Auslegungssache – der c't-Datenschutz-Podcast

Datenschutz gilt überall, auch am Gericht. Doch wie genau setzen Richterinnen und Richter die Regeln um, wenn sie selbst täglich mit sensiblen Informationen arbeiten? Diese Frage steht im Mittelpunkt von Episode 151 des c't-Datenschutz-Podcasts. Redakteur Holger und heise-Justiziar Joerg sprechen dazu mit Kristin Benedikt. Sie ist Richterin an einem bayerischen Verwaltungsgericht, dort auch Datenschutzbeauftragte und Pressesprecherin. Zuvor leitete sie fünf Jahre lang den Bereich Internet beim Bayerischen Landesamt für Datenschutzaufsicht.

Kristin erläutert zunächst die Grundlagen. Die DSGVO gilt für alle Gerichte, von Zivil- über Verwaltungs- bis zu Arbeitsgerichten. Nur die Strafjustiz unterliegt eigenen Regelungen. Als öffentliche Stellen stützen sich Gerichte auf die DSGVO-Rechtsgrundlagen der rechtlichen Verpflichtung und des öffentlichen Interesses. Das berechtigte Interesse, auf das sich Unternehmen oft berufen, steht ihnen nicht zur Verfügung.

Eine Besonderheit macht die Sache kompliziert: Richter genießen verfassungsrechtlich garantierte Unabhängigkeit. Deshalb gibt es für ihre Tätigkeit keine Datenschutzaufsicht. Die DSGVO schließt in Art. 55 ausdrücklich aus, dass Aufsichtsbehörden Gerichte bei ihrer richterlichen Arbeit kontrollieren. Bußgelder gegen Richter? Ausgeschlossen.

Das bedeutet allerdings nicht, dass Richter tun können, was sie wollen, betont Kristin. Sie müssen den Grundsatz der Datenminimierung beachten und dürfen nur Informationen erheben, die für ihre Entscheidung relevant sind. In der Praxis entstehen dabei Spannungen: Verwaltungsrichter müssen von Amts wegen ermitteln, wissen aber oft erst im Laufe des Verfahrens, welche Informationen sie wirklich brauchen, erläutert Kristin.

Ein praktisches Problem schildert sie aus ihrem Alltag. Behörden schicken häufig komplette Akten ans Gericht, ohne vorher zu prüfen, welche Informationen darin wirklich relevant sind. Das Gericht muss diese Unterlagen dann den Verfahrensbeteiligten zugänglich machen - auch wenn sie Daten unbeteiligter Dritter enthalten. Hier sieht die Richterin die behördlichen Datenschutzbeauftragten in der Pflicht, für mehr Sensibilität zu sorgen.

Betroffenenrechte gelten auch gegenüber Gerichten. Wer wissen will, welche Daten über ihn gespeichert sind, kann Auskunft verlangen. Allerdings gibt es Einschränkungen zum Schutz der Unabhängigkeit der Justiz und laufender Verfahren. Lösch- oder Berichtigungsansprüche laufen bei Gerichtsakten oft ins Leere - was einmal in einer Akte steht, lässt sich meist nicht einfach entfernen.

Zum Schluss geht es um den Einsatz von KI am Gericht. Einen "Robo-Richter" lehnt Kristin strikt ab. Entscheidungen müssen ihrer Ansicht nach von Menschen vorbereitet und getroffen werden. Sinnvoll sei KI aber bei unterstützenden Aufgaben, etwa beim Anonymisieren von Urteilen oder in der Gerichtsverwaltung. Auch bei Übersetzungen oder der Aufbereitung großer Textmengen sieht sie Chancen, solange die Verantwortung klar beim Menschen bleibt.

In Episode 150 des c't-Datenschutz-Podcasts geht es um IT-Forensik, insbesondere die digitale Spurensicherung nach Cyberangriffen und bei Verdachtsfällen im Unternehmen. Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich haben dazu Joanna Lang-Recht eingeladen. Sie leitet den Bereich Forensik bei der Intersoft Consulting Services AG und bringt einen ungewöhnlichen Werdegang mit: Nach einem Germanistikstudium wechselte sie zur IT-Security und erwarb zahlreiche Zertifizierungen im Bereich Forensik.

Joanna beschreibt IT-Forensik als klassische Spurensuche, nur eben komplett digital. Ermittelt wird auf Laptops, Smartphones, Servern oder in ganzen IT-Landschaften. Ziel sei es, sauber zu rekonstruieren: Wer ist eingedrungen, welche Daten sind betroffen und wie groß ist der Schaden. Ihr Team identifiziert Spuren, sichert sie möglichst gerichtsfest und wertet sie neutral aus.

Den größten Teil ihrer Einsätze machen laut Joanna Ransomware-Angriffe aus. Mehr als die Hälfte aller Vorfälle drehen sich um erpresste Unternehmen, deren Systeme verschlüsselt wurden. Feiertage gelten dabei als Hochrisikophase: IT-Abteilungen sind dünn besetzt, Angriffe werden später bemerkt, Schäden wachsen.

Ein heikles Thema ist das Zahlen von Lösegeld. Viele Unternehmen verhandeln tatsächlich mit den Erpressern, oft aus purer Not, weil Backups fehlen oder unbrauchbar sind. Joanna schildert, dass diese kriminellen Gruppen professionell auftreten: mit eigenen Chatportalen, Support-Strukturen und einer Art Notrufsystem. Wer zahlt, erhält in der Regel auch funktionierende Entschlüsselungsschlüssel, sonst würde das kriminelle Geschäftsmodell zusammenbrechen.

Neben externen Angriffen bearbeiten Forensik-Teams auch interne Fälle in Unternehmen: Verdacht auf Datendiebstahl durch Mitarbeitende, Wirtschaftsspionage oder Arbeitszeitbetrug. Hier sei besondere Vorsicht gefragt, erzählt Joanna. Untersuchungen müssen eng am konkreten Verdacht bleiben, um nicht unnötig in private Daten einzudringen. Bring-your-own-Device-Modelle erschweren solche Ermittlungen erheblich und machen sie manchmal sogar unmöglich.

Im Spannungsfeld zwischen Aufklärung und Datenschutz betont Joanna die Zusammenarbeit mit den Datenschutz-Aufsichtsbehörden der Länder. Meldungen zu Sicherheitsvorfällen laufen demnach meist pragmatisch ab, Nachfragen bleiben sachlich. Betroffenenrechte spielen Joanna bei der Spurensuche eine Rolle, bremsen die Ermittlungen aber selten, solange die Datensicherung gut begründet ist. Vor jeder Analyse prüfe das Team, ob ein berechtigtes Interesse gemäß DSGVO vorliege und ob Privatnutzung der Geräte erlaubt war. Bei unklaren Situationen lehne man Aufträge ab.

In der letzten Episode des Jahres 2025 blicken Holger und Joerg auf zwölf turbulente Monate zurück. Mit dabei ist wieder einmal Rechtsanwältin Anna Cardillo. Anna ist Partnerin in der Berliner Kanzlei MYLE. Sie berät Unternehmen und Behörden im Bereich Datenschutz und Informationssicherheit.

Zu Beginn diskutieren die drei einen aktuellen "Paukenschlag": Der gemeinsame Beschluss von Bundeskanzler und Länderchefs zur Staatsmodernisierung enthält weitreichende Pläne zur Verschlankung der Datenschutz-Durchsetzung. Die Pflicht zur Benennung betrieblicher Datenschutzbeauftragter soll wegfallen. Anna kritisiert das scharf: Die Anforderungen der DSGVO blieben ja bestehen, nur fehle dann die Person, die sich darum kümmert. Von Entbürokratisierung zu sprechen, sei irreführend.

Beim Blick auf das Datenschutzabkommen mit den USA sind sich die drei einig: Die Lage bleibt brisant. Zwar hat ein US-Gericht im Mai entschieden, dass dass zwei Mitglieder der US-Datenschutz- und Freiheitsrechtekommission PCLOB (Privacy and Civil Liberties Oversight Board) rechtswidrig durch den amtierenden Präsidenten Donald Trump entlassen wurden. Doch die Ankündigung Trumps, dem Datenschutzabkommen de facto komplett die Grundlage zu entziehen, schwebt wie ein Damoklesschwert über den EU-US-Datentransfers. Anna rät Unternehmen dringend, sich auf Alternativen vorzubereiten.

Das Jahr brachte auch saftige Bußgelder: TikTok kassierte in Irland 530 Millionen Euro wegen Datentransfers nach China, Vodafone in Deutschland 45 Millionen Euro wegen Sicherheitslücken und mangelnder Kontrolle von Vertriebspartnern. Die Runde sieht darin ein wichtiges Signal, dass Unternehmen ihre Dienstleister sorgfältiger überwachen müssen.

Große Sorgen bereitet den Diskutanten die aktuelle Rechtsprechung zur Haftung von Plattformen. Das EuGH-Urteil im Fall "Russmedia" deutet darauf hin, dass Forenbetreiber und Social-Media-Plattformen künftig Inhalte schon vor der Veröffentlichung prüfen müssen, um nicht sofort für Datenschutzverstöße haftbar zu sein. Dies könnte das Ende des bewährten "Providerprivilegs" bedeuten, bei dem Plattformen erst ab Kenntnis einer Rechtsverletzung haften, und faktisch zu einer umfassenden Überwachungspflicht durch Upload-Filter führen.

Zum Abschluss diskutiert das Trio das sogenannte "Omnibus-Paket" der EU, das weitreichende Änderungen an der DSGVO und anderen Digitalgesetzen vorsieht. Während Joerg durchaus pragmatische Erleichterungen erkennt, befürchtet Holger eine Aufweichung des Datenschutzes zugunsten der Industrie, etwa beim Training von KI-Modellen mit Nutzerdaten. Am Ende fällt das Fazit der Runde fällt eher pessimistisch aus: Der Datenschutz stehe vor schwierigen Zeiten.

In Episode 148 des c't-Datenschutz-Podcasts widmen sich Holger und Joerg einem Thema, das oft im Schatten des Datenschutzes steht, aber für eine lebendige Demokratie essenziell ist: der Informationsfreiheit. Während die DSGVO den Zugriff auf eigene personenbezogene Daten regelt, gewähren Informationsfreiheitsgesetze (IFG) und Transparenzgesetze den Bürgern Einblick in das interne Handeln des Staates.

Zu Gast ist Henry Krasemann vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Krasemann, selbst Pocaster, ist dort Referatsleiter für die Bereiche Akkreditierung/Zertifizierung und Informationsfreiheit. Er erläutert, dass das „Right to Know“ in Deutschland ein föderaler Flickenteppich ist. Während der Bund und viele Länder entsprechende Gesetze haben, hinken Bayern und Niedersachsen hinterher. In Bayern gibt es nur rudimentäre Regelungen, in Niedersachsen warten Bürger bislang vergeblich auf ein versprochenes Gesetz.

Die Informationsfreiheitsgesetze ermöglichen jedem Bürger und Unternehmen, Einblick in amtliche Informationen zu verlangen, und zwar ohne Begründung. Anders als beim datenschutzrechtlichen Auskunftsanspruch nach Artikel 15 DSGVO geht es nicht um persönliche Daten, sondern um Transparenz staatlichen Handelns. Krasemann betont seine Herangehensweise bei der Aufsicht: Die Behörden arbeiten mit Steuergeldern und sollen keine unnötigen Geheimnisse haben.

Die Hürden für eine IFG-Auskunft sind niedrig: Eine formlose E-Mail an die Behörde reicht aus. Man muss sich nach der Erfahrung Krasemanns nicht auf konkrete Gesetze berufen. Die Behörde hat dann einen Monat Zeit zu antworten und muss bei Unklarheiten sogar unterstützend nachfragen. Plattformen wie "FragDenStaat" erleichtern den Prozess zusätzlich und machen Anfragen und Antworten öffentlich zugänglich.

Doch der Experte verschweigt nicht die Probleme. Behörden können Anträge ablehnen, etwa wenn es um die öffentliche Sicherheit, laufende Gerichtsverfahren oder Geschäftsgeheimnisse bei öffentlichen Ausschreibungen geht. Auch der Datenschutz Dritter spielt eine Rolle, ist aber oft durch simple Schwärzungen lösbar, ohne die Auskunft komplett zu verweigern.

Krasemann warnt eindringlich vor aktuellen politischen Bestrebungen, die Informationsfreiheit unter dem Deckmantel des Bürokratieabbaus einzuschränken. Gerade in Zeiten wachsenden Misstrauens gegenüber staatlichen Institutionen sei Transparenz ein wichtiges Mittel zur Vertrauensbildung. Die Hoffnung auf ein bundesweites Transparenzgesetz, wie es die Ampel-Koalition geplant hatte, sieht er unter der neuen Regierung skeptisch.

Holger und Joerg bilden mit dem politischen Journalisten Falk Steiner in Episode 147 des c’t-Datenschutz-Podcasts ironisch eine "Selbsthilfegruppe der Überforderten". Und das nicht ohne Grund: Mit dem digitalen Omnibusgesetz will die EU-Kommission den Berg an Digitalvorschriften lichten - vom Data Act über die E-Privacy-Richtlinie bis hin zur DSGVO. Der Plan: Aufräumen, vereinheitlichen und die Compliance-Kosten senken. Die Realität: ein neuer, komplexer Riesenentwurf, der alles verändern könnte.

Besonders die geplanten Änderungen an der DSGVO sorgen für Gesprächsstoff. So soll der Begriff der personenbezogenen Daten enger gefasst werden. Ob eine Information als personenbezogen gilt, hinge künftig davon ab, ob die verarbeitende Stelle selbst eine Person identifizieren kann. Das könnte weitreichende Folgen haben. Positiv bewerten die Experten die geplante Anhebung der Schwelle für die Meldepflicht von Datenschutzpannen. Diese soll künftig erst bei einem "hohen Risiko" greifen, was Unternehmen und Behörden von Bürokratie entlasten würde. Die Meldefrist würde von 72 auf 96 Stunden verlängert.

Auch die Regeln für missbräuchliche Auskunftsanträge soll angepasst werden. Gesundheitsdaten nach Art. 9 DSGVO sollen restriktiver definiert werden. Die Diskutanten sehen diese Entwicklung kritisch, da sie Tür und Tor für umfangreiches Tracking öffnen könnte. Brisant sind die geplanten Erleichterungen für KI-Training: Für die Verarbeitung personenbezogener Daten für maschinelles Lernen soll grundsätzlich ein "berechtigtes Interesse" ausreichen, statt einer Einwilligung. Falk und Holger befürchten, dass von dieser Senkung des Schutzniveaus vor allem große Tech-Konzerne wie Meta und Google profitieren würden.

Große Unklarheit herrscht beim Versuch, das Cookie-Chaos zu beenden. Künftig soll es möglich sein, Tracking mit einem Klick abzulehnen - und diese Entscheidung muss dem entwurf zufolge sechs Monate lang respektiert werden. Allerdings ist völlig offen, wie Webseiten das technisch erkennen sollen, ohne selbst wieder Daten zu speichern. Falk fasst das Dilemma trocken zusammen: "Man kann’s einfacher machen - oder komplizierter. die Kommission hat sich offenbar für Letzteres entschieden."

Das Fazit der Runde fällt skeptisch aus. Obwohl der Entwurf einige sinnvolle Anpassungen enthält, wirft er vor allem neue Fragen auf und stellt etablierte Praktiken infrage. Statt Rechtsfrieden zu schaffen, drohen jahrelange neue Auseinandersetzungen vor den Gerichten. Für Steiner ist klar: Dies ist erst der Anfang eines langen und komplizierten Gesetzgebungsprozesses.