Am 24. März 2026 stellte die Sächsische Datenschutz- und Transparenzbeauftragte, Fr. Dr. Julina Hundert, ihren Tätigkeitsbericht für das Jahr 2025 vor. Auf geballten 260 Seiten stellt die sächsische Datenschutzaufsichtsbehörde aktuelle datenschutzrechtliche Themen und Prüfungen aus dem vergangenen Jahr aus Wirtschaft und Verwaltung vor. Im heutigen Beitrag wollen uns einen kurzen Überblick über die wichtigsten Aspekte verschaffen.

Meldungen zu Datenschutzverletzungen und Beschwerden auf einem neuen Hoch

Hervorzuheben ist zunächst, dass es auch im Jahr 2025 einen erneuten Anstieg an gemeldeten Datenschutzverletzungen zu verzeichnen gibt. Im Berichtszeitraum sind 1.058 Meldungen nach Art. 33 DS-GVO bei der Aufsichtsbehörde abgesetzt wurden. Dies ist im Vergleich zum Vorjahr eine Steigerung um ca. 5%. Zu den häufigsten Verletzungshandlungen zählen Fehlversendungen, offene E-Mail-Verteiler, Verlust auf dem Postweg, Hacking bzw. Schadcode, kompromittierte E-Mail-Konten sowie Einbruch und Diebstahl. Diese Fallgruppen sind nahezu identisch zu denen des vorangegangenen Jahres.

Ein deutlicherer Anstieg ist bei den Beschwerden zu verzeichnen. So gingen im Berichtszeitraum 1.614 Eingaben bei der Behörde ein. Dies ist im Vergleich zu 2024 ein Anstieg um 29%. Der Zuwachs betraf sowohl den nichtöffentlichen als auch den öffentlichen Bereich. Sofern man ein wenig über den Tellerrand blickt, dass sind bei vielen deutschen Aufsichtsbehörden die Beschwerdezahlen deutlich angestiegen. Wie auch die sächsische Behörde betont, stellt dies zunehmend ein Ressourcenproblem dar.

Entwicklungen auf dem Gebiet der Künstliche Intelligenz

Das Thema Künstliche Intelligenz bzw. KI ist aus dem Arbeitsalltag in Verwaltung und Wirtschaft nicht mehr wegzudenken. Über die datenschutzrechtlichen Anforderungen bei der Nutzung von KI und die datenschutzrechtlichen Transparenzanforderungen bei Nutzung von KI haben wir bereits berichtet. Ebenso nimmt die Aufsichtsbehörde das Thema auf die Agenda. Interessant ist hierbei vor allem der Hinweis, dass die sächsische Landesregierung mit der Beteilung der Sächsischen Datenschutzbeauftragten Regeln zum rechtskonformen Einsatz von KI in der öffentlichen Verwaltung erarbeitet (vgl. Ziff. 1.3). Weiterhin wird das In-Kraft-Treten der Verordnung über künstliche Intelligenz (KI‑Verordnung oder KI‑VO) und der nunmehr geltenden Pflichten adressiert, Ziff. 6.1.

„Einblicke in die sächsische Webseitenlandschaft und Nachprüfung von Google Analytics“

Einen Blick wert sind die Ausführungen zur Kontrolle der Internetpräsenzen (vgl. Ziff. 4.1.1 f.) durch die Behörde. In den Jahren 2024 und 2025 wurden insgesamt 32.981 Webseiten von sächsischen Unternehmen, Vereinen und Behörden automatisiert geprüft. Eine (bekannte) Auffälligkeit war hierbei die hohe Anzahl der Einbindung von Google-Diensten ohne Einwilligung der Nutzenden. Nach schriftlichen Anschreiben im Jahr 2024 wurden 2025 dann gegen einzelne Verantwortliche, welche keine Anpassung Ihrer Webseiten vorgenommen hatten (insgesamt 803 verantwortliche Stellen) gezielt aufsichtsbehördliche Verfahren eingeleitet. Den Verantwortlichen wurde ein Informationsersuchen mit Ankündigung eines Verwaltungsverfahrens übermittelt.

Neben den Einzelverfahren wurden ebenfalls automatisierte Prüfungen durchgeführt. Im Oktober 2025 wurden so 29.260 Webseiten geprüft. Analysiert wurde der initiale Aufruf der Website sowie zwei weitere Unterseiten, ohne jegliche Interaktion mit der Website, also ohne erteilte Einwilligungen. Insgesamt 65,5 % dieser Webseiten führten ohne Einwilligung Netzwerkanfragen an Drittanbieter durch. Auffällig ist die weiterhin hohe Quantität der

Einbindungen von Google-Diensten ohne Einwilligung. Die Zahlen zeigen 8.562 Webseiten (29.3 %) mit Verbindungen zu Google LLC. Diese Verbindungen werden initiiert durch die Einbettung diverser Dienste, wie insbesondere Google Fonts, aber auch Google Tag Manager, Google Maps, Google Analytics oder Youtube. Daneben liegt nach wie vor eine hohe Anzahl an generellen Drittanbietern vor. Externe Verbindungen werden dabei insbesondere zu großen Dienstanbietern aufgebaut wie Cloudflare, Amazon und Facebook sowie zu Consent-Management-Anbietern wie Usercentrics oder eRecht24 und Webseitenbuilder wie Jimdo oder WordPress oder zu Services zur Einbindung externer Ressourcen wie OpenJS oder Fonticons. 54,4 % der Webseiten speicherten zudem Cookies. Insgesamt wurden 52.967 Cookies gesetzt, im Schnitt rund zwei Cookies pro Webseite.

Es sind allesamt interessante Zahlen und verdeutlicht für die Verantwortlichen, dass die Internetpräsenzen als Tor nach Außen datenschutzrechtlich sauber gehalten werden müssen. Wer hier Nachbesserungsbedarf hat, sollte dich dieses Tham zwingend auf die Agenda setzen.

Und dann ist da noch der Beschäftigtendatenschutz

Selbstverständlich darf auch der Beschäftigtendatenschutz als zentrales Element des Datenschutzrechtes nicht zur kurz kommen. So haben es einige bemerkenswerte Fälle in den aktuellen Bericht geschafft.

Den Anfang macht ein Prüfverfahren zum datenschutzkonformen Einsatz der Funktion „Anwesenheitsübersicht“ eines elektronischen Zeiterfassungssystems in einem Finanzamt (vgl. Ziff. 2.2.18). Hierbei verwundert insbesondere die Darstellung „Im Bereich der Finanzämter war die Funktion zunächst so ausgestaltet, dass jede/r Beschäftigte bei jeder/jedem anderen Beschäftigten eines Finanzamtes den Status einsehen konnte. Die Statusdaten umfassten zu Beginn die Angaben „anwesend“, „Telearbeit/mobiles Arbeiten“, „Dienstgang/Dienstreise“, „abwesend“ (mit hinterlegter Fehlzeit für geplante Abwesenheit, zum Beispiel Urlaub), „abwesend“ (ohne hinterlegte Fehlzeit für ungeplante Abwesenheit, zum Beispiel Pause, Kind krank.“ Den geneigten Lesern drängt sich hier bereits auf, dass dies mit den datenschutzrechtlichen Grundsätzen nicht übereinstimmen kann. Die Aufsichtsbehörde sah hierin einen Verstoß gegen das Erforderlichkeitsprinzip (hier im Rahmen des § 11 Abs 1 Satz 1 Sächsisches Datenschutzdurchführungsgesetz – SächsDSDG) sowie den Grundsatz der Datenminimierung (vgl. Art. 5 Abs. 1 lit. c DS-GVO).

Auch die vorgebrachten Gründe der Personaleinsatzplanung seitens des Dienstherren konnten hier nicht überzeugen: „Es erschließt sich nicht, inwieweit die Information zum aktuellen An- und Abwesenheitsstatus und zur Angabe des Arbeitsortes, das heißt, einer Momentaufnahme überhaupt für eine Personaleinsatzplanung, geeignet sein soll […] Allgemeine und pauschale Aussagen, dass dies für die Personaleinsatzplanung vor dem Hintergrund des orts- und arbeitszeitflexiblen Arbeitens sowie einer Vielzahl von Arbeitszeitmodellen, die nicht in Planungsszenarien gefasst werden könnten, zwingend erforderlich sei, genügen den Anforderungen an eine datenschutzrechtliche Erforderlichkeit jedenfalls nicht.“ Ebenso verfangen weiteren Argumente der Organisation der Arbeitsabläufe („Der Verantwortliche trug zwar umfangreich vor und beschrieb dabei eine Vielzahl von Anwendungsfällen und Prozessen, diese ließen jedoch teilweise Zweifel aufkommen, ob sich derartige Prozesse mit der Lebenswirklichkeit bzw. üblichen Verwaltungspraxis in Einklang bringen lassen.“).

Der Fall liest sich nahezu schulbuchartig, denn die Aufsicht führt in der Folge noch zur Leistungs- und Verhaltenskontrolle sowie dem Transparenzgrundsatz aus (vgl. Art. 5 Abs. 1 lit. a) DS-GVO). Am Ende stehen Anordnungen gegenüber den 24 Finanzämtern zu Beschränkung von Zugriffsberechtigungen nach Art. 58 Abs. 2 lit. f) DS-GVO. Für die Praxis zeigt uns der Fall, dass Verarbeitungstätigkeiten, welche tendenziell die Leistungs- und Verhaltenskontrolle von Beschäftigten ermöglich, wohl geprüft und begründet werden müssen. Allein pauschale Angaben genügen – wenig überraschend – nicht.  

Spannende Fälle aus dem Beschäftigtenbereich liefert der Bericht zudem zur „Veröffentlichung von Beschäftigtendaten im Internet“ (vgl. Ziff. 2.3.1) und zur Thematik „Krankenbesuche durch den Arbeitgeber“ (vgl. Ziff. 2.3.2). Insbesondere der zweite Fall enthält eine datenschutzrechtlich interessante Ausführung, denn die Aufsichtsbehörde bezieht sich bei Ihren Ausführungen zur Einwilligung bei Gesundheitsdaten neben Art. 9 DS-GVO auf § 26 Abs. 3 BDSG. Dies streitet dafür, dass die Behörde diese Norm im Lichte der Rechtsprechung des Europäischen Gerichtshof und des Bundesarbeitsgericht weiterhin für anwendbar hält.

Fazit

Der aktuelle Tätigkeitsbericht enthält eine Vielzahl spannender und teilweise auch kurioser Fallgestaltungen (Stichwort Hasenstallfall (Ziff. 6.1.3.1). Neben den dargestellten Berichten und Fällen widmet sich die Aufsicht auch wieder dem Thema Videoüberwachung, u.a. an Tiefgaragenausfahrten (Ziff. 2.2.5), im Fitnessstudio (Ziff. 2.26), zum Schutz von Warenautomaten (Ziff. 2.2.7) und in einer Flüchtlingsunterkunft (Ziff. 2.2.8) sowie der Verarbeitung von Daten Minderjähriger, bspw. bei der Aufnahme von Videobildern bei Fußballspielen im Kinder- und Jugendbereich mithilfe von Kameradrohnen zur taktischen Auswertung (Ziff. 2.3.6). Spannend ist zudem der Fall des Telepräsenz-Avatars im Unterricht (Ziff. 2.2.9). Ein Blick in den Bericht lohnt sich daher allemal.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nicht gelesen haben. Die heutige Etappe durch den Artikel 27 ist eher unspektakulär und hauptsächlich wichtig als Verbindungsweg zum Artikel 28 – der es in sich hat.

Worum Geht´s?

Die DS-GVO verpflichtet nach Artikel 3 Abs. 2 viele Verantwortliche und Auftragsverarbeiter außerhalb der EU – wenn sie personenbezogene Daten Betroffener verarbeiten,

• um ihr Verhalten in der EU zu beobachten oder
• um ihnen Waren/Dienstleistungen in der EU anzubieten.

Immer wenn Staaten – oder Staatenbünde wie die EU – über ihr eigenes Hoheitsgebiet hinausregieren wollen, haben sie dasselbe Problem: Wie setzt man sich im Ausland durch? (Man kann natürlich auch Regeln aufstellen ohne die Chance einer effektiven Umsetzung. Aber meist sieht das nicht gut aus.)

Artikel 27 klärt nur einen ganz kleinen Teil dieses Problems: Verantwortliche mit Sitz außerhalb der EU müssen Vertreter in der EU benennen und zwar als Ansprechpartner „insbesondere für die Aufsichtsbehörden und betroffene Personen“. Das „insbesondere“ heißt im üblichen juristischen Sprachgebrauch: Dies sind nur (besonders wichtige) Beispiele. Also dürfen auch Andere die Vertreter in DS-GVO-Fragen kontaktieren.

Die Benennung muss schriftlich erfolgen (Abs. 1), aber nicht gegenüber der Aufsichtsbehörde und auch nicht gegenüber den Betroffenen. Die Betroffenen erfahren vom Vertreter und seinen Kontaktdaten durch die Information nach Art. 13 (bzw. 14) Abs.1 lit. a. Die Aufsichtsbehörde liest entweder auch die Datenschutz-Information oder das Verarbeitungs-Verzeichnis; dort wird der Vertreter mit Kontaktdaten auch genannt (Art. 30 Abs. 1 Satz 2 lit. a). Beim Auftragsverarbeiter steckt die Nachricht ebenfalls im VVT (Art. 30 Abs. 2 lit. a).

Der Vertreter kann „zusätzlich … oder an … Stelle“ seiner Auftraggeber (Verantwortlicher/Auftragsverarbeiter) als Anlaufstelle für Datenschutzfragen dienen. Er kann auch die VVTs erstellen und muss sie der Aufsichtsbehörde auf Anforderung bereitstellen (siehe Art. 30 Abs. 1, 2 und 4). Außerdem muss er mit der Aufsichtsbehörde allgemein zusammenarbeiten (Art. 31).

Der Vertreter kann nicht in „irgendeinem“ EU-Staat ansässig sein, sondern nur in einem derjenigen Staaten, in denen sein Auftraggeber aktiv ist (also Betroffene beobachtet und/oder ihnen Waren/Dienstleistungen anbietet).

Was erreicht der Gesetzgeber? Vor allem kürzere Wege für die Aufsichtsbehörden und die Betroffenen. Allerdings: Wenn sich der Verantwortliche/Auftragsverarbeiter – auch – an diese DS-GVO-Vorschrift nicht hält, bleibt doch nur der lange, schwierigere Weg ins Ausland.

Was droht dem Vertreter? Erwägungsgrund 80 meint in Satz 6, bei Verstößen seiner Auftraggeber solle „der bestellte Vertreter Durchsetzungsverfahren unterzogen werden“. Im Normtext der DS-GVO findet sich dazu aber nichts. Artikel 82 gibt Schadenersatzansprüche nur gegen Verantwortliche und Auftragsverarbeiter. Ein Versehen des Gesetzgebers? Vielleicht.

Nach Artikel 58 Abs. 1 lit. a kann die Aufsichtsbehörde den Vertreter anweisen, Informationen bereitzustellen. Aber droht bei Verstößen Bußgeld? Artikel 83 erwähnt zwar in Abs. 5 lit. e die Pflichten zur Info-Bereitstellung, aber nicht den Vertreter. Und derselbe Artikel befasst sich in Abs. 4 lit. a zwar (u. a.) mit Verstößen gegen Artikel 30 und 31 (da sind ja auch Pflichten des Vertreters geregelt, siehe oben), meint aber ausdrücklich nur Fehlverhalten des Verantwortlichen und des Auftragsverarbeiters. Ein Versehen des Gesetzgebers? Höchstwahrscheinlich.

Fazit

Artikel 27 versucht im Rahmen des Möglichen, für die schwer greifbaren DSGVO-Akteure („weit weg“) einen leichter greifbaren Ansprechpartner („nah dran“) aufzubauen. Aber in der Umsetzung (Sanktionen gegen den greifbaren Ansprechpartner) hat der Gesetzgeber gepatzt. Schön wäre: Reparieren.

Etappenziel erreicht – gute Erholung vor dem nächsten Abschnitt!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wir haben in unserem Blog bereits an zahlreichen Stellen über mögliche Datenschutzverletzungen sowie deren Eintrittsszenarien berichtet. Eine potenzielle Datenschutzverletzung, welche häufiger nicht die praktische Bedeutung erfährt, welche sie eigentlich genießen sollte, haben wir bisher noch unbeachtet gelassen: Weitreichende Zugriffsrechte, welche die unbefugte Kenntnisnahme von (personenbezogenen) Daten ermöglichen. Der Bayrische Landesbeauftragte für den Datenschutz (BayLfD) veröffentlichte Mitte Januar 2026 eine Kurz-Information unter dem Titel „Dateiablagen als Quelle von Datenpannen“.  Der BayLfD bietet mit seinen „Aktuellen Kurz-Informationen“ praxisnahe Hinweise zur Datenschutz-Grundverordnung für öffentliche Stellen und Unternehmen. Gründe genug also sich einmal näher mit den entsprechenden Fallkonstellationen auseinander zu setzen. Die Kurz-Information Nr. 65 soll im Mittelpunkt unseres heutigen Blog-Beitrages stehen.

First at all: Unbfugte Kenntnisnahme als Datenschutzverletzung

Zur Erinnerung: Nach Art. 4 Nr. 12 DS-GVO ist eine Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

In den durch den BayLfD geschilderten Fällen handelt es sich vielmals um eine unbefugte Offenlegung. Eine Offenlegung liegt dabei vor, wenn die jeweils betroffenen personenbezogenen Daten einem Empfänger gemäß Art. 4 Nr. 9 DS-GVO zur Kenntnis gelangen. Nach hier vertretener Ansicht ist es dafür unerheblich, ob es sich hierbei um einen internen oder externen Empfänger handelt.

Der Europäische Datenschutzausschuss führt hierzu in seinen Leitlinien 9/2022 für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der DS-GVO aus: „Die unrechtmäßige oder unbefugte Verarbeitung schließlich kann die Offenlegung personenbezogener Daten gegenüber (bzw. den Zugang zu personenbezogenen Daten von) Empfängern, die nicht zum Erhalt der (bzw. zum Zugang zu den) Daten befugt sind, sowie jede andere Form der Verarbeitung unter Verstoß gegen die DSGVO beinhalten.“

Abzustellen ist demnach auf die nicht vorliegende Autorisierung bzw. Befugnis zur Kenntnisnahme der Daten. Obwohl insofern ein Zusammenhang mit der Zulässigkeit der Datenverarbeitung besteht (zur Erinnerung: eine Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DS-GVO setzt eine Verletzung der Sicherheit voraus, nicht einen Verstoß gegen die Rechtmäßigkeit der Datenverarbeitung), ist für die Schutzverletzung nur auf die technischen und organisatorischen Maßnahmen abzustellen.

Dagegen kann durchaus hinterfragt werden, ob die Verletzung der Sicherheit voraussetzt, dass tatsächlich eine Kenntnisnahme der personenbezogenen Daten durch unbefugte Personen erfolgt ist oder die Möglichkeit der Kenntnisnahme ausreicht. Richtigerweise wird man davon ausgehen müssen, dass in den Fällen der unbefugten Offenlegung eine Verletzung der Sicherheit bereits eingetreten ist, wenn die Offenlegung erfolgt ist. Dagegen wird man die Frage, ob tatsächlich eine Kenntnisnahme stattgefunden hat, im Rahmen der Bewertung der Höhe des Risikos nachgehen und ob möglicherweise technische und organisatorische Maßnahmen (beispielsweise Löschbestätigung ohne Sichtung von Datensätzen) das potenzielle Risiko minimieren oder ausschließen.

Nun zur besagten Kurzinformation

Zurück zum Paper des BayLfD. Betrachtet werden (zentrale) Dateiablagen in Form von Verzeichnissen auf einem Server wie auch elektronische Akten oder ähnlichem: „Oftmals sind zentrale Dateiablagen als eigene Laufwerke mit einem festen Laufwerksbuchstaben eingerichtet, auf die je nach Größe der Dienststelle alle Beschäftigten oder – etwa nach Organisationseinheiten gegliedert – größere oder kleinere Gruppen zugreifen können. Die Verzeichnisnamen in den Laufwerken sind in der Regel so gewählt, dass für die Beschäftigten ersichtlich ist, welche Kategorien von Informationen dort zu erwarten sind.“

Zur Vermeidung von Datenschutzverletzungen im Zusammenhang mit Verzeichnissen und Dateiablagen rät der ByLfD zu folgenden Maßnahmen:

• Prüfen von Berechtigungen, bevor personenbezogene Daten in einem Verzeichnis abgelegt werden;
• Im Zweifel sind neue Verzeichnisse anzulegen;
• Seitens des Verantwortlichen wird zudem das Festlegen von zentralen Anforderungen bzw. Vorgaben für Dateiablagen aufgeführt (z. B. Festlegung von Zuständigkeiten für die Löschung von Dateien, Ergreifen zusätzlicher Maßnahmen bei der Ablage von sensiblen Daten wie Erstellung von Unterverzeichnissen oder Berechtigungsbeschränkungen bzw. Vergabe von Passwörtern) sowie Vergabe von Löschfristen.

Ähnliche Problemstellung, anderes System: Microsoft SharePoint

Die Nutzung von Microsoft SharePoint als Plattform für die gemeinsame Dokumentenverwaltung bringt in seiner Verwendung häufig ähnliche Probleme mit sich: „Obwohl SharePoint durch seine Funktionen zur Versionierung, Zugriffssteuerung und Zusammenarbeit viele Vorteile bieten kann, besteht auch hier die Gefahr, dass Datenpannen auftreten, insbesondere wenn Berechtigungen nicht sorgfältig verwaltet werden.“ Bei SharePoint können Berechtigungen auf unterschiedlichen Ebenen (Site-, Bibliotheks- oder Dokumentenebene) vergeben werden. Hierdurch entsteht mitunter eine hohe Komplexität. Dies gilt insbesondere, wenn diverse Dateiablagen im SharePoint von unterschiedlichen Teams genutzt werden.

Im Vergleich zu „normalen“ Dateiablagen bietet SharePoint jedoch die Möglichkeit sogenannte Audit-Logs zu protokollieren, um potenzielle Zugriffe nachzuverfolgen. Wiederrum sollte man Vorsicht walten lassen, das die Auswertungen der Zugriffsrechte wiederrum einen Zugriff auf personenbezogene Daten darstellen kann und somit einer (datenschutzrechtlichen) Rechtfertigung bedarf.

Fazit

Der BayLfD kommt im Ergebnis daher zu den Kernaussagen, dass Betriebsmittel wie gemeinsame Datenablagen oder Austauschverzeichnisse eine häufige Quelle von Datenpannen bzw. Datenschutzverletzungen sein können und dass bei der Arbeit sowie der Administration solcher Datenablagen und Verzeichnisse durch leicht umsetzbare Routinen einfache Verletzungshandlungen vermieden werden können. Beide Ansichten überzeugen. In der täglichen Arbeit stellen wir ebenso fest, dass leicht zu derartigen Verletzungen durch unbefugte Offenlegungen kommen kann. All zu leicht sind weitreichende (Lese-)Rechte eingerichtet, ohne dass es hierfür entsprechende Rechtfertigungen gibt. Ein handfestes Berechtigungskonzept kann hier beispielsweise Abhilfe schaffen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Gemäß Art. 38 Abs. 6 DS-GVO ist es gestattet, dass der Datenschutzbeauftragte grundsätzlich weitere Aufgaben und Pflichten wahrnehmen kann. Eine Grenze dieser Möglichkeit ist jedoch spätestens dann erreicht, wenn solche Aufgaben und Pflichten zu einem Interessenskonflikt des Datenschutzbeauftragten führen. Aus einem Beschluss der italienischen Datenschutz-Aufsichtsbehörde Garante per la Protezione dei Dati Personali aus April 2025 geht nun hervor, dass ein solcher Interessenskonflikt des Datenschutzbeauftragten beispielsweise dann besteht, wenn dieser datenschutzrechtliche Dokumente nicht nur prüft, sondern auch selbst erstellt.

Aufgaben des Datenschutzbeauftragten und des Verantwortlichen

Unter Berücksichtigung des Art. 39 Abs. 1 DS-GVO obliegen dem Datenschutzbeauftragten insbesondere die Unterrichtung und Beratung hinsichtlich datenschutzrechtlicher Pflichten, die Überwachung der Einhaltung datenschutzrechtlicher Anforderungen sowie die Tätigkeit als Kommunikationsschnittstelle mit der jeweiligen Datenschutz-Aufsichtsbehörde. Dem Datenschutzbeauftragten kommt demnach ausschließlich eine unterstützende Aufgabe zu.

Die operative Umsetzung des Datenschutzes ist entsprechend Aufgabe des jeweiligen Verantwortlichen. Dies wird beispielsweise aus den einschlägigen Normen zur Umsetzung eines Datenschutzmanagements (Art. 24 Abs. 1 DS-GVO: „Der Verantwortliche setzt […] um […].“), zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 Abs. 1 DS-GVO: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen […].“) oder zur Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 DS-GVO: „[…] so führt der Verantwortliche […].“)deutlich. In Bezug auf die Datenschutz-Folgenabschätzung tritt die Aufgabentrennung auch noch einmal durch Art. 35 Abs. 2 DS-GVO hervor. Demnach holt der Verantwortliche bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein, sofern ein solcher benannt wurde.

Durch die dargestellte Verteilung der Aufgaben soll eine wirksame Eigenkontrolle ermöglicht werden, sodass Organisationen in die Lage versetzt werden, effektive Maßnahmen zur Gewährleistung des Datenschutzes zu etablieren und deren Wirksamkeit selbstständig zu prüfen.

Interessenskonflikt bei fehlender Trennung

Dass eine unzureichende Trennung beider Aufgabenfelder zu einem Interessenskonflikt des Datenschutzbeauftragten führen kann, zeigt ein Fall aus Italien. Dort bemängelte die hiesige Datenschutz-Aufsichtsbehörde die Tätigkeit des Datenschutzbeauftragten, als dieser im Rahmen der Einführung eines KI-basierten Systems als Autor einer Datenschutz-Folgenabschätzung auftrat. Die Aufsichtsbehörde sah hierin einen Interessenskonflikt gegeben, da:

• der Datenschutzbeauftragte bei der Durchführung einer Datenschutz-Folgenabschätzung eine unabhängige Beratungsfunktion innehat, Art. 35 Abs. 2 DS-GVO, Art. 39 Abs. 1 lit. c) DS-GVO;

• eine ausreichende Unabhängigkeit des Datenschutzbeauftragten nicht mehr gegeben ist, wenn dieser selbst als Verfasser der Datenschutz-Folgenabschätzung tätig wird;

• die erforderliche Trennung zwischen der Beratungsfunktion des Datenschutzbeauftragten und der Umsetzungsverantwortung des Verantwortlichen nicht gegeben ist.

Der Datenschutzbeauftragte stand somit faktisch auf zwei Seiten zugleich: Er entschied als Autor der Datenschutz-Folgenabschätzung über Risiko und erforderliche Maßnahmen und hätte gleichzeitig die Angemessenheit dieser Entscheidungen überwachen sollen – ein unauflösbarer Widerspruch. Die Folge: Die italienische Aufsichtsbehörde erkannte hierin einen Verstoß gegen Art. 38 Abs. 6 DS-GVO und verhängte ein entsprechendes Bußgeld. Auch wenn dieses Bußgeld mit 9.000 Euro relativ gering ausfiel, kommt der grundsätzlichen Aussage der Entscheidung eine wesentliche Bedeutung zu.

Fazit

Interessenkonflikte lassen sich vermeiden, wenn Organisationen klare Zuständigkeiten festlegen und die Aufgaben des Datenschutzbeauftragten strikt von operativen Tätigkeiten trennen. Der Datenschutzbeauftragte sollte keine Entscheidungsbefugnisse über Datenverarbeitungen haben, die er später selbst prüfen muss. Dokumentationspflichten wie Verzeichnisse der Verarbeitungstätigkeiten oder Datenschutz-Folgenabschätzungen sind von den jeweiligen Fachbereichen zu erstellen; der Datenschutzbeauftragte darf nur beratend und prüfend unterstützen.

Bei kleinen Organisationen kann die Bestellung eines externen Datenschutzbeauftragten helfen, Interessenkonflikte zu vermeiden – entscheidend ist die tatsächliche Unabhängigkeit. Regelmäßige Überprüfungen der Aufgabenverteilung, insbesondere nach organisatorischen Änderungen, sind empfehlenswert. Insgesamt gilt: Der Datenschutzbeauftragte soll beraten und kontrollieren, nicht selbst handeln. Nur eine klare Trennung von Verantwortung und Kontrolle sichert Unabhängigkeit, vermeidet Bußgelder und stärkt das Vertrauen in die Datenschutzorganisation.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Initiative „Meine Daten. Meine Freiheit.“ für mehr Achtsamkeit im Umgang mit personenbezogenen Daten, stellt die Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) seit kurzer Zeit mehrere Textgeneratoren zur Umsetzung der gängigsten Betroffenenrechte der Datenschutz-Grundverordnung bereit. Die sächsische Datenschutz-Aufsichtsbehörde möchte damit betroffenen Personen die Kommunikation mit den datenverarbeitenden Stellen erleichtern und so eine bessere Kontrolle über die eigenen personenbezogenen Daten ermöglichen.

Weiterführende Informationen zu Betroffenenrechte

Neben den eigentlichen Textgeneratoren für das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung sowie das Widerspruchsrecht werden Betroffenen und Interessierten zusätzliche Informationen bereitgestellt. Dazu zählen etwa Erläuterungen zum jeweiligen Zweck und Umfang, Hinweise auf mögliche Einschränkungen und Besonderheiten sowie Verweise auf einschlägige Veröffentlichungen der Datenschutzkonferenz.

Einfache Bedienung der Textgeneratoren

Das Herzstück der Initiative bilden jedoch die fünf Textgeneratoren selbst. Mit wenigen Klicks und Eingaben wird ein fertiges Musterschreiben erstellt: Angaben zum Verantwortlichen und zur eigenen Person, optionale Präzisierungen, die gewünschte Form der Auskunft – und schon liegt das fertige Auskunftsersuchen vor. Wer zusätzlich das Häkchen für eine Datenkopie setzt, berücksichtigt zugleich auch das Recht gemäß Art. 15 Abs. 3 DS-GVO. Alle Eingaben werden schließlich mit einem Klick zu einem übersichtlichen Musterschreiben – wahlweise als Text- oder PDF-Datei – zusammengefügt.

Die Generatoren für die weiteren Betroffenenrechte sind naturgemäß noch einfacher: Für das Recht auf Berichtigung wird eine kurze Begründung ergänzt, der konkrete Grund bezüglich des Rechts auf Löschung wird ausgewählt – und in Sekundenschnelle steht auch hier das fertige Schreiben bereit.

Insgesamt scheinen die Textgeneratoren auf den ersten Blick sehr intuitiv und bedienungsfreundlich. Datenschutzsensible Personen brauchen zudem nicht befürchten, dass die getroffenen Eingaben zu weiteren Zwecken aufbewahrt oder weiterverwendet werden. Nach der Generierung des Musterschreibens stehen die jeweiligen Dokumente für nur 15 Minuten zum Download zur Verfügung und werden sodann unverzüglich gelöscht

Fazit

Ob die Bereitstellung der Textgeneratoren tatsächlich zu einer vermehrten Wahrnehmung der Betroffenenrechte führt, bleibt abzuwarten. Fest steht jedoch: Sie erleichtern den Zugang erheblich und senken die Hemmschwelle zur Geltendmachung dieser Rechte sowie zur Kontaktaufnahme mit den datenverarbeitenden Stellen. Auch Verantwortliche können profitieren – etwa durch die klare Struktur und präzise Formulierung der Anliegen, die den Willen der betroffenen Person deutlicher hervortreten lassen können. Nun bleibt abzuwarten, wie die neuen Textgeneratoren von den Betroffenen angenommen werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Ende März 2025 legte die Sächsische Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert ihren Tätigkeitsbericht für das Jahr 2024 vor. Der Bericht bietet auf mehr als 200 Seiten einen umfassenden Überblick über die Arbeit der Aufsichtsbehörde und benennt zentrale Entwicklungen im Bereich des Datenschutzes. Im Folgenden werden die wichtigsten Befunde und exemplarische Fälle zusammengefasst.

Steigende Zahl von Beschwerden und Datenschutzverletzungen

Der Trend steigender Fallzahlen setzte sich auch im Berichtsjahr 2024 fort. Insgesamt 1.255 Beschwerden, Beratungsanfragen und Kontrollanregungen gingen bei der Aufsichtsbehörde im vergangenen Jahr ein. Das entspricht einem Anstieg von rund acht Prozent gegenüber dem Vorjahr. Die Zahl der gemeldeten Datenschutzverletzungen überschritt erstmals die Marke von tausend: 1.001 Vorfälle wurden durch sächsische Verantwortliche der Aufsichtsbehörde gemeldet.

Die häufigsten Ursachen waren klassische Fehlversendungen, etwa durch falsche Adressierungen bei Postversand oder fehlerhafte E-Mail-Verteiler, der Verlust technischer Geräte wie Laptops sowie Cybervorfälle, etwa durch Phishing- oder Ransomware-Angriffe. Ein praktisches Beispiel betrifft den Diebstahl von Kameras aus einer Kindertageseinrichtung, auf denen Bilddaten von Kindern gespeichert waren. Ein weiterer Fall betraf den Verlust unverschlüsselter Notebooks mit Gesundheitsdaten. Die Behörde betonte erneut die Bedeutung technischer und organisatorischer Maßnahmen, um Datenschutzverletzungen zu verhindern oder deren Auswirkungen zu begrenzen.

Maßnahmen der Aufsichtsbehörde

Nach den Angaben des Tätigkeitsberichtes griff die Aufsichtsbehörde zur Durchsetzung datenschutzrechtlicher Anforderungenauf verschiedene Instrumente zurück. Im Jahr 2024 wurden 11 Warnungen, 47 Verwarnungen sowie 40 Anweisungen und Anordnungen ausgesprochen. Daneben verhängte die Behörde 21 Bußgelder. Die Gesamthöhe belief sich auf 199.000 Euro im nichtöffentlichen Bereich und 14.580 Euro im öffentlichen Bereich.

Ein erheblicher Teil der Bußgeldverfahren betraf unzulässige Videoüberwachungen oder den Einsatz von Dashcams. Beispielhaft erwähnt wird die Nutzung von Dashcams durch Fahrzeugführerinnen und Fahrzeugführer, bei denen Aufnahmen ohne konkreten Anlass und über längere Zeiträume hinweg gespeichert wurden. In diesen und weiteren Fällen wurden Bußgelder zwischen 100 Euro und 1.000 Euro verhängt.

Prüfungen von Internetseiten

Ein wesentlicher Schwerpunkt der behördlichen Tätigkeit war im vergangenen Jahr die automatisierte Überprüfung von 32.981 Internetseiten sächsischer Behörden, Unternehmen und Vereine. Die Prüfungen konzentrierten sich darauf, ob bereits bei einem ersten Aufruf einer Internetseite ohne Einwilligung personenbezogene Daten an Drittanbieter übermittelt werden. Bei etwa 66 Prozent der geprüften Seiten wurde eine solche Übertragung festgestellt, häufig an Google-Dienste wie Google Analytics oder Google Fonts.

In der Folge leitete die Aufsichtsbehörde ein Massenverfahren ein und kontaktierte 2.304 Seitenbetreiber, die überwiegend Google Analytics ohne rechtmäßige Einwilligung eingesetzt hatten. Die Nachkontrolle ergab, dass rund 65 Prozent der Verantwortlichen die festgestellten Verstöße beseitigt hatten. Häufige Fehlerquellen waren etwa voreingestellte Tracking-Dienste trotz Anzeige eines Einwilligungsmanagements („Cookie-Banner“) oder unzureichende Informationen im Rahmen der Einholung der Einwilligung. Der Bericht zeigt, dass weiterhin erheblicher Nachbesserungsbedarf bei der praktischen Umsetzung von Einwilligungsanforderungen besteht.

Dauerbrenner Videoüberwachung

Auch im Bereich der Videoüberwachung blieb der Beratungs- und Prüfbedarf hoch. Mehr als zwei Drittel der im nichtöffentlichen Bereich eingeleiteten Ordnungswidrigkeitenverfahren standen im Zusammenhang mit Verstößen bei Videoüberwachungen. Häufig wurden fehlende Hinweisschilder bemängelt, die betroffenen Personen nicht klar und verständlich über die Überwachung informieren. Zudem fehlte in vielen Fällen eine klare Zweckbestimmung, und überwachte Bereiche umfassten auch öffentlich zugängliche Flächen, ohne dass hierfür ein ausreichender Rechtfertigungsgrund vorlag.

Zur Unterstützung bei der Umsetzung datenschutzkonformer Videoüberwachung veröffentlichte die sächsische Datenschutz-Aufsichtsbehörde 2024 eine überarbeitete zweite Auflage der Broschüre „Achtung Kamera!“, die praxisnahe Hinweise zur rechtssicheren Gestaltung von Videoüberwachungsmaßnahmen bietet.

Beschäftigtendatenschutz

Ein weiterer Schwerpunkt lag im Bereich des Schutzes von Beschäftigtendaten. Die Aufsichtsbehörde stellte beispielsweise fest, dass in mehreren Fällen vertrauliche personenbezogene Daten von Beschäftigten, etwa Gesundheitsdaten oder Kündigungsgründe, in Betriebsversammlungen oder internen Bekanntmachungen unzulässig offengelegt wurden. Die Aufsichtsbehörde weist in diesem Kontext ausdrücklich darauf hin, dass Personalaktendaten stets streng vertraulich zu behandeln sind. Auch mündliche Offenbarungen sensibler Informationen gegenüber nicht berechtigten Dritten sind unzulässig.

„Das Gebot der Gewährleistung der Vertraulichkeit in Bezug auf Personalaktendaten ist eine Verpflichtung des Arbeitgebers, die sowohl innerhalb der Dienststelle bzw. des Betriebes und auch gegenüber außenstehenden Dritten besteht. Die Personalakte ist daher vertraulich zu behandeln, vor unbefugter Einsicht zu schützen und der Zugriff nur für solche Beschäftigten und auf solche Daten zuzulassen, wie dies im Rahmen der Personalverwaltung erforderlich ist.“, so Dr. Juliane Hundert im Rahmen des Tätigkeitsberichtes.

Cyberkriminalität als zunehmende Bedrohung

Der Tätigkeitsbericht weist ferner darauf hin, dass Meldungen von Datenschutzverletzungen infolge von Cyberangriffen weiterhin eine zentrale Rolle spielen. Derartige Vorfälle umfassen insbesondere Phishing-Angriffe, Ransomware-Attacken sowie das Ausnutzen von Sicherheitslücken.

Ein typisches Beispiel aus dem Berichtsjahr war die Kompromittierung von E-Mail-Konten, die in mehreren Fällen dazu führte, dass unbefugte Dritte Zugriff auf personenbezogene Daten erlangten. In einigen Fällen wurden dadurch vertrauliche Kommunikationsdaten abgegriffen oder betrügerische E-Mails im Namen betroffener Organisationen verschickt. Die Behörde empfiehlt, den Schutz technischer Systeme regelmäßig zu überprüfen und organisatorische Maßnahmen wie Sensibilisierungstrainings für Beschäftigte zu etablieren, um das Risiko von derartigen Datenschutzverletzungen und Sicherheitsvorfällen zu verringern.

Fazit

Der Tätigkeitsbericht zeigt, an welchen Stellen Verantwortliche in Sachsen gezielt ansetzen können, um datenschutzrechtliche Anforderungen im Alltag besser umzusetzen. Ob bei einem Betrieb von Internetseiten, bei der Gestaltung von Videoüberwachungsmaßnahmen oder im Umgang mit Beschäftigtendaten – häufig lassen sich Verbesserungen schon durch klarere Prozesse sowie wirksamere technische und organisatorische Maßnahmen erzielen. Die dargestellten Beispiele machen deutlich, dass Datenschutz in vielen Fällen mit überschaubarem Aufwand wirksam verbessert werden kann. Unternehmen, Behörden und Vereine erhalten mit dem Bericht konkrete Hinweise, um ihre bestehenden Strukturen weiterzuentwickeln und die gesetzlichen Anforderungen im eigenen Verantwortungsbereich zuverlässig zu erfüllen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Nachdem der europäische Gesetzgeber mit der DS-GVO auch in Deutschland für den Datenschutz den Takt vorgibt, trifft ihn natürlich auch zuerst Kritik an sinnarmen und -losen Regelungen. Beispiele aus Sicht des Verfassers: Pflicht zur generellen ungefragten Datenschutzinformation; Verantwortung des Blumenhändlers für sein PC-Betriebssystem und die Internet-Suchmaschine sowie gemeinsame Verantwortlichkeit mit Meta und Sophos. Aber daneben bleiben beträchtliche Regelungskompetenzen für Bund und Länder. Auch dort bestehen durchaus Möglichkeiten, datenschutzrechtliche Gesetze zu verbessern und zu vereinfachen. Die folgenden Punkte beziehen sich auf Sachsen, lassen sich aber fast durchweg auf alle oder die meisten anderen Bundesländer übertragen.

Strafverfolgung

Das europäische Recht regelt den Datenschutz in der DS-GVO sehr detailliert, in der sogenannten JI-Richtlinie – vor allem für die Bereiche Polizei und Strafjustiz – mit größerem Umsetzungsspielraum. Aber ist es wirklich klug, diesen Spielraum auszunutzen? Tut man es, entstehen in Deutschland mindestens 17 verschiedene Regelungswerke – beim Bund und den 16 Ländern.

Einige Bundesländer und der Bund haben ihr Datenschutzrecht in einem Gesetz gebündelt. Andere – zum Beispiel Sachsen – haben die DS-GVO und die JI-Richtlinie jeweils durch ein eigenes Gesetz beantwortet. Im Ergebnis haben sächsische Polizeibeamte die DS-GVO mit dem Sächsischen Datenschutz-Durchführungsgesetz (SächsDSDG) und die JI-Richtlinie mit dem Sächsischen Datenschutz-Umsetzungsgesetz (SächsDSUG) anzuwenden – daneben natürlich die Datenschutz-Regeln in den Fachgesetzen wie zum Beispiel dem Sächsischen Beamtengesetz oder dem Sächsischen Polizeigesetz. Das geht besser und einfacher.

Spezifische Datenschutz-Aufsichten

An anderen Stellen gewährt die DS-GVO selbst Spielraum. So erlaubt Art. 85 DS-GVO Abweichungen und Ausnahmen bei der Datenverarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken. Und wieder gilt: Es gibt keine Pflicht, Spielräume auszunutzen. Manchmal ist es klüger, darauf zu verzichten. Umsetzung leider – soweit erkennbar in allen Bundesländern: Neben der allgemeinen Datenschutz-Aufsicht zusätzliche Mini-Aufsichten (1) für die öffentlich-rechtlichen Medien und (2) für die privaten Medien. Für die Presse existiert keinerlei effektive Datenschutz-Aufsicht. Zu manchen dieser Aufsichtsstellen ist auch bei wiederholter Anfrage kein Kontakt möglich. Die Abgrenzung der Zuständigkeiten fällt schwer, kostet Kraft und ist fehleranfällig. Das deutsche Datenschutzrecht bleibt – trotz DS-GVO – ein Flickenteppich.

Landesparlamente

Richtig skurril wird die Ausnutzung von Spielräumen zum Beispiel, wenn die Landesparlamente ihre eigenen Datenschutzpflichten regeln. Was für Privatwirtschaft und Normalbehörden gilt, vom jeweiligen Landtag für die Landesbehörden in den Landesdatenschutzgesetzen teils selbst geregelt wird, möchten die Parlamente in eigener Sache oft nicht anwenden. Deshalb hat sich zum Beispiel der Sächsische Landtag eine eigene Datenschutzordnung gegeben.

Ausreichend wäre, die Besonderheiten der parlamentarischen Datenverarbeitung in einem Paragraphen eines Landesdatenschutzgesetzes zu regeln. Stattdessen findet sich der Versuch, in 21 Paragraphen einen eigenständigen Datenschutz zu normieren. Das wirkt holprig und seltsam. Teils ist es ganz sicher EU-rechtswidrig. Zum Beispiel befasst sich § 7 Abs. 2 der Datenschutzordnung des Sächsischen Landtags mit der Veröffentlichung von Daten durch den Petitionsausschuss. Inzwischen hat aber der EuGH – Urt. v. 9.7.2020, Rs. C-272/19 – geklärt, dass die Datenverarbeitung von Petitionsausschüssen der Parlamente an die DS-GVO gebunden ist.

Hochschulrecht

Noch ein Beispiel landesrechtlicher Überregulierung: Bekanntlich verlangt die DS-GVO für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Sie verlangt jedoch nicht, dass der nationale Gesetzgeber – oder sonst irgendeine Stelle – sämtliche zulässigen Datenkategorien und die zugehörigen Verwendungszwecke abschließend aufzählt. Eine solche Aufgabe wäre auch gar nicht umsetzbar.

Der sächsische Gesetzgeber (und nicht nur er) hat aber zum Beispiel für die Datenverarbeitung durch Hochschulen genau diese unlösbare Aufgabe gestellt: Gemäß § 15 Abs. 4 Satz 1 des Sächsischen Hochschulgesetzes (SächsHSG) regelt an den Hochschulen jeweils „der Senat […] welche Daten […] verarbeitet werden dürfen, welche Organe, Gremien, Kommissionen, Amtsträgerinnen und Amtsträger der Hochschule welche Daten verarbeiten dürfen sowie das Verfahren der Verarbeitung dieser Daten.“

Das heißt: Auch wenn eine Datenverarbeitung durch die Hochschule erforderlich ist, um eine Prüfung durchzuführen (§ 15 Abs. 1 Satz 1 Nr. 2 SächsHSG) darf sie nur durch jene Stellen und für jene Daten stattfinden, die zusätzlich in der Datenschutzordnung des Senats der Hochschule aufgelistet sind (§ 15 Abs. 4 Satz 1 SächsHSG). Das ist weder notwendig, noch verbessert es den Datenschutz. Wahrscheinlich ist die Regelung sogar EU-rechtswidrig mit Blick auf Art. 6 Abs. 1 lit. e) i. V. m. Abs. 3 Satz 4 DS-GVO, wonach nationale Regeln „ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen“ müssen.

Informationssicherheit

Und abschließend aus dem gerade novellierten Sächsischen Informationssicherheitsgesetz (SächsISichG) ein Beispiel für das Gegenteil von gut ist gut gemeint: § 12 Abs. 1 SächISichG erlaubt Datenprotokollierung unter anderem zur Verhinderung und Abwehr von Angriffen auf die IT-Systeme. § 13 Abs. 2 Satz 5 i. V. m. Abs. 4 desselben Gesetzes verlangt für die „nicht automatisierte Verarbeitung“ der Protokolldaten – zwecks Beseitigung von Gefahren für IT-Systeme – eine Anordnung durch die Behördenleitung und eine/n Bedienstete/n mit Befähigung zum Richteramt – landläufig: Volljuristen.

Bemerkt ein IT-Administrator also am Freitagnachmittag technische Probleme, dann beschafft er sich vor dem Blick in die Protokolldaten des Servers eine Anordnung durch Behördenleiter und Volljuristen… . Hoffen wir, dass beide Personen stets schnellstens greifbar sind. Anordnen werden sie dann sicher, denn wie sollen sie mangels eigener technischer Kenntnisse die Gefahrenlage einschätzen?

Um zum Jahresbeginn – in der Zeit guter Vorsätze – ein positives Fazit zu ziehen: Es gibt Verbesserungspotenzial im Datenschutzrecht, auch auf Landesebene und nicht nur im fernen Brüssel.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Sommer berichteten wir bereits darüber, dass die Sächsische Datenschutz- und Transparenzbeauftragte (STDB) etwa 30.000 Internetseiten von Unternehmen, Vereinen und öffentlichen Stellen in Sachsen kontrollierte. Gegenstand der Überprüfungen war insbesondere die einwilligungsbasierte Nutzung von Google Analytics. In rund 2.300 Fällen konnten seitens der sächsischen Aufsichtsbehörde Mängel festgestellt werden. Im Rahmen einer kürzlich veröffentlichten Pressemitteilung zieht die sächsische Aufsichtsbehörde Bilanz.

Automatisierte Prüfung durch die Aufsichtsbehörde

Eine solch flächendeckende Prüfung von automatisierten Datenverarbeitungen dürfte in Sachsen zum ersten Mal stattgefunden haben. Schließlich setzt die Überprüfung von Internetseiten in solch einem Umfang eine entsprechende technische Ausstattung voraus. Bereits im Sommer dieses Jahres wies die sächsische Aufsichtsbehörde diesbezüglich auf das neu eingerichtete IT-Labor hin. Mit moderner Hard- und Software sei nun auch eine datenschutzrechtliche Analyse von Internetseiten, Anwendungen und IT-Produkten in größerem Umfang möglich. Wie auch aus der aktuellen Pressemitteilung zu entnehmen ist, stehen für die Zukunft weitere Prüfungen von Internetseiten an. Somit sollten Verantwortliche in Sachsen ab sofort regelmäßig die eigenen Internetangebote, Apps und IT-Produkte auf Datenschutzkonformität kritisch prüfen.

Aufsichtsbehörde zieht positives Fazit

Rückblickend auf die erste Überprüfung zieht Dr. Juliane Hundert ein positives Fazit: „Auf zwei Dritteln der identifizierten Websites wird nunmehr auf den Einsatz von Google Analytics zur Nachverfolgung des Nutzerverhaltens verzichtet, oder es wird vorher um eine eindeutige Einwilligung gebeten. Die Kontrolle bewirkte zudem, dass Verantwortliche auch bei anderen Diensten das Datenschutzniveau verbesserten. Dadurch sank beispielsweise die Anzahl der Cookies auf den geprüften Websites um die Hälfte.“ Für den Datenschutz im Internet sei das eine gute Nachricht. Im Rahmen einer veröffentlichten Statistik stellt die sächsische Aufsichtsbehörde hierzu mit konkreten Zahlen insbesondere den Rückgang von Google Analytics-Einbindungen, Drittanfragen und Drittanbieter-Cookies dar.

Weiterhin wird über die große Resonanz bei den Verantwortlichen berichtet: „Im Zusammenhang mit der Website-Prüfung bearbeitete die SDTB 300 schriftliche Rückmeldungen sowie 250 Anrufe. Vor allem Unternehmen und Vereine benötigten Hilfestellung bei der Umsetzung der rechtlichen Anforderungen. In den Anfragen ging es nicht nur um Google Analytics, sondern beispielsweise auch um die richtige Einbindung von Zahlungsdienstleistern bei Onlineshops und die Einbettung von Videos aus sozialen Netzwerken.“ Dies zeigt einerseits, dass Aufsichtsbehörden grundsätzlich auch eine beratende Funktion übernehmen können, andererseits jedoch auch, dass auf Seiten der Verantwortlichen weiterhin große Unsicherheiten in Bezug auf Datenschutz und Internetseiten bestehen.

Einigen Stellen drohen nun Konsequenzen

Doch bei weitem nicht alle der 2.300 Seitenbetreiber sind auf die Hinweise der Aufsichtsbehörde eingegangen und haben datenschutzrechtliche Nachbesserungen vorgenommen. Diesen könnten nun entsprechende Konsequenzen bevorstehen: „Verantwortliche, die trotz der Aufforderung der SDTB weiterhin rechtswidrig Nutzerdaten mit Google Analytics verarbeiten, müssen nun mit Sanktionen rechnen. Der Aufsichtsbehörde steht ein umfassender Katalog von Untersuchungs- und Abhilfebefugnissen zur Verfügung, um die Einhaltung datenschutzrechtlicher Bestimmungen durchzusetzen.“ Unter Berücksichtigung des Art. 58 DS-GVO wären hierbei beispielsweise Verwarnungen, Bußgelder, Untersagungen der weiteren Datenverarbeitungen, aber auch Löschverpflichtungen denkbar.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bereits im vergangenen Jahr haben wir im Rahmen eines Blog-Beitrags überblicksartig die grundsätzlichen datenschutzrechtlichen Anforderungen im Zusammenhang mit künstlicher Intelligenz (KI) beleuchtet. Seither hat sich einiges getan: Neben dem Inkrafttreten der KI-Verordnung zum 1. August 2024 haben sich mittlerweile auch einige Datenschutz-Aufsichtsbehörden der Thematik angenommen und einschlägige Dokumente sowie Checklisten veröffentlicht. Dieser Beitrag gibt einen Überblick über die zunehmende Anzahl relevanter Regelungen und Empfehlungen.

KI-Verordnung in Kraft

Am 1. August 2024 ist die weltweit erste umfassende Verordnung über KI in Kraft getreten. Ziel dieser ist insbesondere die Gewährleistung eines Einsatzes vertrauenswürdiger und die Grundrechte der Menschen wahrenden KI. Bei der sogenannten KI-Verordnung (KI-VO, engl. AI Act) handelt es sich damit um keine Verordnung datenschutzrechtlichen Ursprungs, sondern um eine Regulation aus Sicht des Produktsicherheitsrechts. Gemäß Art. 2 Abs. 7 KI-VO gelten die Regelungen der KI-VO neben denen der Datenschutz-Grundverordnung, das heißt ergänzend zu dieser.

Die spezifischen Anforderungen der Verordnung werden gemäß Art. 113 KI-VO in Abstufungen anwendbar:

• Anwendbarkeit ab dem 2. Februar 2025: Regelungen zum Gegenstand und Anwendungsbereich sowie zu den Begriffsbestimmungen der KI-VO und zu den verbotenen Praktiken im Bereich der künstlichen Intelligenz. Darüber hinaus werden Anbieter und Betreiber von KI-Systemen gemäß Art. 4 KI-VO zur Gewährleistung von KI-Kompetenz verpflichtet.

• Anwendbarkeit ab dem 2. August 2025: Regelungen bezüglich zuständiger Behörden sowie für KI-Modelle mit allgemeinem Verwendungszweck (z.B. Large Language Models [LLM]). Weiterhin werden ab diesem Zeitpunkt die ersten Sanktionsregelungen wirksam.

• Anwendbarkeit ab dem 2. August 2026: Ab diesem Zeitpunkt werden grundsätzlich alle Anforderungen der KI-VO anwendbar, welche nicht ausdrücklich für einen anderen Zeitpunkt vorgesehen sind. Ab August 2026 greifen beispielswiese die Pflichten für Betreiber von Hochrisiko-KI, unter anderem in Form von Transparenz- und Berichtspflichten.

• Anwendbarkeit ab dem 2. August 2027: Regelung zur Einstufung bestimmter Hochrisiko-KI entsprechend des Art. 6 Abs. 1 KI-VO sowie der hieraus resultierenden Verpflichtungen.

Unter Berücksichtigung der vielfältigen Anforderungen an Anbieter und Betreiber von KI-Systemen, sollten sich diese möglichst frühzeitig mit den entsprechenden Normen und Pflichten auseinandersetzen.

Positionierung datenschutzrechtlicher Aufsichtsbehörden

Um Anbietern und Betreibern von KI-Systemen im datenschutzrechtlichen Kontext Unterstützung bieten zu können, haben zwischenzeitlich eine Reihe datenschutzrechtlicher Aufsichtsbehörden unterschiedlichste Arbeits- und Diskussionspapiere veröffentlicht:

• Bereits im August 2022 stellte die französische Datenschutz-Aufsichtsbehörde CNIL ein „self-assessment guide for artificial intelligence“ bestehend aus unterschiedlichen Fact Sheets zur datenschutzkonformen Einführung und Nutzung von KI-Systemen zur Verfügung. Gegenstand dieser sind insbesondere die Gewährleistung des Datenschutzes in der Phase des Trainings von KI-Systemen, die Gewährleistung der Sicherheit der Verarbeitung sowie die Umsetzung von Betroffenenrechten.

• Am 7. November 2023 wurde ein Diskussionspapier zu Rechtsgrundlagen im Datenschutz bei Einsatz von künstlicher Intelligenz durch den Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg veröffentlicht. Bis zum 1. Februar 2024 konnten Interessierte das Diskussionspapier kommentieren und mitdiskutieren.

• Kurz darauf folgte am 13. November 2023 eine Checkliste des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz LLM-basierter Chatbots. Die Checkliste sieht beispielsweise die Etablierung verbindlicher Compliance-Regelungen sowie die Vermeidung der Ein- und Ausgabe personenbezogener Daten vor.

• Zu Beginn dieses Jahres stellte dann das Bayerische Landesamt für Datenschutzaufsicht am 24. Januar 2024 das Dokument „Datenschutzkonforme künstliche Intelligenz: Checkliste mit Prüfkriterien nach DS-GVO“ zur Verfügung. Enthalten ist darin beispielsweise auch eine explizite Empfehlung zur Bewertung von Risiken bei einem Einsatz von KI-Systemen.

• Am 6. Mai 2024 erblickte die viel diskutierte Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) mit dem Titel „Künstliche Intelligenz und Datenschutz“ das Licht der Welt. Die Orientierungshilfe greift einige Punkte der Checkliste der Hamburger Aufsichtsbehörde auf, legt jedoch einen besonderen Schwerpunkt auf die Ein- und Ausgabe von personenbezogenen Daten einschließlich solcher im Sinne des Art. 9 Abs. 1 DS-GVO.

• Am 2. Juli 2024 veröffentlichte die französische Aufsichtsbehörde CNIL aktualisierte datenschutzrechtliche Anleitungen für die Entwicklung von KI-Systemen. Die zur Verfügung gestellten How-to Sheets bilden einen aktuellen Diskussionsstand ab und sind bis einschließlich 1. September 2024 Gegenstand einer öffentlichen Konsultation.

• Eine weitere Veröffentlichung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit erfolgt am 15. Juli 2024 mit dem Diskussionspapier: Large Language Models und personenbezogene Daten. Insbesondere die These, dass die bloße Speicherung eines Large Language Models keine Verarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO darstelle, wird in Fachkreisen kontrovers diskutiert.

• Weiterhin ist in Kürze mit einer weiteren Veröffentlichung des Bayerischen Landesamt für Datenschutzaufsicht zu rechnen: Auf der Internetseite kündigt die Aufsichtsbehörde eine Handreichung zum Thema KI und Datenschutz-Folgenabschätzung an.

Sichere Nutzung von KI gewährleisten

Darüber hinaus gibt es natürlich eine Reihe weiterer nützlicher Veröffentlichungen, die an dieser Stelle nicht abschließend aufgelistet werden können. Neben den oft diskutierten Anforderungen in Bezug auf die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, der Umsetzung von Transparenzpflichten (Transparenz von KI-Systemen, Bundesamt für Sicherheit in der Informationstechnik) sowie der Gewährleistung von Betroffenenrechten sollte jedoch auch die Sicherheit der Verarbeitung (Art. 32 DS-GVO) vermehrt in den Fokus genommen werden.

In diesem Kontext kann beispielweise auf die Veröffentlichung OWASP Top 10 for LLM Applications vom 16. Oktober 2023 verwiesen werden. Das 35-seitige Dokument beschreibt im Kontext von Large Language Models hochkritische Sicherheitsprobleme und richtet sich dabei insbesondere an Entwickler, Datenwissenschaftler und Sicherheitsexperten.

Sämtlichen Veröffentlichungen ist gemein, dass Datenschutz und KI sich nicht widersprechen müssen, es allerdings eine Vielzahl unterschiedlichster Anforderungen zu berücksichtigen gilt. Dementsprechend sollten Anbieter und Betreiber von KI-Systemen den Datenschutzbeauftragten möglichst früh in Entwicklungs- und Implementierungsprozesse einbinden sowie bis Februar 2025 eine entsprechende KI-Kompetenz sicherstellen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wie mit der Pressemitteilung vom 13. Juni 2024 der Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) bekannt wurde, hat diese etwa 30.000 Internetseiten von Unternehmen, Vereinen und öffentlichen Stellen in Sachsen kontrolliert. Gegenstand der Überprüfungen war insbesondere die einwilligungsbasierte Nutzung von Google Analytics. In rund 2.300 Fällen konnten seitens der sächsischen Aufsichtsbehörde Mängel festgestellt werden. Die betroffenen Stellen werden aufgefordert, die Nutzung von Google Analytics konform auszugestalten sowie die bis zum Zeitpunkt der Umstellung rechtswidrig verarbeiteten personenbezogenen Daten zu löschen. Kommen Verantwortliche dieser Aufforderung nicht nach, droht ihnen im Rahmen einer erneuten Überprüfung die Eröffnung eines förmlichen Verwaltungsverfahrens.

Kein Tracking ohne Einwilligung

„Tracking-Dienste wie Google Analytics gewähren tiefgehende Einblicke in das Verhalten und die Privatsphäre von Websitebesuchern. Datenschutzrechtlich stehen die Interessen der Betreiberinnen und Betreiber deshalb zurück. Das bedeutet, möchten Verantwortliche Google Analytics nutzen, sind sie verpflichtet, von Nutzerinnen und Nutzern eine Einwilligung einzuholen“, so Dr. Juliane Hundert im Rahmen der Pressemitteilung. An sich ist es keine neue Anforderung, dass Verantwortliche die Nutzung von Google Analytics von der freiwilligen und informierten Einwilligung der Nutzerinnen und Nutzer abhängig machen müssen. Bereits im Jahr 2020 machte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Rahmen eines Hinweises darauf aufmerksam, dass der Einsatz von Google Analytics in der Regel der Einwilligung bedürfe.

Dennoch konnten nun in etwa 2.300 Fällen Verstöße wegen einer fehlenden oder unvollständigen Einwilligung ermittelt werden. Hinsichtlich der Gründe für die Verstöße lässt sich nur spekulieren. Regelmäßig lassen sich auf bereits lange bestehenden Internetseiten Rückstände früherer Implementierungen von Google Analytics finden, eine Nutzung von Google Analytics erfolgte ohne Rücksprache mit dem Datenschutzbeauftragten und ohne datenschutzrechtliches Know-how der Marketing-Agenturen oder es handelt sich um eine „Schatten-Internetseite“, die ohne Kenntnis des Verantwortlichen – zum Beispiel durch eine Fachabteilung – eigenmächtig und ebenfalls ohne datenschutzrechtliche Prüfung veröffentlicht wurde.

Aus diesem Grund sind Verantwortliche gut beraten, an einer zentralen Stelle eine Übersicht der aktuellen Internetseiten und Präsenzen in sozialen Netzwerken zu pflegen. Diese sollten zudem in regelmäßigen Abständen, beispielsweise mit Unterstützung des Datenschutzbeauftragten, hinsichtlich der jeweiligen Datenverarbeitungen sowie der Umsetzung der einschlägigen datenschutzrechtlichen Anforderungen überprüft werden. Technische Unterstützung für einen Quick-Check der Internetseite bieten hierbei Dienste wie Webbkoll oder Browser-Add-Ins wie uBlock Origin.

Google Analytics und der Datenschutz

Die datenschutzrechtliche Zulässigkeit der Nutzung von Google Analytics wird regelmäßig diskutiert. So sorgte beispielsweise die auf eine Musterbeschwerde von noyb folgende Untersagung der Nutzung von Google Analytics für ein Unternehmen in Österreich für Aufsehen. Hintergrund war dort insbesondere die rechtswidrige Übermittlung personenbezogener Daten in die USA. Auch die zwingende Einführung des Consent Mode v2 im Frühjahr dieses Jahres führte erneut zu der Frage, ob Google Analytics datenschutzkonform eingesetzt werden könne.

Zum Unmut vieler Betreiber und Betreiberinnen von Internetseiten kann diese Frage nicht mit einem klaren „ja“ oder „nein“ beantwortet werden. Vielmehr kommt es auf die konkrete Implementierung und die vorgenommenen Einstellungen an. Neben der sauberen Implementierung eines Einwilligungsmanagements („Cookie-Banner“), sollte darauf geachtet werden, Google Analytics möglichst datensparsam und unter dem Blickwinkel der Erforderlichkeit einzurichten (z. B. Reduzierung der Speicherdauer, Berichte zu demografischen Merkmalen gegebenenfalls deaktivieren).

Darüber hinaus sollten auch die neben Google Analytics bestehenden Alternativen geprüft werden. Zwischenzeitlich bestehen eine Reihe sinnvoller Anwendungen, deren Datenverarbeitung ausschließlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums stattfindet. Zwar kann so das Einwilligungserfordernis nicht umgangen, aber ein Nutzertracking abseits etwaiger Übermittlungsproblematiken in datenschutzrechtliche Drittländer realisiert werden.

Fazit

Die SDTB lässt im Rahmen der Pressemitteilung durchblicken, dass von nun an derartige Prüfungen auch im vorliegenden Größenumfang regelmäßiger vorkommen können. Hierfür stehe der Aufsichtsbehörde seit kurzem ein entsprechendes IT-Labor zur Verfügung: „Das IT-Labor ist wie eine Werkstatt. Zu den wichtigsten Werkzeugen gehört moderne Hard- und Software, mit denen wir Websites, Apps und IT-Produkte datenschutzrechtlich analysieren können. Damit bin ich mit meiner Behörde in der Lage, auch künftig Kontrollen in größerem Umfang vornehmen zu können.“ Somit sollten Verantwortliche in Sachsen ab sofort regelmäßiger die eigenen Internetangebote, Apps und IT-Produkte auf Datenschutzkonformität kritisch prüfen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.