Auslegungssache – der c't-Datenschutz-Podcast

Im c't-Datenschutz-Podcast geht es diesmal um ein Problem, das in Unternehmen täglich auftaucht: Personenbezogene Daten sollen gelöscht werden – stecken aber in Logs, Backups oder gesetzlich vorgeschriebenen Aufzeichnungen. Die Auflösung dieses Zielkonflikts ist ebenso herausfordernd wie praxisrelevant.

Das Recht auf Löschung ist das zentrale Betroffenenrecht in der DSGVO. In Episode 161 der Auslegungssache diskutieren heise-Justiziar Joerg Heidrich und c’t-Redakteur Sylvester Tremmel, der in dieser Folge Holger Bleich vertritt, über den Interessenkonflikt zwischen Löschaufforderungen und der Pflicht, bestimmte Daten aufzuheben. Fachkundiger Gast ist Dr. Christoph Wegener, Berater und Sachverständiger für Informationssicherheit und Datenschutz.

Das Thema der Folge führt tief in den Maschinenraum der Datenschutzpraxis: Ein Betroffener verlangt die Löschung seiner Daten. Diese Daten befinden sich aber in einem Sicherheitsprotokoll, das nach IT-Standards nicht nur unveränderbar sein soll, sondern auch über einen längeren Zeitraum aufbewahrt werden muss. Eine Norm verlangt also Löschung, die andere schützt gerade die unmodifizierte Erhaltung. Genau dieser Konflikt begegnet Unternehmen bei Webserver-Logs, Sicherheitsprotokollen, Backups, Compliance-Systemen, KI-Systemen und behördlichen Fachverfahren.

Ein Anlass für die Diskussion ist der Abschlussbericht des Europäischen Datenschutzausschusses zur koordinierten Durchsetzungsaktion 2025 zum Recht auf Löschung. 32 Aufsichtsbehörden werteten Antworten von 764 Verantwortlichen aus. Der Bericht benennt mehrere wiederkehrende Schwachstellen, darunter unklare Aufbewahrungsfristen, mangelhafte Verfahren für Löschanträge und besondere Schwierigkeiten bei Backups. Auch die Datenschutzkonferenz hebt diese Problemfelder hervor. Die Podcastfolge macht deutlich: Löschkonzepte werden künftig stärker in den Fokus der Aufsichtsbehörden rücken.

Besonders praxisrelevant sind Backups. In vielen Sicherungen lässt sich ein einzelner Datensatz technisch nicht sinnvoll entfernen, ohne die Integrität des gesamten Sicherungsbestands zu gefährden. Die Lösung kann deshalb nicht darin liegen, Sicherungen sofort physisch zu überschreiben. Entscheidend ist vielmehr, dass gelöschte Daten bei einer Wiederherstellung nicht unkontrolliert wieder in den Produktivbetrieb gelangen. Wer ein Backup zurückspielt, sollte also nachgelagerte Lösch- und Bereinigungsprozesse vorsehen.

Noch schärfer zeigt sich der Konflikt bei Logfiles. Sicherheitsprotokolle sind für Angriffserkennung, Fehlersuche und Nachvollziehbarkeit unverzichtbar. Zugleich enthalten Logs häufig personenbezogene Daten wie IP-Adressen oder sicherheitsrelevante Ereignisse. Datenschutzrechtlich sind sie deshalb nicht neutral. Sie benötigen eine Rechtsgrundlage, klare Zwecke, begrenzte Fristen und Zugriffsbeschränkungen.

Das Fazit der Folge: Der scheinbare Widerspruch zwischen Löschpflicht und Speicherzwang lässt sich nicht mit pauschalen Regeln lösen. Unternehmen müssen Aufbewahrungspflichten kartieren, Löschfristen festlegen, Zugriffe beschränken, Backups in ihre Prozesse einbeziehen und Logfiles technisch wie rechtlich sauber steuern. Das unveränderbare Backup bleibt dann nicht automatisch ein Datenschutzverstoß. Entscheidend ist, dass der Zweck begrenzt, die Verarbeitung eingeschränkt und eine Wiederverarbeitung gelöschter Daten zuverlässig verhindert wird.

In Episode 160 des c't-Datenschutz-Podcasts widmen sich Holger und Joerg gleich mehreren Themen aus der jüngsten Vergangenheit. Den Auftakt macht ein bemerkenswertes Bußgeld der niederländischen Datenschutzaufsicht: 100 Millionen Euro muss die MLU B.V. zahlen, Betreiberin der europäischen Version der Yandex-Taxi-App Yango.

Der Vorwurf lautet, das Unternehmen habe Daten von Fahrern und Fahrgästen aus Norwegen und Finnland nach Russland übermittelt, darunter Führerscheinscans, Standortdaten und Kontonummern. Die niederländische Behörde kam zu dem Schluss, dass die verwendeten EU-Standardvertragsklauseln nicht ausreichten, um die Daten vor staatlichem Zugriff in Russland zu schützen. Die Höhe der Strafe orientiert sich am weltweiten Umsatz des Mutterkonzerns Yandex von rund 12 Milliarden Euro. MLU hat bereits Widerspruch gegen den Bescheid eingelegt.

Anschließend diskutieren Holger und Joerg eine Entwicklung in Baden-Württemberg: Die neue grün-schwarze Landesregierung plant laut Koalitionsvertrag, 40 Prozent der Stellen beim Landesbeauftragten für Datenschutz und Informationsfreiheit zu streichen und begründet das mit Haushaltskonsolidierung und Verwaltungsmodernisierung. Die Diskussion um derlei Maßnahmen reiht sich in die bundesweiten Überlegungen ein, Datenschutzkompetenzen stärker beim Bund zu bündeln.

Bleich und Heidrich sehen die Entwicklung kritisch. Gerade spezialisierte Landesbehörden hätten in den vergangenen Jahren wichtige Expertise aufgebaut, etwa zu Microsoft 365 oder Informationsfreiheit. Gerade erst habe der Verbraucherzentrale Bundesverband (vzbv) in einem Positionspapier diese Ansicht bestärkt, so Bleich. Der Verband fordert unter anderem "gezielte Zuständigkeitsbündelungen für länderübergreifende Fälle" statt eine Zentralisierung der Aufsicht beim Bund.

Den Schwerpunkt der Episode bildet schließlich die Auseinandersetzung mit dem Russmedia-Urteil des Europäischen Gerichtshofs (EuGH) und einer aktuellen Bewertung dessen des Hamburger Datenschutzbeauftragten. Das Urteil verpflichtet Plattformbetreiber unter Umständen zu einer anlasslosen Vorabprüfung von Inhalten – insbesondere bei gewerblichen Anzeigen mit sensiblen Daten. Die Hamburger Behörde überträgt diese Grundsätze auch auf Social-Media-Anbieter wie Facebook, Instagram und YouTube.

Holger und Joerg kritisieren das Urteil erneut scharf: Es könne faktisch zu einer Klarnamenpflicht und zu Uploadfiltern über die Datenschutz-Hintertür führen. Holger betont, dass es außerdem das wichtige Haftungsprivileg für Plattformbetreiber aushöhlen und deshalb Chilling-Effekte sowie Overblocking befördern könnte. Damit könnte ausgerechnet das Datenschutzrecht die mühsam austarierten Regelungen des Digital Services Act aushebeln.

In dieser Episode vertreten Sylvester Tremmel aus der c't-Redaktion und der freie Journalist Falk Steiner Joerg Heidrich an der Seite von Holger Bleich. Zum Auftakt berichtet Steiner aus Berlin von der Vorstellung des Tätigkeitsberichts der Bundesdatenschutzbeauftragten – und davon, wie wenige Journalistinnen und Journalisten überhaupt noch zu diesem Termin erschienen sind; für ihn ein bedenkliches Signal in Zeiten, in denen Vorhaben wie Vorratsdatenspeicherung oder Gesichtserkennung beim BKA auf der politischen Agenda stünden, der Datenschutz aber kaum noch Beachtung finde.

Beim Bußgeld der Woche geht es um eine spanische Fondsgesellschaft, die einen mit Microsoft Teams aufgezeichneten internen Call später als offizielles Protokoll an externe Investoren weitergegeben hatte. Die spanische Datenschutzbehörde AEPD wertete die pauschale Einwilligung zur Aufzeichnung der Teilnehmenden als unzureichend und verhängte 3000 Euro Bußgeld. Die Diskutanten loben die Praxis der spanischen Behörde, auch kleinere Fälle konsequent zu verfolgen und damit Klarheit über die Auslegung der DSGVO zu schaffen.

Breiten Raum nimmt der sogenannte Signal-"Hack" ein, bei dem hochrangige Politikerinnen und Politiker, darunter Bundestagspräsidentin Julia Klöckner, Ziel einer Phishing-Kampagne wurden. Tremmel stellt klar, dass es sich nicht um einen technischen Angriff auf den Messenger handelte: Die mutmaßlich aus Russland gesteuerten Angreifer gaben sich als Signal-Support aus und brachten ihre Opfer dazu, ihre PIN preiszugeben oder ein fremdes Gerät zu verknüpfen.

Steiner schildert anschaulich, wie schwierig sichere Kommunikation in der politischen Realität ist, wo eine einzelne Person wie die Bundestagspräsidentin in zahlreichen Rollen unterwegs ist und über verschiedenste IT-Umgebungen hinweg kommunizieren muss. Die nun empfohlene Nutzung der Messenger-Plattform Wire löse das Grundproblem nicht, solange offene Messenger nötig blieben.

Zuguterletzt stellt Tremmel eine Recherche von Correctiv, Computer Weekly und Solomon zum sogenannten "Pressure Cooker" bei Europol vor. In diesem Datensystem soll die EU-Polizeibehörde über Jahre hinweg mehr als zwei Petabyte an Daten angehäuft haben - ohne saubere Rechtsgrundlage, ohne funktionierendes Rechtemanagement und am europäischen Datenschutzbeauftragten vorbei. Steiner ordnet ein, warum gerade jetzt, da die EU-Kommission Europol mit mehr Personal und Befugnissen ausstatten will, ein genauer Blick auf diese Praxis besonders wichtig ist.

Was passiert eigentlich mit den Standortdaten, die Smartphone-Apps tagtäglich sammeln? Diese Frage haben sich Ingo Dachwitz und sein Kollege Sebastian Meineck von netzpolitik.org gestellt. Seit fast zwei Jahren sind sie gemeinsam mit dem Bayerischen Rundfunk und internationalen Partnern den sogenannten "Databroker Files" auf der Spur.

Was sie dabei zutage förderten, ist erschreckend: Über die Plattform Datarade.ai bekamen die Journalisten von Datenhändlern kostenlose "Probedatensätze" mit inzwischen mehr als 13 Milliarden Standortdaten aus über 140 Ländern zugespielt. Allein in einem deutschen Datensatz fanden sich 3,6 Milliarden Standortpunkte, zugeordnet zu rund elf Millionen Smartphones.

Im Gespräch mit Holger und Joerg erläutert Ingo, wie die Recherche funktionierte. Mit einem von BR-Datenjournalistin Katharina Brunner gebauten Tool ließen sich die Daten auf Karten visualisieren. Anhand der Mobile Advertising ID – einer eindeutigen Werbe-Kennung, die Android und iOS den Apps zur Verfügung stellen – konnten die Bewegungsmuster einzelner Personen über Wochen nachvollzogen werden. Mit einfachen Open-Source-Methoden, etwa dem Abgleich von Wohnadressen mit Klingelschildern und Telefonbüchern, gelang es dem Team, die vermeintlich anonymen Daten zahlreichen Personen zuzuordnen: hochrangigen Beamten, Mitarbeitern von Bundesnachrichtendienst und Verfassungsschutz, Soldaten auf US-Militärbasen wie dem Fliegerhorst Büchel und sogar einer mutmaßlichen NSA-Mitarbeiterin in Bad Aibling.

Die Daten stammen aus zwei Quellen: zum einen aus Tracking-SDKs, die App-Entwickler gegen kleines Geld in ihre Anwendungen einbauen, zum anderen aus Echtzeit-Auktionssystemen für Online-Werbung (Real-Time Bidding). Besonders aufgefallen war den Journalisten die App Wetter Online. Die nordrhein-westfälische Datenschutzaufsicht stattete dem Anbieter daraufhin einen Besuch ab und stellte fest, dass tatsächlich präzise Standortdaten weitergegeben wurden. Auch die Hamburger Datenschutzbehörde wurde aufgrund der Recherche bei einer Dating-App fündig.

Rechtlich, da sind sich die drei einig, ist das gesamte Geschäftsmodell kaum zu rechtfertigen. Eine Einwilligung kann die komplexen Datenflüsse mit hunderten beteiligten Firmen praktisch nicht abbilden, ein berechtigtes Interesse scheidet nach Auffassung der Datenschutzbehörden für Werbe-Tracking ohnehin aus. Hinzu kommt, dass sich Plattformen wie Datarade laut Ingo selbst nicht als Verantwortliche im Sinne der DSGVO sehen, sie vermittelten ja nur. Ingo fordert daher eine politische Debatte: Statt die Verantwortung allein auf Nutzer abzuwälzen, brauche es klare Verbote bestimmter Datengeschäfte.

Wer sich schützen will, kann immerhin die Werbe-ID auf dem Smartphone zurücksetzen oder deaktivieren, Apps den Standortzugriff nur bei aktiver Nutzung erlauben und konsequent Tracking ablehnen. Ein Tool auf netzpolitik.org erlaubt es zudem, die eigene Werbe-ID gegen den deutschen Datensatz abzugleichen.

Wenn eine Datenschutzbehörde ein Millionenbußgeld verhängt und das betroffene Unternehmen dagegen Einspruch einlegt, passiert in Deutschland etwas Merkwürdiges: Die Behörde, die den Fall über Monate ermittelt und den Verstoß festgestellt hat, wird aus dem Verfahren gedrängt. Die Staatsanwaltschaft übernimmt, oft ohne tiefere Kenntnis der Materie. In Episode 157 des c't-Datenschutz-Podcasts beleuchten Holger und Joerg mit Denis Lehmkemper, dem Landesbeauftragten für den Datenschutz (LfD) Niedersachsen, diesen eigentümlichen Verfahrensweg.

Anlass ist der Fall notebooksbilliger.de. Die niedersächsische Datenschutzbehörde hatte 2020 ein Bußgeld von 10,4 Millionen Euro verhängt, weil das Unternehmen mit 81 Kameras Beschäftigte, Kunden und Dritte mit Videokameras überwacht hatte -- mit unzulässig hohen Speicherdauern von bis zu 60 Tagen. Das Landgericht Hannover reduzierte die Summe auf 700.000 Euro, das Oberlandesgericht Celle hob sie schließlich Ende 2025 in der Rechtsbeschwerde auf 900.000 Euro an. Die materiellen Verstöße bestätigten beide Instanzen, doch vom ursprünglichen Bußgeld blieb weniger als ein Zehntel übrig.

Lehmkemper erklärt, wie ein solches Verfahren abläuft: Die Datenschutzbehörde ermittelt als Verwaltungsbehörde nach dem Ordnungswidrigkeitengesetz (OWiG), hört die Beteiligten an und erlässt einen Bußgeldbescheid. Legt das Unternehmen binnen 14 Tagen Einspruch ein und hält die Behörde an ihrer Einschätzung fest, übergibt sie den Fall an die Staatsanwaltschaft. Ab diesem Moment verliert die Datenschutzbehörde jede Steuerungsmöglichkeit. Die Staatsanwaltschaft vertritt den Fall vor Gericht, kann eigene Anträge stellen und sogar die Einstellung beantragen. In der Rechtsmittelinstanz übernimmt die Generalstaatsanwaltschaft, und kann wiederum ganz andere Summen beantragen als die Staatsanwaltschaft.

Im Fall notebooksbilliger.de forderte die Staatsanwaltschaft mindestens fünf Millionen Euro, die Generalstaatsanwaltschaft beantragte 1,47 Millionen. Die Datenschutzbehörde durfte dazu nichts sagen und hatte zeitweise sogar Schwierigkeiten, die Gerichtsentscheidung überhaupt zu erhalten. Noch drastischer zeigte sich das Problem in einem Bußgeldverfahren gegen VW: Dort vergaß offenbar jemand in der Staatsanwaltschaft, einen fertigen Schriftsatz zu unterschreiben - die Rechtsbeschwerde scheiterte an einem Formfehler.

Lehmkemper fordert deshalb, dass Landesdatenschutzbehörden künftig neben der Staatsanwaltschaft als Antragsbeteiligte vor Gericht auftreten dürfen, ähnlich wie es das Bundeskartellamt bereits kann. So könnten sie eigene Schriftsätze einreichen, dem Gericht die fachlichen Hintergründe ihrer Bußgeldbemessung erläutern und Fehler durch Doppelstrukturen vermeiden. Er will das Thema bei der Vorstellung seines Tätigkeitsberichts im Juni erneut auf die politische Agenda setzen.

Neben dem Verfahrensweg diskutieren die drei auch die grundsätzliche Frage, ob der Datenschutz hohe Bußgelder braucht. Lehmkemper sieht das Signal, das von drastischen Reduktionen ausgeht, als problematisch: Unternehmen könnten lernen, dass sich Widerspruch gegen Bußgeldbescheide fast immer lohnt. Joerg bestätigt aus der Beratungspraxis, dass hohe Bußgelder das wirksamste Argument sind, um Unternehmen zur Einhaltung des Datenschutzes zu bewegen.