Im Dezember 2025 gab die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) ein Merkblatt zu Verständigungen in datenschutzrechtlichen Verfahren über Geldbußen aus.

Verfahren über Geldbußen, die durch die zuständigen Datenschutzbehörden geführt werden, können in geeigneten Fällen mit einer einvernehmlichen Verständigung (sog. Settlement) beendet und damit verkürzt werden. Es bietet sich vor allem für solche Verfahren an, deren weitere Bearbeitung einen erheblichen Aufwand durch die rechtliche Auseinandersetzung in der Begründung des Bußgeldbescheides, Abgabe an die Staatsanwaltschaft im Hinblick auf umfangreiche Einspruchsbegründungen und Unterstützung des Gerichts und der Staatsanwaltschaft im gerichtlichen Verfahren bedingen würde.

Voraussetzungen sind

1. Es handelt sich um ein nationales Verfahren ohne grenzüberschreitenden Bezug,
2. Es gibt keine abweichenden Vorgaben des EDSA
3. Die Verständigung erfolgt freiwillig
4. Die Beweislage muss dahingehend geprüft sein, ob der bzw. dem Betroffenen die Tat voraussichtlich mit der für eine Verurteilung erforderlichen Wahrscheinlichkeit nachgewiesen werden kann und
5. der Betroffene muss sich im Rahmen der Verständigung geständig einlassen, ebenso für die Zumessung der Geldbuße relevanten Umstände

Ab dem 15.01.2025 erhält jeder Versicherte ohne sein Zutun eine elektronische Behandlungsakte. Wer keine initiale Einrichtung der ePA möchte, muss dem widersprechen. Der Widerspruch muss gegenüber der jeweiligen Krankenkasse abgegeben werden, bei der der Patient versichert ist. Der Widerspruch kann vollumfänglich erfolgen oder einzelne Funktionen betreffen.

Die elektronische Behandlungsakte ist eine patientengeführte Akte, in der Patienten ihre gesundheitsbezogenen Daten speichern und verwalten können. Der Patient entscheidet, welche Daten in der elektronischen Behandlungsakte gespeichert und wieder gelöscht werden, und sie entscheiden, wer Zugriff auf welche Daten erhält. Darüber hinaus können Versicherte eigene Dokumente und Daten einstellen. Die elektronische Behandlungsakte ermöglicht den Austausch von Daten des Patienten zwischen den an seiner Behandlung beteiligten Leistungserbringern.

Zugriff auf die Akte kann der Versicherte durch das Einstecken seiner Gesundheitskarte im eHealth-Kartenterminal des Leistungserbringers, über die App der jeweiligen Krankenkasse oder mittels GesundheitsID erteilen.

Datenschutzrechtlich ist an der elektronischen Behandlungsakte zu kritisieren, dass keine aktive Einwilligung in die Erstellung und Verwendung erfolgen muss, wie es die Datenschutzgrundverordnung grundsätzlich fordert. Um Zugriffsmöglichkeiten auf die Akte einzuschränken, müssen Versicherte eine App nutzen. Alternativ können sich Versicherte an die Ombudsstelle bei der Krankenkasse werden, was viel aufwändiger ist.  Dem Einstellen von Behandlungsdaten müssen Versicherte dann zudem wiederum gegenüber den behandelnden Ärzt*innen oder anderen Gesundheitsdienstleistern widersprechen. Die elektronische Behandlungsakte birgt ein erhöhtes Risiko für die besonders schützenswerten Gesundheitsdaten. Der Zugang zu diesen Daten liegt im Interesse diverser Angreifer. Die Telematikinfrastruktur, die von der gematik GmbH betrieben wird, weist laut Sicherheitsexperten noch gravierende Schwachstellen auf.

Update: Aufgrund einer Gesetzesänderung die am 06.02.2026 in Kraft tritt, heißt die "elektronische Patientenakte" fortan "elektronische Behandlungsakte".

Seit Februar dieses Jahres ist die KI-Kompetenz für alle Personen verpflichtend, die KI-Systeme im Arbeitsalltag einsetzen.

Die notwendige KI-Kompetenz ist abhängig von den technischen Kenntnissen, Vorerfahrungen, die Ausbildung und Schulung der jeweiligen Person und den Einsatzbereich des KI-Systems und letztlich der Rolle des Arbeitgebers (Betreiber oder Anbieter von KI).

Mit dieser Kompetenz soll sichergestellt sein, dass die Anwender die Risiken der Nutzung von KI für sich selbst und für diejenigen verstehen, die vom Einsatz der KI betroffen sind. Demnach benötigen beispielsweise Anwender aus dem Bereich HR und IT-Sicherheit mehr Kompetenz als ihre Kollegen aus anderen Bereichen.

KI-Kompetenz beinhaltet ein grundlegendes Verständnis von Künstlicher Intelligenz sowie deren Chancen und Risiken. Darüber hinaus benötigt der Anwender ein grundlegendes Wissen über das Gesetz zur Künstlichen Intelligenz, das Datenschutzrecht und über die zusätzlichen Anforderungen weiterer betroffener Rechtsbereiche, wie dem Urheberrecht und dem Geschäftsgeheimnisgesetz.

Wie alle anderen Schulungen, die aus Compliance-Gründen erfolgen, kann für die Schulung zur KI-Kompetenz ein Schulungskonzept erstellt werden. Zunächst sollte das Basiswissen für alle vermittelt werden und später themen- bzw. tätigkeitsspezifischen Vertiefungen angeschlossen werden.

Erster Schritt ist die Identifikation von KI im Unternehmen. Viele bereits im Unternehmen seit Jahren verwendete Anwendungen (wie zum Beispiel Microsoft Office) werden durch KI erweitert. Danach sollte ermittelt werden, welche Risiken diese Anwendungen bergen; welche Mitarbeitenden direkt mit dem System arbeiten und welches Vorwissen diese Mitarbeitenden haben.

Neben den Schulungen sollte eine Richtlinie für den Umgang mit KI-Systemen erstellt werden, in denen Standards definiert werden und Vorgehensweisen und Verhaltensregeln für die Nutzung von KI sowie ein zentraler Ansprechpartner für Fragen rund um KI festgeschrieben werden.

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) wird umbenannt. Hintergrund ist die sprachliche Anpassung des Wortes „Telemedien“. Diese heißen nun „digitale Dienste“. Dementsprechend wird das Gesetz in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz umbenannt, kurz TDDDG. Das Gesetz regelt den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten.

Darüber hinaus wird das Telemediengesetz (TMG) durch das Digitale-Dienste-Gesetz (DDG) ersetzt. Das DDG gilt für alle Online-Diensteanbieter und betrifft somit fast jeden Webseitenbetreiber.

Sofern die Gesetze in der Datenschutzerklärung und im Impressum angegeben sind, ist die Bezeichnung zu ändern. Es besteht jedoch keine gesetzliche Pflicht zur Angabe des Paragraphen. Inhaltlich hat sich nichts geändert.

Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft („DPA“) für den Einsatz von „Microsoft 365“ erarbeitet.

Die vorgegebene Auftragsverarbeitungsvereinbarung von Microsoft entspricht in Ihrer derzeitigen Form nicht den Anforderungen des Art. 28 Abs. 3 DSGVO. Die von den Aufsichtsbehörden erarbeitete Handreichung soll den datenschutzechtlich Verantwortlichen helfen, die Problemfelder zu erkennen und auf vertragliche Änderungen hinzuwirken.

Die Handreichung kann hier abgerufen werden: https://www.lfd.niedersachsen.de/download/199434