Auslegungssache – der c't-Datenschutz-Podcast

Wenn eine Datenschutzbehörde ein Millionenbußgeld verhängt und das betroffene Unternehmen dagegen Einspruch einlegt, passiert in Deutschland etwas Merkwürdiges: Die Behörde, die den Fall über Monate ermittelt und den Verstoß festgestellt hat, wird aus dem Verfahren gedrängt. Die Staatsanwaltschaft übernimmt, oft ohne tiefere Kenntnis der Materie. In Episode 157 des c't-Datenschutz-Podcasts beleuchten Holger und Joerg mit Denis Lehmkemper, dem Landesbeauftragten für den Datenschutz (LfD) Niedersachsen, diesen eigentümlichen Verfahrensweg.

Anlass ist der Fall notebooksbilliger.de. Die niedersächsische Datenschutzbehörde hatte 2020 ein Bußgeld von 10,4 Millionen Euro verhängt, weil das Unternehmen mit 81 Kameras Beschäftigte, Kunden und Dritte mit Videokameras überwacht hatte -- mit unzulässig hohen Speicherdauern von bis zu 60 Tagen. Das Landgericht Hannover reduzierte die Summe auf 700.000 Euro, das Oberlandesgericht Celle hob sie schließlich Ende 2025 in der Rechtsbeschwerde auf 900.000 Euro an. Die materiellen Verstöße bestätigten beide Instanzen, doch vom ursprünglichen Bußgeld blieb weniger als ein Zehntel übrig.

Lehmkemper erklärt, wie ein solches Verfahren abläuft: Die Datenschutzbehörde ermittelt als Verwaltungsbehörde nach dem Ordnungswidrigkeitengesetz (OWiG), hört die Beteiligten an und erlässt einen Bußgeldbescheid. Legt das Unternehmen binnen 14 Tagen Einspruch ein und hält die Behörde an ihrer Einschätzung fest, übergibt sie den Fall an die Staatsanwaltschaft. Ab diesem Moment verliert die Datenschutzbehörde jede Steuerungsmöglichkeit. Die Staatsanwaltschaft vertritt den Fall vor Gericht, kann eigene Anträge stellen und sogar die Einstellung beantragen. In der Rechtsmittelinstanz übernimmt die Generalstaatsanwaltschaft, und kann wiederum ganz andere Summen beantragen als die Staatsanwaltschaft.

Im Fall notebooksbilliger.de forderte die Staatsanwaltschaft mindestens fünf Millionen Euro, die Generalstaatsanwaltschaft beantragte 1,47 Millionen. Die Datenschutzbehörde durfte dazu nichts sagen und hatte zeitweise sogar Schwierigkeiten, die Gerichtsentscheidung überhaupt zu erhalten. Noch drastischer zeigte sich das Problem in einem Bußgeldverfahren gegen VW: Dort vergaß offenbar jemand in der Staatsanwaltschaft, einen fertigen Schriftsatz zu unterschreiben - die Rechtsbeschwerde scheiterte an einem Formfehler.

Lehmkemper fordert deshalb, dass Landesdatenschutzbehörden künftig neben der Staatsanwaltschaft als Antragsbeteiligte vor Gericht auftreten dürfen, ähnlich wie es das Bundeskartellamt bereits kann. So könnten sie eigene Schriftsätze einreichen, dem Gericht die fachlichen Hintergründe ihrer Bußgeldbemessung erläutern und Fehler durch Doppelstrukturen vermeiden. Er will das Thema bei der Vorstellung seines Tätigkeitsberichts im Juni erneut auf die politische Agenda setzen.

Neben dem Verfahrensweg diskutieren die drei auch die grundsätzliche Frage, ob der Datenschutz hohe Bußgelder braucht. Lehmkemper sieht das Signal, das von drastischen Reduktionen ausgeht, als problematisch: Unternehmen könnten lernen, dass sich Widerspruch gegen Bußgeldbescheide fast immer lohnt. Joerg bestätigt aus der Beratungspraxis, dass hohe Bußgelder das wirksamste Argument sind, um Unternehmen zur Einhaltung des Datenschutzes zu bewegen.

In Episode 156 des c't-Datenschutz-Podcasts widmen sich Holger und Joerg einem Thema, das die Datenschutzwelt umtreibt wie kaum ein anderes: Microsoft 365. Zu Gast ist Kai Korte, Geschäftsführer der lexICT GmbH, Rechtsanwalt für IT- und Datenschutzrecht in Hannover und Lehrbeauftragter an der Hochschule Hannover.

Zunächst beleuchten die drei eine auffällige aktuelle Entwicklung: Die Zahl der Datenschutzbeschwerden hat sich bei einigen Aufsichtsbehörden nahezu verdoppelt, wie aus den neuen Tätigkeitsberichten hervorgeht. Baden-Württemberg verzeichnete 2025 einen Anstieg von rund 4.000 im Jahr 2024 auf über 7.600, Hamburg von 2.600 auf 4.200. Mehrere Behörden führen das auch auf KI-generierte Beschwerden zurück. Betroffene lassen sich offenbar per Chatbot fertige Texte erstellen und schicken diese an die Aufsicht. Die Behörden warnen, dass sie an ihre Kapazitätsgrenzen stoßen.

Ebenfalls Thema ist ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) zum Auskunftsrecht. Im Fall "Brillen Rottler" entschied das Gericht, dass bereits ein erster Auskunftsantrag als rechtsmissbräuchlich eingestuft werden kann. Ein Mann hatte sich zum Newsletter eines Optikers angemeldet und nur 13 Tage später ein umfassendes Auskunftsersuchen gestellt. Der EuGH setzt allerdings hohe Hürden: Der Verantwortliche muss objektiv nachweisen, dass der Antragsteller gar nicht die Ziele des Datenschutzrechts verfolgt, und er muss zusätzlich eine missbräuchliche Absicht belegen. Korte warnt davor, das Urteil vorschnell zu verallgemeinern, es bleibe ein Ausnahmefall.

Dann steigen die drei ins Hauptthema ein: Microsoft 365. Holger macht zunächst deutlich, wie komplex das Produktuniversum ist. Hinter dem Namen verbergen sich zahlreiche Einzelprodukte – von Office-Anwendungen bis zu Teams und SharePoint. Die Preise reichen von knapp 11 Euro pro Nutzer und Monat für kleinere Unternehmen bis über 55 Euro im großen Enterprise-Paket. Viele Sicherheitsfunktionen sind nur in den teuren Varianten enthalten, und Microsoft verschiebt regelmäßig Features zwischen den Paketen.

Datenschutzrechtlich bleibt Microsoft 365 ein Minenfeld. Zwar nimmt der US-Konzern am Transatlantic Data Privacy Framework teil, was den Datentransfer in die USA formal absichert. Kau weist aber darauf hin, dass der CLOUD Act und weitreichende Zugriffsbefugnisse US-amerikanischer Behörden weiterhin problematisch sind. Microsoft sichert vertraglich zu, Daten europäuscher Unternehmen innerhalb der EU zu speichern -– die sogenannte EU Data Boundary. Doch Wartungszugriffe aus den USA sind weiterhin möglich, und ein Microsoft-Manager räumte öffentlich ein, dass man sich einem US-Herausgabebeschluss kaum widersetzen könnte.

Ein zentraler Kritikpunkt betrifft die Verarbeitung von Telemetrie- und Diagnosedaten. Microsoft sammelt im Hintergrund umfangreich Metadaten – Anmeldezeiten, Gesprächsdauern, Teilnehmerlisten, Nutzeraktivitäten. Welche Datenfelder genau erfasst werden und was damit geschieht, bleibt weitgehend intransparent. Der hessische Datenschutzbeauftragte hat Ende 2025 einen Bericht veröffentlicht, der den Einsatz von Microsoft 365 in öffentlichen Stellen unter bestimmten Bedingungen für möglich erklärt. Allerdings hat er sich dabei ausschließlich auf Microsofts eigene Angaben verlassen, ohne die Datenflüsse technisch zu überprüfen.

Holger verweist zudem auf Microsofts Zusatzprodukte Sentinel und Purview, mit denen Unternehmen das Verhalten ihrer Mitarbeiter analysieren können – bis hin zur KI-gestützten Erkennung potenzieller Whistleblower oder Datendiebe. Kai räumt ein, dass Purview ein mächtiges Sicherheitswerkzeug sei, warnt aber vor dem schmalen Grat zwischen legitimer Sicherheitsüberwachung und unzulässigem Profiling von Beschäftigten.

Ob Unternehmen vor dem Einsatz von Microsoft 365 eine Datenschutz-Folgenabschätzung durchführen müssen, beantwortet Kai differenziert: Die Aufsichtsbehörden fordern das zwar, doch bei kleineren Unternehmen ohne besondere Datenkategorien sei das nicht

In Episode 155 dreht sich alles um smarte Brillen – und die Frage, ob man sie bedenkenlos tragen darf. Holger und Joerg haben sich gleich zwei Gäste eingeladen: Datenschutzanwalt Thomas Schwenke, der vor zehn Jahren über Smart Glasses promoviert hat, und c't-Redakteur Nico Jurran, der selbst eine Ray-Ban Meta besitzt und sie im Alltag nutzt.

Nico stellt die Technik vor: Die Meta-Brille sieht aus wie eine gewöhnliche Ray-Ban Wayfarer, hat aber eine Kamera, Mikrofone, Lautsprecher und Akku in den etwas breiteren Bügeln versteckt. Per Sprachbefehl oder Knopfdruck macht sie Fotos und Videos, übersetzt Sprachen in Echtzeit, liest Nachrichten vor und erkennt Objekte. Über Bluetooth ist sie permanent mit dem Smartphone verbunden, ein Meta-Account ist Pflicht. Von außen erkennt man die smarte Brille kaum – und genau das macht sie aus Datenschutzsicht so problematisch.

Thomas bringt zunächst eine fundamentale Frage auf den Tisch: Darf man die Brille überhaupt besitzen? Das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) verbietet Aufnahmegeräte, die als Alltagsgegenstände getarnt sind und heimliche Aufnahmen ermöglichen. Zwar blinkt beim Fotografieren eine kleine LED am Rahmen, doch Holger bestätigt aus eigener Erfahrung, dass er dieses Signal bei Tageslicht nicht wahrgenommen hat. Thomas verschärft das Argument: Für wenige Euro gibt es bei Amazon Abdeckkappen, die das Warnsignal unsichtbar machen, ohne die Kamerafunktion zu blockieren. Wer eine solche Kappe anbringt, könnte sich als Hersteller einer verbotenen Telekommunikationsanlage strafbar machen, spekuliert Schwenke.

Auch die DSGVO stellt die Brillenträger vor massive Probleme. Eine Rechtsgrundlage für heimliche Aufnahmen fremder Personen sieht Thomas praktisch nicht. Berechtigte Interessen scheitern regelmäßig an den überwiegenden Schutzinteressen der Gefilmten. Eine Einwilligung ist im Alltag nicht einholbar – schon gar nicht bei Kindern, deren Erziehungsberechtigte man erst finden müsste. Die sogenannte Haushaltsausnahme für rein private Datenverarbeitung greift nach Einschätzung der Diskutanten ebenfalls nicht, sobald die Aufnahmen in die Meta-Cloud wandern, von Subunternehmern in Kenia gesichtet und für KI-Training verwendet werden. Thomas sieht hier sogar eine gemeinsame Verantwortlichkeit von Brillenträger und Meta – mit der Folge, dass Nutzer für Datenschutzverstöße des Konzerns mithaften könnten.

Weitere Rechtsprobleme türmen sich auf: Das Recht am eigenen Bild schützt vor heimlichen Aufnahmen. Strafrechtlich drohen Konsequenzen bei Aufnahmen in geschützten Lebensbereichen wie Umkleidekabinen, beim Mitschneiden nicht öffentlich gesprochener Worte oder bei der Verbreitung intimer Aufnahmen. Thomas warnt zudem vor einem gesellschaftlichen Überwachungseffekt: Wenn jeder eine solche Brille tragen könnte, veränderten Menschen ihr Verhalten aus Angst vor permanenter Beobachtung.

Trotz aller Bedenken sprechen sich alle Beteiligten gegen ein generelles Verbot aus. Holger verweist darauf, dass Smartphones mit ihren Kameras ähnliche Probleme aufwerfen, ohne dass jemand ein Verbot fordere. Nico betont die positiven Anwendungsszenarien etwa für Sehbehinderte. Thomas plädiert für stärkere technische Schutzmaßnahmen wie automatische Anonymisierung oder deutlich wahrnehmbare Aufnahmegeräusche. Am Ende bleibt die Erkenntnis, dass die Technik der Regulierung wieder einmal weit voraus ist – und die Faszination selbst bei den Warnern überwiegt.

Holger und Joerg verzichten ausnahmsweise auf einen Gast und arbeiten sich zu zweit durch gleich mehrere aktuelle Datenschutzthemen. Den Anfang macht ein Bußgeld aus Großbritannien: Die britische Datenschutzbehörde ICO verhängte gegen Reddit eine Strafe von 14,4 Millionen Pfund (rund 17,3 Millionen Euro), weil die Plattform über Jahre hinweg keine wirksame Altersüberprüfung einsetzte und so Daten von Kindern unter 13 Jahren ohne Rechtsgrundlage verarbeitete. Reddit kündigte Widerspruch an.

Vom Bußgeld leiten die beiden über zum Thema Altersverifikation und sprechen über den Identitätsprüfer Persona. Das US-Unternehmen, an dem unter anderem Palantir-Mitgründer Peter Thiel beteiligt ist, wird von Plattformen wie Reddit, Discord und LinkedIn eingesetzt. Eine Recherche förderte zutage, dass Persona bei der Identitätsprüfung bis zu 269 Prüfschritte durchläuft, Daten mit US-Fahndungslisten und Terrorismus-Datenbanken abgleicht und 17 weitere Unternehmen einbindet. Holger warnt davor, dass solche Dienste weit mehr Daten sammeln und weitergeben könnten, als Nutzer ahnen – und dass über die Hintertür Altersverifikation eine Art Klarnamenpflicht im Netz entstehen könnte.

Anschließend widmen sich die beiden dem Jugendschutzkonzept der SPD. Die Partei fordert ein vollständiges Social-Media-Verbot für unter 14-Jährige und eine eingeschränkte Jugendversion für 14- bis 16-Jährige, in der Empfehlungsalgorithmen, personalisierte Werbung und suchtfördernde Elemente wie Endlos-Scrollen abgeschaltet sein sollen. Die Altersüberprüfung soll über das europäische EUDI-Wallet laufen, das im Frühjahr 2027 starten soll.

Holger erkennt darin zwar den datensparsamsten Ansatz unter den bisherigen Vorschlägen, sieht aber zahlreiche Probleme: Das Wallet existiert noch nicht, steht erst ab 16 Jahren zur Verfügung und schließt Menschen ohne Smartphone und Nicht-EU-Bürger aus. Zudem habe Deutschland nach Einschätzung des Wissenschaftlichen Dienstes des Bundestags durch den Digital Services Act seine Regelungskompetenz im Bereich Jugendschutz auf Plattformen an die EU abgegeben.

Ein weiteres Thema ist ein Urteil des OLG Jena gegen Meta. Das Gericht stellte fest, dass Meta mit seinen Business-Tools eine weitreichende Überwachung der Internetnutzung betreibt, die auch nicht eingeloggte Personen erfasst und sogar sensible Gesundheitsdaten einschließen kann. Das Gericht sprach dem Kläger 3000 Euro Schadenersatz zu und ließ die Revision zum Bundesgerichtshof zu. Beide Podcaster berichten auch von ihren eigenen Erfahrungen als Kläger in Massenverfahren gegen Meta.

Beim Thema Chatkontrolle berichten sie von einer überraschenden Entwicklung im EU-Parlament: Im LIBE-Ausschuss fand sich bei einer Abstimmung keine Mehrheit für die Verlängerung der sogenannten freiwilligen Chatkontrolle, die Anfang April ausläuft. Ohne Verlängerung dürften Plattformen wie Microsoft oder Facebook nicht mehr automatisiert nach Darstellungen von Kindesmissbrauch scannen. Gleichzeitig stehen die Trilog-Verhandlungen zur eigentlichen Chatkontrolle-Verordnung an, deren Ausgang völlig offen ist.

Zum Schluss werfen Holger und Joerg einen Blick auf das Omnibus-Paket zur DSGVO-Reform. Die geplanten Änderungen – darunter eine Neudefinition personenbezogener Daten, Einschränkungen es Auskunftsrechts und Sonderregeln für KI-Training – stoßen auf mehr Widerstand als erwartet. Die zypriotische Ratspräsidentschaft lehnt zentrale Vorschläge ab, auch das Parlament und die Datenschutzbehörden äußern Kritik. Das ehrgeizige Ziel, die Reform noch 2026 abzuschließen, sehen beide damit in Frage gestellt.

In Episode 153 der Auslegungssache sprechen Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit Maria Christina Rost, seit 2024 Landesbeauftragte für den Datenschutz in Sachsen-Anhalt, über die wachsenden Risiken für Minderjährige im Netz. Rost hat das Thema Kinderdatenschutz zu einem ihrer inhaltichen Schwerpunkte gemacht.

Im Zentrum der Diskussion in der Episode steht die rechtliche und praktische Schutzlücke bei Umgang mit Minderjährigen. Zwar sieht die Datenschutz-Grundverordnung (DSGVO) in Deutschland vor, dass Kinder erst ab 16 Jahren wirksam selbst in die Verarbeitung ihrer Daten einwilligen können. Große Social-Media-Plattformen erlauben die Anmeldung jedoch oft schon ab 13 Jahren, basierend auf der Gesetzeslage in den USA. Diese Diskrepanz führt dazu, dass unzählige Kinder und Jugendliche die Dienste nutzen, ohne dass die in Deutschland geforderte Zustimmung der Eltern eingeholt wird – ein Zustand, den die Aufsichtsbehörden bisher kaum ahnden.

Ein weiterer Schwerpunkt des Gesprächs sind die technischen Lösungen zur Altersverifikation. Die EU arbeitet an einer digitalen Brieftasche (Wallet), die eine datensparsame Altersbestätigung ermöglichen soll, allerdings nur für streng reglementierte Angebote wie Glücksspiel, harte Pornografie und Alkoholverkauf. Zur Altersaverfikation von Social-Media-Plattformen genügen nach Ansicht der EU-Kommission Methoden, die auf biometrischen KI-Analysen von Webcam-Gesichtsaufnahmen beruhen. Rost äußert sich dazu eher skeptisch, da diese neue Datenschutzrisiken schaffen.

Bleich betont, dass technischer Jugendschutz allein ohnehin nicht reicht. Er verweist auf die EU-Kommission, die TikTok in einem vorläufigen Bericht suchtfördernde Mechanismen wie Endlos-Scrollen und Autoplay attestiert hat. Die Plattformen sammelten riesige Datenmengen von Minderjährigen, profilierten und verwerteten sie weitgehend unbehelligt. Hier müsse härter reguliert und vor allem schneller durchgesetzt werden, fordert er.

Rost setzt eher auf Prävention und Medienkompetenz. In Sachsen-Anhalt hat sie gemeinsam mit dem Lehrerfortbildungsinstitut einen ersten Datenschutz-Tag für Lehrkräfte und Schulämter organisiert. Ihr Ziel: ein "Datenführerschein" für Grundschulkinder, vergleichbar mit dem Fahrradführerschein der Verkehrswacht. Ziel sei es, Datenschutz als selbstverständlichen Teil der digitalen Bildung zu etablieren.

Am Ende formuliert Rost ihren Wunsch an die Datenschutzfee: eine gemeinsame Plattform von Datenschutzbehörden und Medienanstalten, die vorhandene Angebote bündelt und einen praxistauglichen Führerschein für den digitalen Alltag entwickelt. Gleichzeitig müsse die Aufsicht über die Plattformen spürbar verschärft werden. Das Fazit der Runde: Medienkompetenz, technischer Schutz und konsequente Regulierung müssen zusammenwirken – einzeln reicht keiner dieser Ansätze aus.