Datenschutz und Digitalregulierung: gut verzahnt eine gute Nachricht für Innovationen aus Europa

Pressemitteilung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 04.06.2025

BfDI bei hochrangigem Panel zu Wettbewerb, Innovation und Datenschutz in Brüssel.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, führt in Brüssel den wichtigen Dialog zur praxistauglichen und innovationsfreundlichen Auslegung der Digitalrechtsakte. Die BfDI hat dazu am Dienstag gemeinsam mit dem Europäischen Datenschutzbeauftragten (EDPS) und dem Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) zu einer hochrangigen Diskussion über zentrale Fragen im Kontext von Grundrechtsschutz, Wettbewerbsfähigkeit und Innovation in Europa eingeladen. Im Mittelpunkt des Panels stand die Frage, wie die bestehenden und neuen Digitalrechtsakte der EU – darunter der Digital Markets Act, der Digital Services Act, der Data Act und die künftige KI-Verordnung – kohärent untereinander und mit der Datenschutz-Grundverordnung (DSGVO) umgesetzt werden können.

„In der Praxis sehen wir, dass sich etwa Fragen der Datenverarbeitung, der Zweckbindung oder der Rechtsgrundlagen in den verschiedenen Rechtsakten vielfach überschneiden“, sagt Louisa Specht-Riemenschneider. „Diese Schnittstellen bergen rechtliche Unsicherheiten – für die Aufsicht, für Unternehmen und für die Betroffenen.“ Deshalb brauche es Klarheit im Gesetz und eine abgestimmte rechtliche Auslegung durch alle beteiligten Regulierungsbehörden.

Die BfDI plädierte dafür, die Kohärenz zwischen den Regelwerken nicht erst im Nachhinein durch die Aufsichtspraxis herzustellen, sondern bereits im Rechtsetzungsprozess stärker mitzudenken:

„Wir brauchen eine vorausschauende Regulierung, die Grundrechte, Innovation und Marktregeln gemeinsam denkt – nicht nebeneinander. Die DSGVO darf dabei nicht isoliert betrachtet werden, sondern muss strukturell mit den anderen Digitalgesetzen verzahnt werden.“

Ein weiteres zentrales Thema der Debatte war die notwendige Zusammenarbeit zwischen unterschiedlichen Regulierungsbehörden – insbesondere in Bereichen wie Plattformaufsicht, KI, Wettbewerb und Verbraucherschutz und dem Datenschutz. Als positives Beispiel nannte die BfDI die Gründung des „Digitalclusters Bonn“, einer Kooperationsplattform mehrerer Bundesbehörden, darunter die Bundesnetzagentur, das Bundeskartellamt, das Bundesamt für Sicherheit in der Informationstechnik, die Bundesanstalt für Finanzdienstleistungsaufsicht, das Bundesamt für Justiz und die BfDI selbst: „Wir brauchen jetzt den nächsten Schritt: verbindlichere Strukturen, klare Zuständigkeitsregelungen und politische Rückendeckung – insbesondere durch das neue Digitalministerium in Deutschland.“

Die BfDI kündigte zudem an, verstärkt auf interdisziplinäre Ansätze zu setzen – darunter regulatorische Sandboxes, Reallabore, einen Austausch mit spezifischen Stakeholdern und eine strategische Vorausschau („Strategic Foresight“) zur Bewertung digitaler Risiken. „Nur wenn wir frühzeitig im Austausch mit anderen Regulierungsbehörden, der Wissenschaft, Unternehmen und der Zivilgesellschaft stehen, können wir den digitalen Wandel rechtssicher, innovationsfreundlich und grundrechtskonform gestalten.“

Artikel auf https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2025/11-High-Level-Debate.html?nn=251928

BfDI verhängt Geldbußen gegen Vodafone

Pressemitteilung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 03.06.2025

Die BfDI, Prof. Dr. Louisa Specht-Riemenschneider, hat der Vodafone GmbH zwei Geldbußen in einer Gesamthöhe von 45 Millionen Euro auferlegt. Durch böswillig handelnde Mitarbeitende in Partneragenturen, die im Auftrag von Vodafone Verträge an Kunden vermitteln, war es unter anderem zu Betrugsfällen durch fingierte Verträge oder Vertragsänderungen zulasten von Kunden gekommen.

Eine Geldbuße in Höhe von 15 Millionen Euro erging, weil die Vodafone GmbH für sie tätige Partneragenturen nicht im ausreichenden Umfang datenschutzrechtlich überprüft und überwacht hatte (Art. 28 Abs. 1 S. 1 DSGVO). Darüber hinaus hat die BfDI Vodafone aufgrund eines Verstoßes gegen Art. 32 Abs. 1 DSGVO wegen festgestellter Schwachstellen in bestimmten Vertriebssystemen verwarnt. Eine weitere Geldbuße in Höhe von 30 Millionen Euro wurde wegen Sicherheitsmängeln beim Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ mit der Vodafone Hotline verhangen. Die aufgedeckten Schwachstellen der Authentifizierung ermöglichten unter anderem den Abruf von eSIM-Profilen durch unbefugte Dritte.

Die Vodafone GmbH hat ihre Prozesse und Systeme inzwischen verbessert und teilweise sogar vollständig ersetzt, um solche Gefahren künftig auszuschließen. Außerdem hat sie die Prozesse zur Auswahl und Auditierung von Partneragenturen überarbeitet und sich von Partnern getrennt, bei denen Betrugsfälle festgestellt wurden. Die BfDI wird die praktische Wirksamkeit der von Vodafone ergriffenen Maßnahmen in einer Folgekontrolle überprüfen.

„Ich möchte hervorherben, dass Vodafone während der Dauer des gesamten Verfahrens ununterbrochen und uneingeschränkt mit mir kooperiert und auch Umstände offengelegt hat, durch die sich das Unternehmen selbst belastet hat“, betont Specht-Riemenschneider. Die Geldbußen wurden akzeptiert und schon vollständig an die Bundeskasse gezahlt.

Die Erfahrungen der Datenschutzbehörden zeigen, dass bei Unternehmen in vielen Branchen ein Investitionsstau bei der Modernisierung und Konsolidierung von IT-Systemen besteht. Bei der Sicherheit wird daher teilweise gespart. Auch der Einsatz von Auftragsverarbeitern wird in der Praxis häufig nicht ausreichend kontrolliert. Neue technische Möglichkeiten und komplexere Bedrohungsszenarien führen zu erhöhten Risiken für Kunden, denen durch fehlenden Datenschutz Schäden entstehen können.

Datenschutz wird häufig fälschlicherweise als Hindernis für IT-Investitionen angesehen. Dabei ist das Gegenteil der Fall: Ohne IT-Investitionen drohen Sicherheitsvorfälle und auch Sanktionen der Datenschutzaufsicht. Daher mein Aufruf: Investieren statt Riskieren! Prof. Dr. Louisa Specht-Riemenschneider.

Im Falle der Vodafone GmbH hat das Unternehmen umgesteuert und Projekte der IT-Konsolidierung sowie -Modernisierung priorisiert, die Bereiche Compliance und Datenschutz wurden gestärkt. So hat sich Vodafone zu einem starken Datenschutz und digitalen Grundrechten bekannt und sieht sie als Grundlage für das Vertrauen der Kunden. Als Bekenntnis zur Bedeutung des Datenschutzes hat die Vodafone GmbH zudem eine Gesamtsumme in Höhe von mehreren Millionen Euro an unterschiedliche Organisationen gespendet, die sich für die Förderung des Datenschutzes, der Medienkompetenz und Digital Literacy sowie die Bekämpfung von Cybermobbing einsetzen.

Specht-Riemenschneider abschließend: „Wo Datenschutzverstöße stattfinden, muss sanktioniert werden. Ich möchte mit meiner Arbeit aber auch erreichen, dass es gar nicht erst zu Datenschutzverstößen kommt. Unternehmen, die das Datenschutzrecht einhalten wollen, müssen dazu befähigt werden. Datenschutz ist Vertrauensfaktor für Nutzerinnen und Nutzer digitaler Angebote und kann daher zum Wettbewerbsvorteil werden. Das verstehen auch mehr und mehr Unternehmen.“

Artikel auf https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2025/06_Geldbu%C3%9Fe-Vodafone.html?nn=251944

Urteil zu manipulativem Cookie-Banner: „Alles ablehnen“-Schaltfläche ist ein Muss

Pressemitteilung des Landesbeauftragten für den Datenschutz Niedersachsen vom 20.05.2025

Auf nahezu jeder Webseite im Internet werden Nutzerinnen und Nutzer beim Öffnen mit einem Einwilligungsbanner konfrontiert. Viele weisen eine Schaltfläche mit der Bezeichnung „Alle akzeptieren“ auf, die Nutzerinnen und Nutzer häufig anklicken werden, damit der Einwilligungsbanner verschwindet und der Inhalt der Webseite gelesen werden kann. Mit diesem Klick wird allerdings die Erlaubnis erteilt, dass unter Umständen sehr viele Cookies und andere Trackingtechnologien eingesetzt werden, um detaillierte Nutzerprofile zu generieren und in Echtzeit personalisierte Werbung auf der Webseite auszuspielen.

Der Landesbeauftragte für den Datenschutz in Niedersachsen setzt sich seit vielen Jahren gegen manipulativ gestaltete Einwilligungsbanner und für wirksame – insbesondere informierte und freiwillige – Einwilligungen ein. Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 die Rechtsauffassung der Datenschutzaufsichtsbehörde Niedersachsen bestätigt und die Rechte von Internetnutzerinnen und -nutzern in Sachen Datenschutz gestärkt: Webseitenbetreiber müssen bei Cookie-Einwilligungsabfragen eine gut sichtbare „Alles ablehnen“-Schaltfläche auf der ersten Ebene im Einwilligungsbanner anbieten, wenn es eine „Alle akzeptieren“-Option gibt. Einwilligungsbanner dürften nicht gezielt zur Abgabe der Einwilligung hinlenken und von der Ablehnung der Cookies abhalten, so das Verwaltungsgericht Hannover in seiner Urteilsbegründung. Andernfalls seien die derart eingeholten Einwilligungen unwirksam, was einen Verstoß gegen das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz sowie die Datenschutz-Grundverordnung darstellt.

Hintergrund des Verfahrens war eine Anordnung des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gegenüber einem niedersächsischen Medienhaus. Dieses hatte Cookie-Einwilligungen mittels eines Banners eingeholt – ohne Nutzerinnen und Nutzern eine echte Wahlmöglichkeit zu bieten.

 GERICHT ERKENNT MEHRERE VERSTÖSSE

Das Verwaltungsgericht kritisierte die Aufmachung und Gestaltung des Cookie-Banners in mehrerer Hinsicht:

  • das Ablehnen von Cookies war deutlich umständlicher als das Akzeptieren,
  • Nutzerinnen und Nutzer wurden durch ständige Banner-Wiederholungen zur Einwilligung gedrängt,
  • die Überschrift „optimales Nutzungserlebnis“ und die Beschriftung „akzeptieren und schließen“ auf dem Schließen-Button waren irreführend,
  • der Begriff der „Einwilligung“ fehlte vollständig,
  • die Zahl der eingebundenen Partner und Drittdienste war nicht ersichtlich und
  • Hinweise auf das Recht zum Widerruf der Einwilligung und eine Datenverarbeitung in Drittstaaten, außerhalb der EU waren erst nach Scrollen sichtbar.

Das Gericht erkannte, dass Nutzerinnen und Nutzer keine informierte, freiwillige und eindeutige Einwilligung gegeben hatten, wie es die DSGVO verlangt.

Dazu der Landesbeauftragte für den Datenschutz in Niedersachsen, Denis Lehmkemper:

„Die allermeisten Menschen sind vermutlich von Cookie-Bannern genervt. Diese erfüllen jedoch eine wichtige Funktion für die Aufrechterhaltung der Privatsphäre im Internet. Genau deshalb setzen sich die Datenschutz-Aufsichtsbehörden für eine echte Wahlmöglichkeit bei der Gestaltung der Banner ein. Diese Wahlmöglichkeit wird von vielen Webseitenbetreibern bisher jedoch nicht umgesetzt. Ich hoffe, das Urteil sendet ein Signal an möglichst viele Anbieter und trägt so dazu bei, datenschutzkonforme Einwilligungslösungen umzusetzen.“

WEITERFÜHRENDE INFORMATIONEN:

Pressemitteilung als PDF zum Download [https://www.lfd.niedersachsen.de/download/217974]

Meta trainiert seine KI ab Ende Mai mit Nutzerdaten – Fanpage-Betreiber sind in der Verantwortung

Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg vom 19.05.2025

Der Meta-Konzern beabsichtigt, seine KI-Anwendungen ab dem 27. Mai 2025 mit Nutzerdaten der Plattformen Facebook und Instagram zu trainieren. Gegenstand des Trainings werden die Daten einschließlich Bilder der volljährigen Nutzerinnen und Nutzer aus deren öffentlichen Aktivitäten sein. Meta will sowohl alle künftig anfallenden Daten als auch solche aus der Vergangenheit verwenden. Wer dies nicht möchte, muss der Verwendung der persönlichen Daten und Bilder für das KI-Training widersprechen. Über diese Möglichkeit hat das Unternehmen seine Nutzerinnen und Nutzer informiert.

Der Widerspruch erstreckt sich aber nur auf die Daten des eigenen Profils. Posts und Fotos, die auf anderen Accounts veröffentlicht werden, sind davon nicht umfasst – es sei denn, deren Betreiberinnen und Betreiber legen selbst einen Widerspruch ein. In Brandenburg nutzen auch öffentliche Stellen beispielsweise Facebook-Fanpages für ihre Öffentlichkeitsarbeit. Sie sollten vor dem 27. Mai 2025 handeln. Dagmar Hartge:

„Wenn öffentliche Stellen soziale Medien einsetzen, auf denen Meta seine KI-Anwendungen betreibt, müssen sie ihrer Vorbildfunktion gerecht werden und die Datenschutzrisiken für Bürgerinnen und Bürger soweit wie möglich reduzieren. Ihnen empfehle ich dringend, dem KI-Training rechtzeitig zu widersprechen. Nur so können sie sicherstellen, dass die persönlichen Daten von Nutzerinnen und Nutzern ihrer Auftritte auf Facebook und Instagram nicht für diesen Zweck verwendet werden.“

Nutzerinnen und Nutzer von Facebook und Instagram bleibt es selbstverständlich unbenommen, jene Stellen, die Auftritte auf diesen Plattformen betreiben und ihre Posts und Fotos veröffentlichen, dazu aufzufordern, Widerspruch einzulegen.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat in seinem Internetangebot unter der Rubrik „Aktuelles“ hilfreiche Hinweise und FAQs rund um den Widerspruch gegen das KI-Training von Meta zusammengestellt (https://datenschutz-hamburg.de).

Verantwortlich:
Sven Müller,
Tel. 033203 356-0
Kleinmachnow, 19. Mai 2025

Berlin Group legt Arbeitspapier mit Empfehlungen zu Neurotechnologien vor

Pressemitteilung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 19.05.2025

Die „Berlin Group“ genannte Internationale Arbeitsgruppe für Datenschutz in der Technologie (IWGDPT) hat ein Arbeitspapier zum Datenschutz in Verbindung mit Neurotechnologien veröffentlicht. Die sogenannte „Berlin Group“ beschäftigt sich dabei unter anderem mit den Konsequenzen von Technologie, die direkt mit dem menschlichen Gehirn verbunden ist.

Die Vorsitzende der IWGDPT („Berlin Group“), die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, betont die Bedeutung einer frühzeitigen Beschäftigung mit diesem Thema: Neurotechnologien könnten bald über den medizinischen Bereich hinaus auch für den Massenmarkt relevant werden. Wir müssen darauf vorbereitet sein, denn sie werfen tiefgreifende datenschutzrechtliche und ethische Fragen auf, nicht zuletzt für die mentale Integrität des Menschen. Unter Neurotechnologien werden Geräte verstanden, die eine direkte Verbindung zwischen Gehirn und Computer oder KI herstellen. Das aktuelle Papier der IWGDPT enthält Definitionen und Beispiele für sogenannte Neurotechnologien und Neurodaten. Es diskutiert datenschutzrechtliche Anforderungen, die sich für diese neue Technologie ergeben. Besondere Aufmerksamkeit gilt dabei dem Einwilligungskonzept und dem Schutz von Kindern und Jugendlichen. Das Papier folgt dem praxisnahen Ansatz der IWGDPT: Es beschreibt zunächst die Technologie und ihre Auswirkungen auf den Datenschutz, analysiert sie auf Basis bestehender Prinzipien und schließt mit konkreten Empfehlungen für Gesetzgeber, Aufsichtsbehörden und Entwickler.

Das Arbeitspapier in englischer Sprache finden Sie hier. Mehr Informationen zur IWGDPT finden Sie hier.

Artikel auf https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2025/05_IWGDPT-Neurotechnologies-Paper.html?nn=251944