Der 8. Jahresbericht des Bremer Landesbeauftragten für Datenschutz und Informationsfreiheit wurde im März 2026 veröffentlicht. Er ist weitaus mehr als eine Sammlung von Datenschutzverstößen, denn er gibt einen umfassenden Überblick über die Tätigkeiten der Datenschutzbehörde und zeigt relevante Entwicklungen und Fragestellungen auf.

Bei der Durchsicht sind mir einige Themen aufgefallen, über die wir sprechen sollten. Ja, KI und Datenschutz ist dabei. Ebenso wie der Einsatz von Microsoft 365 und der Beschäftigtendatenschutz.

Verhältnis von KI und Datenschutz

2025 war das Verhältnis von Künstlicher Intelligenz und Datenschutz ein zentrales Thema und das ist es noch, denn so wirklich geklärt ist bisher nichts. Theoretisch ist in der KI-Verordnung verankert, dass diese den Schutz der personenbezogenen Daten gemäß DSGVO nicht einschränkt. Das Urteil des OLG Köln vom 23. Mai 2025 (15 UKl 2/25) vermittelt allerdings ein anderes Bild.

Kurz zum Hintergrund: Meta hatte im vergangenen Jahr angekündigt, öffentlich zugängliche Inhalte von Facebook- und Instagramkonten seiner volljährigen Nutzer für das KI-Training zu verwenden. Als Rechtsgrundlage benannte der Konzern das berechtigte Interesse nach Art. 5 i.V.m. Art. 6 I lit. f) DSGVO. Die Verbraucherzentrale NRW stellte daraufhin einen Eilantrag beim OLG Köln auf Erlass einer einstweiligen Verfügung gegen das KI-Training mit Nutzerdaten. Auf der Grundlage einer summarischen Prüfung, das ist eine oberflächliche Prüfung des Sachverhalts und der Rechtslage, wies das OLG Köln den Antrag ab und bestätigte damit, dass Meta sich auf das berechtigte Interesse als Rechtsgrundlage stützen könne.

Wie die Bremer Datenschutzbehörde gehe auch ich mit diesem Urteil nicht mit.

• Erstens hat Meta seinen Sitz nicht in Europa. Dies wäre aber Voraussetzung, wenn man sich die Begründung des Gerichts anschaut. Diese räumt neben den als bedeutsam einzuschätzenden Interessen von Meta auch der Führungsrolle, die die EU gemäß KI-Verordnung bei der Entwicklung von vertrauensvollen, sicheren und ethisch vertretbaren KI-Systemen einnehmen möchte, ein hohes Gewicht ein (Oberlandesgericht Köln, am angeführten Ort, Randnummer 100).
• Zweitens könnte auf Basis dieses Urteils zukünftig jeder Betreiber eines „kostenfreien“ Portals, das Nutzer mit ihren Daten bezahlen, die Daten zum KI-Training weiterverwenden. Das kann nicht im Sinne des Gesetzgebers sein, wenn es um Grundrechtsschutz geht.

Wer soll die Aufsicht über KI-Systeme führen?

Nach dem derzeitigen Gesetzentwurf des Bundesministeriums für Digitales und Staatsmodernisierung soll die Bundesnetzagentur die Marktüberwachungsbehörde für die KI-Systeme werden – auch für Hochrisiko-KI-Systeme.

Ich stelle die Sinnhaftigkeit dieses Vorschlags in Zweifel. Das Thema gehört zwar definitiv in die Hände einer Bundesbehörde, da es von bundeslandübergreifender Relevanz ist. Es gibt aber bereits zwei Bundesbehörden, die wesentlich näher am Thema sind und über entsprechende Kompetenzen verfügen. Ich rede von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die BfDI hat aufgrund ihrer Datenschutzexpertise das entsprechende Know-how und das BSI hat aufgrund seiner Hoheit über den IT-Grundschutz und NIS2 die nötige Expertise zu einschlägigen IT-Sicherheitsfragen.

Jetzt noch eine Behörde in ein Thema einzubeziehen, das sowohl in den Zuständigkeitsbereich des Datenschutzes als auch in den der IT-Sicherheit fällt, macht mal wieder das typische Kompetenzgerangel der deutschen Behörden deutlich.

Man sieht hier deutlich, dass Deutschland beim Thema KI und Datenschutz noch am Anfang steht. Hier ist noch einiges zu klären, damit praktikable Lösungen gefunden werden können.

Das Dauerthema Microsoft 365

Auch Microsoft 365 stand weiterhin im Fokus der Aufsichtsbehörden und wird im Datenschutzbericht 2025 hinterfragt. Natürlich ist es nicht per se unzulässig, die Tool-Sammlung einzusetzen. Wer sie aber DSGVO-konform nutzen möchte, muss genau hinschauen, Anpassungsmöglichkeiten nutzen und Einbußen bei der Bequemlichkeit hinnehmen.

Ein weiteres Problem ist die Intransparenz der Datenverarbeitung durch Microsoft, eine vollständige Offenlegung erfolgt nicht. Unternehmen müssen sich rein auf die Zusagen des Unternehmens verlassen, die in Teilen unglaubwürdig sind. Betriebliche Datenschutzbeauftragte haben es dadurch schwer, ein korrektes Verzeichnis der Verarbeitungstätigkeiten zu führen. Das ist ein deutlicher Verstoß gegen das Transparenzprinzip aus Art. 5 I DSGVO und in der Folge gegen die Rechenschaftspflicht aus Art. 5 II DSGVO.

Microsoft nutzt die Daten außerdem auch für eigene Zwecke. Wann eine reine Auftragsverarbeitung vorliegt und wann gegebenenfalls eine gemeinsame Verantwortlichkeit, ist für den Nutzer nicht klar ersichtlich. Die erforderlichen Unterlagen/Verträge können zwar heruntergeladen werden, doch da es keine individuellen Anpassungsmöglichkeiten gibt, handelt es sich eher um eine Alibifunktion als um eine Datenschutzmaßnahme.

Microsoft 365 ist und bleibt datenschutzrechtlich ein dauerhafter Kompromiss mit Restrisiko, der ohne eigene Kontrolle über Daten und Systeme nie wirklich „sauber“ wird. Wer Microsoft 365 einsetzt, sollte das wissen.

Meldungen von Datenschutzverstößen 2025

Im Jahr 2025 gab es insgesamt 259 Meldungen von Datenschutzverletzungen im Land Bremen. Das entspricht einem Anstieg von etwa 26,34 Prozent, denn im Vorjahr wurden 205 Meldungen abgegeben.

Quelle: 8. Jahresbericht Datenschutz S. 152

Auffallend ist der weiterhin hohe Anteil von Datenschutzverstößen im Bereich Beschäftigtendatenschutz. Aus meiner Tätigkeit weiß ich, dass der Datenschutz von Beschäftigten gerne als Druckmittel genutzt wird, wenn sie mit ihrem Arbeitgeber unzufrieden sind. Ein erheblicher Anteil arbeitsrechtlicher Streitigkeiten wird von Auskunftsersuchen nach Art. 15 DSGVO begleitet, die als Mittel zum Zweck eingesetzt werden. Leider geraten die echten Verstöße darüber in Misskredit.

Ich empfehle meinen Kunden, ihre internen Prozesse so aufzustellen, dass Auskunftsersuchen unverzüglich und rechtssicher bearbeitet werden, damit sie keine Angriffsfläche mehr bieten.

Fazit

Der Datenschutzbericht 2025 aus Bremen ist natürlich wesentlich umfangreicher als hier dargestellt. Ich habe ein paar aus meiner Sicht zentrale Elemente herausgegriffen, um aktuelle Problemstellungen aufzuzeigen. Bei KI und Datenschutz ist die rechtliche Lage bisher offen und die Pläne der Bundesregierung für die Marktüberwachungsbehörde laufen aus meiner Sicht in die falsche Richtung. Die Nutzung von Microsoft 365 bleibt aus datenschutzrechtlicher Sicht risikobehaftet und Meldestatistiken sollten immer hinterfragt werden, bevor man Rückschlüsse zieht.

Ich unterstütze meine Kunden bei allen Fragen rund um Datenschutz und KI. Vereinbaren Sie einen unverbindlichen Kennenlerntermin, dann finden wir direkt heraus, welche Themen für Sie relevant sind und wie ich Sie unterstützen kann.

Meine Seminare zum Datenschutz und AI-Act liefern weitere hilfreiche Informationen. Hier finden Sie meine aktuellen Angebote.

Der Beitrag Datenschutzbericht 2025 erschien zuerst auf cheyenne-Blog.