KI steht aktuell vorwiegend für Chatbots, die Texte schreiben oder Präsentationen vorbereiten, doch die wirklich brisante Entwicklung spielt sich an anderer Stelle ab: bei agentischen KI‑Systemen, die nicht nur antworten, sondern handeln – E‑Mails verschicken, Software installieren, Konfigurationen ändern, Kalender pflegen und eigenständig im Unternehmensnetzwerk operieren. Die neue Frage im Umgang mit KI sollte daher nicht mehr zentral sein, ob eine KI halluziniert, sondern was passiert, wenn ein solcher Agent mit weitreichenden Rechten Fehler macht, manipuliert wird oder schlicht „kreative“ Wege zur Zielerreichung wählt.
(mehr …)Schlagwort: cookie
Ein Cookie ist im technischen Sinne eine kleine Textdatei, die von einer Website auf dem Endgerät eines Nutzers, z.B. Computer, Tablet oder Smartphone, gespeichert wird. Cookies dienen dazu, Informationen über das Surfverhalten eines Nutzers zu speichern und bei wiederholten Besuchen der Website abzurufen. Sie können für verschiedene Zwecke verwendet werden, z. B. zur Personalisierung von Inhalten, zur Speicherung von Anmeldedaten oder zur Analyse des Nutzerverhaltens.
Aus Sicht des Datenschutzes werfen Cookies verschiedene Fragen auf. Einerseits ermöglichen sie es, die Online-Erfahrung des Nutzers zu verbessern, indem personalisierte Inhalte angezeigt werden oder das Einloggen in passwortgeschützte Bereiche erleichtert wird. Andererseits können sie aber auch dazu verwendet werden, das Surfverhalten der Nutzer nachzuvollziehen und personenbezogene Informationen zu sammeln, die ohne deren Wissen und Zustimmung weiterverarbeitet oder an Dritte weitergegeben werden können.
Um die Privatsphäre der Nutzer zu schützen, haben die Gesetzgeber in vielen Ländern, so auch in der Europäischen Union, Vorschriften erlassen, die die Verwendung von Cookies regeln. Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Website-Betreiber, die Nutzer umfassend über die Verwendung von Cookies zu informieren und ihre Zustimmung einzuholen, bevor nicht-essenzielle Cookies auf dem Endgerät des Nutzers gespeichert werden.
Um den Datenschutz zu gewährleisten, sollten Website-Betreiber daher darauf achten, ihre Nutzer transparent über die Verwendung von Cookies zu informieren und deren Einwilligung einzuholen. Die Nutzer wiederum sollten sich darüber im Klaren sein, dass sie durch die Annahme von Cookies möglicherweise persönliche Informationen preisgeben und daher ihre Cookie-Einstellungen entsprechend anpassen, um ihre Privatsphäre zu schützen.
Haftung von Cookie-Drittanbietern bei mangelnder Einwilligung
Das Oberlandesgericht Frankfurt hat mit Urteil vom 11. Dezember 2025 (Aktenzeichen 6 U 81/23) eine Entscheidung zur Haftung von Drittanbietern für die Setzung von Cookies ohne Einwilligung des Nutzers getroffen. Es geht im Kern um die Frage, ob Technologieunternehmen, die im Hintergrund Cookies auf Endgeräten speichern, selbst als Normadressaten des § 25 Telemedien-Datenschutz-Durchführungsgesetzes (TDDDG) anzusehen sind – und damit für Verstöße gegen die Einwilligungspflicht haften.
Diese erste obergerichtliche Entscheidung klärt nicht nur die Reichweite der Norm, sondern setzt auch Maßstäbe für die zivilrechtliche Durchsetzbarkeit von Unterlassungs- und Schadensersatzansprüchen. Besonders bemerkenswert ist die klare Positionierung des Senats: Selbst wenn ein Drittanbieter vertraglich mit dem Webseitenbetreiber vereinbart hat, Cookies nur bei Vorliegen einer Einwilligung zu setzen, entbindet dies nicht von der eigenen Verantwortung.
(mehr …)
KG Berlin zur Unzulässigkeit von Login-Pflichten bei Online-Kündigungen
Die Digitalisierung hat den Abschluss von Verträgen für Verbraucher so einfach wie nie zuvor gemacht – doch deren Beendigung gestaltet sich oft weitaus umständlicher. Mit einem aktuellen Urteil vom 18. November 2025 hat der 5. Zivilsenat des Kammergerichts Berlin klargestellt, dass Unternehmen Verbrauchern keine unnötigen Hindernisse bei der Kündigung von Dauerschuldverhältnissen in den Weg legen dürfen.
In der aktuellen Entscheidung (Az.: 5 UKI 10/25) geht es vorrangig um die Auslegung des § 312k BGB, der seit 2021 spezifische Anforderungen an die Gestaltung von Kündigungsprozessen im elektronischen Geschäftsverkehr stellt. Im Mittelpunkt stand die Frage, ob eine Kündigungsschaltfläche, die Verbraucher zunächst zur Eingabe von Login-Daten zwingt, den gesetzlichen Vorgaben entspricht. Das Gericht verneinte dies und setzte damit ein deutliches Signal für mehr Verbraucherfreundlichkeit bei der Vertragsbeendigung.
(mehr …)
Disruptive Strafverfolgung: Cybercrime-Ermittlungen im Wandel
Die Art und Weise, wie digitale Ermittler in Deutschland und Europa heute arbeiten, hat sich fundamental gewandelt – längst noch nicht von allen Akteuren bemerkt. Ich selbst beobachte als Cybercrime-Strafverteidiger in meinen eigenen Cybercrime-Verfahren seit Jahren, wie die Dinge sich ändern – dazu kommen die zahlreichen Informationen, die ich aus meinem Netzwerk von Mandanten und auch Kollegen erhalte. Und ich kann nur sagen:
Es wird Zeit, aufzuwachen. Denn gerade deutsche Ermittler sind extrem hartnäckig und wissen internationale Instrumente extrem gut auszuspielen. Vor allem die Sonderstaatsanwaltschaften in Köln, Frankfurt und Bamberg muss man international auf dem Schirm haben, die mit ihrem Konzept der „disruptiven Strafverfolgung“ eine ganz neue Form der Ermittlungsarbeit etablieren.
Hinweis: Im November 2025 habe ich mich auf dem „Herbstkolloquium 2025“ („Digitalisierung des Strafprozesses“) dazu in einem Panel mit OStA Benjamin Krause (ZIT Frankfurt) „entgegengestellt“. Zu dem Thema auch hier auf LinkedIn sowie zur Veranstaltung hier von mir mehr; ich habe inzwischen auch eine kritische Position dazu in Ferner CyberStR 2026, 117 veröffentlicht.
(mehr …)
IOCTA Cyberkriminalität 2025
Der aktuelle Internet Organised Crime Threat Assessment (IOCTA) 2025 von Europol zeigt: Daten sind längst zur universellen Währung der Unterwelt geworden – als Handelsware, als Werkzeug und als Zielscheibe zugleich. Was früher vor allem Kreditkartennummern oder Passwörter betraf, ist heute ein komplexes, vernetztes Ökosystem, in dem persönliche Informationen, Systemzugriffe und selbst KI-generierte Inhalte zu einer Bedrohung für Unternehmen, Privatpersonen und kritische Infrastrukturen werden.
(mehr …)
VG Köln: Keine gemeinsame Verantwortlichkeit bei Meta-Fanpages
In der datenschutzrechtlichen Debatte um die Zulässigkeit von Fanpages auf sozialen Netzwerken galt bislang als nahezu gesichert, dass Betreiber und Plattformanbieter gemeinsam im Sinne von Art. 26 DSGVO für die Datenverarbeitung verantwortlich sind.
In einer aktuellen Entscheidung hat sich das Verwaltungsgericht Köln (Urteil vom 17.07.2025 – 13 K 1419/23, nicht rechtskräftig) mit der datenschutzrechtlichen Verantwortlichkeit für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Betrieb einer behördlichen „Fanpage“ in einem sozialen Netzwerk befasst. Im Zentrum standen Fragen zur Anwendbarkeit des § 25 TTDSG, zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO sowie zur datenschutzrechtlichen Relevanz von Cookie-Bannern und den ihnen zugrunde liegenden Datenverarbeitungsprozessen.
(mehr …)
Cookie-Banner: Strengere Maßstäbe für wirksame Cookie-Einwilligungen
Der Gestaltung von Cookie-Bannern kommt für die Praxis enorme Bedeutung zu: Einerseits wollen Website-Betreiber Tracking und Werbeeinnahmen sichern, andererseits verlangt das Datenschutzrecht eine freiwillige, informierte und eindeutige Einwilligung. Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 (10 A 5385/22) präzisiert, wie ein Cookie-Banner beschaffen sein muss, um diesen Anforderungen zu genügen. Das Urteil ist ein klares Signal gegen manipulative „Dark Patterns“ in Einwilligungsbannern.
(mehr …)
Lotus Blossom: Unbekannte stille Gefahr aus dem Cyberspace
In der Welt der Cyberkriminalität gibt es wenige Gruppen, die so effektiv und langlebig agieren wie die Hackergruppe Lotus Blossom. Seit mindestens 2012 führt diese Gruppe gezielte Spionagekampagnen in Südostasien durch und hat dabei eine bemerkenswerte Fähigkeit zur Anpassung und Tarnung entwickelt. Ihr Hauptwerkzeug: ein raffiniertes Backdoor-Malware-Programm namens Sagerunex, das über die Jahre kontinuierlich weiterentwickelt wurde.
(mehr …)
LG Lübeck zur Datenerhebung durch die Meta Business Tools
Mit dem Landgericht Lübeck (Az. 15 O 269/23) hat ein weiteres Gericht eine grundsätzliche Entscheidung zur Datenerhebung durch die „Meta Business Tools“ getroffen. Die zentrale Frage war, ob Meta personenbezogene Daten von Internetnutzern erheben, speichern und weiterverarbeiten darf, wenn diese außerhalb der Meta-Plattformen auf Drittseiten und Apps unterwegs sind.
Das Gericht stellte klar, dass diese Praxis ohne eine wirksame Einwilligung der betroffenen Personen einen gravierenden Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) darstellt. Insbesondere betonte das LG Lübeck, dass Meta selbst als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO einzustufen ist und somit direkt für die Datenverarbeitung haftet.
(mehr …)
OLG Frankfurt: Anbieter von Unternehmenssoftware haftet für rechtswidrige Cookie-Speicherung
Das Urteil des Oberlandesgerichts Frankfurt am Main (27.06.2024, Az. 6 U 192/23) setzt einen wichtigen Meilenstein im Bereich des Datenschutzes und der Verantwortlichkeit für Cookies auf Webseiten. Es stellt klar, dass ein Anbieter von Unternehmenssoftware auch dann haftet, wenn seine Software Cookies ohne Zustimmung speichert, selbst wenn nach den AGB die Webseiten-Betreiber für die Einholung der Einwilligung verantwortlich sind. Diese Besprechung beleuchtet die rechtlichen Aspekte und Tragweite der Entscheidung.
(mehr …)
Kein Anspruch eines Nutzers eines sozialen Netzwerks auf Datenspeicherung in Europa
In einem Urteil des LG Traunstein (Az. 9 O 173/24) wird sich sich mit dem Anspruch eines Nutzers eines sozialen Netzwerks befasst, der verlangte, dass seine personenbezogenen Daten ausschließlich in Europa gespeichert und verarbeitet werden. Hierbei stehen zentrale Themen der Datenschutz-Grundverordnung (DSGVO) im Fokus, insbesondere im Hinblick auf die internationale Datenübermittlung, die Verarbeitung von Daten durch das soziale Netzwerk und die Informationspflichten des Betreibers.
(mehr …)
Verordnung: Anforderungen an Dienste zur Einwilligungsverwaltung
Eine aktuelle Verordnung der Bundesregierung behandelt die Anforderungen an Dienste zur Einwilligungsverwaltung nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) und ändert die Besondere Gebührenverordnung Telekommunikation.
Die Zielsetzung der Verordnung ist es, ein nutzerfreundliches und wettbewerbskonformes Verfahren zur Verwaltung von Einwilligungen von Endnutzern für digitale Dienste zu schaffen, insbesondere im Kontext der Speicherung und dem Abrufen von Informationen durch Cookies oder ähnliche Technologien.
(mehr …)
Vorsicht bei Studien zu großen Sprachmodellen (LLMs)
Eine frühere Studie mit dem Titel „Physics of Language Models: Part 2.1, Grade-School Math and the Hidden Reasoning Process“, stellte die Leistungsfähigkeit von Transformer-Modellen bei der Lösung elementarer mathematischer Textaufgaben in den Mittelpunkt. Diese Arbeit behauptet, tiefgreifende Einsichten in die Fähigkeiten von großen Sprachmodellen (LLMs) zu liefern.
Jedoch zeigt eine kritische Analyse von Ernest Davis von der New York University, dass diese Studie ein hervorragendes Beispiel dafür ist, wie vorsichtig man bei der Bewertung und Interpretation von Forschungsergebnissen im Bereich der LLMs sein muss.
(mehr …)
Digitale-Dienste-Gesetz (DDG)
Das Digitale-Dienste-Gesetz dient der Umsetzung der europäischen Verordnung über einen Binnenmarkt für digitale Dienste (Digital Services Act, DSA) und führt zu wesentlichen Änderungen im deutschen Recht.
(mehr …)
Die neue EDPB-Meinung zu Consent-or-Pay-Modellen: Was bedeutet das für große Online-Plattformen?
Am 17. April 2024 hat das Europäische Datenschutzgremium (EDPB) eine wichtige Stellungnahme zur Verwendung von Consent-or-Pay-Modellen durch große Online-Plattformen veröffentlicht.
Diese Modelle, bei denen Nutzer zwischen der Zustimmung zur Datenverarbeitung und einer Zahlung wählen müssen, stehen schon lange im Fokus der Datenschutzdiskussionen. Die EDPB-Stellungnahme bietet nun klare Richtlinien, wie solche Modelle rechtskonform gestaltet werden können.
(mehr …)