Persönlicher geht’s kaum: Fotos von Kundeninnen und Kunden, von Personal- und Schwerbehindertenausweisen, Namen, Adressen, Überweisungen, Rezepte, Kliniknamen und Termine – all diese Daten teilte ein Taxiunternehmen aus NRW über zwei WhatsApp-Gruppen mit all seinen Fahrer*innen. Die betroffenen Kund*innen wurden nicht um Erlaubnis gefragt. Die Praxis wurde von dem Unternehmen beendet, nachdem die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW) tätig geworden ist. Dem Unternehmen droht außerdem eine Geldbuße. „Hier wurden in einer Vielzahl von Fällen hochsensible Daten ohne Einwilligung der Betroffenen geteilt. Das ist ein fortlaufender schwerwiegender Rechtsverstoß“, erklärt die Landesbeauftragte Bettina Gayk.

Die Gruppen hießen „Taxi Newsletter“ und „Taxi Check Up Krankenbeförder…“ und wurden von dem Taxiunternehmen betrieben, um an alle Fahrer*innen Nachrichten zu schicken sowie zu empfangen. So nahmen die Fahrer*innen zum Beispiel Ausweisdaten und Rezepte auf und sendeten sie über die Gruppe an die Zentrale. Außerdem wurde in einer der WhatsApp-Gruppen das Foto einer Person geteilt, die wegen angeblicher Zahlungsunfähigkeit nicht mehr transportiert werden sollte. Das Foto hatte das Unternehmen den sozialen Medien entnommen. Was mit den in den Gruppen geteilten Daten passierte, hatte das Unternehmen nicht in der Hand. So war es vorgekommen, dass eine aus der WhatsApp-Gruppe ausgeschlossene Person auch danach noch Zugriff auf die geteilten Medien und Fotos hatte. Bei ihr landeten über WhatsApp empfangene Lichtbilder automatisch in der Galerie ihres Handys. Durch die WhatsApp-Gruppen wollte das Unternehmen unter anderem die Organisation von Krankentransportfahrten vereinfachen und Abrechnungen leichter erstellen können.

Das rechtfertigt aber nicht die vorgenommene Datenverarbeitung. Abgesehen davon, dass die Daten nicht für die Durchführung eines Transportvertrags notwendig waren, und sie schon gar nicht allen Fahrer*innen hätten zur Verfügung gestellt werden dürfen, sind Gesundheitsinformationen besonders schutzwürdig. Sie dürfen in der Regel nur dann verarbeitet werden, wenn die Betroffenen darin einwilligen. Eine solche Einwilligung fehlte aber. „Selbst wenn einzelne Kund*innen die Weiterleitung an die Taxizentrale mitbekommen und die Fahrer*innen ihnen mitgeteilt hätten, dass eine Weiterleitung erfolgt, fehlte dennoch eine angemessene Transparenz in die Verarbeitung und Speicherung der Daten. Auch fehlte die unmissverständliche Erklärung der betroffenen Personen, mit der Datenverarbeitung und Weiterleitung über WhatsApp einverstanden zu sein“, so Gayk.

Die LDI NRW hat deshalb die Nutzung der WhatsApp-Gruppen unterbunden und prüft nun die Verhängung einer Geldbuße. „Wir gehen grundsätzlich davon aus, dass Taxiunternehmen das Datenschutzrecht beachten. Da wir aber auch nicht ausschließen können, dass andere Taxiunternehmen WhatsApp ähnlich nutzen, informieren wir über diesen Fall und wollen zugleich andere Taxiunternehmen vor einer solchen rechtswidrigen Praxis warnen“, betont die Landesbeauftragte.

Gerichte veröffentlichen Entscheidungen, Datenschutz-Aufsichtsbehörden – jedenfalls hierzulande – etwa Tätigkeitsberichte oder Orientierungshilfen. Gerichte wie auch Datenschutz-Aufsichtsbehörden verfolgen dabei vergleichbare Ziele: Sie möchten die eigene Praxis transparent, nachvollziehbar und auch vorhersehbar machen. Oftmals geht es um die Arbeit am Recht, das Verständnis und die Auslegung von Regelungen, die Gesetzgeber nicht immer mit dem Anspruch größtmöglicher Konsistenz über- und nebeneinandergeschichtet haben, bei den Datenschutz-Aufsichtsbehörden zudem um die Gestaltung der technischen und organisatorischen Standards, die das Datenschutzrecht selbst nur sehr grob regulieren kann. Da kann es kaum wundern, wenn der Umgang mit gleichen Problemen mitunter von Mitgliedstaat zu Mitgliedstaat, innerhalb Deutschlands auch von Land zu Land unterschiedlich ausfällt. Dennoch greifen nach sieben Jahren Datenschutz-Grundverordnung längst die Mechanismen der Harmonisierung: Immer mehr Rechtsfragen finden stabile Antworten in der Rechtsprechung des Europäischen Gerichtshofs wie auch der nationalen Höchstgerichte, und auch unter den Datenschutz-Aufsichtsbehörden wächst das Gewicht abgestimmter Positionen. An dem so geführten Gesamtdiskurs nimmt auch mein heute vorgestellter Tätigkeitsbericht als eine durchaus vernehmbare Stimme teil.

Der Tätigkeitsbericht zieht eine Bilanz meiner Arbeit aus dem Jahr 2024. Was diese Arbeit ausmacht, hängt wesentlich davon ab, welche Gesetzgebungsvorhaben anstehen, welche Datenschutzfragen bei der Prüfung von Beschwerden und Beratungsanfragen aufkommen, welche Datenpannen sich ereignen, oder welche Entwicklungen der Informationstechnologie Datenschutzrelevanz erlangen. So zeigt auch dieser Tätigkeitsbericht wieder, wie Unionsrecht und nationales Recht in vielfältigen Verwaltungsmaterien Datenschutzüberlegungen veranlassen und wie Verantwortliche, behördliche Datenschutzbeauftragte und insbesondere meine Behörde auf Lösungen hinwirken, die pragmatischen Bedürfnissen, gleichermaßen aber den Bindungen aus der Datenschutz-Grundverordnung, dem Bayerischen Datenschutzgesetz und den bereichsspezifischen Regelungen gerecht werden. Wie in jedem Jahr steht der Tätigkeitsbericht in einem engen Verbund mit meinen rein digitalen Veröffentlichungen, 2024 konnten wiederum zwei „große“ Orientierungshilfen, jedoch auch einige kleinere Publikationen erscheinen (Beitrag Nr. 1.3).

Im Bereich der Allgemeinen Inneren Verwaltung konnte ich die Implementierung der vom Gesetzgeber neu eröffneten Gestaltungsmöglichkeiten beim Streaming von kommunalen Gremiensitzungen sowie von Bürgerversammlungen in einem Papier mit konkreten Hinweisen unterstützen (Beitrag Nr. 3.1). Namen von Personen zu veröffentlichen, die Gemeinden Geld zukommen lassen, kann die Korruptionsprävention nahelegen; manchmal möchte eine Spenderin oder ein Spender aber auch einfach ein gutes Werk tun, ohne dass irgendwer davon erfährt. Wie weit einem solchen Vertraulichkeitsinteresse entsprochen werden kann, habe ich anlässlich der Beratungsanfrage einer Gemeinde untersucht (Beitrag Nr. 3.2). Ferner war ich etwa mit der datenschutzkonformen Einrichtung eines digitalen „Mängelmelde-Tools“ befasst (Beitrag Nr. 3.3).

Einen Schwerpunkt bei der Beratung der Polizei bildete die Begleitung eines Gesetzgebungsverfahren, das die Voraussetzungen für den Einsatz einer verfahrensübergreifenden Recherche- und Analyseplattform betraf. Meine ausführliche, in Anbetracht meines gesetzlichen Auftrags zum Grundrechtsschutz unvermeidlich kritische Stellungnahme fand im Ergebnis leider wenig Gehör (Beitrag Nr. 2.1). Aus dem Polizeialltag beschäftigten mich auch im Berichtsjahr Speicherungen für Bürgerinnen und Bürger ungünstiger Informationen in den zahlreichen polizeilichen Dateien. Gleich drei Beiträge befassen sich mit Facetten dieses Themas (Beiträge Nr. 2.3 bis 2.5). Außerdem habe ich beispielsweise die Transparenz beim Einsatz von Polizeidrohnen sowie die Einhaltung datenschutzrechtlicher Vorgaben bei Observationen kontrolliert (Beiträge Nr. 2.2 und 2.8). Was die Justiz betrifft, möchte ich eine Beanstandung hervorheben, die ich gegenüber einer Staatsanwaltschaft ausgesprochen habe. Dabei ging es um eine ungesetzliche, für die betroffene Person zumindest potenziell folgenschwere Mitteilung aus einem dort geführten Verfahren (Beitrag Nr. 2.10).

Auch aus den vielfältigen Datenschutzproblemen im Sozial- und Gesundheitsbereich kann der Tätigkeitsbericht nur einige wenige aufgreifen. So gab mir eine Beschwerde Anlass, die Wirkung datenschutzrechtlicher Vorgaben auf die behördliche Sachverhaltsermittlung näher zu analysieren. Insgesamt bin ich hier zu der Einschätzung gelangt, dass diese Vorgaben zwar einer gelegentlich zu beobachtenden „Überaufklärung“ entgegenwirken, eine gründliche und kritische Sachverhaltsermittlung aber nicht hindern, wenn sie an den entscheidungserheblichen Normen orientiert bleibt (Beitrag Nr. 4.1). Einige Beratungsanfragen erreichten mich im Zusammenhang mit der Mitteilungsverordnung, in der es um Datentransfers von öffentlichen Stellen zu den Finanzämtern geht. Meine Erkenntnisse aus der Beschäftigung mit dieser recht spröden Materie habe ich in einem mehrteiligen Beitrag zusammengestellt (Beitrag Nr. 4.3). Ein unscheinbares, jedoch nicht ganz triviales Problem war die datenschutzrechtliche Verantwortlichkeit beim Wirken der ehrenamtlichen Pharmazieräte (Beitrag Nr. 4.7). Einrichtungen kritischer Infrastruktur sind mitunter darauf angewiesen, sicherheitssensible Bereiche mit Videotechnik zu überwachen. Die einschlägige gesetzliche Regelung lässt dies nur bei Nachweis einer Gefahrsituation zu. Dieser Nachweis kann am einfachsten mit einer Vorfallsdokumentation geführt werden. Einer bei mir anfragenden öffentliche Stelle konnte ich gleichwohl einen Weg aufzeigen, wie sie den Nachweis auch auf andere Art seriös führen kann (Beitrag Nr. 4.8).

Der Personaldatenschutz ist sehr detailliert und weithin landesrechtlich geregelt. Auf einem kontinuierlichen Strom von Beschwerden und Beratungsanfragen fließen mir hier immer wieder neue Datenschutzprobleme zu. So war ich gleich in zwei Fällen mit Datenerhebungen bei der Berufung von Professoren an bayerischen öffentlichen Hochschulen befasst. Einwände hatte ich gegen die Beschaffung von Informationen über eingestellte Straf- oder Disziplinarverfahren (Beitrag Nr. 5.1), während ich dem Verlangen einer Hochschule nach der frühzeitigen Vorlage einstellungsrelevanter Urkunden – auch auf Grund von Besonderheiten des Berufungsverfahrens – nicht entgegengetreten bin (Beitrag Nr. 5.2). Weniger speziell war die Frage, was bei einer Veröffentlichung von Beschäftigtendaten im Internet zu beachten ist. Die gesetzlichen Regelungen bieten hier eine Balance von Transparenz- und Vertraulichkeitsinteresse und sind gar nicht schwer anzuwenden (Beitrag Nr. 5.4).

Meine Datenschutzarbeit bei den bayerischen öffentlichen Schulen profitiert weiterhin von einer bereits über zwei Jahrzehnte aufgebauten Wissensbasis, die – in den Tätigkeitsberichten sowie ergänzenden Papieren dokumentiert – den Beteiligten ein hohes Maß an Handlungssicherheit vermittelt. Häufig sind daher Detailfragen zu klären, wie auch die aktuellen Beiträge in diesem Themenfeld zeigen. Hervorheben möchte ich eine Beschwerde, die den Umgang einer Schulleitung mit einem Auskunftsantrag betraf. Der Fall macht auf selten exemplarische Weise deutlich, wie einfallsreich öffentliche Stellen Auskunftsansprüche mitunter zu blockieren suchen und wie wenig tragfähig viele der vorgebrachten Hinderungsgründe bei näherer Betrachtung sind (Beitrag Nr. 6.2).

Im technisch-organisatorischen Datenschutz ist von massiven Hackerangriffen auf bayerische öffentliche Stellen zu berichten. Leider haben es IT-Verantwortliche den Hackern mitunter zu leicht gemacht, weil sie etwa ein wirksames Patch-Management versäumt haben. In diesem Kontext habe ich einige förmliche Beanstandungen ausgesprochen (Beitrag Nr. 8.6). Weiterhin erläutere ich – auch für Bürgerinnen und Bürger – Maßnahmen gegen Phishing-Angriffe sowie gegen eine unerwünschte Nutzung internetverfügbarer Fotos für das Training Künstlicher Intelligenz (Beiträge Nr. 8.3 und 8.1). In der analogen Welt waren etwa der Postversand von Datenträgern oder – wieder einmal – der Fehlversand von behördlichen Schreiben Gegenstände meiner Tätigkeit (Beiträge Nr. 8.5 und 8.2).

Soweit sich meine Kontrolltätigkeit schließlich auf den informationsfreiheitsrechtlichen Zugangsanspruch aus Art. 39 BayDSG bezieht, konnte ich einen größeren Fall abschließen, den ich bereits im letzten Tätigkeitsbericht geschildert habe. Ein Verein, der bei einer Vielzahl von Kommunen bestimmte Informationen angefragt hatte, gelangte mit meiner Unterstützung am Ende in der ganz überwiegenden Zahl der Fälle zum Ziel. In nicht wenigen Rathäusern wurde viel zu viel Zeit darin investiert, einen Anspruch nicht zu erfüllen, dessen Voraussetzungen recht offensichtlich gegeben waren (Beitrag Nr. 7.1). Einen Bürger, der Zugang zu einem „Abschleppkatalog“ begehrte, konnte ich leider nicht weiterhelfen (Beitrag Nr. 7.3).

Der 34. Tätigkeitsbericht 2024 steht ab Dienstag, den 28. Oktober 2025 um 11:00 Uhr auf meiner Homepage https://www.datenschutz-bayern.de in der Rubrik „Tätigkeitsberichte“ zum Abruf bereit. Unter „Broschürenbestellung“ kann die gedruckte Fassung bezogen werden. Der Tätigkeitsbericht ist in allen Versionen kostenfrei.

Interessierten Journalistinnen und Journalisten stehe ich gerne für Interviews und Anfragen zur Verfügung. Zur Vereinbarung eines Termins wenden Sie sich bitte an mein Vorzimmer (Telefon: 089 212672-12, E-Mail: vorzimmer@datenschutz-bayern.de).

Prof. Dr. Thomas Petri

Hinweis:
Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.

Die Sächsische Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert rät: »Wer bei LinkedIn registriert ist und nicht möchte, dass beispielsweise der hinterlegte Lebenslauf an die KI verfüttert wird, sollte jetzt von seinem Widerspruchsrecht Gebrauch machen. Denn wenn die persönlichen Informationen erstmal verarbeitet wurden, lassen sie sich womöglich nicht mehr vollständig aus den KI-Systemen entfernen. In diesem Fall kann nicht ausgeschlossen werden, dass sich für Nutzende künftig Nachteile ergeben, beispielsweise bei der Jobsuche.«

Das Widersprechen gegen das KI-Training ist mit wenigen Klicks möglich. Jedoch müssen sich Nutzerinnen und Nutzer dafür kurz Zeit nehmen, um die Zugriffsberechtigungen und Datenschutzeinstellungen zu verstehen und entsprechend anzupassen. Will man beispielsweise verhindern, dass die eigenen Daten für Forschungszwecke oder das Schulen von KI-Modellen genutzt werden, müssen die Schieberegler von Grün auf Schwarz gestellt werden. Eine kurze, bildhafte Anleitung zu den Einstellungen finden Interessierte auf der Website der Sächsischen Datenschutz- und Transparenzbeauftragten: www.datenschutz.sachsen.de

Bei der Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) gingen in diesem Jahr bislang so viele Datenpannen-Meldungen ein wie im Vergleichszeitraum des Vorjahres. Datenverarbeitende Stellen teilten in den ersten drei Quartalen rund 750 Vorfälle mit. Die Gesamtzahl 2024 belief sich auf rund 1.000 Fälle und markierte einen Höchststand. Zu den häufigsten Meldungen gehören Fehlversendungen, offene E-Mail-Verteiler und das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl. In etwa jedem zehnten Fall wurden personenbezogene Daten durch Cyberkriminalität abgegriffen.
Mit Wirksamwerden der Datenschutz-Grundverordnung im Mai 2018 sind Verantwortliche dazu verpflichtet, die Aufsichtsbehörde über Datenpannen zu informieren. Seitdem haben sich die gemeldeten Vorfälle in Sachsen mehr als vervierfacht, wie Dr. Juliane Hundert in ihrem Tätigkeitsbericht Datenschutz 2024 aufzeigt:
»Hinter den Zahlen stehen zumeist menschliches Versagen, organisatorische Mängel oder technische Schwachstellen. Angesichts des weiterhin hohen Aufkommens an Datenpannen ist Prävention heute wichtiger denn je. Dafür braucht es einerseits mehr Achtsamkeit bei der Verarbeitung von Daten Dritter, andererseits Wissen und vorbeugende Maßnahmen, um Fehler zu vermeiden und im Krisenfall die richtigen Schritte einzuleiten. Wichtige Hinweise dazu erhalten Verantwortliche nicht nur auf meiner Website, sondern am 30. Oktober 2025, um 16 Uhr, in einem einstündigen, kostenlosen Onlineseminar.«

Wissen stärken – Daten schützen
Die Veranstaltung »Prävention und Meldepflichten bei Datenpannen – ein Leitfaden für die Praxis« ist der Beginn einer Reihe von Datenschutz-Webinaren. Im Rahmen der Initiative »Meine Daten. Meine Freiheit.« richtet sich die SDTB zum Auftakt vor allem an datenverarbeitende Stellen in Wirtschaft, Verwaltung und Gesellschaft. In dem Onlineseminar werden die häufigsten Datenpannen sowie technisch-organisatorische Maßnahmen beschrieben. Außerdem gibt die SDTB Tipps für Datenpannen-Meldungen nach Artikel 33 Datenschutz-Grundverordnung, um eine zügige und unbürokratische Bearbeitung des Vorfalls zu ermöglichen. Dazu gehört beispielsweise die Nutzung des Online-Meldeformulars der Aufsichtsbehörde, in dem die relevanten Punkte einer Pannenmeldung abgefragt werden. Bei den Antworten sollten Verantwortliche bzw. Meldende darauf achten, dass ihre Angaben möglichst vollständig und eindeutig sind, um Verständnisfragen und unnötigen Schriftverkehr zu vermeiden.
Teilnehmerinnen und Teilnehmer des Seminars können ihre Fragen bereits vorab per E-Mail einreichen: oea@sdtb.sachsen.de

Ausblick auf künftige Veranstaltungen
Am 27. November von 16 bis 17.30 Uhr widmet sich die SDTB in einem Onlineseminar der privaten Videoüberwachung im Wohnumfeld. Die Veranstaltungsreihe wird 2026 zu weiteren Themen fortgesetzt, unter anderem zum Datenschutz auf Websites und in Apps. Die weiteren Termine veröffentlicht die SDTB demnächst auf ihrer Homepage: www.datenschutz.sachsen.de

Die Konferenz der unabhängigen Datenschutzbehörden von Bund und Ländern (DSK) hat eine Orientierungshilfe für Unternehmen und Behörden veröffentlicht, die KI-Systeme mit sogenannter Retrieval Augmented Generation (RAG) bereits einsetzen oder einsetzen möchten. Auf 18 Seiten bietet die Orientierungshilfe rechtliche und technische Hinweise, wie die Potenziale solcher KI-Systeme genutzt und zugleich die Risiken für die Betroffenen verringert werden können.

RAG ist eine KI-Technologie, bei der große Sprachmodelle durch gezielten Zugriff auf unternehmens- oder behördeneigene Wissensquellen ergänzt werden, um kontextspezifische Antworten zu liefern. Typische Anwendungsbeispiele sind unternehmensinterne Chatbots, die auf aktuelle Geschäftsdaten zugreifen und wissenschaftliche Assistenzsysteme, die Forschungsdatenbanken nutzen. RAG-Systeme sollen die Genauigkeit, Nachvollziehbarkeit und Verlässlichkeit der KI-Ausgaben erhöhen, während die für große Sprachmodelle typischen Halluzinationen und unrichtigen Ausgaben vermindert werden sollen.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit und 2025 DSK-Vorsitzende: „RAG-Systeme können Unternehmen und Behörden dabei unterstützen, die Vorteile moderner KI zu nutzen und zugleich die damit einhergehenden Risiken für die Rechte und Freiheiten von betroffenen Personen zu vermindern. Entscheidend ist jedoch, dass ihr Einsatz von Anfang an datenschutzkonform gestaltet wird. Verantwortliche müssen Transparenz, Zweckbindung und die Wahrung der Betroffenenrechte jederzeit gewährleisten.“

RAG-Systeme können eigenständig entwickelt, betrieben und kontrolliert werden und damit Datenschutz-by-Design abbilden. Zudem können sie den Einsatz kleinerer und auch lokal betriebener Modelle ermöglichen, was beispielsweise einen Betrieb des Systems ohne Übermittlung personenbezogener Daten an Dritte wie etwa Hyperscaler ermöglicht. Damit kann die RAG-Methode einen wichtigen Beitrag zur digitalen Souveränität leisten.

RAG-Systeme bringen gleichwohl auch datenschutzrechtliche Risiken mit sich, die Verantwortliche im Blick haben müssen. Sie beseitigen beispielsweise nicht die datenschutzrechtlichen Probleme eines rechtswidrig trainierten Large Language Modells (LLMs). Je nach Ausgestaltung können sie aber Teil einer Antwort auf solche unrechtmäßig trainierten Systeme sein. Auch bleibt es herausfordernd, Transparenz, Zweckbindung und die Umsetzung von Betroffenenrechten im gesamten System sicherzustellen. Verantwortliche Stellen, die solche RAG-Systeme einsetzen wollen, müssen die datenschutzrechtlichen Bewertungen der einzelnen Verarbeitungen im Einzelfall vornehmen und ihre technisch-organisatorischen Maßnahmen immer auf dem aktuellen Stand halten.

Die neue Orientierungshilfe ist die dritte Veröffentlichung der DSK zu KI-Systemen seit 2024. Bereits erschienen sind Orientierungshilfen zum Einsatz sowie zur Entwicklung von KI-Systemen.

Mehr Informationen

• Orientierungshilfe zu datenschutzrechtlichen Besonderheiten generativer KI-Systeme mit RAG-Methode
• Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen
• Orientierungshilfe zu Künstlicher Intelligenz und Datenschutz

Über die Datenschutzkonferenz:
Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.

Presse-Kontakt:
Vorsitz der Datenschutzkonferenz 2025
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Telefon: +49 30 13889-900
E-Mail: presse@datenschutz-berlin.de
https://datenschutz-berlin.de/dsk2025
https://www.datenschutzkonferenz-online.de

Ab dem 10. Oktober 2025 gilt die EU-Verordnung über die Transparenz und das Targeting politischer Werbung (TTPW-VO). Sie sieht für das gezielte Ausspielen politischer Werbung im Internet spezifische Verbote sowie Dokumentations- und Informationspflichten für Verantwortliche vor. Die Datenschutzbehörden sind für die Aufsicht über die Artikel der Verordnung zuständig, die sich mit gezielter politischer Online-Werbung befassen, bei der personenbezogene Daten verarbeitet werden.

Politische Akteure nutzen heutzutage vielfach digitale Medien, um ihre Botschaften zu transportieren und politische Prozesse für sich zu entscheiden. Dabei setzen politische Akteure auch auf sogenannte Targeting-Verfahren, also die gezielte Ausspielung von Werbebotschaften an Personengruppen basierend auf deren demografischen Daten, politischen Interessen oder Verhaltensweisen. Diese Daten werden zuvor im Hintergrund durch Werbenetzwerke mittels Tracking-Technologien erhoben, ausgewertet und bestimmten Interessenkategorien zugeordnet.

Die TTPW-VO sieht zusätzliche Anforderungen für die Verarbeitung personenbezogener Daten im Zusammenhang mit politischer Online-Werbung unter Einsatz von Targeting- und Anzeigenschaltungsverfahren vor. Dies können zum Beispiel personalisierte Wahlkampagnen auf Social-Media-Plattformen oder per Newsletter sein sowie politische Anzeigen auf Webseiten.

Künftig ist gemäß Art. 18 der TTPW-VO zielgerichtete personalisierte politische Werbung im Internet nur zulässig, wenn Verantwortliche die verwendeten personenbezogenen Daten von der betroffenen Person selbst erhoben haben, diese ausdrücklich für diesen Zweck eingewilligt hat und kein Profiling auf Basis besonders schützenswerter Daten wie der politischen Meinung oder Gesundheitsdaten stattfindet. Ausnahmen gelten unter anderem für Mitteilungen von politischen Parteien, Stiftungen, Verbänden oder anderen gemeinnützigen Einrichtungen an ihre (ehemaligen) Mitglieder sowie Newsletter-Abonnent:innen.

Die Verordnung sieht zudem in Art. 19 TTPW-VO eine Reihe von Dokumentations- und Informationspflichten für Verantwortliche vor, wenn sie Targeting- oder Anzeigenschaltungsverfahren bei politischer Werbung im Internet einsetzen. Verantwortlichen müssen zum Beispiel interne Regelungen treffen, Protokolle über den Einsatz führen und den betroffenen Personen umfangreiche Informationen zum Targeting zur Verfügung stellen.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI): „Politische Online-Werbung auf Basis von gezielten Targeting-Verfahren birgt ein großes Risiko für die freie Meinungsbildung und damit auch für die Demokratie. Der Einsatz dieser Verfahren kann dazu führen, dass Bürgerinnen und Bürger nur noch Werbeanzeigen sehen, die ihre bestehenden Ansichten bestätigen oder allein auf Aufmerksamkeit abzielen. Das gilt es besonders vor Wahlen zu vermeiden. Ich begrüße daher, dass der europäische Gesetzgeber besondere Schutzmechanismen zur Wahrung der Grundrechte im Bereich der politischen Online-Werbung geschaffen und hohe Anforderungen an deren Gestaltung festgelegt hat. Die datenschutzrechtlichen Aspekte der neuen Regelung erläutert meine Behörde auf ihrer Website.“

Die TTPW-VO sieht ein eigenes Beschwerderecht vor, nach dem Personen oder Einrichtungen mögliche Verstöße gegen diese Verordnung den Aufsichtsbehörden mitteilen können. Zuständig für die Überwachung der Vorgaben in Art. 18 und 19 TTPW-VO zum Targeting und zur Anzeigenschaltung im Zusammenhang mit politischer Werbung im Internet sind die Datenschutzbehörden. Für Verantwortliche mit Sitz in Berlin wie Parteien, Politiker:innen oder Werbedienstleistende ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit zuständig.

Weitere Informationen

• Häufige Fragen und Antworten zur TTPW-VO

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 08.10.2025

Die Konferenz der unabhängigen Datenschutzbehörden von Bund und Ländern (DSK) stellt sich gegen die Pläne der dänischen EU-Ratspräsidentschaft und fordert die Bundesregierung auf, bei ihrem Nein zur anlasslosen Massenüberwachung von Bürgerinnen und Bürgern zu bleiben.

Die dänische Regierung hat als amtierende EU-Ratspräsidentschaft die Verordnung zur sogenannten Chatkontrolle auf die Tagesordnung des EU-Rats am 14. Oktober gesetzt. Im Entwurf der Verordnung sind jetzt wieder verpflichtende Möglichkeiten zur Massenüberwachung privater Chats („Aufdeckungsanordnungen“) sowie die Möglichkeit des flächendeckenden Scannens von privaten Nachrichten auf den Endgeräten der Nutzerinnen und Nutzer eingefügt worden. Mit diesem sogenannten „Client-Side-Scanning“ kann die Ende-zu-Ende-Verschlüsselung umgangen werden, da Nachrichten bereits vor dem verschlüsselten Versand durchsucht werden können.

Die diesjährige Vorsitzende der DSK, die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, fordert im Namen der gesamten DSK die Bundesregierung auf, weiter für sichere und vertrauenswürdige Kommunikation einzutreten und den Verordnungsentwurf zur Chatkontrolle in dieser Fassung abzulehnen, da weiter rechtsstaatliche Grenzen überschritten werden.

Meike Kamp: „Anlasslose Massenüberwachungen, die Millionen Bürgerinnen und Bürger in der Europäischen Union unter Generalverdacht stellen, sind unverhältnismäßig. Die vorgeschlagene Chatkontrolle gefährdet die sichere Kommunikation in unserer offenen Gesellschaft. Eine Untergrabung der Ende-zu-Ende-Verschlüsselung durch Client-Side-Scanning und damit die Überwachung direkt auf den Endgeräten aller Personen wäre das Ende der Privatsphäre, wie wir sie kennen.“

Die DSK ist sich im Klaren darüber, dass Sicherheitsbehörden wirksame Werkzeuge und rechtliche Möglichkeiten zur Bekämpfung und Vermeidung von sexuellem Missbrauch von Kindern benötigen. Auch die DSK unterstützt diese Zielsetzung. Dieses Ziel darf jedoch nicht auf Kosten der Privatsphäre von Millionen von Personen verfolgt werden, die dafür keinen Anlass gegeben haben. Hintertüren in der Verschlüsselung gefährden die Sicherheit der Kommunikation aller Personen und könnten auch von Kriminellen missbraucht werden.

Mehr Informationen

• Entschließung vom 17. Oktober 2023: Geplante Chatkontrolle führt zu einer unverhältnismäßigen anlasslosen Massenüberwachung!

Über die Datenschutzkonferenz:
Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.

Presse-Kontakt:
Vorsitz der Datenschutzkonferenz 2025
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Telefon: +49 30 13889-900
E-Mail: presse@datenschutz-berlin.de
https://datenschutz-berlin.de/dsk2025
https://www.datenschutzkonferenz-online.de

Dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI), Herrn Tino Melzer ist es wichtig, Sie vor den Herbstferien für die Nutzung öffentlicher WLANs im Urlaub zu sensibilisieren. Öffentliche WLAN-Netzwerke bedeuten dabei nicht, WLAN-Netze von öffentlichen Stellen, sondern WLAN-Netze / WiFi-Hotspots, die nicht durch ein zusätzliches Passwort gesichert sind. So werden öffentliche WLAN-Netze zwar auch von öffentlichen Stellen bereitgestellt, aber vor allem auch von Hotels, in Ferienwohnungen, bei Tagungsstätten, von Gaststätten, Cafés und vielen mehr.

Ziel dabei ist es, den Gästen sowohl im Urlaub als auch im täglichen Leben einen gewissen Komfort zum Surfen mit ihren Smartphones oder Tablets zu bieten. Jedoch sollte man diese WLAN-Angebote nicht bedenkenlos nutzen. Neben den anfallenden Kosten(fallen) beim mobilen Internet im Urlaub im Ausland, ergeben sich auch Gefahren, so dass Ihre Daten gezielt ausspioniert werden können. Denn unklar ist zum einen, ob das öffentliche WLAN tatsächlich dem Betreiber gehört, oder eine ähnliche Seite von Hackern mit gleichem Namen erstellt wurde. Dieser Vorgang wird als „WLAN-Phishing“ bezeichnet. Zum anderen könnte der tatsächlich vom Betreiber zur Verfügung gestellte öffentliche WLAN-Zugang von Hackern infiltriert sein. Um sicherzugehen, dass sich Ihre Geräte nicht „automatisch“ ohne Ihren Willen mit öffentlichen WLAN-Netzwerken verbinden, wird dringend geraten, dass Sie die Funktion der automatischen WLAN-Verbindung auf Ihrem Geräten deaktivieren. Übrigens nicht nur im Urlaub! Solche falschen öffentlichen WLAN-Verbindungen könnten auch in Ihrem Wohnumfeld, Arbeitsumfeld oder bei Veranstaltungen jeglicher Art aktiv sein. Bitte verhindern Sie, dass sich Ihr Gerät ohne Ihr Wissen in diese Netzwerke einwählt! Wollen Sie bewusst öffentliche WLAN-Netze nutzen, wählen Sie diese direkt aus, surfen Sie bewusst und seien Sie sparsam mit Ihren Aktionen, einschließlich fremde Links aufzurufen oder fremde Dokumente runterzuladen. Die Vertraulichkeit Ihres Surfverhaltens können Sie beispielsweise mit sogenannten VPN-Verbindungen herstellen. Diese virtuellen privaten Netze verschlüsseln Ihre Daten bei der Nutzung eines öffentlichen Netzes und verschleiern Ihren Standort gegenüber dem öffentlichen Internet. So verhindern Sie, dass man z. B. erkennt, dass Sie vielleicht gerade in einem Café surfen. Leider sind diese Dienste heutzutage meist kostenpflichtig. Am 17. Juli 2025 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter dem Thema „Cybersicherheit auf Reisen“ wieder einige Hinweise unter:

https://www.bsi.bund.de/DE/ServiceNavi/Presse/Pressemitteilungen/Presse2025/250717_Cybersicherheit_Reisen.html:

• „Nutzen Sie das öffentliche WLAN nur mit Vorsicht. Kriminelle erstellen mitunter bspw. WLANs mit Namen wie ‚Free Airport WiFi‘, um Daten von Nutzerinnen und Nutzern abzufangen. In anderen Fällen nutzen sie öffentliche WLANs, um Geräte mit Sicherheitslücken zu identifizieren. Abhilfe schafft ein VPN eines vertrauenswürdigen Anbieters.
• Vorsicht gilt auch bei öffentlichen Ladestationen bspw. in Reisebussen. Dort zur Verfügung gestellte Kabel erlauben mitunter auch die Übertragung von Daten: So kann etwa Schadsoftware eingeschleust werden. Abhilfe bieten spezielle Kabel oder Adapter, die die Datenübertragung sperren, aber den Stromfluss weiter erlauben.
• Richten Sie eine Bildschirmsperre ein: Indem das Gerät vor der Nutzung z. B. per Fingerabdruck oder PIN entsperrt werden muss, schützen Sie sowohl das Gerät als auch die darauf gespeicherten Daten bei Verlust oder Diebstahl.“

Eine Checkliste vom BSI zum Thema „IT-Sicherheit für Urlauber: im Urlaub“ finden Sie auch unter:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Checklisten/BSI-Checkliste-imUrlaub.pdf?__blob=publicationFile&v=1

Technologische Innovationen wie Künstliche Intelligenz (KI) treiben die Transformation der Wirtschaft und der öffentlichen Verwaltung voran. Weder Unternehmen noch moderne Behörden werden daran vorbeikommen, sie künftig bei ihrer Arbeit einzusetzen. Damit verbunden sind große Chancen aber auch erhebliche Risiken. Die Bundesbehörden am Standort Bonn arbeiten deshalb an Konzepten für den verantwortungsbewussten Umgang mit dieser neuen Technologie.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat heute die jährliche Jahreskonferenz des Digital Clusters Bonn ausgerichtet. Dem Netzwerk gehören neben der BfDI auch die Bundesnetzagentur (BNetzA), das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), das Bundesamt für Justiz (BfJ) und das Bundeskartellamt (BKartA) an. Schwerpunkt der diesjährigen Tagung des Digital Clusters Bonn waren Fragen und Herausforderungen rund um das Thema KI und deren Einsatz in der Behördenpraxis.

 
Alle im Digital Cluster Bonn vernetzten Behörden sind sich einig: Wir wollen und müssen Künstliche Intelligenz verantwortungsvoll selbst einsetzen.

Prof. Dr. Louisa Specht-Riemenschneider

 
„Zugleich sind wir alle in unserer Aufgabe mit KI-Systemen befasst, aus unterschiedlichen Blickwinkeln. Wer KI selbst einsetzt und Erfahrungen sammelt, kann KI auch effektiver überwachen, Nutzende für einen rechtskonformen Einsatz gezielter beraten und Bürgerinnen und Bürger besser schützen“, so die diesjährige Gastgeberin der Jahrestagung, Frau Prof. Dr. Specht-Riemenschneider. „Die Erwartungen aus Politik, Verwaltung, Wirtschaft, Wissenschaft und Zivilgesellschaft sind zurecht hoch an uns und unsere Aufgabenerfüllung. Wir stehen gemeinsam ein für eine grundrechtswahrende, sichere, wettbewerbskonforme und innovationsfreundliche Aufsicht von KI in Deutschland.“

Das Digital Cluster Bonn wurde 2024 mit dem Ziel gegründet, die Zusammenarbeit der Bonner Behörden im Bereich der Digitalisierung zu stärken. Hierbei werden Wissen und Ressourcen gebündelt, Synergien geschaffen und der Austausch zwischen den Digitalbehörden gefestigt.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat auf ihrer Zwischenkonferenz am 17. September 2025 Anforderungen an den Einsatz automatisierter Datenanalysen durch Polizeibehörden verabschiedet. Zudem befasste sich die DSK mit Datenübermittlungen in der Gesundheitsforschung, der Debatte um eine Reform der Datenschutz-Grundverordnung und wählte einen Vorschlag für ihren Sitz im Beirat der Stiftung Datenschutz.

Automatisierte Datenanalysen durch Polizeibehörden
Die DSK betont vor dem Hintergrund der aktuellen Debatte um die bundesweite Einführung komplexer Datenanalyseverfahren in den Polizeibehörden, dass der Einsatz dieser Instrumente spezifischer Rechtsgrundlagen bedarf. Die Verfahren müssen verfassungskonform ausgestaltet sein und die digitale Souveränität des Staates wahren. In dem IT-Großprojekt P20 der Polizeibehörden von Bund und Ländern sieht die DSK die Möglichkeit, datenschutzkonforme und kontrollierbare Lösungen auf Open-Source-Basis zu entwickeln.

Die bisher bekannten Datenanalyseverfahren, die einige Landespolizeibehörden bereits einsetzen, können grundsätzlich alle Menschen betreffen, ohne dass sie durch ihr Verhalten einen Anlass für polizeiliche Ermittlungen gegeben hätten. „Aus der Verknüpfung großer Datenmengen können neue Erkenntnisse entstehen“, sagt Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit und 2025 DSK-Vorsitzende. „Zugleich besteht die Gefahr, dass Menschen unbegründet ins Visier polizeilicher Ermittlungen geraten. Deshalb braucht es klare gesetzliche Regeln.“

Das Bundesverfassungsgericht hat bereits die verfassungsrechtlichen Weichen für den behördlichen Einsatz von automatisierten Datenanalysen gestellt. Die Polizeibehörden dürfen solche einschneidenden Verfahren nur bei sehr schwerwiegenden Rechtsgutsverletzungen und im Rahmen sehr enger Verfahrensbestimmungen einsetzen.

Meike Kamp: „Bisher tragen die rechtlichen Vorschriften diesen Voraussetzungen nicht ausreichend Rechnung. Für Bund und Länder gilt es, sich an die Vorgaben des Bundesverfassungsgerichts zu halten und den Einsatz von automatisierten Datenanalysen durch die Polizeibehörden verfassungskonform auszugestalten. Dabei muss auch gewährleistet sein, dass keine Datenübermittlungen in Drittländer erfolgen und die Datenverarbeitungen für Justiz und Polizei rechtskonform, nachvollziehbar und beherrschbar sind. Jetzt ist der Moment gekommen, einen digital souveränen Weg einzuschlagen.“

Datenübermittlungen bei internationalen Forschungskooperationen
Die DSK beschloss zudem eine Orientierungshilfe zu Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken. In der Gesundheitsforschung spielt die internationale Zusammenarbeit eine wichtige Rolle. Falls dabei personenbezogene Daten verarbeitet werden, müssen die Forschungsinstitutionen die Anforderungen der DSGVO beachten. In der Praxis treten dabei immer wieder Fragen zur Handhabung von Übermittlungen personenbezogener Daten an Forschungspartner in außereuropäischen Ländern (Drittländer) auf.

Meike Kamp: „Wenn Gesundheitsdaten in Drittländer übermittelt werden, müssen bestimmte Maßnahmen zur Wahrung der Rechte der Betroffenen getroffen werden. Mit der Orientierungshilfe stellt die Datenschutzkonferenz klar, wann eine Verarbeitung zu Forschungszwecken zulässig ist und welche Instrumente für eine Übermittlung solcher Daten in Drittländer zur Verfügung stehen. In jedem Fall müssen die Betroffenen informiert werden. Hierfür stellt die DSK praktische Empfehlungen bereit.“

Weitere Beschlüsse
Zudem befasste sich die DSK mit den aktuellen Debatten über eine Reform der europäischen Datenschutz-Grundverordnung (DSGVO): „Auf deutscher und europäischer Ebene kursieren verschiedene Ideen und Vorschläge für eine Reform der Datenschutz-Grundverordnung. Als Datenschutzbehörden werden wir diese Debatte eng begleiten. Die Grundprinzipien des Datenschutzes bilden dabei die wesentlichen Leitplanken des Schutzstandards“, sagt Meike Kamp.

Die DSK hat außerdem beschlossen, die Sächsische Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert für den Beirat der Stiftung Datenschutz vorzuschlagen. Die Vertretung soll der niedersächsische Landesbeauftragte für den Datenschutz Denis Lehmkemper übernehmen. Die Beiräte der Stiftung Datenschutz werden auf Vorschlag verschiedener Institutionen und Organisationen für die Dauer von vier Jahren bestellt – auch der DSK steht laut Satzung ein Beiratssitz zu.

Mehr Informationen

• Entschließung: Verfassungsrechtliche Anforderungen bei automatisierter Datenanalyse durch Polizei und Nachrichtendienste beachten!
• Orientierungshilfe: Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken

Über die Datenschutzkonferenz:
Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.

Presse-Kontakt:
Vorsitz der Datenschutzkonferenz 2025
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Telefon: +49 30 13889-900
E-Mail: presse@datenschutz-berlin.de
https://datenschutz-berlin.de/dsk2025
https://www.datenschutzkonferenz-online.de