Nichts ist so beständig wie der Wandel – oder die datenschutzrechtliche Diskussion über Microsoft 365. Nachdem wir bereits im Oktober 2020 sowie im November und Dezember 2022 den jeweiligen Standpunkt der Datenschutz-Aufsichtsbehörden sowie mögliche Herangehensweisen darstellten, wandte sich nun der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) im November 2025 mit einer – zu Teilen sicher unerwarteten – Pressemitteilung an die Öffentlichkeit: „Microsoft 365 kann datenschutzkonform genutzt werden“ heißt es in der Überschrift. Zu den Hintergründen des vermeintlichen Sinneswandels.

Was bisher geschah

Ende November 2022 hieß es von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder („Datenschutzkonferenz“, kurz: DSK) zuletzt: „Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. […] Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“ Hauptkritikpunkt war demnach im Wesentlichen die vertragliche Grundlage zur Auftragsverarbeitung und daran anknüpfende Aspekte der Transparenz. Microsoft hatte diese Auffassung – wenig überraschend – nicht geteilt und eine entsprechende Stellungnahme veröffentlicht.

Nachdem die Handlungsempfehlungen der Datenschutz-Aufsichtsbehörden zum damaligen Zeitpunkt insbesondere individuelle Vertragsanpassungen vorsahen, die seitens der Verantwortlichen gegenüber Microsoft durchgesetzt werden sollten, vermeldete das Niedersächsische Ministerium für Inneres und Sport im Mai 2024 erstmals die datenschutzkonforme Nutzung von Microsoft Teams auf Basis individuell vereinbarter datenschutzrechtlicher Vereinbarungen – nach Ansicht des LfD Niedersachen zum damaligen Zeitpunkt immerhin ein „akzeptables“ Ergebnis.

Auch der Europäische Datenschutzbeauftragte (EDSB) bestätigte im Juli 2025 den datenschutzkonformen Einsatz von Microsoft 365 bei der EU-Kommission. Nachdem dieser im Frühjahr 2024 einige datenschutzrechtliche Mängel feststellte und konkrete Abhilfemaßnahmen auferlegte, konnte die EU-Kommission die Umsetzung der Maßnahmen letzten Endes nachweisen. Auch hierbei handelte es sich neben der Umsetzung ergänzender technischer und organisatorischer Maßnahmen ebenfalls um die Etablierung zusätzlicher vertraglicher Regelungen.

Zum Ergebnis des HBDI

Im Bericht des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft 365 werden auf 137 Seiten ausführlich die rechtlichen Erwägungen des HBDI sowie daraus erwachsende Handlungsempfehlungen für Organisationen dargelegt. Im Rahmen der Pressemitteilung fasst die hessische Datenschutz-Aufsichtsbehörde das Ergebnis wie folgt zusammen:

„In den Verhandlungen konnte der HBDI feststellen, dass sich nach drei Jahren entscheidende Bedingungen geändert haben. Zum einen haben sich rechtliche Vorgaben verändert wie z. B. die Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Frameworks. Zum anderen hat [Microsoft] seine Datenverarbeitung an europäische Anforderungen angepasst wie z. B. durch die EU-Datengrenze, durch die [Microsoft] fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum verarbeitet.

Drittens hat [Microsoft] Veränderungen in seinem Datenschutzkonzept gegenüber dem HBDI ausführlich erläutert. Viertens konnte der HBDI erreichen, dass [Microsoft] das DPA (für öffentliche Stellen) fortentwickelt hat. Schließlich stellt [Microsoft] zusätzliche Informationen bereit wie z. B. das M365-Kit, das den Verantwortlichen bei seiner datenschutzrechtlichen Dokumentation unterstützt. Das positive Ergebnis beruht auch auf der Erwartung, dass [Microsoft] und die Verantwortlichen zusammenwirken, damit Verantwortliche M365 datenschutzrechtskonform nutzen können.“

Mitunter ausschlaggebend waren eben auch hier vertragliche Anpassungen. Deutlich wird dabei auch, dass seitens des HBDI hauptsächlich vertragliche und dokumentarische Aspekte, nicht jedoch die durch die jeweiligen Anwendungen tatsächlich stattfindenden Verarbeitungen personenbezogener Daten überprüft wurden. Es bedarf also neben gegebenenfalls erforderlichen vertraglichen Ergänzungen weiterhin auch einer fundierten Auseinandersetzung mit der technischen Konfiguration der Microsoft 365-Instanz mitsamt aller Anwendungen und Prozesse.

Fazit

Die Überschrift der Pressemitteilung des HBDI „Microsoft 365 kann datenschutzkonform genutzt werden“ darf nicht missverstanden werden. Zwar konnte Microsoft im Rahmen der Prüfung durch die hessische Datenschutz-Aufsichtsbehörde vermeintliche Mängel ausräumen, die Implementierung und Nutzung von Microsoft 365 setzt durch die jeweiligen Organisationen jedoch weiterhin eine konkrete Betrachtung der genutzten Anwendungen, potenzieller Risiken und vorhandener Einstellungsmöglichkeiten voraus. Ein datenschutzkonformer Betrieb von Microsoft 365 ist damit nicht ausgeschlossen; er kann jedoch nicht pauschal unterstellt werden und entbindet nicht von einer einzelfallbezogenen datenschutzrechtlichen Prüfung und fortlaufenden Steuerung.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Nachdem wir uns in der vergangenen Woche im Rahmen des ersten Teils unseres alljährlichen Jahresrückblicks den Monaten Januar bis Juni gewidmet haben, werfen wir heute einen Blick auf die Monate Juli bis Dezember.

Juli

In den sommerlichen Tagen des Jahres wandten wir uns zunächst zwei relevanten Veröffentlichungen der Bundesnetzagentur sowie des Bundesverband IT-Sicherheit e. V. (TeleTrust) zu. Unter dem Titel „KI-Kompetenzen nach Artikel 4 KI-Verordnung“ veröffentlichte zunächst die Bundesnetzagentur ein Hinweispapier, welches wir im Rahmen unseres Blog-Beitrages „Bundesnetzagentur äußert sich zu KI-Kompetenz“ näher betrachteten. Weiterhin setzten wir uns aufgrund der aktualisierten Fassung der „Handreichung zum Stand der Technik in der IT-Sicherheit“ des TeleTrust mit der Begrifflichkeit des Standes der Technik sowie den wesentlichen Inhalten der Handreichung auseinander – nachzulesen in unserem Beitrag „Zum aktuellen Stand der Technik“.

Ebenfalls im Juli, genauer gesagt am 17. Juli 2025, entschied das Verwaltungsgericht Köln (Az. 13 K1419/23), dass das Bundespresseamt – entgegen des Bescheids des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), seine Facebook-Fanpage zu Zwecken der Öffentlichkeitsarbeit weiterhin betreiben dürfe. Die Hintergründe zum Verfahren und Urteil können in unserem Beitrag „Verwaltungsgericht Köln zu Facebook-Fanpages“ nachgelesen werden. Im August wurde gegen das Urteil Berufung eingelegt.

August

Weiter ging es im August mit der Einordnung von zahlreichen Veröffentlichungen der Datenschutzkonferenz. Hierbei thematisierten wir die „Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen“, die Entschließungen „Confidential Computing“ und „Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit“ sowie das Positionspapier „Datenschutz bei der Terminverwaltung durch Heilpraxen“, welches auch für andere Branchen eine gute Orientierung darstellen kann.

Auch das Ende Juli durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Whitepaper zu „Bias in der künstlichen Intelligenz“ stellten wir im Rahmen eines Blog-Beitrages vor.

September

Statt eines Herbstes der Reformen stand uns ein September der Urteilsbesprechungen bevor. Im Rahmen des Beitrages „Darf § 26 BDSG nun doch nicht mehr angewendet werden?“ ordneten wir zunächst das Urteil des Bundesarbeitsgerichts vom 8. Mai 2025 (8 AZR 209/21) ein und klärten die Frage, welche konkreten Auswirkungen das Urteil auf den Beschäftigtendatenschutz hat.

Anschließend widmeten wir uns der Entscheidung des Gerichts der Europäischen Union vom 3. September 2025 (T-553/23) hinsichtlich des Data Privacy Frameworks (DPF). Auch wenn dieses Urteil zunächst bestätigt, dass die USA zum Zeitpunkt des Erlasses des DPF ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten, wird hierdurch ebenfalls deutlich, dass mit zugrunde legen eines anderen zeitlichen Bezugspunktes hierzu jederzeit auch ein anderslautendes Urteil gefällt werden könnte. Insofern bleibt es bei dem bisherigen Resümee unserer Beiträge zu diesem Thema: Verantwortliche sollten sich zumindest einen möglichen Plan B ohne Data Privacy Framework zurechtlegen.

Und da aller guten Dinge bekanntlich drei sind, widmeten wir uns ebenfalls dem Urteil des Europäischen Gerichtshofs vom 4. September 2025 (C-413/23 P) bezüglich der Reichweite des Begriffs personenbezogener Daten. Ergebnis: Es lebe der relative Personenbezug! Im Rahmen einer Datenübermittlung kommt es beispielsweise entscheidend auf die Mittel an, welche potenziellen Empfängern zur Verfügung stehen, um bestimmten zu können, ob es sich um personenbezogene Daten handelt und damit auch für den Empfänger der Anwendungsbereich des Datenschutzrechts eröffnet ist – oder nicht.

Oktober

Der Cyber Resilience Act (CRA) ist nicht nur ein weiterer europäischer Rechtsakt, sondern die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Grund genug für uns, diesem Thema zu Beginn des Herbstes einen eigenen Blog-Beitrag zu widmen. Denn auch wenn die wesentlichen Anforderungen erst ab Dezember 2027 gelten, wird eine zentrale Norm des CRA bereits im Herbst 2026 anwendbar.

Weiter stellten wir die Inhalte einer vorläufigen Handreichung des BSI zur Schulungspflicht der Geschäftsleitung nach NIS2 dar. Grundlage hierfür bildet § 38 Abs. 3 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG): „Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.“ Welche konkreten Anforderungen sich hieraus für die Praxis ergeben, können Sie unserem Blog-Beitrag entnehmen.

November

Und sprachen wir im Oktober noch vom Entwurf des BSIG und verfolgten bis dahin den scheinbar nicht endenden Prozess zur Etablierung eines NIS2-Umsetzungsgesetzes, war es nun am 13. November 2025 endlich so weit: Der Bundestag verabschiedet die Umsetzung der NIS2-Richtlinie in Deutschland durch das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“.

Und auch bei uns stand der Monat November ganz im Zeichen der IT-Sicherheit und daran unmittelbar angrenzender Themenbereiche: Beginnend bei der Frage, was zu tun ist, wenn plötzlich das E-Mail-Konto kompromittiert ist und wie derartigen Fällen vorgebeugt werden kann, über die Broschüre des BSI zum Business Continuity Management für KMU, bis hin zur aktuellen Lage der IT-Sicherheit in Deutschland 2025.

Nahezu unbemerkt passierten in diesem November der IT-Sicherheit jedoch auch neue Verfahrensregelungen für die Durchsetzung der DS-GVO den Rat der Europäischen Union: Dieser verabschiedete am 17. November 2025 einen neuen Rechtsakt zur Beschleunigung der Bearbeitung grenzüberschreitender Datenschutzbeschwerden. Dieser wird 15 Monate nach Inkrafttreten und somit im ersten Quartal 2027 anwendbar.

Dezember

Aber fest steht auch: Dies wird nicht die letzte Änderung im Kontext der DS-GVO gewesen sein. Der digitale Omnibus, mit dem die Europäische Kommission in Bezug auf die Digitalregulierung deutlich zurückrudern möchte (eigentlich ein untypisches Verhalten für einen Omnibus), wird kommen. Wann und wie genau ist noch unklar. Was das konkret für die DS-GVO bedeuten könnte, thematisierten wir Anfang Dezember in unserem Blog-Beitrag „Warten bis der Bus kommt“.

Dem aber nicht genug. Wie aus einer Besprechung des Bundeskanzlers mit den Regierungschefinnen und Regierungschefs der Länder vom 4. Dezember 2025 hervorgeht, soll die Pflicht zur Benennung des Datenschutzbeauftragten gemäß § 38 Abs. 1 BDSG abgeschafft werden. In Maßnahme 160 heißt es hierzu: „Der Bund wird bis zum 31.12.2026 eine Aufhebung des § 38 Abs. 1 BDSG einbringen und damit die Pflicht zur Bestellung von Datenschutzbeauftragten im nichtöffentlichen Bereich auf die Regelung in Art. 37 DSGVO beschränken.“ Die Frage, ob diese Maßnahme tatsächlich zu einer Entbürokratisierung führt, kann bereits jetzt verneint werden.

Im Hinblick auf solche Entwicklungen kann das Jahr gar nicht schnell genug zu Ende gehen… In diesem Sinne beenden wir nun unseren Jahresrückblick für das Jahr 2025 und erwarten mit Spannung die Entwicklungen, die das kommende Jahr in den Bereichen Datenschutz und Informationssicherheit bereithalten wird. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als Leserinnen und Leser unseres Blogs auch in diesem Jahr begleitet und uns Feedback zu unseren Beiträgen gegeben haben.

Wir wünschen Ihnen nun ein besinnliches Weihnachtsfest im Kreise Ihrer Liebsten sowie
einen guten und gesunden Start in das Jahr 2026!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

„Alle Jahre wieder…“ – So beginnt eines der wohl schönsten und bekanntesten Kinderweihnachtslieder. Außerdem ist es mittlerweile auch gute Tradition geworden, dass wir im Dezember einen kurzen Rückblick auf das vergangene Jahr werfen, also eben auch alle Jahre wieder. Im ersten Teil unseres Jahresrückblick 2025 wollen wir uns den Monaten Januar bis Juni 2025 widmen. Neben unseren Einzelbeiträgen spazieren wir natürlich über das gesamte Jahr hinweg durch die Datenschutz-Grundverordnung.

Januar

In den ersten Januartagen des Jahres sorgten allem vorab zwei Urteile für Aufsehen. In seinem Urteil vom 8. Januar 2025 hat das Gericht der Europäischen Union (EuG) die Europäische Kommission aufgrund einer rechtswidrigen Datenübermittlung in die USA (konkret an Amazon Web Services – AWS) zu einem Schadenersatz in Höhe von 400€ verurteilt (Rs. T-354/22). Zudem beschäftigte sich der Europäische Gerichtshof (EuGH) in seinem Urteil vom 9. Januar 2025 (Rs. C-394/23) mit dem berechtigten Interesse nach Abwägung (Art. 6 Abs. 1 UAbs. 1 lit f) DS-GVO) sowie mit den Anschlussfragen, in welchem Umfang über die Interessenabwägung informiert werden muss und welche Auswirkungen eine fehlende Information auf die Datenverarbeitung hat. Mit dem zweiten Urteil haben wir uns hier auseinandergesetzt.

Während die Evaluierung der Datenschutz-Grundverordnung noch auf sich warten lässt, gab es bereits eine Reform des Datenschutzes der evangelischen Kirche, über die wir berichtet haben. Allerdings sei noch erwähnt, dass die EKD-Synode bereits im November 2024 beschlossen und mit Wirkung zum 1. Mai 2025 ihre Wirkung entfaltet hat.

Abseits von den inhaltlichen Themen war im Januar dieses Jahres für die Datenschutzwelt vor allem das Ableben von Jürgen Taeger ein zentrales und trauriges Thema. Wir haben in unserem Block ebenfalls einen Nachruf verfasst.

Februar

Im Februar gab es mal wieder Anlass sich mit den Fragen rund um Datentransfers in die USA und konkret mit dem EU-U.S. Data Privacy Framework hier und hier zu beschäftigten. Daneben spielte auch der Evergreen, die E-Mail-Verschlüsselung eine Rolle.  Schuld ist das Urteil des Oberlandesgericht (OLG) Schleswig-Holstein vom 18. Dezember 2024 (Az. 12 U 9/24). Das OLG entschied in der Sache, dass die Sicherheitsmaßnahmen (hier: Transportverschlüsselung) nicht für den konkreten Fall der E-Mail-Kommunikation angemessen und ausreichend gewesen sei. Alles zum Nachlesen in unserem Beitrag.

März

Wie derzeit die Politik, beschäftigen auch wir uns mit der Rolle des Datenschutzbeauftragten (DSB). In unserem ersten Beitrag widmen wir uns der Vertraulichkeit des DSB. Hintergrund: Gemäß Art. 38 Abs. 5 DS-GVO ist der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Doch was bedeutet das konkret? Die Antwort gibt es hier. Anschließend gehen auch wir der Frage nach: Was wird aus der Pflicht zur Benennung eines Datenschutzbeauftragten? Die Frage ist für die Umsetzung des Datenschutzrechtes in den verantwortlichen Stellen äußert praxisrelevant.  

Die Informationssicherheit kommt bei uns keines Falles zu kurz. Wir befassen uns mit den Anforderungen der Informationssicherheit auf Auslandsreisen und setzen uns mit dem Fakt auseinander, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) nunmehr als Zertifizierungsstelle nach dem (Rechtsakt zur Cybersicherheit), auch „Cybersecurity Act“ (CSA) fungiert.

In einem weiteren Beitrag betrachten wir eine Schnittstelle zwischen IT-Sicherheit und Datenschutz, konkret welche Erlaubnisnorm trägt, wenn die Umsetzung technischer und organisatorischer Maßnahmen – z. B. nach der NIS-2-Richtlinie – die Verarbeitung personenbezogener Daten fordert. Außerdem hat auch die Sächsische Datenschutz-Aufsichtsbehörde ihren Tätigkeitsbericht für das Jahr 2024 im März veröffentlicht, welchen wir natürlich auch in einem Beitrag betrachtet haben.

April

Im April knüpfen wir an das Thema der Verarbeitung personenbezogener Daten zur Sicherstellung von IT-Sicherheit bzw. Datensicherheit an. Dieses Mal richten wir mit unserem Beitrag den Blick auf Art. 32 DS-GVO.

Wie eingangs bereits angeteasert steht auch eine Reform der Datenschutz-Grundverordnung in Rede. Mit Blick auf die lange Entstehungsgeschichte, wurde in Fachkreisen immer wieder spekuliert, die Europäische Kommission habe in Bezug auf die DS-GVO Angst, die Büchse der Pandora zu öffnen. Doch zwischenzeitlich scheint die Europäische Kommission erkannt zu haben, dass die fortschreitende Digitalregulierung in der Europäischen Union sich zu einem Standortproblem entwickeln könnte. Dass die DS-GVO in den kommenden Jahren eine Anpassung erfährt, wird demnach immer wahrscheinlicher.

Mai

In Fortsetzung der Beiträge aus März und April befassen wir uns auch im Mai mit dem Thema der Sicherheitsanforderungen als Rechtspflicht, der Beitrag befasst sich mit weitergehenden Fragen rund um Art. 32 DS-GVO. Ebenso schauen wir bei Art. 6 Abs. 1 DS-GVO schauen wir einmal genauer hin und fragen uns: Was steht eigentlich in Art. 6 Abs. 1 UAbs. 2 DS-GVO? Diese Norm kann ebenfalls Auswirkungen im Bereich IT- und Cybersicherheit für öffentliche Stellen bzw. Behörden haben.

Juni

Ein anderes datenschutzrechtlich sehr bedeutsames und für die Praxis relevantes Thema adressieren wir im Juni: Anforderungen bei dem Einsatz von KI-Systemen – in einem ersten Beitrag „Datenschutzrechtliche Transparenzanforderungen bei Nutzung von KI“. Neben den Transparenzanforderungen nach der KI-Verordnung kann auch die Datenschutz-Grundverordnung spezifische Regelungen zur Transparenz im Zusammenhang mit einem Einsatz Künstlicher Intelligenz bereithalten. Art. 13 Abs. 2 lit. f) DS-GVO normiert die Bereitstellung von aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer automatisierten Entscheidungsfindung.

Eine weitere für die Praxis bedeutende Norm ist Art. 82 DS-GVO. Hier wird der datenschutzrechtliche Schadenersatzanspruch normiert. So kann es möglicherweise Schadenersatz wegen verspäteter Auskunftserteilung geben.

Last but not least widmet sich ein Beitrag einem Urteil zu Cookie-Banner und Google Tag Manager des Verwaltungsgerichtes Hannover (VG Hannover, Urt. v. 19.3.2025, Az. 10 A 5385/22). In dem Urteil trifft das Gericht konkrete Aussagen zur Ausgestaltung von Lösungen zum Einwilligungsmanagement auf Internetseiten („Cookie-Banner“) sowie zur Einwilligungsbedürftigkeit des Google Tag Manager.

… und in der kommenden Woche geht es weiter mit unserem Jahresrückblick mit den Monaten Juli bis Dezember 2025!

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Nachdem Änderungen an der DS-GVO lange Zeit als undenkbar galten, kommt nun allmählich Bewegung in die Sache. Die Europäische Kommission plant eine Vereinfachung der Digitalgesetzgebung mittels eines sogenannten „Omnibus“-Gesetzespakets, mit dem die Vorschriften für künstliche Intelligenz, Cybersicherheit und des Daten(schutz)rechts modifiziert werden sollen. Welche Änderungen konkret die DS-GVO betreffen könnten, stellen wir im nachfolgenden Blog-Beitrag kurz dar.

Reichweite personenbezogener Daten

Eine wesentliche Änderung betrifft zunächst die Klarstellung der Begriffsbestimmung von personenbezogenen Daten. Der Kommissionsvorschlag übernimmt hier die aktuelle Rechtsprechung des Europäischen Gerichtshofs und stellt ausdrücklich klar, dass pseudonymisierte Datensätze unter bestimmten Umständen nicht mehr für alle Beteiligten als personenbezogen anzusehen sind. Entscheidend soll künftig allein sein, ob der jeweilige Empfänger über Mittel verfügt, um Personen wieder zu identifizieren. Können Empfänger eine Person hingegen nicht re-identifizieren, sollen die erhaltenen Daten für diese Empfänger außerhalb der datenschutzrechtlichen Regelungen nutzbar sein.

Die Kommission soll zudem per neuem Art. 41a DS-GVO ermächtigt werden, technische Standards festzulegen, welche eine Wiederherstellung des Personenbezugs möglichst ausschließen. Diese Änderungen sollen die Spielräume bei der Datennutzung – etwa für Forschung oder KI-Training – erweitern.

Neue Möglichkeiten für künstliche Intelligenz

Angesichts der rasanten Entwicklung von künstlicher Intelligenz plant die Kommission weiterhin Anpassungen, um Innovation zu erleichtern und Rechtsunsicherheiten auszuräumen. So soll ausdrücklich festgeschrieben werden, dass Verantwortliche personenbezogene Daten zum Training von KI-Modellen auf Basis des berechtigten Interesses verarbeiten dürfen. Hierbei soll es möglich sein, dass große Sprachmodelle auch ohne Einwilligung mit personenbezogenen Daten trainiert werden können – sofern keine anderweitigen Gesetze verletzt werden und alle weiteren datenschutzrechtlichen Anforderungen sowie geeignete Schutzmaßnahmen sichergestellt sind.

Erwähnenswert ist in diesem Kontext auch eine geplante Öffnungsklausel für besondere Kategorien personenbezogener Daten: Im Entwurf wird eine neue Ausnahme (Art. 9 Abs. 2 lit. k) DS-GVO) vorgeschlagen, die es erlauben soll, besondere Kategorien personenbezogener Daten ausnahmsweise im KI-Training zu verarbeiten, wenn deren Vorhandensein unbeabsichtigt ist und der Verantwortliche technisch-organisatorische Maßnahmen ergreift, um solche personenbezogenen Daten möglichst zu vermeiden und zu entfernen. Diese Ausnahme soll auf unvermeidbare, zufällige Einschlüsse derartiger Informationen begrenzt sein und damit den Umgang mit großen Trainingsdatensätzen rechtlich absichern.

Entlastungen bei Informations-, Auskunfts- und Meldepflichten

Auch bei konkreten Pflichten von Verantwortlichen sieht das Omnibus-Paket Erleichterungen vor. Transparenzpflichten gegenüber Betroffenen sollen unter bestimmten Bedingungen entschärft werden: Bereits wenn anzunehmen ist, dass eine Person die erforderlichen Informationen über die Datenverarbeitung bereits hat, soll der Verantwortliche diese Informationen nicht erneut bereitstellen müssen. Ferner soll die Geltendmachung von Betroffenenrechten dahingehend eingeschränkt werden, dass mit diesen ausschließlich datenschutzbezogene Zwecke verfolgt werden dürfen – andernfalls soll es den Verantwortlichen möglich sein, für die Bearbeitung Kosten zu erheben oder dem Antrag nicht nachzugehen.

Auch die Meldepflichten bei Datenschutzverletzungen sollen gezielt angepasst werden. Künftig müssten Datenschutzverletzungen voraussichtlich nur noch dann gegenüber der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden, wenn für die Betroffenen ein hohes Risiko besteht. Zudem hätten Verantwortliche für die Vornahme der Meldung etwas mehr Zeit: Geplant ist eine Verlängerung der Frist von 72 auf 96 Stunden. Zudem soll ein zentraler Meldemechanismus eingeführt werden: Über einen einzigen „Single-Entry-Point“ soll ein Verantwortlicher alle nötigen Meldungen gleichzeitig erfüllen können. Aktuell müssen Sicherheits- und Datenschutzvorfälle oft parallel an verschiedene Behörden nach DS-GVO, NIS-2-Richtlinie, DORA, … gemeldet werden – hier soll eine einheitliche Plattform Mehrfachmeldungen ablösen.

ÜberARBEITETE cOOKIE- UND eINWILLIGUNGSREGELN

Besonderes Augenmerk legt der digitale Omnibus auf die Verbesserung der Cookie-Regeln. Das Ziel: Die allgegenwärtigen Cookie-Banner sollen drastisch reduziert werden. Geplant sind nutzerfreundlichere Lösungen: Internetseiten müssen künftig eine einfache Möglichkeit bieten, alle nicht notwendigen Cookies mit einem Klick abzulehnen oder zu akzeptieren. Ein entsprechender Button wird zur Pflicht und getroffene Entscheidungen der Nutzenden sind dann mindestens sechs Monate lang zu respektieren. Außerdem sollen zentrale Datenschutzeinstellungen im Browser oder Betriebssystem greifen: Nutzende können dort generelle Präferenzen festlegen, die Internetseiten automatisiert auslesen und befolgen müssen.

Parallel dazu will die Kommission die Rechtsgrundlagen für Cookies neu ordnen. Geplant ist hierfür ein neuer Art. 88a DS-GVO. Inhaltlich soll neben Einwilligungen auch das berechtigte Interesse als Grundlage für bestimmte Cookies oder vergleichbare Technologien dienen. Die Kommission plant zudem eine Whitelist von unbedenklichen Verwendungszwecken, bei denen Verantwortliche keine Zustimmung einholen müssen, z. B. für rein statistische Reichweitenmessungen oder grundlegende Funktions-Cookies.

Ausblick

Die vorgeschlagenen DS-GVO-Änderungen sollen Teil eines ersten Schritts zur Vereinfachung sein. Sie müssen nun im ordentlichen Gesetzgebungsverfahren vom Europäischen Parlament und den EU-Mitgliedstaaten beraten und beschlossen werden. Für Verantwortliche heißt es jetzt, die weiteren Entwicklungen aufmerksam zu verfolgen. Klar ist jedenfalls: Nach Jahren der Stabilität der DS-GVO zeichnen sich erstmals konkrete Änderungen am europäischen Datenschutzrahmen ab. Mit wesentlichen Änderungen an den durch die Europäische Kommission eingebrachten Vorschlägen wird jedoch zu rechnen sein. Insofern heißt es nun: Warten bis der Bus kommt.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bereits im Juni hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) eine Reihe von Orientierungshilfen, Entschließungen und Positionspapieren veröffentlicht. In unserem Beitrag geben wir einen kurzen Überblick über die wesentlichen Inhalte.

Künstliche Intelligenz

Confidential Cloud Computing

Die DSK weist in ihrer Entschließung „Confidential Cloud Computing“ darauf hin, dass der Begriff „Confidential Computing“ uneinheitlich verwendet wird und je nach Anbieter unterschiedliche Technologien umfasst. Werbeaussagen, wonach Daten im Rahmen von „Confidential Cloud Computing“ vollständig vor dem Cloud-Betreiber geschützt seien, werden von der DSK als oftmals verkürzt und nicht der tatsächlichen technischen Komplexität entsprechend bewertet.

Ursprünglich dienten diese Technologien dem Schutz vor anderen Nutzenden derselben Infrastruktur. Sollen Daten jedoch auch vor dem Betreiber selbst geschützt werden, sind deutlich stärkere Annahmen notwendig, da dieser physischen Zugang zur Hardware hat und so die eingesetzte Soft- und Hardware manipulieren kann. Die DSK stellt klar, dass Maßnahmen wie interne Zugriffsbeschränkungen zwar sicherheitsförderlich sind, jedoch nicht im engeren Sinne zum „Confidential Computing“ zählen. Auch das Schlüsselmanagement spielt eine zentrale Rolle: Tatsächliche Geheimhaltung gegenüber dem Cloud-Betreiber ist nur dann gewährleistet, wenn dieser keinen Zugang zu den Entschlüsselungsschlüsseln hat und Manipulationen an Schlüsseln ausgeschlossen sind. Zudem sind die Übergänge zwischen verschiedenen Verschlüsselungszuständen, wie etwa von „data-at-rest“ zu „data-in-use“, besonders kritisch zu betrachten, da hier kurzzeitige Entschlüsselungen erfolgen können.

Insgesamt könne „Confidential Cloud Computing“ das Sicherheitsniveau erhöhen und Schutz gegenüber anderen Nutzenden sowie einzelnen Innentätern bieten. Absolute Vertraulichkeit sei jedoch nicht gegeben, da der Cloud-Betreiber grundsätzlich Zugriffsmöglichkeiten habe. Die der Technologie zugeschriebenen Eigenschaften seien daher kritisch zu bewerten, und etwaige Maßnahmen seien aus Gründen der Nachweis- und Rechenschaftspflicht nachvollziehbar zu dokumentieren.

Sicherheitsgesetze

Aus der Entschließung „Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit“ der DSK geht deutlich hervor, dass Datenschutz ein zentraler Bestandteil des Rechtsstaats ist und untrennbar mit Freiheit und Sicherheit verbunden ist. Grundrechte wie das Recht auf informationelle Selbstbestimmung bilden die Grundlage für die freie Entfaltung der Persönlichkeit und die Teilhabe am demokratischen Gemeinwesen. Ein Leben in Freiheit setzt Sicherheit voraus, zugleich ist Sicherheit nur dann gewährleistet, wenn sich der Staat an verfassungskonforme Gesetze und gegebene Garantien hält.

Die DSK warnt davor, Datenschutz und Sicherheit gegeneinander auszuspielen. Sie erkennt ein Spannungsverhältnis zwischen sicherheitspolitischen Erfordernissen und dem Grundrecht auf Datenschutz an, hält dieses jedoch durch verhältnismäßige Maßnahmen für lösbar. Datenschutz diene nicht dem Schutz von Straftäterinnen oder Gefährdern, sondern dem Schutz aller Bürgerinnen und Bürger vor ungerechtfertigten Eingriffen in ihre Freiheitsrechte. Er stellt ein rechtsstaatliches Korrektiv dar, insbesondere bei staatlicher Datenverarbeitung.

Die DSK hebt hervor, dass Datenschutz der Weiterentwicklung polizeilicher Datenverarbeitung nicht entgegensteht. Entscheidend sei, zunächst den fachlichen Bedarf zu ermitteln und verhältnismäßige Lösungen zu erarbeiten, anstatt reflexartig mit Grundrechtseinschränkungen auf sicherheitspolitische Herausforderungen zu reagieren. Die DSK spricht sich dafür aus, bestehende Befugnisse der Sicherheitsbehörden hinsichtlich ihrer Anwendung und Wirksamkeit systematisch zu evaluieren, bevor neue gesetzgeberische Maßnahmen ergriffen werden. In diesem Zusammenhang verweist sie auf einschlägige wissenschaftliche Studien. Abschließend erklärt die DSK, dass sie künftige Gesetzesnovellierungen im Sicherheitsbereich eng begleiten und sich dafür einsetzen wird, dass neue Befugnisse den verfassungsrechtlichen Maßstäben genügen.

Terminverwaltung durch Heilberufspraxe

Mit dem Dokument „Datenschutz bei der Terminverwaltung durch Heilberufspraxen – Positionspapier zum datenschutzkonformen Einsatz von Dienstleistern für Online-Terminbuchungen und das Terminmanagement“ reagiert die DSK auf die zunehmende Nutzung internetbasierter Terminvergabesysteme durch Heilberufspraxen, bei denen Dienstleister personenbezogene Patientendaten im Auftrag der Praxis verarbeiten. Die Einbindung solcher Dienstleister kann grundsätzlich im Rahmen einer Auftragsverarbeitung erfolgen und erfordert auch keine Einwilligung der Patientinnen und Patienten. Allerdings sind diese über die Datenverarbeitung zu informieren und auch die weiteren datenschutzrechtlichen Anforderungen sind zwingend einzuhalten.

Für die Datenverarbeitung zur Terminvergabe gilt insbesondere, dass nur solche Patientendaten verarbeitet werden dürfen, die zur Wahrnehmung eines konkreten Termins erforderlich sind. Terminerinnerungen beispielsweise stellen nach Ansicht der DSK ein zusätzliches Serviceangebot dar und bedürfen einer informierten, ausdrücklichen Einwilligung der betroffenen Personen. Ferner sind Eintragungen im Terminkalender nach Ablauf des Termins zeitnah zu löschen, sofern keine dokumentationspflichtigen Inhalte betroffen sind. Zudem müssen Heilberufspraxen geeignete technische und organisatorische Maßnahmen treffen, um die Einhaltung der Sicherheit der Verarbeitung sicherzustellen. Erfolgt eine Datenverarbeitung in einem Drittland, sind die Anforderungen der Art. 44 ff. DS-GVO zu erfüllen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das berechtigte Interesse nach Abwägung, von vielen nur als berechtigtes Interesse bezeichnet, nach Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO stellt zugleich eine der spannendsten und herausforderndsten Rechtsgrundlagen des Art. 6 Abs. 1 DS-GVO dar. Mit den Anforderungen an das berechtigte Interesse und die Abwägungsfragen im Rahmen der Interessenabwägung haben wir uns hier bereits früher beschäftigt.

Im Blickpunkt des heutigen Blog-Beitrags soll aber nicht der Tatbestand des Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO stehen, sondern Art. 6 Abs. 1 UAbs. 2 DS-GVO. Wer sich jetzt an dieser Stelle bereits fragt, was in dieser Norm geregelt ist beziehungsweise welcher Zusammenhang zum berechtigten Interesse nach Abwägung besteht, der steht vermutlich nicht allein da. Die potenziellen (praktischen) Herausforderungen bei der Anwendung von Art. 6 Abs. 1 UAbs. 2 DS-GVO haben wir bereits im Zusammenhang mit den Anforderungen an Art. 32 DS-GVO als Rechtsgrundlage dargestellt. Diese sollen heute ebenfalls noch einmal vertieft werden. Doch der Reihe nach.

Art. 6 Abs. 1 UAbs. 2 DS-GVO

So umfangreich stellt sich die Norm eigentlich nicht dar. Vielmehr heißt es kurz und prägnant: „Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“ Zum besseren Verständnis kann Erwägungsgrund (ErwG) 47 Satz 5 DS-GVO – welche die Anwendung von Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO konkretisieren soll – noch herangezogen werden: „Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen, sollte diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen.“

Nimmt man den Gesetzestext nunmehr wortwörtlich, dann wäre ein Rückgriff für Behörden (nicht öffentliche Stellen) auf das berechtigte Interesse nach Abwägung ausgeschlossen. Die Schwierigkeiten beginnen aber nun in der tatsächlichen Anwendung des Art. 6 Abs. 1 UAbs. 2 DS-GVO.

Der Rückgriff für Behörden im Bereich der IT- und Cybersicherheit

Richtet man nun den Blick auf Datenverarbeitungen im Bereich der IT- beziehungsweise Cybersicherheit so trifft man über kurz oder lang auch auf ErwG 49 DS-GVO, welcher das berechtigte Interesse im Rahmen von Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO konkretisieren soll. Dieser nennt nun ausdrücklich Behörden, Computer-Notdienste (Computer Emergency Response Teams – CERT, beziehungsweise Computer Security Incident Response Teams – CSIRT), Betreiber von elektronischen Kommunikationsnetzen und -diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten als verantwortliche Stellen, welche sich auf die die Gewährleistung der Netz- und Informationssicherheit als berechtigtes Interesse berufen können. Besteht hier nun ein Widerspruch?

Bezüglich der Erwägungsgründe ist zu wissen, dass diese keine Verbindlichkeit beanspruchen, sodass weder Rechte noch Pflichten aus ihnen abzuleiten sind.  Sie sind grundsätzlich geeignete, wichtige Orientierungshilfen zur Auslegung, haben einen starken Charakter und sind Teil einer Verordnung, jedoch im Falle eines Widerspruchs zwischen Erwägungsgrund und Artikel, ist dem Artikeltext unmittelbar Vorrang einzuräumen.

Für die Konstellation des Art. 6 Abs. 1 UAbs. 2 DS-GVO und ErwG 49 DS-GVO bedeutet dies, dass die für die vom ErwG 49 DS-GVO explizit genannten und im öffentlichen Bereich angesiedelt Stellen, der Gesetzgeber für die notwendigen Datenverarbeitungen personenbezogener Daten auch die erforderlichen gesetzlichen Ermächtigungen schaffen muss.

IT-Sicherheit, eine originäre Aufgabe?

Die sich anschließende Frage, die in diesem Kontext aufgeworfen werden kann, ist, ob die Herstellung von IT- beziehungsweise Cybersicherheit als solche Verarbeitung überhaupt zu den originären Aufgaben einer öffentlichen Stelle zu zählen ist. Ein Rückgriff auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO könnte nur insoweit verwehrt sein, als dass die Datenverarbeitung in Erfüllung der öffentlichen Aufgaben vorgenommen wird.

Das Ergreifen entsprechender Sicherheitsmaßnahmen und die damit einhergehenden erforderlichen Verarbeitungen personenbezogener Daten könnten wiederrum als Verarbeitung im Interesse einer ordnungsgemäßen Verwaltung und des reibungslosen Funktionierens einer Behörde verstanden werden.  Dies würde letztendlich bedeuten, dass sich Behörden auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO insoweit stützen können, als sie sich mit dem Betroffenen in keinem spezifisch staatlichen Verhältnis befinden. Die sogenannte Eingriffs- und Leistungsverwaltung liegt im Bereich der IT-Sicherheit bzw. Cybersicherheit gerade nicht vor. Die Behörden befinden sich beim Ergreifen möglicher Sicherheitsmaßahmen zu Herstellung und Aufrechterhaltung der IT-Sicherheit bzw. Cybersicherheit weder in einem spezifischen staatlichen Verhältnis noch dient dies der Erfüllung originärer Aufgaben.

Folgt man dieser Einschätzung, wäre für Behörden im Bereich der IT-Sicherheit bzw. Cybersicherheit ein Rückgriff auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO nicht durch Art. 6 Abs. 1 UAbs. 2 DS-GVO gesperrt.

Wie sehen Aufsichtsbehörden die Rechtslage?

Zugegeben, die hier vertreten Ansicht wird nicht von allen gleichermaßen geteilt. Im seinem aktuellen Tätigkeitsbericht äußert sich beispielsweise der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) wie folgt:

„Ob die Gewährleistung der IT-Sicherheit zu den originären Aufgaben einer öffentlichen Stelle gehört, ist umstritten […]. Art. 6 Abs. 1 Buchst. e) DS-GVO erlaubt Datenverarbeitungen, die für die Wahrnehmung einer Aufgabe erforderlich sind, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die den Verantwortlichen übertragen wurde. Erwägungsgrund 49 DS-GVO bezeichnet die Verarbeitung von personenbezogenen Daten, die für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist, auch durch Behörden, als berechtigtes Interesse der Verantwortlichen. Die Aufgabe zur Gewährleistung von IT-Sicherheit wurde öffentlichen Stellen des Landes Baden-Württemberg durch mehrere Normen übertragen.“ Der LfDI lässt die Frage letztendlich offen und stützt sich bei seinen weiteren Ausführungen auf die jeweiligen Einzelnormen.

Die Sächsische Datenschutz- und Transparenzbeauftragte äußert sich in Ihrem aktuellen Tätigkeitsbericht zu einem entfernt vergleichbaren Thema – dem Einsatz von KI-Systemen wie folgt: „Die Datenschutz-Grundverordnung (DSGVO) setzt hierbei für öffentliche Stellen auch teilweise andere Voraussetzungen voraus als im nichtöffentlichen Bereich, insbesondere ist eine Verarbeitung auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 Buchstabe f DSGVO) nicht möglich.“

Fazit

Es wird sichtbar, dass die Anwendung des Art. 6 Abs. 1 UAbs. 2 DS-GVO nicht zu klar ist, wie sie beim ersten Lesen zunächst schient. Ein vermittelnder Ansatz könnte sich aus der Gesamtschau der Tatbestände des Art. 6 Abs. 1 DS-GVO ergeben: Ein Rückgriff auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO ist nicht generell über Art. 6 UAbs. 2 DS-GVO ausgeschlossen wird, jedoch nur dann möglich ist, wenn die Datenverarbeitung weder zur Erfüllung einer rechtlichen Verpflichtung (lit. c)) erforderlich ist noch der hoheitlichen Aufgabenerfüllung dient (lit. e)) oder im Zusammenhang mit einer Vertragserfüllung (lit.b)) steht.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Ende März 2025 legte die Sächsische Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert ihren Tätigkeitsbericht für das Jahr 2024 vor. Der Bericht bietet auf mehr als 200 Seiten einen umfassenden Überblick über die Arbeit der Aufsichtsbehörde und benennt zentrale Entwicklungen im Bereich des Datenschutzes. Im Folgenden werden die wichtigsten Befunde und exemplarische Fälle zusammengefasst.

Steigende Zahl von Beschwerden und Datenschutzverletzungen

Der Trend steigender Fallzahlen setzte sich auch im Berichtsjahr 2024 fort. Insgesamt 1.255 Beschwerden, Beratungsanfragen und Kontrollanregungen gingen bei der Aufsichtsbehörde im vergangenen Jahr ein. Das entspricht einem Anstieg von rund acht Prozent gegenüber dem Vorjahr. Die Zahl der gemeldeten Datenschutzverletzungen überschritt erstmals die Marke von tausend: 1.001 Vorfälle wurden durch sächsische Verantwortliche der Aufsichtsbehörde gemeldet.

Die häufigsten Ursachen waren klassische Fehlversendungen, etwa durch falsche Adressierungen bei Postversand oder fehlerhafte E-Mail-Verteiler, der Verlust technischer Geräte wie Laptops sowie Cybervorfälle, etwa durch Phishing- oder Ransomware-Angriffe. Ein praktisches Beispiel betrifft den Diebstahl von Kameras aus einer Kindertageseinrichtung, auf denen Bilddaten von Kindern gespeichert waren. Ein weiterer Fall betraf den Verlust unverschlüsselter Notebooks mit Gesundheitsdaten. Die Behörde betonte erneut die Bedeutung technischer und organisatorischer Maßnahmen, um Datenschutzverletzungen zu verhindern oder deren Auswirkungen zu begrenzen.

Maßnahmen der Aufsichtsbehörde

Nach den Angaben des Tätigkeitsberichtes griff die Aufsichtsbehörde zur Durchsetzung datenschutzrechtlicher Anforderungenauf verschiedene Instrumente zurück. Im Jahr 2024 wurden 11 Warnungen, 47 Verwarnungen sowie 40 Anweisungen und Anordnungen ausgesprochen. Daneben verhängte die Behörde 21 Bußgelder. Die Gesamthöhe belief sich auf 199.000 Euro im nichtöffentlichen Bereich und 14.580 Euro im öffentlichen Bereich.

Ein erheblicher Teil der Bußgeldverfahren betraf unzulässige Videoüberwachungen oder den Einsatz von Dashcams. Beispielhaft erwähnt wird die Nutzung von Dashcams durch Fahrzeugführerinnen und Fahrzeugführer, bei denen Aufnahmen ohne konkreten Anlass und über längere Zeiträume hinweg gespeichert wurden. In diesen und weiteren Fällen wurden Bußgelder zwischen 100 Euro und 1.000 Euro verhängt.

Prüfungen von Internetseiten

Ein wesentlicher Schwerpunkt der behördlichen Tätigkeit war im vergangenen Jahr die automatisierte Überprüfung von 32.981 Internetseiten sächsischer Behörden, Unternehmen und Vereine. Die Prüfungen konzentrierten sich darauf, ob bereits bei einem ersten Aufruf einer Internetseite ohne Einwilligung personenbezogene Daten an Drittanbieter übermittelt werden. Bei etwa 66 Prozent der geprüften Seiten wurde eine solche Übertragung festgestellt, häufig an Google-Dienste wie Google Analytics oder Google Fonts.

In der Folge leitete die Aufsichtsbehörde ein Massenverfahren ein und kontaktierte 2.304 Seitenbetreiber, die überwiegend Google Analytics ohne rechtmäßige Einwilligung eingesetzt hatten. Die Nachkontrolle ergab, dass rund 65 Prozent der Verantwortlichen die festgestellten Verstöße beseitigt hatten. Häufige Fehlerquellen waren etwa voreingestellte Tracking-Dienste trotz Anzeige eines Einwilligungsmanagements („Cookie-Banner“) oder unzureichende Informationen im Rahmen der Einholung der Einwilligung. Der Bericht zeigt, dass weiterhin erheblicher Nachbesserungsbedarf bei der praktischen Umsetzung von Einwilligungsanforderungen besteht.

Dauerbrenner Videoüberwachung

Auch im Bereich der Videoüberwachung blieb der Beratungs- und Prüfbedarf hoch. Mehr als zwei Drittel der im nichtöffentlichen Bereich eingeleiteten Ordnungswidrigkeitenverfahren standen im Zusammenhang mit Verstößen bei Videoüberwachungen. Häufig wurden fehlende Hinweisschilder bemängelt, die betroffenen Personen nicht klar und verständlich über die Überwachung informieren. Zudem fehlte in vielen Fällen eine klare Zweckbestimmung, und überwachte Bereiche umfassten auch öffentlich zugängliche Flächen, ohne dass hierfür ein ausreichender Rechtfertigungsgrund vorlag.

Zur Unterstützung bei der Umsetzung datenschutzkonformer Videoüberwachung veröffentlichte die sächsische Datenschutz-Aufsichtsbehörde 2024 eine überarbeitete zweite Auflage der Broschüre „Achtung Kamera!“, die praxisnahe Hinweise zur rechtssicheren Gestaltung von Videoüberwachungsmaßnahmen bietet.

Beschäftigtendatenschutz

Ein weiterer Schwerpunkt lag im Bereich des Schutzes von Beschäftigtendaten. Die Aufsichtsbehörde stellte beispielsweise fest, dass in mehreren Fällen vertrauliche personenbezogene Daten von Beschäftigten, etwa Gesundheitsdaten oder Kündigungsgründe, in Betriebsversammlungen oder internen Bekanntmachungen unzulässig offengelegt wurden. Die Aufsichtsbehörde weist in diesem Kontext ausdrücklich darauf hin, dass Personalaktendaten stets streng vertraulich zu behandeln sind. Auch mündliche Offenbarungen sensibler Informationen gegenüber nicht berechtigten Dritten sind unzulässig.

„Das Gebot der Gewährleistung der Vertraulichkeit in Bezug auf Personalaktendaten ist eine Verpflichtung des Arbeitgebers, die sowohl innerhalb der Dienststelle bzw. des Betriebes und auch gegenüber außenstehenden Dritten besteht. Die Personalakte ist daher vertraulich zu behandeln, vor unbefugter Einsicht zu schützen und der Zugriff nur für solche Beschäftigten und auf solche Daten zuzulassen, wie dies im Rahmen der Personalverwaltung erforderlich ist.“, so Dr. Juliane Hundert im Rahmen des Tätigkeitsberichtes.

Cyberkriminalität als zunehmende Bedrohung

Der Tätigkeitsbericht weist ferner darauf hin, dass Meldungen von Datenschutzverletzungen infolge von Cyberangriffen weiterhin eine zentrale Rolle spielen. Derartige Vorfälle umfassen insbesondere Phishing-Angriffe, Ransomware-Attacken sowie das Ausnutzen von Sicherheitslücken.

Ein typisches Beispiel aus dem Berichtsjahr war die Kompromittierung von E-Mail-Konten, die in mehreren Fällen dazu führte, dass unbefugte Dritte Zugriff auf personenbezogene Daten erlangten. In einigen Fällen wurden dadurch vertrauliche Kommunikationsdaten abgegriffen oder betrügerische E-Mails im Namen betroffener Organisationen verschickt. Die Behörde empfiehlt, den Schutz technischer Systeme regelmäßig zu überprüfen und organisatorische Maßnahmen wie Sensibilisierungstrainings für Beschäftigte zu etablieren, um das Risiko von derartigen Datenschutzverletzungen und Sicherheitsvorfällen zu verringern.

Fazit

Der Tätigkeitsbericht zeigt, an welchen Stellen Verantwortliche in Sachsen gezielt ansetzen können, um datenschutzrechtliche Anforderungen im Alltag besser umzusetzen. Ob bei einem Betrieb von Internetseiten, bei der Gestaltung von Videoüberwachungsmaßnahmen oder im Umgang mit Beschäftigtendaten – häufig lassen sich Verbesserungen schon durch klarere Prozesse sowie wirksamere technische und organisatorische Maßnahmen erzielen. Die dargestellten Beispiele machen deutlich, dass Datenschutz in vielen Fällen mit überschaubarem Aufwand wirksam verbessert werden kann. Unternehmen, Behörden und Vereine erhalten mit dem Bericht konkrete Hinweise, um ihre bestehenden Strukturen weiterzuentwickeln und die gesetzlichen Anforderungen im eigenen Verantwortungsbereich zuverlässig zu erfüllen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Nachdem über einige Jahre hinweg Änderungen an der Datenschutz-Grundverordnung zwar regelmäßig gefordert wurden, in der Umsetzung aber kaum denkbar schienen, kommt nun etwas Bewegung in die Sache. Aber auch auf nationaler Ebene gibt die kommende Regierung einen Ausblick auf Erleichterungen im Bereich des Datenschutzes. Wie könnten mögliche Änderungen aussehen und wie realistisch sind solche Anpassungen überhaupt? Ein Überblick.

Könnte die DS-GVO schon bald reformiert werden?

Gemäß Art. 97 Abs. 1 DS-GVO hat die Europäische Kommission im Abstand von vier Jahren „einen Bericht über die Bewertung und Überprüfung“ der DS-GVO vorzulegen. In den Berichten aus den Jahren 2020 und 2024 hielt sie sich mit grundlegenden Verbesserungsmöglichkeiten zurück. Mit Blick auf die lange Entstehungsgeschichte, wurde in Fachkreisen immer wieder spekuliert, die Europäische Kommission habe in Bezug auf die DS-GVO Angst, die Büchse der Pandora zu öffnen. Doch zwischenzeitlich scheint die Europäische Kommission erkannt zu haben, dass die fortschreitende Digitalregulierung in der Europäischen Union sich zu einem Standortproblem entwickeln könnte – wie beispielsweise auch aus dem Draghi-Report aus dem vergangenen Jahr hervorgeht.

Dass die DS-GVO in den kommenden Jahren eine Anpassung erfährt, wird demnach immer wahrscheinlicher. Unklar ist hingegen derzeit, wie eine solche Anpassung konkret aussehen könnte. Ein aktuell viel diskutierter Vorschlag stammt vom Europaabgeordneten Axel Voss, welcher bereits im Rahmen der Entstehung der DS-GVO als Schattenberichterstatter für die EVP-Fraktion tätig war. Demnach bestünde eine zentrale Änderung zunächst in der Abkehr vom Prinzip „one size fits all“, wonach sämtliche Regelungen der DS-GVO für alle Akteure gleichermaßen gelten – unabhängig von Umsatz, Größe oder Ausrichtung der Tätigkeiten. Voss führt hierbei drei verschiedene Regelungsstufen an:

• Eine „Mini-DS-GVO“ für Organisationen, die personenbezogene Daten von weniger als 100.000 Personen und ebenfalls keine sogenannten besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) verarbeiten. Für diese Organisationen soll die Pflicht zur Benennung eines Datenschutzbeauftragten entfallen und Höchststrafen für Verstöße auf 500.000 Euro begrenzt sein. Nach Schätzungen von Axel Voss wären hierin etwa 90 Prozent aller Unternehmen einzuordnen.

• Eine bis auf wenige Regelungen unveränderte DS-GVO soll hingegen für Organisationen gelten, die eine besonders hohe Zahl oder besonders sensible personenbezogene Daten verarbeiten.

• Die „DS-GVO-Plus“ zielt zuletzt auf Organisationen ab, deren Geschäftsmodell hauptsächlich auf der Verarbeitung von personenbezogenen Daten beruht, also beispielsweise große soziale Netzwerke und Datenbroker. Für diese Unternehmen sollen schärfere Regelungen gelten, beispielsweise durch eine verpflichtende Überprüfung durch Dritte oder eine Pflicht zur Veröffentlichung von Informationen zur Datenverarbeitung.

Unbestritten dürfte sein, dass die derzeitigen Regelungen das Verhältnis zwischen den Risiken einer Datenverarbeitung und den umzusetzenden Verpflichtungen in einer Spanne von Kleingartenverein bis Magnificent 7 eher schlecht als recht darstellen. Bis es jedoch tatsächlich zu konkreten Änderungen kommt, wird noch eine geraume Zeit vergehen. Zunächst kann damit gerechnet werden, dass bis zum Ende dieses Jahres die Europäische Kommission erste Maßnahmen für ein „vereinfachtes, klares und kohärentes gesetzliches Rahmenwerk für Unternehmen und Verwaltungen [vorstellt], um Daten nahtlos und in großem Umfang zu teilen und dabei hohe Standards für Datenschutz und Sicherheit zu respektieren.“ Möglicherweise wissen wir dann auch in Bezug auf die DS-GVO mehr…

Entbürokratisierung auf nationaler Ebene?

Bereits vor den Koalitionsgesprächen führten CDU, CSU und SPD aus, auch in Bezug auf den Datenschutz einen Bürokratieabbau vorzunehmen zu wollen. Allen voran wurde dargestellt, „die Zahl der gesetzlich vorgeschriebenen Betriebsbeauftragten signifikant reduzieren“ zu wollen (wir berichteten). Im nun vorliegenden Koalitionsvertrag  heißt es weiterhin: „Im Rahmen eines nationalen „Sofortprogramms für den Bürokratierückbau“ werden wir bis Ende des Jahres 2025, insbesondere mit Blick auf kleine und mittlere Unternehmen, Verpflichtungen zur Bestellung von Betriebsbeauftragten abschaffen und den Schulungs-, Weiterbildungs- und Dokumentationsaufwand signifikant reduzieren.“ Der Datenschutzbeauftragte wird in diesem Kontext nicht explizit genannt, aber auch nicht ausgeschlossen.

Unter der Überschrift „Datenschutz entbürokratisieren“ wird ferner angeführt: „Wir reformieren die Datenschutzaufsicht und bündeln sie beim Bundesdatenschutzbeauftragten.“ In Bezug auf staatliche Serviceleistungen soll zudem eine Abkehr von Einwilligungslösungen hin zu Widerspruchslösungen vorgenommen werden. Weiterhin soll die Datenschutzkonferenz (DSK) im Bundesdatenschutzgesetz (BDSG) verankert werden, um beim Datenschutz „für Kohärenz, einheitliche Auslegungen und Vereinfachungen für kleine und mittlere Unternehmen, Beschäftigte und das Ehrenamt sorgen.“ Dieses Vorhaben ist nicht gänzlich neu und wurde bereits durch die vorherige Regierung beabsichtigt.

Auf europäischer Ebene soll erreicht werden, dass nicht-kommerzielle Tätigkeiten – beispielsweise in Vereinen – sowie kleine und mittelständische Unternehmen mit risikoarmen Datenverarbeitungen – zum Beispiel Kundenlisten von Handwerkern – vom Anwendungsbereich der DS-GVO ausgenommen werden. Abschließend wird das Ziel angeführt, im Interesse der Wirtschaft „eine Bündelung der Zuständigkeiten und Kompetenzen Bundesdatenschutzbeauftragten“ vorzunehmen. Diese „soll dann Bundesbeauftragte für Datennutzung, Datenschutz und Informationsfreiheit sein.“

Auch wenn die aufgeführten Maßnahmen an der einen oder anderen Stelle sicherlich Verbesserungen mit sich bringen können, handelt es sich hierbei keinesfalls um tatsächliche Maßnahmen der Entbürokratisierung. Die datenschutzrechtlichen Dokumentationspflichten ergeben sich aus der DS-GVO – einer europäischen Verordnung. Die neue Bundesregierung müsste also vor allem einen Änderungsdruck auf europäischer Ebene erzeugen. Unter Berücksichtigung der möglichen Reform der DS-GVO sicherlich keine unlösbare Aufgabe. Unklar ist jedoch, inwieweit sich die Koalitionsparteien hiermit durchsetzen werden können.

Fazit

Man kann mit ziemlicher Sicherheit sagen, dass sich an den bestehenden datenschutzrechtlichen Regelungen in Zukunft etwas ändern wird. Welche konkreten Änderungen zu erwarten sind und wann diese eine Umsetzung finden werden, ist jedoch nahezu komplett offen. Zunächst wird sich wohl noch in diesem Jahr entscheiden, ob und wie die nationale Regelung zur verpflichtenden Benennung des Datenschutzbeauftragten eine Änderung erfahren wird. Bezüglich aller weiteren Punkte wird man abwarten müssen…

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Aus einem aktuellen Sondierungspapier vom 8. März 2025 von CDU, CSU und SPD ist unter der Überschrift Bürokratie rückbauen zu entnehmen, dass die Parteien planen, künftig „die Zahl der gesetzlich vorgeschriebenen Betriebsbeauftragten signifikant reduzieren“ zu wollen. Auch wenn hierbei die betreffenden Beauftragten (noch) nicht näher bezeichnet werden, ist ziemlich sicher davon auszugehen, dass hiervon auch die Regelungen in Bezug auf den (betrieblichen) Datenschutzbeauftragten betroffen sein werden. Schließlich wird bereits seit längerem darüber diskutiert, die bisherige Benennungsgrenze anzuheben oder die – ergänzend zur DS-GVO bestehende – nationale Regelung gänzlich abzuschaffen. Der nachfolgende Blog-Beitrag gibt einen Überblick über die derzeitige Rechtslage und potenzielle künftige Änderungen.

Derzeitige Rechtslage

Grundsätzlich wird in Art. 37 Abs. 1 DS-GVO geregelt, in welchen konkreten Fällen die Benennung eines Datenschutzbeauftragten verpflichtend ist. Hierzu zählen ausschließlich (a) Datenverarbeitungen durch Behörden oder öffentliche Stellen, mit Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeiten, (b) Kerntätigkeiten in der Durchführung von Datenverarbeitungen, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z. B. Auskunfteien, Anbieter von Fitness-Apps, Detekteien) sowie (c) Kerntätigkeiten in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DS-GVO, z. B. Altersheime, Arztpraxen, Krankenhäuser) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO, z. B. Anwaltskanzleien mit Bezug zum Strafrecht).

Ergänzend zu diesen Regelungen im Rahmen der DS-GVO wird in der nationalen Vorschrift des § 38 Abs. 1 BDSG geregelt, unter welchen weiteren Voraussetzungen die Benennung eines (betrieblichen) Datenschutzbeauftragten verpflichtend ist. In Satz 1 heißt es: „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 [DS-GVO, Anm. d. Autors] benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ Eine solche automatisierte Verarbeitung personenbezogener Daten liegt in der Regel bereits dann schon vor, wenn die betreffenden Beschäftigten im Rahmen ihrer Tätigkeiten über einen E-Mail-Zugang verfügen.

Unabhängig von der konkreten Zahl der Beschäftigten heißt es in Satz 2 weiter: „Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“ Wann eine solche Datenschutz-Folgenabschätzung regelmäßig durchzuführen ist, ergibt sich beispielsweise durch eine Auflistung der Datenschutzkonferenz.

Hauptsächlich die Regelung des § 38 Abs. 1 Satz 1 BDSG sorgt dafür, dass eine Vielzahl von Unternehmen und Vereinen in Deutschland zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichtet sind.

Mögliche Umsetzungsvarianten

Eine Anpassung der Rechtslage zur verpflichtenden Benennung von Datenschutzbeauftragten ist durch die neue Bundesregierung auch ausschließlich in Bezug auf die nationale Regelung des § 38 BDSG – also insbesondere in Bezug auf die Beschäftigtenzahl – möglich. Diesbezüglich ergeben sich grundsätzlich zwei mögliche Varianten:

• Anhebung des Schwellwertes: In der Vergangenheit wurde bereits des Öfteren über eine Anhebung des derzeitigen Schwellwertes diskutiert. Nachdem bereits im Jahr 2019 die ursprüngliche Grenze von zehn Beschäftigten auf 20 Beschäftigten angehoben wurde, wären 50, 100 oder 250 Beschäftigte eine nächste mögliche Stufe. Auch bereits eine solche Anhebung würde dazu führen, dass die Zahl der zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichteten Stellen signifikant sinken würde.

• Streichung der Regelung: Weiterhin wäre auch eine komplette Streichung der Regelung des § 38 BDSG möglich. In diesem Falle würden zukünftig ausschließlich die Regelungen des oben dargestellten Art. 37 Abs. 1 DS-GVO greifen. Infolgedessen wären zukünftig wohl die wenigsten Organisationen zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichtet.

Derzeit ist noch unklar, welche konkreten Änderungen uns bevorstehen und ob sich eher die Forderungen der SPD (in der Vergangenheit: Anhebung des Schwellwertes) oder der CDU/CSU (in der Vergangenheit: Streichung des § 38 BDSG) durchsetzen werden. Die freiwillige Benennung eines betrieblichen Datenschutzbeauftragten wird aller Voraussicht nach jedoch auch in Zukunft möglich sein.

Weniger Datenschutzbeauftragte ≠ weniger Bürokratie

In diesem Zusammenhang wird jedoch regelmäßig verkannt, dass die Benennung eines Datenschutzbeauftragten auch Erleichterungen mit sich bringen kann. Schließlich ist es gemäß Art. 39 Abs. 1 DS-GVO Aufgabe eines jeden Datenschutzbeauftragten, Verantwortliche und Auftragsverarbeiter hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung zu beraten und zu unterrichten. Weiterhin kann der Datenschutzbeauftragte im Rahmen interner Prüfungen Abweichungen von gesetzlichen Anforderungen feststellen und etwaige Korrekturmaßnahmen empfehlen, noch bevor datenschutzrechtliche Verstöße den betroffenen Personen oder Aufsichtsbehörden zur Kenntnis gelangen und negative Folgen für den Verantwortlichen nach sich ziehen. Der Datenschutzbeauftragte ist Wissensträger und Unterstützer zugleich – kein Bürokratiemonster.

Zudem ist anzumerken, dass die vielschichtigen Verpflichtungen aus den datenschutzrechtlichen Normen stets den Verantwortlichen, also das Unternehmen, den Verein oder die Behörde adressieren und gerade nicht den Datenschutzbeauftragten. Eine Erhöhung des Schwellwertes oder gänzliche Abschaffung der Benennungspflicht führt also gerade nicht zu einer Entbürokratisierung, sondern vielmehr zu einem Schwund an Know-how. Der Verantwortliche muss die datenschutzrechtlichen Anforderungen dann eben ohne Unterstützung des Datenschutzbeauftragten – mehr oder weniger – erfolgreich umsetzen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Nachdem der europäische Gesetzgeber mit der DS-GVO auch in Deutschland für den Datenschutz den Takt vorgibt, trifft ihn natürlich auch zuerst Kritik an sinnarmen und -losen Regelungen. Beispiele aus Sicht des Verfassers: Pflicht zur generellen ungefragten Datenschutzinformation; Verantwortung des Blumenhändlers für sein PC-Betriebssystem und die Internet-Suchmaschine sowie gemeinsame Verantwortlichkeit mit Meta und Sophos. Aber daneben bleiben beträchtliche Regelungskompetenzen für Bund und Länder. Auch dort bestehen durchaus Möglichkeiten, datenschutzrechtliche Gesetze zu verbessern und zu vereinfachen. Die folgenden Punkte beziehen sich auf Sachsen, lassen sich aber fast durchweg auf alle oder die meisten anderen Bundesländer übertragen.

Strafverfolgung

Das europäische Recht regelt den Datenschutz in der DS-GVO sehr detailliert, in der sogenannten JI-Richtlinie – vor allem für die Bereiche Polizei und Strafjustiz – mit größerem Umsetzungsspielraum. Aber ist es wirklich klug, diesen Spielraum auszunutzen? Tut man es, entstehen in Deutschland mindestens 17 verschiedene Regelungswerke – beim Bund und den 16 Ländern.

Einige Bundesländer und der Bund haben ihr Datenschutzrecht in einem Gesetz gebündelt. Andere – zum Beispiel Sachsen – haben die DS-GVO und die JI-Richtlinie jeweils durch ein eigenes Gesetz beantwortet. Im Ergebnis haben sächsische Polizeibeamte die DS-GVO mit dem Sächsischen Datenschutz-Durchführungsgesetz (SächsDSDG) und die JI-Richtlinie mit dem Sächsischen Datenschutz-Umsetzungsgesetz (SächsDSUG) anzuwenden – daneben natürlich die Datenschutz-Regeln in den Fachgesetzen wie zum Beispiel dem Sächsischen Beamtengesetz oder dem Sächsischen Polizeigesetz. Das geht besser und einfacher.

Spezifische Datenschutz-Aufsichten

An anderen Stellen gewährt die DS-GVO selbst Spielraum. So erlaubt Art. 85 DS-GVO Abweichungen und Ausnahmen bei der Datenverarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken. Und wieder gilt: Es gibt keine Pflicht, Spielräume auszunutzen. Manchmal ist es klüger, darauf zu verzichten. Umsetzung leider – soweit erkennbar in allen Bundesländern: Neben der allgemeinen Datenschutz-Aufsicht zusätzliche Mini-Aufsichten (1) für die öffentlich-rechtlichen Medien und (2) für die privaten Medien. Für die Presse existiert keinerlei effektive Datenschutz-Aufsicht. Zu manchen dieser Aufsichtsstellen ist auch bei wiederholter Anfrage kein Kontakt möglich. Die Abgrenzung der Zuständigkeiten fällt schwer, kostet Kraft und ist fehleranfällig. Das deutsche Datenschutzrecht bleibt – trotz DS-GVO – ein Flickenteppich.

Landesparlamente

Richtig skurril wird die Ausnutzung von Spielräumen zum Beispiel, wenn die Landesparlamente ihre eigenen Datenschutzpflichten regeln. Was für Privatwirtschaft und Normalbehörden gilt, vom jeweiligen Landtag für die Landesbehörden in den Landesdatenschutzgesetzen teils selbst geregelt wird, möchten die Parlamente in eigener Sache oft nicht anwenden. Deshalb hat sich zum Beispiel der Sächsische Landtag eine eigene Datenschutzordnung gegeben.

Ausreichend wäre, die Besonderheiten der parlamentarischen Datenverarbeitung in einem Paragraphen eines Landesdatenschutzgesetzes zu regeln. Stattdessen findet sich der Versuch, in 21 Paragraphen einen eigenständigen Datenschutz zu normieren. Das wirkt holprig und seltsam. Teils ist es ganz sicher EU-rechtswidrig. Zum Beispiel befasst sich § 7 Abs. 2 der Datenschutzordnung des Sächsischen Landtags mit der Veröffentlichung von Daten durch den Petitionsausschuss. Inzwischen hat aber der EuGH – Urt. v. 9.7.2020, Rs. C-272/19 – geklärt, dass die Datenverarbeitung von Petitionsausschüssen der Parlamente an die DS-GVO gebunden ist.

Hochschulrecht

Noch ein Beispiel landesrechtlicher Überregulierung: Bekanntlich verlangt die DS-GVO für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Sie verlangt jedoch nicht, dass der nationale Gesetzgeber – oder sonst irgendeine Stelle – sämtliche zulässigen Datenkategorien und die zugehörigen Verwendungszwecke abschließend aufzählt. Eine solche Aufgabe wäre auch gar nicht umsetzbar.

Der sächsische Gesetzgeber (und nicht nur er) hat aber zum Beispiel für die Datenverarbeitung durch Hochschulen genau diese unlösbare Aufgabe gestellt: Gemäß § 15 Abs. 4 Satz 1 des Sächsischen Hochschulgesetzes (SächsHSG) regelt an den Hochschulen jeweils „der Senat […] welche Daten […] verarbeitet werden dürfen, welche Organe, Gremien, Kommissionen, Amtsträgerinnen und Amtsträger der Hochschule welche Daten verarbeiten dürfen sowie das Verfahren der Verarbeitung dieser Daten.“

Das heißt: Auch wenn eine Datenverarbeitung durch die Hochschule erforderlich ist, um eine Prüfung durchzuführen (§ 15 Abs. 1 Satz 1 Nr. 2 SächsHSG) darf sie nur durch jene Stellen und für jene Daten stattfinden, die zusätzlich in der Datenschutzordnung des Senats der Hochschule aufgelistet sind (§ 15 Abs. 4 Satz 1 SächsHSG). Das ist weder notwendig, noch verbessert es den Datenschutz. Wahrscheinlich ist die Regelung sogar EU-rechtswidrig mit Blick auf Art. 6 Abs. 1 lit. e) i. V. m. Abs. 3 Satz 4 DS-GVO, wonach nationale Regeln „ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen“ müssen.

Informationssicherheit

Und abschließend aus dem gerade novellierten Sächsischen Informationssicherheitsgesetz (SächsISichG) ein Beispiel für das Gegenteil von gut ist gut gemeint: § 12 Abs. 1 SächISichG erlaubt Datenprotokollierung unter anderem zur Verhinderung und Abwehr von Angriffen auf die IT-Systeme. § 13 Abs. 2 Satz 5 i. V. m. Abs. 4 desselben Gesetzes verlangt für die „nicht automatisierte Verarbeitung“ der Protokolldaten – zwecks Beseitigung von Gefahren für IT-Systeme – eine Anordnung durch die Behördenleitung und eine/n Bedienstete/n mit Befähigung zum Richteramt – landläufig: Volljuristen.

Bemerkt ein IT-Administrator also am Freitagnachmittag technische Probleme, dann beschafft er sich vor dem Blick in die Protokolldaten des Servers eine Anordnung durch Behördenleiter und Volljuristen… . Hoffen wir, dass beide Personen stets schnellstens greifbar sind. Anordnen werden sie dann sicher, denn wie sollen sie mangels eigener technischer Kenntnisse die Gefahrenlage einschätzen?

Um zum Jahresbeginn – in der Zeit guter Vorsätze – ein positives Fazit zu ziehen: Es gibt Verbesserungspotenzial im Datenschutzrecht, auch auf Landesebene und nicht nur im fernen Brüssel.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.