Datenschutz-Newsletter Januar 2025

02.02.2026, 13:06 Uhr

TÜV Rheinland beschäftigt sich zur Weihnachtszeit mit KI in Kinderspielzeug

Der aktuelle Trend zu interaktivem Lern- und Unterhaltungsspielzeug, das mit künstlicher Intelligenz arbeitet, birgt Chancen und Risiken für Kinder und Eltern. Am Beispiel einer modernen Autorennbahn, die Fahrbewegungen selbstständig steuert und das Fahrverhalten der Nutzer analysiert, wird deutlich, wie stark digitale Funktionen inzwischen in klassische Spielwaren integriert sind. Diese neue Technik verspricht erlebnisreichen Spielspaß und kann Fahrfehler automatisch ausgleichen, wirkt zugleich aber komplexer und weniger vorhersehbar als herkömmliches Spielzeug.

Prüferinnen und Prüfer des TÜV Rheinland berichten, dass sie sich zunehmend mit solchen hochtechnischen Produkten beschäftigen müssen. Während traditionelle Tests sich vor allem auf mechanische Sicherheit, Brennbarkeit oder Stabilität konzentrieren, entstehen bei KI-basierten Spielwaren neue Prüffelder. Dazu gehören etwa der Umgang mit Datenerfassung, reagierende Sprachsysteme sowie die Frage, wie diese Geräte auf unerwartete Eingaben von Kindern reagieren. Nach Einschätzung der Fachleute befindet sich die Technik in diesem Bereich noch am Anfang, könnte jedoch mittelfristig zu einem sensiblen Risikofeld werden.

Besonders kritisch wird bewertet, dass Lernspielzeuge dialogähnliche Funktionen bieten, ohne dass sie vollwertig intelligente Systeme sind. Sie passen sich zwar an Tempo und Niveau eines Kindes an und können damit das Lernen strukturieren, beantworten aber möglicherweise auch Fragen, die für Kinder ungeeignet oder gefährlich sind. Ob die Ausgabe solcher Antworten verständlich, verantwortungsvoll und altersgerecht erfolgt, hängt stark von der Programmierung des Herstellers ab und ist nicht einheitlich geregelt.

Daneben speichern viele Geräte Sprachdaten oder Videoinformationen, teilweise ohne dass Nutzerinnen und Nutzer genau wissen, wie diese verarbeitet werden. Fehlende oder leicht zu umgehende Sicherheitsmechanismen können dazu führen, dass vertrauliche Daten abgegriffen oder missbraucht werden. Gleichzeitig existieren nach Aussage der TÜV-Experten bislang nur begrenzte gesetzliche Standards für KI-Funktionen in Spielwaren, was die Verantwortung in erster Linie bei den Eltern belässt.

KI-gestütztes Spielzeug kann individuelle Lernimpulse geben und neue Spielerlebnisse ermöglichen, bringt jedoch zugleich offene Sicherheits- und Datenschutzfragen mit sich. Solange verbindliche Regeln und robuste Schutzmechanismen fehlen, bleibt ein vorsichtiger und begleiteter Umgang durch erwachsene unerlässlich. Daher wird empfohlen, smartes Spielzeug nicht unbeaufsichtigt zu überlassen und sich vor dem Kauf gründlich über Funktionen, Datenspeicherung und Herstellerangaben zu informieren.

Löschung von Schufa-Zahlungsinformationen: Revision vorm BGH erfolgreich, Ausgang der Berufung noch offen

Der BGH (Urt. v. 18.12.2025, Az. I ZR 97/25) hat entschieden, dass die Schufa Informationen über beglichene Zahlungsausfälle grundsätzlich auch nach Erledigung der Forderung weiter speichern darf.

Gegenstand des ursprünglichen Verfahrens war die Klage eines Mannes, der Schadensersatz verlangte, weil die Schufa beglichene Forderungen weiterhin gespeichert hatte. Das Unternehmen bewertet die Bonität von Verbraucherinnen und Verbrauchern anhand von Score-Werten und stellt diese Daten Kreditinstituten und anderen Unternehmen zur Verfügung. Dabei werden auch bereits ausgeglichene Zahlungsstörungen für einen bestimmten Zeitraum in den Systemen gespeichert.

Das OLG Köln hatte zunächst zu Gunsten des Klägers entschieden und eine sofortige Löschpflicht angenommen. Der BGH hob dieses Urteil jedoch auf und verwies den Fall zur erneuten Prüfung zurück. Das Berufungsgericht muss nun feststellen, ob die Speicherung im konkreten Einzelfall über den gesamten Zeitraum verhältnismäßig war.

Da es keine eindeutige gesetzliche Regelung zur Speicherdauer der o. g. Daten gibt, orientieren sich Wirtschaftsauskunfteien in Deutschland an einem gemeinsamen Verhaltenskodex (Sog. Code of Conduct). Dieser wurde von der hessischen Datenschutzaufsicht genehmigt und sieht in der Regel eine dreijährige Speicherung erledigter Forderungen vor; in Ausnahmefällen kann die Frist auf 18 Monate verkürzt werden. Nach Auffassung des BGH stellt dieses Regelwerk einen angemessenen Ausgleich zwischen den Interessen betroffener Personen und den Informationsbedürfnissen der Wirtschaft dar. Eine sofortige Löschung nach Zahlung ist daher nicht zwingend erforderlich. Der BGH betont jedoch, dass besondere persönliche Umstände ein gesteigertes Löschungsinteresse begründen können. Wenn die Interessenabwägung im Einzelfall zu dem Ergebnis führt, dass eine kürzere Speicherdauer angemessen gewesen wäre, kommt ein Anspruch auf Schadensersatz nach der DSGVO grundsätzlich in Betracht.

Der Kläger sieht seine Erfolgschancen daher weiterhin positiv, da ihm nach eigener Darstellung berufliche Nachteile entstanden seien. Die Schufa bewertete die Entscheidung als Bestätigung ihrer Speicherpraxis, machte jedoch deutlich, dass sie eine klarere gesetzliche Regelung für erforderlich hält. Aus Sicht des Unternehmens besteht weiterhin Bedarf an verbindlichen Vorgaben, um Rechtssicherheit für Verbraucher, Unternehmen und Gerichte zu schaffen. Wie der Gesetzgeber hierauf reagieren wird, bleibt offen. Zunächst setzt sich das Verfahren vor dem OLG Köln fort.

EuGH: Kein Provider-Privileg für Plattformbetreiber

Der EuGH hat mit dem Urteil (Urteil vom 2. Dezember – C-492/23) im Fall „Russmedia“ das Verhältnis zwischen Datenschutzrecht und dem Haftungsprivileg für Plattformbetreiber neu bestimmt. Nach Auffassung des Gerichts können sich Betreiber von Online-Marktplätzen bei der Verarbeitung personenbezogener Daten nicht auf das sogenannte Provider-Privileg berufen. Damit erhält die DSGVO Vorrang vor den Haftungserleichterungen aus dem Digital Services Act und der E-Commerce-Richtlinie. Gemäß diesen haften Betreiber sog. Hosting-Dienste grundsätzlich nicht für nutzergenierte Inhalte, sofern sie keine tatsächliche Kenntnis von rechtswidrigen Inhalten haben oder nach Kenntnis ohne schuldhaftes Zögern tätig werden. Ungeklärt war, ob dieses Provider-Privileg auch die Verarbeitung personenbezogener Daten erfasst.

Im gegenständlichen Fall war auf einer Kleinanzeigenplattform ohne Zustimmung der Betroffenen eine Anzeige mit sexuellem Inhalt unter ihrem Namen veröffentlicht worden. Obwohl der Betreiber die Anzeige nach einem Hinweis entfernte, verbreiteten sich die Inhalte weiter. Der EuGH stellte klar, dass nicht nur der einstellende Nutzer, sondern auch der Plattformbetreiber datenschutzrechtlich verantwortlich sein kann. Entscheidend sei, ob der Betreiber aus eigenem wirtschaftlichem Interesse an der Verarbeitung beteiligt ist und wesentlichen Einfluss auf deren Ausgestaltung nimmt. Dazu zählen etwa die Einräumung von Nutzungsrechten an Anzeigen, die Zulassung anonymer Inserate sowie die Festlegung von Darstellung, Struktur und Veröffentlichungsdauer.

Auf dieser Grundlage werden nun konkrete Pflichten für Plattformbetreiber abgeleitet. Diese sollen bereits vor der Veröffentlichung prüfen, ob Anzeigen sensible personenbezogene Daten enthalten, insbesondere Angaben zum Sexualleben. Zudem müssen sie kontrollieren, ob der Nutzer tatsächlich die betroffene Person ist oder eine ausdrückliche Einwilligung vorliegt. Ergänzend sind technische und organisatorische Maßnahmen erforderlich, um eine unrechtmäßige Weiterverbreitung solcher Inhalte zu verhindern oder zumindest einzuschränken. Datenschutzverstöße müssen damit präventiv unterbunden werden.

Besonders weitreichend ist die Klarstellung, dass das Provider-Privileg in diesem Bereich nicht greift. Während Plattformen bei anderen rechtswidrigen Inhalten oft erst nach Kenntnis haften, bleibt die datenschutzrechtliche Verantwortung unabhängig von einer vorherigen Meldung bestehen. Diese strenge Auslegung wird kritisch gesehen, da sie erhebliche Haftungsrisiken schafft und faktisch zu umfassenden Kontroll- und Filtermechanismen führen kann. Kritiker befürchten, dass dies nicht nur den Aufwand für Betreiber erhöht, sondern auch negative Folgen für Meinungs- und Informationsfreiheit im Internet haben könnte.