Die US-Firma Penlink verkauft Überwachungstechnik, die auf Werbe-Tracking basiert. Nach Trumps Abschiebemiliz ICE hat offenbar auch die ungarische Regierung Lizenzen gekauft. Kurz vor der Wahl könnte sie damit gegen Opposition und Medienschaffende vorgehen.
Viktor Orbán droht bei der Wahl der Machtverlust. – Alle Rechte vorbehalten IMAGO / Anadolu Agency; Bearbeitung: netzpolitik.org
Die ungarische Regierung soll kürzlich Lizenzen für ein Überwachungsprogramm erworben haben, das Menschen mithilfe von Daten aus der Online-Werbeindustrie überwachen und verfolgen kann. Das hat am Donnerstag das ungarische Investigativmedium VSquare berichtet. Das Programm Webloc der US-Firma Penlink soll auf Daten von bis zu 500 Millionen Handys beruhen.
Unsere Untersuchungen zeigen, dass mittlerweile in mehreren Ländern weltweit Militär-, Geheimdienst- und Strafverfolgungsbehörden – bis hinunter zu lokalen Polizeieinheiten – äußerst invasive und rechtlich fragwürdige, werbebasierte Überwachungstechnik ohne richterliche Anordnung oder angemessene Kontrolle einsetzen.
Zu den bekanntesten Kunden von Penlink gehört die paramilitärische US-Abschiebebehörde ICE, die im Auftrag der Trump-Regierung massenhaft Menschen festnehmen und deportieren soll. Sie soll das werbebasierte Überwachungswerkzeug laut Medienberichten unter anderem nutzen können, um gezielt Menschen anhand ihrer Handy-Standorte aufzuspüren.
Laut VSquare und Citizen Lab steht Webloc Ungarn mindestens seit 2022 zur Verfügung; zuletzt habe 2026 eine ungarische Sicherheitsbehörde neue Webloc-Lizenzen erworben. Es wäre der erste bestätigte Kauf eines werbebasierten Überwachungstools durch eine europäische Regierung. Auf unsere Presseanfrage hat die ungarische Regierung bis zum Zeitpunkt der Veröffentlichung nicht reagiert.
Standorte und Interessen: Diese Daten soll Webloc nutzen
Das Werkzeug Webloc ist offenbar eine Erweiterung für ein größeres Überwachungsprodukt namens Tangles. Das berichten die Forschenden des Citizen Lab mit Verweis auf gesammelte Dokumente und Verträge. Webloc soll demnach Zugang zu einem Datenstrom von bis zu 500 Millionen Handys weltweit bieten. Zu den verfügbaren Daten sollen unter anderem gehören:
genaue GPS-Standorte,
die einzigartigen Werbe-Kennungen eines Geräts (mobile advertising IDs, kurz: MAID),
Eckdaten zum Gerät wie Betriebssystem und weitere installierte Apps,
Eckdaten zur Person, die das Gerät nutzt, wie Alter, Geschlecht, Sprache sowie
Eine Presseanfrage von netzpolitik.org zur Datengrundlage von Webloc hat die US-Betreiberfirma Penlink (früher: Cobweb Technologies) nicht beantwortet. Wir können deshalb nicht mit Sicherheit sagen, ob die beschriebene Datengrundlage zutreffend oder aktuell ist.
Die Liste der verfügbaren Daten ist zumindest plausibel. Denn genau solche Daten lassen sich aus der Online-Werbe-Industrie gewinnen. Das zeigen unsere Recherchen zum Datenmarktplatz Xandr, die von Zielgruppen-Segmenten handeln, und zu den Databroker Files, die den Handel mit Standortdaten in den Fokus nehmen.
Solche Daten werden angeblich nur zu Werbezwecken erhoben, etwa beim Bieten auf digitale Werbeplätze, dem Real-Time-Bidding. Weitere Daten können über sogenannte SDKs abfließen; das sind Software-Pakete von Dritten, die Entwickler*innen in ihre Apps einbauen. Nicht alle Akteur*innen der Werbe-Industrie behandeln die Daten vertraulich.
Auf oftmals verschlungenen Wegen landen sie letztlich als Handelsware bei Databrokern – und von dort potenziell bei Unternehmen, die daraus Überwachungswerkzeuge bauen. Diese Form der Überwachung wird auch ADINT genannt, kurz für advertising-based intelligence, werbebasierte Aufklärung.
Bewegungsprofile: Das soll Webloc mit den Daten machen
Webloc soll die Arbeit mit den Daten mithilfe einer grafischen Oberfläche einfach machen, wie aus dem Bericht der Forschenden hervorgeht. Demnach sollen Kund*innen etwa suchen können, welches Handy in einem bestimmten Gebiet – oder in mehreren Gebieten – unterwegs gewesen ist. Außerdem sollen sich Nutzer*innen das Bewegungsprofil einzelner Handys anzeigen lassen können.
Als Beispiel zeigen die Forschenden den Screenshot aus der Produktpräsentation eines Drittanbieters, der die Fähigkeiten von Webloc darlegen soll. Der Screenshot zeigt die angebliche Route eines Handy-Nutzers auf einer Karte, basierend auf 39 Ortungen: Die Reise soll demnach von Deutschland über Österreich nach Ungarn geführt haben.
Zu den Fähigkeiten der Software hat sich Penlink auf Anfrage nicht geäußert. Grundsätzlich lassen sich Handy-Nutzer*innen jedoch mithilfe von Standortdaten der Werbe-Industrie auf genau diese Weise ausspionieren. Das interne Recherche-Werkzeug, das netzpolitik.org und Bayerischer Rundfunk für die Databroker-Files-Recherchen genutzt hat, hatte im Kern die gleichen Fähigkeiten.
Mit einem Werkzeug wie diesem lassen sich gezielt Personen oder Gruppen ins Visier nehmen, etwa Besucher*innen einer politischen Demo; Menschen, die in bestimmten Grenzregionen unterwegs sind, die bestimmte Parteizentralen oder Redaktionen besuchen und vieles mehr. In einem autoritären Regime ist das eine besondere Gefahr unter anderem für Aktivist*innen, Oppositionelle, Journalist*innen oder Migrant*innen.
Den Recherchen von VSquare und dem Citizen Lab zufolge gehörten mindestens drei ungarische Sicherheitsbehörden seit den frühen 2020er-Jahren zu den Kunden von Cobwebs Technologies, das inzwischen unter dem Namen Penlink firmiert: der Inlandsgeheimdienst Constitution Protection Office (AH), das für das Sammeln und Zusammenführen von Geheimdienstdaten zuständige National Information Center (NIC) sowie die Überwachungsbehörde Special Service for National Security (NBSZ).
Zum Portfolio von Cobwebs Technologies / Penlink sollen mehrere Werkzeuge gehören. NBSZ soll zuletzt im März 2026 Lizenzen für das werbebasierte Überwachungswerkzeug Webloc und weitere Programme erworben haben.
Die Enthüllungen kommen zu einem besonderen Zeitpunkt: Am kommenden Sonntag wählt Ungarn ein neues Parlament, und es sieht erstmals seit Langem so aus, als könnten Premier Viktor Orbán und seine Fidesz-Partei die Mehrheit verlieren. Umfragen sehen die TISZA-Partei von Herausforderer Péter Magyar deutlich vorne; nach 16 Jahren droht Orbán der Machtverlust.
Er und seine Fidesz-Partei haben das Land in den vergangenen Jahren zunehmend autoritär regiert. Die Regierung macht unabhängigen Medien und Nichtregierungsorganisationen die Arbeit schwer, hat Veranstaltungen wie die queere Pride-Demonstration in Budapest verbieten lassen und lässt kaum eine Gelegenheit aus, um Hetze zu verbreiten: etwa gegen die EU, die Ukraine, queere Menschen oder den jüdischen Philanthropen George Soros. Im Rahmen der Pegasus-Affäre kam 2021 ans Licht, dass mehrere ungarische Oppositionelle und Medienschaffende mit dem gleichnamigen Staatstrojaner überwacht wurden.
Brisant ist, dass die ungarische Regierung auch gegen den Journalisten Szabols Panyi vorgeht, der für VSquare zusammen mit dem Citizen Lab zu Penlink / Cobwebs Technologies in Ungarn recherchiert. Auch auf seinem Telefon wurde 2021 die Pegasus-Überwachungssoftware entdeckt. Kürzlich berichtete Panyi auf VSquare über zunehmenden russischen Einfluss auf Viktor Orbán – unter anderem soll Moskau ein Team des Militärgeheimdienstes GRU nach Ungarn geschickt haben, um den Wahlkampf mit Desinformation zu beeinflussen. Die Regierung wirft dem Journalisten Spionage für einen ausländischen Staat vor; die Polizei ermittelt gegen ihn.
Ein großes Arsenal digitaler Waffen
Neben ungarischen Behörden soll nach Recherchen des Citizen Lab auch die Polizei in El Salvador Webloc erworben haben, wie der Bericht unter Berufung auf geleakte Dokumente und einen Medienbericht festhält. Das Land wird seit 2019 von Präsident Nayib Bukele regiert, ebenfalls zunehmend autoritär. Eine Presseanfrage von netzpolitik.org ließ die betroffene Polizeibehörde unbeantwortet.
Außerdem listet der Bericht zahlreiche US-Behörden auf, von der lokalen bis zur Bundesebene, die Tangles-Lizenzen erworben haben sollen.
Entwickelt haben soll das werbebasierte Überwachungssystem das israelische Unternehmen Cobwebs Technologies. Es wurde 2023 von der US-Investmentfirma Spire Capital erworben und mit der Überwachungsfirma Penlink fusioniert, unter deren Namen die Geschäfte seitdem weiter laufen.
Neben Webloc sollen Penlink und Cobweb offenbar weitere mächtige Werkzeuge zur digitalen Überwachung im Angebot haben. Das Hauptprodukt heißt dem Bericht des Citizen Lab zufolge Tangles. Es soll etwa Soziale Medien, Foren, Telegram-Gruppen und andere Orte im Netz überwachen können. Kunden können demnach etwa nach Namen, Telefonnummern oder E-Mail-Adressen suchen, um sich online verfügbare Informationen über eine Person anzeigen zu lassen. Dazu zählen auch Posts, Interaktionen mit anderen, besuchte Veranstaltungen oder Beziehungen zu anderen Nutzer*innen. Auch Gesichtserkennung und die automatisierte Analyse von Bildhintergründen, um Orte zu erkennen, sollen zum Produktumfang gehören.
Unsere Presseanfrage zu Tangles und weiteren Produkten ließ Penlink unbeantwortet.
Cobweb soll zumindest bis zur Fusion mit Penlink ein weiteres Produkt namens Trapdoor angeboten haben, berichtet das Citizen Lab. Das Programm wird als „Social-Engeneering-Plattform“ beschrieben, die Kund*innen bei Phishing-Angriffen unterstützen soll. Dem Bericht zufolge könne man mit dem Tool etwa Fake-Websites aufsetzen und Phishing-Links verschicken, um an Informationen und Zugangsdaten von Zielpersonen zu gelangen. Die Forschenden schlussfolgern, mit dem Werkzeug lasse sich die Installation von Malware auf dem Gerät eines Opfers erleichtern.
Das Citizen Lab beschreibt zudem das Cobwebs-Produkt Lynx, mit dem sich digitale Undercover-Operationen und Fake-Accounts in Sozialen Medien managen lassen sollen. Es soll unter anderem genutzt werden können, um sogenannte virtuelle Agenten zu steuern, mit denen Geheimdienste Gruppen im Netz infiltrieren. Auch für Lynx ist ungeklärt, ob es von Penlink übernommen wurde.
Keine Auskunft von der Bundesregierung
Mithilfe von 94 Informationsfreiheitsanfragen wollten die Forscher*innen des Citizen Lab in Erfahrung bringen, welche anderen europäischen Behörden zu den Kunden von Penlink oder Cobwebs gehören. Dabei bissen sie weitgehend auf Granit: „Viele Anfragen wurden abgelehnt oder blieben unbeantwortet“, schreiben die Forschenden. „Europol bestätigte, über Informationen zu Webloc zu verfügen, weigerte sich jedoch, diese offenzulegen.“
In Deutschland hatte zuletzt die Bundestagsabgeordnete Donata Vogtschmidt (Die Linke) Ende 2025 im Rahmen einer Kleinen Anfrage von der Bundesregierung unter anderem wissen wollen, ob Bundesbehörden wie das BKA Produkte von Cobwebs oder Penlink nutzen. Die Bundesregierung verweigerte die Auskunft. Ähnlich äußerte sich das Innenministerium nun auf eine aktuelle Presseanfrage von netzpolitik.org:
Die Sicherheitsbehörden im Geschäftsbereich des Bundesministeriums des Innern (BMI) arbeiten zur Erfüllung ihrer gesetzlichen Aufträge auch mit kommerziellen Anbietern zusammen. Wir bitten um Verständnis, dass wir Ihnen zu Details der Beschaffung und des Einsatzes von entsprechender Software keine weiteren Auskünfte geben können.
Dass Deutschland für Penlink als Markt relevant sein könnte, darauf deutet ein weiterer Fund der Recherche des Citizen Lab: Seit 2020 unterhält Cobwebs in Deutschland ein Vertriebsbüro, das seit 2025 unter dem Namen Pen-Link GmBH firmiert.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Eine populäre deutsche Dating-App hat genaue Handy-Standortdaten an Werbefirmen geschickt, selbst wenn Nutzer*innen nicht eingewilligt haben. Genau solche Daten fanden netzpolitik.org und BR im Angebot von Databrokern – eine große Gefahr für Nutzer*innen.
Eine bekannte Dating-App aus Hamburg verkuppelt Menschen auf Kontaktsuche mit anderen in ihrem Umkreis. Den Nutzer*innen dürfte klar sein, dass die App hierfür ihre Standortdaten verwendet. Den Zugriff darauf erlauben sie sogar bewusst – in der Hoffnung auf spannende Begegnungen. Was Nutzer*innen jedoch nicht wissen konnten: Ihre genauen Standortdaten flossen über die Dating-App offenbar auch dann an Werbefirmen, wenn sie dafür keine Einwilligung erteilt hatten.
So geht es aus dem Jahresbericht der Hamburger Datenschutzbehörde für 2025 hervor. Bei der Anwendung handelt es sich anscheinend um eine von Deutschlands beliebtesten Dating-Apps: Lovoo.
Die Behörde selbst nennt den Namen der App aus verfahrensrechtlichen Gründen nicht. Die Untersuchungen seien noch nicht abgeschlossen, schreibt sie auf Anfrage. Auch die Betreiber-Firma von Lovoo, der Online-Dating-Riese ParshipMeet, schweigt dazu. Auf mehrere Presseanfragen erhielten wir keine Antwort.
Dennoch erlaubt der Jahresbericht der Behörde einen Rückschluss auf Lovoo. Demnach haben die Datenschützer*innen die Dating-App nach der Veröffentlichung der „Databroker Files“ von netzpolitik.org und Bayerischem Rundfunk geprüft. Das sind die seit Februar 2024 andauernden Recherchen zum weitgehend unkontrollierten Handel mit Standortdaten aus der Werbe-Industrie. „Den journalistischen Recherchen war der Hinweis auf die App eines Anbieters mit Sitz in Hamburg zu entnehmen“, so die Behörde. Der Clou: In diesen Recherchen taucht nur eine Dating-App aus Hamburg auf – und zwar Lovoo.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese sind nur möglich durch eure Unterstützung.
Sie war eine von rund 40.000 Apps in einem Datensatz mit rund 380 Millionen Standortdaten aus 137 Ländern. Das Recherche-Team hat diese Daten von einem US-amerikanischen Databroker als kostenlose Vorschau für ein Abonnement erhalten. Zur Veröffentlichung unserer Recherche im Januar 2025 ließ uns ein Lovoo-Sprecher wissen, dass man Daten mit Drittparteien für Werbezwecke teile, wenn Nutzer*innen in die Datenschutzerklärung eingewilligt hätten. Lovoo verzeichnet allein im Google Play Store mehr als 50 Millionen Downloads.
In ihrem Jahresbericht beschreibt die Datenschutzbehörde, wie Mitarbeiter*innen die – nicht näher benannte – Dating-App durchleuchtet haben. Demnach haben sie den Datenverkehr analysiert und die Erkenntnisse mit den Informationen abgeglichen, die Menschen zu sehen bekommen, wenn sie die App installieren und in die Datennutzung einwilligen.
Das Problem: „Soweit entsprechende Informationen erteilt wurden, stimmten diese nicht mit den tatsächlichen Datenflüssen überein.“ In diesen Datenflüssen konnte die Behörde „die Übermittlung von genauen Standortdaten an bestimmte Werbepartner eindeutig“ nachweisen. Wie uns die Behörde auf Anfrage erklärt, flossen die Standortdaten über eingebundene SDKs an Werbepartner. Das sind Software-Pakete von Dritten, die Entwickler*innen in ihre Apps einbauen.
Statt vorgeschriebener datenschutzfreundlicher Voreinstellungen „war die Erlaubnis zur Weitergabe von genauen Standortdaten an Werbedienste standardmäßig aktiviert“, so der Bericht weiter. Mehr noch: „Besonders schwerwiegend ist, dass die App – auch nach Entfernen des zuvor gesetzten Symbols zum ‚Akzeptieren‘ im eingesetzten Einwilligungsdialog – weiterhin genaue Standortdaten an Werbepartner übermittelte.“ Einfach ausgedrückt: Wer mithilfe der Dating-App andere Nutzer*innen im Umkreis gesucht hat, konnte wohl nicht verhindern, dass dabei die eigenen Standortdaten an Werbefirmen abfließen.
Kontrollverlust beim Online-Dating
Wo genau die Standortdaten der Dating-Interessierten gelandet sein könnten, ist kaum zu überblicken. Die Datenschutzbehörde spricht von einer „Komplexität und Vielzahl an beteiligten Akteuren“. Neben der Betreiberfirma der App gehörten dazu „verschiedene Werbepartner- und Netzwerke mit einer undurchschaubaren Menge von Beteiligten“.
Offenbar sind die Daten jedoch beim US-Datenhändler Datastream Group (heute: Datasys) gelandet. Er hatte sie zusammen mit weiteren Datensätzen als Gratis-Kostprobe dem Rechercheteam geschickt. Kontakt zu dem Datenhändler erhielten wir über den in Berlin ansässigen Datenmarktplatz Datarade.
Die Kontrolle über ihre Daten, so die Behörde, sei Nutzer*innen durch das Dating-Unternehmen „erschwert“ worden. Angesichts der laut Behörde „undurchschaubaren“ Menge von Beteiligten läge es jedoch viel näher zu sagen, dass Nutzer*innen die Kontrolle über ihre Daten und Privatsphäre komplett verloren haben.
Inzwischen soll die Dating-App den Hahn der sprudelnden Daten abgedreht haben. „Mit den Prüfergebnissen konfrontiert, hat die Anbieterin der App die Ursache der Weitergabe genauer Standortdaten an Werbepartner zügig identifiziert und mittlerweile unterbunden“, so der Bericht. „Zudem hat sie proaktiv Maßnahmen implementiert, mit welchen sie künftig Datenflüsse in der App überwachen und so den unzulässigen Abfluss an Werbenetzwerke unterbinden kann.“
Ob Daten etwa durch einen Konfigurationsfehler versehentlich abgeflossen sind oder das Unternehmen sich dessen bewusst war, lässt sich von außen nicht nachvollziehen.
Datenhandel gefährdet alle
Die Databroker Files haben gezeigt, wie gefährlich solche Standortdaten aus der Werbe-Industrie sein können. Auf oftmals verschlungenen Wegen fließen sie über Handy-Apps und deren oftmals Hunderte Werbepartner zu Datenhändlern – und von dort in die Hände aller, die bei ihnen einkaufen. Wertvoll sind solche Daten etwa für Geheimdienste und Sicherheitsbehörden, aber potenziell auch für Kriminelle und Stalker*innen.
Dem Recherche-Team liegen inzwischen mehr als 13 Milliarden Standortdaten verschiedener Datenhändler vor. Allein die Daten aus Deutschland bedecken nahezu jeden Winkel des Landes. Weil die Daten mit einer einzigartigen Werbekennung versehen sind – eine Art Nummernschild fürs Handy – lassen sich daraus eindeutige Bewegungsprofile ablesen.
Solche Bewegungsprofile machen sichtbar, wo eine Person wohnt und zur Arbeit geht, wo sie spazieren geht, in die Kirche, ins Bordell oder ins Krankenhaus. Betroffen sind Privatpersonen ebenso wie Angestellte von Militär, Geheimdiensten und Regierungsbehörden. Mit ein paar Handgriffen können Interessierte jedoch ihre Standortdaten vor dem Zugriff durch Datenhändler weitgehend schützen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Wir sprechen mit Thomas Zerdick und Robert Riemann, die beim Europäischen Datenschutzbeauftragten arbeiten. Sie berichten aus dem Inneren des Amtes, wie es in Gesetzgebungsverfahren einbezogen wird und warum die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Sie erklären auch, was sie sich für die Zukunft der Behörde wünschen.
Der Europäische Datenschutzausschuss (EDPD) bringt als Dachorganisation die nationalen Datenschutzbehörden der EU-Länder und den europäischen Datenschutzbeauftragten (EDPS) zusammen. – Alle Rechte vorbehalten EDPS
In Europa ist Datenschutz ein Grundrecht, das für alle 27 Mitgliedstaaten gilt. Auch die EU-Organe und EU-Einrichtungen selbst stehen unter Aufsicht eines Datenschutzbeauftragten.
Doch was macht eigentlich dieser Europäische Datenschutzbeauftragte (EDSB), der schon mehr als zwei Jahrzehnte für den Schutz der Privatsphäre und die Datenschutzrechte der Bürger arbeitet? Was sind seine Aufgaben, welche Rolle hat der EDSB in Brüssel? Wer konsultiert ihn? Wann wird er typischerweise angehört? Wie funktioniert die Zusammenarbeit zwischen dem EDSB und den nationalen Behörden?
Das berichten uns zwei Insider: Thomas Zerdick und Robert Riemann, die beide beim EDSB arbeiten.
Thomas Zerdick ist Jurist und Leiter des Referats für Aufsicht und Durchsetzung. Vor seiner Zeit beim EDSB arbeitete er bei der Europäischen Kommission im Referat Datenschutz und war einer derjenigen, die an der EU-Datenschutzgrundverordnung mitgeschrieben haben. Robert Riemann ist Informatiker und arbeitete bis Ende Dezember beim EDSB im Referat Technik und Privatheit.
Das Gespräch ist eine gekürzte und behutsam überarbeitete Fassung des Podcasts „Dicke Bretter“ von Constanze Kurz, Elisa Lindinger und Elina Eickstädt beim Chaosradio. In „Dicke Bretter“ beleuchten wir Institutionen, Akteure oder Organisationen, die daran mitwirken, wenn Gesetze, Richtlinien oder auch nur politische Positionen bei digitalen Themen entstehen.
Die unabhängige Datenschutzaufsichtsbehörde
Constanze Kurz: Ihr arbeitet beide beim Europäischen Datenschutzbeauftragten. Was sind die Aufgaben dieses Amtes?
Thomas Zerdick: Der Europäische Datenschutzbeauftragte ist die unabhängige Datenschutzaufsichtsbehörde für die EU-Organe und EU-Einrichtungen. Das sind eben zum Beispiel das Europäische Parlament und die Europäischen Kommission, aber auch wir selbst als Europäischer Datenschutzbeauftragter oder auch Einrichtungen wie Europol. Thomas Zerdick (2.v.r.) - Alle Rechte vorbehalten EDPS
Wir überwachen die Datenverarbeitung dieser EU-Organe und EU-Einrichtungen. Wir bearbeiten Beschwerden von Bürgerinnen und Bürgern, führen Untersuchungen durch und entscheiden dazu. Ich selbst bin Leiter des Referates Aufsicht und Durchsetzung und mache genau das mit meinem Team: Wir überprüfen, ob die EU-Organe und -Einrichtungen die Datenschutzvorschriften auch einhalten, die sie von den anderen verlangen.
Constanze Kurz: Sind in deinem Team typischerweise Juristen?
Thomas Zerdick: In meinem Team sind wir bis auf eine Person alle Juristen. Wir sind ungefähr dreißig Mitarbeiter.
Datenschutz ist im Kern Grundrechtsschutz. Da wir Entscheidungen vorbereiten, die der Europäische Datenschutzbeauftragte dann erlässt, brauchen wir juristische Abwägungen. Wir nehmen Abwägungen und Prüfungen von Rechtsgrundlagen vor, bewerten Zweckbindung oder Verhältnismäßigkeit. Denn alles das, was der Europäische Datenschutzbeauftragte entscheidet, kann auch vor Gericht überprüft werden. Daher brauchen wir Juristen, die sicherstellen, dass das gerichtsfest ist.
„Ziemlich bekannt hier in Brüssel“
Constanze Kurz: Wie viele Menschen arbeiten insgesamt beim Europäischen Datenschutzbeauftragten?
Thomas Zerdick: Insgesamt sind wir ungefähr 120 Mitarbeiter. Das klingt viel, ist es aber nicht, weil ungefähr die Hälfte davon beim Europäischen Datenschutzausschuss arbeitet. Das ist eine andere Einrichtung: Der Europäische Datenschutzausschuss ist durch die EU-Datenschutz-Grundverordnung eingerichtet worden und koordiniert alle Datenschutzaufsichtsbehörden in der Europäischen Union. Da gibt es ein Sekretariat, in dem die Kollegen arbeiten.
Constanze Kurz: Ich möchte ein wenig über den Kopf der Behörde reden. In Deutschland ist es häufig so, dass die Bundesdatenschutzbeauftragten, manchmal sogar die Landesdatenschutzbeauftragten, ziemlich bekannt sind, zum Beispiel Peter Schaar oder Ulrich Kelber. Sie waren oft in den Medien vertreten. Sie sind jeweils als eine relativ laute Stimme für den Datenschutz vernehmbar gewesen. Derzeit haben wir Frau Specht-Riemenschneider hier in Deutschland als Bundesdatenschutzbeauftragte. Auch sie hat eine Menge Interviews gegeben, als sie ihr Amt antrat. Wie ist denn das in Europa? Die Aufgaben des Europäischen Datenschutzbeauftragten sind ja anders. Würdet ihr sagen, er ist eine laute Stimme für den Datenschutz oder arbeitet er eher im Hintergrund? Wojciech Wiewiórowski beim Data Protection Day 2025 in Brüssel. - Alle Rechte vorbehalten EDPS Thomas Zerdick: Der derzeitige Europäische Datenschutzbeauftragte, Wojciech Wiewiórowski, ist ziemlich bekannt hier in Brüssel. Das erklärt sich natürlich auch aus dem Aufgabenzuschnitt. Der wichtigste Unterschied zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Aufsichtsbehörden ist die Zuständigkeit: Der Europäische Datenschutzbeauftragte ist ausschließlich zuständig für die EU-Organe und EU-Einrichtungen, also für öffentliche Verwaltung der Europäischen Union. Daher kennt man ihn vielleicht etwas weniger in den Mitgliedstaaten.
Er ist gleichberechtigtes Mitglied im Europäischen Datenschutzausschuss, wo sich alle Aufsichtsbehörden treffen. Wojciech Wiewiórowski trifft sich zum Beispiel regelmäßig mit Louisa Specht-Riemenschneider. Wenn es Entscheidungen gibt, die der Europäische Datenschutzbeauftragte trifft, zum Beispiel gegen die Europäische Kommission oder gegen Europol, sind wir auch in den Medien im Vordergrund. Von daher sehe ich den Unterschied als nicht sehr groß im Vergleich zu den Mitgliedstaaten.
Öffentliche Stellungnahmen
Constanze Kurz: Auch in Europa wird der Datenschutzbeauftragte konsultiert, wenn es um geplante Gesetze geht oder wenn es die angesprochenen Institutionen und deren Evaluierung geht. Er gibt öffentliche Stellungnahmen ab. Wie häufig kommt das vor?
Thomas Zerdick: Ich würde sagen quasi wöchentlich. Das ist ein Unterschied im Vergleich zur nationalen Ebene: Die Europäische Kommission ist verpflichtet, den Europäischen Datenschutzbeauftragten zu konsultieren. Und zwar immer dann, wenn es neue Rechtsakte gibt, die von der Kommission vorbereitet werden, die personenbezogene Daten betreffen.
Das ist also relativ breit, denn das ist heute fast immer der Fall: Digitalisierung, Sicherheit, Migration, Gesundheit, Künstliche Intelligenz, Plattformregulierung, internationale Verträge. Jeweils kommt der Europäische Datenschutzbeauftragte ins Spiel. Er gibt Stellungnahmen oder Kommentare ab, die wir dann veröffentlichen. Und das wird immer mehr.
Constanze Kurz: All diese Themen haben mittlerweile technische Komponenten, alle Datenschutzfragen verbinden sich mit Technikfragen. Was macht das Referat Technik und Privatheit, um eine Stellungnahme mit technischem Wissen zu bereichern? Wie läuft die Zusammenarbeit mit den Juristen? Robert Riemann. Robert Riemann: Wenn beispielsweise ein neuer Rechtsakt vorbereitet und dazu formell die Stellungnahme vom Europäischen Datenschutzbeauftragten eingeholt wird, dann koordiniert das ein Referat. Sie schauen im Haus, wer die Kompetenzen hat, um die Arbeit zu unterstützen. Sobald klar wird, dass es tatsächlich etwas sehr Technisches ist, das so von einer Abteilung noch nicht bearbeitet wurde, dann gibt es eine Anfrage an das Referat Technik und Privatheit, um eine Person zur Unterstützung zu benennen. Diese Person arbeitet dann gleichberechtigt mit den Juristen zusammen an der Stellungnahme.
Constanze Kurz: Das klingt wie typische wissenschaftliche Arbeit, um eine Technik zu ergründen oder Technikfolgen abzuschätzen. Gibt es eine Zusammenarbeit mit akademischen Forschern oder Sachverständigen, die man sich dazu holt?
Robert Riemann: Für dieses Beispiel eines Rechtsakts wird typischerweise keine externe Expertise hinzugezogen. Aber natürlich ist es so, dass die Leute das Thema recherchieren. Bevor ein Vorschlag der Kommission auf den Tisch kommt, werden häufig die Themen schon in der Öffentlichkeit angesprochen. Wenn sich Forscher oder auch NGOs wie EDRi oder Interessenverbände in Brüssel mit eigenen Stellungnahmen äußern, werden die natürlich gelesen. Insofern gibt es schon einen Einfluss auf das, was intern diskutiert wird. Aber es ist nicht so, dass der Europäische Datenschutzbeauftragte für den Fall einer Beantwortung dieser Anfragen der Kommission für eine Stellungnahme die Meinung von außen explizit einholen würde.
Lange über die eigentliche Amtszeit hinaus
Constanze Kurz: Jetzt gibt es für den Amtsträger gerade eine besondere Situation, die mit der Benennung des Europäischen Datenschutzbeauftragten verbunden ist. Denn der derzeitige Amtsinhaber arbeitet schon lange über seine Amtszeit hinaus, die fünf Jahre beträgt. Die Amtszeit endete eigentlich am 5. Dezember 2024. Aber es gab die Situation, dass sich der EU-Rat und das EU-Parlament nicht im Einvernehmen auf einen neuen Kandidaten geeinigt haben, sondern zu unterschiedlichen Voten gekommen sind. Wie verläuft das Auswahlverfahren, warum kam es diesmal zu diesem Stillstand und was kann man jetzt machen?
Thomas Zerdick: Die Datenschutzgrundverordnung für die EU-Organe regelt das. Der Europäische Datenschutzbeauftragte hat eine Amtszeit von normalerweise fünf Jahren und ist zu benennen im Einvernehmen zwischen dem europäischen Parlament und den Mitgliedstaaten im Rat der EU. Nach Ablauf der Amtszeit macht die Europäische Kommission eine Ausschreibung, da kann sich jeder bewerben. Dann werden die Bewerber von der Europäischen Kommission geprüft und die Liste mit geigneten Kandidaten veröffentlicht. Von dieser Liste müssen sich dann das Parlament und der Rat für eine Person entscheiden. Diesmal haben sie sich noch nicht entscheiden können. Das ist nicht neu, das gab es leider schon mal. Aber die EU-Datenschutzgrundverordnung für die Organe, die sagt: Solange es keinen neuen Amtsinhaber gibt, bleibt der alte im Amt und hat alle Rechten und Pflichten. Also solange die sich nicht einigen, macht der jetzige Amtsinhaber einfach weiter.
Constanze Kurz: Und wenn sie sich niemals einigen, dann bleibt er einfach für immer im Amt? Oder gibt es irgendeine Frist, die bis zum Zeitpunkt eine Einigung bestehen muss?
Thomas Zerdick: Es gibt keine Frist. Das sieht die Verordnung nicht vor.
Constanze Kurz: Und wenn der Amtsträger irgendwann keine mehr Lust hat?
Thomas Zerdick: (lacht) Das sieht die Verordnung auch nicht vor.
Robert Riemann: Das ist auch kein europäischer Sonderfall, sondern diese Situation gibt es auch in den Mitgliedsländern. Ich denke da in Spanien, wo es auch Schwierigkeiten gab, ein neues Mandat zu verabschieden. Auch in einigen Bundesländern in Deutschland gab es lange Zeit Unklarheit, wer das Mandat bekommt. Insofern ist das leider etwas, was man in Europa häufiger beobachten muss.
Constanze Kurz: Würdet ihr einen Tipp abgeben, wie sich dieser Stillstand auflösen wird oder wann sich diese beiden Institutionen vielleicht einigen könnten? Was sagen denn die Auguren?
Thomas Zerdick: Die Auguren sagen derzeit nichts. Wir können dazu nichts sagen, weil es in der Hand vom Parlament und vom Rat ist, die sich zusammensetzen und eine Lösung finden müssen.
Wie Kommission und Datenschutzbeauftragter zusammenarbeiten
Constanze Kurz: Ich möchte euch nach dem typischen Ablauf befragen, wenn der Europäische Datenschutzbeauftragte tätig wird. Wir nehmen mal ein ganz umstrittenes Beispiel: die Chatkontrolle. Wie wurde hier der Europäische Datenschutzbeauftragte involviert? Die Kommission hat ja vor mehr als drei Jahren den Vorschlag dazu vorgelegt. Wie ist die typische Vorgehensweise, wenn eine Konsultation beginnt, die ja stattfinden muss?
Thomas Zerdick: Die Europäische Kommission arbeitet ihren Vorschlag aus. Bevor sie diesen Vorschlag veröffentlicht, gibt es eine interne Abstimmung in der Europäischen Kommission. Gleichzeitig mit dieser internen Abstimmung werden wir als Amt informell unterrichtet und können dann bereits erste kleine Kommentare abgeben. Sobald die Kommission ihren Gesetzgebungsvorschlag veröffentlicht hat, leitet sie ihn ganz amtlich dem Europäischen Datenschutzbeauftragten zu, mit der Bitte um Stellungnahme.
Dann setzen sich die Kolleginnen und Kollegen aus dem Referat Politik und Gesetzgebung zusammen, analysieren den Vorschlag der Kommission und schreiben die Stellungnahme, die dann vom Europäischen Datenschutzbeauftragten veröffentlicht wird. Mit dieser Stellungnahme kann der Gesetzgeber – das Parlament und der Rat der EU-Mitgliedstaaten – dann arbeiten. Damit erschöpft sich normalerweise das Offizielle, das Amtliche des Europäischen Datenschutzbeauftragten. Aber er ist natürlich jederzeit bereit, auch zu Anhörungen zu kommen und vorzutragen, was in dieser Stellungnahme steht.
Constanze Kurz: Das war jetzt das Beispiel der Chatkontrolle. Wird für jedes dieser Verfahren die Stellungnahme öffentlich oder gibt es auch welche, wo das nicht der Fall ist?
Thomas Zerdick: Die Stellungnahmen sind grundsätzlich öffentlich.
Constanze Kurz: Nun wurden ja gerade beim Beispiel Chatkontrolle auch neue technische Fragen aufgeworfen. Da geht es um massenhaftes Scannen oder darum, wie beispielsweise Filter funktionieren. Wie wird technische Expertise einbezogen?
Robert Riemann: Das Referat Politik und Gesetzgebung identifiziert die technischen Themen, hier etwa Kryptographie und Pseudonyme, und schickt eine Anfrage an das Referat Technik. Mein Referatsleiter bekommt das dann auf seinen Schreibtisch und sucht sich eine Person aus seinem Team, die schon in den letzten Jahren zu dem Thema gearbeitet hat. Sie wird dann mitarbeiten und den Juristen Frage und Antwort stehen.
Wir sind in unserer Technikergruppe fünfzehn Leute und müssen zusammen alle Datenschutzthemen abdecken können. Das heißt beispielsweise, dass wir uns zu Pandemiezeiten mit Bluetooth-Tokens beschäftigt haben und zu Blockchain-Zeiten alle Blockchain-Expertinnen wurden. Das ist wirklich breit gefächert. Wir können natürlich nicht auf dem Niveau Expertise anbieten, wie das die Universitäten teilweise können oder auch spezielle Organisationen, die nur ein Kernthema haben. Das bedeutet, dass wir natürlich viel Recherche am Schreibtisch machen, um einen fundierten Beitrag zu einer Stellungnahme zusammen mit den Juristen zu erarbeiten.
Constanze Kurz: Das ist also der Ablauf für den Fall einer Stellungnahme, die der Europäische Datenschutzbeauftragte allein abgibt. Aber was passiert, wenn auch der Europäische Datenschutzausschuss angehört wird?
Robert Riemann: Der Europäische Datenschutzbeauftragte ist ja Teil des Europäischen Datenschutzausschusses. Das heißt, er bringt sich dort in fast allen Themen ein. Beim Europäischen Datenschutzausschuss gibt es mehrere Fachgruppen. Dazu gehört die Technology Experts Sub-Group, also eine Expertengruppe zu Technologiefragen. Dahin dürfen alle Mitgliedsländer, die im Europäischen Datenschutzausschuss vertreten sind, eine Person entsenden, die sich dort zu Themen einbringen kann.
Soll eine Stellungnahme erarbeitet werden, meldet sich ein Mitgliedsland freiwillig und leitet dieses Projekt federführend. Personen, die daran mitarbeiten, bilden eine Art Schreibteam und treffen sich beispielsweise alle zwei Wochen, um einen ersten Entwurf vorzubereiten.
Technische Fragen landen wahrscheinlich bei dieser Expertengruppe für Technologiefragen. Deutschland hat eine gewisse Sonderrolle, weil es ja nicht nur Mitarbeiter von der Bundesbeauftragten für den Datenschutz hat, sondern auch Mitarbeiter in den Landesdatenschutzbehörden. Zusätzlich gibt es deswegen auch noch einen deutschen Prozess, der festlegt, wer in welcher Gruppe zu welchem Thema mitarbeitet. Am Ende arbeiten dann ein Technologieexperte aus Spanien, einer aus Italien, einer aus Hessen und dann vielleicht noch jemand aus Finnland mit.
Deren Entwurf wird zunächst in der Expertengruppe für Technologiefragen vorgestellt. Sie trifft sich monatlich, seit der Corona-Pandemie online und zweimal im Jahr auch mit einen Pflichtpräsenztermin, so dass man sich ein bisschen kennenlernen kann. An einem Tag werden dann alle Themen einmal durchgearbeitet. Wenn dann die Expertengruppe mit einem Entwurf zufrieden ist und annimmt, dass er mehrheitsfähig ist, dann kann das theoretisch schon der Plenarsitzung mit allen Aufsichtsbehörden vorgelegt werden. Aber bei sehr komplexen Fragen holt man die juristische Perspektive vorher hinzu.
Thomas Zerdick: Das klingt alles sehr kompliziert, aber ist es eigentlich nicht. Es ist ein typisches Beispiel, wie Europa zusammenarbeitet. Denn in diesen Expertengruppen sitzen eben Vertreter aller Datenschutzaufsichtsbehörden aus ganz Europa. Da werden täglich Kompromisse geschmiedet, Ansichten ausgetauscht und versucht, eine einheitliche Auslegung in diesen Datenschutzfragen zu finden.
„Wir haben uns in Europa zum Positiven weiterentwickelt“
Constanze Kurz: Es gibt auch Kritik an diesem Datenschutzausschuss, eigentlich schon an der Vorgängergruppe, damals noch Artikel-29-Gruppe, vor allem weil die Stellungnahmen unverbindlich waren und wegen der teilweise langfristigen Prozesse, die für so einen Konsens wohl dazugehören. Wie seht ihr diese Kritik?
Thomas Zerdick: Die Kritik kenne ich seit über zwanzig Jahren. Vorher wurde sich beschwert, dass die Artikel-29-Gruppe unverbindliche Stellungnahmen abgibt, an die man sich aber halten muss. Das wurde immer beklagt. Jetzt ist es eigentlich umgekehrt: Der Europäische Datenschutzausschuss, der immer noch Stellungnahmen abgibt, trifft inzwischen verbindliche Entscheidungen gegenüber den eigenen Datenschutzaufsichtsbehörden. Nun wird auch das wieder beklagt.
Ich denke, wir haben uns in Europa zum Positiven weiterentwickelt. Wir haben die Datenschutzgrundverordnung, für deren einheitliche Anwendung der Europäische Datenschutzausschuss an der Arbeit ist. Das hat sich jetzt eingespielt, die Entscheidungen kommen auch relativ schnell.
Constanze Kurz: Die Datenschutzgrundverordnung ist ein EU-Gesetz, das Wirkung entfaltet in allen EU-Ländern und das Grundrecht regelt, was man in Deutschland oft informationelle Selbstbestimmung nennt. Aus meiner Sicht gab es damals eine bestimmte politische Situation, in der es möglich war, die Datenschutzgrundverordnung tatsächlich zum Gesetz zu machen. Doch heute wird der Datenschutz ein bisschen anders betrachtet: Gerade kann man das an dem sogenannten digitalen Omnibus sehen, wo versucht wird, die Datenschutzgrundverordnung zu verändern. Datenschutz scheint aktuell nicht gerade ein hippes Thema zu sein und wird auch in Deutschland manchmal als Innovationsbremse diskreditiert, zumindest von der aktuellen Regierung. Was haltet ihr von den Vorschlägen, die jetzt im digitalen Omnibus besprochen werden?
Thomas Zerdick: Wieso reden wir denn über den Datenschutz in Europa? Weil die europäische Grundrechte-Charta, also praktisch die Verfassung von Europa, den Datenschutz ausdrücklich als Grundrecht stützt. Das ist eine feste Sache, an der man nicht vorbeikommt. Die Auswirkung dieses Grundrechts ist, dass die EU verpflichtet ist und die Mitgliedstaaten ebenso, dieses Grundrecht zu schützen und Regeln dafür zu schaffen, wie man das am besten macht.
Das hat die Europäische Union schon seit 1995 gemacht. Und es gibt seit 2016 die Datenschutzgrundverordnung, die versucht zu sagen, was die Regeln sind, um mit personenbezogenen Daten umzugehen. Das war der erste große EU-Rechtsakt, der im digitalen Feld spielt – ein Meilenstein.
Jetzt haben wir den digitalen Omnibus, der versucht, an dem Text der Datenschutzgrundverordnung Änderungen vorzunehmen. Ich denke nicht, dass man sagen kann, das Ganze wird in Frage gestellt. Das geht nicht, weil die EU-Grundrechte-Charta diesen Schutz des Grundrechts Datenschutz einfordert. Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte arbeiten gerade an einer Stellungnahme für diesen digitalen Omnibus.
Constanze Kurz: Da drängt sich eine Frage auf: Angenommen, es bestehen rechtliche Differenzen, also eine Stellungnahme des Europäischen Datenschutzbeauftragten bewertet rechtliche Fragen anders als beispielsweise die EU-Kommission. Wie ist dann der weitere Verlauf? Kann die EU-Kommission das auch einfach ignorieren? Muss sie bestimmte Elemente aus den Stellungnahmen aufnehmen?
Thomas Zerdick: Kein Mensch ist verpflichtet, uns zuzuhören, um es mal ganz krass zu sagen. Aber das ist natürlich Expertise und Datenschutzwissen, was wir herantragen. Das ist die ureigenste Aufgabe einer unabhängigen Datenschutzaufsicht, dieses Wissen weiterzugeben und zu sagen, was unsere Auslegung, unser Verständnis von einem Vorschlag ist.
Wir wissen, dass sowohl die Kommission als auch die Mitgliedstaaten als auch die Abgeordneten im Europäischen Parlament sehr wohl lesen, was vom Europäischen Datenschutzbeauftragten geschrieben wird. Aber rechtlich verbindlich ist das nicht.
Constanze Kurz: In Deutschland ist es häufig so, dass zum Beispiel bei Bundestagsgesetzgebungsprozessen die Bundesdatenschutzbeauftragte hinzugezogen wird. Aber die Gesetzesvorschläge müssen auch nicht unbedingt die Meinung der Bundesdatenschutzbeauftragten übernehmen. Am Ende landen in Deutschland dann einige Gesetze vor dem Bundesverfassungsgericht, wo wiederum die Bundesdatenschutzbeauftragte als Sachverständige an der Urteilsfindung mitwirkt. Wie ist das in Brüssel, wo ja auch viele Gesetzgebungsverfahren am Ende beim Europäischen Gerichtshof landen? Tritt dort der Europäische Datenschutzbeauftragte auch als Sachverständiger auf, wenn darüber gestritten wird, ob ein Gesetz mit der EU-Charta in Einklang ist?
Thomas Zerdick: Ja, durchaus. Das liegt dann beim Europäischen Gerichtshof, er kann uns als Sachverständigen beiladen. Das ist auch bereits passiert. Ich war selber persönlich zu einem Fall dort, wo es um die Vorratsdatenspeicherung ging. Der Europäische Gerichtshof lädt uns dann ein und stellt Fragen, die wir zu beantworten haben, erst schriftlich oder auch in der mündlichen Verhandlung in Luxemburg.
Software auf code.europa.eu
Constanze Kurz: Wie wird der Europäische Datenschutzbeauftragte noch hinzugezogen?
Thomas Zerdick: In laufenden Gesetzgebungsverfahren werden wir oft vom Europäischen Parlament beigeladen oder von Ausschüssen oder auch von einzelnen Abgeordneten im Europäischen Parlament. Auch der Rat der Europäischen Union lädt ab und zu den Europäischen Datenschutzbeauftragten ein, wenn zu gewissen Punkten Stellungnahmen abzugeben sind.
Robert Riemann: Es kann vorkommen, dass eine nationale Datenschutzbehörde einen Beschwerdefall hat oder auch ein Unternehmen beaufsichtigt und Bedenken hat in der Auslegung der Datenschutzgrundverordnung. In solchen Fällen kann sich die Datenschutzbehörde an den Europäischen Datenschutzausschuss wenden und vorschlagen: Wir haben hier ein interessantes Thema, das nicht nur relevant für unser Land ist, sondern für die ganze Europäische Union. Eine gemeinsame Stellungnahme kann dann in der Plenarsitzung vorgeschlagen und erarbeitet werden. Daran arbeitet natürlich oft auch der Europäische Datenschutzbeauftragte mit.
Thomas Zerdick: Es gibt eine kollegiale Zusammenarbeit mit anderen Aufsichtsbehörden, etwa bei Ergebnissen von Untersuchungen, die wir in Brüssel als Europäischer Datenschutzbeauftragter gemacht haben, zum Beispiel im Fall Europäische Kommission und Microsoft 365. Dann können die Kollegen aus den Mitgliedstaaten sagen, bitte teilt mit uns auf dem Amtswege eure Erkenntnisse, damit wir davon lernen können. Das ist unser tägliches Brot.
Robert Riemann: Es gibt auch internationale Kooperationen in anderen Themenbereichen: Software entwickeln wir zum Beispiel gemeinsam. Und über die Grenzen in Europa hinweg entwickeln wir auch Methoden, um technische Audits durchzuführen. Wir haben dazu auf code.europa.eu Software, die auch Unternehmen benutzen können, bevor die Datenschutzbehörden sie einsetzen. Darüber hinaus gibt es seit zwei, drei Jahren auch jedes Jahr Workshops, wo Techniker nach Brüssel kommen, um sich auszutauschen.
Die Juristen haben das schon länger gemacht. Nun ist der Austausch nicht mehr nur auf Rechtsfragen beschränkt, sondern findet auch zu technischen Fragen statt, auch teilweise zu ganz praktischen Fragen.
Constanze Kurz: Ist das also eine neuere Entwicklung, wenn das erst seit zwei oder drei Jahren stattfindet?
Robert Riemann: Genau. Die Datenschutzbehörden der EU-Staaten sind häufig sehr klein. Der Europäische Datenschutzausschuss hat in seinem Jahresbericht veröffentlicht, wie viele Mitarbeiter in den einzelnen Ländern mitarbeiten. In Deutschland haben wir natürlich einen Luxusfall, ungefähr 1.000 Menschen arbeiten hier über die verschiedenen Landesbehörden verteilt. Aber es gibt eben auch Länder wie Liechtenstein, wo es nur wenige Personen sind, die aber auch viele technische Lösungen abdecken können müssen. Insofern sind wir darauf angewiesen, effizient zusammenzuarbeiten und uns über unsere Ansätze nicht nur zu Rechtsfragen, sondern auch zu technischen Fragen auszutauschen.
„Die Kritik am Datenschutz ist eigentlich eine deutsche Kritik“
Constanze Kurz: Wir haben ja in den letzten Monaten seit der zweiten Amtseinführung von Donald Trump erlebt, dass sich die US-amerikanische und die europäische Datensphäre auseinanderentwickeln und dass Digital-Gesetze und Datenschutzgesetze auf europäischer Ebene in den politischen Kampf hineingezogen werden. Wie seht ihr diesen Konflikt, dass die Regeln, die eben häufig für große US-Unternehmen hier in Europa geschaffen wurden, nun unter diesen Vorzeichen in der Spitzenpolitik debattiert und vom US-Präsidenten in ganz klassische Handelskriege reingezogen werden?
Thomas Zerdick: Ganz entspannt. Das gab es schon zu Zeiten der ersten Datenschutzrichtlinie 1995. Schon damals war absehbar: Wenn sich Europa entscheidet, Datenschutzvorschriften einzuführen, weil es ein Grundrecht ist, betrifft das Wirtschaftsinteressen insbesondere der US-amerikanischen Konzerne. Schon damals war sehr viel Politik im Spiel, und das war nichts anderes, als dann die Datenschutzgrundverordnung verhandelt wurde. Da kamen die Amerikaner schon sehr früh zur EU-Kommission und haben vorgeschlagen: Macht das doch mal anders, macht das noch mal weniger scharf. Es war letztlich ironischerweise die durch Edward Snowden ausgelöste Affäre, die dann auf europäischer Seite dazu geführt hat, zu sagen: Das geht uns zu weit, wir brauchen jetzt scharfe europäische Datenschutzvorschriften.
Aus Brüsseler Sicht ist das nichts Neues, das ist ganz normal. Schlecht wäre es natürlich, wenn dem Druck nachgegeben würde. Das kann ich mit dem europäischen Grundrechtscharakter des Datenschutzes schlecht vereinbaren, wenn wir plötzlich sagen würden: Ja, wir haben jetzt Gesetze, aber wir wenden sie nicht an, weil es US-amerikanische Konzerne sind.
Constanze Kurz: Als Deutsche bin ich seit vielen Jahren vertraut mit den Datenschutzdiskussionen, die häufig öffentlich geführt werden. Die Chatkontrolle wäre dafür ein Beispiel oder die Vorratsdatenspeicherung. Die deutsche Öffentlichkeit räumt dem Grundrecht auf informationelle Selbstverstimmung einen Wert ein. Auch die Verfahren, die beim Bundesverfassungsgericht geführt werden, erfahren oft eine große Öffentlichkeit. Das ist aber nicht in allen europäischen Ländern so. Wie seht ihr die Diskrepanzen bei der Wahrnehmung dieses Grundrechts in Europa?
Thomas Zerdick: Das erklärt sich zum Teil aus den geschichtlichen Unterschieden. Aber es ist ja ein großer Konsens vorhanden: Datenschutz existiert und ist auch ein Grundrecht in allen europäischen Mitgliedstaaten. Das ist also nicht anders als in Deutschland. Und die Grundlage der Zusammenarbeit zumindest bei den Aufsichtsbehörden ist eben die Datenschutzgrundverordnung.
Man muss auch sagen, dass Deutschland – derzeit zumindest – ziemlich allein dasteht, weil die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Das ist ganz merkwürdig. Diese großflächigen Spitzen gegen den Datenschutz hört man aus anderen Mitgliedstaaten so nicht. Im Gegenteil, das wird dort einfach gemacht und umgesetzt, und dann ist gut.
Kurz und knappe Informationen zu dem, was der Datenschutzbeauftragte macht
Constanze Kurz: Gibt es etwas, was ihr für den Europäischen Datenschutzbeauftragten für die Zukunft wünschen würdet? Was wäre notwendig oder würde die Effizienz oder die Qualität der Arbeit sehr verbessern?
Robert Riemann: Meine Wünsche wären gar nicht so spezifisch nur für Datenschutzbehörden, eher allgemein für Behörden. Wir hatten beispielsweise beim Europäischen Datenschutzbeauftragten schon früh eine digitale Akte. Das hat während der Corona-Pandemie unheimliche Vorteile gehabt. Aber ich denke, generell könnte man noch viel mehr durch Automatisierung von Prozessen erreichen. Ich wünsche mir, dass wir Dashboards haben, um Fallmanagement zu machen, und zwar nicht für jedes Land einzeln, sondern am besten eines, was für alle Datenschutzbehörden funktionieren würde. Sowas haben wir momentan nicht.
Ich würde mir auch wünschen, dass es eine digitale Strategie gibt, die nicht nur national denkt, sondern auch europäisch. Und ich denke, es fehlt uns an vielen Standardisierungsprozessen. Das ist schwer in Gang zu bringen, weil die Datenschutzbehörden nur wenige Informatiker haben und das Geld knapp ist. Insofern ist es nicht klar, wie sich das demnächst verbessern könnte.
Thomas Zerdick: Ich würde mich Robert anschließen. Warum? Natürlich hat ein Amt wie der Europäische Datenschutzbeauftragte nie genug Mitarbeiter und nie genug Geld. Das wird sich in absehbarer Zeit auch nicht ändern. Aber was uns gut zu Gesicht stände, wäre eine bessere Automatisierung von Prozessen.
Nur ein Beispiel: Wir bearbeiten natürlich auch Eingaben und Beschwerden von Bürgerinnen und Bürgern. Und wir sehen gerade in der letzten Zeit eine 140-prozentige Steigerung dieser Beschwerden auf uns zukommen. Warum? Weil die Leute, die sich beschweren, zu generativer KI greifen und sich eine Beschwerde beispielsweise an die Europäische Kommission generieren lassen und sie direkt an den Europäischen Datenschutzbeauftragten schicken. Wir brauchen hier sozusagen Waffengleichheit, wir müssen auch praktisch KI-gestützte Anwendungen zur Verfügung haben, um vielleicht besser und effizienter arbeiten zu können.
Wir sind ja auch gleichzeitig Aufsichtsbehörde für KI-Systeme von den europäischen Organen. Das heißt, wir haben eine Doppelaufgabe: nicht nur Datenschützer, sondern auch KI-Aufsicht. Ich sehe die Notwendigkeit, dass wir die zugrundeliegende Technik verstehen und auch Kolleginnen und Kollegen dafür einstellen, die das beaufsichtigen können.
Constanze Kurz: Wenn sich jemand nun noch mehr interessiert für den Europäischen Datenschutzbeauftragten, wo holt man sich mehr Informationen?
Thomas Zerdick: Auf unserer Homepage edps.europa.eu findet man alles, was das Herz begehrt, insbesondere auch kurz und knappe Informationen zu dem, was wir machen und auch zur Technik und zu neuen Technologien, aber auch unsere Entscheidungen. Podcasts gibt es auch!
Robert Riemann: Ich möchte noch eine weitere Möglichkeit erwähnen, wie man uns folgen kann: Der Europäische Datenschutzbeauftragte hat einen Mastodon-Account.
Constanze Kurz: Ich möchte mich bedanken für die Zeit, die ihr euch genommen habt, und für die Einblicke, die ihr gegeben habt. Vielen Dank für das Gespräch!
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Genaue Standortdaten von Wetter-Online-Nutzer:innen – verkauft von Databrokern. Mehr als ein Jahr nach den ersten Berichten von netzpolitik.org und BR dauert das Verfahren gegen die populäre App noch an. Nun will die zuständige Datenschutzbehörde ein Bußgeld verhängen.
Die Unternehmenszentrale von WetterOnline am Bonner Rheinufer – Alle Rechte vorbehalten Screenshot: ARD
Die Landesbeauftragte für Datenschutz Nordrhein-Westfalen hat ein Bußgeldverfahren gegen Wetter Online eingeleitet. Wann es zu einem Abschluss kommt, sei derzeit jedoch noch nicht absehbar, erklärt Pressesprecher Jan Keuchel auf Anfrage von netzpolitik.org.
Mehr als 100 Millionen Mal wurde die App allein aus dem Google Play Store heruntergeladen; nach eigenen Angaben hat das Angebot mehr als 22 Millionen Nutzer:innen. Was vielen dieser Menschen wohl nicht klar war: Wetter Online hatte offenbar genaue Standortdaten erfasst, obwohl das für eine Wettervorhersage nicht notwendig wäre, und diese Daten sind darüber hinaus offenbar bei Dritten gelandet.
Zu diesem Schluss ist die Landesbeauftragte für Datenschutz, Bettina Gayk, gekommen. Nach intensiven Ermittlungen wirft ihre Behörde dem Unternehmen vor, „über Jahre Standortdaten seiner Nutzer*innen ohne Rechtsgrundlage, konkret ohne deren wirksame Einwilligung erhoben und für Werbezwecke (weiter-)verarbeitet zu haben“, so der Behördensprecher. Laut Jahresbericht der Datenschutzbehörde hatte man die Praxis zügig stoppen können; Wetter Online hat demnach nachgebessert.
Anstoß für das Verfahren der Datenschutzbehörde gegen Wetter Online waren die Databroker-Files-Recherchen von netzpolitik.org und BR. Auf Grundlage dieser Recherchen beleuchtet nun auch eine neue Dokumentation der ARD den außer Kontrolle geratenen Handel mit personenbezogenen Daten und geht auch auf den Fall Wetter Online ein.
Der Film „Gefährliche Apps – Im Netz der Datenhändler“ erzählt anschaulich, wie Standortdaten aus der Online-Werbeindustrie über Handy-Apps abfließen und letztlich zur Handelsware von Databrokern werden.
Um sich selbst ein Bild von der Lage bei Wetter Online zu machen, hatten Mitarbeiter:innen der Datenschutzbehörde im vergangenen Jahr bei Wetter Online einen überraschenden Kontrollbesuch gemacht. Davon berichtet die Datenschutzbeauftragte Bettina Gayk in der Doku: „Man hat uns mitgeteilt, dass Standortdaten nur für eigene Zwecke, nämlich das Ausspielen dieses Wetterdienstes genutzt werden“. Tatsächlich aber habe man feststellen können, dass die Daten auch für andere Zwecke verarbeitet werden. Außerdem habe es Schnittstellen zum Teilen der Daten mit Dritten gegeben.
Das Unternehmen selbst hat auf eine aktuelle Presseanfrage von netzpolitik.org nicht reagiert. Im vergangenen Jahr erklärte Wetter Online jedoch, dass niemals GPS-Daten „verkauft“ worden seien. „Dies war und ist auch nicht Gegenstand der laufenden Untersuchung“, so ein Sprecher des Unternehmens im Juni 2025.
Wie genau Handy-Standortdaten von Wetter-Online-Nutzer:innen letztlich in dem uns vorliegenden Datensatz gelandet sein könnten, erklärte der Sprecher damals nicht. „Wir bitten um Verständnis, dass wir uns zu laufenden Untersuchungen nicht äußern.“
Unklar bleibt deshalb auch, an welche Drittparteien Standortdaten abgeflossen sein könnten. Zeitweise listete Wetter Online in der Datenschutzerklärung mehr als 800 Werbepartner auf.
Zehntausende Handys an nur an einem Tag geortet
Hinter dem globalen Datenhandel stecken mindestens Zehntausende Apps. Dem Recherche-Team liegen inzwischen mehr als 13 Milliarden Standortdaten von verschiedenen Datenhändlern vor, allesamt erhalten als kostenlose Vorschau-Pakete. Woher die Daten stammen, erfahren Käufer:innen oft nicht. Im Januar 2025 konnten wir jedoch gemeinsam mit internationalen Partnermedien erstmals über einen Datensatz berichten, in dem auch konkrete Apps genannt werden. Insgesamt enthält dieses Datenset 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit Verweisen auf rund 40.000 Apps für Android und iOS.
In dem Datensatz fanden wir auch zahlreiche Apps aus Deutschland, dazu teils genaue Handy-Standortdaten. Unter den Apps mit den meisten in Deutschland georteten Handys war Wetter Online. An nur einem Tag wurden zehntausende Wetter-Online-Nutzer:innen in Deutschland wohl teils auf den Meter genau geortet.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese sind nur möglich durch eure Unterstützung.
Die Landesdatenschutzbeauftragte Bettina Gayk reagierte damals umgehend und forderte Wetter Online schon kurz nach unserer Berichterstattung auf, die Verarbeitung präziser Standortdaten „so schnell wie möglich“ zu beenden. Das Unternehmen hinter der App, die „WetterOnline – Meteorologische Dienstleistungen GmbH“ hat ihren Sitz in Nordrhein-Westfalen, weshalb der Fall in die Zuständigkeit von Gayks Behörde fällt.
So gefährlich ist der Datenhandel
Die TV-Doku macht nun anhand konkreter Fälle anschaulich, wie gefährlich solche vermeintlich harmlosen Werbedaten in den falschen Händen werden können: Sie können etwa für Stalking genutzt werden, für Spionage durch ausländische Geheimdienste oder sogar Frontstellungen in der Ukraine verraten.
Die Standortdaten von Handys landen oft auf verschlungenen Pfaden bei den Databrokern. In der Regel enthalten die dort gehandelten Datensätze zwar keine Namen oder Telefonnummern der betroffenen Menschen. Aufspüren lassen sie sich dank der Mobile Advertising ID oftmals trotzdem.
Eine solche pseudonyme Identifikationsnummer ordnen Apple und Google Smartphones mit iOS oder Android zu. Mit ihr sollen Werbetreibende einzelne Personen wiedererkennen. Zugleich bewirkt die Nummer, dass sich vereinzelte Standortdaten zu aussagekräftigen Bewegungsprofilen zusammensetzen lassen.
In zahlreichen Recherchen haben wir aufgezeigt, wie leicht man anhand dieser Daten Personen ins Visier nehmen, identifizieren und ausspionieren kann. Mühelos lässt sich oftmals ablesen, wo Menschen wohnen und arbeiten, wo sie einkaufen und spazieren gehen – oder welche Ärzte, Bordelle oder religiösen Gebäude sie aufsuchen. So entdeckten wir in den Datensätzen auch genaue Standortdaten von hochrangigen Beamt:innen der EU-Kommission oder von Menschen mit Zugang zu sensiblen Arealen bei Militär und Geheimdiensten in Deutschland.
Datenschutzbehörde: Wirksame Einwilligung fehlte
Dass Tracking-Daten alles andere als harmlos sind, betont auch die Datenschutzbehörde. „In Kombination mit anderen Daten können solche Standortdaten zur Erstellung von Bewegungsprofilen genutzt werden und potenziell tiefe Einblicke in das Leben der Betroffenen ermöglichen“, erklärt Sprecher Jan Keuchel. „Die Gefahr eines Missbrauchs ist deshalb groß.“
Es müsse sichergestellt werden, dass Standortdaten und ähnliche Daten nur auf Basis einer wirksamen Rechtsgrundlage verarbeitet werden. „Dies gilt umso mehr, sofern die Daten zu Werbezwecken an Dritte weitergeleitet werden.“ Dafür komme aus datenschutzrechtlicher Sicht nur die informierte und freiwillige Einwilligung der Betroffenen infrage, so Keuchel.
Damit diese Einwilligung auch wirksam ist, müssten Nutzer:innen verstehen können, wozu sie genau ihr Einverständnis geben, zu welchen Zwecken ihre Daten verarbeitet werden und welche Dritten sie für welchen Zweck erhalten. An solch einer wirksamen Einwilligung habe es im Fall von Wetter Online gefehlt, so Keuchel weiter.
Potenzielle Gefährdung „hoch“
Auf Wetter Online könnte nun eine Geldbuße zukommen: „Da die potenzielle Gefährdung der Rechte der betroffenen Nutzer*innen hoch war“, so Behördensprecher Keuchel, könne man es nicht bei einer „Anordnung zur datenschutzgerechten Anpassung des Verfahrens“ belassen.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Dass der Fall nach mehr als einem Jahr noch nicht abgeschlossen ist, erklärt Keuchel mit dessen Umfang und der Komplexität. Die Untersuchungen hätten „eine Anhörung, einen Vor-Ort-Termin sowie verschiedene schriftliche Auskunftsersuchen gegenüber dem Unternehmen“ umfasst. „Das Geldbußeverfahren verlangt noch einmal eigene Arbeitsschritte.“ Grundsätzlich spiele es bei derlei Verfahren auch eine Rolle, ob der Sachverhalt „von dem betroffenen Unternehmen eingeräumt oder bestritten wird und ob es zu einer rechtlichen Auseinandersetzung kommt“.
Datenschutz-Nachhilfe von der Aufsichtsbehörde brauchte Wetter Online unterdessen auch in einem weiteren Fall: Ein Datenauskunftsersuchen unserer Redaktion im Rahmen der Databroker-Recherchen versuchte das Unternehmen zunächst mit Hinweis auf zu hohen Aufwand abzuwimmeln. Erst als wir – unterstützt von der Datenschutzorganisation noyb – Beschwerde bei der Behörde einlegten, rückte Wetter Online zumindest ein paar Daten heraus.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Erhoben zu Werbezwecken, verschleudert im Internet: Standortdaten aus der Werbe-Industrie können Menschen gefährden. Das zeigt die ARD-Doku „Gefährliche Apps“, die nun online ist. Sie beruht auf den Recherchen von netzpolitik.org und Bayerischem Rundfunk zu den Databroker Files.
– Alle Rechte vorbehalten ARD / Gefährliche Apps; Collage: netzpolitik.org
Es geht um Milliarden Standortdaten von ahnungslosen Handy-Nutzer*innen, oftmals metergenau. Angeblich nur zu Werbezwecken erhoben, fließen die Daten über populäre Handy-Apps auf teils verschlungenen Wegen in die Hände von Databrokern. Potenziell betroffen sind alle Menschen, die ein Smartphone nutzen.
Die Recherchen von netzpolitik.org und Bayerischem Rundfunk begannen im Februar 2024 mit einem Gratis-Datensatz, den ein Databroker als Vorschau für ein kostenpflichtiges Abo verschenkt hat. Anhand dieser Daten konnte das Team nicht nur einen flächendeckenden Angriff auf die Privatsphäre von Handy-Nutzer*innen enthüllen, sondern auch eine Gefahr für die nationale Sicherheit. Die EU-Kommission sagte: „Wir sind besorgt“.
Jetzt erzählt eine Fernsehdoku die wichtigsten Erkenntnisse aus den Databroker Files. Sie macht anschaulich, wie der Handel mit personenbezogenen Daten außer Kontrolle geraten ist – und vor welchem Hintergrund Fachleute aus Politik und Verbraucherschutz ein Verbot von Tracking und Profilbildung zu Werbezwecken fordern.
Erstmals berichtet die Doku darüber, wie Handy-Standortdaten der Werbe-Industrie auch ukrainische Soldaten an der Front gefährden können – oder Journalist*innen im Exil. Neu ist auch die Geschichte einer bayerischen Schülerin, die niemals erwartet hätte, dass Databroker ihr genaues Bewegungsprofil offen im Netz handeln.
„Gefährliche Apps – Im Netz der Datenhändler“, produziert vom Bayerischen Rundfunk für ARD, Arte und die Deutsche Welle, ist nun in der ARD Mediathek zu sehen – und in einer etwas längeren Fassung auch in der Arte-Mediathek. Was der Datenhandel konkret für Menschen bedeuten kann, fassen wir hier anhand von vier Köpfen aus der Doku zusammen.
1. Databroker verkaufen Handy-Standortdaten von der Front
Ex-Soldat Dmytro. - Alle Rechte vorbehalten ARD / Gefährliche Apps
Heute lebt Dmytro auf einem Hof in der Nähe von Odessa. Unter raschelnden Baumkronen grast eine Kuh, in den Ästen läutet ein Windspiel. Als das Kamerateam Dmytro besucht, führt er die Pferde aus, reitet über einen Feldweg. Zuvor hat er als Soldat für die Ukraine an der Front gekämpft. Für ihn und seine Kameraden hatten Smartphones eine besondere Bedeutung.
„Das Handy ist sehr wichtig, weil es moralisch unterstützt“, erklärt er im Interview. „Man kann seine Lieben zuhause spüren, seinen Ehepartner. Es ist eine Erinnerung daran, wofür man an der Front kämpft.“
Zugleich können Smartphones im Krieg eine Gefahr darstellen, und zwar durch die potenzielle Ortung von Soldat*innen und deren Stellungen. Inzwischen liegen dem Recherche-Team Datensätze von mehreren Databrokern vor; in einem davon finden sich auch Handy-Ortungen aus umkämpften Gebieten in der Ukraine. Die Daten geben auch Preis, dass Geräte per Starlink im Netz waren, jenes Satelliteninternet, das ukrainische Truppen verwenden.
Das Recherche-Team zeigt Dymtro auf Satellitenbildern eine Auswahl von Handy-Ortungen im Kampfgebiet. Er beugt sich über den Bildschrim und bestätigt: „Genau hier an diesem roten Punkt, da war unser Hauptquartier.“
Es ist möglich, dass die russische Armee nicht auf Standortdaten der Werbe-Industrie angewiesen ist, um potenzielle Ziele zu identifizieren – es lässt sich aber auch nicht ausschließen, dass russische Behörden genau das tun. Deutsche Rüstungsunternehmen befürchten zudem, dass auch ihre neuen Produktionsstätten in der Ukraine ins Visier geraten können, wie tagesschau.de berichtet. Deren Standorte sind weitestgehend geheim, um sie vor russischen Angriffen zu schützen.
2. Exil-Journalistin in Berlin berichtet von Verfolgung
Exil-Journalistin Mostafa. - Alle Rechte vorbehalten ARD / Gefährliche Apps
In Ägypten hatte die Journalistin Basma Mostafa unter anderem kritisch über Polizeigewalt berichtet. Sie erzählt dem Fernsehteam von mehreren Festnahmen, sogar von Folter. Schließlich gelang ihr die Flucht; der Weg führte sie nach Berlin. Ihr Leben in Ägypten, sagt sie heute, habe sie zurückgelassen. Aber auch in Berlin werde sie von ägyptischen Agenten verfolgt und bedroht. Sie fotografiert die Männer, die ihr auffallen, und zeigt dem Recherche-Team die Fotos auf ihrem Smartphone. Die Polizei habe ihr empfohlen, den Wohnort zu wechseln.
„Ich frage mich wirklich: Woher wissen die immer genau, wo ich bin?“, sagt Mostafa im Interview. Gemeinsam mit dem Recherche-Team betrachtet auch sie einen Ausschnitt der Standortdaten, die Databroker von Millionen Handys auf der Welt verkaufen. Der Ausschnitt zeigt die Bewegungsmuster einer Person, die offenbar in Mostafas Wohnhaus lebt. Von diesem Haus führen Handy-Ortungen zu anderen Adressen, die Mostafa wiedererkennt: etwa den Spielplatz, wo sie mit ihren Kindern hingehe, oder ein Krankenhaus. Es fühle sich an, sagt sie, als wäre sie gehackt worden.
Ähnlich wie im Fall der ukrainischen Soldaten gilt: Es kann sein, dass ägyptische Behörden nicht auf Standortdaten aus der Werbe-Industrie angewiesen wären, falls sie Dissident*innen im Ausland ins Visier nehmen wollten. Sicherheitsexperte Franz-Stefan Gady legt zumindest nahe, dass ein solches Szenario denkbar ist. Anders als große Geheimdienste wie aus den USA, Russland oder China hätten „zweitrangige“ Dienste inzwischen immer mehr Zugang zu Daten, „die sie wahrscheinlich vor einigen Jahren noch nicht gehabt hätten“, erklärt Gady.
3. Die Spur der Daten führt zu 18-Jähriger aus Bayern
Emma aus Bayern. - Alle Rechte vorbehalten ARD / Gefährliche Apps
Wie aufdringlich Handy-Standordaten sein können, zeigt der Fall der 18-Jährigen Emma aus Bayern. Mühelos fand das Recherche-Team ihre Privatadresse in den Daten: Ein freistehendes Haus in einer bayerischen Gemeinde, wo sich auffällig viele Ortungen eines Geräts häuften. Ebenso häuften sich die Ortungen bei einer nahegelegenen Schule, während eine Perlenschnur aus Standortddaten die Strecke beschrieb, die Emma oft mit dem Schulbus genommen hat.
Das Beispiel zeigt: Bereits zwei Orte, Wohnort plus Arbeits- oder Ausbildungsplatz, können genügen, um eine Person in einem Bewegungsprofil eindeutig wiederzuerkennen.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese sind nur möglich durch eure Unterstützung.
„Das ist krass“, sagt Emma heute, als das Kamera-Team der 18-Jährigen ihre Standortdaten auf einem Tablet zeigt. Die Daten zeigen auch Emmas Abstecher in den Supermarkt und zu McDonald’s. Oder die genaue Route über einen Feldweg, den sie nimmt, wenn sie mit ihrem Hund spazieren geht.
„Wenn irgendein Mann diese Daten hätte“, sagt Emma, „so Stalking-mäßig“, dann wäre das „sehr unvorteilhaft“. Zur Erinnerung: Das Recherche-Team hat die Daten kostenlos von einem Databroker im Netz erhalten. Prinzipiell zugänglich sind solche Daten für alle, die Datenhändler danach fragen. Für einen vierstelligen Betrag im Monat können Interessierte ein Abonnement abschließen.
4. Standortdaten können Besuch in Abtreibungsklinik verraten
Mutter Miller. - Alle Rechte vorbehalten ARD / Gefährliche Apps
In Dallas, Texas, lebt Lauren Miller mit ihrem zweijährigen Sohn Henry. Abtreibungen sind ihrem US-Bundesstaat kriminalisiert. Doch vor gut zwei Jahren war eine Abtreibung genau das, was Miller und ihr damals ungeborener Sohn aus medizinischen Gründen benötigten. Denn Henry hatte einen nicht überlebensfähigen Zwillingsbruder. Nur eine Teilabtreibung hätte das gesunde Baby retten können, wie Miller berichtet.
Deshalb machten sich Miller und ihr Mann auf die Reise nach Colorado. Dieser Bundesstaat verletzt nicht die reproduktiven Rechte von Menschen; dort sind Abtreibungen weiterhin legal. „Ich weiß noch, wie ich mit gesenktem Kopf durch die Sicherheitskontrolle am Flughafen gegangen bin“, erzählt Miller. „Wir haben sogar überlegt, die Handys zu Hause zu lassen.“
Am Ende hatten Miller und ihr Sohn Henry Glück. Weder US-Sicherheitsbehörden noch radikale Abtreibungsgegner*innen hatten sie an der Reise in die Abtreibungsklinik gehindert. Eines ist jedoch wahrscheinlich: Handy-Standortdaten hätten die Familie verraten können.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
In den Standortdaten, die Databroker verkaufen, lassen sich sensible Orte wie Abtreibungskliniken mühelos ins Visier nehmen. Systematisch lässt sich untersuchen, weche Geräte dort ein und ausgehen – und vor allem, welche Geräte aus einem US-Bundesstaat einreisen, der Abtreibungen verbietet.
Erste Warnungen vor verräterischen Datenspuren gab es bereits 2022, kurz nachdem der Oberste Gerichtshof in den USA den Weg zur Kriminalisierung von Abtreibungen in US-Bundesstaaten frei gemacht hatte. In der Folge hatte etwa Google angekündigt, Standortdaten zu löschen, von denen sich Klinikbesuche ableiten lassen. Dass US-Sicherheitsbehörden Handy-Standortdaten tatsächlich bei Databrokern einkaufen, ist spätestens seit 2020 bekannt; jüngst gab auch FBI-Direktor Kash Patel diese Praxis offen zu.
Im Interview sagt Miller: „Es ist schwer greifbar, wenn man sagt: ‚Die haben meine Daten.‘ Was heißt das? Ist doch egal. Aber wenn man versteht, wie bedrohlich solche Daten sein können, dann macht man sich schon Sorgen.“
Mehr als 30 Artikel veröffentlicht
In der Doku berichten auch die Autoren dieses Textes von den Recherchen. - Alle Rechte vorbehalten ARD / Gefährliche Apps
Zu den Databroker Files hat netzpolitik.org inzwischen mehr als 30 Artikel verfasst. Hier sind Lesetipps für Interessierte, die tiefer eintauchen möchten:
In Handy-Standortdaten aus Belgien haben netzpolitik.org und Recherche-Partner sogar Spitzenbeamt*innen in Brüssel gefunden. EU-Abgeordnete warnten vor Spionagegefahr und forderten Konsequenzen.
In Folge der Recherchen sind Datenschutzbehörden in Deutschland aktiv geworden; es gab eine Durchsuchung bei Wetter Online, einer von Deutschlands populärsten Wetter-Apps.
Team netzpolitik.org: Ingo Dachwitz, Sebastian Meineck, Anna Biselli. Team Bayerischer Rundfunk: Katharina Brunner, Rebecca Ciesielski, Florian Heinhold, Maximilian Zierer.
Update, 14. April: Wir haben den Link zur Arte-Mediathek ergänzt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Während die Bundesregierung behördenübergreifend eine lebenslang gültige Personenkennzahl einführen will, geht das Nachbarland Österreich einen anderen Weg. Warum dieser mehr Datenschutz verspricht, ohne die Verwaltungsdigitalisierung zu behindern, erläutert die österreichische Juristin Heidi Scheichenbauer im Gespräch.
Die österreichische Verwaltung nutzt eine Art Einweg-Kennzeichen, das den den „gläsernen Bürger“ verhindern soll. – Alle Rechte vorbehalten IMAGO / Zoonar
Seit Jahren wird in Deutschland über die sogenannte steuerliche Identifikationsnummer diskutiert. Die Steuer-ID soll es Behörden erleichtern, untereinander Daten auszutauschen, indem sie als zentraler Bezugspunkt für unterschiedliche Register dient. Die ID ist lebenslang gültig, alle Bürger:innen erhalten sie vom Bundeszentralamt für Steuern bei Geburt.
Heidi Scheichenbauer - Alle Rechte vorbehalten Andreas Czák
Österreich hat bereits vor einigen Jahren einen anderen Weg eingeschlagen und das bereichsspezifische Personenkennzeichen (bPK) eingeführt. Sie ist eine Art Einweg-Kennzeichen, das für unterschiedliche Verwaltungsbehörden angepasst wird. Die bPK verspricht so einen höheren Datenschutz und steuerbare Hürden gegen behördenübergreifende Profilbildung – ohne eine effektive Verwaltungsdigitalisierung zu behindern.
Wir haben mit Heidi Scheichenbauer über das bereichsspezifische Personenkennzeichen gesprochen. Sie ist Senior Researcher und Senior Consultant am Research Institute – Digital Human Rights Center. Als Juristin forscht und lehrt sie zu künstlicher Intelligenz in der Verwaltung, Datenschutz im Non-Profit-Sektor und Plattformregulierung.
„Best-Practice-Beispiel“ aus Österreich
netzpolitik.org: In Deutschland geht es in der Debatte um Verwaltungsmodernisierung viel darum, Datensilos aufzubrechen. Österreich will diese möglichst aufrechterhalten. Warum ist das so?
Heidi Scheichenbauer: Tatsächlich haben wir in Österreich ein Best-Practice-Beispiel dafür, wie sich Daten in der Verwaltung datenschutzoptimiert verarbeiten lassen. Wir bauen eine digitale Verwaltung auf und verhindern zugleich den sprichwörtlichen „gläsernen Bürger“.
Bevor die Bundesregierung ein bundesweit einheitliches Personenkernzeichen einführt, sollte sie einen Blick auf ihr kleines Nachbarland werfen. Unsere Erfahrungen zeigen, dass Privacy by Design auch in diesem Bereich möglich ist.
netzpolitik.org: Wie kam es dazu?
Heidi Scheichenbauer: Im Jahr 2001 gab es in Österreich eine Volkszählung. Damals wurden sehr viele Daten über die Bevölkerung gesammelt und das erste Mal ein zentrales Melderegister auf Bundesebene eingerichtet.
Dieses Zentrale Melderegister (ZMR) enthielt eine Vielzahl an personenbezogenen Daten. Darunter den Namen, das Geschlecht, das Geburtsdatum, die Staatsangehörigkeit. Das allein ist datenschutzrechtlich schon sehr kritisch. Und dann vergab das ZMR allen Bürger:innen auch noch einen bundesweiten Identifikator, die sogenannte Stammzahl. Viele fürchteten damals, dass damit der gläserne Bürger geschaffen wird.
Man hat sich daher einen Weg überlegt, wie man dieses Datenschutzthema adressieren kann – und schuf die bereichsspezifischen Personenkennzeichen, kurz: bPK. Diese Personenkennzeichen beruhen auf der Stammzahl, sind aber für jeden Verwaltungsbereich anders.
Also hat eine Bürgerin zum Beispiel beim Finanzamt ein eigenes bPK, für die Sozialversicherung ist es ein anderes. Und die eine Behörde kann mit dem Kennzeichen, das ihr vorliegt, keine sinnvollen Anfragen bei einer anderen Behörde stellen.
netzpolitik.org: Eine bemerkenswerte Wende. Normalerweise wecken viele Daten auch viele Begehrlichkeiten.
Heidi Scheichenbauer: Es gab damals ein Bewusstsein dafür, dass die Daten im Zentralen Melderegister und die Verwendung eines einheitlichen Identifikators eine heikle Sache sind.
Bei der Einführung hagelte es daher Kritik an den geplanten Neuerungen. Bemängelt wurde unter anderem die mögliche Verknüpfung der vorliegenden Daten mit dem „Ursprungskennzeichen“, also der ZMR-Zahl. Denn damit ist eine behördenübergreifende Identifizierung einer bestimmten Person möglich.
Weiters wurde vorgebracht, dass das Kennzeichen eine Verknüpfung mit anderen individuellen Datensätzen ermögliche, beispielsweise aus der Einkommens- oder Volkszählungsstatistik.
Daten können – das zeigt auch der österreichische Postdatenskandal – sehr viel über das eigene Leben preisgeben, vom Wohnsitz bis zur vermuteten politischen Einstellung. Und dann wird auch klar, wie sehr man mit diesen Daten Menschen diskriminieren und manipulieren kann.
Ein Einweg-Kennzeichen für die Verwaltung
netzpolitik.org: Wie wird das bereichsspezifische Personenkennzeichen erzeugt?
Heidi Scheichenbauer: Es beruht auf der ZMR-Zahl, die im Zentralen Melderegister alle gemeldeten Personen erhalten. Aus ihr wird mit Hilfe eines Verschlüsselungsverfahrens die individuelle Stammzahl abgeleitet. Aus dieser Stammzahl wird dann für die jeweiligen Verwaltungsbereiche einzelne Ableitungen erzeugt.
netzpolitik.org: Erhält jede Behörde automatisch eine bPK für jede:n Bürger:in?
Heidi Scheichenbauer: Nein, nicht automatisch. Teilweise müssen die Behörden dafür zunächst bei der Stammzahlenregisterbehörde einen Antrag stellen, manchmal sogar ganz klassisch per Online-Formular. Bei dem Vorgang müssen Beamt:innen angeben, in welchem Verwaltungsbereich sie tätig sind. Es gibt aktuell rund 30 Tätigkeitsbereiche.
netzpolitik.org: Es gibt also für jede:n Bürger:in je nach Verwaltungsbereich individuelle Einwegskennzahlen. Das klingt recht aufwendig. Hat sich das im Alltag bewährt?
Heidi Scheichenbauer: Auf jeden Fall. Denn die Behörden können so nicht ohne weiteres behördenübergreifende Verarbeitungstätigkeiten vornehmen und damit auch kein Profiling betreiben.
Dafür sorgt auch eine Bereichsabgrenzungsverordnung, die unterschiedliche Verwaltungsbereiche voneinander trennt. Auch dem ging eine politische Diskussion voraus: Was gehört alles zu Steuern und Abgaben, was zu anderen Bereichen.
Auch diese Trennung soll den gläsernen Bürger verhindern. Nicht nur rechtlich, sondern eben auch technisch.
Strikte Trennung innerhalb der Verwaltung
netzpolitik.org: Wie kann eine Behörde denn mit anderen Behörden Daten austauschen?
Heidi Scheichenbauer: Das kann sie auf dem Wege der Amtshilfe tun. Es gibt auch die Möglichkeit, verschlüsselte bereichsspezifische Personenkennzeichen zu beziehen und dann so zu kommunizieren. Aber grundsätzlich ist das gesetzlich sehr strikt getrennt.
Das österreichische E-Government-Gesetz schreibt vor, dass zusammengehörige Lebenssachverhalte in ein und demselben Bereich zusammengefasst werden und dass miteinander unvereinbare Datenverarbeitungen innerhalb desselben Bereichs nicht vorgesehen sind.
netzpolitik.org: In der deutschen Debatte gibt es hingegen das Bestreben, Daten zusammenzuführen, weil die Verwaltung dann angeblich effizienter arbeiten könne. Gibt es eine ähnliche Debatte in Österreich?
Heidi Scheichenbauer: Auf der politischen Ebene haben wir aktuell keine Diskussion dahingehend, dass das bPK-System infrage gestellt wird. Es hat sich gut eingespielt und auch bewährt. In den vergangenen Jahren gab es auch keine politischen Bestrebungen, das System zu verändern. Auch Datenpannen oder Missbrauchsfälle gab es nicht. Zumindest keine, die öffentlich bekannt wurden.
Eine hundertprozentige Sicherheit gibt es, wie so oft im Leben, nicht. Die Privacy-by-Design-Maßnahmen verhindern hier aber tatsächlich sehr effektiv einen ansonsten prinzipiell möglichen Missbrauch.
netzpolitik.org: In Deutschland gilt die Devise, die Daten in einen großen Pool zu geben und den Behördenzugriff rechtlich zu regulieren. Ist das österreichische Modell aus deiner Sicht sicherer?
Heidi Scheichenbauer: Das ist ohne Zweifel sicherer, weil die meisten Risiken für die betroffenen Personen schon in der technischen Gestaltung signifikant gemindert werden. Es werden nämlich kryptografische Verfahren angewendet, die nicht umkehrbar sind. Von bPKs kann somit nicht mehr auf die Stammzahl zurückgerechnet werden. Das ist mathematisch schlicht nicht möglich.
Und auch organisatorisch ist das Zentrale Melderegister ein Ort, der sehr gut abgesichert ist, wie ich auch aus persönlicher Erfahrung weiß. Ich hatte vor vielen Jahren aus beruflichen Gründen einen Termin bei einem Dienstleister der Stammzahlenregisterbehörde. Damals machte ich die Erfahrung, dass man in das betreffende Gebäude nur sehr schwer hineinkommt.
Digitale Identitäten und künstliche Intelligenz
netzpolitik.org: In Österreich gibt es seit einigen Jahren die ID Austria. Zum Ende dieses Jahres soll in allen EU-Mitgliedstaaten die ID-Wallet starten. Welche Auswirkungen hat das auf die bPK?
Heidi Scheichenbauer: Die ID Austria ist ein digitaler Identitätsnachweis. Ich kann mich damit also gegenüber dem Finanzamt und dem Wohnungsamt ausweisen. Dadurch könnten theoretisch behördenübergreifende Profile erstellt werden. Doch es gibt Schutzmaßnahmen, die das verhindern sollen.
So müssen personenbezogene Daten pseudonymisiert und innerhalb bestimmter Fristen gelöscht werden. Die Daten dürfen außerdem, soweit es notwendig ist, nur von bestimmten Stellen verarbeitet oder übermittelt werden. Und sie unterliegen strengen Zugriffsrechten. Im Gegensatz zu den geplanten ID-Wallets der EU sieht die ID Austria gesetzlich sowohl gegenüber Behörden als auch privaten Einrichtungen einen strengen Akkreditierungsprozess unter anderem zur Sicherstellung der Datenminimierung, also des „minimal data set“ bei jeder Anwendung vor. An dem bestehenden System der bPK rüttelt die ID Austria also nicht.
netzpolitik.org: Der Einsatz von sogenannter Künstlicher Intelligenz wird mit Blick auf Verwaltungsdaten ebenfalls diskutiert. Gerade in der Sozialverwaltung gibt es Bestrebungen, Sprachmodelle mit den dort hinterlegten Daten zu trainieren. Gibt es ähnliche Debatten auch in Österreich?
Heidi Scheichenbauer: Durchaus und meist gilt das Datenschutzrecht dann als böse, weil es derartiges verhindere. Die österreichischen Verwaltungseinrichtungen äußern ihren Unmut vor allem über den Datenschutz, als dass sie nach Lösungen suchen. Dabei könnten sie etwa darüber nachdenken, wie KI-Training mit anonymen Daten möglich wäre. Das ist alles aber auch noch sehr im Fluss.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Beim Forschungsdatenzentrum Gesundheit sollen die Gesundheitsdaten aller gesetzlich Versicherten zusammenlaufen. Ein Gerichtsverfahren dagegen wird nun fortgesetzt. Dessen Ausgang könnte Pläne von Gesundheitsministerin Nina Warken durchkreuzen.
Karl Broich und Nina Warken auf der Pressekonferenz zur Eröffnung des Forschungsdatenzentrums Gesundheit im Oktober 2025. – Alle Rechte vorbehalten IMAGO / dts Nachrichtenagentur
Drei Jahre lang herrschte Stillstand. Nun geht ein Gerichtsverfahren weiter, das sich gegen die zentrale Speicherung von Gesundheitsdaten aller gesetzlich Versicherten im Forschungsdatenzentrum Gesundheit (FDZ) richtet.
Die Klage hatte die Gesellschaft für Freiheitsrechte (GFF) gemeinsam mit Constanze Kurz, netzpolitik.org-Redakteurin und Sprecherin des Chaos Computer Club (CCC), sowie einem weiteren anonymen Kläger im Mai 2022 eingereicht. Weil das FDZ aber jahrelang nicht arbeitsfähig war und kein IT-Sicherheitskonzept vorlegen konnte, ruhte das Verfahren seit Februar 2023. Im vergangenem Herbst wurde das FDZ offiziell eröffnet, weshalb die GFF das Verfahren nun nach eigenen Angaben fortsetzt und weitere Schriftsätze eingereicht hat.
Der Ausgang der Klage könnte weitreichende Folgen haben. Denn es geht um die Forschung mit Gesundheitsdaten, eine zentrale Säule der erst vor wenigen Wochen vorgestellten Digitalisierungsstrategie von Bundesgesundheitsministerin Nina Warken (CDU). Sollte das Gericht zugunsten der Klagenden entscheiden, könnten wichtige Vorhaben ihres Ministeriums ins Wanken geraten.
Kläger:innen fordern effektiven Widerspruch und besseren Schutz
Die Klagenden werden von dem Rechtswissenschaftler Matthias Bäcker vor dem Sozialgericht Berlin und dem Sozialgericht Frankfurt vertreten. Aus ihrer Sicht verstößt die zentrale Sammlung hochsensibler Gesundheitsinformationen beim FDZ zum einen gegen das Grundrecht der Versicherten, selbst über die eigenen Daten zu bestimmen, sowie gegen das Datenschutzrecht der Europäischen Union.
Zum anderen seien die gespeicherten Daten nicht ausreichend geschützt. Für deren Übermittlung werden nur Namen, Geburtstag und -monat der Versicherten entfernt. Ein von der GFF in Auftrag gegebenes Gutachten des Kryptographie-Professors Dominique Schröder kommt zu dem Schluss, dass eine solche Pseudonymisierung die Versicherten nicht ausreichend schützt. Durch den Abgleich mit anderen Datensätzen ließen sich Betroffene ohne großen Aufwand re-identifizieren.
Die GFF fordert daher für alle Versicherten ein „voraussetzungsloses Widerspruchsrecht“, dass ihre eigenen Gesundheitsdaten für Forschung und andere Zwecke weitergenutzt werden. „Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt und sind ein lukratives Ziel für Kriminelle“, sagt Jürgen Bering, Jurist bei der GFF. „Forschung darf daher nur unter ausreichenden Schutzmaßnahmen stattfinden.“
Auf dem Weg zu „einem der größten Daten-Hubs“
Gesundheitsministerin Warken sieht das Forschungsdatenzentrum als „Innovationsmotor“ der Gesundheitsforschung. Die Einrichtung ist beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) in Bonn angesiedelt. Seit 2022 werden dort Gesundheitsdaten zu allen gesetzlich Versicherten in einer zentralen Datenbank zusammengeführt und für die Dauer von bis zu 100 Jahren gespeichert. Forschende müssen sich bei diesem Zentrum registrieren, um mit den Daten arbeiten zu können.
Bislang übermitteln die gesetzlichen Krankenkassen nur die Abrechnungsdaten all ihrer Versicherten an das FDZ. Diese Daten geben Auskunft darüber, welche Leistungen die Versicherungen in Rechnung gestellt bekommen haben und mit welchen Diagnosen diese versehen sind.
Ab dem vierten Quartal dieses Jahres sollen dann nach und nach die Behandlungsdaten aus der elektronischen Patientenakte hinzukommen. BfArM-Chef Karl Broich geht davon aus, dass seine Behörde in zehn Jahren bundesweit „einer der großen Daten-Hubs“ ist.
Sollte die GFF mit ihrer Klage Erfolg haben, könnte dieses Ziel verfehlt werden. Denn bislang ist vorgesehen, dass die ePA-Daten automatisch an das FDZ gehen – sofern Versicherte dem nicht aktiv widersprechen. Dieser Automatismus müsste dann möglicherweise einer aktiven Einwilligung der Versicherten weichen.
Aus Sicht der Klagenden wäre dies zu begrüßen. „Es wird höchste Zeit, dass das Verfahren fortgeführt wird“, sagt Constanze Kurz. „Denn es braucht Klarheit zur Sicherheit und zum Widerspruchsrecht, schon weil inzwischen der Kreis der nutzungsberechtigten Stellen ganz erheblich erweitert wurde.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Mit der finnischen EU-Abgeordneten Aura Salla soll eine ehemalige Meta-Lobbyistin maßgeblich am geplanten digitalen Regulierungsabbau in der EU mitwirken. Nun fordern mehrere Nichtregierungsorganisationen ihre Abberufung als Chef-Verhandlerin des EU-Parlaments.
Vor ihrer Wahl ins EU-Parlament im Sommer 2024 war die finnische EU-Abgeordnete Aura Salla Chef-Lobbyistin von Meta in Brüssel – nun soll sie über die Deregulierung im Digitalbereich mitbestimmen. – Alle Rechte vorbehalten IMAGO / Martin Bertrand
Die finnische EU-Abgeordnete Aura Salla ist in Brüssel bestens vernetzt. Vor ihrer Zeit im EU-Parlament war die konservative Politikerin dort Chef-Lobbyistin von Meta. Davor hatte Salla diverse Positionen in der EU-Kommission bekleidet, unter anderem war sie im Kabinett des damaligen Vize-Präsidenten Jyrki Katainen tätig.
Von der Politik in die Privatwirtschaft und wieder zurück: Das als „Revolving Door“ bekannte Phänomen sorgt immer wieder für Probleme, da es schnell zu Interessenskonflikten führt. Zumindest auf dem Papier ist die EU dagegen gewappnet: Ein detailliertes Regelwerk soll verhindern, dass Beamt:innen nahtlos von einer Rolle in die nächste schlüpfen und dabei etwa Kontakte und Wissen mitnehmen, das sie im neuen Job eigentlich nicht haben sollten.
Für Aura Salla könnte es deshalb nun eng werden. Eine Reihe zivilgesellschaftlicher Organisationen, darunter Corporate Europe Observatory (CEO), LobbyControl und Transparency International EU fordern in einem heute veröffentlichten offenen Brief an den Industrieausschuss (ITRE) im EU-Parlament, Salla von ihrer Rolle als Berichterstatterin für den sogenannten Digitalen Omnibus abzuberufen.
Unter diesem Begriff verhandelt die EU derzeit ein Gesetzespaket, mit dem die Digitalregulierung überarbeitet und entschlackt werden soll. Ziel sind vereinfachte Regeln, um die Wettbewerbsfähigkeit Europas zu verbessern. Kritiker:innen weisen darauf hin, dass mit dem Regulierungsabbau unter anderem das Datenschutzniveau empfindlich abgesenkt würde. Als eine der Berichterstatterinnen – und damit Verhandlungsführerinnen – des EU-Parlaments hätte Aura Salla dabei viel Einfluss auf das fertige Gesetz.
Ehemalige Meta-Lobbyistin mischt kräftig mit
„Die Ernennung einer ehemaligen Big-Tech-Lobbyistin, um Digitalgesetze zu überarbeiten und zu schwächen, wirft schwerwiegende Fragen hinsichtlich unzulässiger Einflussnahme auf den Gesetzgebungsprozess auf“, so die NGOs in ihrem Schreiben. Gerade Meta, zu dem Facebook, Instagram und WhatsApp gehören, steht bekanntlich mit Vorgaben wie jenen zum Datenschutz auf Kriegsfuß. Rund 2,5 Milliarden Euro an Geldbußen wurden dem Datenkonzern wegen wiederholter Vergehen in der EU auferlegt.
„Das Unternehmen hat ein starkes Interesse daran, die Datenschutz-Grundverordnung (DSGVO) durch den Digitalen Omnibus zu schwächen, und kann seine engen Verbindungen zu Frau Salla nutzen, um dies zu erreichen“, warnen die NGOs. Tatsächlich habe sich Salla als Abgeordnete bereits mehrfach mit ihrem ehemaligen Arbeitgeber getroffen, unter anderem bei einem Lobbytreffen im September 2024 und einem weiteren im Januar 2025.
Bereits jetzt lässt sich am Omnibus-Entwurf der Kommission der Einfluss der Wirtschaft ablesen, wie eine gemeinsame Analyse von CEO und LobbyControl im Januar ergeben hatte. Mit Industrieforderungen praktisch deckungsgleiche Vorschläge durchziehen den gesamten Entwurf, der in der Leseart der NGOs einen „beispiellosen Angriff auf digitale Rechte“ darstellt. Zudem lese sich der Vorschlag wie eine Wunschliste ausgerechnet US-amerikanischer Tech-Konzerne, anstatt europäische Unternehmen zu stärken.
Voll auf Deregulierungslinie
Ähnliche Positionen wie die Tech-Konzerne vertritt auch Aura Salla. Die zur konservativen EVP-Fraktion gehörende Politikerin warnte etwa vor einem „Regulierungs-Tsunami“, fürchtet Überregulierung durch Gesetze wie den Digital Services Act und möchte Tech-Konzernen erlauben, Verkehrs- und Metadaten ihrer Nutzer:innen möglichst ungehindert zum Trainieren ihrer KI-Systeme verwenden zu können.
Nach ihrer Bestellung zur Berichterstatterin zeigte Salla auf, in welche Richtung sie den Digitalen Omnibus lenken will: „Jahrelang konzentrierte sich die EU auf die Regulierung ihrer eigenen Unternehmen, während China und die USA in Wachstum und technologische Entwicklung investierten. Das endlose Klicken durch Cookie-Einstellungen und die sich überschneidenden und unklaren Regeln für Unternehmen haben das Internet nicht sicherer gemacht, sondern das Wachstum europäischer Unternehmen gebremst. Europäische Unternehmen müssen endlich Priorität haben“, schrieb sie in einer Pressemitteilung.
Zugleich sieht Salla die EU nicht notwendigerweise in der Verantwortung: „Big Tech sollte in ihren Heimatkontinenten reguliert werden“, sagte sie Ende 2024 dem Magazin Wired. In vielen Fällen wären das die USA, so Salla – ein Land, das traditionell reichlich wenig von Regulierung hält, erst recht unter Präsident Donald Trump und seinen Tech-Oligarchen wie Mark Zuckerberg im Schlepptau. Indes schlägt Salla „Maßnahmen wie Zölle, Datenpreismechanismen oder eine Digitalsteuer für Unternehmen außerhalb der EU“ vor. Diese Ansätze dürften jedoch kaum im Digitalen Omnibus verhandelt werden.
Halb verdeckte Interessenkonflikte
Ein ungünstiges Licht auf Salla werfe zudem ihre Tendenz, „wiederholt potenzielle Interessenkonflikte zu verschleiern“, kritisieren die NGOs. So hatte sie etwa nicht offengelegt, Anteile an Rüstungsbetrieben zu halten, obwohl diese Transparenz EU-Abgeordneten ausdrücklich vorgeschrieben ist. Erst Berichterstattung des Online-Mediums Follow the Money hat sie letztlich gezwungen, ihre Aktien zu verkaufen.
Auch als Omnibus-Berichterstatterin sieht Salla keine Interessenskonflikte. In ihrer offiziellen Erklärung hierzu – eine Pflicht für Berichterstatter:innen – hat sie im Februar die einschlägige Frage verneint. Aus Sicht der NGOs verstößt sie damit gegen die Transparenzregeln, die für Abgeordnete gelten.
Auf Anfrage weist Salla die Vorwürfe zurück. Ab ihrem Eintritt in den Mutterschutz im Februar 2023 habe sie nicht mehr für Meta gearbeitet und seit ihrem endgültigen Abschied im Mai 2023 auch kein Geld bekommen, sagt Salla zu netzpolitik.org:„Selbstverständlich habe ich seit meinem Ausscheiden keine Zahlungen mehr von dem Unternehmen erhalten“. Im Zusammenhang mit der Berichterstatterrolle „habe ich keine laufende berufliche Tätigkeit, keine finanziellen Interessen und keine persönlichen Interessen, die einen Interessenkonflikt darstellen könnten“, sagt Salla.
Als Berichterstatterin wolle sie dem europäischen öffentlichen Interesse dienen und die Wettbewerbsfähigkeit Europas stärken, so die Abgeordnete. „Ich habe meine Ansichten zur Notwendigkeit der technologischen Souveränität der EU, zur Beseitigung der Abhängigkeit von amerikanischen Technologiekonzernen und zur Förderung europäischer Alternativen stets deutlich zum Ausdruck gebracht“, sagt die Finnin.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Es ist das erste Signal des Rates im Ringen um den sogenannten Datenomnibus: In einem ersten Positionierungsentwurf stellen sich die Mitgliedstaaten gegen mehrere Vorschläge der EU-Kommission, die von Datenschutz-Expert:innen kritisiert worden waren. Wir veröffentlichen den Zwischenstand.
Stop and Go für unterschiedliche Vorschläge im „Digital Omnibus“ – Gemeinfrei-ähnlich freigegeben durch unsplash.com Tanya Barrow
Die Europäische Union verhandelt derzeit über den „Digitalen Omnibus“. So wird ein Gesetzespaket genannt, mit dem die EU-Kommission Teile der europäischen Digitalregulierung überarbeiten will – und das möglichst schnell. Während die Kommission selbst lediglich von „technischen Änderungen“ und „Vereinfachung“ spricht, sehen viele andere auch einen Rückbau von Regulierung.
Während sich bei angestrebten Anpassungen der KI-Verordnung mögliche Kompromisse andeuten, sind vor allem weitreichende Änderungen im Bereich des Datenschutzes umstritten. Nun gibt es einen ersten Positionierungsentwurf des Rates zu diesem sogenannten Datenomnibus, der zentrale Vorschläge der EU-Kommission ablehnt oder abschwächt. Wir veröffentlichen das Dokument, über das erste Medien am Freitag berichteten.
Keine Neudefinition personenbezogener Daten
Eine von der EU-Kommission geplante Änderung der Definition personenbezogener Daten soll laut dem Ratspapier gestrichen werden. Der ursprüngliche Kommissionsvorschlag hätte zur Konsequenz, dass pseudonymisierte Daten unter Umständen nicht mehr von der Datenschutzgrundverordnung (DSGVO) erfasst wären. Das kritisierten unter anderem der Europäische Datenschutzausschuss und der EU-Datenschutzbeauftragte scharf. Sie sehen darin eine Schwächung des Schutzniveaus der DSGVO sehen und fürchten Rechtsunsicherheiten.
Die Mitgliedstaaten kommen anscheinend zu einer ähnlichen Einschätzung. Laut dem Verhandlungsstand des Rates sollen statt einer geänderten Definition lieber Richtlinien des Europäischen Datenschutzausschusses klären, wann pseudonymisierte Daten möglicherweise nicht der DSGVO unterliegen. Wegfallen soll auch eine neue Regel, die der EU-Kommission ermöglicht hätte, per Durchführungsakt Standards zu setzen und so die Deutungshoheit über datenschutzrechtliche Auslegungsfragen zu erlangen.
Auch einen Kommissionsvorschlag, voll-automatisierte Entscheidungen unter bestimmten Umständen zu erlauben, will der Rat streichen. Diese sind nach der DSGVO bislang verboten und sollen es dem Papier zufolge bleiben. Das Papier der Mitgliedstaaten übernimmt jedoch weniger strittige Vorschläge der Kommission, etwa um Meldewege bei IT-Sicherheitsvorfällen zu vereinfachen.
Konkretisieren will der Rat eine sehr breit gefasste Regel, die es Datenverarbeitern ermöglichen würde, Auskunfts- oder Löschanfragen von Betroffenen sehr leicht abzulehnen. Dies soll dem Papier zufolge nur noch dann möglich sein, wenn Betroffene eine große Anzahl identischer oder weitgehend ähnlicher Anfragen einreichen und dies mit der alleinigen Absicht tun, dem Verantwortlichen Schaden zuzufügen.
Wo steht Deutschland?
Das Dokument ist ein erster Vorschlag der zypriotischen Ratspräsidentschaft und beruht auf Beratungen der Mitgliedstaaten in der Arbeitsgruppe Vereinfachung. Bevor der Rat seine Position beschließt, wird der Arbeitsstand in der Gruppe weiter diskutiert und in weiteren Gremien beraten werden, so etwa im ranghöheren Ausschuss der Ständigen Vertreter. Es handelt sich also nur um ein erstes Signal, aber dieses fällt deutlich aus.
Sollte der Digitale Omnibus, der ja eigentlich nur Vereinfachungen vornehmen soll, am Ende ohne größere Reform der DSGVO verabschiedet werden, bedeutet es nicht, dass diese vom Tisch sind. Tatsächlich hatte die Kommission bereits angedeutet, dass ein für später im Jahr geplanter Fitness-Check der Digitalregulierung der Rahmen für eine größere Datenschutzreform sein könnte.
Der Datenomnibus wird nun zunächst weiter im EU-Parlament und im Rat diskutiert. Die nächsten Beratungen der Ratsarbeitsgruppe Vereinfachung finden an diesem Freitag statt. Dort wird das Feedback der Mitgliedstaaten auf den Positionsentwurf besprochen.
Deutschland gehört zu den Ländern, die sich hier gegen den Vorschlag der Ratspräsidentschaft und hinter die Deregulierungspläne der Kommission stellen könnten. Das deutsche Digitalministerium hatte die EU-Kommission im letzten Jahr zu ihren weitreichenden Vorschlägen ermutigt, unter anderem mit einem Positionspapier, das wir veröffentlicht haben. Darin regte Deutschland unter anderem weitreichende Einschränkungen von Betroffenenrechte an.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Obwohl sich der Gemeinderat dagegen ausgesprochen hat, setzen Tübingens Oberbürgermeister Boris Palmer und das Regierungspräsidium Videoüberwachung durch. Dafür greifen sie auf eine ungewöhnliche Rechtsgrundlage zurück.
Laut Polizeigesetz von Baden-Württemberg ist Videoüberwachung des öffentlichen Raums erlaubt, wenn dort besonders viel Kriminalität stattfindet und das auch in Zukunft zu erwarten ist. Boris Palmer, Ex-Grüner und nun parteiloser Oberbürgermeister von Tübingen, wollte auf Basis dieses Gesetzes Kameras im Bereich vor dem Hauptbahnhof errichten lassen.
Doch der Landesdatenschutzbeauftragte von Baden-Württemberg, Tobias Keber, stellte sich gegen den Plan. In dem Areal finde gar nicht übermäßig viel Kriminalität statt, zuletzt seien die Zahlen sogar gesunken, argumentierte er. „Bei der Videoüberwachung handelt es sich um eine Maßnahme mit hoher Eingriffsintensität, da großflächig Grundrechte von Bürgerinnen und Bürgern eingeschränkt werden, die hierfür keinen Anlass gegeben haben. Ein solcher Grundrechtseingriff kann ausnahmsweise gerechtfertigt sein“, schrieb er. Die Voraussetzungen für diese Ausnahme seien aber nicht erfüllt.
Auch aus Tübingen selbst gab es Widerstand. Der Verwaltungsausschuss der Stadt beschloss: „Die Stadtverwaltung wird aufgefordert, keine Kameras zur Videoüberwachung auf dem Europaplatz zu installieren.“ Der Gemeinderat strich dem Projekt die Finanzierung.
Videoüberwachung nach Datenschutzgesetz
Boris Palmer und das Tübinger Regierungspräsidium, das die Überwachungspläne unterstützt, haben daraufhin die Rechtsgrundlage gewechselt, mit der sie die Videoüberwachung rechtfertigen. Nun soll nicht mehr nach Polizeigesetz, sondern nach Landesdatenschutzgesetz überwacht werden. Demnach ist Videoüberwachung erlaubt, um Personen zu schützen, die sich in öffentlichen Einrichtungen oder deren Nähe bewegen, oder um Kulturgüter, Gebäude und Sachen zu sichern.
Anfang Februar wurde die Novelle des Landesdatenschutzgesetzes vom Landtag beschlossen. Tübingen soll nun zum Vorreiter in der Nutzung dieses Gesetzes zur Videoüberwachung werden.
Ob dessen sehr niedrige Eingriffsschwelle reicht, um die massiven Persönlichkeitsrechtsverletzungen aller Passant*innen an diesem belebten Areal zu rechtfertigen, ist fragwürdig. Gerade prüft der Landesdatenschutzbeauftragte das Vorgehen.
Sechs Kameras geplant
Das Regierungspräsidium teilte dem Reutlinger General-Anzeiger (GEA) mit, „dass die Videoüberwachung am Europaplatz in Tübingen mit den im Landesdatenschutzgesetz genannten Zielen begründet werden kann und es der polizeirechtlichen Begründung nicht mehr bedarf“. Die Überwachung werde deshalb nun eingeführt. Die Stadtverwaltung ließ GEA wissen, dass man bereits Angebote für die Installation von sechs Kameras einhole.
Und auch die Tatsache, dass der Gemeinderat die finanziellen Mittel für die Überwachung gesperrt hat, will die Verwaltung unter Boris Palmer umgehen. Sie verkündete gegenüber dem SWR, dass man ja Mittel umschichten könne, bis zu 70.000 Euro könne Palmer auch freihändig investieren. 20.000 Euro sollen die sechs Kameras kosten.
Dabei gab Palmer in einer Stellungnahme gegenüber dem Jugendgemeindebeirat zu, dass es auch andere Möglichkeiten gäbe, das Sicherheitsgefühl der Bevölkerung vor dem Bahnhof zu steigern, die weniger in das Persönlichkeitsrecht eingreifen: Notrufsäulen, verbesserte Beleuchtung, verstärkte Bestreifung.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Unter Hochdruck will die EU Teile ihrer Digitalregulierung überarbeiten. Während der AI Act auf den letzten Metern noch um ein Verbot sexualisierter Deepfakes ergänzt werden könnte, treten beim Datenomnibus zwei wichtige EU-Institutionen auf die Bremse. Die neuesten Entwicklungen im Überblick.
Zumindest teilweise ist der „Digital Omnibus“ der EU mit hoher Geschwindigkeit unterwegs – Gemeinfrei-ähnlich freigegeben durch unsplash.com Gen Pol
Am 19. November 2025 präsentierte die Europäische Kommission den sogenannten „Digitalen Omnibus“: Mit zwei Gesetzen will die EU ihre Digitalregulierung überarbeiten und auf einen Schlag zahlreiche bestehende Gesetze ändern. Die Kommission will mit dem Paket Regeln vereinfachen, Bürokratie abbauen und so die Wettbewerbsfähigkeit Europas steigern.
Das erste dieser Gesetze, das die Datenschutzgrundverordnung (DSGVO), mehrere Datennutzungsgesetze und die Meldung von Cyber-Vorfällen betrifft, wird „Datenomnibus“ genannt. Das zweite Gesetz, welches die KI-Verordnung ändert, heißt „KI-Omnibus“. Für beide Vorhaben hat die Kommission ein hohes Tempo vorgegeben, die Änderungen sollen so schnell wie möglich beschlossen werden. Während dies beim KI-Omnibus, der unter anderem Teile der europäischen KI-Verordnung aufschieben soll, realistisch erscheint, dürften sich die Verhandlungen um den Datenomnibus deutlich länger hinziehen.
Sollen sexualisierte Deepfakes verboten werden?
Für den KI-Omnibus sind im Parlament zwei Ausschüsse verantwortlich: der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) und der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE). Daher gibt es in diesem Fall auch zwei federführende Abgeordnete, die sogenannten Berichterstatter:innen: Michael McNamara ist Teil der Fraktion der Liberalen, Arba Kokalari gehört der konservativen EVP an, zu der auch CDU/CSU gehören.
Sie haben am 4. Februar gemeinsam ihren ersten Berichtsentwurf vorgelegt. Dieser beschreibt, wie sie die KI-Verordnung im Vergleich zum Vorschlag der EU-Kommission verändern wollen. Die verantwortlichen Abgeordneten anderer Fraktionen, die sogenannten Schattenberichterstatter:innen, haben bis zum 12. Februar ihre Änderungswünsche vorgelegt. Diese sind noch nicht öffentlich.
Bekannt ist jetzt schon, dass derzeit diskutiert wird, ob die Erstellung von sexualisierten Deepfakes im Rahmen des Omnibusses verboten werden soll – und unter welchen Umständen. Nach dem Skandal um Elon Musks Chatbot Grok, mit dem Nutzer:innen unfreiwillige Nacktbilder von Frauen und Minderjährigen erstellt haben, gibt es dafür gerade viel politischen Willen, sowohl im Parlament als auch unter den Mitgliedstaaten. Wie ein solches Verbot ausgestaltet werden könnte, ist jedoch umstritten.
Bei den Verhandlungen wird auch diskutiert, wer die Verantwortung für KI-Schulungen haben soll – die Anbieter der KI-Systeme oder die Regierungen. Außerdem soll entschieden werden, ob die verschobenen Fristen für Hochrisiko-Systeme fest oder flexibel sein werden. Dass sie überhaupt verschoben werden, scheint unter den Verhandelnden niemand mehr anzufechten. Ein weiteres Thema ist die Zentralisierung der Aufsicht im KI-Büro der EU-Kommission und das KI-Training mit sensiblen Daten, um Verzerrungen zu vermeiden. Ebenfalls besprochen werden mögliche Ausnahmen im Transparenzregister für KI-Systeme.
KI-Omnibus könnte bald schon am Ziel sein
Bereits nächste Woche startet im Parlament die Verhandlung, deren Ziel ein finaler Bericht ist. Es ist vorgesehen, dass die beiden Ausschüsse am 18. März darüber abstimmen. Damit würde dann die Parlamentsposition stehen und wäre bereit für den sogenannten Trilog mit der EU-Kommission und den Mitgliedstaaten.
Letztere erarbeiten im Moment ebenfalls ihre Position im Rat der Europäischen Union. Derzeit finden die Gespräche auf Ebene der Arbeitsgruppe „Vereinfachung“ statt. Es gibt bereits zwei Entwürfe. Wenn der Text final ist, wird er an die Diplomat:innen im „Ausschuss der Ständigen Vertreter“ gegeben. Auf der höchsten Ebene ist der Rat für Allgemeine Angelegenheiten für den KI-Omnibus verantwortlich.
Das Steuer hat dabei die derzeitige Ratspräsidentschaft Zypern in der Hand. Sie hat bereits angekündigt, den KI-Omnibus mit Priorität zu behandeln. Und das nicht ohne Grund: Schließlich sollen im Omnibus die Fristen für Hochrisiko-KI-Systeme angepasst werden, die eigentlich ab dem 2. August 2026 gelten würden. Der Omnibus muss daher spätestens bis zu diesem Datum in Kraft treten.
Insgesamt scheinen sich Rat und Parlament beim KI-Omnibus bisher relativ einig zu sein. Sie tendieren in vielen Punkten dazu, zum ursprünglichen Text der KI-Verordnung zurückzugehen. Unterschiede gibt es selbstverständlich in den Details.
Institutionen warnen vor Datenomnibus
Unübersichtlicher und umstrittener ist die Lage beim Datenomnibus. Während die Zusammenlegung von Datennutzungsgesetzen oder die Vereinfachung der Meldewege bei IT-Sicherheitsvorfällen für relativ wenig Aufregung gesorgt haben, ist um die Datenschutzaspekte des Vorhabens eine heftige Debatte entbrannt.
De EU-Kommission behauptet weiter steif und fest, lediglich technische Änderungen vorgeschlagen zu haben, die das Datenschutzniveau in der EU nicht verändern würden. Inzwischen mehren sich jedoch die Stimmen, die sagen: Vorschläge wie eine erleichterte Nutzbarkeit von Daten für KI, Einschränkungen von Betroffenenrechten oder eine Änderung der Definition personenbezogener Daten würde an Grundpfeilern des Datenschutzes rütteln.
In diesen Chor hat sich vergangene Woche auch der Europäische Datenschutzausschuss (EDSA) eingereiht, in dem die nationalen Datenschutzbehörden der EU zusammenarbeiten. „Einige vorgeschlagene Änderungen geben Anlass zu erheblichen Bedenken, da sie das Schutzniveau für Einzelpersonen beeinträchtigen, Rechtsunsicherheit schaffen und die Anwendung des Datenschutzrechts erschweren können“, heißt es in einer gemeinsamen Erklärung des EDSA mit dem Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski.
Ehemalige Meta-Lobbyistin verhandelt über Datenschutz
Zwar begrüße man einige Vorschläge, die zu tatsächlichen Vereinfachungen führen. Darunter falle etwa eine Anhebung des Risikoschwellenwerts, ab dem eine Datenschutzverletzung der zuständigen Datenschutzbehörde gemeldet werden muss, oder die Verlängerung der Frist für die Meldung von Datenpannen. Auch Vorschläge zu Vereinfachungen bei Cookie-Bannern begrüßen die Datenschützer:innen.
Deutlich länger ist jedoch die Liste der gravierenden Mängel, die die Datenschützer:innen ausmachen. Allen voran kritisieren die Behörden die vorgeschlagene Neudefinition personenbezogener Daten, die pseudonymisierte Daten unter Umständen von der DSGVO ausnehmen würde. Dazu heißt es von der Vorsitzenden des Europäischen Datenschutzausschusses, Anu Talus: „Wir fordern die beiden gesetzgebenden Organe jedoch nachdrücklich auf, die vorgeschlagenen Änderungen der Definition personenbezogener Daten nicht anzunehmen, da sie den Schutz personenbezogener Daten erheblich schwächen könnten.“
Was die beiden angesprochenen Organe, das Europäische Parlament und der Rat der Mitgliedstaaten, mit dem Input der Datenschutz-Expert:innen anfangen werden, ist derzeit noch ziemlich offen. Der Datenomnibus wird zwar in den legislativen Prioritäten für 2026 genannt, auf welche sich die drei EU-Institutionen Ende des Jahres einigten. Das bedeutet: Das Vorhaben soll eigentlich noch in diesem Jahr abgeschlossen werden. Eine Positionierung des Rates ist nach Auskunft von Beobachter:innen in den nächsten Monaten allerdings nicht zu erwarten.
Im Parlament stellt man sich ebenfalls auf langwierige und zähe Verhandlungen ein. Hier teilen sich auch beim Datenomnibus zwei Ausschüsse die Federführung. Während im LIBE-Ausschuss für Bürgerliche Freiheiten die Sozialdemokratin Marina Kaljurand Berichterstatterin für das Thema ist, hat im Industrieausschuss (ITRE) Aura Salla das Ruder übernommen. Die finnische Politikerin von der konservativen Europäischen Volkspartei war von 2020 bis 2023 Chef-Lobbyistin des US-Tech-Konzerns Meta in Brüssel. Mit Blick auf den Datenomnibus sagte sie im Januar auf einer Veranstaltung: „Wir müssen deregulieren, nicht nur vereinfachen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Bundesgesundheitsministerin Nina Warken hat ihre Digitalisierungsstrategie vorgelegt. Darin betont die CDU-Ministerin, die Patient:innensouveränität stärken zu wollen. Tatsächlich aber will sie eine der umfassendsten Gesundheitsdateninfrastrukturen weltweit aufbauen. Nutznießer sind Forschung und Pharma-Unternehmen. Die Rechte der Patient:innen bleiben auf der Strecke.
Ganz auf die Vernetzung von Gesundheitsdaten fokussiert: Gesundheitsministerin Nina Warken (CDU). – Alle Rechte vorbehalten IMAGO / dts Nachrichtenagentur
Rund 75 Millionen gesetzlich Versicherte, ihre Gesundheitsdaten täglich übermittelt an ein nationales Forschungsdatenzentrum, verknüpfbar mit hunderten Medizinregistern und europaweit vernetzt – das ist die Vision von Bundesgesundheitsministerin Nina Warken (CDU).
Die Ministerin präsentierte in der vergangenen Woche ihre „Digitalisierungsstrategie für das Gesundheitswesen und die Pflege“. Darin verspricht Warken eine bessere medizinische Versorgung und mehr Patientensouveränität. Tatsächlich aber zielt ihre Strategie vor allem darauf ab, eine der umfassendsten Gesundheitsdateninfrastrukturen weltweit aufzubauen.
Das knapp 30-seitige Papier legt zugleich die Grundlage für ein umfangreiches „Digitalgesetz“. Den Entwurf will das Bundesgesundheitsministerium (BMG) noch im laufenden Quartal vorlegen. Die Rechte der Patient:innen drohen darin weitgehend auf der Strecke zu bleiben.
Die geplante Dateninfrastruktur ruht auf drei Säulen: die elektronische Patientenakte, das Forschungsdatenzentrum Gesundheit und das geplante Medizinregistergesetz. Das Zusammenspiel aller drei Vorhaben ebnet auch der EU-weiten Vernetzung der Gesundheitsdaten den Weg.
Die ePA soll zur „Gesundheits(daten)plattform“ werden
Alle Versicherten, die nicht widersprochen haben, besitzen seit Januar 2025 eine elektronische Patientenakte (ePA); seit Oktober 2025 sind Behandelnde dazu verpflichtet, sie zu verwenden. Gesundheitsministerin Warken will die ePA nicht nur zum „zentralen Dreh- und Angelpunkt“ der ärztlichen Versorgung machen, sondern auch zur „Gesundheits(daten)plattform“ ausbauen.
Dafür sollen erstens mehr strukturierte Daten in die ePA fließen, die dann „möglichst in Echtzeit für entsprechende Anwendungsfälle nachnutzbar“ sind. Derzeit sind dort vor allem noch PDF-Dateien hinterlegt, die nicht einmal durchsuchbar sind, was den Umgang mit der ePA aus Sicht von Behandelnden deutlich erschwert.
Zweitens soll die ePA weitere Funktionen wie eine digitale Terminvermittlung und elektronische Überweisungen erhalten. Die Patientenakte soll so „auch interessanter werden für diejenigen, die nicht krank sind“, kündigte Warken an. Derzeit nutzen gerade einmal rund 4 Millionen Menschen ihre ePA aktiv. Bis zum Jahr 2030 soll sich ihre Zahl, so das Ziel des BMG, auf 20 Millionen erhöhen.
„Künstliche Intelligenz“ soll Symptome auswerten
Wer sich krank fühlt, soll künftig auch über die ePA-App eine digitale Ersteinschätzung einholen können. Mit Hilfe eines Fragenkatalogs sollen Versicherte dann erfahren, ob ihre Symptome den Gang zur Hausärztin oder gar zur Notfallambulanz rechtfertigen.
Diese Auswertung soll offenbar auch mit Hilfe sogenannter Künstliche Intelligenz erfolgen. Ohnehin soll KI laut Warken „in Zukunft da eingesetzt werden können, wo sie die Qualität der Behandlung erhöht, beim Dokumentationsaufwand entlastet oder bei der Kommunikation unterstützt“. Bis 2028 sollen beispielsweise mehr als 70 Prozent der Einrichtungen in der Gesundheits- und Pflegeversorgung KI-gestützte Dokumentation nutzen – ungeachtet der hohen Risiken etwa für die Patientensicherheit oder die Autonomie der Leistungserbringer.
Dafür will das BMG „unnötigen bürokratischen Aufwand“ für KI-Anbieter reduzieren. Das Ministerium strebt dafür mit Blick auf den Digitalen Omnibus der EU-Kommission „eine gezielte Anpassung der KI-Verordnung“ an. Das umstrittene Gesetzesvorhaben der Kommission zielt darauf ab, Regeln für risikoreiche KI-Systeme hinauszuzögern und den Datenschutz deutlich einzuschränken. Zivilgesellschaftliche Organisationen warnen eindringlich, dass mit dem Omnibus der „größte Rückschritt für digitale Grundrechte in der Geschichte der EU“ drohe.
Forschungsdatenzentrum soll als „Innovationsmotor“ wirken
Die in der ePA hinterlegten Daten sollen aber nicht nur der ärztlichen Versorgung dienen, sondern vor allem auch der Forschung zugutekommen. Sie sollen künftig – sofern Versicherte dem nicht aktiv widersprechen – täglich automatisch an das Forschungsdatenzentrum Gesundheit (FDZ) gehen. Während Warken die ePA als „Dreh- und Angelpunkt“ der Versorgung sieht, beschreibt sie das FDZ als „Innovationsmotor“ der Gesundheitsforschung.
Das FDZ wurde nach jahrelangen Verzögerungen im vergangenen Herbst erst handlungsfähig. Es ist beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) in Bonn angesiedelt. Forschende können sich bei dem Zentrum registrieren, um mit den dort hinterlegten Daten zu arbeiten. Auch Pharma-Unternehmen können sich bewerben. Eine Voraussetzung für eine Zusage ist, dass die Forschung einem nicht näher definierten „Gemeinwohl“ dient.
Die pseudonymisierten Gesundheitsdaten sollen das FDZ nicht verlassen. Stattdessen erhalten Forschende Zugriff auf einen Datenzuschnitt, der auf ihre Forschungsfrage abgestimmt ist. Die Analysen erfolgen in einer „sicheren Verarbeitungsumgebung“ auf einem virtuellen Desktop, das Forschende übers Internet aufrufen können.
Ob dabei tatsächlich angemessene Schutzstandards bestehen, muss indes bezweifelt werden. Denn das Forschungszentrum verfügte in den vergangenen Jahren nicht einmal über ein IT-Sicherheitskonzept, weshalb auch ein Gerichtsverfahren der Gesellschaft für Freiheitsrechte ruht.
Gemeinsam mit der netzpolitik.org-Redakteurin Constanze Kurz hatte die GFF gegen die zentrale Sammlung sensibler Gesundheitsdaten beim FDZ geklagt. Aus ihrer Sicht sind die gesetzlich vorgesehenen Schutzstandards unzureichend, um die sensiblen Gesundheitsdaten vor Missbrauch zu schützen. Sie verlangt daher für alle Versicherten ein voraussetzungsloses Widerspruchsrecht gegen die Sekundärnutzung der eigenen Gesundheitsdaten. Nachdem das FDZ seit Oktober den aktiven Betrieb aufgenommen hat, dürfte das ruhende Verfahren in Kürze fortgesetzt werden.
„Real-World-Überwachung“ ermöglichen
Dessen ungeachtet haben sich laut BfArM-Präsident Karl Broich bereits 80 Einrichtungen beim FDZ registriert. Die Antragsteller kommen zu gleichen Teilen aus Wirtschaft, Verwaltung und Forschung. Mehr als zwei Drittel von ihnen hätten bereits konkrete Forschungsanträge gestellt, bis zum Ende des Jahres will Warken diese Zahl über die Schwelle von 300 hieven. Alle positiv beschiedenen Anträge sollen künftig in einem öffentlichen Antragsregister einsehbar sein.
Zum Jahreswechsel wird das FDZ wohl auch über weit mehr Daten verfügen als derzeit. Bislang übermitteln die gesetzlichen Krankenkassen die Abrechnungsdaten all ihrer Versicherten an das Forschungszentrum. Diese geben bereits Auskunft darüber, welche Leistungen und Diagnosen die Versicherungen in Rechnung gestellt bekommen haben.
Ab dem vierten Quartal dieses Jahres sollen dann nach und nach die Behandlungsdaten aus der ePA hinzukommen. Den Anfang machen Daten aus der elektronischen Medikationsliste, anschließend folgen die Laborfunde, dann weitere Inhalte.
Der baldige Datenreichtum gibt dem FDZ aus Sicht von BfArM-Chef Broich gänzlich neue Möglichkeiten. Er geht davon aus, dass seine Behörde in zehn Jahren bundesweit „einer der großen Daten-Hubs“ ist. Mit den vorliegenden Daten könnten Forschende dann umfassende „Lifecycle-Beobachtungen“ durchführen – „eine Real-World-Überwachung also, die klassische klinische Prüfungen so nicht abdecken können“.
Auch im FDZ soll „Künstliche Intelligenz“ mitwirken. Zum einen in der Forschung selbst: „Dafür arbeiten wir an Konzepten, die Datenschutz, Sicherheit und wissenschaftliche Nutzbarkeit von Beginn an zusammendenken“, sagt Broich. Zum anderen soll das FDZ Datensätze etwa für das Training von Sprachmodellen bereitstellen, wie die Digitalisierungsstrategie des BMG ausführt und auch bereits gesetzlich festgeschrieben ist. Sowohl Training als auch Validierung und Testen von KI-Systemen sind eine zulässige Nutzungsmöglichkeiten. Das bedeutet konkret: Die sensiblen Gesundheitsdaten von Millionen Versicherten können zum Training von Sprachmodellen verwendet werden.
Warken will Medizinregister miteinander verknüpfen
Ab 2028 könnten Trainingsdaten dann auch detaillierte Daten zu Krebserkrankungen enthalten. Denn in knapp zwei Jahren sollen die FDZ-Datenbestände mit Krebsregistern sowie dem Projekt genomDE verknüpft werden, das Erbgutinformationen von Patient:innen sammelt.
Die Datenfülle beim FDZ dürfte damit noch einmal ordentlich zunehmen. Allein die Krebsregister der Länder Bayern, Nordrhein-Westfalen und Rheinland-Pfalz halten Daten von insgesamt mehr als drei Millionen Patient:innen vor. Wer nicht möchte, dass etwa die eigenen Krebsdaten mit den Genomdaten verknüpft werden, muss mindestens einem der Register komplett widersprechen.
Im Gegensatz etwa zu den Krebsregistern der Länder, die auf Basis spezieller rechtlicher Grundlagen arbeiten, bewegen sich die meisten anderen Medizinregister dem BMG zufolge derzeit „in einem heterogenen Normengeflecht von EU-, Bundes- und Landesrecht“, was „die Schaffung einer validen Datenbasis“ behindere.
Das Ministerium hat daher bereits im Oktober das „Gesetz zur Stärkung von Medizinregistern und zur Verbesserung der Medizinregisterdatennutzung“ auf den Weg gebracht. Der Referentenentwurf sieht vor, einheitliche rechtliche Vorgaben und Qualitätsstandards für Medizinregister zu schaffen.
Ein Zentrum für Medizinregister (ZMR), das ebenfalls am BfArM angesiedelt wäre, soll demnach bestehende Medizinregister nach festgelegten Vorgaben etwa hinsichtlich Datenschutz und Datenqualität bewerten. Qualifizierte Register werden dann in einem Verzeichnis aufgeführt, dürfen zu einem festgelegten Zweck kooperieren und auch anlassbezogen Daten zusammenführen. Die personenbezogenen Daten, die dort gespeichert sind, können für die Dauer von bis zu 100 Jahren in den Registern gespeichert werden.
Derzeit gibt es bundesweit rund 350 Medizinregister. Zu den größten zählen das „Deutsche Herzschrittmacher Register“, das die Daten von mehr als einer Million Patient:innen enthält, und das „TraumaRegister DGU“ mit Daten von mehr als 100.000 Patient:innen. Das Gesundheitsministerium geht davon aus, dass etwa drei Viertel der bestehenden Medizinregister Interesse daran haben könnten, in das Verzeichnis des ZMR aufgenommen zu werden.
Verbraucher- und Datenschützer:innen mahnen Schutzvorkehrungen an
Gesundheitsdaten, die dem ZMR vorliegen, sollen ebenfalls pseudonymisiert oder anonymisiert der Forschung bereitstehen. Das geplante Medizinregistergesetz sieht außerdem vor, dass die Daten qualifizierter Register ebenfalls miteinander verknüpft werden können.
Fachleute weisen darauf hin, dass eine Pseudonymisierung insbesondere bei Gesundheitsdaten keinen ausreichenden Schutz vor Re-Identifikation bietet. Das Risiko wächst zudem, wenn ein Datensatz mit weiteren Datensätzen zusammengeführt wird, wenn diese weitere personenbezogene Daten der gleichen Person enthält.
Das Netzwerk Datenschutzexpertise warnt zudem davor, die Krankenversichertennummer in einer Vielzahl von Registern vorzuhalten. Weil im Gesetzentwurf notwendige Schutzvorkehrungen fehlen würden, sei „das Risiko der Reidentifizierung bei derart pseudonymisierten Datensätzen massiv erhöht“.
Der Verbraucherzentrale Bundesverband kritisiert die Menge an personenbezogenen Daten, die laut Gesetzentwurf an qualifizierte Medizinregister übermittelt werden dürfen. Dazu zählen neben sozialdemographischen Informationen auch Angaben zu Lebensumständen und Gewohnheiten sowie „zu einem Migrationshintergrund oder einer ethnischen Zugehörigkeit, der Familienstand oder die Haushaltsgröße“.
Um die Patient:innendaten besser zu schützen, forderte der Verband bereits im November vergangenen Jahres, eindeutig identifizierende Daten vom Kerndatensatz eines Medizinregisters getrennt aufzubewahren.
Gesundheitsministerium schafft Schnittstellen in die EU
Das Gesundheitsministerium lässt sich davon jedoch nicht beirren und strebt weitere Datenverknüpfungen an. Laut seiner Digitalisierungsstrategie will das BMG das Forschungspseudonym auch dazu nutzen, um die Gesundheits- und Pflegedaten „mit Sozialdaten und Todesdaten zu Forschungszwecken“ sowie „mit Abrechnungs- und ePA-Daten“ zu verbinden. Ob Versicherte dieser umfangreichen Datenverknüpfung überhaupt noch effektiv und transparent widersprechen können, ist derzeit zweifelhaft. Sicher aber ist: Der Aufwand dürfte immens sein.
Die Digitalisierungsstrategie macht ebenfalls deutlich, dass das Ministerium die geplanten Maßnahmen auch in Vorbereitung auf den Europäischen Gesundheitsdatenraum (EHDS) ergreift. Der EHDS ist der erste sektorenspezifische Datenraum in der EU und soll als Blaupause für weitere sogenannte Datenräume dienen. Schon in wenigen Jahren sollen hier die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen zusammenlaufen und grenzüberschreitend ausgetauscht werden.
Konkret bedeutet das: In gut drei Jahren, ab Ende März 2029, können auch Forschende aus der EU beim FDZ Gesundheitsdaten beantragen. Und das Zentrum für Medizinregister soll dem BMG zufolge ebenfalls Teil der europäischen Gesundheitsdateninfrastruktur werden.
Der größte Brückenschlag in der Gesundheitsdateninfrastruktur steht also erst noch bevor. Und auch hier bleibt die Ministerin eine überzeugende Antwort schuldig, was die Versicherten davon haben.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Daten zu mehr als 700 Personen standen im Netz, weil das Bezirksamt Berlin-Mitte aus Versehen die Vorschlagslisten für die Schöff:innen-Wahl 2024 veröffentlichte. Schöff:innen wurden in der Vergangenheit schon wegen ihres Amts bedroht, sie müssen sich auf den Schutz ihrer Informationen verlassen können.
Schöff:innen sind ehrenamtliche Richter:innen in Strafprozessen, hier in Bochum. – Alle Rechte vorbehalten IMAGO / Funke Foto Services
Im Jahr 2023 bewirbt sich Marie als Schöffin in Berlin. „Ich wollte aktiv Verantwortung in der Gesellschaft übernehmen und an diesem demokratischen Prozess mitwirken“, sagt sie, die in Wirklichkeit anders heißt. Eine juristische Vorbildung hat sie nicht. Doch die ist auch gar nicht notwendig, um ehrenamtliche Richterin zu werden.
Mehr als 60.000 Menschen in Deutschland sind Schöff:innen. Die ehrenamtlichen Richter:innen begleiten Strafverfahren an Amts- und Landgerichten und sind formal den Berufsrichter:innen gleichgestellt, gewählt werden sie für eine Dauer von 5 Jahren. Wer als Schöff:in bestimmt wird, kann das nur mit einer besonderen Begründung ablehnen. Die aktuelle Amtszeit geht bundesweit von 2024 bis 2028.
Wie andernorts in Deutschland bereiten sich auch die Berliner Bezirke im Jahr 2023 auf die Wahl der neuen Schöff:innen an Strafgerichten und zusätzlich der ehrenamtlichen Richter:innen an Verwaltungsgerichten vor. Viele Menschen bewerben sich wie Marie freiwillig auf das Schöff:innen-Amt. Da, wo in der Bundeshauptstadt nicht genügend freiwillige Bewerber:innen zusammenkommen, unter anderem in Berlin-Mitte, werden zusätzlich zufällig ausgewählte Personen auf eine Vorschlagsliste aufgenommen.
Bei einer Sitzung im Frühjahr 2023 beschließt das Bezirksamt Mitte dann seine finale Vorschlagsliste, über die später die Bezirksverordnetenversammlung abstimmen wird. Der Vorgang wird, wie andere Beschlüsse, auf der Website des Bezirksamts veröffentlicht. Doch aus Versehen geraten auch die kompletten Vorschlagslisten ins Netz, auf ihnen eine Menge personenbezogene Daten: „Schöffenvorschlagsliste 2023 männlich freiwillig“ oder „Ehrenamt Richterin“ heißen diese. Gemeinsam enthalten sie mehr als 700 Namen mit Postleitzahl des Wohnorts, Geburtsjahr, teils erlerntem und ausgeübtem Beruf sowie bei einer der Listen sogar die genaue Anschrift und das exakte Geburtsdatum von 16 Personen. Eine Datenpanne.
Aus Versehen „Ja“ eingetragen
Im Gerichtsverfassungsgesetz ist zwar festgelegt, dass die Vorschlagslisten für neue Schöff:innen eine Woche lang zur Einsicht in der Gemeinde ausgelegt werden. In dem Formular für die Berliner Kandidat:innen heißt es jedoch extra, diese Listen würden „nur in gedruckter Form“ zur Einsicht bereitgestellt. Auch die Wochenfrist der Auslage überschreitet die Veröffentlichung des Bezirksamts deutlich.
Doch wie konnte es zu der Veröffentlichung kommen? Auf Anfrage von netzpolitik.org antwortet das Bezirksamt Mitte: „Im Protokoll der entsprechenden Bezirksamtssitzung war unter der Rubrik ‚Veröffentlichung‘ versehentlich ‚Ja‘ eingetragen worden.“ Dieser Fehler sei nicht aufgefallen, „weder dem Bezirksamts-Gremium bei der finalen Freigabe des Protokolls noch später im Geschäftsbereich, aus dem die Bezirksamts-Vorlage kam, noch im Büro der Bezirksbürgermeisterin, das die Bezirksamts-Vorlage ins Netz geladen hat“.
So stehen die Listen im Jahr 2023 mehrere Wochen online, bis jemand einen Hinweis gibt. „Eine betroffene Person wandte sich seinerzeit an das Wahlamt“, schreibt das Bezirksamt Mitte. Man nimmt daraufhin die Listen aus dem Netz. Wann genau das geschah, kann das Bezirksamt nicht mehr sagen, „jedenfalls zeitnah nach Veröffentlichung“, heißt es auf Anfrage. Eine Meldung an die Berliner Datenschutzbehörde erfolgt damals nicht, auch die Betroffenen bekommen keine Benachrichtigung.
Ein Sprecher der Berliner Datenschutzbehörde bestätigt auf Nachfrage von netzpolitik.org, dass ein Vorfall standardmäßig „binnen 72 Stunden nach Bekanntwerden zu melden“ ist. Warum das damals nicht geschah, lässt sich heute nicht mehr nachvollziehen. Doch das Bezirksamt versäumt noch etwas anderes und denkt nicht daran, dass die Listen auch noch andernorts zu finden sein könnten, etwa im Internet Archive. Das Projekt hat sich der Langzeitarchivierung digitaler Daten verschrieben und bietet unter anderem Einblicke in historische Versionen von Websites. Und so bleiben auch die Vorschlagslisten für Schöff:innen weitere Jahre im Netz. Bis zu einem weiteren Hinweis aus unserer Redaktion Anfang Januar 2026.
Betroffene fühlen sich verunsichert und verwundbar
Diesmal reagiert das Bezirksamt umfangreich und informiert seine interne Datenschutzbeauftragte. Die meldet den Sachverhalt an die Berliner Datenschutzbehörde. Auch an das Internet Archive habe man sich direkt gewandt, heißt es gegenüber netzpolitik.org, und eine „unverzügliche Löschung beantragt“. Betroffene seien ebenfalls per Brief informiert worden. Nach unseren Informationen ist dies mittlerweile auch bei einigen der Menschen auf der Liste passiert, wie stichprobenartige Nachfragen ergeben haben.
Marie, die sich 2023 für das Schöff:innen-Amt beworben hatte, war „fassungslos“, als sie erfuhr, dass ihre persönlichen Daten im Netz veröffentlicht waren. „Ich war davon ausgegangen, dass sensible Informationen verantwortungsvoll geschützt werden“, sagt sie im Gespräch. Dass das bei der Vorschlagsliste offenbar nicht geklappt hat, habe in ihr Verunsicherung und ein Gefühl von Hilflosigkeit sowie Verwundbarkeit ausgelöst. Denn im Gegensatz zur zeitlich begrenzten öffentlichen Auslage in der Gemeinde gebe es bei der Veröffentlichung im Netz ein viel größeres Publikum – „eines, das man damit nie erreichen wollte“.
Die Tragweite des Vorfalls ist auch dem Bezirksamt offenbar bewusst. „Aus datenschutzrechtlicher Sicht handelt es sich um eine unbeabsichtigte Offenlegung personenbezogener Daten“, schreibt das Bezirksamt gegenüber netzpolitik.org. In der zugehörigen Meldung an die Berliner Datenschutzbehörde gibt das Amt unter der Frage „Welche Folgen für die Betroffenen halten Sie für wahrscheinlich?“ folgende Punkte an: „Gesellschaftliche Nachteile, Identitätsdiebstahl oder -betrug, Bedrohung, Erpressung im Kontext der Tätigkeit als Schöff:innen/Richter:innen“.
Schöff:innen verdienen besonderen Schutz
Potenzielle Schöff:innen sind in Strafverfahren besonders exponiert. Das zeigt etwa ein beinahe historischer Fall aus dem Jahr 1995. Mehrere ehrenamtliche Richter:innen verweigerten damals die Zusammenarbeit mit einem Mannheimer Richter, der in einer Urteilsbegründung den damaligen NPD-Chef und Holocaustleugner Günter Deckert „Charakterstärke, tadellose Eigenschaften und einen vorzüglichen persönlichen Eindruck“ attestiert hatte. Einige der verweigernden Schöff:innen bekamen daraufhin Drohungen.
Und erst im vergangenen Jahr zeigte ein weiterer Fall in Berlin, wie sehr Schöff:innen ins Visier geraten können. Damals verfolgte ein Angeklagter aus der sogenannten Querdenker-Szene einen Schöffen im Anschluss an seine Verhandlung. Er bedrängte den Ehrenamtsrichter vor dem Gerichtsgebäude und wollte ihn festhalten. Dem Schöffen gelang es aber, sich in Sicherheit zu bringen.
Ein Sprecher der Berliner Datenschutzbeauftragten schreibt: „Angemessene Datenschutzvorkehrungen sind bei ehrenamtlichem Engagement in öffentlich exponierten Ämtern wie dem Schöffenamt essenziell, insbesondere um die betroffenen Personen vor Belästigung, Bedrohung oder unzulässiger Einflussnahme zu schützen. Gerade Ehrenamtliche, die sich ohne gesonderte Vergütung oder neben ihrem Hauptberuf für das Gemeinwohl einsetzen, verdienen besonderen Schutz ihrer Privatsphäre, damit ihr Engagement nicht zu persönlichen Nachteilen oder Gefährdungen führt.“ Der Sprecher betont weiter, dass es sich beim Schöff:innen-Amt um eine „Bürgerpflicht“ handele. Die Vorgeschlagenen müssten sich auf eine rechtskonforme Datenverarbeitung verlassen können, „unabhängig davon, ob sie sich freiwillig gemeldet haben oder ausgelost wurden“.
Für die Zukunft müsse es „geeignete organisatorische Maßnahmen“ geben, um derartige Vorfälle zu verhindern, so das Bezirksamt. Es will nun nachbessern. Als Beispiele nennt es „die Erarbeitung von Regeln und Prüfschritten für Veröffentlichungsprozesse und verstärkte Sensibilisierung der Beschäftigten für datenschutzrechtliche Anforderungen bei Anlagen mit personenbezogenen Daten“.
Dass das Bezirksamt seine Prozesse überarbeitet, wünscht sich auch Marie. „Da muss eine Aufarbeitung stattfinden, damit sensible Daten bestmöglich geschützt werden.“ Auch eine Entschuldigung und eine Erklärung, wie das passieren konnte, würde sie sich wünschen. Ob sie sich nach dem Datenschutzvorfall noch einmal auf das Schöff:innen-Amt bewerben würde? Nein, sagt Marie. An dieser Entscheidung hat auch der Datenschutz-Vorfall einen großen Anteil. Und sie fürchtet, dass solche Vorkommnisse auch andere abhalten könnten, sich freiwillig zu melden.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die EU-Kommission will pseudonymisierte Daten teilweise von der Datenschutzgrundverordnung ausnehmen. Jetzt äußert sich erstmals eine deutsche Datenschutzbeauftragte. Meike Kamp übt deutliche Kritik an den Plänen und glaubt, die Kommission habe ein Urteil des Europäischen Gerichtshofes missverstanden.
Wenn die Person dahinter nicht mehr erkannt werden kann, sollen Daten künftig nicht mehr von der DSGVO geschützt sein – Gemeinfrei-ähnlich freigegeben durch unsplash.com Oscar Keys
Die Berliner Datenschutzbeauftragte Meike Kamp hat sich kritisch zu Plänen der EU-Kommission für eine Anpassung der Datenschutzgrundverordnung positioniert. „Die EU-Kommission rüttelt an den Grundpfeilern des Datenschutzes“, sagte sie gestern auf einer Veranstaltung ihrer Behörde zum Europäischen Datenschutztag in Berlin. Kamp kritisierte insbesondere den Vorschlag, pseudonymisierte Daten unter Umständen von der Datenschutzgrundverordnung (DSGVO) auszunehmen.
Mit dem sogenannten digitalen Omnibus will die EU-Kommission Teile ihrer Digitalgesetzgebung in den Bereichen Daten, KI und IT-Sicherheit überarbeiten. Die Kommission betont, es gehe ihr bei dem Sammelgesetz nur um Vereinfachungen und eine Zusammenlegung sich überlappender Rechtsakte. Kritiker:innen wenden ein, dass es sich dabei auch um einen Rückbau von Schutzstandards und den Auftakt einer umfassenden Deregulierung handelt.
Tatsächlich enthält der Gesetzesvorschlag beides. Er fasst mehrere Datennutzungsgesetze zusammen und vereinfacht Meldewege für IT-Sicherheitsvorfälle. Gleichzeitig schiebt er aber auch zentrale Regeln der noch jungen KI-Verordnung auf. Im Datenschutzbereich sollen außerdem Auskunftsrechte von Betroffenen eingeschränkt werden und sensible personenbezogene Daten sollen leichter für das Training von KI-Modellen genutzt werden können. Ebenfalls enthalten sind neue Regeln für Cookie-Banner.
Wann gelten pseudonymisierte Daten als personenbezogen?
In der datenschutzrechtlichen Fachdebatte kristallisiert sich inzwischen vor allem ein Vorschlag als Streitpunkt heraus: Die Kommission will verändern, was überhaupt als personenbezogene Daten gilt. Genauer gesagt will sie erreichen, dass pseudonymisierte Daten unter bestimmten Umständen gar nicht mehr als personenbezogen gelten und somit nicht mehr der DSGVO unterliegen. Pseudonymisierung bedeutet, dass Daten sich nicht mehr einer Person zuordnen lassen, ohne weitere Informationen hinzuzuziehen. In der Praxis heißt das oft: Statt mit dem Namen Namen oder der Telefonnummer einer Person werden ihre Daten mit einer Nummer versehen, die als Identifikator fungiert. Durch komplexe Verfahren kann man die Re-Identifikation erschweren, doch bislang gelten auch pseudonymisierte Daten oft als personenbezogen. Jedenfalls so lange, bis eine Rückverknüpfung gänzlich ausgeschlossen ist, denn dann gelten sie als anonymisiert.
Die EU-Kommission will nun einen relativen Personenbezug einführen. Vereinfacht gesagt heißt das: Wenn jemand bei der Verarbeitung von pseudonymisierten Daten nicht ohne Weiteres in der Lage ist, die Person dahinter zu re-identifizieren, sollen die Daten nicht mehr als personenbezogen gelten. Bei der Weitergabe pseudonymisierter Daten sollen diese nicht allein deshalb als personenbezogen gelten, weil der Empfänger möglicherweise über Mittel der Re-Identifikation verfügt.
Die Neudefinition soll es erleichtern, Daten zu nutzen und weiterzugeben. Das soll Innovationen ermöglichen. Wie eine Analyse von Nichtregierungsorganisationen kürzlich gezeigt hat, hatten vor allem große US-Tech-Konzerne Schritte in diese Richtung vehement gefordert.
Ringen um EuGH-Urteil
Meike Kamp sieht darin eine gravierende Einschränkung der Datenschutzgrundverordnung, wie sie bei der Eröffnungsrede [PDF] der Veranstaltung ihrer Behörde zu den Themen Anonymisierung und Pseudonymisierung darlegte.
Verdeutlich hat sie ihre Befürchtung am Beispiel Online-Tracking. Denn bei der Versteigerung von Werbeplätzen für zielgerichtete Werbung im Internet werden pseudonymisierte Daten an zahlreiche Firmen verschickt. „Verfügen diese Stellen nun über die Mittel, die natürlichen Personen zu identifizieren, oder gilt das nur für die eine Stelle, die die Webseite betreibt?“, so Kamp. Mit dem digitalen Omnibus sei es jedenfalls schwer zu argumentieren, dass sie von der DSGVO umfasst werden.
Schon heute tun sich Datenschutzbehörden schwer damit, die komplexen Datenflüsse im undurchsichtigen Ökosystem der Online-Werbung zu kontrollieren und Datenschutzverstöße zu ahnden. Die Databroker-Files-Recherchen von netzpolitik.org und Bayerischem Rundfunk hatten erst kürzlich erneut gezeigt, dass unter anderem Standortdaten aus der Online-Werbung bei Datenhändlern angeboten werden und sich damit leicht Personen re-identifizeren lassen – auch hochrangige Beamte der EU-Kommission. Zahlreiche zivilgesellschaftliche Organisationen hatten in einem offenen Brief die Sorge geäußert, dass die Praktiken der außer Kontrolle geratetenen Tracking-Industrie legitimiert werden könnten.
Die EU-Kommission beruft sich bei ihrem Vorschlag auch auf jüngste Rechtsprechung des Europäischen Gerichtshofes (EuGH) zum Thema Pseudonymisierung. Kamp kritisierte, dass dies auf einer Fehlinterpretation oder selektiven Lesart eines Urteils beruhe. Tatsächlich habe das Gericht klargestellt, dass pseudonymisierte Daten nicht immer personenbezogen seien, so Kamp. Wohl aber führe laut EuGH bereits die potenzielle Re-Identifizierbarkeit bei einem künftigen Empfänger dazu, dass die Daten als personenbezogen gelten müssen.
Auch Alexander Roßnagel übt Kritik
Kamps Einlassung ist die erste klare Äußerung einer deutschen Datenschutzbeauftragten zu dem Streitthema. Dem Vernehmen nach teilen nicht alle ihre Kolleg:innen ihre kritische Auffassung zur Pseudonymisierungsfrage. Eine offizielle Positionierung der Datenschutzkonferenz, deren Vorsitz Meike Kamp bei der Veranstaltung gestern turnusgemäß an ihren baden-württembergischen Kollegen Tobias Keber abgegeben hat, wird deshalb mit Spannung erwartet. Auch der Europäische Datenschutzausschuss hat sich noch nicht zum digitalen Omnibus positioniert.
Auf einer anderen Veranstaltung am gestrigen Mittwoch äußerte jedoch bereits einer von Kamps Kollegen ebenfalls deutliche Kritik: Der hessische Datenschutzbeauftragte Alexander Roßnagel. Er bezeichnete den Pseudonymisierungsvorschlag der Kommission als zu undifferenziert, sodass die Gefahr bestehe, dass das Schutzniveau der DSGVO deutlich sinke. Roßnagel hatte vor seiner Amtsübernahme lange eine Professur für Datenschutzrecht inne und ist einer der anerkanntesten Datenschutzjuristen des Landes.
Während der Datenschutzaktivist Max Schrems auf der Veranstaltung der Europäischen Akademie für Datenschutz und Informationsfreiheit ebenfalls heftige Kritik äußerte, verteidigte Renate Nikolay die Vorschläge. Als stellvertretende Generaldirektorin der EU-Generaldirektion für Kommunikationsnetze, Inhalte und Technologien trägt sie maßgebliche Verantwortung für den digitalen Omnibus.
Nikolay beharrte darauf, dass die Kommission beim Thema Pseudonymisierung lediglich die Rechtsprechung des EuGH umsetze. Der Vorschlag senke das Schutzniveau der Datenschutzgrundverordnung nicht ab. Zudem sei nicht zu befürchten, dass Datenhändler sich auf den relativen Personenbezug berufen und sich somit der Aufsicht entziehen könnten.
Kamp: Lieber Pseudonymisierung voranbringen, als Begriffe aufzuweichen
Grundsätzlich zeigte sich die EU-Beamtin jedoch offen für Nachbesserungen am digitalen Omnibus. Die Kommission habe einen Aufschlag gemacht und es sei klar, dass dieser verbessert werden könne. Derzeit beraten das EU-Parlament und der Rat der Mitgliedstaaten über ihre Positionen zu dem Gesetzespaket. Es wird erwartet, dass die Beratungen aufgrund des hohen Drucks aus der Wirtschaft schnell vorangehen.
Die Botschaft der Berliner Datenschutzbeauftragten für die Verhandlungen ist jedenfalls klar: Der Vorschlag der EU-Kommission zur Pseudonymisierung ist „der falsche Weg“. Stattdessen sprach Kamp sich für eine Stärkung von Verfahren der Pseudonymisierung und Anonymisierung aus.
Wie das konkret aussehen, zeigte die Veranstaltung ihrer Behörde zu Anonymisierung und Pseudonymisierung. Dort stellten Forscher:innen und Datenschützer:innen Projekte aus der Praxis vor. So etwa einen Ansatz zur Anonymisierung von Daten beim vernetzen Fahren oder ein Projekt, das maschinelles Lernen mit anonymisierten Gesundheitsdaten ermöglicht. Kamps Fazit: „Statt Begrifflichkeiten aufzuweichen, sollten wir solide Pseudonymisierung wagen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
CDU und SPD wollen in Berlin eine zentrale Gesundheitsdatenbank an der Charité aufbauen. Doch die Berliner Datenschutzbeauftragte kritisierte das Vorhaben der Koalition scharf und fordert Nachbesserungen. Wir veröffentlichen ihren Brandbrief.
Die Berliner Datenschutzbeauftragte Meike Kamp übt Kritik an der geplanten Gesundheitsdatenbank. – Alle Rechte vorbehalten IMAGO / Funke Foto Services; Bearbeitung: netzpolitik.org
Die rot-schwarze Koalition in Berlin wollte die Charité dazu befähigen, auf Basis eines reformierten Universitätsmedizingesetzes eine neue Gesundheitsdatenbank aufzubauen. Ziel ist es, den Standort Berlin als Zentrum für Wissenschaft, Forschung, Lehre und Innovation zwischen Hochschulen und Instituten zu fördern. Wie sensible personenbezogene Daten geschützt werden, bleibt in dem Vorhaben jedoch unklar, kritisiert die Berliner Datenschutzbeauftragte Meike Kamp.
Als dringliche Beschlussempfehlung hatten CDU und SPD am 15. Januar eine Änderungsvorlage ins Abgeordnetenhaus eingebracht, bevor sich Kamp am 20. Januar einschaltete. Nach scharfer Kritik in einem Brandbrief, den wir veröffentlichen, teilte der Sprecher für Inneres der SPD-Fraktion, Martin Matz, nun die vorläufige Verfahrenseinstellung mit.
Matz zeigte sich Kamps Kritik gegenüber offen. Die Datenbank-Pläne erachte er aber weiterhin als wichtig und will das Vorhaben bis 2029 verwirklichen. Wie es mit dem Vorhaben weitergeht, ist derzeit allerdings offen: In der heutigen Plenarsitzung stand das Thema auf der Tagesordnung, wurde dann aber kurzfristig vertagt.
Senat verstößt gegen Berliner Datenschutzgesetz
Betreffen neue Gesetzesvorhaben den sensiblen Bereich der personenbezogenen Datenverarbeitung – wie in diesem Fall von Gesundheitsdaten – schreibt das Berliner Datenschutzgesetz vor, die Datenschutzbeauftragte verpflichtend zu konsultieren.
Den Kontakt hatten in diesem Fall aber weder Senat noch Abgeordnetenhaus gesucht. Laut des Brandbriefs hatte die Koalition das vor dem parlamentarischen Beschluss auch nicht mehr vor. Schließlich hatten offenbar Teile der Opposition die Datenschutzbehörde auf den Änderungsentwurf hingewiesen.
Unklar ist bisher auch, warum die Charité als weitere betroffene Partei nicht in das Vorhaben einbezogen wurde. Schließlich wäre sie das ausführende Organ gewesen. Nach Angaben eines Sprechers der Charité war sie weder Initiator noch auf andere Weise in die Formulierung des Änderungsentwurfs eingebunden.
Zweck der Datenbank nicht ersichtlich
Kritisch beurteilte Kamp den Änderungsentwurf außerdem hinsichtlich unklarer und unverständlicher Inhalte. Die Datenbank soll mit nicht personenbezogenen Daten gefüttert werden, heißt es im ersten Absatz des neuen Paragraphen. Jedoch würden die folgenden Absätze dann nur Regelungen für den Umgang mit personenbezogenen Daten behandeln.
Es sei daher anzunehmen, dass an der Charité erhobene personenbezogene Daten in nicht personenbezogene Daten umgewandelt werden. Dafür wären dann Vorgaben für Anonymisierungsverfahren notwendig. Angaben, um welche Daten es konkret gehe, wer sie erheben soll und wie sie anonymisiert und in die Datenbank eingespeist werden sollen, fehlen jedoch.
Die jetzige Fassung sehe außerdem eine „staatenübergreifende Nutzung“ vor. Daten könnten somit auch an Dritte außerhalb der EU übermittelt werden. Handele es sich dann doch um personenbezogene Daten, greifen für diesen Fall bestehende Regelungen, unter anderem die Datenschutzgrundverordnung.
Die Notwendigkeit einer neuen Vorschrift bleibt unklar, urteilt Kamp. Erst einmal müsse der Zweck einer neuen Gesundheitsdatenbank verdeutlicht werden. Dann könne geprüft werden, ob dafür eine Erweiterung der bestehenden Gesetzeslage nötig wäre.
Datenschutz zuerst
Tobias Schulze, Fraktionsvorsitzender für die Linke im Berliner Abgeordnetenhaus, schließt sich der geäußerten Kritik an: „Solche Nachlässigkeiten können wir uns besonders in dem sensiblen Bereich von Gesundheitsdaten nicht leisten. Forschung mit Gesundheitsdaten kann sinnvolle Dienste leisten. Gerade damit dieser Mehrwert nicht delegitimiert wird, ist wirkungsvoller Datenschutz besonders wichtig.“
Anonymisierung und Pseudonymisierung sind entscheidende Schritte auf dem Weg dahin, da sie „wichtige Maßnahmen für eine datenschutzkonforme und datensparsame Datenverarbeitung“ darstellen, betont Simon Rebiger, Pressesprecher der Berliner Datenschutzbeauftragten gegenüber netzpolitik.org.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Anonymisierte Daten dürfen nicht mit verfügbaren Zusatzinformationen auf eine betroffene Person zurückzuführen sein, betont Rebiger. Bei vielen Methoden verbleiben jedoch Restrisiken. Schätzen Verantwortliche diese nach allgemeinem Ermessen als unbeachtlich ein, gelten Daten als anonym und unterliegen nicht mehr dem Datenschutzrecht.
Im Unterschied dazu müsse bei der Pseudonymisierung nur sichergestellt sein, dass eine bestimmte Personengruppe, der die Daten zugänglich gemacht wird, Betroffene in keinem Fall identifizieren kann, so Rebiger. In solchen Fällen können pseudonymisierte Daten unter bestimmten Umständen als anonym gelten. Ansonsten bleiben die Daten personenbezogen und sind datenschutzrechtlich beschränkt.
Derzeit erarbeitet die Datenschutzkonferenz praktische Hilfestellungen für auf Einzelfälle zugeschnittene Verfahren. Sensible Gesundheitsdaten werden zum Beispiel bei der Übermittlung von Daten aus dem Krebsregister erfasst oder wenn KI-Modelle mit radiometrischen Aufnahmen trainiert werden.
Hier das Dokument in Volltext:
Viertes Gesetz zur Änderung des Berliner Universitätsmedizingesetzes (Drucksache 19/2763)
Änderungsantrag der Fraktion der CDU und der Fraktion der SPD
Dringliche Beschlussempfehlung des Ausschusses für Wissenschaft und Forschung vom 12. Januar 2026
Hier: § 38 Zentrale Gesundheitsdatenbank
Sehr geehrte Frau Präsidentin,
sehr geehrte Vorsitzende der Ausschüsse des Abgeordnetenhauses von Berlin,
ich nehme Bezug auf einen Änderungsantrag zum Vierten Gesetz zur Änderung des Berliner Universitätsmedizingesetzes der Fraktion der CDU und der Fraktion der SPD, der im Ausschuss für Wissenschaft und Forschung am 12. Januar 2026 angenommen und zur dringlichen Beschlussfassung in die 78. Plenarsitzung am 15. Januar 2026 eingebracht wurde.
Die dringliche Beschlussempfehlung sieht durch Einfügung eines neuen § 38 in das Berliner Universitätsmedizingesetz die Errichtung einer zentralen Gesundheitsdatenbank durch die Charité vor, die entsprechend mit Verarbeitungen von Gesundheitsdaten einhergeht. Ich bin entgegen der Vorgaben aus § 11 Abs. 2 Satz 2 Berliner Datenschutzgesetz bisher nicht zu diesem Gesetzesentwurf beteiligt bzw. angehört worden, obwohl die mit der Vorschrift vorgesehenen Errichtung einer zentralen Gesundheitsdatenbank auch die Verarbeitung von personenbezogenen Gesundheitsdaten und damit besonders sensible Bereiche der personenbezogenen Datenverarbeitung betrifft. Irritierend ist insbesondere, dass – wie die Erörterung in der Sitzung des Ausschusses für Wissenschaft und Forschung zeigte – die Beteiligung meiner Behörde auch vor Beschlussfassung im Parlament bewusst nicht mehr vorgesehen ist.
Auch inhaltlich ist die vorgeschlagene Regelung zu kritisieren: Abgesehen davon, dass die Beschlussempfehlung und der Änderungsantrag keine Begründung enthalten, aus welchen Grün- den aus Sicht des Gesetzgebers die Errichtung einer Gesundheitsdatenbank notwendig erscheint, ist der Gesetzesentwurf in seiner derzeitigen Form unklar und unverständlich. Meinen für den Bereich Wissenschaft und Forschung zuständigen Mitarbeiter:innen, die eine besondere Expertise in Bezug auf die Voraussetzungen für die Zulässigkeit der Verarbeitung personenbezogener Gesundheitsdaten haben, erschließt sich der konkrete Regelungsgehalt des § 38 des Entwurfs nicht. Ich habe daher erhebliche Zweifel, ob den Rechtsanwender:innen, insbesondere in der Charité und unter den Forschenden, die Voraussetzungen der Norm in der derzeitigen Fassung verständlich werden wird.
Dies möchte ich im Einzelnen erläutern:
Nach Abs. 1 soll eine zentrale Datenbank mit „nicht personenbezogenen Gesundheitsdaten“ errichtet werden. Aus der Vorschrift wird nicht klar, was hierunter zu verstehen ist und woher diese Daten stammen. Es ist davon auszugehen, dass es sich um die Gesundheitsdaten handelt, die die Charité im Rahmen der Behandlung und Versorgung ihrer Patient:innen erhoben hat. Damit diese personenbezogenen Daten nicht mehr personenbezogen sind, muss zunächst eine Anonymisierung durch die Charité erfolgen. Dies setzt eine Regelung voraus, die die Verarbeitung der Daten zum Zweck der Anonymisierung zum Gegenstand hat. Eine solche enthält die Vorschrift jedoch nicht.
Abs. 3 legt fest, dass eine „staatenübergreifende Nutzung“ der Datenbank zulässig sein soll, sofern die „Vorgaben des Datenschutzes“ eingehalten werden. Fragen wirft an dieser Stelle bereits auf, dass in Absatz 1 der Vorschrift von einer Datenbank mit nicht personenbezogenen Daten die Rede ist, hier jedoch auf die Vor- gaben des Datenschutzes hingewiesen wird. Zudem ist die Vorschrift unbestimmt und zeigt keinen klaren Regelungsinhalt auf. Eine „staatenübergreifende Nutzung“ ist nichts anderes als eine Übermittlung oder eine Offenlegung der entsprechenden Daten an Dritte außerhalb Deutschlands oder der EU. Entsprechende Regelungen finden sich bereits in § 25 LKG bzw. in § 6 Abs. 3 GDNG sowie bei möglicher Drittstaatenübermittlung in Kapitel V der DSGVO.
Abs. 4 S. 1 regelt sodann, dass auch personenbezogene Daten „im Rahmen einer Nutzungsvereinbarung“ zu erheben sind. Gänzlich unklar bleibt, was unter einer solchen Nutzungsvereinbarung verstanden und zwischen wem eine solche Nutzungsvereinbarung geschlossen werden soll. Ferner bleibt unklar, durch wen hier- bei welche Stellen personenbezogenen Daten erhoben werden sollen, und ob und inwieweit diese in die Gesundheitsdatenbank aufzunehmen sind
Ferner sind nach Abs. 4 S. 2 „anderweitig erhobene und für Forschung und Lehre relevante Daten unter den Voraussetzungen des § 17 BlnDSG […] in die Gesundheitsdatenbank aufzunehmen“. Diese Vorschrift ist ebenfalls unbestimmt und erfüllt den verfassungsgemäßen Grundsatz der Bestimmtheit des Gesetzes nicht. Zunächst ist unklar, welche Daten in die Gesundheitsdatenbank aufgenommen werden sollen. Aus der Formulierung „anderweitig erhoben“ wird nicht deutlich, wer diese Daten erhoben haben soll (ggf. die Charité). Ferner ist unklar, in welchen Kontexten die Daten erhoben worden sein sollen. Darüber hinaus ist nicht klar, ob es sich um Gesundheitsdaten handeln soll, was ausdrücklich im Gesetzestext zu benennen wäre. Um dem verfassungsrechtlichen Bestimmtheitsgebot gerecht zu werden, müsste explizit beschrieben werden, in welchem Zusammenhang von wem welche personenbezogenen Daten erhoben worden sind.
Die Formulierung, dass „für Forschung Lehre relevante Daten“ aufzunehmen sind, ist ebenfalls zu unbestimmt. Unklar bleibt, was unter „Relevanz“ zu verstehen ist und wer über diese Relevanz entscheidet.
Auch der Verweis auf § 17 BlnDSG ist nicht verständlich. Zunächst ist anzumerken, dass das BlnDSG nach § 2 Abs. 1 BlnDSG für die Verarbeitung personenbezogener Daten durch Behörden und sonstige öffentliche Stellen des Landes Berlin gilt. Sollte hiermit die Charité angesprochen werden, ist § 25 LKG eine speziellere Norm, die vorrangig anzuwenden wäre. Für Forschende, Studierende oder sonstige Nutzende kann § 17 BlnDSG keine Anwendung finden, weil es sich bei diesem Personenkreis um keine öffentlichen Stellen des Landes Berlin handelt, für die das BlnDSG ausschließlich Anwendung findet (§ 2 Abs. 1 BlnDSG).
Ferner enthält Abs. 4 S. 2 eigene Voraussetzungen, die vor Aufnahme der Daten in die Gesundheitsdatenbank zu beachten sind. Gänzlich unklar bleibt das Verhältnis dieser Voraussetzungen zu den in § 17 BlnDSG und § 25 LKG formulierten Voraussetzungen, die die Verarbeitung von (Gesundheits-)Daten zu wissenschaftlichen Forschungszwecken zum Gegenstand haben. Es wird nicht deutlich, welche Regelungen des § 17 BlnDSG und § 25 LKG entsprechend gelten sollen und in welchem Verhältnis diese Rechtsgrundlagen zur Verarbeitung der Daten in der Gesundheitsdatenbank stehen. Hierbei ist ebenfalls nicht nachvollziehbar, wie diese Voraussetzungen erfüllt werden können oder welche Voraussetzungen konkret zu erfüllen sind.
Abs. 4 S. 2 regelt ausdrücklich die Aufnahme der Daten in die Gesundheitsdatenbank, nicht die erst nachgelagerte Nutzung durch Forschende oder Studierende. Abs. 4 S. 2 Nr. 2 regelt jedoch beispielsweise als Voraussetzung, dass „der Forschungszweck die Möglichkeit der Zuordnung erfordert, die betroffene Person zu diesem Zweck eingewilligt hat“. Diese Voraussetzung kann jedoch erst dann geprüft werden und erfüllt sein, wenn eine Nutzung der Datenbank für ein Forschungsvorhaben erfolgen soll. Der Forschungszweck ergibt sich nämlich erst aus einem konkreten Forschungsvorhaben, für das eine Nutzung der in der Gesundheitsdatenbank aufgenommenen Daten beantragt wird. Für die vorgelagerte und hier ausschließlich geregelte Aufnahme der Daten in die Gesundheitsdatenbank kann die Voraussetzung des Nr. 2 daher nicht geprüft werden. Dasselbe gilt für die Voraussetzung Nr. 3, nach der das öffentliche Interesse an der Durchführung eines konkreten Forschungsvorhabens überwiegen muss und der konkrete Forschungszweck nicht auf andere Weise zu erreichen ist.
Gänzlich unbeachtet bleibt bei Abs. 4 S. 2 auch, dass die Datenbank nach Abs. 2 nicht nur zu wissenschaftlichen und forschungsbezogenen, sondern auch zu lehrbezogenen und innovationsorientierten Zwecken genutzt werden soll, über die Nutzung zu (wissenschaftlichen) Forschungszwecken also hinausgeht.
Ferner enthält Abs. 4 S. 3 die Regelung, dass personenbezogene Daten, soweit dies nach dem Forschungszweck erforderlich ist, zu anonymisieren sind. Auch hier stellt sich das Problem, dass auf einen konkreten Forschungszweck abgestellt wird, und nicht auf die grundsätzliche Aufnahme / Verarbeitung der personenbezogenen Daten in der Datenbank.
Schließlich sei insgesamt anzumerken, dass zwar Abs. 1 ausdrücklich regelt, dass eine zentrale Datenbank mit nicht personenbezogenen Daten errichtet werden soll, die weiteren Absätze jedoch nur Regelungen zu personenbezogenen Daten enthalten. Ich empfehle daher dringend, die Vorschrift erheblich zu überarbeiten. Dabei wäre es zunächst erforderlich, die mit der Errichtung der Gesundheitsdatenbank verfolgten Zwecke klarzustellen, und dabei auch zu überprüfen, ob die Vorschrift vor dem Hintergrund bereits bestehender gesetzlicher Regelungen überhaupt notwendig ist.
Ich empfehle daher dringend, die Vorschrift erheblich zu überarbeiten. Dabei wäre es zunächst erforderlich, die mit der Errichtung der Gesundheitsdatenbank verfolgten Zwecke klarzustellen, und dabei auch zu überprüfen, ob die Vorschrift vor dem Hintergrund bereits bestehender gesetzlicher Regelungen überhaupt notwendig ist.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Mit radikaler Verweigerung brachte die kenianische Zivilgesellschaft eine geplante Mega-Datenbank ihrer Regierung zu Fall. Wie das gelang und warum der Kampf noch nicht gewonnen ist, berichtete Inklusionsaktivist Mustafa Mahmoud Yousif auf dem 39. Chaos Communication Congress in Hamburg.
Biometrische Erfassung für die staatliche Datenbank „Huduma Namba“ in Kipcherere, Bariongo (Kenia). – Alle Rechte vorbehalten IMAGO / ZUMA Press Wire
Hoffnung in verzweifelten Zeiten zu stiften ist keine leichte Aufgabe, das macht Mustafa Mahmoud Yousif gleich zu Beginn seines Vortrags klar. Und doch hat sich der Menschenrechtsaktivist genau das vorgenommen. Er ist nach Hamburg auf den 39. Chaos Communication Congress gekommen, um von der Kraft der Zivilgesellschaft zu berichten und Mut zu machen. Er spricht über den erfolgreichen Protest einer Bürger:innenbewegung gegen ein digitales Identifikationssystem in Kenia.
Das Problem mit dem „Huduma Namba“ genannten System ist schnell umrissen: In einer riesigen zentralen Datenbank wollte die kenianische Regierung 2019 die Bevölkerung erfassen. Diese sollte zahlreiche Angaben über sie beinhalten, von Größe, Alter, Landbesitz und Stammeszugehörigkeit über Einkommens- und Bildungslevel bis zu Angaben über Familienangehörige. Auch biometrische Daten und DNA sollten erfasst werden.
Nur wer registriert ist, sollte Zugang zu staatlichen Leistungen bekommen, etwa sein Kind auf eine Schule schicken können. Die Regierung wollte sich zudem das Recht einräumen, Daten mit autorisierten Stellen zu teilen – auch mit Unternehmen, fürchtete die kenianische Zivilgesellschaft. Mit den umfangreichen Daten könnten zudem Profile von Personen erstellt werden, so die Sorge. In einem Land, in dem staatlichen Stellen nicht zu trauen sei, eine echte Gefahr, so der Ko-Vorstandsvorsitzende des Instituts für Staatenlosigkeit und Inklusion.
Koloniales Echo
Huduma Namba sollte zur „einzigen Quelle der Wahrheit“ über die Menschen in Kenia werden, erklärt Yousif. Und das in einem Land, das unter britischer Kolonialherrschaft alles andere als gute Erfahrungen mit Identitätssystemen gemacht hat. Denn für die Kolonialherren war die Identitätskontrolle ein Herrschaftsinstrument, mit dem sie die unterdrückte Bevölkerung spalten und in ihrer Bewegungsfreiheit einschränken konnte.
Die Briten hätten das Land in 42 Regionen für 42 Stämme geteilt, mit der Hauptstadt Nairobi als 43. Bezirk. Schwarze Menschen, so Yousif, mussten jederzeit Ausweisdokumente, die sogenannten Kipande, bei sich tragen und der Polizei vorlegen. Die Dokumente enthielten Angaben über die Identität der Personen, wo sie lebten und in welchen Gebieten sie sich aufhalten durften. „Sie haben die Menschen in Ethnien und Bezirke unterteilt, damit sie nicht gemeinsam aufbegehren können“, so Yousif.
Im digitalen Zeitalter seien Daten zum neuen Rohstoff geworden, der nicht mehr in klassischen Minen, sondern beim Data Mining gewonnen wird. Statt auf Datenminimierung zu setzen, wie es aus Perspektive des Datenschutzes geboten wäre, habe die kenianische Regierung bei „Huduma Namba“ deshalb auf Datenmaximierung gesetzt.
In einer übereilten Roll-out-Phase von nur sechs Monaten habe die kenianische Regierung versucht, die Bevölkerung zur Registrierung zu drängen. Gerade ohnehin marginalisierte Gruppen, etwa Menschen ohne gültige Dokumente, seien jedoch gefährdet gewesen, zurückgelassen zu werden, kritisiert Yousif. Kinder, deren Eltern teils kenianische Staatsangehörige und geflüchtete Personen seien, wären auf Dauer als Geflüchtete registriert und dem Risiko der Staatenlosigkeit ausgesetzt worden.
Radikale Verweigerung
Weil es an einer politischen Opposition zu dem Projekt fehlt, habe es an der Zivilgesellschaft gelegen, Widerstand zu organisieren. Zahlreiche Nichtregierungsorganisationen hätten sich zusammengeschlossen, um in Sozialen Medien gegen den ID-Zwang mobil zu machen.
Insbesondere die junge Generation sei auf die Kampagne angesprungen. „Sie hatten das Gefühl, dass sie in ein System gezwungen werden, bei dem nicht Menschen, sondern Unterdrückung im Mittelpunkt stehen.“ Die Antwort darauf war radikale Verweigerung: Als die Regierung damit gedroht habe, nicht-registrierte Menschen des Landes zu verweisen, trendete der Hashtag #deportme, also „schiebt mich ab“. Zum Schlachtruf der Bewegung wurde der Slang-Begriff „Hatupangwingwi“, das in etwa „Wir lassen uns nichts vorschreiben“ bedeutet.
Auch traditionelle Medien hätten das Thema und dem Protest zu mehr Wucht verholfen. NGOs klagten zudem auf Basis des neuen kenianischen Datenschutzgesetzes. Mit Erfolg: Das Verfassungsgericht erklärte die Datenbank für ungültig, unter anderem, weil eine Datenschutz-Folgenabschätzung fehlte. Erhobene DNA-Daten dürfen zudem nur dann genutzt werden, wenn entsprechende Schutzvorkehrungen getroffen werden.
2022 wählten die Menschen in Kenia eine neue Regierung, die einen Neuanfang versprach und erstmalig Vertreter:innen der Zivilgesellschaft mit an den Tisch holte.
Der Kampf geht weiter
Doch damit endete der Kampf für Mustafa Mahmoud Yousif und seine Mitstreier:innen nicht. Auch die neu aufgesetzte Datenbank „Maisha Namba“ soll umfangreiche Daten über die Menschen Kenias enthalten. Auch hier fehlen der Zivilgesellschaft ausreichende Schutzmechanismen, um Bürger:innen vor Profilbildung und Diskriminierung zu schützen.
Doch Yousif gibt die Hoffnung nicht auf. Immerhin: Statt einer überhasteten Registrierungsphase werden Menschen Stück für Stück und ab Geburt registriert. Und die Verantwortlichkeiten für das Projekt sind jetzt klarer geregelt, sagt der Aktivist. „Wir wissen jetzt, wen wir verklagen müssen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.
Kommt es nach der ePA bald zum nächsten Notfall? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Isravel Raj
Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.
Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.
Die Sicherheitslücken betrafen die Ausgabeprozesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.
„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.
Eine Kaskade an Problemen
Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.
Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.
„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.
So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.
EUDI-Wallet: Fehler, die sich wiederholen
Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.
Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.
Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.
In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.
Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“
Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.
Sichere Kanäle versus signierte Daten
Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.
Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).
Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.
Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.
Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.
An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.
Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.
Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
PayPal ist im Frühjahr ins Werbegeschäft eingestiegen. Der Finanzdienstleister hortet umfangreiche persönliche Informationen über Menschen, die ihn nutzen, und stellt solche Daten Werbetreibenden zur Verfügung. Ein juristisches Gutachten zeigt nun, dass das illegal ist.
Schauspieler Will Ferrell nutzt PayPal angeblich sogar auf dem Flohmarkt – weil er seine Daten bei dem Unternehmen sicher verwahrt glaubt, so eine Werbekampagne. – Alle Rechte vorbehalten Screenshot aus PayPal-Werbevideo
Mit Paypal kann man jetzt auch in Geschäften zahlen – und sogar auf dem Flohmarkt, wie Schauspieler Will Ferrell in einer Werbekampagne zeigt. In der deutschen Version sagt er zu einem kleinen Jungen, der ihn beim Kauf einer Actionfigur über den Tisch zieht: „Wenigstens meine Daten sind sicher vor euch Abzockern.“ Doch die Aussage ist nicht wahr.
Die Finanztransaktionsplattform PayPal positioniert sich in einer Werbekampagne als Alternative zum Bargeld. Dabei gibt es einen drastischen Unterschied zwischen beiden Zahlungsmitteln. Bargeld wird zwar auch getrackt, aber die Daten, die Paypal erhebt – und an Werbetreibende verkauft – sind viel umfassender als nur die Info, welche Summe von wo nach wo wandert.
Das Netzwerk Datenschutzexpertise hat die Datenschutzpraxis von Paypal im Rahmen eines juristischen Gutachtens untersucht und kommt zu einem vernichtenden Ergebnis. Das Unternehmen erfasst, was du zu welchem Preis kaufst, von welchem Unternehmen du es erwirbst, und wohin du es liefern lässt. Es speichert Standortdaten, die Liste der Apps auf deinem Telefon, welches Gerät und welchen Browser du benutzt und welche Websites du besuchst.
PayPal speichert teils sogar die sexuelle Orientierung
Das Unternehmen erlaubt sich laut Datenschutzerklärung auch, deinen Fingerabdruck zu erfassen, dein Einkommen, deine Telefon- und Steuernummer, deinen Beruf, dein Alter, dein Geschlecht, deine Kreditwürdigkeit und deine finanzielle Situation. In dem Datensatz, den der Konzern über dich anlegt, sind – so die Datenschutzerklärung – womöglich auch religiöse Überzeugungen, politische oder philosophische Ansichten, Behinderungen und die sexuelle Orientierung vermerkt, sowie „Daten aus den von Ihnen verknüpften Drittkonten“.
PayPal kann laut dem Gutachten extrem sensible Informationen sammeln, weil auch Zahlungen an Gesundheitseinrichtungen oder Anwält*innen, sowie Spenden an politische Parteien und religiöse Institutionen über die Plattform abgewickelt werden. PayPal speichert die Daten, so lange das Konto existiert und zehn Jahre darüber hinaus.
Seit dem Frühjahr ist PayPal auch im Werbe-Business
Das Netzwerk Datenschutzexpertise schreibt in seinem Gutachten: „Die hohe Aussagekraft der Finanztransaktionsdaten begründet ein hohes Nutzungs- und auch ein hohes Missbrauchspotenzial“. So sei damit beispielsweise manipulative Werbung möglich und auch eine diskriminierende Preisgestaltung.
Dabei muss Zahlungsverkehr in Deutschland und Europa eigentlich anonym ablaufen. Ausnahmen von der Regel sind nur erlaubt, wenn sie eindeutig nötig und gut begründet sind.
PayPal speichert sensible Daten ohne explizite Einwilligung
Laut des Gutachtens informiert PayPal seine Kund*innen nicht hinreichend darüber, wofür, an wen und auf welcher Rechtsgrundlage Daten weitergegeben werden und speichert die Daten unerlaubt lange. Zudem geht das Unternehmen davon aus, dass Menschen mit der Nutzung des Dienstes in die Datenverarbeitung einwilligen. Dabei muss diese Einwilligung – spätestens, wenn es um sensitive Daten, Marketing- und Werbezwecke oder die Weitergabe von Daten geht – tatsächlich bewusst, informiert, genau definiert und unabhängig von der Verfügbarkeit des Dienstes gegeben werden, um rechtmäßig zu sein. Die Kund*innen müssen wissen, wozu sie da eigentlich zustimmen.
Der Konzern bietet Unternehmen die personenbezogenen Informationen laut dem Gutachten in aggregierter Form an. Die Firmen können dann über PayPal auf Webseiten, Apps und Smart-TVs Werbung platzieren, die angeblich die Zielgruppe sehr genau erreicht. Auch der direkte Verkauf der Daten an Werbefirmen war zumindest mal geplant. Über die aktuelle Umsetzung dieses Projekts in Europa ist dem Netzwerk Datenschutzexpertise nichts bekannt.
Einen Teil der Informationen sammelt PayPal angeblich, um betrügerische Kontozugriffe zu verhindern. Im August 2025 waren die Anmeldedaten zu 15 Millionen PayPal-Konten im Darknet aufgetaucht, woraufhin die Zahl der Betrugsversuche massiv in die Höhe ging.
Die Liste der Datenempfänger umfasst 600 Unternehmen
PayPal behält sich vor, die erfassten Daten weiterzugeben, beispielsweise an Behörden, andere Finanzinstitute, Inkassobüros, Auftragsverarbeiter und Partnerunternehmen. Eine Liste mit möglichen Datenempfängern umfasst 600 Firmen aus vielen Staaten der Welt.
Die Datenschutzerklärung, die 7.000 Wörter umfasst, lässt „nicht erkennen, mit welchen Daten auf welcher Rechtsgrundlage welche Zwecke verfolgt werden“, so das Netzwerk Datenschutzanalyse. Problematisch sei, dass sowohl die Kategorien der Daten als auch die Arten der Verarbeitung nur beispielhaft und nicht abschließend aufgeführt werden.
Auch die AGB seien ausgesprochen nutzerunfreundlich. Sie umfassen 17 Dokumente, wobei für Kund*innen nicht ersichtlich sei, welche für sie relevant sind. Hinzu kommen 20.000 Wörter Nutzungsbedingungen ohne Inhaltsverzeichnis. Mit der Eröffnung eines Kontos erklären sich Nutzer*innen mit all diesen Bedingungen einverstanden.
So widerspricht man der Datennutzung zu Werbezwecken
Die Nutzung der Daten zu Werbezwecken ist in PayPal-Konten voreingestellt. Wer das abschalten möchte, muss auf der Website erst auf „Daten und Datenschutz“ und dann auf „personalisierte Angebote und Werbung“ klicken. Dort lässt sich ein Regler zwischen einem grauen und einem schwarzen Feld hin- und herbewegen. Welche die datenschutzfreundliche Option ist, wird nicht erklärt. Mit Entwicklertools lässt sich im Browser allerdings die Antwort von PayPal auf verschiedene Einstellungen auslesen. Regler links, Feld grau hinterlegt, gibt als Response: DENY_CONSENT. Diese Einstellung verweigert also wohl die Zustimmung zur Werbenutzung. Der mögliche Opt-Out steht im Widerspruch zur Datenschutzgrundverordnung, wonach die Voreinstellung eine möglichst geringe Datenverarbeitung („Privacy by Default“) vorsehen muss.
Als besonders problematisch sieht das Netzwerk Datenschutzexpertise, dass die personenbezogenen Daten auch nach außerhalb der EU übermittelt werden. Der Hauptsitz von PayPal ist in den USA, dort sind die Daten deutlich schlechter geschützt als in Europa. Zudem ist das Unternehmen gezwungen, Daten an US-Behörden herauszugeben, wenn diese sie anfordern.
Die Datenschutzexpert*innen sehen ihre Analyse der Datenschutzpraxis von PayPal nur als exemplarischen Fall. „Es ist zu vermuten, dass die bei PayPal festgestellten Mängel in ähnlicher Form bei anderen Unternehmen in diesem Bereich bestehen“, schreiben sie. BigTech-Unternehmen würden zunehmend versuchen, auf Finanztransaktionsdaten zuzugreifen, um diese mit Daten aus anderen Anwendungen zu kombinieren und kommerziell zu nutzen. Deshalb fordern die Datenschutz-Expert*innen, die Nutzung von Finanzdaten für Werbezwecke generell zu verbieten.
Laut Heise Online prüft Paypal das Gutachten derzeit. Es lässt sich wie folgt zitieren: „Die Einhaltung der EU-Datenschutzanforderungen ist für uns sowohl für die Entwicklung als auch den Betrieb unserer Produkte von zentraler Bedeutung, um ein qualitativ hochwertiges Erlebnis und Sicherheit im Zahlungsverkehr für unsere Kund:innen sicherzustellen.“
Update, 13.12.2025, 14.08 Uhr: Erklärung hinzugefügt, welche Reglerstellung die Nutzung von Daten für Werbung untersagt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Databroker verhökern die Standortdaten von Millionen Menschen in Frankreich. Neue Recherchen zeigen: Mit den angeblich nur zu Werbezwecken erhobenen Daten lässt sich dort sogar Personal von Geheimdiensten und Militär ausspionieren – inklusive Entourage des französischen Präsidenten.
Ein Name der Person steht nicht im Datensatz. Stattdessen steht dort ein Pseudonym. Eine Kette aus Ziffern und Buchstaben, fast als wäre man einmal mit dem Kopf über die Tastatur gerollt. Und mit diesem Pseudonym versehen sind Hunderte exakte Geo-Koordinaten in Frankreich. Legt man die Geo-Koordinaten auf eine Karte, wird sichtbar, wo die Person überall unterwegs war.
Das Bewegungsprofil verrät mehr, als es ein bloßer Name getan hätte.
So lässt sich etwa ablesen, dass die Person Zugang zum Élysée-Palast hat, dem Amtssitz des französischen Präsidenten. Sie war demnach auch in La Lanterne, einem Jagdschloss in Versailles, wo der derzeitige Amtsinhaber Emmanuel Macron gerne das Wochenende verbringt. Weitere Besuche der Person waren auf dem Militärflugplatz Villacoublay, wo Dienstreisen des Präsidenten mit dem Flugzeug beginnen und enden. Besucht hat die Person auch einen Stützpunkt der Republikanischen Garde, also jenem Polizeiverband, der unter anderem den Präsidenten bewacht.
Sogar eine private Wohnadresse lässt sich in den Daten erkennen. Hier häufen sich die Handy-Ortungen. Ab jetzt ist es leicht, die Person zu identifizieren. Es genügt ein Besuch vor Ort. Und voilà: Auf dem Briefkasten steht der Name eines Menschen, der einer simplen Online-Recherche zufolge für die französische Gendarmerie arbeitet. Ein weiteres online verfügbares Dokument bekräftigt die Verbindung zu Macron.
Um die Identität der Person zu schützen, gehen wir nicht näher auf das Dokument ein. Doch gemeinsam mit unseren Recherchepartnern haben wir zahlreiche weitere brisante Fälle in dem Datensatz gefunden. Sie zeigen erstmalig am Beispiel Frankreichs, dass der unkontrollierte Handel mit Werbe-Daten nicht nur die Privatsphäre von Millionen Menschen gefährdet, sondern auch die Sicherheit Europas.
Ortungen bei Geheimdiensten, Militär und Rüstungskonzernen
Standortdaten wie diese sind wertvolles Material für Spionage, gefundenes Fressen für fremde Geheimdienste. Die Daten stammen nicht aus einem Hack oder einem Leak, sondern von einem Databroker. Um solche Daten zu erhalten, muss man nur freundlich nachfragen – und keinen Cent bezahlen.
Databroker verkaufen solche Handy-Standortdaten von Millionen Menschen als Abonnement; Vorschau-Daten gibt es gratis. Für jeden Standort im Datensatz gibt es eine einzigartige Kennung, die sogenannte Werbe-ID. Handy-Nutzer*innen bekommen sie automatisch von Google und Apple zugewiesen. Sie ist wie ein Nummernschild fürs Handy und sorgt dafür, dass über Apps ausgeleitete Handy-Standortdaten miteinander verknüpft werden können, bis sie letztlich nicht mehr anonym sind. Allein im Gratis-Datensatz, der dem Recherche-Team vorliegt, stecken rund eine Milliarde Standortdaten von bis zu 16,4 Millionen Geräten in Frankreich.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese sind nur möglich durch eure Unterstützung.
Seit mehreren Monaten recherchiert Le Monde gemeinsam mit netzpolitik.org, Bayerischem Rundfunk und weiteren internationalen Partnern. Es geht um die Massenüberwachung mithilfe von Handy-Standortdaten, die angeblich nur zu Werbezwecken erhoben werden. Die Recherchen aus Frankreich sind der neuste Teil der Databroker Files, die seit Februar 2024 erscheinen.
All diese Recherchen zeigen: Kein Ort und kein Mensch sind sicher vor dem Standort-Tracking der Werbeindustrie. Um die Gefahr des Trackings anschaulich zu machen, hat sich Le Monde nun auf Handy-Ortungen fokussiert, die für die nationale Sicherheit von Frankreich relevant sind. So konnte das Team in mehreren Dutzend Fällen mit Sicherheit oder hoher Wahrscheinlichkeit Identität, Wohnort und Gewohnheiten von Angestellten sensibler Einrichtungen nachvollziehen. Dazu gehören Angestellte von Geheimdienst und Militär in Frankreich, der Spezialeinheit GIGN, die für Terrorismusbekämpfung zuständig ist, sowie Personal von Rüstungsunternehmen und Kernkraftwerken.
Besuche in der Deutschen Botschaft und beim Polo
Mehrere Bewegungsprofile aus dem französischen Datensatz haben sogar einen Bezug zu Deutschland. So zeigt ein Profil die Bewegungen einer Person, die möglicherweise als Diplomat*in arbeitet. Sie hat Zugang zur Rechts- und Konsularabteilung der deutschen Botschaft und zur Residenz des deutschen Botschafters in Paris. Die Handy-Ortungen zeigen eine Reise nach Verdun, inklusive Besuch von Museum und Gedenkstätten. Auch ein Abstecher zu einem Polofeld in Paris ist zu finden.
Aus dem Auswärtigen Amt heißt es, die Risiken durch Databroker seien bekannt. Die Mitarbeitenden würden regelmäßig zu den Risiken sensibilisiert – müssten aber gleichzeitig umfassend erreichbar sein.
Weitere Bewegungsprofile aus dem Datensatz konnte das Recherche-Team Angestellten von Rüstungsunternehmen zuordnen. Gerade wegen der militärischen Bedrohung durch Russland ist die europäische Rüstungsindustrie besonders dem Risiko von Spionage und Sabotage ausgesetzt. Im Datensatz finden sich etwa die Handy-Ortungen einer Person, die offenbar in hoher Position für den deutsch-französischen Rüstungskonzern KNDS tätig war. Zu den Produkten von KNDS gehören Panzer, Bewaffnungssysteme, Munition und Ausrüstung; das Unternehmen, das durch eine Fusion von Krauss-Maffei Wegmann und Nexter entstand, ist ein wichtiger Lieferant für die Ukraine.
Auf Anfrage teilt der Konzern mit, man sei sich der Notwendigkeit bewusst, Mitarbeitende für diese Themen zu sensibilisieren. Über ergriffene Maßnahmen wolle man jedoch nicht öffentlich sprechen.
Von „Sensibilisierung“ sprechen viele Organisationen, wenn man sie danach fragt, wie sie sich vor der Überwachung schützen wollen. So schreiben etwa die Pressestellen des französischen Verteidigungsministeriums und Inlandsgeheimdiensts DGSI auf Anfrage von Le Monde von der Sensibilisierung ihrer Angestellten. Mit Sensibilisierung – und zwar in Form einer Rundmail – hatten im November auch die Organe der Europäischen Union auf unsere Recherchen reagiert, die zeigten, wie sich mithilfe der Standortdaten Spitzenpersonal der EU in Brüssel ausspionieren lässt.
Und so ist es schier unvermeidbar, dass aller Sensibilisierung zum Trotz immer wieder Daten abfließen und in die Hände von Databrokern gelangen – selbst Standortdaten aus der Entourage des französischen Präsidenten.
Eine Gefahr für Europa
Auf Anfrage von Le Monde hat der Élysée-Palast selbst nicht reagiert. Zumindest für Präsident Macron dürfte das Thema jedoch nicht ganz neu sein. Denn im Jahr 2024 hatte Le Monde schon einmal Standortdaten von Menschen aus seinem Umfeld aufgespürt, und zwar über die Fitness-App Strava. Damit können Nutzer*innen etwa ihre Jogging-Routen tracken und online mit der Öffentlichkeit teilen, was Macrons Sicherheitspersonal unvorsichtigerweise getan hatte.
Der Unterschied: Damals ging es um den Umgang mit einer einzelnen Fitness-App. Die Databroker Files zeigen jedoch, wie sensible Handy-Standortdaten über einen großen Teil kommerzieller App abfließen können. Inzwischen liegen dem Recherche-Team mehrere Datensätze von mehreren Databrokern vor. Sie umfassen rund 13 Milliarden Standortdaten aus den meisten Mitgliedstaaten der EU, aus den USA und vielen weiteren Ländern.
Die Databroker Files zeigen auch, dass die DSGVO (Datenschutzgrundverordnung) gescheitert ist – mindestens in ihrer Durchsetzung. Der unkontrollierte Datenhandel bedroht nicht nur auf beispiellose Weise die Privatsphäre und informationelle Selbstbestimmung von Nutzer*innen, sondern in Zeiten erhöhter Spionagegefahr auch die Sicherheit Europas.
Im Zuge unserer Recherchen haben Fachleute aus Politik, Wissenschaft und Zivilgesellschaft wiederholt Konsequenzen gefordert. „Angesichts der aktuellen geopolitischen Lage müssen wir diese Bedrohung sehr ernst nehmen und abstellen“, sagte im November etwa Axel Voss (CDU) von der konservativen Fraktion im EU-Parlament, EVP. Die EU müsse entschieden handeln. „Wir brauchen eine Präzisierung der Nutzung der Standortdaten und somit ein klares Verbot des Handels mit besonders sensiblen Standortdaten für andere Zwecke.“ Weiter brauche es „eine europaweite Registrierungspflicht für Datenhändler und eine konsequente Durchsetzung bestehender Datenschutzregeln“.
EU könnte Datenschutz noch weiter abschwächen
Seine Parlamentskollegin Alexandra Geese von der Fraktion der Grünen/EFA sagte: „Wenn der Großteil der europäischen personenbezogenen Daten unter der Kontrolle von US-Unternehmen und undurchsichtigen Datenbrokern bleibt, wird es deutlich schwieriger, Europa gegen einen russischen Angriff zu verteidigen.“ Sie forderte: „Europa muss die massenhafte Erstellung von Datenprofilen verbieten.“
Statt die Gefahr einzudämmen, hat die EU-Kommission jedoch jüngst mit dem Digitalen Omnibus einen Plan vorgelegt, um den Datenschutz in Europa noch weiter zu schleifen. Konkret sollen demnach manche pseudonymisierten Daten nicht mehr als „personenbezogen“ gelten und deshalb den Schutz durch die DSGVO verlieren. Dabei zeigen die Databroker Files eindrücklich, wie intim und gefährlich die Einblicke durch angeblich pseudonyme Daten sein können.
Der EU stehen kontroverse Verhandlungen bevor. Teilweise oder weitgehende Ablehnung zu den Vorschlägen gab es bereits von den Fraktionen der Sozialdemokraten, Liberalen und Grünen im EU-Parlament. Zudem warnten mehr als 120 zivilgesellschaftliche Organisationen in einem offenen Brief vor dem „größten Rückschritt für digitale Grundrechte in der Geschichte der EU“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
