Auslegungssache – der c't-Datenschutz-Podcast

In Episode 156 des c't-Datenschutz-Podcasts widmen sich Holger und Joerg einem Thema, das die Datenschutzwelt umtreibt wie kaum ein anderes: Microsoft 365. Zu Gast ist Kai Korte, Geschäftsführer der lexICT GmbH, Rechtsanwalt für IT- und Datenschutzrecht in Hannover und Lehrbeauftragter an der Hochschule Hannover. Zunächst beleuchten die drei eine auffällige aktuelle Entwicklung: Die Zahl der Datenschutzbeschwerden hat sich bei einigen Aufsichtsbehörden nahezu verdoppelt, wie aus den neuen Tätigkeitsberichten hervorgeht. Baden-Württemberg verzeichnete 2025 einen Anstieg von rund 4.000 im Jahr 2024 auf über 7.600, Hamburg von 2.600 auf 4.200. Mehrere Behörden führen das auch auf KI-generierte Beschwerden zurück. Betroffene lassen sich offenbar per Chatbot fertige Texte erstellen und schicken diese an die Aufsicht. Die Behörden warnen, dass sie an ihre Kapazitätsgrenzen stoßen. Ebenfalls Thema ist ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) zum Auskunftsrecht. Im Fall "Brillen Rottler" entschied das Gericht, dass bereits ein erster Auskunftsantrag als rechtsmissbräuchlich eingestuft werden kann. Ein Mann hatte sich zum Newsletter eines Optikers angemeldet und nur 13 Tage später ein umfassendes Auskunftsersuchen gestellt. Der EuGH setzt allerdings hohe Hürden: Der Verantwortliche muss objektiv nachweisen, dass der Antragsteller gar nicht die Ziele des Datenschutzrechts verfolgt, und er muss zusätzlich eine missbräuchliche Absicht belegen. Korte warnt davor, das Urteil vorschnell zu verallgemeinern, es bleibe ein Ausnahmefall. Dann steigen die drei ins Hauptthema ein: Microsoft 365. Holger macht zunächst deutlich, wie komplex das Produktuniversum ist. Hinter dem Namen verbergen sich zahlreiche Einzelprodukte – von Office-Anwendungen bis zu Teams und SharePoint. Die Preise reichen von knapp 11 Euro pro Nutzer und Monat für kleinere Unternehmen bis über 55 Euro im großen Enterprise-Paket. Viele Sicherheitsfunktionen sind nur in den teuren Varianten enthalten, und Microsoft verschiebt regelmäßig Features zwischen den Paketen. Datenschutzrechtlich bleibt Microsoft 365 ein Minenfeld. Zwar nimmt der US-Konzern am Transatlantic Data Privacy Framework teil, was den Datentransfer in die USA formal absichert. Kau weist aber darauf hin, dass der CLOUD Act und weitreichende Zugriffsbefugnisse US-amerikanischer Behörden weiterhin problematisch sind. Microsoft sichert vertraglich zu, Daten europäuscher Unternehmen innerhalb der EU zu speichern -– die sogenannte EU Data Boundary. Doch Wartungszugriffe aus den USA sind weiterhin möglich, und ein Microsoft-Manager räumte öffentlich ein, dass man sich einem US-Herausgabebeschluss kaum widersetzen könnte. Ein zentraler Kritikpunkt betrifft die Verarbeitung von Telemetrie- und Diagnosedaten. Microsoft sammelt im Hintergrund umfangreich Metadaten – Anmeldezeiten, Gesprächsdauern, Teilnehmerlisten, Nutzeraktivitäten. Welche Datenfelder genau erfasst werden und was damit geschieht, bleibt weitgehend intransparent. Der hessische Datenschutzbeauftragte hat Ende 2025 einen Bericht veröffentlicht, der den Einsatz von Microsoft 365 in öffentlichen Stellen unter bestimmten Bedingungen für möglich erklärt. Allerdings hat er sich dabei ausschließlich auf Microsofts eigene Angaben verlassen, ohne die Datenflüsse technisch zu überprüfen. Holger verweist zudem auf Microsofts Zusatzprodukte Sentinel und Purview, mit denen Unternehmen das Verhalten ihrer Mitarbeiter analysieren können – bis hin zur KI-gestützten Erkennung potenzieller Whistleblower oder Datendiebe. Kai räumt ein, dass Purview ein mächtiges Sicherheitswerkzeug sei, warnt aber vor dem schmalen Grat zwischen legitimer Sicherheitsüberwachung und unzulässigem Profiling von Beschäftigten. Ob Unternehmen vor dem Einsatz von Microsoft 365 eine Datenschutz-Folgenabschätzung durchführen müssen, beantwortet Kai differenziert: Die Aufsichtsbehörden fordern das zwar, doch bei kleineren Unternehmen ohne besondere Datenkategorien sei das nicht

In Episode 155 dreht sich alles um smarte Brillen – und die Frage, ob man sie bedenkenlos tragen darf. Holger und Joerg haben sich gleich zwei Gäste eingeladen: Datenschutzanwalt Thomas Schwenke, der vor zehn Jahren über Smart Glasses promoviert hat, und c't-Redakteur Nico Jurran, der selbst eine Ray-Ban Meta besitzt und sie im Alltag nutzt. Nico stellt die Technik vor: Die Meta-Brille sieht aus wie eine gewöhnliche Ray-Ban Wayfarer, hat aber eine Kamera, Mikrofone, Lautsprecher und Akku in den etwas breiteren Bügeln versteckt. Per Sprachbefehl oder Knopfdruck macht sie Fotos und Videos, übersetzt Sprachen in Echtzeit, liest Nachrichten vor und erkennt Objekte. Über Bluetooth ist sie permanent mit dem Smartphone verbunden, ein Meta-Account ist Pflicht. Von außen erkennt man die smarte Brille kaum – und genau das macht sie aus Datenschutzsicht so problematisch. Thomas bringt zunächst eine fundamentale Frage auf den Tisch: Darf man die Brille überhaupt besitzen? Das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) verbietet Aufnahmegeräte, die als Alltagsgegenstände getarnt sind und heimliche Aufnahmen ermöglichen. Zwar blinkt beim Fotografieren eine kleine LED am Rahmen, doch Holger bestätigt aus eigener Erfahrung, dass er dieses Signal bei Tageslicht nicht wahrgenommen hat. Thomas verschärft das Argument: Für wenige Euro gibt es bei Amazon Abdeckkappen, die das Warnsignal unsichtbar machen, ohne die Kamerafunktion zu blockieren. Wer eine solche Kappe anbringt, könnte sich als Hersteller einer verbotenen Telekommunikationsanlage strafbar machen, spekuliert Schwenke. Auch die DSGVO stellt die Brillenträger vor massive Probleme. Eine Rechtsgrundlage für heimliche Aufnahmen fremder Personen sieht Thomas praktisch nicht. Berechtigte Interessen scheitern regelmäßig an den überwiegenden Schutzinteressen der Gefilmten. Eine Einwilligung ist im Alltag nicht einholbar – schon gar nicht bei Kindern, deren Erziehungsberechtigte man erst finden müsste. Die sogenannte Haushaltsausnahme für rein private Datenverarbeitung greift nach Einschätzung der Diskutanten ebenfalls nicht, sobald die Aufnahmen in die Meta-Cloud wandern, von Subunternehmern in Kenia gesichtet und für KI-Training verwendet werden. Thomas sieht hier sogar eine gemeinsame Verantwortlichkeit von Brillenträger und Meta – mit der Folge, dass Nutzer für Datenschutzverstöße des Konzerns mithaften könnten. Weitere Rechtsprobleme türmen sich auf: Das Recht am eigenen Bild schützt vor heimlichen Aufnahmen. Strafrechtlich drohen Konsequenzen bei Aufnahmen in geschützten Lebensbereichen wie Umkleidekabinen, beim Mitschneiden nicht öffentlich gesprochener Worte oder bei der Verbreitung intimer Aufnahmen. Thomas warnt zudem vor einem gesellschaftlichen Überwachungseffekt: Wenn jeder eine solche Brille tragen könnte, veränderten Menschen ihr Verhalten aus Angst vor permanenter Beobachtung. Trotz aller Bedenken sprechen sich alle Beteiligten gegen ein generelles Verbot aus. Holger verweist darauf, dass Smartphones mit ihren Kameras ähnliche Probleme aufwerfen, ohne dass jemand ein Verbot fordere. Nico betont die positiven Anwendungsszenarien etwa für Sehbehinderte. Thomas plädiert für stärkere technische Schutzmaßnahmen wie automatische Anonymisierung oder deutlich wahrnehmbare Aufnahmegeräusche. Am Ende bleibt die Erkenntnis, dass die Technik der Regulierung wieder einmal weit voraus ist – und die Faszination selbst bei den Warnern überwiegt.

Holger und Joerg verzichten ausnahmsweise auf einen Gast und arbeiten sich zu zweit durch gleich mehrere aktuelle Datenschutzthemen. Den Anfang macht ein Bußgeld aus Großbritannien: Die britische Datenschutzbehörde ICO verhängte gegen Reddit eine Strafe von 14,4 Millionen Pfund (rund 17,3 Millionen Euro), weil die Plattform über Jahre hinweg keine wirksame Altersüberprüfung einsetzte und so Daten von Kindern unter 13 Jahren ohne Rechtsgrundlage verarbeitete. Reddit kündigte Widerspruch an. Vom Bußgeld leiten die beiden über zum Thema Altersverifikation und sprechen über den Identitätsprüfer Persona. Das US-Unternehmen, an dem unter anderem Palantir-Mitgründer Peter Thiel beteiligt ist, wird von Plattformen wie Reddit, Discord und LinkedIn eingesetzt. Eine Recherche förderte zutage, dass Persona bei der Identitätsprüfung bis zu 269 Prüfschritte durchläuft, Daten mit US-Fahndungslisten und Terrorismus-Datenbanken abgleicht und 17 weitere Unternehmen einbindet. Holger warnt davor, dass solche Dienste weit mehr Daten sammeln und weitergeben könnten, als Nutzer ahnen – und dass über die Hintertür Altersverifikation eine Art Klarnamenpflicht im Netz entstehen könnte. Anschließend widmen sich die beiden dem Jugendschutzkonzept der SPD. Die Partei fordert ein vollständiges Social-Media-Verbot für unter 14-Jährige und eine eingeschränkte Jugendversion für 14- bis 16-Jährige, in der Empfehlungsalgorithmen, personalisierte Werbung und suchtfördernde Elemente wie Endlos-Scrollen abgeschaltet sein sollen. Die Altersüberprüfung soll über das europäische EUDI-Wallet laufen, das im Frühjahr 2027 starten soll. Holger erkennt darin zwar den datensparsamsten Ansatz unter den bisherigen Vorschlägen, sieht aber zahlreiche Probleme: Das Wallet existiert noch nicht, steht erst ab 16 Jahren zur Verfügung und schließt Menschen ohne Smartphone und Nicht-EU-Bürger aus. Zudem habe Deutschland nach Einschätzung des Wissenschaftlichen Dienstes des Bundestags durch den Digital Services Act seine Regelungskompetenz im Bereich Jugendschutz auf Plattformen an die EU abgegeben. Ein weiteres Thema ist ein Urteil des OLG Jena gegen Meta. Das Gericht stellte fest, dass Meta mit seinen Business-Tools eine weitreichende Überwachung der Internetnutzung betreibt, die auch nicht eingeloggte Personen erfasst und sogar sensible Gesundheitsdaten einschließen kann. Das Gericht sprach dem Kläger 3000 Euro Schadenersatz zu und ließ die Revision zum Bundesgerichtshof zu. Beide Podcaster berichten auch von ihren eigenen Erfahrungen als Kläger in Massenverfahren gegen Meta. Beim Thema Chatkontrolle berichten sie von einer überraschenden Entwicklung im EU-Parlament: Im LIBE-Ausschuss fand sich bei einer Abstimmung keine Mehrheit für die Verlängerung der sogenannten freiwilligen Chatkontrolle, die Anfang April ausläuft. Ohne Verlängerung dürften Plattformen wie Microsoft oder Facebook nicht mehr automatisiert nach Darstellungen von Kindesmissbrauch scannen. Gleichzeitig stehen die Trilog-Verhandlungen zur eigentlichen Chatkontrolle-Verordnung an, deren Ausgang völlig offen ist. Zum Schluss werfen Holger und Joerg einen Blick auf das Omnibus-Paket zur DSGVO-Reform. Die geplanten Änderungen – darunter eine Neudefinition personenbezogener Daten, Einschränkungen es Auskunftsrechts und Sonderregeln für KI-Training – stoßen auf mehr Widerstand als erwartet. Die zypriotische Ratspräsidentschaft lehnt zentrale Vorschläge ab, auch das Parlament und die Datenschutzbehörden äußern Kritik. Das ehrgeizige Ziel, die Reform noch 2026 abzuschließen, sehen beide damit in Frage gestellt.

In Episode 153 der Auslegungssache sprechen Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit Maria Christina Rost, seit 2024 Landesbeauftragte für den Datenschutz in Sachsen-Anhalt, über die wachsenden Risiken für Minderjährige im Netz. Rost hat das Thema Kinderdatenschutz zu einem ihrer inhaltichen Schwerpunkte gemacht. Im Zentrum der Diskussion in der Episode steht die rechtliche und praktische Schutzlücke bei Umgang mit Minderjährigen. Zwar sieht die Datenschutz-Grundverordnung (DSGVO) in Deutschland vor, dass Kinder erst ab 16 Jahren wirksam selbst in die Verarbeitung ihrer Daten einwilligen können. Große Social-Media-Plattformen erlauben die Anmeldung jedoch oft schon ab 13 Jahren, basierend auf der Gesetzeslage in den USA. Diese Diskrepanz führt dazu, dass unzählige Kinder und Jugendliche die Dienste nutzen, ohne dass die in Deutschland geforderte Zustimmung der Eltern eingeholt wird – ein Zustand, den die Aufsichtsbehörden bisher kaum ahnden. Ein weiterer Schwerpunkt des Gesprächs sind die technischen Lösungen zur Altersverifikation. Die EU arbeitet an einer digitalen Brieftasche (Wallet), die eine datensparsame Altersbestätigung ermöglichen soll, allerdings nur für streng reglementierte Angebote wie Glücksspiel, harte Pornografie und Alkoholverkauf. Zur Altersaverfikation von Social-Media-Plattformen genügen nach Ansicht der EU-Kommission Methoden, die auf biometrischen KI-Analysen von Webcam-Gesichtsaufnahmen beruhen. Rost äußert sich dazu eher skeptisch, da diese neue Datenschutzrisiken schaffen. Bleich betont, dass technischer Jugendschutz allein ohnehin nicht reicht. Er verweist auf die EU-Kommission, die TikTok in einem vorläufigen Bericht suchtfördernde Mechanismen wie Endlos-Scrollen und Autoplay attestiert hat. Die Plattformen sammelten riesige Datenmengen von Minderjährigen, profilierten und verwerteten sie weitgehend unbehelligt. Hier müsse härter reguliert und vor allem schneller durchgesetzt werden, fordert er. Rost setzt eher auf Prävention und Medienkompetenz. In Sachsen-Anhalt hat sie gemeinsam mit dem Lehrerfortbildungsinstitut einen ersten Datenschutz-Tag für Lehrkräfte und Schulämter organisiert. Ihr Ziel: ein "Datenführerschein" für Grundschulkinder, vergleichbar mit dem Fahrradführerschein der Verkehrswacht. Ziel sei es, Datenschutz als selbstverständlichen Teil der digitalen Bildung zu etablieren. Am Ende formuliert Rost ihren Wunsch an die Datenschutzfee: eine gemeinsame Plattform von Datenschutzbehörden und Medienanstalten, die vorhandene Angebote bündelt und einen praxistauglichen Führerschein für den digitalen Alltag entwickelt. Gleichzeitig müsse die Aufsicht über die Plattformen spürbar verschärft werden. Das Fazit der Runde: Medienkompetenz, technischer Schutz und konsequente Regulierung müssen zusammenwirken – einzeln reicht keiner dieser Ansätze aus.

In der aktuellen Episode 152 der Auslegungssache widmen sich Holger und Joerg einer derzeit teils verbittert geführten Debatte: Ist Datenschutz ein Standortvorteil für Unternehmen oder doch nur ein lästiger Kostentreiber? Als Gast begrüßen sie dazu Frederik Richter, Vorstand der Stiftung Datenschutz. Anlass ist ein aktuelles White Paper der Stiftung, das selbstbewusst den Titel "Wirtschaftsvorteil Datenschutz" trägt. Frederick vertritt im Podcast die Position der Stiftung, dass Unternehmen, die Datenschutz ernst nehmen und zielgerichtet umsetzen, langfristig resilienter und erfolgreicher sind. Er argumentiert, dass guter Datenschutz fast automatisch auch eine bessere IT-Sicherheit mit sich bringt und das wichtigste Kapital im digitalen Raum schafft: Vertrauen. Gerade in Zeiten, in denen die DSGVO oft als Innovationsbremse verschrien werde, wolle die Stiftung Datenschutz einen Gegenpol setzen und Datenschutz als Qualitätsmerkmal "Made in Germany" etablieren. Die Diskussion im Podcast zeigt jedoch schnell, dass Theorie und Praxis auch in diesem Bereich bisweilen auseinanderklaffen. Während Einigkeit darüber besteht, dass Datenschutz Reputationsschäden verhindern kann, zweifeln die Hosts an der These, dass er bereits heute ein echter Standortvorteil ist. Holger verweist auf die Dominanz US-amerikanischer Konzerne, die oft nach dem Prinzip "Move fast and break things" agieren und sich ihre marktbeherrschenden Positionen teils durch die Missachtung europäischer Standards gesichert haben. Auch die mangelnde Nachfrage der Kunden nach datenschutzfreundlichen Produkten wird thematisiert: Oft schlägt Bequemlichkeit die Datensparsamkeit. Einig ist sich die Runde, dass im Datenschutzrecht die Bürokratie für kleine Unternehmen dringend abgebaut werden muss. Es sei unverhältnismäßig, wenn der Handwerksbetrieb um die Ecke dieselben Dokumentationspflichten erfüllen muss wie ein Großkonzern, obwohl das Risiko völlig unterschiedlich ist, betont Frederick. Hier setzt die Runde ihre Hoffnungen in die anstehenden Reformen der DSGVO auf EU-Ebene. Besonders kritisch sehen alle drei allerdings die Idee der Bundesregierung, betriebliche Datenschutzbeauftragte abzuschaffen. Das löse kein einziges Problem. Mehr Sympathie hat Frederick für eine Zentralisierung der Datenschutzaufsicht auf Bundesebene - zumindest für länderübergreifende Sachverhalte. Die aktuelle Situation mit bis zu 17 unterschiedlichen Behördenmeinungen zum selben europäischen Recht sei nicht tragbar.

Datenschutz gilt überall, auch am Gericht. Doch wie genau setzen Richterinnen und Richter die Regeln um, wenn sie selbst täglich mit sensiblen Informationen arbeiten? Diese Frage steht im Mittelpunkt von Episode 151 des c't-Datenschutz-Podcasts. Redakteur Holger und heise-Justiziar Joerg sprechen dazu mit Kristin Benedikt. Sie ist Richterin an einem bayerischen Verwaltungsgericht, dort auch Datenschutzbeauftragte und Pressesprecherin. Zuvor leitete sie fünf Jahre lang den Bereich Internet beim Bayerischen Landesamt für Datenschutzaufsicht. Kristin erläutert zunächst die Grundlagen. Die DSGVO gilt für alle Gerichte, von Zivil- über Verwaltungs- bis zu Arbeitsgerichten. Nur die Strafjustiz unterliegt eigenen Regelungen. Als öffentliche Stellen stützen sich Gerichte auf die DSGVO-Rechtsgrundlagen der rechtlichen Verpflichtung und des öffentlichen Interesses. Das berechtigte Interesse, auf das sich Unternehmen oft berufen, steht ihnen nicht zur Verfügung. Eine Besonderheit macht die Sache kompliziert: Richter genießen verfassungsrechtlich garantierte Unabhängigkeit. Deshalb gibt es für ihre Tätigkeit keine Datenschutzaufsicht. Die DSGVO schließt in Art. 55 ausdrücklich aus, dass Aufsichtsbehörden Gerichte bei ihrer richterlichen Arbeit kontrollieren. Bußgelder gegen Richter? Ausgeschlossen. Das bedeutet allerdings nicht, dass Richter tun können, was sie wollen, betont Kristin. Sie müssen den Grundsatz der Datenminimierung beachten und dürfen nur Informationen erheben, die für ihre Entscheidung relevant sind. In der Praxis entstehen dabei Spannungen: Verwaltungsrichter müssen von Amts wegen ermitteln, wissen aber oft erst im Laufe des Verfahrens, welche Informationen sie wirklich brauchen, erläutert Kristin. Ein praktisches Problem schildert sie aus ihrem Alltag. Behörden schicken häufig komplette Akten ans Gericht, ohne vorher zu prüfen, welche Informationen darin wirklich relevant sind. Das Gericht muss diese Unterlagen dann den Verfahrensbeteiligten zugänglich machen - auch wenn sie Daten unbeteiligter Dritter enthalten. Hier sieht die Richterin die behördlichen Datenschutzbeauftragten in der Pflicht, für mehr Sensibilität zu sorgen. Betroffenenrechte gelten auch gegenüber Gerichten. Wer wissen will, welche Daten über ihn gespeichert sind, kann Auskunft verlangen. Allerdings gibt es Einschränkungen zum Schutz der Unabhängigkeit der Justiz und laufender Verfahren. Lösch- oder Berichtigungsansprüche laufen bei Gerichtsakten oft ins Leere - was einmal in einer Akte steht, lässt sich meist nicht einfach entfernen. Zum Schluss geht es um den Einsatz von KI am Gericht. Einen "Robo-Richter" lehnt Kristin strikt ab. Entscheidungen müssen ihrer Ansicht nach von Menschen vorbereitet und getroffen werden. Sinnvoll sei KI aber bei unterstützenden Aufgaben, etwa beim Anonymisieren von Urteilen oder in der Gerichtsverwaltung. Auch bei Übersetzungen oder der Aufbereitung großer Textmengen sieht sie Chancen, solange die Verantwortung klar beim Menschen bleibt.

In Episode 150 des c't-Datenschutz-Podcasts geht es um IT-Forensik, insbesondere die digitale Spurensicherung nach Cyberangriffen und bei Verdachtsfällen im Unternehmen. Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich haben dazu Joanna Lang-Recht eingeladen. Sie leitet den Bereich Forensik bei der Intersoft Consulting Services AG und bringt einen ungewöhnlichen Werdegang mit: Nach einem Germanistikstudium wechselte sie zur IT-Security und erwarb zahlreiche Zertifizierungen im Bereich Forensik. Joanna beschreibt IT-Forensik als klassische Spurensuche, nur eben komplett digital. Ermittelt wird auf Laptops, Smartphones, Servern oder in ganzen IT-Landschaften. Ziel sei es, sauber zu rekonstruieren: Wer ist eingedrungen, welche Daten sind betroffen und wie groß ist der Schaden. Ihr Team identifiziert Spuren, sichert sie möglichst gerichtsfest und wertet sie neutral aus. Den größten Teil ihrer Einsätze machen laut Joanna Ransomware-Angriffe aus. Mehr als die Hälfte aller Vorfälle drehen sich um erpresste Unternehmen, deren Systeme verschlüsselt wurden. Feiertage gelten dabei als Hochrisikophase: IT-Abteilungen sind dünn besetzt, Angriffe werden später bemerkt, Schäden wachsen. Ein heikles Thema ist das Zahlen von Lösegeld. Viele Unternehmen verhandeln tatsächlich mit den Erpressern, oft aus purer Not, weil Backups fehlen oder unbrauchbar sind. Joanna schildert, dass diese kriminellen Gruppen professionell auftreten: mit eigenen Chatportalen, Support-Strukturen und einer Art Notrufsystem. Wer zahlt, erhält in der Regel auch funktionierende Entschlüsselungsschlüssel, sonst würde das kriminelle Geschäftsmodell zusammenbrechen. Neben externen Angriffen bearbeiten Forensik-Teams auch interne Fälle in Unternehmen: Verdacht auf Datendiebstahl durch Mitarbeitende, Wirtschaftsspionage oder Arbeitszeitbetrug. Hier sei besondere Vorsicht gefragt, erzählt Joanna. Untersuchungen müssen eng am konkreten Verdacht bleiben, um nicht unnötig in private Daten einzudringen. Bring-your-own-Device-Modelle erschweren solche Ermittlungen erheblich und machen sie manchmal sogar unmöglich. Im Spannungsfeld zwischen Aufklärung und Datenschutz betont Joanna die Zusammenarbeit mit den Datenschutz-Aufsichtsbehörden der Länder. Meldungen zu Sicherheitsvorfällen laufen demnach meist pragmatisch ab, Nachfragen bleiben sachlich. Betroffenenrechte spielen Joanna bei der Spurensuche eine Rolle, bremsen die Ermittlungen aber selten, solange die Datensicherung gut begründet ist. Vor jeder Analyse prüfe das Team, ob ein berechtigtes Interesse gemäß DSGVO vorliege und ob Privatnutzung der Geräte erlaubt war. Bei unklaren Situationen lehne man Aufträge ab.

In der letzten Episode des Jahres 2025 blicken Holger und Joerg auf zwölf turbulente Monate zurück. Mit dabei ist wieder einmal Rechtsanwältin Anna Cardillo. Anna ist Partnerin in der Berliner Kanzlei MYLE. Sie berät Unternehmen und Behörden im Bereich Datenschutz und Informationssicherheit. Zu Beginn diskutieren die drei einen aktuellen "Paukenschlag": Der gemeinsame Beschluss von Bundeskanzler und Länderchefs zur Staatsmodernisierung enthält weitreichende Pläne zur Verschlankung der Datenschutz-Durchsetzung. Die Pflicht zur Benennung betrieblicher Datenschutzbeauftragter soll wegfallen. Anna kritisiert das scharf: Die Anforderungen der DSGVO blieben ja bestehen, nur fehle dann die Person, die sich darum kümmert. Von Entbürokratisierung zu sprechen, sei irreführend. Beim Blick auf das Datenschutzabkommen mit den USA sind sich die drei einig: Die Lage bleibt brisant. Zwar hat ein US-Gericht im Mai entschieden, dass dass zwei Mitglieder der US-Datenschutz- und Freiheitsrechtekommission PCLOB (Privacy and Civil Liberties Oversight Board) rechtswidrig durch den amtierenden Präsidenten Donald Trump entlassen wurden. Doch die Ankündigung Trumps, dem Datenschutzabkommen de facto komplett die Grundlage zu entziehen, schwebt wie ein Damoklesschwert über den EU-US-Datentransfers. Anna rät Unternehmen dringend, sich auf Alternativen vorzubereiten. Das Jahr brachte auch saftige Bußgelder: TikTok kassierte in Irland 530 Millionen Euro wegen Datentransfers nach China, Vodafone in Deutschland 45 Millionen Euro wegen Sicherheitslücken und mangelnder Kontrolle von Vertriebspartnern. Die Runde sieht darin ein wichtiges Signal, dass Unternehmen ihre Dienstleister sorgfältiger überwachen müssen. Große Sorgen bereitet den Diskutanten die aktuelle Rechtsprechung zur Haftung von Plattformen. Das EuGH-Urteil im Fall "Russmedia" deutet darauf hin, dass Forenbetreiber und Social-Media-Plattformen künftig Inhalte schon vor der Veröffentlichung prüfen müssen, um nicht sofort für Datenschutzverstöße haftbar zu sein. Dies könnte das Ende des bewährten "Providerprivilegs" bedeuten, bei dem Plattformen erst ab Kenntnis einer Rechtsverletzung haften, und faktisch zu einer umfassenden Überwachungspflicht durch Upload-Filter führen. Zum Abschluss diskutiert das Trio das sogenannte "Omnibus-Paket" der EU, das weitreichende Änderungen an der DSGVO und anderen Digitalgesetzen vorsieht. Während Joerg durchaus pragmatische Erleichterungen erkennt, befürchtet Holger eine Aufweichung des Datenschutzes zugunsten der Industrie, etwa beim Training von KI-Modellen mit Nutzerdaten. Am Ende fällt das Fazit der Runde fällt eher pessimistisch aus: Der Datenschutz stehe vor schwierigen Zeiten.

In Episode 148 des c't-Datenschutz-Podcasts widmen sich Holger und Joerg einem Thema, das oft im Schatten des Datenschutzes steht, aber für eine lebendige Demokratie essenziell ist: der Informationsfreiheit. Während die DSGVO den Zugriff auf eigene personenbezogene Daten regelt, gewähren Informationsfreiheitsgesetze (IFG) und Transparenzgesetze den Bürgern Einblick in das interne Handeln des Staates. Zu Gast ist Henry Krasemann vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Krasemann, selbst Pocaster, ist dort Referatsleiter für die Bereiche Akkreditierung/Zertifizierung und Informationsfreiheit. Er erläutert, dass das „Right to Know“ in Deutschland ein föderaler Flickenteppich ist. Während der Bund und viele Länder entsprechende Gesetze haben, hinken Bayern und Niedersachsen hinterher. In Bayern gibt es nur rudimentäre Regelungen, in Niedersachsen warten Bürger bislang vergeblich auf ein versprochenes Gesetz. Die Informationsfreiheitsgesetze ermöglichen jedem Bürger und Unternehmen, Einblick in amtliche Informationen zu verlangen, und zwar ohne Begründung. Anders als beim datenschutzrechtlichen Auskunftsanspruch nach Artikel 15 DSGVO geht es nicht um persönliche Daten, sondern um Transparenz staatlichen Handelns. Krasemann betont seine Herangehensweise bei der Aufsicht: Die Behörden arbeiten mit Steuergeldern und sollen keine unnötigen Geheimnisse haben. Die Hürden für eine IFG-Auskunft sind niedrig: Eine formlose E-Mail an die Behörde reicht aus. Man muss sich nach der Erfahrung Krasemanns nicht auf konkrete Gesetze berufen. Die Behörde hat dann einen Monat Zeit zu antworten und muss bei Unklarheiten sogar unterstützend nachfragen. Plattformen wie "FragDenStaat" erleichtern den Prozess zusätzlich und machen Anfragen und Antworten öffentlich zugänglich. Doch der Experte verschweigt nicht die Probleme. Behörden können Anträge ablehnen, etwa wenn es um die öffentliche Sicherheit, laufende Gerichtsverfahren oder Geschäftsgeheimnisse bei öffentlichen Ausschreibungen geht. Auch der Datenschutz Dritter spielt eine Rolle, ist aber oft durch simple Schwärzungen lösbar, ohne die Auskunft komplett zu verweigern. Krasemann warnt eindringlich vor aktuellen politischen Bestrebungen, die Informationsfreiheit unter dem Deckmantel des Bürokratieabbaus einzuschränken. Gerade in Zeiten wachsenden Misstrauens gegenüber staatlichen Institutionen sei Transparenz ein wichtiges Mittel zur Vertrauensbildung. Die Hoffnung auf ein bundesweites Transparenzgesetz, wie es die Ampel-Koalition geplant hatte, sieht er unter der neuen Regierung skeptisch.

Holger und Joerg bilden mit dem politischen Journalisten Falk Steiner in Episode 147 des c’t-Datenschutz-Podcasts ironisch eine "Selbsthilfegruppe der Überforderten". Und das nicht ohne Grund: Mit dem digitalen Omnibusgesetz will die EU-Kommission den Berg an Digitalvorschriften lichten - vom Data Act über die E-Privacy-Richtlinie bis hin zur DSGVO. Der Plan: Aufräumen, vereinheitlichen und die Compliance-Kosten senken. Die Realität: ein neuer, komplexer Riesenentwurf, der alles verändern könnte. Besonders die geplanten Änderungen an der DSGVO sorgen für Gesprächsstoff. So soll der Begriff der personenbezogenen Daten enger gefasst werden. Ob eine Information als personenbezogen gilt, hinge künftig davon ab, ob die verarbeitende Stelle selbst eine Person identifizieren kann. Das könnte weitreichende Folgen haben. Positiv bewerten die Experten die geplante Anhebung der Schwelle für die Meldepflicht von Datenschutzpannen. Diese soll künftig erst bei einem "hohen Risiko" greifen, was Unternehmen und Behörden von Bürokratie entlasten würde. Die Meldefrist würde von 72 auf 96 Stunden verlängert. Auch die Regeln für missbräuchliche Auskunftsanträge soll angepasst werden. Gesundheitsdaten nach Art. 9 DSGVO sollen restriktiver definiert werden. Die Diskutanten sehen diese Entwicklung kritisch, da sie Tür und Tor für umfangreiches Tracking öffnen könnte. Brisant sind die geplanten Erleichterungen für KI-Training: Für die Verarbeitung personenbezogener Daten für maschinelles Lernen soll grundsätzlich ein "berechtigtes Interesse" ausreichen, statt einer Einwilligung. Falk und Holger befürchten, dass von dieser Senkung des Schutzniveaus vor allem große Tech-Konzerne wie Meta und Google profitieren würden. Große Unklarheit herrscht beim Versuch, das Cookie-Chaos zu beenden. Künftig soll es möglich sein, Tracking mit einem Klick abzulehnen - und diese Entscheidung muss dem entwurf zufolge sechs Monate lang respektiert werden. Allerdings ist völlig offen, wie Webseiten das technisch erkennen sollen, ohne selbst wieder Daten zu speichern. Falk fasst das Dilemma trocken zusammen: "Man kann’s einfacher machen - oder komplizierter. die Kommission hat sich offenbar für Letzteres entschieden." Das Fazit der Runde fällt skeptisch aus. Obwohl der Entwurf einige sinnvolle Anpassungen enthält, wirft er vor allem neue Fragen auf und stellt etablierte Praktiken infrage. Statt Rechtsfrieden zu schaffen, drohen jahrelange neue Auseinandersetzungen vor den Gerichten. Für Steiner ist klar: Dies ist erst der Anfang eines langen und komplizierten Gesetzgebungsprozesses.

In Episode 146 des c't-Datenschutz-Podcasts widmen sich Holger und Joerg einem Grundsatzthema: Wo steht steht der Datenschutz zwischen notwendiger Machtbegrenzung und störendem Innovationshindernis? Juraprofessorin Hannah Ruschemeier beschäftigt sich genau mit derlei Fragen. Sie forscht an der Universität Osnabrück zu KI-Regulierung, Plattformrecht und den Herausforderungen der digitalen Transformation. Auf dem DatenTag der Stiftung Datenschutz hatte sie jüngst ihre Thesen zur "Datenmacht" in einer Keynote zusammengefasst (siehe Shownotes). Ruschemeier bestreitet vehement, dass Datenschutz obsolet oder gar tot sei. Sie beobachte zwar eine gewisse Resignation in der Gesellschaft, sehe aber gerade deshalb die Notwendigkeit für mehr Aufklärung. Viele Menschen verstünden nicht, was mit ihren Daten passiert und welche Macht große Tech-Konzerne damit ausüben. Diese "informationelle Machtasymmetrie" zwischen Datenkonzernen und Verbrauchern hält sie für ein zentrales Problem. Besonders kritisch sieht die Professorin das Geschäftsmodell vieler Tech-Giganten, die nach dem Prinzip "move fast and break things" Fakten schaffen und sich erst später um rechtliche Konformität kümmern. Während Meta oder Google Milliardenstrafen quasi aus der Portokasse zahlen können, kämpfen kleine und mittlere Unternehmen mit hohen Compliance-Kosten. Diese Asymmetrie zeige sich auch im mangelnden Vollzug: Große Player würden unzureichend belangt, während kleinere Betriebe unter der Bürokratielast leiden. Aus der Praxis berichtet Joerg, dass die bürokratischen Hürden für Start-ups und kleine Unternehmen enorm sein können. Seiner These, dass Datenschutz durchaus Innovationen ausbremse, steht Ruschemeier allerdings kritisch gegenüber. Sie fordert hier eine differenziertere Sichtweise. Der Begriff "Innovation" dürfe kein Totschlagargument gegen jede Regulierung sein. Vielmehr müsse man fragen, wem eine Neuerung nützt. Sie plädiert für stärker gemeinwohlorientierte Definitionen und Entwicklungen. Regulierung schütze, statt zu hemmen - Europa solle stolz auf seinen starken Grundrechtsschutz sein. Ruschemeier plädiert für eine umfassende Reform der europäischen Datenschutz-Grundverordnung (DSGVO). Sie spricht sich im Podcast für einen risikobasierten Ansatz aus: Unternehmen mit besonders datenintensiven Geschäftsmodellen sollten strenger reguliert werden, während kleine Betriebe entlastet werden könnten. Gleichzeitig warnt sie davor, das Schutzniveau generell abzusenken. Stattdessen brauche es eine bessere Abstimmung zwischen den verschiedenen Digital-Gesetzen wie DSGVO, KI-Verordnung und Digital Services Act. Die Expertin sieht Europa nicht im Wettrennen mit USA und China um die nächste große Plattform, insbesondere im Bereich KI. Stattdessen sollte sich der Kontinent auf seine Stärken konzentrieren: starker Grundrechtsschutz, Rechtssicherheit und industrielle Anwendungen. Diese könnten durchaus Standortvorteile sein, wenn man sie richtig nutze und kommuniziere.

In Episode 145 des c't-Datenschutz-Podcasts nehmen die Holger und Joerg die Regulierung von Social-Media-Plattformen unter die Lupe. Als Gast haben sie sich den Rechtsanwalt und Social-Media-Experten Dr. Thomas Schwenke eingeladen. Thomas, der gerade ein Buch zum Thema "Recht für Online-Marketing und KI" veröffentlicht hat, erklärt gleich zu Beginn: Der Begriff "Social Media" sei überholt. Plattformen wie TikTok oder Instagram entwickelten sich immer mehr zu "algorithmischen Medien", bei denen der passive Konsum von Inhalten im Vordergrund stehe,und nicht mehr der soziale Austausch. Hauptthema der Diskussion ist die Regulierungswelle der EU, die mit Gesetzen wie dem Digital Services Act (DSA) und dem Digital Markets Act (DMA) versucht, die Macht der Tech-Konzerne zu begrenzen. Ein aktuelles Beispiel ist die neue Verordnung zur Transparenz politischer Werbung (TT-Verordnung). Sie schränkt das gezielte Ausspielen von Werbung, das sogenannte Microtargeting, stark ein. Die Reaktion der Konzerne ließ nicht lange auf sich warten: Sowohl Meta als auch Google kündigten an, wegen der neuen, komplexen Regeln künftig keine politische Werbung mehr in der EU schalten zu wollen. Die Experten sind sich uneins, wie wirksam diese vielen EU-Gesetze wirklich sind. Während Holger argumentiert, dass die EU die Konzerne durchaus zum Handeln zwingt – etwa bei der Einholung von Einwilligungen oder der Anpassung ihrer Bezahlmodelle –, bleiben Thomas und Joerg skeptisch. Sie kritisieren, dass viele Nutzer mit den komplexen Einwilligungs-Bannern überfordert seien und dass das Geschäftsmodell des Trackings im Kern unangetastet bleibe. Besonders ernüchternd fällt die Bilanz bei den viel beworbenen Schadensersatzklagen gegen Meta aus. Holger zitiert Zahlen, die der ehemalige baden-württembergische Datenschutzbeauftragte Stefan Brink in einem anderen Podcast teilte: Von rund 2200 Klagen wegen der Business Tools von Meta wurden 70 Prozent komplett zugunsten des Konzerns entschieden. In 97 Prozent der Fälle lag der zugesprochene Schadensersatz bei maximal 500 Euro. Die medienwirksamen Urteile mit hohen Schadensersatzzahlungen seien absolute Ausnahmen. Ein Urteil des Landgerichts München I stützt diese skeptische Sicht. Das Gericht wies die Klage eines Nutzers ab, der wegen der Übermittlung seiner Daten in die USA Schadensersatz forderte. Die Richter argumentierten, wer einen globalen US-Dienst wie Facebook wissentlich nutze, müsse mit einem Datentransfer rechnen. Sich später darüber zu beschweren, sei widersprüchliches Verhalten. Das Fazit der Runde: Der Kampf gegen die Datenkraken ist zäh und die Erfolge sind oft kleiner, als es den Anschein hat.

Die Abhängigkeit von US-amerikanischen IT-Diensten birgt konkrete Risiken. Deutlich wurde dies jüngst etwa im Fall von Karim Khan, Chefankläger des Internationalen Strafgerichtshofs (IStGH), dem Microsoft plötzlich seine Konten sperrte. Grund seien Sanktionen der US-Regierung gegen den IStGH gewesen. Solche "Killswitch"-Aktionen zeigen die Verwundbarkeit auch von europäischen Nutzern. Zudem scannen Dienste wie Microsoft und Google automatisch Inhalte in ihren Cloud-Speichern und melden verdächtige Funde an US-Strafverfolgungsbehörden. In Episode 144 des c't-Datenschutz-Podcasts widmen sich Holger und Joerg gemeinsam mit Peter Siering dem Thema digitale Souveränität. Peter, seit 35 Jahren bei heise und Leiter des Ressorts Systeme und Sicherheit, bringt seine langjährige Erfahrung mit Microsoft-Produkten und Open-Source-Alternativen in die Diskussion ein. Für den Ausstieg aus Microsoft 365 empfiehlt Peter Nextcloud als zentrale Alternative. Die Open-Source-Software bietet kollaborative Dokumentenbearbeitung, Chat und Videokonferenzen. Kleine Unternehmen können diese Lösung über lokale Systemhäuser beziehen, müssen aber Schulungsaufwand und Umstellungspannen einkalkulieren, wie Peter betont. Der Wechsel erfordere Investitionsbereitschaft. Bei Cloud-Diensten existieren durchaus europäische Alternativen zu den US-Hyperscalern wie AWS oder Azure. OVH aus Frankreich und IONOS aus Deutschland bieten vergleichbare Dienste an, wenn auch mit weniger granularen Optionen. Die Preisunterschiede sind dabei überraschend gering. Wichtig sei, von Anfang an auf Anbieterunabhängigkeit zu achten und proprietäre Lösungen zu vermeiden, erläutert Peter. Wechselwilligen empfiehlt er als ersten Schritt eine Bestandsaufnahme: Wo liegen meine Daten? Habe ich sie leichtfertig aus der Hand gegeben? Der Wechsel zu europäischen E-Mail-Anbietern und Cloud-Speichern sowie die Nutzung alternativer Suchmaschinen und Browser sind praktikable Sofortmaßnahmen. Für Unternehmen lohnt die Suche nach lokalen Dienstleistern, die europäische Alternativen implementieren können.

Holger und Joerg widmen sich diemal gemeinsam mit Professor Dr. Alexander Golland drei wichtigen Entscheidungen des Europäischen Gerichtshofs, alle drei aus dem laufenden Monat September. Alexander, Professor für Wirtschaftsrecht an der FH Aachen, ordnet die teils verwirrenden Urteile ein und erklärt deren praktische Auswirkungen. Im Mittelpunkt steht zunächst die Klage des französischen Abgeordneten Philippe Latombe gegen den Angemessenheitsbeschluss der EU-Kommission zum EU-US-Datentransfer, dem wiederum das EU-US Data Privacy Framework zugrunde liegt. Latombe wollte den Beschluss für nichtig erklären lassen. Das Europäische Gericht (EuG) wies die Klage ab, damit bleibt er vorerst als Rechtsgrundlage bestehen. Alexander ordnet das Verfahren ein und erläutert, warum das Gericht nur prüfte, ob die Kommission 2023 bei Erlass des Beschlusses korrekt handelte, nicht aber die heutige Situation unter veränderten politischen Vorzeichen bewertete. Besonders praxisrelevant ist das SRB-Urteil des EuGH zur Pseudonymisierung. Die zentrale Frage: Sind pseudonymisierte Daten für Empfänger, die selbst (ohne Dritte) keinen Personenbezug herstellen können, anonym, oder bleiben sie personenbezogen? Der EuGH bestätigt in dem Revisionsverfahren zwar den sogenannten "subjektiven Ansatz" – es kommt auf die Möglichkeiten des Empfängers an –, lässt aber entscheidende Detailfragen offen. Alexander kritisiert die fehlende Rechtssicherheit: Unternehmen wissen weiterhin nicht genau, ob sie für solche Datenübermittlungen Auftragsverarbeitungsverträge benötigen. Die Richter machten wenig Vorgaben und verwiesen auf die Einzelfallprüfung. "Steine statt Brot", resümiert Alexander. Fall drei dreht sich um den immateriellen Schadenersatz. Ein Bewerber hatte gegen die Quirin Privatbank geklagt, weil sensible Angaben versehentlich an einen Dritten gingen. Der EuGH bestätigte: Auch Ärger oder Schamgefühle können ein Schaden im Sinne der DSGVO sein. Ein Nachweis bleibt aber schwierig. Beim Thema Unterlassung urteilten die Richter restriktiv: Einen originären Unterlassungsanspruch sieht die DSGVO nicht vor. Allerdings könne das nationale Recht solche Ansprüche zulassen, hierzulande beispielsweise über das Wettbewerbsrecht. Für die Praxis bedeutet das: Betroffene müssen künftig eher auf das allgemeine Persönlichkeitsrecht zurückgreifen. Die Diskutanten zeigen sich ein wenig frustriert über die mangelnde Klarheit der Urteile. Statt eindeutiger Vorgaben liefern die Gerichte oft nur die klassische Juristen-Antwort: "Es kommt darauf an." Für Unternehmen und Betroffene bedeutet das weiterhin erhebliche Rechtsunsicherheit bei alltäglichen Datenverarbeitungen.

Am 12. September 2025 wird der Data Act der EU wirksam. Es steht zu befürchten, dass viele Unternehmen darauf kaum vorbereitet sind. In Episode 142 des c't-Datenschutz-Podcasts diskutieren Holger und Joerg mit Carolin Loy vom Bayerischen Landesamt für Datenschutzaufsicht über die weitreichenden Folgen der neuen Verordnung. Der Data Act soll Datensilos aufbrechen und Nutzern Zugang zu Daten verschaffen, die bei der Verwendung vernetzter Geräte entstehen, vom Auto über die Kaffeemaschine bis zur Solaranlage. Bisher kontrollieren viele Hersteller diese Daten exklusiv. Künftig müssen sie sie auf Verlangen herausgeben, auch an Dritte. Die EU-Kommission erhofft sich davon jährlich bis zu 200 Milliarden Euro zusätzliches Wirtschaftswachstum durch neue datenbasierte Geschäftsmodelle. Die praktische Umsetzung stellt Unternehmen vor massive Probleme. Sie müssen ab sofort Datenlizenzverträge mit Nutzern schließen und Schnittstellen zur Datenherausgabe schaffen. Die von der EU-Kommission versprochenen Mustervertragsklauseln existieren zehn Tage vor dem Stichtag nur als Entwurf. "Das schadet vor allem denjenigen, die das Gesetz anwenden müssen", kritisiert Loy die mangelhafte Vorbereitung. Besonders komplex stellt sich die Abgrenzung von personenbezogenen und nicht-personenbezogenen Daten dar. Bei personenbezogenen Daten greift weiterhin die DSGVO mit Vorrang. Das heißt, Unternehmen benötigen eine Rechtsgrundlage für die Herausgabe. Dies führt zu einem Dilemma: Verweigern sie die Herausgabe mangels Rechtsgrundlage, verstoßen sie möglicherweise gegen den Data Act. Geben sie Daten ohne Rechtsgrundlage heraus, verletzen sie die DSGVO. Weitere Unsicherheit schafft die fehlende Aufsichtsstruktur. Deutschland hat noch keine zuständige Behörde für nicht-personenbezogene Daten benannt. Ein Referentenentwurf vom Jahresanfang sah die Bundesnetzagentur vor, für personenbezogene Daten sollte die Bundesbeauftragte für Datenschutz zentral zuständig sein, was die föderale Aufsichtsstruktur der Datenschutzaufsicht aushebeln würde. Nach der vorgezogenen Bundestagswahl im Februar wurde der Entwurf der damaligen Ampelkoalition obsolet, ein neuer liegt noch nicht vor. Die Expertin Loy empfiehlt Unternehmen dringend, ihre Datenbestände zu analysieren und zwischen personenbezogenen und anderen Daten zu trennen. Sie müssen Informationspflichten nach dem Data Act erfüllen und Verträge vorbereiten. Im Zweifel rät sie, vom Personenbezug auszugehen und Herausgabeanfragen zunächst kritisch zu prüfen. Während die Diskutanten die Grundidee des Data Acts – mehr Datenzugang und Wettbewerb – durchaus begrüßen, kritisieren sie die Umsetzung. Gerade der Mittelstand sei mit der Flut neuer Digitalgesetze völlig überfordert, moniert Joerg. Die komplexe Verzahnung mit der DSGVO schaffe mehr Rechtsunsicherheit als Klarheit.

In Episode 141 widmen sich Holger und Joerg gemeinsam mit Dr. Sebastian Kraska den wichtigsten Datenschutzthemen für Website-Betreiber. Sebastian ist Rechtsanwalt und Geschäftsführer der IITR Datenschutz GmbH, die Unternehmen bei Datenschutz und Informationssicherheit berät. Am Beispiel eines fiktiven Katzenfutter-Shops arbeiten die drei systematisch zentrale Anforderungen ab. Zunächst geht es um Cookie-Banner: Technisch notwendige Cookies für Warenkörbe oder Spracheinstellungen benötigen keine Einwilligung. Anders sieht es bei Tracking-Tools oder anderen nicht technisch erforderlichen Cookies aus. Hier müssen Website-Betreiber eine echte Wahlmöglichkeit bieten. Die Aufsichtsbehörden fordern dabei gleichwertige Ja- und Nein-Buttons auf derselben Ebene sowie granulare Einstellungsmöglichkeiten. Bei der Datenschutzerklärung rät Sebastian Betreibern kleinerer Websites zu Generatoren statt Eigenbauten. Die Erklärung muss transparent über alle Datenverarbeitungen informieren - von Tracking-Tools über Rechtsgrundlagen bis zu Empfängern der Daten. Je komplexer die Website, desto umfangreicher wird das Dokument. Die Datenschutzerklärung von heise.de umfasst beispielsweise etwa 14 Druckseiten, wie Joerg anmerkt. Ein weiteres Thema sind Datenübermittlungen in Drittländer, etwa durch Google Analytics oder eingebundene Schriftarten. Bei Google Fonts empfiehlt Sebastian, die Schriften lokal zu hosten statt von Google-Servern zu laden. So vermeidet man ungewollte Datenübertragungen. Für YouTube-Videos oder Google Maps können Overlays eingesetzt werden, die erst nach expliziter Zustimmung die Inhalte laden. Interessant ist die Diskussion über cookiefreies Tracking: Tools wie Matomo oder etracker kann man so konfigurien, dass sie nur aggregierte Daten ohne individuelles Nutzerverhalten erfassen. Dann ist keine Einwilligung nötig. Für viele kleine Websites reichen diese aggregierten Daten völlig aus, um Besucherzahlen und Verweildauer zu messen. Die technische Sicherheit darf nicht vernachlässigt werden: SSL-Verschlüsselung ist mittlerweile Standard, regelmäßige Backups und Updates sind Pflicht. Kraska empfiehlt zudem Zwei-Faktor-Authentifizierung für Backend-Zugänge. Passwörter dürfen niemals im Klartext gespeichert werden. Abschließend beruhigt Sabastian Website-Betreiber: Die Aufsichtsbehörden zeigen sich bei kleineren Verstößen meist kulant und unterstützen bei der Behebung von Mängeln. Wichtig sei, sich erkennbar zu bemühen und die grundlegenden Anforderungen umzusetzen. Für kleine Websites und Vereine gebe es zudem kostenlose Vorlagen und Tools, die den Einstieg erleichtern.