzt und langfristig unterschätzt werden.

Sodann geht es (11:56) um die am 19.11.2025 von der EU-KOM vorgestellte „Simplification“ der Digital-Rechtsakte. Im Schnellverfahren sollen Änderungen an der DS-GVO vorgenommen werden, die etwa die Pseudonymisierung oder die Definition „wissenschaftlicher Forschung“ betreffen. Der Auskunftsanspruch des Art. 15 DS-GVO soll an die Verfolgung von Datenschutzzwecken gekettet werden, auch eine Totalreform von Art. 22 soll den effizienten Einsatz von KI erheblich erleichtern. Änderung bei der Datenpanne Art. 33 DS-GVO (Meldepflicht nur bei hohem Risiko binnen nun 96 h) sind ebenfalls vorgesehen, auch die Einrichtung eines einheitlichen Meldeportals.
Diese vorgeschlagenen Änderungen an der DS-GVO sind mit Blick auf den gerade von Verarbeitern geäußerten Änderungsbedarf zwar bei weitem nicht ausreichend, sind allerdings weitgehender als erwartet.

Folge 150 ist eine weitere Sonderfolge der Reihe zur Zukunft des Zivilprozesses. Zu Gast ist Prof. Dr. Thomas Riehm, Inhaber eines Lehrstuhls für Deutsches und Europäisches Privatrecht, Zivilverfahrensrecht und Rechtstheorie an der Universität Passau.

Härting und Riehm sprechen zunächst ab Minute (01:20) über das ,,Überlastungsparadox der Ziviljustiz“, welches die Reduktion der Anzahl der anhängigen Verfahren bei gleichzeitigem Anstieg der Verfahrensdauer beschreibt. Werden die Zivilprozesse komplexer? Härting und Riehm diskutieren einige Hypothesen und widmen sich ab Minute (09:42) der Verfahrensstrukturierung.

Anschließend (19:26) ist Riehms Forderung nach einer radikalen Reform der 150 Jahre alten ZPO Thema, unter anderem über eine Streichung des Beibringungsgrundsatzes.

Zum Schluss sprechen Riehm und Härting ab Minute (28:55) über Massenverfahren von Verbrauchern, zum Beispiel im Rahmen von Fluggastrechten oder Schadensersatzklagen im Datenschutz. Prof. Riehm kritisiert, dass der Gesetzgeber keine Kollektivverfahren mit Opt-out-Lösung ermöglicht.

Riehms abschließender Wunsch: ein Baukasten von verschiedenen Instrumenten für die Gerichte.

In der Kategorie Querbeet besprechen Dr. Stefan Brink und Prof. Niko Härting zunächst ab Minute (00:52) eine Entscheidung des OLG Dresden v. 9.9.2025 - 4 U 464/25, ein aufmerksamer Bürger hatte einen Falschparker fotografiert – mit dem Beifahrer und leitete das Foto an eine App zwecks Meldung von Parkverstößen weiter. Hat sich dieser nun nach Art. 82 DSGVO schadensersatzpflichtig gemacht?

Anschließend widmen sich Härting und Brink den Schlagzeilen:

Zunächst ab Minute (05:36) der Entscheidung des LG München zur GEMA gegen Open AI. Der Output von ChatGPT gab vollständige Liedtexte, beispielsweise ,,Atemlos“ von Helene Fischer, wieder. Härting ordnet den Sachverhalt und die Entscheidung in den Kontext amerikanischer Urheberrechtsprozesse zu den Sprachmodellen u.a. gegen Anthropic (Claude) und Meta (Llama) ein und sieht Parallelen zu den über 20 Jahre alten Prozessen um Google Books und Napster.

Wer hat wohl den Digitalen Omnibus ,,geleaked“? Ab Minute (27:11) sind die beiden geplanten Änderungspakete der europäischen Kommission zum AI Act und zum Data Act/DSGVO Thema. Brink und Härting ordnen das Gesetzgebungsvorhaben ein, dass am 19.11.2025 veröffentlicht werden wird. Das Daten-Paket wird voraussichtlich mehr Änderungen, als nur eine Überarbeitung des Verarbeitungsverzeichnisses vorsehen, eine DSGVO-Reform stellt es allerdings nicht dar.

In dieser Folge ist Tobias Voßberg zu Gast – Rechtsanwalt und Unternehmensjurist. Im Interview mit Prof. Niko Härting spricht er über den Einsatz von KI-Tools in Anwaltskanzleien.

Ab Minute (01:30) geht es zunächst um die Verwendung von KI in der Prozessführung. Anschließend werden ab Minute (07:20) die ,,Partner Ende 50“ sowie die ,,Juniors“ und Studierenden beleuchtet.

Warum der Einsatz von KI-Tools nicht immer zu mehr Effizienz und Zeitersparnissen führt, wird ab Minute (11:43) thematisiert.

Im weiteren Verlauf sprechen Voßberg und Härting über die Probleme bei der Nutzung von Sprachmodellen. So beschreibt Voßberg in Minute (20:00) ChatGPT als „opportunistischen Mitarbeiter“.

Zum Abschluss wagen Voßberg und Härting ab Minute (32:32) einen Blick in die Zukunft.

Im aktuellen Podcast mit Stefan Brink und Niko Härting geht es um Vergessenes: Zunächst (01:45) geht es um ein vergessenes Gesetz, das Fernunterrichtsschutzgesetz (FernUSG) aus dem Jahr 1976. Nach Auffassung des BGH (NJW 2025, 2613) beansprucht es für zahlreiche Online-Schulungsangebote weiterhin Geltung – Niko hält dieses „sympathische Relikt“ für verfassungsrechtlich kaum noch vertretbar.

Sodann geht es (10:29) um das Sozialstaatsprinizip, das der Präsident des VerfGH Rheinland-Pfalz in einem Artikel der FAZ aus dem rechtlichen Vergessen heben und schärfer konturieren möchte. Ein schwieriges Unterfangen.

Schließlich (18:59) knüpfen sich Niko und Stefan die Leitlinien des EDSA 3/2025 zum Zusammenspiel von DSA und DS-GVO vor. Die Argumentation des EDSA, eine kohärente Auslegung von DSA und DSGVO sei geboten, soweit Überschneidungen bestehen, scheint zu vergessen, dass der DSA außerhalb des Zuständigkeitsbereichs des EDSA liegt und damit eine Vermischung zweier Regularien (Inhalteregulierung vs Datenschutz) droht. Wenn dann auch noch Datenschutzbelange automatisch Vorrang vor anderen legitimen Zielen wie der Daten-Sicherheit erhalten, dann ist das eher zum Vergessen.

Zunächst fassen Dr. Stefan Brink und Prof. Niko Härting ab Minute (…) anlässlich eines veröffentlichten Reformvorschlags des EU-Thinktanks ELI, u.a. von Prof. Christiane Wendehorst, den aktuellen Stand der Debatte rund um eine DSGVO-Reform zusammen. Diese dreht sich unter anderem um das KI-Training, beinhaltet allerdings auch grundlegende Kritik an dem Schutzkonzept der DSGVO.

Gefordert wird dabei eine stärkere Berücksichtigung des risikobasierten Ansatzes. So wird nicht hinreichend darauf abgestellt ,,Wer“ Daten zu welchem konkreten Zweck verarbeitet. Auch das Konzept der Einwilligung wirkt dabei wie ein Relikt, es fehlt an konkreten und rechtssicheren ,,roten“ und ,,grünen“ Linien für eine Datenverarbeitung.

Ab Minute (19:07) thematisieren Brink und Härting den Bericht der Aufarbeitungskommission Nord der katholischen Kirche zur sexuellen Gewalt. Inwiefern bremst der Datenschutz die Missbrauchsaufarbeitung in den Nordbistümern?

Einen Blick auf Österreich werfen Härting und Brink ab Minute (29:13). Das Österreichische Oberverwaltungsgericht (ÖBVwG v. 13.8.2025 Az. W291 2272970-1/30E, W291 2272971-1/32E) bestätigte die Rechtswidrigkeit des ,,Pay-or-Okay“-Modells im Onlineauftritt des Standards. Aufgrund der Bündelung verschiedener Verarbeitungszwecke ist die datenschutzrechtliche Einwilligung unzulässig.

Im aktuellen Podcast mit Stefan Brink und Niko Härting wechseln sich Licht und Schatten im Bereich das Datenschutzes ab: Zunächst (00:52) geht es um einen rechtswidrigen Auswahltest der Polizei (VG Karlsruhe, Urteil vom 29.07.2025 – 12 K 3606/24), der den Bewerbungsverfahrensanspruch des Art. 33 Abs. 2 GG verletzte. Das VG Karlsruhe entschied, dass die Transparenz des Auswahlverfahrens auf einer digitalen Bewerber-Plattform ebenso zu kurz kam wie Dokumentationspflichten des öffentlichen Arbeitgebers. Der Polizei half da auch eine DIN Zertifizierung (DIN 33430 "Anforderungen an berufsbezogene Eignungsdiagnostik" nicht weiter.

Sodann geht es (10:50) um eine besonders erfolgreiche Klage: Wegen 22 Monaten rechtswidriger Dauer-Videoüberwachung durch den Arbeitgeber sprach das LAG Hamm 15.000 Euro Entschädigung wegen Verletzung des APR zu. Die ungewöhnliche Höhe des Anspruch beruhte auch auf der Qualität der Videoüberwachung mittels 34 HD-Kameras mit Zoomfunktion …

Dann geht es (21:33) um ein Disziplinarverfahren gegen einen beamteten Professor, der beim Bundesnachrichtendienst (BND) Beamte des gehobenen Verwaltungsdienstes ausbildet. Das BVerwG (Urteil vom 09.10.2025 - 2 A 6.24) bestätigte die Disziplinarstrafe wegen eines vom Beamten 2021 veröffentlichten Buches mit dem Titel "Kulturkampf um das Volk. Der Verfassungsschutz und die nationale Identität der Deutschen", in welchem der Professor deutsche Staatsangehörige mit ausländischen Wurzeln herabsetzte. Die Disziplinarverfügung (Kürzung Dienstbezüge für die Dauer von 24 Monaten um ein Zehntel) hielt das BVerwG, es sah ebenfalls einen Verstoß gegen seine beamtenrechtliche Pflicht zu achtungs- und vertrauensgerechtem Verhalten (§ 61 Abs. 1 S. 3 BBG).

Schließlich (30:42) greifen Niko und Stefan einen Fall des AG Düsseldorf auf (Urteil vom 19.08.2025 – 42 C 61/25), das einen Arbeitgeber zu 250 € Schadenersatz wegen Internetrecherche zu einem Bewerber verurteilt, weil dem keine Info nach Art. 14 DS-GVO gegeben wurde.
Das AG sah die Internetrecherche per Google zwar nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt (zweifelhaft), aber einen Verstoß gegen Art. 14 I d DS-GVO (Mitteilung der Kategorien von Daten) als gegeben (noch zweifelhafter). Der Kläger, offenbar bekannt für sein Bewerberhopping, bekam nun teilweise Recht (noch viel zweifelhafter).
Licht und Schatten eben …

Zunächst sprechen Dr. Stefan Brink und Prof. Niko Härting über die Zentralisierung der Datenschutzaufsicht, insbesondere über die Zuständigkeit der Aufsicht über die Wirtschaft. Prof. Härting beobachtet eine Annäherung zwischen Bund und Länder. Braucht es einen Staatsvertrag?

Ab Minute (13:07) sprechen Brink und Härting über eine Entscheidung des Bundesfinanzhofs v. 15.7.2025 IX R 25/24. Bei einem Gastwirt wurde aufgrund einer anonymen Anzeige eine Kassen-Nachschau durchgeführt, es wurde kein Gesetzesverstoß festgestellt. Der Gastwirt forderte nun einen Einblick in die Finanzamtsakte und macht sein Auskunftsrecht nach Art. 15 DSGVO geltend u.a. um die Identität des Anzeigestellers herauszufinden. Kann das Datenschutzrecht von Betroffenen genutzt werden, um an personenbezogene Daten zu kommen?

Zum Schluss (29:52) werden die Schlussanträge des Generalanwalts zur Veröffentlichung der Dopingsünder durch die Nationale Anti Doping Agentur (NADA) thematisiert.