Auslegungssache – der c't-Datenschutz-Podcast

In Episode 160 des c't-Datenschutz-Podcasts widmen sich Holger und Joerg gleich mehreren Themen aus der jüngsten Vergangenheit. Den Auftakt macht ein bemerkenswertes Bußgeld der niederländischen Datenschutzaufsicht: 100 Millionen Euro muss die MLU B.V. zahlen, Betreiberin der europäischen Version der Yandex-Taxi-App Yango.

Der Vorwurf lautet, das Unternehmen habe Daten von Fahrern und Fahrgästen aus Norwegen und Finnland nach Russland übermittelt, darunter Führerscheinscans, Standortdaten und Kontonummern. Die niederländische Behörde kam zu dem Schluss, dass die verwendeten EU-Standardvertragsklauseln nicht ausreichten, um die Daten vor staatlichem Zugriff in Russland zu schützen. Die Höhe der Strafe orientiert sich am weltweiten Umsatz des Mutterkonzerns Yandex von rund 12 Milliarden Euro. MLU hat bereits Widerspruch gegen den Bescheid eingelegt.

Anschließend diskutieren Holger und Joerg eine Entwicklung in Baden-Württemberg: Die neue grün-schwarze Landesregierung plant laut Koalitionsvertrag, 40 Prozent der Stellen beim Landesbeauftragten für Datenschutz und Informationsfreiheit zu streichen und begründet das mit Haushaltskonsolidierung und Verwaltungsmodernisierung. Die Diskussion um derlei Maßnahmen reiht sich in die bundesweiten Überlegungen ein, Datenschutzkompetenzen stärker beim Bund zu bündeln.

Bleich und Heidrich sehen die Entwicklung kritisch. Gerade spezialisierte Landesbehörden hätten in den vergangenen Jahren wichtige Expertise aufgebaut, etwa zu Microsoft 365 oder Informationsfreiheit. Gerade erst habe der Verbraucherzentrale Bundesverband (vzbv) in einem Positionspapier diese Ansicht bestärkt, so Bleich. Der Verband fordert unter anderem "gezielte Zuständigkeitsbündelungen für länderübergreifende Fälle" statt eine Zentralisierung der Aufsicht beim Bund.

Den Schwerpunkt der Episode bildet schließlich die Auseinandersetzung mit dem Russmedia-Urteil des Europäischen Gerichtshofs (EuGH) und einer aktuellen Bewertung dessen des Hamburger Datenschutzbeauftragten. Das Urteil verpflichtet Plattformbetreiber unter Umständen zu einer anlasslosen Vorabprüfung von Inhalten – insbesondere bei gewerblichen Anzeigen mit sensiblen Daten. Die Hamburger Behörde überträgt diese Grundsätze auch auf Social-Media-Anbieter wie Facebook, Instagram und YouTube.

Holger und Joerg kritisieren das Urteil erneut scharf: Es könne faktisch zu einer Klarnamenpflicht und zu Uploadfiltern über die Datenschutz-Hintertür führen. Holger betont, dass es außerdem das wichtige Haftungsprivileg für Plattformbetreiber aushöhlen und deshalb Chilling-Effekte sowie Overblocking befördern könnte. Damit könnte ausgerechnet das Datenschutzrecht die mühsam austarierten Regelungen des Digital Services Act aushebeln.

In dieser Episode vertreten Sylvester Tremmel aus der c't-Redaktion und der freie Journalist Falk Steiner Joerg Heidrich an der Seite von Holger Bleich. Zum Auftakt berichtet Steiner aus Berlin von der Vorstellung des Tätigkeitsberichts der Bundesdatenschutzbeauftragten – und davon, wie wenige Journalistinnen und Journalisten überhaupt noch zu diesem Termin erschienen sind; für ihn ein bedenkliches Signal in Zeiten, in denen Vorhaben wie Vorratsdatenspeicherung oder Gesichtserkennung beim BKA auf der politischen Agenda stünden, der Datenschutz aber kaum noch Beachtung finde.

Beim Bußgeld der Woche geht es um eine spanische Fondsgesellschaft, die einen mit Microsoft Teams aufgezeichneten internen Call später als offizielles Protokoll an externe Investoren weitergegeben hatte. Die spanische Datenschutzbehörde AEPD wertete die pauschale Einwilligung zur Aufzeichnung der Teilnehmenden als unzureichend und verhängte 3000 Euro Bußgeld. Die Diskutanten loben die Praxis der spanischen Behörde, auch kleinere Fälle konsequent zu verfolgen und damit Klarheit über die Auslegung der DSGVO zu schaffen.

Breiten Raum nimmt der sogenannte Signal-"Hack" ein, bei dem hochrangige Politikerinnen und Politiker, darunter Bundestagspräsidentin Julia Klöckner, Ziel einer Phishing-Kampagne wurden. Tremmel stellt klar, dass es sich nicht um einen technischen Angriff auf den Messenger handelte: Die mutmaßlich aus Russland gesteuerten Angreifer gaben sich als Signal-Support aus und brachten ihre Opfer dazu, ihre PIN preiszugeben oder ein fremdes Gerät zu verknüpfen.

Steiner schildert anschaulich, wie schwierig sichere Kommunikation in der politischen Realität ist, wo eine einzelne Person wie die Bundestagspräsidentin in zahlreichen Rollen unterwegs ist und über verschiedenste IT-Umgebungen hinweg kommunizieren muss. Die nun empfohlene Nutzung der Messenger-Plattform Wire löse das Grundproblem nicht, solange offene Messenger nötig blieben.

Zuguterletzt stellt Tremmel eine Recherche von Correctiv, Computer Weekly und Solomon zum sogenannten "Pressure Cooker" bei Europol vor. In diesem Datensystem soll die EU-Polizeibehörde über Jahre hinweg mehr als zwei Petabyte an Daten angehäuft haben - ohne saubere Rechtsgrundlage, ohne funktionierendes Rechtemanagement und am europäischen Datenschutzbeauftragten vorbei. Steiner ordnet ein, warum gerade jetzt, da die EU-Kommission Europol mit mehr Personal und Befugnissen ausstatten will, ein genauer Blick auf diese Praxis besonders wichtig ist.

Was passiert eigentlich mit den Standortdaten, die Smartphone-Apps tagtäglich sammeln? Diese Frage haben sich Ingo Dachwitz und sein Kollege Sebastian Meineck von netzpolitik.org gestellt. Seit fast zwei Jahren sind sie gemeinsam mit dem Bayerischen Rundfunk und internationalen Partnern den sogenannten "Databroker Files" auf der Spur.

Was sie dabei zutage förderten, ist erschreckend: Über die Plattform Datarade.ai bekamen die Journalisten von Datenhändlern kostenlose "Probedatensätze" mit inzwischen mehr als 13 Milliarden Standortdaten aus über 140 Ländern zugespielt. Allein in einem deutschen Datensatz fanden sich 3,6 Milliarden Standortpunkte, zugeordnet zu rund elf Millionen Smartphones.

Im Gespräch mit Holger und Joerg erläutert Ingo, wie die Recherche funktionierte. Mit einem von BR-Datenjournalistin Katharina Brunner gebauten Tool ließen sich die Daten auf Karten visualisieren. Anhand der Mobile Advertising ID – einer eindeutigen Werbe-Kennung, die Android und iOS den Apps zur Verfügung stellen – konnten die Bewegungsmuster einzelner Personen über Wochen nachvollzogen werden. Mit einfachen Open-Source-Methoden, etwa dem Abgleich von Wohnadressen mit Klingelschildern und Telefonbüchern, gelang es dem Team, die vermeintlich anonymen Daten zahlreichen Personen zuzuordnen: hochrangigen Beamten, Mitarbeitern von Bundesnachrichtendienst und Verfassungsschutz, Soldaten auf US-Militärbasen wie dem Fliegerhorst Büchel und sogar einer mutmaßlichen NSA-Mitarbeiterin in Bad Aibling.

Die Daten stammen aus zwei Quellen: zum einen aus Tracking-SDKs, die App-Entwickler gegen kleines Geld in ihre Anwendungen einbauen, zum anderen aus Echtzeit-Auktionssystemen für Online-Werbung (Real-Time Bidding). Besonders aufgefallen war den Journalisten die App Wetter Online. Die nordrhein-westfälische Datenschutzaufsicht stattete dem Anbieter daraufhin einen Besuch ab und stellte fest, dass tatsächlich präzise Standortdaten weitergegeben wurden. Auch die Hamburger Datenschutzbehörde wurde aufgrund der Recherche bei einer Dating-App fündig.

Rechtlich, da sind sich die drei einig, ist das gesamte Geschäftsmodell kaum zu rechtfertigen. Eine Einwilligung kann die komplexen Datenflüsse mit hunderten beteiligten Firmen praktisch nicht abbilden, ein berechtigtes Interesse scheidet nach Auffassung der Datenschutzbehörden für Werbe-Tracking ohnehin aus. Hinzu kommt, dass sich Plattformen wie Datarade laut Ingo selbst nicht als Verantwortliche im Sinne der DSGVO sehen, sie vermittelten ja nur. Ingo fordert daher eine politische Debatte: Statt die Verantwortung allein auf Nutzer abzuwälzen, brauche es klare Verbote bestimmter Datengeschäfte.

Wer sich schützen will, kann immerhin die Werbe-ID auf dem Smartphone zurücksetzen oder deaktivieren, Apps den Standortzugriff nur bei aktiver Nutzung erlauben und konsequent Tracking ablehnen. Ein Tool auf netzpolitik.org erlaubt es zudem, die eigene Werbe-ID gegen den deutschen Datensatz abzugleichen.

Wenn eine Datenschutzbehörde ein Millionenbußgeld verhängt und das betroffene Unternehmen dagegen Einspruch einlegt, passiert in Deutschland etwas Merkwürdiges: Die Behörde, die den Fall über Monate ermittelt und den Verstoß festgestellt hat, wird aus dem Verfahren gedrängt. Die Staatsanwaltschaft übernimmt, oft ohne tiefere Kenntnis der Materie. In Episode 157 des c't-Datenschutz-Podcasts beleuchten Holger und Joerg mit Denis Lehmkemper, dem Landesbeauftragten für den Datenschutz (LfD) Niedersachsen, diesen eigentümlichen Verfahrensweg.

Anlass ist der Fall notebooksbilliger.de. Die niedersächsische Datenschutzbehörde hatte 2020 ein Bußgeld von 10,4 Millionen Euro verhängt, weil das Unternehmen mit 81 Kameras Beschäftigte, Kunden und Dritte mit Videokameras überwacht hatte -- mit unzulässig hohen Speicherdauern von bis zu 60 Tagen. Das Landgericht Hannover reduzierte die Summe auf 700.000 Euro, das Oberlandesgericht Celle hob sie schließlich Ende 2025 in der Rechtsbeschwerde auf 900.000 Euro an. Die materiellen Verstöße bestätigten beide Instanzen, doch vom ursprünglichen Bußgeld blieb weniger als ein Zehntel übrig.

Lehmkemper erklärt, wie ein solches Verfahren abläuft: Die Datenschutzbehörde ermittelt als Verwaltungsbehörde nach dem Ordnungswidrigkeitengesetz (OWiG), hört die Beteiligten an und erlässt einen Bußgeldbescheid. Legt das Unternehmen binnen 14 Tagen Einspruch ein und hält die Behörde an ihrer Einschätzung fest, übergibt sie den Fall an die Staatsanwaltschaft. Ab diesem Moment verliert die Datenschutzbehörde jede Steuerungsmöglichkeit. Die Staatsanwaltschaft vertritt den Fall vor Gericht, kann eigene Anträge stellen und sogar die Einstellung beantragen. In der Rechtsmittelinstanz übernimmt die Generalstaatsanwaltschaft, und kann wiederum ganz andere Summen beantragen als die Staatsanwaltschaft.

Im Fall notebooksbilliger.de forderte die Staatsanwaltschaft mindestens fünf Millionen Euro, die Generalstaatsanwaltschaft beantragte 1,47 Millionen. Die Datenschutzbehörde durfte dazu nichts sagen und hatte zeitweise sogar Schwierigkeiten, die Gerichtsentscheidung überhaupt zu erhalten. Noch drastischer zeigte sich das Problem in einem Bußgeldverfahren gegen VW: Dort vergaß offenbar jemand in der Staatsanwaltschaft, einen fertigen Schriftsatz zu unterschreiben - die Rechtsbeschwerde scheiterte an einem Formfehler.

Lehmkemper fordert deshalb, dass Landesdatenschutzbehörden künftig neben der Staatsanwaltschaft als Antragsbeteiligte vor Gericht auftreten dürfen, ähnlich wie es das Bundeskartellamt bereits kann. So könnten sie eigene Schriftsätze einreichen, dem Gericht die fachlichen Hintergründe ihrer Bußgeldbemessung erläutern und Fehler durch Doppelstrukturen vermeiden. Er will das Thema bei der Vorstellung seines Tätigkeitsberichts im Juni erneut auf die politische Agenda setzen.

Neben dem Verfahrensweg diskutieren die drei auch die grundsätzliche Frage, ob der Datenschutz hohe Bußgelder braucht. Lehmkemper sieht das Signal, das von drastischen Reduktionen ausgeht, als problematisch: Unternehmen könnten lernen, dass sich Widerspruch gegen Bußgeldbescheide fast immer lohnt. Joerg bestätigt aus der Beratungspraxis, dass hohe Bußgelder das wirksamste Argument sind, um Unternehmen zur Einhaltung des Datenschutzes zu bewegen.

In Episode 156 des c't-Datenschutz-Podcasts widmen sich Holger und Joerg einem Thema, das die Datenschutzwelt umtreibt wie kaum ein anderes: Microsoft 365. Zu Gast ist Kai Korte, Geschäftsführer der lexICT GmbH, Rechtsanwalt für IT- und Datenschutzrecht in Hannover und Lehrbeauftragter an der Hochschule Hannover.

Zunächst beleuchten die drei eine auffällige aktuelle Entwicklung: Die Zahl der Datenschutzbeschwerden hat sich bei einigen Aufsichtsbehörden nahezu verdoppelt, wie aus den neuen Tätigkeitsberichten hervorgeht. Baden-Württemberg verzeichnete 2025 einen Anstieg von rund 4.000 im Jahr 2024 auf über 7.600, Hamburg von 2.600 auf 4.200. Mehrere Behörden führen das auch auf KI-generierte Beschwerden zurück. Betroffene lassen sich offenbar per Chatbot fertige Texte erstellen und schicken diese an die Aufsicht. Die Behörden warnen, dass sie an ihre Kapazitätsgrenzen stoßen.

Ebenfalls Thema ist ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) zum Auskunftsrecht. Im Fall "Brillen Rottler" entschied das Gericht, dass bereits ein erster Auskunftsantrag als rechtsmissbräuchlich eingestuft werden kann. Ein Mann hatte sich zum Newsletter eines Optikers angemeldet und nur 13 Tage später ein umfassendes Auskunftsersuchen gestellt. Der EuGH setzt allerdings hohe Hürden: Der Verantwortliche muss objektiv nachweisen, dass der Antragsteller gar nicht die Ziele des Datenschutzrechts verfolgt, und er muss zusätzlich eine missbräuchliche Absicht belegen. Korte warnt davor, das Urteil vorschnell zu verallgemeinern, es bleibe ein Ausnahmefall.

Dann steigen die drei ins Hauptthema ein: Microsoft 365. Holger macht zunächst deutlich, wie komplex das Produktuniversum ist. Hinter dem Namen verbergen sich zahlreiche Einzelprodukte – von Office-Anwendungen bis zu Teams und SharePoint. Die Preise reichen von knapp 11 Euro pro Nutzer und Monat für kleinere Unternehmen bis über 55 Euro im großen Enterprise-Paket. Viele Sicherheitsfunktionen sind nur in den teuren Varianten enthalten, und Microsoft verschiebt regelmäßig Features zwischen den Paketen.

Datenschutzrechtlich bleibt Microsoft 365 ein Minenfeld. Zwar nimmt der US-Konzern am Transatlantic Data Privacy Framework teil, was den Datentransfer in die USA formal absichert. Kau weist aber darauf hin, dass der CLOUD Act und weitreichende Zugriffsbefugnisse US-amerikanischer Behörden weiterhin problematisch sind. Microsoft sichert vertraglich zu, Daten europäuscher Unternehmen innerhalb der EU zu speichern -– die sogenannte EU Data Boundary. Doch Wartungszugriffe aus den USA sind weiterhin möglich, und ein Microsoft-Manager räumte öffentlich ein, dass man sich einem US-Herausgabebeschluss kaum widersetzen könnte.

Ein zentraler Kritikpunkt betrifft die Verarbeitung von Telemetrie- und Diagnosedaten. Microsoft sammelt im Hintergrund umfangreich Metadaten – Anmeldezeiten, Gesprächsdauern, Teilnehmerlisten, Nutzeraktivitäten. Welche Datenfelder genau erfasst werden und was damit geschieht, bleibt weitgehend intransparent. Der hessische Datenschutzbeauftragte hat Ende 2025 einen Bericht veröffentlicht, der den Einsatz von Microsoft 365 in öffentlichen Stellen unter bestimmten Bedingungen für möglich erklärt. Allerdings hat er sich dabei ausschließlich auf Microsofts eigene Angaben verlassen, ohne die Datenflüsse technisch zu überprüfen.

Holger verweist zudem auf Microsofts Zusatzprodukte Sentinel und Purview, mit denen Unternehmen das Verhalten ihrer Mitarbeiter analysieren können – bis hin zur KI-gestützten Erkennung potenzieller Whistleblower oder Datendiebe. Kai räumt ein, dass Purview ein mächtiges Sicherheitswerkzeug sei, warnt aber vor dem schmalen Grat zwischen legitimer Sicherheitsüberwachung und unzulässigem Profiling von Beschäftigten.

Ob Unternehmen vor dem Einsatz von Microsoft 365 eine Datenschutz-Folgenabschätzung durchführen müssen, beantwortet Kai differenziert: Die Aufsichtsbehörden fordern das zwar, doch bei kleineren Unternehmen ohne besondere Datenkategorien sei das nicht