#datenschutzgrundverordnung — Public Fediverse posts

Insider berichten

Grundrechte: Zwei Insider berichten vom Europäischen Datenschutzbeauftragten

Wir sprechen mit Thomas Zerdick und Robert Riemann, die beim Europäischen Datenschutzbeauftragten arbeiten. Sie berichten aus dem Inneren des Amtes, wie es in Gesetzgebungsverfahren einbezogen wird und warum die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Sie erklären auch, was sie sich für die Zukunft der Behörde wünschen.

In Europa ist Datenschutz ein Grundrecht, das für alle 27 Mitgliedstaaten gilt. Auch die EU-Organe und EU-Einrichtungen selbst stehen unter Aufsicht eines Datenschutzbeauftragten.

Doch was macht eigentlich dieser Europäische Datenschutzbeauftragte (EDSB), der schon mehr als zwei Jahrzehnte für den Schutz der Privatsphäre und die Datenschutzrechte der Bürger arbeitet? Was sind seine Aufgaben, welche Rolle hat der EDSB in Brüssel? Wer konsultiert ihn? Wann wird er typischerweise angehört? Wie funktioniert die Zusammenarbeit zwischen dem EDSB und den nationalen Behörden?

Das berichten uns zwei Insider: Thomas Zerdick und Robert Riemann, die beide beim EDSB arbeiten.

Thomas Zerdick ist Jurist und Leiter des Referats für Aufsicht und Durchsetzung. Vor seiner Zeit beim EDSB arbeitete er bei der Europäischen Kommission im Referat Datenschutz und war einer derjenigen, die an der EU-Datenschutzgrundverordnung mitgeschrieben haben. Robert Riemann ist Informatiker und arbeitete bis Ende Dezember beim EDSB im Referat Technik und Privatheit.

Das Gespräch ist eine gekürzte und behutsam überarbeitete Fassung des Podcasts „Dicke Bretter“ von Constanze Kurz, Elisa Lindinger und Elina Eickstädt beim Chaosradio. In „Dicke Bretter“ beleuchten wir Institutionen, Akteure oder Organisationen, die daran mitwirken, wenn Gesetze, Richtlinien oder auch nur politische Positionen bei digitalen Themen entstehen.

Die unabhängige Datenschutzaufsichtsbehörde

Ihr arbeitet beide beim Europäischen Datenschutzbeauftragten. Was sind die Aufgaben dieses Amtes?

Thomas Zerdick: Der Europäische Datenschutzbeauftragte ist die unabhängige Datenschutzaufsichtsbehörde für die EU-Organe und EU-Einrichtungen. Das sind eben zum Beispiel das Europäische Parlament und die Europäischen Kommission, aber auch wir selbst als Europäischer Datenschutzbeauftragter oder auch Einrichtungen wie Europol.

Wir überwachen die Datenverarbeitung dieser EU-Organe und EU-Einrichtungen. Wir bearbeiten Beschwerden von Bürgerinnen und Bürgern, führen Untersuchungen durch und entscheiden dazu. Ich selbst bin Leiter des Referates Aufsicht und Durchsetzung und mache genau das mit meinem Team: Wir überprüfen, ob die EU-Organe und -Einrichtungen die Datenschutzvorschriften auch einhalten, die sie von den anderen verlangen.

Sind in deinem Team typischerweise Juristen?

Thomas Zerdick: In meinem Team sind wir bis auf eine Person alle Juristen. Wir sind ungefähr dreißig Mitarbeiter.

Datenschutz ist im Kern Grundrechtsschutz. Da wir Entscheidungen vorbereiten, die der Europäische Datenschutzbeauftragte dann erlässt, brauchen wir juristische Abwägungen. Wir nehmen Abwägungen und Prüfungen von Rechtsgrundlagen vor, bewerten Zweckbindung oder Verhältnismäßigkeit. Denn alles das, was der Europäische Datenschutzbeauftragte entscheidet, kann auch vor Gericht überprüft werden. Daher brauchen wir Juristen, die sicherstellen, dass das gerichtsfest ist.

„Ziemlich bekannt hier in Brüssel“

Wie viele Menschen arbeiten insgesamt beim Europäischen Datenschutzbeauftragten?

Thomas Zerdick: Insgesamt sind wir ungefähr 120 Mitarbeiter. Das klingt viel, ist es aber nicht, weil ungefähr die Hälfte davon beim Europäischen Datenschutzausschuss arbeitet. Das ist eine andere Einrichtung: Der Europäische Datenschutzausschuss ist durch die EU-Datenschutz-Grundverordnung eingerichtet worden und koordiniert alle Datenschutzaufsichtsbehörden in der Europäischen Union. Da gibt es ein Sekretariat, in dem die Kollegen arbeiten.

Ich möchte ein wenig über den Kopf der Behörde reden. In Deutschland ist es häufig so, dass die Bundesdatenschutzbeauftragten, manchmal sogar die Landesdatenschutzbeauftragten, ziemlich bekannt sind, zum Beispiel Peter Schaar oder Ulrich Kelber. Sie waren oft in den Medien vertreten. Sie sind jeweils als eine relativ laute Stimme für den Datenschutz vernehmbar gewesen. Derzeit haben wir Frau Specht-Riemenschneider hier in Deutschland als Bundesdatenschutzbeauftragte. Auch sie hat eine Menge Interviews gegeben, als sie ihr Amt antrat. Wie ist denn das in Europa? Die Aufgaben des Europäischen Datenschutzbeauftragten sind ja anders. Würdet ihr sagen, er ist eine laute Stimme für den Datenschutz oder arbeitet er eher im Hintergrund?

Thomas Zerdick: Der derzeitige Europäische Datenschutzbeauftragte, Wojciech Wiewiórowski, ist ziemlich bekannt hier in Brüssel. Das erklärt sich natürlich auch aus dem Aufgabenzuschnitt. Der wichtigste Unterschied zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Aufsichtsbehörden ist die Zuständigkeit: Der Europäische Datenschutzbeauftragte ist ausschließlich zuständig für die EU-Organe und EU-Einrichtungen, also für öffentliche Verwaltung der Europäischen Union. Daher kennt man ihn vielleicht etwas weniger in den Mitgliedstaaten.

Er ist gleichberechtigtes Mitglied im Europäischen Datenschutzausschuss, wo sich alle Aufsichtsbehörden treffen. Wojciech Wiewiórowski trifft sich zum Beispiel regelmäßig mit Louisa Specht-Riemenschneider. Wenn es Entscheidungen gibt, die der Europäische Datenschutzbeauftragte trifft, zum Beispiel gegen die Europäische Kommission oder gegen Europol, sind wir auch in den Medien im Vordergrund. Von daher sehe ich den Unterschied als nicht sehr groß im Vergleich zu den Mitgliedstaaten.

Öffentliche Stellungnahmen

Auch in Europa wird der Datenschutzbeauftragte konsultiert, wenn es um geplante Gesetze geht oder wenn es die angesprochenen Institutionen und deren Evaluierung geht. Er gibt öffentliche Stellungnahmen ab. Wie häufig kommt das vor?

Thomas Zerdick: Ich würde sagen quasi wöchentlich. Das ist ein Unterschied im Vergleich zur nationalen Ebene: Die Europäische Kommission ist verpflichtet, den Europäischen Datenschutzbeauftragten zu konsultieren. Und zwar immer dann, wenn es neue Rechtsakte gibt, die von der Kommission vorbereitet werden, die personenbezogene Daten betreffen.

Das ist also relativ breit, denn das ist heute fast immer der Fall: Digitalisierung, Sicherheit, Migration, Gesundheit, Künstliche Intelligenz, Plattformregulierung, internationale Verträge. Jeweils kommt der Europäische Datenschutzbeauftragte ins Spiel. Er gibt Stellungnahmen oder Kommentare ab, die wir dann veröffentlichen. Und das wird immer mehr.

All diese Themen haben mittlerweile technische Komponenten, alle Datenschutzfragen verbinden sich mit Technikfragen. Was macht das Referat Technik und Privatheit, um eine Stellungnahme mit technischem Wissen zu bereichern? Wie läuft die Zusammenarbeit mit den Juristen?

Robert Riemann: Wenn beispielsweise ein neuer Rechtsakt vorbereitet und dazu formell die Stellungnahme vom Europäischen Datenschutzbeauftragten eingeholt wird, dann koordiniert das ein Referat. Sie schauen im Haus, wer die Kompetenzen hat, um die Arbeit zu unterstützen. Sobald klar wird, dass es tatsächlich etwas sehr Technisches ist, das so von einer Abteilung noch nicht bearbeitet wurde, dann gibt es eine Anfrage an das Referat Technik und Privatheit, um eine Person zur Unterstützung zu benennen. Diese Person arbeitet dann gleichberechtigt mit den Juristen zusammen an der Stellungnahme.

Das klingt wie typische wissenschaftliche Arbeit, um eine Technik zu ergründen oder Technikfolgen abzuschätzen. Gibt es eine Zusammenarbeit mit akademischen Forschern oder Sachverständigen, die man sich dazu holt?

Robert Riemann: Für dieses Beispiel eines Rechtsakts wird typischerweise keine externe Expertise hinzugezogen. Aber natürlich ist es so, dass die Leute das Thema recherchieren. Bevor ein Vorschlag der Kommission auf den Tisch kommt, werden häufig die Themen schon in der Öffentlichkeit angesprochen. Wenn sich Forscher oder auch NGOs wie EDRi oder Interessenverbände in Brüssel mit eigenen Stellungnahmen äußern, werden die natürlich gelesen. Insofern gibt es schon einen Einfluss auf das, was intern diskutiert wird. Aber es ist nicht so, dass der Europäische Datenschutzbeauftragte für den Fall einer Beantwortung dieser Anfragen der Kommission für eine Stellungnahme die Meinung von außen explizit einholen würde.

Lange über die eigentliche Amtszeit hinaus

Jetzt gibt es für den Amtsträger gerade eine besondere Situation, die mit der Benennung des Europäischen Datenschutzbeauftragten verbunden ist. Denn der derzeitige Amtsinhaber arbeitet schon lange über seine Amtszeit hinaus, die fünf Jahre beträgt. Die Amtszeit endete eigentlich am 5. Dezember 2024. Aber es gab die Situation, dass sich der EU-Rat und das EU-Parlament nicht im Einvernehmen auf einen neuen Kandidaten geeinigt haben, sondern zu unterschiedlichen Voten gekommen sind. Wie verläuft das Auswahlverfahren, warum kam es diesmal zu diesem Stillstand und was kann man jetzt machen?

Thomas Zerdick: Die Datenschutzgrundverordnung für die EU-Organe regelt das. Der Europäische Datenschutzbeauftragte hat eine Amtszeit von normalerweise fünf Jahren und ist zu benennen im Einvernehmen zwischen dem europäischen Parlament und den Mitgliedstaaten im Rat der EU. Nach Ablauf der Amtszeit macht die Europäische Kommission eine Ausschreibung, da kann sich jeder bewerben. Dann werden die Bewerber von der Europäischen Kommission geprüft und die Liste mit geigneten Kandidaten veröffentlicht. Von dieser Liste müssen sich dann das Parlament und der Rat für eine Person entscheiden. Diesmal haben sie sich noch nicht entscheiden können. Das ist nicht neu, das gab es leider schon mal. Aber die EU-Datenschutzgrundverordnung für die Organe, die sagt: Solange es keinen neuen Amtsinhaber gibt, bleibt der alte im Amt und hat alle Rechten und Pflichten. Also solange die sich nicht einigen, macht der jetzige Amtsinhaber einfach weiter.

Und wenn sie sich niemals einigen, dann bleibt er einfach für immer im Amt? Oder gibt es irgendeine Frist, die bis zum Zeitpunkt eine Einigung bestehen muss?

Thomas Zerdick: Es gibt keine Frist. Das sieht die Verordnung nicht vor.

Und wenn der Amtsträger irgendwann keine mehr Lust hat?

Thomas Zerdick: (lacht) Das sieht die Verordnung auch nicht vor.

Robert Riemann: Das ist auch kein europäischer Sonderfall, sondern diese Situation gibt es auch in den Mitgliedsländern. Ich denke da in Spanien, wo es auch Schwierigkeiten gab, ein neues Mandat zu verabschieden. Auch in einigen Bundesländern in Deutschland gab es lange Zeit Unklarheit, wer das Mandat bekommt. Insofern ist das leider etwas, was man in Europa häufiger beobachten muss.

Würdet ihr einen Tipp abgeben, wie sich dieser Stillstand auflösen wird oder wann sich diese beiden Institutionen vielleicht einigen könnten? Was sagen denn die Auguren?

Thomas Zerdick: Die Auguren sagen derzeit nichts. Wir können dazu nichts sagen, weil es in der Hand vom Parlament und vom Rat ist, die sich zusammensetzen und eine Lösung finden müssen.

Wie Kommission und Datenschutzbeauftragter zusammenarbeiten

Ich möchte euch nach dem typischen Ablauf befragen, wenn der Europäische Datenschutzbeauftragte tätig wird. Wir nehmen mal ein ganz umstrittenes Beispiel: die Chatkontrolle. Wie wurde hier der Europäische Datenschutzbeauftragte involviert? Die Kommission hat ja vor mehr als drei Jahren den Vorschlag dazu vorgelegt. Wie ist die typische Vorgehensweise, wenn eine Konsultation beginnt, die ja stattfinden muss?

Thomas Zerdick: Die Europäische Kommission arbeitet ihren Vorschlag aus. Bevor sie diesen Vorschlag veröffentlicht, gibt es eine interne Abstimmung in der Europäischen Kommission. Gleichzeitig mit dieser internen Abstimmung werden wir als Amt informell unterrichtet und können dann bereits erste kleine Kommentare abgeben. Sobald die Kommission ihren Gesetzgebungsvorschlag veröffentlicht hat, leitet sie ihn ganz amtlich dem Europäischen Datenschutzbeauftragten zu, mit der Bitte um Stellungnahme.

Dann setzen sich die Kolleginnen und Kollegen aus dem Referat Politik und Gesetzgebung zusammen, analysieren den Vorschlag der Kommission und schreiben die Stellungnahme, die dann vom Europäischen Datenschutzbeauftragten veröffentlicht wird. Mit dieser Stellungnahme kann der Gesetzgeber – das Parlament und der Rat der EU-Mitgliedstaaten – dann arbeiten. Damit erschöpft sich normalerweise das Offizielle, das Amtliche des Europäischen Datenschutzbeauftragten. Aber er ist natürlich jederzeit bereit, auch zu Anhörungen zu kommen und vorzutragen, was in dieser Stellungnahme steht.

Das war jetzt das Beispiel der Chatkontrolle. Wird für jedes dieser Verfahren die Stellungnahme öffentlich oder gibt es auch welche, wo das nicht der Fall ist?

Thomas Zerdick: Die Stellungnahmen sind grundsätzlich öffentlich.

Nun wurden ja gerade beim Beispiel Chatkontrolle auch neue technische Fragen aufgeworfen. Da geht es um massenhaftes Scannen oder darum, wie beispielsweise Filter funktionieren. Wie wird technische Expertise einbezogen?

Robert Riemann: Das Referat Politik und Gesetzgebung identifiziert die technischen Themen, hier etwa Kryptographie und Pseudonyme, und schickt eine Anfrage an das Referat Technik. Mein Referatsleiter bekommt das dann auf seinen Schreibtisch und sucht sich eine Person aus seinem Team, die schon in den letzten Jahren zu dem Thema gearbeitet hat. Sie wird dann mitarbeiten und den Juristen Frage und Antwort stehen.

Wir sind in unserer Technikergruppe fünfzehn Leute und müssen zusammen alle Datenschutzthemen abdecken können. Das heißt beispielsweise, dass wir uns zu Pandemiezeiten mit Bluetooth-Tokens beschäftigt haben und zu Blockchain-Zeiten alle Blockchain-Expertinnen wurden. Das ist wirklich breit gefächert. Wir können natürlich nicht auf dem Niveau Expertise anbieten, wie das die Universitäten teilweise können oder auch spezielle Organisationen, die nur ein Kernthema haben. Das bedeutet, dass wir natürlich viel Recherche am Schreibtisch machen, um einen fundierten Beitrag zu einer Stellungnahme zusammen mit den Juristen zu erarbeiten.

Das ist also der Ablauf für den Fall einer Stellungnahme, die der Europäische Datenschutzbeauftragte allein abgibt. Aber was passiert, wenn auch der Europäische Datenschutzausschuss angehört wird?

Robert Riemann: Der Europäische Datenschutzbeauftragte ist ja Teil des Europäischen Datenschutzausschusses. Das heißt, er bringt sich dort in fast allen Themen ein. Beim Europäischen Datenschutzausschuss gibt es mehrere Fachgruppen. Dazu gehört die Technology Experts Sub-Group, also eine Expertengruppe zu Technologiefragen. Dahin dürfen alle Mitgliedsländer, die im Europäischen Datenschutzausschuss vertreten sind, eine Person entsenden, die sich dort zu Themen einbringen kann.

Soll eine Stellungnahme erarbeitet werden, meldet sich ein Mitgliedsland freiwillig und leitet dieses Projekt federführend. Personen, die daran mitarbeiten, bilden eine Art Schreibteam und treffen sich beispielsweise alle zwei Wochen, um einen ersten Entwurf vorzubereiten.

Technische Fragen landen wahrscheinlich bei dieser Expertengruppe für Technologiefragen. Deutschland hat eine gewisse Sonderrolle, weil es ja nicht nur Mitarbeiter von der Bundesbeauftragten für den Datenschutz hat, sondern auch Mitarbeiter in den Landesdatenschutzbehörden. Zusätzlich gibt es deswegen auch noch einen deutschen Prozess, der festlegt, wer in welcher Gruppe zu welchem Thema mitarbeitet. Am Ende arbeiten dann ein Technologieexperte aus Spanien, einer aus Italien, einer aus Hessen und dann vielleicht noch jemand aus Finnland mit.

Deren Entwurf wird zunächst in der Expertengruppe für Technologiefragen vorgestellt. Sie trifft sich monatlich, seit der Corona-Pandemie online und zweimal im Jahr auch mit einen Pflichtpräsenztermin, so dass man sich ein bisschen kennenlernen kann. An einem Tag werden dann alle Themen einmal durchgearbeitet. Wenn dann die Expertengruppe mit einem Entwurf zufrieden ist und annimmt, dass er mehrheitsfähig ist, dann kann das theoretisch schon der Plenarsitzung mit allen Aufsichtsbehörden vorgelegt werden. Aber bei sehr komplexen Fragen holt man die juristische Perspektive vorher hinzu.

Thomas Zerdick: Das klingt alles sehr kompliziert, aber ist es eigentlich nicht. Es ist ein typisches Beispiel, wie Europa zusammenarbeitet. Denn in diesen Expertengruppen sitzen eben Vertreter aller Datenschutzaufsichtsbehörden aus ganz Europa. Da werden täglich Kompromisse geschmiedet, Ansichten ausgetauscht und versucht, eine einheitliche Auslegung in diesen Datenschutzfragen zu finden.

„Wir haben uns in Europa zum Positiven weiterentwickelt“

Constanze Kurz: Es gibt auch Kritik an diesem Datenschutzausschuss, eigentlich schon an der Vorgängergruppe, damals noch Artikel-29-Gruppe, vor allem weil die Stellungnahmen unverbindlich waren und wegen der teilweise langfristigen Prozesse, die für so einen Konsens wohl dazugehören. Wie seht ihr diese Kritik?

Thomas Zerdick: Die Kritik kenne ich seit über zwanzig Jahren. Vorher wurde sich beschwert, dass die Artikel-29-Gruppe unverbindliche Stellungnahmen abgibt, an die man sich aber halten muss. Das wurde immer beklagt. Jetzt ist es eigentlich umgekehrt: Der Europäische Datenschutzausschuss, der immer noch Stellungnahmen abgibt, trifft inzwischen verbindliche Entscheidungen gegenüber den eigenen Datenschutzaufsichtsbehörden. Nun wird auch das wieder beklagt.

Ich denke, wir haben uns in Europa zum Positiven weiterentwickelt. Wir haben die Datenschutzgrundverordnung, für deren einheitliche Anwendung der Europäische Datenschutzausschuss an der Arbeit ist. Das hat sich jetzt eingespielt, die Entscheidungen kommen auch relativ schnell.

Die Datenschutzgrundverordnung ist ein EU-Gesetz, das Wirkung entfaltet in allen EU-Ländern und das Grundrecht regelt, was man in Deutschland oft informationelle Selbstbestimmung nennt. Aus meiner Sicht gab es damals eine bestimmte politische Situation, in der es möglich war, die Datenschutzgrundverordnung tatsächlich zum Gesetz zu machen. Doch heute wird der Datenschutz ein bisschen anders betrachtet: Gerade kann man das an dem sogenannten digitalen Omnibus sehen, wo versucht wird, die Datenschutzgrundverordnung zu verändern. Datenschutz scheint aktuell nicht gerade ein hippes Thema zu sein und wird auch in Deutschland manchmal als Innovationsbremse diskreditiert, zumindest von der aktuellen Regierung. Was haltet ihr von den Vorschlägen, die jetzt im digitalen Omnibus besprochen werden?

Thomas Zerdick: Wieso reden wir denn über den Datenschutz in Europa? Weil die europäische Grundrechte-Charta, also praktisch die Verfassung von Europa, den Datenschutz ausdrücklich als Grundrecht stützt. Das ist eine feste Sache, an der man nicht vorbeikommt. Die Auswirkung dieses Grundrechts ist, dass die EU verpflichtet ist und die Mitgliedstaaten ebenso, dieses Grundrecht zu schützen und Regeln dafür zu schaffen, wie man das am besten macht.

Das hat die Europäische Union schon seit 1995 gemacht. Und es gibt seit 2016 die Datenschutzgrundverordnung, die versucht zu sagen, was die Regeln sind, um mit personenbezogenen Daten umzugehen. Das war der erste große EU-Rechtsakt, der im digitalen Feld spielt – ein Meilenstein.

Jetzt haben wir den digitalen Omnibus, der versucht, an dem Text der Datenschutzgrundverordnung Änderungen vorzunehmen. Ich denke nicht, dass man sagen kann, das Ganze wird in Frage gestellt. Das geht nicht, weil die EU-Grundrechte-Charta diesen Schutz des Grundrechts Datenschutz einfordert. Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte arbeiten gerade an einer Stellungnahme für diesen digitalen Omnibus.

Da drängt sich eine Frage auf: Angenommen, es bestehen rechtliche Differenzen, also eine Stellungnahme des Europäischen Datenschutzbeauftragten bewertet rechtliche Fragen anders als beispielsweise die EU-Kommission. Wie ist dann der weitere Verlauf? Kann die EU-Kommission das auch einfach ignorieren? Muss sie bestimmte Elemente aus den Stellungnahmen aufnehmen?

Thomas Zerdick: Kein Mensch ist verpflichtet, uns zuzuhören, um es mal ganz krass zu sagen. Aber das ist natürlich Expertise und Datenschutzwissen, was wir herantragen. Das ist die ureigenste Aufgabe einer unabhängigen Datenschutzaufsicht, dieses Wissen weiterzugeben und zu sagen, was unsere Auslegung, unser Verständnis von einem Vorschlag ist.

Wir wissen, dass sowohl die Kommission als auch die Mitgliedstaaten als auch die Abgeordneten im Europäischen Parlament sehr wohl lesen, was vom Europäischen Datenschutzbeauftragten geschrieben wird. Aber rechtlich verbindlich ist das nicht.

In Deutschland ist es häufig so, dass zum Beispiel bei Bundestagsgesetzgebungsprozessen die Bundesdatenschutzbeauftragte hinzugezogen wird. Aber die Gesetzesvorschläge müssen auch nicht unbedingt die Meinung der Bundesdatenschutzbeauftragten übernehmen. Am Ende landen in Deutschland dann einige Gesetze vor dem Bundesverfassungsgericht, wo wiederum die Bundesdatenschutzbeauftragte als Sachverständige an der Urteilsfindung mitwirkt. Wie ist das in Brüssel, wo ja auch viele Gesetzgebungsverfahren am Ende beim Europäischen Gerichtshof landen? Tritt dort der Europäische Datenschutzbeauftragte auch als Sachverständiger auf, wenn darüber gestritten wird, ob ein Gesetz mit der EU-Charta in Einklang ist?

Thomas Zerdick: Ja, durchaus. Das liegt dann beim Europäischen Gerichtshof, er kann uns als Sachverständigen beiladen. Das ist auch bereits passiert. Ich war selber persönlich zu einem Fall dort, wo es um die Vorratsdatenspeicherung ging. Der Europäische Gerichtshof lädt uns dann ein und stellt Fragen, die wir zu beantworten haben, erst schriftlich oder auch in der mündlichen Verhandlung in Luxemburg.

Software auf code.europa.eu

Wie wird der Europäische Datenschutzbeauftragte noch hinzugezogen?

Thomas Zerdick: In laufenden Gesetzgebungsverfahren werden wir oft vom Europäischen Parlament beigeladen oder von Ausschüssen oder auch von einzelnen Abgeordneten im Europäischen Parlament. Auch der Rat der Europäischen Union lädt ab und zu den Europäischen Datenschutzbeauftragten ein, wenn zu gewissen Punkten Stellungnahmen abzugeben sind.

Robert Riemann: Es kann vorkommen, dass eine nationale Datenschutzbehörde einen Beschwerdefall hat oder auch ein Unternehmen beaufsichtigt und Bedenken hat in der Auslegung der Datenschutzgrundverordnung. In solchen Fällen kann sich die Datenschutzbehörde an den Europäischen Datenschutzausschuss wenden und vorschlagen: Wir haben hier ein interessantes Thema, das nicht nur relevant für unser Land ist, sondern für die ganze Europäische Union. Eine gemeinsame Stellungnahme kann dann in der Plenarsitzung vorgeschlagen und erarbeitet werden. Daran arbeitet natürlich oft auch der Europäische Datenschutzbeauftragte mit.

Thomas Zerdick: Es gibt eine kollegiale Zusammenarbeit mit anderen Aufsichtsbehörden, etwa bei Ergebnissen von Untersuchungen, die wir in Brüssel als Europäischer Datenschutzbeauftragter gemacht haben, zum Beispiel im Fall Europäische Kommission und Microsoft 365. Dann können die Kollegen aus den Mitgliedstaaten sagen, bitte teilt mit uns auf dem Amtswege eure Erkenntnisse, damit wir davon lernen können. Das ist unser tägliches Brot.

Robert Riemann: Es gibt auch internationale Kooperationen in anderen Themenbereichen: Software entwickeln wir zum Beispiel gemeinsam. Und über die Grenzen in Europa hinweg entwickeln wir auch Methoden, um technische Audits durchzuführen. Wir haben dazu auf code.europa.eu Software, die auch Unternehmen benutzen können, bevor die Datenschutzbehörden sie einsetzen. Darüber hinaus gibt es seit zwei, drei Jahren auch jedes Jahr Workshops, wo Techniker nach Brüssel kommen, um sich auszutauschen.

Die Juristen haben das schon länger gemacht. Nun ist der Austausch nicht mehr nur auf Rechtsfragen beschränkt, sondern findet auch zu technischen Fragen statt, auch teilweise zu ganz praktischen Fragen.

Ist das also eine neuere Entwicklung, wenn das erst seit zwei oder drei Jahren stattfindet?

Robert Riemann: Genau. Die Datenschutzbehörden der EU-Staaten sind häufig sehr klein. Der Europäische Datenschutzausschuss hat in seinem Jahresbericht veröffentlicht, wie viele Mitarbeiter in den einzelnen Ländern mitarbeiten. In Deutschland haben wir natürlich einen Luxusfall, ungefähr 1.000 Menschen arbeiten hier über die verschiedenen Landesbehörden verteilt. Aber es gibt eben auch Länder wie Liechtenstein, wo es nur wenige Personen sind, die aber auch viele technische Lösungen abdecken können müssen. Insofern sind wir darauf angewiesen, effizient zusammenzuarbeiten und uns über unsere Ansätze nicht nur zu Rechtsfragen, sondern auch zu technischen Fragen auszutauschen.

„Die Kritik am Datenschutz ist eigentlich eine deutsche Kritik“

Wir haben ja in den letzten Monaten seit der zweiten Amtseinführung von Donald Trump erlebt, dass sich die US-amerikanische und die europäische Datensphäre auseinanderentwickeln und dass Digital-Gesetze und Datenschutzgesetze auf europäischer Ebene in den politischen Kampf hineingezogen werden. Wie seht ihr diesen Konflikt, dass die Regeln, die eben häufig für große US-Unternehmen hier in Europa geschaffen wurden, nun unter diesen Vorzeichen in der Spitzenpolitik debattiert und vom US-Präsidenten in ganz klassische Handelskriege reingezogen werden?

Thomas Zerdick: Ganz entspannt. Das gab es schon zu Zeiten der ersten Datenschutzrichtlinie 1995. Schon damals war absehbar: Wenn sich Europa entscheidet, Datenschutzvorschriften einzuführen, weil es ein Grundrecht ist, betrifft das Wirtschaftsinteressen insbesondere der US-amerikanischen Konzerne. Schon damals war sehr viel Politik im Spiel, und das war nichts anderes, als dann die Datenschutzgrundverordnung verhandelt wurde. Da kamen die Amerikaner schon sehr früh zur EU-Kommission und haben vorgeschlagen: Macht das doch mal anders, macht das noch mal weniger scharf. Es war letztlich ironischerweise die durch Edward Snowden ausgelöste Affäre, die dann auf europäischer Seite dazu geführt hat, zu sagen: Das geht uns zu weit, wir brauchen jetzt scharfe europäische Datenschutzvorschriften.

Aus Brüsseler Sicht ist das nichts Neues, das ist ganz normal. Schlecht wäre es natürlich, wenn dem Druck nachgegeben würde. Das kann ich mit dem europäischen Grundrechtscharakter des Datenschutzes schlecht vereinbaren, wenn wir plötzlich sagen würden: Ja, wir haben jetzt Gesetze, aber wir wenden sie nicht an, weil es US-amerikanische Konzerne sind.

Als Deutsche bin ich seit vielen Jahren vertraut mit den Datenschutzdiskussionen, die häufig öffentlich geführt werden. Die Chatkontrolle wäre dafür ein Beispiel oder die Vorratsdatenspeicherung. Die deutsche Öffentlichkeit räumt dem Grundrecht auf informationelle Selbstverstimmung einen Wert ein. Auch die Verfahren, die beim Bundesverfassungsgericht geführt werden, erfahren oft eine große Öffentlichkeit. Das ist aber nicht in allen europäischen Ländern so. Wie seht ihr die Diskrepanzen bei der Wahrnehmung dieses Grundrechts in Europa?

Thomas Zerdick: Das erklärt sich zum Teil aus den geschichtlichen Unterschieden. Aber es ist ja ein großer Konsens vorhanden: Datenschutz existiert und ist auch ein Grundrecht in allen europäischen Mitgliedstaaten. Das ist also nicht anders als in Deutschland. Und die Grundlage der Zusammenarbeit zumindest bei den Aufsichtsbehörden ist eben die Datenschutzgrundverordnung.

Man muss auch sagen, dass Deutschland – derzeit zumindest – ziemlich allein dasteht, weil die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Das ist ganz merkwürdig. Diese großflächigen Spitzen gegen den Datenschutz hört man aus anderen Mitgliedstaaten so nicht. Im Gegenteil, das wird dort einfach gemacht und umgesetzt, und dann ist gut.

Kurz und knappe Informationen zu dem, was der Datenschutzbeauftragte macht

Gibt es etwas, was ihr für den Europäischen Datenschutzbeauftragten für die Zukunft wünschen würdet? Was wäre notwendig oder würde die Effizienz oder die Qualität der Arbeit sehr verbessern?

Robert Riemann: Meine Wünsche wären gar nicht so spezifisch nur für Datenschutzbehörden, eher allgemein für Behörden. Wir hatten beispielsweise beim Europäischen Datenschutzbeauftragten schon früh eine digitale Akte. Das hat während der Corona-Pandemie unheimliche Vorteile gehabt. Aber ich denke, generell könnte man noch viel mehr durch Automatisierung von Prozessen erreichen. Ich wünsche mir, dass wir Dashboards haben, um Fallmanagement zu machen, und zwar nicht für jedes Land einzeln, sondern am besten eines, was für alle Datenschutzbehörden funktionieren würde. Sowas haben wir momentan nicht.

Ich würde mir auch wünschen, dass es eine digitale Strategie gibt, die nicht nur national denkt, sondern auch europäisch. Und ich denke, es fehlt uns an vielen Standardisierungsprozessen. Das ist schwer in Gang zu bringen, weil die Datenschutzbehörden nur wenige Informatiker haben und das Geld knapp ist. Insofern ist es nicht klar, wie sich das demnächst verbessern könnte.

Thomas Zerdick: Ich würde mich Robert anschließen. Warum? Natürlich hat ein Amt wie der Europäische Datenschutzbeauftragte nie genug Mitarbeiter und nie genug Geld. Das wird sich in absehbarer Zeit auch nicht ändern. Aber was uns gut zu Gesicht stände, wäre eine bessere Automatisierung von Prozessen.

Nur ein Beispiel: Wir bearbeiten natürlich auch Eingaben und Beschwerden von Bürgerinnen und Bürgern. Und wir sehen gerade in der letzten Zeit eine 140-prozentige Steigerung dieser Beschwerden auf uns zukommen. Warum? Weil die Leute, die sich beschweren, zu generativer KI greifen und sich eine Beschwerde beispielsweise an die Europäische Kommission generieren lassen und sie direkt an den Europäischen Datenschutzbeauftragten schicken. Wir brauchen hier sozusagen Waffengleichheit, wir müssen auch praktisch KI-gestützte Anwendungen zur Verfügung haben, um vielleicht besser und effizienter arbeiten zu können.

Wir sind ja auch gleichzeitig Aufsichtsbehörde für KI-Systeme von den europäischen Organen. Das heißt, wir haben eine Doppelaufgabe: nicht nur Datenschützer, sondern auch KI-Aufsicht. Ich sehe die Notwendigkeit, dass wir die zugrundeliegende Technik verstehen und auch Kolleginnen und Kollegen dafür einstellen, die das beaufsichtigen können.

Wenn sich jemand nun noch mehr interessiert für den Europäischen Datenschutzbeauftragten, wo holt man sich mehr Informationen?

Thomas Zerdick: Auf unserer Homepage edps.europa.eu findet man alles, was das Herz begehrt, insbesondere auch kurz und knappe Informationen zu dem, was wir machen und auch zur Technik und zu neuen Technologien, aber auch unsere Entscheidungen. Podcasts gibt es auch!

Robert Riemann: Ich möchte noch eine weitere Möglichkeit erwähnen, wie man uns folgen kann: Der Europäische Datenschutzbeauftragte hat einen Mastodon-Account.

Ich möchte mich bedanken für die Zeit, die ihr euch genommen habt, und für die Einblicke, die ihr gegeben habt. Vielen Dank für das Gespräch!

Constanze Kurz ist promovierte Informatikerin, Autorin und Herausgeberin von Büchern, zuletzt Cyberwar. Ihre Kolumne „Aus dem Maschinenraum“ erschien von 2010 bis 2019 im Feuilleton der FAZ. Sie lebt in Berlin und ist ehrenamtlich Sprecherin des Chaos Computer Clubs. Sie war Sachverständige der Enquête-Kommission „Internet und digitale Gesellschaft“ des Bundestags. Sie erhielt den Toleranz-Preis für Zivilcourage und die Theodor-Heuss-Medaille. Kontakt: E-Mail (OpenPGP). Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Ihr werdet erreichen, dass ich euch häufiger persönlich aufsuche, Einschreiben schicke, versuche, die in Rechnung zu stellen, und, dass ich über öffentliche Datenschutzbeauftragte, Ombuds- und Schiedsstellen, Aufsichtsbehörden, Verbrauchervereine, Gewerkschaften, Anwält.inn.en und Gerichte mit euch kommuniziere.

Bei vielen Behörden tut sich hier aber Einiges, die Onlineausweise mit quelloffener AusweisApp2, virtuelle Ämter, das Justizpostfach, die Serviceportale der Landesregierungen, die vertrauliche Kommunikation mit immer mehr Behörden im Land bieten, das sind Schritte in die richtige Richtung.

#Privacy #Kommunikation #Kommunikationsabwehr #DSGVO #DatenschutzGrundverordnung #Schamlosigkeit #Würde #Ausforschung #Überwachung

Staatsgeheimnis

Sicherheitsbehörden und Databroker: Bundesregierung macht Datenkauf zum Staatsgeheimnis

Die Bundesregierung verweigert Transparenz darüber, ob deutsche Sicherheitsbehörden bei Datenhändlern einkaufen. Die Frage ist brisant, denn für den Kauf gäbe es keine sichere Rechtsgrundlage. Das zeigen Dokumente aus dem Bundestag, die wir exklusiv vorab veröffentlichen.

Diese Recherche entstand in Kooperation mit dem Bayerischen Rundfunk. Sie ist Teil der Databroker Files.

Seit Monaten häufen sich Berichte über menschenfeindliche Übergriffe von Beamt*innen der US-Abschiebebehörde ICE. Sie inhaftieren massenhaft Menschen, die nach dem Willen der Regierung von US-Präsident Donald Trump das Land verlassen sollen. Um sie aufzuspüren, kann die Behörde ein mächtiges Werkzeug nutzen: Mit Tracking-Daten aus der Online-Werbeindustrie kann sie Milliarden Standorte von Handys ausspionieren.

Die Angebote für solche Informationen kommen von Databrokern und darauf spezialisierten Dienstleistern. Gesammelt werden die Daten angeblich nur zu Werbezwecken, doch auch staatliche Stellen können beherzt zugreifen. Kommerzielle und staatliche Überwachung sind weltweit inzwischen eng verwoben.

Neue Dokumente aus dem Bundestag zeigen jetzt: Die Bundesregierung verweigert zwar eine Auskunft darüber, ob deutsche Sicherheitsbehörden auf solche Standortdaten zugreifen – die Möglichkeit schließt sie aber ausdrücklich nicht aus.

Zugleich nährt ein neues Gutachten der Wissenschaftlichen Dienste des Bundestages Zweifel daran, ob staatliche Shoppingtouren bei Databrokern überhaupt rechtmäßig wären: Bei Bundespolizei und Bundeskriminalamt fehlt demzufolge eine Ermächtigungsgrundlage; selbst für die mit weitreichenden Befugnissen ausgestatteten Geheimdienste ist die Rechtslage unklar.

„Wir haben es hier mit einer echten Black Box zu tun“, konstatiert die Bundestagsabgeordnete Donata Vogtschmidt (Die Linke). Sie lehnt es ab, dass Sicherheitsbehörden den Handel mit Werbedaten anheizen. Als „eindeutig rechtswidrig“ bezeichnet Polizeirechtler Mark Zöller von der Ludwig-Maximilians-Universität München​​​​​​​ mögliche Datenkäufe durch Sicherheitsbehörden. Auch Geheimdienstforscher Thorsten Wetzling von der Denkfabrik Interface warnt: Behörden könnten beim Kauf von Datenbanken verfassungswidrig handeln.

Regierung verweigert Transparenz

Über die vielfältigen Gefahren von Handy-Standortdaten aus der Werbeindustrie haben wir in unserer Recherche-Reihe Databroker Files ausführlich berichtet. Anhand echter Datensätze konnten wir zeigen, wie detaillierte Bewegungsprofile auch Millionen Menschen in Deutschland gefährden. Ausspionieren lassen sich sogar Angestellte von Regierung, Militär und Geheimdiensten. Datenschützer*innen gehen davon aus, dass der Datenhandel in der Regel gegen die Datenschutzgrundverordnung (DSGVO) verstößt.

Wie also hält es die Bundesregierung mit Databrokern? Das und mehr wollte die Bundestagsabgeordnete Donata Vogtschmidt durch eine Kleine Anfrage erfahren. Solche Anfragen sind ein Werkzeug, das die Fraktionen im Bundestag nutzen können, um die Regierung zu kontrollieren.

In der Antwort, die wir hier veröffentlichen, stellt die Bundesregierung bei den entscheidenden Fragen keine Transparenz her. Fragen dazu, ob Sicherheitsbehörden wie Bundeskriminalamt (BKA) und Bundespolizei bei Databrokern einkaufen, beantwortet sie nicht. Sie tut dies auch nicht in „eingestufter Form“; das heißt, selbst unter Ausschluss der Öffentlichkeit sollen die Abgeordneten keine Informationen zu einer möglichen Teilnahme am umstrittenen Datenhandel bekommen.

„Auch ein geringfügiges Risiko des Bekanntwerdens derart sensibler Informationen kann unter keinen Umständen hingenommen werden“, rechtfertigt sich die Bundesregierung. Demnach könnten „Täter oder potenzielle Zielpersonen ihr Verhalten anpassen und künftige Maßnahmen dadurch erschweren oder gar vereiteln“. Weiter könnte eine Antwort „fremde staatliche Akteure dazu verleiten, entsprechende Dienste anzugreifen, um die jeweiligen Datenbestände im eigenen Sinne zu manipulieren.“

„Absolut nicht hinnehmbar“

Möglich ist es jedoch durchaus, dass deutsche Sicherheitsbehörden bereits bei Databrokern einkaufen. So schreibt die Regierung:

Die Bundesregierung schließt nicht aus, dass der Bezug von personenbezogenen Daten von Datenhändlern im Einzelfall zur Erfüllung ihrer Aufgaben angemessen sein kann. Dies muss im jeweiligen Einzelfall unter Berücksichtigung der jeweiligen Rechtslage individuell geprüft werden.

Details nennt die Bundesregierung lediglich bei weniger sicherheitsrelevanten Behörden. So kauft etwa das „Bundesamt für Kartographie und Geodäsie“ seit einigen Jahren regelmäßig personenbezogene Daten ​​bei kommerziellen Anbietern. Zum Beispiel bei einem Unternehmen, das nach eigenen Angaben unter anderem Adressen von Arztpraxen, Apotheken und Krankenhäusern anbietet. Solche Daten sind jedoch weitaus weniger brisant als etwa detaillierte Bewegungsprofile von Handy-Nutzenden.

Die größtenteils ausgebliebene Antwort der Bundesregierung auf ihre Kleine Anfrage kritisiert die Abgeordnete Donata Vogtschmidt scharf: „Es ist absolut nicht hinnehmbar, dass die Bundesregierung die Öffentlichkeit im Unklaren darüber lässt, ob und in welcher Form Sicherheitsbehörden persönliche Daten einkaufen, die die Menschen vermeintlich freiwillig für Werbezwecke freigegeben haben.“ Die Digitalpolitikerin fordert ​“​​​​​Transparenz darüber, wie und auf welcher Rechtsgrundlage deutsche Sicherheitsbehörden am Markt für kommerzielle Geschäfte mit persönlichen Daten beteiligt sind“.

Weiter kritisiert die Abgeordnete, dass der riesige und in der Öffentlichkeit kaum bekannte Markt für personenbezogene Daten entstehen konnte: „Wie konnte es überhaupt dazu kommen?“ Eine Reform der DSGVO wäre wichtig, so Vogtschmidt, würde das Problem aber nicht an der Wurzel packen. Als solche benennt sie den Kapitalismus und das unausgeglichene Kräfteverhältnis zwischen Konzernen und Betroffenen. Ihre Forderung: „Wir brauchen Online-Plattformen im Gemeinwohl ohne Profitabsichten.“

Mehr Transparenz in anderen Staaten

Während die Bundesregierung jeglichen Einblick in mögliche Datenkäufe durch Sicherheitsbehörden für ein Risiko hält, liefern andere Staaten mehr Transparenz. Einkäufe von Handy-Standortdaten durch US-Behörden wurden spätestens ab dem Jahr 2020 schrittweise bekannt. Im November stellte ein Bericht des Kontrollgremiums PCLOBheraus, dass das FBI Kunde bei kommerziellen Datensammlern wie Clearview AI und Babel Street ist.

In den Niederlanden beaufsichtigt das Gremium CTIVD die Geheimdienste. Bereits dessen Bericht aus dem Jahr 2018 handelte davon, wie Agent*innen kommerzielle Datensätze erworben haben. Auch in Norwegen bestätigte das parlamentarische Kontrollgremium EOS-Committee 2023 in einem öffentlichen Bericht, dass der militärische Geheimdienst massenhaft personenbezogene Daten gekauft hat. Die Aufseher*innen sparten nicht mit Kritik, weil der Behörde für das Daten-Shopping eine Rechtsgrundlage fehlte.

Eine grundsätzliche Kritik am Handel mit personenbezogenen Daten aus dem Ökosystem der Online-Werbung ist, dass er in der Regel gegen das europäische Datenschutzrecht verstößt. Die Daten aus dem Angebot von Databrokern haben oftmals schon eine lange Reise hinter sich, noch bevor Sicherheitsbehörden überhaupt ins Spiel kommen. Bereits die Erhebung, etwa durch Apps und Tracking-Firmen, kann rechtswidrig sein, weil die Einwilligung der Nutzer*innen oft nicht informiert erfolgt und somit ungültig ist. Der Weiterverkauf wiederum kann gegen die Zweckbindung verstoßen, die etwa die DSGVO verlangt. Von Werbezwecken kann nämlich keine Rede mehr sein, sobald die Daten zur offenen Handelsware werden.

Diesen Standpunkt vertrat 2024 auch das deutsche Verbraucherschutzministerium. Jüngst sprach die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider im Interviewmit netzpolitik.org von einer „unglaublichen Masse an Daten, die rechtswidrig genutzt werden“.

Datenkauf als „besondere Gefahr“ für Grundrechte

Hätten Sicherheitsbehörden des Bundes überhaupt eine Rechtsgrundlage, um bei Databrokern einzukaufen? Dieser Frage geht ein neues Gutachten der Wissenschaftlichen Dienste des Bundestages nach. Die dort tätigen Forscher*innen arbeiten laut Selbstbeschreibung parteipolitisch neutral und sachlich objektiv. Ebenfalls im Auftrag der Abgeordneten Vogtschmidt haben sie die „rechtlichen Voraussetzung und Grenzen des behördlichen Ankaufes von personenbezogenen Daten aus Werbedatenbanken“ untersucht. Hier veröffentlichen wir das 25 Seiten umfassende Gutachten [PDF].

Aus dem Gutachten geht hervor: Sicherheitsbehörden fehlt eine klare Rechtsgrundlage für den Kauf von personenbezogenen Daten von Databrokern. Der Kauf kann zudem einen weitreichenden Grundrechtseingriff darstellen, für den es deshalb sehr hohe Hürden gibt. So könnten die Behörden damit etwa in das Recht auf informationelle Selbstbestimmungeingreifen.

„Betroffene können in aller Regel weder überschauen noch beherrschen, welche Daten aus welchen Quellen in Werbedatenbanken gespeichert und miteinander verknüpft werden“, schreiben die Wissenschaftler*innen. Zudem besteht „beim Ankauf von Daten aus Werbedatenbanken eine besondere Gefahr von Eingriffen in den Kernbereich privater Lebensgestaltung“.

Wie intim Erkenntnisse aus solchen Daten sein können, zeigen die Databroker Files: Handy-Ortungen offenbarten beispielsweise Besuche in Bordellen, Kliniken oder Gefängnissen; die Nutzung bestimmter Apps kann Aufschluss über Krankheiten oder sexuelle Orientierunggeben.

Wissenschaftliche Dienste: schwere Belastung für Betroffene

Weiter gehen die Wissenschaftler*innen auf die „Schwere der Belastung“ von Betroffenen ein, wenn Behörden ihre personenbezogenen Daten kaufen. Zunächst erfahren die Betroffenen nichts davon, die Maßnahme ist also heimlich. Außerdem könne es sein, dass die Daten selbst rechtswidrig erhoben wurden. Weiter sei unklar, ob die gekauften Daten „überhaupt inhaltlich korrekt“ sind.

Eine Studie des NATO-Forschungszentrums Stratcom schätzte 2021, dass im Durchschnitt nur 50 bis 60 Prozent der Daten von Databrokern „als präzise angesehen werden können.“ Auch unsere Recherchen zeigten, dass immer wieder Zeitstempel oder Geräte-Kennungen in den Datensätzen von Databrokern falsch sind. Im Fall von geheimdienstlicher Überwachung könnten also Unbeteiligte ins Visier geraten.

Bei BKA und Bundespolizei konstatiert das Gutachten, dass ihnen eine „Ermächtigungsgrundlage“ fehle, um solche Daten zu kaufen. Das heißt: Es gibt in den Gesetzen, die die Arbeit dieser Sicherheitsbehörden regeln, keine Normen, die ein Shopping bei Databrokern erlauben oder rechtfertigen würden.

Weniger deutlich fällt die rechtliche Einordnung allerdings bei den Geheimdiensten des Bundes aus, also Bundesnachrichtendienst, Bundesamt für Verfassungsschutz und Militärischer Abschirmdienst. Auch hier finden die Wissenschaftlichen Dienste keine ausdrückliche Rechtsgrundlage. Allerdings kommen sie zu dem Ergebnis, dass der Kauf solcher Daten möglicherweise in Einzelfällen gerechtfertigt sein könnte, wenn auch unter sehr begrenzten Umständen.

Das Gutachten stellt zudem heraus:

Unter welchen Umständen und mit welchen Methoden die Daten erhoben und in die Datenbank eingepflegt wurden, ist daher völlig offen und für den ankaufenden Nachrichtendienst auch kaum mit hinreichender Sicherheit überprüfbar. Es erscheint daher möglich, dass Nachrichtendienste durch den Ankauf an Daten gelangen könnten, die sie im Wege einer Überwachung nicht selbst erheben dürften.

„Der Rechtsstaat versteckt keine Elefanten hinter Mäuselöchern“

Thorsten Wetzling forscht für die gemeinnützige Denkfabrik Interface zu Geheimdiensten und ADINT. So nennt man die Erlangung geheimdienstlicher Erkenntnisse („intelligence“) durch Daten aus der Werbeindustrie („Ad“). Gerade die Aussicht auf Daten, die Geheimdienste sonst nicht erheben dürften, sieht Wetzling als wesentlichen Anreiz für ADINT. Hierbei könnten sich Geheimdienste auch umfangreiche Genehmigungsverfahren, Nutzungsbeschränkungen und Kontrollvorgaben sparen.

Mit Blick auf das Gutachten beschreibt Wetzling die unklare Rechtslage als besorgniserregend. Gewichtige Gründe sprechen ihm zufolge dagegen, dass die entsprechenden Normen den verfassungsrechtlichen Standards der Bestimmtheit und der Verhältnismäßigkeit entsprechen.​​​​​ Der Forscher warnt:

​​​​​Sollte die Bundesregierung nachrichtendienstliche Datenkäufe tätigen, so ist deren rechtliche Grundlage ungewiss und verfassungswidriges Handeln durchaus möglich.

Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider deutet die Rechtslage ähnlich. Ankauf und Nutzung von Werbedaten bedürften „spezieller gesetzlicher Regelungen, welche für die Sicherheitsbehörden bisher nicht bestehen“, schreibt ein Sprecher auf Anfrage von netzpolitik.org und BR. Eine allgemeine Ermächtigungsgrundlage reiche nicht aus. „Hier gilt: Der Rechtsstaat versteckt keine Elefanten hinter Mäuselöchern“, so der Sprecher.

Deutlich wird auch Mark Zöller, der an der Ludwig-Maximilians-Universität München zu Polizeirecht forscht. Er sagt, es wäre „eindeutig rechtswidrig“, wenn Behörden personenbezogene Daten aus der Werbeindustrie kaufen würden. „Eine spezielle Ermächtigungsgrundlage für den Ankauf solch privater Datenbestände gibt es in keinem Sicherheitsgesetz in der Bundesrepublik Deutschland.“ Es sei jedoch typisch für Sicherheitsbehörden, dass sie neue Instrumente ohne Rechtsgrundlage erst mal nutzen würden, „bis sich Widerstand regt“. Juristisch könne das aber zum Problem werden, weil damit auch die gerichtliche Verwertbarkeit auf diesem Weg erlangter Beweise in Frage stehe.

Forscher Thorsten Wetzling sieht im Ankauf kommerzieller Daten „einen Paradigmenwechsel bei der nachrichtendienstlichen Informationsbeschaffung“, der dringend reguliert werden muss. Das Mandat der unterschiedlichen Gremien zur Kontrolle der Geheimdienste sei für das Phänomen nicht ausreichend. ​​​​​​​Der Gesetzgeber sollte bei der anstehenden Geheimdienstreform jedoch nicht nur auf ADINT schauen, sondern „die ganze Palette des möglichen Zusammenwirkens privater und öffentlicher Stellen näher in den Blick nehmen“. Im Falle einer gesetzlichen Regelung fordert Wetzling eine Diskussion über Schutzvorkehrungen beim Kauf sensibler Daten – bis hin zu einem möglichen Verbot, hochsensible Daten überhaupt zu kaufen.

Die Versuchung der Daten

Darüber, wie Geheimdienste mit Databrokern umgehen sollten, gibt es im Bundestag gespaltene Meinungen. „Ich lehne es ab, dass Sicherheitsbehörden den vor Datenschutzverletzungen strotzenden Handel mit Werbedatenbanken anheizen und fordere einen gesetzlichen Riegel davor“, sagt Linken-Abgeordnete Donata Vogtschmidt mit Blick auf die neusten Recherchen. Bereits zuvor sagte sie: „Geheimdienste sind Fremdkörper in der Demokratie und müssen schrittweise durch Informationsstellen ohne nachrichtendienstliche Mittel ersetzt werden“.

Eine ambivalente Position äußerte der CDU-Abgeordnete Roderich Kiesewetter gegenüber netzpolitik.org und BR im Sommer 2024: „Angesichts der Bedrohungslage und der Ressourcenknappheit kann es durchaus sinnvoll sein, auch solche Daten verstärkt für die Aufklärung zu nutzen.“ Andererseits sprach er davon, Datenmarktplätze und Verkäufer zu regulieren, „damit solche Datensätze nicht von gegnerischen ausländischen Diensten im Rahmen hybrider Kriegsführung verwendet werden“ und um „unsere Bürger vor dem Datenabgriff durch ausländische Staaten zu schützen.“

Der Abgeordnete Konstantin von Notz (Grüne) sprach sich 2024 für eine rechtliche Klärung aus. Er verglich das mit anderen Mitteln wie etwa dem Abhören von Telefongesprächen, bei denen es auch klare Regeln gibt.

Auch der Thinktank Hybrid CoE, bei dem Fachleute im Auftrag von EU und NATO hybride Bedrohungen erforschen, bewertet ADINT als zweischneidig. „Die Frage, ob die Chancen die Risiken überwiegen, ist schwer zu beantworten, da sich beide offenbar die Waage halten“, sagte Sprecherin Kirsi Pere auf Anfrage von netzpolitik.org.

Aus Perspektive von Daten- und Verbraucherschutz sollten die Maßnahmen bereits früher ansetzen, und zwar schon bei der schieren Anhäufung der Daten. Nicht zuletzt der Verbraucherzentrale Bundesverband fordert ein Verbot von Tracking und Profilbildung zu Werbezwecken.

EU-Kommission: „wachsendes Problem“

Zumindest scheint im Zuge der Databroker Files das Bewusstsein dafür zu wachsen, wie gefährlich es ist, wenn Angebote von Databrokern praktisch allen offenstehen. Am 4. November haben netzpolitik.org und Recherche-Partner berichtet, wie Datenhändler metergenaue Standortdaten von EU-Personal verkaufen. Wenig später, am 19. November, thematisierte die EU-Kommission Databroker in einem Schreiben an EU-Parlament und Ministerrat. Darin heißt es, leicht gekürzt und aus dem Englischen übersetzt:

Der Handel mit personenbezogenen Daten ist zu einem wachsenden Problem geworden. Solche intransparenten Praktiken untergraben zentrale Grundsätze des Datenschutzrechts und der Privatsphäre, verzerren den Wettbewerb und unterminieren das öffentliche Vertrauen in digitale Märkte. Eine konsequentere Durchsetzung der bestehenden Vorschriften ist erforderlich. Die Kommission wird prüfen, ob zusätzliche Schutzmaßnahmen notwendig sind, um diese Praktiken einzudämmen und die Transparenz im Datenhandel zu erhöhen.

Dabei stehen die Zeichen eigentlich auf Deregulierung. Anlass des Schreibens ist das Vorhaben der EU-Kommission, Daten für KI-Innovationen zu befreien. Auch der Digitale Omnibus, ein Gesetzpaket der EU-Kommission, will Unternehmen beim Datenschutz mehr freie Hand lassen. Offenbar erweisen sich die Databroker Files als Sand im Getriebe der Deregulierung.

Bundesregierung „beobachtet aufmerksam“

Noch im Herbst hatte sich die Bundesregierung mit möglichen Regulierungslücken beim Handel mit personenbezogenen Daten beschäftigt. Anlass war eine schriftliche Frage des Abgeordneten Konstantin von Notz (Grüne). Eine Lücke können etwa Datenmarktplätze sein, die Kontakt zwischen Databrokern und potenziellen Käufern herstellen. Prominentes Beispiel für einen Datenmarktplatz ist der Berliner Anbieter Datarade, der offenbar durch die Maschen der Datenschutz-Regulierung schlüpft und sogar von einer teilweise staatlichen Investition profitiert hat. Über Datarade konnte netzpolitk.org Kontakt zu einem Datenhändler herstellen, der dem Team letztlich 3,6 Milliarden Handy-Standortdaten aus Deutschland zur Verfügung stellte.

In ihrer Antwort vom 16. September schreibt die Bundesregierung, sie „beobachtet aufmerksam die Entwicklungen im Bereich des Datenhandels“. Auch Datenmarktplätze erwähnt sie ausdrücklich. Zu Konsequenzen äußert sie sich jedoch zurückhaltend. „Sollte sich zeigen, dass zusätzliche Regelungen erforderlich sind, wird die Bundesregierung die erforderlichen Schritte prüfen“, heißt es. „Dies kann, je nach Sachlage, auch gesetzgeberische Maßnahmen einschließen.“

Allein in den drei Monaten nach dieser Antwort sind vier große Enthüllungen über die Gefahren von Handy-Standortdaten erschienen – mit Daten aus Belgien, Irland, Frankreichund Italien.

Ingo Dachwitz ist Journalist und Kommunikationswissenschaftler. Seit 2016 ist er Redakteur bei netzpolitik.org und u.a. Ko-Host des Podcasts Off/On. Er schreibt häufig über Datenmissbrauch und Datenschutz, Big Tech, Plattformregulierung, Transparenz, Lobbyismus, Online-Werbung, Wahlkämpfe und die Polizei. 2024 wurde er mit dem Alternativen Medienpreis und dem Grimme-Online-Award ausgezeichnet. Ingo ist Mitglied des Vereins Digitale Gesellschaft sowie der Evangelischen Kirche. Seit 02/2025 ist sein Buch erhältlich: “Digitaler Kolonialismus: Wie Tech-Konzerne und Großmächte die Welt unter sich aufteilen”. Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, FragDenStaat. Sebastian Meineck ist Journalist und seit 2021 Redakteur bei netzpolitik.org. Zu seinen aktuellen Schwerpunkten gehören digitale Gewalt, Databroker und Jugendmedienschutz. Er schreibt einen Newsletter über Online-Recherche und gibt Workshops an Universitäten. Das Medium Magazin hat ihn 2020 zu einem der Top 30 unter 30 im Journalismus gekürt. Seine Arbeit wurde mehrfach ausgezeichnet, unter anderem zweimal mit dem Grimme-Online-Award sowie dem European Press Prize. Kontakt: E-Mail (OpenPGP), Sebastian Hinweise schicken | Sebastian für O-Töne anfragen | Mastodon. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Dem Silicon Valley näher

„Beim Datenschutz ist Deutschland inzwischen dem Silicon Valley näher als dem Rest der EU“

Die Datenschutzgrundverordnung kann reformiert werden, sagt Max Schrems – aber ganz anders, als die EU es gerade plant. Im Interview erklärt der prominente Datenschützer, warum er keine Hoffnung mehr auf Aufsichtsbehörden setzt und wieso seine Reformvorschläge selbst von Konservativen unterstützt werden.

Max Schrems ist einer der bekanntesten Datenschützer Europas. Noch als Student hatte der junge Jurist den Milliardenkonzern Meta verklagt, später brachte er zwei transatlantische Datenschutzabkommen zu Fall. Inzwischen treibt er gemeinsam mit seiner Nichtregierungsorganisation noyb – kurz für „None of Your Business“ – Datenschutzsünder und Aufsichtsbehörden vor sich her.

Wir trafen den Österreicher zum Interview in einem Wiener Kaffeehaus, um über die Reform des europäischen Datenschutzes zu sprechen. Die bereits länger laufende Debatte hat kürzlich dramatisch an Fahrt aufgenommen, als die EU-Kommission überraschend weitgehende Änderungen an der Datenschutzgrundverordnung (DSGVO) vorschlug. Der sogenannte digitale Omnibus bekommt von Datenschützer:innen viel Kritik.

Dabei bräuchte es tatsächlich eine Reform der Datenschutzgrundverordnung, sagt Max Schrems. Sie müsste nur ganz anders ausfallen als das, was die EU nun plant. Im Interview legt der Jurist uns seine Ideen für eine Reform dar, die kleinere und mittlere Unternehmen entlastet, während sie Datenkonzerne strenger reguliert. Eine breite Einigung sei bei dem Thema möglich, sie müsse nur gesucht werden.

„Die DSGVO liegt jetzt auf dem Tisch“

In der Debatte um eine europäische Datenschutzreform gibt es drei Lager: Die einen sagen, die Datenschutzgrundverordnung an sich sei super und müsse nur besser durchgesetzt werden. Andere sagen, die DSGVO sei das Schlimmste, was der europäischen Wirtschaft je passiert ist, und müsse massiv zurückgebaut werden. Und dann gibt es da noch ein relativ kleines Lager irgendwo dazwischen, das sagt: Reform ja, aber bitte richtig gemacht.

Zu diesem wirklich sehr kleinen Lager gehöre ich. Es gibt ja wenige, die sagen, die DSGVO soll nicht geändert werden, weil sie so perfekt ist. Das Argument basiert eher auf der Angst vor dem, was dann kommt. Denn dann hätten wir wieder den riesigen Lobby-Fight wie vor zehn Jahren bei der Einführung der DSGVO, aber unter ganz anderen Vorzeichen. Die Sorge ist auch völlig berechtigt, wenn wir schauen, was gerade mit dem digitalen Omnibus passiert. Der Damm ist aber leider bereits gebrochen. Nächstes Jahr soll es noch einen Digital-Fitness-Check geben. Das heißt, die DSGVO liegt jetzt auf jeden Fall auf dem Tisch. Und da müssen wir auf sinnvolle Verbesserungen statt auf einen Kahlschlag hinarbeiten.

Also, was tun?

Zuerst müssen wir auf den begrenzten Spielraum hinweisen, den der Artikel 8 zum Schutz personenbezogener Daten in der Europäischen Grundrechtecharta lässt. Dinge wie Zweckbindung, Einwilligung, Auskunftsrecht und weiteres sind dort einzeln aufgelistet. Man kann sie also gar nicht ohne weiteres abschaffen. Der Gesetzgeber kann sie besser oder schlechter ausgestalten und vielleicht bekommen wir ein ausgehöhltes Grundrecht. Aber die DSGVO ist heute schon eine ziemliche Mindestumsetzung. Man kann überlegen, welche administrativen Auflagen wirklich notwendig sind, aber bei den Rechten der Leute gibt es nicht viel „Goldplating“ obendrauf.

Deutschland und der Datenschutz

Wenn es so wenig „Edel-Regulierung“ über das benötigte Maß hinaus gibt, woher kommt dann das Image der DSGVO als dramatische Überregulierung?

Das schlechte Image der DSGVO ist ganz stark ein deutsches Phänomen, im Blick auf den Datenschutz ist Deutschland dem Silicon Valley näher als dem Rest der EU. Ich reise für Vorträge durch ganz Europa und dass man fast mit Tomaten beworfen wird, wenn man „Datenschutz“ sagt, das gibts nur in Deutschland. Findet die französische Wirtschaft die DSGVO besonders toll? Natürlich nicht. Aber einen Weltuntergang sieht sie darin auch nicht. In Deutschland ist der Datenschutz der Blitzableiter dafür geworden, dass man das mit der Digitalisierung nicht schafft. Ein ganz banales Beispiel: In Deutschland hat fast keiner eine eID, in Österreich sind wir viel weiter. Auch in Skandinavien funktioniert Digitalisierung, alles mit DSGVO.

Wie kommt es zu diesem Sonderweg? Datenschutz galt ja mal als deutsche Erfindung.

Ich glaube, das sind mehrere Faktoren. In Deutschland gibt es eine riesige Compliance-Industrie, die immer neue „Probleme“ zum Überleben braucht. Mir hat mal einer der großen Compliance-Anbieter gesagt: „Herr Schrems, Sie müssen verstehen, Compliance-Bedarf gibt es nicht – Compliance-Bedarf wird kreiert.“ Also hält man hunderte Vorträge, wie schlimm das alles ist mit dem Datenschutz, und dann müssen alle armen Unternehmen schnell in die Compliance-Beratung kommen. Mit der DSGVO ist ein riesiger Kropf an sehr schlechter Beratung entstanden – aus dieser Beratung kommt dann auch oft irgendein angebliches „Verbot“, das gar nicht in der DSGVO steht.

Hinzu kommt, dass die DSGVO dank der Cookie-Banner das einzige Digitalgesetz ist, das alle kennen. Mir kommt es so vor, dass sich in Deutschland schlussendlich eine Kultur entwickelt hat, dass man mehr Freude am Problem als an der Lösung hat – dafür eignet sich Datenschutz super. Zusammengenommen hat man damit einen perfekten Sturm im Wasserglas.

Von den Cookie-Bannern sind alle genervt, weil sie keine echte Selbstbestimmung ermöglichen und ständig weggeklickt werden müssen.

Beim Datenschutz ist das Narrativ, mit dem Nutzerinnen jeden Tag zu tun haben, leider komplett den Unternehmen überlassen. Es ist deren Entscheidung, dass sie das Design so scheiße machen, dass man am Ende genervt möglichst auf „Alles akzeptieren“ klickt. Die Industrie nennt das euphemistisch „Consent Optimization“. Aber verantwortlich gemacht wird der europäische Gesetzgeber. Genau wie bei den E-Mails, die damals zum Start der DSGVO alle Unternehmen geschickt haben. Da hieß es immer: „Wegen der DSGVO brauchen wir jetzt ihre Einwilligung“. Ehrlich wäre gewesen: „Wir verarbeiten seit Jahren illegal Ihre Daten ohne Einwilligung, aber jetzt haben wir Panik, deshalb brauchen wir jetzt schnell noch Ihre Einwilligung.“

Mehr Regulierung für Datenkonzerne, weniger für kleine Unternehmen

Wo müsste eine Reform ansetzen?

Das Wichtigste ist, dass wir die mangelnde Differenzierung durch den One-Size-Fits-All-Ansatz wegkriegen. Dass die DSGVO allen Akteuren die gleichen Anforderungen vorschreibt, hatte die Industrie damals in den Verhandlungen zur DSGVO durchgesetzt. Das Lobbying in Brüssel wird von den ganz Großen dominiert und die haben sich gedacht: Mittelschwere Regeln für alle sind besser als einfachere Regeln für kleine Player, aber Hardcore-Regeln für uns. Und dann war natürlich immer das Argument, dass der Bäcker an der Ecke nicht zu sehr leiden darf, weshalb diese einheitlichen Regeln lieber ein niedriges Niveau haben sollten. Am Ende ist es nun so, als gäbe es nur einen Führerschein, und den braucht man als LKW-Fahrer sowie als Fünfjähriger, der gerade Fahrradfahren lernt.

Wie sähe eine abgestufte Variante aus?

Ich denke an ein Drei-Stufen-Modell. Da hätte man härtere Regeln für die paar Unternehmen, deren Geschäft im Kern auf Daten basiert, von den großen Plattformen über Datenhändler bis zur Schufa. Für ein paar Prozent anderer großer Unternehmen, die einfach viele Daten oder sensible Daten haben, würde eine mittlere Variante gelten – so etwa die jetzige DSGVO. Und für 90 Prozent der Wirtschaft, die fast nichts mit Daten machen, außer ihren Betrieb aufrechtzuerhalten, könnte man den Verwaltungsaufwand im Großen und Ganzen abdrehen. Natürlich müssen die Kernregeln beibehalten werden, aber zum Beispiel bei Dokumentationspflicht ginge viel – da steckt auch die meiste sinnlose Arbeit für Unternehmen drin.

Wie würde die Entlastung konkret aussehen?

Wir haben eine Umfrage mit 500 betrieblichen Datenschutzbeauftragten gemacht und sie gefragt, welche Bereiche ihren Unternehmen viel Arbeit machen und welche viel Schutz bringen. Und da hat sich gezeigt, dass man unter anderem auf viele Dokumentationspflichten verzichten könnte. Die sind ohnehin eher als typischer Brüsseler Kompromiss entstanden: Wenn man schon keine strengen Regeln einführt, dann muss man wenigstens viel dokumentieren. Nur bringt das für Unternehmen viel Arbeit und für die Betroffenen keinen einklagbaren Schutz – beide verlieren.

Besser wäre die Einführung einer Beweispflichtumkehr, die gibt es in der DSGVO sogar schon so halb. Unternehmen müssten dann im Streitfall beweisen, dass sie sich an die Vorgaben gehalten haben. Aber wie sie das machen, ist egal. Da bin ich eher libertär: Wie die Unternehmen ihre Compliance intern gestalten, muss der Gesetzgeber nicht regulieren. Wir haben ja auch keine Dokumentationspflicht dafür, dass ich niemanden umbringe.

„Wer die Macht hat, muss die Verantwortung tragen“

Wie könnte man kleinere Unternehmen noch entlasten?

Die DSGVO ist oft sehr abstrakt, was alle ohne Rechtsabteilung überfordert. Da könnten Formblätter und standardisierte Prozesse helfen, um die Komplexität runterzubrechen. Also zum Beispiel ein Standardformular mit den Anforderungen, die man beim Betrieb einer Website erfüllen muss. In Österreich hat es früher Muster- und Standardverordnungen für Dinge gegeben, die jedes KMU macht. Da hat man gesagt: Wenn ihr euch ans Schema F haltet, dann seid ihr auf jeden Fall gesetzeskonform. Das hat kleinen Unternehmen extrem viel Rechtssicherheit gebracht und senkt den Verwaltungsaufwand massiv.

Wenn ich solche Reformideen vorschlage, gibt es übrigens immer eine Gruppe, die gar nichts davon hält: Anwälte und Compliance-Leute, denn die machen mit genau dieser Unsicherheit für Unternehmen sehr viel Geld. Diese Bürokratie wird oft viel mehr zwischen Unternehmen und ihren Beratern produziert als zwischen Betroffenen und Unternehmen.

Auch bei der Compliance zwischen Unternehmen siehst du Vereinfachungspotenzial, wenn zum Beispiel eine Firma Office-Produkte von Microsoft oder Cloud-Dienste von Amazon oder Google nutzt.

Genau, da hat die DSGVO nämlich ein ganz absurdes System, dass nicht Microsoft oder Google oder irgendwelche Cloud-Anbieter direkt unter das Gesetz fallen, sondern du als einzelner Unternehmer einen Vertrag mit ihnen schließt, dass sie sich an das Gesetz halten würden.

Die sogenannten Auftragsdatenverarbeitungsverträge.

In Europa gibt es Millionen dieser Verträge, die alle abgeschlossen, gemanagt und überprüft werden müssen. Der Effekt ist, dass wir zwar eine lokale Schule verklagen können, die illegale Office-Produkte von Microsoft einsetzt, aber Microsoft direkt angreifen können wir nicht. Die Schule hat aber natürlich null Kompetenz, de facto verantwortlich ist eigentlich Microsoft. Selbst Staaten haben aktuell keine Chance, die Verträge zu ändern – sollen aber dafür haften.

Und das ist ein Grundproblem der DSGVO: Schon im römischen Recht sagte man, dass derjenige die Verantwortung tragen soll, der die Macht darüber hat. Bei der DSGVO aber klaffen Macht und Verantwortung auseinander. Was wir bräuchten, wäre eine Datenschutzhaftung der großen Plattformunternehmen, dass sie gesetzeskonforme Produkte anbieten. Das würde extrem viel Druck von den normalen Unternehmen nehmen. Das sind genau die Dinge, wo alle in Europa von ganz konservativer Seite bis zu ganz linker Seite sagen können: Ja, das ergibt Sinn, dass Microsoft und nicht ein KMU dafür haftet. Eine solche Reform könnten wir mit wenig Aufwand umsetzen.

„Eine breite Einigung bei der Reform wäre möglich“

Auf der anderen Seite schlägst du Verschärfungen für Datenkonzerne vor. Wie sähen die aus?

Bei den ganz Großen funktioniert die DSGVO nicht. Da bräuchten wir zusätzliche Instrumente wie eine Gewinnabschöpfung. Die aktuelle Höchststrafe von vier Prozent für Datenschutzverstöße ist weit weniger als das, was Meta & Co. mit der illegalen Datenverarbeitung verdienen. Die sehen das einfach als 4-prozentige Steuer, nicht als Strafe. Die Gewinnabschöpfung bräuchte es schon allein aus Wettbewerbsgründen, damit man nicht mit illegal erwirtschafteten Gewinnen den anderen Wettbewerbern davonläuft.

Was bräuchte es noch?

Extrem wichtig wäre eine Art externe TÜV-Kontrolle. In anderen technisch hochkomplexen Bereichen haben wir Prüfungen an unabhängige Stellen ausgelagert. Wenn zum Beispiel eine Lift-Anlage oder auch nur ein Auto betrieben wird. Im Datenschutz gibt es aktuell praktisch nur interne Prüfungen, wo alles durchgewunken wird, was der Chef will. Theoretisch gibt es die Aufsichtsbehörden, die aber weder die nötige technische Fachkompetenz noch die Kapazitäten für umfangreiche Prüfungen haben. Zunehmend merkt man auch, dass einige Behörden politisch nicht prüfen wollen.

Eigentlich müsste das so laufen wie bei der jährlichen Prüfung von Unternehmensfinanzen, selbst wenn das natürlich auch nicht immer perfekt funktioniert, siehe Wirecard. Aber dann gäbe es immerhin deutlich mehr Druck, etwa wenn man sicherstellt, dass die Zertifizierungsbude ihre Lizenz verliert, wenn sich später rausstellt, dass es bei einem geprüften Unternehmen doch massenhafte Rechtsverletzungen gab. So hätte man genug Druck auf allen Playern, dass sie ihre Arbeit vernünftig machen. Den meisten Menschen in Deutschland dürfte doch wichtiger sein, dass das Scoring-Modell der Schufa regelmäßig vernünftig geprüft wird, als dass deren interne Bilanzen geprüft werden.

Für die Großen müssten auch andere Transparenzpflichten gelten, die müssten viel detaillierter offenlegen, was sie mit unseren Daten machen.

Was du hier gerade skizziert hast, kursiert in der Datenschutzszene seit einiger Zeit manchmal als „Schrems-Voss-Vorschlag“. Der CDU-Digitalpolitiker Axel Vosshatte nämlich etwas in dieser Richtung auf LinkedIn gepostet. Habt ihr das zusammen ausgearbeitet?

Das sind alles Dinge, die ich schon seit zehn Jahren vorschlage, da ist eigentlich nichts Neues dran. Es gab neulich eine Diskussionsveranstaltung mit Axel Voss. Eigentlich stehen wir uns politisch eher nicht nahe, aber er hat bei diesen Punkten vieles ähnlich gesehen. Das freut mich natürlich, weil ich finde, dass das die Eleganz dieser Vorschläge gerade in Zeiten polarisierter Politik ist, dass sie eben soweit logisch und sinnvoll sind, dass sie auch von Konservativen geteilt werden. Es gibt sicher zehn oder zwanzig Prozent im Datenschutz, da kommen wir nicht zusammen. Aber konzentrieren wir uns doch erst mal auf die achtzig Prozent, bei denen eine schnelle und breite Einigung möglich ist. Über den Rest können für uns dann noch immer streiten.

„Mit KI wird zum ersten Mal Realität, wovor der Datenschutz uns schützen sollte“

Jetzt sieht die Realität ganz anders aus: Mit dem sogenannten „digitalen Omnibus“ will die EU-Kommission Teile der DSGVO in großer Eile und ohne Konsens-Suche ändern. Ihr bei noyb kritisiert die Pläne hart.

Viele Teile des digitalen Omnibusses wurde offenbar von Leuten geschrieben, die keine Ahnung von der DSGVO oder Praxis haben. Wir sehen hier wirklich einen teilweisen Zusammenbruch der Fachbeamtenschaft in Brüssel. Der Vorschlag erfüllt nicht mal den Zweck, für den er gemacht wurde, nämlich die Wirtschaft zu fördern. Die Logik der meisten Lobbyisten in Brüssel ist: Je schwammiger das Gesetz, desto besser für die Unternehmen. Für den Großteil der Wirtschaft wird das aber nichts bringen.

Unsere Umfragen unter betrieblichen Datenschutzbeauftragten zeigen, dass Unsicherheit genau das ist, was sie nicht brauchen. Sie brauchen klare Regeln. Von Schwammigkeit profitieren nur große Konzerne mit starken Rechtsabteilungen. Aber für die europäische Wirtschaft, die hauptsächlich aus Mittelständlern und kleinen Unternehmen besteht, ist das Gift. Das gilt auch für die vorgeschlagenen Regelungen zu KI und Datenschutz.

Die EU-Kommission will klarstellen, dass KI-Systeme mit personenbezogenen Daten trainiert und betrieben werden dürfen, ohne dass die Betroffenen eingewilligt haben. Rechtsgrundlage wäre dann das „berechtigte Interesse“, Nutzer:innen hätten die Möglichkeit zum Opt-Out.

Dabei bleiben aber die Anforderungen der DSGVO an die Interessenabwägung im Einzelfall bestehen – man weiß also weiterhin nicht, was jetzt legal ist und was nicht. Wenn man den kleinen und europäischen Unternehmen wirklich helfen will, dann würde man eine klare, neue Regelung einführen: Diese zehn Punkte müssen erfüllt werden, wenn man mit Kundendaten KI trainieren will. Wenn man die Anforderungen erfüllt, ist es legal – und wenn nicht, dann nicht.

Wie sähe das konkret aus?

Es bräuchte zum Beispiel Datenreinigung nach dem Stand der Technik. Es bräuchte Löschkonzepte. Es bräuchte eine Verpflichtung, das System zu re-trainieren, wenn es trotz Datenreinigung im Ausnahmefall problematische Daten ausspuckt, so wie neulich, als ein Chatbot eine Person als Mörder diffamiert hat. Das wäre wahrscheinlich machbar, wenn auch mit hohen Hürden. Aber wir haben mit KI zum ersten Mal eine Situation, in der Realität wird, wovor uns der Datenschutz ursprünglich schützen sollte.

Das musst du erklären. Inwiefern?

Die Grundprinzipien der DSGVO stammen aus den 70er- und 80er-Jahren. Damals gab es die Sorge, dass es irgendwann ein technisches System geben könnte, das viele Daten aufsaugt, darauf basierend Entscheidungen über uns trifft und niemand kann nachvollziehen, warum. Genau das macht KI. Um uns vor so etwas zu schützen, wurden damals Datenschutzrechte wie die Zweckbindung, Transparenz, Datenrichtigkeit oder Datenminimierung etabliert.

Daten, die man zu einem Zweck hergegeben hat, sollen nicht einfach für etwas anderes verwendet werden. Wenn am Ende etwas Falsches rauskommt, hat man ein Recht auf Berichtigung. Und man hat ein Auskunftsrecht, um herauszufinden, welche Daten eingeflossen sind. All diese Rechte ergeben bei KI-Systemen jetzt das erste Mal so richtig Sinn. Und genau jetzt sollen sie abgeräumt werden, weil sie KI im Weg stehen?! Das ist so, als hätten wir Geschwindigkeitsbegrenzungen festgelegt, als wir noch Pferdekutschen hatten, und jetzt, wo der Porsche da ist, schaffen wir sie einfach ab – weil sie der „Innovation“ im Weg stehen.

„Wir haben nahezu einen Totalausfall der Datenschutzbehörden“

Du sieht auch bei Rechtsdurchsetzung des Datenschutzes Reformbedarf. Wo liegt hier das Problem?

Eines der Probleme ist der nahezu Totalausfall der Datenschutzbehörden. Es gibt natürlich Ausnahmen, aber den meisten fehlt der politische Wille, es fehlen die budgetären Mittel oder das kompetente Personal. Die Leitungsposten der Behörden werden immer öfter nicht unabhängig, sondern politisch besetzt. Eine zweite Amtszeit gibt es nur bei einem wirtschaftsfreundlichen Kurs. Das führt dazu, dass es in Europa nicht mal bei 1,3 Prozent der DSGVO-Beschwerden überhaupt zu einem Bußgeld kommt. Inzwischen herrscht eine Logik des Rechtsbruches vor. In der juristischen Bubble interessiert die DSGVO keine Sau mehr, weil der Anwalt, der dich berät, mehr kostet als die potenzielle Strafe.

Die Gerichte sind auch ein Problem. Viele Richter bekommen erst mal Panik, wenn sie von Computern und DSGVO hören, denn das hatten sie nie an der Uni. Dann lesen sie die Zeitung und haben alle das Gefühl, dass die böse DSGVO viel zu hart für Unternehmen ist. Das führt dazu, dass man viele DSGVO-Verfahren verliert, nicht aus rechtlichen, sondern aus emotionalen Gründen. Immer wieder streichen Gerichte auch die Entscheidungen der Behörden und deren Bußgelder zusammen.

Den Unternehmen kommt zugute, dass Gerichtsverfahren in den meisten EU-Ländern teuer sind. Wenn die Aufsicht wegen einer Entscheidung vor Gericht gezerrt wird, dann fast ausschließlich von Unternehmen und fast nie von Betroffenen. Das hat einen Chilling-Effekt auf die Aufsichtsbehörden: Vor Bürgern brauchen sie sich nicht fürchten, vor Unternehmen schon. Ergo: Lieber mal nichts tun.

Hast du zum Schluss noch einen Lichtblick, was dir im Datenschutz gerade Hoffnung macht?

Erstens die Grundrechtecharta. Datenschutz ist in der EU ein Grundrecht und der Kernbereich kann nicht abgeschafft werden, sofern nicht plötzlich alle EU-Mitgliedstaaten einstimmig die Charta ändern.

Zweitens die Möglichkeit eines zivilrechtlichen Vorgehens bei Datenschutzverstößen und die neuen EU-Sammelklagen. Wir sind damit irgendwann nicht mehr auf die Datenschutzbehörden angewiesen. Ich finde das politisch nicht schön, hier auch mit Sammelklagen anzufangen. Lieber wäre mir, wenn alles von vorneherein rechtskonform ist und die Aufsichtsbehörden das auch sicherstellen, statt dass man im Nachhinein bei Problemen auf Schadenersatz klagt. Aber das ist leider eine Sprache, die auch die großen US-Konzerne verstehen. Selbst bei kleinen Schadensersatzsummen von wenigen hundert Euro kommt man bei Millionen Betroffenen schnell auf interessante Summen.

Wir haben das mit noyb in Österreich auch schon mal getestet, da haben uns viele gesagt: Ich will das Geld gar nicht, ich will nur, dass man mal was gegen die Konzerne macht. Das war also ein sehr anderes Bild als das der geldgierigen Kläger, das manche zeichnen. Das hat mich sehr ermutigt.

Vielen Dank für deine Arbeit und das Gespräch.

Ingo Dachwitz ist Journalist und Kommunikationswissenschaftler. Seit 2016 ist er Redakteur bei netzpolitik.org und u.a. Ko-Host des Podcasts Off/On. Er schreibt häufig über Datenmissbrauch und Datenschutz, Big Tech, Plattformregulierung, Transparenz, Lobbyismus, Online-Werbung, Wahlkämpfe und die Polizei. 2024 wurde er mit dem Alternativen Medienpreis und dem Grimme-Online-Award ausgezeichnet. Ingo ist Mitglied des Vereins Digitale Gesellschaft sowie der Evangelischen Kirche. Seit 02/2025 ist sein Buch erhältlich: “Digitaler Kolonialismus: Wie Tech-Konzerne und Großmächte die Welt unter sich aufteilen”. Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, FragDenStaat. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Dem Silicon Valley näher

„Beim Datenschutz ist Deutschland inzwischen dem Silicon Valley näher als dem Rest der EU“

Die Datenschutzgrundverordnung kann reformiert werden, sagt Max Schrems – aber ganz anders, als die EU es gerade plant. Im Interview erklärt der prominente Datenschützer, warum er keine Hoffnung mehr auf Aufsichtsbehörden setzt und wieso seine Reformvorschläge selbst von Konservativen unterstützt werden.

Max Schrems ist einer der bekanntesten Datenschützer Europas. Noch als Student hatte der junge Jurist den Milliardenkonzern Meta verklagt, später brachte er zwei transatlantische Datenschutzabkommen zu Fall. Inzwischen treibt er gemeinsam mit seiner Nichtregierungsorganisation noyb – kurz für „None of Your Business“ – Datenschutzsünder und Aufsichtsbehörden vor sich her.

Wir trafen den Österreicher zum Interview in einem Wiener Kaffeehaus, um über die Reform des europäischen Datenschutzes zu sprechen. Die bereits länger laufende Debatte hat kürzlich dramatisch an Fahrt aufgenommen, als die EU-Kommission überraschend weitgehende Änderungen an der Datenschutzgrundverordnung (DSGVO) vorschlug. Der sogenannte digitale Omnibus bekommt von Datenschützer:innen viel Kritik.

Dabei bräuchte es tatsächlich eine Reform der Datenschutzgrundverordnung, sagt Max Schrems. Sie müsste nur ganz anders ausfallen als das, was die EU nun plant. Im Interview legt der Jurist uns seine Ideen für eine Reform dar, die kleinere und mittlere Unternehmen entlastet, während sie Datenkonzerne strenger reguliert. Eine breite Einigung sei bei dem Thema möglich, sie müsse nur gesucht werden.

„Die DSGVO liegt jetzt auf dem Tisch“

In der Debatte um eine europäische Datenschutzreform gibt es drei Lager: Die einen sagen, die Datenschutzgrundverordnung an sich sei super und müsse nur besser durchgesetzt werden. Andere sagen, die DSGVO sei das Schlimmste, was der europäischen Wirtschaft je passiert ist, und müsse massiv zurückgebaut werden. Und dann gibt es da noch ein relativ kleines Lager irgendwo dazwischen, das sagt: Reform ja, aber bitte richtig gemacht.

Zu diesem wirklich sehr kleinen Lager gehöre ich. Es gibt ja wenige, die sagen, die DSGVO soll nicht geändert werden, weil sie so perfekt ist. Das Argument basiert eher auf der Angst vor dem, was dann kommt. Denn dann hätten wir wieder den riesigen Lobby-Fight wie vor zehn Jahren bei der Einführung der DSGVO, aber unter ganz anderen Vorzeichen. Die Sorge ist auch völlig berechtigt, wenn wir schauen, was gerade mit dem digitalen Omnibus passiert. Der Damm ist aber leider bereits gebrochen. Nächstes Jahr soll es noch einen Digital-Fitness-Check geben. Das heißt, die DSGVO liegt jetzt auf jeden Fall auf dem Tisch. Und da müssen wir auf sinnvolle Verbesserungen statt auf einen Kahlschlag hinarbeiten.

Also, was tun?

Zuerst müssen wir auf den begrenzten Spielraum hinweisen, den der Artikel 8 zum Schutz personenbezogener Daten in der Europäischen Grundrechtecharta lässt. Dinge wie Zweckbindung, Einwilligung, Auskunftsrecht und weiteres sind dort einzeln aufgelistet. Man kann sie also gar nicht ohne weiteres abschaffen. Der Gesetzgeber kann sie besser oder schlechter ausgestalten und vielleicht bekommen wir ein ausgehöhltes Grundrecht. Aber die DSGVO ist heute schon eine ziemliche Mindestumsetzung. Man kann überlegen, welche administrativen Auflagen wirklich notwendig sind, aber bei den Rechten der Leute gibt es nicht viel „Goldplating“ obendrauf.

Deutschland und der Datenschutz

Wenn es so wenig „Edel-Regulierung“ über das benötigte Maß hinaus gibt, woher kommt dann das Image der DSGVO als dramatische Überregulierung?

Das schlechte Image der DSGVO ist ganz stark ein deutsches Phänomen, im Blick auf den Datenschutz ist Deutschland dem Silicon Valley näher als dem Rest der EU. Ich reise für Vorträge durch ganz Europa und dass man fast mit Tomaten beworfen wird, wenn man „Datenschutz“ sagt, das gibts nur in Deutschland. Findet die französische Wirtschaft die DSGVO besonders toll? Natürlich nicht. Aber einen Weltuntergang sieht sie darin auch nicht. In Deutschland ist der Datenschutz der Blitzableiter dafür geworden, dass man das mit der Digitalisierung nicht schafft. Ein ganz banales Beispiel: In Deutschland hat fast keiner eine eID, in Österreich sind wir viel weiter. Auch in Skandinavien funktioniert Digitalisierung, alles mit DSGVO.

Wie kommt es zu diesem Sonderweg? Datenschutz galt ja mal als deutsche Erfindung.

Ich glaube, das sind mehrere Faktoren. In Deutschland gibt es eine riesige Compliance-Industrie, die immer neue „Probleme“ zum Überleben braucht. Mir hat mal einer der großen Compliance-Anbieter gesagt: „Herr Schrems, Sie müssen verstehen, Compliance-Bedarf gibt es nicht – Compliance-Bedarf wird kreiert.“ Also hält man hunderte Vorträge, wie schlimm das alles ist mit dem Datenschutz, und dann müssen alle armen Unternehmen schnell in die Compliance-Beratung kommen. Mit der DSGVO ist ein riesiger Kropf an sehr schlechter Beratung entstanden – aus dieser Beratung kommt dann auch oft irgendein angebliches „Verbot“, das gar nicht in der DSGVO steht.

Hinzu kommt, dass die DSGVO dank der Cookie-Banner das einzige Digitalgesetz ist, das alle kennen. Mir kommt es so vor, dass sich in Deutschland schlussendlich eine Kultur entwickelt hat, dass man mehr Freude am Problem als an der Lösung hat – dafür eignet sich Datenschutz super. Zusammengenommen hat man damit einen perfekten Sturm im Wasserglas.

Von den Cookie-Bannern sind alle genervt, weil sie keine echte Selbstbestimmung ermöglichen und ständig weggeklickt werden müssen.

Beim Datenschutz ist das Narrativ, mit dem Nutzerinnen jeden Tag zu tun haben, leider komplett den Unternehmen überlassen. Es ist deren Entscheidung, dass sie das Design so scheiße machen, dass man am Ende genervt möglichst auf „Alles akzeptieren“ klickt. Die Industrie nennt das euphemistisch „Consent Optimization“. Aber verantwortlich gemacht wird der europäische Gesetzgeber. Genau wie bei den E-Mails, die damals zum Start der DSGVO alle Unternehmen geschickt haben. Da hieß es immer: „Wegen der DSGVO brauchen wir jetzt ihre Einwilligung“. Ehrlich wäre gewesen: „Wir verarbeiten seit Jahren illegal Ihre Daten ohne Einwilligung, aber jetzt haben wir Panik, deshalb brauchen wir jetzt schnell noch Ihre Einwilligung.“

Mehr Regulierung für Datenkonzerne, weniger für kleine Unternehmen

Wo müsste eine Reform ansetzen?

Das Wichtigste ist, dass wir die mangelnde Differenzierung durch den One-Size-Fits-All-Ansatz wegkriegen. Dass die DSGVO allen Akteuren die gleichen Anforderungen vorschreibt, hatte die Industrie damals in den Verhandlungen zur DSGVO durchgesetzt. Das Lobbying in Brüssel wird von den ganz Großen dominiert und die haben sich gedacht: Mittelschwere Regeln für alle sind besser als einfachere Regeln für kleine Player, aber Hardcore-Regeln für uns. Und dann war natürlich immer das Argument, dass der Bäcker an der Ecke nicht zu sehr leiden darf, weshalb diese einheitlichen Regeln lieber ein niedriges Niveau haben sollten. Am Ende ist es nun so, als gäbe es nur einen Führerschein, und den braucht man als LKW-Fahrer sowie als Fünfjähriger, der gerade Fahrradfahren lernt.

Wie sähe eine abgestufte Variante aus?

Ich denke an ein Drei-Stufen-Modell. Da hätte man härtere Regeln für die paar Unternehmen, deren Geschäft im Kern auf Daten basiert, von den großen Plattformen über Datenhändler bis zur Schufa. Für ein paar Prozent anderer großer Unternehmen, die einfach viele Daten oder sensible Daten haben, würde eine mittlere Variante gelten – so etwa die jetzige DSGVO. Und für 90 Prozent der Wirtschaft, die fast nichts mit Daten machen, außer ihren Betrieb aufrechtzuerhalten, könnte man den Verwaltungsaufwand im Großen und Ganzen abdrehen. Natürlich müssen die Kernregeln beibehalten werden, aber zum Beispiel bei Dokumentationspflicht ginge viel – da steckt auch die meiste sinnlose Arbeit für Unternehmen drin.

Wie würde die Entlastung konkret aussehen?

Wir haben eine Umfrage mit 500 betrieblichen Datenschutzbeauftragten gemacht und sie gefragt, welche Bereiche ihren Unternehmen viel Arbeit machen und welche viel Schutz bringen. Und da hat sich gezeigt, dass man unter anderem auf viele Dokumentationspflichten verzichten könnte. Die sind ohnehin eher als typischer Brüsseler Kompromiss entstanden: Wenn man schon keine strengen Regeln einführt, dann muss man wenigstens viel dokumentieren. Nur bringt das für Unternehmen viel Arbeit und für die Betroffenen keinen einklagbaren Schutz – beide verlieren.

Besser wäre die Einführung einer Beweispflichtumkehr, die gibt es in der DSGVO sogar schon so halb. Unternehmen müssten dann im Streitfall beweisen, dass sie sich an die Vorgaben gehalten haben. Aber wie sie das machen, ist egal. Da bin ich eher libertär: Wie die Unternehmen ihre Compliance intern gestalten, muss der Gesetzgeber nicht regulieren. Wir haben ja auch keine Dokumentationspflicht dafür, dass ich niemanden umbringe.

„Wer die Macht hat, muss die Verantwortung tragen“

Wie könnte man kleinere Unternehmen noch entlasten?

Die DSGVO ist oft sehr abstrakt, was alle ohne Rechtsabteilung überfordert. Da könnten Formblätter und standardisierte Prozesse helfen, um die Komplexität runterzubrechen. Also zum Beispiel ein Standardformular mit den Anforderungen, die man beim Betrieb einer Website erfüllen muss. In Österreich hat es früher Muster- und Standardverordnungen für Dinge gegeben, die jedes KMU macht. Da hat man gesagt: Wenn ihr euch ans Schema F haltet, dann seid ihr auf jeden Fall gesetzeskonform. Das hat kleinen Unternehmen extrem viel Rechtssicherheit gebracht und senkt den Verwaltungsaufwand massiv.

Wenn ich solche Reformideen vorschlage, gibt es übrigens immer eine Gruppe, die gar nichts davon hält: Anwälte und Compliance-Leute, denn die machen mit genau dieser Unsicherheit für Unternehmen sehr viel Geld. Diese Bürokratie wird oft viel mehr zwischen Unternehmen und ihren Beratern produziert als zwischen Betroffenen und Unternehmen.

Auch bei der Compliance zwischen Unternehmen siehst du Vereinfachungspotenzial, wenn zum Beispiel eine Firma Office-Produkte von Microsoft oder Cloud-Dienste von Amazon oder Google nutzt.

Genau, da hat die DSGVO nämlich ein ganz absurdes System, dass nicht Microsoft oder Google oder irgendwelche Cloud-Anbieter direkt unter das Gesetz fallen, sondern du als einzelner Unternehmer einen Vertrag mit ihnen schließt, dass sie sich an das Gesetz halten würden.

Die sogenannten Auftragsdatenverarbeitungsverträge.

In Europa gibt es Millionen dieser Verträge, die alle abgeschlossen, gemanagt und überprüft werden müssen. Der Effekt ist, dass wir zwar eine lokale Schule verklagen können, die illegale Office-Produkte von Microsoft einsetzt, aber Microsoft direkt angreifen können wir nicht. Die Schule hat aber natürlich null Kompetenz, de facto verantwortlich ist eigentlich Microsoft. Selbst Staaten haben aktuell keine Chance, die Verträge zu ändern – sollen aber dafür haften.

Und das ist ein Grundproblem der DSGVO: Schon im römischen Recht sagte man, dass derjenige die Verantwortung tragen soll, der die Macht darüber hat. Bei der DSGVO aber klaffen Macht und Verantwortung auseinander. Was wir bräuchten, wäre eine Datenschutzhaftung der großen Plattformunternehmen, dass sie gesetzeskonforme Produkte anbieten. Das würde extrem viel Druck von den normalen Unternehmen nehmen. Das sind genau die Dinge, wo alle in Europa von ganz konservativer Seite bis zu ganz linker Seite sagen können: Ja, das ergibt Sinn, dass Microsoft und nicht ein KMU dafür haftet. Eine solche Reform könnten wir mit wenig Aufwand umsetzen.

„Eine breite Einigung bei der Reform wäre möglich“

Auf der anderen Seite schlägst du Verschärfungen für Datenkonzerne vor. Wie sähen die aus?

Bei den ganz Großen funktioniert die DSGVO nicht. Da bräuchten wir zusätzliche Instrumente wie eine Gewinnabschöpfung. Die aktuelle Höchststrafe von vier Prozent für Datenschutzverstöße ist weit weniger als das, was Meta & Co. mit der illegalen Datenverarbeitung verdienen. Die sehen das einfach als 4-prozentige Steuer, nicht als Strafe. Die Gewinnabschöpfung bräuchte es schon allein aus Wettbewerbsgründen, damit man nicht mit illegal erwirtschafteten Gewinnen den anderen Wettbewerbern davonläuft.

Was bräuchte es noch?

Extrem wichtig wäre eine Art externe TÜV-Kontrolle. In anderen technisch hochkomplexen Bereichen haben wir Prüfungen an unabhängige Stellen ausgelagert. Wenn zum Beispiel eine Lift-Anlage oder auch nur ein Auto betrieben wird. Im Datenschutz gibt es aktuell praktisch nur interne Prüfungen, wo alles durchgewunken wird, was der Chef will. Theoretisch gibt es die Aufsichtsbehörden, die aber weder die nötige technische Fachkompetenz noch die Kapazitäten für umfangreiche Prüfungen haben. Zunehmend merkt man auch, dass einige Behörden politisch nicht prüfen wollen.

Eigentlich müsste das so laufen wie bei der jährlichen Prüfung von Unternehmensfinanzen, selbst wenn das natürlich auch nicht immer perfekt funktioniert, siehe Wirecard. Aber dann gäbe es immerhin deutlich mehr Druck, etwa wenn man sicherstellt, dass die Zertifizierungsbude ihre Lizenz verliert, wenn sich später rausstellt, dass es bei einem geprüften Unternehmen doch massenhafte Rechtsverletzungen gab. So hätte man genug Druck auf allen Playern, dass sie ihre Arbeit vernünftig machen. Den meisten Menschen in Deutschland dürfte doch wichtiger sein, dass das Scoring-Modell der Schufa regelmäßig vernünftig geprüft wird, als dass deren interne Bilanzen geprüft werden.

Für die Großen müssten auch andere Transparenzpflichten gelten, die müssten viel detaillierter offenlegen, was sie mit unseren Daten machen.

Was du hier gerade skizziert hast, kursiert in der Datenschutzszene seit einiger Zeit manchmal als „Schrems-Voss-Vorschlag“. Der CDU-Digitalpolitiker Axel Vosshatte nämlich etwas in dieser Richtung auf LinkedIn gepostet. Habt ihr das zusammen ausgearbeitet?

Das sind alles Dinge, die ich schon seit zehn Jahren vorschlage, da ist eigentlich nichts Neues dran. Es gab neulich eine Diskussionsveranstaltung mit Axel Voss. Eigentlich stehen wir uns politisch eher nicht nahe, aber er hat bei diesen Punkten vieles ähnlich gesehen. Das freut mich natürlich, weil ich finde, dass das die Eleganz dieser Vorschläge gerade in Zeiten polarisierter Politik ist, dass sie eben soweit logisch und sinnvoll sind, dass sie auch von Konservativen geteilt werden. Es gibt sicher zehn oder zwanzig Prozent im Datenschutz, da kommen wir nicht zusammen. Aber konzentrieren wir uns doch erst mal auf die achtzig Prozent, bei denen eine schnelle und breite Einigung möglich ist. Über den Rest können für uns dann noch immer streiten.

„Mit KI wird zum ersten Mal Realität, wovor der Datenschutz uns schützen sollte“

Jetzt sieht die Realität ganz anders aus: Mit dem sogenannten „digitalen Omnibus“ will die EU-Kommission Teile der DSGVO in großer Eile und ohne Konsens-Suche ändern. Ihr bei noyb kritisiert die Pläne hart.

Viele Teile des digitalen Omnibusses wurde offenbar von Leuten geschrieben, die keine Ahnung von der DSGVO oder Praxis haben. Wir sehen hier wirklich einen teilweisen Zusammenbruch der Fachbeamtenschaft in Brüssel. Der Vorschlag erfüllt nicht mal den Zweck, für den er gemacht wurde, nämlich die Wirtschaft zu fördern. Die Logik der meisten Lobbyisten in Brüssel ist: Je schwammiger das Gesetz, desto besser für die Unternehmen. Für den Großteil der Wirtschaft wird das aber nichts bringen.

Unsere Umfragen unter betrieblichen Datenschutzbeauftragten zeigen, dass Unsicherheit genau das ist, was sie nicht brauchen. Sie brauchen klare Regeln. Von Schwammigkeit profitieren nur große Konzerne mit starken Rechtsabteilungen. Aber für die europäische Wirtschaft, die hauptsächlich aus Mittelständlern und kleinen Unternehmen besteht, ist das Gift. Das gilt auch für die vorgeschlagenen Regelungen zu KI und Datenschutz.

Die EU-Kommission will klarstellen, dass KI-Systeme mit personenbezogenen Daten trainiert und betrieben werden dürfen, ohne dass die Betroffenen eingewilligt haben. Rechtsgrundlage wäre dann das „berechtigte Interesse“, Nutzer:innen hätten die Möglichkeit zum Opt-Out.

Dabei bleiben aber die Anforderungen der DSGVO an die Interessenabwägung im Einzelfall bestehen – man weiß also weiterhin nicht, was jetzt legal ist und was nicht. Wenn man den kleinen und europäischen Unternehmen wirklich helfen will, dann würde man eine klare, neue Regelung einführen: Diese zehn Punkte müssen erfüllt werden, wenn man mit Kundendaten KI trainieren will. Wenn man die Anforderungen erfüllt, ist es legal – und wenn nicht, dann nicht.

Wie sähe das konkret aus?

Es bräuchte zum Beispiel Datenreinigung nach dem Stand der Technik. Es bräuchte Löschkonzepte. Es bräuchte eine Verpflichtung, das System zu re-trainieren, wenn es trotz Datenreinigung im Ausnahmefall problematische Daten ausspuckt, so wie neulich, als ein Chatbot eine Person als Mörder diffamiert hat. Das wäre wahrscheinlich machbar, wenn auch mit hohen Hürden. Aber wir haben mit KI zum ersten Mal eine Situation, in der Realität wird, wovor uns der Datenschutz ursprünglich schützen sollte.

Das musst du erklären. Inwiefern?

Die Grundprinzipien der DSGVO stammen aus den 70er- und 80er-Jahren. Damals gab es die Sorge, dass es irgendwann ein technisches System geben könnte, das viele Daten aufsaugt, darauf basierend Entscheidungen über uns trifft und niemand kann nachvollziehen, warum. Genau das macht KI. Um uns vor so etwas zu schützen, wurden damals Datenschutzrechte wie die Zweckbindung, Transparenz, Datenrichtigkeit oder Datenminimierung etabliert.

Daten, die man zu einem Zweck hergegeben hat, sollen nicht einfach für etwas anderes verwendet werden. Wenn am Ende etwas Falsches rauskommt, hat man ein Recht auf Berichtigung. Und man hat ein Auskunftsrecht, um herauszufinden, welche Daten eingeflossen sind. All diese Rechte ergeben bei KI-Systemen jetzt das erste Mal so richtig Sinn. Und genau jetzt sollen sie abgeräumt werden, weil sie KI im Weg stehen?! Das ist so, als hätten wir Geschwindigkeitsbegrenzungen festgelegt, als wir noch Pferdekutschen hatten, und jetzt, wo der Porsche da ist, schaffen wir sie einfach ab – weil sie der „Innovation“ im Weg stehen.

„Wir haben nahezu einen Totalausfall der Datenschutzbehörden“

Du sieht auch bei Rechtsdurchsetzung des Datenschutzes Reformbedarf. Wo liegt hier das Problem?

Eines der Probleme ist der nahezu Totalausfall der Datenschutzbehörden. Es gibt natürlich Ausnahmen, aber den meisten fehlt der politische Wille, es fehlen die budgetären Mittel oder das kompetente Personal. Die Leitungsposten der Behörden werden immer öfter nicht unabhängig, sondern politisch besetzt. Eine zweite Amtszeit gibt es nur bei einem wirtschaftsfreundlichen Kurs. Das führt dazu, dass es in Europa nicht mal bei 1,3 Prozent der DSGVO-Beschwerden überhaupt zu einem Bußgeld kommt. Inzwischen herrscht eine Logik des Rechtsbruches vor. In der juristischen Bubble interessiert die DSGVO keine Sau mehr, weil der Anwalt, der dich berät, mehr kostet als die potenzielle Strafe.

Die Gerichte sind auch ein Problem. Viele Richter bekommen erst mal Panik, wenn sie von Computern und DSGVO hören, denn das hatten sie nie an der Uni. Dann lesen sie die Zeitung und haben alle das Gefühl, dass die böse DSGVO viel zu hart für Unternehmen ist. Das führt dazu, dass man viele DSGVO-Verfahren verliert, nicht aus rechtlichen, sondern aus emotionalen Gründen. Immer wieder streichen Gerichte auch die Entscheidungen der Behörden und deren Bußgelder zusammen.

Den Unternehmen kommt zugute, dass Gerichtsverfahren in den meisten EU-Ländern teuer sind. Wenn die Aufsicht wegen einer Entscheidung vor Gericht gezerrt wird, dann fast ausschließlich von Unternehmen und fast nie von Betroffenen. Das hat einen Chilling-Effekt auf die Aufsichtsbehörden: Vor Bürgern brauchen sie sich nicht fürchten, vor Unternehmen schon. Ergo: Lieber mal nichts tun.

Hast du zum Schluss noch einen Lichtblick, was dir im Datenschutz gerade Hoffnung macht?

Erstens die Grundrechtecharta. Datenschutz ist in der EU ein Grundrecht und der Kernbereich kann nicht abgeschafft werden, sofern nicht plötzlich alle EU-Mitgliedstaaten einstimmig die Charta ändern.

Zweitens die Möglichkeit eines zivilrechtlichen Vorgehens bei Datenschutzverstößen und die neuen EU-Sammelklagen. Wir sind damit irgendwann nicht mehr auf die Datenschutzbehörden angewiesen. Ich finde das politisch nicht schön, hier auch mit Sammelklagen anzufangen. Lieber wäre mir, wenn alles von vorneherein rechtskonform ist und die Aufsichtsbehörden das auch sicherstellen, statt dass man im Nachhinein bei Problemen auf Schadenersatz klagt. Aber das ist leider eine Sprache, die auch die großen US-Konzerne verstehen. Selbst bei kleinen Schadensersatzsummen von wenigen hundert Euro kommt man bei Millionen Betroffenen schnell auf interessante Summen.

Wir haben das mit noyb in Österreich auch schon mal getestet, da haben uns viele gesagt: Ich will das Geld gar nicht, ich will nur, dass man mal was gegen die Konzerne macht. Das war also ein sehr anderes Bild als das der geldgierigen Kläger, das manche zeichnen. Das hat mich sehr ermutigt.

Vielen Dank für deine Arbeit und das Gespräch.

Ingo Dachwitz ist Journalist und Kommunikationswissenschaftler. Seit 2016 ist er Redakteur bei netzpolitik.org und u.a. Ko-Host des Podcasts Off/On. Er schreibt häufig über Datenmissbrauch und Datenschutz, Big Tech, Plattformregulierung, Transparenz, Lobbyismus, Online-Werbung, Wahlkämpfe und die Polizei. 2024 wurde er mit dem Alternativen Medienpreis und dem Grimme-Online-Award ausgezeichnet. Ingo ist Mitglied des Vereins Digitale Gesellschaft sowie der Evangelischen Kirche. Seit 02/2025 ist sein Buch erhältlich: “Digitaler Kolonialismus: Wie Tech-Konzerne und Großmächte die Welt unter sich aufteilen”. Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, FragDenStaat. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Über Ingo Dachwitz Interview - netzpolitik:

Unter der Kennung "Gastautor:innen" fassen wir die unterschiedlichsten Beiträge externer Quellen zusammen, die wir dankbar im Beueler-Extradienst (wieder-)veröffentlichen dürfen. Die Autor*innen, Quellen und ggf. Lizenzen sind, soweit bekannt, jeweils im Beitrag vermerkt und/oder verlinkt.

Bürgerrechte und Demokratie in Gefahr!

Die rot-schwarze Koalition hat in ihre Koalitionsvereinbarung einen beispiellosen Abbau von bürgerlichen Freiheitsrechten durch Abbau des Datenschutzes in Deutschland und Europa angekündigt. Was sie – ob aus Naivität, Unkenntnis oder böswilliger Absicht – vorhat, nämlich den Bundesländern die Zuständigkeit für den Datenschutz in der Privatwirtschaft zu entziehen, wäre  die Auslieferung aller Einwohner an US-Tech-Konzerne bei gleichzeitiger Preisgabe sämtlicher Möglichkeiten, ihr eigenes Versprechen zu erfüllen, Europa resilienter gegen internationale Bedrohungen im Internet, durch Software und IT-Spionage zu machen.
Sie denken, so dumm kann doch niemand sein? Doch, diese Regierung schon. Selten hat Politik mit so wenig Sachverstand derart inkompetente Schritte zur ökonomischen Selbstenthauptung und Zerstörung der eigenen digitalen Souveränität beschlossen. Prof. Dr. Rainer Mühlhoff, Mathematiker und Philosoph hat auf der Konferenz der Bundes- und Landesdatenschutzbeauftragten in Stuttgart, am 3.11.2025 einen grundlegenden Vortrag gehalten, der die aktuelle Situation im internationalen Datenschutz im Bezug auf die Folgen des aktuellen KI-Hypes nur andeutet. Die Gefahren gehen weit darüber hinaus.

Beunruhigender Befund

Danach ist die Europäische Datenschutz-Grundverordnung völlig unzureichend, um die Möglichkeiten einzuhegen, die sogenannte “Künstliche Intelligenz” auch mit anonymisierten. für die Wissenschaft erhobenen Daten hat. Das ist kein Wunder, denn die DSGVO ist inzwischen zehn Jahre alt. Aber auch die AI (KI) Verordnung der Europäischen Union erweist sich im Angesicht der aktuellen Entwicklungen und Pläne der US-Tech-Konzerne als weitgehend zahnloser Tiger. Und dem will die Koalition noch eine Maulsperre verpassen. Selten offenbarte eine Koalitionsvereinbarung die völlige Inkompetenz  von Abgeordneten beider Regierungsparteien in Sachfragen und gleichzeitig ideologische Verblendung in derart katastrophalem Ausmaß. Was also tun? Bildung hilft – Hören und sehen Sie den Vortrag Professor Rainer Mühlhoffs!

Die Folgen von KI: Gigantischer Energie- und Wasserverbrauch

Denn KI ist viel mehr, als nur ein aktueller ökonomischer Computerhype, um Subventionen abzugreifen und Steuererleichterungen einzukassieren. Die ökologischen und sozialen Folgen werden folgenreicher und zerstörerischer sein, als vielen naiven Chat-GPT-Nutzer:innen klar ist. Während die öffentlichen KIs derzeit mit jeder blödsinnigen Frage bombardiert werden (sollen), steigt deren Energieverbrauch exponentiell an. Die US-Ölindustrie und die Tech-Oligarchen planen einen gigantischen Ausbau der Energieerzeugung unter völliger Mißachtung jeglicher Klimaziele. Die Reaktivierung von havarierten Schrottreaktoren auf Three Mile Island, die bereits begonnen hat,  gehören ebenso dazu, wie die Fracking-Phantasien (“Frack,frack,frack”) Donald Trumps und die Kriegsführung gegen Maduro zur langfristigen Oppupation der riesigen Erdölvorräte Venezuelas für die USA.

Nachtrag am 19.11.25 23.00: Der Datenschutz in der Privatwirtschaft soll nicht nur auf die Bundesbeauftragte übertragen werden, im Haushaltsentwurf sollen 8% von deren Etat eingespart werden. Man gönnt den US- und inländischen Datendieben und Tech-Konzernen ja sonst nichts!

Bürgerrechte und Demokratie in Gefahr!

Die rot-schwarze Koalition hat in ihre Koalitionsvereinbarung einen beispiellosen Abbau von bürgerlichen Freiheitsrechten durch Abbau des Datenschutzes in Deutschland und Europa angekündigt. Was sie – ob aus Naivität, Unkenntnis oder böswilliger Absicht – vorhat, nämlich den Bundesländern die Zuständigkeit für den Datenschutz in der Privatwirtschaft zu entziehen, wäre  die Auslieferung aller Einwohner an US-Tech-Konzerne bei gleichzeitiger Preisgabe sämtlicher Möglichkeiten, ihr eigenes Versprechen zu erfüllen, Europa resilienter gegen internationale Bedrohungen im Internet, durch Software und IT-Spionage zu machen.
Sie denken, so dumm kann doch niemand sein? Doch, diese Regierung schon. Selten hat Politik mit so wenig Sachverstand derart inkompetente Schritte zur ökonomischen Selbstenthauptung und Zerstörung der eigenen digitalen Souveränität beschlossen. Prof. Dr. Rainer Mühlhoff, Mathematiker und Philosoph hat auf der Konferenz der Bundes- und Landesdatenschutzbeauftragten in Stuttgart, am 3.11.2025 einen grundlegenden Vortrag gehalten, der die aktuelle Situation im internationalen Datenschutz im Bezug auf die Folgen des aktuellen KI-Hypes nur andeutet. Die Gefahren gehen weit darüber hinaus.

Beunruhigender Befund

Danach ist die Europäische Datenschutz-Grundverordnung völlig unzureichend, um die Möglichkeiten einzuhegen, die sogenannte “Künstliche Intelligenz” auch mit anonymisierten. für die Wissenschaft erhobenen Daten hat. Das ist kein Wunder, denn die DSGVO ist inzwischen zehn Jahre alt. Aber auch die AI (KI) Verordnung der Europäischen Union erweist sich im Angesicht der aktuellen Entwicklungen und Pläne der US-Tech-Konzerne als weitgehend zahnloser Tiger. Und dem will die Koalition noch eine Maulsperre verpassen. Selten offenbarte eine Koalitionsvereinbarung die völlige Inkompetenz  von Abgeordneten beider Regierungsparteien in Sachfragen und gleichzeitig ideologische Verblendung in derart katastrophalem Ausmaß. Was also tun? Bildung hilft – Hören und sehen Sie den Vortrag Professor Rainer Mühlhoffs!

Die Folgen von KI: Gigantischer Energie- und Wasserverbrauch

Denn KI ist viel mehr, als nur ein aktueller ökonomischer Computerhype, um Subventionen abzugreifen und Steuererleichterungen einzukassieren. Die ökologischen und sozialen Folgen werden folgenreicher und zerstörerischer sein, als vielen naiven Chat-GPT-Nutzer:innen klar ist. Während die öffentlichen KIs derzeit mit jeder blödsinnigen Frage bombardiert werden (sollen), steigt deren Energieverbrauch exponentiell an. Die US-Ölindustrie und die Tech-Oligarchen planen einen gigantischen Ausbau der Energieerzeugung unter völliger Mißachtung jeglicher Klimaziele. Die Reaktivierung von havarierten Schrottreaktoren auf Three Mile Island, die bereits begonnen hat,  gehören ebenso dazu, wie die Fracking-Phantasien (“Frack,frack,frack”) Donald Trumps und die Kriegsführung gegen Maduro zur langfristigen Oppupation der riesigen Erdölvorräte Venezuelas für die USA.

Nachtrag am 19.11.25 23.00: Der Datenschutz in der Privatwirtschaft soll nicht nur auf die Bundesbeauftragte übertragen werden, im Haushaltsentwurf sollen 8% von deren Etat eingespart werden. Man gönnt den US- und inländischen Datendieben und Tech-Konzernen ja sonst nichts!

Bürgerrechte und Demokratie in Gefahr!

Die Rot-Schwarze Koalition hat in ihre Koalitionsvereinbarung einen beispiellosen Abbau von bürgerlichen Freiheitsrechten durch Abbau des Datenschutzes in Deutschland und Europa angekündigt. Was sie – ob aus Naivität, Unkenntnis oder böswilliger Absicht – vorhat, nämlich den Bundesländern die Zuständigkeit für den Datenschutz in der Privatwirtschaft zu entziehen, wäre  die Auslieferung aller Einwohner an US-Tech-Konzerne bei gleichzeitiger Preisgabe sämtlicher Möglichkeiten, ihr eigenes Versprechen zu erfüllen, Europa resilienter gegen internationale Bedrohungen im Internet, durch Software und IT-Spionage zu machen.
Sie denken, so dumm kann doch niemand sein? Doch, diese Regierung schon. Selten hat Politik mit so wenig Sachverstand derart inkompetente Schritte zur ökonomischen Selbstenthauptung und Zerstörung der eigenen digitalen Souveränität beschlossen. Prof. Dr. Rainer Mühlhoff, Mathematiker und Philosoph hat auf der Konferenz der Bundes- und Landesdatenschutzbeauftragten in Stuttgart, am 3.11.2025 einen grundlegenden Vortrag gehalten, der die aktuelle Situation im internationalen Datenschutz im Bezug auf die Folgen des aktuellen KI-Hypes nur andeutet. Die Gefahren gehen weit darüber hinaus.

Beunruhigender Befund

Danach ist die Europäische Datenschutz-Grundverordnung völlig unzureichend, um die Möglichkeiten einzuhegen, die sogenannte “Künstliche Intelligenz” auch mit anonymisierten. für die Wissenschaft erhobenen Daten hat. Das ist kein Wunder, denn die DSGVO ist inzwischen zehn Jahre alt. Aber auch die AI (KI) Verordnung der Europäischen Union erweist sich im Angesicht der aktuellen Entwicklungen und Pläne der US-Tech-Konzerne als weitgehend zahnloser Tiger. Und dem will die Koalition noch eine Maulsperre verpassen. Selten offenbarte eine Koalitionsvereinbarung die völlige Inkompetenz  von Abgeordneten beider Regierungsparteien in Sachfragen und gleichzeitig ideologische Verblendung in derart katastrophalem Ausmaß. Was also tun? Bildung hilft – Hören und sehen Sie den Vortrag Professor Rainer Mühlhoffs!

Die Folgen von KI: Gigantischer Energie- und Wasserverbrauch

Denn KI ist viel mehr, als nur ein aktueller ökonomischer Computerhype, um Subventionen abzugreifen und Steuererleichterungen einzukassieren. Die ökologischen und sozialen Folgen werden folgenreicher und zerstörerischer sein, als vielen naiven Chat-GPT-Nutzer:innen klar ist. Während die öffentlichen KI’s derzeit mit jeder blödsinnigen Frage bombardiert werden (sollen), steigt deren Energieverbrauch exponentiell an. Die US-Ölindustrie und die Tech-Oligarchen planen einen gigantischen Ausbau der Energieerzeugung unter völliger Mißachtung jeglicher Klimaziele. Die Reaktivierung von havarierten Schrottreaktoren auf Three Mile Island, die bereits begonnen hat,  gehören ebenso dazu, wie die Fracking-Phantasien (“Frack,frack,frack”) Donald Trumps und die Kriegsführung gegen Maduro zur langfristigen Oppupation der riesigen Erdölvorräte Venezuelas für die USA.

Über Roland Appel:

Roland Appel ist Publizist und Unternehmensberater, Datenschutzbeauftragter für mittelständische Unternehmen und tätig in Forschungsprojekten. Er war stv. Bundesvorsitzender der Jungdemokraten und Bundesvorsitzender des Liberalen Hochschulverbandes, Mitglied des Bundesvorstandes der FDP bis 1982. Ab 1983 innen- und rechtspolitscher Mitarbeiter der Grünen im Bundestag. Von 1990-2000 Landtagsabgeordneter der Grünen NRW, ab 1995 deren Fraktionsvorsitzender. Seit 2019 ist er Vorsitzender der Radikaldemokratischen Stiftung, dem Netzwerk ehemaliger Jungdemokrat*innen/Junge Linke. Er arbeitet und lebt im Rheinland. Mehr über den Autor.... Sie können dem Autor auch im #Fediverse folgen unter: @[email protected]

Bürgerrechte und Demokratie in Gefahr!

Die Rot-Schwarze Koalition hat in ihre Koalitionsvereinbarung einen beispiellosen Abbau von bürgerlichen Freiheitsrechten durch Abbau des Datenschutzes in Deutschland und Europa angekündigt. Was sie – ob aus Naivität, Unkenntnis oder böswilliger Absicht – vorhat, nämlich den Bundesländern die Zuständigkeit für den Datenschutz in der Privatwirtschaft zu entziehen, wäre  die Auslieferung aller Einwohner an US-Tech-Konzerne bei gleichzeitiger Preisgabe sämtlicher Möglichkeiten, ihr eigenes Versprechen zu erfüllen, Europa resilienter gegen internationale Bedrohungen im Internet, durch Software und IT-Spionage zu machen.
Sie denken, so dumm kann doch niemand sein? Doch, diese Regierung schon. Selten hat Politik mit so wenig Sachverstand derart inkompetente Schritte zur ökonomischen Selbstenthauptung und Zerstörung der eigenen digitalen Souveränität beschlossen. Prof. Dr. Rainer Mühlhoff, Mathematiker und Philosoph hat auf der Konferenz der Bundes- und Landesdatenschutzbeauftragten in Stuttgart, am 3.11.2025 einen grundlegenden Vortrag gehalten, der die aktuelle Situation im internationalen Datenschutz im Bezug auf die Folgen des aktuellen KI-Hypes nur andeutet. Die Gefahren gehen weit darüber hinaus.

Beunruhigender Befund

Danach ist die Europäische Datenschutz-Grundverordnung völlig unzureichend, um die Möglichkeiten einzuhegen, die sogenannte “Künstliche Intelligenz” auch mit anonymisierten. für die Wissenschaft erhobenen Daten hat. Das ist kein Wunder, denn die DSGVO ist inzwischen zehn Jahre alt. Aber auch die AI (KI) Verordnung der Europäischen Union erweist sich im Angesicht der aktuellen Entwicklungen und Pläne der US-Tech-Konzerne als weitgehend zahnloser Tiger. Und dem will die Koalition noch eine Maulsperre verpassen. Selten offenbarte eine Koalitionsvereinbarung die völlige Inkompetenz  von Abgeordneten beider Regierungsparteien in Sachfragen und gleichzeitig ideologische Verblendung in derart katastrophalem Ausmaß. Was also tun? Bildung hilft – Hören und sehen Sie den Vortrag Professor Rainer Mühlhoffs!

Die Folgen von KI: Gigantischer Energie- und Wasserverbrauch

Denn KI ist viel mehr, als nur ein aktueller ökonomischer Computerhype, um Subventionen abzugreifen und Steuererleichterungen einzukassieren. Die ökologischen und sozialen Folgen werden folgenreicher und zerstörerischer sein, als vielen naiven Chat-GPT-Nutzer:innen klar ist. Während die öffentlichen KI’s derzeit mit jeder blödsinnigen Frage bombardiert werden (sollen), steigt deren Energieverbrauch exponentiell an. Die US-Ölindustrie und die Tech-Oligarchen planen einen gigantischen Ausbau der Energieerzeugung unter völliger Mißachtung jeglicher Klimaziele. Die Reaktivierung von havarierten Schrottreaktoren auf Three Mile Island, die bereits begonnen hat,  gehören ebenso dazu, wie die Fracking-Phantasien (“Frack,frack,frack”) Donald Trumps und die Kriegsführung gegen Maduro zur langfristigen Oppupation der riesigen Erdölvorräte Venezuelas für die USA.

Über Roland Appel:

Roland Appel ist Publizist und Unternehmensberater, Datenschutzbeauftragter für mittelständische Unternehmen und tätig in Forschungsprojekten. Er war stv. Bundesvorsitzender der Jungdemokraten und Bundesvorsitzender des Liberalen Hochschulverbandes, Mitglied des Bundesvorstandes der FDP bis 1982. Ab 1983 innen- und rechtspolitscher Mitarbeiter der Grünen im Bundestag. Von 1990-2000 Landtagsabgeordneter der Grünen NRW, ab 1995 deren Fraktionsvorsitzender. Seit 2019 ist er Vorsitzender der Radikaldemokratischen Stiftung, dem Netzwerk ehemaliger Jungdemokrat*innen/Junge Linke. Er arbeitet und lebt im Rheinland. Mehr über den Autor.... Sie können dem Autor auch im #Fediverse folgen unter: @[email protected]

Bürgerrechte und Demokratie in Gefahr!

Die Rot-Schwarze Koalition hat in ihre Koalitionsvereinbarung einen beispiellosen Abbau von bürgerlichen Freiheitsrechten durch Abbau des Datenschutzes in Deutschland und Europa angekündigt. Was sie – ob aus Naivität, Unkenntnis oder böswilliger Absicht – vorhat, nämlich den Bundesländern die Zuständigkeit für den Datenschutz in der Privatwirtschaft zu entziehen, wäre  die Auslieferung aller Einwohner an US-Tech-Konzerne bei gleichzeitiger Preisgabe sämtlicher Möglichkeiten, ihr eigenes Versprechen zu erfüllen, Europa resilienter gegen internationale Bedrohungen im Internet, durch Software und IT-Spionage zu machen.
Sie denken, so dumm kann doch niemand sein? Doch, diese Regierung schon. Selten hat Politik mit so wenig Sachverstand derart inkompetente Schritte zur ökonomischen Selbstenthauptung und Zerstörung der eigenen digitalen Souveränität beschlossen. Prof. Dr. Rainer Mühlhoff, Mathematiker und Philosoph hat auf der Konferenz der Bundes- und Landesdatenschutzbeauftragten in Stuttgart, am 3.11.2025 einen grundlegenden Vortrag gehalten, der die aktuelle Situation im internationalen Datenschutz im Bezug auf die Folgen des aktuellen KI-Hypes nur andeutet. Die Gefahren gehen weit darüber hinaus.

Beunruhigender Befund

Danach ist die Europäische Datenschutz-Grundverordnung völlig unzureichend, um die Möglichkeiten einzuhegen, die sogenannte “Künstliche Intelligenz” auch mit anonymisierten. für die Wissenschaft erhobenen Daten hat. Das ist kein Wunder, denn die DSGVO ist inzwischen zehn Jahre alt. Aber auch die AI (KI) Verordnung der Europäischen Union erweist sich im Angesicht der aktuellen Entwicklungen und Pläne der US-Tech-Konzerne als weitgehend zahnloser Tiger. Und dem will die Koalition noch eine Maulsperre verpassen. Selten offenbarte eine Koalitionsvereinbarung die völlige Inkompetenz  von Abgeordneten beider Regierungsparteien in Sachfragen und gleichzeitig ideologische Verblendung in derart katastrophalem Ausmaß. Was also tun? Bildung hilft – Hören und sehen Sie den Vortrag Professor Rainer Mühlhoffs!

Die Folgen von KI: Gigantischer Energie- und Wasserverbrauch

Denn KI ist viel mehr, als nur ein aktueller ökonomischer Computerhype, um Subventionen abzugreifen und Steuererleichterungen einzukassieren. Die ökologischen und sozialen Folgen werden folgenreicher und zerstörerischer sein, als vielen naiven Chat-GPT-Nutzer:innen klar ist. Während die öffentlichen KI’s derzeit mit jeder blödsinnigen Frage bombardiert werden (sollen), steigt deren Energieverbrauch exponentiell an. Die US-Ölindustrie und die Tech-Oligarchen planen einen gigantischen Ausbau der Energieerzeugung unter völliger Mißachtung jeglicher Klimaziele. Die Reaktivierung von havarierten Schrottreaktoren auf Three Mile Island, die bereits begonnen hat,  gehören ebenso dazu, wie die Fracking-Phantasien (“Frack,frack,frack”) Donald Trumps und die Kriegsführung gegen Maduro zur langfristigen Oppupation der riesigen Erdölvorräte Venezuelas für die USA.

Über Roland Appel:

Roland Appel ist Publizist und Unternehmensberater, Datenschutzbeauftragter für mittelständische Unternehmen und tätig in Forschungsprojekten. Er war stv. Bundesvorsitzender der Jungdemokraten und Bundesvorsitzender des Liberalen Hochschulverbandes, Mitglied des Bundesvorstandes der FDP bis 1982. Ab 1983 innen- und rechtspolitscher Mitarbeiter der Grünen im Bundestag. Von 1990-2000 Landtagsabgeordneter der Grünen NRW, ab 1995 deren Fraktionsvorsitzender. Seit 2019 ist er Vorsitzender der Radikaldemokratischen Stiftung, dem Netzwerk ehemaliger Jungdemokrat*innen/Junge Linke. Er arbeitet und lebt im Rheinland. Mehr über den Autor.... Sie können dem Autor auch im #Fediverse folgen unter: @[email protected]

„ #Digitaler #Omnibus “:

#EU- #Kommission will #Datenschutzgrundverordnung und #KI-Regulierung schleifen.

In weniger als zwei Wochen will die #EU_Kommission einen umfassenden #Gesetzesvorschlag präsentieren. Der „digitale Omnibus“ würde bestehende #Datenschutz- und #Verbraucherrechte massiv aufweichen. Wir veröffentlichen die Entwürfe der Kommission.

https://netzpolitik.org/2025/digitaler-omnibus-eu-kommission-will-datenschutzgrundverordnung-und-ki-regulierung-schleifen/#netzpolitik-pw

„ #Digitaler #Omnibus “:

#EU- #Kommission will #Datenschutzgrundverordnung und #KI-Regulierung schleifen.

In weniger als zwei Wochen will die #EU_Kommission einen umfassenden #Gesetzesvorschlag präsentieren. Der „digitale Omnibus“ würde bestehende #Datenschutz- und #Verbraucherrechte massiv aufweichen. Wir veröffentlichen die Entwürfe der Kommission.

https://netzpolitik.org/2025/digitaler-omnibus-eu-kommission-will-datenschutzgrundverordnung-und-ki-regulierung-schleifen/#netzpolitik-pw

„ #Digitaler #Omnibus “:

#EU- #Kommission will #Datenschutzgrundverordnung und #KI-Regulierung schleifen.

In weniger als zwei Wochen will die #EU_Kommission einen umfassenden #Gesetzesvorschlag präsentieren. Der „digitale Omnibus“ würde bestehende #Datenschutz- und #Verbraucherrechte massiv aufweichen. Wir veröffentlichen die Entwürfe der Kommission.

https://netzpolitik.org/2025/digitaler-omnibus-eu-kommission-will-datenschutzgrundverordnung-und-ki-regulierung-schleifen/#netzpolitik-pw

„ #Digitaler #Omnibus “:

#EU- #Kommission will #Datenschutzgrundverordnung und #KI-Regulierung schleifen.

In weniger als zwei Wochen will die #EU_Kommission einen umfassenden #Gesetzesvorschlag präsentieren. Der „digitale Omnibus“ würde bestehende #Datenschutz- und #Verbraucherrechte massiv aufweichen. Wir veröffentlichen die Entwürfe der Kommission.

https://netzpolitik.org/2025/digitaler-omnibus-eu-kommission-will-datenschutzgrundverordnung-und-ki-regulierung-schleifen/#netzpolitik-pw

„ #Digitaler #Omnibus “:

#EU- #Kommission will #Datenschutzgrundverordnung und #KI-Regulierung schleifen.

In weniger als zwei Wochen will die #EU_Kommission einen umfassenden #Gesetzesvorschlag präsentieren. Der „digitale Omnibus“ würde bestehende #Datenschutz- und #Verbraucherrechte massiv aufweichen. Wir veröffentlichen die Entwürfe der Kommission.

https://netzpolitik.org/2025/digitaler-omnibus-eu-kommission-will-datenschutzgrundverordnung-und-ki-regulierung-schleifen/#netzpolitik-pw

Zölle gegen Grundrechtsschutz?

Digitalcourage, die NGO, die jährlich den “Big Brother Award” verleiht, hat auf eine der größten Gefahren für die informationelle Selbstbestimmung  in Europa hingewiesen. “Was derzeit im Hintergrund unter der Überschrift ‘Zollstreit mit den USA’ verhandelt wird, ist weit mehr als das – und es geht uns alle an. Das wichtigste europäische Gesetz zur Eindämmung der Marktmacht von Google, Apple, Amazon & Co. – der Digital Markets Act (kurz: DMA) – droht zur Verhandlungsmasse zu werden.”

Das Handelsblatt hat berichtet, US-Konzerne könnten künftig Mitsprache bei der Umsetzung der Gesetze erhalten. Die EU-Kommission bestreitet zwar offiziell, dass die Digitalgesetze – wie der Digital Markets Act, DMA – Teil der Verhandlungen sind, doch hat sie bereits stillschweigend einen ersten Rückzieher gemacht. Die geplante Digitalsteuer für große Techkonzerne soll nun nicht mehr kommen. Entsprechende Vorstöße des deutschen Digitalminiaters sind, diese EU-Recht betreffend, eher ein Ablenkungsmanöver. Die EU in den Verhandlungen lässt ein vorauseilendes Einknicken vor Donald Trump befürchten.

Zölle gegen Grundrechte?

In den Handelsgesprächen wird über weit mehr als Zölle verhandelt. Es geht auch um sogenannte „nicht-tarifäre Handelshemmnisse“. Diese vage Kategorie kann alles umfassen, was Konzernen irgendwie lästig ist. Datenschutz, Verbraucher*innen*schutz oder faire Wettbewerbsbedingungen – alles Werte, die uns wichtig sind und zum Teil – wie DSGVO und daraus abgeleitete EU-Verordnungen- Verfassungsrang haben. Aus Sicht von US-Konzernen wie Meta, Google oder Amazon aber ist der Digital Markets Act nur das: ein Handelshemmnis.

Zentrale Forderungen von Digitalcourage

Digitalcourage befasst sich seit vielen Jahren kritisch mit der Macht von Big Tech. Der Verein hat schon bei der Verleihung der Big BrotherAwards 2013 gefordert:

„Google muss zerschlagen werden!“ Big Tech nutzt derweil intensive Lobbyarbeit und wirtschaftlichen Druck, um jede Form von Regulierung zu verhindern oder zu entkernen.

Die aktuelle Übermacht der US-Tech-Konzerne gefährdet nicht nur den Wettbewerb, sie bedroht durch die enorme Meinungsmacht der Konzerne auch unsere Demokratie. Der Digital Markets Act allein wird diese Probleme nicht lösen, aber er ist ein Anfang. Deshalb darf die EU-Kommission nicht vor Trump einknicken! Und wir alle gemeinsam dürfen nicht zulassen, dass US-Firmen unsere demokratisch beschlossenen Gesetze torpedieren.

Keine Deals um EU-Gesetze gegen Erpressung von US-Oligarchen!

Für uns in Europa ist der Digital Markets Act ein dringend notwendiges Instrument gegen marktbeherrschende Plattformen. Und es gibt ein hoffnungsvolles Signal. Widerstand kommt nicht nur aus der Zivilgesellschaft, sondern auch von vielen kleinen und mittleren europäischen Tech-Unternehmen. Es wäre ein Verrat an der öffentlich erklärten Zielsetzung der EU, gegen ökonomische Angriffe und verteidigungspolitische Erpressungen durch alle potenziellen Ologarchien  – auch die USA –  resilienter zu werden, wenn die EU-Kommission an dieser Stelle einknicken würde. Es soll nach der Legende schon mal andere gegeben haben, die ihre Grundsätze gegen ein Linsengericht verscherbelt haben.

Was alles unter “Bürokratieabbau” getarnt wird

Leider ist der aktuellen Bundesregierung in dieser Sache nicht zu trauen. Denn einer ihrer Schwerpunkte betrifft den “Bürokratieabbau”, der angeblich unsere Wirtschaft lähmt, in Wirklichkeit aber unsere Grundrechte auf Datenschutz und Verbraucherschutz wahrt, indem er mit genau diesen EU-Verordnungen Verfassungsrecht gegen die internationalen Tech-Konzerne durchsetzt. Das ist Trump, Bezos, Musk, Zuckerberg und Co. ein Dorn im Auge und  davor drohen sowohl die EU-Kommission als auch die Bundesregierung einzuknicken.

Über Roland Appel:

Roland Appel ist Publizist und Unternehmensberater, Datenschutzbeauftragter für mittelständische Unternehmen und tätig in Forschungsprojekten. Er war stv. Bundesvorsitzender der Jungdemokraten und Bundesvorsitzender des Liberalen Hochschulverbandes, Mitglied des Bundesvorstandes der FDP bis 1982. Ab 1983 innen- und rechtspolitscher Mitarbeiter der Grünen im Bundestag. Von 1990-2000 Landtagsabgeordneter der Grünen NRW, ab 1995 deren Fraktionsvorsitzender. Seit 2019 ist er Vorsitzender der Radikaldemokratischen Stiftung, dem Netzwerk ehemaliger Jungdemokrat*innen/Junge Linke. Er arbeitet und lebt im Rheinland. Mehr über den Autor.... Sie können dem Autor auch im #Fediverse folgen unter: @[email protected]

#volt #grune
DE Ich rufe die Abgeordneten des #Europäischen #Parlaments auf, GEGEN den Plan der Europäischen #Kommission zu stimmen, die #Datenschutzgrundverordnung zu verwässern
EN I call on all #MEP to vote AGAINST the #EuropeanCommission's plan to dilute the #GDPR
FR Jappelle les députés #européens à voter CONTRE le plan de la #Commission #européenne visant à diluer le GDPR
NL Ik roep de #Europalementariers op om TEGEN het plan van de #EuropeseCommissie om de #AVG te verwateren te stemmen

#OffenerBrief:

#Zivilgesellschaft gegen #Verhandlungen über #europäischen #Datenschutz:

Unter dem Deckmantel des Bürokratie-Abbaus möchte die #EU-Kommission Teile der #Datenschutzgrundverordnung neu verhandeln. Mehr als hundert #zivilgesellschaftliche #Organisationen fürchten, dass dies zum Einfallstor wird, um „hart erkämpfte Rechte“ zurückzunehmen und den #Datenschutz zu verwässern.

https://netzpolitik.org/2025/offener-brief-zivilgesellschaft-gegen-verhandlungen-ueber-europaeischen-datenschutz/#netzpolitik-pw

Werbedatenplattform #Xandr verweigert jede Datenauskunft

Die NGO @noybeu macht nun Druck, damit etwas passiert und reicht Beschwerde ein. Denn Xandr verweigere die Auskunft nach #Datenschutzgrundverordnung.

https://netzpolitik.org/2024/beschwerde-von-noyb-xandr-verweigert-jede-datenauskunft/

#meineDaten #Datenschutz #noybeu #Datenauskunft #Werbeplattform

Werbedatenplattform #Xandr verweigert jede Datenauskunft

Die NGO @noybeu macht nun Druck, damit etwas passiert und reicht Beschwerde ein. Denn Xandr verweigere die Auskunft nach #Datenschutzgrundverordnung.

https://netzpolitik.org/2024/beschwerde-von-noyb-xandr-verweigert-jede-datenauskunft/

#meineDaten #Datenschutz #noybeu #Datenauskunft #Werbeplattform

"Streit um das Verhältnis von #Kirchenrecht und #Datenschutzgrundverordnung"

Vor dem VG Hannover (10 A 1195/21) wurde heute die Klage gegen die Klage gegen die Landesbeauftragte für den #Datenschutz Niedersachsen verhandelt. https://lnkd.in/e52_y3my

Österreichs Polizei darf ihre eigenen Spuren verwischen: Gesetz erlaubt raschere Löschung von Datenzugriffen – https://netzpolitik.org/2018/oesterreichs-polizei-darf-ihre-eigenen-spuren-verwischen-gesetz-erlaubt-raschere-loeschung-von-datenzugriffen/ #Datenschutzanpassungsgesetz #datenschutzgrundverordnung #epicenterworks #HerbertKickl #Überwachung #Datenschutz #Österreich #Polizei #DSGVO #fpö

"Zyklus-Apps verstoßen gegen #Datenschutzrichtlinien

Nutzer:innen von #ZyklusApps sollen auf einfachem Weg erfahren, wie ihre Daten verarbeitet werden. So fordert es die #Datenschutzgrundverordnung. Ein Test der #StiftungWarentest und des #Verbraucherzentrale Bundesverbands zeigen, dass das Gegenteil der Fall ist."

#Datenschutz #PersonenbezogeneDaten #Privacy #DSGVO

https://netzpolitik.org/2023/auskunftsrechte-zyklus-apps-verstossen-gegen-datenschutzrichtlinien/

📬 Datenschutz ade: ChatGPT weiß so ziemlich alles über Dich!
#Datenschutz #KünstlicheIntelligenz #Chatbot #ChatGPT #DatenschutzGrundverordnung #DatenschutzRichtlinie #DSGVO #OnlinePrivatsphäre #OpenAI #RechtaufVergessenwerden #Urheberrecht https://tarnkappe.info/artikel/datenschutz/datenschutz-ade-chatgpt-weiss-so-ziemlich-alles-ueber-dich-265088.html

Ich habe eine Frage an die Datenschützer da draußen im Fediverse

Wenn jemand die Löschung seiner Daten verlangt, müssen diese Daten dann auch von allen Backups entfernt werden?

#DSVGO #Datenschutz - #Grundverordnung #DatenschutzGrundverordnung