• Dr. Carlo Piltz

• Shana Morgan

For the world’s estimated 476 million Indigenous Peoples, meaningful data privacy and sovereignty has become a critical issue. As it stands, current data governance systems fail to account for the unique cultural perspectives, values, and collective rights of Indigenous nations. In the digital age, as information is collected and commodified at the speed of light, it is imperative to consider an alternative and complementary approach.

• Franziska Matthies

Am 6. Juni 2025 diskutierte die Justizminister:innenkonferenz Reformvorschläge für die zweistufige juristische Ausbildung aus Studium und Referendariat. Die letzte inhaltlich umfangreiche Reform der juristischen Ausbildung in Deutschland trat 2003 in Kraft – im gleichen Jahr wie die Agenda 2010 und die Pflicht zum Dosenpfand. 2025 hat sich nicht nur die gesellschaftspolitische Lage verändert, sondern auch die datenschutzrechtliche.

• Erdem Durmus

Jeder, der im Datenschutz arbeitet – ob extern oder intern – kennt es: es steht eine datenschutzrechtliche Aufgabe an (etwa die Erhebung von Verarbeitungstätigkeiten für das VVT) und man benötigt hierfür die Unterstützung einer Kollegin oder eines Kollegen aus dem jeweiligen Fachbereich. Doch die Begeisterung für datenschutzrechtliche Themen hält sich bei dieser fachfremden Person in Grenzen. Das ist ja auch völlig normal: nicht jeder setzt sich voller Elan für 90 Minuten in einen Teams-Call und beantwortet bei geteilter Excel-Tabelle im Interview eifrig die Fragen des Datenschutzbeauftragten zu den Details einer Verarbeitungstätigkeit – Rechtsgrundlagen, Speicherdauer, TOMs etc. Schließlich haben diese Leute auch noch ihre „eigene Arbeit“ zu erledigen.

• David Wasilewski

Meta startete am 27.05.2025 mit dem Training ihrer KI-Modelle „Llama“. Dafür werden von Metas Social-Media-Plattformen Facebook und Instagram die veröffentlichten personenbezogenen Daten volljähriger Nutzer verwendet. Hiergegen gerichtete Anträge auf Unterlassung scheiterten im einstweiligen Rechtsschutz vor den angerufenen Oberlandesgerichten. Problematisch ist dabei, dass seit Mai 2025 personenbezogene Daten verarbeitet werden. Aufgrund der eingeschränkten Möglichkeit zur Löschung von Daten aus einem KI-Modell wurde ein nahezu unheilbarer Zustand geschaffen.

• Dirk Koch
• Olga Stepanova

Cybervorfälle stellen Unternehmen heute vor weit mehr als nur technische Herausforderungen. Sie sind vielmehr komplexe juristische Stresstests, in denen sich zeigt, ob ein Unternehmen in der Lage ist, seine Handlungsfähigkeit und Reputation zu bewahren. Die Bewältigung solcher Krisen (Incident Response) erfordert eine disziplinierte, strategisch ausgerichtete Kommunikation, robuste vertragliche Vorkehrungen und eine lückenlose Dokumentation aller Entscheidungsprozesse.

• Alexander Gottwald

Art. 91 DS-GVO gestattet Kirchen und religiösen Gemeinschaften unter bestimmten Umständen die Anwendung eigener Datenschutzregelungen – ein Privileg, das bei ökumenischen Zusammenschlüssen kirchlicher Träger zu komplexen Zuständigkeitsfragen führt. Der Beitrag beleuchtet die datenschutzrechtlichen Herausforderungen bei gemeinsamen Einrichtungen von katholischen und evangelischen Trägern und zeigt, wie Mehrheitsverhältnisse, kirchliche Werteordnungen und tarifliche Bindungen die Anwendung des jeweiligen Datenschutzrechts beeinflussen.

• Thomas Fuchs

Künstliche Intelligenz hat ein Stadium erreicht, in dem sie nicht nur assistiert, sondern auch Aufgaben abnehmen und eigenständig durchführen kann. Von der Terminbuchungssoftware bis hin zum elektronischen Sales-
Agent, der am Telefon Verträge abschließt, oder der intelligenten Kamera zur Ermittlung von Falschparkern – automatisierte Systeme sind mittlerweile relativ zuverlässig in der Lage, Entscheidungen mit Auswirkungen auf einzelne Menschen zu treffen.

• Maximilian Kroker

„Die DSGVO bleibt unberührt“ – eine hoffnungsvolle Behauptung, die schon bei KI-VO & Co. schnell verpufft ist. Nun kommt der Cyber Resilience Act (CRA) und es fragt sich: Wie wird das Zusammenspiel hier laufen? Der Aufsatz gibt einen Überblick über den gemeinsamen Anwendungsbereich der Gesetze und die praktische Auswirkung von Überschneidungen anhand konkreter Anwendungskonstellationen.

• Dr. Stefan Brink

Gerade eben noch schien die Datenschutzwelt fest zementiert zu sein: Die europäische DS-GVO als Fixstern des Datenschutzes, unerreicht doch unverrückbar; nationales Datenschutzrecht, das sich in seine Rolle als Lückenfüller hineingefunden hatte und selbst übrig gelassene Regelungsräume wie den Beschäftigtendatenschutz nicht mehr „spezifischer“ (Art. 88 DS-GVO) auszufüllen vermochte; betriebliche Datenschutzbeauftragte, die sich mit ihrer Beraterrolle immer weiter anfreundeten.

• Philipp Müller-Peltzer
• Ilan Leonard Selz
• Yakin Surjadi

Der EuGH hat mit Urteil vom 4. September 2025 (C-655/23) zwei Fragen des Datenschutzrechts geklärt, die in der Praxis seit Langem diskutiert wurden. Zum einen stellte der EuGH klar, dass die DSGVO selbst keinen präventiven, unionsrechtlich verankerten Anspruch auf Unterlassung vorsieht, also kein unionsrechtliches Instrument bereithält, um den Verantwortlichen präventiv auf künftige Rechtstreue festzulegen.

• Philipp Müller-Peltzer
• Ilan Leonard Selz
• Yakin Surjadi

Das Vereinigte Königreich erzwingt aktuell eine Einschränkung der Ende-zu-Ende-Verschlüsselung von iCloud-Backups durch Apple. Apple hat am 23.09.2025 bestätigt, dass „Advanced Data Protection“ (ADP) in UK für neue Nutzer nicht mehr angeboten wird und bestehende Nutzer es in den kommenden Wochen selbst deaktivieren müssen, wenn sie iCloud weiter nutzen wollen.

• Philipp Müller-Peltzer
• Ilan Leonard Selz
• Yakin Surjadi

Mit seinem Anwendungsbeginn am 12. September 2025 markiert der Data Act (VO (EU) 2023/2854) einen regulatorischen Wendepunkt: Im Zentrum der jüngsten Phase der digitalen Agenda der EU liegt nicht mehr primär der Schutz personenbezogener Daten, sondern die geregelte Zugänglichkeit und Nutzbarmachung von Nutzungsdaten aus vernetzten Produkten und dazugehörigen Diensten.